xx学院
课程实训
题目__XXXX公司网络安全设计方案___
系 信息工程系
专业班级
学生姓名 xxxx
学生学号 xx
指导老师 xxxxxxx
目录
需求分析 7
11 工程项目概况 7
12 信息点分布 7
13 需求分析 8
二 方案设计原 9
三 网络方案设计 12
31网络拓扑结构介绍 12
32网络拓扑图 13
331骨干核心层网络设计 13
332核心层网络设计 14
333汇聚层网络设计 15
334接入层网络设计 15
335广域网互联设计 16
336冗余负载均衡设计 16
337线路冗余 17
338网络设备冗余负载均衡设计 18
339服务器冗余设计 19
3310 IP址规划原 20
33 方案特点 23
34工程预算 24
四 网络技术选型 24
41 路协议——OSPF 24
42 端口安全认证(基 8021X) 25
五 网络安全理机制 32
51 完善安全机制 32
52 解决安全威胁 33
53 VPN (虚拟专网) 34
六 网络设备选型 35
七 方案扩展性考虑 35
规划需求
公司背景
二 XX电子系统工程限公司股份限公司成立2000年威海市较早事信息系统集成硬件销售软件开发IT服务综合性公司注册资金208万元民币公司现拥员工30中专业技术员占80科学历员占70公司具备方案设计网络布线办公设备信息系统集成软件开发IT服务等面户综合服务力
创立伊始立足信息产业致力高科技产品开发信息系统集成服务工作政府教育金融证券企业提供优质解决方案增值服务
技术竞争日益激烈天公司断加高技术引进培训工作提供优质工作环境创造学机会全面提高素质公司业务迅速发展提供需建立支专业技术力强素质水高技术队伍样充分根行业特点充分解户需求踪国际新技术潮流户提供优质性价高解决方案完全户角度出发达物目节省投资
公司拥批验丰富高级技术员优秀系统集成方案设计施工认证工程师专业素质理员知名厂家专业培训机构培训具丰富项目理实施技术服务验分通IBMHPDELL联想清华方启明星辰3COMAMPFLUKEMICROSOFTNOVELL安博士金山培训认证实行认证专家服务够客户提供网络规化设计系统集成方案资询工程实施应系统开发售技术服务紧急救援等系列完整客户系统解决方案年公司出色业绩行业中令瞩目
二户背景信息
加快某集团信息化建设新集团企业网建设集团办公动化电子商务业务综合理媒体视频会议远程通讯信息发布查询核心现代网络技术托技术先进扩展性强集团种办公室媒体会议室PC终端设备应系统通网络连接起实现外沟通现代化计算机网络系统该网络系统支持办公动化供应链理ERP应系统运行基础设施确保关键应系统正常运行安全发展系统必须具备特性:
· 采先进网络通信技术完成集团企业网建设实现分公司信息化
· 整企业集团实现部门办公动化提高工作效率理服务水
· 整企业集团实现资源享产品信息享实时新闻发布
· 整企业集团实现财务电算化
· 整企业集团实现集中式供应链理系统客户服务关系理系统
网络设计方案中
三户需求分析结果
· 求网络设备集成安全性(方案设计中涉专门防火墙VPNIDS产品实验配置时安全指交换机路器等网络基础设施产品中集成安全涉产品)网络台需提供防止非法ARP攻击DOS攻击非法DHCPServer力
· 实现部网络户功进行VLAN划分
· 分布式三层架构启三层路功相应访问控制
· 病毒攻击防护出口实现NAT址转换发布外WEB服务
· 支持10GE滑渡10GE
· 求网络干进行流量监控
· 建筑物18芯单模光纤连接建筑物(网络中心)建筑物建筑物间距离600M~~2000M间建筑物部适部布线实现需连接
四方案求
(1)方案设计求
o 整体结构
o 设备选型
o 网络拓扑图
4IP址规划
(2)试验报告实施文档
1整体结构根提供硬件设备搭建模拟网络环境描述
2试验配置包括具体配置文档
3验证测试验证方法
需求分析
11 工程项目概况
××集团加快信息化建设新集团企业网建设集团办公动化电子商务业务综合理媒体视频会议远程通讯信息发布查询核心现代网络技术托技术先进扩展性强集团种办公室媒体会议室PC终端设备应系统通网络连接起实现外沟通现代化计算机网络系统该网络系统支持办公动化供应链理ERP应系统运行基础设施确保关键应系统正常运行安全发展系统必须具备特性:
1 采先进网络通信技术完成集团企业网建设实现分公司信息化
2 整企业集团实现部门办公动化提高工作效率理服务水
3 整企业集团实现资源享产品信息享实时新闻发布
4 整企业集团实现财务电算化
5 整企业集团实现集中式供应链理系统客户服务关系理系统
具体求:
l WWW服务
l EmailFTP服务
l 网媒体教学提供视频点播服务
l 集团行政理
l 拨号网服务
12 信息点分布
信息点集中生产部账务部网络中心职工宿舍医疗卫生等部门详细分布表1示
点
信息点
备注
网络中心
40
需保证速度流量性
生产部
150
需保证速度流量性
账务部
120
需保证速度流量安全性
职工宿舍
1000
需保证速度流量
医疗卫生
10
需保证速度性
销售部
100
综合设计
30
表1 信息点分布
13 需求分析
适应企业信息化发展满足日益增长通讯需求网络稳定运行天型企业网络建设传统企业网络建设提出更高求表现方面:
1)现代型企业网络应具更高带宽支持10GE滑渡10GE更强性满足户日益增长通讯需求
着计算机技术高速发展基网络种应日益增天企业网络已发展成业务承载台仅继续承载企业办公动化WEB浏览等简单数业务承载涉企业生产运营种业务应系统数带宽时延求高IP电话视频会议等媒体业务数流量增加尤核心网络数交换力提出前未求外着千兆端口成持续降千兆桌面应会久成企业网流2005年全球交换机市场分析增长迅速10G级机箱式交换机见万兆规模应已真正开始天企业网络已百兆桌面千兆骨干作建网标准核心层骨干层必须具万兆级带宽处理性构筑畅通阻高品质型企业网适应网络规模扩业务量日益增长需
2)现代型企业网络应具更全面性设计实现网络通讯实时畅通保障企业生产运营正常进行
着企业种业务应逐渐转移计算机网络网络通讯中断运行已成保证企业正常生产运营关键现代型企业网络性设计方面应三方面考虑:首先设备级性设计里仅考察网络设备否实现关键部件冗余备份网络设备整体设计架构处理引擎种类等方面考察次业务性设计里注意网络设备障倒换程中否业务正常运行影响次链路性设计太网链路安全路径选择企业网络建设时考虑网络设备否够提供效链路愈手段快速重路协议支持
3)现代型企业网络需提供完善端端QOS保障满足企业网业务承载需求
型企业网络承载业务断增单纯提高带宽够效保障数交换畅通阻正八车道长安街常堵车样天型企业网络建设必须考虑网络应够智识应事件紧急重程度视频音频数流(MISERPOA备份数)时够调度网络中资源保证重紧急业务带宽时延优先级阻塞传送实现业务合理调度型企业网络提供高品质服务保障
4)现代型企业网络应提供更完善网络安全解决方案阻击病毒黑客攻击减少企业济损失
传统企业网络安全措施通部署防火墙IDS杀毒软件配合交换机路器ACL实现病毒黑客攻击防御实践证明动防御措施效解决企业网络安全问题企业网络已成公司生产运营重组成部分天现代企业网络必须整套户接入控制病毒报文识动抑制系列安全控制手段效保证企业网络稳定运行
5)现代型企业网络应具备更智网络理解决方案适应网络规模日益扩维护工作更加复杂需
前网络已发展成应中心信息基础台网络理力求已升业务层次传统网络设备智已效支持网络理需求发展网络调试期间消耗力物力线缆障定位工作网络运行期间户灵活服务策略部署访问权限控制网络日志审计病毒控制力等方面理工作受网络设备功身限制属费时费力时甚务现代型企业网络迫切需网络设备具备支撑应中心智网络运营维护力够套智化理软件网络理员繁重工作中解脱出
二 方案设计原
方案设计追求性优越济实前提着严谨慎重态度系统结构技术措施设备选择系统应技术服务实施程等方面综合进行系统总体设计力图该系统真正成符合该中学网络系统
技术措施角度讲网络设计实现中方案严格遵守原:
l 实性集成性
系统软硬件设计集成均适第宗旨系统充分适应企业信息化需求基础进考虑性该系统包含容必须种先进软硬件设备效集成起系统组成部分充分发挥作协调致进行高效工作
l 标准性开性
支持标准性开放性系统支持开放型系统起协工作网络中采硬件设备软件产品应该支持国际工作标准事实标准便厂家开放性产品网络中时存通信中应采标准通信协议操作系统网络系统网络间利进行通讯
l 先进性安全性
系统组成素均应充分考虑先进性味追求实忽略先进先进技术实际应求紧密结合获系统性效益网络安全事关重某情况宁牺牲系统部分功必须保证系统安全
l 成熟性高性
作信息系统基础网络结构网络设备配置带宽应充分满足网络通信需网络硬件体系结构实际应中较长时间考验运行速度性应稳定拥完善实解决方案通较第三方开发商户全球广泛支持时应长远技术发展选择具前景较先进技术产品适应系统未发展需
性衡量计算机应系统重标准确保系统网络环境中单独设备稳定运行前提需考虑网络整体容错力安全性稳定性系统出现问题障时迅速修复需采取定预防措施关键应干设备考虑适冗余应急处理信息系统够全天候工作达周7*24时工作求高性系统户投资真正回报
l 维护性理性
整信息网络系统中互连设备应方便操作简单易学便维护复杂庞网络求强力网络理手段便合理理网络资源监视网络状态控制网络运行网络选网络设备应支持种协议理员方便进行网络理维护甚修复
设计实现时必须充分考虑整系统便维护性系统万发生障时提供效手段时进行恢复量减少损失
l 扩充性兼容性
网络拓扑结构应具扩展性网络联结必须系统结构系统容量处理力物理接连产品支持等方面具扩充升级换代采产品遵循通工业标准便设备方便灵活接连入网满足系统规模扩充求
实现系统够应发生变化情况保护原开发投资设计系统时应系统功做成模块化根需增加删功模块
三 网络方案设计
31网络拓扑结构介绍
次××集团型企业网设计中采层次化模型设计网络拓扑结构谓层次化模型复杂网络设计分成层次层次着重某特定功样够复杂问题变成许简单问题层次模型够应局域网设计够应广域网设计
层次化模型处:
型企业网设计中层次化模型许处列举:
1节省成
采层次模型层次司职台考虑事情层次模型模块化特性网络中层够利带宽减少系统资源浪费
2易理解
层次化设计网络结构清晰明层次实施难度理降低理成
3易扩展
网络设计中模块化具特性网络增长时网络复杂性够限制子网中会蔓延网络方果采扁化网状设计节点变动整网络产生影响
4易排错
层次化设计够网络拓扑结构分解易理解子网网络理者够轻易确定网络障范围简化排错程
32网络拓扑图
网络拓扑图图1示
图1 网络拓扑图
33 网络设计
331骨干核心层网络设计
型企业生产办公网络核心网完成整企业集团部域企业间高速数路转发维护全网路计算鉴型集团企业户数量众业务复杂QOS求较高特点方案中采神州数码DCRS7508高密度业务核心路交换机组建高性核心网络台
神州数码 DCRS7500系列交换机具运营商级容错力高性型网络核心交换机高校运营商提供基领先技术卓越性性DCRS7500系列交换机专发挥万兆千兆太网潜强交换力设计超容量交换背板包括万兆端口端口具备全线速交换力确保巨网络通信负载始终够轻松实现线速第二层第三层交换城域网数中心智厦企业网络骨干级核心路交换机理想选择
DCRS7500系列交换机具三种型号包括15插槽DCRS75158插槽DCRS75084插槽DCRS7504DCRS7515专功率电源模块外该系列交换机理模块交换模块电源模块互换理模块电源模块风扇等实现冗余备份温度传感器时监控部件工作温度 提供运营商级性 DCRS7500系列交换机特色理模块均带业务接口插槽均效业务插槽提高端口密度插槽利率
骨干核心层中采三台神州数码DCRS7508核心路交换机组成环形机热备份核心交换机系统解决方案提高核心网络健壮性实现链路安全保障方案骨干核心层环网中采VRRP(虚拟路器冗余协议)业务VLAN指虚拟IP址作网关应VRRP技术核心交换机提供网关址实现核心层核心交换机间进行设备硬件冗余两备虚拟IP址MAC址通部协议传输机制动进行工作角色切换进双引擎双电源设计网络高效处理集中数提供保障
332核心层网络设计
型企业生产办公网络核心层网络完成园区汇聚层设备间数交换骨干核心层网络间路转发传统解决方案般采骨干路器+核心交换机组建种方式受限交换机性提供MPLS VPN业务力方面较弱适合型企业网络建设需求时现型企业办公网络具城域网特点网络发展具网络扁化发展方方案骨干层网络设备采DCRS7508核心路交换机作型企业生产办公网络园区核心路交换设备DCRS7508具强业务路处交换理力提供MPLS VPNQoS策略路NATPPPoEWeb8021xL2TP认证等丰富业务力通置防火墙模块实现种强网络安全策略充分满足型企业园区网络高速数交换支持业务功求够提供完善安全防御策略保障企业园区网络稳定运行
333汇聚层网络设计
汇聚层网络完成企业园区办公楼宇相关单位接入交换机汇聚数交换VLAN终结方案中采神州数码DCRS7504交换机层交换机作汇聚层面交换机DCRS7504交换机提供高密度千兆端口接入时够满足汇聚层智高速处理需够加灵活部署网络边缘位置够时提供高速专堆叠端口百兆千兆光口电口交换机具备较强业务提供力支持包括智CCLMPLS组播种业务户提供丰富高性价组网选择
334接入层网络设计
传统企业网络接入层建设中关注安全控制QOS提供力网络安全防御措施QOS保障赖网络汇聚层骨干层设备汇聚层骨干层设备带巨压力网病毒泛滥成灾导致骨干层设备瘫机网络没QOS服务质量保障
DCRS2026B智宽带接入交换机满足高安全业务承载高性网络环境智交换机具备传统二层交换机容量高性等优点时具领先安全特性进步加强企业网络边缘接入层面安全控制力 户根需订制身安全策略部署交换机该产品具备端口带宽限制端口镜QoS端口安全广播风暴抑制等功协助户实现网络理维护外交换机具备专堆叠接口满足楼层楼宇交换机高性汇聚需
335广域网互联设计
针型企业需良出口网关设备建议户选神州数码DCFW1800SL
神州数码DCFW1800EG2防火墙专千兆位流量网络服务运营商型数中心等骨干网络设计 采2U专千兆安全台完全模块化扩展结构具热插拔特性冗余部件您提供间断运行时间神州数码DCFW1800EG防火墙置2101001000M适应太网电口具备6SFP扩展插槽扩展8千兆接口接口模块类型支持单模模光纤千兆电口充分满足您定制需求
336冗余负载均衡设计
冗余设计网络设计重部分保证网络整体性重手段投资增加部分企业园区网早期建设中成原未设计中考虑冗余问题优化工作中需网络链路网络设备两方面着手冗余设计贯穿整层次化结构冗余设计针性选择中部分部分应网络中针重应万网络中某条路径失效时冗余链路提供条物理路径采GEC链路聚合(IEEE8023ad)实现端口级冗余克服某端口线路引起障采生成树协议(IEEE8021d)提供设备级冗余连接外设计中提供物理方双属双路保护
337线路冗余
企业网骨干核心层企业网络边界拓扑结构采环形机热备份核心交换机系统解决方案线路冗余方面求较高线路冗余求采10GE线路三台企业网骨干核心层设备进行环行双备份业界领先VRRP(虚拟路器冗余协议)作冗余线路协议保障GEC作N*1000M干链路通链路连接骨干网交换机具备万兆扩展力接入交换机采10100M适应端口连接桌面系统千兆链路连接汇聚层
GEC路具链路聚合冗余保证两特性面次进行介绍
链路聚合:
条物理链路品牌交换机间交换机服务器间提供聚合高速通道增加投资情况扩交换带宽关键连接传输效率更高
冗余保证:
链路聚合中成员互相动态备份某链路中断时成员够迅速接工作生成树协议链路聚合启备份程聚合外见启备份程聚合链路链路关切换数毫秒完成
综合分析流方案优缺点性成拓展性等方面综合考虑出发决定采GEC骨干核心网络10GE拓展方式作链路选择备份选择
企业网汇聚层接入层出成性价考虑决定采千兆汇聚万兆拓展百兆桌面链路选择
338网络设备冗余负载均衡设计
前企业网园区网广域网Internet业务量发展超出乐观估计网热潮风起云涌新应层出穷时优配置建设网络快会感吃消尤网络核心部分数流量计算强度单设备根法承担
负载均衡建立现网络结构提供种廉价效方法扩展服务器带宽增加吞吐量加强网络数处理力提高网络灵活性性完成务解决网络拥塞问题服务提供实现理位置关性 户提供更访问质量提高服务器响应速度提高服务器资源利效率避免网络关键部位出现单点失效
方案中网络关键结点设计时做效冗余备份负载均衡网络骨干核心层采三台锐捷网络RGS8610高密度业务IPV6核心路交换机组建高性核心网络台骨干核心层提供足够网络接点接入需求时限度网络提供效冗余保障负载均衡核心层区块采两台锐捷网络RGS8606度业务IPV6核心路交换机做冗余负载均衡汇聚层区块 采两台锐捷网络RGS5750交换机层交换机做冗余负载均衡
方案设计中出现两交换区块需提供冗余连接时候采双核心配置图出接入层汇聚层核心层双核心配置
双核心拓扑结构提供两条等代价路径双倍带宽核心交换机连接着数目相子网第三层汇聚设备交换区块冗余连接核心交换机形成两条等代价连接果条核心设备发生障够收敛汇聚层设备路选择表中条核心设备路第3层路选择协议核心中起链路选择作VRRP提供快速错误恢复核心层需STP核心交换机间没冗余第2层连接
339服务器冗余设计
企业网中服务器型机网络存储服务器SQL Server服务器存储数企业说致关重核心数视企业生命方面企业企业重性毋庸质疑方面数性质决定较访问量服务器提出稳定快速求果宕机果技术保障计算机系统性重中重采双机热备技术 技术够效满足核心服务器高效稳定高求相成技术说较济价成效技术
Server 1 Server 2
服务器双机热备技术
具体技术实现:核心服务器均具两太网接口(通安装双网卡实现)基础图例DB服务器ADB服务器B先分利太网接口实现两服务器间直连服务器外接口服务器区网络实现互连达双机热备目增加服务器稳定性高效性
网络中应具台服务器设备包括DB SERVER数库服务器WEBCATALOG等应服务器NEWSMAIL等通讯服务器媒体服务器等
网络成估计29万左右
3310 IP址规划原
IP址构成整Internet基础IP址资源整Internet基核心资源IP址资源合理分配效利整Internet发展程中持续效极具分量研究课题
企业园区网IP址编址设计分配利时遵循原:
1)治:整园区网络网络划分成治区域治区域中划分成治区域
2)序:治原网络进行逻辑划分根域设备分布区域户数量进行子网规划时IP址规划网络层次规划路协议规划流量规划等结合起考虑进行址分配时提高址分配效率址利率编址设计时定序进行选择序序采业界领先顶网络设计(TopDown Network Design)方法
3)持续性:考虑园区网络户数持续高速增长网络承载业务量业务种类越越网络需频频进行技术升级改造扩容进行址分配时方案充分考虑素网络部分留部分址冗余样保证网络持续发展
4)聚合:互联网日新月异发展日益庞规模令初设计互联网络专家始料路表急剧膨胀情况聚合原网络址分配时必须遵守高原聚合原求进行址规划时应提供足够路冗余功
5)量节约IPv4址:IPv4址越越少IPv4址需格外节约IPv4址节约通动态编址技术NAT技术等实现
6)闲置IP址回收利:已分配出静态IP址进行定期追踪理长时间闲置IP址确认回收重复利
次方案设计决定采部私A类址(10000)企业园区网络设备编址方案身网络拓扑图采典型层次化设计ip址编址设计应采取层次化设计完成采VLSM拓展限IP址
网段描述
需IP址数
骨干核心层链路
5(2拓展备份)
集团总部
1000
生产矿
500
建井处
500
机械厂
1000
型机服务器群
500
企业VOIP语音系统
2000
VLSM变长子网掩码英文缩写提供类(A类B类C类)网络包含子网掩码力子网进行子网划分
VLSM优点
·IP址更效
·应路纳力更强
采取vlsm网络进行编址达节约ip址够路汇总目
首先采A类网址园区网体结构进行编址设计思路利设计成型网络健壮性
计算部门ip址分配表:
IP址网段
VLAN编号
默认网关
财务部
19216810024
10
192168025424
生产部
19216820024
20
192168025424
销售部
19216830024
30
192168025424
行政部
19216840024
40
192168025424
户址VLAN划分
Web服务器IP址: 192168100124
FTP服务器IP址: 192168100224
路器出口IP址: 2221844324
33 方案特点
方案解决户求四问题带宽问题安全问题理计费问题灵活扩展问题
l 带宽问题:万兆互连双核心结构网络核心设备互相备份效减轻流量负荷设备时刻保持稳定高效
l 安全问题:校园网核心层汇聚层楼层汇聚层产品全部具网络病毒攻击防护力防DOSDDOS攻击环境中做安全防护足应突发事件保持网络稳定通畅
l 理计费问题: 统认证针校园网开放式信息点造成安全隐患全网接入采统认证技术(进行账号IPMACLAVN ID交换机IP交换机端口六素灵活捆绑)保证合法授权户网络外部网络网络情况进行审计
l 灵活扩展问题:核心层路交换机DCRS7508良扩展性网络实现轻松扩展
34工程预算
1设备购买预算
锐捷网络RGWALL 1600S防火墙:123万元
RGWG系列锐捷 WebGuard :10万元
2项目开展预算
硬件安装测试预算:73万元
软件系统安装测试预算:6万元
项目维护预算:62万元
项目预算:4万元
3项目总预算
该项目开展总预算458万元超出预算范围53万元
四 网络技术选型
41 路协议——OSPF
网络骨干核心层核心层汇聚层需三层设备网络部网段数vlan间数转发需路协议时采OSPF协议作路协议
OSPF种典型链路状态路协议采OSPF路器彼交换保存整网络链路信息掌握全网拓扑结构独立计算路RIP路协议服务型网络IETFIGP工作组特开发出链路状态协议——OSPF目前广OSPF第二版新标准RFC2328
OSPF作种部网关协议(Interior Gateway ProtocolIGP)治域(AS)中路器间发布路信息区距离矢量协议(RIP)OSPF具支持型网络路收敛快占网络资源少等优点目前应路协议中占相重位
42 端口安全认证(基 8021X)
a端口安全
交换设备定义端口保护功定义允许 MAC 址访 问数者静态定义特定 MAC 址遇合法 MAC 址交换机采取策 略
配置举例
端口安全性:
>enable
#configure terminal
(config)#interface f01
(configif)#swithport portsecurity
( configif)#swithport portsecurity maximum 4
(configif)#swithport portsecurity macaddress xxxx (该端口mac址 )
(configif)#swithport portsecurity violation shutdown (遇端口关闭工开)
保护端口:
接入层交换机宿舍接口设置保护口保护口间间互相法通迅保护口非保护口间正常通迅:
Switch(config)#interface Ethernet 01
Switch(config)#switchport protected
b基 8021x 端口认证
基端口认证 AAA 认证端口保护相结合默认情况支持8021x 交换机端口处未授权状态 8021x 关数数通该端口客户交换机创建 8021x 会话客户授权访EAPOL:Extensible Authentication Protocol OVER LAN 局域网扩展身 份认证
端口处未授权状态客户端 EAPOL 交换机通信
43 VRRP(虚拟路冗余协议)原理
VRRP路器组提供冗余网关址种容错协议通定义 组优先级路器保证网络路器失效时时 备分实现路器代保持通讯连续性性该协议 实现负载均衡等高级交换特性
VRRP 技术实现: 汇聚核心冗余连接 VRRP 实现通 VRRP 技术设备虚拟成台逻辑设备实现汇聚接入链路冗余
例:
(if)#vrrp 5 ip 19216825
if)# vrrp 6 ip 19216826
A if)#vrrp 5 priority 200
B if)#vrrp 6 priority 200
if)#vrrp 5 authen name
if)#vrrp 6 authen name
见图:
备份(100)
Mac00005e000105
19216825
活动(200)
Mac00005e000106
19216826
活动(200)
Mac00005e000105 (A)
19216825
备份(100)
Mac00005e000106
19216826
(B)
44 RSTPMSTP原理
RSTP 协议完全兼容 8021D STP 协议传统 STP 协议样具避免回路提供冗余链路功 外特点快果局域网网桥支持 RSTP 协议理员配置旦网络拓朴改变 重新生成拓朴树需超 1 秒时间(传统 STP 需约 50 秒)
交换机支持 MSTPMSTP 传统 STPRSTP 基础发展新生成树协议身包含 RSTP快速 FORWARDING 机制
传统生成树协议 vlan 没联系特定网络拓朴会产生问题: 图 示交换机 AB vlan1 交换机 CD vlan2 然连成环路
某种情况配置会造成交换机 A B 间链路 DISCARDING交换机 CD 包含 vlan1法转发 vlan1 数包样交换机 A vlan1 法交换机 B vlan1 进行通讯
网络末梢连接单工作站时候形成桥接环路接口 启 portfast 特性交换机端口立变转发状态提高网络 响应速度收敛时间 基 RSTP 交换机高级特性 Uplinkfast 网络中应
考虑冗余行连接网络冗余连接层交换机通常情况 行连接处转发状态处阻塞状态果行连接断开 冗余连接前历时间高达 50S
Uplinkfast 具冗余行连接交换机具根端口失效 时阻塞行连接够立时间缩 15S 间 校 园 网 特 殊 环 境 增 强 网 络 稳 定 性 加 快 网 络 收 敛
45 NAT 描述策略路实现
组建网络时节约址部保留私址段中 址私址访问 Internet必须申请公开址配置 Internet 相连局域网边缘设备应 NAT 进行址转换
NAT 网络址翻译技术路器起 NAT 部私址 外部公网址间做转换网络部 IP 翻 译成外部公网 IP
配置基策略路选择时路映射表指定基 IP 址应 程序协议者分组长度条件基策略路选择命令中选路实现策 略
基策略路静态路处然静态路根目标网络 址转换分组策略路根源址转发分组路选择表中访问 列表时根诸目标址分组长度IP 协议字段优先级端口号转发数流样指定范围更广泛更细致条件根条件决定 跳路器
46 ACL (访问控制列表)
访问列表提供种网络访问进行效理方法通访问列 表设置允许拒绝数包通路器者允许者拒绝具体某 端口进行访问果满足条件执行相应操作放行包者放弃 包通设置满足实际网络灵活需求达设置网络安全策 略防止网络中敏感设备受非授权访问情况
具体实现程中技术说需解 ACL 分两种类型分 标准访问列表(Standard access lists)扩展访问列表(Extends access lists) 前者滤网络时候 IP 数报源址种访问列表 情况做出允许者拒绝决定完全赖源 IP 址法区分具体 流量类型扩展访问列表提供更细决定具体端口 精确某服务 WEBFTP 访问等网络策略提供更细 控制手段利种访问列表进行协议级控制达网络效 理标准访问控制列表般放目标路器扩展访问控制列表 般放源端路器
47 链路聚合 EC(Ethernet Channel)
太网信道链路聚合交换机间交换机服务器间链路带宽非常 伸缩性 2 3 4 千兆链路绑定起链路带宽成 倍增长链路聚合技术实现端口负载均衡时够互备份保 证链路冗余性千兆太网交换机中支持 4 组链路聚合 组中 4 端口链路聚合般允许跨芯片设置生成树协议链路聚合保证网络冗余性网络中设置冗余链路生成树协议备份链路阻塞逻辑形成环路旦出现障启备份链路
48 VLAN (虚拟局域网)
VLAN 虚拟局域网种二层设备隔离划分广播域技术通种 划分物理位置分离网络设备逻辑划广播域者 物理位置邻网络设备划广播域更方便理做 逻辑层次划分技术说 VLAN 分静态 VLAN 动态 VLAN静 态 VLAN 基交换机端口进行划分根网络设备连接交换机端口 进入相应 VLAN动态 VLAN 更灵活根接入计算机 IP 址 MAC 址甚户登陆账号做出相应处理计算机划分进相应 VLAN 中样实际网络理带较方便性灵活性 企业网方案中希通VLAN 技术进行划分达 目:
隔离划分广播域减必广播流量提高整网络利效率
49 WLAN 线局域网
线局域网 4 特点: 移动性:受时间限制空间限制户网络中漫游 灵活性:受线缆限制意增加配置工作站 低成:线网络需量工程布线时节省线路维护费 易安装:线网络说线网络组建配置维护更容易
结合特点线网络非常适合图书馆环境求图书布置线 网络采 Infrastucture 种典型 WLAN 工作模式线客户端通 线接入器 AP(Access Point)接入太网享网络资源 AP 分布相邻 区域实现线客户端移动漫游
五 网络安全理机制
51 完善安全机制
企业楼宇交换机通种安全机制效防止控制病毒传播网络流 量攻击 控制非法户网络保证合法户合理化网络端口安全端口隔离ACL端口 ARP 报文合法性检查基数流带宽限速六元素绑定等等 满足企业网加强访问者进行控制限制非授权户通信需求汇聚核心交 换设备设置硬件实现 ACL病毒进行滤选汇聚 核心交换设备支持SPOHACL 时会影响整交换机性
1. 硬件实现端口 MAC 址户IP 址绑定严格限定端口户接入
2. 通 Private VLAN 交换机 VLAN 中提供端口间通讯 安全隔离确保数流进入效端口会发送端口解决 传统 8021QVLAN 造成 全网 VID 资源够问题时需利安全规 资源达隔离户 组户间通讯功充分保护户隐私
3. 实现户账号MAC 址IP 址交换机 IP 交换机端口等六元素间灵活意绑定效确认户合法性唯性
4. 支持业界特 IGMP 源端口检查效杜绝非法组播源播放量占量网络带 宽提高网络安全性
5. 提供极效Port Blocking 功避免端口受端口发送广播包播包等报文干扰效减轻端口负载负担提高端口带宽保护户 PC 更高效安全 运行
6. 基源 IP 址控制 Telnet Web 设备访问控制增强设备网 安全性避免黑客恶意攻击控制设备
7. 提供加密传输Secure Shell(SSH)保证理设备信息安全性防止黑客攻击控制设备
8. 灵活控制 27 层数报文户 PC 种应报文通网络效控制充分保障网络安全合理化
52 解决安全威胁
企业网络已成公司生产运营重组成部分天现代企业网络必须整套户接入控制病毒报文识动抑制系列安全控制手段效保证企业网络稳定运行
1防击波病毒
着蠕虫病毒等攻击手段呈元化发展单防护措施已力保 卫校园网络安全IDS 根预先定义策略进行检测新攻击方式 力者 IDS 侦测某终端户感染病毒相关信息形成报告通知 网员等处理然时受感染户已通网络散播校园 网络角落
2网络部恶意误操作攻击
相关数字显示目前网络遭受恶意攻击 90%部 诸窃取密码等重信息盗 IP 电话校园卡通金额盗等事件时 发生果仅仅 倚动监测方式事追查嫌疑网 员制造难逾越瓶颈
53 VPN (虚拟专网)
虚拟专网(virtual private network)种公网络通创建隧道封装 数模拟种私专链路隧道起提供逻辑点点连接作隧 道端外端支持数身份验证加密数身进行加密 通公网络然安全便数包通网络结点时拦 截(服务器时)拦截者没密钥法查包容
容说 VPN 连接分两部分隧道建立数 加密第 2 层常见隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点点隧道协议 L2TP(Layer2 Tunneling Protocol)第二层隧道协议L2TP 隧道够提供 ATM FRAME RELAY 隧道赖 IP 协议 支持止连接般网络设备路器等支持协议 第三层创建隧道基 IP 虚拟连接连接通收发 IP 数包实现 抱封装 IETF(Internet Engineering Task Force)指定协议包装 包装 IP secIKE身份验证加密方法 MD5DES SHA 数加密加密数协议 MPPEIPsecVPNdSSH IP sec L2TP 起时候 L2TP 建立隧道IPsec 加密数种形式 IP sec 运行传 输模式
六 网络设备选型
校园网网络系统结构分核心层汇聚层接入层核心层实现骨干网络间优化传输骨干层设计重点冗余力性高速传输学校存量语音视频传输考虑汇聚层 QoS 良支持提供带宽接入层设备终户直接联设备应该具备插特性易维护特点接入层面通定义相应访问策略实现访问控制外隔离
七 方案扩展性考虑
方案中采取技术产品充分考虑网络未升级发展企业网扩展广域网建设作周密考虑系统选择成熟标准快速太网技术网络已构筑高速坚固信息高速公路面未发展处非常利境界
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
课程实训
题目__XXXX公司网络安全设计方案___
系 信息工程系
专业班级
学生姓名 xxxx
学生学号 xx
指导老师 xxxxxxx
目录
需求分析 7
11 工程项目概况 7
12 信息点分布 7
13 需求分析 8
二 方案设计原 9
三 网络方案设计 12
31网络拓扑结构介绍 12
32网络拓扑图 13
331骨干核心层网络设计 13
332核心层网络设计 14
333汇聚层网络设计 15
334接入层网络设计 15
335广域网互联设计 16
336冗余负载均衡设计 16
337线路冗余 17
338网络设备冗余负载均衡设计 18
339服务器冗余设计 19
3310 IP址规划原 20
33 方案特点 23
34工程预算 24
四 网络技术选型 24
41 路协议——OSPF 24
42 端口安全认证(基 8021X) 25
五 网络安全理机制 32
51 完善安全机制 32
52 解决安全威胁 33
53 VPN (虚拟专网) 34
六 网络设备选型 35
七 方案扩展性考虑 35
规划需求
公司背景
二 XX电子系统工程限公司股份限公司成立2000年威海市较早事信息系统集成硬件销售软件开发IT服务综合性公司注册资金208万元民币公司现拥员工30中专业技术员占80科学历员占70公司具备方案设计网络布线办公设备信息系统集成软件开发IT服务等面户综合服务力
创立伊始立足信息产业致力高科技产品开发信息系统集成服务工作政府教育金融证券企业提供优质解决方案增值服务
技术竞争日益激烈天公司断加高技术引进培训工作提供优质工作环境创造学机会全面提高素质公司业务迅速发展提供需建立支专业技术力强素质水高技术队伍样充分根行业特点充分解户需求踪国际新技术潮流户提供优质性价高解决方案完全户角度出发达物目节省投资
公司拥批验丰富高级技术员优秀系统集成方案设计施工认证工程师专业素质理员知名厂家专业培训机构培训具丰富项目理实施技术服务验分通IBMHPDELL联想清华方启明星辰3COMAMPFLUKEMICROSOFTNOVELL安博士金山培训认证实行认证专家服务够客户提供网络规化设计系统集成方案资询工程实施应系统开发售技术服务紧急救援等系列完整客户系统解决方案年公司出色业绩行业中令瞩目
二户背景信息
加快某集团信息化建设新集团企业网建设集团办公动化电子商务业务综合理媒体视频会议远程通讯信息发布查询核心现代网络技术托技术先进扩展性强集团种办公室媒体会议室PC终端设备应系统通网络连接起实现外沟通现代化计算机网络系统该网络系统支持办公动化供应链理ERP应系统运行基础设施确保关键应系统正常运行安全发展系统必须具备特性:
· 采先进网络通信技术完成集团企业网建设实现分公司信息化
· 整企业集团实现部门办公动化提高工作效率理服务水
· 整企业集团实现资源享产品信息享实时新闻发布
· 整企业集团实现财务电算化
· 整企业集团实现集中式供应链理系统客户服务关系理系统
网络设计方案中
三户需求分析结果
· 求网络设备集成安全性(方案设计中涉专门防火墙VPNIDS产品实验配置时安全指交换机路器等网络基础设施产品中集成安全涉产品)网络台需提供防止非法ARP攻击DOS攻击非法DHCPServer力
· 实现部网络户功进行VLAN划分
· 分布式三层架构启三层路功相应访问控制
· 病毒攻击防护出口实现NAT址转换发布外WEB服务
· 支持10GE滑渡10GE
· 求网络干进行流量监控
· 建筑物18芯单模光纤连接建筑物(网络中心)建筑物建筑物间距离600M~~2000M间建筑物部适部布线实现需连接
四方案求
(1)方案设计求
o 整体结构
o 设备选型
o 网络拓扑图
4IP址规划
(2)试验报告实施文档
1整体结构根提供硬件设备搭建模拟网络环境描述
2试验配置包括具体配置文档
3验证测试验证方法
需求分析
11 工程项目概况
××集团加快信息化建设新集团企业网建设集团办公动化电子商务业务综合理媒体视频会议远程通讯信息发布查询核心现代网络技术托技术先进扩展性强集团种办公室媒体会议室PC终端设备应系统通网络连接起实现外沟通现代化计算机网络系统该网络系统支持办公动化供应链理ERP应系统运行基础设施确保关键应系统正常运行安全发展系统必须具备特性:
1 采先进网络通信技术完成集团企业网建设实现分公司信息化
2 整企业集团实现部门办公动化提高工作效率理服务水
3 整企业集团实现资源享产品信息享实时新闻发布
4 整企业集团实现财务电算化
5 整企业集团实现集中式供应链理系统客户服务关系理系统
具体求:
l WWW服务
l EmailFTP服务
l 网媒体教学提供视频点播服务
l 集团行政理
l 拨号网服务
12 信息点分布
信息点集中生产部账务部网络中心职工宿舍医疗卫生等部门详细分布表1示
点
信息点
备注
网络中心
40
需保证速度流量性
生产部
150
需保证速度流量性
账务部
120
需保证速度流量安全性
职工宿舍
1000
需保证速度流量
医疗卫生
10
需保证速度性
销售部
100
综合设计
30
表1 信息点分布
13 需求分析
适应企业信息化发展满足日益增长通讯需求网络稳定运行天型企业网络建设传统企业网络建设提出更高求表现方面:
1)现代型企业网络应具更高带宽支持10GE滑渡10GE更强性满足户日益增长通讯需求
着计算机技术高速发展基网络种应日益增天企业网络已发展成业务承载台仅继续承载企业办公动化WEB浏览等简单数业务承载涉企业生产运营种业务应系统数带宽时延求高IP电话视频会议等媒体业务数流量增加尤核心网络数交换力提出前未求外着千兆端口成持续降千兆桌面应会久成企业网流2005年全球交换机市场分析增长迅速10G级机箱式交换机见万兆规模应已真正开始天企业网络已百兆桌面千兆骨干作建网标准核心层骨干层必须具万兆级带宽处理性构筑畅通阻高品质型企业网适应网络规模扩业务量日益增长需
2)现代型企业网络应具更全面性设计实现网络通讯实时畅通保障企业生产运营正常进行
着企业种业务应逐渐转移计算机网络网络通讯中断运行已成保证企业正常生产运营关键现代型企业网络性设计方面应三方面考虑:首先设备级性设计里仅考察网络设备否实现关键部件冗余备份网络设备整体设计架构处理引擎种类等方面考察次业务性设计里注意网络设备障倒换程中否业务正常运行影响次链路性设计太网链路安全路径选择企业网络建设时考虑网络设备否够提供效链路愈手段快速重路协议支持
3)现代型企业网络需提供完善端端QOS保障满足企业网业务承载需求
型企业网络承载业务断增单纯提高带宽够效保障数交换畅通阻正八车道长安街常堵车样天型企业网络建设必须考虑网络应够智识应事件紧急重程度视频音频数流(MISERPOA备份数)时够调度网络中资源保证重紧急业务带宽时延优先级阻塞传送实现业务合理调度型企业网络提供高品质服务保障
4)现代型企业网络应提供更完善网络安全解决方案阻击病毒黑客攻击减少企业济损失
传统企业网络安全措施通部署防火墙IDS杀毒软件配合交换机路器ACL实现病毒黑客攻击防御实践证明动防御措施效解决企业网络安全问题企业网络已成公司生产运营重组成部分天现代企业网络必须整套户接入控制病毒报文识动抑制系列安全控制手段效保证企业网络稳定运行
5)现代型企业网络应具备更智网络理解决方案适应网络规模日益扩维护工作更加复杂需
前网络已发展成应中心信息基础台网络理力求已升业务层次传统网络设备智已效支持网络理需求发展网络调试期间消耗力物力线缆障定位工作网络运行期间户灵活服务策略部署访问权限控制网络日志审计病毒控制力等方面理工作受网络设备功身限制属费时费力时甚务现代型企业网络迫切需网络设备具备支撑应中心智网络运营维护力够套智化理软件网络理员繁重工作中解脱出
二 方案设计原
方案设计追求性优越济实前提着严谨慎重态度系统结构技术措施设备选择系统应技术服务实施程等方面综合进行系统总体设计力图该系统真正成符合该中学网络系统
技术措施角度讲网络设计实现中方案严格遵守原:
l 实性集成性
系统软硬件设计集成均适第宗旨系统充分适应企业信息化需求基础进考虑性该系统包含容必须种先进软硬件设备效集成起系统组成部分充分发挥作协调致进行高效工作
l 标准性开性
支持标准性开放性系统支持开放型系统起协工作网络中采硬件设备软件产品应该支持国际工作标准事实标准便厂家开放性产品网络中时存通信中应采标准通信协议操作系统网络系统网络间利进行通讯
l 先进性安全性
系统组成素均应充分考虑先进性味追求实忽略先进先进技术实际应求紧密结合获系统性效益网络安全事关重某情况宁牺牲系统部分功必须保证系统安全
l 成熟性高性
作信息系统基础网络结构网络设备配置带宽应充分满足网络通信需网络硬件体系结构实际应中较长时间考验运行速度性应稳定拥完善实解决方案通较第三方开发商户全球广泛支持时应长远技术发展选择具前景较先进技术产品适应系统未发展需
性衡量计算机应系统重标准确保系统网络环境中单独设备稳定运行前提需考虑网络整体容错力安全性稳定性系统出现问题障时迅速修复需采取定预防措施关键应干设备考虑适冗余应急处理信息系统够全天候工作达周7*24时工作求高性系统户投资真正回报
l 维护性理性
整信息网络系统中互连设备应方便操作简单易学便维护复杂庞网络求强力网络理手段便合理理网络资源监视网络状态控制网络运行网络选网络设备应支持种协议理员方便进行网络理维护甚修复
设计实现时必须充分考虑整系统便维护性系统万发生障时提供效手段时进行恢复量减少损失
l 扩充性兼容性
网络拓扑结构应具扩展性网络联结必须系统结构系统容量处理力物理接连产品支持等方面具扩充升级换代采产品遵循通工业标准便设备方便灵活接连入网满足系统规模扩充求
实现系统够应发生变化情况保护原开发投资设计系统时应系统功做成模块化根需增加删功模块
三 网络方案设计
31网络拓扑结构介绍
次××集团型企业网设计中采层次化模型设计网络拓扑结构谓层次化模型复杂网络设计分成层次层次着重某特定功样够复杂问题变成许简单问题层次模型够应局域网设计够应广域网设计
层次化模型处:
型企业网设计中层次化模型许处列举:
1节省成
采层次模型层次司职台考虑事情层次模型模块化特性网络中层够利带宽减少系统资源浪费
2易理解
层次化设计网络结构清晰明层次实施难度理降低理成
3易扩展
网络设计中模块化具特性网络增长时网络复杂性够限制子网中会蔓延网络方果采扁化网状设计节点变动整网络产生影响
4易排错
层次化设计够网络拓扑结构分解易理解子网网络理者够轻易确定网络障范围简化排错程
32网络拓扑图
网络拓扑图图1示
图1 网络拓扑图
33 网络设计
331骨干核心层网络设计
型企业生产办公网络核心网完成整企业集团部域企业间高速数路转发维护全网路计算鉴型集团企业户数量众业务复杂QOS求较高特点方案中采神州数码DCRS7508高密度业务核心路交换机组建高性核心网络台
神州数码 DCRS7500系列交换机具运营商级容错力高性型网络核心交换机高校运营商提供基领先技术卓越性性DCRS7500系列交换机专发挥万兆千兆太网潜强交换力设计超容量交换背板包括万兆端口端口具备全线速交换力确保巨网络通信负载始终够轻松实现线速第二层第三层交换城域网数中心智厦企业网络骨干级核心路交换机理想选择
DCRS7500系列交换机具三种型号包括15插槽DCRS75158插槽DCRS75084插槽DCRS7504DCRS7515专功率电源模块外该系列交换机理模块交换模块电源模块互换理模块电源模块风扇等实现冗余备份温度传感器时监控部件工作温度 提供运营商级性 DCRS7500系列交换机特色理模块均带业务接口插槽均效业务插槽提高端口密度插槽利率
骨干核心层中采三台神州数码DCRS7508核心路交换机组成环形机热备份核心交换机系统解决方案提高核心网络健壮性实现链路安全保障方案骨干核心层环网中采VRRP(虚拟路器冗余协议)业务VLAN指虚拟IP址作网关应VRRP技术核心交换机提供网关址实现核心层核心交换机间进行设备硬件冗余两备虚拟IP址MAC址通部协议传输机制动进行工作角色切换进双引擎双电源设计网络高效处理集中数提供保障
332核心层网络设计
型企业生产办公网络核心层网络完成园区汇聚层设备间数交换骨干核心层网络间路转发传统解决方案般采骨干路器+核心交换机组建种方式受限交换机性提供MPLS VPN业务力方面较弱适合型企业网络建设需求时现型企业办公网络具城域网特点网络发展具网络扁化发展方方案骨干层网络设备采DCRS7508核心路交换机作型企业生产办公网络园区核心路交换设备DCRS7508具强业务路处交换理力提供MPLS VPNQoS策略路NATPPPoEWeb8021xL2TP认证等丰富业务力通置防火墙模块实现种强网络安全策略充分满足型企业园区网络高速数交换支持业务功求够提供完善安全防御策略保障企业园区网络稳定运行
333汇聚层网络设计
汇聚层网络完成企业园区办公楼宇相关单位接入交换机汇聚数交换VLAN终结方案中采神州数码DCRS7504交换机层交换机作汇聚层面交换机DCRS7504交换机提供高密度千兆端口接入时够满足汇聚层智高速处理需够加灵活部署网络边缘位置够时提供高速专堆叠端口百兆千兆光口电口交换机具备较强业务提供力支持包括智CCLMPLS组播种业务户提供丰富高性价组网选择
334接入层网络设计
传统企业网络接入层建设中关注安全控制QOS提供力网络安全防御措施QOS保障赖网络汇聚层骨干层设备汇聚层骨干层设备带巨压力网病毒泛滥成灾导致骨干层设备瘫机网络没QOS服务质量保障
DCRS2026B智宽带接入交换机满足高安全业务承载高性网络环境智交换机具备传统二层交换机容量高性等优点时具领先安全特性进步加强企业网络边缘接入层面安全控制力 户根需订制身安全策略部署交换机该产品具备端口带宽限制端口镜QoS端口安全广播风暴抑制等功协助户实现网络理维护外交换机具备专堆叠接口满足楼层楼宇交换机高性汇聚需
335广域网互联设计
针型企业需良出口网关设备建议户选神州数码DCFW1800SL
神州数码DCFW1800EG2防火墙专千兆位流量网络服务运营商型数中心等骨干网络设计 采2U专千兆安全台完全模块化扩展结构具热插拔特性冗余部件您提供间断运行时间神州数码DCFW1800EG防火墙置2101001000M适应太网电口具备6SFP扩展插槽扩展8千兆接口接口模块类型支持单模模光纤千兆电口充分满足您定制需求
336冗余负载均衡设计
冗余设计网络设计重部分保证网络整体性重手段投资增加部分企业园区网早期建设中成原未设计中考虑冗余问题优化工作中需网络链路网络设备两方面着手冗余设计贯穿整层次化结构冗余设计针性选择中部分部分应网络中针重应万网络中某条路径失效时冗余链路提供条物理路径采GEC链路聚合(IEEE8023ad)实现端口级冗余克服某端口线路引起障采生成树协议(IEEE8021d)提供设备级冗余连接外设计中提供物理方双属双路保护
337线路冗余
企业网骨干核心层企业网络边界拓扑结构采环形机热备份核心交换机系统解决方案线路冗余方面求较高线路冗余求采10GE线路三台企业网骨干核心层设备进行环行双备份业界领先VRRP(虚拟路器冗余协议)作冗余线路协议保障GEC作N*1000M干链路通链路连接骨干网交换机具备万兆扩展力接入交换机采10100M适应端口连接桌面系统千兆链路连接汇聚层
GEC路具链路聚合冗余保证两特性面次进行介绍
链路聚合:
条物理链路品牌交换机间交换机服务器间提供聚合高速通道增加投资情况扩交换带宽关键连接传输效率更高
冗余保证:
链路聚合中成员互相动态备份某链路中断时成员够迅速接工作生成树协议链路聚合启备份程聚合外见启备份程聚合链路链路关切换数毫秒完成
综合分析流方案优缺点性成拓展性等方面综合考虑出发决定采GEC骨干核心网络10GE拓展方式作链路选择备份选择
企业网汇聚层接入层出成性价考虑决定采千兆汇聚万兆拓展百兆桌面链路选择
338网络设备冗余负载均衡设计
前企业网园区网广域网Internet业务量发展超出乐观估计网热潮风起云涌新应层出穷时优配置建设网络快会感吃消尤网络核心部分数流量计算强度单设备根法承担
负载均衡建立现网络结构提供种廉价效方法扩展服务器带宽增加吞吐量加强网络数处理力提高网络灵活性性完成务解决网络拥塞问题服务提供实现理位置关性 户提供更访问质量提高服务器响应速度提高服务器资源利效率避免网络关键部位出现单点失效
方案中网络关键结点设计时做效冗余备份负载均衡网络骨干核心层采三台锐捷网络RGS8610高密度业务IPV6核心路交换机组建高性核心网络台骨干核心层提供足够网络接点接入需求时限度网络提供效冗余保障负载均衡核心层区块采两台锐捷网络RGS8606度业务IPV6核心路交换机做冗余负载均衡汇聚层区块 采两台锐捷网络RGS5750交换机层交换机做冗余负载均衡
方案设计中出现两交换区块需提供冗余连接时候采双核心配置图出接入层汇聚层核心层双核心配置
双核心拓扑结构提供两条等代价路径双倍带宽核心交换机连接着数目相子网第三层汇聚设备交换区块冗余连接核心交换机形成两条等代价连接果条核心设备发生障够收敛汇聚层设备路选择表中条核心设备路第3层路选择协议核心中起链路选择作VRRP提供快速错误恢复核心层需STP核心交换机间没冗余第2层连接
339服务器冗余设计
企业网中服务器型机网络存储服务器SQL Server服务器存储数企业说致关重核心数视企业生命方面企业企业重性毋庸质疑方面数性质决定较访问量服务器提出稳定快速求果宕机果技术保障计算机系统性重中重采双机热备技术 技术够效满足核心服务器高效稳定高求相成技术说较济价成效技术
Server 1 Server 2
服务器双机热备技术
具体技术实现:核心服务器均具两太网接口(通安装双网卡实现)基础图例DB服务器ADB服务器B先分利太网接口实现两服务器间直连服务器外接口服务器区网络实现互连达双机热备目增加服务器稳定性高效性
网络中应具台服务器设备包括DB SERVER数库服务器WEBCATALOG等应服务器NEWSMAIL等通讯服务器媒体服务器等
网络成估计29万左右
3310 IP址规划原
IP址构成整Internet基础IP址资源整Internet基核心资源IP址资源合理分配效利整Internet发展程中持续效极具分量研究课题
企业园区网IP址编址设计分配利时遵循原:
1)治:整园区网络网络划分成治区域治区域中划分成治区域
2)序:治原网络进行逻辑划分根域设备分布区域户数量进行子网规划时IP址规划网络层次规划路协议规划流量规划等结合起考虑进行址分配时提高址分配效率址利率编址设计时定序进行选择序序采业界领先顶网络设计(TopDown Network Design)方法
3)持续性:考虑园区网络户数持续高速增长网络承载业务量业务种类越越网络需频频进行技术升级改造扩容进行址分配时方案充分考虑素网络部分留部分址冗余样保证网络持续发展
4)聚合:互联网日新月异发展日益庞规模令初设计互联网络专家始料路表急剧膨胀情况聚合原网络址分配时必须遵守高原聚合原求进行址规划时应提供足够路冗余功
5)量节约IPv4址:IPv4址越越少IPv4址需格外节约IPv4址节约通动态编址技术NAT技术等实现
6)闲置IP址回收利:已分配出静态IP址进行定期追踪理长时间闲置IP址确认回收重复利
次方案设计决定采部私A类址(10000)企业园区网络设备编址方案身网络拓扑图采典型层次化设计ip址编址设计应采取层次化设计完成采VLSM拓展限IP址
网段描述
需IP址数
骨干核心层链路
5(2拓展备份)
集团总部
1000
生产矿
500
建井处
500
机械厂
1000
型机服务器群
500
企业VOIP语音系统
2000
VLSM变长子网掩码英文缩写提供类(A类B类C类)网络包含子网掩码力子网进行子网划分
VLSM优点
·IP址更效
·应路纳力更强
采取vlsm网络进行编址达节约ip址够路汇总目
首先采A类网址园区网体结构进行编址设计思路利设计成型网络健壮性
计算部门ip址分配表:
IP址网段
VLAN编号
默认网关
财务部
19216810024
10
192168025424
生产部
19216820024
20
192168025424
销售部
19216830024
30
192168025424
行政部
19216840024
40
192168025424
户址VLAN划分
Web服务器IP址: 192168100124
FTP服务器IP址: 192168100224
路器出口IP址: 2221844324
33 方案特点
方案解决户求四问题带宽问题安全问题理计费问题灵活扩展问题
l 带宽问题:万兆互连双核心结构网络核心设备互相备份效减轻流量负荷设备时刻保持稳定高效
l 安全问题:校园网核心层汇聚层楼层汇聚层产品全部具网络病毒攻击防护力防DOSDDOS攻击环境中做安全防护足应突发事件保持网络稳定通畅
l 理计费问题: 统认证针校园网开放式信息点造成安全隐患全网接入采统认证技术(进行账号IPMACLAVN ID交换机IP交换机端口六素灵活捆绑)保证合法授权户网络外部网络网络情况进行审计
l 灵活扩展问题:核心层路交换机DCRS7508良扩展性网络实现轻松扩展
34工程预算
1设备购买预算
锐捷网络RGWALL 1600S防火墙:123万元
RGWG系列锐捷 WebGuard :10万元
2项目开展预算
硬件安装测试预算:73万元
软件系统安装测试预算:6万元
项目维护预算:62万元
项目预算:4万元
3项目总预算
该项目开展总预算458万元超出预算范围53万元
四 网络技术选型
41 路协议——OSPF
网络骨干核心层核心层汇聚层需三层设备网络部网段数vlan间数转发需路协议时采OSPF协议作路协议
OSPF种典型链路状态路协议采OSPF路器彼交换保存整网络链路信息掌握全网拓扑结构独立计算路RIP路协议服务型网络IETFIGP工作组特开发出链路状态协议——OSPF目前广OSPF第二版新标准RFC2328
OSPF作种部网关协议(Interior Gateway ProtocolIGP)治域(AS)中路器间发布路信息区距离矢量协议(RIP)OSPF具支持型网络路收敛快占网络资源少等优点目前应路协议中占相重位
42 端口安全认证(基 8021X)
a端口安全
交换设备定义端口保护功定义允许 MAC 址访 问数者静态定义特定 MAC 址遇合法 MAC 址交换机采取策 略
配置举例
端口安全性:
>enable
#configure terminal
(config)#interface f01
(configif)#swithport portsecurity
( configif)#swithport portsecurity maximum 4
(configif)#swithport portsecurity macaddress xxxx (该端口mac址 )
(configif)#swithport portsecurity violation shutdown (遇端口关闭工开)
保护端口:
接入层交换机宿舍接口设置保护口保护口间间互相法通迅保护口非保护口间正常通迅:
Switch(config)#interface Ethernet 01
Switch(config)#switchport protected
b基 8021x 端口认证
基端口认证 AAA 认证端口保护相结合默认情况支持8021x 交换机端口处未授权状态 8021x 关数数通该端口客户交换机创建 8021x 会话客户授权访EAPOL:Extensible Authentication Protocol OVER LAN 局域网扩展身 份认证
端口处未授权状态客户端 EAPOL 交换机通信
43 VRRP(虚拟路冗余协议)原理
VRRP路器组提供冗余网关址种容错协议通定义 组优先级路器保证网络路器失效时时 备分实现路器代保持通讯连续性性该协议 实现负载均衡等高级交换特性
VRRP 技术实现: 汇聚核心冗余连接 VRRP 实现通 VRRP 技术设备虚拟成台逻辑设备实现汇聚接入链路冗余
例:
(if)#vrrp 5 ip 19216825
if)# vrrp 6 ip 19216826
A if)#vrrp 5 priority 200
B if)#vrrp 6 priority 200
if)#vrrp 5 authen name
if)#vrrp 6 authen name
见图:
备份(100)
Mac00005e000105
19216825
活动(200)
Mac00005e000106
19216826
活动(200)
Mac00005e000105 (A)
19216825
备份(100)
Mac00005e000106
19216826
(B)
44 RSTPMSTP原理
RSTP 协议完全兼容 8021D STP 协议传统 STP 协议样具避免回路提供冗余链路功 外特点快果局域网网桥支持 RSTP 协议理员配置旦网络拓朴改变 重新生成拓朴树需超 1 秒时间(传统 STP 需约 50 秒)
交换机支持 MSTPMSTP 传统 STPRSTP 基础发展新生成树协议身包含 RSTP快速 FORWARDING 机制
传统生成树协议 vlan 没联系特定网络拓朴会产生问题: 图 示交换机 AB vlan1 交换机 CD vlan2 然连成环路
某种情况配置会造成交换机 A B 间链路 DISCARDING交换机 CD 包含 vlan1法转发 vlan1 数包样交换机 A vlan1 法交换机 B vlan1 进行通讯
网络末梢连接单工作站时候形成桥接环路接口 启 portfast 特性交换机端口立变转发状态提高网络 响应速度收敛时间 基 RSTP 交换机高级特性 Uplinkfast 网络中应
考虑冗余行连接网络冗余连接层交换机通常情况 行连接处转发状态处阻塞状态果行连接断开 冗余连接前历时间高达 50S
Uplinkfast 具冗余行连接交换机具根端口失效 时阻塞行连接够立时间缩 15S 间 校 园 网 特 殊 环 境 增 强 网 络 稳 定 性 加 快 网 络 收 敛
45 NAT 描述策略路实现
组建网络时节约址部保留私址段中 址私址访问 Internet必须申请公开址配置 Internet 相连局域网边缘设备应 NAT 进行址转换
NAT 网络址翻译技术路器起 NAT 部私址 外部公网址间做转换网络部 IP 翻 译成外部公网 IP
配置基策略路选择时路映射表指定基 IP 址应 程序协议者分组长度条件基策略路选择命令中选路实现策 略
基策略路静态路处然静态路根目标网络 址转换分组策略路根源址转发分组路选择表中访问 列表时根诸目标址分组长度IP 协议字段优先级端口号转发数流样指定范围更广泛更细致条件根条件决定 跳路器
46 ACL (访问控制列表)
访问列表提供种网络访问进行效理方法通访问列 表设置允许拒绝数包通路器者允许者拒绝具体某 端口进行访问果满足条件执行相应操作放行包者放弃 包通设置满足实际网络灵活需求达设置网络安全策 略防止网络中敏感设备受非授权访问情况
具体实现程中技术说需解 ACL 分两种类型分 标准访问列表(Standard access lists)扩展访问列表(Extends access lists) 前者滤网络时候 IP 数报源址种访问列表 情况做出允许者拒绝决定完全赖源 IP 址法区分具体 流量类型扩展访问列表提供更细决定具体端口 精确某服务 WEBFTP 访问等网络策略提供更细 控制手段利种访问列表进行协议级控制达网络效 理标准访问控制列表般放目标路器扩展访问控制列表 般放源端路器
47 链路聚合 EC(Ethernet Channel)
太网信道链路聚合交换机间交换机服务器间链路带宽非常 伸缩性 2 3 4 千兆链路绑定起链路带宽成 倍增长链路聚合技术实现端口负载均衡时够互备份保 证链路冗余性千兆太网交换机中支持 4 组链路聚合 组中 4 端口链路聚合般允许跨芯片设置生成树协议链路聚合保证网络冗余性网络中设置冗余链路生成树协议备份链路阻塞逻辑形成环路旦出现障启备份链路
48 VLAN (虚拟局域网)
VLAN 虚拟局域网种二层设备隔离划分广播域技术通种 划分物理位置分离网络设备逻辑划广播域者 物理位置邻网络设备划广播域更方便理做 逻辑层次划分技术说 VLAN 分静态 VLAN 动态 VLAN静 态 VLAN 基交换机端口进行划分根网络设备连接交换机端口 进入相应 VLAN动态 VLAN 更灵活根接入计算机 IP 址 MAC 址甚户登陆账号做出相应处理计算机划分进相应 VLAN 中样实际网络理带较方便性灵活性 企业网方案中希通VLAN 技术进行划分达 目:
隔离划分广播域减必广播流量提高整网络利效率
49 WLAN 线局域网
线局域网 4 特点: 移动性:受时间限制空间限制户网络中漫游 灵活性:受线缆限制意增加配置工作站 低成:线网络需量工程布线时节省线路维护费 易安装:线网络说线网络组建配置维护更容易
结合特点线网络非常适合图书馆环境求图书布置线 网络采 Infrastucture 种典型 WLAN 工作模式线客户端通 线接入器 AP(Access Point)接入太网享网络资源 AP 分布相邻 区域实现线客户端移动漫游
五 网络安全理机制
51 完善安全机制
企业楼宇交换机通种安全机制效防止控制病毒传播网络流 量攻击 控制非法户网络保证合法户合理化网络端口安全端口隔离ACL端口 ARP 报文合法性检查基数流带宽限速六元素绑定等等 满足企业网加强访问者进行控制限制非授权户通信需求汇聚核心交 换设备设置硬件实现 ACL病毒进行滤选汇聚 核心交换设备支持SPOHACL 时会影响整交换机性
1. 硬件实现端口 MAC 址户IP 址绑定严格限定端口户接入
2. 通 Private VLAN 交换机 VLAN 中提供端口间通讯 安全隔离确保数流进入效端口会发送端口解决 传统 8021QVLAN 造成 全网 VID 资源够问题时需利安全规 资源达隔离户 组户间通讯功充分保护户隐私
3. 实现户账号MAC 址IP 址交换机 IP 交换机端口等六元素间灵活意绑定效确认户合法性唯性
4. 支持业界特 IGMP 源端口检查效杜绝非法组播源播放量占量网络带 宽提高网络安全性
5. 提供极效Port Blocking 功避免端口受端口发送广播包播包等报文干扰效减轻端口负载负担提高端口带宽保护户 PC 更高效安全 运行
6. 基源 IP 址控制 Telnet Web 设备访问控制增强设备网 安全性避免黑客恶意攻击控制设备
7. 提供加密传输Secure Shell(SSH)保证理设备信息安全性防止黑客攻击控制设备
8. 灵活控制 27 层数报文户 PC 种应报文通网络效控制充分保障网络安全合理化
52 解决安全威胁
企业网络已成公司生产运营重组成部分天现代企业网络必须整套户接入控制病毒报文识动抑制系列安全控制手段效保证企业网络稳定运行
1防击波病毒
着蠕虫病毒等攻击手段呈元化发展单防护措施已力保 卫校园网络安全IDS 根预先定义策略进行检测新攻击方式 力者 IDS 侦测某终端户感染病毒相关信息形成报告通知 网员等处理然时受感染户已通网络散播校园 网络角落
2网络部恶意误操作攻击
相关数字显示目前网络遭受恶意攻击 90%部 诸窃取密码等重信息盗 IP 电话校园卡通金额盗等事件时 发生果仅仅 倚动监测方式事追查嫌疑网 员制造难逾越瓶颈
53 VPN (虚拟专网)
虚拟专网(virtual private network)种公网络通创建隧道封装 数模拟种私专链路隧道起提供逻辑点点连接作隧 道端外端支持数身份验证加密数身进行加密 通公网络然安全便数包通网络结点时拦 截(服务器时)拦截者没密钥法查包容
容说 VPN 连接分两部分隧道建立数 加密第 2 层常见隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点点隧道协议 L2TP(Layer2 Tunneling Protocol)第二层隧道协议L2TP 隧道够提供 ATM FRAME RELAY 隧道赖 IP 协议 支持止连接般网络设备路器等支持协议 第三层创建隧道基 IP 虚拟连接连接通收发 IP 数包实现 抱封装 IETF(Internet Engineering Task Force)指定协议包装 包装 IP secIKE身份验证加密方法 MD5DES SHA 数加密加密数协议 MPPEIPsecVPNdSSH IP sec L2TP 起时候 L2TP 建立隧道IPsec 加密数种形式 IP sec 运行传 输模式
六 网络设备选型
校园网网络系统结构分核心层汇聚层接入层核心层实现骨干网络间优化传输骨干层设计重点冗余力性高速传输学校存量语音视频传输考虑汇聚层 QoS 良支持提供带宽接入层设备终户直接联设备应该具备插特性易维护特点接入层面通定义相应访问策略实现访问控制外隔离
七 方案扩展性考虑
方案中采取技术产品充分考虑网络未升级发展企业网扩展广域网建设作周密考虑系统选择成熟标准快速太网技术网络已构筑高速坚固信息高速公路面未发展处非常利境界
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
