锦泰保险网络规划及实施方案.doc

1 87 四川锦泰保险设计及实施方案四川锦泰保险设计及实施方案 2 87 目目 录录 第一部分第一部分 技术方案技术方案 6 6 第一章 项目需求和选型依据第一章 项目需求和选型依据 6 1 1 项目需求 6 1 2 选型依据 6 1 3 思科产品其他特点 7 第二章第二章 网络结构规划概述网络结构规划概述 9 2 1 网络结构设计 9 2 2 路由现状 11 2 3 网络区域现状 11 2 4 数据中心总体架构 12 2 5 数据中心网络拓扑结构 15 第三章 网络实施规划第三章 网络实施规划 16 3 1 设备命名规则 16 3 2 设备板卡及端口规划 18 3 3 IP地址与VLAN分配 19 3 4 路由策略实施设计 26 3 5 ACL实施规划 30 3 6 安全策略实施设计 33 3 7 QOS实施设计 39 3 7 1 QOS设计概要 39 3 7 2 QoS 流量分类 40 3 8 网络管理实施设计 43 3 8 1 网络管理的内容 43 3 8 2 配置管理 43 3 8 3 性能管理 43 3 8 4 故障管理 44 3 8 5 网管协议的选型 44 3 87 第四章 网络安全设计第四章 网络安全设计 46 4 1 网络安全威胁来源 46 4 2 网络安全体系结构 46 4 2 1 平台安全的层次模型 46 4 2 2 物理层的安全 47 4 2 3 链路层的安全 47 4 2 4 网络层的安全 47 4 2 5操作系统的安全 47 4 2 6 应用平台的安全 48 4 2 7 应用系统的安全 48 4 3 常见网络安全需求 48 4 3 1 网络的基本安全需求 48 4 3 2 应用系统的安全需求 48 4 3 3 平台安全的需求 49 4 4 锦泰保险安全网络结构 50 4 4 1 可靠的边界安全 51 4 4 2 优秀的入侵检测及跟踪记录能力 51 4 4 3 良好易用的管理控制平台 51 4 4 4 可扩充性强 51 4 4 5 经验丰富的集成商合作伙伴 52 4 4 6 完善的售后服务条款保障 52 第二部分 设备明细表第二部分 设备明细表 53 一 核心交换机一 核心交换机A 53 1 1投标产品的品牌 型号 配置 53 1 2详细的技术指标和参数 53 1 3技术规格性能响应表 55 1 4 产品彩页资料 56 1 5 CISCO CATALYST 4500系列交换机介绍 56 二 服务器区交换机二 服务器区交换机B 57 4 87 2 1投标产品的品牌 型号 配置 57 2 2 详细的技术指标和参数 57 2 3 技术规格性能响应表 58 2 4 产品彩页资料 59 2 5 CATALYST 2960 交换机简介 59 三 总公司机房交换机三 总公司机房交换机C 61 3 1投标产品的品牌 型号 配置 61 3 2详细的技术指标和参数 61 3 3 技术规格性能响应表 62 3 4 产品彩页资料 62 四 接入交换机四 接入交换机D 64 4 1 投标产品的品牌 型号 配置 64 4 2 详细的技术指标和参数 64 4 3 技术规格性能响应表 64 4 4 产品彩页资料 65 五 核心路由器五 核心路由器A 66 5 1 投标产品的品牌 型号 配置 66 5 2 详细的技术指标和参数 66 5 3 技术规格性能响应表 69 5 4 产品彩页资料 70 5 5 CISCO 3900路由器简介 70 六 总公司路由器六 总公司路由器B 71 6 1 投标产品的品牌 型号 配置 71 6 2详细的技术指标和参数 71 6 3 技术规格性能响应表 73 6 4 产品彩页资料 74 6 5 CISCO2900 路由器简介 74 七七 防火墙 防火墙 75 5 87 7 1 投标产品的品牌 型号 配置 75 7 2 详细的技术指标和参数 75 7 3 技术规格性能响应表 76 7 4 产品彩页资料 77 7 5 ASA 5500系列简介 77 八八 负载均衡设备 负载均衡设备 80 8 1投标产品的品牌 型号 配置 80 8 2详细的技术指标和参数 80 8 3 技术规格性能响应表 82 8 4 产品彩页资料 83 8 5 负载均衡设备简介 83 6 87 第一部分第一部分 技术方案技术方案 第一章 第一章 项目需求和选型依据项目需求和选型依据 1 1 项目需求项目需求 四川锦泰保险现在需构建一个全新的智能网络 部署具有高度可用性 持 续性和安全的综合性网络的解决方案 整个网络实现包括数据传输 安全 存 储备份等综合性服务的功能 络的高可靠性和高安全性及可管理性是本次网络建设的目标 要求网络的 高可用性要达到99 99 的要求 要求网络设备 交换机 无线控制设备 防火 墙等 本身稳定可靠安全 1 2 选型依据选型依据 交换机要内置强大的安全功能 不能因为病毒蠕虫的攻击而瘫痪死机 对 于所需要的网络设备 要求必须是久经考验的网络设备 在业界有良好的口碑 具备真实的技术参数 不能做虚假的夸大 网络设备应具有良好的可扩展性 以适应今后多年网络的发展 在满足对当前及未来网络技术的需求 包括Ipv 6的支持 无线网络的支持 IP电话的支持 服务器负载均衡的支持等等 又 能未来做出投资保护 根据目前网络产品的市场占有率情况和设备实际的性能功能 我们建议选 择Cisco公司的网络产品 Cisco公司成立于1984年 有23年的历史 是全球排名第一的网络设备供应 商 Cisco在全球500强的地位是2006为254位 2007年为232位 2007年在全球 最受尊敬的公司里排名第九 其产品及设备的软件久经考验 非常成熟可靠 其产品的稳定性 可靠性 技术先进性是肯定的 其产品的技术参数和指标没 有任何水分 我国电信 金融 交通 医院 国防等单位都大量采用Cisco的产 品和组网方案 另外我们推荐采用Cisco产品 还考虑到Cisco的公司信誉 产品质量和技 7 87 术领先以及强大和周全的服务能力 1 网络只从诞生开始 一直面临2个问题 网络大塞车和安全问题 Cisco 公司通过自己独特的QoS技术解决了网络大塞车的问题 Cisco公司的产品 交 换机 路由器 均内置了端到端的成熟的QoS技术 解决了网络大塞车的问题 通过夸大的不切实际的大背板来解决网络拥塞是不可行的 为了解决日益突出 的网络安全问题 Cisco战略性地研发了SDN 自防御网络 技术 Cisco所研发的 产品均内置安全功能 即非专用安全产品也具备抵抗攻击或网络破坏的能力 C isco对来自内部的攻击主要依靠Cisco交换机和Cisco提出的NAC 网络准入控制 技术 Cisco的交换机如Cisco Catalyst 3560 6500等均有强大的安全功能 均支持NAC 有病毒的电脑或不健康的电脑接入网络时将被隔离 这样病毒蠕虫就 不会传播开来 2 Cisco公司产品全面 Cisco能提供在一个项目中所需要的几乎是所有网络 技术和所有网络产品 如交换机 路由器 安全产品 UTM 防火墙 IPS VPN IP电话 IP视频产品 IP呼叫中心 无线产品 SAN交换机 负载均衡交换 机 WAN加速产品 Cable ADSL 光传输 网管软件 用户身份认证软件等等 这为今后网络的良性发展提供了坚实的统一基础 帮助用户方便灵活地建设 各种类型的网络 同时 由于拥有最多的在各种环境下部署网络系统的实施经 验 Cisco能够提供多种多样的解决方案和解决实际问题的能力 3 Cisco做为发起者 号召和联合国内外著名的厂商 微软 NAI 赛门铁克 Trend Micro IBM CA等 推出了NAC 网络准入控制 技术 让Cisco的路 由器和交换机也参与杀毒防蠕虫 如冲击波 从而可以真正的杀毒防蠕虫 即杀毒防蠕虫需要所有的设备 尤其是病毒和蠕虫传播要经历的网络设备 都 参与 仅靠杀毒防蠕虫软件是不可行的 其它网络公司没有这样的号召力和技 术能力 现在Cisco销售的交换机和路由器都内置了NAC功能 该功能是免费的 可以说NAC是Cisco交换机和路由器的一个增值功能 而目前其它公司的产品对 整个网络的发展和一些关键问题 如杀毒杀蠕虫 高稳定性 并没有起到作用 只能提供一个基本的局域网而已 不能提供投资保护和增值业务 1 3 思科产品其他特点思科产品其他特点 8 87 下面是CISCO解决方案提供的业内绝无仅有的特点 1 1 高可用性和高永续性的层次化架构高可用性和高永续性的层次化架构 思科的解决方案首先从设计和架构上着重于创建一种高可用和高永续性的设 计 方案采用了层次化的结构设计 建议用高效扁平的3层架构 核心层 汇聚 层和接入层 因为所需设备更少 同时降低整个网络的复杂度和成本 核心层 和汇聚层间最好运行路由协议 以实现网络的高速收敛和快速冗余 2 2 端到端的集成安全防御体系 端到端的集成安全防御体系 安全已成为很多网络管理者关心的首要问题 企业LAN管理者都希望自己的 路由器和交换机具有内在的安全功能 从而为设备本身乃至与之相连的用户提 供保护 思科解决方案中的基础设施可以无缝地集成到网络的总体安全之中 使安全运行管理者能高枕无忧 同时又能使网络运行管理者预防从与其网络相 连的终端站故意或无意发出的威胁和攻击 安全也是网络可用性和永续性的保 障 一个企业可以有冗余链路 交换或路由机制 但仍可能遭遇因拒绝服务攻 击而导致的网络宕机 没有安全基础设施可能产生的另一个情况就是信息盗窃 安全性已经不再是部署防火墙和入侵检测和杀毒软件等传统概念 而是对信 息获取 传输 交易 处理和存储的端到端的全方位保障 安全不能作为 一个 单独的问题看待 必须把它集成到整个端到端的网络基础设施的设计中 思科 公司的IBNS 基于身份的联网 和NAC 网络准入控制 技术可以实现整个端到端 的网络安全 从而能极大提高网络的可用性和企业业务的永续性 3 3 对延展性和业务灵活性的支持 对延展性和业务灵活性的支持 思科智能企业网解决方案所建议的思科架构可满足未来的发展需求 能适 应今后IP电话和无线联网的网络需求 总的来说 思科解决方案的目的在于 为客户提供一个高可用性 高安全 性和高服务质量的网络 提供一个一致的端到端单厂家解决方案 今后可以随 时部署IP电话 无线 数据中心等等的解决方案 9 87 第二章第二章 网络结构网络结构规划概述规划概述 2 1 网络结构网络结构设计设计 四川锦泰保险中心机房使用两台 CISCO3945 作为核心交换机 广域网部分 下联各地市路由器采用两台 CISCO3945 与核心交换机通过千兆光纤以口字型互 连 兰州锦泰保险各网点通过锦泰保险汇聚上联到核心路由器 10 87 中心机房 拟租用机房 安放核心交换机 路由器 链路均衡仪 防火墙 核心服务器等设备 交换机 路由器 防火墙等核心设备具备冗余备份 中心机房通过A和B运营商各一条线路接入到INTERNET 目前INTERNET的作 用是供员工上网和收发邮件 要求在INTERNET接入处安放一台链路均衡仪 但 暂时不需要具备冗余备份 中心机房需设置DMZ区 公司的大量外网应用将在此 部署 中心机房通过2M SDH数字新路接到银行 平台等合作单位 并与核心系统 对接 总公司机房 在总公司办公职场内 通过两条4M MSTP或者SDH数字线路接 入到中心机房 接入交换机与总公司职场的核心交换机通过双千兆上连 办公 室内计算机与接入交换机连接 形成统一交换网络 分公司通过2M SDH数字线路接入到中心机房 分公司只有办公设备 没有 服务器 开业前期四川分公司和总公司公用办公职场 暂时不考虑分公司设备 总公司机房有一条2M SDH数字线路连通到保监会 报送保险统计信息数 据 每月末使用 数据传输量不超过20M 只需要配备低端路由设备一台即可 11 87 2 2 路由现状路由现状 中心中心路由现状中心中心路由现状 锦泰保险现网路由状况 在数据中心运行动态路由协议OSPF 100 自治区 域范围为数据中心核心路由器3945 数据中心核心交换机4506 以及各地市的核 心骨干路由器 县级路由器 中心中心数据中心核心路由器运行在OSPF AREA 1中 中心中心数据中心核 心路由器与地市核心路由器运行在OSPF AREA 0中 在锦泰保险核心交换机上 分别有一个核心服务器VLAN 和一个办公VLAN 通过OSPF AREA 1直接宣告 核心交换机直接与外联防火墙互联 通过静态路由 访问外联单位 核心交换机将静态路由全部重分发到了OSPF路由数据库中 在中心中心没有做路由重分发控制 也没有做路由过滤 路由汇总 地市及网点路由现状地市及网点路由现状 地市路由器与县级路由器运行在 OSPF AREA X 中 县级路由器与网点路由 器运行静态路由 在地市中心 县级路由器上也没有做路由重分发控制 路由过滤 路由汇 总 2 3 网络区域现状网络区域现状 内网网络区域现状内网网络区域现状 锦泰保险中心机房生产服务器 管理服务器 测试服务器 运维管理 管 理网用户均连接到核心交换机上 12 87 外网网络区域现状外网网络区域现状 中心锦泰保险外网防火墙的部署 所有合作单位与锦泰保险的信息交互都 必须通过外网防火墙进行过滤 外网防火墙共分为内网 外网两个安全区域 没有DMZ区域 锦泰保险对 外单位直接访问的内网服务器均做NAT NAT在外网防火墙上实现 业务应用系统环境现状业务应用系统环境现状 统计中心锦泰保险业务应用系统数量 服务器数量 包括将要迁入生产服 务器 管理服务器区域的所有应用 要摸清楚所有应用资源 服务器资源 理 顺各个应用的访问关系及访问端口 画出各应用数据流图 并整理各应用系统 服务器访问关系表 2 4 数据中心总体架构数据中心总体架构 四川锦泰保险中心机房局域网采用模块化的架构设计方法 清晰定义和区 分不同的功能区域 将网络基础设施划分为不同的功能区域 部署不同的应用 使数据中心局域网架构具有可扩展性 灵活性 高可用性和高安全性 在整个数据中心的架构设计中 我们采用核心边缘设计 以核心交换区为 中心 其它作为边缘处理 我们在网络中设计一个核心交换区 这个区域作为 其它区域的交换中心 为了保证更好的网络性能 核心交换区只提供实现高速 转发功能 安全控制在各边缘区域中实现 这样的架构设计有很好的伸缩性 扩展性 例如 根据将来业务发展的 需要 可以非常容易的增加新的区域或者新的交换机 而不需要对整个架构进 行大的修改 具备更好的可管理性 因为每个区域的安全功能和详细的路由可 以根据每个区域的功能进行定义 可以在不影响其他应用或者整个区域的情况 下进行网络的增强或强化 在本次局域网改造中 将中心中心的局域网划分为八个功能区域 Zone 分别是 13 87 核心交换区 Core Switch Zone 生产服务器区 DB Server Zone 管理服务器区 Information Server Zone 外联区 ExterNal Zone 内联区 IntraNet Zone 运行管理区 Operation Monitor Zone 管理网用户区 OA Zone 测试区 Testing Zone 方案总体结构分区 模块化 设计概括如下 方案总体结构分区 模块化 设计概括如下 生产服务器区 生产服务器区主要部署为内部用户提供业务操作服务的应 用系统 这些应用将主要被内部用户访问 这些应用的服务器将被部署在这个 功能区中 管理服务器区 部署全部管理类服务器和小型机 按照不同的用途和功能 划分为管理 视频 OA等不同的VLAN 核心交换区 核心交换区作为整个局域网的核心 连接不同的功能区域 实现数据的高速转发 由于性能是该功能区最关键的因素 所以可使用高性能 的三层交换机 并且在核心交换机上要避免使用那些可能会影响处理速度的访 问列表定义 外联区 外联区主要是实现业务的外联 包括同行业的往来业务 重点客 户的业务 中间代理业务等的互连平台 需要通过电信 联通等服务提供商提 供的线路与外联伙伴互联 此次改造将原有外联线路进行整合 在此区域部署2 台外联路由器和2台外联防火墙 14 87 内联区 广域网区 完成各地市节点的连接与汇聚 运行管理区 系统的管理及维护中心 该区收集被管理系统 设备的运行 状态信息 监控网络 系统状态 下达管理指令 排除系统故障 管理网用户区 锦泰保险生产办公用户通过现有链路访问与核心交换连接 其余用户和管理网连接 15 87 2 5 数据中心网络拓扑数据中心网络拓扑结构结构 四川锦泰保险以核心交换区为中心其它区域与核心交换区进行Full Mesh连 接 其中核心交换区的两台核心交换机之间用两条不同的板卡 不同物理介质 的链路做两条Port Channel链路捆绑 一条用作二层交换 一条作为三层接口 用于三层路由 核心交换区与其它区域的设备的具体连接方式如下 核心交换区与生产服务器区的连接模式核心交换区与生产服务器区的连接模式 核心交换区与生产服务器区交换机之间交换机采用4对光纤互联 两台生产 服务器交换机之间采用两条不同介质的千兆链路做EtherChannel链路捆绑 当 其中一块板卡故障后 不影响EtherChannel 核心交换区与管理服务器区的连接模式 核心交换区与管理服务器区交换机之间采用4条千兆以太网线互联 两台管 理服务器交换机之间采用两条不同介质的千兆链路做Port Channel链路捆绑 核心交换区与内联区 广域网区 的连接模式核心交换区与内联区 广域网区 的连接模式 核心交换区与内联区路由路由器之间采用4条千兆光纤互联 两台内联区路 由器之间采用两条光纤千兆链路做EtherChannel链路捆绑 由于内联区路由器 没有配置交换板卡 因此使用两个引擎上自带的千兆接口 每个引擎上自带两 个千兆接口 两个引擎共有四个可用 为了实现高可用性 两台路由器之间互 联的EtherChannel使用不同引擎上的两个光接口 核心交换区与外联区的连接模式核心交换区与外联区的连接模式 核心交换区的核心交换机与外联区的防火墙直接相连 由于防火墙的Failo ver机制 防火墙和核心交换区的交换区使用两个千兆以太口相连 一个用作网 络的Inside接口 一个用于Failover接口 外联区防火墙和外联区路由器之间分 别适用一个千兆以太口相连 核心交换区与管理用户区的连接模式核心交换区与管理用户区的连接模式 核心交换区与管理服务器区之间采用2条千兆以太网线互联 核心交换区与运行管理区的连接模式核心交换区与运行管理区的连接模式 核心交换区与管理服务器区之间采用2条千兆以太网线互联 16 87 第三章 网络实施规划第三章 网络实施规划 3 1 设备命名规则设备命名规则 设备命名原则设备命名原则 为了在锦泰保险局域网网络项目中方便实施 运行维护中便于管理 对所辖内 网络中的设备进行统一命名 详细命名规则如下 网络系统中具体一台设备的命名由如下五个部分组成 AA BB CCCC DD EE AA 表示中心中心或地市行的的名称简写 BB 为区域名称 在中心中心局域网或地市行中心局域网中代表网络分区 CCCC 为设备型号 表示设备厂商的型号 DD 为设备类型 表示交换机或路由器 EE 为设备的序列 01表示第一台 02为第二台 设备名称中的英文字母全部采用大写 具体设备命名具体设备命名 通过上一个章节对命名名称各部分的详细介绍 网络设备命名表如下所示 序 号 名称描述 核心交换区 Core Switch Zone 1 JT CS 4506 SW 01 核心区交换机 2JT CS 4506 SW 02 核心区交换机 生产服务器区 DB Server Zone 17 87 1JT DS 7609 SW 01 生产服务器区核心交换机 2JT DS 7609 SW 02 生产服务器区核心交换机 3JT DS 7609 FW 01 生产服务器区防火墙1 4JT DS 7609 FW 02 生产服务器区防火墙2 管理服务器区 Information Server Zone 1JT IS 4506 SW 01 管理服务器区交换机1 2JT IS 4506 SW 02 管理服务器区交换机2 内联区 Intranet Net Zone 1JT IN 3945 RT 01 广域网区域汇聚路由器 2JT IN 3945 RT 02 广域网区域汇聚路由器 外联区 Extranet Net Zone 1JT EN 7604 RT 01 外联网区域路由器 2JT EN 7604 RT 02 外联网区域路由器 3JT EN 5520 FW 01 外联网区域防火墙 4JT EN 5520 FW 02 外联网区域防火墙 管理网用户区 OA Zone 1JT OA 4506 SW 01 管理网用户区交换机 2 运行管理区 Operation Monitor Zone 4JT OM 4948 SW 01 5 TEST区域 1 型号待定 2 18 87 3 2 设备板卡及端口规划设备板卡及端口规划 设备板卡规划设备板卡规划 核心交换区板卡规划 核心交换区采用 2 台 Catalyst 4506 交换机 具体板卡规划如下 JT IS 4506 SW 01 Slot 板卡类型型号 1 Catalyst 4500 E Series 48 Port 10 1 00 1000 RJ45 WS X4648 RJ45 E 2 3 Catalyst 4500 E Series Sup 6 E Lite 2x10GE X2 w Twin Gig WS X45 SUP6L E 4 Catalyst 4500 E Series Sup 6 E Lite 2x10GE X2 w Twin Gig WS X45 SUP6L E 2 5 6 Catalyst 4500 E Series 24 Port GE SFP WS X4624 SFP E 7 JT IS 4506 SW 02 Slot 板卡类型型号 1 Catalyst 4500 E Series 48 Port 10 1 00 1000 RJ45 WS X4648 RJ45 E 2 3Catalyst 4500 E Series Sup 6 E LiteWS X45 SUP6L E 19 87 2x10GE X2 w Twin Gig 4 Catalyst 4500 E Series Sup 6 E Lite 2x10GE X2 w Twin Gig WS X45 SUP6L E 2 5 6 Catalyst 4500 E Series 24 Port GE SFP WS X4624 SFP E 7 3 3 IP地址与地址与VLAN分配分配 IP地址编码规范地址编码规范 IP v4 地址编码共有 32 位 我们将这 32 位细分 用于标示一定的含义 当 32 位组合在一起即形成了一个规范的 IP 地址 四川锦泰保险 IP 地址编码结 构和含义如下 编码结构 IP 地址编码按地域和功能划分 编码结构如下 ABCDEFG 535Bits4Bits4Bits6Bits5Bits 预留 生产 管理应 用类标 识 二级地 域标识 三级地域 标识 应用类别 四级 地域 标识 用户 网络 地址 编码含义 1 A 段定义预留字段 5Bits 用于标识未来新增的字节 由于目前没有定义 在锦泰保险的网络中 我 20 87 们取一固定值 01000 用 10 进制表示为 64 2 B 段定义生产管理类标标识 3Bits 用于表示业务的类别 目前锦泰保险可以表示的为两大类业务 生产类和 管理类 生产类我们取值 101 管理类我们取值 110 最多可以标示 8 类业务 3 C 段定义二级地市标识 5Bits 用以标识四川锦泰保险所辖的二级地市 包括各地市分公司所辖地 本市分 公司的标识 二级地域标识有效取值范围为 00001 11111 即最多可标识 32 个二级地域标识节点 由于锦泰保险中心机房 IP 地址段需求较多 故取连续两 个表示 C 4 D 段定义三级地域标识 4Bits 用以标识四川锦泰保险二级地市所辖的县级分公司 包括各锦泰保险分公 司所辖地 锦泰保险分公司的标识 三级地域标识有效取值范围为 0001 1111 即最多可标识 16 个县节点 5 E 段定义应用类别 4Bits 用于标识生产或管理下的应用类别 共可以表示 16 类 21 87 1000 预留4 1001 预留5 1010 预留6 1011 预留7 1100 生产服务器 1101 预留9 1110 预留10 1111 测试 6 E 段定义四级地域标识 5Bits 用以标识四川锦泰保险县所辖的网点 四级地域标识有效取值范围为 000001 111111 即最多可标识 64 个县节点 7 G 段定义用户网络地址 5Bits 定义用户网络 用于网点实际可用的 IP 地址 最大可以分配 32 个 中心锦泰保险中心机房中心锦泰保险中心机房IP地址分配地址分配 由 IP 地址分配可以看到 中心中心的地址段为 69 120 0 0 69 135 255 255 我们可以把 D 位字符段用来表示数据中心的分区 这样共有 16 个分区 我们暂时使用 8 个分区 这样数据中心的 IP 地址分配方案如下 序 号 区域标识DIP地址段汇总路由掩码备注 1 管理用 户区 1111 69 127 128 0 69 127 255 255 69 135 128 0 69 135 255 255 69 127 128 0 17 69 135 128 0 17 255 255 127 0 256个C 类地址 2 管理服 务器区 1110 69 127 0 0 69 127 127 25 5 69 127 0 0 17 69 135 0 0 17 255 255 127 0 256个C 类地址 22 87 69 135 0 0 69 135 127 25 5 3 核心交 换区 1101 69 126 128 0 69 126 255 255 69 134 128 0 69 134 255 255 69 126 128 0 17 69 134 128 0 17 255 255 127 0 256个C 类地址 4 内联区 1100 69 126 0 0 69 126 127 25 5 69 134 0 0 69 134 127 25 5 69 126 0 0 17 69 134 0 0 17 255 255 127 0 256个C 类地址 5 运行管 理区 1011 69 125 128 0 69 125 255 255 69 133 128 0 69 133 255 255 69 125 128 0 17 69 134 128 0 17 255 255 127 0 256个C 类地址 6 生产服 务器区 1010 69 125 0 0 69 122 127 25 5 69 133 0 0 69 133 127 25 5 69 125 0 0 17 69 133 0 0 17 255 255 127 0 256个C 类地址 7 外联区 1001 69 124 128 0 69 124 255 255 69 132 128 0 69 132 255 255 69 124 128 0 17 69 132 128 0 17 255 255 127 0 256个C 类地址 8 测试区 1000 69 124 0 0 69 124 127 25 5 69 124 0 0 69 124 127 25 5 69 124 0 0 17 69 132 0 0 17 255 255 127 0 256个C 类地址 9 预留 0111 256个C 类地址 10 预留 0110 256个C 类地址 23 87 11 预留 0101 256个C 类地址 12 预留 0100 256个C 类地址 13 预留 0011 256个C 类地址 14 预留 0010 256个C 类地址 15 预留 0001 256个C 类地址 16 预留 0000 256个C 类地址 生产服务器区IP地址段分配 管理服务器区IP地址段分配 核心交换区IP地址分配 管理用户区地址分配 运行管理区IP地址分配 内联区IP地址分配 外联区IP地址分配 VLAN分配原则分配原则 在锦泰保险中心机房 VLAN ID 按区域划分 不同的区域 VLAN ID 的取值 不同 确保全局统一 避免各个交换机之间由于 VTP 非计划内同步导致 VLAN 信 息丢失 从而影响关键业务 同时 由于明确了 VLAN ID 代表的含义 可以从 VLAN 信息中了解到 VLAN 的具体作用 从安全的角度来考虑 VLAN 也是非常重要 的 进行 VLAN 划分后 我们可以基于不同的 VLAN 和应用实现相应的安全策略 控制 24 87 逻辑区域Vlan号用 途应用类型服务器 100 生产服务器组 1 101 生产服务器 102 生产服务器 103 生产服务器 104 生产服务器 105 生产服务器 106 生产服务器 108 120 预留生产服务器 生产服务器 区 150 180 网间网 网管网络管理 200 管理服务器 201 管理服务器 202 管理服务器 203 管理服务器 204 220 预留管理服务器 管理服务器 区 250 280 网间网 网管网络管理 300 350 管理用户VLAN 管理用户区 350 380 网间网 网管网络管理 内网区 400 450 网间网 网管网络管理 核心交换区 500 600 网间网 网管网络管理 600 650 运行管理 运维管理 650 680 网间网 网管 外网区 700 780 网间网 网管 800 850 测试用户 测试区 851 880 网间网 网管 网络设备互联网络设备互联VLAN分配分配 25 87 由于交换机的互联接口支持三层路由模式 在设置时直接在互联接口上配 置地址 不必配置 VLAN 接口 方案中分配的 VLAN 号预留 接口工作在三层路由 模式无需使用 STP 收敛较快 关闭 VTP 因软件版本原因不能关闭 VTP 的交换 机 将 VTP 模式设置为 transparent 模式 分区间互联需要使用VLAN的 使用各分区内部的网管VLAN ID 26 87 3 4 路由策略实施设计路由策略实施设计 数据分流策略数据分流策略 管理网分离前数据分流策略 管理网分离前数据分流策略 中心中心数据中心局域网改造后 局域网分为 个逻辑分区 以核心交换 区为中心 各周边区域为边缘 构成一个全网状互联的网络结构 区域间的通 信通过核心交换区进行转发 由于各周边区域与核心交换区之间使用两条冗余 连接 各区域间通信存在多条路径 为简化设计 增强数据流路径的可预知性 设计局域网内数据分流原则为 在正常状态下 数据流按Per Destination方式进行负载分担 通讯双方的往返 路径不一定相同 由于在数据中心局域网中 传输路径的特点为低延时 所以如 果应用队数据流没有特殊要求 均能允许一定的数据报文乱序 在这种情况下 当网络出现故障时 路由可以快速自动迂回 实现冗余 据此 局域网内 各区域间数据流路径设计策略如下 据此 局域网内 各区域间数据流路径设计策略如下 各区域设定该区域两台交换机互为主备关系 即一部分 在SW 1 为HSRP主用交换机 在SW 2为备用交换机 一部分 在SW 为HS RP备用交换机 在SW 为主用交换机 实现数据流的负载分担 在正常情况下 一部分数据流从SW 1流出该区域 部分数据从SW 2流出 该区域 在其中一台交换机故障时 数据流从另一台交换机流出 由于是Full Mesh连接 当交换机与核心交换区的交换机的一条链路中断时 不影响数据 流的流出 从核心交换区来看 若数据从源区域经SW 1进入核心交换区 则将该数 据经SW 1转发至目的区域汇聚交换机SW 1或SW 若数据从源区域经SW 2进入核心交换区 则将该数据经SW 2 转发至目的区域汇聚交换机SW 1或 SW 2 Full Mesh结构避免了核心交换区和其它区域中各有一台交换机故障时网络 终端的可能 实现高可用性 管理网分离前 管理网和生产网共用相同的网络设备和线路 由于在中心 中心和地市分公司之间只有一条广域网链路 地市中心到锦泰保险分公司也只 27 87 有一条广域网链路 所以在广域网上数据不能冗余也不能进行分流 管理网分离后数据流策略 管理网分离后数据流策略 管理网分离后 数据中心路由策略不受影响 只对锦泰保险分公司 网点 路由器上路由策略进行修改 管理网分离后 中心中心到地市分公司 地市分公司到锦泰保险分公司的 管理网和生产网各单独使用一台网络设备和一条线路 这时需要保证生产数据 通过生产网路由器 生产网线路进行传输 管理网数据通过管理网路由器 管 理网线路进行传输 某个锦泰保险分公司到地市中心管理网线路或设备故障后 管理网数据流 不做自动冗余 该锦泰保险分公司管理网数据流不能正常访问中心中心管理网 服务器 其它锦泰保险分公司及下挂网点的管理网数据流不受影响 均能正常 访问中心中心管理网服务器 某个地市分公司到中心中心管理网线路或设备故障后 管理网数据流不做 自动冗余 该地市分公司辖内管理网数据流均不能正常访问中心中心管理网服 务器 当某个锦泰保险分公司 地市分公司管理网链路或设备故障后 均不影响 其它地市行的管理网数据流的正常访问 某个锦泰保险分公司到地市中心生产网线路或设备故障后 生产网数据流 需要自动切换到管理网线路上 保证该锦泰保险分公司的生产数据流能正常访 问中心中心的生产网服务器 某个地市分公司到中心中心生产网线路或设备故障后 生产网数据流需要 自动切换到管理网线路上 保证该地市分公司辖内的生产数据流能正常访问中 心中心的生产网服务器 当地市分公司 锦泰保险分公司的生产网网络设备或链路故障时能使用管 理网的设备和链路实现自动冗余 网络总体路由策略网络总体路由策略 中心锦泰保险中心机房局域网整体作为OSPF区域AREA 0 进程号为100 在中心中心广域网区路由器JT IN 3945 RT 01和JT IN 3945 RT 02上将连接 各地市分公司的广域网链路划分到不同的OSPF AREA中 其中连接JT IN 394 28 87 5 RT 01和地市分公司生产网路由器的电信 的链路上运行OSPF AREA 1 连接JT IN 3945 RT 02和地市分公司管理网路由器的移动 的链路上运 行OSPF AREA 在中心中心广域网区路由器JT IN 3945 RT 01和JT IN 3945 RT 02上将 连接各地市分公司的广域网链路划分到不同的OSPF AREA中 其中连接JT IN 3945 RT 01和地市分公司生产网路由器的电信 的链路上运行OSPF A REA 1 连接JT IN 3945 RT 02和地市分公司管理网路由器的移动 的链 路上运行OSPF AREA 地市分公司路由器和锦泰保险分公司路由器之间的链路运行 V 锦泰保险分公司路由器与网点路由器之间运行静态路由 中心数据中心局域网路由设计中心数据中心局域网路由设计 数据中心七个分区中的核心网络设备与核心交换区的核心交换机之间的链 路全部运行在OSPF AREA 0中 核心服务器区的路由设计 核心服务器区的路由设计 核心服务器区的2台核心交换机与2台核心交换区的交换机间使用4对光纤 建立full mesh连接 核心服务器区的2台核心交换机与2台核心交换区的交换机间启用4个三层Vl an JT DS 4506 SW 01 JT DS 4506 SW 02上配置到核心服务器的网段的 Null 0的汇总静态路由 该静态路由通过OSPF重分发静态路由的方式发布到O SPF链路状态数据库中 在核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02上形成一条类型 的外部路由 管理服务器区的路由设计 管理服务器区的JT IS 4506 SW 01 JT IS 4506 SW 02与核心交换区 的JT CS 4506 SW 01和JT CS 4506 SW 02交换机间使用4对光纤建立full mesh连接 管理服务器区的2台核心交换机与2台核心交换区的交换机间启用4个三层Vl an 管理服务器区的JT IS 4506 SW 01 JT IS 4506 SW 02上配置到管理 服务器的网段的汇总静态路由 该静态路由通过OSPF重分发静态路由的方式 发布到OSPF链路状态数据库中 在核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02形成一条类型 的外部路由 29 87 管理用户区的路由设计 管理用户区的路由设计 管理网用户区的JT OA 4506 SW 01与核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02交换机间使用2对光纤建立full mesh连接 管理服务器区的1台核心交换机与2台核心交换区的交换机间启用2个三层物理 接口 管理网用户区的JT OA 4506 SW 01上配置到管理网用户网段的汇总静 态路由 该静态路由通过OSPF重分发静态路由的方式发布到OSPF链路状态数 据库中 在核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02形成一 条类型 的外部路由 运维管理用户区的路由设计 运维管理用户区的路由设计 运维管理区的JT OM 4948 SW 01与核心交换区的JT CS 4506 SW 01 和JT CS 4506 SW 02交换机间使用2对光纤建立full mesh连接 运维管理区的JT OM 4948 SW 01与2台核心交换区的交换机间启用2个三层 物理接口 运维管理区的JT OM 4948 SW 01上通过 直接宣告到OSPF链 路状态数据库中 在核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02形成一条OSPF内部路由 内联区的路由设计 内联区的路由设计 内联区JT IN 3945 RT 01和JT IN 3945 RT 02与2台核心交换区的交换 机间使用4对光纤建立full mesh连接 内联区JT IN 3945 RT 01和JT IN 3945 RT 02机与2台核心交换区的交 换机间启用4个三层Vlan 内联区JT IN 3945 RT 01和JT IN 3945 RT 02与核心交换区的JT CS 4 506 SW 01和JT CS 4506 SW 02运行在OSPF AREA 0中 外联区的路由设计 外联区的路由设计 外联区的JT EN 5520 FW 01和JT EN 5520 FW 02与核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02之间分别用一条以太口直连 形成 口字型连接 外联区的JT EN 5520 FW 01和JT EN 5520 FW 02与核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02的互联接口运行在同一个VLAN中 30 87 并启用HSRP协议 外联区的JT EN 5520 FW 01和JT EN 5520 FW 02与核心交换区的JT CS 4506 SW 01和JT CS 4506 SW 02之间运行静态路由 在JT CS 450 6 SW 01和JT CS 4506 SW 02上配置静态路由指向主防火墙地址 此类静 态 路由需通过OSPF重分发静态方式发布到OSPF链路状态数据库中 数据中心数据中心OSPF Metric值设计 值设计 在中心数据中心调整局域网内部路径路由开销值 使局域网内动态路由计 算具有稳定的属性 默认100兆链路的开销是1 为了区别千兆链路的开销 故 将百兆链路的开销调整为10 广域网路由设计广域网路由设计 光域网总体设计光域网总体设计 3 5 ACL实施规划实施规划 在计算机系统中 安全机制的核心是访问控制 访问控制技术是计算机网 络系统中要确定合法用户对哪些系统资源享有何种权限 可进行什么类型的访 问操作 防止非法用户进入计算机系统和合法用户对系统资源的非法使用 它 包括有关策略 模型 机制的基础理论与实现方法 实施访问控制是维护系统 运行安全 保护系统资源的重要技术手段 在本次四川锦泰保险中心机房局域网改造项目中我们需要实施以下的控制 生产网服务器区生产网服务器区 ACLACL 规划规划 不允许测试区访问生产网服务器区 不允许管理网服务器区访问生产网服务器区 Vlan 之间的互访暂不控制 31 87 需要在连接核心交换区交换机的端口对病毒端口做 in 和 out 两个方向 的 ACL 控制 管理网服务器区管理网服务器区 ACLACL 规划规划 不允许测试区访问管理网服务器区 不允许管理网服务器区访问生产网服务器区 Vlan 之间的互访暂不控制 需要在连接核心交换区交换机的端口对病毒端口做 in 和 out 两个方向 的 ACL 控制 内联区内联区 ACLACL 规划规划 在内联区的两台路由器的上对地市分公司的 In 接口作防病毒端口过滤 外联区外联区 ACLACL 规划规划 网络访问控制 在外联区接入路由器上通过控制外单位可以学到的网段路由 保证每个外 单位只能够访问到自己允许被访问到的网段 而不能随意访问到其他外单位的 网络中 或者访问到锦泰保险中心机房其他禁止访问的网段 如果锦泰保险与外单位都配置动态路由协议实现网络互连 可以使用 distribute list 限制外单位学到的路由 如果双方都配置静态路由实现网络 互连 可以只配置外单位需要的路由 达到限制对方可访问网络范围的目的 数据包过滤 锦泰保险的外联接入路由器需要配置必要的 ACL 主要对病毒和 DOS 攻击实 现数据包级别的安全控制 此类安全控制措施对网络设备有较高的性能要求 32 87 CPU 性能 建议只在 CISCO7604 及以上档次系列的路由器上实施 管理网用户区管理网用户区 ACLACL 规划规划 Vlan 之间的互访暂不控制 不允许办公用户访问生产网服务器 管理网服务器 在连接核心交换去的交换机的端口对病毒端口做 in 和 out 两个方向的 ACL 控制 运行管理网用户区运行管理网用户区 ACLACL 规划规划 Vlan 之间的互访暂不控制 在连接核心交换去的交换机的端口对病毒端口做 in 和 out 两个方向的 ACL 控制 测试区测试区 ACLACL 规划规划 Vlan 之间的互访暂不控制 在连接骨干交换机的端口对病毒端口做 in 和 out 两个方向的 ACL 控制 对测试网对外的访问必须按需求逐条增加相应的 permit 策略 策略尽 量精确到 ip 地址 测试交换机不允许起非测试地址的 VLAN 33 87 3 6 安全策略实施设计安全策略实施设计 总体安全目标总体安全目标 网络安全策略的总体目标是保护网络不受攻击 控制异常行为影响网络高 效数据转发 以及保护服务器区的计算资源 安全分析安全分析 在本次项目中 中心中心数据中心局域网内的安全威胁分析基于 网络基础拓扑架构在逻辑上分成了 8 个功能区 应用系统访问关系 应用系统服务器内部安全分析 应用系统安全风险存在于 低安全级别服务器对高安全级别服务器上不适当的访问