最新网络升级技术方案Word文档下载推荐.docx
《最新网络升级技术方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《最新网络升级技术方案Word文档下载推荐.docx(20页珍藏版)》请在冰点文库上搜索。
办公网建立应该遵循以下原则:
——简单易用性:
由于企业的人员组成复杂,员工素质差异较大,所以设计的方案必须简单,易于操作,使各种层次的员工都能逐步熟悉,在使用过程中再对各种功能进展完善。
——可扩展性:
由于企业受市场的影响较大,会出现经常性的人员调整和机构调整,因此办公网必须易于修改和扩大。
但这个功能必须由网络管理员根据单位授权来完成。
——能有效解决移动办公:
企业人员出差频繁,甚至一些部门常驻外地。
很多事情需要立即办理,办公网应该尽量保证每个人能够随时随地进展办公。
使用户可以通过互联网平安受控的进入办公网进展日常办公。
——友好的界面设置:
现在的技术能够很好地实现界面设置。
能通过图形管理软件对系统进展管理和设置。
——关于系统的平安性:
系统中必须采用鉴权技术,对使用者身份进展确认。
对用户进展分组,制定详尽的分组策略,做到那些资源允许那些组访问的明确,对超级用户比方领导的授权,对外来人员也就是我们常说的访客都要严格加于区别。
2.2网络设计
基于企业目前现状考虑,网络采用二层构造核心层、接入层,采用双核心交换机S75010E相互备份冗余、双网络主干链路冗余、效劳器群防护、网络地址重新规划、网络设备与用户智能管理的方式,实施高可用性、高可扩展性和高可靠性、易管理的网络平台。
2.3核心网络升级
核心网络升级包括部署华为-3特有的IRF智能弹性架构,结合网络三层分层体系〔核心层、会聚层、接入层〕,实现双核心交换机冗余、核心交换机主部件冗余、网络主干链路冗余、效劳器群防护、网络地址重新规划。
2.3.1网络核心层
建议使用2台H3CS7510E高性能交换机采用VRRP协议构成双核心冗余,H3CS7500E系列产品是**华三通信技术**〔以下简称H3C公司〕面向融合业务网络推出的新一代高端多业务路由交换机,该产品基于H3C自主知识产权的wareV5操作系统,融合了MPLS、IPv6、网络平安、无线、无源光网络等多种业务,提供不连续转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有本钱〔TCO〕。
H3CS7500E符合“限制电子设备有害物质标准〔RoHS〕〞,是绿色环保的路由交换机。
S7510E基于H3C公司自适应平安网络的技术理念,在提供稳定、可靠、平安的高性能L2/L3层交换效劳根底上,进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段,从而为企业IT系统构建面向业务的网络平台,实现通信整合,数据整合奠定了根底。
H3CS7500E系列交换机支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余,实现可靠的核心效劳;
2台位于网络中心的核心交换机通过千兆链路分别与位于新老厂区办公楼配线间的接入交换机H3CS3600连接,构成网络千兆光纤主干双冗余,以消除主干单链路故障,从物理链路级别上实现千兆主干链路的冗余互备。
2.3.2网络接入层设计
接入层将采用新增加的H3CS3600交换机,实现全面的接入控制,H3CS3600交换机与IMC组合实现接入认证,用户如果不进展认证,将无法接入网内受保护的资源,同时也无法实现网络资源共享以及数据传输。
2.4智能网络管理
H3C公司的IMC智能网络管理系统,采用组件化、模块化设计,随着业务、设备、用户的扩展,添加需要的组件,能很好适应集团对网络管理不断丰富需要。
iMC智能管理平台,是在统一了设备资源和用户资源管理的平台框架的根底上,实现的根底业务管理平台,包括iMC根本资源管理局部、iMC根底网络管理和iMC用户接入管理。
2.4.1IMC网络设备管理
iMC根底网络管理,涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等。
丰富、实用的网络视图,多样化的网络拓扑,智能的告警显示、过滤和关联,直观的状态监控,性能管理,用户管理与网络拓扑管理相融合
具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。
1)通过IP视图,用户可以观测网络的逻辑构造和物理构造。
2)设备视图,使得用户对网络中设备类型和数量一目了然。
3)自定义视图,使用户可以按照任何希望的方式构造客户化的网络拓扑。
并提供直观简便的预览功能,集中监控用户关心的重点设备和接口的状态。
多样化的网络拓扑
拓扑更加美观清晰,能够实时显示当前视图的拓扑状态。
通过在拓扑上浮动显示设备、链路的根本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进展监视,拓扑上提供了常用的Ping、telnet、TraceRT、翻开设备Web网管和管理/不管理设备等常用操作和相关,拓扑可以作为管理员管理网络的唯一入口。
1)提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备上的接入情况。
2〕用户可以根据实际组网情况,定义自己关注的网络拓扑。
3〕在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作,以满足不同业务的需求。
智能的告警显示、过滤和关联
2)提供丰富的声光告警,还可以针对不同的告警定义不同操作提示以及维护参考等;
3)汇总显示发生故障的设备,方便管理员日常维护工作展。
4)提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤,可以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。
5)在安装其他组件的情况下,还提供根本告警和业务告警的关联,
6)在根本告警发生后,系统进展关联分析,自动产生业务告警。
管理员即可根据根本告警从而迅速定位问题,缩短平均修复时间。
又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供数据根底。
直观的状态监控
与传统的网管告警和拓扑状态互相别离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。
性能管理
1)提供了对系统所管理的各种设备性能参数的公共监视功能,比方内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。
2)可对每一个性能指标设置二级阈值,发送不同级别的告警。
用户可以根据告警信息直接了解到设备*指标的性能情况,有助于用户随时了解网络的运行状态,预防网络故障,预测网络开展趋势,合理优化网络。
3)通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息,通过报表的导出和打印功能,管理员能够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供有利的支撑。
用户管理与网络拓扑管理相融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。
比方查看用户信息、强制用户下线、执行平安检查等。
使终端用户的管理更加直观清晰。
用户管理与网络设备管理相融合,用户管理操作更加简单
1〕接入设备列表中可以直接看到用户相关信息,在使得操作简单方便的根底上,又提高了操作员日常维护的效率:
2〕可针对选定的接入设备进展用户操作,比方,针对*个接入设备,将其所挂的用户全部下线处理等;
3〕可以在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比方,对应的根本信息、告警、性能状况等。
该功能使得操作更友好,全面提升操作员的操作体验;
2.4.2IMC用户接入管理
iMC根本接入管理,主要管理用户的接入准入和控制。
支持多种接入及认证方式,严格的权限控制手段,详尽的用户监控,集中方便的用户管理,为接入设备提供查询设备明细信息的,接入设备管理与拓扑管理的融合
Ÿ支持多种接入及认证方式,适合多种接入组网场景及应用场景:
1〕支持802.1*、无线接入等多种认证接入方式;
2〕支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的平安性,防止账号盗用和非法接入;
3〕支持与Windows域管理器、第三方系统〔必须支持LDAP协议〕的统一认证,防止用户记忆多个用户名和密码。
4〕支持端点准入防御〔EAD〕解决方案,确保所有接入网络的用户终端符合企业的平安策略。
Ÿ严格的权限控制手段,强化用户接入控制管理:
1〕用户权限控制策略,可以为不同用户定制不同网络访问权限;
2〕制止用户设置和使用代理效劳器,有效防止个别用户对网络资源的过度占用;
3〕可限制用户IP地址分配策略,防止IP地址盗用和冲突;
4〕可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网;
5〕可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露;
6〕可以限制用户必须使用专用平安客户端,并强制自动升级,确保认证客户端的平安性;
Ÿ详尽的用户监控,强化对终端用户的监视控制:
1〕接入业务组件提供强大的“黑〞管理,可以将恶意猜想密码的用户参加黑,并可按MAC、IP地址跟踪非法行为的来源;
2〕管理员可以实时监控在线用户,强制非法用户下线;
3〕支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断〞、“您的密码遭恶意试探,请注意保护密码平安〞等;
4〕iMC接入业务组件记录认证失败日志,便于方便定位用户无法认证通过的原因;
Ÿ集中方便的接入业务用户管理,简化管理员维护操作
1〕基于效劳的用户分类管理,用户的认证绑定策略、平安策略、访问权限均封装于效劳中,简化管理员的操作,保证网络管理模式的统一;
2〕接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用:
Ÿ为接入设备提供查询设备明细信息的,操作简便:
可以通过简单的鼠标点击即可看到接入设备的详细信息,比方,对应的根本信息、告警、性能状况等;
Ÿ接入设备管理与拓扑管理的融合,使得设备管理更简单,管理更方便:
1〕拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,并可以通过很简单的鼠标点击方式,将此接入设备设置为非接入设备。
2.4.3EAD端点准入控制
选择华为-3交换机完全支持802.1*协议,802.1*与认证效劳器IMC一起,防止非法用户和设备接入网络,防止不符合平安策略的用户对网络产生威胁,例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。
当用户的信息通过认证效劳器身份验证及网络准入控制,满足防病毒效劳器、补丁效劳的检查后,用户获得网络访问许可,根据分组访问权限,用户就可以访问指定的业务效劳器VPN通道、互连网等,通过EAD系统可以防范网络病毒传播,确保效劳器及企业数据平安。
1原理
EAD解决方案提供企业网络平安管理的平台,通过整合孤立的单点防御系统,加强对用户的集中管理,统一实施企业网络平安策略,提高网络终端的主动抵抗能力。
其根本原理图如下:
EAD根本原理
EAD系统由四局部组成,具体包括平安策略效劳器、平安客户端平台、平安联动设备和第三方效劳器。
平安策略效劳器是EAD方案中的管理与控制中心,是EAD解决方案的核心组成局部,实现用户管理、平安策略管理、平安状态评估、平安联动控制以及平安事件审计等功能。
目前华为3公司的CAMS产品实现了平安策略效劳器的功能,该系统在全面管理网络用户信息的根底上,支持多种网络认证方式,支持针对用户的平安策略设置,以标准协议与网络设备联动,实现对用户接入行为的控制,同时,该系统可详细记录用户上网信息和平安事件信息,审计用户上网行为和平安事件。
平安客户端平台是安装在用户终端系统上的软件,该平台可集成各种平安厂商的平安产品插件,对用户终端进展身份认证、平安状态评估以及实施网络平安策略。
平安联动设备是企业网络中平安策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络效劳的作用。
CAMS综合接入管理平台作为平安策略效劳器,提供标准的协议接口,支持同交换机、路由器等各类网络设备的平安联动。
第三方效劳器为病毒效劳器、补丁效劳器等第三方网络平安产品,通过平安策略的设置实施,第三方平安产品的功能集成至EAD解决方案中,实现平安产品功能的整合。
EAD原理图示意了应用EAD系统实现终端平安准入的流程:
用户终端试图接入网络时,首先通过平安客户端上传用户信息至平安策略效劳器进展用户身份认证,非法用户将被拒绝接入网络。
合法用户将被要求进展平安状态认证,由平安策略效劳器验证补丁版本、病毒库版本等信息是否合格,不合格用户将被平安联动设备隔离到隔离区进入隔离区的用户可以根据企业网络平安策略,通过第三方效劳器进展安装系统补丁、升级病毒库、检查终端系统信息等操作,直到接入终端符合企业网络平安策略。
平安状态合格的用户将实施由平安策略效劳器下发的平安设置,并由平安联动设备提供基于身份的网络效劳
2功能特点
完备的平安状态评估
用户终端的平安状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。
EAD通过对终端平安状态进展评估,使得只有符合企业平安标准的终端才能正常访问网络
实时的“危险〞用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合管理员设定的企业平安策略,将被限制访问权限,只能访问病毒效劳器、补丁效劳器等用于系统修复的网络资源。
基于角色的网络效劳
在用户终端在通过病毒、补丁等平安信息检查后,EAD可基于终端用户的角色,向平安客户端下发系统配置的平安策略,按照用户角色权限标准用户的网络使用行为。
终端用户的ACL访问策略、QoS策略、是否制止使用代理、是否制止使用双网卡等平安措施设置均可由管理员统一管理,并实时应用实施。
可扩展的、开放的平安解决方案
EAD是一个可扩展的平安解决方案,对现有网络设备和组网方式改造较小。
在现有企业网中,只需对网络设备和三方软件进展简单升级,即可实现接入控制和防病毒的联动,到达端点准入控制的目的,有效保护用户的网络投资。
EAD也是一个开放的解决方案。
EAD系统中,平安策略效劳器同设备的交互、同第三方效劳器的交互都基于开放的、标准的协议实现。
在防病毒方面,目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。
灵活、方便的部署与维护
EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同身份的用户,定制不同的平安检查和隔离级别。
EAD可以部署为监控模式〔只记录不合格的用户终端,不进展修复提醒〕、提醒模式〔只做修复提醒,不进展网络隔离〕和隔离模式,以适应用户对平安准入控制的不同要求。
3EAD应用场景
EAD是一种通用接入平安解决方案,具有很强的灵活性和适应性,可以配合交换机、路由器、VPN网关等网络设备,实现对局域网接入、无线接入、VPN接入、关键区域访问等多种组网方式的平安防护。
可以为多种应用场合提供平安保护,具体包括:
局域网平安防护
在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的平安策略,阻止来自企业内部的平安威胁。
无线接入网络的平安防护
WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易感染病毒和木马或出现长期不更新系统补丁的现象,给网络带来平安隐患。
与局域网接入防护类似,对于这种无线接入的用户,EAD也可以在交换机配合下,通过实现用户接入终端的平安控制,实现用户网络的平安保护。
VPN接入网络的平安防护
一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。
EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的平安状态,并在用户认证通过后实施企业平安策略。
对于没有安装EAD平安客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
企业关键数据保护
对于接入网络的用户终端,其访问权限受EAD下发的平安策略控制,其对企业关键数据效劳器的访问也因此受控。
同时由于可访问该数据效劳器的用户均通过EAD的平安状态检查,防止数据遭受非法访问和攻击。
网络入口平安防护
大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。
这种组网方式在开放型的商业企业中比拟普遍,受到的平安威胁也更严重。
为了确保接入企业内部网的用户具有合法身份且符合企业平安标准,可以在企业入口路由器中实施EAD准入认证。
4结论
EAD提供了一个全新的平安防御体系,该系统作为网络平安管理的平台,将防病毒功能、自动升级系统补丁等第三方软件提供的网络平安功能、网络设备接入控制功能、用户接入行为管理功能相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。
在EAD平台的根底上,可轻松构建让企业管理者、网络用户和网络管理员均放心的平安网络。
通过对网络接入终端的检查、隔离、修复、管理和监控,有效管理网络平安,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,让网络拥有“自动免疫〞的平安机能。
2.5.7VLAN分组设计
VLAN,是英文VirtualLocalAreaNetwork的缩写,中文名为"
虚拟局域网"
,VLAN是一种将局域网〔LAN〕设备从逻辑上划分〔注意,不是从物理上划分〕成一个个网段〔或者说是更小的局域网LAN〕,从而实现虚拟工作组〔单元〕的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。
不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN的好处主要有三个:
(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。
这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的平安。
不同VLAN不能直接通信,杜绝了播送信息的不平安性。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的播送域,每一个VLAN都包含一组有着一样需求的计算机工作站,与物理上形成的LAN有着一样的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。
由VLAN的特点可知,一个VLAN内部的播送和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的平安性。
VLAN除了能将网络划分为多个播送域,从而有效地控制播送风暴的发生,以及使网络的拓扑构造变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN在交换机上的实现方法,可以大致划分为六类:
1.基于端口的VLAN
这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。
这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC〔永久虚电路〕端口分成假设干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过三层交换机转发,并配合基于MAC地址的端口过滤。
对*站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。
这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。
适合于任何大小的网络。
它的缺点是如果*用户离开了原来的端口,到了一个新的交换机的*个端口,必须重新定义。
2.基于MAC地址的VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLANMAC的地址。
这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保存其所属VLAN的成员身份。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。
这种方法的缺点是初始化时,所有的用户都必须进展配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
3.基于网络层协议的VLAN
VLAN按网络层协议来划分,可分为IP、IP*、DEet、AppleTalk、Banyan等VLAN网络。
这种按网络层协议来组成的VLAN,可使播送域跨越多个VLAN交换机。
这对于希望针对具体应用和效劳来组织用户的网络管理员来说是非常具有吸引力的。
而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保存不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
4.根据IP组播的VLAN
IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。
这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器
升级会员 