《cisco-网络方案》由会员分享,可在线阅读,更多相关《cisco-网络方案(69页珍藏版)》请在金锄头文库上搜索。
1、目录第一章 前言3第二章 网络设计原则42.1 网络的连通性42.2 网络的可靠性42.3 网络的安全性42.4 网络的可管理性42.5 网络的扩展性52.6 网络的多媒体支持52.7 网络的高性能5第三章 需求分析63.1方案需求63.2实现方法6第四章 局域网及安全方案设计84.1 VLAN规划84.2 VLAN的设计104.3 VLAN间的隔离104.4 Vlan的管理114.5 内部局域网络的安全接入114.6 阻止来自网络第二层攻击的重要性144.7 MAC泛滥攻击的原理和危害154.8 采用DHCP管理的常见问题184.9 DHCP Snooping技术概述194.10 高级防范2
2、14.11 ARP欺骗攻击原理214.12 IP/MAC欺骗的防范25第五章 产品介绍295.1 Cisco 2800系列介绍295.2 Cisco 3560-E 简介465.3 Cisco 2918介绍535.4 Linksys WRT54GL介绍59第六章 培训606.1培训安排606.2培训目标606.3培训人员要求606.4培训日程61第七章:工程技术及售后服务627.1客户服务中心介绍627.2客户服务中心组织结构627.3现场服务647.4新版新功能软件657.5技术援助中心677.6售后服务流程及问题解决时限687.7服务宗旨70第一章 前言随着信息技术的不断发展,信息技术对社会
3、进步和国民经济发展起着越来越大的促进作用,并对传统的思想观念和工作方式带来巨大的冲击。在信息化时代,网络已进入了各行各业,同时也促进了各个行业的发展。而对于各种制造业来说,一个强大稳定的网络,可以更好的提高公司的产量,为公司带来更高的效益。 思科产品和技术不仅在中国金融、保险、电信、科研等领域取得巨大成功,而且在制造行业领域也大显身手。我们愿用多年来在网络技术领域的专业经验,在制造行业的征途中贡献我们的一份力量,为各行各业增添几份璀璨。第二章 网络设计原则2.1 网络的连通性园区各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰
4、富多彩的网络应用。2.2 网络的可靠性许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是园区的经济损失,影响园区的声誉和形象。2.3 网络的安全性在商品竞争日益激烈的今天,园区对网络的安全性有非常高的要求。在很多园区在局域网和广域网络中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就考虑采用严密的网络安全措施。2.4 网络的可管理性随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要
5、重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。2.5 网络的扩展性网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着园区规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。思科通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。2.6 网络的多媒体支持由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了,多媒体网络传输成为世界网络技
6、术的趋势。园区着眼于未来,对网络的多媒体支持是有很多需求的。同时,在网络带宽非常宝贵的情况下,丰富的QoS机制,如:IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。2.7 网络的高性能随着互联网的发展,上网用户的不断增多,访问和数据传输量剧增,网络负荷也相应加重;随着园区对多媒体技术的广泛应用,视频数据、音频数据也越来越耗费网络带宽。如果网络没有高性能,会导致系统反应缓慢,甚至在业务量突增时,发生系统崩溃、中止和异常等现象。高性能的网络也是一些关键业务或特殊应用的必备条件。第三章 需求分析3.1方案需求1、要求具有较高性能的网络,要达到1000M主干,10
7、0M到桌面2、要求方便管理,使得管理员通过远程就可以对网络及终端进行统一管理3、安全控制,对用户进行控制,及Arp病毒的控制。4、要求所选设备要有很好的扩展性3.2实现方法 1、园区采用带有2个千兆接口的Cisco 2811路由器,提供了充足的出口带宽,下层采用全10/100/1000自适应接口的Catalyst WS-C3560E-24TD-S作为核心路由器,通过其强大的转发能力和充足的带宽,来保证园区网络的畅通。接入层采用Cisco公司专为中国客户设计研发的Catalyst WS-C2918-24TC-C,其中文界面使管理员更容易对其管理。此外在商务部使用Linksys WRT54GL来达
8、到对商务部的无线覆盖,使笔记本用户能够更加方便的访问互联网。最终实现如下图的网络:第四章 局域网及安全方案设计4.1 VLAN规划由于以太网将是包钢计量处网络中核心层、接入层、汇接层使用的网络标准,因此网络可以看成是一个大局域网群,需要涉及到第三层交换,因此我们使用了Cisco公司的VLAN技术。VLAN是一种无所不在的基本技术结构。简而言之,虚拟网络是对网络系统采用逻辑化而非物理化的管理技术来实现网络安全的策略,其主要协议为IEEE 802.1Q,此协议结合了鉴别和加密技术从而保证整个网络内部数据的保密性与完整性。同时,为了避免VLAN中循环的可能,VLAN采用了IEEE802.1d(生成树
9、)的算法。在VLAN的实现策略中,当任意结合的局域网络构成VLAN时,本机信息包含了IEEE 802.1Q VLAN ID,如果此ID不能被设备的任何端口所接收,则它被过滤掉,只有本 机的信息从本交换机发出。这种策略的用途为可以实现与IEEE802.1Q不兼容的设备/网络的透明通讯。VLAN可以将通讯量进行有效的分割,从而很好的利用带宽,并可以从逻辑的角度出发将实际的LAN基础结构分割成多个子网,这样减轻了扩容的压力。因此我们认为虚拟网络的配置与实施对包钢计量处这样一个大型的网络来说是非常必要的。另外,为了完成各个不同VLAN间通信,就要使用VLAN Trunking。主要是通过一条高速全双工
10、干道(2000Mbps)来实现将一个交换机端口所划分的不同VLAN与其它交换机 中各自的相应VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用,节省了信道数据,提高了可靠性。便于管理,方便连接,提高了整个网络吞吐量和性能 指标。 图:不使用VLAN Tranking图:使用VLAN Tranking如果采用VLAN Trunking的技术,则V1、V2、V3均可通过一条全双工的1000Mbps,即2000Mbps的速率与上级交换机进行互通并经过位于树根部的路由器进行路由选择与其它的VLAN进行通讯。VLAN Trunking技术的优点在于采用一条高速通道连接,提高了通道的
11、使用效率, 如在V2,V3无数据量的情况下,V1可以独占此1000M带宽;并且 可以使得线路的联接变得简单,从而大大提高可靠性与易维护性。如果不采用VLAN Trunking的技术,则虚拟网络的结构将如上图所示,这样则需要使用多条1000Mbps与其它的交换机互联,其缺点是:线路带宽的利用率不充分网络间布线及接口相应增多,造成系统管理的复杂性,降低了可靠性。4.2 VLAN的设计在包钢计量处的设计中我们划分VLAN的原则为:1、依据部门的组织结构;2、依据业务;为了实现按不同的业务划分VLAN,VLAN的划分将打破传统方法:不按地理位置划分,而是每个业务VLAN将跨越数个接入层,这样,保证了相
12、同业务的工作站虽然所处位置不同但是在逻辑上属于同一个虚网。此外,CISCO的设备提供了灵活的QOS功能,能够使每个VLAN的带宽根据需要分配。有关QOS的细节在“QOS应用”章节进行了详细阐述。 4.3 VLAN间的隔离虚网之间的完全隔离,可通过CISCO设备的访问控制功能实现。CISCO设备可实现网络的二层和第三层的访问控制,第三层的访问控制为IP的访问控制列表,第二层的访问控制为VLAN MAP。因为访问控制是按IP地址进行的,因此IP地址应能够区分出业务类别。下图为实现VLAN间完全隔离的示意图接入层交换机与汇接层交化机的1000M线路采用VLAN TRUNK技术,可实现一个物理接口承载
13、多个VLAN。此外CISCO交换机还提供增强的基于VLAN的生成树算法(PVSTP+),实现负载的均摊。4.4 Vlan的管理众多的VLAN如果缺乏管理同样会造成网络管理人员的困惑和网络运行的混乱,通过VTP(Visual Trunking Protocol)的使用,我们可以统一管理VLAN的创建、删除、分配和使用。比如我们将核心交换机6509设为VTP DOMAIN中的SERVER角色,而将其它交换机设为VTP DOMAIN中的CLIENT角色,那么将只有核心交换机6509可以进行VLAN的创建和删除,任何其他交换机将只能使用由6509已创建好的VLAN,即只能将某个端口加入某个VLAN,而
14、不能自由的重新创建一个VLAN。通过对VLAN的管理,我们可以轻松的在远端(网络中心)完成VLAN的修改,在网络的中心位置控制VLAN间的访问,有效的控制VLAN间的信息流量,减轻远端管理的复杂度。4.5 内部局域网络的安全接入内部局域网络承担着整个园区网络的通讯枢纽功能,连接着所有的应用服务器和数据系统,任何网络安全问题都会扰乱园区的正常运转,给园区带来不可弥补的损失。目前园区在内部局域网中遇到的问题主要有以下几种:1、IP地址的管理问题,包括IP地址非法使用、IP地址冲突和IP地址欺骗2、利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内容、嫁祸他人问题3、木马、蠕虫病毒攻击导致的信息
15、失窃、网络瘫痪问题4、攻击或病毒源机器的快速定位、隔离问题IP的地址管理一直是长期困扰园区局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址,从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。 非法的IP地址即IP地址不在规划的局域网范围内 重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突,使合法用户无法上网 冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使合法用户的权益受到侵害无论是有意或无意地使用非法IP地址都可能会给园区带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行,甚至导致网络的不稳定,从而影响业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合
