澄城卷烟华为网络方案doc.docx
《澄城卷烟华为网络方案doc.docx》由会员分享,可在线阅读,更多相关《澄城卷烟华为网络方案doc.docx(16页珍藏版)》请在冰点文库上搜索。
![澄城卷烟华为网络方案doc.docx](https://file1.bingdoc.com/fileroot1/2023-7/4/964b60b6-7ed3-48e9-b672-7d899dc3fc68/964b60b6-7ed3-48e9-b672-7d899dc3fc681.gif)
澄城卷烟华为网络方案doc
澄城卷烟华为网络方案
澄城卷烟厂网络设备、网络安全设备、系统集成技术部分华为技术有限公司第119页共119页目录第一章项目背景51.1项目名称:
澄城卷烟厂核心网络改造升级51.2项目背景51.3现有网络基础5第二章项目需求分析62.1网络系统需求62.2网络安全系统需求7第三章系统建设目标、原则83.1系统建设的目标83.2系统建设原则83.3系统建设的主要内容93.1.2网络总体结构10澄城卷烟厂网络改造拓朴图123.1.3传输信道设计133.1.4核心网络设计133.1.5互联网接入设计153.1.6IP地址规划163.1.7路由协议173.1.8VLAN系统规划信息化对网络平台的要求。
并且不具备防火墙功能,使内外网安全性处在一个较低的水平。
第二章项目需求分析本次项目就是为了满足信息化建设需求,建设澄城卷烟厂信息化应用的网络支撑平台,内容包括:
平台的整体架构设计;防病毒体系的建立;网络、安全等设备的选型和采购;系统的集成;安全体系、运维体系的建立。
针对客户的详细要求,系统地具体需求为:
针对本次项目建设的特点,系统需要保证业务7*24小时的连续性,可用性。
因此本次系统建设的总体需求有:
1、可管理性实现设备的自动化远程管理控制。
实现人员上网的自动化管理控制2、无单一故障点从网络设备、网络线路、网络协议、路由协议等方面都要考虑到系统的可靠性、可用性,保证系统的整体冗余。
网络设备:
背板冗余、电源冗余、VRRP实现交换机之间冗余网络线路:
多条线路之间的负载均衡、故障切换网络协议、路由协议:
采用主流技术,实现故障自动切换。
3、高性能由于业务的特点,应用处理再特定时段会出现处理高峰,这就对数据传输带宽、网络突发性处理提出了很高的要求。
2.1网络系统需求目前,澄城卷烟厂局域网已基本建成和连通。
网络主干带宽为100M,铺设的光纤以多模6芯为主,主交换设备非网管3COM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便。
现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。
针对目前网络的现状主要存在以下问题:
1、随着网络规模的扩大,对网络核心的处理能力提出了很高的要求,需要提供高达数百G的交换容量和数百M的转发速率。
2、ERP应用有大量的数据在网络进行传输,并且在特定的阶段有传输高峰的出现,对网络带宽提出了很高的要求。
3、ERP系统需要大量的主机运行平台,为了实现用户对服务器的快速访问,需要建立一个服务器区,实现服务器的集中访问和管理。
4、为了保证网络的运维管理,所有网络设备必须支持网络管理,并且支持VLAN划分以及802.1X认证,实现对端口级别的管理和控制。
5、利用原有的部分交换机,实现与老系统的互联和统一管理。
2.2网络安全系统需求信息化网络建设,涉及与Internet的连接,涉及到与多个下属部分单位的连接。
ERP应用、OA应用、WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务,对网络的安全提出了以下的需求:
1、采用安全控制措施,实现人员的集中管理和控制。
2、采用安全措施,加强对核心服务器系统的保护。
3、采用安全措施,实现与Internet的安全连接,同时对外提供服务。
4、采取安全措施,实现网上行为的审计,进行事中、事后分析。
5、实现集中统一的全网安全管理,减轻管理的负担。
第三章系统建设目标、原则3.1系统建设的目标本次澄城卷烟厂信息化建设的主要目标为:
1、建设覆盖本次应用软件系统所涉及的所有单位和用户,利用千兆以太网技术构建高性能、高可靠性、安全、可管理的网络平台。
2、建设网络安全管理系统,实现对设备、人员、网络行为、终端设备的安全管理。
3.2系统建设原则本次系统建设应满足以下总体设计要求:
1.高可靠性在系统整体设计中应选用高可靠性设备产品,设备充分考虑冗余、容错能力和备份,同时合理设计总体架构,制订可靠的QoS质量保证策略,最大限度保障系统正常运行。
2.可扩展性根据未来业务的增长和变化,系统可平滑扩充和升级,避免在系统扩展时对网络架构的大幅度调整。
3.可管理性支持集中监控、分权管理,以便统一分配网络资源。
支持故障自动报警。
4.高性能设计必须保障网络及设备的高吞吐能力,保证数据的高质量传输,预留出一定的流量增长的范围,保证在可预见的将来满足流量要求,避免网络瓶颈影响整体的系统应用。
5.先进性和成熟性网络设备采用先进的技术和制造工艺,对于路由协议支持、数据流量分配,抵御网络攻击、高性能方面保持技术领先,网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。
6.标准开放性支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议,保证与其它网络之间的平滑连接互通,保证与其它主流网络产品的兼容性,以及将来网络的扩展性。
7.成功应用针对ERP系统这种关键业务应用,所选择的设备必须要经过长时间的成功应应用检验,具有非常高的市场占有率。
3.3系统建设的主要内容建设内容主要网络建设、安全建设、防病毒建设三个部分。
具体内容主要有;1、核心网络系统建设,通过双核心交换机实现核心的高性能和高可靠性。
2、在四个办公楼部署汇聚交换机,通过双千兆光纤实现实现到两台核心交换机的冗余连接。
3、同时上上述四个楼层的汇聚交换机作为接入交换机使用,实现终端用户的接入。
4、在Internet的出口处部署防火墙,实现到Internet的连接,并且原有专网路由线路也接入此防火墙,保证核心区服务器和应用的安全。
同时此防火墙支持国密VPN算法,为日后远程VPN连网打下基础。
5、在核心区部署防病毒网络版软件及相关服务器等应用软件系统,保证整个网络设备、人员、应用的安全。
6、调整网络结构,由原来的多级代理改为直接连接,保证了C/S应用的访问。
7、实现与原有网络设备的连接。
3.1.2网络总体结构根据要求及其应用需求,鉴于澄城卷烟厂各部门的特殊安全性要求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用标准IP+MPLSVPN技术,保证网络的互联互通性,并提供各部门、应用系统网络间的逻辑隔离(VPN),保证互访的安全控制,同时通过QOS和基于MPLSVPN的流量工程(TE),保证关键业务在网络上传输的优先级。
对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离,我们设计采用MPLSVPN技术实现网络横向业务部门的隔离和纵向应用系统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性,充分保护用户投资。
根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于“三网合一”概念的企业信息化综合业务平台。
全网分为三部分:
核心层、汇聚层、接层。
各部分描述如下:
核心层:
数据网主干网络设备采用交换机进行组网,配置两台高性能核心三层交换机,完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚,并在整个骨干网上启用MPLSVPN,进行业务隔离。
核心层为下两层提供优化的数据传输功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包,满足汇聚节点与核心节点之间高速通信的需要。
为保证本项目未来规模庞大,业务众多的特点,核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。
汇聚层:
每个汇聚节点的汇聚交换机通过2个1000M光口与澄城卷烟厂网络中心的2台核心交换机相联,构成双核心,双归属的骨干网络。
汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。
在整个网络环境中,汇聚层主要提供如下功能:
部门和工作组的接入和汇聚,VLAN的路由,对多个部门及多种业务的安全隔离和带宽保障,安全控制等。
接入层:
接入层与汇聚层节点采用同一台三层接入交换机,支持802.1x接入,做到面向端点的安全控制能力。
澄城卷烟厂网络改造拓朴图电信100M光纤接入省专网44MSDH专网路由器Eudemon300千兆防火墙S3952P楼层交换机百兆以太网线千兆多模光纤千兆以太网线楼层PC楼层PC楼层PC内部服务器群S3952P楼层交换机S3952P楼层交换机S7810主核心交换机S7810备份交换机3.1.3传输信道设计采用现有光缆资源,以网络中心辐射至各汇聚点。
现有各条光缆主要为6芯多模,计划本次项目采用“双核心”方案,只需用到其中的四芯,完全可满足本次项目“双核心”的部署方式。
各汇聚点至接入层交换机,可根据各汇聚区域的具体情况和实际距离,通过千兆光/电接口灵活连接。
网络中心内部各设备均采用千兆以太网电缆互联。
3.1.4核心网络设计根据招标文件结合用户实际需求,本次采用“双核心”、“双归属”的方式,构建核心-汇聚骨干网络,汇聚-接入千兆连接。
根据总体结构图,核心交换机至各个业务区域和汇聚节点均采用双千兆多模光纤,保证链路的可靠性;汇聚交换机至各接入交换机采用千兆多模光纤。
核心交换机:
作为全网数据和业务的核心,网络上所有业务的数据流都要经过核心交换机进行交换,因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。
建议采用模块化万兆核心路由交换机。
1、引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多配置文件,保证可靠性;2、全面支持分布式IP/MPLSVPN业务转发,保证高性能;3、内置的802.1xSERVER可以作为接入认证服务器的备份系统;4、硬件支持IPv6,支持10GRPR高速环网数据接口,满足未来构建企业大型核心环网要求;汇聚交换机:
汇聚层在骨干网络中起到承上启下的作用,应具备可靠性、高性能和多业务兼顾的特点。
采用万兆核心路由交换机,在本项目中具备如下特色:
1、引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多配置文件,保证可靠性;2、全面支持分布式高速率全线速业务转发,保证高性能;3、完善的ACL、流量监管、多元组绑定等安全机制;4、硬件支持IPv6,支持10GRPR高速环网数据接口,满足未来构建企业大型核心环网要求;5、全面实施VLAN配置,实现部门及业务的隔离;接入交换机:
在一个大型园区网络里,接入交换机具有数量多,部署分散的特点,且直接负责终端的接入,应具备可管理性强、端口控制能力强、性价比高的特点。
建议选用的三层接入交换机,具备如下优势:
1、支持堆叠,至此对堆叠组虚拟管理,完全可看作一个设备,使可管理性大幅度提高。
2、具有良好的端点控制能力,支持丰富的MAC、IP、端口的灵活绑定。
3、支持802.1X认证功能,可通过此功能实现对终端接入的控制。
4、VLAN能力强,支持最高的4096个VLAN;网络安全系统设计:
数据中心是本网络最重要的部位,是信息化的神经中枢,数据中心的设计应具备最高的安全性,同时应保证流畅的带宽和一定的可靠性。
作为一个单独的区域来建设,结合客户要求,我们采用“防火墙核心交换机”的建设思路,全部采用双千兆设备,全千兆连接的方式,保证给数据中心最强大的安全保障能力和数据吞吐量。
对数据中心做如下部署:
核心防火墙:
防火墙可以部署在网络内部数据中心的前面,实现对所有访问内部的网络流量进行身份控制,提供对厂区内部网络的完整的保护。
除了完善的隔离控制能力和安全防范能力,数据中心防火墙的部署我们同时考虑两个关键特性:
高性能:
数据中心部署大量的服务器,是整个网络的数据流量的汇集点,因此要求防火墙必须具备非常高的性能,保证部署防火墙后不会影响这些大流量的数据传输,不能成为性能的瓶颈;可靠性:
所有与省专网及INTERNAT通信都依赖于此核心防火墙,这些应用是企业运行的关键支撑,必须要严格的保证网络的可靠性与可用性,因此,部署防火墙以后,不对网络传输的可靠性造成影响,不能形成单点故障。
基于上述两个的关键特性,我们进行以下设备部署模式和配置策略:
l设备部署模式:
我们在INTERNAT出口及省中烟公司专网线路出口上部署一台千兆防火墙,以双链路方式连接两台核心交换机和1G的吞吐量保证可靠性和高性能。
l安全控制策略:
l防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;l在两台防火墙上设定严格的访问控制规则,配置只有规则允许用户能够访问数据中心中的指定的资源,严格限制外部网络用户对内部服务器及PC的资源访问,以避免网络用户可能会对肉网的攻击、非授权访问以及病毒的传播,保护网网的核心数据信息资产;l配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;l根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问内网;3.1.5互联网接入设计对外访问区负责全网对INTERNET的访问,同时承载澄城卷烟厂门户网站的对外发布和EMAIL系统。
虽然现在网络上80%的安全隐患都在内网,但互联网出口的安全问题仍然是对企业网络最具威胁的区域,黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里,所以互联网接入设计中,安全设计仍然放在首位。
我们采用路由三层交换机+防火墙的方式来构建对外访问区。
防火墙:
防火墙是连接内外网的纽带,防火墙的性能直接影响对于宝贵带宽的使用率,此外对于大型园区网出口,由于内部网络用户数量庞大,防火墙应该具备高性能的NAT转发能力。
1、高性能:
具备>=1Gbps吞吐量的包转发性能,满足未来千兆线路的全线速转发。
2、强大的ACL功能:
ACL规则数:
>=5万3、支持RIP、OSPF、BGP、IS-IS等多种路由协议4、支持多种网络接口5、支持IPV63.1.6IP地址规划IP地址是网络互联的基础,合理的IP地址规划将大大方便网络的维护和管理。
IP地址规划的原则Ø唯一性:
保持整个网络中IP地址的唯一性Ø简单性:
尽量避免采用复杂的掩码方式Ø连续性:
为同一网络区域分配连续的网络地址,便于缩减路由表项,提高路由器的处理效率Ø可扩充性:
为一个网络区域分配的网络地址应该具有一定的容量,便于主机节点增加时仍然能够保持地址的连续性Ø可管理性:
地址的分配应该有层次性,某个局部的变动不影响网络的其他部分Ø地域性:
尽量考虑IP的地域特性,以便于统一管理和规划Ø全面性:
统一规划局域网和广域网IP地址,保证网络有效连通和管理IP地址规划策略对澄城卷烟厂信息化系统IP地址规划可以采用以下两种方式:
1.采用Internet网合法地址由于要实现与Internet的连接,对外发布信息;在DMZ区中的服务器建议采用合法的由电信服务商分配的地址。
2.本系统自行规划IP地址在内部网络中整体统一采用结构化地址规划和分配原则进行IP地址设计,可以大大提高网络的可管理性,同时通过NAT实现与外部网络地址的映射,对外部网络隐藏了被网的网络结构,提高了网络的安全性。
IP地址规划IP地址的规划应在遵循方便管理、易于扩展的原则下,统一规划、统一分配。
建议IP地址采用172.16.0.0-172.31.0.0网段IP地址,通过结构化划分方法对各级机构进行统一分配。
数据中心和各级单位和相关部门IP地址分配如下表:
省/市地址空间网段数据中心1个C172.16.1.0-172.16.1.255服务器区1个C172.16.2.0-172.16.2.255网络设备区1个C172.16.100.0-172.16.100.255一号楼8个C172.16.8.0-172.16.15.255二号楼8个C172.16.16.0-172.16.23.255三号楼8个C172.16.24.0-172.16.31.255四号楼8个C172.16.32.0-172.16.39.2553.1.7路由协议在设计大中型网络时,由于静态路由协议设置麻烦、对网络的变化适应性差,一般不予采用,而今作为路由设计的补充。
现在,常用的动态路由协议有以下四种:
1.RIPRIP是一种DistanceVector路由协议,有以下特点:
简单,广泛使用,技术成熟,信息源与目的地间限制在15个hops(或路由器)之内,超过15hops将认为不可及。
RIPv1不支持VLSM(VariableLengthSubnetMask),不可能有效地利用IP地址。
每30秒传送路由信息将耗费大量的带宽,在大型网络及低速链路中更明显。
路由收敛较慢,此算法将经历Hold-down(180S)的周期。
RIP在计算路径时,只考虑hopcount,不考虑网络链路的延迟和cost。
RIP网络适用于平面结构的网络。
RIP适用于中、小型网络。
一般网络的路由器数目少于20个。
2.OSPFOSPF是LinkState,层次化拓扑的路由协议。
有以下特点:
仅用于IP网络,无hopcount的限制,适于大型网络,支持VLSM,用hello通知其他路由器本路由器工作正常。
通过IPmulticast发送链路更新的信息,并且仅在路由发生变化是进行更新,由此优化路由器的资源和带宽。
路由收敛较快,在路径的选择中,metric主要考虑链路的延迟,支持相同cost的多条链路路由,较好地实现负载均衡。
cost=100,000,000/bandwidthinbps。
通过划分区域更好的规划网络,减少路由更新信息。
在网络设计中推荐每个AS区域中路由器少于50个。
3.IGRPIGRP是DistanceVector路由协议,由CISCO开发,用于大型IP及OSI网络,有以下特点:
不支持VLSM(VariableLengthSubnetMask),不可能有效地利用IP地址。
每90秒传送路由信息将耗费部分的带宽。
在路径的选择上采用组合的metrics包括:
延迟、带宽、可靠性、MTU和负载。
支持多条路径路由。
4.EIGRPEIGRP是intra-domain,先进的DistanceVector路由协议,由CISCO开发和支持:
结合了距离向量(DV)协议和连接状态(LS)协议的优点,采用了DUAL算法达到网络的快速收敛。
支持层次化和平面网络结构,支持VLSM网络地址分配,可在任意位边界对直接相连的网络进行路径叠合,只有在网络变化时EIGRP才发送路由表更新信息,而且只发给相关路由器,因此广域网带宽浪费很少,DUAL算法使其具有最好的收敛性。
采用五维参数来决定最佳路径:
带宽、时延、可靠性、线路负载和最大数据包尺寸。
EIGRP路由算法自动根据这五项参数值动态计算最优路径,随时更新。
它采用模块化软件支持IP、IPX和AT协议。
RIP由于性能和扩展性差而逐渐推出了历史的舞台。
EIGRP本身的设计定位是取代IGRP的,所以IGRP也逐渐淡出。
根据以上的比较,EIGRP和OSPF都比较适合大型网络,并且两者均有很多成功案例。
但EIGRP属于Cisco公司专有的路由协议,兼容性较差。
而OSPF的开放性和对备份线路的特别支持特性,适合作为中大规模网络。
故建议采用OSPF协议作为设计广域网的路由协议。
路由设计,在核心交换机上启用三层路由功能,实现各VLAN间的通信,同时在核心路由器上启用动态路由协议OSPF,支持变长子网掩码,在接入的工作站和服务器上配置缺省网关。
同时配合国家数据及主控中心、各省及控制中心启动OSPF动态路由协议,并做好相应的路由协议参数配置,从而实现全网统一的大的OSPF动态路由网络。
将区域数据中心的路由器划入OSPF的area0内,与之相连的下级节点的设备再分别划分为不同的OSPFarea,可以各级节点为单位,不同的级别节点划分不同的区域。
这将最大限度的利用OSPF的分区管理优势。
在IP地址的规划时已经考虑到路由汇聚,以便可以汇聚成一条路由信息向其他区域传送。
通过对OSPF的适当配置,可以对省内的路由信息进行汇总。
各省的核心路由器作为区域边界路由器ABR,可以把进入一个区域的各单位的多条路由减少到一条路由。
OSPF在路径的选择中,metric主要考虑链路的延迟。
如果不同的路径有相同cost,那么OSPF可以在这些不同的路径上实现负载均衡。
如果不同的路径的也cost不同,那么OSPF会有先启动cost值小(cost值越小,则链路的延迟越小)的那条路径,如果该路径失效,则OSPF会启动cost大的其他路径。
OSPF的这点功能可以被用来在主备线路或多条链路上实现负载均衡功能或主备线路之间自动切换功能。
为了保证网络上的工作站和服务器的最大可用性,在核心交换机上对不同的VLAN分别使用HSRP热备份路由协议,虚拟出一个缺省网关,在一台核心交换机失效时,仍可以保证工作站和服务器的正常运行。
在最大程度上保证了用户业务正常运行。
3.1.8VLAN系统规划我们会按照用户要求,对相应部门划分不同的VLAN,满足本区域内用户的接入。
实现不同VLAN的访问隔离,。
3.1.9下一步的扩展1、增加INP(或IPS)入侵检测系统,动态跟踪攻击。
2、外网INTERNET增加专用路由,简少核心防火墙工作量。
3、增加两套核心网络,一套专用内网,一套专用于外网,并增加安全网闸,使内外网完全隔离的同时又能相互访问。
4、有条件做到专网专机使用,完全从物理上隔离。
5、增加网络管理、接入认证、日志审计系统。
第四章华为网络、网络安全系统建设方案4.1网络及网络安全方案根据客户要求及其应用需求,鉴于澄城卷烟厂各部门的特殊安全性要求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用标准IP+MPLSVPN技术,保证网络的互联互通性,并提供各部门、应用系统网络间的逻辑隔离(VPN),保证互访的安全控制,同时通过QOS和基于MPLSVPN的流量工程(TE),保证关键业务在网络上传输的优先级。
对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离,我们设计采用VLAN技术实现网络横向业务部门的隔离和纵向应用系统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性,充分保护用户投资。
根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于“三网合一”概念的企业信息化综合业务平台。
全网分为核心层、汇聚层、接入层的部署思路,各部分描述如下:
4.1.1核心层设计作为全网数据和业务的核心,网络上所有业务的数据流都要经过核心交换机进行交换,因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。
我们采用的华为公司万兆核心路由交换机S7810,基于新一代核心交换机的设计理念,在本项目中具备如下特色:
S7810采用先进的全分布式体系结构设计,通过主控引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发,通过分布式高速业务接口板上内置的高性能ASIC和CPU与主控引擎上的CPU协同工作,实现ACL、流分类、QoS、组播等业务的全分布式处理;S7810支持灵活QinQ功能,可根据内层VLANtag灵活标记外层VLANtag