特区七星彩论坛手机版

數據中心網絡建設方案

時間: 2016-07-01 14:15:40
來源: www.irmcv.com.cn
點擊: 47220

 

第一章 前言

數據中心作為企業的重要基礎設施之一,作為企業信息化建設的支撐平臺,對企業的科研和管理等方面將起著重要的作用。

數據中心網絡建設項目是一項復雜的工程,需要結合企業的現狀和未來發展的需要,企業內部IT服務對網絡的要求,以及網絡技術本身的發展趨勢等諸多方面的因素來共同考慮,并結合完善周密的項目企劃和實施,由各部門人員和專業的網絡設計人員和企業項目組通力合作才可能成功地順利完成本項目。其詳細的技術設計和實施計劃須從對業務的實際情況和未來長期發展的需求進行詳細分析入手,包括對現有IT總體規劃,關鍵業務應用的評估、分析及與業務運作相關需求的分析,因此其絕對不是一些空洞文件的堆積,而是一個融入我們雙方心血的復雜的項目。將本著與友好合作關系的原則,在此參與本項目方案設計,其目的在于利用豐富的網絡建設、規劃經驗和先進的網絡設備,為提供一個整體解決方案,以通過有力的專業服務支持,協助實現寬帶數據骨干網絡的建設。我們希望在本項目及今后的具體物理結構設計與項目管理中,能夠與貴校展開更加密切的誠摯合作。

 

第二章 設計原則與設計思想

第一節 項目總體目標及需要

設計的數據通信系統是一個以企業的應用驅動為基礎的網絡系統,企業的應用運作方式驅動著網絡應用,而網絡應用又驅動著專業的服務、網絡管理以及網絡的基礎結構,在這個模型中,企業最為關心的是網絡的應用。但是專業的服務、嚴謹的網絡管理系統以及可靠的網絡基礎架構又是承載網絡應用的基礎。

1.1 需求分析

數據中心網絡主要實現整個內部科研、交流和辦公需要,全面提升整個企業信息化建設的整體水平,提升企業整體的科研、辦公、管理效率。歸納起來企業網建設的需求主要有:

(1)實現企業網內部各樓層部門之間實現聯網。

(2) 實現企業網內部所有用戶的安全接入,保證整個企業網內部網絡用戶高速、安全接入,對一些非法用戶進行拒絕。

(3)建立高速、安全、高效的網絡基礎支持平臺,為實現“數字化企業”創造條件。

(4)實現企業管理系統現代化。

(5)實現企業系統多媒體化(包含VoIP系統的實現)。

1.2 網建設的總體目標在數據中心建設支持所有場所的計算機安全、高速、可靠互連;

實現企業網與中國移動、Internet(中國電信)、中國聯通等的安全可靠互連;

實現企業網的網管系統,實現有效的配置管理、失效管理、安全管理、計費管理和性能管理;

數據中心網絡作為信息系統的基礎運行環境,建立基于高性能的多媒體企業系統和以信息交換、信息發布、查詢、視頻會議等應用為主的網絡應用基礎環境,為領導決策、日常行政管理、企業、科研提供先進的支持手段;

建立網絡環境下的全單位辦公自動化系統及各類管理信息系統,實現全單位各類信息的集中管理、處理及信息共享;

建立全單位Internet和Intranet應用,為全單位的信息獲取和信息交流提供服務;

網絡系統具有完善的安全保證體系結構,要有良好的安全保證能力;

企業網主要部分應能支持IPV6等下一代互聯網標準;

 

第二節 項目總體設計原則

網絡的可靠性

企業數據中心網絡由于運行企業系統,需要保證網絡的正常運行,不因網絡的故障或變化引起企業的瞬間質量惡化甚至企業的中斷這點十分重要。網絡作為數據處理及轉發中心,應充分考慮可靠性。

數據中心網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。

模塊冗余考慮網絡匯接點的主干設備和核心設備的所有關鍵模塊和環境部件應具備1+1或1:N熱備份的功能,所有模塊具備熱插拔的功能,當某一關鍵模塊出現故障時,可由備份模塊接替其功能;

設備冗余考慮在網絡核心出口提供由兩臺設備組成一個虛擬路由設備的能力,如采用核心設備DCRS-9808啟用VRRP路由協議,當其中一個設備因故障停止工作時,另一臺設備自動接替其工作,并且不引起其他節點的路由表重新計算,從而提高網絡的穩定性;

鏈路冗余考慮主干連接(計算機網絡信息中心與各主干大樓之間的連接)具備可靠的線路冗余方式,根據業務信息量很大,充分考慮運營維護的工作量等因素, DCRS-9808滿足數據中心級別的可靠性要求和企業網應用的靈活性要求。可自愈的系統設計,平滑軟件加載功能實現無需重新啟動交換機的系統升級功能;這種網絡自愈特性應可以保證不會引起業務的瞬間質量惡化,更不會引起業務的中斷,保障系統具備99.999%以上的可用性,保證設備每年停用時間不會超過5.36分鐘;只有達到這樣的指標,才能真正減輕網絡中心維護工作量,給企業一個優質的信息網絡空間。

 

網絡的安全性

網絡的發展趨勢是基于Internet Web技術的開放網絡化系統。這不僅帶來了新的巨大的使用方便,同時也帶來了不斷增加的復雜應用及信息技術的挑戰,因而安全是企業數據中心網絡建設中要考慮的一個關鍵因素。

公司認為,網絡安全在內容上主要應考慮以下5個方面:

身份鑒別與授權

身份包括鑒別和授權。鑒別回答了“你是誰”和“你在哪?”這兩個問題,授權回答“你可以訪問什么”。必須對身份機制謹慎部署,因為如果設施難以使用,即便是最嚴謹的安全策略也有可能被避開。

邊界安全

邊界安全涉及到防火墻種類的功能,決定網絡的不同區域允許或拒絕何種業務,特別是在Internet和園區網之間或撥入網和園區網之間。

數據的保密性和完整性

數據的保密性指確保只有獲準能夠閱讀數據的實體以有效的形式閱讀數據,而數據完整性指確保數據在傳輸過程中未被改動。

安全監測

為檢驗安全基礎設施的有效性,應經常進行定期的安全審查,包括新系統安裝檢查,發現惡意入侵行為的措施,可能的特殊問題(拒絕業務攻擊)以及對安全策略的全面遵守等方面。

策略管理

由于網絡安全涉及到以上的多個方面,每一個方面都使用了多種產品和技術,對這些產品進行集中有效的管理可以幫助網絡管理者有效地部署和更新自己的安全策略。

在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。

 

網絡的可擴展性

從我國企業系統信息系統的發展來看,目前用戶數量以及應用系統的膨脹是必然的趨勢,網絡系統面臨數據流量增大的壓力,在設計企業系統信息網絡時應充分考慮系統的可擴展性,從而保護網絡系統投資。

網絡的擴展能力包括設備交換容量的擴展能力、端口數量的擴展能力、主干帶寬的擴展,以及網絡規模的擴展能力。

交換容量擴展應具備在現有基礎上繼續擴充2-4倍容量的能力,以適應IP類業務急速膨脹的需求。設備的選型應充分考慮包轉發能力以及數據交換能力。

端口密度擴展需要認真分析用戶和應用系統的擴展可能性,在具備擴展可能性的信息節點配置高可擴展性的網絡設備,滿足網絡擴容時對用戶接入以及系統互聯的需要。

主干設備應具備充足的接口,滿足4-8倍甚至更高的帶寬擴展能力,以適應IP類應用及業務急速膨脹的需求。

網絡規模擴展需綜合考慮網絡體系結構、路由協議的規劃和設備的CPU路由處理能力,應能滿足網絡擴容時對用戶接入以及數據流量變化或增大時處理能力的需要。

核心萬兆交換機DCRS-9808,提供12個插槽,其中8個位業務插槽,采用專為基于IP的通訊和關鍵性業務設計優化,可以提供不間斷的、線速的、無阻塞的萬兆或高密度千兆交換。

7.2T的背板帶寬和高達1786Mpps的線速轉發性能,保證網絡核心大數據量交換機的需求;提供多種接入模塊,滿足企業網絡多種應用需求;支持IPv6和L2 MPLS功能,滿足企業網絡的先進性需求。

 

先進性和成熟性

系統所有的組成要素均應充分地考慮其先進性。我們不能一味地追求實用而忽略先進,只有將當今最先進的技術和我們的實際應用要求緊密結合,才能獲得最大的系統性能和效益。

企業是網絡技術應用的先行者,在的網絡設計中,我們充分考慮企業網絡設備對新技術標準的支持能力,例如:IPV6、MPLS VPN等技術的支持。對于企業網絡中心,大數據交換量需求的場合,應該使核心交換機滿足服務器的負載均衡功能,滿足企業用戶的大數據量通訊的需求。

作為信息系統基礎的網絡結構和網絡設備的配置及帶寬應能充分地滿足網絡通信的需要。網絡硬件體系結構應在實際應用中能經過較長時間的考驗,在運行速度和性能上都應是穩定可靠的、擁有完善的、實用的解決方案,并得到較多的第三方開發商和用戶在全球范圍的廣泛支持和使用。同時,應從長遠的技術發展來選擇具有很好前景的、較為先進的技術和產品,以適應系統未來的發展需要。

 

網絡的可管理性

隨著網絡中設備逐漸增多,網絡技術日趨復雜,網絡管理的重要性越來越明顯——網絡的復雜導致系統運行的不確定因素增加,可靠性降低,“宕機”時間變長且帶來的損失越來越大,而往往由于平時對網管的忽略,缺乏受過專業培訓的網絡管理人員,也缺乏綜合的網管解決方案,因而發生問題時無從下手,這才意識到網管的重要。作為一套考慮完善、可靠性要求極高的系統,當然不希望有“亡羊補牢”的情況發生,因此網絡管理是網絡設計必不可少的考慮因素之一,從設備本身操作系統所具備的一些網管功能,到簡單的網絡管理工具,甚而功能強大的大型管理系統,用戶可根據自身的實際網絡應用和資金安排,循序漸進,逐步實現全面網絡管理功能。

 

兼容性和開放性

只有支持兼容性的系統,才能支持與其他開放型系統一起協同工作,在網絡中采用的硬件設備及軟件產品應支持國際工業標準或事實上的標準,以便能和不同廠家的開放型產品在同一網絡中同時共存;通信中應采用標準的通信協議以使不同的操作系統與不同的網絡系統及不同的網絡之間順利進行通訊。

對于處于同一工作范圍內的網絡設備,要求硬件設備符合NEBS標準體系認證,保證運行設備不會對其他提供服務的設備造成負面影響,不會對人和環境造成傷害,降低火災隱患。只有符合NEBS國際標準認證的核心網絡設備,才能夠滿足以上的關鍵需求,符合的建設要求。

 

其他

在系統集成的設計過程中,決定性的因素還有很多,需要結合用戶需求綜合考慮。

例如,網絡數據流量的估計是網絡所需帶寬的重要依據,以信息服務系統為例,其工作方式主要分為局域網內部工作站對網絡服務器上的信息資源的訪問和遠程計算機對本局域網網絡服務器上信息資源的訪問兩種。由于局域網內工作站對網絡服務器的訪問有可能造成網絡最大的數據流量,使服務器和網絡設備之間的連接成為系統瓶頸口,使網絡發生擁塞,因此需要對這一數據流量進行一個大致的估計,以便按照估計在服務器和工作站之間配置容量相當的網絡設備和通訊帶寬。

遵從了如上的設計原則,選擇技術先進,經濟實用、適應性強、可靠性高、可擴展性好的設備,從而使系統具有較高的性能價格比,真正滿足的應用需求。

 

第三節 項目總體設計思想

層次化設計

層次化設計方法可為網絡帶來以下三個優點:

可擴展性:因為網絡可模塊化增長而不會遇到問題;

簡單性:通過將網絡分成許多小單元,降低了網絡的整體復雜性,使故障排除更容易;

設計的靈活性:使網絡容易升級到最新的技術,升級任意層次的網絡不會對其他層次造成影響,無需改變整個環境;

可管理性:層次結構使單個網絡設備的配置的復雜性大大降低,更易管理。

要建設大型的、性能優良的、具有很強擴展能力和升級能力的綜合網絡,在設計中就必須采用層次化的網絡設計原則。具體而言,核心主干層的主要作用是提供高速傳輸和路由最優化通信,匯接網絡層主要完成網絡流量的控制機制以使接入網絡和核心層環境隔離開來,還應能對由用戶接入層所區分開的不同優先級的應用加以區別對待,從而支持端到端的服務。

 

端到端的網絡服務保障

企業網絡根本的目標是服務全單位甚至與企業信息相關的所有公眾,也是數據中心網絡建設的根本目標之一,這就不僅僅需要在提供便宜的帶寬方面下足功夫,而且更重要的是必須在更高層次上保證“網絡運行品質”的五個方面:

端到端的網絡實際運行性能

端到端的網絡安全性可靠性

端到端的服務質量(QOS)保證

端到端的業務易實施性

端到端的網絡可管理性

 

第三章 系統總體設計

網絡系統的總體設計主要包括以下幾大部分:

網絡總體建設方案

網絡互聯拓撲圖

系統可靠性和策略路由設計

路由協議規劃(整個企業網內考慮)

無線局域網設計

數據中心網絡安全性設計

遠程異地辦公的支持

數據中心產品備件和售后方案

人員培訓方案

 

第一節 企業網絡總體建設方案

1.1 總體方案描述

在本方案中我們采用了“自頂向下”的設計思想。自頂向下的設計方法適用于從OSI參考模型的高層開始再向較低的層次推進的網絡設計,它著重于在選擇運行于較低層次上的路由器、交換機和介質之前,將重點放在應用、會話、數據的傳輸上。另外,我們還認為:“好的網絡設計必需清楚客戶的需求蘊涵著許多商業和技術的目標,包括可用性、可伸縮性、可購買性、安全性和可管理性等。”所以我們在設計網絡系統的時候,盡量站在用戶的角度考慮問題,以滿足用戶的應用需求和技術需求為指南。

本網絡系統是一個大端口密度網絡系統,是一個要求帶寬較高、要求很高的安全性、支持用戶數和應用種類較多的網絡。在網絡設計中我們采用先進的千兆位以太網和第三層交換設備作為骨干網絡,同時考慮網絡核心設備支持10G/100G以太網絡,滿足用戶的未來升級需求。其總體架構為可擴展的10G/100G以太網骨干,在網絡的匯聚層節點,設計采用模塊化結構千兆位以太網路由交換機,并使用千兆位以太網連接接入層交換機和應用服務器,網絡用戶使用10/100/1000M交換到桌面的連接;在整個網絡中可以根據實際需求劃分VLAN,在網絡中心的主干結點支持VLAN之間的線速路由。

1.2 網絡拓撲設計

方案設計概要:

1.         采用內、外網物理隔離設計思路,保證內網(辦公網)的應用安全不受外網(包含VoIP/無線/公寓區用戶)影響;

2.         內網網絡架構采用全冗余設計,全方位保障數據中心各辦公業務系統對網絡的安全、高效、穩定的要求;

3.         外網應用(包含VoIP/無線/公寓區用戶)采用獨立網絡結構設計,既保證了各應用系統的性能,又充分考慮了系統的靈活可擴展性和性價比;

4.         外網用戶對內網的訪問將通過VPN+認證的方式保障網絡應用的安全;

1.3 網絡核心層設計

1.3.1 內網核心層設計

數據中心網絡建成后將承載網頁瀏覽、電子郵件服務,多媒體、遠程辦公、VOD點播、視頻會議,監控,等多種應用系統,因此網絡骨干需要具有較高的性能以保障上述各應用系統的順暢運行, 充分考慮以上因素,設計企業網絡采用雙核心的方案,在核心機房內分別設計采用2臺十萬兆核心交換機,作為企業數據中心的核心交換機,2 臺核心設備之間采用2個千兆鏈路通過鏈路聚合的方式實現兩個核心之間4G全雙工的通訊連接。每個核心交換機各通過一個千兆鏈路分別連接到兩臺防火墻,實現關鍵鏈路的冗余備份。 

1.3.2 外網核心層設計

外網核心交換機采用多業務萬兆路由交換機。改交換機承擔數據中心無線用戶的接入、VoIP系統數據交換以及八樓公寓區用戶的辦公上網需求。

以業務智能化為核心理念的多業務萬兆路由交換產品。該產品具備成熟的IPv6特性、線速MPLS L2/L3 VPN功能、多平面分離的高可靠性設計、高性能的L2/L3交換、豐富精細的QoS策略、強大的融合業務支持、整合安全特性,因此,它能幫助用戶切實提升商務效率和業務競爭力。業務萬兆路由交換產品可作為園區網、城域網的關鍵設備之一,它不僅能夠降低用戶構建下一代網絡的復雜性,而且提供了很好的投資保護。

1.4 網絡匯聚層設計

企業服務器群網絡匯聚層在服務器群網絡中一方面是核心層的網絡元素,參與核心層網絡路由設計;另一方面它又是聯接接入層所有交換機的匯聚點;同時也是網絡策略控制的中心。因此匯聚層的高可用性設計也要從這幾方面考慮。

匯聚層以3層交換機對的形式來部署,實現設備級的冗余。可以利用鏈路聚合技術將匯聚層交換機對之間的端口和鏈路組合起來,實現高可用的高速互聯。匯聚層交換機間可以通過2層主干鏈路連接,也可以使用3層交換啟用路由協議。

從匯聚層到核心層的連接每臺匯聚層交換機采用雙鏈路連接到不同的核心層交換機實現上聯鏈路冗余。針對核心層的連接使用3層交換,啟用與核心層一致的快速收斂路由協議,并且進行等價多路徑設置,實現鏈路負載均衡和提高路由收斂速度。

匯聚層是接入層所有交換機的匯聚點,當匯聚層與接入層交換機之間采用2層連接時可以使用VRRP、HSRP或GLBP實現網關的冗余備份和流量的負載分擔。發生鏈路或節點故障時,收斂速度取決于缺省網關冗余與故障切換,通過合理地配置各種協議狀態定時器,可以達到亞秒級的收斂速度。

根據以上分析,從數據中心網絡的實際情況出發,我們設計采用3層網絡結構,在服務器區采用兩臺萬兆交換機作為匯聚交換機,匯聚間采用VRRP協議,實現雙機互備,通過3層路由上聯兩臺核心交換機。所有服務器采用雙網卡方式,每網卡分別連接一臺匯聚交換機,網卡通過軟件捆綁,形成雙鏈路冗余和負載均衡。

1.5 網絡接入層設計

我們在企業網建設經驗中發現,近兩年內網絡內部形形色色的網絡攻擊,給用戶的應用及網絡穩定造成了極大的威脅,尤其是ARP攻擊,讓用戶一直很頭疼,并且ARP攻擊會經常性的出現不同的變種版本,讓網絡經常性的時斷時續。智能安全接入交換機可以提供一套完整的動態防護ARP 等攻擊方案。可以在接入層防范來自終端的諸多攻擊,保證用戶應用的穩定運行。

1.6 一站式安全出口設計

企業內所有員工都要通過企業網出口訪問INTERNET,同時為保障整網出口的穩定,冗余性,一定是多個外網出口,因此要求企業網出口區域在多出口情況下具有較高的性能,可以使企業內部用戶順暢地通過不同出口訪問外網而不產生瓶頸。因此,在數據中心的網絡出口,部署了2臺防火墻,防火墻專為大型企業網絡中心網絡而設計,功能強大、性能穩定卓越、抗拒絕服務攻擊能力突出。外網出口部署一臺全千兆多業務防火墻,以保障外網應用的安全。

1.7 按用戶授權訪問Internet

本方案中,我們采用的全千兆多業務防火墻實現對用戶的訪問控制。通過安全統一管理器可以實現企業網的訪問外網管理,可以實現靈活的授權訪問機制。

該方式具有如下特點:

超強的用戶接入控制

    帳號的唯一性認證,防止多個用戶共用一個帳號上網。

    針對不同的企業用戶,開放不同的權限

    針對不同的IP 地址授權不同的訪問外網的權限;比如:開放網頁瀏覽服務等

    可以針對不同的用戶開發或者關閉BT、電驢、QQ等應用服務

 

第二節 系統可靠性和路由設計

2.1 系統可靠性設計

2.1.1 冗余策略

實施目的:要建立可靠性為99.999%的局域網絡。

局域網系統要求7x24小時不間斷運行,因此對系統可靠性提出了很高的要求。系統可靠性由以下因素決定:

物理設備冗余設計

數據鏈路的邏輯備份

數據中心網絡的物理冗余主要通過提供冗余設備和冗余鏈路來完成。在網絡中,兩臺核心交換機均互為備份,關鍵業務交換機通過互為備份的雙鏈路接入到兩臺核心交換機。通過SPANNING TREE及路由策略的靈活配置實現設備的負載均衡和冗余備份。

局域網常見的冗余策略

  (1)核心交換機物理冗余;

(2)核心交換機雙電源冗余;

(3)接入層交換機采用雙鏈路連接至局域網核心交換機,實現鏈路和設備冗余;

(4) 對于分布層和核心層采用路由策略實現設備和鏈路的熱備份。

2.1.2 接入交換機冗余策略

實施目的:防止接入交換機單點故障造成網絡癱瘓

本方案中,提供邊緣設備接入局域網絡的交換機故障將影響到所有連接到該交換機模塊的邊緣設備,在此最多可以影響達到24個用戶。

為了保障網絡運行的可靠,為提供1小時相應的備機更換政策。

2.2 策略路由

實施目的:根據用戶類別、業務類別進行路由選徑及分流

一般路由不管是透過RIP、OSPF、BGP,還是MPLS標記協議,多是由目的地址來決定路由路徑,因此無法對網絡流量進行有效分流,或是對網絡流量制定策略。然而,策略路由能力在現今多樣化的網絡環境中有時是必要的功能之一。在企業網中,作為企業研究的用戶必須被連接到中國移動的網絡出口,而宿舍網絡的用戶則通常被導引到CHINANET的出口,如此分流才不致影響到企業網的科研性能,同時經由適當的分流,高速/低速出口均能分配到相應的流量,從而使得帶寬的應用得到有效分配。

想要達到這種分流的效果,一般路由是無法做到的,唯有透過策略路由(PBR),將源地址進行分類,并且制定其下一跳出口的IP地址才能達成。而這也是策略路由有別于一般路由之處:基于源地址信息執行路由選徑,而不基于目的地址信息執行路由選徑。策略路由能做的不僅是依用戶的類別進行路由選徑及分流,更進一步,它也可以做到依業務的類別來指定路由或分流。 跟ACL一樣,在需要策略路由的網絡設備上,不但要有完整而多樣化的策略路由支持功能,同時必須強調有硬件處理能力,才能在啟動的同時,仍然享有三層交換線速轉發的能力。

        

2.3 IP路由選擇

實施對象:匯聚層交換機

實施目的:交換路由信息;方便網管人員的網絡路由管理

三層可路由交換機支持豐富的路由協議,RIP、 OSPF靜態路由等常用路由協議,可以實現和其他品牌的路由交換機的路由協議兼容。

建議在網絡建設實施過程中,在網絡的核心和匯聚層的路由交換機上面應用OSPF動態路由協議,該協議具有收斂速度快、網絡響應速度快等多種優點,非常適應類似于這樣的網絡規模上面使用。

在接入層和匯聚層之間,由于接入層設備變化頻繁,為了避免接入層設備宕機造成網絡核心的路由震蕩,建議在匯聚層和接入層設備之間部署靜態路由,方便企業的網絡管理。

 

第三節 數據中心網絡安全設計

企業網信息系統通過企業網信息的共享、交流、協作,使企業網的管理活動成為企業網的增值過程:通過該系統實現政府在政治、經濟、社會、生活等領域的管理服務職能;實現政府決策信息的發布與存取,支持決策活動:實現辦公業務信息交流和交互式處理,支持企業網執行活動,以完成企業網活動的全過程。然而,企業網信息系統功能的發揮,是建立在系統安全、有效的基礎上的,企業網信息系統的安全是實現系統功能的關鍵所在。《國家信息化領導小組關于我國企業網建設指導意見》(17號文件)明確指出建立企業網網絡和信息安全保障體系是企業網建設的主要目標和任務之一。避免造成“只搭網,無安全;修了路,不敢跑車”的局面。因此,在企業網建設中,必須把解決信息安全問題作為一項重點工作。

3.1企業網面臨的安全威脅

在計算機網絡中,安全威脅來自各方面,甚至有些是由于我們自身的失誤而產生的。影響、危害計算機網絡安全的因素分自然和人為兩類。自然因素包括溫度、濕度、灰塵、雷擊、靜電、水災、火災、地震,空氣污染和設備故障等因素,人為因素又有無意和故意之分,例如由于誤操作刪除了數據的疏忽和過失,而人為故意的破壞如黑客行為。由于網絡存儲和流動著許多高度機密數據和電子財富,這早已是各類間諜及黑客窺測和行動的目標。

就我們所討論的范圍來說,影響網絡安全的因素有四類:黑客、病毒、合法人員的失誤,以及網絡系統自身的脆弱性,細分起來,目前網絡存在的威脅主要表現在以下幾個方面:

(1)合法人員自身的因素,在一個安全設計充分的網絡中,人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。

網絡管理員或網絡用戶都擁有相應的權限,利用這些權限破壞網絡安全的隱患也是存在的。如操作口令被泄露,磁盤上的機密文件被人利用及未將臨時文件刪除導致重要信息被竊取,都可能使網絡安全機制形同虛設,從內部遭受嚴重破壞。

(2) 非授權訪問

沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

(3)信息泄漏或丟失

指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如“黑客”們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。

(4)破壞數據完整性

以非法手段竊得對數據的使用權,刪除、修改、插入或重某些重要信息,以取得有益于攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。

(5)拒絕服務攻擊

它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

拒絕服務攻擊是一種破壞性攻擊,最早的拒絕服務攻擊是“電子函件炸彈”。它的表現形式是用戶在很短的時間內收到大量垃圾電子函件,從而影響正常業務的運行。嚴重時會使系統關機、網絡癱瘓,“信息炸彈”的攻擊更具威懾力,信息炸彈一旦爆炸,就會引起網絡系統癱瘓。        

(6)利用網絡傳播的病毒

計算機病毒被發現十多年來,其種類以幾何級數在增漲,受害的計算機數量每年增加一倍,很多病毒的泛濫還帶來了災難性的后果。同時,病毒機理和變種不斷演變,并通過網絡快速地廣泛傳播,比如,病毒可以通過電子函件、軟件下載、文件服務器、防火墻等侵入網絡內部,傳輸介質可以是光纖,電纜或電話線。它們動輒刪除、修改文件,導致程序運行錯誤、死機,甚至于毀壞硬件。人們雖然對于在單機環境中的病毒防治取得了很大成績。但計算機網絡無疑為病毒防治工作提出了新的挑戰。網絡的普及為病毒檢測與消除帶來很大的難度,使病毒的破壞性大大高于單機系統,而且用戶很難防范,成為計算機及其網絡安全發展的又一大公害。

(7)網絡系統固有的脆弱性

Internet從建設伊始就缺乏安全的總體構想,因而充滿了安全隱患和固有的安全缺陷。例如,Internet所依賴的TCP/IP協議本身就很不安全。

IP層協議的安全缺陷包括:

¨     應用層協議Telnet,FTP、SMT等協議缺乏認證和保密措施;

¨     依靠軟件配置IP地址,造成地址假冒和地址欺騙;

¨     IP協議支持源路由方式,即源點可以指定信息包括送到目的節點的中間路由,提供了源路由攻擊的條件。

(8)傳輸線路的安全與質量

盡管在同軸電纜、微波或衛星通信中要竊聽其中指定一路的信息是很困難的,但是從安全的角度來說,沒有絕對安全的通信線路。無論采用何種傳輸線路,當線路的通信質量不好時,將直接影響聯網效果,嚴重的時候甚至導致網絡中斷。例如市內電話線路,主要電氣指標有直流電氣性能指標(環阻、絕緣電阻);交流特征(線路衰耗、線路衰耗交流頻率特征);交流特性阻抗等。當通信線路中斷,計算機網絡也就中斷,這還比較明顯。而當線路時通時斷,線路衰耗大或串雜音嚴重時,問題就不那么明顯,但是對通信網絡的影響卻是相當大,可能會嚴重地危害通信數據的完整性。

3.2 針對企業網的安全設計

通過上述分析我們認為與本次數據中心內、外網系統建設過程中涉及到路由交換平臺部分相關的安全漏洞主要存在于(5)、(6)兩條,下面是網絡公司解決方案針對這兩條的措施。

我們認為,要徹底根治(5)、(6)兩條問題,除了加強設備自身的安全性以及抗擊病毒能力還遠遠不夠,必須將這些問題隔離在用戶PC上并且在出現苗頭以前必須能夠發現問題,也就所謂的安全接入的全新理念。

3.2.1防火墻

根據企業網絡的現狀,我們選擇配置了多業務全千兆防火墻設備,可以有效防止DDOS等各種安全問題,具體參見安全統一威脅管理器功能描述。

3.2.2骨干網防DDOS攻擊

我們知道,針對外部INTERNET上的黑客用戶攻擊內部用戶或者資源,我們可以通過防火墻、IDS等網絡設備進行防范,但是對于內部用戶攻擊內部的一些業務相關的重要服務器我們就束手無策了,或者盡管服務器前面配置了防火墻但是DDOS攻擊會將連接防火墻的帶寬消耗殆盡,尤其是現在內部局域網網絡帶寬普遍比較高,而各種黑客小程序,如DDOS、DOS等拒絕服務攻擊小程序更是可以從INTERNET上唾手可得。

3.2.3 全網防病毒設計

為了防止日益猖獗的沖擊波、振蕩波病毒或者以后類似變種及新型病毒對網絡造成的嚴重影響,尤其是這類病毒可以導致三層交換機處于癱瘓狀態(CPU利用率100%),大大影響了交通系統正常的業務應用,導致非常嚴重的損失。

為了防患于未然,我們建議在整個企業網內、網絡出口的各個層次進行訪問控制,

3.2.4 全網安全接入控制

為了防止一些別有用心的人通過這些公共途徑連接到企業網內、外網系統內部的網絡信息,從而進一步對內部網絡進行攻擊,我們建議使用動態路由協議認證技術,只有具有相同認證Password的路由器,才能夠進行正常的網絡動態路由學習,否則即使將非法的路由器接入到網絡中來,也不能夠通過動態路由協議得到內部網絡路由信息。

為了保證整個平臺的穩定、可靠性,我們不僅需要從網絡設備本身下功夫,如在核心交換機上配置冗余電源、管理引擎等,還需要從很多地方如OSPF協議的MD5加密、全網的ACL、端口限速等多個方面著手控制,但是僅僅這些還是不行的,我們需要借助電信等運營商的技術對于接入網絡的用戶進行控制,對于這些接入用戶可以進行實時的控制,并且還可以有效地防止用戶使用BT下載消耗Internet出口資源、防止用戶冒用別人的IP/MAC進行對于企業網內、外網系統或者相關資源進行破壞活動等。

這就是基于802.1X的企業網安全接入解決方案DCSM-A系統,一種采用集中式管理,同時進行分布式安全域部署實現安全通信、全面用戶行為精細管理的解決方案:

對在線用戶的短消息通知,用戶名/用戶IP/用戶MAC的各種反查功能。

對上線用戶基于策略的VLAN授權控制,內外網訪問帶控制,防代理、防IP地址盜用、防MAC地址盜用、防非法DHCP Server等。

各種綁定和綁定列表控制功能,上網時段控制功能。

對在線用戶的網絡病毒檢測告警/隔離功能:沖擊波病毒、震蕩波病毒、發包速度異常、收發包比例失調(網絡掃描)等進行實時檢測并進行告警,管理員可以將用戶隔離,同時禁止有毒用戶進網。

DCSM通過五個統一、十個一體化幾乎能夠解決當前企業在安全管理與身份認證方面所遇到的所有問題。

五個統一、十個一體化內容如下:

blob.png

    Web和802.1x一體化的價值

通過認證計費管理平臺實現Web和802.1x一體化,可以方便的與接入交換機及出口網關設備相互通,對不同的區域可以根據企業需要采用不同的認證管理方式,例如對于來賓區采用控制力比較強的802.1x認證方式,在接入端實現終端多元素綁定,對于辦公區域,可以采用靈活方便的Web Portal的認證方式。

    準入和準出一體化的價值

通過認證計費管理平臺實現準入和準出一體化,企業用戶只需要1套帳號密碼,經過1次認證就可以實現訪問內外網的需求,同時也可以實現內網訪問只認證不計費,外網訪問計費的方式。通過認證平臺與出口流控設備的互動,可以實現非常靈活的計費方式,不僅可以按照上網時長計費,也可以根據流量計費或根據帶寬計費。   

    有線和無線一體化的價值

企業網同時具備有線網絡和無線網絡接入能力,通過有線無線一體化,可以避免有線、無線使用不同的認證計費平臺,進而提升用戶的上網體驗效果,無論用戶采用有線方式還是無線方式上網,都可以通過統一的認證計費平臺來進行認證、計費、管理,即減少了網絡投資,又方便管理。

    IPv4/IPv6一體化的價值

新建設企業網同時承載IPv4和IPv6協議。認證計費管理平臺需要同時支持IPv4與IPv6,管理員可以很方便的看到用戶的IPv4與IPv6方面的相關信息,方便管理,通過IPv4與IPv6的統一認證,也增強了IPv6方面的網絡安全,避免IPv6用戶可以不經過認證就能接入網絡。

    私有、標準一體化的價值

由于企業網建設周期較長,且設備經常需要升級,這就造成了企業網的建設幾乎不可能至始至終都使用同一廠家的設備,這就需要認證計費管理平臺能夠與不同廠商的接入交換機之間實現互通,實現接入端802.1x統一認證,無論接入端使用的是哪家主流廠商的接入交換機都要求認證計費管理平臺能與之互通,實現終端802.1x認證,并且可以實現一些諸如多元素綁定、即時消息、強制下線等等一些特色功能。

    身份認證、安全管理一體化的價值

身份認證管理平臺集認證計費與安全管理于一身,不僅可以實現基于用戶名、密碼的認證,也可以通過與客戶端軟件的配合實現主機的安全性檢查,保證只有安全的終端才可以接入網絡,接入網絡后,也可以防止客戶端私改IP、MAC,避免ARP相關網絡攻擊。

    身份管理、帶寬管理一體化的價值

通過認證管理平臺與企業網出口流控設備相互動,可以實現身份認證、帶寬管理一體化,流控設備可以根據具體的用戶來設置策略,可以根據具體用戶來分配帶寬資源,也可以根據用戶群組來分配帶寬資源,對不同的用戶群組可以設置不同的策略。

    網元管理、服務管理一體化的價值

認證管理平臺不僅可以實現網元管理,還可以實現易用的用戶自服務的管理,方便實現用戶業務辦理、修改信息、查詢信息、帳單導出、問題保修等服務。

    實名審計、輿情監控一體化

通過認證計費管理平臺與上網行為審計系統互動,可以在上網行為審計系統上實現基于實名的審計,而不是傳統的基于IP的審計,同時可以實現實時的輿情監控,民意調查功能。

3.2.5 802.1X融合統一認證計費方案

blob.png

l 組網說明

需要部署支持802.1x的接入交換機,負責用戶的接入認證數據,其中,對于非品牌的接入交換機,只需要支持標準802.1x即可;內網部署DCSM作為AAA統一管理中心,進行統一開戶、配置計費策略、用戶帳號的綁定控制等;

DCSM接收來自802.1x的接入交換機的認證和計費數據,用戶的流量不經過DCSM;可采用兩臺DCSM,以主備方式組網,保證整個網絡的核心穩定運行。

2  方案特點

多廠家設備融合統一認證計費

有線無線集成化客戶端,在實現有線無線統一身份認證的同時,還解決了長時間困擾用戶的多廠家設備同時存在時無法實現統一認證的問題,由于高校企業網建設周期較長,在不同的階段由于不同的需求可能采用不同廠家的設備,目前的802.1x認證,各廠家均是采用私有認證,在終端設備上必須安裝各廠家獨有的私有客戶端才能與其接入交換機、認證計費系統互動,實現私有802.1x認證,這種私有認證對接入設備的依賴性很強,不便于后續的應用擴展,有線無線集成化客戶端,配合DCSM統一身份認證平臺,無論接入設備是否是的產品,只要支持標準的802.1x協議即可,在客戶端安裝有線無線集成化客戶端,就可以與DCSM認證平臺互動,實現私有802.1x認證,實現即時消息通知、IP地址上傳、強制下線以及keep alive等功能。

接入控制安全可靠:

功能強大的安全接入管理功能:不僅可實現認證的綁定、防代理上網,更可以實現基于安全交換機的ACL轉發控制功能,從而防止內網中假冒地址等方式的攻擊、掃描、ARP病毒、沖擊波病毒等對網絡造成的影響。

通過對網絡的掃描,DCSM可以實時動態地發現網絡的情況,確定網絡中是否有各種各樣問題,并且實時發現網絡中的終端、服務器和網絡設備。即使在終端啟用防止ping的個人防火墻的情況下,DCSM仍然可以通過其它的方式發現這些終端并獲得這些終端的配置信息。這對于動態了解網絡中的情況變化發現網絡中存在的問題、IP地址管理、終端的資產管理提供了技術手段。

對于終端,可實現如下交互操作:

√ 阻斷與強制下線

√ 信息收集

√ 強制補丁升級

√ 強制客戶端升級

√ 與瑞星等防病毒軟件實現聯動,保證上網前的客戶機的安全性

√ 發送實時消息

√ 啟動與停止用戶主機中的軟件進程等

靈活的認證計費

預付費業務(功能強大,強調費用用光后的實時強制斷線功能),后付費業務(很少人用)。精確的流量計費,精確的時長計費。包天、包月計費;支持用戶上網的時段控制,可在某些時間段內禁止用戶上網。基于授權組的管理策略:可通過授權組功能實現對用戶、用戶組實現帶寬、VLAN等的靈活授權功能。

輕松的網絡管理

支持對用戶的強制下線管理。防代理,防上網后IP地址篡改,防啟用非法DHCP Server;基于用戶組的用戶管理。支持開戶模板方式;用戶web自注冊開戶功能,節省管理員輸入大量用戶信息的工作量。用戶web自修改計費策略功能,用戶可通過web自服務來自己修改管理允許的計費策略

3.2.6 Web準入認證計費方案

     blob.png

l    原理機制

接入交換機將未認證用戶的HTTP請求重定向至Portal Server

用戶得到認證界面,提交用戶名和密碼進行認證,

Portal Server獲得用戶提交的用戶名和密碼,連同用戶的其它接入特征信息(包括接入交換機IP、接入交換機端口、接入交換機Vlan、用戶IP地址、用戶MAC)等送給DCSM服務器校驗

DCSM根據接入審查策略、計費策略等一系列判斷后通知Portal Server校驗結果

Portal Server根據校驗結果通知交換機方向或阻斷,并通知用戶校驗結果

用戶在認證成功后轉到保活頁面,并可以訪問網絡。

2  方案特點

  可控

WEB身份準入認證方案,同樣基于Dot1x的安全設計思想,在最接近用戶的層面即用戶連接網絡的接入端口啟用認證,確保只有合法用戶才能訪問網絡,將非法用戶屏蔽在網絡之外。

WEB身份準入認證方案,在用戶身份綁定方面完全繼承Dot1x的安全控制方法,可以不僅僅實現用戶名和密碼的簡單校驗,也可以實現接入交換機IP+接入交換機端口+接入端口所在Vlan+用戶IP+用戶MAC實現六元組的綁定檢查,確保合法用戶在合法信息點使用合法IP通過合法終端才能接入網絡,實現高度的安全管理控制。

WEB身份認證方式,對于龐大的Windows用戶,可以通過ActiveX控件方式進一步增強終端安全檢查,杜絕沒有安裝關鍵操作系統補丁、沒有安裝指定殺毒軟件的終端接入網絡,強制用戶提升安全意識、及時實施終端安全加固。

可信

通過WEB認證,確保接入網絡的用戶身份可信,通過用戶身份可信確保用戶的IP可信,通過IP可信確保用戶行為不可抵賴性。讓一切可追查到IP的審計均可以追查到最終用戶,對蓄意非法的網絡攻擊和破壞行為具有強大的威懾作用。

配合上網行為審計系統,實現基于用戶的行為審計和網絡行為告警管控聯動,對用戶非法網絡行為實施有效監控和管理。

易用

傳統Dot1x認證方式涉及到認證客戶端的下發、部署、安裝、配置,這不僅增加了維護工作,也使得網絡可用性大大降低,再者,客戶端固有的操作系統兼容性等問題導致企業網準入認證技術得不到有效實施,致使部分高校用戶放棄了企業網安全接入控制。

WEB身份準入認證技術,不使用客戶端,通過操作系統自帶的瀏覽器即可實現準入認證,不僅方便最終用戶使用,也解決了Dot1x客戶端認證固有的各種問題。

WEB身份準入認證技術,降低準入控制的實施難度和推廣難度,提升了準入控制技術的可用性,將會進一步促進身份準入認證安全措施的實施。

融合

接入交換機可以同時支持WEB準入認證與Dot1x準入認證,配合DCSM系統可以管控不同用戶在不同區域使用不同認證方式,即同一賬號在不同區域可以使用不同的認證方式,不同身份賬號在同一區域使用不同的認證方式,從而實現靈活的管理和控制。

接入交換機在實施Dot1x或WEB認證的同時可以防止并阻斷ARP欺騙、惡意ARP掃描、私設DHCP Server等非法網絡行為。

接入交換機在實施Dot1x或WEB認證的同時,允許用戶不認證或無法認證情況下訪問指定的公共資源,例如DCSM自主助系統、WSUS服務器、防病毒服務器等等,從而讓企業網的資源得到合理有效利用。

內網安全接入、外網靈活計費。WEB身份準入技術解決了企業網安全接入技術層面的問題,但不應該讓校內安全接入與訪問校外的互聯網計費運營混淆,否則就成了內網認證即收費,既不利于企業網身份準入的實施也不利于企業網正常收費運營業務的開展。配合交換機WEB身份準入認證,提供WEB二次轉一次認證技術:一次認證依次通過接入交換機和外網計費網關,實現內網安全接入、外網靈活計費的安全接入運營管理。

內網安全接入、外網基于用戶的應用控制和速率控制。網絡準入、網絡運營需求解決后,還需要考慮提升出口帶寬資源的合理有效應用、實施靈活的應用控制,這與網絡準入關系密切,因為這三者均是基于用戶身份而言,也只有基于用戶身份而言才合理、流量和應用控制才能有效部署。配合流量整形與用戶接入管理DCFS系列網關的配合,實現基于用戶的安全準入控制、速率和應用管理、網絡運營管理,促進企業網更安全、更可控、更高效,讓企業網更好地為師生服務。

DCSM系統可以實現與AD域、LDAP實施統一身份認證,只要使用一個用戶名和密碼即可實現網絡層面的準入認證和應用系統的準入認證,配合數字企業建設,實現統一身份管理。

 

3.3 VLAN設置方案

VLAN在邏輯上等價于廣播域。更具體的說,我們可以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上,但他們之間可以象在同一個LAN上那樣自由通信而不受物理位置的限制。在這里,網絡的定義和劃分與物理位置和物理連接是沒有任何必然聯系的。網絡管理員可以根據不同的需要,通過相應的網絡軟件靈活的建立和配置虛擬網,并為每個虛擬網分配它所需要的帶寬。

在網絡設計中,作為企業和辦公的核心網絡設備,根據具體需要劃分多個VLAN,其中ADMIN作為設備管理用VLAN.這樣可以對這些不同VLAN之間的通訊進行控制,這樣既可以節約成本,又可以保障重要網段的安全,同時減少廣播和沖突,提高系統的可用性。

在接入層交換機與分布層交換機之間采用802.1Q作為VLAN的傳輸協議。

根據目前的應用需求,在網絡實施前期按照需求,配置網絡的VLAN。

3.4 系統防病毒安全策略

近年來網絡病毒日益嚴重,為了網絡的安全運行,迫切需要一個行之有效的防治病毒的解決方案。

通過分析目前防病毒軟件發展的趨勢可以知道,集中管理的網絡防病毒系統使用效果最好。如果在網絡環境中使用單機防毒程序,每一工作站的使用者依個人的喜好自行設定管理軟件,設定并無一致性。部分使用者可能會移除或是關閉在他們計算機上執行的防毒軟件,使他們的工作站無法受到保護。除此之外,運用病毒特征比對技術的防毒軟件必須依賴最新的病毒碼檔案始能有效的發揮功用,需要不斷的升級和更新特征文件和軟件內核,以應對新產生的各類病毒。

對于一個大型網絡來說,部署的防毒系統將十分復雜和龐大。尤其在各網點在地域上分離的情況下,通過一個監控中心對整個系統內的防毒服務和情況進行管理和維護顯得十分重要。這樣可以大大降低維護人員的數量和維護成本,并且縮短了升級、維護系統的響應時間。

有效的企業網絡環境防毒策略必須顧及以下幾個層面,防護網絡環境中病毒主要的入侵點:

1.客戶端:在每個用戶的PC平臺上,都必須具有相應的防病毒軟件進行安裝防范。

2.服務器端:網絡中還存在大量的PC服務器如文件服務器、應用服務器等等。用戶在日常工作時會經常同這些服務器進行文件傳輸等工作,也就形成了另外一種病毒的傳播途徑。這些服務器也需要安裝相應的防病毒軟件。

3. 網關:網關是隔離內部網絡和外部網絡的設備如防火墻、代理服務器等。在網關級別進行病毒防范可以起到對外部網絡中病毒進行隔離的作用。

4. 郵件服務器:電子郵件目前已經成為病毒傳播的重要途徑。對郵件服務器進行集中郵件病毒防范是非常有意義的。一個好的郵件或群件病毒防范系統可以很好地和服務器的郵件傳輸機制結合在一起,完成在服務器上對病毒的清除工作。另外,由于目前郵件病毒的傳輸方式已經從以前的單純附件攜帶方式擴展為內容攜帶方式,所以一個好的郵件防病毒系統應該具有清除郵件正文中的病毒的能力。

5. 于的SMTP對外網關處,建議使用郵件網關級防病毒設備,用來過濾每一封進出公司網絡的e-mail 與其所夾帶的每一個附件,核對是否符合所設定的政策。

6. 此外,在的環境中建議采用集中管理的網絡防病毒系統。通過一個監控中心對整個系統內的防毒服務和情況進行管理和維護。這樣可以大大降低維護人員的數量和維護成本,并且縮短了升級、維護系統的響應時間。

3.5 防火墻安全控制策略

在數據中心的網絡出口,部署了2臺防火墻,防火墻專為中型企業網絡中心網絡而設計,功能強大、性能穩定卓越、抗拒絕服務攻擊能力突出。防火墻專為具有復雜網絡結構的中型企業用戶而設計,配備16個10/100/1000M自適應以太網端口,8個SFP 千兆光口,提供了復雜網絡多子網之間的安全控制方案。在網絡中,存在著以千兆網絡接口存在的服務器,而防火墻多端口的特點,不僅可以直接對大量網絡服務器進行接入,并且可以有效的劃分不同安全區域,根除服務器之間的被跳板入侵等的安全隱患。在保護網絡安全的同時還降低了成本。設備采用64位多核多線程處理器芯片和高速交換總線技術,實現了芯片級的VPN、QoS流量管理等功能的硬件加速性能,避免了傳統ASIC和NP安全系統新建連接能力和流量控制能力弱的弊病。

主要特性

最具性價比的安全網關

基于高性能多核多線程處理器的硬件芯片級解決方案

支持多接口鏈路負載均衡,支持端口備份,提供鏈路優先選擇

具有自主知識產權的64位高安全操作系統

芯片級硬件加速深度包檢測、IPSEC VPN、SSL VPN等功能模塊

支持USB KEY雙因素身份認證登陸SSL VPN

支持P2P(BT、eMule,迅雷等)應用控制,提供高速硬件對關鍵應用的顆粒度為1kbps的QOS支持,支持網游優化

支持應用層安全防護,支持JavaApplet,Active-X、URL過濾等功能

極低的設備功耗(45W),節約用戶能源成本

支持ARP防護客戶端,全面防御基于ARP的病毒及攻擊

支持SNMPV1 V2,支持OSPF協議封裝

部署靈活,維護方便、易于管理

3.6 其他安全策略

(1)實行對網絡路由的安全控制和分布

利用‘路由過濾–RoutingFiltering'技術,限制某些網段的路由往其它網段發布,使路由信息只是傳輸到合適的網絡范圍,提供網絡訪問的安全控制。

(2)對網絡路由協議做MD5的認證

為了防止一些別有用心的人通過這些公共途徑連接到數據中心內部的網絡信息,從而進一步對內部的網絡進行攻擊,我們建議使用動態路由協議認證技術,只有具有相同認證Password的路由器,才能夠進行正常的網絡動態路由學習,否則即使將非法的路由器接入到網絡中來,也不能夠通過動態路由協議得到內部的網絡路由信息。

 

第四節 網絡管理

針對網絡用戶集中的特點,我們提出基于LinkManager5.0 NM系統管理方案。

信息網絡的網絡管理是網絡建設的重要內容,是保證局域網系統正常運行的前提。網絡管理不但需要先進、實用的技術支持手段,對大型網絡而言,更需要合理、有效的組織體系和規章制度。網絡管理是網絡可用性的關鍵組成,界定并實現網絡管理是網管設計的主要內容。

在當前環境下,用戶要求網絡管理越來越簡單便捷,總結如下:

中文界面,操作簡單,在線幫助:降低網管人員操作難度,提高管理效率;

真正實現全網管理:消滅網絡盲點,全網狀況盡在掌握;

故障區分、準確定位以及故障處理:問題及時發現并能快速響應,減少用戶損失;

集中或者分布式網管適合不同的網絡結構,滿足不同管理方式;

智能配置全網QoS(服務質量)策略:實現端到端用戶和應用的服務質量保證,網絡中存在多種業務模式,并確保關鍵用戶、關鍵業務的網絡質量;

性能管理,安全管理等也都是用戶關心的基本網絡管理問題。

業界已有的網絡管理系統平臺有HP Openview、IBM Tivoli、CA TNG等,這些網管系統都是主要面向全球所有計算機網絡而開發,強調功能性較多,但是,對于中國運營商用戶業務特點涉及較少。

立足中國市場,提供符合中國運營商寬帶城域網使用特點的設備/網元級的網絡管理系統。

  l     網絡管理系統——LinkManager

LinkManager系列網絡管理系統具有:

1.1識別所有SNMP設備,具有同時管理不同廠商設備的潛力;

1.2集成分布式網絡管理和集中式網絡管理的優勢特性;

1.3提供盡可能多的網絡狀態信息;

1.4中文管理界面;

1.5易于操作;

1.6可以不依賴昂貴的網絡管理平臺;

1.7實現網絡設備管理、用戶管理的完美統一,同時對網絡管理、網絡流量計費系統也實現了完美的統一。

blob.png

               圖1  集中式管理模式

 

4.1  網絡管理規劃特點


(1)采用LinkManager網絡管理系統;

(2)全部的狀態信息匯集至一臺網管工作站;

(3)適合應用服務集中的模式。

 

LinkManager寬帶網絡管理系統是一套基于Windows NT平臺的高度集成、功能較完善、實用性強、方便易用的寬帶網絡管理系統。它是根據中國寬帶網絡運營商用戶的實際需求,結合ISO網絡管理模型的五大功能域的架構,自主研發出來的一套具有自有知識產權的寬帶網管系統。

在配合寬帶網絡運營商需求方面,LinkManager在系統級及設備級專為寬帶網絡運營管理員設計了用戶管理,其實質是將寬帶網絡強調的用戶隔離、信息點管理等理念與實現寬帶接入的二、三層交換機設備的管理無縫地糅合在一起,通過提供一鍵隔離、更新用戶記錄、反常用戶監控、用戶開通情況統計、自動交費檢查、自動MAC地址學習、遠程配置等功能,達到簡化操作、強化管理的目的。

在進行設備管理時,LinkManager具有既面向指定設備,又支持通用網絡設備的“垂直+水平”的管理特性。它能夠對推出的具有SNMP功能的網絡設備提供齊全的設備管理和功能管理,同時也能夠良好地支持其他任何具有通用SNMP功能的網絡設備,提供整個網絡的拓撲結構和常用網絡管理信息。

 

4.2  網管系統主要特性

LinkManager NM是基于多年開發與服務經驗,推出的一款新一代綜合性網絡管理軟件。LinkManager NM以易用、實用、夠用為開發原則,定位于對網絡和業務應用實施深入而全面的監控,把網絡拓撲發現、資源管理、設備管理、終端管理、性能管理、故障分析、異常流量監測、服務器管理、數據庫管理、WEB監控等融為一體。

LinkManager NM通過可視化、儀表化、智能化的網絡導航管理模式,將復雜的網絡管理工作簡單化、人性化,讓網管軟件帶動用戶來熟悉與掌控自己的網絡,大大降低了用戶技術入門的門檻,助廣大網管人員輕松駕馭網絡。

系統功能: 

網絡拓撲發現  網絡異常監測  終端合法性監控  服務器管理  

業務應用管理  網絡鏈路管理  統計報表

系統特點:

即開即用(Out Of The Box):NM可即開即用,安裝簡便,無需用戶再額外查閱手冊。

一站式導航(One-Stop Navigation):NM的導航系統可以引導用戶一步到位地建立起網絡管理的全局體系。

blob.png

智能化(Intelligence):自動發現網絡及其承載的服務,自動配置監控對象及性能閥值,自動分析故障并發出告警。

多維度(Multi-Dimension):從路由、設備、終端、流量、故障等方面多角度、細顆粒度地監控、管理網絡。

全局觀(Overview):以Portal的方式展現,幫助網絡管理人員一目了然地掌控網絡的運行全局。

寬屏化 (Widescreen):國內首款寬屏設計,便于更多信息的集中顯示。

個性化 (Personality):用戶可根據需要建立起自己的特色網絡管理中心,并配制個性化的監控界面。

 

主要功能:

1.         網絡拓撲發現

自動、準確、及時地發現各類大型網絡的拓撲結構。拓撲發現準備是LinkManager NM相對于其他產品的優點。并且可根據管理員設置自動完成更新。拓撲呈現直觀,展現界面可自定義。

blob.png

2.         網絡運行狀況監測

持續監視、報告網絡的運行情況,發現異常及時告警。

blob.png 

(1) 設備故障與鏈路阻斷告警

(2) 設備與鏈路性能告警

(3) 異常流量告警,如ARP病毒爆發、BT下載等

3.         終端合法性監控

NM內置有合法性監測引擎設備,能在不額外消耗網絡帶寬的情況下,自動監測網內終端設備的基本屬性(IP地址、MAC地址、主機名、連接的交換機端口等),提供面向終端的安全性、活躍度、流量管理,并且可通過多種安全策略,阻斷非法終端接入。
 blob.png

4.         服務器管理

監測方式多樣,如SSH(遠程登錄)、Agent、SNMP等;監測的服務器包括Windows、Linux、HP-UX、AIX、Solaris等分類呈現監控結果,重點突出。

blob.png

5.         業務應用管理

深入監測Oracle數據庫、WEB服務、Email服務等業務應用,展現其運行健康度。

blob.png

 

6.         網絡鏈路管理

從業務角度對網絡重要鏈路進行監測和分析,對鏈路的通斷、負荷、健康度進行評估;自動跟蹤鏈路的通斷,并對鏈路的SLA進行管理。

blob.png

7.         統計報表

NM為用戶提供了性能、告警、狀態、資源等統計和分析報表,幫助用戶輕松地、多角度地掌控IT資源的運行全局。


blob.png

 blob.png

 

第五節 無線局域網設計

無線局域網,就是通過無線局域網(Wireless Local Area Network,簡稱WLAN)技術,在某一特定區域中建立的無縫無線通訊網絡,使該區域的每個角落都處在網絡中,形成全覆蓋的無線網絡。

對于新辦公樓經常會接待外來人員,采用WLAN覆蓋可以方便外來人員訪問互聯網,同時通過物理隔離與企業的內網有效的隔離起來,防止企業機密外泄。

所以,為了保證辦公網的安全,在該設計方案中,大樓內所有無線AP通過網絡(外網)和無線控制器連接。同時,無線控制器通過上行鏈路直接和外網核心交換機連接。通過采用無線用戶獨立網段,,出口防火墻策略隔離等手段最大限度保障局域網的安全。無線用戶如果需要進入內網,將采用VPN+身份認證的方式確保網絡安全。

無線網絡最大的特點是具有的高度的空間自由性和靈活性;可以避免大規模鋪設網線和固定設備投入,有效地削減了網絡建設費用,極大的增強了建網的靈活度;無線局域網帶寬很寬,適合進行大量雙向和多向的多媒體信息傳輸,尤其適合報告廳或會場這種信息點密度較高且位置不顧定的場所。通過無線局域網的建設,都可以找到解決的基礎和途徑。

實際上,擁有無線網絡,已經成為現代化辦公的一個重要標志。

5.1 無線局域網設計原則

5.1.1無線與有線的隔離

新辦公樓的無線主要用于公寓區人員或外來人員訪問互聯網,通過防火墻上實施安全訪問策略,再輔以認證管理系統的認證授權機制,以及內、外網物理隔離的方式,可以有效地將無線用戶和企業內網隔離開。

5.1.2遵循標準

無線局域網采用的技術支持應為國際標準或業界標準,不使用某個廠商的專用技術和協議,以保證網絡設備的互通性,有利于網絡的投資保護。

5.1.3集中式管理+分布式轉發的網絡結構

上一代代無線局域網架構采用無線交換機加瘦AP的結構,使得無線局域網的網絡性能、網絡管理和安全管理能力得以大幅提高,使建設大型無線網成為可能。但是隨著無線數據流量的增加,無線交換機不但容易成為數據傳輸瓶頸,也容易發生單點故障。增加無線交換機無疑將大幅提高組網成本。

新一代無線局域網架構采用無線控制器加智能AP的架構,新一代可胖可瘦智能AP可以接受集中式管理和配置,又可以本地直接轉發數據,成功的規避了第三代無線局域網存在的問題,成為無線局域網發展的必然。

5.1.4安全可靠性

在網絡安全性方面,無線局域網系統要具有與有線局域網同樣要求的安全防護措施,無線網的安全性主要從以下幾個方面考慮:

  1) 接入認證:具有支持多種用戶認證方式;

       2) 數據鏈路的全程加密;

       3) 具有無線電波監控能力,能提供無線入侵偵測和無線終端位置的追蹤功能。

可靠性方面主要是:具有提供智能化的無線電波自動調控與切換能力,以確保單個AP接入點在發生故障時自動切換到鄰近AP;雙無線控制器熱備功能。

5.1.5無線技術的選擇

隨著802.11n的到來,無線局域網(WLAN)領域正在發生根本性的轉變,而這場轉變正如無線局域網的誕生一樣引人矚目。802.11n最終標準的300Mbps的極高數據速率為實現全無線企業網絡奠定了堅實的基礎。豐富的多媒體應用將無縫部署于網絡內的各個節點,其卓越性能遠遠超過此前的802.11a/b/g技術。由于802.11n的后向兼容行,該技術的成熟也逐漸取代了802.11a/b/g,成為企業組建無線局域網的首選。

根據無線網絡設計原則,結合的具體情況,建議采用的802.11n集中式無線局域網解決方案,在5-8樓公寓區部署企業級雙頻300M無線AP(R3),所有AP通過雙絞線連接無線控制器,采取集中管理方式,降低網絡管理員的工作量。

 

5.2無線組網方式設計

無線網絡AP的部署,需要考慮的因素遠多于有線網絡,比如說建筑的分布,墻體的厚度、材質,所以只有實地勘測以后,才可能精確確定AP的部署位置和數量。根據我司與貴公司項目組成員的反復溝通和測試,先確定數據中心大樓共需要22個AP,實現大樓的無線信號覆蓋

AP大多擺放在天花板、墻壁等不易直接觀察設備工作狀態的位置,這就要求無線網絡必須采用集中管理的方式對全網設備進行實時的監控和管理。

使用無線網絡可以分為不同的無線接入業務類型。因此,可以在設計上采用無線局域網多SSID技術,設置多業務區分方式,例如一個SSID可給政府內部職員所用,而另一個可給來賓專用。多SSID的最主要用途是可讓無線終端以不同的安全認證和加密方式入網。

802.11的標準內定義了不同加密情況時數據包的封裝格式,所以用戶可在無線接入時使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,但是不同加密方式不能在同一個SSID內同時存在的。

某一個SSID可以覆蓋全網,也可以只局限于辦公區內的某些范圍。新辦公樓在部分范圍內全網開通,然后針對該SSID進行一些權限限制,例如:來賓(Guest)使用的SSID;但有些SSID可以只在辦公區廣播,只供某些部門使用,例如一些部門辦公區所使用的SSID。

5.3用戶管理設計

網絡無線系統中可以設定用戶的角色(role),每個角色可以基于用戶權限和可訪問資源的設定等規則。一般的用戶接入不同的SSID時只具有該SSID或VLAN所對應資源的訪問權限,所以訪問不同的VLAN的資源需要分別登錄不同的SSID,這樣是十分不便的。網絡的基于用戶角色的權限管理是與用戶認證捆綁在一起,當無線用戶成功通過認證后,他會獲得一個預設的用戶角色權限,訪問其他SSID對應的網絡資源。這樣,一個具有全部權限的用戶通過一個SSID登錄后,可以訪問所有SSID對應的語音、數據和視頻業務的權限,從而簡化了用戶的權限設置和用戶管理的復雜性。

對某些特殊的來賓開放某些VIP賬號,分配給其較高權限的角色。在帶寬方面可以做比較寬松的限制。所有這些在配置、使用和管理上都非常符合一般企業的網絡管理需求。

5.4無線安全性設計

在網絡無線系統中,可以在多個層面對系統構筑安全防護,其安全性設計如下:

(1)多SSID:可以根據需要,在網絡無線系統中設置多個SSID,不同的SSID采用不同的安全策略,這樣可以對不同的用戶及應用進行區分服務。另外SSID還可以選擇隱藏的方式,用戶無法看到,防止非法用戶的連接企圖。SSID還可以限制SSID出現的范圍也是實現安全性的一種手段。可是實現企業對不同的區域實行不同級別的安全等級保護

(2)加密:網絡無線系統支持多種加密的方式,二層的加密支持靜態WEP、動態WEP、TKIP、WPA、802.11i         多種加密方式,三層的加密支持IPSec VPN加密,這樣使得加密的方式更加的靈活,可以根據實際需求進行選擇,同時也保證了企業涉密部門數據傳輸的安全性。

(3)用戶認證提供三種方式:

① WPA-PSK+captive portal+VPN。

加密方式采用WPA-PSK,不建議采用靜態WEP,因為有安全隱患。采用captive portal+VPN的認證方式,同時VPN還具有三層的加密功能,具有更高的安全性。認證服務器的選擇比較靈活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DCWS-6028內置的帳戶數據庫。

② WPA+802.11x加密方式盡量采用WPA,如果客戶端不支持也可采用動態WEP,認證方式采用802.11x,認證服務器選擇RADIUS。

③ Dynamic PSK?

Dynamic PSK?是網絡專有的用戶認證和加密技術。傳統的無線加密密鑰對所有的用戶是相同的,相當脆弱;而且長度較短,容易被解碼。Dynamic PSK?技術為每一個用戶提供一個64字節的密鑰,實現完整而且非常安全的認證加密手段。

(4)用戶的Role(角色):

每一類用戶可以建立一個相關的Role,每個Role有一個用戶狀態防火墻的設定和帶寬控制的設定,這樣我們就可以根據每一位政府職員的權限設定的對應安全策略。

(6)帶寬控制:

可以對每個用戶設定其可以使用的帶寬,一方面可以保證政府的重要應用對網絡資源的占有,另一方面,當客戶端中了病毒以后,其病毒發作時不會占用網絡全部的帶寬。

5.5無線方案特點

1)認證一體化。無線解決方案可與認證計費系統DCSM-A無縫結合,實現無線、有線網絡的統一認證;也支持第三方的radius認證和Windows的AD認證。可以保護政府的前期投資,方便用戶實行統一的用戶權限管理。

2)網絡管理一體化。的無線產品除了可以通過專有的無線控制器或者FlexMaster進行網絡管理,也支持通過SNMP協議,由LinkManager進行統一管理。可以簡化企業的網絡管理工作。

3)網絡結構一體化。無線解決方案采用智能AP+無線控制器組網,其中無線控制器旁接在核心交換機或者匯聚交換機上,無須改變現有的網絡結構。無線數據轉發全部交給本地接入交換機完成,不會象無線交換機串接組網方式那樣,出現轉發瓶頸。

4)安全防御一體化。無線解決方案完全支持TSA可信安全接入方案,同時采用集中式安全管理的方式,全面實現政府無線網絡的安全運營。

5)綠色環保網絡。無線解決方案使用的無線產品,全部通過嚴格的RoHS測試;獨有的天線技術保證了使用比其它廠商少的AP數量,達到更大的無線覆蓋面積,更好的網絡Qos,更可以減少90%的電磁污染。                   



返回列表
特区七星彩论坛手机版 3d最准确的定独胆公式 作业帮答题如何赚钱吗 鱼丸游戏 奔驰宝马 能提现的奔驰宝马游戏 内蒙古福彩快三投注技巧 七星彩全部历史开奖号 个人参赛感言 计划 黑龙江风采22选5大星走势图 欢乐捕鱼破解版 郑州给饭店送菜赚钱吗 时时彩三星组六什么意思 七星彩历史开奖数据库 天天街机捕鱼赢话费 钱生钱是最快赚钱法 福彩投注技巧大全