xx网网络中心技术实施方案

XXX集团信息网网络中心技术实施方案XX有限公司2006/2目 录1概述11.1工程概述11.2项目设备列表22网络实施方案32.1网络整体设计32.1.1全网拓扑32.1.2网络核心设计32.1.3新大楼局域网42.1.4城域网和广域网52.1.5Internet出口设计52.2OSPF路由协议部署72.2.1OSPF区域划分72.2.2OSPF的Cost值设定82.3VPN接入92.4部署用户认证方案102.4.1与现有LDAP认证方式的融合102.4.2客户端认证122.5部署端点准入（EAD）方案132.6部署日志审计系统Xlog152.7部署入侵检测(IDS)方案172.8QOS设计19iiXXX集团网络实施技术方案 1 概述1.1 工程概述XXX集团总部设置在杭州市区，下设几十个电厂和子公司，部分在杭州，部分在浙江其他城市。XX集团的子公司与总部互联，通过总部统一的Internet出口，形成以总部为中心辐射子公司的星形结构，实现信息的实时共享和动态管理以及数据、音频、视频三网合一 。目前XX集团广域网采用星型网络拓扑结构，主要由两部分组成：一部分是子公司通过杭州电力城域网，通过MSTP或裸光纤方式连接到总部汇聚交换机，进而连接到总部的办公局域网；另一部分通过电力通信传输网的SDH的E1，到总部的中心路由器做汇聚后，经防火墙进入办公网络。原网络的拓扑结构如下：目前广域网和城域网上主要的应用是数据业务，IP电话和Internet访问，视频会议系统也将后续建设。搬到新办公楼后，XX集团总部将建设全新网络，广(局)域网将进行相应的改造。集团新大楼XX大厦地面20层，地下2层。7、8、9三层为XXX集团有限公司所属浙江东南发电股份有限公司办公地点，有单独的中心机房。其余楼层为XX集团总部使用。1.2 项目设备列表本项目主要采用华为3Com的系列产品构建网络平台：路由设备（NE408路由器1台）交换设备（S8512交换机2台、S8505交换机1台、S3952P交换机45台）安全设备（SecPath 1800F防火墙2台、SecPath 1000安全网关1台、SecEngine D500入侵检测系统2台）无线接入设备（AP8750 20台）业务软件（CAMS管理软件平台、LAN接入组件、EAD组件和1000套客户端软件）Quidview网管系统1套。2 网络实施方案2.1 网络整体设计2.1.1 全网拓扑 2.1.2 网络核心设计两台S8512分别与两台1800F形成千兆连接，中间串联防毒墙。任何从外网、城域网、广域网来的或者去往外网的流量必须经过防毒墙的检查。建议在两台防火墙1800F之间增加一条千兆连接，构成一个四边形的核心结构。这样的结构相对于防火墙之间没有连接的直线型结构更加稳定和健壮，不会因为某一段连接的失效而使OSPF骨干路由域Area0被分割。同时可以通过调整端口的OSPF Cost值来实现灵活的流量导向。根据本项目的具体需求，防火墙1800F的所有端口均工作在路由模式。与内网连接的端口设置为TRUST区域，与城域网和广域网连接的端口放入DMZ区，与外网连接的端口放入UNTRUST区域。可以根据业务需要，设置各区域间的访问策略。可以规定如下安全策略：TRUST区可以访问DMZ和UNTRUST区所有资源；DMZ区可以访问TRUST区部分资源和UNTRUST区的所有资源；UNTRUST区只能访问防火墙开放的部分资源。2.1.3 新大楼局域网两台S8512万兆骨干交换机为整个网络提供高可靠，高性能的核心交换。两台设备通过2条万兆链路连接。XX大厦各个楼层接入交换机S3952P通过两条千兆多膜光纤分别上联至两台核心交换机S8512。S8512双机启用VRRP热备协议，为每一个VLAN配置一个VRRP组，第一个VRRP组的主用设备为S8512-1，备用设备为S8512-2，第二个VRRP组的主用设备为S8512-2，备用设备为S8512-1，依此类推。这样两台8512可以实现流量分担和冗余。S8512和S3952上根据VLAN配置情况启用STP协议，但两台S8512之间的万兆接口不启STP，以避免出现环路。大楼普通用户按部门划分VLAN，即1个部门一个VLAN，以实现部门内部的快速互访。认证方式见“用户访问控制”章节。新大楼所有IP电话可以划入同一个VLAN，也可以划入所在部门VLAN，通过三层设备（S8512）访问MBX。所有服务器划入同一个VLAN。根据业务需要，通过核心交换机S8512上的防火墙模块实施访问控制。所有的无线AP划入同一个VLAN，接入交换机和核心交换机上启用DHCP Relay功能，使无线接入用户能访问DHCP服务器，获得IP地址和网关地址等信息。楼层交换机S3952使用POE功能给无线AP和IP网络电话供电。2.1.4 城域网和广域网城域网接入交换机通过百兆光纤连接汇聚交换机S8505，S8505通过2条千兆光纤分别上联边界防火墙SecPath1800F，1800F上的端口设为路由模式，向S8505发布缺省路由。路由设计详见“OSPF路由设计”章节。广域网接入路由器NE40-8配置2端口CPOS155M模块，通过配置拆分成N个E1，使用SDH 2M线缆连接各个外地分公司。建议在保持原广域网结构不变的情况下，调试第二条广域网线路。当业务都切换到新的链路上以后，再进行原广域网汇聚设备（Cisco7206）的搬迁。可以在S8505和NE40-8上配置访问控制列表ACL来限制各分公司和电厂之间的互访。2.1.5 Internet出口设计为了实现公网出口的负载分担和冗余，建议采用如下组网方式：两台防火墙SecPath1800F分别通过100M光纤链接网通和电信。在两台防火墙上分别做1条缺省路由指向链接运营商的端口，并且把这两条缺省路由（以Type1外部路由的方式引入）发布到全网。采用Type1外部路由的原因是收到2条缺省路由的内部路由器会优先选择cost值最小（离自己最近）的一条放入路由表，另外一条作为备用。一台防火墙检测到与运营商的连接断开了，就会停止发布缺省路由，内部所有流量将从另外一台防火墙出去。这样就实现了内部发起的流量的负载分担和冗余。对于外部用户访问内部资源，需要在边界防火墙1800F上将对外开放的服务映射到公网上。示意图如下（注：图中的地址均为假设的地址）：如图，1800F-1连接网通，1800F-2连接电信。在1800F-1上将DNS服务器和WWW服务器映射成网通分配的地址。同样，在在1800F-2上将DNS服务器和WWW服务器映射成电信分配的地址。用户浏览浙江能源网站时，请求CNNIC DNS服务器进行域名解析。电信用户从CNNIC DNS服务器得到的目的地址是，网通用户得到的是。可以正常访问。假如到电信的连接中断，CNNIC DNS服务器返回的地址为（网通的地址），则电信用户仍然可以绕道电信与网通的连接访问到网站。如果到网通的连接中断，情况也是一样。这样就保证了外部用户始终可以访问浙江能源网站。2.2 OSPF路由协议部署2.2.1 OSPF区域划分XXX集团原网络的路由区域划分如下图：在新大楼网络建设中，对路由区域划分进行调整，如下图：OSPF配置原则是只在与其他OSPF路由器连接的端口上启用OSPF进程，不在与2层交换机（或其他非OSPF设备）连接的端口上启OSPF。通过引入或network命令将直连和静态路由引入OSPF进程。在ABR/ASBR上对路由进行汇聚后再宣告，以减少网络中的路由条数，从而减少OSPF对CPU、内存等资源的占用。2.2.2 OSPF的Cost值设定全网采用统一的OSPF Cost参考值，考虑到一定的扩展性，参考带宽设为40G。即40G带宽的Cost为1，以此类推。如下表：端口类型Cost值Loopback110GE4GE40FE40010M 4000E120000对于引入到OSPF的静态路由和直连路由的OSPF METRIC值统一设定为8000。OSPF进程号设定：OSPF的process-id是路由器的本地概念，不会影响到其它路由器。但为了全网的统一、规范，所有路由器的OSPF的process-id统一设置为：100。2.3 VPN接入基于对浙江能投集团网络安全及外网用户移动办公的综合考虑，SecPath 1000安全网关放置在内网核心交换机S8512下。在出口防火墙1800F上做NAT 转换，静态映射VPN网关地址到公网。能投集团现有需要通过VPN接入的主要是一部分和总部之间没有直接的专线连接的分公司和出差及移动办公用户。针对已经使用VPN客户端设备的分公司，在SecPath 1000安全网关使用IPsec野蛮模式并启用NAT穿越功能接入分公司的局域网用户。对于出差及移动办公用户，在笔记本电脑上安装VPN软件，通过预定义的用户名和密码认证接入集团局域网。IPsec野蛮模式VPN连接采用扩展的用户名认证方式，由分支机构主动连接VPN安全网关SecPath 1000。客户端即分支公司可以不必使用固定IP接入。使用IPsec加密的VPN隧道，用户数据包不能被篡改。包括从IP地址，IP数据头，协议端口号，VPN隧道两端都有加密和防篡改, 否则对端接收后不能正确解密。但是，SecPath 1000安全网关所在位于NAT设备之后，通过NAT地址转换进入内网。NAT的基本原理在于修改报文的IP地址和端口信息，这样，一旦报文经过NAT设备，VPN隧道两端就不可能建立IPSEC隧道连接。SecPath 1000安全网关支持IPsec隧道的NAT穿越。通过在IPSEC报文前增加一层UDP报文头的方式， 防火墙只修改封装的UDP头，不修改IPSEC数据报文的内容，使得虽然经过NAT转换，仍然可以正常建立IPSEC隧道连接。2.4 部署用户认证方案2.4.1 与现有LDAP认证方式的融合在用户的实际应用环境中，终端用户的信息往往已经存在于用户现有的应用系统中，比如电子邮件系统、Windows操作系统等。如果在CAMS系统中重新为每一个网络接入用户设置新的帐号名/密码信息，不仅会增加用户系统管理员的工作量，而且终端用户必须多记忆一套“用户名/密码”信息。用户希望在应用CAMS系统进行宽带接入认证管理时，能够使用现有某些应用系统的用户信息，实现单点认证，方便终端用户的使用，并减轻系统管理人员的用户信息管理和维护工作量。CAMS系统与LDAP服务器配合应用，实现用户信息共享功能时，其组网不受具体的网络设备限制，CAMS服务器与使用LDAP服务器管理用户的应用服务器之间只要能通过LDAP协议通讯即可。服务器端的操作步骤：在本项目中，浙江能源集团已经使用Active Directory来管理域用户信息。Active Directory是微软扩展了的LDAP数据库。CAMS服务器使用LDAP组件来解决与LDAP服务器的配合问题。在CAMS系统中，要实现用户的LDAP认证，需要进行以下步骤操作：第一步：检测AD服务器配置信息。需要检测如下项目：检查项检查项说明LDAP服务器版本目前主流的LDAP服务器支持V2和V3版本的LDAP协议，根据该LDAP服务器的实际情况，选择其支持的LDAP协议版本LDAP服务器IP地址CAMS与LDAP服务器通讯需要的IP地址信息LDAP服务器IP端口CAMS与LDAP服务器通讯需要的端口信息，LDAP服务器的通讯端口，缺省值为389。LDAP服务器管理员可更改LDAP服务器的通讯端口，根据实际情况设置此值。管理员DN（Distinguished Name）拥有用户帐号数据查询权限的管理员DN，CAMS利用该用户与LDAP服务器建立连接管理员密码LDAP服务器管理员密码用户BASE DN（Distinguished Name）用户数据保存的基准节点，所有用户帐号信息均作为该节点的子节点保存，输入值必须与LDAP服务器中存放用户数据的基准节点DN相同。用户名属性名称LDAP服务器中用户标识属性名称，利用该属性指定的值，可唯一确定一用户，对于AD来说，此属性设为sAMAccountName用户密码属性名称LDAP服务器中，保存用户密码的属性名称自动连接间隔时长CAMS系统在与LDAP服务器建立连接时，如果连接失败，会在该设定时间后重试建立连接。间隔时长范围为3,1440分钟第二步：同步配置检查项检查项说明LDAP服务器选择从哪个LDAP服务器上同步帐号信息同步帐号类型选择同步为帐号用户或者预注册用户。如果同步为预注册用户，可以节省CAMS系统的用户数。过滤条件只同步Base DN下符合此条件的用户。配置状态有效，表示该同步可以进行同步；无效，表示该配置不能进行同步。自动同步选择该项，表示系统会每天进行自动同步用户信息。不选择，不进行自动同步，但可以手工同步用户新增帐号选择该项，如果LDAP服务器新增用户，同步时将同步新增用户；否则，不同步新增用户。其他项和账号批量导入界面类似，区别是帐号批量导入选择的是从文件的第N列导入，同步配置选择从LDAP服务器的哪个属性导入。第三步、在CAMS LDAP组件中配置LDAP服务器；第四步、从LDAP服务器中导出用户数据用户的帐号信息要通过CAMS到LDAP服务器进行认证，CAMS服务器中的帐号信息必须要包含LDAP服务器中的用户帐号信息。CAMS系统提供LDAP用户导出功能，将LDAP服务器中的用户信息导出到文件中，再利用CAMS系统的批量帐号导入功能，将导出文件中的用户信息加入到CAMS服务器中。第五步、将用户信息批量导入CAMS；第六步、同步用户信息在增加LDAP用户成功后，用户的状态为“未知”状态，此时需要“同步”操作才能将用户的userDN和密码从LDAP Server同步到CAMS中，同步有两种方式，一种为手工同步，即点击LDAP服务器列表后面的“同步”链接；另一种为自动同步，CAMS系统每天凌晨会自动同步。在完成LDAP服务器增加、LDAP用户管理步骤后，可简单测试用户是否可在Active Directory进行认证。进入用户自助界面，输入已加入LDAP服务器管理的用户名及其在Active Directory中的密码，点击登录，如果用户登录成功，表明上述配置均正确无误。2.4.2 客户端认证要实现局域网用户更加安全的认证方式，即除了要验证帐号和密码，还要验证MAC地址的合法性，并将帐号与MAC地址绑定起来。仅实现AD服务器与CAMS的同步是不够的，还需要在楼层交换机S3952P-EI上进行802.1x认证的相关配置，并在客户端安装华为3Com 802.1x Client认证软件。在配置交换机时，除了常规的802.1x配置外，需要把Radius配置中的服务器类型（server-type）设置为Huawei扩展的radius协议。这样做的目的是认证时交换机不仅将用户名、密码等信息送到Radius服务器（即CAMS），还将客户端的MAC地址也上送到CAMS进行认证。在服务器端通过配置将帐号与MAC地址绑定。CAMS对客户进行认证时，不仅检查帐号的合法性，也检查MAC地址的合法性。这样就使外来计算机即使窃取了上网帐号也无法进入集团公司内网，大大增加了安全性。华为3Com 802.1x Client认证软件支持将Windows平台下的域认证与802.1x认证进行统一，使得用户的用户名和密码直接通过NT操作系统的登陆界面获得。这样，用户在进入操作系统后，就不必再次输入用户名和密码，而可以直接进行802.1X认证，登陆到操作系统并且通过了802.1X认证的用户就可以访问网络。具体的过程是当进行windows域认证的时候，客户端后台服务自动先把用户名和密码进行802.1X认证，再自动进行域认证，也就是说，一次输入用户名密码就可以进行2次认证。如果域账号只能通过域认证而不能通过802.1X认证，则可以正常登陆域，但是需要手工进行802.1X认证（以其它正确的口令），当802.1X认证通过后才可以访问网络。对于错误的域账号，则和通常情况下的域登陆一样，系统会提示您输入的用户名或密码有误，请重新输入或登陆本机。当802.1X认证通过时，软件会自动向DHCP服务器发出地址请求，接入交换机S3952和核心交换机S8512上配置DHCP Relay功能，将该请求转发到DHCP服务器所在网段，并将分配的地址返回给客户端。这样客户就可以正常上网了。2.5 部署端点准入（EAD）方案EAD方案在用户接入网络前，通过强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，从而实现对不符合安全标准的用户进行“隔离”或监控，并强制用户进行病毒库升级、系统补丁安装等操作。EAD解决方案中，安全策略是指一项接入服务对应的所有安全管理内容的配置，包括接入用户的安全检查方式、安全认证的通过标准，以及根据安全认证结果如何进行接入权限控制。其中，对接入权限的控制可以灵活配置：当安全检查通过时，可以通过使用交换机ACL控制用户访问控制权限。当安全认证检查结果为不通过时，管理员可选择将用户限制在隔离区（通过交换机ACL控制），或开放用户正常上网权限（与安全检查通过时权限相同），或开放用户正常上网权限但要提示用户安全检查失败及系统修复的措施，对应地，安全策略提供了三种模式满足上述需求，即隔离模式、监控模式和提醒模式。不论处于哪种模式下，所有的安全检查事件都会被EAD服务器记录，供事后审计。本项目中的EAD部署如图：EAD的安全认证是建立在CAMS的身份认证基础上的。因此客户端必须安装华为3Com 802.1x Client认证软件。楼层交换机S3952P-EI作为安全联动设备和安全策略代理，必须对其配置以实现RADIUS服务器对登录交换机的用户的802.1x认证和安全策略服务器对用户的EAD操作控制。用户EAD安全认证过程如下：1、安全客户端发起认证请求；2、如果通过省份认证，通知设备隔离用户，下发用户服务策略；3、安全联动设备实施服务策略，将用户限制到隔离区；4、从安全联动控制服务器获取用户安全策略（是否检查补丁，是否杀病毒）；5、安全客户端与防病毒软件联动，将检查结果发送到安全策略服务器，检查是否合格；6、如果合格，通知安全联动设备解除隔离；如果不合格，通知安全客户端，下发修复策略，提醒用户自动或手工在隔离区内进行自我修复，回到第5步；7、实施安全策略（是否实时查杀病毒、是否监控邮件等），提醒用户可以正常上网。2.6 部署日志审计系统XlogXLog 是可扩展的网络日志审计系统（XLog Network Log AuditSystem）的英文简称，它通过与华为公司的网络设备（路由器、交换机等）配合组网，XLog不仅可以准确记录用户上网信息（比如上下线时间、使用的IP地址等），而且可以对用户的访问明细进行详细的记录（比如访问了哪些网站、流量大小、使用了哪些应用层协议以及NAT转换前后地址信息的对应关系等）。为网络管理者提供用户上网日志审计的解决方案。 部署Xlog一般要进行以下配置：过滤策略配置过虑策略的目的是将不关心的日志报文丢弃，降低无用的报文对系统性能的影响。日志的过滤是由接收器完成。不同的日志类型设置不同的过滤策略，对应不同的过滤项。过滤策略可以由一个缺省处理方式、一个或多个过滤条件、日志类型组成。过滤条件可以由一个或多个过滤项组成。过滤策略的缺省处理方式与过滤条件中处理方式之间的关系：缺省处理方式表示当日志报文不符合日志接收器采用过滤策略中包含的任意一个过滤条件时，接收器对日志报文的处理方式。而当日志报文符合某一个过滤条件时，接收器将按照该条件设定的处理方式处理日志报文。一个过滤条件中多个过滤项之间的关系：XLog支持的日志类型都包含多个过滤项，在增加过滤条件时可以根据实际需要进行选择。如果设置了多个过滤项，则只有同时满足上述项目的日志报文才会按照此过滤条件的处理方式进行处理。过滤项之间的关系是“与”关系。不同过滤条件之间的关系：当某个日志报文同时符合多个过滤条件时，如果这些过滤条件的报文处理方式不同（有的是“接收”，有的是“丢弃”），则“丢弃”方式优先。聚合策略配置 聚合策略是将同类的日志按照一定的条件合并成一条记录，并丢弃原始报文，只保留汇总后的数据。目的是有效的减少日志的数据量，增加入库、查询操作的速度。不同的日志类型采用的聚合策略不同。聚合策略组成：日志类型、聚合粒度、聚合条件、聚合处理方式。聚合粒度是指相邻的两条日志进行聚合的最大时间间隔 ，默认为10分钟。此处的时间间隔是指上一条日志报文的结束时间与下一条报文开始时间之差。聚合条件是指聚合日志时的依据。无论哪种日志类型，源/目的IP地址为必选项，即当两条日志记录具有相同的源/目的IP地址，并且时间间隔小于策略设置的聚合粒度时，将对二者进行聚合，并根据聚合处理方式记录聚合后数据的开始、结束时间，根据实际需要也可以增加其他聚合条件。聚合条件之间的关系是“与”关系聚合处理方式：日志聚合过程实质上是丢弃原始数据并创建新的数据记录的过程，而新产生的数据记录也包含起始、结束时间、报文数、字节数等字段，聚合处理方式就是新数据记录中这些字段的取值方式日志服务配置日志服务将日志处理器、日志接收器有机的结合成一个整体，完成原始日志报文的接收、过滤、聚合、入库等操作。一个日志服务只能对应一个处理器（一个处理器可以对应多个接收器），因此如果实际应用中包含多个处理器，则必须配置多个日志服务。日志服务配置是对接收器、探针采集器、处理器运行参数的配置，通知配置下发日志服务，生成接收器、探针采集器、处理器运行所必要的参数。日志服务下发过程就是配置台生成并发送UDP报文（receiver.xml、probe.xml、processor.xml、altercenter.xml)的过程。网络