郴州市劳动保障局广域网网络建设方案.docx
《郴州市劳动保障局广域网网络建设方案.docx》由会员分享,可在线阅读,更多相关《郴州市劳动保障局广域网网络建设方案.docx(29页珍藏版)》请在冰豆网上搜索。
郴州市劳动保障局广域网网络建设方案
郴州市劳动保障局广域网
网络建设方案
上海博达数据通信有限公司
第一章、项目概述
1.1建设目标
郴州市劳动保障局广域网是由郴州市劳动保障局市中心和下属12个区县分局,市区内药店及医院机构组成,是湖南省劳动保障局广域网骨干传输网络上的市、分局二级平台。
本次网络平台建设,要严格按照国家信息安全等级保护的有关要求和规定进行建设和管理,在全省劳动保障局广域网网络框架内建立郴州市统一的市、分局二级安全、可靠的劳动保障局广域网网络平台。
并通过建立相应的网络安全保障机制,实现劳动保障局广域网分级、分层、分域管理,确保劳动保障局广域网安全、可靠的运行。
通过郴州市劳动保障局广域网平台的建设和业务系统的建设,使各级部门实现指挥调度和决策信息的资源化,日常办公业务规范化、网络化。
提高紧急、重要事件的快速反应和处理能力,能进一步提高工作质量和工作效率,推进宏观管理现代化、决策科学化和国民经济信息化,更好地为广大人民群众服务。
1.2建设内容
广域网络平台:
郴州市劳动保障局广域网覆盖全市各分局机构。
市局建设1个中心节点(兼作全省广域网市级汇聚节点),通过12根2M专线连接各区县分局广域网接入路由器,同时市区内各药店及医院机构也通过2M专线与市中心相连,网络建设通过对市级、分局的网络层、链路层进行控制。
做到市及分局内的计算机能够做到互连并相互隔离;市级和分局之间同业务系统的计算机可以互连,不同业务系统的计算机相互隔离。
在12个区县分局建设12个接入节点,通过2M专线连接至市局广域网中心路由器上,而市区内各药店及医院机构则通过2M专线连接到市局中心的另一台中心路由器上,实现所有县分局及市区内营业机构对市中心的访问。
在网络设备选择上充分考虑今后3到5年内网络的发展需求,网络设备硬件上要具备扩容能力,软件上要具备性能提升能力。
做到一次投资,多次利用。
分局原有局域网络改造。
原有的分局办公大楼局域网线路进行改造和清理,在各分局信息中心内增加一台三层交换机作为每个分局的核心交换机使用。
原各分局的所有交换设备必须全部接入到该交换机上,完成劳动保障局广域网三级节点的内网改造。
IP地址和路由管理由劳动保障局网络中心统一管理,按统一规划分配IP。
1.3建设原则
1)应用主导原则
充分考虑应用为主导的原则,以业务应用为主线进行网络的划分和逻辑设计,使整个网络平台逻辑清楚、应用明确,各个业务系统相互衔接,信息流向清晰、处理流畅。
2)投资保护原则
充分考虑现有设备的利用,特别是网络基础设施的利用。
从郴州市劳动保障局网络建设的现状分析,郴州市劳动保障局局域网已有一定基础,市级网络中心机房,大楼内部网络平台已建成并投入运行,因此本次网络建设只考虑广域网部分建设。
广域网平台可在已有网络基础条件下设计、建设应当本着实用第一、量入为出的原则,进行认真细致的需求分析,充分利用现有设施,使有限的资源发挥最大效益。
3)总体性和统一性原则
充分考虑整个系统的完整性、统一性和规范性。
网络平台、安全体系、横向与纵向业务系统的有机整合,将有效保障符合规范和标准的网络系统与业务信息系统进行互联,提高信息流的效率,实现统一的郴州市劳动保障局广域网信息交换平台。
4)安全可靠原则
信息安全是信息化建设实施的第一要素,要从安全需求分析、安全风险评估、安全设计、安全工程实施、安全管理、安全动态监控、应急处理、安全审计维护等各方面进行设计。
结合业务应用制定恰当的安全策略,采用相应安全标准和安全规范,在此基础上进行网络平台安全设计,避免安全投资过度或不足。
5)标准规范原则
统一标准是建设郴州市劳动保障局信息化平台的基本要求,是网络互联互通、信息共享交换的前提。
在网络平台设计中,要按照统一的规范,严格遵循有关信息系统安全管理的规定及建设标准,结合郴州市劳动保障局的网络现状,进行网络平台规划和设计。
6)先进性、可扩展性原则
考虑到技术的先进性,网络平台核心设备可以考虑适度超前,基础设施采用主流技术,使政府网络平台的结构具有高度的可扩展性,能方便地进行扩展和升级,降低系统扩展的投入成本,满足信息技术高速发展的需要。
第二章、网络总体设计方案
2.1网络总体结构
郴州市劳动保障局广域网总体结构如下图所示:
郴州市劳动保障局广域网总体结构图
2.2网络平台的层次结构
网络架构采用层次化结构,网络分为核心层、接入层。
采用层次化模型,核心层网络设备采用高端设备,接入层设备采用中档网络设备。
这样既保证了整个网络的合理搭配和性能,使整个网络具有弹性、高效性和可靠性,又获得最合理的性能价格比。
核心层―形成主干网,提供高性能、无阻塞高速通道,由于核心层网络用于提供全网的信息通信,因此选用高档、高性能的网络设备,并采用双主控双电源的结构确保网络畅通。
接入层―形成主干接入网,提供到高速主干的接入,接入层网络设备宜选用中档网络设备。
2.3劳动保障局广域网设计说明
郴州市劳动保障局广域网络由纵向网络和横向接入网络两个部分组成。
其中纵向网络市和分局网络中心通过SDH2M链路互连组成纵向骨干网络,纵向骨干网络采用树型结构,市和分局构成星型结构的两级主要节点;横向网络由市和分局部门通过交换机横向接入所属市和分局劳动保障局网络中心构成,横向接入单位网络采用星型结构接入本地网络中心。
构成了层次化的体系结构,组成了覆盖全省劳动保障局的网络信息网络,实现市、分局内各政府部门互联互通和资源共享。
层次化的体系结构提高了系统的性能和扩展性。
2.4广域网链路设计
市至分局均采用SDH链路连接。
在中心核心路由器BDCOMR7606上采用CE1类型接口,实现12*2M的接入;由于中心路由器承担着全市节点的汇聚,数据流量较大;并考虑到以后主线路升级到更高带宽的需求,因此核心路由器上采取16路2M高速CE1接口设计,在满足12个县分局接入的同时,还预留4个接口作为备份。
由于各区县到市局的数据访问量大,为了保证各区县数据的快速稳定的传输,市区内药店及医院机构则通过市局另一台中心路由器BDCOM7208E接入,该路由器同样采取16路2M高速CE1接口设计,主要负责市区内药店及医院机构的接入。
2.5网络设备选型
为保证劳动保障局工程的顺利实施,遵循以下原则来进行选型控制:
1)、性能指标
根据总体设计的要求,性能指标要满足业务系统的需求,产品线长,具有先进、完善的功能,稳定的运行效果和良好的可扩展性。
2)、安全可靠
网络设备应符合在安全方面的要求,符合有关国际标准,以保证不同厂家系统设备之间的互操作性和系统的开放性。
所有产品都应具备高效、成熟和低故障率,能长时间稳定运行。
3)、较高的性价比
网络设备生产商应生产全线的网络路由、交换系列产品,在设备性能和服务基本一致的情况下,价格方面具有竞争优势。
4)、应用案例
有在省内大型网络系统建设方面成功应用的案例可循。
5)、支持服务
网络建设在追求项目完整性和产品适应性的同时,对系统设备供应商提出了很高的要求,供应商应具有完善的服务体系,提供专业、标准、多元化的服务和持续、高效、快捷的技术支持。
要选择技术、资金实力雄厚,具有良好信誉并长期致力于劳动保障局领域发展的专业厂商,与其在劳动保障局建设方面进行长期合作。
另一方面,还要考虑所选设备与现有系统所用设备兼容性和易操作性。
减少因设备间的兼容性而造成的故障,同时,更易于系统的集成和技术人员的熟练操作与维护。
2.5.1市核心节点设计
市核心网络节点(同时是全省纵向网的汇聚节点)是各市劳动保障局以及分局(区)级部门业务的汇聚、处理的中心,不仅有本市业务的接入,同时下属各分局的业务也经过市中心汇聚到省中心,是承上启下的关键节点。
因此市核心节点设备应具有较强的扩容能力,应采用扩充能力强的模块化路由交换设备;应具备丰富的可扩充接口模块以应对多种类型的接入需要;应具备带宽控制、优先级、报文过滤等功能满足视频、语音等重要应用的需求。
本方案在郴州市核心节点部署一台机架式高性能路由器BDCOMR7606,该路由器主要用于连接各区县分局汇聚路由器,本次配置4个千兆以太网接口,提供千兆以太网电口用于与市中心原有核心交换机Cisco6509千兆电口相连,同时通过该核心交换机连接到市中心原有核心路由器cisco3600,该核心路由器主要负责与省局通过2MSDH线路相连,最终实现县分局到市局、市局到省局的三级网络平台结构。
在新部署的路由器BDCOMR7606上配置16路CE1端口通过运营商的SDH链路实现分局(区)级广域网接入(12×2M)以及将来至核心路由器的广域网备份链路连接。
在稳定性方面,该设备支持双主控,双电源冗余配置,确保市劳动保障局广域网平台核心层99.999%的电信级可靠性,能够充分保障运行在极高突发业务和巨大数据吞吐量的环境时的网络畅通,并能预留2业务模块插槽便于今后网络升级之用。
同时市区内各药店及医院机构则连接到另一台市中心路由器上BDCOM7208E,该路由器主控板上自带有2个千兆电口,2个千兆复用光口,1个百兆电口,为了同样保证市区内各药店及医院机构能与省局相连,该路由器通过千兆电口与市局原有核心交换机Cisco6509相连,再通过市局原有的核心路由器3600与省局实现互联。
在该路由器同样配置16路CE1模块,通过运营商的SDH链路实现市区内各药店及医院机构的接入。
2.5.2分局接入节点设计
广域网平台接入层设12个区县分局接入点:
接入节点采用高性能路由器,通过10/100M电接口与市局三层接入交换机相连。
在区县局汇聚路由器上,根据不同区县业务量的多少以及其下属分支机构的数量,其中有8个区县分局采用CE1类型接口相连,同时考虑到每个县区分局有自己的下联分支机构(药店与医院),同样将该下联分支机构通过区县路由器汇聚,最终实现与市中心相连,因此考虑在这8个区县汇聚路由器上配置16路CE1接口,其中一路CE1接口用于与市中心相连,剩余的15路CE1接口则用于各自区县下的分支机构(药店与医院)接入。
其它4个区县分局,由于业务量比较小,下联分支机构少,因此在该区县汇聚路由器上配置2个高速串口,其中一个提供与市中心相连,另一个高速串口则用来提供与其下的分支机构相连。
在满足配置同时,各区县路由设备能预留1-2模块插槽,便于今后网络扩展需要时使用。
区县分局路由器作为区县分局本地内网及各药店、医院的汇聚节点,主要负责区县分局本地内网数据及其下分支机构数据的汇聚、转发,为了保证数据的安全性、对市局服务器的访问权限以及数据业务的部分隔离,我们可以在该层设置上通过ACL来灵活的控制用户访问市局服务器的权限。
例如,可以在区县路由器上通过定义ACL,允许区县本地内网访问市局的A\B服务器,但不允许访问C\D服务器,而只允许区县下的分支机构能访问C\D服务器,这样我们就可以在该层设备上来灵活的控制,最终实现用户对网络资源的访问权限。
各区县分局的主干交换机主要负责各分局内部网络的主要交换设备,是所有流量的中转站,为了保证各分局内网的高速、可靠性,各分局内网中心放置一台三层高性能交换机,该交换机应该具有较高的交换容量,能够支持电源冗余设计,保证网络的可靠性。
本次方案配置了BDCOMS3424,提供24个百兆以太网电口和4个千兆以太网光电复用接口。
能够支持端口安全功能,可以IP地址,MAC地址,用户端口等特性捆绑功能,DHCP-SNOOPING功能,支持组播协议和OSOPF、EIGRP等路由路由协议。
为各分局提供高性能,可靠性的内网核心交换设备。
2.6路由设计规范
路由设计遵循全省广域网平台路由设计统一规划,采用的是OSPF路由协议,根据实际网络需求,网络设备划分到不同的AREA中。
具体来说,中心汇聚路由器、分局接入路由器、以及市局三层交换机组成骨干区域AREA0;劳动保障局广域网平台采用动态路的方式实现路由策略。
对于接入层三层交换机与各分局的连接方式而言,由于没有主备线路需要动态切换,这些节点的三层设备与内网各子VLAN之间运行静态路由,这样对系统开销小,稳定性、安全性都比较理想,而且可以避免OSFP自治系统范围过大,降低路由的效率和可靠性。
2.7IP地址规划
IP地址分配作为网络平台建设的一个重要环节,我市劳动保障局广域网的地址规划应遵循全市的统一分配和部署,并综合考虑劳动保障局广域网的网络拓扑,按照网络运营商的标准进行规划。
IP地址空间分配既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
具体分配时遵循以下原则:
●整个郴州市劳动保障局网络的IP地址由有关领导部门进行同一规划,避免出现IP地址冲突的问题。
●按区域连续性地分配IP地址,符合OSPF层次性设计,使路由可以有效地进行总结,减少路由的数量,减轻路由器的负荷。
●按照满足最大化需求分配IP地址,并预留足够的地址可供扩展。
●严格遵守2n的IP地址分配原则。
●同类型部门采用相同的子网掩码。
●不同性质的设备或子部门应该划分为不同的子网,便于进行安全控制。
●分配的IP地址:
10.110.0.0~10.110.255.255、10.111.0.0~10.111.255.255、进行IP地址分配。
根据郴州市劳动保障局网络的规模和其他地区的IP地址规划经验,建议使用10.110.0.0~10.110.255.255地址段,其它地址段保留。
●唯一性:
一个IP网络中不能有两个主机采用相同的IP地址;
●简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
●连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率
●可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性
●灵活性:
地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间
●将10.110.254.0/24网段划分为多个30位子网掩码的网段,作为市中心接入路由器与分局接入路由器的广域网互联地址。
●每个网段有2个可用IP地址,奇数用于市中心路由器广域网接口,偶数用于分局接入路由器广域网接口。
●未分配完的地址用于预留地址。
2.7.1市、分局广域网IP地址规划
●将10.110.254.0/24网段划分为多个30位子网掩码的网段,作为市中心接入路由器与分局接入路由器的广域网互联地址。
●每个网段有2个可用IP地址,奇数用于市中心路由器广域网接口,偶数用于分局接入路由器广域网接口。
●未分配完的地址用于预留地址。
劳动保障局机构名称
分局广域网IP地址
市局广域网口IP地址
郴州市劳动保障局
10.110.254.2/30
10.110.254.1/30
县局1
10.110.254.6/30
10.110.254.5/30
县局2
10.110.254.10/30
10.110.254.9/30
县局3
10.110.254.14/30
10.110.254.13/30
县局4
10.110.254.18/30
10.110.254.17/30
县局5
10.110.254.22/30
10.110.254.21/30
县局6
10.110.254.26/30
10.110.254.25/30
县局7
10.110.254.30/30
10.110.254.29/30
县局8
10.110.254.34/30
10.110.254.33/30
县局9
10.110.254.38/30
10.110.254.37/30
县局10
10.110.254.42/30
10.110.254.41/30
县局11
10.110.254.46/30
10.110.254.45/30
县局12
10.110.254.50/30
10.110.254.49/30
第三章、网络安全设计
3.1网络安全概述
根据网络结构和网络应用,在经济实用、安全高效的条件下对网络安全性设计需要从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类分析,郴州市劳动保障局网络安全从整个网络构建的方面来给予详细阐述。
3.2网络安全设计应遵循的原则
1)综合性、整体性原则:
应用系统工程的观点、方法,分析网络的安全及具体措施。
2)需求、风险、代价平衡的原则:
对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
3)一致性原则:
制定的安全体系结构必须与网络的安全需求相一致
4)易操作性原则:
易于操作、维护,并便于自动化管理,而不增加或少增加附加操作。
5)易扩展原则:
随着网络规模的扩大及应用的增加要具有可升级性。
3.3路由安全考虑
OSPF,是一种应用广泛的链路状态路由协议。
该路由协议基于链路状态算法,具有收敛速度快,平稳,杜绝环路等优点,十分适合大型的计算机网络使用。
OSPF路由协议通过建立邻接关系,来交换路由器的本地链路信息,然后形成一个整网的链路状态数据库,针对该数据库,路由器就可以很容易的计算出路由表。
可以看出,如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系,并向攻击路由器输入大量的链路状态广播(LSA,组成链路状态数据库的数据单元),就会引导路由器形成错误的网络拓扑结构,从而导致整个网络的路由表紊乱,导致整个网络瘫痪。
当前版本的WINDOWS操作系统(WIN2K/XP等)都实现了OSPF路由协议功能,因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。
路由器是根据路由信息来发送报文的,而路由信息恰恰又是通过网络在不同的路由器间转发的。
所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。
需要对邻接路由器进行路由信息认证的有以下几种:
ØOpenShortestPathFirst(OSPF)
ØRoutingInformationProtocalVersion2(RIP-v2)
要求方案中的路由器必须支持OSPFV2/V3动态路由协议MD5认证。
所以,我们建议,在广域网路由器运行的OSPF进程内,启用报文验证功能,可以从很大程度上避免这种攻击,同时也可有效的避免全省劳动保障局的拓扑路由表被第三方随意获取。
3.4AAA安全机制
AAA技术提供了网络设备对用户的验证、授权和记帐功能。
(1)验证功能
各种用户(包括登录、拨号接入用户等)在获得访问网络资源(包括路由器)之前必须先经过验证。
验证时可以选择是采用本地维护的用户数据库,还是采用Radius服务器所维护的用户数据库,或者是采用Tacacs+服务器所维护的用户数据库。
方案中的网络设备必须支持与AAA技术相结合的本地数据库、Radius、Tacacs+认证。
(2)授权功能
通过定义一组属性来限定用户的权限信息,来确定用户的访问权限。
这些信息存放在相应的用户数据库内。
不同权限的用户能够操作和控制路由器的程度不一样,避免了恶意人为破坏的隐患。
3.5日志功能
日志(log)功能用于将路由器、交换机产生的各种信息以日志形式记录到具备Syslog功能的主机上(如Unix主机或运行Syslogd的主机)。
日志功能与访问列表功能相结合可以任意定义所要记录的信息,以备查用,如跟踪记录黑客攻击报文等。
3.6IP地址—MAC地址邦定技术
MAC地址绑定技术是通过在路由器中静态配置IP地址和MAC地址的映射关系来完成ARP应答来实现的。
原理如图所示:
可以看到,路由器不再动态的响应来自局域网的主机的ARP请求,当接收到一个ARP请求时,路由器首先检查请求报文的源IP地址,然后在自己的静态映射表中寻找与此相对应的MAC地址,如果没有寻找到相关映射,将对此报文不作任何处理,通信也就无法实现,从而保证了可能由无效IP地址的主机发起的攻击。
如果寻找到相关映射,就回答一个ARP响应,当响应报文中的目的MAC地址域的值是用映射表中的MAC地址填充的,而不是依据请求报文中的源MAC地址域的地址值。
这样,只有请求报文的MAC和静态映射的MAC一致时(即没有伪装IP),通信才可以建立,否则,如图所示,通信也不可能建立,从而防止IP地址的欺骗。
第四章、网络设备介绍
4.1市局核心路由器一BDCOM7606路由器
产品概述
BDCOM7606万兆交换式路由器是上海博达数据通信有限公司推出的高性能、高扩展性、面向大型网络核心的网络设备。
BDCOM7606提供全线速的交换和路由功能。
基于创新的BroadScale分布式处理结构,背板带宽可达1.8Tbps,最大可提供192个线速千兆端口或者32个万兆端口,具有无与伦比的可扩展性,可满足高端网络应用和服务,是IP城域网骨干和大型企业网络骨干建设的核心设备。
BDCOM7606 BDCOM7610BDCOM7603
主要特点
1、高扩展性,高性能
BDCOM7606交换式路由器,建立了高性能交换式路由器的新标准,而且所有端口都可基于硬件的ACL进行线速转发,全二层交换和三层路由。
无可比拟的产品特性为高端应用提供更便捷的途径,从内容服务供应商、集群/网格计算机,到下一代Internet交换和城域以太网,BDCOM7606交换式路由器可以凭借其每秒10,000兆位的运行速度来提供或优化所有这些服务。
2、线速性能
BroadScale系统利用每一个线路卡的NP、ASIC、TCAM对数据包进行线速处理,不管是端口号类型或复杂特性的任何数据包,都可进行完全的线速转发。
BDCOM7606系列在所有的高级特性都打开的情况下还可提供每端口线速,无阻塞的转发性能,这些特性包括:
n扩展的ACL包过滤和策略路由;
n多域信息包查找和分级QoS;
n速率限制;
n加权随机预测(WRED)、加权平均队列(WFQ);避免拥塞。
3、全二层交换和三层路由
BDROS操作系统和BroadScale体系结构相互协调,BDCOM7606系列提供强健的二层交换和三层路由功能,还有LAN、MAN和Internet互连应用所需要的扩展性和安全性,BDCOM7606二层和三层特性包括:
n支持BGP、OSPF、RIP;
n每一个线路卡上都有基于策略的路由重分布转发表;
n硬件转发表高达256k个条目;
n支持多协议标签交换(MPLS);
4、强健的系统控制平台
BDCOM7606路由处理模块支持百万条路由条目,每个线路卡支持高达256K转发表,数千条ACL。
路由处理模块提供流量限制和过滤功能,使得网络管理员可以抵御有害的DoS攻击并且防止不必要的信息泛滥,而且还提供从路由处理模块到每一个线路卡100Mbps的控制信息交换路径,避免了传统的低性能三层转发带来的网络速度瓶颈.
5、高可靠性
BDCOM7606主控引擎支持1+1冗余,提供运营商级的可靠性。
所有关键部件都支持冗余和热插拔,包括主控板,业务板卡,电源和冷却系统,所有内存都使用ECC校验保护。
6、先进的BDROS操作系统
BDROS操作系统是专为LAN、MAN、WAN提供可扩展的、高性能的网络而设计的。
作为一个实时操作系统,能够支持广泛的高性能的二层交换和三层路由特性。
BDROS关键的功能包括强健的基于硬件和软件路由控制平台,高精细度的流量管理和统计,业界标准的命令行界面(CLI)和系统诊断
技术指标
项目
属性
升级会员 