《某集团网络改造方案建议书(共48页).doc》由会员分享,可在线阅读,更多相关《某集团网络改造方案建议书(共48页).doc(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上重庆翰华担保集团网络技术建议书 年 月 日 目 录 第1章 项目背景1.1 需求分析为满足翰华担保集团现代化办公的需要,需要建立一套现代化网络平台。重庆翰华担保集团拥有大量的服务器和主机设备,需要局域网络提供高速带宽支持。这就需要建设一套先进的网络系统,加速实现办公现代化,充分提高工作效率。计算机网络系统为其它各子系统集成提供了基础,网络主干目前一般采用千兆,可平滑升级到万兆,同时达到100兆交换到桌面。包括建立有线与无线共存应用,多种服务和强大的数据库。网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则,选择先进、可靠、符合未来技术发展趋势
2、的组网技术。购置设备的选型要具有开放性、符合国际标准,兼顾先进性和成熟性,并与已有设备兼容,具有良好的可管理性。网络应具有高可靠性,包括设备可靠性、链路可靠性、路由冗余等。同时,骨干网具有支持IPv6协议、组播路由等下一代互联网技术的扩展能力。为员工提供Email、DNS、DHCP、FTP、BBS等网络基本服务,运行和维护基于Web的信息发布系统。划分专门的网段,运行和维护各类信息系统的服务器,提供数据中心服务。选用的网络设备应是当今世界上较为先进、应用范围广,而且应与世界上其它主要厂商的产品具有良好的互连性。根据整个厂区的网络信息点的分布。要充分考虑到:网络安全系统、网络地址要求、 网上多媒
3、体系统、服务器、存储、备份系统、中心机房环境等。网络规划,除了考虑到当前的实际需要外,对于网络平台的规划我们充分考虑现阶段网络技术发展的趋势,并提供长远的规划和扩展的考虑,实施完成后重庆翰华担保集团园区网络应充分满足以下几个方面:高性能随着IP电话、视频会议、网上业务、OA办公系统、电子邮件系统、ERP系统等应用的应用,网络需要承载各种信息流,将对重庆翰华担保集团内网以及外网网带宽提出较高的要求。高速网络是网络发展的必然方向,网络应该运用当今最先进的技术,并且应该满足今后若干年的性能需求。因此,我们建议的重庆翰华担保集团的基础网络结构:1、以千兆为核心技术,支持万兆交换已成为组网的基本要求,千
4、兆到接入交换机、千兆到服务器,、百兆到员工,应该成为重庆翰华担保集团网络建设的基本要求。2、支持多种应用:建成后的重庆翰华担保集团网络是融合多种应用如数据、IP电话、视频、监控等的网络,网络在建之初就应该考虑的对多业务的支持。3、对于一个大型的网络来说,VLAN的灵活划分是非常重要的功能,它为限制全网范围的广播、减少不必要的流量提供了有效的手段。在网络设计中应选择切实可行的技术进行VLAN的灵活划分。高安全性随着重庆翰华担保集团信息化建设的不断深入,在重庆翰华担保集团网络迅速壮大并推动业务快速发展的同时,也使重庆翰华担保集团面临着更加严峻的挑战:网络安全与网络管理日益成为关系到重庆翰华担保集团
5、可持续发展的重大因素。目前常见的企业网络安全隐患主要来自以下一些方面:1网络级攻击:窃听报文 ,IP地址欺骗 、源路由攻击、端口扫描 、拒绝服务攻击。2应用层攻击 :有多种形式,包括探测应用软件的漏洞、特洛依木马等;3系统级攻击:不法分子利用操作系统的安全漏洞对内部网构成安全威胁。另外,网络本身的可靠性与线路安全也是值得关注的问题。所以建成的重庆翰华担保集团网络系统应具有良好的安全性。能够对使用者进行验证、授权、审核,以保障系统的安全性。同时提供灵活的用户接入控制策略:及分布式控制和集中式控制。高可靠性重庆翰华担保集团网络系统承载着重庆翰华担保集团各种重要的业务数据,整个网络系统应具有高可靠性
6、。除了采用高可靠性的网络设备以外还应考虑链路层和网络层的备份。可扩展性和可升级性系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易管理、易维护重庆翰华担保集团网络系统规模大,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。1.2 网络设计原则网络平台是信息化建设的重要基础设施,必须从网络信息体系建设的全局考虑,将计算机网络建设为一个高起点,易于扩充、升级、管理和使用的网络系统。先进性和实用性网络规划既要以现实需要为出发点,又要考虑长远
7、发展的需要和潜在的扩充,尽可能采取先进而成熟的技术和产品,使之在一定时期内都能保持较先进的水平。使网络带宽性能不仅适应现在的需要,还可以满足未来几年数据量的要求。在网络设计中,首先要考虑的是实用性,使之易操作、易管理和维护并且易于用户掌握和学习使用。其次要考虑对现有设备和资源的充分利用,采用成熟的网络通信技术和设备,保证原有的投资。目前随着网络的声音、图像等多媒体应用日益增加,对网络服务质量,如带宽,延迟等有很高的要求。利用IP QoS、IP Multicast、MPLS等技术可以保证服务质量(QoS)满足用户要求。可靠性与安全性系统安全可靠运行是整个系统建设的基础。鉴于网络信息的重要性,要求
8、网络系统要有较高的可靠性,各级网络应具有网络监督和管理能力;要适当考虑关键设备和线路的冗余,使其能够进行在线修复、更换和扩充;要确保系统数据传输的正确性,以及为防止异常情况发生所必须的保护性措施。根据具体情况采用VPN技术、访问控制列表、子网隔离、防火墙和IPS等安全控制措施,以保证网络安全运行,拒绝未经授权的访问。不仅要求网络能够长时间的安全运转,同时要求网络设备具有较强的容错能力。在系统设计上,要从以下几个方面保证网络的可靠与容错:选用高可靠性的网络设备,在网络的关键部位采用冗余备份设计,避免单点故障,保证网络长期运行的可靠性。采用优秀的网管系统对网络进行实时监控,以便及时发现网络故障。采
9、用可靠的备份系统,通过TFTP服务器定时备份网络设备配置。系统设计能对关键数据提供可靠的保护;对网络病毒提供防范措施;网络数据要有可靠的备份,备份系统要求读写速度快,保密性好,可靠性高。开放性与标准化系统采用的硬件平台、软件平台、网络协议等符合开放系统的标准,并能够与其他系统实现互联,将采用大多数厂商支持的国际标准协议。具体讲,主要从以下几个方面实现开放性和标准化;采用工业标准TCP/IP协议。网络互联设备应支持多种协议,能与其它厂家设备互操作。采用支持SNMP协议的网管软件。 在总体设计中,应采用开放式的体系结构,使网络易于扩充,使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力,
10、即在外界环境改变时,系统可以不作修改或仅作少量修改就能在新环境下运行。网络选用的通信协议和设备要符合国际标准或工业标准,将不同应用环境和不同的网络优势有机地结合起来。也就是说,要使网络的硬件环境、通讯环境、软件环境、操作平台之间的相互依赖减至最小,发挥各自优势。同时,要保证网络的互联,为信息的互通和应用的互操作创造有利的条件。经济性与可扩充性扩展和升级系统建设要考虑将来的扩展和升级,以免人力、物力、财力的浪费。网络设计不仅要满足当前的需求,还要为将来的扩展留有余地,保护投资。网络设计采用国际标准的技术和符合标准的设备,系统软件或硬件升级都不应影响整个系统的运行。系统上结点的增减也应不影响系统的
11、正常运行。建成的网络系统必须具有良好的可扩充性和升级能力,其扩充和升级将以最低成本花费为前提。易于管理和维护网络系统的所有设备都应是可管理的,会支持远程监控及对故障的过程诊断和恢复。通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络的优化提供依据。另外,网络的设计应采用简单易用的网络技术,降低运行维护的费用。 经济性可以和现有网络无缝的连接,同时可以提升现有网络的性能。在网络设备的选择上,既要考虑技术性能、市场份额、技术特色,又要权衡与原有系统整合的条件、人员的培训状况。本系统需要完整而成熟的最新技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性。根据前
12、面所作的现状与需求分析,我们提出以下的总体设计思想:采用先进的万兆、千兆以太网以及快速以太网交换技术:目前,局域网建设模式是以千兆以太网为骨干、并具有万兆能力,设备间以百兆以太网交换的方式;采用业界主流的交换机产品:在产品选型上采用业界最先进的产品,可以保证网络具有长期的产品升级、支持和维护;在设备配置上兼顾先进性与适用性:采取最先进的设备配置可以保证网络的性能,但同时也造成网络建设成本的增加,因此,必须兼顾先进性与适用性,求得最佳的性能价格比;面向应用的网络:目前,局域网应用的发展非常迅猛,各类新的应用技术和模式不断涌现,网络必须支持这种变化,满足新的应用的需求;周密的网络安全策略:网络安全
13、目前已经成为网络建设中非常重要的一个环节,对于局域网来说,网络安全的重要性就更显突出,必须制定周密的网络安全策略,最大限度地保证网络安全;全面的网络管理与维护:网络管理与维护在网络的整个运行周期中起着非常重要的作用,因此在网络设计时必须充分考虑未来网络管理与维护的工作。第2章 网络结构设计根据重庆翰华担保集团的网络信息点的分布,我们建议使用核心层加接入层的方式来实现我们所需要的网络。考虑到重庆翰华担保集团园区的规模和设计,我们建议在网络核心层使用一台核心交换设备,接入层交换机通过千兆链路连接到核心交换机,来满足对目前的要求。2.1 网络设计拓扑结构描述:如图所示:整个网络拓扑结构分为核心层和接
14、入层,下面我们就对整个网络结构做详细描述。1 中心部分是由防火墙、VPN网关、上网行为管理及核心交换机组成;2 为了保证WEB服务器能安全的为互联网用户提供服务,我们可以把服务器放在防火墙的DMZ区里面,来实现WEB服务器的对外提供服务;3 为了保证分支用户能安全高效的接入总公司的内网,我们在防火墙后面放置一台VPN设备用来做与分支机构互联的VPN网关。4 为了使用户更加安全的接入互联网,我们在出口处放置了一台上网行为管理设备,最大可能的保护用户连接互联网的安全。5 接入层:接入层交换机全部通过千兆铜缆的方式连接到核心交换机上的,同时楼层的接入交换机之间的级联也是通过千兆的方式进行级联的,这样
15、就达到了骨干千兆,百兆桌面的网络结构。同时本次方案中,我们选用的是H3C的S3100-26TP-EI交换机,该交换机具有高安全性能,支持IP+MAC+端口的绑定功能,为用户的安全接入提供了可行性.第3章 本方案的技术设计3.1 路由协议的设计在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协议有多种,如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点,分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素:1)路由协议的开放性开放性的路由协议保证了不同厂商都能对本路由协议进行支持,这不仅保证了目前网络的互通性,而且保证了将来网络发展的扩
16、充能力和选择空间。2)网络的拓扑结构网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算,对复杂网络的适应能力较弱。3)网络节点数量不同的协议对于网络规模的支持能力有所不同,需要按需求适当选择,有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。4)与其他网络的互连要求通过划分成相对独立管理的网络区域,可以减少网络间的相关性,有利于网络的扩展,路由协议要能支持减少网络间的相关性,是通常划分为一个自治系统(AS),在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。5)管理和安全上的要求通常要求在可以满足功能
17、需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议对策略的支持。因此选择静态路由协议,对于厂区数据网网络性能的最优和安全性是非常重要的。3.2 VLAN设计在网络成为必不可少的工具、信息处理成为日常工作的重心后,VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在:1. VLAN可以改善网络的通信效率。因为通信流量只局限于本子网中,不会对其它子网产生干扰。2. VLAN可以避免广播风暴。在较大规模的网络中,大量的广播信息很容易引起网络性能的急剧降低,甚至使网络瘫痪。而VLAN使广播只在子网中进
18、行,不会作无意义的扩散,从而消除了广播风暴产生的条件。3. VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问,信息流通得到相当好的控制。4. VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限,也就是说网络规划完全不会受到物理的限制。VLAN的划分与IP子网的规划存在很大的关系。具体的实施过程建议如下进行:1对全网的IP地址进行全面的规划,确定各子网内主机的数量,并根据IP子网内主机的数量确定掩码的长度。2确定IP子网的聚合点,聚合点以下采用连续的子网划分。使聚合点向核心路由器通告最少的路由。3选择合适的路由协议进行子网路由。4根据IP子
19、网的规划,对交换机进行VLAN的规划和划分。建立VLAN和IP子网的对应关系。5网络管理系统采用完全独立的IP子网和VLAN,实现更安全的对所有网络设备进行管理。6根据信息流量的走向和分布,确定服务器集群的VLAN和IP子网。7在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。8建立相应的子网间的访问策略,在三层路由交换机配置访问列表。3.3 trunk链路的设计所有的接入层交换机全部采用的是H3C公司的3100EI系列的二层可管理千兆交换机,因为要满足因为地理位置不同,但部门是同一个部门的问题,同时IP要规划在同一个子网内;所以,我们可以通过在二层交换机上做trunk的方式
20、,把网关都集中在核心三层交换机上来实现。3.4 访问控制(ACL)的设计对于那些确实具有网络接入许可,但试图访问未得到授权的网络资源的用户站点,H3C系列产品的多层交换引擎能在进行高效的第三层交换的同时,根据用户的IP地址限制其访问不被授权访问的服务器。本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和OSI网络模型的数据链路层、网络层的立体交叉的、多维化的安全保障。应用ACL防范“冲击波”等蠕虫病毒:最近发现的冲击波病毒,造成了很多地方感染,网络瘫痪。这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞。蠕虫还会在本地的UDP/6
21、9端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。 蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows
22、XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃。另外中毒的服务器会向网络发送大量无效的数据包,浪费有效的网络带宽,造成用户感觉上网速度慢,甚至使交换机等网络设备死机,所以我们可以利用S21系列智能交换机的ACL功能做出限制,禁止其转发和传播。3.5 服务质量(QOS)机制本方案采用的交换机支持802.1P、端口优先级、IP TOS、二到七层过滤等QoS策略,具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供
23、服务。实现网络的高效、可靠运行,支持数据、话音和视频之间的无缝集成。为用户提供良好的QoS保证。3.6 广播风暴的抑制H3C S5510、S3100EI均可以实现基于端口的广播风暴抑止功能,可支持同一VLAN内的风暴抑止功能,可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定。3.7 防止对DHCP服务器的攻击使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光
24、。H3C S5510系列交换机可以支持多种禁止私设DHCP Server的方法。3.8 防止基于流的攻击特性H3C核心交换机S5510、接入交换机S3100EI均采用最长路由匹配技术,与传统的基于流转发的方式相比,更具有强大的安全特性,对于如:红色代码等病毒可具有较高的抗攻击能力,可确保网络的安全、稳定。第4章 具体解决方案4.1 VLAN规划4.1.1 划分VLAN的必要性VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。采用
25、虚网功能,网络性能可以获得较大的改善: 1.虚网技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线,因为虚网技术是从逻辑角度而非物理角度来划分子网的,所以采用虚网技术能减轻系统的扩容压力,将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备,增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务,但与传统的局域网协议所不同的是,虚拟局域网
26、能限制广播的区域,从而节省网络带宽。5.虚拟局域网可以建立在不同的物理网络上,用封装的办法支法支持不同的网络协议络协议,如SNMP、NMP、IPX、TCP/IP、IEEE802.33等,兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继”,VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之,VLAN Trunking主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用,既节省了信道数据量,又提高了可
27、靠性,并便于管理及方便连接,提高了整个网络吞吐量和性能指标。其原理如下图所示:如果采用VLAN trunking 的技术,则V1、V2、V3均可通过一条全双工的100Mbps,即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接,提高了通道的使用效率,如在,如在V2,V3无数据量的情况下,V1可以独占此100M带宽;并且可以使得线路的连接变得简单,从而大大提高可靠性与易维护性。4.1.2 划分VLAN的方法作为一个大型企业集团,为方便管理和维护,交换机必须要求支持灵活的VL
28、AN划分,华三公司的S3100EI接入交换机不仅能够支持标准的802.1Q VLAN,还能实现端口之间的隔离。我们可以使用S3100EI支持的P-VLAN(primary-vlan)这个特性,一方面实现用户之间的隔离,另一方面可以为三层交换机节省VLAN资源。S3100EI可以屏蔽下面的VLAN划分,仅向三层交换机提供一个VLAN信息,在边缘交换机实现了端口可以同时属于多个Vlan;如图所示:其中端口1为uplink端口,端口2,3,4为接入端口; Vlan 1:包含端口:1,2,3,4,5 Vlan 2:包含端口:1,2 Vlan 3:包含端口:1,3,4 Vlan 4:包含端口:1,5 设
29、计中采用了几个secondary VLAN包含在一个primary VLAN中的方式,给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离,可以采用了为每个用户分配一个secondary vlan的方式,每个VLAN中只包含用户连接的port和uplink port;如果希望实现用户之间二层报文的互通,可以将用户连接的端口划入同一个VLAN中;同时创建primary VLAN,该vlan包含所有secondary VLAN中包含的端口和uplink端口,这样对上层交换机来说,可以认为下层交换机中只有一个primary VLAN,用来标识设备,而不必关心primary VLAN中的端口实际
30、所属的VLAN,简化了配置,节省了VLAN资源。primary VLAN中的所有端口都是不是802.1Q的trunk端口,包括与其它交换机相连的uplink口。每个 port的PVID就是它所属secondary vlan的ID;uplink端口的PVID是primary VLAN的ID;如下图所示:这样VLAN 10和VLAN 20内的用户属于一个网段,分属不同的VLAN,在三层交换机上仅仅需要创建VLAN 30,它认为二层交换机上面仅仅只有一个VLAN 30,在二层交换机上配置VLAN 30为P-VLAN,包含从VLAN 10和VLAN 20,它们对三层交换机来说是不可见的。将端口分配给V
31、LAN的方式有两种,分别是静态的和动态的。静态VLAN:形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN,然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN:建议使用华三公司的802.1X实现动态VLAN功能。我们知道,VLAN常常被规划用于对“资源访问权限”的分组,不同的VLAN具有不同的访问权限,每个VLAN内有一个IP地址网段,不同的VLAN/IP地址段的用户,具有不同的访问资源的权限。用户权限数据一般存储在CAMS(后台综合访问管理服务器)中,CAMS根据用户端的权限归类,在认证通过之后向二层交换机作动态的
32、VLAN ID下发配置。此时,二层交换机要支持VLAN的动态配置功能(华三全系列交换机支持)。4.1.3 具体VLAN规划在重庆翰华担保集团网络建设中,首先,必须实现不同部门网络之间的互相割离。通常按照具体部门之间进行划分。本次项目奖建议使用此种划分方法。我们建议使用VLAN技术,同时在核心交换机上配合使用访问控制列表实现不同部门之间的隔离。我们建议每个部门作为一个独立的VLAN,部门内部可以使用PVLAN的功能,再进一步进行隔离。从广播控制角度出发,为了保障网络的高可用和高性能,我们建议在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机不要超过50台,最好控制在30台以内,对
33、于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。对于服务器建议单独设置在一个VLAN中。如果不同部门的人员之间需要实现互访,则只需要在核心交换机S9512上放开访问控制列表就可以了。对于集团公司高层,需要能够访问各个部门资源,对于此类用户,我们只需在核心交换机上,不对其设置任何访问控制列表就可以了。总之,任何访问控制要求,均可以通过访问控制列表的方式实现。为避免混乱及出错,应对网络中的Vlan ID统一规划,禁止出现网中的ID相同而又不在同一个Vlan中的情形。另外,由于802.1Q协议支持至多4096个Vlan ID,按部门划分Vlan ID可以为以后管理带来很大的方便
34、,比如一看Vlan ID即知是哪个部门的用户。建议Vlan ID采用如下分配原则:(1)、Vlan1保留使用(2)、为方便管理,建议按地理区域或分支机构划分一段连续的Vlan ID。(3)、VLAN ID的分配按照每个部门占用一个VLAN ID的方式,该VLAN ID必须保证全网统一规划,不允许重复。(4)、部门内部在使用PVLAN技术隔离不同员工时,该VLAN ID不需要统一规划,但必须保证在同一台交换机上,PVLAN ID不重复。4.2 IP地址分配原则IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的
35、效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于本期IP地址的分配应该尽可能地利用申请到的地址空间,充分考虑到地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,具体的IP地址分配将通常在工程实施时统一规划实施,这里主要描述IP地址分配的原则。主要的原则描述为:n IP地址分配要尽量给每个分支机构分配连续的IP地址空间;在每个分支机构网中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以
36、及安全控制;n IP地址的规划与划分应该考虑到个分支机构的发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;n 地址分配是由业务驱动,按照业务量的大小分配各地的地址段;n IP地址的分配必须采用VLSM(变长掩码)技术,保证IP地址的利用效率;n 采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小;n 在公有地址有保证的前提下,尽量使用公有地址,主要包括设备loopback地址、设备间互连地址。n 充分合理利用已申请的地址空间,提高地址的利用效率。IP地址规划应该是网络整体
37、规划的一部分,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。4.3 本次工程IP地址分配IP地址规划应该包括两部分,外部地址和内部地址的规划,外部地址就是Internent上的公有地址,一般在申请的时候,电信会分配给若干个公有IP地址,由于外部地址我们使用电信分配的地址,所以我们先讨论主要部分,内部地址的分配。内部IP地址应该本着易管理、易分配、易理解等原则来进行分配,由于我们规划的是内部地址,所以应该使用私有地址去规划。RFC1918中定义的非Internet连接的网络地址,称为“专用Internet地
38、址分配”。RFC1918规定了不想连入Internet的IP地址分配指导原则。由Internet地址授权机构(IANA)控制IP地址分配方案中,留出了三类网络号,给不连到Internet上的专用网用,分别用于A,B和C类IP网,具体如下:10.0.0.010.255.255.255172.16.0.0172.31.255.255192.168.0.0192.168.255.255由于重庆翰华担保集团内部的用户数量很多,我们建议采用192.168.0.0192.168.255.255这个C类私有地址,子网掩码24位,即255.255.255.0,支持254个网段,每网段支持254个主机地址。在前
39、面的VLAN规划中,我们建议每个部门使用一个VLAN,在进行IP地址规划时,需要和VLAN规划结合其他,使每个VLAN占用一个独立的网段。考虑到内部每个部门的信息点数不会超过254个信息点,因此,我们建议给每个部门分配一个C的IP地址,即使用255.255.255.128作为掩码,每个网段可以支持254个主机。例如192.168.0.0这个网段,采用255.255.255.0这个子网掩码,划分的网段主机如下:192.168.0.0192.168.0.254网络地址:192.168.0.0广播地址:192.168.0.255192.168.1.0-192.168.1.255网络地址:192.16
40、8.1.0广播地址:192.168.1.255192.168.2.0-192.168.2.255网络地址:192.168.2.0广播地址:192.168.2.255192.168.3.0-192.168.30网络地址:192.168.3.0广播地址:192.168.3.255这种划分方法比较容易管理,也很便于网管人员理解,每个网段支持254台主机,符合Vlan划分的原则。 在具体进行IP地址规划时,建议将192.168.0.0这个网段留出,用作特殊地址分配。网络设备地址:网络设备地址主要用作网络交换设备的带外管理地址,地址分配为192.168.0.2192.168.0.254。对应我们的管理V
41、LAN。服务器部分地址相关服务器的地址手动分配,我们保留192.168.1.1192.168.1.254,这个网段作为服务器的网络地址。每个分支机构的服务器使用与该分支机构相同的VLAN ID,分配一个独立的网段,比如使用192.168.1.1-192.168.1.4, 255.255.255.252的掩码,该网段可以容纳2台服务器。具体主机的地址分配可按需分配。备用地址192.168.2.0这个地址段留做备用地址。由于重庆翰华担保集团内部使用的是私有IP地址,要访问Internet必须进行地址转换,地址转换的工作在出口路由器设备上进行。建议申请多个有效IP地址,一部分留给对外的服务器使用,一
42、部分作为地址池,共地址转换使用。4.4 网络设备自身的安全功能4.4.1 用户严格隔离方法一:用Vlan隔离。在楼层以太网交换机上按端口划分Vlan,每个用户占用一个Vlan。方法二:利用PVlan技术。在楼道交换机上划分PVlan,使用户端口之间不能通信,用户端口只能和Uplink口通信。方法三:使用以太网MUX设备。该类设备将接入层交换机的端口分为两类:上行口Uplink和用户端口。用户端口之间不能通信,Uplink口可以和所有端口通信。通过用户隔离,可以防止用户对网络邻居的工具,阻止冲击波等蠕虫病毒在园区网上的传播。4.4.2 有效防范MAC扫描和ARP攻击:MAC地址表放置在内存中,容
43、量有限,用户通过不停的发送MAC地址冲刷MAC地址表,通过MAC地址表溢出来更改MAC与IP地址的绑定,从而重新定向流量(CAM Overflow, macoftool工具)。ARP攻击与此类似,它是通过对交换机CPU的处理能力进行大容量冲刷造成其溢出而实现其攻击的。华三S3100EI交换机通过将MAC地址与端口绑定与IP、并限制端口下MAC地址的最大学习个数,从而有效地防止MAC扫描,同时也可有效地防范ARP攻击。4.4.3 DHCP攻击、VLAN “Hopping”攻击的防范:使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成
44、DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。由于DHCP是通过二层广播包起作用的,故在二层严格隔离用户,可防止DHCP Server假冒。为解决DHCP Smurf,在以太网接入时,对用户划分Vlan,由汇聚层交换机控制一个Vlan下申请的最大IP地址数,当该Vlan的IP地址数目达到限制值后,拒绝新的DHCP申请。Vlan的划分可根据企业的实际情况灵活掌握。华三S系列交换机提供dhcp server detect功能,可以检测到非法的dhcp server。同时,在
45、CPE交换机上通过配置流规则,可以将非法端口的dhcp reply报文丢弃。VLAN “Hopping”攻击的解决方案与此类似。4.4.4 采用SNMP v3杜绝网管攻击:网络管理员通过Telnet远程访问网络时,由于Telnet在网络中是明文传输,容易被窃取管理密码,采用支持SSH的交换机,可以对Telnet报文进行加密,截获报文也无法解析密码。华三S系列交换机支持SNMP V3,确保网管信息在传输过程中加密,侦听用户无法获致报文的真正内容。4.4.5 有效抑制广播风暴广播风暴是网络最常见的网络问题,针对此情况H3C S系列以太网交换机提供完善的广播风暴抑制功能,提供了针对特定VLAN的广播风暴抑制比的设定功能,可对VLAN上收到的广播流量进行监控,当广播流量的带宽超过配置的限度时,交换机将过滤该VLAN上超出的流量,保证网络的业务,使广播所占的流量比例降低到合理的范围。4.4.6 防治蠕虫病毒防治蠕虫病毒需要系统管理、网络维护和安全操作部门的协力合作。一般情况下,对于事件的应对可分为3个主要阶段: 反应(reaction) 恢复(recovery) 亡羊补牢措施(Post-mortem)对于worm病毒事件,反应(reaction)阶段可以细化分为下面4个子阶段 限制(Containment) 免疫(Inoc