02#网络系统.docx
《02#网络系统.docx》由会员分享,可在线阅读,更多相关《02#网络系统.docx(44页珍藏版)》请在冰点文库上搜索。
02#网络系统
第二章网络系统
一、概述
1.1需求分析
计算机局域网和综合布线系统以计算机网络为基础,采用计算机网络、数据库和多媒体技术、音视频技术、现代通信技术、自动控制技术等,形成多功能、综合性的智能化监管控制系统的核心。
本系统作为实现智能化管理的基础平台,用于传输图像声音、控制信号和数据信息,是信息传输的主要通路。
整个系统建立在计算机局域网基础上,计算机局域网系统采用主干1000M、100M到桌面的快速以太网,为其他系统架构一个计算机网络平台,实现职能化管理,如传输监控信号、控制信号和数据信息、运行内部管理信息系统、办公自动化和其他综合信息系统等功能。
考虑到本次整改后网络结构设计的灵活性和可扩展性,要求具有骨干千兆以太网交换机、工作组百兆以太网交换机、网络安全、网络管理等全系列产品,与其他厂家的产品互连性好,有良好的服务和技术支持。
因此,在网络产品的选型中,必须选择产品售后服务和技术支持好的网络产品供应商。
在满足同等技术前提下,优先选择国产网络设备。
根据以上分析,我们对设计原则和选型依据分别进行阐述。
1.2总体设计原则
结合实际应用和发展要求,在进行基层单位信息网络系统设计时,主要应遵循以下系统总体原则:
可靠性原则
系统设计能有效的避免单点失败,在设备的选择和关键设备的互联时,应提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。
主要设备和主干线路要有冗余,路由能自动迂回,线路传输可靠性要高。
可扩展原则
所有系统设备不但满足当前需要,并在扩充模块后满足可预见将来需求,如带宽和设备的扩展,应用的扩展和办公地点的扩展等。
保证建设完成后的系统在向新的技术升级时,能保护现有的投资。
系统设计的任一个环节在设计上都必须体现出弹性原则,以满足系统将来的平滑升级。
安全性原则
信息网络系统服务于办公需要,对安全级别要求很高。
网络通信平台要符合安全原则,整个网络的设计要充分体现防窃听、防窃取、防攻击、防侵入,具备对入侵者监视和跟踪技术。
系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络使用者的合法利益。
先进性和成熟性原则
系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是目前市场上主流的成熟、实用的技术。
设备厂商和投标商应有相关领域的丰富经验。
开放性和标准化原则
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。
系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
可管理性原则
整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
1.3设备选型依据
本项目中的设备的选择需要满足下面的基本要求:
∙选定设备应是目前技术较成熟的公司的产品;
∙产品有良好的技术支持及售后服务;
∙系统所有硬件设备和软件都必须支持中文或英文处理;
本项目中的设备选择还需要满足下面的高安全性、高性能等方面的要求。
高安全性
∙各层网络设备可按需求划分形成相互隔离的安全子网,即按照需要可基于端口或MAC划分802.1Q虚网;
高性能
∙各层网络设备高速率的数据通信能力应能支持常用各应用系统;
∙各层网络设备除了满足全线速交换,还应具备升级能力;
∙各层网络设备的QoS能力要求支持802.1p或IETFDiffServ等相关协议,并能根据定义的策略由端口自动给信息流分配该标记;
∙包括汇聚层和接入层(以下无特殊声明称各层)网络设备支持数据、声音、图像等多媒体信号传输;
便于管理
∙各层网络设备支持统一网络管理、监控和维护。
∙各层网络设备支持基于SNMP和基于WEB的网络管理。
∙各层网络设备能支持常见网管,包括:
IBM网络管理(NetView)、HPOPENVIEW、SUNSolsticeDomainManage;
标准性
∙各层网络设备要符合国际和国家有关质量标准
1.4系统方案设计原则
根据以上需求,结合的实际应用和发展要求,在进行网络系统设计时,我们主要应遵循以下原则:
高可靠性
信息网络系统是日常业务和各种应用系统的基础设施,必须保证每周7×24小时不间断运行。
整个网络应有足够的冗余,设备在发生故障时能以热备份、热切换和热插拔的方式在最短时间内加以修复。
可靠性还充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。
高安全性
网络系统内的数据和文件要求具有高度的安全性,因此,网络系统本身要有较高的安全性,防止网络受到攻击;对使用的信息进行严格的权限管理;在技术上提供先进的、可靠的、全面的安全方案和应急措施,确保系统万无一失。
同时符合国家关于网络安全标准和管理条例。
高性能
主干网提供可保证的服务质量和充足的带宽。
网络具有数据、语音、视频等多媒体实时通讯能力。
采用最新科技,以适应大量数据传输以及多媒体信息的传输。
整个系统在国内五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。
如:
具有三层及以上线速交换能力;支持灵活的跨网络交换机(主干、部门)的基于端口的VLAN划分功能等。
标准化
所有投标网络设备都符合有关标书要求的国际标准和国家标准,与不同厂家网络设备之间的互操作性和网络系统的开放性。
易于扩充
本方案中选择的网络设备不但满足当前需要,并在扩充模块后满足可预见将来需求。
网络设计要考虑本期网络系统应用和今后网络的发展,便于向更新技术的升级与衔接。
要留有扩充余量,包括端口数量和带宽的升级能力。
易管理
本方案中所有的网络设备都采用统一的中文网络管理平台,应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,发现故障。
支持多媒体应用
多媒体应用对服务质量有很高的要求,如带宽,延迟,延迟的变化等,需要网络对服务质量(QoS)有很好的支持。
方案中选择的设备都支持文本、语音、图形、图像及音频、视频等多种媒体信息的综合传输、查询服务,具有多种基于优先级队列的QoS保证。
实用性
未来的信息传输都将依赖于数据网络系统,所以本方案的系统设计必须具有很强的实用性,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。
二、网络部署方案
2.1网络组网设计
如上图,网络出口选用一台千兆防火墙,它可以提供四个千兆电接口。
其中一个接口连接外部的出口链路。
另外两个接口连接核心交换机,为核心设备上传数据提供链路冗余;另外,防火墙也是用来过滤所有经过核心交换机设备的数据流量,对网络内部的服务器和PC机进行2到4层的安全防护。
在核心处选择两台高端核心交换机作为整网核心,部署在核心机房中。
高端多业务路由交换机,进一步融合MPLSVPN、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
配置双电源、双引擎。
两台核心交换机各配置,其中8端口可光电复用。
两台设备之间通过两条万兆链路,虚拟聚合为一条链路,可以将两台核心交换机配置IRF2堆叠,虚拟为一台核心交换机。
两台交换机各出一根千兆链路,分别连接服务器和智能管理中心,通过智能管理中心服务器不但可以提供了包括统一权限控制、SOA框架、统一操作日志管理、各组件License控制、分布式安装等基本功能,还可以资产管理、VLAN管理、ACL管理、虚拟化网络管理、安全控制中心、来宾接入管理、报表管理等基础业务功能。
两台交换机通过千兆光链路,分别连接接入设备,这样既可以做到2台核心之间负载均衡,又可以实现链路冗余。
接入交换机使用设备,提供24个千兆电口接入和2个千兆光电复用接口,为用户提供百兆到桌面的接入方式。
下端连接的视频监控设备。
当一个弱电间的接入交换机数量为两台或两台以上的时候,我们建议采用千兆堆叠缆进行堆叠设置。
接入交换机自带有防ARP攻击和DHCP泛洪攻击的功能,适用于安全要求严格的网络中。
在网络中部署网络智能管理中心。
软件将统一管理所有的网络设备以及之间相互连接的链路。
当有故障出现时可以及时告警,并在网络的统一拓扑中表现出来。
三、网络安全设计
在规划网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
∙体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
∙全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
∙可动态演进的原则
方案应该针对泰达ABE网络制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
3.1核心交换机强大内置安全特性
路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有着更本的差异。
流转发主要存在下面两个问题:
(1)在网络拓扑频繁变化时,设备的适应性差,转发性能下降严重;
(2)存在一定安全隐患问题,尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。
流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在CACHE里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接转发到目的端口去。
如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。
但是如果应用的情况为路由表项经常出现变更的情况,就会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通过CPU软件进行路由查找,查表和转发速度就会急剧下降。
这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。
也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发,对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致三层交换机CPU不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报文,从而最终导致三层交换机CPU在转发过程中瘫机,同时这台交换机下挂的三层交换机同样接收到大量病毒报文,基于上述原因其CPU转发引擎也将瘫机。
与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。
对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发,进行的是最大匹配方式路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭受“红色代码”病毒攻击时没有任何问题。
3.2核心交换机双机备份规划
对于本次的网络建设,建议采用IRF协议进行双备网络部署。
即利用IRF协议,将两台核心交换机虚拟为一台核心设备。
IRF是一种结合了两种设备优点的IRF堆叠技术应运而生。
IRF堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。
用户对这台虚拟设备进行管理,来实现对堆叠中的所有设备的管理。
这种虚拟设备既具有盒式设备的低成本优点,又具有框式分布式设备的扩展性以及高可靠性优点。
IRF堆叠具有以下主要优点:
简化管理。
IRF堆叠形成之后,用户连接到任何一台成员设备的任何一个端口可以登录IRF堆叠系统,这相当于直接登录IRF系统中的Master设备,通过对Master设备的配置达到管理整个IRF堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
简化网络运行。
IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。
这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
IRF技术的这一特性是常见的集群技术所不具备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点运行。
低成本。
IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。
比直接使用高端设备具有成本优势。
强大的网络扩展能力。
通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。
保护用户投资。
由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有设备,只需要增加新设备既可。
很好的保护了用户投资。
高可靠性。
堆叠的高可靠性体现在多个方面,比如:
成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:
N备份。
IRF是网络可靠性保障的最优解决方案。
高性能。
由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的,IRF设备的交换容量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。
因此,IRF技术能够通过多个单机设备的堆叠,轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
丰富的功能。
IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换机特性,并且能够高效稳定地运行这些功能,大大扩展了IRF设备的应用范围。
广泛的产品支持。
IRF技术作为一种通用的虚拟技术,对不同形态产品的堆叠一体化的实现,使用同一技术,同时支持盒式设备的堆叠,以及框式分布式设备的堆叠。
3.3防火墙
∙业内性能最高
采用先进的多核硬件结构,提供无以伦比的线速安全防护,是业内处理性能最高的防火墙品牌之一,将网络安全防护提升到安全新阶段。
∙全面的安全防护
支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveXBlocking和SQL注入攻击等威胁的防范;可以有效的识别和控制网络中的各种P2P应用;支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。
∙丰富的VPN特性
集成IPSec、L2TP、GRE等多种成熟VPN接入技术,保证移动用户、合作伙伴和分支机构安全、便捷的远程接入。
∙全面NAT应用支持
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等多种NAT应用方式。
提供DNS、FTP、H.323、NBT等NATALG功能,支持多种应用协议正确穿越NAT。
∙先进的虚拟防火墙
支持先进的虚拟防火墙技术,通过在同一台物理设备上划分多个逻辑的防火墙实例来实现对用户多个业务独立安全策略部署的需求。
当用户业务划分发生变化或者产生新的业务部门时,可以通过添加或者减少防火墙实例的方式十分灵活的解决后续网络扩展问题,简化了网络管理的复杂度。
3.4基层网络安全
∙端口+IP+MAC地址的绑定:
用户上网的安全性非常重要,系列可以做到,端口+IP+MAC地址的绑定关系,交换机可以支持基于MAC地址的802.1X认证,整机最多支持1K个下挂用户的认证。
MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。
如:
每个用户分配一个端口,并与该用户主机的MAC、IP、VLAN等进行绑定,当用户通过802.1X客户端认证通过以后用户便可以实现MAC地址+端口+IP+用户ID的绑定,这种方式具有很强的安全特性:
防D.O.S的攻击,防止用户的MAC地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
∙MAC地址盗用的防止
在网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由交换机来实现的。
∙防止对DHCP服务器的攻击
使用DHCPServer动态分配IP地址会存在两个问题:
一是DHCPServer假冒,用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突;二是用户DHCPSmurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
∙访问控制列表
对于本次的接入交换机是有三层功能的交换机,可以用来实现访问控制列表来。
就是定义一个访问列表,该访问列表禁止sourceport为67而destinationport为68的UDP报文通过。
之后把这个访问列表应用到各个物理端口上。
当然往端口一个个去添加访问控制组比较麻烦,可以结合interfacerange命令来减少命令的输入量。
∙防止ARP的攻击
随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。
由于网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。
因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。
ARP攻击包括中间人攻击(ManInTheMiddle)和仿冒网关两种类型:
中间人攻击:
按照ARP协议的原理,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。
在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。
此攻击导致用户无法正常和网关通信。
而攻击者可以凭借此攻击而独占上行带宽。
在DHCP的网络环境中,使能DHCPSnooping功能,E100交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。
E100交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。
使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCPSnooping动态表项或DHCPSnooping静态表项中,则ARP报文被丢弃。
这样就有效的防止了非法用户的ARP攻击。
3.5网络管理部分
资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。
通过资源管理可以:
∙网络自动发现
∙网络手工管理
∙网络视图管理
∙网络设备的管理
∙设备及业务管理系统的集成管理
∙设备分组权限管理
拓扑管理
拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。
拓扑管理包括:
∙拓扑自动发现
∙支持自定义拓扑
∙自动识别各种网络设备和主机的类型
∙设备状态、连接状态、告警状态等信息在拓扑图上的直观显示
∙拓扑能提供设备管理便捷入口
故障(告警/事件)管理
故障管理,即告警/事件管理,是iMC的核心模块,是智能管理平台及其他业务组件统一的告警中心。
如图1所示,以故障管理流程为引导,介绍故障管理能力:
图1故障管理功能
∙告警发现和上报
∙告警深度关联分析与统计
∙
实时告警
∙实时告警浏览和确认,通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口:
∙
提供系统快照,实时报告网络、下级网络及设备的状态
∙通过拓扑实现报告网络及设备状态
∙故障解决
∙
固化经验
3.6性能管理
iMC网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。
例如:
可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。
通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的阈值,当性能超过阈值时,网络以告警的方式通知告警中心:
∙支持AtaGlance、TopN功能,用户能够对CPU利用率、流量等关键指标一目了然;
∙提供各类常用性能指标的缺省采集模板;
∙支持实时性能监视,支持二级阈值告警设置,当链路或端口的流量超过阈值,系统将会发送性能告警,使网络管理人员可以能够及时了解网络中的隐患,及时消除隐患。
同时为故障定位提供手段;
∙提供基于历史数据的分析,为用户扩容网络、及早发现网络隐患提供保障;
∙支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;提供灵活的组合条件统计和查询;性能报表支持导出Html、Txt、Excel、Pdf格式文件:
四、网络设备简介
4.1防火墙
可扩展高性能防火墙
该防火墙是业界功能最全面、扩展性最好的防火墙/VPN产品,集成防火墙、VPN和丰富的网络特性,为用户提供安全防护、安全远程接入等功能。
该防火墙支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(ApplicationSpecificPacketFilter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TPVPN、GREVPN、IPSecVPN、动态VPN等;支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
扩展性最强
该防火墙能灵活扩展病毒防范、网络流量监控和SSLVPN等硬件业务模块,实现2-7层的全面安全。
强大的攻击防范能力
能防御DoS/DDoS攻击(如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等先进功能。
增强型状态安全过滤
支持基础、扩展和基于接口的状态检测包过滤技术;支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用
升级会员 