网络建设项目解决方案.docx
《网络建设项目解决方案.docx》由会员分享,可在线阅读,更多相关《网络建设项目解决方案.docx(22页珍藏版)》请在冰豆网上搜索。
网络建设项目解决方案
Xx集团办公室网络
项目技术建议书
易阳科技有限公司
2010年3月10日
第一章网络总体设计
1.1网络总体拓扑图
由于考虑到总公司的实际需求,我们给贵公司设计的方案是采用两台路由双线接入负载均衡,都在路由端口上做nat转换节约ip地址。
四台CISCOWS-C3750G-24TS-S做双机热备(两台总部两台分部,可扩展),根据当前贵公司的人数需求,我们用四台WS-C2960-48TT-L二层交换机(可扩展)做vlan划分。
用Cisco专有热备份路由协议技术,根据需求配置成多组HSRP;同时双机还可以做负载均衡。
这样设计不但保证网络的高可用性和稳定性,还能够充分利用现有设备的资源,以避免单台核心设备的负载太重而导致的网络性能问题。
如上图所示,,这是总部内网的架构,整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络,各部门相对独立,通过
核心网络进行数据的交互。
各部门可以各自建立相互通讯,各部门的网络安全体系,可以有独立的安全策略、数据流量控制等个体的特性,而需要和其他区域的设备进行通讯的时候,则必须遵守核心网络区的策略。
在这里,我们对总公司的实际情况考虑,在总公司和分公司之间建立PPP专线连接,让分公司和总司可以进行安全的数据交换,对于虚拟分部(可扩展),我们根据距离和施工的情况建立PPP专线或者VPN,来进行对数据的保护和有效传输,对于在外出差员工我们用easy-VPN的方式来让外部员工进行内部连接
1.2网络层次化设计
随着网络技术的迅速发展和网络需求量的不断增长,分布式的网络服务和交换已经移至用户级,由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。
我们将采用层次化网络设计,构建高效、可靠、安全的网络。
多层网络系统设计能最有效地利用多种业务,包括负载分担和故障恢复等。
在多层网络中运用智能多业务可以大大减少因配置不当或故障设备引起的一般问题。
多层模式使网络的移植更为简单易行,因为它保留了基于路由器和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。
另外分层结构也能够对网络的故障进行很好的隔离。
1.2.1.核心层
为网络提供骨干组件或高速交换组件,高效速度传输是核心层的目标。
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。
核心层具有如下几个特性:
高可靠性、提供冗余、提供容错、能够迅速适应网络变化、低延时、可管理性良好、网络直径限定和网络直径一致。
当网络中使用路由器时,从网络中的一个终端到另一个终端经过的路由器的数目称为网络的“直径”。
在一个层次化网络中,应该具有一致的网络直径。
也就是说,通过网络主干从任意一个终端到另一个终端经过的路由器的数目是一样的,从网络上任一终端到主干上的服务器的距离也应该是一样的。
限定网络的直径,能够提供可预见的性能,排除故障也容易一些。
分布层路由器和相连接的局域网可以在不增加网络直径的前提下加入网络,因为它们不影响原有的站点的通信。
在核心层中,网络的控制功能最好尽量少在骨干层上实施。
核心层一直被认为是所有流量的最终承受者和汇聚者,所以我们对核心层的设计以及网络设备的要求十分严格。
核心层设备将占投资的主要部分。
我们将采用高带宽的千兆级交换机,充当核心层设备。
因为核心层是网络的枢纽部分,网络流量最大,因此需要提供高带宽。
1.2.2汇聚层
是核心层和终端用户接入层的分界面,访问层的汇接点,用于分隔访问层的不同网络拓扑,并实现网络的聚合与流量的收敛。
汇聚层完成网络访问的策略控制、广播域的定义、VLAN间的路由、数据包处理、过滤寻址及其他数据处理的任务。
一般采用中端设备。
汇聚层是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,认证管理等.通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。
汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。
汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求。
其设备性能较好,但价格高于接入层设备,而且对环境的要求也较高,对电磁辐射、温度、湿度和空气洁净度等都有一定的要求。
汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐量。
一般来说,用户访问控制会安排在接入层,但这并非绝对,也可以安排在汇聚层进行。
在汇聚层实现安全控制和身份认证时,采用的是集中式的管理模式。
当网络规模较大时,可以设计综合安全管理策略,例如在接入层实现身份认证和MAC地址绑定,在汇聚层实现流量控制和访问权限约束。
1.2.3接入层
向本地网段提供用户接入、主要提供网络分段、广播能力、多播能力、介质访问的安全性、MAC地址的过滤和路由发现等任务。
接入层通常指网络中直接面向用户连接或访问的部分。
接入层目的是允许终端用户连接到网络,因此在接入层我们将采用具有低成本和高端口密度特性的交换机。
接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。
在传输速度上,现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。
在接入层是最终用户(员工)与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。
当然我们也应该考虑端口密度的问题接入层由无线网卡、AP和L2Switch组成,按照宽带网络的定义,接入层的主要功能是完成用户流量的接入和隔离。
对于无线局域网WLAN用户,用户终端通过无线网卡和无线接入点AP完成用户接入。
接入层交换机一般用于直接连接电脑,具有低成本和高端口密度特性。
接入层交换机端口的input指服务器向交换机端口发送的数据,即是服务器发送出去的数据。
接入层交换机端口的output指交换机端口向服务器传输的数据,即是服务器收到的数据。
1.3核心层设计
核心交换区的作用是高效速度传输数据,是所有流量的最终承受者和汇聚者,推荐使用高端设备。
我们推荐使用CiscoCatalyst3750三台三层交换机为网络提供可靠、高速、安全的服务。
3750系列交换机是一个创新的产品系列,它结合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。
这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。
这代表了堆叠式交换机新的工业技术水平和标准。
3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。
各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。
3750系列可以使用标准多层软件镜像(SMI)或者增强多层软件镜像(EMI)。
SMI功能集包括先进的服务质量(QoS)、速率限制、访问控制列表(ACL)和基本的静态和路由信息协议(RIP)路由功能。
EMI可以提供一组更加丰富的企业级功能,包括先进的、基于硬件的IP单播和组播路由。
1.4接入层设计
接入层交换机采用思科的WS-C2960系列的二层交换机以千兆以太链路和汇聚交换机相连接,并为员工终端提供10/100M自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。
接入层交换机一般用于直接连接办公系统,具有低成本和高端口密度特性。
接入层交换机端口的input指服务器向交换机端口发送的数据,即是服务器发送出去的数据。
接入层交换机端口的output指交换机端口向服务器传输的数据,即是服务器收到的数据。
我们在核心层和汇聚层的设计中主要考虑的是网络性能和功能性要高,那么我们在接入层设计上主张使用性能价格比高的设备。
接入层是最终用户(员工)与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。
当然我们也考虑端口密度的问题。
1.5内联接入
内联接入的作用是用于连接北京总部和北京分部。
我们推荐使用两台Cisco2821系列路由器完成此项功能。
由于总部网络和分部机房属于公司的内部网络的一部分,因此我们将着重重视数据的安全性、可靠性。
Cisco2821系列具有以下功能:
集成语音留言
范围广泛的话音接口
支持SRST,分支机构可利用集中呼叫控制,并通过SRST冗余性为IP电话经济有效地提供本地分支机构备份
Cisco2821还支持QOS,包含网络扩展性,具有内置防火墙功能,提高内部网络的安全性、可靠性。
第二章路由设计
2.1路由协议选择
OSPF全称为开放式最短路径优先协议(OpenShortest-PathFirst),OSPF采用链路状态协议算法,每个路由器维护一个相同的链路状态数据库,保存整个AS的拓扑结构。
一旦每个路由器有了完整的链路状态数据库。
对于大型的网络,为了进一步减少路由协议通信流量,利于管理和计算,OSPF将整个AS划分为若干个区域,区域内的路由器维护一个相同的链路状态数据库,保存该区域的拓扑结构。
OSPF支持各种不同鉴别机制,并且允许各个系统或区域采用互不相同的鉴别机制;提供负载均衡功能;OSPF属动态的自适应协议,对于网络的拓扑结构变化可以迅速地做出反应,进行相应调整,提供短的收敛期,使路由表尽快稳定化,并且与其它路由协议相比,OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量;OSPF提供点到多点接口,支持无类型域间路由地址。
2.2路由规划拓扑图
2.2IP地址规划
标识网络中的一个节点。
IP地址空间的分配,要与网络层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变化的收敛速度。
我们根据以下几个原则来分配IP地址:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
连续性:
连续地址在层次结构网络中易于进行路由总结(Route
Summarization),大大缩减路由表,提高路由算法的效率
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性
灵活性:
地址分配应具有灵活性,可借助可变长子网掩码技术
(VLSMVariable-LengthSubnetMask),以满足多种路由策略的优化,充分利用地址空间。
Vlan的划分:
总部
Vlan
虚拟ip
工程部
Vlan10
192.168.10.254
销售部
Vlan20
192.168.20.254
财务部
Vlan30
192.168.30.254
人事部
Vlan40
192.168.40.254
网络部
Vlan50
192.168.50.254
市场部
Vlan60
192.168.60.254
经理
Vlan70
192.168.70.254
IP地址的划分
总部
Ip地址
子网
工程部
192.168.1.0
255.255.255.0
销售部
192.168.2.0
255.255.255.0
财务部
192.168.3.0
255.255.255.0
人事部
192.168.4.0
255.255.255.0
网络部
192.168.5.0
255.255.255.0
市场部
192.168.6.0
255.255.255.0
经理
192.168.7.0
255.255.255.0
第三章网络安全解决方案
3.1网络边界安全威胁分析
把不同安全级别的网络相连接,就产生了网络边界。
防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。
非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去“封杀”。
一般来说网络边界上的安全问题主要有下面几个方面:
1、信息泄密:
网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。
一般信息泄密有两种方式:
◆攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密
◆合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密
2、入侵者的攻击:
互联网是世界级的大众网络,网络上有各种势力与团体。
入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。
3、网络病毒:
与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。
这是“无对手”、“无意识”的攻击行为。
4、木马入侵:
木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。
来自网络外部的安全问题,重点是防护与监控。
来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。
由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:
1、黑客入侵:
入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。
木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。
2、病毒入侵:
病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。
病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。
3、网络攻击:
网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断
“魔高道高,道高魔高”。
网络边界是两者长期博弈的“战场”,然而安全技术在“不断打补丁”的同时,也逐渐在向“主动防御、立体防护”的思想上迈进,边界防护的技术也在逐渐成熟,数据交换网技术就已经不再只是一个防护网关,而是一种边界安全网络,综合性的安全防护思路。
也许安全的话题是永恒的,但未来的网络边界一定是越来越安全的,网络的优势就在于连通。
3.2网络内部安全威胁分析
内部网络的风险分析主要针对整个内部网的安全风险主要表现一下几个方面:
内部用户的非授权访问,安博集团的内部资源也不是对任何的员工开放的,也需要相应的访问权限内部用户的非授权的访问。
更容易造成资源和重要信息的泄露
内部用户的误操作:
由于内部用户的计算机造作的水平参差不齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对误操作的防范措施,极容易给服务系统各其他主机造成危害
内部用户的恶意攻击:
就网络安全来说,据统计约有70%左右的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的的优势,因此对内部用户攻击的防范也很重要。
设备的自身安全行也会直接关系到安博公司网络系统和各种网络应用的正常运行,例如,路由设备存在路由信息泄露,交换机和路由器设备配置风险
3.3安全产品选型原则
公司网络需要在考虑安全性的前提下,综合系统的其它性能,不影响网络系统运行效率、不影响正常的业务,定下系统综合服务品质参数,在此基础上,以不降低综合服务品质为原则,对信息安全产品进行选型。
选型原则包括:
安全性原则:
产品系统具有多层次的安全保护措施,可以满足用户身份鉴别、访问控制、数据完整性、可审核性和保密性传输等要求;
标准性:
网络安全产品选型符合国家标准,产品的质量以及属性必须达到国家所要求的,符合本产品的性能;
扩展性原则:
在业务不断发展的情况下,产品系统可以不断升级和扩充,并保证系统的稳定运行;
性价比:
不盲目追求高性能产品,要购买适合自身需求的产品;
产品与服务相结合原则:
良好的售后服务,否则买回的产品出现故障时既没有技术又没有产品服务,使企业蒙受损失。
3.4网络常用技术介绍
PPP协议
PPP协议是在点到点链路上承载网络层数据包的一种链路层协议,它能够提供用户验证、易于扩充,并且支持同/异步通信它的优点在于简单、具备用户验证能力、可以解决IP分配等。
PPP是一种多协议成帧机制,它适合于调制解调器、HDLC位序列线路、SONET和其它的物理层上使用。
它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式(可选)的可靠传输。
PPP提供了三类功能:
1成帧:
他可以毫无歧义的分割出一帧的起始和结束。
2链路控制:
有一个称为LCP的链路控制协议,支持同步和异步线路,也支持面向字节的和面向位的编码方式,可用于启动路线、测试线路、协商参数、以及关闭线路。
3网络控制:
具有协商网络层选项的方法,并且协商方法与使用的网络层协议独立。
PPP的两种认证方式 一种是PAP,一种是CHAP。
相对来说PAP的认证方式安全性没有CHAP高。
PAP在传输password是明文的,而CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。
PAP认证是通过两次握手实现的,而CHAP则是通过3次握手实现的。
PAP认证是被叫提出连接请求,主叫响应。
而CHAP则是主叫发出请求,被叫回复一个数据包,这个包里面有主叫发送的随机的哈希值,主叫在数据库中确认无误后发送一个连接成功的数据包连接认证阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP)。
选定的NCP解决PPP链路之上的高层协议问题,经过三个阶段以后,一条完整的PPP链路就建立起来了。
利用以太网(Ethernet)资源,在以太网上运行PPP来进行用户认证接入的方式称为PPPoE。
PPPoE即保护了用户方的以太网资源,又完成了ADSL的接入要求,是目前ADSL接入方式中应用最广泛的技术标准。
。
Vtp
VTP:
是VLAN中继协议,也被称为虚拟局域网干道协议。
它是思科私有协议。
是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。
VTP是一种消息协议,使用第2层帧,在全网的基础上管理VLAN的添加、删除和重命名,以实现VLAN配置的一致性。
可以用VTP管理网络中VLAN1到1005。
有了VTP,建立一个VTP管理域,以使它能管理网络上当前的VLAN就可以在一台机换上集中过时行配置变更,所作的变更会被自动传播到网络中所有其他的交换机上。
(前提是在同一个VTP域)
为了实现此功能,VTP模式有3种服务器模式(Server)客户机模式(Client)透明模式(Transparent)
HSRP协议
我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议,其含义是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。
在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。
所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
VLAN技术
一般的交换机端口只有属于一个vlan,对于多个vlan需要跨过多台交换机,就需要用到trunk技术。
Trunk是指交换机之间与路由之间传递,从而可以将vlan跨越整个网络,而不仅仅是局限在一台交换机上。
Cisco支持802.1q,isl的技术,其中Iee802.1q是业界标准协议,而isl是clsco专用的协议,用于在一条链路上封装多个vlan的信息,isl技术得到了inter等厂商的大力支持,tagswitching被3com及cajum支持。
对于cisco交换机的trunk端口,既可以指定它的封装协议为802.1q或isl,也可以通过dtp协议自动协商,对也不同厂家的交换机相互连时很有帮助,对于trunk的定义只能在快速以太网端口和千兆以太网端口,也可以是快速以太通道或千兆以太通道,虽然我们采用的思科交换机,但是最为一个标准的,开放,先进的网络系统,我们推荐时采用ieee802.1q标准协议。
Vlan即虚拟局域网,是一种通过将局域网内的设备逻辑的而不是物理的划分成一个一个网段从而实现虚拟工作组的新兴技术,iee于1999年颁布了用标准化vlan实现方案的802。
1q协议标准草案。
VLAN技术允许网络管理者讲一个物理的lan逻辑的划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包括一组有着相同需求的计算机工作站,与物理上形成的vlan有着相同的属性,但由于它是逻辑的而不是物理的划分,所以同一个vlan内的各个工作站无需笨哦放置在同一个物理空间里,即这些工作站不一定属于同一个物理vlan网段里,一个vlan内部的广播和单播流量都不会转发到其他vlan中,从而有助于控制流量,减少设备投资,简化网络管理,提高网络的安全性。
Trunk技术
TRUNK是端口汇聚,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽,将属于这几个端口的带宽合并,给端口提供一个几倍于独立端口的独享的高带宽。
Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。
基于端口汇聚(Trunk)功能,允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量,大幅度提供整个网络能力。
Trunk的优点:
1、可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中。
2、Trunk可以捆绑任何相关的端口,也可以随时取消设置,这样提供了很高的灵活性。
3、Trunk可以提供负载均衡能力以及系统容错。
由于Trunk实时平衡各个交换机端口和服务器接口的流量,一旦某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。
Easy-vpn技术
移动VPN技术:
EasyVPNServer是Remote-AccessVPN专业设备, 而EasyVPNRemote就是专门为了小的分支机构所设计的,一般情况下,小分支接口的网络管理员的水平没有那么高,不可能去配置一堆复杂命令来实现Site-to-SiteVPN,这时候,只需要通过EasyVPNRemote这个特性配置几条简单的命令,就可以Site-to-SiteVPN。
所有的配置都在Server端来完成,Client的VPN配置都由Server端采用“推”的方式应用到分支机构的设备上。
这种技术极大地避免了分支机构配置VPN失败的问题。
但这
升级会员 