企业的站模式设计越来越人性化了,中小企业都开始经营起络营销>,站制作>构成方案也就是一个企业发展之路,也就是说,首先要打好基础站模式,然后再从这个方向去实行站的商业模式。中小企业通过络把公司的产品及服务信息都以一个站平台来分享出来,那用户看到所需要的产品,那就可以第一时间去谈电子商力,同时,双方就可以达到双赢。从此中小企业就可以通过站是INTERNET上宣传和反映企业形象和文化的重要窗口。企业站设计>显得极为重要,下面是一些商业企业站设计主要原则介绍。
一、明确建立商业站目标及用户需求
在互联中,建设一个站的目的,应该大家都明白的,在Web站点设计展现企业形象、介绍产品和服务、体现企业发展战略重要途径,因此必须明确设计站点的目的和用户需求,从而做出切实可行的设计计划。要根据消费者需求、市场状况、运营模式、企业自身情况等进行综合分析,牢记以“消费者(customer)”为中心,而不是以“美术”为中心进行设计规划。在这里想与大家说说一下,不管站制作师设计什么类型的站时,都要考虑到站是以客户体验为中心来建设的,而不是考虑到个人的想法或为了追求好看而去设计一些对用户体验很差的页,要以中小企业的发展及企业的产品风格去设计。
二、总体设计方案主题鲜明
在目标明确的基础上,完成站构思创意即总体设计方案。对站整体风格和特色作出定位,规划站组织结构。 Web站点应针对所服务对象(机构或人)的不同而具有不同形式。有些站点只提供简洁文本信息;有些则采用多媒体表现手法,提供华丽图像、闪烁的灯光、复杂页面布置,甚至可以下载声音和录像片段。优秀Web站点把图形表现手法和有效的组织与通信结合起来。 要做到主题鲜明突出,要点明确,以简单明确的语言和画面体现站点主题。调动一切手段充分表现站的个性和情趣,办出站特点。Web站点主页应具备基本成分包括: 页头:准确无误地标识你的站点和企业标志; Email地址:用来接收用户垂询; 联系信息:如普通邮件地址或电话; 版权信息:声明版权所有者等。 注意重复利用已有信息。如客户手册。公共关系文档。技术手册和数据库等可以轻而易举地用到企业的Web站点中。
三、商业站版式设计
页设计>作为一种视觉语言,要讲究编排和布局,虽然主页设计不等同于平面设计但它们有许多相近之处,应充分加以利用和借鉴。 版式设计通过文字图形的空间组合,表达出和谐与美。一个优秀页设计者也应该知道哪一段文字图形该落于何处,才能使整个页生辉。 多页面站点页面的编排设计要求把页面之间有机联系反映出来,特别要处理好页面之间和页面内的秩序与内容的关系。为了达到最佳视觉表现效果,应讲究整体布局合理性,使浏览者有一个流畅的视觉体验。
四、色彩在页设计中的作用
色彩是艺术表现的要素之一。在页设计>中,根据和谐、均衡和重点突出的原则,将不同色彩进行组合。搭配来构成美丽的页面。 根据色彩对人们心理的影响,合理地加以运用。在色彩运用过程中,还应注意一个问题:由于国家和种族。宗教和信仰的不同, 以及生活的地理位置。文化修养的差异等,不同人群对色彩的喜恶程度有着很大差异。在设计中要考虑主要读者群的背景和构成。
五、企业页形式与内容相统一
有好的企业页形式以外,还要有丰富的内容来支持,因为不管你的站设计的多么漂亮迷人,没有真正有用的内容,那也等于没有用,那想做好这方面的事情也不难,首先要将丰富的意义和多样的形式组织成统一的页面结构,形式语言必须符合页面内容,体现内容的丰富含义。 运用对比与调和、对称与平衡、节奏与韵律以及留白等手段,通过空间、文字、图形之间相互关系建立整体的均衡状态,产生和谐的美感。石家庄孝睿科技科技石家庄页设计中
以点、线、面的运用并不是孤立,很多时候都需要将它们结合起来,表达完美的设计意境,通过页的设计中就可以展现出企业的一个模式。
六、站空间的构成和虚拟现实
络上的虚拟空间是一个假想空间,站只能通过这个空间来把他展现到互联上,让每一个人都能在络上看到你的站设计与站中的信息,这种空间关系需借助动静变化。图像的比例关系等空间因素表现出来。 制作站的同时,都要上传页面中,图片、文字位置前后叠压,或页面位置变化所产生的视觉效果都各不相同。图片、文字前后叠压所构成的空间层次目前还不多见,上更多的是一些设计比较规范、简明的页面,这种叠压排列能产生强节奏的空间层次,视觉效果强烈。
七、多媒体功能的利用
传统的宣传也就是永远不可缺少的,多媒体宣传方面真正是一个品牌宣传的不重要模式,同时络资源优势之一是多媒体功能。要吸引浏览者注意力,页面内容可以用三维动画、FLASH等来表现。但要注意,由于络带宽限制,在使用多媒体的形式表现页内容时应考虑客户端的传输速度。
八、站内容要每天保持更新
一个站建设>已完成了,那要如何去增加和丰富站的内容呢!也要企业Web站点建立后,要不断更新内容。站点信息的不断更新,让浏览者了解企业的发展动态和上职务等,同时也会帮助企业建立良好形象。 在企业Web站点上,要认真回复用户的电子邮件和传统的联系方式如信件。做到有问必答。最好将用户用意进行分类,如售前一般了解。售后服务等,由相关部门处理,使用站访问者感受到企业的真实存在并由此产生信任感。 注意不要许诺你实现不了的东西,在你真正有能力处理回复之前,不要恳求用户输入信息或罗列一大堆自己不能及时答复的电话号码。 如果要求访问者自愿提供其个人信息,应公布并认真履行个人隐私保承诺。
以上的八种中小企业站制作构成方案给了各行各业发展带来了无比的想象,也给中小企业带来了异想不到的收获,从些中小企业打破了传统的营销模式,来迎接互联的发展路径。 企业络设计方案(二)
一、方案概述
企业不仅通过互联树立企业形象,而且企业产品较多并想通过互联促进产品的销售、加强客户的沟通和管理。
如果您的产品繁多或提供多种服务、客户交流比较频繁、想进一步推动产品的销售、更好的管理客户信息,那么采用企业信息服务型站建设方案是您最佳的选择;
其信息发布功能可以发布包括公司新闻、部门简介、公司最新动态、公司公告、产品推荐等内容;
产品展示功能可以发布产品的规格、型号、功能等产品信息,展示产品的外形、使用演示等图形信息;
会员管理功能可以对客户进行分类管理,让不同的用户浏览到不同的页面,并提供不同级别的服务;
而且产品订购功能可以接受并处理客户从上提交的产品或服务定单;
企业信息服务型站建设方案除可以选择基本型站的所有产品外,还可以选择内部协同办公系统、客户关系管理系统、业务流程自动化系统等相关产品。
预期效果:企业信息服务型站建设方案主要服务对象为企业客户。通过本方案,客户可以及时了解企业经营范围、最新动态、商品及价格、并可通过站提供的客户咨询服务与企业相关部门进行在线信息交流。
二、标准配置
一、建设站前的市场分析
1、相关行业的市场是怎样的,市场有什么样的特点,是否能够在互联上开展公司业务。
2、市场主要竞争者分析,竞争对手上情况及其站规划、功能作用。
3、公司自身条件分析、公司概况、市场优势,可以利用站提升哪些竞争力,建设站的能力(费用、技术、人力等)。
二、建设站目的及功能定位
1、为什么要建立站,是为了宣传产品,进行电子商务,还是建立行业性站?是企业的需要还是市场开拓的延伸?
2、整合公司资源,确定站功能。根据公司的需要和计划,确定站的功能:产品宣传型、上营销型、客户服务型、电子商务型等。
3、根据站功能,确定站应达到的目的作用。
4、企业内部(Intranet)的建设情况和站的可扩展性。
三、站技术解决方案
根据站的功能确定站技术解决方案。
1、采用自建服务器,还是租用虚拟主机。
2、选择操作系统,用unix,Linux还是Window2000/NT。分析投入成本、功能、开发、稳定性和安全性等。
3、采用系统性的解决方案(如IBM,HP)等公司提供的企业上方案、电子商务解决方案?还是自己开发。
4、站安全性措施,防黑、防病毒方案。
5、相关程序开发。如页程序ASP、JSP、CGI、数据库程序等。
四、站内容规划
1、根据站的目的和功能规划站内容,一般企业站应包括:公司简介、产品介绍、服务内容、价格信息、联系方式、上定单等基本内容。
2、电子商务类站要提供会员注册、详细的商品服务信息、信息搜索查询、定单确认、付款、个人信息保密措施、相关帮助等。
3、如果站栏目比较多,则考虑采用站编程专人负责相关内容。 注意:站内容是站吸引浏览者最重要的因素,无内容或不实用的信息不会吸引匆匆浏览的访客。可事先对人们希望阅读的信息进行调查,并在站发布后调查人们对站内容的满意度,以及时调整站内容。
五、页设计
1、页设计美术设计要求,页美术设计一般要与企业整体形象一致,要符合CI规范。要注意页色彩、图片的应用及版面规划,保持页的整体一致性。
2、在新技术的采用上要考虑主要目标访问群体的分布地域、年龄阶层、络速度、阅读习惯等。
3、制定页改版计划,如半年到一年时间进行较大规模改版等。
六、站维护
1、服务器及相关软硬件的维护,对可能出现的问题进行评估,制定响应时间。
2、数据库维护,有效地利用数据是站维护的重要内容,因此数据库的维护要受到重视。
3、内容的更新、调整等。
4、制定相关站维护的规定,将站维护制度化、规范化。
七、站测试
站发布前要进行细致周密的测试,以保证正常浏览和使用。主要测试内容:
1、服务器稳定性、安全性。
2、程序及数据库测试。
3、页兼容性测试,如浏览器、显示器。
4、根据需要的其他测试。
八、站发布与推广
1、站测试后进行发布的公关,广告活动。
2、搜索引掣登记等。
九、站建设日程表
各项规划任务的开始完成时间,负责人等。
十、费用明细
各项事宜所需费用清单。
以上为站规划书中应该体现的主要内容,根据不同的需求和建站目的,内容也会在增加或减少。在建设站之初一定要进行细致的规划,才能达到预期建站目的。
公司信息发布系统
本系统包括公司简介、部门简介、最新动态、公告、产品推荐等栏目。
产品信息发布系统
企业可以通过此系统发布诸如产品介绍、价格、图片、使用演示、评价等内容。此外,企业可以在此基础上定制开发具备产品定购、在线支付、在线结算等功能的应用系统,使本系统从上橱窗发展成上交易柜台。
客户在线咨询系统
通过此系统,客户可以及时将其需求、意见和建议等信息及时反馈到企业相关部门;企业可以通过此系统,及时将最新的售前与售后咨询服务提供给客户。
站管理系统
本系统为站管理人员提供了便捷的站管理工具,主要包括用户及权限设置、数据库维护、页设置、把厚壁光亮钢管 精密光亮无缝钢管 光亮无缝钢管 光亮钢管产品。标志与标题设置及站各栏目内容编辑等功能。
企业网络设计方案
昆明理工大学城市学院 课程设计任务书
信息工程 系 电气工程及其自动化 专业 2010 年级 学生姓名
课程设计题目
课程设计主要内容
XX 企业网 组 建
目的是实现企业各个部门各个区域之间的网络化,包括管理 部门, 财务部门, 生产单位等各个地点之间都能实现计算机联网, 并且整个企业网络接入 Internet 互联网。 XX 企业是分区域的连锁 机构,且每个区域又有相应的部门,由于没有企业专用网络,这 些分割多地的设备基本上分散使用,资源不能共享,相互间及与 外界不能进行信息交流。
现以通用的网络方案编制规范撰写一个网络设计方案的书面 文档, 在该文档中要包括 (但不限于 ) 需求分析概述、 网络建设的目标 与原则、技术选择与技术设计、网络管理与安全、设备清单等。)
指导教师(签字)
系 主 任(签字)
年 月 日
摘要
当今世界,随着信息技术,特别是网络技术,软件技术的高速发 展,信息化已经并正在渗透到经济、社会发展的各个领域。随着我国 经济与科技的不断进步, 企业信息化管理作为为网络时代的产物, 已 经成为企业管理发展的方向。 加快我国企业信息化发展已经成为推动 我国经济实现快速健康发展的战略选择。
现在很多公司除了处理本地或地区性事务外,还要考虑全国甚至 全球市场和物流的问题,很多公司在全国甚至全球都设有分支机构, 企业的员工和 IT 网络也随之分布各处, 网络管理的形式也以分散的组 织结构为主,即各自为战,每个分公司或站点都分别管理自己的 IT 资源。 分散组织结构的网络管理给予了所属每家分支机构充分的决策 灵活性, 但却给企业整体管理带来无穷的管理风险, 并极大的增加了 IT 方面的投入,而且不易维护。
所以,随着各企业内部网络规模的急剧膨胀,企业业务的发展使 得企业必须把其本地的信
息系统和外地分支机构的信息系统互联互通, 以共享信息等资源; 同 时, 企业更注重从战略目标出发, 建立一个支持全企业的集成信息系 统,来实现管理控制上的统一和协调。
目 录
第一章、前言 ............................................................................... 5第二章、 需 求分析 . ........................................................................... 5 2.1工程项目概况 .......................................................................... 5 2.2信息点分布 .............................................................................. 6 2.3需求分析 .................................................................................. 6第三章、 网 络方案设计 .................................................................... 8 3.1网络拓扑结构介绍 . .................................................................. 8 3.2网络拓扑图 .............................................................................. 9 3.3.1骨干核心层网络设计 . ............................................................................................ 9 3.3.2核心层网络设计 . ................................................................................................. 10 3.3.3汇聚层网络设计 . .................................................................................................. 11 3.3.4接入层网络设计 . .................................................................................................. 11 3.3.5广域网互联设计 . ................................................................................................. 12 3.3.6冗余 /负载均衡设计 . ............................................................................................ 12 3.3.7线路冗余 . ............................................................................................................. 12 3.3.8网络设备冗余 /负载均衡设计 . ............................................................................ 13 3.3.9服务器冗余设计 . ................................................................................................. 15 3.3. 10 IP地址规划原则 ............................................................................................ 16 3.4 方案特点 ............................................................................... 19第四章、 工 程实施 . ......................................................................... 20 4.1 路由协议—— OSPF ......................................................... 20 4.2 端口安全与认证(基于 802.1X ) . .................................. 20第五章、 网 络安全与测试 ............................................................. 27 5.1 完善的安全机制 ............................................................... 27 5.2 解决安全威胁 . .................................................................. 29 5.3 ** (虚拟专用网 ) ........................................................... 29总结与体会 ...................................................................................... 30参考文献 .......................................................................................... 30
第一章、前言
信息化是衡量企业综合实力的一项重要指标。目前,很多现化化企业都将信 息化作为企业发展的战略之一, 而企业信息化战略规划则成为实现这一战略的蓝 图。那么,什么是企业信息化战略规划呢 ?
它指的是,以整个企业的中长期发展目标、发展战略和企业的生产流程、各 部门的业务需求为基础, 结合行业信息化方面的实践和对信息技术发展趋势的掌 握,定义出企业信息化建设的远景、使命、目标和战略,规划出企业信息化建设 的未来架构。该架构主要涵盖了企业业务架构、企业信息架构、企业应用架构、 企业网络基础设施架构等, 为信息化建设的实施提供一副完整的蓝图, 全面系统 地指导企业信息化建设的进程。 所以, 离开了企业信息化规划来进行企业的网络 设计是毫无意义的。
本文站在企业信息化战略规划的高度, 详细阐述了组建企业集成网络系统的 设计流程、开发特点和规范,根据网络设计的原则,以及网络的性能指标特点, 结合现代较新的网络技术, 万兆以太网主干技术, 提出了现代企业网络的设计所 采用的技术和方法,本文对于企业级组网具有一定的技术意义。
第二章、 需求分析
2.1工程项目概况
××集团为了加快信息化建设, 新的集团企业网将建设一个以集团办公自动 化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为 核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多 媒体会议室、 PC 终端设备、应用系统通过网络连接起来,实现内、外沟通的现代 化计算机网络系统。该网络系统是支持办公自动化、供应链管理、 ERP 以及各应 用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展, 系统必须具备如下的特性:
1、 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息 化;
2、 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服 务水平;
3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;
4、 在整个企业集团内实现财务电算化;
5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系 统;
具体要求:
●WWW 服务
●E-mail 、 FTP 服务
●网上多媒体教学,能提供视频点播服务
●集团内行政管理
●拨号上网服务
2.2信息点分布
主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。详 细分布如表 1所示。
表 1 主要信息点分布
2.3需求分析
为适应企业信息化的发展, 满足日益增长的通讯需求和网络的稳定运行, 今 天的大型企业网络建设比传统企业网络建设提出更高的要求, 主要表现在如下几 个方面:
1)现代大型企业网络应具有更高的带宽,支持 10GE 或将来平滑过渡到 10GE ,更强 大的性能,以满足用户日益增长的通讯需求;
随着计算机技术的高速发展, 基于网络的各种应用日益增多, 今天的企业网 络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和 WEB 浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统 数据,以及带宽和时延都要求很高的 IP 电话、视频会议等多媒体业务,因此数 据流量将大大增加, 尤其是对核心网络的数据交换能力提出前所未有的要求。 另 外, 随着千兆端口的成本持续下降, 千兆到桌面的应用会在不久的将来成为企业 网的主流。从 2005年全球交换机市场分析可以看到,增长最迅速的就是 10G 级 别机箱式交换机,由此可见, 万兆的大规模应用已经真正开始。 所以今天的企业 网络已经不能再用百兆到桌面千兆骨干来作为建网的标准, 它的核心层及骨干层 必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的 “ 高品质 ” 大型企业 网,从而适应网络规模扩大,业务量日益增长的需要。
2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障 企业生产运营的正常进行;
随着企业各种业务应用逐渐转移到计算机网络上来, 网络通讯的无中断运行 已经成为保证企业正常的生产运营的关键。 现代大型企业网络在可靠性设计方面 主要应从三方面考虑:首先是设备级可靠性设计, 这里不仅要考察网络设备是否 实现了关键部件的冗余备份, 还要从网络设备整体设计架构、 处理引擎种类等多 方面去考察; 其次是业务的可靠性设计, 这里要注意网络设备在故障倒换过程中 是否对业务的正常运行有影响; 再次是链路的可靠性设计, 以太网的链路安全来 自于它的多路径选择, 所以在企业网络建设时要考虑网络设备是否能够提供有效 的链路自愈手段和快速重路由协议的支持。
3)现代大型企业网络需要提供完善的端到端 QOS 保障,以满足企业网多业务承载的 需求;
大型企业网络承载业务的不断增多, 单纯的提高带宽并不能够有效的保障数 据交换的畅通无阻, 正如八车道的长安街也经常堵车一样, 所以今天的大型企业 网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度, 如视 频、音频、数据流 (MIS、 ERP 、 OA 、备份数据 ) ,同时能够调度网络中的资源, 保证重要和紧急业务的带宽、时延、 优先级和无阻塞的传送, 实现对业务的合理 调度才是一个大型企业网络提供 “ 高品质 ” 服务的保障。
4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击, 减少企业的经济损失;
传统企业网络的安全措施主要是通过部署防火墙、 IDS 、杀毒软件以及配合 交换机或路由器的 ACL 来实现对于病毒和黑客攻击的防御,但实践证明这些被 动的防御措施并不能有效的解决企业网络的安全问题。 在企业网络已经成为公司 生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控 制, 病毒报文识别到主动抑制的一系列安全控制手段, 才能有效的保证企业网络 的稳定运行。
5)现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大, 维护工作更加复杂的需要;
当前的网络已经发展成为 “ 以应用为中心 ” 的信息基础平台, 网络管理能力的 要求已经上升到了业务层次, 传统的网络设备的智能已经不能有效支持网络管理 需求的发展。比如, 网络调试期间最消耗人力与物力的线缆故障定位工作, 网络
运行期间对不同用户灵活的服务策略部署、 访问权限控制、 以及网络日志审计和 病毒控制能力等方面的管理工作, 由于受网络设备功能本身的限制, 都还属于费 时、费力,有时甚至是不可能的任务, 所以现代的大型企业网络迫切需要网络设 备具备支撑 “ 以应用为中心 ” 的智能网络运营维护的能力, 并能够有一套智能化的 管理软件,将网络管理人员从繁重的工作中解脱出来。
第三章、 网络方案设计
3.1网络拓扑结构介绍
在此次××集团大型企业网的设计中, 我们采用层次化模型来设计网络拓扑 结构。 所谓“层次化”模型,就是将复杂的网络设计分成几个层次, 每个层次着 重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。 层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
层次化模型的好处:
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后, 各层次各司其职, 不再在同一个平台上考虑所有 的事情。 层次模型模块化的特性使网络中的每一层都能够很好地利用带宽, 减少 了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了, 可以在不同的层次实施不同难度的 管理,降低了管理成本。
3、易于扩展
在网络设计中, 模块化具有的特性使得网络增长时网络的复杂性能够限制在 子网中, 而不会蔓延到网络的其他地方。 而如果采用扁平化和网状设计, 任何一 个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网, 网络管理者能
够轻易地确定网络故障的范围,从而简化了排错过程。
3.2网络拓扑图
网络拓扑图如图 1所示。
图 1 网络拓扑图
3.3 网络设计
3.3.1骨干核心层网络设计
大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业 之间的高速数据路由转发, 以及维护全网路由的计算。 鉴于大型集团企业的用户 数量众多,业务复杂, QOS 要求较高的特点,在本方案中采用神州数码的 DCRS-7508高密度多业务核心路由交换机组建高性能的核心网络平台。
神州数码 DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网 络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和可靠性。
DCRS-7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计, 超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力, 确 保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换, 是城 域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。 DCRS-7500系列交换机具有三种型号,包括 15插槽的 DCRS-7515、 8插槽的 DCRS-7508和 4插槽的 DCRS-7504,除 DCRS-7515专用的大功率电源模块外,该 系列交换机的所有管理模块、 交换模块以及电源模块都可互换使用, 而且管理模 块、电源模块、 风扇等还可实现冗余备份, 温度传感器可以随时监控各个部件的 工作温度, 从而提供运营商级的可靠性。 DCRS-7500系列交换机的一大特色是 管理模块均带有业务接口, 使得所有的插槽均为有效的业务插槽, 从而大大提高 了端口密度和插槽利用率。
在骨干核心层中, 我们采用三台神州数码 DCRS-7508核心路由交换机组成一 个环形多机热备份的核心交换机系统解决方案。 为提高核心网络的健壮性, 实现 链路的安全保障,本方案骨干核心层环网中可以采用 VRRP (虚拟路由器冗余协 议) 。对于各个业务 VLAN 可以指向这个虚拟的 IP 地址作为网关,因此应用 VRRP 技术为核心交换机提供一个可靠的网关地址, 以实现在核心层核心交换机之间进 行设备的硬件冗余,一主两备,共用一个虚拟的 IP 地址和 MAC 地址,通过内部 的协议传输机制可以自动进行工作角色的切换。 进而双引擎、 双电源的设计为网 络高效处理大集中数据提供了可靠的保障。
3.3.2核心层网络设计
大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的 数据交换和与骨干核心层网络之间的路由转发。 传统解决方案一般采用骨干路由 器+核心交换机来组建,但这种方式受限于交换机的性能,在提供 MPLS **的 业务能力方面较弱, 不适合大型企业网络的建设需求, 同时现在的大型企业办公 网络具有城域网的特点, 网络发展具有网络扁平化的发展方向, 因此本方案骨干
层网络设备采用 DCRS-7508核心路由交换机作为大型企业生产办公网络的园区 核心路由交换设备, DCRS-7508具有强大的业务和路由处交换理能力,能提供如 MPLS ** 、 QoS 、策略路由、 NAT 、 PPPoE/Web/802.1x/L2TP认证等丰富业务能力, 并可通过内置防火墙模块实现各种强大的网络安全策略, 可以充分满足大型企业 不同园区网络的高速数据交换和支持多业务功能的要求, 并能够提供完善的安全 防御策略,保障企业园区网络的稳定运行。
3.3.3汇聚层网络设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的 汇聚及数据交换和 VLAN 终结,在本方案中采用神州数码的 DCRS-7504交换机多 层交换机作为汇聚层面的交换机。 DCRS-7504交换机在提供高密度千兆端口接入 的同时还能够满足汇聚层智能高速处理的需要 , 并能够加灵活的部署在网络边缘 的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口 /电口。这 些交换机都具备较强的多业务提供能力,可支持包括智能的 CCL 、 MPLS 、组播在 内的各种业务。为用户提供丰富、高性价比的组网选择。
3.3.4接入层网络设计
以往传统企业网络接入层的建设中并不关注于安全控制和 QOS 提供能力, 而 将网络的安全防御措施和 QOS 保障依赖于网络的汇聚层或骨干层设备, 这给汇聚 层和骨干层设备带来了巨大的压力, 往往内网病毒泛滥成灾后导致骨干层设备瘫 机,使网络没有 QOS 服务质量保障。
DCRS-2026B 智能宽带接入交换机是能满足高安全、多业务承载、高性能的 网络环境智能交换机,具备传统二层交换机大容量、高性能等优点, 同时还具有 领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。 用 户可以根据需要来订制自身的安全策略并部署在此交换机上。 该产品具备的端口
带宽限制、端口镜像、 QoS 、端口安全、广播风暴抑制等功能可以很好的协助用 户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口, 可以 满足楼层,楼宇内多个交换机高性能汇聚的需要。
3.3.5广域网互联设计
针对于大型企业需要良好的出口网关设备,我们建议用户选用神州数码 DCFW-1800S-L 。
神州数码 DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商, 大型数 据中心等骨干网络而设计 , 采用 2U 专用千兆安全平台, 完全模块化可扩展结构, 具有热插 拔特 性 的冗 余部件为您提供最大 的不间断运行时间。 神州数码 DCFW-1800E-G 防火墙内置 2个 10/100/1000M自适应以太网电口,具备 6个 SFP 扩展插槽,最多可扩展至 8个千兆接口,接口模块类型支持单模、多模光纤,千 兆电口,充分满足您的定制需求。
3.3.6冗余 /负载均衡设计
冗余设计是网络设计的重要部分, 是保证网络整体可靠性能的重要手段。 但 是投资也将增加。 部分企业园区网在早期的建设中由于成本的原因并未在设计中 考虑冗余问题, 而在优化工作中则需从网络链路和网络设备两方面着手。 冗余设 计可以贯穿整个层次化结构, 每个冗余设计都有针对性, 可以选择其中一部分或 几部分应用到网络中以针对重要的应用。 万一网络中某条路径失效时, 冗余链路 可以提供另一条物理路径。可采用 GEC 链路聚合(IEEE802.3ad )实现端口级冗 余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d )提 供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、 双路由 保护。
3.3.7线路冗余
在企业网骨干核心层, 企业网络边界拓扑结构由于采用了环形多机热备份的 核心交换机系统解决方案, 所以在线路冗余方面的要求较高, 对于线路的冗余要 求,我们采用 10GE 线路对三台企业网骨干核心层设备进行环行双向备份,并使 用业界领先的 VRRP (虚拟路由器冗余协议)来对其作为冗余线路的协议保障。 以 GEC 作为 N*1000M主干链路, 通过这个链路连接骨干网交换机, 具备万兆扩展 能力; 接入交换机采用 10/100M自适应端口连接桌面系统, 多千兆链路连接到汇 聚层。
GEC 路具有链路聚合和冗余保证两大特性, 下面我们将对它们依次进行介绍
链路聚合:
可使用一条物理链路在不同品牌交换机之间、 交换机和服务器间提供聚合的 高速通道,在不增加投资的情况下, 扩大交换带宽, 使关键连接的传输效率更高 冗余保证:
链路聚合中, 成员互相动态备份。当某一链路中断时,其它成员能够迅速接 替其工作。 与生成树协议不同, 链路聚合启用备份的过程对聚合之外是不可见的, 而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。
综合分析以上各主流方案的优缺点, 从性能与成本及拓展性等方面的综合考 虑出发,我们决定采用 GEC 骨干核心网络 10GE 拓展的方式作为其链路选择及备 份选择。
在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇 聚,万兆拓展;百兆到桌面的链路选择。
3.3.8网络设备冗余 /负载均衡设计
当前,无论在企业网、园区网还是在广域网如 Internet 上,业务量的发展 都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷, 即使按照
当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分, 其数据流量和计算强度之大,使得单一设备根本无法承担。
负载均衡建立在现有网络结构之上, 它提供了一种廉价有效的方法扩展服务 器带宽和增加吞吐量,加强网络数据处理能力, 提高网络的灵活性和可用性。 它 主要完成以下任务 :解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量 ; 提高服务器响应速度 ; 提高服务器及其他资源的利 用效率 ; 避免了网络关键部位出现单点失效。
在此方案中, 在网络的每个关键结点, 我们在设计时都做到了对其有效的冗 余备份和负载均衡。在网络的骨干核心层上。我们采用了三台锐捷 网络的 RG-S8610高密度多业务 IPV6核心路由交换机组建高性能的核心网络平台,在对 骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有 效的冗余保障和负载均衡。 在核心层的每个区块, 我们都采用了两台锐捷网络的 RG-S8606度多业务 IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个 区块, 我采用了两台锐捷网络的 RG-S5750交换机多层交换机做到冗余与负载均 衡。
在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时 候,我们采用了双核心配置。 如下图, 我们给出了从接入层到汇聚层再到核心层 的双核心配置。
双核心拓扑结构提供了两条等代价路径和双倍的带宽。 每个核心交换机连接 着数目相同的子网到第三层汇聚设备上。 每个交换区块都有冗余的连接到核心交 换机上, 因此形成两条不同的, 但是等代价的连接。 如果一条核心设备发生故障, 还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。 第 3层路由选择协议在核心中起链路选择的作用, VRRP 提供快速错误恢复。核 心层不需要 STP ,因为在核心交换机间没有冗余的第 2层连接。
3.3.9服务器冗余设计
企业网中服务器、大型机,如网络存储服务器, SQL Server服务器,其存 储的数据对于企业来说致关重要, 一些核心数据被视为企业的生命。 一方面它对 企业的企业的重要性毋庸质疑, 另一方面, 由于这些数据的性质决定了其较大的 被访问量,这个对服务器提出了稳定和快速的要求。如果宕机 , 后果是技术是保 障计算机系统的可靠性是重中之重。为此,我们采用的是双机热备技术 ,此技 术能够有效的满足核心服务器高效, 稳定的高要求。 而且相对于其它成本技术来 说,这是比较有经济价成效的技术。
Server 1 Server 2
服务器双机热备技术
具体技术实现:每个核心服务器均具有两个以太网接口 (可以通过安装双网 卡实现) ,在此基础上,以上图为例, DB 服务器 A 与 DB 服务器 B 先分别利用自 己的一个以太网接口实现两个服务器之间的直连, 每个服务器另外的一个接口则 与服务器区的网络实现互连, 以达到双机热备的目的。 因此增加服务器的稳定性 与高效性。
本 网 络中 应具 有多 台服 务 器设 备, 包括 DB SERVER 数据 库服务 器 , WEB,CATALOG 等应用服务器, NEWS,MAIL 等通讯服务器及多媒体服务器等。 3.310 IP地址规划原则
IP 地址构成了整个 Internet 的基础, IP 地址资源是整个 Internet 的基本 核心资源, IP 地址资源的合理分配和有效利用是整个 Internet 发展过程中持续 有效的一个极具分量的研究课题。
我们在对企业园区网 IP 地址编址设计和分配利用时, 遵循了以下几个原则: 1) 、 自治:整个园区网络网络被划分成几个大的自治区域, 每个大自治区域 中又被划分成几个小的自治区域。
2) 、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分 布及区域内用户数量来进行子网规划。同时,我们将 IP 地址规划和网络层次规 划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时,为了提高地 址分配效率和地址利用率, 我们在编址设计时按照了一定的顺序进行。 选择的顺 序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-Down Network Design)方法。
3) 、 可持续性:考虑到园区内网络用户数将持续高速增长, 网络所要承载的 业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。 所以, 在进行地址分配时本方案充分考虑到了这些因素, 为网络的每个部分留有 部分地址冗余,这样保证网络的可持续发展。
4) 、 可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络 的专家始料不及, 在路由表急剧膨胀情况下, 可聚合原则是网络地址分配时所必 须遵守的最高原则, 可聚合原则要求在进行地址规划时, 应提供足够的路由冗余 功能。
5) 、尽量节约 IPv4地址:由于 IPv4地址越来越少,所以对于 IPv4地址的 使用需要格外节约。 IPv4地址的节约可以通过动态编址技术和 NAT 技术等来实 现。
6) 、 闲置 IP 地址回收利用:对于已分配出去的静态 IP 地址进行定期追踪管 理,对长时间闲置的 IP 地址可经过确认后回收重复利用。
此次方案的设计, 我们决定采用一个内部私有 A 类地址(10.0.0.0) 对企业 园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计, 所以对 ip 地址的编址设计也应采取层次化的设计来完成, 并采用 VLSM 来拓展有 限的 IP 地址。
VLSM 是可变长子网掩码的英文缩写,它提供了一个主类(A 类、 B 类、 C 类) 网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。
VLSM 的优点
·对 IP 地址更为有效的使用
·应用路由归纳的能力更强
所以我们采取 vlsm 对网络进行编址, 以达到节约 ip 地址, 能够使用路由汇 总的目的。
首先采用一个 A 类网址对园区网主体结构进行编址, 至上而下的设计思路有 利于设计的最后成型和网络的健壮性。
其次, 在语音电话系统中, 每一个 ip 电话需要一个 ip 地址以及诸如子网掩 码、默认网关等的相关信息。事实上,这意味着一个组织需要指派两倍于 ip 电 话的 ip 地址给当前所有的 pc 用户,这个由 DHCP 提供。我们使用私有遍址的 IP 电话作为语音电话遍址方案。
私有遍址 IP 电话:
10.2.8.3 172.16.8.5 IP电话使用 172.16.0.0网络
IP 电话 +PC在同一交换机端口上 /
/
/
/
最后经过我们的计算,将各部门 ip 地址分配如下表:
用户地址与 VLAN 划分
Web 服务器 IP 地址: 192.168.100.1/24
FTP 服务器 IP 地址: 192.168.100.2/24
路由器出口 IP 地址: 222.18.44.3/24
3.4 方案特点
本方案很好地解决了用户要求的四个问题,即带宽问题、安全问题、管理计 费问题、灵活扩展问题。
● 带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备
份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。
● 安全问题:校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有
网络病毒和攻击的防护能力,并且防 DOS/DDOS攻击,因而可以在不同
的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。
●管理计费问题:统一认证,针对校园网开放式的信息点造成的安全隐 患,全网接入采用统一认证技术(可以进行账号、 IP , MAC 、 LAVN ID、 交换机 IP 和交换机端口六要素灵活捆绑) ,保证了只有合法授权的用户 才能使用网络或外部网络,而且还能对网络的使用情况进行审计。 ●灵活扩展问题:核心层使用的路由交换机 DCRS-7508有良好的扩展性, 可以为将来的网络实现轻松扩展。
第四章、 工程实施
4.1 路由协议—— OSPF
在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不 同的网段的数据和不同 vlan 间的数据转发而需要路由协议时, 我们采用 OSPF 协 议作为路由协议。
OSPF 是一种典型的链路状态路由协议。 采用 OSPF 的路由器彼此交换并保存 整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。 因为 RIP 路由 协议不能服务于大型网络,所以, IETF 的 IGP 工作组特别开发出链路状态协议 —— OSPF 。目前广为使用的是 OSPF 第二版,最新标准为 RFC2328。
OSPF 作为一种内部网关协议(Interior Gateway Protocol, IGP ) ,用于在 同一个自治域(AS )中的路由器之间发布路由信息。 区别于距离矢量协议 (RIP), OSPF 具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的 路由协议中占有相当重要的地位。
4.2 端口安全与认证(基于 802.1X )
a. 端口安全
交换设备定义了对端口保护的功能, 我们能定义允许的最大 MAC 地址访 问
数, 或者静态的定义特定的 MAC 地址。 遇到不合法的 MAC 地址交换机采取的策 略。
配置举例
端口安全性:
>enable
#configure terminal
(config)#interface f0/1
-if)#swithport port-security
-if)#swithport port-security maximum 4
-if)#swithport port-security mac-address x.x.x.x (该端口的 mac 地 址 )
-if)#swithport port-security violation shutdown (遇到 其他端口则关闭,但可以人工打开 )
保护端口:
将接入层交换机各宿舍接口设置为保护口, 保护口之间间互相无法通迅, 保 护口与非保护口之间可以正常通迅:
Switch(config)#interface Ethernet 0/1
Switch(config)#switchport protected
b. 基于 802.1x 的端口认证
基于端口的认证就是将 AAA 认证与端口保护相结合,默认情况下。一个 支持 802.1x 的交换机端口处于未授权状态,除了和 802.1x 有关的数据,其他 数据都不能通过该端口, 只有客户的交换机创建了一个 802.1x 的会话, 客户被
授权访 EAPOL :Extensible Authentication Protocol OVER LAN 局域网 上的可扩展身 份认证。
在端口处于未授权状态下,客户端只能使用 EAPOL 与交换机通信。
4.3 VRRP (虚拟路由冗余协议)原理
VRRP 给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器, 它保证网络的主路由器失效时, 可以及时的由 备分来实现路由器来替代, 从而保持通讯的连续性和可靠性。 并可以在该协议上 实现负载均衡等高级交换特性。
VRRP 技术的实现:汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术 将多个设备虚拟成为一台逻辑设备,实现汇聚 /接入链路冗余。
如下例:
-if)#vrrp 5 ip 192.168.2.5
-if)# vrrp 6 ip 192.168.2.6
A: -if)#vrrp 5 priority 200
B: -if)#vrrp 6 priority 200
-if)#vrrp 5 authen name
-if)#vrrp 6 authen name
见图如下:
4.4 RSTP 、 MSTP 原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样 具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个 局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要 重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒) 。
本交换机支持 MSTP, MSTP 是在传统的 STP、 RSTP 的基础上发展而来的新 的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就 会产生以下问题: 如下图 所示,交换机 A、 B 在 vlan1 内,交换机 C、 D 在 vlan2 内,然后连成环路。
备份(100) Mac0000.5e00.0105 192.168.2.5 活动(200) Mac0000.5e00.0106 192.168.2.6
活动(200)
Mac0000.5e00.0105 (A)
192.168.2.5
备份(100)
Mac0000.5e00.0106
192.168.2.6
(B)
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、 D 不包含 vlan1,无法转发 vlan1 的数据包, 这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接 口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网 络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络 中的应用
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下 一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在 使用 冗余连接之前所经历的时间高达 50S
在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失 效 时, 另一个阻塞的上行连接能够立即使用, 这个时间大大缩小到 1-5S 之间, 在 校 园 网 的 特 殊 环 境 之 下 , 能 大 大 增 强 网 络 的 稳 定 性 , 加 快 网 络 收 敛 。
4.5 NAT 的描述及策略路由的实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址, 但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。
NAT 是网络地址翻译技术, 在路由器上起用 NAT 之后, 可以在部私有地址 和 外部公网地址之间做转换。 比如我们可以把网络内部使用的 IP 翻 译成外部 公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应
用 程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实 现策 略。
基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网 络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用 访问 列表时,可根据诸如目标地址,分组长度, IP 协议字段,优先级或端口 号来转发数据流。这样可以指定范围更广泛, 更细致的条件, 并根据这些条件来 决定下 一跳路由器。
4.6 ACL (访问控制列表 )
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表, 我们可以设置允许或拒绝数据包通过路由器, 或者允许或者拒绝具体的某些 端口进行访问和使用, 如果满足条件则执行相应的操作, 放行这个包或者放弃这 个包。 我们通过这些设置来满足实际网络的灵活需求, 从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型 , 他们 分 别是标准访问列表 (Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使 用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地 址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它 可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等, 给我们 网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制 以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器 上 , 而扩展访问控制列表一 般放于近源端的路由器上。
4.7链路聚合 EC(Ethernet Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽 有非常好的 伸缩性,比如可以把 2 个、 3 个、 4 个千兆的链路绑定在一起,使 链路的带宽成 倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能 够互为备份, 保 证链路的冗余性。 在这些千兆以太网交换机中, 最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。 生 成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链 路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障, 启用备份链路。
4.8 VLAN (虚拟局域网 )
VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术, 通过这种 划分, 我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域, 或者 把物理位置上邻近的网络设备划为不同的广播域, 从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口,
则进入相应的 VLAN。 动态 VLAN 则更灵活, 它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN 中, 这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么 在我们的企业网方案中, 我们希望通过使用 VLAN 技术进行划分达到以下 目的:隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效 率。
4.9 WLAN 无线局域网
无线局域网有 4 大特点:移动性:不受时间限制,空间限制,用户可以 在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站; 低成 本:无线网络不再需要大量的工程布线, 同时节省了线路的维护费用; 易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。
结合以上特点,无线网络非常适合图书馆的环境和要求,我们在图书管布 置无线 网络, 并且采用 Infrastucture 这种典型的 WLAN 工作模式, 无线客户 端可以通 过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的移动漫游。
第五章、 网络安全与测试
5.1 完善的安全机制
企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网 络流 量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络, 如端口 安全、端口隔离、 ACL 、端口 ARP 报文合法性检查、基于数据流的带宽限速、 六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的
需求;在汇聚、核心交 换设备设置由硬件实现 ACL,对病毒进行过滤,我们选 用的汇聚、 核心交换设备都支持 SPOH , 所以在使用 ACL 时将不会影响整个交换 机的性能。
1. 硬件实现端口与 MAC 地址和用户 IP 地址的绑定,严格限定端口上用 户接入;
2. 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通 讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决 了因 传统 802.1QVLAN 造成 全网 VID 资源不够的问题,同时又无需利 用安全规则 资源即能达到隔离不同用户以及不同 组用户之间通讯的功能,充 分保护用户隐私;
3. 可实现用户账号、 MAC 地址、 IP 地址、交换机 IP、 交换机端口等六 大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
4. 支持业界特有的 IGMP 源端口检查, 有效杜绝非法组播源播放和大量 占用大量网络带 宽,提高网络安全性;
5. 提供极为有效的 Port Blocking 功能,避免端口受到其它端口发送 的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护 用户 PC 更高效安全 地运行;
6. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制, 增强了设备网 管 的安全性,避免黑客恶意攻击和控制设备;
7. 提供加密传输 Secure Shell(SSH ) ,保证管理设备信息的安全性, 防止黑客攻击和控制设备;
8. 可灵活控制 2-7 层数据报文, 使得任何一个用户 PC 上的任何一种应 用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。
5.2 解决安全威胁
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络 必须要有一整套从用户接入控制, 病毒报文识别到主动抑制的一系列安全控制手 段,才能有效的保证企业网络的稳定运行。
1. 防冲击波病毒
随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力 保 卫校园网络安全。 IDS 只能根据预先定义的策略进行检测,对新的攻击方式 无能 为力, 或者当 IDS 侦测到某终端用户感染病毒后, 只能将相关信息形成报 告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播 到了校园 网络的各个角落。
2. 来自网络内部的恶意或误操作攻击
据相关数字显示, 目前, 网络遭受的恶意攻击 90%以上是来自于内部, 诸 如窃取他人密码等重要信息、 盗打 IP 电话、 校园一卡通金额被盗等事件时 有 发生。 对此, 如果仅仅 倚靠被动的监测方式, 就给事后追查“嫌疑人”的网 管 人员制造了难以逾越的瓶颈。
5.3 ** (虚拟专用网 )
虚拟专用网 (virtual private network)是一种在公用网络上通过创建隧 道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的 作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要 进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过 网络结点时被拦 截(如经过服务器时)但只要拦截者没有密钥。就无法查看包 的内容。
从内容上来说 ** 的连接主要可以分为两个部分, 即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol ) 点对点隧道协议,还有 L2TP(Layer2 Tunneling Protocol)第二 层隧道协议, L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道, 而且由于不 依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等 大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接 通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering Task Force)指定的协议包装之内。 包装使用 IP sec, IKE ,以及身份验证和 加密方法 ,如 MD5, DES , 以 及 SHA。 数 据加密使用的加密数 据协议有
MPPE,IPsec,**d,SSH.. IP sec 可以与 L2TP 一 起使用, 这个时候 L2TP 建 立隧道, IPsec 加密数据,这种形式下 IP sec 运行于传 输模式。
总结与体会
企业在进行网络设计时,必须考虑各种综合的、复杂的因素,进行详细地统 筹规划和集中分析,才能建设一个发挥高效率的、技术先进的、 实用可靠的网络 系统。
网络设计人员通常有能力创建出一个符合要求的企业网络,但当问题出现的 时候, 他们却不能采用构建网络时的思维来解决这些问题。 每一次对网络的升级、 打补丁以及修改都会进一步增加网络的复杂性。 这些问题可能导致网络难以被人 理解,也不易于故障排除。 随着时间的推移, 可能导致网络不如预期的那样运行 良好, 随着网络规模的不断增长而不能很好的扩展, 并且不能达到客户的需求 [2]。 解决这一问题的方法就是采用规范化、系统化的手段来构建企业网络。
自顶向下的网络设计采用了结构化系统分析的思想。结构化系统分析的主要 目标是能够更准确的描述用户需求, 但在实际工作中, 用户的需求常常被设计人 员忽略或理解错误。 另一个目标是将项目分解成更易被维护与修改的模块, 使其 便于管理。
结构化系统分析有下列特性:
1、 网络按照自顶向下的顺序设计。
2、 在设计期间,现有的许多技术和模型可以被用来刻划现有的系统、新的用 户需求和将来的系统结构等特征。
3、 理解数据流量、数据类型以及能够访问或修改数据的进程。
4、 理解企业中各阶层用户的定位和需求。
逻辑模型必须在物理模型之前被开发出来。逻辑模型描述了功能划分和系统 结构的基本组成模块。物理模型描述了设备的特定的技术和实现。
对于大型的网络设计项目,模块化显得十分必要。设计应该依功能划分,从 而使项目更容易管理。
参考文献
[1] 施晓秋主编,《计算机网络实训》, 高等教育出版社 . 。 2004
[2] 刘锦德,刘后铭等,《计算机网络大全》,电子工业出版社。 1997
[3] PC1 一 CIMS 设计组,平果铝业公司 PGL — CIMS 初步设计报告。 1997
[4]勾学荣,网络教育现状和关键技术 [J],中国数据通信, 2001, (2):58’ 64
[5]程建钢,韩锡斌等,清华教育在线网络教育支撑平台的研究与设计 [J]
中国远程教育, 2002
[6]余胜泉,何克抗,网络教学平台的体系结构与功能【 J 】,中国电化教育,
2001
[7]杨宗凯,吴砥,刘清堂,网络教育标准与技术 [M],北京:清华大学出
版社, 2003
[8]汪琼,网上教学支撑平台现状分析 [J],电化教育研究, 2000
31
企业网络设计方案
一、用户背景信息
为了加快某集团的信息化建设,新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
, 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息
化;
, 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务
水平;
, 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;
, 在整个企业集团内实现财务电算化;
, 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系
统;
在网络设计方案中,
二、用户需求分析结果
, 要求网络设备集成的安全性(本方案设计中可以涉及专门的防火墙、**
或IDS产品,但在实验配置时安全是指交换机、路由器等网络基础设施产
品中的集成安全,不涉及其它产品),网络平台需要提供防止非法的ARP
攻击、DOS攻击、非法DHCPServer的能力。
, 实现内部网络按用户、功能进行VLAN划分;
, 分布式三层架构,启用三层路由功能及相应访问控制;
, 病毒攻击防护;出口实现NAT地址转换,发布对外的WEB服务;
, 支持10GE或将来平滑过渡到10GE;
, 要求对网络主干进行流量监控;
, 各个建筑物都有1对8芯的单模光纤连接到主建筑物(即网络中心所在
地),所有建筑物到主建筑物之间的距离在600M,,2000M之间;每个
建筑物内部都有适当的内部布线,以实现所需连接; 三、方案要求
(,)方案设计要求
o 整体结构
o 设备选型
o 网络拓扑图
4、IP地址规划
(2)试验报告实施文档
1、整体结构,根据提供的硬件设备搭建模拟的网络环境描述; 2、试验配置,包括具体配置文档;
3、验证,测试验证方法
目 录
一、 需求分析 .................................................................................................... 4
1.1 工程项目概况 ............................................................................................ 4
1.2 信息点分布 ................................................................................................ 5
1.3 需求分析 .................................................................................................... 6
二、 方案设计原则 ............................................................................................ 7
三、 网络方案设计 ............................................................................................ 9
3.1网络拓扑结构介绍 ............................................................................................ 9
3.2网络拓扑图 ...................................................................................................... 10
3.3.1骨干核心层网络设计 ............................................................................. 11
3.3.2核心层网络设计 ..................................................................................... 12
3.3.3汇聚层网络设计 ..................................................................................... 12
3.3.4接入层网络设计 ..................................................................................... 12
3.3.5广域网互联设计 ..................................................................................... 13
3.3.6冗余/负载均衡设计 ................................................................................ 13
3.3.7线路冗余 ................................................................................................ 14
3.3.8网络设备冗余/负载均衡设计 ................................................................ 15
3.3.9服务器冗余设计 ..................................................................................... 16
3.310 IP地址规划原则 ................................................................................... 17 3.4 方案特点 ......................................................................................................... 20
四、 网络技术选型 .......................................................................................... 21
4.1 路由协议——OSPF................................................................................. 21
4.2 端口安全与认证(基于 802.1X) .......................................................... 22
五、 网络安全及管理机制 ............................................................................... 28
5.1 完善的安全机制....................................................................................... 28
5.2 解决安全威胁 .......................................................................................... 30
5.3 ** (虚拟专用网) ................................................................................... 30
六、 网络设备选型 .......................................................................................... 31
6.1 核心层设备:RG-S6810E ..................................... 错误~未定义书签。25
6.2 汇聚层设备:STAR-S4909 ................................... 错误~未定义书签。26
6.3 接入层设备:STAR-S2150G、STAR-S1926G+ .. 错误~未定义书签。27
七、 方案的扩展性考虑 ................................................................................... 32
前 言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性, 以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大 推力,尤其是作为国民经济信息化基础的企业信息化,当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择!
随着信息时代的到来,企业的生存和竞争环境发生了根本性的变化。对于大型企业而言,信息化无论是作为战略手段还是战术手段,在企业经营中发挥着举足轻重的作用。
随着近年来企业信息化建设的深入,企业的运作越来越融入计算机网络,企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。
一、 需求分析
1.1 工程项目概况
××集团为了加快信息化建设,新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代
化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
1、 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息
化;
2、 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服
务水平;
3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布;
4、 在整个企业集团内实现财务电算化;
5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系
统;
具体要求:
, WWW服务
, E-mail、FTP服务
, 网上多媒体教学,能提供视频点播服务
, 集团内行政管理
, 拨号上网服务
1.2 信息点分布
主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。详细分布如表1所示。
地点 信息点 备注
网络中心 40 需保证速度、流量和可靠性
生产部 150 需保证速度、流量和可靠性
账务部 120 需保证速度、流量和安全性
职工宿舍 1000 需保证速度和流量
医疗卫生 10 需保证速度和可靠性
销售部 100
综合设计 30
表1 主要信息点分布
1.3 需求分析
为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:
1)现代大型企业网络应具有更高的带宽,支持10GE或将来平滑过渡到10GE,更强大的性能,以满足用户日益增长的通讯需求;
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可见,万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。
2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行;
随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。
3)现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求;
大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻,正如八车道的长安街也经常堵车一样,所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。
4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失;
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
5)现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要;
当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力,有时甚至是不可能的任务,所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
二、 方案设计原则
本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该中学的网络系统。
从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:
, 实用性和集成性
系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。
, 标准性和开往性
只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准
的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。
, 先进性和安全性
系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。
, 成熟性和高可靠性
作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。
可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。
, 可维护性和可管理性
整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。
在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生
故障时能提供有效手段及时进行恢复,尽量减少损失。
, 可扩充性和兼容性
网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。
为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块
三、 网络方案设计
3.1网络拓扑结构介绍
在此次××集团大型企业网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。 层次化模型的好处:
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的
管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
3.2网络拓扑图
网络拓扑图如图1所示。
图1 网络拓扑图
3.3 网络设计
3.3.1骨干核心层网络设计
大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型集团企业的用户数量众多,业务复杂,QOS要求较高的特点,在本方案中采用神州数码的DCRS-7508高密度多业务核心路由交换机组建高性能的核心网络平台。
神州数码 DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和可靠性。
7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计,DCRS-
超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。
DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块、风扇等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度, 从而提供运营商级的可靠性。 DCRS-7500系列交换机的一大特色是管理模块均带有业务接口,使得所有的插槽均为有效的业务插槽,从而大大提高了端口密度和插槽利用率。
在骨干核心层中,我们采用三台神州数码DCRS-7508核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层环网中可以采用VRRP(虚拟路由器冗余协议)。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网
络高效处理大集中数据提供了可靠的保障。
3.3.2核心层网络设计
大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器,核心交换机来组建,但这种方式受限于交换机的性能,在提供MPLS **的业务能力方面较弱,不适合大型企业网络的建设需求,同时现在的大型企业办公网络具有城域网的特点,网络发展具有网络扁平化的发展方向,因此本方案骨干层网络设备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备,DCRS-7508具有强大的业务和路由处交换理能力,能提供如MPLS **、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。
3.3.3汇聚层网络设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。
3.3.4接入层网络设计
以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。
-2026B智能宽带接入交换机是能满足高安全、多业务承载、高性能的 DCRS
网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。
3.3.5广域网互联设计
针对于大型企业需要良好的出口网关设备,我们建议用户选用神州数码DCFW-1800S-L。
神州数码DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G防火墙内置2个10/100/1000M自适应以太网电口,具备6个SFP扩展插槽,最多可扩展至8个千兆接口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。
3.3.6冗余/负载均衡设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中
考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。
3.3.7线路冗余
在企业网骨干核心层,企业网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对三台企业网骨干核心层设备进行环行双向备份,并使
RRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。用业界领先的V
以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。
GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍
链路聚合:
可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高
冗余保证:
链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。
综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。
在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。
3.3.8网络设备冗余/负载均衡设计
当前,无论在企业网、园区网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分,
其数据流量和计算强度之大,使得单一设备根本无法承担。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。
在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了三台锐捷网络的RG-S8610高密度多业务IPV6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块,我们都采用了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块, 我采用了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均衡。
在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层
的双核心配置。
双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。
3.3.9服务器冗余设计
企业网中服务器、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此,我们采用的是双机热备技术 ,此技
术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。
Server 1 Server 2
服务器双机热备技术
具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。
本网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。
3.310 IP地址规划原则
IP地址构成了整个Internet的基础,IP地址资源是整个Internet的基本核心资源,IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。
我们在对企业园区网IP地址编址设计和分配利用时,遵循了以下几个原则:
1)、自治:整个园区网络网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。
2)、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时,为了提高地址分配效率和地址利用率,我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-Down Network Design)方法。
3)、可持续性:考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。
4)、可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。
5)、尽量节约IPv4地址:由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。
6)、闲置IP地址回收利用:对于已分配出去的静态IP地址进行定期追踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。
此次方案的设计,我们决定采用一个内部私有A类地址(10.0.0.0)对企业园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对ip地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。
网段描述 所需的IP地址数
骨干核心层链路 5(2个用于拓展备份)
集团总部 1000
生产矿 500
建井处 500
机械厂 1000
大型机/服务器群 500
企业VOIP语音系统 2000
VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。 VLSM的优点
?对IP地址更为有效的使用
?应用路由归纳的能力更强
所以我们采取vlsm对网络进行编址,以达到节约ip地址,能够使用路由汇总的目的。
首先采用一个A类网址对园区网主体结构进行编址,至上而下的设计思路有利于设计的最后成型和网络的健壮性。
其次,在语音电话系统中,每一个ip电话需要一个ip地址以及诸如子网掩码、默认网关等的相关信息。事实上,这意味着一个组织需要指派两倍于ip电话的ip地址给当前所有的pc用户,这个由DHCP提供。我们使用私有遍址的IP电话作为语音电话遍址方案。
私有遍址IP电话:
10.2.8.3 172.16.8.5 IP电话使用172.16.0.0网络
——————————— IP电话+PC在同一交换机端口上 /
/
/
/
—————————,
最后经过我们的计算,将各部门ip地址分配如下表:
IP地址网段 VLAN编号 默认网关
财务部 192.168.10.0/24 10 192.168.0.254/24 生产部 192.168.20.0/24 20 192.168.0.254/24 销售部 192.168.30.0/24 30 192.168.0.254/24 行政部 192.168.40.0/24 40 192.168.0.254/24
用户地址与VLAN划分
Web服务器IP地址: 192.168.100.1/24 FTP服务器IP地址: 192.168.100.2/24 路由器出口IP地址: 222.18.44.3/24
3.4 方案特点
本方案很好地解决了用户要求的四个问题,即带宽问题、安全问题、管理计
费问题、灵活扩展问题。
, 带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备
份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。
, 安全问题:校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有
网络病毒和攻击的防护能力,并且防DOS/DDOS攻击,因而可以在不同
的环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。
, 管理计费问题: 统一认证,针对校园网开放式的信息点造成的安全隐
MAC、LAVN ID、患,全网接入采用统一认证技术(可以进行账号、IP,
交换机IP和交换机端口六要素灵活捆绑),保证了只有合法授权的用户
才能使用网络或外部网络,而且还能对网络的使用情况进行审计。
, 灵活扩展问题:核心层使用的路由交换机DCRS-7508有良好的扩展性,
可以为将来的网络实现轻松扩展。
四、 网络技术选型
4.1 路由协议——OSPF
在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。
OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。目前广为使用的是OSPF第二版,最新标准为RFC2328。
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
4.2 端口安全与认证(基于 802.1X)
a.端口安全
交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC 地址访 问数,或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换机采取的策 略。
配置举例
端口安全性:
>enable
#configure terminal
(config)#interface f0/1
-if)#swithport port-security
-if)#swithport port-security maximum ,
-if)#swithport port-security mac-address x.x.x.x
(该端口的mac地
址 )
-if)#swithport port-security violation shutdown (遇到其他端口则关闭,但可以人工打开)
保护端口:
将接入层交换机各宿舍接口设置为保护口,保护口之间间互相无法通迅,保护口与非保护口之间可以正常通迅:
Switch(config)#interface Ethernet 0/1
Switch(config)#switchport protected
b.基于 802.1x 的端口认证
基于端口的认证就是将 AAA 认证与端口保护相结合,默认情况下。一个支持802.1x 的交换机端口处于未授权状态,除了和 802.1x 有关的数据,其他数据都不能通过该端口,只有客户的交换机创建了一个 802.1x 的会话,客户被授权访EAPOL:Extensible Authentication Protocol OVER LAN 局域网
份认证。 上的可扩展身
在端口处于未授权状态下,客户端只能使用 EAPOL 与交换机通信。
4.3 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上 实现负载均衡等高级交换特性。
VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。
如下例:
-if)#vrrp 5 ip 192.168.2.5
-if)# vrrp 6 ip 192.168.2.6
A: -if)#vrrp 5 priority 200
B: -if)#vrrp 6 priority 200
-if)#vrrp 5 authen name
-if)#vrrp 6 authen name
见图如下:
备份(100) 活动(200) Mac0000.5e00.0105 Mac0000.5e00.0105 (A) (B) 192.168.2.5 192.168.2.5 活动(200) 备份(100) Mac0000.5e00.0106 Mac0000.5e00.0106 192.168.2.6 192.168.2.6
4.4 RSTP、MSTP原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。
本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接
上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网口
络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S
在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 校 园 网 的 特 殊 环 境 之 下 , 能 大 大 增 强 网 络 的 稳 定 性 , 加 快 网 络 收 敛 。
4.5 NAT 的描述及策略路由的实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应
用 程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。
基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用
列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口访问
号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。
4.6 ACL (访问控制列表)
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由器上。
4.7 链路聚合 EC(Ethernet Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成 倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4
组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生组链路聚合,每
成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
4.8 VLAN (虚拟局域网)
VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种 划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者 把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口,
则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN 技术进行划分达到以下 目的:
隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
4.9 WLAN 无线局域网
无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站; 低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用; 易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。
结合以上特点,无线网络非常适合图书馆的环境和要求,我们在图书管布置无线 网络,并且采用 Infrastucture 这种典型的 WLAN 工作模式,无线客户端可以通 过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的移动漫游。
五、 网络安全及管理机制
5.1 完善的安全机制
企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播和网络流 量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、ACL、端口 ARP 报文合法性检查、基于数据流的带宽限速、六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的
需求;在汇聚、核心交 换设备设置由硬件实现 ACL,对病毒进行过滤,我们选用的汇聚、 核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。
1( 硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;
2( 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因 传统 802.1QVLAN 造成 全网 VID 资源不够的问题,同时又无需利用安全规则 资源即能达到隔离不同用户以及不同 组用户之间通讯的功能,充分保护用户隐私;
3( 可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
4( 支持业界特有的 IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带 宽,提高网络安全性;
5( 提供极为有效的Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC 更高效安全 地运行;
6( 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管 的安全性,避免黑客恶意攻击和控制设备;
7( 提供加密传输Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
8( 可灵活控制 2-7 层数据报文,使得任何一个用户 PC 上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。 5.2 解决安全威胁
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
1.防冲击波病毒
随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保 卫校园网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能 为力,或者当 IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了校园 网络的各个角落。
2.来自网络内部的恶意或误操作攻击
据相关数字显示,目前,网络遭受的恶意攻击 90,以上是来自于内部, 诸如窃取他人密码等重要信息、盗打 IP 电话、校园一卡通金额被盗等事件时 有
倚靠被动的监测方式,就给事后追查“嫌疑人”的网 管发生。对此,如果仅仅
人员制造了难以逾越的瓶颈。
5.3 ** (虚拟专用网)
虚拟专用网(virtual private network)是一种在公用网络上通过创建隧
道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦 截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。
从内容上来说 ** 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling
Protocol) 点对点隧道协议,还有 L2TP(Layer2 Tunneling Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering
Task Force)指定的协议包装之内。 包装使用 IP sec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。 数据加密使用的加密数据协议有 MPPE,IPsec,**d,SSH.. IP sec 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPsec 加密数据,这种形式下 IP sec 运行于传 输模式。
六、 网络设备选型
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。因为学校存在大量的语音和视频传输。据此,考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离。
七、 方案的扩展性考虑
本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界
企业网络设计方案
广州xxxxx学院
题目__XXXX公司网络安全设计方案___
所 在 系 信息工程系 专业班级 学生姓名 xxxx 学生学号 xx 指导老师 xxxxxxx
网络安全设计方案
目录
一、 需求分析 ........................................................................... 7 1.1 工程项目概况................................................................... 7 1.2 信息点分布 ....................................................................... 7 1.3 需求分析 ........................................................................... 8 二、 方案设计原则................................................................... 9 三、 网络方案设计................................................................. 12 3.1网络拓扑结构介绍 .............................................................. 12 3.2网络拓扑图 .......................................................................... 13
3.3.1骨干核心层网络设计 ................................................................................ 13
3.3.2核心层网络设计 ....................................................................................... 14
3.3.3汇聚层网络设计 ....................................................................................... 15
3.3.4接入层网络设计 ....................................................................................... 15
3.3.5广域网互联设计 ....................................................................................... 16
3.3.6冗余/负载均衡设计................................................................................... 16
3.3.7线路冗余.................................................................................................. 17
3.3.8网络设备冗余/负载均衡设计..................................................................... 18
3.3.9服务器冗余设计 ....................................................................................... 19
3.310 IP地址规划原则 ..................................................................................... 20 3.3 方案特点 ............................................................................. 23 3.4工程预算 .............................................................................. 24 四、 网络技术选型................................................................. 24 4.1 路由协议——OSPF ...................................................... 24 4.2 端口安全与认证(基于 802.1X) ............................... 25 五、 网络安全及管理机制..................................................... 32 5.1 完善的安全机制............................................................. 32
2 / 35
网络安全设计方案
5.2 解决安全威胁................................................................. 33 5.3 ** (虚拟专用网)......................................................... 34 六、 网络设备选型................................................................. 35 七、 方案的扩展性考虑......................................................... 35
3 / 35
网络安全设计方案
一、 公司背景:
二、 威海惠光电子系统工程有限公司是股份有限公司,成立于2000年,
是威海市较早从事信息系统集成、硬件销售、软件开发与IT服务的
综合性公司,注册资金208万元人民币,公司现拥有员工30多人,
其中专业技术人员占80%以上,本科以上学历人员占70%以上。公司
具备从方案设计、网络布线、办公设备、信息系统集成、软件开发及
IT服务等面向用户的综合服务能力。
创立伊始,立足于信息产业,致力于高科技产品的开发和信息系统集成与服务工作,为政府、教育、金融、证券、企业提供优质的解决方案及增值服务。
在技术竞争日益激烈的今天,公司不断加大对高技术人才的引进及培训工作,为他们提供优质的工作环境、创造学习的机会。全面提高人才素质,为公司业务的迅速发展提供了需要的人才。建立了一支专业技术能力强、素质水平高的技术队伍。这样才能充分的根据各行业特点,充分了解用户需求,跟踪国际最新技术潮流,为用户提供优质、可靠、性价比高的解决方案,完全从用户的角度出发,达到物尽其用的目的,节省投资。 公司拥有一批经验丰富的高级技术人员、优秀系统集成方案设计及施工、认证工程师和专业素质管理人员,他们都经过知名厂家及专业培训机构的培训,具有丰富的项目管理与实施、技术服务经验。分别通过了IBM、HP、DELL、联想、清华同方、启明星辰、3COM、AMP、FLUKE、MICROSOFT、NOVELL、安博士、金山的培训和认证,实行认证专家服
4 / 35
网络安全设计方案
务。能够为客户提供网络规化设计、系统集成方案资询、工程实施、应用系统开发和售后技术服务与紧急救援等一系列完整的客户系统解决方案。近几年来公司以其出色的业绩在同行业中令人瞩目。
二、用户背景信息
为了加快某集团的信息化建设,新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
, 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息
化;
, 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服务
水平;
, 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布; , 在整个企业集团内实现财务电算化;
, 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系
统;
在网络设计方案中,
三、用户需求分析结果
, 要求网络设备集成的安全性(本方案设计中可以涉及专门的防火墙、**
或IDS产品,但在实验配置时安全是指交换机、路由器等网络基础设施
产品中的集成安全,不涉及其它产品),网络平台需要提供防止非法的
ARP攻击、DOS攻击、非法DHCPServer的能力。
5 / 35
网络安全设计方案
, 实现内部网络按用户、功能进行VLAN划分; , 分布式三层架构,启用三层路由功能及相应访问控制; , 病毒攻击防护;出口实现NAT地址转换,发布对外的WEB服务; , 支持10GE或将来平滑过渡到10GE;
, 要求对网络主干进行流量监控;
, 各个建筑物都有1对8芯的单模光纤连接到主建筑物(即网络中心所在
地),所有建筑物到主建筑物之间的距离在600M,,2000M之间;每个
建筑物内部都有适当的内部布线,以实现所需连接; 四、方案要求
(,)方案设计要求
o 整体结构
o 设备选型
o 网络拓扑图
4、IP地址规划
(2)试验报告实施文档
1、整体结构,根据提供的硬件设备搭建模拟的网络环境描述; 2、试验配置,包括具体配置文档;
3、验证,测试验证方法
6 / 35
网络安全设计方案
一、 需求分析
1.1工程项目概况
××集团为了加快信息化建设,新的集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心,以现代网络技术为依托,技术先进、扩展性强,将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来,实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施,为了确保这些关键应用系统的正常运行、安全和发展,系统必须具备如下的特性:
1、 采用先进的网络通信技术完成集团企业网的建设,实现各分公司的信息
化;
2、 在整个企业集团内实现所有部门的办公自动化,提高工作效率和管理服
务水平;
3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布; 4、 在整个企业集团内实现财务电算化;
5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系
统;
具体要求:
, WWW服务
, E-mail、FTP服务
, 网上多媒体教学,能提供视频点播服务
, 集团内行政管理
, 拨号上网服务
1.2信息点分布
主要信息点集中在生产部、账务部、网络中心、职工宿舍与医疗卫生等部门。详细分布如表1所示。
7 / 35
网络安全设计方案
地点 信息点 备注
网络中心 40 需保证速度、流量和可靠性
生产部 150 需保证速度、流量和可靠性
账务部 120 需保证速度、流量和安全性
职工宿舍 1000 需保证速度和流量
医疗卫生 10 需保证速度和可靠性
销售部 100
综合设计 30
表1 主要信息点分布
1.3需求分析
为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方面:
1)现代大型企业网络应具有更高的带宽,支持10GE或将来平滑过渡到10GE,更强大的性能,以满足用户日益增长的通讯需求;
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可见,万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要。
2)现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行;
随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件的冗余备份,还要从网络设备整体设计架构、
8 / 35
网络安全设计方案
处理引擎种类等多方面去考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。
3)现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求;
大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻,正如八车道的长安街也经常堵车一样,所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。
4)现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少企业的经济损失;
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
5)现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益扩大,维护工作更加复杂的需要;
当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力,有时甚至是不可能的任务,所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
二、 方案设计原则
本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该中学的网络系统。
从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下
9 / 35
网络安全设计方案
原则:
, 实用性和集成性
系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。
, 标准性和开往性
只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。
, 先进性和安全性
系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。
, 成熟性和高可靠性
作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。
可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络
10 / 35
网络安全设计方案
环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。
, 可维护性和可管理性
整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。
在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。 , 可扩充性和兼容性
网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。
为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块
11 / 35
网络安全设计方案
三、 网络方案设计
3.1网络拓扑结构介绍
在此次××集团大型企业网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。
层次化模型的好处:
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
1、节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。
2、易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。
3、易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。
4、易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。
12 / 35
网络安全设计方案
3.2网络拓扑图
网络拓扑图如图1所示。
图1 网络拓扑图
3.3 网络设计
3.3.1骨干核心层网络设计
大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型集团企业的用户数量众多,业务复杂,QOS要求较高的特点,在本方案中采用神州数码的DCRS-7508高密度多业务核心路由交换机组建高性能的核心网络平台。
神州数码 DCRS-7500系列交换机是具有运营商级容错能力的高性能大型网络核心交换机,可为高校和运营商提供基于领先技术的卓越性能和可靠
13 / 35
网络安全设计方案
性。DCRS-7500系列交换机专为发挥万兆、千兆以太网潜在的强大交换能力而设计,超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力,确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。
DCRS-7500系列交换机具有三种型号,包括15插槽的DCRS-7515、8插槽的DCRS-7508和4插槽的DCRS-7504,除DCRS-7515专用的大功率电源模块外,该系列交换机的所有管理模块、交换模块以及电源模块都可互换使用,而且管理模块、电源模块、风扇等还可实现冗余备份,温度传感器可以随时监控各个部件的工作温度, 从而提供运营商级的可靠性。 DCRS-7500系列交换机的一大特色是管理模块均带有业务接口,使得所有的插槽均为有效的业务插槽,从而大大提高了端口密度和插槽利用率。
在骨干核心层中,我们采用三台神州数码DCRS-7508核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,实现链路的安全保障,本方案骨干核心层环网中可以采用VRRP(虚拟路由器冗余协议)。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。
3.3.2核心层网络设计
大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器,核心交换机来组建,但这种方式受限于交换机的性能,在提供
14 / 35
网络安全设计方案
MPLS **的业务能力方面较弱,不适合大型企业网络的建设需求,同时现在的大型企业办公网络具有城域网的特点,网络发展具有网络扁平化的发展方向,因此本方案骨干层网络设备采用DCRS-7508核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备,DCRS-7508具有强大的业务和路由处交换理能力,能提供如MPLS **、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。
3.3.3汇聚层网络设计
汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用神州数码的DCRS-7504交换机多层交换机作为汇聚层面的交换机。DCRS-7504交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。
3.3.4接入层网络设计
以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。
15 / 35
网络安全设计方案
DCRS-2026B智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。
3.3.5广域网互联设计
针对于大型企业需要良好的出口网关设备,我们建议用户选用神州数码DCFW-1800S-L。
神州数码DCFW-1800E-G2防火墙专为千兆位流量的网络服务运营商,大型数据中心等骨干网络而设计, 采用2U专用千兆安全平台,完全模块化可扩展结构,具有热插拔特性的冗余部件为您提供最大的不间断运行时间。神州数码DCFW-1800E-G防火墙内置2个10/100/1000M自适应以太网电口,具备6个SFP扩展插槽,最多可扩展至8个千兆接口,接口模块类型支持单模、多模光纤,千兆电口,充分满足您的定制需求。
3.3.6冗余/负载均衡设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某
16 / 35
网络安全设计方案
条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。
3.3.7线路冗余
在企业网骨干核心层,企业网络边界拓扑结构由于采用了环形多机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对三台企业网骨干核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。
GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍
链路聚合:
可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高
冗余保证:
链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。
17 / 35
网络安全设计方案
综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。
在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。
3.3.8网络设备冗余/负载均衡设计
当前,无论在企业网、园区网还是在广域网如Internet上,业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。
在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的骨干核心层上。我们采用了三台锐捷网络的RG-S8610高密度多业务IPV6核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层的每个区块,我们都采用了两台锐捷网络的RG-S8606度多业务IPV6核心路由交换机做到冗余与负载均衡。在汇聚层的每个区块, 我采用了两台锐捷网络的RG-S5750交换机多层交换机做到冗余与负载均衡。
在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的
18 / 35
网络安全设计方案
时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。
双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。
3.3.9服务器冗余设计
企业网中服务器、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定
19 / 35
网络安全设计方案
了其较大的被访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此,我们采用的是双机热备技术 ,此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。
Server 1 Server 2
服务器双机热备技术
具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,DB服务器A与DB服务器B先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高效性。
本网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,CATALOG等应用服务器,NEWS,MAIL等通讯服务器及多媒体服务器等。
网络的成本估计:29万左右
3.310 IP地址规划原则
20 / 35
网络安全设计方案
IP地址构成了整个Internet的基础,IP地址资源是整个Internet的基本核心资源,IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。
我们在对企业园区网IP地址编址设计和分配利用时,遵循了以下几个原则:
1)、自治:整个园区网络网络被划分成几个大的自治区域,每个大自治区域中又被划分成几个小的自治区域。
2)、有序:我们按照自治原则将网络进行逻辑划分后,就根据地域、设备分布及区域内用户数量来进行子网规划。同时,我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时,为了提高地址分配效率和地址利用率,我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序,即采用了业界领先的自顶向下网络设计(Top-Down Network Design)方法。
3)、可持续性:考虑到园区内网络用户数将持续高速增长,网络所要承载的业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充分考虑到了这些因素,为网络的每个部分留有部分地址冗余,这样保证网络的可持续发展。
4)、可聚合:互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及,在路由表急剧膨胀情况下,可聚合原则是网络地址分配时所必须遵守的最高原则,可聚合原则要求在进行地址规划时,应提供足够的路由冗余功能。
5)、尽量节约IPv4地址:由于IPv4地址越来越少,所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。
6)、闲置IP地址回收利用:对于已分配出去的静态IP地址进行定期追
21 / 35
网络安全设计方案
踪管理,对长时间闲置的IP地址可经过确认后回收重复利用。
此次方案的设计,我们决定采用一个内部私有A类地址(10.0.0.0)对企业园区的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对ip地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。
网段描述 所需的IP地址数
骨干核心层链路 5(2个用于拓展备份)
集团总部 1000
生产矿 500
建井处 500
机械厂 1000
大型机/服务器群 500
企业VOIP语音系统 2000
VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。 VLSM的优点
?对IP地址更为有效的使用
?应用路由归纳的能力更强
所以我们采取vlsm对网络进行编址,以达到节约ip地址,能够使用路由汇总的目的。
首先采用一个A类网址对园区网主体结构进行编址,至上而下的设计思路有利于设计的最后成型和网络的健壮性。
22 / 35
网络安全设计方案
最后经过我们的计算,将各部门ip地址分配如下表:
IP地址网段 VLAN编号 默认网关
财务部 192.168.10.0/24 10 192.168.0.254/24
生产部 192.168.20.0/24 20 192.168.0.254/24
销售部 192.168.30.0/24 30 192.168.0.254/24
行政部 192.168.40.0/24 40 192.168.0.254/24
用户地址与VLAN划分
Web服务器IP地址: 192.168.100.1/24
FTP服务器IP地址: 192.168.100.2/24
路由器出口IP地址: 222.18.44.3/24 3.3 方案特点
本方案很好地解决了用户要求的四个问题,即带宽问题、安全问题、管理计费问题、灵活扩展问题。
, 带宽问题:使用万兆互连双核心结构,使网络核心设备不但可以互相备
份,而且有效的减轻流量负荷,使设备时刻保持稳定和高效。 , 安全问题:校园网核心层、汇聚层、楼层汇聚层所使用的产品全部具有
网络病毒和攻击的防护能力,并且防DOS/DDOS攻击,因而可以在不同的
环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。 , 管理计费问题: 统一认证,针对校园网开放式的信息点造成的安全隐
患,全网接入采用统一认证技术(可以进行账号、IP,MAC、LAVN ID、
交换机IP和交换机端口六要素灵活捆绑),保证了只有合法授权的用户
才能使用网络或外部网络,而且还能对网络的使用情况进行审计。 , 灵活扩展问题:核心层使用的路由交换机DCRS-7508有良好的扩展性,
可以为将来的网络实现轻松扩展。
23 / 35
网络安全设计方案
3.4工程预算
1设备购买预算
锐捷网络RG-WALL 1600S防火墙:12.3万元
RG-WG系列锐捷 WebGuard :10万元
2项目开展预算
硬件安装与测试预算:7.3万元
软件系统的安装与测试预算:6万元
项目维护预算:6.2万元
项目其他预算:4万元
3项目的总预算
该项目的开展总预算为45.8万元,超出预算范围为5.3万元以下。
四、 网络技术选型
4.1 路由协议——OSPF
在网络骨干核心层和核心层以及汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。
OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。目前广为使用的是OSPF第二版,最新标准为RFC2328。
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用
24 / 35
网络安全设计方案
于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协
议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,
在目前应用的路由协议中占有相当重要的地位。
4.2 端口安全与认证(基于 802.1X)
a.端口安全
交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC 地址
访 问数,或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换
机采取的策 略。
配置举例
端口安全性:
>enable
#configure terminal
(config)#interface f0/1
(config-if)#swithport port-security ( config-if)#swithport port-security maximum ,
(config-if)#swithport port-security mac-address x.x.x.x (该端口的mac地址 )
(config-if)#swithport port-security violation shutdown (遇到其他端口则关闭,但可以人工打开)
保护端口:
将接入层交换机各宿舍接口设置为保护口,保护口之间间互相无法通
迅,保护口与非保护口之间可以正常通迅:
Switch(config)#interface Ethernet 0/1
Switch(config)#switchport protected
25 / 35
网络安全设计方案
b.基于 802.1x 的端口认证
基于端口的认证就是将 AAA 认证与端口保护相结合,默认情况下。
一个支持802.1x 的交换机端口处于未授权状态,除了和 802.1x 有关的数
据,其他数据都不能通过该端口,只有客户的交换机创建了一个 802.1x 的
会话,客户被授权访EAPOL:Extensible Authentication Protocol OVER
LAN 局域网上的可扩展身 份认证。
在端口处于未授权状态下,客户端只能使用 EAPOL 与交换机通信。
4.3 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过
定义 不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可
以及时的由 备分来实现路由器来替代,从而保持通讯的连续性和可靠性。
并可以在该协议上 实现负载均衡等高级交换特性。
VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。
如下例:
(-if)#vrrp 5 ip 192.168.2.5
-if)# vrrp 6 ip 192.168.2.6
A: -if)#vrrp 5 priority 200
B: -if)#vrrp 6 priority 200
-if)#vrrp 5 authen name
-if)#vrrp 6 authen name
26 / 35
网络安全设计方案
见图如下:
备份(100) 活动(200) Mac0000.5e00.0105 Mac0000.5e00.0105 (A) (B) 192.168.2.5 192.168.2.5 活动(200) 备份(100) Mac0000.5e00.0106 Mac0000.5e00.0106 192.168.2.6 192.168.2.6
4.4 RSTP、MSTP原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能 外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而 要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。
本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
27 / 35
网络安全设计方案
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用 冗余连接之前所经历的时间高达 50S
在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 校 园 网 的 特 殊 环 境 之 下 , 能 大 大 增 强 网 络 的 稳 定 性 , 加 快 网 络 收 敛 。
4.5 NAT 的描述及策略路由的实现
28 / 35
网络安全设计方案
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和 外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻 译成外部公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用 程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。
基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络 地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。
4.6 ACL (访问控制列表)
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分 别是标准访问列表(Standard access lists)和扩展访问列表
29 / 35
网络安全设计方案
(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的 情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体 的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而 精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细 的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的 管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一 般放于近源端的路由器上。
4.7 链路聚合 EC(Ethernet Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的 伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成 倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保 证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
30 / 35
网络安全设计方案
4.8 VLAN (虚拟局域网)
VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种 划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者 把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在我们的企业网方案中,我们希望通过使用VLAN 技术进行划分达到以下 目的:
隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
4.9 WLAN 无线局域网
无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站; 低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用; 易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。
31 / 35
网络安全设计方案
结合以上特点,无线网络非常适合图书馆的环境和要求,我们在图书管布置无线 网络,并且采用 Infrastucture 这种典型的 WLAN 工作模式,无线客户端可以通 过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的移动漫游。
五、 网络安全及管理机制
5.1 完善的安全机制
企业楼宇交换机通过内在的多种安全机制可有效防止和控制病毒传播
量攻击, 控制非法用户使用网络,保证合法用户合理化使用网络,和网络流
如端口安全、端口隔离、ACL、端口 ARP 报文合法性检查、基于数据流的带宽限速、六元素绑定等等, 满足企业网加强对访问者进行控制、限制非授权用户通信的需求;在汇聚、核心交 换设备设置由硬件实现 ACL,对病毒进行过滤,我们选用的汇聚、 核心交换设备都支持SPOH,所以在使用ACL 时将不会影响整个交换机的性能。
1( 硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;
2( 通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端口,即解决了因 传统 802.1QVLAN 造成 全网 VID 资源不够的问题,同时又无需利用安全规则 资源即能达到隔离不同用户以及不同 组用户之间通讯的功能,充分保护用户隐私;
3( 可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口
32 / 35
网络安全设计方案
等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
4( 支持业界特有的 IGMP 源端口检查,有效杜绝非法组播源播放和大量占用大量网络带 宽,提高网络安全性;
5( 提供极为有效的Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC 更高效安全 地运行;
6( 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管 的安全性,避免黑客恶意攻击和控制设备;
7( 提供加密传输Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
8( 可灵活控制 2-7 层数据报文,使得任何一个用户 PC 上的任何一种应用报文通过网络都能得到有效控制,充分保障了网络的安全和合理化使用。
5.2 解决安全威胁
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
1.防冲击波病毒
33 / 35
网络安全设计方案
随着蠕虫病毒等的攻击手段呈多元化发展,单一的防护措施已经无能为力保 卫校园网络安全。IDS 只能根据预先定义的策略进行检测,对新的攻击方式无能 为力,或者当 IDS 侦测到某终端用户感染病毒后,只能将相关信息形成报告通知 网管人员,等待处理。然而,此时受感染的用户可能已经通过网络散播到了校园 网络的各个角落。
2.来自网络内部的恶意或误操作攻击
据相关数字显示,目前,网络遭受的恶意攻击 90,以上是来自于内部, 诸如窃取他人密码等重要信息、盗打 IP 电话、校园一卡通金额被盗等事件时 有发生。对此,如果仅仅 倚靠被动的监测方式,就给事后追查“嫌疑人”的网 管人员制造了难以逾越的瓶颈。
5.3 ** (虚拟专用网)
虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧 道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所 以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦 截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。
从内容上来说 ** 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point
Tunneling Protocol) 点对点隧道协议,还有 L2TP(Layer2 Tunneling
Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一
34 / 35
网络安全设计方案
般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Engineering Task Force)指定的协议包装之内。 包装使用 IP sec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。 数据加密使用的加密数据协议有 MPPE,IPsec,**d,SSH.. IP sec 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPsec 加密数据,这种形式下 IP sec 运行于传 输模式。
六、 网络设备选型
校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层主要是实现骨干网络之间的优化传输,骨干层设计的重点是冗余能力、可靠性和高速的传输。因为学校存在大量的语音和视频传输。据此,考虑汇聚层对 QoS 有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护的特点。在接入层面,通过定义相应的访问策略,实现访问控制,内外隔离。
七、 方案的扩展性考虑
本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展,无论从企业网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的快速以太网技术,把网络已构筑了高速和坚固的信息高速公路,面对未来的发展将处于非常有利的境界
35 / 35
企业网络设计方案
本方案主要从需求分析、客户需求、网络规划设计、网络拓扑结构、系统评价四个方面。讲述如何进行企业网络的开发背景、建设过程、维护支持、营销运作等过程,利用本网络达到提升企业形象,提高服务档次,为公司的业务与国际网无缝接轨,让本网络助企业在互联网上扩展全球业务,实现真正电子商务,使公司业务与互联网接轨,迅速进入良性循环轨道。
一、需求分析:
1.1 系统概述:
项 目: 企业网络设计方案
日 期: 2005年12月22日
1.2 可行性分析
本节着重介绍企业背景与当前的社会背景,对企业网的可行性进行详细的系统分析。
互联网,自1996年传入中国,在短短的10年内发展成为全球最大信息媒体,其无时间限制、传播速度快、信息容量大、查阅方便、交互性强方面是其它的媒体所不能比拟的,也是较少投入获得最大回报的最优途径,企业上网可以不仅可以为客户提供各类信息,挖掘潜在的客户,更可以提供强大的交互功能,为企业在互联网提供各类商业贸易服务(即电子商务)。
目前互联网的电子商务已经是一个可行的商务贸易方式,其体现在:
1. 网络硬件及其相关支持设施的客观条件已经具备。
2. 企业接受互联网,企业上网的普及,一般企业都懂得使用网络。
3. 商务平台的开发技术已经提供,企业可以委托通过专业网络公司进行技术支持。
据统计:目前中国上规模的企业上网数量已经占据企业总数60%以上,企业网站普及率在30%以上,在建立企业网站,实现电子商务势在必行。
建立企业电子商务平台,企业可以从以下方面直接受益:
(1)建立企业网站介绍企业信息,展示企业产品,打造企业形象、利用互相网独有宣传方式与优势(低成本、高效益),增加市场宣传轨道,扩大行业影响力。
(2)让客户到网站访问,查阅企业信息,根据需要对产品在线下单订购,网站同时通过提供优质的客户服务,使客户可以通过网站的订单查询服务功能跟
踪并了解客户订单的处理过程,提升客户对公司的信任度,让客户满意公司的服务,提高企业服务档次,实现企业销售电子商务系统。
(3)通过网站建立在线反馈与在线调查,加强企业与外界的联系,充分利用客户的资源为企业献策。
(4)建立客户档案系统,把客户分配给销售部门与业务人员,根据系统建立稳定可靠的管理制度,让公司高层可以实时通过管理系统监控公司的客户与业务情况,保证客户不因业务人员的流动而流失。
(5)建立销售管理系统,对销售部门与销售人员定义销售指标,结合客户的定单与销售预测对企业、部门、销售人员的销售业绩实时统计分析,并根据销售销售业绩与实施情况调整业务制度和决定销售人员的待遇与升迁。
(6)建立采购管理系统,建立供应商及其产品原料资源库,对供应商及其产品报价格统一管理,利用系统实现与供应商的信息共享,结合邮件与系统数据库,实现采购业务自动化。
二、客户需求:
利用公司的各类产品与服务信息为基础,依托强大的互联网技术,创办一个集企业信息发布、新闻动态发布、产品信息发布、产品订购询价、客户服务系统、供应商服务系统等,为企业及其相关单位机构提供全新的、多方位、全面的交互性信息以及商务服务。
建立网络的最终目的,就是希望利用网络(企业网上门户),增加宣传轨道、打造企业形象、宣传企业产品,让有意向同行业的客户或者企业到网站访问,查阅企业介绍、联系资料、产品信息、销售网络,根据需要客户可进行在线下单,网站同时通过提供优质的会员服务,使客户可以通过网站的订单查询服务功能跟踪并了解具体订单的处理过程与当前状态信息,提升客户对公司的信任度,让客户满意公司的服务,提高企业服务档次,实现销售电子商务。
三、网络规划设计:
3.1 中小型企业网的主要功能:
中小型企业网络主要实现有以下几个方面的功能:
· 资源共享功能:
网络内的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能。
· 通信服务功能:
最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。
· 多媒体功能:
支持多媒体组播,具有卓越的服务质量保证功能。
· 远程**拨入访问功能:
系统支持远程PPTP接入,外地员工可利用INTERNET远程访问公司资源。
3.2 中小型企业网设计原则:
· 实用性和经济性
系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。
· 先进性和成熟性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内企业网络仍占领先地位。
· 可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,TP-LINK网络作为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
· 安全性和保密性
在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,TP-LINK网络充分考虑安全性,针对小型企业的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d等。
· 可扩展性和易维护性
为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
3.3中小型企业网的设计:
为了满足中小型企业的需求及长远利益,中小型企业网络系统设备应依据上述网络设计原则进行选型,在网络设备方面选用国内领先的网络互联厂商
TP-LINK的产品,其产品与服务通过智能、安全及可靠的网络将信息设备连为一
体,具有很好的可靠性和稳定性。TP-LINK的高性能、功能全面的千兆网络产品解决方案,利用千兆以太网技术建网,网络中心交换机选用TP-LINK多功能千兆网管型交换机TL-SL3226P,背板带宽达8.8G,完全满足中小型企业内办公和其他应用的需要。在TL-SL3226P下方可根据实际情况级联智能型或基本型交换机,来满足不同的中小型企业网用户的不同需要,另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题,在某些特定的区域设计了无线信号覆盖,通过TL-WA200无线接入点和TP-LINK系列无线网卡,以11M的带宽高速连上企业网。整个企业网通过TP-LINK宽带路由器TL-R460实现与INTERNET的连接,该产品支持各种常见接入方式,并能支持局域网上网权限限制。
由TP-LINK产品组成的中小型企业网,主要使用以下几个方面的技术: · 带宽聚合技术:在两台交换机间提供链路的聚合,提供并行带宽,将多条物理上的连接组成一条逻辑通路(Trunk)。主要功能包括成倍增加带宽和为线路冗余提供可靠性。实现核心网络连接的线路冗余和平衡负载。
· 灵活的带宽控制技术:以64K为单位,对每个端口的输入和输出带宽根据实际需求进行灵活的控制,达到不让某一台或一组工作站占用网络过多带宽的目的。 · 采用TP-LINK的MAC地址限制技术:最大可以设置256个MAC地址绑定,实现网络PORT接入的安全保护,同时酌情采用802.1X技术,实现对用户接入的访问控制,进一步提高网络安全性。
· 支持VLAN的划分:基于端口VLAN和支持跨交换机802.1Q 的VLAN,增强网络的灵活性,提高网络安全,控制广播风暴。
· 支持无线WEP加密技术:对于无线产品的安全性有较好的保障,支持WEP 256位的加密,很大程度上杜绝了非法用户在无线覆盖区域内的接入。
四、网络拓扑图:
4.1具体拓扑结构如下:
甲厂区网络拓扑结构图
乙厂区网络拓扑结构图
4.2 网络方案要点:
--网络中心采用2台核心路由交换机。两台交换机之间采用链路聚合技术进行连接(带宽可扩展为2000-4000M),同时提供均衡负载和链路热备的功能。网络核心的冗余设计以及核心于二级节点的聚合链路连接保证了企业应用的可靠运行。强大的网络设备支持保证企业的数据,语音和视频的融合应用,保证关键业务的顺畅运行。
--不同区域用户互相访问,该方案采用远程接入**服务(Access **)。在企业总部配置一台**网关设备,而在各需要访问企业总部资源的远程用户终端(包括分支机构、办事处或在外的移动用户)安装**的客户端软件,以模拟拨号、ISDN等拨号接入方式来远程访问企业内部网或外部网。Access **能使用户随时、随地以其所需的方式访问企业资源。
--该方案的安全措施采用硬件防火墙,以确保整个网络的快速稳定运行。
--使用该网络设备供应商提供的配套网络管理系统,可以轻松实现整个网络的安全监控、维护。
五、系统评价:
5.1 信息共享:
做到了信息统一存放、统一管理、各个业务共享。减少重复录入、避免信息不一致,提高工作效率。
5.2 系统维护功能强:
可以方便地设置、添加和随时调整各管理部门的相关业务处理,机构的变化,方便地设置各部门、人员的管理权限和业务处理权限增强了系统的通用性和灵活性。
5.3 提高竞争能力:
信息化浪潮风起云涌的今天,企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。目前我国企业尤其是中小企业网络建设正在如火如荼地开展着,据IDC预测:在下个5年中,中小企业的网络建设将以每年15%的速度增长。