网络升级技术方案.docx
《网络升级技术方案.docx》由会员分享,可在线阅读,更多相关《网络升级技术方案.docx(29页珍藏版)》请在冰豆网上搜索。
网络升级技术方案
网络升级技术方案
1/30
1.背景.............................................................31.1概述.........................................................31.2网络现状....................................................31.3建设目标....................................................52.网络设计.........................................................52.1设计原则....................................................52.2网络设计....................................................62.3核心网络升级................................................7
2.3.1网络核心层............................................................................................................7
2.3.2网络接入层设计....................................................................................................8
2.4智能网络管理................................................9
2.4.1IMC网络设备管理................................................................................................9
2.4.2IMC用户接入管理..............................................................................................15
2.4.3EAD端点准入控制..............................................................................................18
2.5.7VLAN分组设计...................................................................................................24
3.设备清单........................................................28
2/30
在企业的信息化建设中,基础是网络,离开了网络,企业的智能
化建设只能纸上谈兵。
而网络的建设又与应用密不可分,网络必须结
合应用的需求及特点,确保应用的顺利开展,为应用提供可靠的、安
全的、智能化的传输通路。
根据企业的规划和设计规模,我们在设计该企业的网络信息系统
时,将遵循“立足现在,着眼未来,重在实用,旨在效益”的总方针,
按照企业行业的国际标准模式,结合中国的具体国情,同时吸取国际
上流行的几家企业网络系统的精华,力争使所设计的网络系统具有技
术先进、高效快捷、安全可靠、易于维护、方便升级等特点。
老大楼的网络已经建起一定规模;随着发展需要,企业已建成第
二幢厂房,现有的网络已经无法满足环境的需要。
3/30
现有网络
CISCO3550
企业信息化网络平台建设起步较早。
目前的现状总结为如下几个方
面:
全网同处于一个广播域中,对全网的安全性存在很大的隐患。
网络内的核心交换机为一台CISCO3550交换机,设备老化严
重。
全网无核心层,汇聚层,接入层之分,故障的排错存在很大的
因难。
全网没有做任何安全的措施,包括防ARP等病毒的设臵,接入层的交换机是二层不可网管的交换机,不能划分VLAN,
无法对接入用户进行管理。
网内所有PC的IP地址均属于同一个网段,后期无法扩展。
4/30
通过建设一个高速、安全、可靠、可扩充的网络系统,实现企业
信息的高度共享、传递,及管理信息化,领导能及时、全面、准确地
掌握企业的科研、生产、管理、财务、人事等各方面情况,建立出口
信道,实现与Internet互联,实现领导和职员远程VPN的安全接入,
进行移动办公和资料查询。
办公网建设应该遵循以下原则:
——简单易用性:
由于企业的人员组成复杂,员工素质差异较大,所以设计的方案
必须简单,易于操作,使各种层次的员工都能逐步熟悉,在使用过程
中再对各种功能进行完善。
——可扩展性:
由于企业受市场的影响较大,会出现经常性的人员调整和机构调
整,因此办公网必须易于修改和扩充。
但这个功能必须由网络管理员
根据单位授权来完成。
——能有效解决移动办公:
企业人员出差频繁,甚至一些部门常驻外地。
很多事情需要立即
办理,办公网应该尽量保证每个人能够随时随地进行办公。
使用户可
以通过互联网安全受控的进入办公网进行日常办公。
5/30
——友好的界面设臵:
现在的技术能够很好地实现界面设臵。
能通过图形管理软件对系
统进行管理和设臵。
——关于系统的安全性:
系统中必须采用鉴权技术,对使用者身份进行确认。
对用户进行
分组,制定详尽的分组策略,做到那些资源允许那些组访问的明确,
对超级用户比如领导的授权,对外来人员也就是我们常说的访客都要
严格加于区别。
基于企业目前现状考虑,网络采用二层结构核心层、接入层,采
用双核心交换机S75010E相互备份冗余、双网络主干链路冗余、服务器群防护、网络地址重新规划、网络设备与用户智能管理的方式,
实施高可用性、高可扩展性和高可靠性、易管理的网络平台。
6/30
核心网络升级包括部署华为-3Com特有的IRF智能弹性架构,结合网络三层分层体系(核心层、汇聚层、接入层),实现双核心交
换机冗余、核心交换机主部件冗余、网络主干链路冗余、服务器群防
护、网络地址重新规划。
建议使用2台H3CS7510E高性能交换机采用VRRP协议构成双核心冗余,H3CS7500E系列产品是杭州华三通信技术有限公司(以
下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由
交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提
供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户
7/30
生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的
总拥有成本(TCO)。
H3CS7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
S7510E基于H3C公司自适应安全网络的技术理念,在提供稳定、
可靠、安全的高性能L2/L3层交换服务基础上,进一步提供了业务流
分析、基于策略的QOS、可控组播等智能的业务优化手段,从而为
企业IT系统构建面向业务的网络平台,实现通信整合,数据整合奠定
了基础。
H3CS7500E系列交换机支持无源背板,支持双路电源供电,支
持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持
STP/RSTP/MSTP/VRRP等协议实现链路冗余,实现可靠的核心服务;
2台位于网络中心的核心交换机通过千兆链路分别与位于新老厂区
办公楼配线间的接入交换机H3CS3600连接,构成网络千兆光纤主干双冗余,以消除主干单链路故障,从物理链路级别上实现千兆主干
链路的冗余互备。
接入层将采用新增加的H3CS3600交换机,实现全面的接入控制,H3CS3600交换机与IMC组合实现接入认证,用户如果不进行认证,将无法接入网内受保护的资源,同时也无法实现网络资源共享
以及数据传输。
8/30
H3C公司的IMC智能网络管理系统,采用组件化、模块化设计,
随着业务、设备、用户的扩展,添加需要的组件,能很好适应集团对
网络管理不断丰富需要。
iMC智能管理平台,是在统一了设备资源和用户资源管理的平
台框架的基础上,实现的基础业务管理平台,包括iMC基本资源管理部分、iMC基础网络管理和iMC用户接入管理。
iMC基础网络管理,涵盖了传统网管的主要功能,包括告警管
理、性能管理、拓扑管理等。
丰富、实用的网络视图,多样化的网络
拓扑,智能的告警显示、过滤和关联,直观的状态监控,性能管理,
用户管理与网络拓扑管理相融合
具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。
9/30
1)通过IP视图,用户可以观测网络的逻辑结构和物理结构。
2)设备视图,使得用户对网络中设备类型和数量一目了然。
3)自定义视图,使用户可以按照任何希望的方式构造客户化的网络
拓扑。
并提供直观简便的预览功能,集中监控用户关心的重点设备和
接口的状态。
拓扑更加美观清晰,能够实时显示当前视图的拓扑状态。
通过在
拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进
行监视,拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接,拓扑可以作为
管理员管理网络的唯一入口。
10/30
1)提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备
上的接入情况。
2)用户可以根据实际组网情况,定义自己关注的网络拓扑。
3)在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操
作链接,以满
足不同业务的需求。
4)提供丰富的声光告警,还可以针对不同的告警定义不同操作提示以及维护参考等;
5)汇总显示发生故障的设备,方便管理员日常维护工作展。
6)提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和
用户自定义规则过滤,可以有效压缩海量网络告警,使得管理员直接
关注真正的网络故障。
7)在安装其他组件的情况下,还提供基本告警和业务告警的关
11/30
联,
8)在基本告警发生后,系统进行关联分析,自动产生业务告警。
管理员即可根据基本告警从而迅速定位问题,缩短平均修复时间。
又
可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提
供数据基础。
与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜
色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要
查看拓扑,即可知道网络的整体运行状态。
1)提供了对系统所管理的各种设备性能参数的公共监视功能,比如
内存利用率、CPU利用率、设备不可达率、设备响应时间和接口
性能数据等。
2)可对每一个性能指标设臵二级阈值,发送不同级别的告警。
用户
可以根据告警信息直接了解到设备某指标的性能情况,有助于用
户随时了解网络的运行状态,预防网络故障,预测网络发展趋势,
合理优化网络。
3)通过历史监控报表和TopN报表管理员可以快速得到网络中需要
关注的设备的详细信息,通过报表的导出和打印功能,管理员能
够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供
12/30
有利的支撑。
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功
能。
比如查看用户信息、强制用户下线、执行安全检查等。
使终端用
户的管理更加直观清晰。
13/30
1)接入设备列表中可以直接看到用户相关信息,在使得操作简单方
便的基础上,又提高了操作员日常维护的效率:
2)可针对选定的接入设备进行用户操作,比如,针对某个接入设备,
将其所挂的用户全部下线处理等;3)可以在在线用户列表中通过点击接入设备,直接查看当前在线用
户所对应的接入设备的详细信息,比如,对应的基本信息、告警、
性能状况等。
该功能使得操作更友好,全面提升操作员的操作体
验;
14/30
iMC基本接入管理,主要管理用户的接入准入和控制。
支持多
种接入及认证方式,严格的权限控制手段,详尽的用户监控,集中方
便的用户管理,为接入设备提供查询设备明细信息的链接,接入设备
管理与拓扑管理的融合
1)支持802.1x、无线接入等多种认证接入方式;2)支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止账号盗用
和非法接入;
3)支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。
4)支持端点准入防御(EAD)解决方案,确保所有接入网络的用户
终端符合企业的安全策略。
15/30
1)用户权限控制策略,可以为不同用户定制不同网络访问权限;2)禁止用户设臵和使用代理服务器,有效防止个别用户对网络资源
的过度占用;
3)可限制用户IP地址分配策略,防止IP地址盗用和冲突;4)可以限制用户的接入时段和接入区域,用户只能在允许的时间和
地点上网;
5)可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露;6)可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证
客户端的安全性;
1)接入业务组件提供强大的“黑名单”管理,可以将恶意猜测密码
的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源;
16/30
2)管理员可以实时监控在线用户,强制非法用户下线;
3)支持消息下发,管理员可以向上网用户发布通知消息,如“系统
升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注
意保护密码安全”等;4)iMC接入业务组件记录认证失败日志,便于方便定位用户无法认
证通过的原因;
1)基于服务的用户分类管理,用户的认证绑定策略、安全策略、访
问权限均封装于服务中,简化管理员的操作,保证网络管理模式
的统一;
2)接入用户相关的管理动作集中化,界面对操作员来说更友好、更
美观易用:
17/30
可以通过简单的鼠标点击即可看到接入设备的详细信息,比如,对应
的基本信息、告警、性能状况等;
1)拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,
并可以通过很简单的鼠标点击方式,将此接入设备设臵为非接入
设备。
选择华为-3COM交换机完全支持802.1x协议,802.1X与认证
服务器IMC一起,防止非法用户和设备接入网络,防止不符合安全
策略的用户对网络产生威胁,例如恶意接入点、病毒库未及时升级、
操作系统未打补丁等。
当用户的信息通过认证服务器身份验证及网络
准入控制,满足防病毒服务器、补丁服务的检查后,用户获得网络访
18/30
问许可,根据分组访问权限,用户就可以访问指定的业务服务器VPN通道、互连网等,通过EAD系统可以防范网络病毒传播,确保服务
器及企业数据安全。
EAD解决方案提供企业网络安全管理的平台,通过整合孤立的
单点防御系统,加强对用户的集中管理,统一实施企业网络安全策略,
提高网络终端的主动抵抗能力。
其基本原理图如下:
EAD系统由四部分组成,具体包括安全策略服务器、安全客户
端平台、安全联动设备和第三方服务器。
安全策略服务器是EAD方案中的管理与控制中心,是EAD解决方案的核心组成部分,实现用户管理、安全策略管理、安全状态评估、
安全联动控制以及安全事件审计等功能。
目前华为3Com公司的
19/30
CAMS产品实现了安全策略服务器的功能,该系统在全面管理网络
用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策
略设臵,以标准协议与网络设备联动,实现对用户接入行为的控制,
同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上
网行为和安全事件。
安全客户端平台是安装在用户终端系统上的软件,该平台可集成
各种安全厂商的安全产品插件,对用户终端进行身份认证、安全状态
评估以及实施网络安全策略。
安全联动设备是企业网络中安全策略的实施点,起到强制用户准
入认证、隔离不合格终端、为合法用户提供网络服务的作用。
CAMS综合接入管理平台作为安全策略服务器,提供标准的协议接口,支持
同交换机、路由器等各类网络设备的安全联动。
第三方服务器为病毒服务器、补丁服务器等第三方网络安全产
品,通过安全策略的设臵实施,第三方安全产品的功能集成至EAD解决方案中,实现安全产品功能的整合。
EAD原理图示意了应用EAD系统实现终端安全准入的流程:
用户终端试图接入网络时,首先通过安全客户端上传用户信息至
安全策略服务器进行用户身份认证,非法用户将被拒绝接入网络。
合法用户将被要求进行安全状态认证,由安全策略服务器验证补
丁版本、病毒库版本等信息是否合格,不合格用户将被安全联动设备
隔离到隔离区进入隔离区的用户可以根据企业网络安全策略,通过第
20/30
三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操
作,直到接入终端符合企业网络安全策略。
安全状态合格的用户将实施由安全策略服务器下发的安全设臵,
并由安全联动设备提供基于身份的网络服务
用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒
库版本、是否感染病毒等反映终端防御能力的状态信息。
EAD通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能正
常访问网络
实时的“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如
果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问
病毒服务器、补丁服务器等用于系统修复的网络资源。
在用户终端在通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全客户端下发系统配臵的安全策略,按照用户
角色权限规范用户的网络使用行为。
终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设臵均可
由管理员统一管理,并实时应用实施。
21/30
EAD是一个可扩展的安全解决方案,对现有网络设备和组网方
式改造较小。
在现有企业网中,只需对网络设备和三方软件进行简单
升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,
有效保护用户的网络投资。
EAD也是一个开放的解决方案。
EAD系统中,安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实
现。
在防病毒方面,目前EAD系统已金山、瑞星、江民等多家主流
防病毒厂商的产品实现联动。
EAD方案部署灵活,维护方便,可以按照网络管理员的要求区
别对待不同身份的用户,定制不同的安全检查和隔离级别。
EAD可
以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、
提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用
户对安全准入控制的不同要求。
EAD是一种通用接入安全解决方案,具有很强的灵活性和适应
性,可以配合交换机、路由器、VPN网关等网络设备,实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的安
全防护。
可以为多种应用场合提供安全保护,具体包括:
在企业网内部,接入终端一般是通过交换机接入企业网络,EAD
通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,
22/30
降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策
略,阻止来自企业内部的安全威胁。
WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的
监控,容易感染病毒和木马或出现长期不更新系统补丁的现象,给网
络带来安全隐患。
与局域网接入防护类似,对于这种无线接入的用户,
EAD也可以在交换机配合下,通过实现用户接入终端的安全控制,
实现用户网络的安全保护。
一些企业和机构允许移动办公员工或外部合作人员通过VPN方
式接入企业内部网络。
EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证
通过后实施企业安全策略。
对于没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
对于接入网络的用户终端,其访问权限受EAD下发的安全策略控制,其对企业关键数据服务器的访问也因此受控。
同时由于可访问
该数据服务器的用户均通过EAD的安全状态检查,避免数据遭受非
法访问和攻击。
23/30
大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴
也可以通过专线或WAN连接企业总部。
这种组网方式在开放型的商
业企业中比较普遍,受到的安全威胁也更严重。
为了确保接入企业内
部网的用户具有合法身份且符合企业安全标准,可以在企业入口路由
器中实施EAD准入认证。
EAD提供了一个全新的安全防御体系,该系统作为网络安全管
理的平台,将防病毒功能、自动升级系统补丁等第三方软件提供的网
络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合,
加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。
在
EAD平台的基础上,可轻松构建让企业管理者、网络用户和网络管
理员均放心的安全网络。
通过对网络接入终端的检查、隔离、修复、
管理和监控,有效管理网络安全,使整个网络变被动防御为主动防御、
变单点防御为全面防御、变分散管理为集中策略管理,让网络拥有“自
动免疫”的安全机能。
VLAN,是英文VirtualLocalAreaNetwork的缩写,中文名为"虚拟局域网",VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),
从而实现虚拟工作组(单元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流
应用还是在交换机之中。
不过不是所有交换机都具有此功能,只有三
24/30
层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即
可得知。
VLAN的好处主要有三个:
(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。
这样一个物理的交换机可以当作多个逻辑的交换
机使用。
(2)网络的安全。
不同VLAN不能直接通信,杜绝了广播信息的
不安全性。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更
改软件配臵就可以了。
VLAN技术的出现,使得管理员根据实际应
用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播
域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理
上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从
物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物
理范围中,即这些工作站可以在不同物理LAN网段。
由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投
升级会员 