H3C超級計算中心網(wǎng)絡(luò)安全解決方案

1、H3c超級計算中心網(wǎng)絡(luò)安全解決方案1概述基于在IT領(lǐng)域的長期耕耘，縱觀超算中心發(fā)展歷程，H3c提出基于統(tǒng)一交換網(wǎng)、統(tǒng)安全的超算中心網(wǎng)絡(luò)安全解決方案。2統(tǒng)一交換網(wǎng)絡(luò)超算中心自1973年面世以來，強(qiáng)大生命力和業(yè)務(wù)承載能力已經(jīng)使得以太網(wǎng)已經(jīng)成為通信網(wǎng)絡(luò)的 事實標(biāo)準(zhǔn)。近年萬兆以太網(wǎng)在性能上大幅增強(qiáng)，2010年IEEE將發(fā)布100G和40G以太網(wǎng)，成為名副其實的“高性能通信網(wǎng)絡(luò)”。 在超級計算領(lǐng)域，09年6月發(fā)布的世界TOP500a級 計算機(jī)排名顯示，282個站點(diǎn)采用以太網(wǎng)連接，占據(jù)56.4 %的份額。HPC集群通過全以太網(wǎng)連接前端網(wǎng)一主節(jié)點(diǎn)一計算網(wǎng)一計算節(jié)點(diǎn)一存儲網(wǎng)一存儲和管 理網(wǎng)，通過統(tǒng)一的網(wǎng)絡(luò)通信

2、架構(gòu)、解決HPCft群采用異構(gòu)通信網(wǎng)絡(luò)（計算網(wǎng)采用Infiniband 、 存儲網(wǎng)采用FQ的各種問題。傳統(tǒng)的超算中心網(wǎng)絡(luò)結(jié)構(gòu)異構(gòu)復(fù)雜，接口不統(tǒng)一?前端網(wǎng)和管理網(wǎng)采用以太網(wǎng)；?存儲網(wǎng)采用FC;?計算網(wǎng)用Infiniband ;超算中心通信網(wǎng)絡(luò)復(fù)雜異構(gòu)、接口不統(tǒng)一，導(dǎo)致超算中心運(yùn)行時協(xié)議轉(zhuǎn)換開銷大、速率不匹配、存在性能瓶頸、開發(fā)與部署周期長、無法滿足業(yè)務(wù)快速靈活部署和性能的需求。超算中心一體化網(wǎng)絡(luò)通過 CEE（增強(qiáng)以太網(wǎng)）和標(biāo)準(zhǔn)IP協(xié)議融合前端、計算、存儲和 管理四張網(wǎng)絡(luò)，消除網(wǎng)絡(luò)技術(shù)割裂所來的種種弊端。?降低TCO?簡化網(wǎng)絡(luò)層次；?增強(qiáng)業(yè)務(wù)靈活性；?輕松部署；?至簡的維護(hù)；?萬兆以太網(wǎng)增強(qiáng)技術(shù)（

3、RAMA口 ToE）解決了帶寬和性能的瓶頸；? CEE徹底解決了高性能計算大流量并發(fā)所帶來的丟包問題；?徹底解決數(shù)據(jù)計算、交換、存儲協(xié)議轉(zhuǎn)換的性能瓶頸。通過第二代智能彈性架構(gòu)匝2技術(shù)，使超算中心網(wǎng)絡(luò)的性能以倍數(shù)級別靈活擴(kuò)展，增 強(qiáng)可靠性增強(qiáng)，簡化配置，降低投入和維護(hù)成本。IRF2可實現(xiàn)分布式設(shè)備管理、分布式路由和跨設(shè)備鏈路聚合，部署IRF2除了提高超算 中心網(wǎng)絡(luò)的可用性，減少單點(diǎn)故障影響，還可以?分布式處理二三層協(xié)議，極大提高網(wǎng)絡(luò)性能；?每組當(dāng)成一個邏輯Fabric ,配置管理更高效；?交換集群內(nèi)設(shè)備軟件版本同步升級，升級容易；?整個交換集群的設(shè)備支持熱插拔，靈活管理；?交換集群實現(xiàn)倍數(shù)級的接

4、入密度和背板交換能力，并提高組網(wǎng)的可靠性；?對高端設(shè)備而言，可將多臺設(shè)備當(dāng)成一臺設(shè)備進(jìn)行管理， 實現(xiàn)性能倍增，簡化組網(wǎng)。部署IRF2后，無需再考慮MSTP VRR由協(xié)議，解決了傳統(tǒng)設(shè)備和鏈路只能工作在主 / 備模式和利用率低于50%的性能瓶頸。3統(tǒng)一安全超算中心H3c超算中心安全解決方案秉承了 H3c一貫倡導(dǎo)的“統(tǒng)一安全理念”，將安全部署滲透 到整個超算中心的設(shè)計、部署、運(yùn)維中，為超算中心搭建起一個立體的、無縫的、統(tǒng)一的 安全平臺，真正做到了使超算中心安全保護(hù)無處不在。H3c超算中心安全解決方案的技術(shù)特色可用安全多層保護(hù)、安全縱深防御、安全分區(qū)規(guī)劃、安全分層部署來概括以超算中心數(shù)據(jù)資源為核心向

5、外延伸有多層保護(hù)功能。?特性豐富的端點(diǎn)準(zhǔn)入（EAD方案；?兼容性強(qiáng)、有豐富報表輸出的安全管理方案；?靈活的VPNg入方式；?強(qiáng)大的DDoS&御方案（流量清洗）；?高性能硬件防火墻；?業(yè)界領(lǐng)先的反病毒軟件；?以人$心FPG母口 NP技術(shù)組成的具有高性能精確檢測引擎的 IPS;?性能強(qiáng)大的應(yīng)用優(yōu)化設(shè)備。超算中心安全多層保護(hù)超算中心安全縱深防御IPS應(yīng)用層由識別相抵??；蟲.回漉軟件，P2P.病毒”攻擊等安全 L5-7JP存儲;.數(shù)據(jù)安全J異地眇，數(shù)據(jù)餐份）L4 mta別網(wǎng)a水a(chǎn)r流異病分析用戶 工？ 路由器布痛訴日SSL；麗點(diǎn)U和靄高二加密若再 L2.5 : MPLS;網(wǎng)絡(luò)隔畫iMTi - -_.一

6、L2 |交換機(jī)：BPDUGuard.端口隔離.萬元期編定.602. 1k等實現(xiàn)二層安全保護(hù)多層保護(hù)的同時為超算中心網(wǎng)絡(luò)提供了從鏈路層到應(yīng)用層的多層防御體系，如圖。交 換機(jī)提供的安全特性構(gòu)成安全超算中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。超算中 心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過狀態(tài)防火墻可以把安全信任網(wǎng)絡(luò)和 非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對 DDOS口多種畸形報文攻擊的防御。IPS可以針對應(yīng)用流量 做深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效 檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中 的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)應(yīng)用層的保護(hù)。在超算中心網(wǎng)絡(luò)中存在不同業(yè)務(wù)種類和易受攻擊程度不同的設(shè)備，按照這些業(yè)務(wù)種類和設(shè)備的情況制定不同的安全策略和信任模型，將超算網(wǎng)絡(luò)劃分為不同區(qū)域，超算中心安 全分區(qū)具體如下圖。電子st % 黃布件直反安全分層部署把超算中心分