《企业网络改造项目规划设计方案》由会员分享,可在线阅读,更多相关《企业网络改造项目规划设计方案(35页珍藏版)》请在金锄头文库上搜索。
1、企业网络改造规划方案2017 年 8 月目录 第 1 章. 项目概述 . 3 1.1. 项目背景 . 3 12 项目建设需求 . 3 1.3. 建设目标 . 4 第 2 章. 系统规划要求 . 5 2.1. 高可靠要求 . 5 22 高性能要求 . 5 2.3. 易管理性要求 . 5 2.4. 安全性要求 . 6 2.5. 可扩展性要求 . 6 2.6. 实用性和先进性要求 . 6 2.7. 经济性要求 . 6 第 3 章. 系统总体设计 . 7 第 4 章. 基础平台详细规划 . 10 4.1. 网络系统 . 10 4.1.1. 系统设计目标 . 10 4.1.2. 系统设计原则 . 10
2、4.1.3. 整体网络规划 . 10 4.1.4. 分区设计详解 . 12 4.1.5. 网络协议设计 . 18 4.1.6. 设备选型建议 . 24 4.2. 安全系统 . 25 4.2.1. 系统设计目标 . 25 4.2.2. 系统设计原则 . 25 4.2.3. 安全体系结构 . 26 4.2.4. 子系统规划 . 28 4.2.5. 设备选型建议 . 33第 1 章.项目概述 1.1. 项目背景 随着*公司信息技术发展,作为信息载体的网络系统存在问题日益严重:网络 负载加大、网络带宽不足、网络安全问题严重、应用系统的增加,多网融合的需求 迫切、网络终端不受控等。这就需要对现有网络系统
3、进行改造,以满足 *公司信息 技术发展的需求。 1.2. 项目建设需求 在利用*公司现有网络资源的基础上加以改造,改造后的网络需要满足以下 需求: 1、 根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进 行整合,以达到单个用户可以访问不同子网的资源, 并通过一定的安全策 略,确保各个子网之间的数据和业务安全。 2、 优化现有网络规模,设立网络汇聚节点, 最终形成以销售部、自动化部自 动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点, 覆盖全公司、部门、车间的生产区域。 3、 实现整个公司网络架构分等级安全管理。 4、 建立结构化网络安全系统,所有用户通过认证方式
4、接入公司网络, 访问自 己对应的网络资源或系统。 5、 实现网络终端受控,重要岗位终端行为管理,保证终端规范化操作。 6、 实现服务器及存储资源的有效利用,建立核心服务器区域的安全防护提高 运行能力。将现有主要服务器,如产销系统、新老线 MES系统、设备管 理系统、远程计量、人事、原料采购、调度、质量等服务器集中统一管理。 7、 实现L2系统在网络中的隔离,保证L2系统安全稳定运行。 1.3. 建设目标 此次网络改造规划方案主要包括:网络系统,安全系统的建设。 各个系统的功能概述如下: 1) 网络系统:尽量利用现有的网络接入条件和机房环境条件,对现有网络 系统进行全面改造升级,实现生产网、宽带
5、网、设备网之间的融合接入, 简化网络逻辑架构。 2) 安全系统:根据网络总体架构和安全需求,设计部署安全防御体系(包 括网络层、系统层、应用层等各层次),各业务系统的安全防范和服务 体系,并实现集中的安全管理。第 2 章.系统规划要求 系统规划要求如下: 2.1. 高可靠要求 为保证业务系统不间断正常运行,整个系统应有足够的冗余,设备发生故障 时能以热备份、热切换和热插拔的方式在最短时间内加以修复。 可靠性还应充分 考虑系统的性价比,使整个网络具有一定的容错能力, 减少单点故障,网络核心 和重点单元设备支持双机备份。 22 高性能要求 核心网络提供可保证的服务质量和充足的带宽,以适应大量数据传
6、输包括多 媒体信息的传输。整个系统在国内三到五年内保持领先的水平, 并具有长足的发 展能力,以适应未来网络技术的发展。 2.3. 易管理性要求 考虑到系统建设后期的维护和管理的需要,在方案设计中充分考虑各个设备 和系统的可管理性,并可以满足用户个性化管理定制的需要。 网站各系统易于管 理,易于维护,操作简单,易学,易用,便于进行配置和发现故障。 24 安全性要求 对于内部网络以及外部访问的安全必须高度重视, 设计部署可靠的系统安全 解决方案,避免安全隐患。设计米取防攻击、防篡改等技术措施。制定安全应急 预案。管理和技术并重,全方位构建整个安全保障体系。 2.5. 可扩展性要求 对*信息化建设规
7、划要长远考虑,不但满足当前需要,并在扩充模块后满足 可预见需求,考虑本期系统应用和今后网络的发展, 便于向更新技术的升级与衔 接。留有扩充余量,包括端口数和带宽升级能力。 26 实用性和先进性要求 系统建设首先要从系统的实用性角度出发,未来的信息传输都将依赖于数据 网络系统,所以系统设计必须具有很强的实用性, 满足不同用户信息服务的实际 需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台。 2.7.经济性要求 本次系统建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源 的价值。要本着以最少的建设成本,最少的改造成本,持续获得当期及未来建设 的最大利益。 舞钢网络改造拓扑总
8、图 中心服务器集群 二炼 宽带网接入交换机 二轧 汇聚交换机 S5624 二轧接入网 生产网接入交换机 宽带网接入交换机 自动化车间 汇聚交换机 S6324 自动化车间接入网 生产网接入交换机 宽带网接入交换机 第 3 章.系统总体设计 此方案设计将遵循先进性、实用性、可靠性、易管理性、安全性、扩展性、经 济性的原则,为实现*数据集中处理的方式,构建统一融合的网络系统,能支持全 公司范围内的高可靠实时网络连接。 依据*网络改造建设的需求,本次方案设计的网络平台系统的总体示意图如 下: *网络改造总体拓扑图 注:图中橙色字体的设备为此次新增设备。 具体描述: 出口区域 一炼 汇聚交换机 S562
9、4 生产网接入交换机 宽带网接入交换机 能源网 1 / . 访防火墙2 核心交换机2 华为S12808 原生产网 核心交换机 华为S8512 远程计量网 防火墙1 . 核心交换机1 华为S12808 一轧接入网 生产网接入交换机 宽带网接入交换机 一轧 汇聚交换机 汇聚交换机 二炼接入网 生产网接入交换机 销售部接入网 生产网接入交换机 宽带网接入交换机 销售部 汇聚交换机 S5324 轧钢总降接入网 生产网接入交换机 宽带网接入交换机 轧钢总降 汇聚交换机 S6506 1 网络系统设计 1) 整体网络结构按照不同的安全级别,主要分为出口区域、 DMZ区域、中心 服务器集群区域、核心交换区域、
10、生产网接入区域、能源网接入区域、远 程计量网接入区域及其他网络接入区域。 2) 作为整个网络的核心业务区域,采用两台高端核心交换机双机热备的方式, 保证核心业务的正常开展。同时,依据业务的重要程度对全厂网络进行分 区、并进行可靠安全隔离,避免重要程度较低的业务对重要程度高的核心 业务造成影响。 3) 生产网接入区域,主要以现有的生产网接入设备为主、另外融合了宽带网和 设备网的接入设备。根据现有的网络结构及客户需求,设立新的网络汇聚 节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一 车L、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。 4) 上述七个汇聚节点主要下
11、联现有的生产网接入设备, 同时,将原宽带网和设 备网的接入设备融入,构建统一的网络接入平台,不再重复建网。新的网 络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可 实现内外网同时访问的功能。 5) 规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统 中运行的服务器,戈倒同一逻辑区域。考虑到新的核心交换的高性能,将 所有的服务器直接接到核心交换,通过核心区域的安全设备来保证访问安 全。使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访 问。 6) 设计新的互联网出口区域,设置出口防火墙、上网行为管理、负载均衡等安 全设备,保证全厂用户的上网安全。原有生活
12、区用户不再和办公区使用同 一出口上网,生活区用户使用单独的出口设备连接互联网。 7) 构建DMZ区域,将 WWW、DNS、MAIL等需要同时服务内外网用户的服 务器放到该区域,设置 VPN、负载均衡等设备保证服务安全。 8) 能源网和远程计量网由于是独立运行的物理网络,不在此次网络改在的范 围。但此次我们新增的核心交换,在性能、稳定性、处理能力方面,均有 能力负载未来其他多个网络的融合。 2. 安全系统设计 本次*网络改造项目建设将考虑如何建设多层次、 纵深防御系统。另外,要 加强安全管理工作和安全应急工作。 通过部署防火墙保证网络边界的安全,保证网络层的安全;部署入侵检测 系统实现内网安全状
13、态的实时监控;部署防病毒系统防止病毒入侵,保证主机 的安全;部署网络监控系统对网络进行监控;部署抗攻击系统抵御来自外界 In ternet的DoS/DDoS攻击;部署漏洞扫描系统对系统主机、网络设备的脆弱 性进行分析;部署时钟系统使系统的时钟同步;部署单点登录系统方便用户在 多个系统间自由穿梭,不必重复输入用户名和密码来确定身份;部署统一认证 系统对不同的应用系统进行统一的用户认证,通过统一的用户认证平台提供一 个单一的用户登陆入口;部署安全管理平台实现系统内安全事件的统一管理。 我们要通过相应的安全技术建设一套包含物理层、网络层、主机层、应用 层和管理层等多个方面的完整网络安全体系。 第 4
14、 章.基础平台详细规划 4.1. 网络系统 4.1.1. 系统设计目标 网络系统建设的总体目标,是要建立统一融合的、覆盖全公司范围内的、高速 高可靠的网络平台,以支持数据集中处理的运行模式。 4.1.2. 系统设计原则 网络系统包括四大部分,一是出口区域,实现公司用户的上网需求;二是服务 器区域,对*现有业务系统的主机存储进行统一管理;三是核心交换区域,实现全 公司所有功能区域的互联互通; 四是二级接入区域, 对整个网络现状进行重新规划, 形成新的汇聚节点, 将生产网、宽带网、设备管理、人事系统统一融合到新的管理 网络中,实现单一终端对所有业务系统的统一访问。 网络系统有良好的扩展性,保证网络
15、在建设发展过程中业务和系统规模能够不 断地扩大。 网络线路及核心、关键设备有冗余设计。核心设备和关键设备保证高性能、高 可靠性、大数据吞吐能力。 网络系统的设计充分考虑系统的安全性。 4.1.3.整体网络规划 按照结构化、模块化的设计原则,实现高可用、易扩展、易管理的建设目标罔司F 却 J 网络整体拓扑如下图所示: 注:图中橙色字体的设备为此次新增设备。 按照“模块化”设计原则,需要对*整体网络结构进行分区设计。根据*公司 业务情况,各区域业务系统部署描述如下: 核心交换区: 此区域用于实现各分区之间的数据交互, 是数据中心网络平台的 核心枢纽。 出口区域:互联网出口,公司员上网,对外发布公司
16、信息,承载电子商务等业 务系统。 中心服务器区:此区域部署核心业务服务器,包括 MES、OA、人事、安全管 理等应用系统。 网络汇聚区:实现公司办公楼、各分厂等汇聚网络接入,二级单位可以通过该 舞钢网络改造拓扑总图 岀口区域 Internet 移动 联通 中心服务器集群 WWW DNS :S MAIL 远程计量网 能源网 一炼接入网 二炼接入网 二轧接入网 销售部接入网 一轧接入网 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 轧钢总降 汇聚交换机 自动化车间
17、汇聚交换机 一炼 汇聚交换机 S5624 二轧 汇聚交换机 S5624 一轧 汇聚交换机 S5324 销售部 汇聚交换机 S5324 DMZ区域 二炼 汇聚交换机 S5624 原生产网 核心交换机 华为S8512 自动化车间接入网 核心交换机1 华为S12808 核心交换机2 华为S12808 原料 人事 采购 OA 产销 轧钢总降接入网 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 质量 设备 女全 管理 管理 接入区域实现对业务系统的访问。 接入交换区:全厂接入设备连接区域,该区域用于连接终端用户和公司核心交 换网络,是网络中最广泛的网络设备。 414分区设计详解
18、 4.141. 核心交换区设计 此次网络改造,建议新增两台高性能的核心交换机作为 *的网络核心。核心层 作为整个*网络的核心处理层,连接各分布层设备和 *核心服务器区,核心层应采 用两台高性能的三层交换机采用互为冗余备份的方式实现网络核心的高速数据交换 机,同时,两台核心设备与分布层各设备连接,保证每台分布层设备分别与两台核 心层设备具有网络连接,通过链路的冗余和设备冗余的设计,保证整个核心层的高 可靠性。两台核心设备之间应至少保证 2Gbps全双工的速率要求,并能平滑升级到 lOGbps。 核心区是整个平台的枢纽。因此,可靠性是衡量核心交换区设计的关键指标。 否则,一旦核心模块出现异常而不能
19、及时恢复的话,会造成整个平台业务的长时间 中断,影响巨大。 4.1.4.2. 互联网出口区设计 *与外网的出口区域,目前是通过建立独立的宽带网,实现办公区和生活区通 过统一出口访问外网的。在此次网络改造中,我们计划把生活区上网与办公区上网 隔离开,通过不同的出口访问外网。改造后的生活区网络拓扑结果如下图所示: 生活区宽带网 如上图所示,此次生活区的网络改造会增加新的防火墙和负载均衡设备,作为 生活区的网络安全管理设备,通过单独的出口设备连接到互联网。 改在后的厂区互联网出口区域,如下图所示:生活区接入网 核心交换机 华为 S8512 /S9306 负载均衡 出口区域 如上图所示,工作区的网络改
20、造同样会增加新的防火墙和负载均衡设备,以及 上网行为管理等安全设备,作为生活区的网络安全管理设备,通过单独的出口设备 之间连接到互联网。 出口区域除了网络出口设备外,还包括一个 DMZ区域,用于将 WWW、DNS、 MAIL等,需要同时服务内、外网用户的服务器放到该区域, 4.143.中心服务器区设计 规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中 运行的服务器,划到同一逻辑区域。 该区域物理上为一个区域接入到核心, 而逻辑 上可以再划分为多个业务应用区,根据业务属性的不同可以划分为生产服务器区(如 ERP等)、办公服务器区(如OA等)、管理服务器区(如IT运维、管理等系
21、统)等。 考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心 区域的安全设备来保证访问安全。使全厂的所有客户终端都通过核心交换来对各个 业务系统进行统一访问 中心服务器集群 原料 人事 采购 OA 产销 4.1.44 网络汇聚区设计 网络汇聚区域,根据现有的网络结构及客户需求,设立新的网络汇聚节点, 形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七 个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。该区域的网络设备 主要以现有的生产网汇聚设备为主、另外融合了宽带网和设备网的汇聚设备,同 时考虑现有汇聚设备性能不能满足需求的情况,新增高新能的汇聚设备。
22、 汇聚层设备通过双链路的方式与核心层两台核心交换设备相连,同时,为保 障网络的健壮性,以及便于各个分厂区之间数据交互,各个分厂区的汇聚交换机 之间也有线路直连。各汇聚节点与核心层的连接,应全部采用 1000Mbps或 1000Mbps以上的连接方式,分布层设备实现本区域内的各 Vian的路由处理和 安全限制。 一炼 汇聚交换机 S5624 一轧 汇聚交换机 S5324 二炼 汇聚交换机 S5624 二轧 汇聚交换机 自动化车间 汇聚交换机 销售部 汇聚交换机 S5324 J r 轧钢总降 汇聚交换机 r Th. 4.1.4.5. 接入层部分 网络汇聚节点主要下联现有的生产网接入设备,同时,将原
23、宽带网和设备网 的接入设备融入,构建统一的网络接入平台,不再重复建网。新的网络平台融合 了,生产网的数据访问和外网互联的需求, 使用同一终端即可实现内外网同时访 问的功能。 接入层设备与分布层设备通过1000M光纤或双绞线的方式连接,在用户量 较少的分节点可以采用100M上联方式,与各终端用户连接一般采用 100M或 者1000M双绞线的方式。 生产网中其他办公楼及分厂区的网络接入, 通过自动化车间和轧钢总降等汇 聚节点,接入到新的数据网络中。各个分厂区的网络接入情况如下图所示: 核心交换机 华为 S8512 一炼接入网 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机
24、销售部接入网 轧钢总降接入网 生产网接入交换机 宽带网接入交换机 一轧接入网】 - 炼接入网 轧接入网 生产网接入交换机 宽带网接入交换机 自动化车间接入网广 生产网接入父换机 宽带网接入交换机 生产网接入交换机 生产网接入父换机 宽带网接入父换机 宽带网接入交换机 宽带网接入交换机 自动化车间 办公楼 汇聚交换机 S5324 办公楼 生产网接入 宽带网接入 自动化车间汇聚网络拓扑图 轧钢总降汇聚网络拓扑图 轧钢总降 汇聚交换机 动力厂 原料部 其他 生产网接入 生产网接入 生产网接入 宽带网接入 宽带网接入 宽带网接入 轧钢总降汇聚网络拓扑图 汇聚网络拓扑图 自动化车间 汇聚交换机 S632
25、4 .事、财: 聚交换; S5324 质量部 聚交换机 S5324 锻造厂 汇聚交换机 S5324 技改部 .聚交换机 S5324 科技部 聚交换机 S5324 技改部 生产网接入 宽带网接入 锻造厂宽带网接入 其他 汇聚交换机 S5324 人事、财务 生产网接入 宽带网接入 其他 生产网接入 宽带网接入 质量部 生产网接入 宽带网接入 科技部 生产网接入 4.1.5.网络协议设计 4.1.5.1. IP 地址和 VLAN 规划 IP地址是网络设计工作中重要的一环,使用IP地址不当会造成路由表庞大、难 以部署安全控制、地址重叠问题、地址空间耗尽等问题,会给网络运行带来很大麻 烦。为了让*网络建
26、设项目顺利进行,我们建议*网络采用以下IP地址规划原则进 行适当改进: 1、 为公司各个二级单位、应用业务、数据中心采用统一规划,统一分配,统一 管理的地址设计原则,避免重叠地址的出现。设定专门流程和人员对全公司 网络地址进行记录和权限管理。 2、 尽可能采用私有地址进行IP地址分配。私有地址就是我们熟知的三类网络 地址,分别是 A类网中的10.0.0.010.255.255.255 范围,B类网中的 172.16.0.0172.31.255.255 范围,C 类网中的 192.168.0.0 192.168.255.255 范围。 3、 整网地址规划思路可按照以下方法设计,如 10.X.Y.
27、Z,X为不同厂区进行标 示,Y为该厂区内不同业务或应用进行标示, Z为主机地址位。 4、 同一个区域内部,使用连续的IP子网进行IP地址分配。例如,厂区A内需 要有4个C类网络,为了满足地址汇聚需要,应该为连续的 C类网络。例 女口: 10.254.128.0/24、10.254.129.0/24、10.254.130.0/24 和 10.254.131.0/24 4个网络可以汇聚成10.254.128.0/22。在定义测试区安全策略时,不用将 4 个网段同时定义成ACL,使用一条ACL就可以包括全部网络。 5、 使用可变长掩码规划网络地址,根据IP地址使用对象的特点,部署不同长 度子网掩码。
28、例如,应用网段的IP地址,可以采用C类网地址,掩码为24 位;区域设备之间的互连地址可以采用 29位掩码。 6、 不同主机实际网关IP地址与HSRP使用的IP地址应该在整个数据中心统一, 使用相同的方式配置,例如:整个厂区均采用 X.X.X.1作为主机实际网关IP 地址,HSRP采用X.X.X.254为HSRP网关地址。 7、 网络互连地址采用IP地址网段的头两个可用地址,核心侧设备接口配置奇 数地址,边缘侧设备接口配置偶数地址。例如,设备 A与设备B互连,采用 10.254.254.0/29 网段为互连地址,该网段头两个可用地址为 10.254.254.1 和10.254.254.2,设备A
29、为核心设备,配置奇数地址 10.254.254.1,设备B 为边缘设备,配置偶数地址10.254.254.2。 & 网络设备配置环回地址(32位掩码地址),用于网络管理和日志管理。 VLAN主要用于将局域网环境划分为多个逻辑网络,从而降低广播风带来的影 响,也可提高网络可管理性和安全性。建议在此次网络建设中可按照以下原则对新 建VLAN及原有VLAN进行适当调整和修改。 1、 VLAN ID的规划可按照应用业务、工作部门、厂区位置等方法定义,这里建 议按照原有网络规划方法进行。 2、 VLAN ID可以是2-4096任意数字,为了方便标示和管理,建议 ID与IP网 段地址相关联。如 10.18
30、.10.0/24 - VLAN10; 10.18.20.0/24 VLAN20; 10.18.30.0/24 VLAN30 等。 3、 VLAN规划避免重复,全网VLAN静态手动分配(在根交换机),统一管理 和记录 4.1.52 动态路由协议 对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有 时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收 敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很 重要的影响。 目前存在的路由协议有:RIP(v1 &v2)、OSPF、IGRP、EIGRP、IS-IS BGP 等, 根据路由算法的性质,
31、它们可分为两类:距离矢量(DistanceVector) 协议 (RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。 可用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和IS-IS两种 路由协议均是基于链路状态计算的最短路径路由协议;采用同一种最短路径算法 (Dijkstra )。考虑到产品对OSPF和IS-IS的支持的成熟性以及 OSPF和IS-IS工程 经验,建议采用OSPF做为*网络的主用动态路由协议。 作为链路状态协议,OSPF的特征如下: 通过维护一个链路状态数据库,使用基于 Dijkstra的SPF路由算法。 使用Hello包来建
32、立和维护路由器之间的邻接关系。 使用域(area )来建立两个层次的网络拓扑。 具有域间路由聚合的能力。 无类(classless) 协议。 通过选举指派路由器(Designed Router )来代替网络广播。 具有认证的能力。 OSPF是一套链路状态路由协议,路由选择的变化基于网络中路由器物理连接 的状态与速度,变化被立即广播到网络中的每一个路由器。每个路由器计算到网络 的每一目标的一条路径,创建以它为根的路由拓扑结构树,其中包含了形成路由表 基础的最短路径优先树(SPF树)。 下图是OSPF分Area的状态。OSPF Area的分界处在路由器上,如图所示, 一些接口在一个 Area内,一
33、些接口在其它 Area内,当一个 OSPF路由器的接口 分布在多个Area内时,这个路由器就被称为边界路由器(ABR)。每个路由器仅与 它们自己区域内的其它路由器交换 LSA。AreaO被作为主干区域,所有区域必须与 AreaO相邻接。在 ABR (区域边界路由器,Area Border Router ) 上定义了两个区 域之间的边界。ABR与AreaO和另一个非主干区域至少分别有一个接口。 OSPFS&由设计示意图 OSPF允许自治系统中的路由按照虚拟拓扑结构配置,而不需要按照物理互连 结构配置。不同区域可以利用虚拟链路连接。 允许在无IP情况下,使用点到点链路,节省IP空间。 OSPF是一
34、个高效而复杂的协议,路由器运行 OSPF需要占用更多CPU资源 下面从层次能力、稳定性、扩展性和可管理性四个方面对 OSPF进行介绍: 层次能力 通过 areas 支持层次化 边界在router内 链路状态数据库(LSDB)来自网络或路由器LSA尺寸 一64 KB to 5000条 链路的限制稳定性 依靠路由设计和实现 大型网络中使用呈现增强的趋势 扩展性 使用扩展TLV编码策略 新扩展需开发时间 管理性 企业网中大范围使用 可借鉴经验较多 此次网络建设项目,我们建议在各个区域之间开始部署 OSPF动态路由协议。 因为接入交换机多数为二层交换机,无法一次实现路由到用户边界的改造,所以此 次仅将
35、各个区域的核心交换开启路由进程,今后可逐步实现全网的路由建设。各个 区域在本次设计中都部署高性能三层交换机, 这些交换机需具备完整的路由支持功 能。 区域间核心设备组建OSPF协议的骨干area,未来在大范围部署动态路由协议 时,可考虑将各个厂区划分为 area1,area2等等,可以充分做到基于 area的路 由汇总和控制。 数据中心区 OSPF AREA 0 OSPF 楼层接入 楼层接入 OSPF AREA 2 OSPF AREA N 网络核心区 楼层接入 AREA 1 A厂区 互联网区域可按照需要,适当采用静态路由的方式完成园区网与外网的连通。 未来可逐渐增加路由的范围,逐步演变为路由到
36、用户边界的形式。4.1.6.设备选型建议 4.161. 华为产品选型方案 产品类型 选型建议 配置描述 数量 备注 核心交换机 华为 S12808 背板带宽:32Tbps ;包转发率:9600Mpps ; 8 个 业务槽位;支持基于 Layer2、Layer3、Layer4 优 先级等的组合流分类支;电源功率:w 10800W ; 2 华为 S9306 背板带宽:6Tbps ;包转发率:1152Mpps ;扩展模 块:6 个业务槽位;支持基于 Layer2 协议;安全管 理:802.1X 认证 1 生活区宽 带网核心 交换机 汇聚交换机 华为 S6324 24 个 GE SFP/1O GE S
37、FP+端口,双电源槽位,含 USB 接口,交流供电;转发性能:715 M ;交换容量:960 G ; 2 华为 S5324 20 个 10/100/1000Base-T , 4 个千兆 Combo 口分 交流供电和直流供电两种机型,支持 RPS 12V 冗余 电源,支持 USB 口,交换容量 48G 14 4.1.62 华三产品选型方案 产品类型 选型建议 配置描述 数量 备注 核心交换机 H3C S12508 机箱,主控板,8 端口万兆光口板,48 端口千兆电 口板,流量分析业务板,冗余电源 2 H3C S10508 机箱,主控引擎,48 口千兆电口板,48 口千兆光口 板,4端口万兆光口板
38、,防火墙业务板,冗余电源 1 生活区宽 带网核心 交换机 汇聚交换机 H3C S7506E 机箱,双 Salienee VI 弓 I 擎,2*24 口千兆电口板, 12 口千兆光口板,冗余电源 2 H3C S5500 H3C S5500-52C-EI-以太网交换机主机(48GE+4SFP Combo+2Slots) ,4 个单模 SFP 模块 14 42 安全系统 4.2.1. 系统设计目标 本次*网络改造项目建设目标是通过建立完善的安全体系,在网络安全,主机 安全和应用安全三个层面上, 搭建一套立体的安全架构。 这样可以实现抵御各个层 面的攻击, 防止病毒入侵等功能。同时进行主机的风险评估和
39、安全加固服务,提前 屏蔽漏洞风险。并通过安全管理平台实现安全审计功能,做到事件追踪。 4.2.2. 系统设计原则 422.1. 整体性原则 建设*安全系统时应充分考虑各个层面的因素,总体规划各个出入口网关的安 全策略。本次*网络改造项目充分考虑各个环节,包括设备、软件、数据等,它们 在网络安全设计中是非常重要的。只有从系统整体的角度去看待和分析才可能得到 有效,可行的措施。 4222 适应性及灵活性原则 随着互联网技术的高速发展,对网络安全策略的需求会不断变化,所以本次部 署的安全策略必须能够随着网络等系统性能及安全需求的变化而变化,要做到容易 适应、容易修改。 4223 致性原则 一致性原则
40、只要指安全策略的部署应与其他系统的实施工作同时进行,方案的 整体安全架构要与网络平台结构相结合。安全系统的设计思想应该贯穿在整个网络 平台设计中,体现整体平台的一致安全性。 4224 需求、风险、代价平衡的原则 对网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等) ,并 对网络面临的威胁及可能承担的风险以及付出的代价进行定性与定量相结合的分 析,然后制定规范和措施,确定系统的安全策略。 422.5. 易操作性原则 安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了 安全性;同时措施的采用不能影响系统的正常运行。 4226 多重保护原则 本次*安全系统要建立一个多
41、重保护系统,各层保护相互补充,当一层保护被 攻破时,其它层保护仍可保护信息的安全。 422.7.经济性原则 在满足*系统安全需求的前提下,选用经济实用的软硬件设备,以便节省投资, 即选用高性能价格比的设备;同时,应该充分挖掘现有系统软硬件设备的使用潜力, 尽可能以最低成本来完成安全系统建设。 423安全体系结构 *网络系统安全区域划分示意图如下: 出口区域 舞钢网络安全区域划分图 中心服务器集群 安全级别最高 原料 人事 采购 OA 产销 质量管理管理 防火墙2 管理网区域 安全级别高 核心交换机1 华为S12808 核心交换机2 华为S12808 能源网 远程计量网 一炼 汇聚交换机 S56
42、24 一轧 汇聚交换机 S5324 二炼 汇聚交换机 S5624 二轧 汇聚交换机 S5624 自动化车间 汇聚交换机 S6324 销售部 汇聚交换机 S5324 轧钢总降 汇聚交换机 一炼接入网 一轧接入网 二炼接入网 二轧接入网 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 1 *网络系统安全区域划分 如上图所示,*网络系统划分为多个安全区域,分别为:出口区域、DMZ区域、 管理网接入区域、中心服务器区域和核心交换区。 其中,出口区域和DMZ区域设备 可访问In ternet,部分设备也可由I
43、n ternet访问,但均不可由公网直接路由到,安 全级别为中;管理网接入求负责公司二级接入网络同中心服务器及出口区域的数据 交互,安全级别为高;中心服务器区域设备为 *核心数据,在公网不可以访问,内 网用户只能经授权后访问特定服务,安全级别最高。 接入层安全级别示意图 移动 联通 安全级别中 安全级别低 DMZ区域 Internet ? WWW DNS _ MAIL u 原生产网 核心交换机 华为S8512 销售部接入网 自动化车间接入网 轧钢总降接入网 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 生产网接入交换机 宽带网接入交换机 K “ 接入层的安全级别如上图
44、所示:管理网中,可以上外网的 In ternet接入终端的 安全级别低;只能访问管理网业务系统的接入终端,安全级别较高。 424子系统规划 4.241.网络隔离系统 1. 出口防火墙 通过部署两台千兆出口防火墙实现In ternet与*内网的隔离。两台防火墙一主 一备,提高出口可靠性。 出口防火墙划分的内外网之间的访问策略为:内网到公网基本不做限制,主要 是考虑到内网的上网终端上网需求,另有些设备需要到公网升级;公网到备内网只 针对DMZ区域开放相应端口 (如80)。部署在出口区域的设备如有和内网核心服务 器通讯的需求,在出口防火墙上对这些需求打开相应的 IP和端口。 2. 内网防火墙 通过内
45、网防火墙实现核心内网区域之间的隔离。由于数据流较大,两台防火墙 采用双活方式工作,不同业务的数据流分别通过不同的防火墙, 实现数据流的动态 分担。 实现安全的同时兼顾传输效率。 部署内网防火墙后,要针对业务的情况制订特定的访问策略,策略制定完成后 只开放特定主机的IP与服务端口,其他访问一律禁止。 4242 入侵检测系统 *网络系统需在网络的关键位置部署入侵防御系统 (IPS。建议在网络前端核心 设备部署两台IPS设备。可监控内网与公网之间的数据交互、 公网对DMZ区域的访 问数据、监控接入/DMZ区域终端对核心内网的数据交互。 4243 漏洞扫描系统 为了防止网站被黑客入侵,需要在网络系统中
46、部署漏洞扫描系统,通过漏洞扫 瞄系统可以定期对网络系统进行安全性分析,发现并修正存在的弱点和漏洞。漏洞 扫瞄系统是管理员监控网络通信数据流、发现网络漏洞并解决问题的有力工具。 针对本系统的网络设计,我们将漏洞扫瞄系统部署在核心内网管理区域,使漏 洞扫描系统能够尽量不受限制的对待评估系统进行访问。 漏洞扫描系统部署后,将会对*的各个业务系统以及安全系统设备进行扫描, 根据扫描评估结果可以及时发现系统漏洞并及时采取措施。 4244 安管平台系统 安全管理审计工作作为安全体系的重要组成部分,需要部署安全管理平台系统。 其中安全管理平台服务器部署在*核心内网管理区域,由防火墙提供保护,外网用 户不允许
47、访问该服务器。被管对象和安全管理平台服务器有数据传输,它们之间要 路由可达。 本次安全管理平台需要管理重要服务器和所有安全设备,收集日志后并做出分 析,分出告警级别。也可以通过声光电或邮件、短信等方式报警,及时提醒管理员。 4.245.防病毒系统 防病毒系统的建设首先要依据本次系统设计的总体结构,从网络中业务系统的 模式和主要可能感染病毒的系统和区域进行设计和考虑。 通过分析*网络系统的特点,可以总结病毒感染的途径如下: 部分服务器如windows平台容易受到病毒攻击; 公司内部员工若有访问互联网的权限, 则可能感染网络病毒,并通过HTTR FTP等流量把病毒和恶意的移动代码带入网站; 通过U
48、盘传播病毒; 各种蠕虫病毒主动地通过网络传播。 从以上的分析入手,本系统的病毒防范工作必须从病毒防护的主体着手,根据 他们之间的访问关系施加防护及病毒监控。 本次方案防病毒系统采用防病毒网关与网络防病毒系统相互结合的方式,建立 完整的防病毒体系。其中防病毒网关服务可集成在出口防火墙上,在内网部署网络 防病毒系统,实现对系统中的关键服务器以及内部终端进行病毒防护,严防病毒感 染关键服务器以及终端后造成业务系统受病毒影响。 4246 统一用户/身份管理 用户是IT系统中各类活动的实体,如人、组织、虚拟团队等。用户管理是指在 IT系统中对用户和权限的控制,包括了身份管理、用户授权、用户认证等,身份管
49、 理是基础,用户授权和认证是之上的服务。身份是一个实体区别于其它实体的特性, IT系统中的身份通常指一个人在信息系统中的抽象,也可以是硬件、组织等实体的 抽象,是属于一个特定的实体的属性的集合。身份属性具有一些特点:往往是较短 的数据元素如名称、邮件、电话、照片、数字证书等。 身份管理就是产生和维护身份属性的过程,也是管理不同实体之间关系的能力。 身份管理(Identity Management )是用户管理(User Administration) 的一部分。 统一用户管理(UUM )就是对不同的应用系统进行统一的用户认证,通过统一 的用户认证平台提供一个单一的用户登陆入口。用户在操作系统域
50、登陆时经过统一 用户管理平台认证,就具备了使用相关应用的权利。同时统一用户管理平台还提供 对长时间无应用操作的超时重认证功能,更加可靠的保证安全。 统一用户管理为用户提供多种登陆手段,包括传统的口令登陆以及安全性能更 高的CA、USB Key等,使用户在使用统一身份认证平台上有更灵活的选择。在认 证手段上,统一用户管理提供支持 LDAP/AD协议的认证中心管理,支持多种认证 中心认证,保证用户信息的安全、可靠。 4.247. 单点登录 单点登录(SSO,Single Sign-on )是一种方便用户访问多个系统的技术,用户 只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必重复输入用户
51、名 和密码来确定身份。单点登录的实质就是安全上下文( Security Context )或凭证 (Credential )在多个应用系统之间的传递或共享。当用户登录系统时,客户端软 件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文 包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否 具有访问系统资源的权限。 L客户端向应用服务器请求访问 2, 应用服务器璽定向到逼0服 3. 如果用户未登录SSO安全域 务器将请求重定向到身份认证 用户通过身份认证后,SSO服 生成身份标识并签发身份飾 5. SSO服务器重定向到应用康务 服务器验证断言有效性,从断
52、 用户m息乜本次访问结束 目前业界已有很多产品支持 SSO,但各家SSO产品的实现方式也不尽相同。如 通过Cookie记录认证信息,通过Session共享认证信息。Cookie是一种客户端机 制,它存储的内容主要包括:名字、值、过期时间、路径和域,路径与域合在一起 就构成了 Cookie的作用范围,因此用Cookie方式可实现SSO,但域名必须相同; Session是一种服务器端机制, 当客户端访问服务器时, 服务器为客户端创建一个惟 一的SessionID,以使在整个交互过程中始终保持状态, 而交互的信息则可由应用自 行指定,因此用Session方式实现SSO,不能在多个浏览器之间实现单点登
53、录,但 却可以跨域 4248 上网行为管理系统 针对内部上网的人员,一方面从安全角度考虑,需对网站资源进行筛选过滤, 对非授权人员访问互联网,以及内部人员访问恶意站点等行为进行阻断;另一方面 从管理角度考虑,需对内部人员上网方式进行管理,使上网访问资源可控。 针对这种需求,我们建议将上网行为管理设备部署在互联网出口处。对所有上 网终端进行安全防护,实现对内网用户的上网行为进行管理、过滤和审计,可通过 用户身份认证、上网时间管理、r.o屈弄關 网页访问控制、IM管理、邮件管理、论坛管理、P2P 管理、游戏管理等方式对上网行为进行限制和审计。 4.249.终端安全管理系统 由于目前互联网安全问题突
54、出,针对内部上网终端只有防病毒系统是远远不够 的。需要对终端安全情况进行统一管理,包括硬件资产管理、补丁管理、软件管理、 进程管理、安全软件管理等。对终端的安全情况进行加固后方允许接入网络,否则 不允许接入。提高整个内部局域网的安全准入能力。 4.2.4.10.时钟系统 由于对数据库的访问需要各业务系统保证时钟的统一,因此建议在网络中部署 一台时钟服务器,网络中其它设备通过 NTP协议将自己的时钟与该服务器上的时间 信息进行同步,从而统一内网服务器的时间。在为信息系统时钟系统进行设计时, 充分考虑到时钟系统的可靠性与准确性,保证内网的时间是准确和稳定的。 425.设备选型建议 产品选型信息如下
55、表所示: 骨口. 序号 产品名称 选型建议 配置描述 数量 1 防火墙 网御 Power V-3220UTM 或启 标准 2U 机箱,冗余电源,配 4 个 10/100/1000MBase-T 接口,可选配 IPS、VPN 6 骨口. 序号 产品名称 选型建议 配置描述 数量 明星辰 2010D 和防病毒模块 2 入侵防御设备 天清入侵防御系 统 NIPS3060D 包括 NIPS3060D 硬件平台一台,NIPS3060D 千 兆检测引擎软件一套,天清入侵防御系统 NIPS 数据中心软件一套, 带一年的入侵防御特征库升 级授权 2 3 链路负载均衡 设备 Array-3520-N APV35
56、20 NetVelocity Editio n 链路负载均 衡,12 千兆电口 +4 千兆光口 (SFP,LC,多模), 冗余电源 4 4 应用负载均衡 设备 般固 BG-ADC-2000-L 8 个 10/100/1000Mbps 端口,4 个可选千兆光 纤端口, 1 个 Core 2 Duo 处理器,4GB 内存, 220V AC 冗余电源 2 5 时钟系统 DNTS-82-OG GPS,双网口 10/100M 内置恒温晶振,高精度保 持丄 CD,RS232/485,1pps, 本地告警,机架式 1 6 漏洞扫描系统 绿盟 NSFOCUS RSAS X 绿盟 NSFOCUS RSAS X
57、远程安全评估系统,硬 件产品,支持 256 个 IP 扫描,三年服务 1 7 统一认证和单 点登录系统 统一认证系统 统一认证系统含 50 用户 USBKey 1 8 安管平台系统 启明星辰安全管 理中心软件 启明星辰安全管理中心软件, 包含事件收集、事 件监控、域与资产管理、风险管理、告警和预警、 报表管理等模块,支持 20 台安全设备管理 1 9 防病毒系统 瑞星企业专用版 防病毒系统 瑞星企业专用版防病毒系统, 5 个服务器端,1 个管理中心,25 个客户端 1 10 上网行为管理 系统 深信服上网优化 网关 SG-6500-L 包括上网加速、带宽管理、上网安全、上网认证、 上网代理、访问控制、外发管理、审计、监控、 报表 2 11 终端安全管理 系统 北信源或 BTA 终 端安全管理系统 终端安全管理软件,3000 客户端 1
