农发行网络建设方案.docx
《农发行网络建设方案.docx》由会员分享,可在线阅读,更多相关《农发行网络建设方案.docx(43页珍藏版)》请在冰点文库上搜索。
农发行网络建设方案
新疆农业发展银行网络建设设计方案
思科系统(中国)网络技术有限责任公司
2006-12
第一章、网络发展趋势、需求分析及设计原则
随着Internet技术的不断更新,电子商务技术越来越成熟。
电子商务技术改变了传统的企业经营方式,极大的方便了企业的客户,特别是对大的企业,政府行业,商业企业,金融行业电子商务更为重要。
目前世界上已经有不少利用电子商务取得成功的企业的例子。
1.1网络的发展趋势
电子商务是基于Web的交互式应用,需要网络具有内容意识。
并且该网络必须高度可用,因为故障停机直接导致丢失客户,损失收入。
该网络必须提供最高水平的服务,增强客户满意度和竞争区别。
而且,它还必须能使企业具备敏捷性、能够迅速部署新电子商务应用。
我们认为众多企业将发展成“技术公司”。
过去,很多企业的技术集中在事务处理自动化上。
但是,为了跟上Internet经济的脚步,很多竞争者需要建立与其客户的全面电子连接。
IT预算在未来的两到三年内将增加两倍,原因是更多的企业开始不仅将技术视为成本中心,还视为战略性可持续竞争优势的源泉。
通过基于Web的人力优化开发,企业每年能以7-25%(非利息开支)的速度提高生产率。
这样可以节省出足够的资金用于所需技术和网络基础设施。
最基本的一点是,提高公司利用新兴技术的能力与管理影响其业务的其它因素一样重要,企业还必须帮助客户减少人力密集型的处理事务。
Internet正在改变传统企业的业务模式以及客户、伙伴和供应商在市场中的运作方式。
成功的机构将企业网视为获得竞争优势的必要战略资源。
这一趋势的主要推动力是公司希望通过利用机构协作改进业务。
部署企业网在战略方面均有重要意义。
我们可以看到网络技术的发展趋势:
✓IP协议成为主导的网络通信协议
✓数据网络、话音网络、视频网络三网合一;
✓Internet/Intranet应用成为主流;
✓网络安全成为用户建网必须考虑的重要因素
✓网络发展成为能识别应用的网络技术,也就是智能网络;
✓光纤互联网成为网络热点等等。
✓网络接入技术主要采用:
以太网、SDH、DDN专线、ATM等。
1.2局域网建设的需求分析
网络是业务数据传输的公共通道。
根据业务性质不同,各项业务可以有自己的处理系统,也可由若干项业务组合成一个处理系统,但各系统的数据最终通过中心局域网进行传输。
在局域网网络方案设计中,根据企业目前和将来应用情况,中心局域网的建设将成为高带宽的、端到端的,以IP协议为基础的整和数据、语音和图象的多业务网络,同时将来可以建立统一的安全策略、QoS策略、流量管理策略和系统管理策略,新建立的网络应该成为未来3-5年内符合行业业务发展和网络技术发展的优秀平台。
客户网络通常存在的问题:
✓从网络的结构与管理角度:
很多企业的数据网络结构是一个基于不同业务应用的分离网络体系结构,其缺陷是不利于网络的扩展,难以实现统一的网络管理。
✓从网络的先进性角度:
大多数企业目前采用的网络属于传统企业网-数据网络的概念。
随着采用TCP/IP协议的语音、视频多媒体应用的发展成熟,数据网络与传统的话音、视频网络已经相互融合,网络发展的方向是建立先进的以统一IP为基础协议,实现语音、视频等多服务集成功能。
企业采用基于IP协议的语音、视频技术,比采用任何专用的语音、视频技术更节约资金,更容易进行实施,同时也更开放,具有最灵活的兼容性。
实施IP语音、呼叫中心、视频应用可以有效的节约企业内部通讯的费用,控制话费的增长,降低企业运营成本,提高企业利润,竞争能力。
✓从网络的安全性角度:
企业局域网中应该有层次清楚的安全防范体系,有统一的安全管理策略。
1.3局域网建设的设计原则
从业务的具体需求以及降低网络运行费用目的出发,企业数据通信网络网应以IP协议为基础,可以整合数据、语音和图象(H.323协议)多媒体应用,并且可以为不同的应用创造一个开放的统一的一体化网络平台。
✓建立一个端到端的,以IP为基础的统一的一体化网络平台,支持多协议,多业务,安全策略,流量管理,服务质量管理,资源管理。
✓局域网的建设要满足全网统一管理、局部管理的要求。
✓各级网络设备要以IP协议为基础的各类业务数据为主,同时满足OA业务数据的要求。
✓数据网络平台上可以增加网络的多业务功能,节省网络的运营成本。
✓支持高智能化的自动呼叫路由功能的客户服务中心的要求,能实现今后可能的集中式和分布式客户服务中心的各种远程呼叫、转移等功能。
✓支持IP数据网络平台上整合视频功能,同时应该支持全网的基于H.323的电视会议和远程教育应用,提高员工的工作效率和素质,降低业务的运行成本。
✓应提供完整的网络安全解决方案,即动态和静态的网络安全防范、通信加密、与互联网连接和中间业务系统连接的安全防范功能、入侵检测报警,实施统一的安全策略。
✓考虑到某些业务对实时性的严格要求,在实施网络带宽管理和质量服务上,优先保证实时业务带宽占用和优先级别。
对语音及视频应用,网络可以提供带宽、延时、抖动的品质服务。
✓各级网络中心的设备选择,主要依据现有业务数据量和现有管理信息业务及OA业务数据量,同时考虑业务在几年内增长导致的网络规模能力的扩充。
第二章、网络建设技术方案
下面我们将详细阐述本次新疆农业发展银行网络建设方案与实施。
这种构架是一种被证实的,基于标准的层次化设计,采用了易于复制的模块化的方法。
此种设计提供了一个具有高性能、可预测性和最大可用性的安全的网络,而且未来可以方便的进行网络升级使用新业务和基于本次网络建设的IP电话应用或者无线应用。
2.1组网分析
本次网络建设主要分为两级架构其中包括接入层和核心层。
接入层,它负责将用户连接到网络的其他部分。
因为这是进入网络的第一个接入点,是对合法用户和设备实行认证的理想地点(如防止恶意WLAN接入点等)。
同样的,接入层也是对用户流量进行分类和实现端到端QoS控制的逻辑点,接入层必须支持一些分布层的关键特性,从而实现设备和网络的永续性(例如双连接主机和第一跳路由器冗余)在这里我们选用了Catalyst3560三层交换机设备与银行原有的Catalyst3550,Catalyst3750交换机共同使用。
网络核心层,网络的心脏是该网络的核心层。
该局域网核心层可将所有数据中心和WAN汇聚(各地州分行站点之间)全都连接起来。
这里的核心层包括两台相同的Catalyst3750交换机,Catalyst3750配置有高性能的处理引擎,分别双连接到以千兆连接线路所服务的接入层交换机和关键业务服务器上面。
在核心层中采用双交换机的目的,是可以提供尽可能最好的系统级冗余性,从维护和运行的角度说,冗余拓扑结构可实现绝好的收敛性和可用性,因此我们在本次方案设计中采用了双交换机配置。
在下面,我们将按照新疆农业发展银行网络情况做具体的组网方案介绍。
2.2组网方案
局域网拓朴结构图如下:
新疆农业发展银行用户的局域网作为整个企业网络的核心,担负着本地用户和服务器之间、远程互连设备和服务器之间高速通讯枢纽的重任,全网范围的OA应用,生产、支付等业务数据都需通过其进行交换,必须提供高速的传输性能和高可靠的容错支持,我们在这一层采用了Catalyst3750交换机,以提供更高水平的设备冗余。
结合可靠的网络设计,这些Catalyst3750的特性可以帮助用户防止由于网络故障而造成重要业务失去网络连接。
新疆农发行网络设计要充分考虑到安全性和可扩展性。
在如下的方案设计中,以双中心核心交换机,双主干交换机连接,并且从安全性来考虑,以分区的方式来设计,便于以后安全设备的连接和网络控制。
2.2.1网络设计思路
网络的数据中心部分将被称为“服务器群集”,因为它的作用是将很多服务器汇聚起来。
它也是我们提供很多增值服务来增强服务器集群永续性、实现多个服务器负载均衡,提供先进的存储网络解决方案的地方。
我们相信,只有思科能够提供如此广泛的解决方案、网络设计和专业支持来实现成功的服务器集群网络。
关于分支机构的WAN的连接,我们的解决方案提供了针对未来WAN发展方向和服务的更大灵活性。
为了实现真正端到端兼容的特性和功能,很多电信运营商的基础设施完全建立的思科的产品和技术之上。
所以您可以从端到端思科产品中获益,包括你的广域网服务供应商。
此方案的设计中,中心机房分为两个区域,即服务器区域和楼层接入区域,由高性能的交换机来做核心交换设备。
核心交换机是其他几个区域互相通讯的交换核心,也是楼层交换机的汇聚,因此必须具备高性能,中心交换机所有端口必须是千兆端口,而且至少能够支持4个以上千兆接口,以方便今后升级。
核心交换机是网络的心脏,一旦瘫痪后果不堪设想。
目前网络病毒流行,蠕虫病毒常常使核心交换机瘫痪。
因此核心交换机Catalyst3750具有很强的抗风暴功能,能够对CPU进行限速和控制层面的策略管理,保证风暴不会占用100%CPU带宽,从而防止宕机,管理者和控制台还能够对网络设备进行管理,清除病毒影响。
网络管理和故障分析经常需要用到端口监听和协议分析,对于管理员来讲,需要在任何地方都能够实施对网络的监听和监控,因此,核心交换机Catalyst3750和楼层交换机Catalyst3560支持端口镜像功能和远程端口镜像功能,保证管理员能够方便地对端口进行监听分析。
为进一步提高网络的安全性和管理性,核心交换机能够支持网络分析功能,能够记录下所有数据报,在出现网络安全问题时,能够重现问题现场,准确定位攻击源,定位问题影响范围。
Catalyst3750可以快速定位IP地址冲突位置,能有效防止或减少IP地址冲突,确保服务器IP段的IP地址不会冲突;
提供可靠、有效的网络管理软件,可以监控、管理已有的LAN、WAN设备,可以快速进行设备故障定位。
提供安全高效的内网安全保护,部署高性能的安全隔离系统,实现内部不同VLAN之间的隔离保护;可扩展配置高性能的入侵检测系统,监控网络入侵,利用和安全隔离系统的联动,避免网络入侵可能带来的损失。
2.2.2核心交换机考虑
基于以上的设计思路,以及新疆农发行网络用户在网络新挑战下的实际需求,核心交换机中应该可以支持交换机的流量分析,并且可以进行抓包分析,方便进行故障重现,同时也容易判断网络病毒的感染源。
在这里,我们建议使用Catalyst3750企业核心交换机,我们设计的是一个Catalyst3750三层交换平台,它可以提供高速访问控制列表(ACL)和服务质量(QoS)。
在这里,我们建设了一个两级的扁平化网络,这能够帮助我们节省一些成本,因为所需设备更少,同时降低整个网络的复杂度。
当然还需要一些前提条件,比如光纤设施,所提供的光纤要足以实现核心层与分布层合并为一层。
各楼层终端设备通过楼层交换机千兆光纤或电口分别上联到两台核心交换机,交换机要具备背板堆叠功能,能够提供高的背板带宽和安全特性,端口地址绑定和端口流量控制功能,具有自动屏蔽广播风暴的功能防止风暴的蔓延。
支持QOS的分类,标记和策略转发,以适应今后多更多应用的需求。
根据以上的网络需求,我们再次强调,中心局域网络作为整个农发行网络的核心,担负着本地用户和主机和各种服务器之间、远程互连设备和服务器之间高速通讯枢纽的重任,全网范围的业务数据、监控数据和OA应用的数据都需通过其进行交换,必须提供高速的传输性能和高可靠的容错支持。
作为生产系统的核心交换机,Catalyst3750具备丰富的容错功能,支持容错时钟系统、三级背板容错、容错负载均衡的风扇系统以及容错的千兆位连接。
两台Catalyst3750之间采用Cisco尖端的GigbitChannel技术,直接利用扩展插槽上的千兆位端口通过两条负载均衡的千兆链路互连,每台Catalyst3750上标配24个千兆位电口交换模块,用以连接各楼层交换机和千兆连接的Server。
如要提高网络可靠性,尽可能减少单点故障,服务器、路由器和网络之间可以采用双网连接。
Catalyst3750支持动态VLAN技术和强大的VLAN间防火墙功能,特别适合大企业网络多业务环境下严格的安全要求,同时Catalyst3750也支持各类千兆以太网模块。
Catalyst3750还可提供丰富的三层交换能力,并且可以支持IP电话,完全能满足作为数据中心核心交换机的能力以及对IP电话、视频等新业务的支持。
内置Cisco先进的Netflow技术同时提供跨VLAN之间数据的高速、安全交换。
Catalyst3750内部丰富的QOS功能可以保障不同应用所需的网络性能。
本次设计中,主路由器Router3725通过原有防火墙设备接入Catalyst3750,达到任何一台交换机出现故障,都不会影响网络的正常运行。
核心层交换机Catalyst3750位于数据中心,我们要求它能对各分布层交换机VLAN具有极强的控制能力,在此,我们利用了Cisco的VTP(VLANTrunkProtocol,VLAN中继协议)技术。
利用Cisco的VTP技术,我们将全网所有的交换机设置在一个VLAN的管理域(Domain),将核心层交换机Catalyst3750设置为VTP服务器(Server),各楼分布层交换机设置为VTP客户机(Client),当系统运行后,我们只需在数据中心的核心交换机Catalyst3750设置相应的VLAN控制信息(例如VLAN标识符,各VLAN的安全级别和控制权限等),通过VTP的同步功能,系统会自动将上述VLAN控制信息转发到同一个VLAN管理域的各客户机上,使各分布层交换机不用手工设置相应的VLAN信息即可从服务器上得到正确和统一的信息,当核心层交换机VLAN信息发生改变时,系统会自动与全网同步。
而各楼层交换机则不能自行设置相应的VLAN信息,保障了全网VLAN控制的同步和统一。
通过VTP的设置,使我们在核心交换机的VLAN控制上,获得如下的优势:
减少系统管理员的工作量、提高VLAN的安全性、便于VLAN的修改和移动、便于全网VLAN信息的同步等。
2.2.3楼层交换机考虑
对于楼层交换机,需要能够支持三层网络协议,支持对整个交换机的端口进行监听以方便管理。
由于上连线路往往会成为瓶颈,所以,楼层交换机需要支持以太网聚合,并且支持多个聚合组,每个聚合组支持4个或以上千兆聚合。
我们推荐在楼层布线间放置Catalyst3560三层交换机。
Catalyst3560用于为所管辖范围内的所有PC机提供100Mbps或者1000Mbps的连接,它又提供了高速的上连中继通道(Trunk)连接到核心交换机,通过千兆电口分别与两台核心交换机Catalyst3750进行千兆的连接。
Catalyst3560是很好性价比,很高性能,特点丰富的以太网交换机,可以提供48口10/100M的接口,并带有模块化的四口千兆上联端口。
对布线室所需的带宽,性价比,企业版的软件提供了统一的交换方案。
2.2.4各分行网络设计
本次为每个地州分行选用Catalyst3560三层交换机,采用链路聚合方式与各分行原有的Catalyst3550冗余连接后接入各分行防火墙,通过分行接入路由器汇总至新疆农发行数据中心。
拓扑结构图如下
2.2.5参考产品配置清单
设备型号
设备描述
数量
CISCO3725
3700Series,2-Slot,2FE,MultiserviceRouter32F/256D
2
CISCO2821
2821w/ACPWR,2GE,4HWICs,3PVDM,1NME-X,2AIM,IPBASE,64F/256D
1
WS-C3750G-24TS-E
Catalyst37502410/100/1000+4SFPEnhcdMultilayer;1.5RU
2
WS-C3560-48TS-S
Catalyst35604810/100+4SFPStandardImage
18
GLC-T=
1000BASE-TSFP
3
NM-2W
2WANCardSlotNetworkModule(noLAN)
1
NM-2FE2W-V2
2port10/100Ethernetwith2WANCardSlotNetworkModule
1
第三章、组网技术介绍
3.1产品关键技术
路由协议支持
我们是路由技术的世界领先者,既可选用业内使用最广泛的OSPF、BGP、IS-IS和RIP版本2等基于标准的协议,也可选用成熟可靠的增强型内部网关路由协议(EIGRP)等思科协议。
必须注意的是,EIGRP还可提供一些您可能需要考虑的额外好处,如配置比较容易(不需要考虑骨干区域等)、因处理要求较低而降低了总体CPU利用率以及可适应未来网络扩容的更强的拓扑结构灵活性等。
此外,可实现分层路由汇总和过滤的EIGRP非常适合于为用户建议的分层设计。
3.2网络设计技术
VLAN和子网划分
通常用户都有一种要求,就是在两个接入层交换机之间共享一个子网的设计。
为支持这一功能,就必须采用生成树协议。
思科公司可以提供符合VLAN802.1w标准的快速生成树,从而确保对每个VLAN的快速故障切换。
在这一设计中,每个子网均被映射到一个VLAN,相应地也有它自己的生成树。
在此必须指出,思科公司所推荐的最佳实践是,在每个配线间中采用一个子网(VLAN)或者一个配线间多个VLAN,但要避免一个VLAN跨多个配线间。
这可提供一些关键优势。
首先,可以无需再使用生成树,因为不存在第二层环路。
其次,可实现更加确定的故障切换,因为采用一个单独的第三层控制平面,而非必须映射到某个第三层域的生成树域。
用户可通过采用两种方法之一来实现这一目的。
首先,通过采用思科公司所推荐的RFC1918专用地址空间,就能在网络中部署更多IP地址。
此外,可采用可变长度子网掩码(VLSM)来进一步划分三个现有子网。
如果实施这些建议,则无需再使用生成树,从而确保了更快速的故障切换和对上行链路带宽容量的更好利用,因为生成树总会将一条链路设为“阻塞”状态。
默认网关冗余性
为实现默认网关冗余性,思科公司提供了网关负载均衡协议(GLBP)。
这个协议的基础是思科公司多年来一直在部署的热备份路由协议(HSRP)。
同HSRP一样,GLBP可确保当默认网关交换机发生故障时,存在一个备用交换机来接替工作。
然而,GLBP提供路由器冗余弹性时同时在两条上行链路上均衡负载流量,而HSRP和VRRP则相反,只能同时利用一条上行链路。
GLBP允许两台分布层交换机同时激活地在每个方向上转发数据。
对用户来说,相当于增加了一倍可用带宽。
另外的好处时,当一条上行链路或一台分布层交换机发生故障时只会影响到50%的用户。
另外50%的用户在使用另一条路径,完全不会感到任何中断。
GLBP能够和单条上行链路或802.3ad聚合链路一起工作。
如果您想保持和其他非思科路由的互操作,思科也支持基于标准的VRRP。
3.3网络安全技术
部署安全功能,确保高可用性
在当今的网络架构中,安全是需要考虑的重要因素,因为它会直接影响到网络的可用性和永续性。
用户网络、分支机构或数据中心拓扑结构也许具有抵抗链路故障的永续性,但这并不能防止拒绝服务攻击导致的网络宕机。
这里会介绍一些可对网络可用性产生影响的攻击,以及Catalyst交换机如何解决这些问题。
3.3.1用伪流量进行网络泛洪攻击
拒绝服务或蠕虫攻击会导致网络链路的泛洪,填满设备缓冲器和交换机之间的以太网链路。
随之又会严重破坏话音质量并极大降低应用的“有效吞吐率”(“有效吞吐率”一词系指所实现的真正应用吞吐率,它与交换机的原始吞吐率无关)。
这些蠕虫多是利用各种不同的TCP或UDP流来扫描网络的。
这就导致网络上的数据流量大大增加。
下一节中讨论的其他一些特性将介绍因流量过多而导致的问题及其解决办法,然而链路拥堵问题是比较复杂的:
导致这一问题的并不是单个流量,所以我们必须限制一条链路上的所有流量。
可通过采用CatalystQoSScavengerClass(清道夫级别)来减轻这个问题并保护链路。
清道夫级别的本来目的是为特定应用提供顺从服务或次尽力服务。
对于尽力投送而言,存在一个隐含的承诺,即至少有某些网络资源是可用的。
然而,在清道夫级别模式中,不能采取任何承诺,此时应采用清道夫级别服务来重新降低来自流量异常高的系统的流量的优先权。
本解决方案在Catalyst交换机中采用了每个端口多个队列的架构。
在一次蠕虫攻击过程中,某终端会向网络中送入极大量的流量。
这一流量与预定策略进行比较,其中包括如何确定清道夫级流量。
清道夫级流量的定义是,在一段持续的时间内以高于预定阈值而突发或传输(而功能正常的终端则不会这样做)的流量。
仅凭第一次检测并不足以作为丢弃分组的依据,因为它也许是合法突发。
然而,一个端口不太可能看到这样的用户流量会持续较长时间。
该流量随后被标记为“清道夫”,然后被放入优先权最低的队列中。
该队列深度被配置为比较浅,因此会经常发生队列溢出或尾部丢包。
基于TCP的流量会调整抑制;而UDP流量则会被丢弃。
这样,就能保护合法的话音流量和其他流量,例如合法的尽力服务流量。
3.3.2对交换机的第二层转发表进行泛洪攻击
第二层交换机根据MAC地址建立转发表,根据MAC地址进行转发、过滤和学习。
然而,这个表只有有限的空间。
MAC泛洪攻击会迫使交换机学习伪MAC地址,使CAM表过载,并使数据从整个第二层VLAN域泛洪传送。
虽然这是第二层交换机的标准行为,但它仍可导致网络和主机性能的降低。
为防止这种攻击,Catalyst提供了端口安全特性,即,可限制某个给定端口所能学习的MAC地址的数目。
如果有更多地址进入交换机,Catalyst会将这些端口置入限制模式,以保护网络免受攻击。
这可确保某个给定端口只能学习数目不多的MAC地址,当学习其他地址时就会锁定该端口。
这样,就能立刻阻止攻击。
3.3.3对交换机第三层表的洪泛攻击
很多蠕虫都会改变来源和目的地IP地址或TCP/UDP端口号,迫使交换机不得不学习成千上万的新流量。
通过改变IP、TCP或UDP信息,会导致交换机的CPU过载,如果交换机采用了基于流的交换机制,甚至会引起交换机瘫痪。
交换机不再交换或学习合法流量,而路由网络也会受到严重影响。
有这种危害的最新蠕虫包括红色代码(CodeRed)、Slammer和机智(Witty)等。
Catalyst交换机采用了基于网络拓扑结构而非流的交换机制Cisco快速转发(CEF)。
当路由协议(OSPF、EIGRP等)生成路由表时,会根据网络前缀(IP子网的网络部分),而非IP源-和目的地址的流信息来生成硬件转发表。
这种技术最初设计用来提高网络对针对路由振荡的弹性,也可直接应用于防止蠕虫攻击。
因为CEF并不关心网络中的流量,所以第三层转发表不会受到影响。
3.3.4攻击交换机CPU
除攻击交换机的转发表之外,还可通过向CPU发送ARP分组等需要处理的控制信息来攻击设备本身的CPU。
处理能力和容量有限的CPU就会过载,并导致路由更新或BPDU等真正的控制分组被丢弃。
很多网络管理者都熟知CPU以100%利用率运行时的后果–设备和网络会变得不稳定。
Catalyst6500可支持控制面板速率限制功能,它可限制向CPU发送分组的速率。
在正常运行时,不太可能有大量流量被送往CPU,除非启用基于软件的特性。
更不可能出现这些攻击中所使用的那些类型的流量以很高数据速率传送给CPU的情况。
这些类型的分组包括ICMP不能到达、ICMP重定向、CEF无路由、TTL超时以及进出访问控制列表等。
通过限制这些类型的分组发送给CPU的速率,丢弃超过特定速率的过多分组,确保CPU能够处理(很
升级会员 