网络技术建议书.docx
《网络技术建议书.docx》由会员分享,可在线阅读,更多相关《网络技术建议书.docx(18页珍藏版)》请在冰点文库上搜索。
网络技术建议书
网络技术建议书
华为技术有限公司
2014年10月
目录
1.总体系统规划3
1.1.系统设计原则3
1.2.网络设计概述4
1.3.总体网络逻辑架构4
2.网络架构设计5
2.1.互联区网络规划5
2.1.1.物理组网规划概述5
2.1.2.Internet互联5
2.2.VLAN规划5
2.2.1.VLAN概述5
2.2.2.VLAN功能划分6
2.2.3.VLAN规划原则6
2.2.4.VLAN规划建议7
2.3.IP规划7
2.3.1.IP地址规划原则8
2.3.2.DHCP规划建议9
2.3.3.DNS规划9
2.4.可靠性规划10
2.4.1.设备可靠性10
2.4.2.网络可靠性11
2.5.安全设计11
2.5.1.安全概述11
2.5.2.网络安全规划12
2.5.3.边界安全规划17
1.总体系统规划
1.1.系统设计原则
计算机网络系统,通过承载企业的多种业务,形成一个园区网络。
园区网络设计必须适应当前信息化各项应用,又可面向未来信息化发展的需要,因此必须是高质量的。
园区网通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。
同时对于园区网而言,注重的是网络的简单可靠、易部署、易维护。
因此在园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
基于星型结构的园区网设计,通常遵循如下原则:
●层次化
将园区网络划分为核心层、汇聚层、接入层。
每层功能清晰,架构稳定,易于扩展和维护。
●模块化
将园区网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
●冗余性
关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。
提高了整个网络的可靠性。
●安全隔离
园区网络应具备有效的安全控制。
在园区网络出口处部署防火墙,既可按业务、按权限进行分区逻辑隔离,又对园区内部网络起到重要的保护作用。
●可管理性和可维护性
网络应当具有良好的可管理性。
为了便于维护,应尽可能选取集成度高、模块可通用的产品。
1.2.网络设计概述
根据遂宁应急办办公楼网络应用及业务特点,特把遂宁应急办办公楼办公网络物理分成内部、外部两大区域。
其中,园区内部,指遂宁应急办办公大楼范围内的计算机局域网网络。
外部,指Internet及政法内网等。
根据遂宁应急办办公楼网络物理硬件划分,则分为互联网络及政务内网,两张网络。
1.3.总体网络逻辑架构
园区网络的逻辑架构包括五大部分。
●应用层
包含园区内的各种终端设备,例如PC、笔记本电脑、打印机、传真、SIP话机、视频设备等等。
●接入层
负责将各种终端接入到园区网络,通常由以太网交换机组成。
对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备等。
接入层交换机,通常部署在楼层配线间。
●汇聚层
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
汇聚层通常还作为用户三层网关,承担L2/L3边缘设备的角色,提供用户管理、安全管理、QoS(QualityofService)调度等各项跟用户和业务相关的处理。
汇聚层交换机,通常部署在楼宇设备间。
●核心层
核心层负责整个园区网的高速互联,一般不部署具体的业务。
核心网络需要实现带宽的高利用率和网络故障的快速收敛。
●园区出口
园区出口是园区网络到外部公网的边界,园区网的内部用户通过边缘网络接入到公网,外部用户(包括分支机构、远程用户等)也通过边缘网络接入到内部网络。
2.网络架构设计
2.1.互联区网络规划
2.1.1.物理组网规划概述
2.1.2.Internet互联
Internet互联区中主要设备为出口防火墙。
其中出口防火墙具备包括防火墙和IPS两项功能。
●入侵检测系统IPS对掺杂在应用数据流中的恶意代码、攻击行为、DDOS攻击等进行侦测,并实时进行响应。
●防火墙在网络层面,过滤非法流量、抵御外部的攻击,保护内部资源。
防火墙和IPS本身都是重要的网络设备,而且其位置一般都是作为网络的出口。
其位置和功能决定了防火墙和IPS设备应该具有非常高的可靠性。
2.2.VLAN规划
2.2.1.VLAN概述
VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段,从而实现在一个LAN内隔离广播域的技术。
当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,VLAN的出现可以将网络故障限制在VLAN范围内,增强了网络的健壮性。
2.2.2.VLAN功能划分
2.2.2.1.用户VLAN
用户VLAN即普通VLAN,也就是我们日常所说的VLAN,是用来对不同端口进行隔离的一种手段。
VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。
VLAN最好不要跨交换机,即使跨交换机,数目也需要限制。
2.2.2.2.VoiceVLAN
VoiceVLAN是为用户的语音数据流划分的VLAN,用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN,可以使语音数据集中在VoiceVLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。
2.2.2.3.GuestVLAN
网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,只能访问有限的网络资源。
用户从处于GuestVLAN的服务器上可以获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:
防病毒软件、操作系统补丁程序等)。
认证成功后,端口离开GuestVLAN加入用户VLAN,用户可以访问其特定的网络资源。
2.2.3.VLAN规划原则
一个二层网络规划的基本原则:
●区分业务VLAN、管理VLAN和互联VLAN
●按照业务区域划分不同的VLAN
●同一业务区域按照具体的业务类型(如:
Web、APP、DB)划分不同的VLAN
●VLAN需连续分配,以保证VLAN资源合理利用
●预留一定数目VLAN方便后续扩展
2.2.4.VLAN规划建议
VLAN根据多种原则组合划分。
●按照逻辑区域划分VLAN范围:
例如:
核心网络区:
100~199
服务器区:
200~999,预留1000~1999
接入网络:
2000~3499
业务网络:
3500~3999
●按照地理区域划分VLAN范围
例如:
接入网络A的地理区域使用2000~2199
接入网络B的地理区域使用2200~2399
●按照人员结构划分VLAN范围
例如:
接入网络A地理区域A部门使用2000~2009
接入网络A地理区域B部门使用2010~2019
●按照业务功能划分VLAN范围
例如:
Web服务器区域:
200~299
APP服务器区域:
300~399
DB服务器区域:
400~499
2.3.IP规划
考虑到后期扩展性,在园区IP地址规划时主要以易管理为主要目标。
园区网中的DMZ区或Internet互联区有少量设备使用公网IP,园区内部使用的则是私网IP。
IP地址是动态IP或静态IP的选取原则如下:
●原则上服务器,特殊终端设备(打卡机,打印服务器,视讯终端设备等)和生产设备建议采用静态IP。
●办公用设备建议使用DHCP动态获取,如办公用PC、IP电话等。
2.3.1.IP地址规划原则
2.3.1.1.IP地址规划的原则
●唯一性
一个IP网络中不能有两个主机采用相同的IP地址。
即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。
●连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
●扩展性
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
●实意性
“望址生意”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。
2.3.1.2.园区IP地址基本分类
●Loopback地址
为了方便管理,会为每一台路由器创建一个Loopback接口,并在该接口上单独指定一个IP地址作为管理地址。
Loopback地址务必使用32位掩码的地址。
最后一位是奇数的表示路由器,是偶数的表示交换机,越是核心的设备,Loopback地址越小。
●互联地址
互联地址是指两台网络设备相互连接的接口所需要的地址,互联地址务必使用30位掩码的地址。
核心设备使用较小的一个地址,互联地址通常要聚合后发布,在规划时要充分考虑使用连续的可聚合地址。
●业务地址
业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址,业务地址规划时所有的网关地址统一使用相同的末位数字,如:
.1都是表示网关。
●园区网内部的IP地址
建议使用私网IP地址,在边缘网络通过NAT转换成公网地址后接入公网。
汇聚交换机下接入的网段可能有很多,在规划的时候需要考虑路由是可以聚合的,这样可以减少核心网络的路由数目。
2.3.2.DHCP规划建议
随着后期园区网中办公网络的逐渐扩容,建议使用DHCP,每个DHCP网段应保留部分静态IP供服务器等设备使用。
2.3.2.1.DHCP园区部署基本架构
●建议在园区数据中心或服务器区部署独立的DHCPServer。
●在汇聚层网关部署DHCPRelay指向DHCPServer统一分配地址。
●DHCP园区内一般通过VLAN分配地址,如有特殊要求,在接入交换机部属Option82,由接入交换机提供的Option82信息分配地址。
2.3.2.2.DHCP部署基本原则
●固定IP地址段和动态分配IP地址段保持连续。
●按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。
●DHCP需要跨网段获得IP地址时,启动DHCPRelay功能。
●启动DHCP安全功能,禁止非法DHCPServer的架设和非法用户的接入。
2.3.3.DNS规划
2.3.3.1.DNS服务器的角色划分
●Master服务器:
主服务器
●作为DNS的管理服务器,可以增加、删除、修改域名,修改的信息可以同步到Slave服务器,一般部署1台。
●Slave服务器:
从服务器
●从Master服务器获取域名信息,采用多台服务器形成集群的方式,统一对外提供DNS服务,一般采用基于硬件的负载均衡器提供服务器集群的功能。
一般部署2台从服务器。
●Cache服务器:
缓存服务器
●用于缓存内部用户的DNS请求结果,加快后续的访问。
一般部署在Slave服务器上。
2.3.3.2.DNS服务器的IP地址
●Master服务器:
采用政法内网地址。
●Slave服务器:
分配政法私网地址,并在负载均衡器上分配一个虚拟的企业内网地址。
Internet域名地址有两种方案:
●一种是在防火墙上做NAT映射,把Slave服务器的虚拟地址映射为一个公网IP地址,用于外部Internet用户的访问。
●另一种是在链路负载均衡设备上通过智能DNS为外部Internet用户提供服务。
2.4.可靠性规划
2.4.1.设备可靠性
设备本身要具有电信级5个9的可靠性,需要网络设备支持:
●AC电源1+1备份
●所有模块支持热插拔
●完善的告警功能
单设备是通过部件的冗余设计来保证高可靠性。
对于设备本身的节点故障,一般通过网络协议感知故障点后进行动态调整,实现流量的快速切换,提高可靠性,但是切换的时间比较长。
华为支持框式交换机的集群CSS(ClusterSwitchSystem)和盒式交换机的堆叠iStack技术,能够把多台物理设备连接在一起,对外表现为一台逻辑设备,从功能和管理方面,都可以作为一台设备来看待。
单节点物理设备的故障,逻辑设备能够快速感知,并快速将流量切换到UP状态的链路上,减少丢包时间,具有更高的可靠性。
2.4.2.网络可靠性
2.4.2.1.园区网络可靠性设计方案
园区网络架构为二层网络结构:
接入层、核心层。
接入交换机为二/三层交换机,核心交换机作为用户网关。
可靠性的设计也应该根据层次来设计。
接入层网络是二层网络,接入交换机与核心交换机之间通过SmartLink/STP/RSTP/MSTP/RRPP/SEP解决二层网络环路问题,同时保证网络可靠性。
汇聚交换机之间堆叠实现虚拟化,保证无单点故障可靠性。
或采用VRRP虚拟网关,汇聚交换机间使用Trunk链路连接,保证链路可靠性。
汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。
2.5.安全设计
2.5.1.安全概述
随着企业网络的应用和发展,企业生产和经营活动对于网络的依赖性不断增强。
但病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。
统计表明,网络安全已经超过对网络可靠性、交换能力和服务质量的需求,成为企业用户最关心的问题,网络安全基础设施也日渐成为企业网建设的重点。
在传统的园区网络建设中,一般认为园区内部是安全的,威胁主要来自外界。
在园区边界上,一般使用防火墙、IDS/IPS作为安全设备。
随着安全挑战的不断升级,仅通过传统的安全措施和独立工作的形式进行边界防御已经远远不够了,安全模型需要由被动模式向主动模式转变,从根源-终端彻底解决网络安全问题,提高整个企业的信息安全水平。
目前园区网络安全一般从网络监管、边界防御、接入安全及远程接入等方面进行考虑。
接入安全主要指导园区内的安全接入,包括终端安全接入控制,例如:
用户隔离,端口隔离等;远程接入涉及分支机构、出差人员对园区内部的安全访问;边界防御通过防火墙、IPS/IDS对园区出口,园区内的各个组织单元之间进行有效防护和隔离。
2.5.2.网络安全规划
网络的安全是园区网安全最基本的保证。
这里主要从交换机的安全特性上的使用来保证网络的安全。
包括DHCPSnooping、ARP防攻击、MAC防攻击、IP源防攻击等。
这些安全特性工作于OSI模型的链路层,可在接入层交换机上部署。
2.5.2.1.DHCPSnooping
DHCPSnooping是DHCP(DynamicHostConfigurationProtocol)的一种安全特性,通过截获DHCPClient和DHCPServer之间的DHCP报文进行分析处理,可以过滤不信任的DHCP报文并建立和维护一个DHCPSnooping绑定表。
该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLANID、接口等信息。
DHCPSnooping部署在二层设备上面,一般部署在接入交换机上。
如下图所示,汇聚交换机上配置DHCPRelay,在接入交换机上配置DHCPSnooping,其中上行接口配置为Trust。
DHCP服务器仿冒示意图
2.5.2.2.DAI-ARP欺骗
动态ARP检测(DynamicARPInspection)应用在设备的二层接口上,利用DHCPSnooping绑定表来防御ARP攻击。
当设备收到ARP报文时,将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCPSnooping绑定表的信息进行比较。
如果信息匹配,说明是合法用户,则允许此用户的ARP报文通过;否则,认为是攻击,丢弃该ARP报文。
DAI-ARP欺骗攻击示意图
如上图所示,交换机作为二层设备,用户通过DHCP上线。
用户上线后,设备会生成相应的DHCP绑定表,绑定表包括用户的源IP、源MAC、端口、VLAN信息。
当用户发送ARP报文时,设备查找此ARP信息是否和该用户的绑定表匹配,如果是相同的,则允许报文通过,否则丢弃该ARP报文。
合法用户存在绑定表,其发送的ARP报文会被允许通过,而攻击者发送虚假的ARP报文,无法匹配到绑定表,报文被丢弃。
2.5.2.3.ARP限速
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。
例如,在配置了ARPDetection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题。
如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
下图给出了ARP限速的示意图。
当用户发出ARP请求的速度在规定范围内的时候,ARP请求报文可以正常上送,当攻击者以超过允许范围的速度发出ARP请求的时候,超过速度范围的报文将被丢弃。
ARP限速示意图
2.5.2.4.MAC泛洪
MAC泛洪攻击是指攻击主机通过程序伪造大量包含随机源MAC地址的数据帧发往交换机。
有些攻击程序一分钟可以发出十几万条伪造源MAC地址的数据帧,交换机根据数据帧中的MAC地址进行学习,但一般交换机的MAC地址表容量也就几千条,交换机的MAC地址表瞬间被伪造的MAC地址填满,交换机的MAC表填满后,交换机再收到数据,不管是单播、广播还是组播,交换机都不再学习MAC地址,如果交换机在MAC地址表中找不到目的MAC地址对应的端口,交换机就像集线器一样,向所有端口广播数据,这样就可能造成广播风暴。
在华为交换机上,可以通过对MAC学习限制及流量抑制的功能来防止MAC泛洪攻击。
MAC学习限制是指限制MAC学习的数目。
华为交换机支持在接口、VLAN、槽位和VSI四个方面对MAC学习数目进行限制。
同时,华为交换机支持对未知单播、广播及组播流量进行速度限制。
通过对MAC学习限制及流量抑制,可以有效地防范MAC泛洪攻击。
下图给出了MAC泛洪攻击的示意图,图中,假设攻击者发出一个伪造目的MAC的报文,交换机收到报文后发现找不到目的MAC就会向除接收端口的所有端口发送此报文,导致此报文在广播域内广播。
如果攻击者发送大量的报文,就可能会造成网络中断或瘫痪。
MAC泛洪攻击示意图
2.5.2.5.IPSourceGuard
IP源地址防护能够限制二层不信任端口的IP流量。
它采取的方法是,通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤此特性可以阻止IP地址欺骗攻击,也就是主机通过把自己的源IP地址修改成其他主机的IP地址实现的攻击。
任何从不信任的端口入站的IP流量,只要其源地址与指定(DHCPSnooping或静态绑定表)的IP地址不同,就会被过滤掉。
IP源地址与防护特性需要在不信任的二层接口上和DHCPSnooping共同使用。
IP源地址防护会生成一个IP源地址绑定表,并且对这个列表进行维护。
这个列表既可以通过DHCP学习到也可以手动配置。
列表中的每个条目都包括IP地址及与这个IP地址所关联的MAC地址及VLANID。
IPSourceGuard功能示意图
如上图所示,在接入交换机上使能IPSourceGuard功能。
此时,合法用户的IP地址、MAC地址及VLAN信息能满足绑定表的信息,用户能正常访问网络。
而非法用户发出的报文却会在接口上被丢弃,进而阻止了非法用户危害网络安全。
2.5.2.6.MFF技术
园区网络中,通常使用MFF(MAC-ForcedForwarding)实现不同客户端主机之间的二层隔离和三层互通。
MFF截获用户的ARP请求报文,通过ARP代答机制,回复网关MAC地址的ARP应答报文。
通过这种方式,可以强制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。
MFF特性包括两种接口角色:
●用户接口
MFF的用户接口是指直接接入网络终端用户的接口。
用户接口上对于不同的报文处理如下:
−允许协议报文通过。
−对于ARP和DHCP报文上送CPU进行处理。
−若已经学习到网关MAC地址,则仅允许目的MAC地址为网关MAC地址的单播报文通过,其他报文都将被丢弃;若没有学习到网关MAC地址,目的MAC地址为网关MAC地址的单播报文也被丢弃。
−组播数据和广播报文都不允许通过。
●网络接口
MFF的网络接口是指连接其他网络设备(如:
接入交换机、汇聚交换机或网关)的接口。
网络接口上对于不同的报文处理如下:
−允许组播报文和DHCP报文通过。
−对于ARP报文则上送CPU进行处理。
−其他广播报文都不允许通过。
下图给出了MFF方案的典型应用场景。
当交换机A、B和C上启用了MFF功能后,主机A与主机C之间可以通过三层进行转发,不能通过二层转发。
所有主机A与C之间的流量,都会先经过网关,然后再进行转发。
MFF方案的应用场景
2.5.3.边界安全规划
2.5.3.1.边界防护概述
所谓网络边界,是指园区网络与其他网络的分界线。
对边界进行安全防护,首先必须明确哪些网络边界需要防护,这可以通过安全分区设计来确定。
定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产,其次对安全资产定义安全策略和安全级别,对于安全策略和级别相同的安全资产,就可以认为属于同一安全区域。
网络边界是网络的重要组成部分,负责对网络流量进行最初及最后的过滤,因此边界安全的有效部署对整网安全意义重大。
2.5.3.2.边界防护安全设计
一般而言,一个完整的安全部署包括边界路由器、边界防火墙、IPS、边界防毒墙、边界流量分析监控等安全部件及各安全部件之间的协同工作。
这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全。
只有这些部件的功能相互补充,相互结合,协同工作才能形成一个立体的防御结构。
边界路由器
路由器在网络中承担路由转发的功能,它们将流量引导进入网络、流出网络或者在网络中传输,由于边界路由器具有丰富的网络接口,一般置于Internet出口或广域网出口,是流量进入和流出之前我们可以控制的第一道防线。
边界防火墙
防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。
防火墙可以对边界路由器不能监控的流量进行更加深入地分析和过滤,并能够按照管理者所确定的策略来阻塞或者允许流量经过。
升级会员 