厂区网络设计方案Word文档下载推荐.docx
《厂区网络设计方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《厂区网络设计方案Word文档下载推荐.docx(21页珍藏版)》请在冰点文库上搜索。
2:
由于需要接入Internet,需要考虑上网的高安全性;
3:
在网络边界,需要考虑网络病毒及攻击的防范。
1.2建设目标
通过对大楼办公网络需求进行分析,在以下几个方面需要特别关注:
1、可靠性。
办公网络是一个承载日常业务的重要平台,随着各种业务办公的自动化程度越来越高,对网络平台的依赖性也越来越强,因此,首先需要构建一个具有高度可靠性的网络,可靠性主要体现在业务系统、服务器存储系统和网络系统的稳定性上,针对网络系统的稳定性有堆叠技术做支撑;
2、高性能
目前,随着全球信息时代的到来,越来越多的业务都可以承载到IP网络平台之上,网络平台的容量也在急剧上升,而所有容量的80%来自于局域网,因此,局域网的高性能,成为提高工作效率的关键。
此次,西安泵阀总厂的网络建设需要充分考虑的网络的高性能目标。
3、安全性。
现在病毒、黒客和终端用户是造成整网安全的隐患,尤其是终端用户的安全管理长期以来没有一个很好的解决方案,这次设计专业网络行为管理设备来对用户的网络接入安全进行细致安全合理的优化。
4、高带宽。
网络是一个庞大而且复杂的网络,为了保障全网的高速转发,网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
5、可增值性。
网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
6、可扩充性。
考虑到用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
7、可开放性。
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;
开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
8、安全可靠性。
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
第2章组网方案规划设计
2.1建设原则
总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。
1、实用性原则:
以现行需求为基础,充分考虑发展的需要来确定规模。
2、冗余性原则:
特别注重网络硬件系统自身在突发事件时的可用性,以冗余备份的设计方式加以保障。
3、安全性原则:
系统应能提供较高的安全手段,防止系统外部成员的非法侵入以及操作人员的越级操作。
安全性是信息化建设的基础保障。
出于安全及保密因素,现在信息化建设工程对安全性有很高的要求。
设计的过程中必须依据国家各种有关安全法规政策,对硬件支撑平台的访问控制、在线监视、信息加密等方面进行完善考虑,在网络建构上根据功能划分相应的区域,使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段,同时采用虚拟网划分及目前较流行的VPN及安全认证等技术,防止非法用户、非法信息及病毒的入侵和泄密事件的发生。
同时还要在企业内部建立健全各种相关安全管理制度,确保全网的安全。
4、先进性原则:
系统要采用国际上先进的前沿技术,满足今后一段时期的需要。
5、易维护原则:
系统要易于管理、易于维护。
网络需要很高的可管理性,特别是在数据、视频等多业务的网络系统里,要使用可管理的网络设备,可以识别关键资源,根据流量状况以及网络性能配置阈值并为不同的应用提供不同的带宽,使所有的服务能够顺利完成。
随着系统的投入运行和系统资源的不断增加,网络系统应具有很好的易维护性,使管理人员易于维护,减少不必要的额外劳动,提高工作效率。
6、易扩展原则:
提供开放性好、标准化程度高的技术和设备,便于功能扩展。
考虑到业务日益增长的长远需求,提供网络的可扩充性。
用户的数量、需求和应用在不断变化,技术也不断发展,随着网络技术的不断发展,网络应用规模在不断扩大。
因此,在网络结构上要实现真正开放,基于国际开放式标准,设计过程中应当保证在用户业务量和业务类型的变化增长的情况下,硬件支撑平台能够方便的升级并扩展,网络可以自如地扩充容量,支持更多的用户及应用。
网络平台设计时必须按照各种国际通用标准进行,以保证各种设备、网络的兼容通用。
开放的网络使用户可以自由地选择不同厂家的产品,将来网络在实现扩容、升级时不会受到某些厂家专有标准的限制。
网络结构与网络技术的选择,要具有相当的前瞻性,以确保随着网络技术的不断发展,网络能够平滑地过渡到更先进的技术和设备,充分保障用户现有的投资和利益。
网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。
2.2层次化设计
在园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。
典型的园区网络结构可以分成二层:
接入层、汇聚层。
1)接入层:
提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。
对于园区网的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
2)汇聚层:
汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;
对于园区网的汇聚层设备,应该能够承载园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线、无源光网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,能够承载园区融合业务的需求。
2.3高可靠性
厂区外网高可靠网络设计方案
对于厂区外网网络,接入端口数量不多、但可靠性要求较高;
对交换容量、带宽要求较高。
我们推荐高速、无阻塞交换千兆两层扁平组网模型。
为用户提供千兆接入、支持语音和POE、网络可以运行OSPF协议,两层扁平网络结构,易于配置和管理,并能适应用户未来几年网络应用的需要,提供预留容量。
两层简化扁平网络结构,汇聚、核心合为一层,减少了网络设备数量,易于配置和管理,为用户提供千兆桌面接入、支持语音和POE功能。
接入、核心层设备都为机架式,可用多种不同端口类型的单板组合,使用灵活、可扩充性强,节省网络投资。
整网带宽较高、稳定可靠、可满足多种业务的无阻塞交换。
2.4网络总体规划
网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。
网络设计主要包含高品质IP核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、自适应无线网、IPv4/v6地址与路由模块、组播与QoS优化模块等主要部分。
新厂区网络均以网线为媒介由办公楼1楼机房向厂区各个车间铺设,办公楼主要以网线铺设,在会议室等场所配备无线AP设备,所有网线均从各个机房内铺设。
本建网方案为扁平化结构设计,分为核心和接入两层架构设计。
1、核心采用1台核心三层千兆路由交换机。
保证有足够的数据转发能力
2、接入采用千兆二层可智能网管交换机,以千兆双归属到核心。
外网结构如下图所示:
本次方案设计采用二层扁平化方式组网,进一步提高核心网络的可靠性、以及高性能。
星形化结构的优势有以下几点:
Ø
层次结构清晰,能够将网络进行充分的规划。
星形化组网使网络复杂度降低,网络稳定性提升,网络维护难度降低。
采用星形化结构还具有高扩展性的特点,在今后网络规模扩大时只需要增加相应的接入设备,原有的网络配置可以最大限度得到保留,实现平滑网络扩容。
较高的网络带宽可以充分满足多种业务无阻塞交换
网络管理者不必再为每种业务配置不同的服务质量策略,简化了设备的配置与维护工作。
第3章安全管理安全渗透网络设计
在规划网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
●体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
●全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
●可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对XX大学原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
●可动态演进的原则
方案应该针对泵阀厂制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
3.1网络完全实际办法
网络安全问题的解决,三分靠技术,七分靠管理,严格管理是企业、机构及用户免受网络安全问题威胁的重要措施。
事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全。
网络用户不及时升级系统补丁、升级病毒库的现象普遍存在;
随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比比皆是。
管理的欠缺不仅会直接影响用户网络的正常运行,还可能使企业蒙受巨大的商业损失。
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,北京网康公司的ICG上网行为管理设备可以简单易用的完成各种网络审计,应用控制,流量限速等策略。
并可以做到以下几点
1、检查:
●检查网络接入用户的身份;
●检查网络接入用户的访问权限;
●检查网络接入用户终端的安全状态;
2、隔离
●隔离非法用户终端和越权访问;
●隔离存在重大安全问题或安全隐患的用户终端;
3、修复
●帮助存在安全问题或安全隐患的用户终端进行安全修复,以便能够正常使用网络;
4、监控
●实时监控在线用户的终端安全状态,及时获取终端安全信息;
●对非法用户、越权访问和存在安全问题的网络终端进行定位统计,为网络安全管理提供依据;
通过制定新的安全策略,持续保障网络的安全。
3.2核心交换机强大内置安全特性
逐包转发机制防止病毒冲击
S5500路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有着更本的差异。
流转发主要存在下面两个问题:
(1)、在网络拓扑频繁变化时,设备的适应性差,转发性能下降严重;
(2)存在一定安全隐患问题,尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。
流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在CACHE里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接转发到目的端口去。
如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。
但是如果应用的情况为路由表项经常出现变更的情况,就会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通过CPU软件进行路由查找,查表和转发速度就会急剧下降。
这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。
也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发,对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致三层交换机CPU不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报文,从而最终导致三层交换机CPU在转发过程中瘫机,同时这台交换机下挂的三层交换机同样接收到大量病毒报文,基于上述原因其CPU转发引擎也将瘫机。
与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。
对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发,进行的是最大匹配方式路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭受“红色代码”病毒攻击时没有任何问题。
3.3基层网络安全
1、端口+IP+MAC地址的绑定:
用户上网的安全性非常重要,H3CE100系列可以做到,端口+IP+MAC地址的绑定关系,H3CE100系列交换机可以支持基于MAC地址的802.1X认证,整机最多支持1K个下挂用户的认证。
MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。
如:
每个用户分配一个端口,并与该用户主机的MAC、IP、VLAN等进行绑定,当用户通过802.1X客户端认证通过以后用户便可以实现MAC地址+端口+IP+用户ID的绑定,这种方式具有很强的安全特性:
防D.O.S的攻击,防止用户的MAC地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
考虑到大学用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,H3C公司E100系列交换机配合H3C公司的802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),E100系列交换机将会下发指令将该用户直接踢下线。
2、MAC地址盗用的防止
在网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上提供防止MAC地址盗用的功能,用户在更改MAC地址后,E100系列交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由E100系列交换机来实现的。
3、防止对DHCP服务器的攻击
使用DHCPServer动态分配IP地址会存在两个问题:
一是DHCPServer假冒,用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突;
二是用户DHCPSmurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
H3CE100系列交换机可以支持多种禁止私设DHCPServer的方法。
PrivateVLAN
解决这个问题的方法之一是在桌面交换机上启用PrivateVLAN的功能。
但在很多环境中这个功能的使用存在局限,或者不会为了私设DHCP服务器的缘故去改造网络。
访问控制列表
对于有三层功能的交换机,可以用访问列表来实现。
4、防止ARP的攻击
随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。
由于网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。
因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。
ARP攻击包括中间人攻击(ManInTheMiddle)和仿冒网关两种类型:
中间人攻击:
按照ARP协议的原理,为了减少网络上过多的ARP数据通信,一个主机,即使收到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了“ARP欺骗”的可能。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP应答包,让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。
黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。
在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。
此攻击导致用户无法正常和网关通信。
而攻击者可以凭借此攻击而独占上行带宽。
在DHCP的网络环境中,使能DHCPSnooping功能,E100交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。
E100交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。
使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;
如果端口接收的ARP报文的源IP或源MAC不在DHCPSnooping动态表项或DHCPSnooping静态表项中,则ARP报文被丢弃。
这样就有效的防止了非法用户的ARP攻击。
5、组合丰富的VLAN功能进行业务隔离
大部分网络设备都可以提供对VLAN功能的完善的支持,通过VLAN的划分,可以区分不同的业务,灵活的根据端口、MAC等进行VLAN的划分,实现对各种业务的有效的隔离。
同时,通过各种特性VLAN的部署,可以更加灵活的实现网络流量和业务的隔离,比如,通过PVLAN技术,可以实现同一个VLAN内部服务器之间相互访问的隔离;
通过动态VLAN的部署,可以实现用户在任何位置接入网络都能被隔离到自己所属的VLAN中。
6、配置防火墙和IPS进行网络区域的隔离
防火墙是网络层的核心防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;
对常见的网络攻击方式,如拒绝服务攻击(pingofdeath,land,synflooding,pingflooding,teardrop,…)、端口扫描(portscanning)、IP欺骗(ipspoofing)、IP盗用等进行有效防护;
并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
3.4配置全面的网络防病毒系统
网络环境下的防病毒必须层层设防,逐层把关,堵住病毒传播的各种可能途径,为XX大学网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系,网络防病毒体系主要包括:
网关防病毒:
Internet是现在病毒传播的一个最主要的路径,访问Internet网站可能会感染蠕虫病毒,从Internet下载软件和数据可能会同时把病毒、黑客程序都带进来,对外开放的WEB服务器也可能在接受来自Internet的访问时被感染上病毒。
因此需要在公司与Internet接口处重点防范病毒的传播。
邮件防病毒:
邮件附件是当前网络病毒传播的一个重要途径,因此要在邮件服务器上配置邮件防病毒软件,检查所有从邮件服务器发送和接收的邮件,特别是其邮件附件。
另一方面,防范邮件病毒传播要加强对用户的安全教育,对于所有来源不明的邮件不要轻易打开,特别是其附带的邮件附件。
在打开邮件之前,最好打电话与发件人确认,因为很多邮件病毒是自动从通讯录中查找收件人的。
发送邮件时,最好不要使用复杂的格式,可以直接使用纯文本格式,这样邮件带病毒传播的机会就很小了。
服务器防病毒:
对重要的服务器,配置服务器防病毒软件,包含了大量复杂的应用系统,需要大量的不同平台的服务器,我们建议对这些服务器分别安装防病毒系统,加强这些重点服务器的病毒防范能力。
主机防病毒:
网络中的主要用户使很多主机终端,因此必须为所有的单机,特别是一些处理关键业务的用户机配置主机防病毒软件。
集中控管能力:
防病毒需要具有集中控管能力,对所有的防病毒产品模块提供一个集中的管理机制,监控各个防毒产品的防杀状态,病毒码及杀毒引擎的更新升级等,并在各个防毒产品上收集病毒防护情况的日志,并进行分析报告。
●设备选型建议:
♦我们建议选择赛门铁克或者卡巴的网络防病毒解决方案;
采取用户端点准入防御解决方案
根据我们在前面进行的安全需求分析,我们认为较为完备的网络系统端点安全解决方案应该满足以下要求:
1、实现基于用户身份的网络接入控制,保证网络安全。
在网络层实现用户接入控制,只有授权的用户,才能接入网络,有效阻断非法接入网络的用户,保证网络用户身份的合法性。
2、统一实现基于用户身份的应用服务器接入控制,保证应用服务器安全。
具体来说,就是对公司网络系统的用户,由统一的访问控制管理系统来管理访问权限,而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。
3、实现服务器系统安全、用户主机系统安全的强制管理,提供有效的技术手段,解决应用服务器、用户主机补丁管理、病毒管理问题。
对于未安装系统补丁,未安装防病毒软件或病毒库版本不合格的终端,严禁接入网络;
实现系统补丁的自动安装、病毒库的自动升级,保证网络的清洁。
4、实现网络接入用户的动态隔离能力。
在用户访问网络的过程中,一旦发现用户处于不安全的状态,可迅速隔离用户终端,保护整个网络不受安全威胁。
第4章设备选型
网络设备
4.1核心交换机
本次方案推荐采用H3CS5500高性能路由交换机。
产品概述
H3CS5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品,具备丰富的业务特性,提供IPv6转发功能以及最多4个10GE扩展接口。
通过H3C特有的集群管理功能,用户能够简化对网络的管理。
S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入,同时还可以用于数据中心服务器群的连接。
H3CS5500-SI系列以太网交换机目前包含如下型号:
S5500-28C-SI:
24个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
S5500-52C-SI:
48个10/100/1000Base-T以太网端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
S5500-28C-PWR-SI:
24个10/100/1000Base-T以太网PoE端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
S5500-52C-PWR-SI:
48个10/100/1000Base-T以太网PoE端口,4个复用的SFP千兆端口(Combo),两个扩展槽位;
S5500-20TP-SI:
12个SFP千兆端口,8个10/100/1000Base-T以太网端口。
4.2接入交换机
本次方案选用H
升级会员 