网络升级技术方案.docx

1、网络升级技术方案 网络升级技术方案1/30 1 .背景 . 3 1.1概述 . 3 1.2 网络现状 . 3 1.3 建设目标 . 5 2 .网络设计 . 5 2.1 设计原则 . 5 2.2 网络设计 . 6 2.3 核心网络升级 . 7 2.3.1 网络核心层 . 7 2.3.2 网络接入层设计 . 8 2.4 智能网络管理 . 9 2.4.1 IMC网络设备管理 . 9 2.4.2 IMC用户接入管理 . 15 2.4.3 EAD端点准入控制 . 18 2.5.7 VLAN分组设计 . 24 3 .设备清单 . 28 2/30 在企业的信息化建设中，基础是网络，离开了网络，企业的智能化建

2、设只能纸上谈兵。而网络的建设又与应用密不可分，网络必须结合应用的需求及特点，确保应用的顺利开展，为应用提供可靠的、安全的、智能化的传输通路。 根据企业的规划和设计规模，我们在设计该企业的网络信息系统时，将遵循“立足现在，着眼未来，重在实用，旨在效益”的总方针，按照企业行业的国际标准模式，结合中国的具体国情，同时吸取国际上流行的几家企业网络系统的精华，力争使所设计的网络系统具有技术先进、高效快捷、安全可靠、易于维护、方便升级等特点。 老大楼的网络已经建起一定规模；随着发展需要，企业已建成第二幢厂房，现有的网络已经无法满足环境的需要。 3/30 现有网络CISCO3550企业信息化网络平台建设起步

3、较早。目前的现状总结为如下几个方面： , 全网同处于一个广播域中，对全网的安全性存在很大的隐患。 , 网络内的核心交换机为一台CISCO3550交换机，设备老化严重。 , 全网无核心层，汇聚层，接入层之分，故障的排错存在很大的因难。 , 全网没有做任何安全的措施，包括防ARP等病毒的设臵 , 接入层的交换机是二层不可网管的交换机，不能划分VLAN，无法对接入用户进行管理。 , 网内所有PC的IP地址均属于同一个网段，后期无法扩展。 4/30 通过建设一个高速、安全、可靠、可扩充的网络系统，实现企业信息的高度共享、传递，及管理信息化，领导能及时、全面、准确地掌握企业的科研、生产、管理、财务、人事

4、等各方面情况，建立出口信道，实现与Internet互联，实现领导和职员远程VPN的安全接入，进行移动办公和资料查询。 办公网建设应该遵循以下原则： 简单易用性： 由于企业的人员组成复杂，员工素质差异较大，所以设计的方案必须简单，易于操作，使各种层次的员工都能逐步熟悉，在使用过程中再对各种功能进行完善。 可扩展性： 由于企业受市场的影响较大，会出现经常性的人员调整和机构调整，因此办公网必须易于修改和扩充。但这个功能必须由网络管理员根据单位授权来完成。 能有效解决移动办公： 企业人员出差频繁，甚至一些部门常驻外地。很多事情需要立即办理，办公网应该尽量保证每个人能够随时随地进行办公。使用户可以通过互

5、联网安全受控的进入办公网进行日常办公。 5/30 友好的界面设臵： 现在的技术能够很好地实现界面设臵。能通过图形管理软件对系统进行管理和设臵。 关于系统的安全性： 系统中必须采用鉴权技术，对使用者身份进行确认。对用户进行分组，制定详尽的分组策略，做到那些资源允许那些组访问的明确，对超级用户比如领导的授权，对外来人员也就是我们常说的访客都要严格加于区别。 基于企业目前现状考虑，网络采用二层结构核心层、接入层，采用双核心交换机S75010E相互备份冗余、双网络主干链路冗余、服务器群防护、网络地址重新规划、网络设备与用户智能管理的方式，实施高可用性、高可扩展性和高可靠性、易管理的网络平台。 6/30

6、 核心网络升级包括部署华为-3Com特有的IRF智能弹性架构，结合网络三层分层体系（核心层、汇聚层、接入层），实现双核心交换机冗余、核心交换机主部件冗余、网络主干链路冗余、服务器群防护、网络地址重新规划。建议使用2台H3C S7510E高性能交换机采用VRRP协议构成双核心冗余，H3C S7500E系列产品是杭州华三通信技术有限公司（以下简称H3C公司）面向融合业务网络推出的新一代高端多业务路由交换机，该产品基于H3C自主知识产权的Comware V5操作系统，融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术，在提高用户7/30

7、 生产效率的同时，保证了网络最大正常运行时间，从而降低了客户的总拥有成本（TCO）。H3C S7500E符合“限制电子设备有害物质标准（RoHS）”，是绿色环保的路由交换机。 S7510E基于H3C公司自适应安全网络的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为企业IT系统构建面向业务的网络平台，实现通信整合，数据整合奠定了基础。 H3C S7500E系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链

8、路冗余，实现可靠的核心服务；2台位于网络中心的核心交换机通过千兆链路分别与位于新老厂区办公楼配线间的接入交换机H3C S3600连接，构成网络千兆光纤主干双冗余，以消除主干单链路故障，从物理链路级别上实现千兆主干链路的冗余互备。 接入层将采用新增加的H3C S3600交换机，实现全面的接入控制， H3C S3600交换机与IMC 组合实现接入认证，用户如果不进行认证，将无法接入网内受保护的资源，同时也无法实现网络资源共享以及数据传输。 8/30 H3C公司的IMC智能网络管理系统，采用组件化、模块化设计，随着业务、设备、用户的扩展，添加需要的组件，能很好适应集团对网络管理不断丰富需要。 iMC

9、智能管理平台，是在统一了设备资源和用户资源管理的平台框架的基础上，实现的基础业务管理平台，包括iMC基本资源管理部分、iMC基础网络管理和iMC用户接入管理。 iMC基础网络管理，涵盖了传统网管的主要功能，包括告警管理、性能管理、拓扑管理等。丰富、实用的网络视图，多样化的网络拓扑，智能的告警显示、过滤和关联，直观的状态监控，性能管理，用户管理与网络拓扑管理相融合 具备丰富的视图功能，使得管理员可以从多个角度观测和管理网络。 9/30 1) 通过IP视图，用户可以观测网络的逻辑结构和物理结构。 2) 设备视图，使得用户对网络中设备类型和数量一目了然。 3) 自定义视图，使用户可以按照任何希望的方

10、式构造客户化的网络拓扑。并提供直观简便的预览功能，集中监控用户关心的重点设备和接口的状态。 拓扑更加美观清晰，能够实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息，管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接，拓扑可以作为管理员管理网络的唯一入口。 10/30 1） 提供完整的IP拓扑、二层拓扑、邻居拓扑，能够显示接入设备上的接入情况。 2） 用户可以根据实际组网情况，定义自己关注的网络拓扑。 3） 在安装了其他组

11、件的情况下，拓扑会增加相应的业务拓扑和操作链接，以满 足不同业务的需求。 4） 提供丰富的声光告警，还可以针对不同的告警定义不同操作提 示以及维护参考等； 5） 汇总显示发生故障的设备， 方便管理员日常维护工作展。 6） 提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤，可以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。 7） 在安装其他组件的情况下，还提供基本告警和业务告警的关11/30 联， 8） 在基本告警发生后，系统进行关联分析，自动产生业务告警。管理员即可根据基本告警从而迅速定位问题，缩短平均修复时间。又可根据业务告警，分析出受影响的业务，为网络的现

12、状评估和优化提供数据基础。 与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。 1) 提供了对系统所管理的各种设备性能参数的公共监视功能，比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。 2) 可对每一个性能指标设臵二级阈值，发送不同级别的告警。用户可以根据告警信息直接了解到设备某指标的性能情况，有助于用户随时了解网络的运行状态，预防网络故障，预测网络发展趋势，合理优化网络。 3) 通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息，通过

13、报表的导出和打印功能，管理员能够迅速将网络状况汇总数据上报给各级领导，为网络的决策提供12/30 有利的支撑。 在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。 13/30 1）接入设备列表中可以直接看到用户相关信息，在使得操作简单方便的基础上，又提高了操作员日常维护的效率： 2）可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等； 3）可以在在线用户列表中通过点击接入设备，直接查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。该功能使

14、得操作更友好，全面提升操作员的操作体验； 14/30 iMC基本接入管理，主要管理用户的接入准入和控制。支持多种接入及认证方式，严格的权限控制手段，详尽的用户监控，集中方便的用户管理，为接入设备提供查询设备明细信息的链接，接入设备管理与拓扑管理的融合 1）支持802.1x、无线接入等多种认证接入方式； 2）支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入； 3）支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。 4）支持端点准入防御（EAD）解决方案

15、，确保所有接入网络的用户终端符合企业的安全策略。 15/30 1）用户权限控制策略，可以为不同用户定制不同网络访问权限； 2）禁止用户设臵和使用代理服务器，有效防止个别用户对网络资源的过度占用； 3）可限制用户IP地址分配策略，防止IP地址盗用和冲突； 4）可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网； 5）可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露；6）可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性； 1）接入业务组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源； 16/30

16、 2）管理员可以实时监控在线用户，强制非法用户下线； 3）支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等； 4）iMC接入业务组件记录认证失败日志，便于方便定位用户无法认证通过的原因； 1）基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一； 2）接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用： 17/30 可以通过简单的鼠标点击即可看到接入设备的详细信息，比如，对应的基本信息、告警、性能状况等； 1）拓扑中可以清晰的显示出

17、接入设备，并能查看接入设备相关信息，并可以通过很简单的鼠标点击方式，将此接入设备设臵为非接入设备。 选择华为-3COM交换机完全支持802.1x协议，802.1X与认证服务器IMC一起，防止非法用户和设备接入网络，防止不符合安全策略的用户对网络产生威胁，例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。当用户的信息通过认证服务器身份验证及网络准入控制，满足防病毒服务器、补丁服务的检查后，用户获得网络访18/30 问许可,根据分组访问权限，用户就可以访问指定的业务服务器VPN通道、互连网等，通过EAD系统可以防范网络病毒传播，确保服务器及企业数据安全。 EAD解决方案提供企业网络安全管理的平

18、台，通过整合孤立的单点防御系统，加强对用户的集中管理，统一实施企业网络安全策略，提高网络终端的主动抵抗能力。其基本原理图如下： EAD系统由四部分组成，具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。 安全策略服务器是EAD方案中的管理与控制中心，是EAD解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的19/30 CAMS产品实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设臵，以标准协议与网络设备联动，实现对用户接入行为的控制，同时，该

19、系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。 安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略 。 安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。 第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设臵实施，第三方安全产品的功能集成至EAD解决方案中，实现安全产品功能的整合。 EAD原

20、理图示意了应用EAD系统实现终端安全准入的流程： 用户终端试图接入网络时，首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证，非法用户将被拒绝接入网络。 合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区进入隔离区的用户可以根据企业网络安全策略，通过第20/30 三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合企业网络安全策略。 安全状态合格的用户将实施由安全策略服务器下发的安全设臵，并由安全联动设备提供基于身份的网络服务 用户终端的安全状态是指操作系统补丁、第三方软件版本

21、、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能正常访问网络 实时的“危险”用户隔离 系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。 在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配臵的安全策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设臵均可由管理员统一管理，并实时应用实施

22、。 21/30 EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有企业网中，只需对网络设备和三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。 EAD也是一个开放的解决方案。EAD系统中，安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。 EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）

23、、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。 EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，可以配合交换机、路由器、VPN网关等网络设备，实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的安全防护。可以为多种应用场合提供安全保护，具体包括： 在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，22/30 降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。 WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的

24、监控，容易感染病毒和木马或出现长期不更新系统补丁的现象，给网络带来安全隐患。与局域网接入防护类似，对于这种无线接入的用户，EAD也可以在交换机配合下，通过实现用户接入终端的安全控制，实现用户网络的安全保护。 一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装EAD安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。 对于接入网络的用户终端，其访问权限受EAD下发的安全策略控制，其对企业关键数据服务器的访问也因此受

25、控。同时由于可访问该数据服务器的用户均通过EAD的安全状态检查，避免数据遭受非法访问和攻击。 23/30 大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器中实施EAD准入认证。 EAD提供了一个全新的安全防御体系，该系统作为网络安全管理的平台，将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能

26、力。在EAD平台的基础上，可轻松构建让企业管理者、网络用户和网络管理员均放心的安全网络。通过对网络接入终端的检查、隔离、修复、管理和监控，有效管理网络安全，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，让网络拥有“自动免疫”的安全机能。 VLAN，是英文Virtual Local Area Network的缩写，中文名为虚拟局域网， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。 VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在

27、交换机之中。不过不是所有交换机都具有此功能，只有三24/30 层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。VLAN的好处主要有三个： (1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。 (2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配臵就可以了。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻 辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段 。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有 助于控制流量、减少设备投