[计算机]扬柴集团网络投标方案.doc

扬柴集团网络改造解决方案密 级： 秘 密文档编号： 090918062项目代号： JSYC A01扬柴集团网络改造投标网络方案Ver 1.0上海博达数据通信有限公司二一年七月第一章 需求分析1.1 现状描述扬潍柴动力扬柴迁建项目弱电工程现阶段已经基本完成一期工程。一期工程主要负责联合厂房综合布线，网络设备（联合厂房建立一个IT机房存放联合厂房所需要的网络、语音设备和服务器）、监控设备（临时控制室在联合厂房）以及监控点摄像头、广播线路和设备（联合厂房IT机房内）的安装调试工作。一期网络建设实现电信和老厂区的专线连接，并且使用两台H3C产的S3600系列交换机双机冷备份模式。联合厂房的语音线路直接连接电信入口。潍柴动力扬柴公司的产品试验室、维修车间、食堂、南北门、油库、配电房、污水处理站、水泵房、空压房等内部综合布线归属一期工程，已经初步建设或和相关供方已经签订合同，所以不在本次招标范围。本次投标部分是潍柴动力扬柴公司网络二期工程，是公司核心网络建设（主机房设置在联合厂房201室），公司网络服务器总机房和各个分支网络的光纤敷设及设备（机房和食堂、南门、北门、维修车间、产品试验室之间的光纤线路及设备）。按照标书的要求，下列IP地址在新区建设时不允许变更：内部服务器IP地址段：192.107.xxx.xxx。外部服务器DMZ区IP地址段：192.108.xxx.xxx。对外IP地址：218.91.153.42（电信）/218.106.97.141（网通）。1.2 信息规划根据本次招标的潍柴动力扬柴公司信息规划，本次投标主要包括食堂、南门、北门、机模修车间、产品试验室内部交换机设备，以及和连接网络服务器总机房的光纤建设，联合厂房连接网络服务器总机房的光纤线路。一期网络系统建设实现电信和老厂区的专线连接，并且使用两台H3C产的S3600系列交换机双机冷备份模式。本次招标二期网络建设首先实现公司对外网络骨干网（互联网）通讯，实现双防火墙热备、双核心交换机热备，及联合厂房区域双汇聚交换机的双机热备模式，以确保网络系统硬件运行安全，同时实现企业级的网络安全保护，规划公司内部网络系统，提高公司网络安全性。其次实现二期网络系统实现和已经建设好的一期网络系统之间的互联。两个需求必须在技术方案中完整体现。1.2.1监控网络系统（二期）拓扑图1.2.2信息网络系统（二期）拓扑图1.3 系统设计可达到的要求潍柴动力扬州柴油机有限责任公司新建厂区网络系统设计方案充分考虑潍柴动力扬柴新区整个网络系统布局，考虑有线和无线网络系统资源相结合，考虑潍柴动力扬柴计算机现有资源，以及网络安全、稳定性。确保整个公司网络系统高效、高速、可靠、安全的运转。13.1、实用性：系统简单实用，用户操作、维护简单。完全满足潍柴动力扬柴的实际需要，同时最大限度的节约投入资金。1.3.2、先进性：在系统设计中采用目前世界上先进的网络设备和综合布线系统。按照国际上成熟的系统结构进行工程安装。1.3.3、可靠性：系统设备选用技术先进、性能可靠的成熟产品，所有这些设备的技术参数符合国家有关标准的规定。应采用在实际工程广泛应用的成熟可靠的先进技术或产品，以保证系统的长期正常运行。1.3.4、可扩展性：设计应充分考虑到未来技术发展和使用要求的变化，系统功能扩展和技术提升的可能性，以充分保护投资，保证可持续发展的要求，确保潍柴动力扬柴的投资效益。1.3.5、设计必须符合相关国际、国家及行业规范及标准。采用国际及行业开放的技术标准和标准化的产品，避免系统互联或扩展出现障碍。1.3.6、安全性：包括系统自身安全和信息传递的安全。潍柴动力扬柴公司核心主干网络（千兆），百兆到端。根据潍柴动力扬柴公司信息系统规划要求，主干网络实现千兆速率传输（未来可以扩充实现G级或T级网速需求），核心层绝对实现双机热备，无状态损失或丢失，与因特网连接两个接入口，一个接入口是电信（现10兆，未来100兆），另一个接入口是网通（10兆），接入口和内部网络之间采用双防火墙隔离，做防火墙热备。两个服务器区，一个外部访问服务器区（DMZ区），一个内部访问服务器区。外部客户通过防火墙相应权限和过滤进入DMZ区服务器，内部客户根据相应权限访问内部服务器和外部服务器。外部办事处人员通过电信、网通入口，通过VPN网关（SSL VPN或者IPSec VPN、L2TP VPN）接入，实现和内部网络客户无障碍通信。内部无线用户由AP进入，通过无线交换机的认证，实现数据访问和通讯。我们的投标书严格实现标书中所要求和描述的网络拓扑结构。第二章 设计方案 2.1 设计概述根据上述的应用需求和设计思路，鉴于内网的安全稳定性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，为了保证网络的互联互通性，利用QOS的带宽保证ERP数据在网络繁忙时进行优先传输，并提供各部门、系统网络间的访问控制权限，保证互访的安全控制。所采用的设备以及网络构架都具有良好可扩展性，另外方案要在网络稳定性上着重考虑并规划。主干网核心设备需要进行双机热备。2.2方案设计扬柴集团内网以及厂区内各车间及其他办公室地点， 一直到达各个需要网络办公的员工桌面，我们采用分层的网络架构搭建。2.2.1 网络拓扑2.2.1 外网出口外网出口采用防火墙。支持双机热备功能，核心交换机通过两根电缆连到防火墙上，防火墙通过两台2层交换机分别接入电信线路和网通线路。当出口设备开启双机热备后，即使其中一台防火墙出问题，另外一台防火墙也能正常保证外网的使用，不会出现网络中断的情况。2.2.2 核心设备作为网络的核心，要有很高的稳定性，瘫痪一分钟都会带来严重的后果，针对这个因素，我们将两台全千兆核心交换机BDCOM S3928采用双机热备的方式，上联到防火墙，并下联到办公网络。BDCOM S3900系列交换机具有240G背板带宽;线速三层交换包转发率达到96Mpps;，是标准三层无阻塞交换机为所有的端口提供多层交换能力和线速的路由转发能力。同时具有高性能、低成本等主要特点。而其强大的处理能力是构建可靠、稳定、高速的IP网络平台的重要保障。同时具有高性能、低成本等主要特点。BDCOM S3900支持特有的ARP入侵检测功能，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击等。2.2.3 接入设备接入交换机作为楼层网络的小型网关设备上连至上级交换机，需要考虑交换机能提供的网络安全性以及设备的处理能力。我们所采用的接入交换机可以支持划分vlan、端口保护、Qos功能、广播/组播风暴控制等功能。同时应具备扩展性。达到可根据需要灵活地配置网络。交换机能与所有的以太网、快速以太网设备相连接，保护用户已有的网络投资。可在工作组之间或企业内部提供高带宽、高性能连接，同时还能增强服务器群的容量，让用户能更快速存取整个网络资源。可以缓解因为网络带宽不足及用户迅速增长所造成的网络传输瓶颈，并且投资少，管理简单。2.3 访问控制我们认为采用VLAN+ACL组网方式，可实现不同部门、不同应用系统之间进行隔离，实现对跨系统、跨部门的访问控制。其本身已经能够提供的安全机制，可保证访问控制的安全。采用VLAN+ACL实现组网，按照各楼层或各部门，实现VLAN的划分。所有的部门系统全部二层隔离，同一个汇聚层设备下的单位需要进行互通，则在核心交换机上终结VLAN，进行三层互通，如果是不同的汇聚层设备下的单位需要互通，则需要经过汇聚交换机上送到核心交换机上，通过配置的acl和路由进行三层转发，实现受控互通。第三章 可靠性设计双机热备实现方案:对于集团内网的组网方式，我们规划了VRRP双机热备方案：让我们来看看双机热备的工作VRRP图1如上图所示，正常情况下，左边核心交换机优先级高于右边核心交换机，所以左侧核心交换机处于master状态，响应所有对虚拟IP（即图中的192.168.1.1、192.168.2.1）的请求，右侧核心交换机处于backup状态，不会响应任何关于虚拟IP的请求，但是右侧交换机实时关注着从VRRP心跳线发来的状态包。很明显，现在所有汇聚交换机都会将数据包发送至左侧交机。左侧交换机作为线路正常时的主交换机。右侧交换机只关注VRRP心跳线发来的状态包。此时，办公网交换机到左侧核心交换机的线路若发生故障，或左侧核心交换机的发生故障。如下图：VRRP图2如果是汇聚交换机到核心交换机的线路产生故障，此时左侧核心交换机将会发现所连接端口发生故障，左侧交换机将会通过VRRP心跳线通知右侧交换机，告之关于192.168.2.1的状态变化，此时，右侧核心交换机将会作为主核心交换机，并相应并处理来自二层汇聚交换机的所有数据包。如果是左侧核心交换机产生故障，右侧交换机收不到心跳线传来的数据，那么它会认为左侧交换机已经无法正常工作，自己切换成为Master状态，处理来自所有汇聚交换机的数据包。从左侧核心设备发现线路故障到右侧核心设备变为主交换机，或者右侧核心设备发现左侧设备产生故障无法工作而自己变为主交换机，期间耗时不到2秒钟，对正在使用网络的用户而言，完全感觉不到发生了什么故障。这样就能保证整个网络骨干层7*24小时的无故障运行了。如果线路恢复正常或左侧核心交换机的故障排查解决完毕能够正常工作，左侧交换机同样可以发现其线路所连接的端口恢复正常，而通知右侧核心设备，同时自己变为主交换机，左侧核心交换机在故障处理完毕后能正常工作同样会通知右侧核心交换机，自己变为主交换机。第四章 网络安全4.1 ARP防护ARP（欺骗类）病毒可谓是现在最普遍的网络危害，一具用户感染病毒就可能危害到整个网络。欺骗类病毒目前可以分为3种类型：1、中毒机器不停发送“我是网关”的ARP信息，试图来欺骗其他PC，让他们将自己看作网关，如图中的F0/1口下的PC A可以通过这种类型的ARP病毒让PC B认为网关是PC A。2、中毒机器不停的变换自己的IP，来扰乱网关设备的ARP表象，试图让网关看到的所有的IP都是自己，这样其他用户的IP就不能被网关设备认出了，如上图中，PC A可以不停的变换自己的IP，这样网关就会被欺骗认为192.168.43.100也是PC A，PC B当然就不能被网关识别了。3、中毒机器将自己的MAC地址修改成交换机的下一跳网络设备的MAC地址，试图让交换机的MAC表发生紊乱，让交换机从错误的端口发送出数据包，如上图中，PC A会将自己的MAC地址修改成网关的MAC地址00-E0-0F-27-96-D0，这样交换机在F0/1和F0/24上都学习到这个地址，MAC表就乱了-这种类型并不能算上ARP病毒，但是同属于欺骗类病毒目前大部分厂家都是通过绑定IP、MAC、端口的方式来保证安全，但是这样的方式实现起来麻烦（要一条一条的把绑定信息写进去），如果增加了新设备或者某台设备更换了端口或者网卡，如果不及时通知网络管理员进行修改，就没有办法上网，费时费力。针对这种情况，上海博达设计了一套较完善的ARP防护方式。在端口下过滤ARP报文，防止冒充网关。既然我们知道交换机的F0/24口上接的是网关，那么F0/1 到F0/23口都不可能发送出“我是网关”的ARP信息，所以我们可以在这些端口下过滤此类报文。交换机命令（需要两层半交换机，S2226/S2448以上设备）：interface FastEthernet0/1switchport port-security block arp 192.168.43.254 /阻止该端口下发送192.168.43.254的ARP报文在所有的非上联端口上都配置此类命令，交换机可阻止其下端口发送“我是网关”类的ARP欺骗报文在接口下配置Filter功能，防ARP扫描攻击。如果中毒机器不停变换自己的IP，那么他在短时间内发送的ARP信息是非常多的，我们可以通过设置ARP计数器的方式来进行管理，在一个时间单位内，如果某个设备发送的ARP数量超过了我们设置的阀值，那么我们将过滤这台设备的MAC一段时间，这个时间段内这台设备发送任何信息我们的交换机都不进行转发。交换机命令（需要两层半交换机，既S2226/S2448以上设备）：interface FastEthernet0/1 filter arp /在接口下启用arp过滤功能！filter period 5 /以5秒钟为一个统计周期filter block-time 60 /将攻击主机隔离60秒filter threshold 100 /一个统计周期超过100个arp报文，就进行隔离filter enable /在全局下启用过滤功能一旦交换机F0/1端口下有PC在5秒内发送的ARP报文超过100个，交换机将在60秒内禁止此PC的MAC通过。免费发放ARP RESPONSE报文，纠正主机错误的网关。对于网关类的设备一般是不主动发送ARP报文的，通常它都是被动响应下面的ARP请求，因此我们也可以让网关主动发送ARP RESPONSE报文，主动矫正下面PC的错误。交换机命令（需要三层交换机或者路由器）arp free-response /启用免费发放arp response报文的功能arp free-response interval 30 /发放arp response报文的间隔interface VLAN1 ip address 192.168.43.254 255.255.255.0 no ip directed-broadcast!interface Loopback0 ip address 1.1.1.1 255.0.0.0 no ip directed-broadcast这样每30秒网关可以主动矫正下面PC的错误。将网关的MAC地址、端口、以及VLAN进行绑定，防止MAC欺骗。交换机命令（两层设备即可）mac address-table static 00e0.0f96.27d0 vlan 1 interface f0/24 /保证网关的VLAN 1的MAC地址只能出现在F0/24上 将交换机下联口全部开启端口保护，保证用户只能和上联口互通，和其他用户之间无法互通。交换机命令（两层设备即可）interface FastEthernet0/1switchport protect根据上面提到的4种防护ARP欺骗的机制原理，我们可以进行组合，设置多种全网阻断ARP欺骗的拓扑：首先通过vlan划分隔离广播域，让arp只会在同1个vlan内传播，此外我们可以在接入层采用两层设备S2224交换机，开启端口保护，汇聚层采用两层半交换机S2228，开启Filter防护机制。此类方法可以保证：1、用户之间发送“我是网关”的ARP欺骗（类型1欺骗）信息由于接入交换机的端口保护机制，无法传播到其