北京人民广播电台项目建议.docx
《北京人民广播电台项目建议.docx》由会员分享,可在线阅读,更多相关《北京人民广播电台项目建议.docx(25页珍藏版)》请在冰点文库上搜索。
北京人民广播电台项目建议
北京人民广播电台项目建议
北京人民广播电台
项目建议书
生成日期
2009年9月17日
初始版本
0.1
制作者
Team
状态
草案
修订日志
第一部分前言3
1.1网络现状3
1.2设计原则3
第二部分方案4
2.1方案一:
5
2.1.1安全总体设计5
2.1.2冗余6
2.1.3性能和可管理7
2.1.4网络增值8
2.1.5总结10
2.2方案二:
10
2.2.1网络总体设计11
2.2.2网络可管理性12
2.2.3网络增值业务12
第三部分设备简介12
3.1CiscoWorks的简介12
3.1.1典型网络的部署13
3.1.2资产管理13
3.2无线局域网控制器14
3.2.1智能RF管理15
3.2.2严格的安全性16
3.3Cisco720418
3.3.1产品简介18
3.3.2关键特性和优点18
3.4CiscoASA5550自适应安全设备20
3.5CiscoCatalyst2960概述21
3.5.1千兆以太网22
3.5.2网络智能性22
3.5.3增强安全性23
3.5.4高级QoS24
3.5.5管理25
第一部分前言
本项目建议书来自对于北京广播电台的不完全认识。
仅从规划和实际技术角度讨论项目的拓扑和其他可能变化。
1.1网络现状
北京广播电台网络经过五年的建设,已经具有相当的规模。
网络规划基本合理,设备功能清晰。
根据现有掌握的资料来看,网络大致分为以下几个部分:
网络接入层。
该层面包含了两个功能,一个是网络安全用的行为审计设备,另外一个是流量均衡设备。
行为审计设备用以限制内部和外部使用者的行为,某些具有明显恶意行为的数据包将会使用签名比对的方式进行查找并且丢弃,同时提供了针对某些协议和应用的封闭能力,可能包括下载工具和流媒体。
流量均衡设备目前使用Radwear的主动型流量均衡器,设备通过对外散布ICMP小包,并且统计回环延时的方式来确定前往特定目的地的最佳路径。
网络核心层。
网络核心层使用Cisco7600路由器作为核心路由器。
设备上使用FWSM用以提升内部网络的安全性,提升网络对于内部攻击的抵御能力;同时作为对外网络的第二道防线,也会起到积极作用。
核心路由器上使用的NAM模块有助于管理员准确的统计流经设备各接口的数据类型,对于判断网络应用的发展和发现网络威胁的早期特征具有积极意义。
核心交换使用CiscoCatalyst6509进行。
设备划分VLAN,并使用三层路由的方式汇聚接入层的数据。
网络边缘层。
网络边缘层主要是各楼层接入交换机组成。
接入交换机汇聚客户流量,并在网络二层防护方面发挥积极作用。
1.2设计原则
为了能够进一步提升网络的运作水平,包括容错、均衡和可管理能力,使得网络能更好的适应未来基于应用的交付,决定利用这次机会,对整个网络进行重新的改造。
改造本着适度超前,着眼今后5年实际网络发展的原则,为今后更加复杂的网络应用和面对更加严峻的网络安全形势,做好充分的准备。
网络改造遵循以下原则进行
●开放性标准化
严格按照行业标准进行设计,使网络系统具有较长的生命力和扩展能力,满足未来升级的要求。
在网络设计中充分考虑设备对标准的支持,保证与多厂商的设备互连的能力。
●高性能扩展性
高性能、大容量网络设施可保证对多种高速网络技术,如:
千兆以太网、快速以太网和ATM等的支持。
方案中所推荐的各级网络设备能针对各类业务提供适合的带宽。
模块化设备的使用更会提高网络系统的扩展能力。
●安全性可靠性
核心设备须具有强大的冗余和容错功能,重要部件(如电源、核心交换引擎等)采用冗余备份设计。
采用多级网络安全的设计思路,推荐使用设备内置的安全功能,能配合专业的安全产品(如防火墙)还能有效地阻止外部的非法入侵和内部的非授权操作。
●可管理性和可维护性
采用先进完善的网络管理和监控工具,对网络实现一体化管理。
通过对网络性能的监控及时改善网络性能。
●设备的先进性和成熟性
在网络通讯技术和计算机技术发展日新月异的今天,网络的选择既要遵循新技术的发展方向,采用最新科技水平,使项目具备国内乃至国际领先的地位,又要兼顾技术上的成熟性,保证系统整体性能,使整体投资达到最佳。
第二部分方案
为了能够更好的满足需求,现特别准备了两套方案,以供选择。
第一套方案倾向高性能和高可靠性,目标是满足今后至少5年网络情况的发展,网络设计有全冗余链路,拥有极高的故障恢复和负载可控特性。
第二套方案倾向于应用交付,注重较低的购置成本和较强的通用性。
2.1方案一:
本方案着眼高性能和高可靠性,更换主链路设备,提升内部设备安全水平和可控制水平。
使用Cisco基于ASA算法的新一代防火墙,同时内置IPS模块,除了能够很好的解决目前网络威胁,也可以为今后大量面对Internet的服务器提供良好的保障。
整体网络拓扑
本网络拓扑较大的改动了网络现有状态。
由于无法验证现在网络上使用的UTM设备的具体作用因此将此设备暂时当作网桥看待,所有的流量直接穿越UTM,并在UTM上执行原有策略。
2.1.1安全总体设计
安装两台携带IPS的Cisco5540防火墙。
带有IPS作用的一大好处,就是可以借助独立的IPS硬件,来完成丰富的数据检测功能。
Cisco防火墙是业界领先的设备,基于签名的数据包过滤技术可以非常容易的发现已知的攻击行为,并能进行极深度数据包检查,避免夹杂在数据包当中针对特定系统的语义攻击,更大限度的自外而内保护网络安全。
同时照顾到未来的服务器群组,ASA提供了双上下文环境来保证两台设备的双Active状态。
通过链路检查和状态复制,ASA可以保证在任何一台设备实效的情况下仍能保证数据的正常转发。
IPS模块可以成倍的提高防火墙对于攻击的抵抗能力。
因为北京广播电台从社会学上,属于社会地标组织,极其容易受到攻击。
因此,相对于A/S结构的防火墙冗余,AA结构更容易面对恶劣环境。
额外的,带有多上下文环境的ASA还可以提供ASR。
这种不对称状态技术可以帮助数据包及时往返路径不一致的时候,也仍然可以从另外一台防火墙返回网络。
2.1.2冗余
链路以下,使用两台F5LC1500链路负载均衡器,用以实现智能网络均衡负载能力。
基于大量的实际工程经验,F5LC1500均衡器使用SRTT算法来确认链路的使用状况。
通过不间断的对数据包的监视,设备就可以了解足够多的线路状态信息。
相比较而言,Radware的Echo技术大量的消耗自身的上游设备资源,严重的增加了网络设备处理数据包的负担。
一般认为,网络设备在处理小型数据包时候将会付出更多的网络资源。
核心进行小幅的调整,用以提高整个网络的可靠性水平和可管理能力。
为两台设备购置次级备份设备,以求在不显著增加成本的前提下,大幅度提高网络应对突发故障或者设备崩溃的能力。
为Cisco7600进行备份的设备是Cisco7204VXR,7204是紧凑型ISP边缘路由器,拥有NPE200/400等各型号的高速处理器,并能够部分兼容Cisco7600的板卡,并且总造价不高,可以极大地提升网络可控水平,当网络遭受严重物理破坏或者极端攻击时候,拥有足够的处理能力来进行平滑和处理。
同时,将核心设备上的防火墙模块转移到CiscoCatalyst6509上,新购买NAM模块安装到Cisco6509上,用以提供更为详细的流量统计报告。
2.1.3性能和可管理
作为三层交换的核心设备,6509拥有至少720G的传输能力,并且高效的三层交换能力可以使得6509比7600路由器更加适合处理这种大量用户数据简单汇聚的工作。
FWSM经过小心的配置,可以更为有效的工作在这种环境下。
同时,购买第二块引擎和电源,以便于从物理结构上增加设备的可靠程度。
当接口数目不足的情况下,可以购买另外的接口板,确保所有内部用户都在FWSM的控制之下。
同样的,在Cisco6509上也添加IDS模块。
作为Cisco安全网络不可或缺组成部分,应用在内部网络的IDS将会和FWSM一起,一次性永久解决内部网络访问控制问题。
历年的网络安全会议强调,网络中来自受信任区域的网络攻击占到网络攻击总数的80%,尽管可以有集团化放病毒软件或者防毒墙存在,但是我们仍然无法忽视来自受信任区域发起攻击所带来的严重后果。
两套IDS与防火墙、核心路由器和核心交换机进行联动,确保可以准确及时的消除网络攻击带来的隐患。
2.1.4网络增值
为了更好的管理北京广播电台内部的瘦AP,实现给予802.1X的接入认证和无缝漫游,应该购置无线局域网控制器以完成这个工作。
单独购买的无线局域网控制器拥有很好的部署灵活性。
结合预认证和功率分布分析等等功能,可以为用户提供非常好的无线接入体验。
基于802.1X的质询则可以大幅度减少无线网络需要人工配制的项目的数量,拥有OTP或者密码的用户可以接入内网,而其他用户则只能限制在一个较小的区域内。
核心网络的设备以及Cisco防火墙上,使用包括逆向路径校验和复杂队列技术、深度数据包检查,来彻底的进行网络流量的人工控制。
逆向路径结合bogonACL过滤技术可以大幅减少网络欺骗攻击的数量和效果,避免使用虚假地址的TCPSYN攻击给服务器带来的难以估量的压力;相对的,复杂队列技术可以保证关键业务可以首先通过,特别是在未来可能实现对外的流媒体服务器,或者是内部进行的视频会议等等,都可以直接从中得益,面对过量的攻击压力的时候,复杂队列技术是保证网络正常工作的唯一途径。
深度数据包检查可以结合IPS一同使用。
必要时侯,使用ZBF来进一步强化网络的整体安全性。
深度数据报检测可以检查数据包的七层载荷,避免畸形数据包对于网络的毁灭性打击。
网络管理使用CiscoWorksLMS群件。
群件使用Cisco定义设备特性集,可以准确的绘制网络拓扑,精确描述设备间电缆连接状况;同时,具有强大的记录功能,基于SNMP的Trap和CiscoWorks轮询确保了数据的完整性。
现在网络的接入曾交换机还在使用部分的3Com设备,建议本次统一更换为Cisco设备,除了拥有更好的性能,也为了能够使用CiscoWorks更好的管理,今后也可以成为网络NAC体系的一部分。
CiscoMARS成为本方案当中最后可以可选件。
MARS是Cisco威胁联动部件的核心设备。
它可以工作在签名和简档两种模式中,因此具有非常低的误报和对新形态攻击的敏感性双重优点。
结合网络中的IPS/IDS,NAM模块,MARS具有更加丰富和准确的数据源,因此可以发挥更好的作用。
2.1.5总结
此方案具有较高的一次性造价,但是从长远来看,网络的基本形态不论是从单体设备性能,还是冗余能力,或者是人为可控的管理能力上而言,相对于现在都有很大的提升。
多业务设备选择和针对安全的强化,将会使得网络能够更好的适应今后网络的发现。
纵观网络发展史,老旧网络的衰落和换代无一不是应用交付程序的暴发性增长所致。
而这种增长对于商用型网络而言,没有任何意义。
类似迅雷,Emule和BT的应用,将会给网络带来极其沉重的压力。
因此,对于商用网络核心业务的保护和对应用交付程序的控制,就成为网络能长治久安和稳定运行的基石。
网络中大量部署的IDS和防火墙,将会准确的捕捉这些应用的发展,尽早的将这些应用控制在管理者手中。
2.2方案二:
本方案着眼较低改造成本。
较低的改造成本往往意味着较低的行政审批压力,相比较而言可以更加容易的开展工作。
相应的,网络的可扩展性将会受到一定程度的制约,相对于前面一种方案而言,扩展性会有所降低。
2.2.1网络总体设计
现在的网络拓扑更多的问题集中在网络出口。
仅从现在的拓扑而言,网络出口并没有专职的防火墙来提供对网络的保护。
同时,尽管网络链路实现了冗余,但是链路冗余设备却产生了新的单点故障;核心的Cisco7600尽管具有FWSM,和NAM,但是无法监控到Cisco6509上产生的流量。
为了能尽快地修正这些明显的缺陷,应当进行设备的添置,但不涉及对于网络结构的修改。
首先的,核心路由器和核心交换机统一购置双引擎,以便从设备层面提供冗余能力。
通常的,核心网络设备会面临最为险恶的网络应用环境,因此必须要对核心实行板卡级或者设备级冗余,来提升网络本身的稳定性。
2.2.2网络可管理性
Cisco基于SSO的切换可以在设备运行期间,保存所有路由表和转发任务,实现秒级切换,并且不会中断转发和所有邻接关系。
同时,将Cisco7609的FWSM和NAM模块全部安装到Cisco6509上,直接连接的用户也全部转移到Cisco6509上,实现接入层和网络路由决策层的分离,提高网络控制层面的灵活性。
由于现在出口的Radware设备使用小包探测链路形态,给出口的UTM设备增加了很多负担,在UTM设备不能替换的情况下,将Radware设备更换为使用SRTT算法的F5设备。
减轻网络设备负担也有助于提升整体网络的稳定性。
2.2.3网络增值业务
由于下属交换机和无线AP众多,也增加了接入用户管理的挑战。
为了避免由此产生的巨大的管理开销,使用基于CiscoACS服务器的dot1x质询认证,来识别用户身份和设备。
以此限制用户接入的能力和水平。
同样的,由于成本限制,不能在外链路上使用高端防火墙,因此采用天融信的行为管理设备,限制用户可以访问的Internet网络资源。
天融信作为国内行为管理起步最早的企业,其行为特征数据库的更新也是首屈一指,通过不断的更新数据库,行为管理设备可以识别和管理更多的网络数据流量。
为了更好的适应网络统一化管理的目标,下属接入交换机也视情况改为Cisco制造的型号,以便于识别和管理。
除了主链路配置有区别,其他的诸如准入控制,复杂队列技术,CiscoWorks等等,均和上述方案相同。
第三部分设备简介
3.1CiscoWorks的简介
CiscoWorksLocalNetworkManagementSolution(LMS)是Cisco的一个端到端的网络管理解决方案。
它是包含有两到三个分支办公室的小型网络管理的理想解决方案。
CiscoWorksLMS是广泛的、低成本并且友好的解决方案,提供了强大的监视和配置能力,也提供了网络管理和简单的网络管理功能。
基于广受欢迎的Internet标准,CiscoWorksLMS允许网络管理员更有效率的管理网络,这一切仅仅通过一个简单的机遇浏览器的界面就能够在任何时间任何地点登陆并且管理网络。
CiscoWorksLMS提供了足以完成配置、监视和解决路由器、交换机或者其他应用程序问题的工具,能快速的控制由于人为因素而导致的错误。
商业用户使用CiscoWorkSNMS,能够帮助他们有效的提升网络性能和减少网络中端时间(给予监视和问题解决工具),并能使得网络配置恢复到配置之前的状态。
3.1.1典型网络的部署
今天来自商业用户的挑战就是保证网络具有很高的可用时间和迅速的故障解决能力。
CiscoWorksLMS不仅仅可以进行普通的网络管理任务,最主要的是,他们还能协助用户进行配置或者重新配置复杂并且多变的网络。
一般而言,管理一个小型的网络,需要及时地管理并清查网络基础设备的变化,定期升级运行在本地和远程设备的软件镜像,执行配置更改,优化网络的利用率,部署策略以适应组织新的计划。
当然,这是一个具有挑战性的任务,特别是在大多数组织面临的预算和人力资源有限的情况下。
CiscoWorksLMS支持用户监控、管理和部署新的网络设备并使它们在很短的时间运行起来,很多其他的针对网络部署方面的特性。
3.1.2资产管理
CiscoWorksLMS提供了非常全面的设备生命周期的管理工具,包括设备的硬件和安装在上面的软件。
只需要很少的配置工作就可以使得这个工具有效的运行起来,比如可能需要修改密码和设备集名称,就会被自动的记录在案,而不用人为的去创建触发器或者进行其他的操作。
利用CiscoWorksLMS可以使得管理任务的自动化。
CiscoWorksLMS提供了用户跟踪网络设备配置修改的工具。
当网络规模逐渐增大,设备可以使用带有新的特性和升级了性能的操作系统来适应,比如新版本的CiscoIOS/CiscoCatalystOS。
经常更新这些程序可以保证网络安全和稳定的运行。
CiscoWorksLMS提供了一个非常简单但是功能强大的管理窗口来管理整个网络的基础设施,并且不仅仅局限于Cisco的设备,包括了PC机,服务器和其他的应用程序,并为纪录和管理这些公用的基础设施开辟了有一条新的途径。
用户开始不需要使用很多彼此不相关的应用程序来管理他们的网络了。
3.2无线局域网控制器
思科®无线局域网控制器适用于企业无线局域网部署,并提供了系统级无线局域网功能,如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。
它们与Cisco1000系列轻型接入点和思科无线控制系统(WCS)软件共用,可支持关键的无线应用。
从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。
思科无线局域网控制器可平稳地集成入现有企业网络中。
它们使用轻型接入点协议(LWAPP),与Cisco1000系列轻型接入点在任意第二层(以太网)或第三层(IP)基础设施上通信。
这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全,可完全自动地支持重要的无线局域网配置和管理功能,从而实现经济有效的无线局域网运营。
思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统,创建和实施策略。
多个WLAN控制器可自动相互发现,并在它们之间无缝协调WLAN服务。
以这种方式,思科无线局域网控制器可作为单一无缝系统运行,提供一个有数千AP的可扩展WLAN网络。
从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建安全的企业级无线网络。
Cisco4400系列无线局域网控制器适用于大中型机构,有两个型号—带2个千兆以太网端口,其配置可支持12、25和50个接入点的4402,以及带4个千兆以太网端口,支持100个接入点的4404。
4402具有1个扩展插槽,4404具有2个扩展插槽,可用于在将来添加增强功能,如VPN终结等。
此外,每个4400WLAN控制器均支持一个可选冗余电源,以确保最高可靠性。
3.2.1智能RF管理
所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。
思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法,来实时发现空中无线资源使用的变化并作出调整。
这些调整以类似于路由协议为IP网络计算最佳拓扑的方式,为无线网络创建最优拓扑。
思科无线局域网控制器所管理的特定智能RF功能包括:
∙动态信道分配—802.11信道可根据不断变化的RF情况进行调整,以优化网络覆盖范围和性能。
∙干扰检测和避免—该系统可检测干扰并重新调整网络,以避免性能问题。
∙负载均衡—此系统对多个接入点提供了自动的用户负载均衡,即使负载量很大,也能获得最优网络性能。
∙覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区,并尝试通过调整接入点的功率输出来修复它们。
∙动态功率控制—该系统可动态调整各接入点的功率输出,来适应不断变化的网络情况,以确保达到预期的无线性能和可靠性。
3.2.2严格的安全性
思科无线局域网控制器符合最严格的安全标准,包括:
∙802.11iWi-FiWPA2,WPA和有线等效加密(WEP)
∙802.1X,带多种可扩展验证协议(EAP)类型—受保护EAP(PEAP),带传输层安全的EAP(EAP-TLS),带隧道化TLS的EAP(EAP-TTLS)和思科LEAP
∙VPN终结—4100系列的可选模块,提供IP安全(IPSec)和第二层隧道协议(L2TP)VPN终结
因此,它堪称业界最全面的无线局域网安全解决方案。
在思科无线局域网架构中,接入点可作为无线监控器,向无线局域网控制器通报有关无线域的实时信息。
经由思科WCS,可进行准确分析并采取校正措施,从而迅速识别所有安全威胁,并将其提交给网络管理员。
思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。
这有助于确保实现完整的无线局域网保护,无需花费重复的设备成本或购买额外的监控设备。
思科无线局域网系统最初可作为独立无线入侵防御系统部署,再在稍后重新配置,添加无线局域网数据服务。
这使网络管理员能环绕其RF域创建一个“防御屏障”,抑制未授权无线活动,直至他们作好部署无线局域网服务的准备为止。
无线局域网入侵防御和定位—思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁,而且能对这些设备定位。
这使系统管理员能快速评估威胁级别,立即按需采取措施来抵御威胁。
基于身份的联网—IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。
思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。
这其中包括:
-第二层安全功能—802.1x(PEAP,LEAP,TTLS),WPA,802.11i(WPA2)和L2TP
-第三层(和更高层次)的安全功能—IPSec,web验证
-VLAN分配
-访问控制列表(ACL)—IP限制,协议类型,端口和差分服务代码点(DSCP)数值
-QoS—多个服务级别,带宽减少,流量整形和RF利用
-验证、授权和记帐(AAA)/RADIUS—用户连接策略和权限管理
网络准入控制(NAC)—实施客户端配置和行为策略,以确保只有拥有适当安全工具的终端用户设备才能访问网络。
安全移动—在移动环境中保持最高安全水平。
这包括随用户移动而移动的VPN,无需重新建立安全隧道。
此外,思科已开发了主动密钥缓存(PKC),这是802.11i标准的扩展、802.11r标准的前身,可通过AES加密和RADIUS验证实现安全漫游。
访客隧道—为访客接入公司网络提供更高安全性。
它可确保访客如不首先通过公司防火墙,就无法接入公司网络。
3.3Cisco7204
3.3.1产品简介
拥有出色性价比的Cisco7200系列路由器可以提供很多网络服务加速解决方案,如通过网关连接到WAN和Internet的地区和分支办公室、企业和服务供应商的远地集中(多个分散地点通过一个中央地点实现互连)、要求IBM数据中心连接的地点、要求能够将以上所有功能结合起来实现多服务语音、视频和数据的多功能能力的地点。
Cisco7200的一个关键优势是其模块化特性。
在7200系列的配置中,客户可以选择4种处理引擎、一个4或6插槽多服务机箱、不同的输入/输出(I/O)控制器以及多种LAN和WAN端口适配器,这使7200系列能够提供大量不同的配置,以满足不同的网络需求。
Cisco7201VXR和7206VXR机箱最高可以提供1Gbps的背板带宽,并包括了集成的多服务交换(MIX)功能。
端口适配器覆盖了多种LAN和WAN连接,端口总数最高可以达到48个,并提供单电源或双电源。
这种模块化设计在使客户获得自己所需要的性能和容量的同时,还为客户提供了投资保护和有保证的扩展途径。
3.3.2关键特性和优点
•实现服务集中的理想选择-DSL、ISDN、有线、无线和移动通信
•基于IP传真/语音、帧中继或ATM的全面多服务网关功能
•高性能交换-支持高速介质和高密度配
升级会员 