小区宽带网建设方案.doc

小区宽带网网络建设方案北京通天至达科技发展有限公司2008-5-5目录第一章前言4第二章需求分析42.1网络现状42.2需求分析42.3 拓扑结构5第三章网络建设原则53.1采用标准、开放的网络技术63.2网络可扩充性63.3网络的可管理性63.4网络的安全性63.5网络的高可靠性63.6网络的高性能73.7服务器适当集中73.8关键系统的备份安全73.9网络设施投资保护7网络方案设计74.1 网络核心层84.2 网络汇聚层94.3 网络接入层94.4 IP地址规划建议94.5网络地址分配104.6贵单位IP地址的规划建议144.6.2 本期网络的IP地址空间144.7 VLAN规划154.8 VLAN的设计194.9 VLAN间的隔离19410 Vlan的管理20第四章网络安全接入方案设计215.1局域网络的安全接入225.2 阻止来自网络第二层攻击的重要性245.3 MAC泛滥攻击的原理和危害255.4 MAC泛滥攻击防范方法265.5 DHCP欺骗攻击的防范275.6 ARP欺骗攻击原理和防范305.7 内部网络用户身份识别和访问控制375.8 身份认证协议8021x385.9 内部管理用户的访问授权43第六章：工程技术及售后服务456.1用户售后服务要求456.2 客户服务中心介绍456.3 客户服务中心组织结构456.4 支持服务体系466.5 软件升级服(software Upgrade)486.6 售后服务流程及问题解决时限526.7 在线技术支持（Online Technical Support）536.8 服务宗旨54第七章 工程实施方案547.1 工程目标547.2 工程督导内容557.3 工程管理计划567.6 工程阶段的详细描述567.6.1开箱验收567.6.2设备的现场安装567.6.3 现场故障检测577.6.4单节点测试与验收587.6.5系统初验587.6.6 系统终验587.7 在合同设备保修期内的技术支持597.7.1 技术支持概念597.7.2 技术人员的培养597.8 有效的技术支持措施61第八章 测试及验收628.1设备验收628.2网络系统验收638.2.1 网络系统的初步验收638.2.3 网络系统的最终验收648.3 验收测试方法648.3.1 网络延时和丢包率测试658.3.2 网络运行情况测试668.3.3 数据传输测试67第九章培训689.1 培训安排689.2 培训目标689.3培训人员要求699.4 现场培训699.5 培训师资699.6 资深工程师培训日程及内容安排如下69第十章产品介绍7110.1思科 6509 系列互联网路由器7110.2 引擎Supervisor Engine 720-3B73第一章 前言根据贵单位的网络方案设计和业务需求，确定信息基础设施的建设内容、范围和方案，以满足贵单位相关应用对网络系统的可用性、可靠性和安全性方面的要求。近年来，随着互联网的蓬勃发展，网络技术也以惊人的速度不断更新。当前网络建设的目标已从单纯的互联互通目标转为在网络上提供更多的大流量及实时数据、及未来的语音、视频等综合服务。这些新的应用数据交换频繁、信息传输量大，将对网络传输的速率及质量提出更高的要求。第二章 需求分析2.1网络现状单位信息化建设，网络是基础平台，网络现状是以新大楼为核心网络与各个楼宇之间的网络采用1000M以太网技术互联,核心交换网络采用Cisco6509中高端交换机，汇聚层采用Cisco3560交换机与其核心通过1000M光缆相连，则接入层交Cisco2960 通过100M双绞线与汇聚层相连，实现了各级单位的网络互通性。2.2需求分析根据以上用户网络现状，分析用户的网络需求如下：多层分布式网络结构可保证整个网络的高性能运行。千兆以太网的引入，以及（Gigabit Ethernet Channel）、(Fast Ethernet Channel)、Spanning-Tree等交换技术的采用可提供主干连接的高速、可靠性。技术的应用，一方面保证了网络相对于重要数据的内部安全性，另一方面，减少了整个网络的广播域，从而提升了网络的整体性能。基于网络设备的管理功能，使得网络管理员利用一台计算机、一个地址即可对整个网络进行集中式管理、维护。智能的QoS（质量保证）、PoS（优先队列）服务，以及（资源预留协议）技术，使得基于应用的网络流量得以控制，保证了网络中关键数据的可靠传输。结合贵单位的具体情况和当前网络技术发展潮流，而如今网络信息化发展越来越快，更多的视频信息、实时信息、分布数据库技术等要求网络具有更高的可靠性、稳定性、安全性和可管理性，即必须使计算机网络满足向多媒体网络发展的需要，改造设计既要考虑技术适当超前，而又必须保证原有的各类系统和设备正常运行，从而最大限度保护原有的投资。采用“平滑升级，分步实施”的战略。准备部署1台CISCO 6509高端路由交换机作为核心网络。2.3 拓扑结构第三章 网络建设原则设计及实施应充分遵循以下原则：3.1采用标准、开放的网络技术整个网络系统在结构上实现真正开放，全部采用或符合有关国际标准，使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同的计算机、服务器及操作系统，构成真正的跨软硬件平台的系统。网络的设计基于国际标准，网络设备采用标准的接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，有效地保护用户投资的长期效益。3.2网络可扩充性因为目前的网络方案是基于满足当前需求的，随着用户应用规模的不断扩大，网络应可以方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资，本方案中的网络设备在将来网络升级或再投资的情况下，能够随时通过增加网络设备或模块来对现有设备进行升级和扩充，并能把替换下来的设备应用到分支或边缘网络上。本方案充分考虑到未来网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性。3.3网络的可管理性良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。3.4网络的安全性保证网络系统的安全运行是网络设计的一个重要环节，网络安全是保证系统安全运行的重要基础，因此，在本方案中内部网与外部网之间建立安全控制机制。为了保护网络上数据的安全性，必须提供多种方式和层次的访问控制、通过使用网络用户身份识别、VLAN、包过滤、入侵检测及防火墙等技术来保证网络系统的安全性。3.5网络的高可靠性网络系统一旦投入运行就会成为各项日常应用的基础，并随着应用的深入普及，其基础作用将越来越大。在网络系统成为实时系统后，网络的高可靠性将成为网络的基本要求之一。骨干网络的故障会造成巨大影响。因此，整个网络系统必须有良好的可靠性及一定程度的冗余。高可靠性体现在：物理线路的可靠性，网络设备尤其是核心设备的可靠性和冗余，系统及应用软件的可靠性。3.6网络的高性能为了及时、迅速地处理网络上传送的数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用对网络带宽的需求。3.7服务器适当集中业务系统的发展要求将数据存储集中管理，努力实现日常自动化业务处理的集中配置，各业务部门针对不同的数据在统一的数据处理平台上进行处理应用，与集中设置的WWW、Email、电影服务器一起构成统一的数据中心。3.8关键系统的备份安全为满足系统的可用性，数据系统应双备运行，同时规划重要数据及系统的备份方案。数据及操作系统的备份安全及维护，是整个通讯网络和数据系统维护的核心。3.9网络设施投资保护考虑到网络技术的日新月异，现在选择的技术或者设备在一段时间后就会过时甚至被淘汰，造成新一轮的大规模投资，因此在选择网络设备时要有前瞻性，要能够兼容未来的标准技术，如万兆主干、IPv6等。网络方案设计在原有网络资源的基础上，采用现代网络通讯技术，规划完善网络系统，支持信息技术系统及电子商务的有效运作。贵单位网络设计要避免网络瓶颈，依据信息化改造和发展的需要，全面规划设计园区网络，主干光纤全部采用单模/多模光纤敷设，方便以后的升级要求。主干网结构采用星形结构保证网络的安全，设计完善网络安全系统、网络管理系统以及主干网与产区网、广域网之间的可靠性。以信息化所涉及到的各方面因素为切入点，合理规划网络安全体系并完善和建立主干网与产区网、广域网之间的接口等。在网络总体规划设计中应考虑网络的系统结构、主干核心的升级、支干线路介质的升级、完善的安全体系。使其网络的系统结构应在统一的规划和设计的基础之上考虑应解决的现存问题、需预留的系统接口、充分利用现有网络资源对网络建设和维护归口实施集中一贯式的管理，以满足信息化发展的需要。主干的核心设备应具有高性能可扩展性，具有成熟完善的容错与热备功能。针对线路的改造应为将来信息化对数据量访问增加的打下良好的基础。同时在主干网升级改造中应考虑采用先进的安全架构，建议全面规划安全系统，包括在核心交换插入防火墙模块系统、客户端安装最新防病毒系统、等以保证网络及数据安全畅通的传输，移动用户的接入应对主干网远程接入也要保证其高效与安全。与各系统相关的主机系统与网络设备应提供专门的机房来安置，以确保设备的运行环境达标。在这里我们详细讨论骨干选用千兆骨干结构。根据要求，整体网络分为二层结构，核心层和接入层。这里指的“千兆骨干”是对于核心层之间的光纤连接采用千兆以太网技术，根据目前的实际需求情况,核心层之间的光纤连接采用1G千兆以太网通道方式。核心交换机交换机采用分布式交换技术，支持高密度模块、10/100/1000M自适应高密度模块、千兆GBIC/SFP/TX以太网高密度模块、WAN模块、IP语音模块、安全防火墙模块、内容交换模块、网络分析模块等多种网络接口和服务模块，基于硬件的实现多项高负载智能服务。核心交换机是专门针对小区网、校园网、企业网核心网络高性能、多业务等关键需求而设计的骨干交换设备，不仅能够承担高速的交换业务，同时能够满足当今网络应用的多种服务，实现了核心交换网络的最佳性能，具备良好的扩展延伸能力。整体网络分为三层结构：核心层，汇聚层与接入层。4.1 网络核心层目前核心的网络交换机使用的是Cisco的6509，在本期网络建设中，核心交换机建议采用双电源，在核心中采用双机双电源冗余结构，以提供尽可能好性价比的系统级冗余性。Cisco6509路由交换机，720G引擎，作为核心点交换机安置在新大楼，在核心层中交换机采用双电源，以提供较高的可靠性，可用性的高效能力。核心交换机是专门针对核心网络高性能、多业务等关键需求而设计的核心交换设备，不仅能够承担高速的交换业务，同时能够满足当今网络应用的多种服务，实现核心交换网络的最佳性能，具备良好的扩展延伸能力。在新大楼放置1台Cisco6509核心交换机，机箱是9插槽机箱，Cisco6509机箱有很强的供电能力，为今后新的应用，如视频，语音应用提供支持，交换机选用高性能720G交换引擎，电源冗余备份，与接入层星型结构千兆以太网骨干相连，提高了网络的可靠性和可用性，真正做到了设备的冗余备份，提供可以扩展的性能、智能和各种特性。借助720Gbps交换矩阵，交换能力可达到400Mpps，部署在核心层、数据中心，核心交换机交换机选用24口千兆以太网光纤口模块，用于汇聚交换机及接入层交换机通过千兆光纤以太网互联。24口十、百、千兆自适应以太网双绞线口模块连到网管服务器和PC。4.2 网络汇聚层考虑到贵单位的信息点数比较密集，数据交换量较大，故选Cisco3560做汇聚层交换机，新大楼的信息流，3560起到数据流的承上启下的作用，有效地减轻了核心交换机的处理数据流的负担。其中Catalyst3560交换机，背板带宽32Gbps。4.3 网络接入层 网络接入层采用原有二层交换机29604.4 IP地址规划建议在设计IP地址方案之前，应考虑以下几个问题: 1）. 是否将网络用真实地址连入Internet。 2）. 是否将网络划分为若干子网以方便网络管理。 3）. 是采用静态IP地址分配还是动态IP地址分配。 4）. 每个子网现在规划多少个信息点。 5）. 每个子网将来会增加多少个信息点。 通过Proxy或NAT方式使私有地址能够访问公网资源 上面提到，在申请的公网IP地址不能完全满足每个信息点一个的情况下，可以采用公网地址与私网地址结合的方式。但是有时分配了私网地址的客户端也要访问Internet。针对这种情况，可以采用不同的技术使私有地址能够访问公网资源。通常可以利用代理服务 (Proxy) 和网络地址转换 (NAT) 这两项技术。 园区网分配IP地址方案 ，一个有效的IP地址规划或IP地址方案就是在地址资源的效率性和管理的方便性之间找到最佳的平衡点。 按行政隶属划分是指按信息节点的行政隶属关系将用户按企业各部门进行IP地址分配规划。由于楼宇之间在地域位置上并不一定集中，但在业务上要求内部通信流量比较大，且需要统一管理，因此我们建议采用行政隶属的方式划分IP地址段。 按楼宇规划在传统的网络平台上很难实现。主要是因为传统的网络平台局限于设备的地理位置，无法跨地域进行灵活规划。但现今的网络平台都支持虚拟网络 VLAN技术。该技术避开了物理位置的缺陷，可以在逻辑上灵活组网。因此，IP网段规划可以与VLAN的划分相一致。 规划每个网段中的信息点数时，既要考虑到当前IP地址资源的充分利用性，又要预留出适当的扩展余地，因此如果采用私网地址分配IP，建议我们都采用 的网络，根据具体的部门情况再分为具体的子网。 从经验角度，通常一个IP网段也是一个独立的VLAN，也就是一个独立的广播域。一个网段内的信息节点数在40 - 200个时，性能和地址资源的最佳利用性较理想，并且将来可扩充到254个。宽带接入用户接入宽带IP网的方式可以有多种形式：首先，用户利用固定IP地址接入，则无需其它的认证过程，只需将用户所连的交换机端口划入某一特点VLAN即可；其次用户通过PPP方式接入，即虚拟拨号方式，则需要一个专用的PPP终结设备终结PPP进程，通过对PPP进程的认证，可以确认用户身份；用户还可以利用DHCP获得IP地址。另外交换机可以实现专用VLAN技术，可以通过配置选择实现在同一VLAN内用户是否可以互通，进行数据交换。4.5网络地址分配IP地址为32位，包括两个部分：网络地址和端机地址，如下图所示：IP地址包括五种不同的级别，由左端高位的比特来表示不同的级别，如下表所示：其中A、B、C级别是国际互联网上公共分配的地址，每一种级别网络地址与主机地址占用的位数见下图所示：一个IP地址可以很容易地从其第一个十进制数字上识别出来，是属于那一个级别，各级别分别有一定的数值范围，如下表所示：在每一个IP地址级别中又可以分出多个IP子网地址，子网地址给属于同一个IP地址的网络带来了灵活性和有效性。例如，一个用户被分配以网络地址，那么，采用IP子网地址又可以分出：，，等子网地址，子网地址由用户自己管理。为了有效地利用地址空间，我们可以对IP地址进行子网划分，从地址的主机部分借取若干位作为子网号，剩余部分仍然表示主机号，举例如下：xxxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx 网络号 子网号 主机号IP地址的分配可以根据以下几个层次考虑：在贵单位地址划分需要考虑网络的接入层的扩展；需要为网络的扩展预留地址空间。根据贵单位的具体地址空间，可以给出每个区域和接入层的地址空间。在地址分配中需要的从地址的应用类型上给出以下规则：交换机管理地址，每台交换机需要一个32位掩码的IP地址。点到点的广域网链路，需要30位最小的子网。局域网地址按照主机接入数量和设备数量来分配子网空间。对应网络的层次化地址分配，需要配合以层次化的域名服务，可在区域内建立贵单位的层次化域名服务体系。IP地址的规划在网络设计中的作用举足轻重。直接影响到整个网络运行。因此网络地址的设计应做到简单、易管理、扩展性好。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。满足这些要求的IP地址分配技术有：可变长子网掩码技术(VLSMVariable-Length Subnet Mask)和路由总结技术(Route Summarization)。IP地址的分配应遵循以下几个原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构网络中易于进行路由总结(Route Summarization)，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSMVariable-Length Subnet Mask)，以满足多种路由策略的优化，充分利用地址空间为了灵活地在不同规模的子网中分配不同数量的IP地址，我们需要采用VLSM技术，它可根据需要在任意位划分子网边界，对一个主网络号，可分出最小只有2个主机号的子网，亦可划分出一个较大的子网，因此它很灵活，特别是在广域网中，两台互联交换机接口只需2个主机号地址，VLSM非常有用，大大节约了地址空间，又保证了网络设计的灵活性。在进行地址分配时，一般先用一个定长的子网掩码将地址空间分成若干个相同规模的子网，再在每个子网中根据所需的子网数量和规模采用VLSM进行子网的细分。采用VLSM时应注意下列三点：事先要有规划，避免子网重叠分配可能会造成对已有网络地址的重新设置新的网络必须仔细规划地址分配，有效利用IP地址和保证网络的扩展性为缩减路由表的款项，提高路由的效率，路由总结(Route Summarization或Route Aggregation)是一个非常重要而有效的手段。分子网是将网络号向主机号部分扩展、即网络边界向右移的过程，而路由总结则是划分子网的逆过程，通过将子网的边界向左移的过程，可用一个较大的子网号来代表一组连续的子网，如下所示：这一叠合路径可代表16个连续的子网。子网边界xxxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx 主网络号 路由总结边界因此，路由总结又称为子网的集结或超级子网，它可得到缩小路由表，降低交换机内存的使用，并减少路由协议产生的网络数据流量。BGP中亦广泛使用的CIDR就是路由总结的一个具体应用。交换机支持自动或手工设置的路由总结。网络地址转换（NAT）:IP地址设计经常用到的一项技术为了弥补IP地址的不足，大多数网络的IP地址分为两部分：一是具有全球连通性的IP地址-公网地址；二是只能在企业内部用的IP地址-私有地址。具有公网IP地址主机或交换机可以和INTERNET网上的任何节点相连。其地址是全球唯一的。具有私有地址的主机和交换机只能在企业内部通信，其地址仅在企业内部是唯一的。用这种地址是不可以访问INTERNET的。提出了一种技术，使企业可以从私有地址迁移到全球地址空间，这种技术就是网络地址的转换(NAT)。NAT功能作为其操作系统的一部分，安装在交换机上，同时，内容交换机也具备线性NAT功能。NAT技术使专用网络能够连接到INTERNET网上。NAT交换机或内容交换机放置在域的边界上，在向INTERENT网上发送数据包之前，它把私有地址转换为INTERNET上的公网地址。如下图所示，企业内部有一主机，其IP地址为，该主机要访问INTERNET上的节点0，当IP数据包到达边界交换机时，交换机将IP地址转为公网的，然后再送往目的地。4.6贵单位IP地址的规划建议贵单位使用的IP地址分为公网IP地址和私有IP地址两部分。公网IP地址由贵单位向ISP或NIC申请,在申请IP地址时应充分考虑其扩展性。私有IP地址由贵单位统一分配的地址段，使用Internet保留的IP地址网段。各级单位向贵单位申请IP地址。贵单位根据用户的不同需求分配公网IP地址或私有IP地址给用户的服务器。本期贵单位网数据网的IP地址全部采用私有地址，可提供快速的LAN访问以及各项宽带数据业务的实施。在进行贵单位的IP地址分配时，建议注意以下几点。4.6.2 本期网络的IP地址空间本期共有14个C的IP地址可供使用：- /掩码 每个C的IP地址可供使用254个主机地址以上地址分配均为建议，实施时根据具体要求具体规划4.7 VLAN规划采用 VLAN 的主要原因有几个：如控制广播域的范围，网络安全，第三层地址的管理，和网络资源的集中管理。控制广播域的范围当一个广播域内的设备增加时，在广播域内设备的广播频率便会相对增加。通过VLAN划分方法提供基于策略的安全访问机制，提高了网络的安全性，并有效的抑制了广播风暴的产生。 通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用，切实保证满足各类用户的应用需求。 以往，网络管理员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化，并处理移动和变更等工作。通常情况下，当用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。针对于此，VLAN技术很好的解决了网络管理的问题。VLAN的部署将通过减少网络中移动与变更所需要的资源，达到实现为用户节约资源的目的，同时VLAN能实现网络监督与管理的自动化，从而更有效的进行网络监控。很多企业都需要一个简单的方法来找出当前自己 VLAN 的设定情况。确定使用 VLAN 的原因，使用 VLAN 的 4 个可能原因在文档的开始已经大概做了描述：控制广播域的范围、网络安全、第 3 层地址管理、网络资源集中管理。当设计一个 VLAN 的时候，这些原因都需要仔细地研究。举例来说，如果在您的环境中，所有的用户都需要接入所有服务器和网络设备安全性就不再是应用 VLAN 的原因。一个通常的设计是把所有服务器放在同一个 VLAN。不幸的是，这要求所有的客户至少要经过一个路由器才能接入这些服务器。在把IP 地址管理变的更容易的同时，引入了额外的延迟和潜在的性能瓶颈。保持最小的 VLAN 数目有一个创建过多的不需要的 VLAN 的倾向。1、基于端口划分的VLAN www.bitsCN.net网管博客等你来搏 这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。 对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。 从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。 2. 基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。 由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。 3. 基于网络层协议划分VLAN VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间。由于以太网将是贵单位网络中核心层、接入层、汇接层使用的网络标准，因此网络可以看成是一个大局域网群，需要涉及到第三层交换，因此我们采用基于端口VLAN划分方式的VLAN技术。VLAN是一种无所不在的基本技术结构。简而言之，虚拟网络是对网络系统采用逻辑化而非物理化的管理技术来实现网络安全的策略，其主要协议为IEEE 802.1Q,此协议结合了鉴别和加密技术从而保证整个网络内部数据的保密性与完整性。同时，为了避免VLAN中循环的可能，VLAN采用了IEEE802.1d（生成树）的算法。在VLAN的实现策略中，当任意结合的局域网络构成VLAN时，本机信息包含了IEEE 802.1Q VLAN ID，如果此ID不能被设备的任何端口所接收，则它被过滤掉，只有本 机的信息从本交换机发出。这种策略的用途为可以实现与IEEE802.1Q不兼容的设备/网络的透明通讯。VLAN可以将通讯量进行有效的分割，从而很好的利用带宽，并可以从逻辑的角度出发将实际的LAN基础结构分割成多个子网，这样减轻了扩容的压力。因此我们认为虚拟网络的配置与实施对包钢计量处这样一个大型的网络来说是非常必要的。另外，为了完成各个不同VLAN间通信，就要使用VLAN Trunking。主要是通过一条高速全双工干道(2000Mbps)来实现将一个交换机端口所划分的不同VLAN与其它交换机 中各自的相应VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，节省了信道数据，提高了可靠性。便于管理，方便连接，提高了整个网络吞吐量和性能 指标。 图：不使用VLAN Tranking图：使用VLAN Tranking如果采用VLAN Trunking的技术，则V1、V2、V3均可通过一条全双工的1000Mbps，即2000Mbps的速率与上级交换机进行互通并经过位于树根部的路由器进行路由选择与其它的VLAN进行通讯。VLAN Trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率， 如在V2，V3无数据量的情况下，V1可以独占此1000M带宽；并且 可以使得线路的联接变得简单，从而大大提高可靠性与易维护性。如果不采用VLAN Trunking的技术，则虚拟网络的结构将如上图所示，这样则需要使用多条1000Mbps与其它的交换机互联，其缺点是：线路带宽的利用率不充分网络间布线及接口相应增多，造成系统管理的复杂性，降低了可靠性。4.8 VLAN的设计在贵单位的设计中我们划分VLAN的原则为：1、楼宇之间的组织结构；2、依据业务；为了实现按不同的业务划分VLAN，VLAN的划分将打破传统方法：不按地理位置划分，而是每个业务VLAN将跨越数个接入层，这样，保证了相同业务的工作站虽然所处位置不同但是在逻辑上属于同一个虚网。4.9 VLAN间的隔离虚网之间的完全隔离，可通过CISCO设备的访问控制功能实现。CISCO设备可实现网络的二层和第三层的访问控制，第三层的访问控制为IP的访问控制列表，第二层的访问控制为VLAN MAP。因为访问控制是按IP地址进行的，因此IP地址应能够区分出业务类别。下图为实现VLAN间完全隔离的示意图接入层交换机与汇接层交化机的1000M线路采用VLAN TRUNK技术，可实现一个物理接口承载多个VLAN。此外CISCO交换机还提供增强的基于VLAN的生成树算法（PVSTP+），实现负载的均摊。410 Vlan的管理众多的VLAN如果缺乏管理同样会造成网络管理人员的困惑和网络运行的混乱，通过VTP（Visual Trunking Protocol）的使用，我们可以统一管理VLAN的创建、删除、分配和使用。比如我们将核心交换机6509设为VTP DOMAIN中的SERVER角色，而将其它交换机设为VTP DOMAIN中的CLIENT角色，那么将只有核心交换机6509可以进行VLAN的创建和删除，任何其他交换机将只能使用由6509已创建好的VLAN，即只能将某个端口加入某个VLAN，而不能自由的重新创建一个VLAN。通过对VLAN的管理，我们可以轻松的在远端（网络中心）完成VLAN的修改，在网络的中心位置控制VLAN间的访问，有效的控制VLAN间的信息流量，减轻远端管理的复杂度。第四章 网络安全接入方案设计思科主动安全接入解决方案是为了防止您的网络遭受潜在的破坏性攻击（来自内部的有意或者无意的攻击）而设计，可以解决大部分内部网络安全问题，包括威胁防御、病毒防范、身份验证、访问授权和安全通信等。具体由以下思科公司认为对内部网络安全至关重要的几个方面所组成：l 内部局域网络的安全接入l 内部网络用户身份识别和访问控制l 内部管理用户的访问授权l 统一的密钥管理和安全审计5.1局域网络的安全接入内部局域网络承担着整个企业网络的通讯枢纽功能，连接着所有的应用服务器和数据系统，任何网络安全问题都会扰乱企业的正常运转，给企业带来不可弥补的损失。目前企业在内部局域网中遇到的问题主要有以下几种：l IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗l 利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题l 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题l 攻击或病毒源机器的快速定位、隔离问题IP的地址管理一直是长期困扰企业局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址，从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。 非法的IP地址即IP地址不在规划的局域网范围内 重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网 冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。为了防止非法使用IP地址，增强网络安全，最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址，从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问，同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址，然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表，不仅工作量繁重，而且也难以维护和管理。另一个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议（ARP，Address Resolution Protocol）最基本的功能是用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，并附上自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前的同一IP地址和对应的MAC地址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术，该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP 应答包，让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，并可以通过工具破译账号、密码、信息，另一方面，还可以恶意更改数据包中的一些信息。同时，这种ARP欺骗又极具隐蔽性，攻击完成后再恢复现场，所以不易发觉、事后也难以追查，被攻击者往往对此一无所知。病毒入侵问题也是所有企业普遍关心的问题。这些病毒，可以在极短的时间内迅速感染大量系统，甚至造成网络瘫痪和信息失窃，给企业造成严重损失。木马病毒往往会利用ARP的欺骗获取账号和密码，而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。如“网吧传奇杀手” （Trojan.PSW.LMir.qh）木马病毒就是一个专门窃取“传奇”游戏密码的恶性木马病毒，其工作原理是对局域网中的机器进行ARP欺骗，虚拟内部的网关地址，以此来收集局域网中传奇游戏登录信息，通过解析加密方式从而得到用户信息的破坏性软件。在局域网中运行这个病毒后，就可以获得整个局域网中“传奇”玩家的帐户和密码等信息。例如“局域网终结者”（Win32.Hack.Arpkill）病毒，通过伪造ARP包来欺骗网络主机，使指定的主机网络中断，严重影响到网络的运行。最后，令网络管理员头痛的问题是如何准确定位。当出现IP地址被非法使用、IP地址冲突，或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量，为了查找这些IP地址的机器，一般采用如下步骤： 1. 确定出现问题的IP地址。2. 查看当前网络设备的ARP表，从中获得网卡的MAC地址。 3. 检查交换机的MAC地址列表，确定机器位置。 这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口，而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离，将会导致严重的后果，即使在网络恢复正常后隐患依然存在。5.2 阻止来自网络第二层攻击的重要性以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中，其来源可概括为两个途径：人为实施，病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗，同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由于设计OSI模型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。所以，仅仅基于认证（如IEEE 802.1x）和访问控制列表（ACL，Access Control Lists）的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意，并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。归纳前面提到的局域网目前普遍存在的安全问题，根据这些安全威胁的特征分析，这些攻击都来自于网络的第二层，主要包括以下几种： MAC地址泛滥攻击 DHCP服务器欺骗攻击 ARP欺骗 IP/MAC地址欺骗Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案，将发生在网络第二层的攻击阻止在通往内部网的第一入口处，主要基于下面的几个关键的技术。 Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户IP和对应的交换机端口，防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。5.3 MAC泛滥攻击的原理和危害交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时新目的MAC地址的数据包就会广播到交换机所有端口，交换机就像共享HUB一样工作，黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。当交换机的CAM表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是，这种攻击也会导致所有邻接的交换机CAM表被填满，流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口，从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。5.4 MAC泛滥攻击防范方法限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击，macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包，可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全（Port Security）和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口，可以限制所学MAC地址数为1；连接IP电话和工作站的端口可限制所学MAC地址数为3：IP电话、工作站和IP电话内的交换机。通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址。通过配置Port Security可以控制： 端口上最大可以通过的MAC地址数量 端口上学习或通过哪些MAC地址 对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是Sticky Port Security，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。对于超过规定数量的MAC处理进行处理一般有三种方式（针对交换机型号会有所不同）： Shutdown：端口关闭。 Protect：丢弃非法流量，不报警。 Restrict：丢弃非法流量，报警。5.5 DHCP欺骗攻击的防范6509采用DHCP管理的常见问题采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、