《安全网络建设项目技术建议书》由会员分享,可在线阅读,更多相关《安全网络建设项目技术建议书(32页珍藏版)》请在金锄头文库上搜索。
1、* 电业局安全存储网络建设技术建议书二零零九年十月目录安全存储网络建设技术建议书 11 概述 31.1 项目建设背景需求 31.1.1 网络现状 31.2 网络建设目标 31.3 网络建设原则 32 整体方案设计 42.1 组网方案 42.2 方案建议及设备选型依据 . 43 网络解决方案 53.1 IP 地址规划 53.2 VLAN规:划63.3 路由规划63.4 QOS设计63.5 设备介绍 83.5.1 S9300 系列交换机系统特性 143.5.2 Oceanspace S2000 系列存储系统4 安全解决方案184.1 安全体系层次设计184.1.1 层次一:物理环境的安全性(物理层
2、安全) 184.1.2 层次二:操作系统的安全性(系统层安全) 184.1.3 层次三:网络的安全性(网络层安全) 184.1.4 层次四:应用的安全性(应用层安全) 194.1.5 层次五:管理的安全性(安全管理) 194.1.6 总体部署 194.2 入侵检测系统部署204.2.1 安全风险分析 204.2.2 安全风险解决 204.2.3 智能网络入侵检测设备 214.2.4 NIP 1000 性能指标 264.3 终端安全管理系统部署 284.3.1 终端安全管理系统 284.3.2 安全监控功能 304.3.3 资产管理应用功能 314.3.4 安全接入控制网关应用 314.3.5
3、Secospace系统性能指标 311 概述1.1 项目建设背景需求1.1.1 网络现状* 电业局网络建设主要分为部办公网络和外部互联网络两部 分,现有核心设备是用的是华为 5500系列交换机, 交换机使用年限已 久,随着网络规模的不断扩大, 现有网络接口已逐渐不能满足网络的 需求;部服务器数量已达到 10台左右,数据量增加的比较快,需要一 套网络存储设备。部安全需要进一步的管理。1.2 网络建设目标为了提高整网核心的可靠性,设计考虑设备冗余(电源、超级引 擎采用双配置),为整网提供更加稳定的网络服务。华为核心设备最多支持 144 个光接口,能够极满足现在及将来网 络的需求。1.3 网络建设原
4、则我单位针对 * 电业局存储及安全工程将采用华为先进的高端电 信级设备作为构建网络的基础单元, 建立一个高带宽、 高可用性及高 可靠性的数据网络, 为县电业局业务系统提供强有力的保证, 本次工 程基于以下原则进行:综合性 :将网络建设成为不仅支撑现有县电业局数据业务, 而且 支撑未来实时业务的综合业务传送平台。支持QOS能根据业务的要求提供不同等级的服务并保证服务质 量,提供资源预留,拥塞控制,报文分类,流量整形等强大的 IP QOS 功能。高可靠性 :具有很高的容错能力, 具有抵御外界环境和人为操作 失误的能力,保证任何单点故障都不影响整个网络的正常运作。高性能:在高负荷情况下仍然具有较高的
5、吞吐能力和效率,延迟低。安全性:具有保证系统安全,防止系统被人为破坏的能力。扩展性:易于增加新设备、新用户,易于和各种公用网络连接, 随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。开放性:符合开放性规,方便接入不同厂商的设备和网络产品。标准化:通讯协议和接口符合国际标准。实用性:具有良好的性能价格比,经济实用,拓扑结构和技术符 合骨干网信息量大、信息流集中的特点。2整体方案设计2.1组网方案出于安全性和稳定性的要求,工程中采用电信级核心层交换机 从而提高整网结构的健壮性、可靠性,高效性。在存储方面采用华为 2300的存储,可提供96T的存储容量,满足将来存储的需求。2.2方案建议及
6、设备选型依据根据*电业局数据库项目的技术规要求以及华为公司全系列数 通产品及解决方案特点,本着满足业务优先、先进实用、平滑演进等 原则,我单位选择华为公司在本期项目中建议的设备以及相关设备的 建网方案优势如下:网络档次高、层次分明:采用最高能力交换机,按照网络层次依 次选择合理产品,各层次产品之间系列化程度高,可靠性强。负载分担的网络:以最大化网络资源负载分担为原则, 通过设备 间链路的分配调整,实现网络资源合理分布,增加可靠性。安全的双平面的设计:本次为网络结构通过充分利用两期建设中 的设备,充分保证网络安全备份及冗余性, 整体提高网络的可靠性等 级系数。良好网络兼容性能:在现网大量的应用环
7、境中,华为设备表现出与其他设备厂商良好的互通性,在各大电信运营商网络都有商用。优化的网络性能:华为建议的部署方案,能够保证网络在故障情 况下快速实现业务流量疏导,提高整个网络质量,保证网络能够承载。多业务的IP网络:优化后的网络具备极强的可扩展性能, 除了具 备大流量承载能力,还可提供IPTV等多种业务。平滑的割接方案:华为公司有丰富的网络割接经验, 可以保证网 络调整到合理的结构,并保证现网业务尽可能的不受影响, 保证平滑 割接。平滑的向IPv6过渡:我单位本次采用的华为产品具备IPv6高性能 转发,满足未来性能要求,并支持多种过渡解决方案,例如IPv4/IPv6 双栈、多种过渡隧道等等,是
8、业界过渡方案中最好的产品,能够极大 方便实际网络IPv4-IPv6过渡的灵活性。3网络解决方案3.1 IP地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的 关键。需要在所分配的IP地址网段中尽可能地利用地址空间,充分 考虑地址空间的合理使用,保证实现最佳的网络地址分配及业务流量 的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路 由政策有非常密切的关系,将*电业局业务工作的可用性、可靠性 和有效性以及性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域。因 此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。IP地址规划遵循以下原则:1.
9、 IP地址的规划与划分应该考虑到业务飞速发展,能够满足未 来发展的需要;即要满足本期工程对 IP地址的需求,同时要 充分考虑未来业务发展,预留相应的地址段;2. IP地址的分配需要有足够的灵活性,能够满足各种用户接入;3. IP地址的分配可以采用 VLSM技术,以保证IP地址的利用效率;4.充分合理利用已申请的地址空间,提高地址的利用效率。3.2 VLAN规戈【JVLAN( Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN组成一个逻辑子网,即一个 逻辑广播域,它可以覆
10、盖多个网络设备,允许处于不同地理位置的网 络用户加入到一个逻辑子网中。从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种 划分方法:1. 基于端口的VLAN划分2. 基于MAC地址的VLAN划分3. 基于路由的VLAN划分而本期项目中以基于端口和基于路由的 VLAN划分方法为主,除 了公共VLAN网管VLAN关键领导VLAN等特殊网段,按照部门和单 位进行其他VLAN网段的划分。3.3路由规划在所建网络系统中将涉及*电业局部不同虚拟网络之间的路由 转发以及与外网之间的互联,因此需要结合实际,在汇聚交换机对三 层转发协议进行设置,由于通过 VLA N隔离业务,在接入层交换机启 用二层接入
11、功能,网关设在汇聚交换机,VLAN终结于汇聚交换机。3.4 QOS设计在传统的IP网络中,所有的报文都被无区别的等同对待,每个 路由器对所有的报文均采用先入先出(FIFO)的策略进行处理,它尽 最大的努力(best-effort )将报文送到目的地,但对报文传送的可 靠性、传送延迟等性能不提供任何保证。随着IP技术的日趋成熟,IP网络电信化已经成为大势所趋,于 是形成了语音、视频、数据等多种业务IP统一承载,由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求,因此就必须在网络中部署相应的 QoS技术,使得网络管理者能够有效地 控制网络资源的使用,能够在有限资源的 IP平台上综
12、合语音、视频 及数据等多种业务,能够区分业务、针对不同的业务提供特色的差分 服务。QoS旨在针对各种应用的不同需求,为其提供不同的服务质量, 例如:提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖 动等。为实现上述目的,QoS提供了下述功能:1. 报文分类和着色2. 避免和管理网络拥塞3. 流量监管和流量整形4. QoSB令协议在*电业局数据库项目网络构建中,将会设计合理的 QOS保障 方案,利用有限的资源,以获得更好的网络使用效益,是非常必要的。 良好的QO3保障方案可以确保一般情况下网络具有最好的使用效率、 实时业务具有较小延时,恶劣情况下保证关键业务得到应有的网络服 务。衡量QoS
13、的指标包括:带宽/吞吐量-指网络的两个节点之间特定应用业务流的平均 速率;时延- 指数据包在网络的两个节点之间传送的平均往返时间; 抖动-指时延的变化;丢包率-指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力;可用性-指网络可以为用户提供服务的时间的百分比。在*电业局数据库项目网络中QOS7案部署如下:接入层交换机接入端口不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记,以便后续的汇聚交换机和核心交换根据相 应优先级标记(802.1P、DSCP进行调度,当然还可以根据策略的需 要部署CAF流量监管策略,对用户的接入速率进行控制,保证 *电 业局网网络始终处
14、于健康(轻载)的运行状态。本次工程采用的S9300高端交换机均支持选择性SVLAN功能(灵 活QinQ),可以在同一个物理端口上支持根据单层 VLAN ID灵活加载 外层VLAN ID,同时能够透传标准 VLAN(单VLAN流量。上述功能 实现没有 VLANID 围数量的限制,对于设备性能没有影响。支持根据 802.1p参数、入端口、入VLAND等条件进行双 VLAN透传、双层VLAN 改写外层VLAN双层VLAN改写外层VLAN等并且支持在同一物理接 口上对以上操作的并行处理。并支持 TPID可配置,同时对设备性能 没有影响S9300交换机提供完善的Diff-Serv/QoS 支持。支持基于
15、源 端口、源VLAN ID源MACfe址、报文种类、TCP/UDP端口号、IP报 文地址前缀等多种流分类规则, 提供多种规则组合条件下的流映射和 分类、流量监管(CAR、拥塞避免方法(WREDTail-Drop )、队列调 度(WRRSP)和输出流量整形等功能,支持 802.1p的8个优先级。 完全做到业务区分并保证带宽 /时延/抖动,可以为用户提供具有不同 服务质量等级的服务保证,使 IP 网络真正成为同时承载数据、语音 和视频业务的综合网络。3.5 设备介绍3.5.1 S9300 系列交换机系统特性Quidway? S930C系列以太汇聚交换机(以下简称S930C)是基于华为公司统 一的VRF? (Versatile Rout ing Platform、系统而推出的下一代以太网汇聚交换机,提供整机高达2T交换容量,二、三层线速转发能力,具备强大组播功能, EPO接口和完善的QoS保障,满足城域网、企业园区网对 Multi-Play业务承载和 全光接入的组网需求
