中小型企业事业单位办公网改造建议书

中小型企业事业单位办公网改造建议书 2007 年 1 月 一、 中小型企事业单位办公网的应用现状和主要存在的问题 由于信息化建设的发展，各政府、机关、医疗、企业等单位都 已经完成了电脑单机普及阶段，拥有了自己的办公局域网络，还有 互联网或专网的出口。但是在网络的使用中也出现了各种各样的问 题，这些问题影响着用户放心地使用网络工作，也给网络维护人员 带来很多困扰。比较常见的问题包括： 1、 IP 地址冲突：在正常情况下网络中的用户可以使用本网段内 的所有 IP 地址，但这样一但有人更改了和别人甚至是和网关相同 的 IP 地址，就会造成互相冲突人的断网甚至是网关设备断网。 2、 互联网出口不安全：大部分单位还在采用代理服务器、简单 型路由等设备进行连接。一但爆发大规模的网络病毒或恶意攻击 就会使整个网络的出口出现瘫痪状态，整网就会出现上不了互联 网的问题。 3、 局域网内病毒泛滥：局域网的最基本的功能就是信息共享， 在信息共享的同时就会有病毒信息也在共享。新型的网络病毒层 出不穷，让用户防不胜防。 4、 网络结构混乱：各单位都有类似的情况，在网络刚建设的时 候可能就几个点，在使用中扩充到几十点最后甚至到上百点，这 样在网络设备的搭配连接上就会出现多级级联的问题，交换机也 会出现分布在办公室中的现象而不能集中管理，这样很容易出现 由于错误连线造成回路连接，在网线出现问题的时候很难排错的 现象。 中小型企事业单位办公网改造建议书 5、 ARP 欺骗：由于木马程序在内网进行攻击以后，伪造自己为 网关的 MAC 地址就会造成网络内不定时的掉线的问题。 二、 解决问题的必然选择加强网管 有这样一个形象的比喻：对于信息化建设而言，建网络是修路， 上应用系统是跑车，数据是车上拉的货。对于企事业单位而言，数 据是重要的资源，应用是重要的工具，网络呢？网络是基础设施。 随着信息化建设的发展，数据对于企事业而言可能重要到性命 忧关的地步，应用系统也可能重要到一刻不能停的地步，作为信息 化的基础设施网络，能否健壮地运行，越来越成为困扰负责信 息化的技术人员的一个大问题。 怎样才能拥有一个健壮的网络，不让网管人员疲于奔命，不让 网络成为信息化的短板，加强网管是必然的选择。没有网管的网络 好比没有红绿灯、没有标志线的道路，路上跑的又都是没牌照的车， 修多宽也一样会堵车。那怎样实现网管呢？ 其实迅速发展的网络技术已经做出了解答，网络管理主要是通 过设备管理和用户管理两方面来实现的。 三、 网管手段之一对网络设备的管理 网络是由线缆、连接件和网络设备构成的。可网管的网络设备 是网络管理的基础。现在许多企事业单位的网络设备还都是早期的 非网管设备，非网管的设备是无法实现管理功能的。更换成可网管 的网络设备是必须的。信息化建设是个花钱的事，为了达到尽量少 的投入获得最好的效果这一目的，一般的建设原则是总体规划，分 步实施。所以下面我们也分四步来谈怎样把一个不可网管的网络改 造成可管理的网络。我们可以一次性投入，也可以分步投入。但网 络的建设是必须有一个总体规划为前提的。 1、 把接入交换机更换为可网管的交换机 可网管的接入交换机一般都具备这些网管功能： VLAN 划分 企业级网络往往会按照网络规模、部门设置、用户权限、网络 广播风暴严重性等标准，将局域网内用户划分在较多不同的 VLAN（虚拟局域网）内，从而实现网络用户按照一定的规则来访问 网络，比如财务科我们可以不让它访问任何地方，也不让别人访问 它。这样就把财务科的网络独立了起来，在其他虚拟网内有病毒爆 发、恶意攻击时不会影响到财务网络。同时我们还可以让部分 VLAN 的用户可以上网，部分 VLAN 用户不可以上网，以上这些功能部署完 成后可以把网络做成一个弹性的可管理的灵活的网络。 QOS 服务质量保证 可网管交换机一般都能支持 IEEE 802.1P 优先级标记，可根据 不同的应用区别数据传输的优先顺序，保障企业网络中重要业务应 用可以优先得到稳定的带宽及传输保证，避免网络资源因多种业务 的资源无序占用而出现拥塞或瘫痪，协调整网资源的合理配置。 生成树协议提供网络高可靠性 规模较大的企业级网络往往会因为网络结构的部署问题，而存 中小型企事业单位办公网改造建议书 在环路问题，由此产生的大量环路风暴会给整个网络带来灾难性的 影响甚至瘫痪。 可网管交换机支持标准的 802.1d 生成树协议，避免网络冗余链 路下的环路风暴隐患，提高系统容错能力，保证网络的稳定运行。 2、 采用智能型交换机作为接入交换机 接入交换机是直接面对用户的电脑，是网络管理的第一道防线， 也是许多网管功能实现的关键环节。所以在有条件的情况下，尽量 使用功能更完善的接入交换机，是提高网管能力的首选。因此，也 就出现了智能可网管交换机。所谓智能型的交换机实际是指具备部 分三层功能的交换机，主要是指访问控制列表功能（ACL）和增强的 802.1X 支持，利用访问控制列表功能我们可以把最近的网络病毒的 特征端口直接下发到端口这样就可以把病毒直接控制在单点用户； 利用增强的 802.1X 协议，并配合 SAM 管理软件可以灵活实现对用户 账号、用户 IP、MAC、接入交换机 IP、接入端口、Vlan ID 六元素 的复合绑定，同时支持六元素严格绑定下的账号漫游。并且智能交 换机可以实现纯硬件的端口与 MAC 地址及用户 IP 地址进行绑定。 3、 采用三层交换机做为网络的核心交换设备 三层交换机中的“三层 ”指的是 OSI（开放系统互连）七层参考 模型的下面三层。简单地说，三层交换技术就是：二层交换技术 三层转发技术。它解决了局域网中网段划分之后，网段中子网必须 依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成 的网络瓶颈问题。在一些规模较大的网络中（一般指信息点超过 100 个的网络）必须需要采用三层交换机来做 VLAN 间路由，控制 策略的部署，从而大大提高了网络的升级弹性和可管理性。 4、 网络出口配备安全设备 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论 上讲,Internet 防火墙服务也属于类似的用来防止外界侵入的。它可以 防止 Internet 上的各种危险( 病毒、资源盗用等) 传播到你的网络内部。 而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池 用的护城河,服务于以下多个目的: 1)限定人们从一个特定的控制点进入; 2)限定人们从一个特定的点离开; 3)防止侵入者接近你的其他防御设施; 4)有效地阻止破坏者对你的计算机系统进行破坏。 在现实生活中,Internet 防火墙常常被安装在受保护的内部网络上 并接入 Internet。 ,防火墙是加强 Internet(内部网)之间安全防御的一 个或一组系统,它由一组硬件设备(包括路由器、服务器) 及相应软件 构成。 防火墙是网络安全策略的有机组成部分,它通过控制和监测 网络之间的信息交换和访问行为来实现对网络安全的有效管理。从 总体上看,防火墙应该具有以下五大基本功能: 中小型企事业单位办公网改造建议书 过滤进、出网络的数据; 管理进、出网络的访问行为; 封堵某些禁止行为; 记录通过防火墙的信息内容和活动; 对网络攻击进行检测和告警。 四、 网管手段之二对上网用户的管理 对上网用户的管理的前提是上网认证。在目前多种对上网用户 进行认证的协议中，IEEE 组织的 802.1x 协议是被认可度最高的协议。 基于 802.1x 协议的上网认证系统具有高安全性和易管理性的特点。 高安全性包括： 安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑 定相结合，可以确保用户入网时身份唯一，并且避免了 IP 冲突。 管理分级授权。使得不同职能的管理者使用同一套系统时得到 不同的操作界面以及使用权限，避免了管理的安全隐患。 控制网络病毒。统一对接入层交换机做动态下发安全策略，可 以轻松有效的控制网络病毒，使网络保持畅通。 抵御网络攻击。结合网络攻击的检测系统，可以抵御日益增多 的内部网络攻击，并且自动对用户做出相应的控制动作，保证网络 安全。 易管理性包括： 1、全网设备统一管理。全网拓扑发现以及对事件、性能、日志 的统一管理，可以方便的对全网设备统一管理，运筹帷幄决胜 千里之外。 2、AGTS 的用户管理模式。将大量的信息转化为少量的信息做 对应，可以在设置的时候使用最少量的对应关系，从而大大提 高用户管理的效率。 3、接入时段管理。通过对日常、周末以及节日的一次性设置， 可以轻松灵活的管理用户能够使用网络的时段，提高用户管理 的力度。 4、自动升级客户端。可以通过统一的一次性配置，使得所有用 户的客户端自动进行升级，大大简化了管理者及使用者的负担， 使得上网更为轻松。 上网认证系统是基于这样的理念，只有经过系统认证的用 户才被允许使用网络，否则他就只是一个单机用户。这种办法 类似于只有配发合法牌照的汽车才可以上路。当然允许上网只 是第一步，认证上网的同时，系统也开始了对该用户上网行为 的记录，那就是用户上网日志。并且系统管理员可以对用户进 行各种管理与限制。比如对有病毒的电脑，对进行了非法使用 的用户（如 BT 下载）可以限制不允许上网； 要求他对本机病 毒清除或停止非法应用后，再允许他上网。上网认证系统的操 作是用户在打开 IE 时都会弹出一个菜单，只有填写合法的用户 名和密码后才能进行进一步的操作。认证通过后，不会对以后 中小型企事业单位办公网改造建议书 的其他任何操作产生影响。上网认证系统使得网络成为一个有 身份证的社会，正因为有身份证才能进行管理。 五、 实现网络管理功能的网络改造建议方案 100 点以下的中小规模网络： 方案一：出口配置路由器、接入采用普通可网管交换机。 方案二：出口配置路由器、接入采用智能增强型可网管交换机。 方案三：出口配置路由器、安全设备采用硬件防火墙、接入采用智 能增强型可网管交换机、起用上网认证系统。 100 点以上的大中规模网络： 方案一：出口配置硬件防火墙、核心交换机采用百兆三层交换机、 接入交换机采用普通可网管交换机。 方案二：出口配置硬件防火墙、核心交换机采用百兆三层交换机、 接入交换机采用智能增强型二层交换机、起用上网认证系 统。 方案三：出口配置硬件防火墙、核心交换机采用千兆三层交换机、 接入交换机采用智能增强型二层交换机、起用上网认证系 统。 改造案例一 天津海事局秦皇岛航标处网络改造工程 Internet CISCO261 航 道 局 专 网 CISCO PIX 515E 核 心 交 换 机RG-S3760-24 航 标 处 接 入 交 换 机RG-S2150G 光 纤 内 网 专 线 航 标 站 交 换 机RG-S2126G 灯 塔 交 换 机RG-S2126G 航 标 展 馆 交 换 机RG-S2126G 应 用 服 务 器 群SAMI 认 证 平 台 网 络 改 造 方 案 拓 扑 图 网络现状：100 个信息点左右，应用有 OA，视频会议、网站等。 原有问题：IP 地址冲突、网络病毒泛滥、外网攻击多、网络不稳定。 所改造的设备：出口采用 CISCO PIX515E 防火墙，核心交换机采用 锐捷 RG-S3750-24，接入交换机采用智能增强型交换机 RG- S2126G，全网采用 SAMII 802.1X 认证接入网络。 达到的效果：每个网络用户必须经过认证后才可以使用网络，利用 SAMII 及智能增强交换机的强大功能实现 IP 地址、用户名、密码、 中小型企事业单位办公网改造建议书 端口、MAC 地址、NAS 设备六大元素的绑定，从根本上解决了 IP 地址冲突的问题，防止了非法用户的接入。由于采用了三层交换机 技术，利用 ACL 功能控制了各部门之间的网络访问，并限制通信端 口的通信。 改造案例二 河北衡信会计师事务所 S1926 S1926 S1926 Internet RG-S3550 RG-NBR 100 图 例 ： 百 兆 双 绞 线千 兆 双 绞 线 各 办 公 室 微 机 各 办 公 室 微 机 各 办 公 室 微 机 网 络 拓 扑 图 网络状况：80 个信息点左右，有预算软件、造价软件等重要应用。 改造方案：选用了锐捷的 RG-S3550-24 千兆智能三层交换机做为主 交换机，来转发合控制各 VLAN 间的数据交换。各接入交换机我们 选用了锐捷的 STAR-S1926F+网管交换机。出口选用 NBR 路由器。 改造目标： 1、对网络进行基于部门的虚拟网划分，在划分虚拟网的同时还 可以通过主交换机的三层路由功能来具体控制虚拟网之间、互联网 之间的访问权限。办公区域是业务保证的重点，安全性、QoS 保证 必不可少。考虑各单位信息的安全，可在核心交换机上采用访问控 制列表 ACL 的方式进行权限控制，可允许或拒绝特定的单位或部门 访问。 2、病毒的控制：通过主交换机的扩展访问控制列表功能，我们 可以轻松的来控制整个网络病毒传播速度，可以把病毒传播控制在 一个虚拟网以内。 3、可管理性：根据各职能部门的不同，分配不同的 IP 网段， 在核心交换机和底层交换机上都设置 ACL 并给每个交换机上的每个 端口都划分 Vlan（对于并不重要的部门可以不用每个端口都划分 Vlan，但重要部门必须如此） 。这样，就可以完全隔离各部门之间的 网络，保证不同业务网络架构于同一个物理网络。通过底层交换机 对每个端口划分 V