《华为企业园区网络建设技术方案建议书.doc》由会员分享,可在线阅读,更多相关《华为企业园区网络建设技术方案建议书.doc(62页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华为企业园区网络建设技术方案建议书目录1项目概述41.1项目背景41.2项目目标42园区总体系统规划设计52.1需求分析52.2设计原则63园区网络架构规划设计73.1园区网络总体网络架构规划设计73.1.1典型园区网网络架构73.1.2经济型园区网网络架构83.1.3虚拟交换园区网网络架构93.2园区网络分层网络规划设计103.2.1接入层103.2.2汇聚层113.2.3核心层113.2.4出口层124园区网络高可靠性规划设计144.1园区网络高可靠性规划设计144.2园区网络设备高可靠性规划设计194.2.1重要部件冗余194.2.2设备自身安全204.3园区网络交换机虚拟化规划设计21
2、4.3.1汇聚交换机的集群CSS(ClusterSwitchSwitching)214.3.2接入交换机的堆叠iStack245园区网络安全方案规划设计265.1园区网安全方案总体规划设计265.2园区接入安全规划设计275.3园区网络监管/监控规划设计335.3.1防IP/MAC地址盗用和ARP中间人攻击335.3.2防IP/MAC地址扫描攻击345.3.3广播/组播报文抑制355.4园区网边界防御规划设计365.4.1防火墙部署规划设计365.4.2防火墙功能规划设计375.4.3防火墙性能选择375.4.4虚拟防火墙规划设计385.4.5NAT规划设计395.5园区网出口安全规划设计41
3、6园区网络网管系统方案规划设计436.1网管系统概述436.2系统优势介绍446.2.1网络管理优势功能456.2.2网络流量分析器优势功能466.2.3认证计费优势功能486.3网管系统部署506.3.1集中式网管系统部署506.3.2分布式网管系统部署527园区网络设备介绍547.1园区汇聚/核心交换机Quidway S9300547.2园区接入交换机567.2.1QuidwayS5300系列交换机567.2.2QuidwayS3300系列交换机58第 62 页 共 62 页华为企业园区网络建设技术方案建议书 Error! No text of specified style in doc
4、ument.1 项目概述根据实际情况增加项目介绍1.1 项目背景1.2 项目目标2 园区总体系统规划设计2.1 需求分析随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题:(一) 网络架构较为混乱,不便于扩容和维护管理:园区网在建设初期,设备和光纤/电缆随意布放,缺乏统一的网络分层规划管理,网络拓扑相对混乱,不便于对网络性能瓶颈进行正确评估和有效扩容,给日常网络管理也带来很大难度。(二) 网络可靠性规划不合理,影响企业生产和经营管理、造成投资浪费:由于缺乏有效的园区网规划,对于网络可靠
5、性考虑不够,网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为,同时也存在网络过度冗余、造成投资浪费的现象。(三) 网络信息安全存在隐患:网络安全性是园区网建设的重中之重,传统园区网安全漏洞较多,无法应对内外部用户日益猖獗的网络攻击行为(例如:对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息),对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络,网络层面的安全保证和防御措施也不到位,造成园区网的脆弱和易攻击。(四) 无法满足日益增长的网络业务需求:随着企业的业务发展,出现了基于园区网基础设施的丰富增值业务需求,例如:网络接入形式要求多样化,支持WLAN无线接
6、入,满足移动办公、大区域无线缆覆盖等特殊要求;对于企业用户访问外网进行计费,计费策略可灵活设置(时长计费、流量计费、按目的地址计费);企业多出口链路场景下的负载均衡、灵活选路需求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑,支持这些业务存在园区网络分散建设、重复投资的问题。(五) 缺乏简单有效的网络管理系统,企业IT网络运维部门面临很大压力:当前,企业网IT运维部门面临很大的网络运维压力,来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象,网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高,缺乏简单有效/低成本的图形化网管工具、进行实时网
7、络拓扑显示、状态监控和各种故障事件预警/告警展示。另外,IT运维部门也需要实施统计园区网各路径的流量信息,便于对网络带宽进行管理和规划,给后续网络扩容提供参考。2.2 设计原则(一) 安全性:安全性是企业园区网建设中的关键,它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。(二) 可靠性、可用性:高可靠性是园区网提供使用的关键,其可靠性设计包括:关键设备冗余、链路/网络冗余和重要业务模块冗余。关键设备均采用电信级全冗余设计,可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计,每个层次均采用双机方式,层次与层次之间采用全冗余连接。
8、提供多种冗余技术,采用高效、负载均衡的双机备份。可采用交换机的集群或者堆叠技术,在不降低网络可靠性的前提下,减化网络架构。(三) 可扩展性:园区网方案设计中,采用分层的网络设计;每个层次的设计所采用的设备本身都应具足够高的端口密度,为后续园区网扩展奠定基础。在园区出口层、核心层、汇聚层的设备都采用模块化设计,可根据园区网的发展进行灵活扩展。功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能,为园区网增值业务的扩展提供基础。(四) 可维护、可管理性:网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统,对园区网所有网络设
9、备进行管理,包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。3 园区网络架构规划设计3.1 园区网络总体网络架构规划设计3.1.1 典型园区网网络架构图 31典型园区网网络架构典型园区网方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,在汇聚层交换机,通过模块化(业务单板)方式提供WLANAC控制器、防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。典型园区网的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链
10、路保证链路级可靠性。3.1.2 经济型园区网网络架构图 32 经济型园区网网络架构考虑到节省园区网网络建设投资成本,允许网络存在单点故障,不再部署冗余交换机设备,交换机之间互联采用TRUNK链路,保证链路级可靠性,但是园区网交换机设备故障,会导致网络故障和业务中断。经济型的园区网汇聚层交换机仍然可通过模块化(业务单板)方式提供WLANAC控制器、防火墙、负载均衡器等增值业务功能。3.1.3 虚拟交换园区网网络架构图 33 虚拟交换园区网网络架构园区网仍然按照分层结构建设,园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。为了增加园区网可靠性、降低园区网组网复杂度,园区网未来向虚拟化、扁平
11、化方向发展,同层次交换机可以多台虚拟成一台,接入交换机通过堆叠(Stack)特性,将多台接入交换机虚拟成一台接入交换机,汇聚/核心交换机通过CSS(ClusterSwitch)将两台交换机虚拟成一台交换机。园区网接入层/汇聚层/核心层交换机虚拟化后,可以减少网络节点、简化网络拓扑,二层网络不需要部署RSTP/MSTP/RRPP/SmartLink等复杂的环网协议和可靠性保护协议,实现无二层环路网络构建,提高二层网络可靠性和链路故障收敛性能,三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快,通过交换机虚拟化设计,交换机互联的两条链路就可以作为Trunk链路进行管理,对于虚拟交换机而言,实
12、现跨设备的链路聚合(TRUNK),大大增强链路可靠性,另外可实现链路的流量负载均衡,构建无二层环路网络,网络可靠性(链路故障自收敛性能)和带宽利用率都得到提高。图 34 交换机集群(堆叠)方案3.2 园区网络分层网络规划设计园区网的网络层次采用业界成熟的三层架构:接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。3.2.1 接入层接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。由于接入层交换机直接接园区网
13、用户,根据用户接入信息点数目和类型(GE/FE),对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜,数量大,对于成本、功耗和易管理维护等特性要求较高。高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机,低用户密度的场景推荐使用S2300/S3300作为接入交换机。3.2.2 汇聚层园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、WLANAC控制器)或者旁挂独
14、立的增值业务设备,为园区网用户提供增值业务。汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。3.2.3 核心层园区核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。推荐使用S9300作为园区核心层交换机。3.2.4 出口层园区出口路由器,连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。对于中小型企业园区网,核心
15、层和出口层可进行合并,通过核心交换机(S9300)的WAN接口板的广域网接口(POS等)直接与外网相连。3.3二三层网络分界点设计 二三层网络分界点(用户网关)设置在汇聚交换机汇聚交换机作为用户的网关设备,接入交换机与汇聚交换机之间是二层网络,通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生,汇聚交换机与核心交换机之间是三层网络,运行OSPF等路由协议,通过等价路由、IPFRR保证三层网络可靠性、加快路由收敛时间。【优点】1) 接入交换机是二层交换机,成本低,并且可保护客户现有低端二层交换机的投资;2) 高可靠性,二层网络故障收敛速度快;【缺点】1) 接入交换机和汇
16、聚交换机之间存在二层环路风险,需要配置保证;2) 接入交换机与汇聚交换机之间链路利用率低,需要启用二层协议负载均担多实例以提高链路利用率。本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群(交换机虚拟化)方案来解决。园区汇聚交换机作为二三层网络分界点(用户网关设备)是经典的园区网架构,推荐使用。 二三层网络分界点(用户网关)设置在接入交换机接入交换机作为用户的二三层分界点(网关设备),即三层到边缘的园区网架构,接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络,运行OSPF等路由协议,整个企业园区是全路由型网络。【优点】1) 网络易扩展:园区网架构对物理网络拓扑依赖度低,可以任意网
17、络拓扑形式扩展;2) 网络易维护:全网为三层网络、无二层环路网络风险,无需配置生成树协议、RRPP和VRRP,降低网络配置和维护工作量。【缺点】1) 交换机成本相对较高:相对与二层接入交换机,成本较高;2) 接入层为三层网络,网络故障路由收敛速度相对较慢。4 园区网络高可靠性规划设计4.1 园区网络高可靠性规划设计园区网高可靠性设计总体方案如下图所示:图 41 园区网高可靠性设计方案总览针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。接入层网络是二层网络,接入交换机与汇聚交换机之间通过SmartLink/STP/R
18、STP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFDforVRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。典型园区网可靠性组网设计方案有:口子型组网、三角型组网、U子型组网。 可靠性组网方案1:口子型组网图 42 口子型组网接入交换机与汇聚交换机之间是二层网络,汇聚
19、交换机作为用户网关设备,两台汇聚交换机之间通过二层TRUNK链路互连,多台接入交换机与两台汇聚交换机之间组成口子型二层环网,并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。注意:两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路、包含两条以上物理链路,因为汇聚交换机间链路DOWN,两台汇聚交换机VRRP状态都为主(VRRP双主情况产生),此时接入二层环网阻塞在汇聚交换机之间的直连链路上,这样接入用户同时感知两个处
20、于VRRP主用状态的网关设备(汇聚交换机),出现问题。口子型组网方案的优点是,园区网各个楼层接入交换机可以串在一起,与汇聚交换机组成二层环网,汇聚交换机统一为各楼层接入交换机下的用户分配IP地址,实现园区不同楼层的用户可以共用同一个IP地址网段;该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。口子型组网方案是园区网非常经典的可靠性设计方案,适合各种规模的园区网应用场景。 可靠性组网方案2:三角型组网图 43 三角型组网汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层链路互连,每台接入交换机上行有两条链路接入到两台汇聚交换机,接入交换机上行两条链路的主备
21、关系由运行的SmartLink协议确定。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连链路上收发。注意:两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路。口子型组网场景下,多个楼层之间可以共用VRRP组,不受汇聚交换机VRRP组数量限制,可实现不同楼层间的园区用户可以共享一个IP地址网段。三角型组网方案的优点是:二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP);SmartLink故障检测和保护倒换速度快(200400ms);支持园区网园区不同楼层的用户可以共用同一个IP地址网段。三角型
22、组网方案的缺点是每台接入交换机上行需要部署主备两条链路,增加布线成本,对汇聚交换机的端口密度有较高要求。 可靠性组网方案3:U字型组网图 44 U字型组网园区网汇聚交换机之间通过纯三层链路互连,无直连二层链路。汇聚交换机作为园区用户网关,与接入交换机组成二层网络,汇聚交换机的主备通过VRRP(BFDforVRRP)协议协商,VRRP协议通过接入交换机转发,每组接入交换机与两台汇聚交换机组成的一个物理U型网络需要启用一组VRRP,汇聚交换机通过多个物理端口会接入多个二层U型网络,这样汇聚交换机间需要运行多个VRRP组(每个二层U型接入网络运行一个VRRP组),一般一个U型二层接入网覆盖的是同一个
23、楼层的接入交换机。由于不同VRRP组的网关IP网段不能相同,因此每个U型接入网下的所有园区用户需要独占一个IP网段,不同U型接入网的用户(不同楼层的园区用户)之间不能共享一个IP网段,这是此方案应用的最大缺点。U子型方案的优点:二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP)。 可靠性设计目标方案(发展趋势):园区网交换机虚拟化图 45 可靠性设计目标方案组网园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟化,通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可靠性,一台交换机故障,另外一台交换机自动接管
24、故障设备上的所有业务,可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK链路,提升链路级可靠性,并且流量可以均匀分布在TRUNK成员链路上,提高链路带宽利用率,条或多条链路故障后,流量自动切换到其他正常的链路。该方案另外一个优点网络配置和维护简单,园区二层接入网,不需要配置复杂的二层环网和保护倒换协议,二层链路故障直接感知快速切换,三层网络中多个设备间共享路由表,网络故障路由收敛速度快。网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来园区网的发展趋势。4.2 园区网络设备高可靠性规划设计4.2.1 重要部件冗余设备本身要具有电信级5个9的可靠性,需要网络设备支持: 主控1:1备
25、份 交换网1+1/1:1两种方式 DC电源1+1备份;AC电源1+1/2+2备份 模块化的风扇设计,高端配置支持单风扇失效 无源背板,高可靠性 独立的设备监控单元,和主控解耦 所有模块热插拔 完善的各种告警功能 设备管理1:1备份4.2.2 设备自身安全如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大.图 46 黑客工具的危害性这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。华为公司全系列园区网交换机(S9300/S5300/S3300/S2300)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设
26、备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、PingofDeath攻击、Teardrop攻击、ICMPFlood攻击、SYNFLOOD攻击等。另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。
27、华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。4.3 园区网络交换机虚拟化规划设计4.3.1 汇聚交换机的集群CSS(ClusterSwitchSwitching)所谓集群,就是把物理的多台服务器
28、连接在一起,对外表现为一台逻辑的服务器,提供服务。因为企业园区网为了增加可靠性,都是双节点备份,特别适合集群技术。如下图所示:图 47 集群组网的优势采用集群技术,对企业园区网络,有四大优势:1)减化管理和配置首先,集群后需要管理的设备节点减少一半以上。其次,组网变得简洁,不需要配置复杂的协议,包括STP/SmartLink/VRRP等。2)快速的故障收敛故障收敛时间可以控制在1ms,大大降低了网络链路/节点的故障,对业务的影响。3)带宽利用率高采用链路Trunk的方式,带宽利用率可以达到100。4)扩容方便保护用户投资。随着业务的增加,当用户进行网络升级时,采用集群的方式,只需要增加新设备既
29、可,不需要更改网络配置的情况下,平滑扩容,很好的保护了用户投资。目前,业界有两种堆叠的方式,一种是采用业务接口堆叠,一种是采用专用的堆叠线;图 48 两种集群方式比较华为的S93系列交换机采用堆叠线的方式,通过在主板板上插入堆叠卡,连接多台设备。如下图所示,这种方式有如下的优势:图 49 华为CSS集群技术采用交换机网集群的方式,相比接口板集群,有如下的优势: 堆叠带宽高交换机网集群一般采用专用的接口线,堆叠带宽高。S93系列的堆叠带宽高达128G(单向);并且可平滑升级到200G(单向);相对于业界的80G(单向)的互联带宽,具有明显的优势。 不占用业务槽位S93系列采用在主控板预留的灵活插
30、卡槽位,插入堆叠卡互联的方式,不占用接口槽位。相对于接口堆叠的方式,节省了12个接口槽位。 可靠性高S93系列采用堆叠线连接,实际上是对交换网的延伸。从上图可以看出,接口板堆叠方式需要经过两个堆叠接口板转发,处理复杂度增加;另外,接口板的硬件可靠性也比交换网低。总体来看,交换网堆叠在软件和硬件方面,可靠性都高于接口堆叠的方式。4.3.2 接入交换机的堆叠iStackiStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2个网络接口,对于堆叠后的设备,可以看作Trunk接口。多台设备堆叠成一台设备后,从功能和管理方面,都可以作为一台设备来看待。华为的iSta
31、ck堆叠技术有如下的优势: 简化管理堆叠设备的角色分为Master和Slave;通过对Master设备的配置达到管理整个iStack堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。 简化网络运行iStack形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。 强大的网络扩展能力通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。 高可靠性堆叠的高可靠性体现在多个方面,比如:成员设备之间堆叠物理端口支持聚合功能,
32、堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:N备份。 高性能由于iStack设备是由多个支持iStack特性的单机设备堆叠而成的,iStack设备的交换容量和端口数量就是iStack内部所有单机设备交换容量和端口数量的总和。因此,iStack技术能够通过多个单机设备的堆叠,轻易的将设备的交换能力、用户端口的密度扩大数倍
33、,从而大幅度提高了设备的性能。5 园区网络安全方案规划设计5.1 园区网安全方案总体规划设计图 51园区网安全方案总体设计从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对内部员工进行身份认证和网络访问权限控制,对企业内部进行安全区域划分、隔离和权限控制,对企业外部用户访问进行安全控制、数据加密,防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。5.2 园区接入安全规划设计图 52网络准入控制NAC企业网交换机与华为赛门铁克的NAC方案配套,实现对接入用户的身份认证、终端健康检查,并实现基于用户角色的差异化权限控制。
34、NAC解决方案包含三个关键组件:通信代理、网络访问控制设备(园区交换机)和认证策略服务器组:通信代理也就是安全客户端,是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估检查以及安全策略实施的主体,其主要功能包括: 支持802.1x、Portal、MAC等多种认证方式,可以与园区网交换机实现接入、汇聚层的端点准入控制。 检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息,这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。 安全策略实施,接
35、收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。网络访问控制设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。园区网的网络访问控制设备推荐为华为交换机,可分别实现不同认证方式(如802.1x、MAC认证和Portal等)的端点准入控制,具备以下功能: 强制网络接入终端进行身份
36、认证和安全状态评估。 隔离不符合安全策略的用户终端,园区交换机接收到安全策略服务器下发的隔离指令后,可以通过VLAN或ACL方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 提供基于身份的网络服务,园区交换机可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的QoS、ACL、VLAN等。根据用户接入安全控制范围需要,作为NAC网络访问控制设备的交换机可以部署在园区接入层、汇聚层,设置可部署在核心层、仅控制用户访问园区外部网络的权限。策略服务器也就是管理服务器,NAC方案的核心是整合与联动,其中的安全策略服务器是NAC方案中的管理与控制
37、中心,兼具用户管理、安全策略管理、安全状态检查评估、安全联动控制以及安全事件审计等功能。 802.1x接入认证图 53802.1x接入认证流程802.1x认证过程如下:1)用户在802.1x客户端输入用户名、密码,发起802.1x认证请求至园区交换机;2)交换机作为Radius客户端将用户名、密码发送到认证服务器进行Radius认证;3)认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限;4)用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过RadiusCOA下发VLA
38、N或ACL,限制用户网络访问权限;5)用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。 用户MAC认证图 54MAC认证流程用户MAC认证过程如下:1)用户终端上电(无802.1x认证客户端),用户发起ARP或DHCP请求等报文;2)园区交换机收到用户终端的数据报文,触发Radius认证请求至认证服务器,根据MAC地址生成用户名和密码;3)认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限;4)用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Rad
39、iusCOA下发VLAN或ACL,限制用户网络访问权限;5)用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。 802.1XMAC旁路认证图 55802.1xMAC旁路认证流程802.1xMAC旁路认证过程如下:1)用户终端上电,用户发起ARP或DHCP请求等报文;2)园区交换机先向用户终端发起EAP探测报文,如果用户终端已经安装802.1x认证客户端,则触发用户802.1x接入认证过程,否则进行MAC认证过程;3)认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限;4)用户获取IP地址,NAC客户端软件与策略服务器联
40、动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过RadiusCOA下发VLAN或ACL,限制用户网络访问权限;5)用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。 WEBPortal认证图 56WEBPortal认证流程WEBPortal认证过程如下:1)用户终端打开WEB页面,发起HTTP请求至园区交换机;2)园区交换机进行HTTP重定向,将用户的打开的WEB页面重定向至Portal服务器;3)用户访问WEBPortal页面,输入用户名和密码进行认证;4)Portal服务器通过Portal2.0协议将用户输入的用户名和密码信息发送给交换机,交换机到认
41、证服务器进行Radius认证;5)认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限;6)NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过RadiusCOA下发VLAN或ACL,限制用户网络访问权限;7)用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。5.3 园区网络监管/监控规划设计5.3.1 防IP/MAC地址盗用和ARP中间人攻击 防IP/MAC地址盗用DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤不可信任的D
42、HCP信息,这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息,DHCPSnooping绑定表可以基于DHCP过程动态生成,也可以通过静态配置生成,此时需预先准备用户的IP地址、MAC地址、用户所属VLANID、用户所属接口等信息。园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCPRequest或DHCPAck报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发D
43、HCPOffer报文,而不信任端口会将接收到的DHCPOffer报文丢弃。这样,可以完成交换机对假冒DHCPServer的屏蔽作用,确保客户端从合法的DHCPServer获取IP地址。 防ARP中间人攻击图 57ARP中间人攻击防御DynamicARPInspection(DAI)在交换机上基于DHCPSnooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定,并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景,可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是
44、仿冒网关回应的ARP响应报文,予以丢弃,从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。5.3.2 防IP/MAC地址扫描攻击 防IP扫描攻击地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARPmiss,使网络设备给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目
45、的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。在上述基础上,交换机还支持基于接口设置ARPmiss的速率。当接口上触发的ARPmiss超过设置的阈值时,接口上的ARPmiss不再处理,直接丢弃。如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARPmiss统计。如果ARPmiss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。 防MAC地址扫描攻击以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。