最新网络升级技术方案设计说明.docx
《最新网络升级技术方案设计说明.docx》由会员分享,可在线阅读,更多相关《最新网络升级技术方案设计说明.docx(26页珍藏版)》请在冰点文库上搜索。
最新网络升级技术方案设计说明
网络升级技术方案
1.背景
1.1概述
在企业的信息化建设中,基础是网络,离开了网络,我们的智能化建设只能纸上谈兵。
而网络的建设又与应用密不可分,网络必须结合应用的需求及特点,确保应用的顺利开展,为应用提供可靠的、安全的、智能化的传输通路。
根据企业的规划和设计规模,我们在设计该企业的网络信息系统时,将遵循“立足现在,着眼未来,重在实用,旨在效益”的总方针,按照企业行业的国际标准模式,结合中国的具体国情,同时吸收国际上流行的几家企业网络系统的精华,力争使所设计的网络系统具有技术先进、高效快捷、安全可靠、易于维护、方便升级等特点。
1.2网络现状
办事处现有网络已经建起一定规模;随着发展需要,现有的网络已经无法满足环境的需要。
企业化信息网络平台建设起步较早。
目前的现状总结为如下几个方面:
⏹全网同处于一个广播域中,对全网的安全性存在很大的隐患。
⏹网络的核心交换机为一台CISCO3550交换机,设备老化严重。
⏹全网无核心层,汇聚层,接入层之分,故障的排错存在很大的因难。
⏹全网没有做任何安全的措施,包括防ARP等病毒的设置
⏹接入层的交换机是二层不可网管的交换机,不能划分VLAN,无法对接入用户进行管理。
⏹网所有PC的IP地址均属于同一个网段,后期无法扩展。
1.3建设目标
通过建设一个高速、安全、可靠、可扩充的网络系统,实现企业信息的高度共享、传递,及管理信息化,领导能及时、全面、准确地掌握企业的科研、生产、管理、财务、人事等各方面情况,建立出口信道,实现与Internet互联,实现领导和职员远程VPN的安全接入,进行移动办公和资料查询。
2.网络设计
2.1设计原则
办公网建设应该遵循以下原则:
——简单易用性:
由于企业的人员组成复杂,员工素质差异较大,所以设计的方案必须简单,易于操作,使各种层次的员工都能逐步熟悉,在使用过程中再对各种功能进行完善。
——可扩展性:
由于企业受市场的影响较大,会出现经常性的人员调整和机构调整,因此办公网必须易于修改和扩充。
但这个功能必须由网络管理员根据单位授权来完成。
——能有效解决移动办公:
企业人员出差频繁,甚至一些部门常驻外地。
很多事情需要立即办理,办公网应该尽量保证每个人能够随时随地进行办公。
使用户可以通过互联网安全受控的进入办公网进行日常办公。
——友好的界面设置:
现在的技术能够很好地实现界面设置。
能通过图形管理软件对系统进行管理和设置。
——关于系统的安全性:
系统中必须采用鉴权技术,对使用者身份进行确认。
对用户进行分组,制定详尽的分组策略,做到那些资源允许那些组访问的明确,对超级用户比如领导的授权,对外来人员也就是我们常说的访客都要严格加于区别。
2.2网络设计
基于企业目前现状考虑,网络采用二层结构核心层、接入层,采用双核心交换机S75010E相互备份冗余、双网络主干链路冗余、服务器群防护、网络地址重新规划、网络设备与用户智能管理的方式,实施高可用性、高可扩展性和高可靠性、易管理的网络平台。
2.3核心网络升级
核心网络升级包括部署华为-3Com特有的IRF智能弹性架构,结合网络三层分层体系(核心层、汇聚层、接入层),实现双核心交换机冗余、核心交换机主部件冗余、网络主干链路冗余、服务器群防护、网络地址重新规划。
2.3.1网络核心层
建议使用2台H3CS7510E高性能交换机采用VRRP协议构成双核心冗余,H3CS7500E系列产品是华三通信技术(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
S7510E基于H3C公司自适应安全网络的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段,从而为企业IT系统构建面向业务的网络平台,实现通信整合,数据整合奠定了基础。
H3CS7500E系列交换机支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余,实现可靠的核心服务;2台位于网络中心的核心交换机通过千兆链路分别与位于新老厂区办公楼配线间的接入交换机H3CS3600连接,构成网络千兆光纤主干双冗余,以消除主干单链路故障,从物理链路级别上实现千兆主干链路的冗余互备。
2.3.2网络接入层设计
接入层将采用新增加的H3CS3600交换机,实现全面的接入控制,H3CS3600交换机与IMC组合实现接入认证,用户如果不进行认证,将无法接入网受保护的资源,同时也无法实现网络资源共享以及数据传输。
2.4智能网络管理
H3C公司的IMC智能网络管理系统,采用组件化、模块化设计,随着业务、设备、用户的扩展,添加需要的组件,能很好适应集团对网络管理不断丰富需要。
iMC智能管理平台,是在统一了设备资源和用户资源管理的平台框架的基础上,实现的基础业务管理平台,包括iMC基本资源管理部分、iMC基础网络管理和iMC用户接入管理。
2.4.1IMC网络设备管理
iMC基础网络管理,涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等。
丰富、实用的网络视图,多样化的网络拓扑,智能的告警显示、过滤和关联,直观的状态监控,性能管理,用户管理与网络拓扑管理相融合
具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。
1)通过IP视图,用户可以观测网络的逻辑结构和物理结构。
2)设备视图,使得用户对网络中设备类型和数量一目了然。
3)自定义视图,使用户可以按照任何希望的方式构造客户化的网络拓扑。
并提供直观简便的预览功能,集中监控用户关心的重点设备和接口的状态。
多样化的网络拓扑
拓扑更加美观清晰,能够实时显示当前视图的拓扑状态。
通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视,拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关,拓扑可以作为管理员管理网络的唯一入口。
1)提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备上的接入情况。
2)用户可以根据实际组网情况,定义自己关注的网络拓扑。
3)在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作,以满足不同业务的需求。
智能的告警显示、过滤和关联
2)提供丰富的声光告警,还可以针对不同的告警定义不同操作提示以及维护参考等;
3)汇总显示发生故障的设备,方便管理员日常维护工作展。
4)提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤,可以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。
5)在安装其他组件的情况下,还提供基本告警和业务告警的关联,
6)在基本告警发生后,系统进行关联分析,自动产生业务告警。
管理员即可根据基本告警从而迅速定位问题,缩短平均修复时间。
又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供数据基础。
直观的状态监控
与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。
性能管理
1)提供了对系统所管理的各种设备性能参数的公共监视功能,比如存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。
2)可对每一个性能指标设置二级阈值,发送不同级别的告警。
用户可以根据告警信息直接了解到设备某指标的性能情况,有助于用户随时了解网络的运行状态,预防网络故障,预测网络发展趋势,合理优化网络。
3)
通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息,通过报表的导出和打印功能,管理员能够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供有利的支撑。
用户管理与网络拓扑管理相融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。
比如查看用户信息、强制用户下线、执行安全检查等。
使终端用户的管理更加直观清晰。
用户管理与网络设备管理相融合,用户管理操作更加简单
1)接入设备列表中可以直接看到用户相关信息,在使得操作简单方便的基础上,又提高了操作员日常维护的效率:
2)可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等;
3)可以在在线用户列表过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。
该功能使得操作更友好,全面提升操作员的操作体验;
2.4.2IMC用户接入管理
iMC基本接入管理,主要管理用户的接入准入和控制。
支持多种接入及认证方式,严格的权限控制手段,详尽的用户监控,集中方便的用户管理,为接入设备提供查询设备明细信息的,接入设备管理与拓扑管理的融合
Ÿ支持多种接入及认证方式,适合多种接入组网场景及应用场景:
1)支持802.1x、无线接入等多种认证接入方式;
2)支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止账号盗用和非法接入;
3)支持与Windows域管理器、第三方系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。
4)支持端点准入防御(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略。
Ÿ严格的权限控制手段,强化用户接入控制管理:
1)用户权限控制策略,可以为不同用户定制不同网络访问权限;
2)禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用;
3)可限制用户IP地址分配策略,防止IP地址盗用和冲突;
4)可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网;
5)可以限制终端用户使用多网卡和拨号网络,防止部信息泄露;6)可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性;
Ÿ详尽的用户监控,强化对终端用户的监视控制:
1)接入业务组件提供强大的“黑”管理,可以将恶意猜测密码的用户加入黑,并可按MAC、IP地址跟踪非法行为的来源;
2)管理员可以实时监控在线用户,强制非法用户下线;
3)支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等;
4)iMC接入业务组件记录认证失败日志,便于方便定位用户无法认证通过的原因;
Ÿ集中方便的接入业务用户管理,简化管理员维护操作
1)基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,简化管理员的操作,保证网络管理模式的统一;
2)接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用:
Ÿ为接入设备提供查询设备明细信息的,操作简便:
可以通过简单的鼠标点击即可看到接入设备的详细信息,比如,对应的基本信息、告警、性能状况等;
Ÿ接入设备管理与拓扑管理的融合,使得设备管理更简单,管理更方便:
1)拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,并可以通过很简单的鼠标点击方式,将此接入设备设置为非接入设备。
2.4.3EAD端点准入控制
选择华为-3COM交换机完全支持802.1x协议,802.1X与认证服务器IMC一起,防止非法用户和设备接入网络,防止不符合安全策略的用户对网络产生威胁,例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。
当用户的信息通过认证服务器身份验证及网络准入控制,满足防病毒服务器、补丁服务的检查后,用户获得网络访问许可,根据分组访问权限,用户就可以访问指定的业务服务器VPN通道、互连网等,通过EAD系统可以防网络病毒传播,确保服务器及企业数据安全。
1原理
EAD解决方案提供企业网络安全管理的平台,通过整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业网络安全策略,提高网络终端的主动抵抗能力。
其基本原理图如下:
EAD基本原理
EAD系统由四部分组成,具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。
安全策略服务器是EAD方案中的管理与控制中心,是EAD解决方案的核心组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
目前华为3Com公司的CAMS产品实现了安全策略服务器的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制,同时,该系统可详细记录用户上网信息和安全事件信息,审计用户上网行为和安全事件。
安全客户端平台是安装在用户终端系统上的软件,该平台可集成各种安全厂商的安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络安全策略。
安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。
CAMS综合接入管理平台作为安全策略服务器,提供标准的协议接口,支持同交换机、路由器等各类网络设备的安全联动。
第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品,通过安全策略的设置实施,第三方安全产品的功能集成至EAD解决方案中,实现安全产品功能的整合。
EAD原理图示意了应用EAD系统实现终端安全准入的流程:
用户终端试图接入网络时,首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证,非法用户将被拒绝接入网络。
合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本等信息是否合格,不合格用户将被安全联动设备隔离到隔离区进入隔离区的用户可以根据企业网络安全策略,通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作,直到接入终端符合企业网络安全策略。
安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的网络服务
2功能特点
完备的安全状态评估
用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。
EAD通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能正常访问网络
实时的“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。
基于角色的网络服务
在用户终端在通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全客户端下发系统配置的安全策略,按照用户角色权限规用户的网络使用行为。
终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理,并实时应用实施。
可扩展的、开放的安全解决方案
EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。
在现有企业网中,只需对网络设备和三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。
EAD也是一个开放的解决方案。
EAD系统中,安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。
在防病毒方面,目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。
灵活、方便的部署与维护
EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的安全检查和隔离级别。
EAD可以部署为监控模式(只记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。
3EAD应用场景
EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,可以配合交换机、路由器、VPN网关等网络设备,实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的安全防护。
可以为多种应用场合提供安全保护,具体包括:
局域网安全防护
在企业网部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业部的安全威胁。
无线接入网络的安全防护
WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易感染病毒和木马或出现长期不更新系统补丁的现象,给网络带来安全隐患。
与局域网接入防护类似,对于这种无线接入的用户,EAD也可以在交换机配合下,通过实现用户接入终端的安全控制,实现用户网络的安全保护。
VPN接入网络的安全防护
一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业部网络。
EAD方案可以通过VPN网关确保远程接入用户在进入企业部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。
对于没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问部网络或限制其访问权限。
企业关键数据保护
对于接入网络的用户终端,其访问权限受EAD下发的安全策略控制,其对企业关键数据服务器的访问也因此受控。
同时由于可访问该数据服务器的用户均通过EAD的安全状态检查,避免数据遭受非法访问和攻击。
网络入口安全防护
大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。
这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。
为了确保接入企业部网的用户具有合法身份且符合企业安全标准,可以在企业入口路由器中实施EAD准入认证。
4结论
EAD提供了一个全新的安全防御体系,该系统作为网络安全管理的平台,将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设备接入控制功能、用户接入行为管理功能相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。
在EAD平台的基础上,可轻松构建让企业管理者、网络用户和网络管理员均放心的安全网络。
通过对网络接入终端的检查、隔离、修复、管理和监控,有效管理网络安全,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,让网络拥有“自动免疫”的安全机能。
2.5.7VLAN分组设计
VLAN,是英文VirtualLocalAreaNetwork的缩写,中文名为"虚拟局域网",VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。
不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN的好处主要有三个:
(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。
这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。
不同VLAN不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN的各个工作站没有限制在同一个物理围中,即这些工作站可以在不同物理LAN网段。
由VLAN的特点可知,一个VLAN部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN在交换机上的实现方法,可以大致划分为六类:
1.基于端口的VLAN
这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。
这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过三层交换机转发,并配合基于MAC地址的端口过滤。
对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。
这样就可以防止非法入侵者从部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。
适合于任何大小的网络。
它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
2.基于MAC地址的VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLANMAC的地址。
这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。
这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
3.基于网络层协议的VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。
这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。
这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。
而且,用户可以在网络部自由移动,但其VLAN成员身份仍然保留不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
4.根据IP组播的VLAN
IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一
升级会员 