网络电话设计方案
目 录
第1章 网络需求分析 3
11 需求分析 3
12 建设目标 3
第2章 组网方案规划设计 5
21 建设原 5
22 层次化设计 6
23 高性 6
24 网络总体规划 7
第3章 安全理安全渗透网络设计 9
31 网络完全实际办法 9
32 核心交换机强置安全特性 10
33 基层网络安全 11
1端口+IP+MAC址绑定: 11
2MAC址盗防止 11
3防止DHCP服务器攻击 11
4防止ARP攻击 12
5组合丰富VLAN功进行业务隔离 13
6配置防火墙IPS进行网络区域隔离 13
34 配置全面网络防病毒系统 13
Ø 集中控力: 14
采取户端点准入防御解决方案 15
第4章 设备选型 15
网络设备 15
41核心交换机 15
产品概述 16
42接入交换机 16
4.3外网接入路器 17
第5章 组网优势 18
第1章 网络需求分析
11 需求分析
总厂办公楼3层核心机房1楼整办公楼约150170信息点车间办公室约
50信息点(包括预留)信息点位分布表:
楼层
1F
2F
3F
厂区
电话信息点位
5
20
20
70
网络信息点位
30
30
30
30
次组网设计企业网互联网两部分出安全考虑设计外网物理隔离方式
网络设计接入功路器核心交换机接入交换机等核心线路光纤连接达千兆干千兆桌面方案启动vlan限速功合理利互联网资源路器做种防范攻击措施保证网络稳定
次网络建设总结起需满足方面求:
1:建设高高性楼办公网
2:需接入Internet需考虑网高安全性
3:网络边界需考虑网络病毒攻击防范
12 建设目标
通楼办公网络需求进行分析 方面需特关注:
1 性
办公网络承载日常业务重台着种业务办公动化程度越越高网络台赖性越越强首先需构建具高度性网络性体现业务系统服务器存储系统网络系统稳定性针网络系统稳定性堆叠技术做支撑
2 高性
目前着全球信息时代越越业务承载IP网络台网络台容量急剧升容量80局域网局域网高性成提高工作效率关键次西安泵阀总厂网络建设需充分考虑网络高性目标
3 安全性
现病毒黒客终端户造成整网安全隐患尤终端户安全理长期没解决方案次设计专业网络行理设备户网络接入安全进行细致安全合理优化
4 高带宽
网络庞复杂网络保障全网高速转发网全网组网设计瓶颈性求方案设计阶段充分考虑时求核心交换机具高性高带宽特整网核心交换求够提供瓶颈数交换
5 增值性
网络建设维护需投入量力物力网络增值性网络持续发展基础建设时充分考虑业务扩展力针户需求提供丰富宽带增值业务网络具造血机制实现网养网
6 扩充性
考虑户数量业务种类发展确定性求核心交换机汇聚交换机具强扩展功网络建设成完整统组网灵活易扩充弹性网络台够着需求变化充分留扩充余
7 开放性
技术选择必须符合相关国际标准国标准避免厂家私标准部协议确保网络开放性互连互通满足信息准确安全优良交换传送需开放接口支持良维护测量理手段提供网络统实时监控遥测遥控信息处理功实现网络设备统理
8 安全性
设计应充分考虑整网络稳定性支持网络节点备份线路保护提供网络安全防范措施
第2章 组网方案规划设计
21 建设原
总建设原设备先进功齐全适应发展突出重点量力行
1实性原:
现行需求基础充分考虑发展需确定规模
2冗余性原:
特注重网络硬件系统身突发事件时性冗余备份设计方式加保障
3安全性原:
系统应提供较高安全手段防止系统外部成员非法侵入操作员越级操作安全性信息化建设基础保障出安全保密素现信息化建设工程安全性高求设计程中必须国家种关安全法规政策硬件支撑台访问控制线监视信息加密等方面进行完善考虑网络建构根功划分相应区域防火墙入侵检测加密设备信息滤隔离数加密等手段时采虚拟网划分目前较流行VPN安全认证等技术防止非法户非法信息病毒入侵泄密事件发生时企业部建立健全种相关安全理制度确保全网安全
4先进性原:
系统采国际先进前技术满足段时期需
5易维护原:
系统易理易维护网络需高理性特数视频等业务网络系统里理网络设备识关键资源根流量状况网络性配置阈值应提供带宽服务够利完成
着系统投入运行系统资源断增加网络系统应具易维护性理员易维护减少必额外劳动提高工作效率
6易扩展原:
提供开放性标准化程度高技术设备便功扩展考虑业务日益增长长远需求提供网络扩充性户数量需求应断变化技术断发展着网络技术断发展网络应规模断扩网络结构实现真正开放基国际开放式标准设计程中应保证户业务量业务类型变化增长情况硬件支撑台够方便升级扩展网络扩充容量支持更户应网络台设计时必须种国际通标准进行保证种设备网络兼容通开放网络户选择厂家产品网络实现扩容升级时会受某厂家专标准限制网络结构网络技术选择具相前瞻性确保着网络技术断发展网络够滑渡更先进技术设备充分保障户现投资利益
网络扩展力包括设备交换容量扩展力端口密度扩展力干带宽扩展网络规模扩展力
22 层次化设计
园区网络整体设计中采层次化模块化网络设计结构严格定义层功模型层次关注
特性配置典型园区网络结构分成二层:接入层汇聚层
1) 接入层:提供网络第级接入功完成简单二三层交换安全QosPOE功位层园区网接入层设备建议采千兆三层接入方式应该具线速三层交换IRF智弹性堆叠技术高级QoS策略等功
2) 汇聚层:汇聚配线间流量执行策略路协议应层时具负载均衡快速收敛易扩展等特点层作接入设备第跳网关园区网汇聚层设备应该够承载园区种融合业务够融合MPLSIPv6网络安全线源光网络等种业务提供间断转发优雅重启环网保护等种高技术够承载园区融合业务需求
23 高性
厂区外网高网络设计方案
厂区外网网络接入端口数量性求较高交换容量带宽求较高推荐高速阻塞交换千兆两层扁组网模型户提供千兆接入支持语音POE网络运行OSPF协议两层扁网络结构易配置理适应户未年网络应需提供预留容量
两层简化扁网络结构汇聚核心合层减少网络设备数量易配置理户提供千兆桌面接入支持语音POE功接入核心层设备机架式种端口类型单板组合灵活扩充性强节省网络投资整网带宽较高稳定满足种业务阻塞交换
24 网络总体规划
网络解决方案总体设计高性高性高安全性良扩展性理性统网系统组播原考虑技术先进性成熟性采模块化设计方法
网络目网络性带宽网络业务进行全网建设网络设计包含高品质IP核心网模块智弹性接入网模块安全渗透网络模块网络系统综合理适应线网IPv4v6址路模块组播QoS优化模块等部分
新厂区网络均网线媒介办公楼1楼机房厂区车间铺设办公楼网线铺设会议室等场配备线AP设备网线均机房铺设
建网方案扁化结构设计分核心接入两层架构设计
1核心采1台核心三层千兆路交换机保证足够数转发力
2接入采千兆二层智网交换机千兆双属核心
外网结构图示:
次方案设计采二层扁化方式组网进步提高核心网络性高性星形化结构优势点:
Ø 层次结构清晰够网络进行充分规划
Ø 星形化组网网络复杂度降低网络稳定性提升网络维护难度降低
Ø 采星形化结构具高扩展性特点网络规模扩时需增加相应接入设备原网络配置限度保留实现滑网络扩容
Ø 较高网络带宽充分满足种业务阻塞交换
Ø 网络理者必种业务配置服务质量策略简化设备配置维护工作
第3章 安全理安全渗透网络设计
规划网络安全系统时遵循原原基础提供完善体系化整体网络安全解决方案:
l 体系化设计原
通分析信息网络网络层次关系安全需求素动态实施程提出科学安全体系安全模型根安全体系安全模型分析网络中存种安全风险针风险动态实施程基础提出整体网络安全解决方案限度解决存安全问题
l 全局性均衡性原
安全解决方案设计全局出发综合考虑信息资产价值面安全风险衡两者间关系根信息资产价值面风险采取强度安全措施提供具优性价格安全解决方案
l 行性性原
采全面网络安全措施应该会XX学原网络运行网络应系统影响实现保证网络应系统正常运转前提效提高网络应安全强度保证整信息资产安全
l 动态演进原
方案应该针泵阀厂制定统技术理方案采取相技术路线实现统安全策略制定实现整网络基防御网络深度防御网络智防御网络演进形成闭环动态演进网络安全系统
31 网络完全实际办法
网络安全问题解决三分技术七分理严格理企业机构户免受网络安全问题威胁重措施事实数企业机构缺乏效制度手段理网络安全网络户时升级系统补丁升级病毒库现象普遍存意接入网络私设代理服务器私访问保密资源
非法拷贝机密文件利非法软件获取利益等行企业网中皆理欠缺仅会直接影响户网络正常运行企业蒙受巨商业损失
解决现网络安全理中存足应网络安全威胁北京网康公司ICG网行理设备简单易完成种网络审计应控制流量限速等策略做点
1检查:
l 检查网络接入户身份
l 检查网络接入户访问权限
l 检查网络接入户终端安全状态
2隔离
l 隔离非法户终端越权访问
l 隔离存重安全问题安全隐患户终端
3修复
l 帮助存安全问题安全隐患户终端进行安全修复便够正常网络
4监控
l 实时监控线户终端安全状态时获取终端安全信息
l 非法户越权访问存安全问题网络终端进行定位统计网络安全理提供
通制定新安全策略持续保障网络安全
32 核心交换机强置安全特性
逐包转发机制防止病毒击
S5500路交换机采逐包转发机制传统流转发机制安全性方面着更差异流转发存面两问题:(1)网络拓扑频繁变化时设备适应性差转发性降严重(2)存定安全隐患问题尤网络遭受类似红色代码类病毒攻击时问题尤严重
流转发次路次交换特点旦查找次路查找结果存放CACHE里样目址包重新查找直接采类似二层交换技术直接转发目端口果路表项变化通面述硬件精确匹配方式够快速度进行查表转发果应情况路表项常出现变更情况会导致法通硬件精确匹配方式查找路时三层太网交换机会转通
CPU软件进行路查找查表转发速度会急剧降工作基处CPU软件进行路次慢路情况说三层交换机进行数报文转发时根数报文五元组特征进行精确命中数转发红色代码病毒攻击时病毒报文端口号频繁进行变换五元组信息始终处停变换阶段样导致三层交换机CPU停进行路查找类报文外特征短时间产生量报文终导致三层交换机CPU转发程中瘫机时台交换机挂三层交换机样接收量病毒报文基述原CPU转发引擎瘫机时层交换机转发报文中缓解时层交换机处瘫机中样网络路必然会出现较振荡交换机转发性急剧降终导致交换机瘫机整网络
采网络拓扑驱动路交换机言采逐包转发进行匹配方式路查找数报文端口号进行变换情况路器转发造成影响旦遭受红色代码病毒攻击时没问题
33 基层网络安全
1端口+IP+MAC址绑定:
户网安全性非常重H3C E100系列做端口+IP+MAC址绑定关系H3C E100系列交换机支持基MAC址8021X认证整机支持1K挂户认证MAC址绑定直接实现户边缘户理提高整网络安全性维护性:户分配端口该户机MACIPVLAN等进行绑定户通8021X 客户端认证通户便实现MAC址+端口+IP+户ID绑定种方式具强安全特性:防DOS攻击防止户MAC址欺骗更改MAC址户(MAC址欺骗户)实现强制线
考虑学户技术性较强实际应程中应充分考虑ProxyProxy防止H3C公司E100系列交换机配合H3C公司8021X客户端旦检测户PC机存两活动IP址(单网卡双网卡)E100系列交换机会发指令该户直接踢线
2MAC址盗防止
网应中IP址盗常种非法手段户认证通MAC址进行修改然进行非法操作网络设计中针该问题接入层交换机提供防止MAC址盗功户更改MAC址E100系列交换机绑定MAC址相符户直接线线功E100系列交换机实现
3防止DHCP服务器攻击
DHCP Server动态分配IP址会存两问题:DHCP Server假户计算机设置成DHCP Server会局方DHCP Server突二户DHCP Smurf户软件变换MAC址量申请IP址快DHCP址池耗光
H3C E100系列交换机支持种禁止私设DHCP Server方法
Private VLAN
解决问题方法桌面交换机启Private VLAN功环境中功存局限者会私设DHCP服务器缘改造网络
访问控制列表
三层功交换机访问列表实现
4防止ARP攻击
着网络规模扩户数目增网络安全理越发显出重性网户具强专业背景致网络黑客攻击频繁发生址盗户名仿等问题屡见鲜ARP攻击址仿MAC址攻击DHCP攻击等问题仅令网络中心老师头痛已网络接入安全提出新挑战
ARP攻击包括中间攻击(Man In The Middle)仿网关两种类型:
中间攻击:
ARP 协议原理减少网络 ARP 数通信机收 ARP 应答非请求会插入 ARP 缓存表中样造成 ARP 欺骗果黑客想探听网络中两台机间通信(通交换机相连)会分两台机发送 ARP 应答包两台机误认方 MAC 址第三方黑客机样双方似直接通信连接实际通黑客机间接进行黑客方面想通信容方面需更改数包中信息成功做转发工作种嗅探方式中黑客机需设置网卡混杂模式通信双方数包物理发送黑客中转机
仿网关:
攻击者充网关发送免费ARP网络户收更新ARP表项续受攻击户发网关流量会发攻击者攻击导致户法正常网关通信攻击者攻击独占行带宽
DHCP网络环境中DHCP Snooping功E100交换机会记录户IPMAC信息形成IP+MAC+Port+VLAN绑定记录E100交换机利该绑定信息判断户发出ARP报文否合法指定VLAN端口ARP检测功该VLAN端口收ARP报文源IP源MAC进行检测符合绑定表项ARP报文允许转发果端口接收ARP报文源IP源MACDHCP Snooping动态表项DHCP Snooping静态表项中ARP报文丢弃样效防止非法户ARP攻击
5组合丰富VLAN功进行业务隔离
部分网络设备提供VLAN功完善支持通VLAN划分区分业务灵活根端口MAC等进行VLAN划分实现种业务效隔离
时通种特性VLAN部署更加灵活实现网络流量业务隔离通PVLAN技术实现VLAN部服务器间相互访问隔离通动态VLAN部署实现户位置接入网络隔离属VLAN中
6配置防火墙IPS进行网络区域隔离
防火墙网络层核心防护措施整网络进行网络区域分割提供基IP址TCPIP服务端口等访问控制常见网络攻击方式拒绝服务攻击(ping of death land syn flooding ping flooding tear drop …)端口扫描(port scanning)IP欺骗(ip spoofing)IP盗等进行效防护提供NAT址转换流量限制户认证IPMAC绑定等安全增强措施
34 配置全面网络防病毒系统
网络环境防病毒必须层层设防逐层关堵住病毒传播种途径XX学网络系统提供稳定高效技术流方便理服务周全网络病毒防护体系网络防病毒体系包括:
Ø 网关防病毒:
Internet现病毒传播路径访问Internet网站会感染蠕虫病毒Internet载软件数会时病毒黑客程序带进外开放WEB服务器接受Internet访问时感染病毒需公司Internet接口处重点防范病毒传播
Ø 邮件防病毒:
邮件附件前网络病毒传播重途径邮件服务器配置邮件防病毒软件检查邮件服务器发送接收邮件特邮件附件方面防范邮件病毒传播加强户安全教育源明邮件轻易开特附带邮件附件开邮件前电话发件确认邮件病毒动通讯录中查找收件发送邮件时复杂格式直接纯文格式样邮件带病毒传播机会
Ø 服务器防病毒:
重服务器配置服务器防病毒软件包含量复杂应系统需量台服务器建议服务器分安装防病毒系统加强重点服务器病毒防范力
Ø 机防病毒:
网络中户机终端必须单机特处理关键业务户机配置机防病毒软件
Ø 集中控力:
防病毒需具集中控力防病毒产品模块提供集中理机制监控防毒产品防杀状态病毒码杀毒引擎更新升级等防毒产品收集病毒防护情况日志进行分析报告
l 设备选型建议:
¨ 建议选择赛门铁克者卡巴网络防病毒解决方案
采取户端点准入防御解决方案
根前面进行安全需求分析认较完备网络系统端点安全解决方案应该满足求:
1 实现基户身份网络接入控制保证网络安全网络层实现户接入控制授权户接入网络效阻断非法接入网络户保证网络户身份合法性
2 统实现基户身份应服务器接入控制保证应服务器安全具体说公司网络系统户统访问控制理系统理访问权限仅仅应系统身简单密码控制理户权限
3 实现服务器系统安全户机系统安全强制理提供效技术手段解决应服务器户机补丁理病毒理问题未安装系统补丁未安装防病毒软件病毒库版合格终端严禁接入网络实现系统补丁动安装病毒库动升级保证网络清洁
4 实现网络接入户动态隔离力户访问网络程中旦发现户处安全状态迅速隔离户终端保护整网络受安全威胁
第4章 设备选型
网络设备
41核心交换机
次方案推荐采H3C S5500高性路交换机
产品概述
H3C S5500SI系列交换机H3C公司开发全千兆三层太网交换机产品具备丰富业务特性提供IPv6转发功410GE扩展接口通H3C特集群理功户够简化网络理S5500SI系列千兆太网交换机定位企业网城域网汇聚接入时数中心服务器群连接
H3C S5500SI系列太网交换机目前包含型号:
S550028CSI:24 101001000BaseT太网端口4 复SFP 千兆端口(Combo)两扩展槽位
S550052CSI:48 101001000BaseT太网端口4 复SFP 千兆端口(Combo)两扩展槽位
S550028CPWRSI:24 101001000BaseT太网PoE端口4 复SFP 千兆端口(Combo)两扩展槽位
S550052CPWRSI:48 101001000BaseT太网PoE端口4 复SFP 千兆端口(Combo)两扩展槽位
S550020TPSI:12SFP 千兆端口8 101001000BaseT太网端口
42接入交换机
次方案选H3C S3100EI系列交换机
产品概述
H3C S3100EI系列交换机H3C公司构建高安全高智网络需求专门设计新代太网交换机产品满足高性接入基础提供更全面安全接入策略更强网络理维护易性理想安全易接入层交换机
户网络求断提高接入交换机提供简单数交换功越越面着安全威胁理维护复杂业务融合扩展等诸问题挑战:
实现户安全接入控制防止病口入?够准确定位抑制层出穷恶意欺骗攻击安全隐患拒门外?
提高网络理维护易性?动检测网络中否存问题快速准确定位障点批量网络理维护进行批量操作提高网络维护效率降低维护成?
满足园区网业务融合需求批量实现网络资源灵活分配调度?提高网络设备业务扩展力节省户未IPv6业务应追加投资?
H3C S3100EI系列交换机方面户提供全新技术特性解决方案完美解决前网络接入设备面种问题
H3C S3100EI系列太网交换机目前包含型号:
S31008TPEI: 810100BaseTX太网端口1101001000BaseT太网端口1复1001000BaseX SFP端口
S310016TPEI:1610100BaseTX太网端口2101001000BaseT太网端口2复1001000BaseX SFP端口
S310026TPEI:2410100BaseTX太网端口2101001000BaseT太网端口2复1001000BaseX SFP端口
S31008TPPWREIF:810100BaseTX太网端口(PoE)1101001000BaseT太网端口1复1001000BaseX SFP端口
S31008TPPWREIDC:810100BaseTX太网端口(PoE)1101001000BaseT太网端口1复1001000BaseX SFP端口
S310016TPPWREIF:1610100BaseTX太网端口(PoE)2101001000BaseT太网端口2复1001000BaseX SFP端口
S310026TPPWREID:2410100BaseTX太网端口(PoE)2101001000BaseT太网端口2复1001000BaseX SFP端口
4.3外网接入路器
次方案推荐采H3C MSR5006业务开放路器
产品概述
MSR(Multiple Services Routers)业务开放路器杭州华三通信技术限公司(简称H3C)专门面行业分支机构中型企业推出新代网络产品MSR先进软件结构硬件台够投资范围企业边缘网络提供体化解决方案更充分满足未业务扩展元化应需求符合企业IT建设现状趋势
H3C MSR 5006H3C公司推出款高性全千兆宽带路器定位太网接入SMB市场政府企业分支机构网吧等网络环境需高Internet带宽网吧酒店学校采太网光纤接入电子政务网应场景等等
H3C MSR 5006全千兆路器采高性处理器CPU频达800M集成全千兆太网接口软件特性方面支持丰富安全特性支持防攻击应滤等功H3C公司宽带路器中高端产品型网吧户型企业Internet出口设备理想选择
该产品特点:
全千兆太网接口(支持电口光口)4千兆太口足满足接口数量求
提供高性数处理力够达双千兆线速转发
强安全功支持丰富防DOS攻击防ARP控制功
支持带机量数目般3001000台
第5章 组网优势
1网络带宽高满足业务需求彻底满足网络数视频媒体应方面目前少年带宽需求楼网络开展实时视频业务高速数交换时实现优良视频业务包括网电视(IPTV)网络教学节目等时极高网络带宽缩短数交换时间户网络考虑网络带宽数交换时间问题真正实现网络
2网络带宽高考虑QoS问题较高网络带宽充分满足种业务阻塞交换网络理者必种业务配置服务质量策略简化设备配置维护工作时网络设备流分类策略QoS策略减少极提高设备转发性稳定性整体提高网络性稳定性
3网络扩展性强满足年新业务支持网络户扩充采万兆楼层千兆桌面建网思路满足前户种业务需求时满足相长段时间种新型业务需求利网络新业务支持网络规模滑扩容
4强桌面安全理
次方案保证网络安全性外接入时核心交换机采置高性防火墙插卡提供强安全保证实时更新办公电脑操作系统补丁病毒库版具备强身份验证力黑白软件理网络安全做精细化理
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
网络电话设计方案
目 录
第1章 网络需求分析 3
11 需求分析 3
12 建设目标 3
第2章 组网方案规划设计 5
21 建设原 5
22 层次化设计 6
23 高性 6
24 网络总体规划 7
第3章 安全理安全渗透网络设计 9
31 网络完全实际办法 9
32 核心交换机强置安全特性 10
33 基层网络安全 11
1端口+IP+MAC址绑定: 11
2MAC址盗防止 11
3防止DHCP服务器攻击 11
4防止ARP攻击 12
5组合丰富VLAN功进行业务隔离 13
6配置防火墙IPS进行网络区域隔离 13
34 配置全面网络防病毒系统 13
Ø 集中控力: 14
采取户端点准入防御解决方案 15
第4章 设备选型 15
网络设备 15
41核心交换机 15
产品概述 16
42接入交换机 16
4.3外网接入路器 17
第5章 组网优势 18
第1章 网络需求分析
11 需求分析
总厂办公楼3层核心机房1楼整办公楼约150170信息点车间办公室约
50信息点(包括预留)信息点位分布表:
楼层
1F
2F
3F
厂区
电话信息点位
5
20
20
70
网络信息点位
30
30
30
30
次组网设计企业网互联网两部分出安全考虑设计外网物理隔离方式
网络设计接入功路器核心交换机接入交换机等核心线路光纤连接达千兆干千兆桌面方案启动vlan限速功合理利互联网资源路器做种防范攻击措施保证网络稳定
次网络建设总结起需满足方面求:
1:建设高高性楼办公网
2:需接入Internet需考虑网高安全性
3:网络边界需考虑网络病毒攻击防范
12 建设目标
通楼办公网络需求进行分析 方面需特关注:
1 性
办公网络承载日常业务重台着种业务办公动化程度越越高网络台赖性越越强首先需构建具高度性网络性体现业务系统服务器存储系统网络系统稳定性针网络系统稳定性堆叠技术做支撑
2 高性
目前着全球信息时代越越业务承载IP网络台网络台容量急剧升容量80局域网局域网高性成提高工作效率关键次西安泵阀总厂网络建设需充分考虑网络高性目标
3 安全性
现病毒黒客终端户造成整网安全隐患尤终端户安全理长期没解决方案次设计专业网络行理设备户网络接入安全进行细致安全合理优化
4 高带宽
网络庞复杂网络保障全网高速转发网全网组网设计瓶颈性求方案设计阶段充分考虑时求核心交换机具高性高带宽特整网核心交换求够提供瓶颈数交换
5 增值性
网络建设维护需投入量力物力网络增值性网络持续发展基础建设时充分考虑业务扩展力针户需求提供丰富宽带增值业务网络具造血机制实现网养网
6 扩充性
考虑户数量业务种类发展确定性求核心交换机汇聚交换机具强扩展功网络建设成完整统组网灵活易扩充弹性网络台够着需求变化充分留扩充余
7 开放性
技术选择必须符合相关国际标准国标准避免厂家私标准部协议确保网络开放性互连互通满足信息准确安全优良交换传送需开放接口支持良维护测量理手段提供网络统实时监控遥测遥控信息处理功实现网络设备统理
8 安全性
设计应充分考虑整网络稳定性支持网络节点备份线路保护提供网络安全防范措施
第2章 组网方案规划设计
21 建设原
总建设原设备先进功齐全适应发展突出重点量力行
1实性原:
现行需求基础充分考虑发展需确定规模
2冗余性原:
特注重网络硬件系统身突发事件时性冗余备份设计方式加保障
3安全性原:
系统应提供较高安全手段防止系统外部成员非法侵入操作员越级操作安全性信息化建设基础保障出安全保密素现信息化建设工程安全性高求设计程中必须国家种关安全法规政策硬件支撑台访问控制线监视信息加密等方面进行完善考虑网络建构根功划分相应区域防火墙入侵检测加密设备信息滤隔离数加密等手段时采虚拟网划分目前较流行VPN安全认证等技术防止非法户非法信息病毒入侵泄密事件发生时企业部建立健全种相关安全理制度确保全网安全
4先进性原:
系统采国际先进前技术满足段时期需
5易维护原:
系统易理易维护网络需高理性特数视频等业务网络系统里理网络设备识关键资源根流量状况网络性配置阈值应提供带宽服务够利完成
着系统投入运行系统资源断增加网络系统应具易维护性理员易维护减少必额外劳动提高工作效率
6易扩展原:
提供开放性标准化程度高技术设备便功扩展考虑业务日益增长长远需求提供网络扩充性户数量需求应断变化技术断发展着网络技术断发展网络应规模断扩网络结构实现真正开放基国际开放式标准设计程中应保证户业务量业务类型变化增长情况硬件支撑台够方便升级扩展网络扩充容量支持更户应网络台设计时必须种国际通标准进行保证种设备网络兼容通开放网络户选择厂家产品网络实现扩容升级时会受某厂家专标准限制网络结构网络技术选择具相前瞻性确保着网络技术断发展网络够滑渡更先进技术设备充分保障户现投资利益
网络扩展力包括设备交换容量扩展力端口密度扩展力干带宽扩展网络规模扩展力
22 层次化设计
园区网络整体设计中采层次化模块化网络设计结构严格定义层功模型层次关注
特性配置典型园区网络结构分成二层:接入层汇聚层
1) 接入层:提供网络第级接入功完成简单二三层交换安全QosPOE功位层园区网接入层设备建议采千兆三层接入方式应该具线速三层交换IRF智弹性堆叠技术高级QoS策略等功
2) 汇聚层:汇聚配线间流量执行策略路协议应层时具负载均衡快速收敛易扩展等特点层作接入设备第跳网关园区网汇聚层设备应该够承载园区种融合业务够融合MPLSIPv6网络安全线源光网络等种业务提供间断转发优雅重启环网保护等种高技术够承载园区融合业务需求
23 高性
厂区外网高网络设计方案
厂区外网网络接入端口数量性求较高交换容量带宽求较高推荐高速阻塞交换千兆两层扁组网模型户提供千兆接入支持语音POE网络运行OSPF协议两层扁网络结构易配置理适应户未年网络应需提供预留容量
两层简化扁网络结构汇聚核心合层减少网络设备数量易配置理户提供千兆桌面接入支持语音POE功接入核心层设备机架式种端口类型单板组合灵活扩充性强节省网络投资整网带宽较高稳定满足种业务阻塞交换
24 网络总体规划
网络解决方案总体设计高性高性高安全性良扩展性理性统网系统组播原考虑技术先进性成熟性采模块化设计方法
网络目网络性带宽网络业务进行全网建设网络设计包含高品质IP核心网模块智弹性接入网模块安全渗透网络模块网络系统综合理适应线网IPv4v6址路模块组播QoS优化模块等部分
新厂区网络均网线媒介办公楼1楼机房厂区车间铺设办公楼网线铺设会议室等场配备线AP设备网线均机房铺设
建网方案扁化结构设计分核心接入两层架构设计
1核心采1台核心三层千兆路交换机保证足够数转发力
2接入采千兆二层智网交换机千兆双属核心
外网结构图示:
次方案设计采二层扁化方式组网进步提高核心网络性高性星形化结构优势点:
Ø 层次结构清晰够网络进行充分规划
Ø 星形化组网网络复杂度降低网络稳定性提升网络维护难度降低
Ø 采星形化结构具高扩展性特点网络规模扩时需增加相应接入设备原网络配置限度保留实现滑网络扩容
Ø 较高网络带宽充分满足种业务阻塞交换
Ø 网络理者必种业务配置服务质量策略简化设备配置维护工作
第3章 安全理安全渗透网络设计
规划网络安全系统时遵循原原基础提供完善体系化整体网络安全解决方案:
l 体系化设计原
通分析信息网络网络层次关系安全需求素动态实施程提出科学安全体系安全模型根安全体系安全模型分析网络中存种安全风险针风险动态实施程基础提出整体网络安全解决方案限度解决存安全问题
l 全局性均衡性原
安全解决方案设计全局出发综合考虑信息资产价值面安全风险衡两者间关系根信息资产价值面风险采取强度安全措施提供具优性价格安全解决方案
l 行性性原
采全面网络安全措施应该会XX学原网络运行网络应系统影响实现保证网络应系统正常运转前提效提高网络应安全强度保证整信息资产安全
l 动态演进原
方案应该针泵阀厂制定统技术理方案采取相技术路线实现统安全策略制定实现整网络基防御网络深度防御网络智防御网络演进形成闭环动态演进网络安全系统
31 网络完全实际办法
网络安全问题解决三分技术七分理严格理企业机构户免受网络安全问题威胁重措施事实数企业机构缺乏效制度手段理网络安全网络户时升级系统补丁升级病毒库现象普遍存意接入网络私设代理服务器私访问保密资源
非法拷贝机密文件利非法软件获取利益等行企业网中皆理欠缺仅会直接影响户网络正常运行企业蒙受巨商业损失
解决现网络安全理中存足应网络安全威胁北京网康公司ICG网行理设备简单易完成种网络审计应控制流量限速等策略做点
1检查:
l 检查网络接入户身份
l 检查网络接入户访问权限
l 检查网络接入户终端安全状态
2隔离
l 隔离非法户终端越权访问
l 隔离存重安全问题安全隐患户终端
3修复
l 帮助存安全问题安全隐患户终端进行安全修复便够正常网络
4监控
l 实时监控线户终端安全状态时获取终端安全信息
l 非法户越权访问存安全问题网络终端进行定位统计网络安全理提供
通制定新安全策略持续保障网络安全
32 核心交换机强置安全特性
逐包转发机制防止病毒击
S5500路交换机采逐包转发机制传统流转发机制安全性方面着更差异流转发存面两问题:(1)网络拓扑频繁变化时设备适应性差转发性降严重(2)存定安全隐患问题尤网络遭受类似红色代码类病毒攻击时问题尤严重
流转发次路次交换特点旦查找次路查找结果存放CACHE里样目址包重新查找直接采类似二层交换技术直接转发目端口果路表项变化通面述硬件精确匹配方式够快速度进行查表转发果应情况路表项常出现变更情况会导致法通硬件精确匹配方式查找路时三层太网交换机会转通
CPU软件进行路查找查表转发速度会急剧降工作基处CPU软件进行路次慢路情况说三层交换机进行数报文转发时根数报文五元组特征进行精确命中数转发红色代码病毒攻击时病毒报文端口号频繁进行变换五元组信息始终处停变换阶段样导致三层交换机CPU停进行路查找类报文外特征短时间产生量报文终导致三层交换机CPU转发程中瘫机时台交换机挂三层交换机样接收量病毒报文基述原CPU转发引擎瘫机时层交换机转发报文中缓解时层交换机处瘫机中样网络路必然会出现较振荡交换机转发性急剧降终导致交换机瘫机整网络
采网络拓扑驱动路交换机言采逐包转发进行匹配方式路查找数报文端口号进行变换情况路器转发造成影响旦遭受红色代码病毒攻击时没问题
33 基层网络安全
1端口+IP+MAC址绑定:
户网安全性非常重H3C E100系列做端口+IP+MAC址绑定关系H3C E100系列交换机支持基MAC址8021X认证整机支持1K挂户认证MAC址绑定直接实现户边缘户理提高整网络安全性维护性:户分配端口该户机MACIPVLAN等进行绑定户通8021X 客户端认证通户便实现MAC址+端口+IP+户ID绑定种方式具强安全特性:防DOS攻击防止户MAC址欺骗更改MAC址户(MAC址欺骗户)实现强制线
考虑学户技术性较强实际应程中应充分考虑ProxyProxy防止H3C公司E100系列交换机配合H3C公司8021X客户端旦检测户PC机存两活动IP址(单网卡双网卡)E100系列交换机会发指令该户直接踢线
2MAC址盗防止
网应中IP址盗常种非法手段户认证通MAC址进行修改然进行非法操作网络设计中针该问题接入层交换机提供防止MAC址盗功户更改MAC址E100系列交换机绑定MAC址相符户直接线线功E100系列交换机实现
3防止DHCP服务器攻击
DHCP Server动态分配IP址会存两问题:DHCP Server假户计算机设置成DHCP Server会局方DHCP Server突二户DHCP Smurf户软件变换MAC址量申请IP址快DHCP址池耗光
H3C E100系列交换机支持种禁止私设DHCP Server方法
Private VLAN
解决问题方法桌面交换机启Private VLAN功环境中功存局限者会私设DHCP服务器缘改造网络
访问控制列表
三层功交换机访问列表实现
4防止ARP攻击
着网络规模扩户数目增网络安全理越发显出重性网户具强专业背景致网络黑客攻击频繁发生址盗户名仿等问题屡见鲜ARP攻击址仿MAC址攻击DHCP攻击等问题仅令网络中心老师头痛已网络接入安全提出新挑战
ARP攻击包括中间攻击(Man In The Middle)仿网关两种类型:
中间攻击:
ARP 协议原理减少网络 ARP 数通信机收 ARP 应答非请求会插入 ARP 缓存表中样造成 ARP 欺骗果黑客想探听网络中两台机间通信(通交换机相连)会分两台机发送 ARP 应答包两台机误认方 MAC 址第三方黑客机样双方似直接通信连接实际通黑客机间接进行黑客方面想通信容方面需更改数包中信息成功做转发工作种嗅探方式中黑客机需设置网卡混杂模式通信双方数包物理发送黑客中转机
仿网关:
攻击者充网关发送免费ARP网络户收更新ARP表项续受攻击户发网关流量会发攻击者攻击导致户法正常网关通信攻击者攻击独占行带宽
DHCP网络环境中DHCP Snooping功E100交换机会记录户IPMAC信息形成IP+MAC+Port+VLAN绑定记录E100交换机利该绑定信息判断户发出ARP报文否合法指定VLAN端口ARP检测功该VLAN端口收ARP报文源IP源MAC进行检测符合绑定表项ARP报文允许转发果端口接收ARP报文源IP源MACDHCP Snooping动态表项DHCP Snooping静态表项中ARP报文丢弃样效防止非法户ARP攻击
5组合丰富VLAN功进行业务隔离
部分网络设备提供VLAN功完善支持通VLAN划分区分业务灵活根端口MAC等进行VLAN划分实现种业务效隔离
时通种特性VLAN部署更加灵活实现网络流量业务隔离通PVLAN技术实现VLAN部服务器间相互访问隔离通动态VLAN部署实现户位置接入网络隔离属VLAN中
6配置防火墙IPS进行网络区域隔离
防火墙网络层核心防护措施整网络进行网络区域分割提供基IP址TCPIP服务端口等访问控制常见网络攻击方式拒绝服务攻击(ping of death land syn flooding ping flooding tear drop …)端口扫描(port scanning)IP欺骗(ip spoofing)IP盗等进行效防护提供NAT址转换流量限制户认证IPMAC绑定等安全增强措施
34 配置全面网络防病毒系统
网络环境防病毒必须层层设防逐层关堵住病毒传播种途径XX学网络系统提供稳定高效技术流方便理服务周全网络病毒防护体系网络防病毒体系包括:
Ø 网关防病毒:
Internet现病毒传播路径访问Internet网站会感染蠕虫病毒Internet载软件数会时病毒黑客程序带进外开放WEB服务器接受Internet访问时感染病毒需公司Internet接口处重点防范病毒传播
Ø 邮件防病毒:
邮件附件前网络病毒传播重途径邮件服务器配置邮件防病毒软件检查邮件服务器发送接收邮件特邮件附件方面防范邮件病毒传播加强户安全教育源明邮件轻易开特附带邮件附件开邮件前电话发件确认邮件病毒动通讯录中查找收件发送邮件时复杂格式直接纯文格式样邮件带病毒传播机会
Ø 服务器防病毒:
重服务器配置服务器防病毒软件包含量复杂应系统需量台服务器建议服务器分安装防病毒系统加强重点服务器病毒防范力
Ø 机防病毒:
网络中户机终端必须单机特处理关键业务户机配置机防病毒软件
Ø 集中控力:
防病毒需具集中控力防病毒产品模块提供集中理机制监控防毒产品防杀状态病毒码杀毒引擎更新升级等防毒产品收集病毒防护情况日志进行分析报告
l 设备选型建议:
¨ 建议选择赛门铁克者卡巴网络防病毒解决方案
采取户端点准入防御解决方案
根前面进行安全需求分析认较完备网络系统端点安全解决方案应该满足求:
1 实现基户身份网络接入控制保证网络安全网络层实现户接入控制授权户接入网络效阻断非法接入网络户保证网络户身份合法性
2 统实现基户身份应服务器接入控制保证应服务器安全具体说公司网络系统户统访问控制理系统理访问权限仅仅应系统身简单密码控制理户权限
3 实现服务器系统安全户机系统安全强制理提供效技术手段解决应服务器户机补丁理病毒理问题未安装系统补丁未安装防病毒软件病毒库版合格终端严禁接入网络实现系统补丁动安装病毒库动升级保证网络清洁
4 实现网络接入户动态隔离力户访问网络程中旦发现户处安全状态迅速隔离户终端保护整网络受安全威胁
第4章 设备选型
网络设备
41核心交换机
次方案推荐采H3C S5500高性路交换机
产品概述
H3C S5500SI系列交换机H3C公司开发全千兆三层太网交换机产品具备丰富业务特性提供IPv6转发功410GE扩展接口通H3C特集群理功户够简化网络理S5500SI系列千兆太网交换机定位企业网城域网汇聚接入时数中心服务器群连接
H3C S5500SI系列太网交换机目前包含型号:
S550028CSI:24 101001000BaseT太网端口4 复SFP 千兆端口(Combo)两扩展槽位
S550052CSI:48 101001000BaseT太网端口4 复SFP 千兆端口(Combo)两扩展槽位
S550028CPWRSI:24 101001000BaseT太网PoE端口4 复SFP 千兆端口(Combo)两扩展槽位
S550052CPWRSI:48 101001000BaseT太网PoE端口4 复SFP 千兆端口(Combo)两扩展槽位
S550020TPSI:12SFP 千兆端口8 101001000BaseT太网端口
42接入交换机
次方案选H3C S3100EI系列交换机
产品概述
H3C S3100EI系列交换机H3C公司构建高安全高智网络需求专门设计新代太网交换机产品满足高性接入基础提供更全面安全接入策略更强网络理维护易性理想安全易接入层交换机
户网络求断提高接入交换机提供简单数交换功越越面着安全威胁理维护复杂业务融合扩展等诸问题挑战:
实现户安全接入控制防止病口入?够准确定位抑制层出穷恶意欺骗攻击安全隐患拒门外?
提高网络理维护易性?动检测网络中否存问题快速准确定位障点批量网络理维护进行批量操作提高网络维护效率降低维护成?
满足园区网业务融合需求批量实现网络资源灵活分配调度?提高网络设备业务扩展力节省户未IPv6业务应追加投资?
H3C S3100EI系列交换机方面户提供全新技术特性解决方案完美解决前网络接入设备面种问题
H3C S3100EI系列太网交换机目前包含型号:
S31008TPEI: 810100BaseTX太网端口1101001000BaseT太网端口1复1001000BaseX SFP端口
S310016TPEI:1610100BaseTX太网端口2101001000BaseT太网端口2复1001000BaseX SFP端口
S310026TPEI:2410100BaseTX太网端口2101001000BaseT太网端口2复1001000BaseX SFP端口
S31008TPPWREIF:810100BaseTX太网端口(PoE)1101001000BaseT太网端口1复1001000BaseX SFP端口
S31008TPPWREIDC:810100BaseTX太网端口(PoE)1101001000BaseT太网端口1复1001000BaseX SFP端口
S310016TPPWREIF:1610100BaseTX太网端口(PoE)2101001000BaseT太网端口2复1001000BaseX SFP端口
S310026TPPWREID:2410100BaseTX太网端口(PoE)2101001000BaseT太网端口2复1001000BaseX SFP端口
4.3外网接入路器
次方案推荐采H3C MSR5006业务开放路器
产品概述
MSR(Multiple Services Routers)业务开放路器杭州华三通信技术限公司(简称H3C)专门面行业分支机构中型企业推出新代网络产品MSR先进软件结构硬件台够投资范围企业边缘网络提供体化解决方案更充分满足未业务扩展元化应需求符合企业IT建设现状趋势
H3C MSR 5006H3C公司推出款高性全千兆宽带路器定位太网接入SMB市场政府企业分支机构网吧等网络环境需高Internet带宽网吧酒店学校采太网光纤接入电子政务网应场景等等
H3C MSR 5006全千兆路器采高性处理器CPU频达800M集成全千兆太网接口软件特性方面支持丰富安全特性支持防攻击应滤等功H3C公司宽带路器中高端产品型网吧户型企业Internet出口设备理想选择
该产品特点:
全千兆太网接口(支持电口光口)4千兆太口足满足接口数量求
提供高性数处理力够达双千兆线速转发
强安全功支持丰富防DOS攻击防ARP控制功
支持带机量数目般3001000台
第5章 组网优势
1网络带宽高满足业务需求彻底满足网络数视频媒体应方面目前少年带宽需求楼网络开展实时视频业务高速数交换时实现优良视频业务包括网电视(IPTV)网络教学节目等时极高网络带宽缩短数交换时间户网络考虑网络带宽数交换时间问题真正实现网络
2网络带宽高考虑QoS问题较高网络带宽充分满足种业务阻塞交换网络理者必种业务配置服务质量策略简化设备配置维护工作时网络设备流分类策略QoS策略减少极提高设备转发性稳定性整体提高网络性稳定性
3网络扩展性强满足年新业务支持网络户扩充采万兆楼层千兆桌面建网思路满足前户种业务需求时满足相长段时间种新型业务需求利网络新业务支持网络规模滑扩容
4强桌面安全理
次方案保证网络安全性外接入时核心交换机采置高性防火墙插卡提供强安全保证实时更新办公电脑操作系统补丁病毒库版具备强身份验证力黑白软件理网络安全做精细化理
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
