网络机房建设技术方案.doc

网络机房建设技术方案第一章 系统集成方案1.1 系统集成建设目标针对此次局域网建设项目，其建设目标是利用先进的计算机技术、通信技术建设一个现代化的信息网络系统，以满足生产、办公的需要。本次系统集成主要包括以下建设内容：1、建立系统专用网，网内部署多台服务器以满足数据库平台、数据备份、防病毒、等各类应用的需要。2、利用高可靠性的数据库服务器存储系统，实现服务器、数据库安全。3、由备份服务器组成存储备份系统，实现数据库和所有单机数据库各种数据的备份，实现历史数据归档管理。4、为本单位系统安全运行，通过高性能服务器、高性能交换机、防火墙、防病毒、策略自动备份等技术手段，结合完善的网络安全制度和策略管理体系，建立立体式的平台安全防护体系。1.2 系统集成设计要求系统软硬件平台是此次局域网建设数据管理网络设备项目建设的基础，承载局域网系统的正常运行，服务器、存储设备、网络等各种设备能够满足一段时间内（35年）不断增长的局域网系统业务处理的需要，因此，需要综合考虑系统软硬件平台设计，做到合理、经济以及可行。本技术方案将从实际情况出发，提出的总体规划和需求为基础，充分利用现有的计算机和通讯资源，建设成一个综合应用的现代化网络平台。本系统集成技术方案将遵照以下原则进行设计。1.3 系统网络结构1.3.1 系统网络设计原则本局域网是办公网络隔离的专用网络，应满足如下各种设计原则，应满足如下各种设计原则。1、高带宽通道通信网络就要保证高速的信息通信。网络通道不应成为应用系统的制约因素，其最窄的瓶颈通道应当还是高于信息通信的带宽需求。网络的一定要满足高带宽的传输。2、高可靠容错能力本系统运行在网络之上，应用系统的正常运作是依赖于网络系统的高可靠容错性能，特别是在计算机系统逐渐成为企业的关键业务。网络故障而造成的企业损失通常是随着停顿时间的延长而几何级地增加。网络系统应尽量地增加可靠稳定的元素，并且故障自动修复时间要尽可能的短。3、可扩充能力计算机应用正逐渐渗透入企业管理等业务每一个环节。网络无论从单一设备还是从整个系统的角度必须具有很好的扩充能力，以满足不断发展和变化的应用需求，并能随着技术的发展不断升级。4、安全性网络系统应具有良好的安全性，由于网络内有多个业务部门和应用系统，并要与其它分支机构互联，网络系统应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。5、高智能网络管理者需要可以控制网络的使用以及为不同应用和用户组分配网络资源并划分优先等级的能力。网络管理者必须针对网络应用需求制订专门的政策，将企业需要与所期望的网络行为对应起来。作为一个整体的系统，网络应具有可控的智能化的高性能。也就是说，网络中以太网连接的节点之间的交换，不管它们的VLAN属性如何，我们都可以控制它在本地交换机交换或通过主干进行交换。6、QoS(服务质量)保证当今网络中的应用越来越多，如实时生产数据业务，IP电话，视频点播，视频会议等。这类应用必然对网络提供的服务质量有较高的要求。新的网络系统应能保证QoS，以支持这类应用。7、符合国际标准 选用符合国际标准的开放性的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求，保护用户的投资。1.3.2 系统网络拓扑设计本系统网络作为智能化建设的基础，地位极其重要，未来的生产运营、管理等有关业务将全部依赖该系统，如何实现安全可靠，高速稳定的运行对整个系统来说非常关键。因此，我们在设计整个网络系统时要综合考虑多种因素，包括未来的发展速度、信息存储灾备的模式、安全理念、业务应用类型等，同时为了保证网络的稳定，核心设备应当适度超前，满足未来3-5年的信息增长需求。1、区域化的结构设计在本局域网网络结构设计中，我们采用了区域化的结构设计。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不破坏已存在的网络。将整个系统的应用层次的不同分成不同的区域，系统客户端服务区、广域网接入区等。各个区域均通过接入交换机与核心交换机冗余连接，实现清晰的系统边界。2、三层接入本网络系统采用三层接入的组网模式，核心设备直接面对的将是接入层L3，通过合理的路由聚合可以减少子网路由表的容量要求，VLAN间转发由接入L3分担可以减少核心设备三层接口的数量，网络冗余备份靠三层的路由完成，通过等效路由还可以做到流量的合理分担，对链路的利用率高。根据以上区域化和三层接入的设计思想，结合本系统实际情况，整个系统的拓扑如下图所示。图6.3.2-1系统平台网络拓扑图本系统网络采用典型的星型结构，专用网络平台上运行，数据流向以访问GIS应用服务器为主。整个系统网络体系分为核心和防火墙VPN，专门部署一台核心交换设备，贵公司系统专网出口部署一台防火墙VPN设备，连接本地局域网，为各单位接入网络提供最高的安全性和VPN服务，以满足安全可控的要求。1.4 服务器存储系统1.4.1 服务器选型原则数据库服务器主要用于存储、查询、检索企业内部的信息，因此需要搭配专用的数据库系统，对服务器的兼容性、可靠性和稳定性等方面都有很高的要求。在考虑应用服务器平台时，一方面从业务需求入手，要求应用服务器平台能够稳定高效运行业务系统，包括种种关键环节。另一方面，针对目前用户业务发展趋势，以及未来的发展方向，我们将推荐先进、可靠、高效的主流机型及存储系统，使其无论在处理能力、可靠性，还是在高可用性、扩展性等诸多方面处于领先地位，其中特别是具有平衡的整体性能及高负载能力方面，要求适应本网络系统业务量及业务种类的发展。现仅就服务器平台技术方面详细论述：1、要求服务器平台有强大而平衡的处理能力针对业务情况，要求服务器平台能够支持大规模业务处理，尤其在业务高峰期间能够与磁盘系统配合，使整个系统性能平衡不会出现系统瓶颈，保证系统响应大压力的数据负载。2、要求服务器平台有完整的高可用解决方案系统所处理的业务为关键业务.这就要求从硬件和软件平台的角度，能够提供高可用的解决方案。高可用方案针对可靠性、可用性、容错能力、最大无故障时间等方面提供完整科学的系统方案设计，其中包括支持多机备份、数据恢复以及灾难备份等技术，用以满足业务系统高可靠的运行。3、要求服务器提供商具有完善的服务体系 现今用户已经越来越重视系统提供商的服务，因为系统的良好运行是与系统提供商的优良服务分不开的。只有得到了完善的服务，才能够没有后顾之忧。4、要求服务器平台有丰富的扩展方式要求服务器系统在技术上具有强大的扩展能力，能够满足本系统业务量的提升，同时能够为增加软件功能提供运行空间。5、要求服务器平台有完善，方便的管理技术对本网络系统，服务器的管理技术是其中必不可少的关键的组成部分，要求管理工具不但用于日常的系统管理工作，而且尽可能简洁易用，简化系统管理员繁重的工作。管理技术包括三个组成部分，即系统管理、网络管理、机房管理。系统管理是利用系统工具管理硬件、软件从而使系统在安装运行和维护得到可靠保证。网络管理是监控全网络的工作状态，从连通性、安全性、可靠性等方面提供有利支持。机房管理是在不同人员工作分配等方面提供一定方法。6、要求服务器平台提供可靠的安全策略本系统包括大量的关键数据，保证这些数据不被恶意破坏、非法侵取是电脑系统安全策略所要解决的内容。安全策略提供网络、服务器、业务等关键资源有力保护，为业务系统创造安全可信的运作空间。7、要求服务器平台是能够长久发展的主流机种计算机产业是发展迅速的产业，新技术不断涌现，旧产品快速淘汰。选择能够长久发展的主流机种可以减缓机器更换频率，提高服务器的服务年限，更好的利用设备投资。1.4.2 数据库服务器选型数据库服务器作为本系统的核心，具有业务量大、处理数据量大等特点。它承担着业务数据的存储和处理任务，因此关键数据库服务器的选择就显得尤为重要。服务器的可靠性和可用性是首要的需求，其次是数据处理能力和安全性，然后是可扩展性和可管理性。首先，数据库服务器选型应该遵循以下几个原则：1)高性能原则2)可靠性原则3)可扩展性原则4)安全性原则5)可管理性原则5)可靠性、扩展性等1.5 网络安全设计针对本系统网络可能遇到的各种安全威胁和风险，应采取行之有效的安全措施，以保证系统应用过程中信息的完整性、高可用性和抗抵赖性，确保系统能够安全、稳定、可靠地运行，为实现系统建设的目标提供安全保障。1.5.1 网络安全系统设计基于以上网络安全问题分析，我们将采用安全交换机、防火墙VPN、网络流量控制网关、网络管理软件等部署本项目网络安全平台，具体规划如下：序号项目品牌、型号数量1核心交换机模块化三层交换机1台2防火墙VPN高端防火墙自带VPN1台3流量整形控制高端流量整形网关1台4网络管理软件专业版管理管理软件1套1.5.2 选用安全交换机保障网络安全交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。本方案选用核心交换机，配备独立新一代高性能基本第三层交换引擎具备1个万兆接口、48个千兆以太网接口，并且是基于ASIC的硬件支持IPV6。由于安全策略实施不会与线速专用访问控制列表（ACL）发生冲突，因而能阻挡越来越猖獗的病毒和安全攻击。提供的易于使用的强大工具能够有效防止不可追溯的中间人攻击、控制平面资源耗尽、IP 欺诈和泛洪攻击，而且不需要修改最终用户或主机的配置。安全远程访问、文件传输和网络管理分别通过Secure Shell（SSH 版本1 和版本2）协议、安全复制协议（SCP）和 SNMPv3 实施。1.5.3 运用防火墙系统增强网络安全和使用流控系统掌控网络流量分布针对日趋复杂的混合性攻击，以及网络资源滥用行为，在网络出口处部署一台硬件防火墙用于保护内网安全，网络边界隔离。能够全面抵御蠕虫、病毒、特洛伊木马、间谍软件等恶意程序，阻止它们渗入内网，并实时阻断SQL注入、DDoS各类应用层攻击，从而最大限度地保护信息系统的基础架构。防火墙支持VPN功能，VPN实现的一个关键技术是隧道技术，所谓隧道技术就是（数据包封装、发送和拆封过程称为隧道）原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道将原始数据包隐藏（或称封装）在新的数据包内部。新的数据包可能包含新的寻址和路由信息，这使新的数据包得以在网络上传输。当隧道与保密性结合时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目的）。将贵公司系统的数据依靠隧道协议封装在隧道中进行传输，保证数据在外部网络上流动的安全。隧道协议分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSEC。它们的区别就是用户的数据包是被封装在哪种数据包中在隧道中传输的。利用VPN功能，可以在网络内部，用它来实施贵公司系统的访问控制，防范内部用户可能在无意之间引入网络的蠕虫、病毒和其他恶意代码。而是用网络流量控制设备可以分配网络流量的带宽，使得网络的流量分配更加合理。1.5.4 VLAN安全设计VLAN安全设计包括VLAN、VLAN Routing两部分。1)、VLAN虚拟局域网（VLAN）技术是为了解决桥接的局域网中存在的广播风暴，以及网络系统的可扩展性、灵活性和易管理性方面的问题，第二层交换机基本上都支持VLAN划分。在局域网设计中，我们可以根据不同部门划分VLAN。VLAN技术的采用为网络系统带来了以下的优点：l 控制广播VLAN之间是相互隔离的，所有的广播和多点广播都被限制在一个VLAN的范围内，即一个VLAN产生的广播信息不会被传播到其它的VLAN中，有效地防止了局域网上广播风暴的产生，提供了带宽的利用率。l 提高安全性由于VLAN之间是相互隔离的，因此可将高安全性要求的主机服务器可划分到一个VLAN中，而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成，而三层交换机上具有访问控制（Access-List）以及防火墙等安全控制功能，因此VLAN之间的访问可以通过三层交换机进行控制。l 提高性能通过VLAN的划分，可将需访问同一服务器/服务器组的用户放到同一个VLAN中，这样该VLAN内部的服务器只由本VLAN内的成员访问，其它VLAN的用户不会影响服务器的性能。l 便于管理由于VLAN的划分是逻辑上的，因此用户不再受到物理位置的限制，任意位置的用户可以属于任意一个VLAN，VLAN内的成员可以任意地增加，修改和删除，使得网络管理更加简便易行。2）、VLAN Routing每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN标识，但不能修改该VLAN标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。VLAN Routing技术在网络层将VLAN标识进行转换，使得不同的VLAN间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list（访问列表限制）等，VLAN Routing 技术使我们获得了对不同VLAN间数据流动的强有力控制。1.5.5 防网络病毒设计现在网络病毒对网络的冲击影响已经越来越大，如非常猖狂的红色代码（codered）、冲击波（MS Blaster）等网络病毒，所以有必要对网络病毒继续有效的控制。红色代码病毒蠕虫、特洛伊木马、黑客结合的双特征病毒恶意IP地址扫描，病毒向按一定算法生成的IP网段的IP地址的80端口发送HTTP GET请求，请求连接成功，就会发送包含缓冲溢出的代码，导致一些没有打补丁的IIS服务器缓冲溢出，此主机遭受感染； 遭受病毒感染的服务器在后台开辟600个线程用于扫描，占用了大量系统资源，并再次感染其它主机，并对其WEB服务器80端口发起长度为66字节的SYN请求包的DoS攻击。病毒大量扫描和DoS攻击导致网络路由器和三层交换机过载，表现为用户上网速度变慢，网络阻塞。性能不高的路由器和三层交换机最有可能过载。根据监听分析通过一个60多台IIS服务主机的网络，RED CODE内外相互攻击包每秒通过路由器平均达4239个，传播速度非常惊人；如下图：红色代码及其变种利用微软IIS远程缓存溢出的漏洞获得系统权限，并在这个感染的Web服务器上拷贝一个后门程序，在IIS上设置完全共享的虚拟目录，给黑客完全的访问权限，从而可以全面控制被攻击网络的全部资源，对网络的安全构成极高的威胁。在这里可以利用接入层交换机的ACL来关闭网段内所有普通主机的被扫描端口80(这样，造成的后果无非是普通上网人员无法提供WEB服务了事实上也不应该让普通上网人员具备提供WEB服务的功能)，这样可以杜绝大面积病毒传播，同时可以将病毒的影响控制在接入层，使核心设备不至于因为病毒的影响而使网络终断。另外，也提供充足的时间让网络中的客户进行杀毒、修复等，等攻击隐患消除后，再开启对应的服务端口（需要提供Web服务的服务器）。冲击波病毒蠕虫病毒，针对Microsoft Windows远程缓冲区溢出漏洞的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。蠕虫感染系统后首先检测是否有名为“BILLY”的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。然后蠕虫会在注册表中添加以下键值：“windows auto update”=“msblast.exe”以保证每次用户登录的时候蠕虫都会自动运行。蠕虫在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP 扫描的方法选择目标攻击，即发送大量的ICMP报文（Ping包）。一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。遭到冲击波病毒感染的计算机会出现如下症状：用户上网变慢，ping丢包严重；莫名其妙地死机或重新启动计算机；IE浏览器不能正常地打开链接；不能复制粘贴；有时出现应用程序，比如Word异常。另外，攻击者成功利用此漏洞可以以本地系统权限执行任意指令，可以在系统上执行任意操作，如安装程序、查看或修改、删除数据或建立系统管理员权限的账户。在这里可以利用接入层交换机的ACL来关闭ICMP服务，以及相应端口，达到控制冲击波病毒传播的目的。rule 0 deny tcp any any eq 135 阻止感染病毒的PC向其它正常PC的135端口发布攻击代码rule 1 deny udp any any eq tftp 限制目标主机通过tftp下载病毒。rule 2 deny icmp any any阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。 然后将其应用在相应网口，例如fa0/1int E0/1packet-filter inbound acl-group number这样即可阻断Blaster蠕虫病毒的传播。1.5.6 防网络攻击设计网络中针对交换机的攻击和必须经过交换机的攻击主要有如下几种：MAC 攻击DHCP攻击ARP攻击IP/MAC欺骗攻击STP攻击DoS/DDoS攻击IP扫描攻击网络设备管理安全1）、MAC攻击攻击一：MAC地址欺骗，将合法的MAC 地址修改成不存在的MAC 地址或其它计算机的MAC 地址，从而隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC 地址欺骗。攻击二：MAC地址洪泛攻击：交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了。防范：利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC，或1x端口下端口自动动态绑定MAC/IP，来限定交换机某个端口上可以学习的源MAC数量或源MAC地址，当该端口学习的MAC数量超过限定数量时，交换机将产生违例动作。2）、DHCP攻击DHCP攻击之一：恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现。防范：利用交换机端口安全功能：MAC动态地址锁和端口静态绑定MAC、1x端口下的自动动态绑定用户IP/MAC，来限定交换机某个端口上可以访问网络的MAC地址，从而控制：那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的MAC安全地址的包时，交换机则采取措施。DHCP攻击之二：非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全。防范1：利用DHCP Server（UDP 67）和DHCP Client（UDP 68）发出报文UDP端口的不同，及已知正常DHCP Server的IP地址，利用交换机的ACL功能来限制伪DHCP服务器的报文响应及只允许正常DHCP Server的报文响应防范2：控制客户端发出的DHCP请求报文被广播出去；检查和控制DHCP响应报文是否：是合法DHCP Server发出的报文。 防范：接入交换机一般不具有DHCP Relay功能，收到DHCP请求广播报文后，并在VLAN内是向所有端口转发。而CISCO交换机具有DHCP Relay功能，一旦启用DHCP Relay功能，并且配置了DHCP Server的IP地址，则客户端发出的DHCP请求，在交换机中将不以广播包的形式转发出去，而是直接到交换机CPU，从而有效避免DHCP请求报文广播出去被非法DHCP Server收到。交换机CPU处理后，以单播的形式发往指定的DHCP Server。收到DHCP响应报文后（Offer，ACK，NAK报文），CPU会判定报文中的源IP地址是否为交换机中设定的DHCP Server的地址，从而保证DHCP响应报文的合法性。这比仅仅设定交换机某个端口可以接受DHCP响应报文更合理和可靠。3）、ARP攻击ARP 攻击：ARP欺骗ARP欺骗者：利用上页讲到的ARP漏洞，发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系，扰乱局域网中各PC以及网关中保存的ARP表，使得网络中的合法PC正常上网、通讯中断，并且流量都可流入到攻击者手中。ARP欺骗的防范：利用交换机端口ARP检查安全功能：打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致，可有效防止安全端口上欺骗ARP，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。4）、IP/MAC欺骗攻击MAC欺骗：盗用合法用户的MAC地址，侵入网络，使得正常用户无法上网；IP欺骗：盗用合法用户的IP地址，使得到合法用户的通讯得不到响应，造成Ping of death，和ICMP不可达风暴；或不断修改IP，发送TCP SYN连接，攻击Server，造成SYN Flood。防范有以下几种： 交换机端口安全：端口静态绑定； 交换机整机绑定IP和MAC地址； DHCP动态绑定； 基于802.1x的SAM系统，可在交换机上自动绑定用户的IP和MAC；绑定后，交换机检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致，不一致，报文丢弃（在SAM环境中，并发送告警信息）。5）、STP攻击发送虚假的BPDU报文，扰乱网络拓扑和链路架构。防范：使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。6）、DoS/DDoS欺骗攻击Dos攻击：占用网络带宽，占用服务器提供的服务资源，表现为合法用户的请求得不到服务的响应，被攻击方的CPU满负荷或内存不足。攻击报文主要是采用伪装源IP。防范：RFC 28227的入口过滤规则。7）、IP扫描攻击许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法进行。如Ping Flood防范：防IP扫描：检测用户、隔离用户（发日志信息）、恢复通讯（发日志信息）。被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。8）、广播风暴攻击端口接收到过量的广播、未知名多播或未知名单播包时，一个数据包的风暴就产生，这会导致网络变慢和报文传输超时几率大大增加防范：利用VLAN划分限制广播风暴的范围及利用交换机的千兆接口支持风暴控制功能。打开端口对应风暴控制开关，则该端口对应输入报文的速度限制为12288帧/秒，百兆接口缺省限制广播和未知名单播的速度，限制为12288帧/秒。9）、非法组播源网络中的用户如果私自架设组播服务器的话，会对网络的正常通讯，网络带宽的利用及信息安全等造成极大的危害；因此，在上规模的网络中，都严格禁止用户私自架自组播服务器。防范：在交换机上启用IGMP 源端口检查的功能，从而达到防范非法组播源的目的。IGMP 源端口检查指严格限定IGMP 组播流的进入端口，当IGMP 源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口；当IGMP 源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口，而从非路由连接口进入的视频流被视为是非法的，将被丢弃。10）、交换机的管理安全网络管理可以说是网络中最薄弱的一个环节，因为一旦攻击者登录交换机，那么交换机配置的所有安全防范措施则化为乌有，因此必须重视交换机管理安全：一般的网络管理协议：SNMPv2，Telnet，Web等都是明文登录和传输信息的，因此，尽量使用SSH、SNMPv3等秘文传输方式登录交换机，因为它们都与交换机之间都是加密传输。管理VLAN与用户VLAN分开交换机上不用的端口划在一个VLAN中，并将这些口Shutdown，需要用时，再开启限制可以管理交换机的IP，CISCO交换机均支持Telnet和Web的源IP访问控制列表1.5.7 IRF2虚拟化设计Cisco系列交换机支持IRF2（第二代智能弹性架构）技术，在扩展性、可靠性、整体架构和可用性方面具有强大的优势，主要体现在三个方面：弹性扩展：IRF技术允许交换机利用互联电缆实现多台设备的扩展；具有即插即用、同步升级的优点，同时大大降低系统扩展的成本。简化业务：通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率，并且支持堆叠组内所有设备的单一IP管理。高可用：通过标准的万兆以太网接口实现智能弹性架构，可以根据需求分配业务带宽和堆叠带宽，合理分配本地流量与上行流量；不仅可以实现机架内的堆叠，也可以实现跨机架，甚至跨区域的远距离堆叠。1.6 IP地址规划设计本公司网络作为一个覆盖全各系统，基于TCP/IP协议的网络系统，IP地址和域名应该遵循统一规则。IP地址由数字构成，不含地理信息（与邮政编码和电话号码都不同）难以记忆，也难于理解，因此，采用域名来标识主机。域名系统（DNS）是Internet/Intranet解决无意义的IP地址和有意义的名字之间的映射的网络服务机制。信息网的DNS组织结构遵循CTInet的域名分配规则，采用和因特网类似的结构，分成顶层域（top-level domain）、第二层域（second-level domain）、第三层域（third-level domain）等等。第二层域为用户层域，一般这一层域名与顶层域名一起，基本上可以描述该用户的名称等性质。以上两层域名由网管中心统一规划，第三层域名由各单位自行规划确定。一些单位如果不能明确划分，可划入“其它”类。如该单位隶属于某个域名已定的单位，则该单位域名可定义为已定义域名的下一级域名。为了域名正确匹配网络地址，在省厅网管中心设置一个域名服务器（DNS）。IP地址的分配有多种方案,省局确定的方案是：IP地址的分配应与域名分配相结合，每个域名对应一个IP地址。以便于日后的网络扩展，方便管理，有利于网络信息安全。规划原则说明方案建议采用RFC1918规定的作为内部IP网段，到各个VLAN再进行细分为24位掩码的IP地址段。为了与用户地址进行区分，采用C类地址，使用24位掩码（/24）作为网络设备的地址。在具体进行VLAN/IP分配是，可以兼顾管理以及路由汇聚的因素。IP地址分类网络设备地址：网络系统所有网络设备所使用的VLAN/IP地址服务器群地址：网络系统中对内/对外的服务器所使用的VLAN/IP地址；网络管理地址：网络系统管理人员及中心机房内的电脑所使用的VLAN/IP地址；固定用户：相对固定的网络用户，分别属于各个接入层的用户所使用的VLAN/IP地址；动态用户：通过DHCP自动分配地址的接入网络的用户所使用的VLAN/IP地址；VPN用户：通过VPN接入网络的用户所使用的IP地址ISP接入：需要访问INTERNET所需要的IP地址网络设备地址为了更好的对网络系统进行管理监控，需要为网络设备分配一个IP地址，根据前面所建议的，我们采用C类地址，使用24位掩码（/24）作为网络设备的地址，这样就将网络内部用户所使用的IP地址与网络设备地址区分开，所产生的效果是既加强的网络系统的安全性，又方便了网络管理员对网络设备的管理。网络设备所使用的VLAN ID一般是VLAN1，即默认（default vlan）VLAN。服务器群地址：在网络系统中有大量服务器，为了对服务器进行统一的管理，我们建议采用/24网段作为服务器群的IP地址段（-/24作为预留地址），服务器群所使用的VLAN ID与网段第三个数字相同为VLAN 10。网络管理地址：在网络系统中，网络管理员及中心机房的电脑作用非常重要，因些将这些地址单独划到一个网段，我们建议采用/24网段作为网络管理的IP地址，同样VLAN ID与网段第三个数字相同为VLAN 11固定用户：固定用户就是在各个接入层固定分配IP地址的用户，每个接入层分配一个24位掩码的网段作为该接入层的IP地址段.动态用户动态用户就是在需要动态分配IP地址的用户（如无线用户等），我们建议采用/24作为动态用户的IP地址，如果不够还可适当增加，同样VLAN ID与网段第三个数字相同为VLAN 100VPN用户地址VPN用户通过INTERNET与防火墙建立VPN通道，为了将VPN用户下内部用户进行区分，我们建议为VPN用户分配/16作为VPN用户地址段。ISP接入的处理ISP接入地址由ISP供应商提供。1.7 网络优化l 在多应用、多系统数据的大型网络中，局域网与广域网交汇点上形成的通讯瓶颈所带来的阻塞往往令人无法接受。TCP/IP 协议的天然属性以及路由器上优化技术的不完美为问题的解决带来重重障碍。导致现象是，网络里的最重要信息流无法顺畅流通，广域网资源使用量无法被很好地识别，区分和控制。通过国际互联网或内联肉进行的各种应用遇到响应迟缓及中断等问题，尤其是图象和语音，通讯质量得不到保障。l 目前先进的速率控制与整形技术（Rate Control/Rate Shaping）为这些问题的解决带来曙光。专业流量控制器通过对通讯两端机器通讯流量的同时及直接控制，有效地解决拥挤和阻塞。由于流量控制器能看懂 TCP/IP 从第二到第七的协议层，它能自动地分辨超过三百多种不同的各种协议，服务和应用。它能根据一个特定信息流的特点，根据IP地址，子网，服务器地点，TCP应用口，域名及应用将这个信息流和其它信息流区分开来，再根据不同的需要给予适当或应有的带宽分区（Partition）和带宽政策（Policy）。带宽分区和带宽政策的实施可以是硬性或弹性的，根据不同的灵活实施，可以确保广域网有限资源的按需动态分配。l 针对贵公司信息网，整网部属QoS以来满足应用数据的分类传输，保证关键应用的网络质量。QoS通常通过四大步骤来部署，从而控制出现在广域网接入瓶颈的阻塞。l 步骤一：分类自动根据应用程序的种类、子网、URL 和其他信流特征，将网络信息流分成为不同的类别。流量控制设备所作的远远超过静态地对端口、IP 地址等作分辨，而是以 OSI 网络模型二至七层的特征为基础对信息进行分类，对如 SAP 和 Oracle 等各种应用程序进行精确定位。l 步骤二：分析提供详细的应用程序性能和网络效率分析，描述最大和平均带宽利用率、响应时间（细分到网络与服务器延迟等）、最主要的用户、网页、应用程序以及其他信息。l 步骤三：控制通过基于策略的带宽分配和流量整形，流量控制设备能够保护重要的应用程序、安置非关键信流，并且使有限的广域网接入性能实现优化。您可以为每个对话（session）、每个应用程序指定具体的带宽。控制设备的 TCP 速率控制技术能够主动地同时控制出港和入港的信息传输以避免阻塞、防止不必要的数据包丢弃和重发，力保平稳、均一的流量，实现吞吐优化。l 步骤四：报告具有多种报告功能，它可以产生报告、图表、数据和简单网络管理协议的管理信息库（SNMP MIB）。您可以通过服务等级协议来界定性能标准，比较真实性能与服务等级目标，提供两者吻合的报告。1.7.1 IP优先级划分l 针对本公司信息化网络的实际的应用情况，可以把需要使用QOS的各种应用划分为5类：1. 办公类应用：这是对延时非常敏感的一种应用，实时性要求高，应该定义为最高级别的优先级；2. 视频/语音： 这类数据对延时也非常敏感，但属于多媒体业务，可以定义为次优先级；3. 工程类业务： 这类数据的特点是交易包长度固定，交易时限要求实时，上下行数据流量基本对等，因为是网络中的关键应用，所以应定义为比较高的优先级；4. 管理类业务： 这类数据通常对网络实时性要求不高，可定义为一般优先级业务；5. 其它应用： 其它应用包括大部分Internet访问，典型的应用是FTP或HTTP等，可以把这类应用定义为最低的优先级。l IP Precedence 规划表：业务应用类型IP Precedence值其它应用（如FTP和HTTP）0管理类业务2工程类业务3视频/语音4办公类应用51.7.2 QoS策略规划l 根据网络以及与WAN的网络结构，同时考虑应用业务类型及特点，在整个网络服务质量保证方面可以使用下面的策略：l 优先级分类通过在分布层的交换机对接入端口设置COS实现；l 拥塞避免机制采用WRED- Weighted Random Early Detection实现；l 拥塞管理机制采用CBWFQ- Class Based Weighted Fair Queuing实现。1.7.3 QoS数据分类l 业务类l 在网络数据中心内部，办公类应用数据和业务类数据主要在业务交换核心一侧，所以，数据优先级分类可以在数据中心核心交换机上根据连接主机的端口上完成。l 具体的做法是将连接主机的交换机端口设置为untrust，并根据上表对进入该端口的数据包打上相应的Cos值。l OA业务及视频类l 在数据中心内部，EAS类数据服务和视频数据主要在交换核心一侧，所以，数据优先级分类可以在数据中心核心交换机等交换机上根据应用类型或连接相应网段的交换端口上完成。l 具体的做法是将连接主机的交换机端口设置为untrust，并根据上表对进入该端口的数据包打上相应的Cos值。1.7.4 QoS拥塞管理与拥塞避免l 由于数据中心局域网多采用千兆或捆绑的多千兆端口互联，应该不会存在网络拥塞的情况。所以在交换机上无需考虑拥塞管理。l 数据中心之间的广域网链路，数据中心与一级节点之间的广域网链路都是可能发生拥塞的网段，需要使用QoS的拥塞管理机制，CBWFQ。QoS的拥塞管理机制可以在数据中心之间以及数据中心与各一级节点的广域网电路上实现。同时QoS的拥塞避免机制，如数据包丢弃WRED也可以同时在相应的广域网端口上实施，以保证高优先级业务数据的服务质量。1.8思科WLAN设计思科的无线局域网系统满足国际和国内的无线标准，市场占有率超过60%，思科WLAN最大程度的兼容符合Wi-Fi标准的各种无线终端设备.无线局域网控制器的智能RF管理所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法，来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式，为无线网络创建最优拓扑。思科无线局域网控制器所管理的特定智能RF功能包括： 动态信道分配802.11信道可根据不断变化的RF情况进行调整，以优化网络覆盖范围和性能。 干扰检测和避免该系统可检测干扰并重新调整网络，以避免性能问题。 负载均衡此系统对多个接入点提供了自动的用户负载均衡，即使负载量很大，也能获得最优网络性能。 覆盖盲区检测和修复无线资源管理(RMM)软件可发现覆盖盲区，并尝试通过调整接入点的功率输出来修复它们。 动态功率控制该系统可动态调整各接入点的功率输出，来适应不断变化的网络情况，以确保达到预期的无线性能和可靠性。无线局域网控制器实现严格的安全性思科无线局域网控制器符合最严格的安全标准，包括： 802.11i Wi-Fi WPA2，WPA和有线等效加密(WEP) 802.1X，带多种可扩展验证协议(EAP)类型受保护EAP (PEAP)，带传输层安全的EAP(EAP-TLS)，带隧道化TLS的EAP (EAP-TTLS)和思科LEAP VPN终结4100系列的可选模块，提供IP安全(IPSec)和第二层隧道协议(L2TP) VPN终结思科通过提供以下多个保护层来实现无线局域网安全：RF安全检测和避免802.11干扰和消除不必要的RF传播无线局域网入侵防御和定位思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁，而且能对这些设备定位。这使系统管理员能快速评估威胁级别，立即按需采取措施来抵御威胁。基于身份的联网IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。这其中包括： 第二层安全功能802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP 第三层（和更高层次）的安全功能IPSec, web验证 VLAN分配 访问控制列表（ACL）IP限制，协议类型，端口和差分服务代码点(DSCP)数值 QoS多个服务级别，带宽减少，流量整形和RF利用 验证、授权和记帐(AAA)/RADIUS用户连接策略和权限管理网络准入控制(NAC)实施客户端配置和行为策略，以确保只有拥有适当安全工具的终端用户设备才能访问网络。安全移动在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN，无需重新建立安全隧道。此外，思科已开发了主动密钥缓存(PKC)，这是802.11i标准的扩展、802.11r标准的前身，可通过AES加密和RADIUS验证实现安全漫游。访客隧道为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙，就无法接入公司网络。思科无线局域网控制器所支持的认证方式包括： 开放式本地网络认证 静态WEP 802.1x认证 WPA 认证1、1开放式本地网络认证在本地网络认证方式中，需要在思科无线局域网控制器中加入本地网络用户(local net user)的用户名，密码，不需要配置认证服务器（radius server）。客户端除需要配置正确的SSID,不需要其他任何配置。使用时开启客户端软件，开启IE,无线关联后会弹出相应的airspace Web界面，输入用户名，密码。思科无线局域网控制器比对自己内部的用户数据，正确即可正常连接网络。客户端需求：Cisco ACU，Windows XP SP2 自带客户端即可 1、2 Static WEP 静态WEP在静态WEP方式中，需要在思科无线局域网控制器中加入静态WEP的选项,及相应的WEP的密钥(40获104bits).不需要配置认证服务器（radius server）。客户端需要配置正确的SSID,选用WEP开启，配置相应的WEP的密钥即可。客户端需求：cisco ACU，Windows XP SP2 自带客户端即可1、3 8021x认证使用 IEEE 802.1X 在 WLAN 中应用增强型访问控制机制。这种方法必须与安全可扩展验证协议 (EAP) 结合使用。选择怎样的 EAP 方法将定义 WLAN 验证用户和计算机身份所用的证书类型。思科无线局域网控制器支持使用结合 MS-CHAP v2 协议的 PEAP 进行密码验证、使用 EAP-TLS 进行证书验证。PEAP 是安全通道中另一保护 EAP 方法（如 MS-CHAP v2）的途径。使用 PEAP 对于防范目标是基于密码的 EAP 方法的攻击而言非常重要。在8021x认证方式中，思科无线局域网控制器支持EAP-PEAP-MSCHAPv2， 需要在思科无线局域网控制器中加入8021x认证的选项,及相应的验证、授权和记帐(AAA)/RADIUS 服务器的地址，访问密钥和动态 WEP(40获104bits).。需要配置认证服务器（radius server）支持 802.1x协议。需要配置相应的CA.客户端需要配置正确的SSID,选用8021x 开启，及相应的EAP-PEAP-MSCHAPv2配置。需要配置同认证服务器（radius server相应的CA.客户端需求：Windows XP SP2 自带客户端或专用的802.1X客户端软件（必须配备支持 802.1X 和动态 WEP 或 WPA 加密的 WLAN 网络适配器）IEEE 802.1x 身份验证提供对 802.11 无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险（例如，对网络资源的非授权访问以及偷听）减小到最低程度。IEEE 802.1x 支持 Internet 身份验证服务 (IAS)，这种服务执行远程身份验证拨号用户服务 (RADIUS) 协议。在此执行下，作为 RADIUS 客户端配置的无线