02 计算机网络系统建设.docx
《02 计算机网络系统建设.docx》由会员分享,可在线阅读,更多相关《02 计算机网络系统建设.docx(11页珍藏版)》请在冰豆网上搜索。
02计算机网络系统建设
一.1.计算机网络系统
一.1.1.概述
美兰监狱的网络建设,包括外网、内网、教育改造网三个物理隔离网络,外网即互联网,外网承载门户网站、对外业务及信息公布。
内网主要考虑中心与接入层互连的冗余链路结构,同时也要考虑到全网统一的身份认证系统建设、网管管理平台建设、服务器平台建设内容。
一.1.2.网络结构
美兰监狱网络整体架构设计上,为了信息的安全,网络分为外网、内网和教育改造网,并实现三网物理隔离。
外网已在使用,故在本方案中不再重复设计。
内网及教育改造网主要设计如下:
网络由于楼体结构的原因,建议按照三层结构进行设计,包括核心层、汇聚层、接入层。
网络与安全一体化融合设计,采用防火墙提供全面立体的安全防护。
采用网络管理软件管理各网所有网络设备。
网络拓扑图如下:
内网网络拓扑图
教育网网络拓扑图
(1)网络分层设计
分层设计方法可为网络带来以下三个优点:
1)层次性网络的可扩展性
可扩展性是在交换网络连接中使用层次性设计的主要优点。
层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络而不会遇到非层次性网络或平面性网络很快所遇上的问题。
2)层次性网络的可管理性
使网络简单化--通过把网络元素划分为小单元、层次化,降低了整个网络的复杂性。
这种网络单元的划分使故障诊断变得清晰和简单了,同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。
使设计更灵活--层次化设计使得骨干网和服务接入网之间的包交换形式更具灵活性。
很多网络都得益于使用混合方式来构造整个网络架构。
在大多数情况下,可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。
使网络设备管理更容易--由于层次化网络结构使网络分层,相对缩小的网络区域使网络设备的邻居或对等通信端量减少,因此时网络设备的配置变得简单化。
3)网络更安全
通过在骨干网络边缘设备的过滤功能,限制对核心网络数据库的访问。
我们将这一网络的结构设计分为三级结构:
核心层、汇聚层、接入层。
核心层主要作用是提供高速传输和数据的访问。
汇聚层主要负责各建筑流量的汇聚,并与核心交换机进行高带宽的连接。
接入层主要完成网络流量的控制机制以使骨干网和用户接入网环境隔离开来。
(2)技术方案特点
1)高带宽/高性能
高带宽体现在本项目主干采用高速的千兆以太网技术。
网络设备的高交换性能,为全网提供数据转发的可靠保障。
2)高可扩展性
从网络设备上讲,核心交换机具备高容量交换能力和端口密度的升级;而接入访问交换机,也可通过开展提供更大的端口密度和交换能力。
从网络结构上讲,核心、接入这样分层次的结构设计,使得网络更易于扩展。
无论从规模上增加,还是性能的上的提高,都可以得到较好的效果。
3)高安全性
从用户网络应用需求看,为了保证不同部门之间的控制隔离和安全的数据共享,本方案在网络设备选择和方案上作了充分的安全考虑设计。
网络核心交换机和接入层交换机全面支持VLAN,很好实现不同部门间的划分和管理能力。
既节省了投资,又达到建设多隔离网的效果。
4)多媒体数据支持能力
对多媒体视频监控数据的支持能力,主要体现在本网络是一个可获知网络应用的网络系统,为多媒体应用提供了极大的帮助。
5)高可靠性网络
无论从网络设备还是结构上的设计,整个网络实现了性能和高可用性的完美结合。
(3)核心层需求分析
核心交换区部署防暴防逃指挥中心大楼的核心网络机房,负责汇聚各个楼层区域据集中和转发,同时也负责与服务器区、网络出口区之间的流量转发。
因此核心交换机上还需要配置足够的端口,为各区域网络设备接入核心设备中提供接口。
作为整个网络的中心枢纽,几乎80%的网络传输都由核心交换机完成,因此,核心交换机的性能也就决定着整个网络的性能。
考虑到项目建设的可靠性和可扩展性,根据业务的需求,核心交换机应采用业内最为先进技术,需配置足够的千兆光纤接口、千兆电接口和万兆接口,利用冗余路由和转发引擎间的状态化故障转换功能,提供理想的核心网络平台功能;能提供为灵活的端口配置,从而为组建网络带来了最大的灵活性。
设计时还需要通过设备冗余、路由冗余、链路冗余等技术,充分保障网络系统稳定性。
核心交换机作为网络的核心设备,对整个系统的稳定和性能起着至关重要的作用。
建议核心交换机应当具有如下特点:
1)采用先进的多级多平面交换架构,采用控制引擎和处理引擎相分离,具有多个独立交换功能板卡插槽,能提供冗余的交换功能板卡,的可以提供持续的带宽升级能力,支持40GE和100GE以太网标准,配置核心交换机配置10G以太网光接口板用与2台万兆核心交换机之间10G互联,实现全网骨干核心的无阻塞交换。
2)核心交换机应该是高性能模块化交换机,支持模块化插槽至少8块以上,插槽采用有力利设备散热和抗压能力的设计。
3)核心设备应当支持虚拟化堆叠技术。
能将多台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合;
4)核心交换机应当具备多业务能力。
支持MPLSVPN、IPv6、应用安全、应用控制网关,功能模块,无线等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间。
5)在可靠性方面,具有99.999%的高可靠性,支持电源等关键部件的1+1冗余热备份,支持VRRP、路由(GR)等高可靠性协议,实现核心层的业务不间断转发。
6)在业务特性方面。
核心交换机支持丰富的QoS特性,可保障重要业务得到优先转发;支持IPv6,可平稳过渡到下一代网络;并且支持内置、内置无线控制器、负载均衡、应用控制、流量清洗等多种业务功能插卡,可以进行灵活的部署,实现业务的扩展和融合。
7)在安全性方面,核心交换机应采用“最长匹配、逐包转发”模式,能够抵御网络病毒的攻击;支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证;支持IP、VLAN、MAC和端口等多种组合绑定方式,防范地址盗用;支持广播报文抑制,有效控制ARP等非法广播流量对设备造成冲击;支持URPF,防止IP地址欺骗;支持报文安全过滤,防止非法侵入和恶意报文攻击等。
既能保障自身的运行安全,也能通过一些安全机制保障所承载业务的安全。
(4)汇聚层需求分析
汇聚层是信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理,汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等。
通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。
楼栋汇聚区主要负责楼栋内信息点的汇聚,是路由域与交换域的分界层。
以各个建筑物为单位分别部署汇聚节点。
汇聚交换机主要实现以下的功能:
汇聚本区域内楼栋的IP地址或路由。
部署本区域内楼栋的VLAN信息,实现VLAN终结与本楼栋内。
实现本区域内楼栋到核心交换区的路由策略。
实施安全访问控制,保证网络安全。
(5)接入层需求分析
接入层交换机采用自带的百兆端口,千兆端口上行,通过链路捆绑上联至不同的汇聚交换机。
需要部署多台时可对接入层交换机再进行虚拟化。
接入层交换机上支持以下多种安全策略:
1)防ARP攻击
ARP攻击包括中间人攻击和仿冒网关两种类型:
中间人攻击:
按照ARP协议的原理,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。
在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。
此攻击导致用户无法正常和网关通信。
而攻击者可以凭借此攻击而独占上行带宽。
应对——ARP入侵检测(ARPIntrusionDetection)
在DHCP的网络环境中,使能DHCPSnooping功能,交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。
交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。
使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCPSnooping动态表项或DHCPSnooping静态表项中,则ARP报文被丢弃。
这样就有效的防止了非法用户的ARP攻击。
2)防止地址仿冒
常见的地址欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。
当目前较多的是攻击行为:
如PingOfDeath、SYNflood、ICMPUnreachableStorm等,另外病毒和木马的攻击也具有典型性,比如伪造源地址攻击公网上的DNS服务器,直接目的是希望通过DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并以此扩大攻击效果。
应对——IPSourceCheck
对于DHCP用户,使能DHCPSnooping后,结合IP+MAC+Port+VLAN的绑定表项下发硬件ACL,使端口上只能通过符合该绑定的IP报文,对于不符合绑定关系的直接丢弃。
由于该功能由硬件实现,不影响交换机的CPU性能。
对于静态IP的用户,通过配置静态的绑定表项,也可以完成该功能。
3)防止DHCP攻击
在某些情况下,入侵者可以将一个DHCP服务器加入网络,令其“冒充”这个网段的DHCP服务器。
这让入侵者可以为缺省的网关和域名服务器(DNS和WINS)提供错误的DHCP信息,从而将客户端指向黑客的主机。
这种误导让黑客获得其他用户对保密信息的访问权限,例如用户名和密码,而其他用户对攻击一无所知。
应对——DHCPSnooping
如前所述DHCPSnooping能够过滤来自网络中主机或其他设备的非信任DHCP报文,其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。
交换机支持在每个VLAN基础上启用DHCPSnooping特性。
因此,通过使用DHCPSnooping特性中的端口信任特性来防止用户私自设置DHCPserver。
一旦在设备上指定专门的DHCPserver服务器的接入端口则其他端口的DHCPserver的报文将被全部丢弃。
4)防止MAC地址攻击
MAC地址攻击是利用模拟发包软件发送大量的源MAC变化的报文,使交换机的MAC地址表溢出,后续的报文由于无法进行MAC学习,报文会在VLAN内广播,攻击者可以利用广播的报文,进行监听或者占用网络流量,使网络拥塞。
应对——端口安全(PortSecurity)
端口安全(PortSecurity)是一种对网络接入进行控制的安全机制,用来防范基于MAC地址的攻击。
可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。
如果某个端口上的
升级会员 