起從零開始學習網絡架構設計-核心區設計

繼上篇介紹完出口區的網絡架構設計，這篇文章我將帶著大家一起學習核心區的網絡設計。

核心區，顧名思義就是整個網絡架構的核心區域，它連接著整個網絡幾乎所有區域，從圖中我們可以看到它連接著出口區，安全管理區，終端接入區，云數據中心區。能充當核心交換機的設備在性能上都要求很高，如高包轉發率、大緩存容量、大交換容量等，本文采用的是華為數據中心級的CE12800交換機，兩臺設備采用CSS私有堆疊技術做的橫向虛擬化，所謂的橫向虛擬化指兩臺相互冗余的物理設備虛擬為一臺邏輯設備，在網絡中呈現一個單節點，這樣做的目的是簡化網絡管理和配置，同時提高了網絡的可靠性。在通俗點講就是，對于其他設備而言，他們感知的核心交換機只有一臺，這樣最大的好處是不需要采用傳統的MSTP+VRRP技術去破環，解決傳統技術收斂慢，以及生成樹STP最大只支持50個節點數的限制。有的同學可能會問，什么是破環，破壞就是破壞環路，我們可以看下面這張圖，假如不采用堆疊虛擬化技術，對外就是兩個核心設備，下聯兩臺匯聚交換機，構成口字形的環路，如果這時候同時不采取MSTP這樣的生成樹技術去破壞環路，那么數據包就會不斷地在這個環路中循環轉發，形成廣播風暴。破環協議就是打破環路的協議，通過堵塞其中一個成員接口，打破環路。本文采用的虛擬化技術由于核心交換機和匯聚交換機均對外表現為一臺邏輯設備，加之防火墻配置為主備模式，備墻平時不轉發數據，這樣一來也就不存在環路一說，平時的數據流量走左側主鏈路，當主鏈路故障自動切換至備鏈路，實現設備和鏈路的雙冗余設計。

核心交換機介紹完，我們來看看旁掛在它上的3臺安全設備，漏洞掃描、安全接入網關以及入侵檢測系統。

首先我們一起學習下入侵檢測。其實在出口區網絡架構講解時，我們已經簡單說了入侵檢測IDS和入侵防御IPS的區別，入侵檢測是被動性的防御，我們可以比如為小區的攝像頭，入侵防御是主動性防御，我們可以比如為小區里的保安。如果發現入侵，IDS只能被動的記錄和報警，IPS卻可以采取阻斷動作。他們相輔相成，一般網絡中均配備。IPS部署方式為串聯，如果它采取旁掛部署，那么就等同于降低它的功能，變成IDS類似的功能。搞清楚他們的關系后，我們回歸講解IDS，IDS部署方式采用旁掛式核心交換機部署，通過在核心交換機上設置端口鏡像，將鏡像數據發送到IDS設備上進行分析檢測，一旦發現攻擊和威脅立即報警。可能有的同學沒有聽過端口鏡像的概念，我簡單介紹下，端口鏡像是指設備復制一份從鏡像端口流經的報文，并將此報文傳送到指定的觀察端口進行分析和監控。從下圖可以清晰的理解，端口鏡像分為觀察口和鏡像口，觀察端口是連接監控設備的端口，用于輸出從鏡像端口復制過來的報文。鏡像端口是被監控的端口，從鏡像端口流經的所有報文均復制到觀察端口。本文配置的監控設備便是入侵檢測系統，鏡像端口配置的是通往各個功能區的接口，本文設置的鏡像端口是上下聯接口以及連接終端接入交換機的接口，我們一般不建立把核心上通往各功能區的所有接口都設置為鏡像端口，因為鏡像流量會占用設備的轉發帶寬，降低設備的轉發性能。比如本文的安全區就沒有必要區監控，一般監控終端和部署應用的服務器流量必經的接口。

最后我們再一同看看漏洞掃描設備。漏掃設備它是通過掃描的手段，對指定網段里的設備進行安全脆弱性檢測，可以發現漏洞的一種安全檢測的行為。掃描完后會產生相關的報告，提供漏洞修復意見。漏掃可以掃操作系統、數據庫、網絡設備，瀏覽器存在的漏洞，提醒用戶及時更新升級打補丁。隨時國家對網絡安全越來越重視，現在許多系統上線都需要過等保測評，而等保測評里就明確要求是不能存在高危漏洞，這是一票否決項，所以以后的項目，這個設備配備的場景會越來越多。說到這里想必大家應該知道，為什么它采用旁掛的形式部署在核心上了吧，因為核心交換機有去往各個分區的路由，旁掛核心就可以方便掃描各個分區內的設備，假如放在其他功能區，掃描的范圍就縮小了。下圖我截取一部分漏掃報告的內容，讓大家更直觀的了解它。

我們繼續講解核心區的防火墻，我們可以看到，核心交換機和匯聚交換機之間，部署了2種防火墻，一個是我們常見的邊界防火墻，它的功能就是進行邊界防護，我就不過多介紹，需要了解的朋友可以看出口區設計中對防火墻的介紹，今天我們主要介紹的是WAF（Web Application Firewall）,即Web應用防火墻，它是專門針對web應用進行防護的防火墻設備，防護的對象就是網站及B/S架構的各類系統。主要針對 HTTP/HTTPS協議進行分析，對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護，并具備基于 URL 的訪問控制； HTTP協議合規； Web敏感信息防護；文件上傳下載控制； Web 表單關鍵字過濾以及 web應用交付等功能。部署在這里的目的是防護之后會介紹的云數據中心功能區內的應用系統。它支持透明模式部署、路由模式部署和反向代理模式部署，本文采用透明模式部署，主要考慮到這樣部署的優點是網絡改動小，部署配置簡單。

好了，今天的核心區網絡架構介紹就告一段落，歡迎繼續閱讀其他功能區域的設計。

社部最新發布！！

關于2022年度專業技術人員職業資格考試計劃的通知

其中與我們執業藥師相關的變化一定要看！

2022年執業藥師考試時間有變！

根據最新的調整方案

執業藥師考試

大專、本科學歷的工作年限要求減少1年！

中國人事考試網官網：http://www.cpta.com.cn/notice/1067.html

修改后的工作年限要求

（一）取得藥學類、中藥學類專業大專學歷，在藥學或中藥學崗位工作滿4年。

（二）取得藥學類、中藥學類專業大學本科學歷或學士學位，在藥學或中藥學崗位工作滿2年。

（三）取得藥學類、中藥學類專業第二學士學位、研究生班畢業或碩士學位，在藥學或中藥學崗位工作滿1年。

（四）取得藥學類、中藥學類專業博士學位。

（五）取得藥學類、中藥學類相關專業相應學歷或學位的人員，在藥學或中藥學崗位工作的年限相應增加1年。

執業藥師報考條件中的

工作年限要求減少

意味著大專、本科學歷的考生

可提前報考！

變化細節趕緊往下看

▼▼▼

附件中顯示，2022年執業藥師考試時間為：11月5日、11月6日。

通知的發布，也意味著，2022年執業藥師備考、學習正式進入倒計時！

大家一定要早學習，早通過，抓緊時間開始學習吧！