《超详情的完整医院网络升级改造报价方案2017(共45页).docx》由会员分享,可在线阅读,更多相关《超详情的完整医院网络升级改造报价方案2017(共45页).docx(46页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上广东省*医院网络改造方案 2017.9.151. 概述目前,广东省*医院有用户住的*号楼、*号楼、*号楼、*号办公楼、食堂楼、以及门诊楼。都建设了有线网络,及提供了无线wifi上网服务,并了解到医院网络规模将发展到800人左右的规模。但疗养院现阶段的整体网络存在以下问题:l l 大部分设备不支持网管功能,可管理性差;l 网络出口多,难以统一规划,搭建局域网;l 有线网络布线杂乱,维护难度高;l 核心设备及出口设备不支持目前及未来人数的上网服务;l 局域网内没有统一规划IP地址的分配;l 无线网络大多采用家用式的无线路由器进行组网;l 不能集中管理无线网络设备,管理效率
2、低,维护工作量大。l 外来客户和内部人员共用同一无线网络,存在一定安全隐患l 无法支持大量人员同时使用无线网络的应用场景,如会议室、食堂等;上述问题在疗养院最近一次的网络局域网搭建的过程中逐渐被发现,网络出口及核心设备等问题导致局域网搭建后网络瘫痪,目前的网络设备不能满足疗养院的对网络的需,且不便于疗养院职工的日常工作以及不能为住户提供更好的网络体验。为此,为解决上述问题,疗养院需要重新组建一个稳定、安全、高效的网络环境。2. 整体解决方案2.1 设计原则此次网络系统设计将严格遵守各种相关的技术原则,遵循各种相关的技术标准和规范,整个网络系统设计严格按照以下原则进行:u 先进性和实用性采用成熟
3、的产品满足针对不同办公区无线覆盖的需求,兼顾其他相关的管理需求,采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要u 安全性和可靠性为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在无线网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。u 灵活性和可扩展性网络是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据疗养院深入发展的需要,方便的扩展网络规模、扩大网络容量和提高网络的各层次节点的功能。具备
4、支持多种应用系统的能力,提供技术升级、设备更新的灵活性。u 可管理性由于网络本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理系统。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。2.2网络架构设计新改造的网络由无线控制器、无线AP组成、POE交换机、新的核心、防火墙、汇聚接入交换机、IM
5、C管理软件及ACG组成。逻辑架构如下: 终端层包含疗养院内的各种终端设备,例如PC、笔记本电脑、无线打印机、等终端设备。 无线控制器负责将所有无线AP进行集中管理和统一下发配置,调整各AP间的信号干扰和信道的利用。 无线AP采用内置智能天线和高密度AP对各办公区域及其他区域进行无线覆盖,针对密集区域和外部干扰的影响来针对不同环境来安装不同AP,本次采用的AP都支持POE供电,实现用一条网线便可作为AP的供电和网络传输之用,以节省电源线布线费用和降低AP安装难度和工作量 POE交换机通过POE交换机对各无线AP进行供电,方便了各AP点位的供电问题,解决了本地供电带来的安装困难问题,而且可通过PO
6、E对AP进行集中供电 核心高背板及高转发率的高性能参数满足疗养院目前及未来网络规模发展的需求,保证疗养院内的良好的网络体验。 防火墙提供对接电信专线功能的同时, 提供多种网络攻击的防御机制。 汇聚接入交换机千兆光纤上行到核心,同时提供较高面板带宽及转发率,满足移动楼内的上网需求。 网络管理区对网络、服务器、应用系统进行管理的区域。包括故障管理、配置管理、性能管理、安全管理等进行一体化管理。 ACG对各终端进行认证,如支持微信认证,短信认证,portal认证等多种认证方式,对外来访客扫描疗养院二维码关注公众号一键上网提供方便快捷的上网方式,同时也可以作为很好的一个公众号吸粉工具,而且可通过ACG
7、实时监控到访客的行为和流量的统计,做到认证和上网行为一体化监控。整体网络设计拓扑参见下图。2.2.1 无线控制器设计采用集中转发的方式,无线用户的流量先通过AC,再转发到核心。AC下发配置到每个AP,集中监控AP状态,管理AP。2.2.2 POE接入层设计接入层则实现各终端电脑的高速接入,负责将各种终端接入到中心网络络。对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等,根据此次网络应用的实际情况,以及主流接入要求,因此本次将采用千兆到桌面的设计方案。并且作为接入层交换机还需具有丰富的安全特性,同时交换机还应具有防伪DHCP Server的接入,实现对
8、终端ARP各种形式攻击的防护。2.2.3 IMC设计 中的资源分为两类:网络资源和用户资源。对H3C、锐捷、华为、Cisco各厂家网络设备的分类和识别;对设备状态和基本信息的管理,不仅包含了设备的基本信息、接口信息、性能数据和告警信息,同时还可以在增加其他组件的情况下显示扩展后的业务信息。与业务无关的用户基本信息的统一维护,这些基本信息是独立于业务的,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息。通过增加设备和自动发现两种方式,将网络资源加入iMC
9、中进行管理。增加设备时可以选择多种选项,满足不同网络环境下的需求,增强网管部署的易用性。 提供的设备导入/导出功能为系统升级和网管系统切换提供了便利,尤其是导入文件的可定制化使得用户很容易手工编辑一个导入文件,也可以对其他网管系统导出的设备进行快速编辑后导入系统。 智能管理平台提供多种类型的拓扑:提供传统的基于IP网络的IP拓扑、二层拓扑和邻居拓扑。用户可以根据实际组网情况,自由定义自己关注的网络拓扑视图(自定义拓扑) 智能管理中心能自动汇总全网中故障设备,形成故障设备列表,使管理员能快速、清晰的找到需要关注的故障设备,而且可通过邮件或者短信来告知管理员。2.2.5 无线AP设计通过不同区域安
10、装具体的智能天线和高密度AP,智能天线AP内置终端感知型硬件智能天线阵列,配合基于终端的射频智能感知算法,可以实现无线传输中不同距离、不同场景的针对性覆盖技术。同时,通过H3C、锐捷、华为无线控制器实现基于特征和协议的射频优化,可以有效提升无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。高密度AP采用三频设计,在保留原有双射频的同时,增加了一个灵活可变的第三个射频。当实际接入的终端类型支持5GHz的数量较多时,可将该射频配置成5GHz频段,从而提高5GHz的接入用户数量和带宽能力,反之,2.4GHz终端较多时则可以配置成2.4GHz,组网形式非常灵活, 非常适合在电子书包
11、场景,高密度接入场景使用。2.2.6 微信认证、短信认证及行为监控设计内网主要是读业务,常用的写业务也是认证通过的接入用户授权操作,所以内部网络属于较安全的区域,是绿色区域,风险比较低。主要的安全风险来自内部网络自身的用户(如用户未经授权的存取),ACG根据实际需求控制和监控用户的流量和应用。针对用户做到精准应用识别、明确身份、事后行为审计、丰富日志报表、深度数据挖掘、全局流量管控、精细应用授权等。l 明确用户身份l 精准应用识别l 精细应用授权l 全局流量管控l 丰富日志报表l 事后行为审计l 微信认证上网方便、快捷、安全移动客户端连接 ssid 或扫描二维码上网时,浏览器弹出 portal
12、 页面用户点击一键打开微信连 Wi-Fi 按钮,从浏览器跳转到微信界面,点击立即连接后,用户成功上网外来人员使用笔记本(有线/无线)连接认证网络,访问网页,页面跳转至认证界面。使用手机扫描浏览器二维码,弹出认证确认页面,手机确认后,pc 即认证成功,可以正常上网。用户上网流程:1. 手机 3G或 4G模式下扫码连wifi手机在 3G 或者 4G 模式下,扫描二维码,使手机连接对应的 ssid。2. 连接 ssid 之后推出 portal,开始认证流程。l 短信认证2.2.7 无线网络架构设计无线局域网技术经过十几年的发展,已经历了三代技术及产品的发展。第一代无线局域网主要是采用Fat AP(即
13、“胖”AP),每一台AP都要单独进行配置,费时、费力、费成本;第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置,其管理性和性以及对有线的依赖成为了第一代和第二代WLAN产品发展的瓶颈,由于这一代技术的AP储存了大量的网络和安全的配置,包括加密的钥匙,Radius client的安全密码 (secret) 等,而AP又是分散在建筑物中的各个位置,一旦AP的配置被盗取读出并修改,其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的,所以当用户接入数量 (IP sessions)增多时,无线网的性能会急剧下降,时常会发生掉线或死机情况。在这样的环境下
14、,基于无线交换机技术的第三代WLAN产品应运而生。第三代无线局域网采用无线交换机和FIT AP(即“瘦”AP)的架构,对传统WLAN设备的功能做了重新划分,将密集型的无线网络和安全处理功能转移到集中的 WLAN 交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高。室内无线覆盖将使用大量无线接入点(AP)提供无线网络接入服务,必须有效实现多个AP的统一策略部署和可靠的安全认证机制,因此,采用FIT AP的解决方案,即采用无线控制器结合瘦AP与无线网络管理系统的架构。综合上述分析
15、,对于大规模部署的无线局域网,我们建议采用FIT AP的方案。采用FIT AP解决方案构建的无线局域网具有以下功能和特点: 方便部署FIT AP解决方案采用集中式架构,在不改变其网络的原有规划和部署的情况下,甚至不需要中断原有网络就可以轻松叠加一个无线网络,该无线网络和原有的有线网络可以形成有线无线一体化的接入方案,可以大大减少网络升级和部署的成本。 易于管理、AP“零配置”采用无线控制器和FIT AP配合组网时,只需要在无线控制器上对一类相同属性的AP建立配置模板,AP在启动时可以自动从无线控制器上下载最新的配置文件,真正做到了零配置,免维护,即插即用,极大地减轻了网络管理员在部署网络阶段的
16、维护工作量。 方便升级FIT AP还支持软件自动更新功能,在其每次重新启动时会自动比较当前运行的版本和无线控制器上保存的版本,如果无线控制器上保存的版本更新,AP会自动更新本地的软件映像,软件升级不再需要网管人员的干预。 三层漫游无线控制器支持三层漫游,并支持快速漫游,漫游切换时间小于50ms,满足对切换时间要求最苛刻的语音业务。 支持虚拟APFIT AP支持多SSID实现虚拟AP特性,每个SSID可对应不同的VLAN、从而对于每一个SSID可以实现不同的网络服务及认证方式。该特性使管理员可以方便的为不同用户群、不同的业务制定区分的服务策略。 丰富的RF管理和安全RF管理功能,可以使得无线网络
17、的布网灵活性大大增强,网络的可维护性得到很大的提高。AP的功率调整和信道切换是网络部署和调试时不可缺少的重要手段,信道和功率还需要按照国家代码自动设置,无线控制器的RF管理功能使得网络部署非常简单。RSSI/SNR的不断更新,更是让系统可以适时了解每一个无线用户所处电磁环境的好坏、离AP的距离,从而可以采取相应的策略来提升网络可用性。 支持智能的负载均衡支持智能负载均衡技术,保证只对处于AP覆盖重叠区的无线用户才启动AP负载均衡功能,有效的避免误均衡的出现,从而最大限度的提高了无线网络容量。 IPv6无线控制器实现了IPv4/IPv6双协议栈。AP和无线控制器之间可以穿过IPv6网络互联,从而
18、使组网方式更加灵活,可以满足今后网络发展的需要,保护用户投资。 完善的QoS无线控制器支持Diff-Serv标准包括流分类、流量监管(Policing)、队列管理、队列调度(Scheduling)等,完整实现了标准中定义的EF、AF1AF4、BE等六组PHB及业务,可为用户提供具有不同服务质量等级的服务保证, 真正成为同时承载数据、语音和视频业务的综合网络。室内放装对于大楼内,属于一般的办公楼类型,放用最简单的室内吸顶安装覆盖。楼道放装模式应用场景:办公楼层、会客区等;角色:员工、访客、合作伙伴;终端:笔记本电脑,手机终端,平板电脑;AP部署方式:根据室内墙体阻挡情况部署多个AP覆盖,采用吸顶
19、或者壁挂安装;AP采用H3C、锐捷、华为 WA4320i双频无线AP,支持1167Mbps的无线传输速率以及整机千兆接入能力,全面支持IPv6特性,支持IPv6 Portal、IPv6 SAVI,支持频谱分析、频谱导航漫游导航,无线定位,无线终端准入、无感知认证。功率调整传统的射频功率控制一般缺省将发射功率设置为最大值,单纯地追求信号覆盖范围。对于高密场所,每个AP设备既是服务的提供者,同时也是整个射频环境的影响者,功率过大可能导致对其他无线设备造成不必要的干扰。因此,可通过手工或自动调整方式选择一个能平衡覆盖范围和系统容量的最佳功率。功率调整可以手工进行,也可以自动调整。虽然调整方式不同,但
20、两者的调整目标是一样的,即通过调整功率,使得每个AP在自身的目标覆盖内保证有比较强的信号,最好不弱于-75dB,但在目标覆盖范围之外信号很弱。如果受环境条件限制,即使输出功率已经是最大值,但目标覆盖范围内仍有比较大的区域的信号较差,此时说明部署方式不是很合理,比如目标覆盖范围太大、天线放置位置不合适等等。这种情况下,需要优先考虑优化部署方式。信道划分由于2.4G频段只有个非重叠信道(即相互之间几乎没有干扰的信道),5.8G频段我国也只有5个非重叠信道(有些国家放开了更多频段,多达24个),因此无线局域网信道资源非常稀缺。通过相邻AP使用不同的信道能达到一定规避干扰的目的,但需要根据建筑特点,特
21、别是在高密度部署的情况下,灵活调整部署方式,确保在较大范围内设备之间不可见,将设备间的彼此干扰降到最低。负载均衡某些时候,相邻AP之间会出现用户负载极不均衡的现象,比如,相邻的2个AP,1个吸附20个用户,另1个仅吸附3个用户。可以考虑根据用户配置,进行AP间的负载均衡,将部分用户合理的引导到负担轻的AP上。H3C的智能负载均衡技术,实现了对无线用户的实时跟踪,能够动态地准确地发现负载均衡组,结合高负载AP自动隐藏技术,既有效了实现了无线用户的负载均衡,又保证了用户的快速接入,同时还可以进行信道、频段之间的用户分担。速率保优无线AP与station之间的速率是动态调整的。使用高速率发送报文对环
22、境要求比较高,在信噪比较好的情况下才能保证正确接收。低速率发送的报文对环境要求相对低些,即使存在一些干扰使得到达的信号产生一定变形,在容忍度内仍然能正确接收。因此,WLAN设备会提供专门的速率调整算法,以根据情况,动态的调整发送速率。在高密场所WLAN自身干扰信号比较多的情况下,一般的速率调整算法适应性会比较差,常常会使得工作速率偏低,从而使得设备性能也整体降下来。因此,针对WLAN干扰较多的高密环境,H3C专门提供了适应该环境的速率调整算法,使得发送速率保持在一个最优的水平。2.3网络可靠性设计业务系统的安全运行,对网络系统的可靠性提出了很高的要求。因此在网络的设计实施中必须对网络的可靠性进
23、行详尽的考虑和设计。网络系统的可靠性包括设备和链路冗余、数据链路层稳定性以及网络层稳定性三大方面。2.3.1 物理设备和链路稳定性网络结构的可靠性网络设计首先从网络结构上保证了高可靠性和高冗余性:1)总部无线网络采用双机冗余架构设计,通过路由协议、不间断路由等技术配合实现可靠性;2) 原网络核心层和接入层设备间互联全部采用双链路互联,配合路由协议、虚拟化等技术实现局域网络的可靠性达到全网实现高效的可靠性。设备级冗余性设计网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证网络平台的可靠性,必须要选用具备电信级可靠性的网络设备进行组网,才能使网络具有自动恢复能力、降低人工维护工作,达
24、到电信级的可靠运行。 网络关键设备必须具有电信级可靠性网络中的关键设备,如核心交换机和无线控制器等,应该具备电信级可靠性:l 可靠性指标必须达到99.999%。l 网络核心设备采用全分布式体系结构,路由与转发分离。l 所有关键器件,如主控板、电源等都采用冗余设计,业务模块支持热插拔。l 网络核心设备支持不间断转发,主控板热备份。主备倒换过程不影响业务转发,不丢包。l 网络核心设备支持软件在线升级,升级过程中业务不中断。2.3.2 网络层稳定性设计在无线网络中心,各接入交换机采用双链路聚合技术为整个网络提供高可靠的接入服务。实现2台核心交换机同时工作(IRF虚拟化技术),其中任何一台设备宕机,网
25、络不中断,当宕机的设备恢复正常时,实现50ms的网络收敛。N:1虚拟化(IRF)3.1IRF虚拟化概念IRF虚拟化就是将多台设备通过虚拟化端口连接起来形成一台虚拟的逻辑设备,用户对这台虚拟设备进行管理,来实现对IRF中的所有设备的管理。网络虚拟化IRF中所有的单台设备称为成员设备,成员设备按照功能不同,分为两种角色: Master设备:成员设备的一种,它负责管理整个IRF。一个IRF中同一时刻只能有一台成员设备成为Master设备。 Slave设备:成员设备的一种,它隶属于Master设备,作为Master设备的备份设备运行。IRF中除了Master设备,其它设备都是Slave设备。IRF中可
26、能存在多台Slave设备。3.2IRF虚拟化架构IRF设备的系统架构如图所示,其中, IRF Virtualization:IRF虚拟化模块,它能自动进行IRF的拓扑收集、角色选举,并将IRF后的设备虚拟成一个单一的设备; Hardware:设备上的硬件; Device Management:设备管理层,完成对板、卡等各种设备资源的管理。这里的设备即包括对硬件的抽象,也包括通过IRF虚拟化发现的逻辑设备; System Management and Application Modules:系统管理及应用模块,指运行在设备上的所有管理、控制程序,例如各种路由协议模块、链路层协议模块等。IRF虚拟
27、化功能模拟出虚拟的设备,设备管理同时管理IRF的虚拟设备与真实的物理设备,屏蔽其差异。而对于运行在此系统上的各种应用软件来说,通过设备管理层的屏蔽,它并不关心物理上的差异,即不管是真实的单一设备还是IRF虚拟出来的设备,它都不需要做任何的修改。IRF2.0采用分布式弹性转发技术实现报文的二/三层转发,最大限度的发挥了每个成员的处理能力。IRF系统中的每个成员设备都有完整的二/三层转发能力,当它收到待转发的二/三层报文时,可以通过查询本机的二/三层转发表得到报文的出接口(以及下一跳),然后将报文从正确的出接口送出去,这个出接口可以在本机上也可以在其它成员设备上,并且将报文从本机送到另外一个成员设
28、备是一个纯粹内部的实现,对外界是完全屏蔽的,即对于三层报文来说,不管它在IRF系统内部穿过了多少成员设备,在跳数上只增加1,即表现为只经过了一个网络设备。如下图所示,转发报文的入接口和出接口在同一台成员设备上。当Slave 1收到报文后,查找本地转发表,发现出接口就在本机上,则Slave 1直接将报文从这个出接口发送出去。如下图所示,转发报文的入接口和出接口在不同的成员设备上。当Slave 1收到报文后,查找本地转发表,发现出接口在Master上,则Slave 1按照最优路径先将报文转发给Master,Master通过出接口将报文转发给最终用户。下图描述的是IRF2.0对组播报文的处理示意图。
29、Slave 1收到一个组播报文,通过查找本地的组播转发表,Slave 1知道Master和Slave 3上均有组播成员的接入,而且Slave 1到达Slave 3的最优路径是通过Master,于是Slave 1将组播报文转发给Master,Master将报文复制三份,其中两份直接发给本地连接的组播组成员,另外一份转发给Slave 3,通过Slave 3发送给其它的组播组成员。这样对于组播报文,每个成员只会根据需要复制报文,保证设备间只有一份报文传送,节省了IRF系统内部资源,提高了组播报文的处理速度。3.3IRF虚拟化冗余l 1:N冗余普通框式分布式设备采用的是1:1冗余,即框式分布式设备配备
30、了两块主控板,主用主控板负责处理业务,备用主控板仅作为主用主控板的备份,随时与主用主控板保持同步,当主用主控板异常时立即取代其成为新的主用主控板继续工作。而IRF中采用的是1:N冗余,即Master负责处理业务,Slave作为Master的备份,随时与Master保持同步。当Master工作异常时,IRF将选择其中一台Slave成为新的Master,由于在IRF系统运行过程中进行了严格的配置同步和数据同步,因此新Master能接替原Master继续管理和运营IRF系统,不会对原有网络功能和业务造成影响,同时,由于有多个Slave设备存在,因此可以进一步提高系统的可靠性。对于框式分布式设备的IR
31、F,IRF2.0并没有因为IRF技术具有备份功能而放弃每个框式分布式成员设备本身的主用主控板和备用主控板的冗余保护,而是将各个成员设备的主用主控板和备用主控板作为主控板资源统一管理,进一步提高了系统可靠性l 协议热备份在1:N冗余环境下,协议热备份负责将协议的配置信息以及支撑协议运行的数据(比如状态机或者会话表项等)备份到其它所有成员设备,从而使得IRF系统能够作为一台独立的设备在网络中运行。以路由协议为例,如下图所示,IRF设备左侧网络使用的是RIP路由协议,右侧网络使用的是OSPF路由协议。当Master收到邻居路由器发送过来的Update报文时,一方面它会更新本地的路由表,同时它会立即将
32、更新的路由表项以及协议状态信息发给其它所有成员设备,其它成员设备收到后会立即更新本地的路由表及协议状态,以保证IRF系统中各个物理设备上路由相关信息的严格同步。当Slave收到邻居路由器发送过来的Update报文时,Slave设备会将该报文交给Master处理。当Master故障时,新选举的Master可以无缝的接手旧Master的工作,新的Master接收到邻居路由器过来的OSPF报文后,会将更新的路由表项以及协议状态信息发给其它所有成员设备,并不会影响IRF中OSPF协议的运行,如下图所示。这样就保证了当成员设备出现故障的时候,其它成员设备可以照常运行并迅速接管故障的物理设备功能,此时,域
33、内路由协议不会随之出现中断,二三层转发流量和业务也不会出现中断,从而实现了不中断业务的故障保护和设备切换功能。l 上/下行链路的冗余备份IRF2.0采用分布式聚合技术来实现上/下行链路的冗余备份。传统的聚合技术将一台设备的多个物理以太网端口(被称为成员端口)聚合在一起,它只能实现对链路故障的备份,而对于设备的单点故障没有备份机制。IRF2.0支持的新型分布式聚合技术则可以跨设备配置链路备份,用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口,这样即使某些端口所在的设备出现故障,也不会导致聚合链路完全失效,其它正常工作的成员设备会继续管理和维护剩下的聚合端口。这对于核心交换系统和要求高质
34、量服务的网络环境意义重大,它不但进一步消除了聚合设备单点失效的问题,还极大提高全网的可用性。如下图所示,流向网络核心的流量将均匀分布在聚合链路上,当某一条聚合链路失效时,分布式链路聚合技术能够将流量自动重新分布到其余聚合链路以实现链路的弹性备份和提高网络可靠性。l 虚拟端口的冗余备份IRF2.0采用聚合技术来实现IRF口的冗余备份。IRF口的连接可以由多条IRF物理链路聚合而成(如下图所示),多条IRF物理链路之间可以对流量进行负载分担,这样能够有效提高带宽,增强性能;同时,多条IRF物理链路之间互为备份,保证即使其中一条IRF物理链路出现故障,也不影响IRF功能,从而提高了设备的可靠性。对于
35、由框式分布式设备形成的IRF设备,聚合的IRF物理口可以位于同一块接口板上也可以位于不同的接口板上,即支持IRF接口的跨板聚合,这样即使其中一块接口板发生故障也不会影响IRF功能。3.4IRF虚拟化优势通过整网合理规划,建议核心、接入全部采用IRF虚拟化技术,达到全网简单化并且无环路。IRF虚拟化技术的优势主要体现在以下几个方面:l 性能翻倍,物尽其用,保护投资。n 使用IRF2前,核心设备和汇聚设备都是一主一备的方式-两台设备当一台用。使用IRF2后,核心设备和汇聚设备都是负载分担的方式-两台设备当两台用。n 使用IRF2前,无论是接入到汇聚,还是汇聚到核心的双链路上行都是一主一备的方式-两
36、条链路当一条用。n 使用IRF2后,接入到汇聚以及汇聚到核心的双链路上行都是负载分担方式-两条链路当两条用。l 网络更简单,简化业务/拓扑/管理,一目了然。n 使用IRF2前,二层启用生成树,VLAN 规划复杂;三层启用VRRP,路由规划复杂;每台单独配置,管理复杂。n 使用IRF2后,二层不需要生成树;三层不需要VRRP;多台设备只需配置一次,让网络更简单。l 网络更可靠,秒级到毫秒级的切换时间,业务不断。4 网络安全解决方案 41 安全解决方案设计目标 1)链路安全 链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。
37、加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。 一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。 2)网络安全 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现
38、内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。 3)信息系统的安全 信息系统的安全应该是一个动态的发展过程,应该是一种检测监视安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。 4)网络安全检测 网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。 42 安全解决方案设计原则 根据Internet网络规模大、用
39、户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 1)需求、风险、代价平衡的原则 对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险
40、进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 2)综合性、整体性原则 应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。 3
41、)可用性原则 安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。 分步实施原则:分级管理 分步实施 由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。 43 安全技术解决方案 431 防火墙方案 基本防护体系(包过滤防火墙+NAT+计费) 用户需求:全部或部分满足以下各项解决
42、内外网络边界安全,防止外部攻击,保护内部网络解决内部网安全问题,隔离内部不同网段,建立VLAN 根据IP地址、协议类型、端口进行过滤内外网络采用两套IP地址,需要网络地址转换NAT功能支持安全服务器网络SSN 通过IP地址与MAC地址对应防止IP欺骗基于IP地址计费基于IP地址的流量统计与限制基于IP地址的黑白名单。 防火墙运行在安全操作系统之上防火墙为独立硬件防火墙无IP地址解决方案:采用网络卫士防火墙PL FW1000 1)标准防护体系(包过滤防火墙+NAT+计费+代理+VPN) 用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项提供应用代理服务,隔离内外网络用户身份鉴别权限控
43、制基于用户计费基于用户的流量统计与控制基于WEB的安全管理支持VPN及其管理支持透明接入具有自身保护能力,防范对防火墙的常见攻击 解决方案: (1)选用网络卫士防火墙PL FW2000 (2)防火墙基本配置+网络加密机(IP协议加密机) 5.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控) 用户需求:在标准防护体系配置的基础之上,全部或部分满足以下各项网络安全性检测(包括服务器、防火墙主机及其它TCP/IP相关设备) 操作系统安全性检测网络监控与入侵检测 解决方案:选用网络卫士防火墙F1000-S-EI+网络安全分析系统+网络监控器 432 网络安全漏洞扫描 1、各接入
44、局域网的长期或临时使用的计算机内应安装防病毒软件、安全漏洞检测及消除软件,并对软件定期升级。 2、各接入用户计算机内严禁安装病毒软件、黑客软件,严禁攻击其它联网主机,严禁散布黑客软件和病毒。 3、网管中心应及时升级防病毒软件病毒库,检测校园网内病毒和安全漏洞,并采取必要措施加以防治。 4、局域网内内应当安装防火墙,加强网络安全管理。 5、校园网站网站应加强安全管理, 以防止网络黑客对页面的非法篡改, 并使网站具备应急恢复的能力。 6、信息中心中心各部门人员对任何要上传至本校服务器的文件,必须先对要上传文件进行病毒检测,确保没有病毒感染后方可上传。 7、网络管理员必须定期对计算机进行安全漏洞检测
45、,对服务器系统进行必要的系统补丁或升级,预防及修补网络安全漏洞。 8、计算机用户要及时对操作系统、数据库等系统软件进行补丁包升级或者版本升级, 以防黑客利用系统漏洞和弱点非法入侵。 9、网管中心定期对网络安全和病毒检测进行检查,发现问题及时处理。 433 入侵检测 入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行
46、用户自定义的安全策略等。 Distributed IntrusionDetection System,简称DIDS)分布式入侵检测有两方面的含义,一是对分布式攻击的入侵检测技术,二是入侵检测系统采用分布式计算技术分布式入侵检测技术主要有层次式入侵检测和协作式入侵检测两类协作式入侵检测系统各分布部件之间不存在主从之分,相互协作,优点是比较灵活,系统的容错能力较强,各分布部件可以独立工作;缺点是各分布部件之间的协调算法比较复杂,缺少一个统一的处理模块,不利于对全局的安全事件的理解。而层次式入侵检测系统则把系统分成若干层次,上层部件控制下层部件,它的优点是系统由控制中心统一控制,有利于大规模入侵事件
47、的检测,效率比协作式高;缺点是如果主控模块遭到破坏,则整个系统的工作会受到影响,系统的可扩充性也较差目前流行的Manager/Agent结构不仅可以监控整个网络的入侵和攻击行为、审查日志文件,还可以进行实时入侵活动的探测,代表了网络分布式入侵检测技术的发展趋势。 434 防病毒系统 防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。 在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个