某集团网络改造方案建议书

重庆翰华担保集团重庆翰华担保集团 网络技术建议书网络技术建议书 年 月 日 华三通信技术有限公司 版权所有，侵权必究 第 2 页, 共 49 页 目目 录录 第第 1 1 章章 项目背景项目背景 .3 3 1.1 需求分析 .3 1.2 网络设计原则 .5 第第 2 2 章章 网络结构设计网络结构设计 .8 8 2.1 网络设计 .8 第第 3 3 章章 本方案的技术设计本方案的技术设计 .9 9 3.1 路由协议的设计 .9 3.2 VLAN 设计.10 3.3 TRUNK链路的设计 .11 3.4 访问控制（ACL）的设计 .11 3.5 服务质量（QOS）机制 .12 3.6 广播风暴的抑制 .12 3.7 防止对 DHCP 服务器的攻击 .12 3.8 防止基于流的攻击特性 .12 第第 4 4 章章 具体解决方案具体解决方案 .1212 4.1 VLAN 规划.12 4.1.1 划分 VLAN 的必要性 .12 4.1.2 划分 VLAN 的方法 .14 4.1.3 具体 VLAN 规划 .16 4.2 IP 地址分配原则.17 4.3 本次工程 IP 地址分配 .18 4.4 网络设备自身的安全功能 .20 4.4.1 用户严格隔离 .20 4.4.2 有效防范 MAC 扫描和 ARP 攻击： .20 4.4.3 DHCP 攻击、VLAN “Hopping”攻击的防范：.20 4.4.4 采用 SNMP v3 杜绝网管攻击： .20 4.4.5 有效抑制广播风暴 .21 4.4.6 防治蠕虫病毒 .21 第第 5 5 章章 H3CH3C 设备介绍设备介绍.2525 5.1 核心交换机 .25 5.2 防火墙 .30 5.3 接入交换机 .36 第第 6 6 章章 附录附录 .4242 6.1 华三公司介绍 .42 6.2 技术支持与售后服务 .44 6.2.1 两小时厂家上门服务一年免费维保 .44 6.2.2 服务组织机构 .44 华三通信技术有限公司 版权所有，侵权必究 第 3 页, 共 49 页 6.2.3 服务及时性保障 .45 6.2.4 服务有效性保障 .46 第第 1 章章 项目背景项目背景 1.1 需求分析 为满足翰华担保集团现代化办公的需要，需要建立一套现代化网络平台。重庆翰华担保集团拥有大 量的服务器和主机设备，需要局域网络提供高速带宽支持。这就需要建设一套先进的网络系统，加速实 现办公现代化，充分提高工作效率。 计算机网络系统为其它各子系统集成提供了基础，网络主干目前一般采用千兆，可平滑升级到万兆， 同时达到 100 兆交换到桌面。包括建立有线与无线共存应用，多种服务和强大的数据库。网络设计必须 遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则，选择先进、可靠、符合未来 技术发展趋势的组网技术。购置设备的选型要具有开放性、符合国际标准，兼顾先进性和成熟性，并与 已有设备兼容，具有良好的可管理性。网络应具有高可靠性，包括设备可靠性、链路可靠性、路由冗余 等。同时，骨干网具有支持 IPv6 协议、组播路由等下一代互联网技术的扩展能力。为员工提供 Email、DNS、DHCP、FTP、BBS 等网络基本服务，运行和维护基于 Web 的信息发布系统。划分专门的网段， 运行和维护各类信息系统的服务器，提供数据中心服务。 选用的网络设备应是当今世界上较为先进、应用范围广，而且应与世界上其它主要厂商的产品具有 良好的互连性。 根据整个厂区的网络信息点的分布。要充分考虑到：网络安全系统、网络地址要求、 网上多媒体系 统、服务器、存储、备份系统、中心机房环境等。 网络规划，除了考虑到当前的实际需要外，对于网络平台的规划我们充分考虑现阶段网络技术发展 的趋势，并提供长远的规划和扩展的考虑，实施完成后重庆翰华担保集团园区网络应充分满足以下几个 方面： 高性能高性能 随着 IP 电话、视频会议、网上业务、OA 办公系统、电子邮件系统、ERP 系统等应用的应用，网 络需要承载各种信息流，将对重庆翰华担保集团内网以及外网网带宽提出较高的要求。高速网络是网络 发展的必然方向，网络应该运用当今最先进的技术，并且应该满足今后若干年的性能需求。因此，我们 华三通信技术有限公司 版权所有，侵权必究 第 4 页, 共 49 页 建议的重庆翰华担保集团的基础网络结构： 1、以千兆为核心技术，支持万兆交换已成为组网的基本要求，千兆到接入交换机、千兆到服务器， 、百兆到员工，应该成为重庆翰华担保集团网络建设的基本要求。 2、支持多种应用：建成后的重庆翰华担保集团网络是融合多种应用如数据、IP 电话、视频、监控 等的网络，网络在建之初就应该考虑的对多业务的支持。 3、对于一个大型的网络来说，VLAN 的灵活划分是非常重要的功能，它为限制全网范围的广播、 减少不必要的流量提供了有效的手段。在网络设计中应选择切实可行的技术进行 VLAN 的灵活划分。 高安全性高安全性 随着重庆翰华担保集团信息化建设的不断深入，在重庆翰华担保集团网络迅速壮大并推动业务快速 发展的同时，也使重庆翰华担保集团面临着更加严峻的挑战：网络安全与网络管理日益成为关系到重庆 翰华担保集团可持续发展的重大因素。目前常见的企业网络安全隐患主要来自以下一些方面： 1网络级攻击：窃听报文 ，IP 地址欺骗 、源路由攻击、端口扫描 、拒绝服务攻击。 2应用层攻击 ：有多种形式，包括探测应用软件的漏洞、特洛依木马等； 3系统级攻击：不法分子利用操作系统的安全漏洞对内部网构成安全威胁。 另外，网络本身的可靠性与线路安全也是值得关注的问题。 所以建成的重庆翰华担保集团网络系统应具有良好的安全性。能够对使用者进行验证、授权、审 核，以保障系统的安全性。同时提供灵活的用户接入控制策略：及分布式控制和集中式控制。 高可靠性高可靠性 重庆翰华担保集团网络系统承载着重庆翰华担保集团各种重要的业务数据，整个网络系统应具有 高可靠性。除了采用高可靠性的网络设备以外还应考虑链路层和网络层的备份。 可扩展性和可升级性可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按 指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。 易管理、易维护易管理、易维护 华三通信技术有限公司 版权所有，侵权必究 第 5 页, 共 49 页 重庆翰华担保集团网络系统规模大，需要网络系统具有良好的可管理性，网管系统具有监测、故 障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。 1.2 网络设计原则 网络平台是信息化建设的重要基础设施，必须从网络信息体系建设的全局考虑，将计算机网络建设 为一个高起点，易于扩充、升级、管理和使用的网络系统。 先进性和实用性先进性和实用性 网络规划既要以现实需要为出发点，又要考虑长远发展的需要和潜在的扩充，尽可能采取先进而成 熟的技术和产品，使之在一定时期内都能保持较先进的水平。使网络带宽性能不仅适应现在的需要，还 可以满足未来几年数据量的要求。 在网络设计中，首先要考虑的是实用性，使之易操作、易管理和维护并且易于用户掌握和学习使用。 其次要考虑对现有设备和资源的充分利用，采用成熟的网络通信技术和设备，保证原有的投资。 目前随着网络的声音、图像等多媒体应用日益增加，对网络服务质量，如带宽，延迟等有很高的要 求。利用 IP QoS、IP Multicast、MPLS 等技术可以保证服务质量(QoS)满足用户要求。 可靠性与安全性可靠性与安全性 系统安全可靠运行是整个系统建设的基础。鉴于网络信息的重要性，要求网络系统要有较高的可靠 性，各级网络应具有网络监督和管理能力；要适当考虑关键设备和线路的冗余，使其能够进行在线修复、 更换和扩充；要确保系统数据传输的正确性，以及为防止异常情况发生所必须的保护性措施。 根据具体情况采用 VPN 技术、访问控制列表、子网隔离、防火墙和 IPS 等安全控制措施，以保证网 络安全运行，拒绝未经授权的访问。 不仅要求网络能够长时间的安全运转，同时要求网络设备具有较强的容错能力。在系统设计上，要 从以下几个方面保证网络的可靠与容错: 选用高可靠性的网络设备，在网络的关键部位采用冗余备份设计，避免单点故障，保证网络长期 运行的可靠性。 采用优秀的网管系统对网络进行实时监控，以便及时发现网络故障。 采用可靠的备份系统，通过 TFTP 服务器定时备份网络设备配置。 华三通信技术有限公司 版权所有，侵权必究 第 6 页, 共 49 页 系统设计能对关键数据提供可靠的保护；对网络病毒提供防范措施；网络数据要有可靠的备份，备 份系统要求读写速度快，保密性好，可靠性高。 开放性与标准化开放性与标准化 系统采用的硬件平台、软件平台、网络协议等符合开放系统的标准，并能够与其他系统实现互联， 将采用大多数厂商支持的国际标准协议。 具体讲，主要从以下几个方面实现开放性和标准化； 采用工业标准 TCP/IP 协议。 网络互联设备应支持多种协议，能与其它厂家设备互操作。 采用支持 SNMP 协议的网管软件。 在总体设计中，应采用开放式的体系结构，使网络易于扩充，使相对独立的分系统易于进行组合调 整。有适应外界环境变化的能力，即在外界环境改变时，系统可以不作修改或仅作少量修改就能在新环 境下运行。 网络选用的通信协议和设备要符合国际标准或工业标准，将不同应用环境和不同的网络优势有机地 结合起来。也就是说，要使网络的硬件环境、通讯环境、软件环境、操作平台之间的相互依赖减至最小， 发挥各自优势。同时，要保证网络的互联，为信息的互通和应用的互操作创造有利的条件。 经济性与可扩充性经济性与可扩充性 扩展和升级 系统建设要考虑将来的扩展和升级，以免人力、物力、财力的浪费。网络设计不仅要满足当前的需 求，还要为将来的扩展留有余地，保护投资。网络设计采用国际标准的技术和符合标准的设备，系统软 件或硬件升级都不应影响整个系统的运行。系统上结点的增减也应不影响系统的正常运行。 建成的网络系统必须具有良好的可扩充性和升级能力，其扩充和升级将以最低成本花费为前提。 易于管理和维护 网络系统的所有设备都应是可管理的，会支持远程监控及对故障的过程诊断和恢复。通过网络管理 工具，可以方便地监控网络运行情况，对出现的问题及时解决，对网络的优化提供依据。另外，网络的 设计应采用简单易用的网络技术，降低运行维护的费用。 经济性 华三通信技术有限公司 版权所有，侵权必究 第 7 页, 共 49 页 可以和现有网络无缝的连接，同时可以提升现有网络的性能。 在网络设备的选择上，既要考虑技术性能、市场份额、技术特色，又要权衡与原有系统整合的条件、 人员的培训状况。本系统需要完整而成熟的最新技术和产品。其各项技术应保证具有开放性、可移植性、 兼容性和可扩展性。 根据前面所作的现状与需求分析，我们提出以下的总体设计思想： 采用先进的万兆、千兆以太网以及快速以太网交换技术：目前，局域网建设模式是以千兆以太网为 骨干、并具有万兆能力，设备间以百兆以太网交换的方式； 采用业界主流的交换机产品：在产品选型上采用业界最先进的产品，可以保证网络具有长期的产品 升级、支持和维护； 在设备配置上兼顾先进性与适用性：采取最先进的设备配置可以保证网络的性能，但同时也造成网 络建设成本的增加，因此，必须兼顾先进性与适用性，求得最佳的性能价格比； 面向应用的网络：目前，局域网应用的发展非常迅猛，各类新的应用技术和模式不断涌现，网络必 须支持这种变化，满足新的应用的需求； 周密的网络安全策略：网络安全目前已经成为网络建设中非常重要的一个环节，对于局域网来说， 网络安全的重要性就更显突出，必须制定周密的网络安全策略，最大限度地保证网络安全； 全面的网络管理与维护：网络管理与维护在网络的整个运行周期中起着非常重要的作用，因此在网 络设计时必须充分考虑未来网络管理与维护的工作。 华三通信技术有限公司 版权所有，侵权必究 第 8 页, 共 49 页 第第 2 章章 网络结构设计网络结构设计 根据重庆翰华担保集团的网络信息点的分布，我们建议使用核心层加接入层的方式来实现我们所 需要的网络。 考虑到重庆翰华担保集团园区的规模和设计，我们建议在网络核心层使用一台核心交换设备，接 入层交换机通过千兆链路连接到核心交换机，来满足对目前的要求。 2.1 网络设计 拓扑结构描述： 如图所示：整个网络拓扑结构分为核心层和接入层,下面我们就对整个网络结构做详细描述。 1 中心部分是由防火墙、VPN 网关、上网行为管理及核心交换机组成； 2 为了保证 WEB 服务器能安全的为互联网用户提供服务，我们可以把服务器放在防火墙的 DMZ 区里 面，来实现 WEB 服务器的对外提供服务； 3 为了保证分支用户能安全高效的接入总公司的内网，我们在防火墙后面放置一台 VPN 设备用来做 华三通信技术有限公司 版权所有，侵权必究 第 9 页, 共 49 页 与分支机构互联的 VPN 网关。 4 为了使用户更加安全的接入互联网，我们在出口处放置了一台上网行为管理设备，最大可能的保 护用户连接互联网的安全。 5 接入层:接入层交换机全部通过千兆铜缆的方式连接到核心交换机上的,同时楼层的接入交换机之 间的级联也是通过千兆的方式进行级联的,这样就达到了骨干千兆,百兆桌面的网络结构。同时本 次方案中,我们选用的是 H3C 的 S3100-26TP-EI 交换机,该交换机具有高安全性能,支持 IP+MAC+ 端口的绑定功能,为用户的安全接入提供了可行性. 第第 3 章章 本方案的技术设计本方案的技术设计 3.1 路由协议的设计 在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议有多种，如 RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。 选择适当的路由协议需要考虑以下因素： 1）路由协议的开放性 开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性， 而且保证了将来网络发展的扩充能力和选择空间。 2）网络的拓扑结构 网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息 计算，对复杂网络的适应能力较弱。 3）网络节点数量 不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊 技术解决适应网络规模方面的扩展性问题。 4）与其他网络的互连要求 通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议 要能支持减少网络间的相关性，是通常划分为一个自治系统（AS） ，在AS之间需要采用适当的区 域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。 5）管理和安全上的要求 华三通信技术有限公司 版权所有，侵权必究 第 10 页, 共 49 页 通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或 为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的 支持。 因此选择静态路由协议，对于厂区数据网网络性能的最优和安全性是非常重要的。 3.2 VLAN 设计 在网络成为必不可少的工具、信息处理成为日常工作的重心后，VLAN 技术的运用显得越来越重要。 VLAN 对于信息系统的意义体现在： 1. VLAN 可以改善网络的通信效率。因为通信流量只局限于本子网中，不会对其它子网产生干扰。 2. VLAN 可以避免广播风暴。在较大规模的网络中，大量的广播信息很容易引起网络性能的急剧降低， 甚至使网络瘫痪。而 VLAN 使广播只在子网中进行，不会作无意义的扩散，从而消除了广播风暴产生的条 件。 3. VLAN 大大增强了网络及其信息的安全性。因为子网间无法随意进行访问，信息流通得到相当好的 控制。 4. VLAN 使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限， 也就是说网络规划完全不会受到物理的限制。 VLANVLAN 的划分与的划分与 IPIP 子网的规划存在很大的关系。子网的规划存在很大的关系。 具体的实施过程建议如下进行：具体的实施过程建议如下进行： 1对全网的 IP 地址进行全面的规划，确定各子网内主机的数量，并根据 IP 子网内主机的数量确定 掩码的长度。 2确定 IP 子网的聚合点，聚合点以下采用连续的子网划分。使聚合点向核心路由器通告最少的路 由。 3选择合适的路由协议进行子网路由。 4根据 IP 子网的规划，对交换机进行 VLAN 的规划和划分。建立 VLAN 和 IP 子网的对应关系。 5网络管理系统采用完全独立的 IP 子网和 VLAN，实现更安全的对所有网络设备进行管理。 6根据信息流量的走向和分布，确定服务器集群的 VLAN 和 IP 子网。 7在三层路由交换机建立相应的 VLAN 以及与 VLAN 绑定的 IP 子网网关。 华三通信技术有限公司 版权所有，侵权必究 第 11 页, 共 49 页 8建立相应的子网间的访问策略，在三层路由交换机配置访问列表。 3.3 trunk 链路的设计 所有的接入层交换机全部采用的是 H3C 公司的 3100EI 系列的二层可管理千兆交换机，因为要满足因 为地理位置不同，但部门是同一个部门的问题，同时 IP 要规划在同一个子网内；所以，我们可以通过在 二层交换机上做 trunk 的方式，把网关都集中在核心三层交换机上来实现。 3.4 访问控制（ACL）的设计 对于那些确实具有网络接入许可，但试图访问未得到授权的网络资源的用户站点，H3C 系列产品的 多层交换引擎能在进行高效的第三层交换的同时，根据用户的 IP 地址限制其访问不被授权访问的服务器。 本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和 OSI 网络模型的数据链路层、 网络层的立体交叉的、多维化的安全保障。 应用应用 ACLACL 防范防范“冲击波冲击波”等蠕虫病毒：等蠕虫病毒： 最近发现的冲击波病毒，造成了很多地方感染，网络瘫痪。这是一个针对 MS03-026 Microsoft Windows DCOM RPC 接口远程缓冲区溢出漏洞。蠕虫还会在本地的 UDP/69 端口上建立一个 tftp 服务器， 用来向其他受侵害的系统上传送蠕虫的二进制程序 msblast.exe。蠕虫选择目标 IP 地址的时候会首先选 择受感染系统所在子网的 IP，然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立，蠕虫 会向目标的 TCP/135 端口发送攻击数据。如果攻击成功，会监听目标系统的 TCP/4444 端口作为后门，并 绑定 cmd.exe。然后蠕虫会连接到这个端口，发送 tftp 命令，回连到发起进攻的主机，将 msblast.exe 传到目标系统上，然后运行它。 蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的 Windows 系统 RPC 服务崩溃，Windows XP 系统可能会自动重启。该蠕虫不能成功侵入 Windows 2003，但 是可以造成 Windows 2003 系统的 RPC 服务崩溃。另外中毒的服务器会向网络发送大量无效的数据包，浪 费有效的网络带宽，造成用户感觉上网速度慢，甚至使交换机等网络设备死机，所以我们可以利用 S21 系列智能交换机的 ACL 功能做出限制，禁止其转发和传播。 3.5 服务质量（QOS）机制 本方案采用的交换机支持 802.1P、端口优先级、IP TOS、二到七层过滤等 QoS 策略，具备 MAC 流、 华三通信技术有限公司 版权所有，侵权必究 第 12 页, 共 49 页 IP 流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网 络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。实现网络的高效、可靠运行,支持 数据、话音和视频之间的无缝集成。为用户提供良好的 QoS 保证。 3.6 广播风暴的抑制 H3C S5510、S3100EI 均可以实现基于端口的广播风暴抑止功能，可支持同一 VLAN 内的风暴抑止功能， 可以有效的抑止局域网内部的广播风暴，确保网络的安全稳定。 3.7 防止对 DHCP 服务器的攻击 使用DHCP Server动态分配IP地址会存在两个问题：一是 DHCP Server假冒，用户将自己的计 算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软 件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。 H3C S5510 系列交换机可以支持多种禁止私设 DHCP Server 的方法。 3.8 防止基于流的攻击特性 H3C 核心交换机 S5510、接入交换机 S3100EI 均采用最长路由匹配技术，与传统的基于流转发的 方式相比，更具有强大的安全特性，对于如：红色代码等病毒可具有较高的抗攻击能力，可确保网 络的安全、稳定。 第第 4 章章 具体解决方案具体解决方案 4.1 VLAN 规划 4.1.1 划分 VLAN 的必要性 VLAN 是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软 件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不 必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞 吐量。 2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从 华三通信技术有限公司 版权所有，侵权必究 第 13 页, 共 49 页 逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要 协议为 IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域 网能限制广播的区域，从而节省网络带宽。 5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如 SNMP、NMP、IPX、TCP/IP、IEEE802.33 等，兼容性非常好性非常好。 6.虚拟网络中的主要应用技术为“虚网中继” ，VLAN Trunking 特有技术的采用也成成为了必然。必 然。简而言之，VLAN Trunking 主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其它 LAN Switch 中各自相应的 VLAN 成员进行线路复用连接的技术。 VLAN Trunking 技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了 整个网络吞吐量和性能指标。其原理如下图所示： V1V2V3V4V1V2V4V1V1V2V3 200Mbps Bandwidth 200Mbps Bandwidth VLAN 1 to VLAN 4 VLAN 2 to VLAN 2 V VL LA AN N T Tr ru un nk ki in ng g 技 技 技 技 如果采用 VLAN trunking 的技术，则 V1、V2、V3 均可通过一条全双工的 100Mbps，即 200Mbps 的 速率与上级 LAN Switch 进行互通并经过位于树根部的路由器进行路由与其它的 VLAN 进行通讯。VLAN 华三通信技术有限公司 版权所有，侵权必究 第 14 页, 共 49 页 trunking 技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在 V2，V3 无数据量 的情况下，V1 可以独占此 100M 带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维 护性。 4.1.2 划分 VLAN 的方法 作为一个大型企业集团，为方便管理和维护，交换机必须要求支持灵活的VLAN划分，华三公司的 S3100EI接入交换机不仅能够支持标准的802.1Q VLAN，还能实现端口之间的隔离。 我们可以使用S3100EI支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，另一 方面可以为三层交换机节省VLAN资源。S3100EI可以屏蔽下面的VLAN划分，仅向三层交换机提供一个 VLAN信息，在边缘交换机实现了端口可以同时属于多个Vlan； 如图所示：其中端口1为uplink端口，端口2，3，4为接入端口； Vlan 1：包含端口：1，2，3，4，5 Vlan 2：包含端口：1，2 Vlan 3：包含端口：1，3，4 Vlan 4：包含端口：1，5 245 1 v vl la an n 1 1v vl la an n 3 3 v vl la an n 2 2 v vl la an n 4 4 3 设计中采用了几个secondary VLAN包含在一个primary VLAN中的方式，给用户提供了灵活的配置 方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个 secondary vlan的方式，每 个VLAN中只包含用户连接的port和uplink port；如果希望实现用户之间二层报文的互通，可以将用户 连接的端口划入同一个 VLAN中；同时创建primary VLAN，该vlan包含所有secondary VLAN中包含的 端口和uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个 primary VLAN，用来标 识设备，而不必关心primary VLAN中的端口实际所属的VLAN，简化了配置，节省了 VLAN资源。 primary VLAN中的所有端口都是不是 802.1Q的trunk端口，包括与其它交换机相连的 uplink口。每 个 port的PVID就是它所属secondary vlan的ID；uplink端口的PVID是primary VLAN的ID； 华三通信技术有限公司 版权所有，侵权必究 第 15 页, 共 49 页 如下图所示： VLAN10 VLAN20 P-VLAN30 VLAN30 这样 VLAN 10 和 VLAN 20 内的用户属于一个网段，分属不同的 VLAN，在三层交换机上仅仅需要 创建 VLAN 30，它认为二层交换机上面仅仅只有一个 VLAN 30，在二层交换机上配置 VLAN 30 为 P- VLAN，包含从 VLAN 10 和 VLAN 20，它们对三层交换机来说是不可见的。 将端口分配给VLAN的方式有两种，分别是静态的和动态的。 静态静态VLANVLAN： 形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后 将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。 动态动态VLANVLAN： 建议使用华三公司的 802.1X 实现动态 VLAN 功能。 我们知道，VLAN 常常被规划用于对“资源访问权限”的分组，不同的 VLAN 具有不同的访问权限， 每个 VLAN 内有一个 IP 地址网段，不同的 VLAN/IP 地址段的用户，具有不同的访问资源的权限。用户 权限数据一般存储在 CAMS（后台综合访问管理服务器）中，CAMS 根据用户端的权限归类，在认证通 过之后向二层交换机作动态的 VLAN ID 下发配置。此时，二层交换机要支持 VLAN 的动态配置功能（华 三全系列交换机支持） 。 4.1.3 具体 VLAN 规划 在重庆翰华担保集团网络建设中，首先，必须实现不同部门网络之间的互相割离。通常按照具体部 华三通信技术有限公司 版权所有，侵权必究 第 16 页, 共 49 页 门之间进行划分。本次项目奖建议使用此种划分方法。 我们建议使用 VLAN 技术，同时在核心交换机上配合使用访问控制列表实现不同部门之间的隔离。我 们建议每个部门作为一个独立的 VLAN，部门内部可以使用 PVLAN 的功能，再进一步进行隔离。 从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体 VLAN 规划时，同一个 广播域内（一个 VLAN）的通信主机不要超过 50 台，最好控制在 30 台以内，对于主机数量超过 50 的业务 部门，我们通过二层隔离，三层交换的方式来解决。 对于服务器建议单独设置在一个 VLAN 中。 如果不同部门的人员之间需要实现互访，则只需要在核心交换机 S9512 上放开访问控制列表就可以 了。 对于集团公司高层，需要能够访问各个部门资源，对于此类用户，我们只需在核心交换机上，不对 其设置任何访问控制列表就可以了。 总之，任何访问控制要求，均可以通过访问控制列表的方式实现。 为避免混乱及出错，应对网络中的 Vlan ID 统一规划，禁止出现网中的 ID 相同而又不在同一个 Vlan 中的情形。另外，由于 802.1Q 协议支持至多 4096 个 Vlan ID，按部门划分 Vlan ID 可以为以后管理带来 很大的方便，比如一看 Vlan ID 即知是哪个部门的用户。 建议 Vlan ID 采用如下分配原则： （1） 、Vlan1 保留使用 （2） 、为方便管理，建议按地理区域或分支机构划分一段连续的 Vlan ID。 （3） 、VLAN ID 的分配按照每个部门占用一个 VLAN ID 的方式，该 VLAN ID 必须保证全网统一规 划，不允许重复。 （4） 、部门内部在使用 PVLAN 技术隔离不同员工时，该 VLAN ID 不需要统一规划，但必须保证 在同一台交换机上，PVLAN ID 不重复。 4.2 IP 地址分配原则 IP 地址的合理规划是网络设计中的重要一环，大型计算机网络必须对 IP 地址进行统一规划并得到 实施。IP 地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展， 影响到网络的管理，也必将直接影响到网络应用的进一步发展。 华三通信技术有限公司 版权所有，侵权必究 第 17 页, 共 49 页 IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于 本期IP地址的分配应该 尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及 业务流量的均匀分布。 IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，具体的 IP地址分配将通常 在工程实施时统一规划实施，这里主要描述 IP地址分配的原则。 主要的原则描述为： IP 地址分配要尽量给每个 分支机构分配连续的 IP 地址空间；在每个分支机构网中，相同的业 务和功能尽量分配连续的 IP 地址空间，有利于路由聚合以及安全控制； IP 地址的规划与划分应该考虑到个 分支机构的发展，能够满足未来发展的需要；即要满足本 期工程对 IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； 地址分配是由业务驱动，按照业务量的大小分配各地的地址段； IP 地址的分配必须采用 VLSM(变长掩码)技术，保证 IP 地址的利用效率； 采用 CIDR 技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减 小网络中广播的路由信息的大小； 在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback 地址、设备间互连 地址。 充分合理利用已申请的地址空间，提高地址的利用效率。 IP 地址规划应该是网络整体规划的一部分，即 IP 地址规划要和网络层次规划、路由协议规划、流量 规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。 4.3 本次工程 IP 地址分配 IP 地址规划应该包括两部分，外部地址和内部地址的规划，外部地址就是 Internent 上的公有地址， 一般在申请的时候，电信会分配给若干个公有 IP 地址，由于外部地址我们使用电信分配的地址，所以我 们先讨论主要部分，内部地址的分配。 内部 IP 地址应该本着易管理、易分配、易理解等原则来进行分配，由于我们规划的是内部地址，所 华三通信技术有限公司 版权所有，侵权必究 第 18 页, 共 49 页 以应该使用私有地址去规划。 RFC1918 中定义的非 Internet 连接的网络地址，称为“专用 Internet 地址分配” 。RFC1918 规定了 不想连入 Internet 的 IP 地址分配指导原则。由 Internet 地址授权机构(IANA)控制 IP 地址分配方案中， 留出了三类网络号，给不连到 Internet 上的专用网用，分别用于 A，B 和 C 类 IP 网，具体如下： 5555 5555 5555 由于重庆翰华担保集团内部的用户数量很多，我们建议采用 55 这个 C 类私有地址，子网掩码 24 位，即 ，支持 254 个网段，每网段支持 254 个主机地址。 在前面的 VLAN 规划中，我们建议每个部门使用一个 VLAN，在进行 IP 地址规划时，需要和 VLAN 规 划结合其他，使每个 VLAN 占用一个独立的网段。 考虑到内部每个部门的信息点数不会超过 254 个信息点，因此，我们建议给每个部门分配一个 C 的 IP 地址，即使用 28 作为掩码，每个网段可以支持 254 个主机。 例如 这个网段，采用 这个子网掩码，划分的网段主机如下： 5454 网络地址： 广播地址：55 -55-55 网络地址： 广播地址：55 -55-55 网络地址： 广播地址：55 -192.168.3-192.168.30 0 网络地址： 广播地址：55 这种划分方法比较容易管理，也很便于网管人员理解，每个网段支持 254 台主机，符合 Vlan 划分的原 则。 在具体进行在具体进行 IP 地址规划时，建议将地址规划时，建议将 这个网段留出，用作特殊地址分配。这个网段留出，用作特殊地址分配。 华三通信技术有限公司 版权所有，侵权必究 第 19 页, 共 49 页 网络设备地址：网络设备地址： 网络设备地址主要用作网络交换设备的带外管理地址，地址分配为 5454。 对应我们的管理 VLAN。 服务器部分地址服务器部分地址 相关服务器的地址手动分配，我们保留 192.1