网络项目设计解决方案模板

安博实训平台安博教育集团第1页共3页安博实训平台资源网络工程路由交换方向XX项目技术建议书安博教育集团2010年4月安博实训平台安博教育集团第2页共3页第一章网络总体设计1.1网络总体拓扑191919©2002,CiscoSystems,Inc.Allrightsreserved.Presentation_IDF0/2F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/2F0/2F0/2F0/2F0/2F0/2F0/3F0/4F0/2F0/3F0/4F0/3S0/1S0/1F0/1F0/2F0/3Web服务器FTP服务器internet扩展，分公司R1R2R3SW1SW2SW3SW7SW6SW5SW4SW8防火墙市场部人事部教学部研发部项目部总裁办财务部F0/21.2网络层次化设计对网络进行层次化设计，既保证了网络的安全，方便人们更好的地去管理网络，也使得对网络故障查找和排除的工作变得非常简单。多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性，多层网络系统设计最有效利用多种第三层业务，包括分段，负载分担和故障恢复等。在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。针对实际情况我们可以采用三层结构模型。三层结构模型划分为三个层次，即核心层，分布层，接入层。每个层次完成不同的功能。核心层：核心层作为整个网络的系统的核心，其主要功能是高速，可靠的进行数据交换。分布层：分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表，vlan路由等等。安博实训平台安博教育集团第3页共3页接入层：接入层主要提供最终用户接入网络的途径。主要是进行vlan的划分与分布层的连接等等。1.3核心层设计核心交换区的作用是尽快的提供所有的区域间的数据交换。在核心层我们采用两台CISCO2811-HSEC/K9系列路由器(单价1.64万)，CISCO2811-HSEC/K9系列路由器集成化安全解决方案采用了PIX、IDS传感器和VPN集中器技术，将强大的CiscoIOS功能和业界领先的LAN/WAN连接与世界一流的安全功能汇集于一身。“利用现有设施”--利用现有网络基础设施，在路由器上通过CiscoIOS支持全新安全特性，无需部署额外的硬件“在最需要的地方部署安全特性”--为在网络任意地点采用防火墙、IPS和VPN等安全功能提供了灵活性,从而最大限度地发挥了安全优势“保护您的网关”--在网络所有的入点部署最佳安全功能“节省时间和资金”--减少了设备数量，降低了培训和管理成本“保护您的基础设施”--保护了路由器，可以防御直接针对网络基础设施的攻击1.4会聚层设计在会聚层我们采用两台CISCOWS-C3750G-12S-S系列交换机（单价2.66万），ISCOWS-C3750G-12S-S系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术，不但实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750系列最多可以将9个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含468个以太网10/100端口或者252个以太网10/100/1000端口。各个10/100和10/100/1000单元可以根据网络的需要任意组合。3750系列可以使用标准多层软件镜像（SMI）或者增强多层软件镜像（EMI）。SMI功能集包括先进的服务质量（QoS）、速率限制、访问控制列表（ACL）和基本的静态和路由信息协议（RIP）路由功能。EMI可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的IP单播和组播路由。1.5接入层设计在接入层我们采用3台CISCOWS-C2960-24TC-L系列交换机（单价5800元）和3台CISCOWS-C2960-48TT-L系列交换机（单价7600元）。CISCOWS-C2960-24TC-L系列交换机为多达24个端口提供完全15.4瓦功率的PoE配置在网络边缘提供高级访问控制列表(ACL)和增强安全性等智能化特性支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤上行链路；其中每个两用上行端口分别拥有一个10/100/1000以太网端口和一个基于小形可插拔(SFP)的千兆以太网端口，每次有一个端口处于激活状态采用高级QoS、速率限制、ACL和组播服务，提供网络控制和带宽优化安博实训平台安博教育集团第4页共3页根据用户、端口和MAC地址，并通过多种不同的身份验证方法、数据加密技术和NAC，提供网络安全性采用CiscoNetworkAssistant软件，轻松进行网络配置、升级和故障排除采用Smartports对专业应用进行自动配置1.6内联接入内联接入的作用是用于连接总部公司与分公司或者公司内部其他部门，我们推荐使用一台cisco2800系列路由器通过SDH/DDN线路完成此项功能。由于北京总部办公网络和分公司机房属于ambow公司的内部网络的一部分，因此可信度很高，接入时主要作用是管理和监控，不涉及交易。总结以上的原因，内联路由器与核心交换网络间不需要配置额外的防火墙。第二章路由设计2.1路由协议选择对于路由协议，目前较好的动态路由协议时ospf协议和EIGRP协议，但是EIGRP协议属于cisco私有协议，其它厂商设备不支持，考虑到ambow公司网络的扩展性，公开性，投资的保护等原因，我们设计采用ospf路由协议和静态路由相结合的路由方式。OSPF协议中，首先每个路由发送HOLLO包，与其它路由器建立邻居关系。然后每台路由器进行LSA泛洪，并获得相同版本的LSA形成形同的LSDB（链路状态数据库）。最后以自己为跟通过SPF算法计算出到达每一个目的地的最优路径，然后添加到路由表。2.2路由规划拓扑图安博实训平台安博教育集团第5页共3页191919©2002,CiscoSystems,Inc.Allrightsreserved.Presentation_IDF0/2F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/1F0/2F0/2F0/2F0/2F0/2F0/2F0/3F0/4F0/2F0/3F0/4F0/3S0/1S0/1F0/1F0/2F0/3Web服务器FTP服务器internet扩展，分公司R1R2R3SW1SW2SW3SW7SW6SW5SW4SW8防火墙市场部人事部教学部研发部项目部总裁办财务部F0/2Area02.2IP地址规划IP地址的规划在网络设计中的作用举足轻重，直接影响整个网络运行的效果，IP地址的设计的总原则是简单，易管理，易扩展。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点，IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP地址：、唯一性：一个IP网络中不能有两个主机采用相同的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构中易于进行路由总结，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。地址规划：总部分部网段211.x.x.x192.168.x.x安博实训平台安博教育集团第6页共3页子网掩码255.255.255.0255.255.255.0子网网段部门部门保留211.0.0.0192.168.0.0设备互联211.16.30.0/30-21.16.70.0/30192.168.101.0技术专用211.16.1.0/32—211.16.6.0/32第三章网络安全解决方案3.1网络边界安全威胁分析网络的边界隔离者不同功能或地域的多个网络区域，由于职责和功能不同，相连网络的密级也不同。这样的网络直接相连，必然存在着安全风险，我们对ambow总部网络边界问题做脆弱性和风险的分析。Ambow总部网络主要=存在的边界安全风险包括：Ambow总部网络与各级单位的连接，可能遭到来自各地的越权访问，恶意攻击和计算机病毒的入侵：例如一个不满的内部用户，利用盗版软件或从Internet下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击，误操作等等，但是它们的后果都将导致重要信息的泄露或者是网络的瘫痪。3.2网络内部安全威胁分析Ambow总部网络的风险分析主要针对ambow的整个内网的安全风险，主要表现为以下几个方面：内部用户的非授权访问：ambow内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄露。内部用户的误操作:由于内部用户的计算机造成的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。安博实训平台安博教育集团第7页共3页内部用户的恶意攻击：就网络安全来说，据统计约有70%左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到ambow网络系统和各种网络应用的正常运行。例如：路由设备存在路由信息泄露，交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的丢失，都将会造成ambow公司内部的业务无法正常运行。安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。3.3安全产品选型原则Ambow网络属于一个行业的专用网络，因此在安全产品的选型上，必须慎重，选型的原则包括：安全保密产品的接入应不明显影响系统运行效率，并且满足工作要求，不影响正常的业务。安全保密产品必须满足上面提出的安全需求，保证整个ambow网络的安全性。安全保密产品必须通过国家主管部门指定的测评机构的检测；安全保密产品必须具备自我保护能力；安全保密产品必须符合国家和国际上的相关标准；安全产品必须操作简单易用，便于简单部署和集中管理。3.4网络常用技术介绍Vlan技术（VirtuallocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用标准化Vlan实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理地LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包括一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播域个单播流量都不会转发到其他VLAN中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络的安全性。Trunk技术一般的交换机端口只能属于一个VLAN，对于对个VLAN需要跨过多台交换机，就需要用到Trunk技术。Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN跨越整个网络，而不仅仅