化德电力有限责任公司网络改造技术建议书

1、乌兰察布化德电力有限责任公司网络改造技术建议书内蒙古卓风电子科技有限公司2011年8月目 录1项目概述32总体系统设计原则32.1安全性32.2可维护、可管理性33、网络现状44、网络改造架构设计55、项目预算95 售后服务101 项目概述化德电力公司随着办公信息化的逐步加强，现有的网络结构和承载能力已经无法满足日益增长的业务需求，为了提高企业信息化水平，急需对现网进行升级改造。2 总体系统设计原则2.1 安全性安全性是核心网络建设中的关键，它包括物理空间的安全控制及网络的安全控制。本方案分别在公网出口和核心业务区部署了新一代高性能防火墙。2.2 可维护、可管理性网络可管理性是网络运维的基础。

2、应提供低成本、简单有效的统一网管系统，对网络中所有网络设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。3、 网络现状1、整个网络规划混乱，设备较多，线路复杂，容易引起环路；2、服务器侧无安全保障，容易遭受攻击；3、网络数据规划不合理，全公司在一个局域网内，易产生广播风暴和遭受病毒攻击，造成网络瘫痪；4、核心层交换机依然采用百兆级别的交换机，而且是二层交换机，成为网络核心业务的瓶颈；5、内网中没有防止和控制病毒的专用设备，内网病毒需要重视；6、对于员工上网的行为无法得到有效控制和监控；7、当前网络的完整性、安全性、灵活性、可扩展性、先进性等方面还存在诸多问题；

3、8、各服务器之间应采取隔离办法，防止之间进行二层互通；9、服务器侧数据量比较大，应配置一台千兆交换机和千兆防火墙进行防护，提升内网用户的访问速度；10、机柜内服务器没有合理的配置显示器和鼠标，操作繁琐。4、 网络改造架构设计图1 网络架构如图所示，本方案采用层次化的设计思路，按照接入层、汇聚层和核心层进行网络设备设计部署，核心交换机选用1台全千兆交换机来保证设备的安全和可靠，服务器侧新增一台二层汇聚千兆交换机和一台千兆防火墙，满足用户访问服务器日益增长的业务需求。本方案中把出口防火墙和服务器侧防火墙替换为华三高性能防火墙，被替换的防火墙由于性能不高、配置繁琐、可靠性差、网管管理不到、影响网络运

4、行速度不能被利旧。网络中汇聚业务的2台二层华三交换机S1048由于不可管理和配置，在网络中只是起到HUB作用，需在二期改造中和下边的变电站和所一同替换。一、防火墙布署1、服务器侧增加一台千兆高性能的防火墙，提高内网访问速度。外网侧增加百兆防火墙一台，实现公私网地址转换、外网功击防范和保证服务器侧的安全； 2、实现对DDOS功击进行控制，支持对SYN FLOOD、UDP FLOOD、ICMP FLOOD、DNS FLOOD、CC等多种DDoS攻击种类的准确识别和控制； 3、NAT处理能力达到每秒新建连接数达到用户要求，满足用户上网的快速处理和转发；二、上网行为管理系统1、屏蔽员工对非法网站的访问

5、； 2、提供基于时间、用户、应用的精细管理控制策略，控制员工在上班时间玩网络游戏、炒股、观看在线视频，以及无节制地网络聊天，从而保障工作效率； 3、提供对通过电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免企业机密信息泄露； 4、此外，还提供应用层的带宽管理功能，有效阻止、限制P2P等严重消耗带宽的应用，确保核心业务带宽。三、防病毒服务器本方案在网络中布置了一台网络版病毒服务器，本次设计可以满足130客户端随时登录服务器更新病毒库对计算机进行升级防护，防止内网计算机病毒在网络中传播，保证了用户计算机的安全；四、LCD-KVM在服务器机柜内配置16口LCD-KVM，将现有服务器及新

6、增病毒服务器全部连接到此LCD-KVM，通过切换完成选择需要操作的服务器，简化对服务器操作过程，提高工作效率。五、核心交换机在网络核心层增加一台千兆三层交换机，保障核心层传输速度，实现公司内部网络的快速交换，多网段的互通和隔离。1）防IP/MAC地址盗用DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息，DHCP Snooping绑定表可以基于DHCP过程动态生成，也可以通

7、过静态配置生成，此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。交换机开启DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。2）防ARP中间人攻击Dynam

8、ic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定， 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。此时交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表，不能匹配则认为是仿冒网关回应的ARP响应报文，予以丢弃，从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。3）防IP扫描攻击地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，触发ARP

9、 miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。交换机支持IP地址扫描攻击的防护能力，收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项（弃后续所有目的地址为该直连网段的ARP报文），以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项；否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。

10、4）防MAC地址扫描攻击以太网交换机的MAC地址转发表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文，交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项，由于MAC地址转发表的规格有限，会因为MAC扫描攻击而很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目需通过老化方式删除，这样途径交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送，导致网络中产生大量的二层广播报文，消耗网络带宽、引发网络业务中断异常。交换机二层MAC转发表是全局共享

11、资源，单板内各端口/VLAN共享一份MAC转发表，华为交换机支持基于端口/VLAN的MAC学习数目限制，同时支持MAC表学习速率限制，有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时，会进行丢弃/转发/告警等动作（动作策略可定制、可叠加）。另外通过交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。5）广播/组播报文抑制攻击者不停地向网络发送大量恶意的广播报文，恶意广播报文占据了大量的带宽，传统的广播风暴抑制无法识别用户VLAN，将导致正常的广播流量一并被交换机丢弃。交换机需要识别恶意广播流量的VLAN ID，通过基于VLAN的广播风暴抑制丢弃恶意广播报文而

12、不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。六、网管系统介绍随着通信技术的快速发展，新的业务层出不穷，网络也变得越来越庞大，越来越复杂，使网络的管理、维护、优化变得更加困难。集中、统一、直观的网络管理，能够快速定位网络故障，便于网络性能分析，解决网络瓶颈，提高业务需求响应速度，这是网管发展的方向。网管系统不仅实现了多设备网元的管理，还实现了网络综合业务的管理，能够很好的满足客户对网络管理的需求。5、 项目预算序号设备名称型号描述数量单价合计1千兆三层交换机S550024个10/100/1000Base-T以太网端口，4个1000Base-X SFP千兆以太

13、网端口（Combo），后面板提供两个固定的堆叠接口和一个扩展模块插槽139800398002千兆二层交换机S512024个10/100/1000Base-T以太网端口和4个复用的1000Base-X SFP千兆以太网端口（Combo）114900149003防火墙F1000H3C SecPath F1000-S 主机-双交流电源(4GE/2Slot)194600946004防火墙F100H3C SecPath F100-M 主机-交流电源(3FE/1Slot)126370263705行为管理NM300三年免费升级服务197400974006LCD-KVM16接口/19寸液晶1980098007病毒服务器100客户端/三年免费升级/R710服务器160400604008网管MIMPW-CNH3C iMC-中小型网络管理版(Mini iMC)(含40节点) For Windows-纯软件(CD)中文版132480324809二层交换机S310024个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口和2个1000Base-X SFP千兆以太网端口（Combo）1055005500010二层交换机S310048个10/100Base-T以太网端口，2个10/100/1000Base-T以太网端口和2个1000Base-X SFP千