干部疗养院网络方案

1、第一章 项目描述1.1 项目说明干部疗养院早期网络接入节点少，对网络应用需求小，管理相对简单。使用家用级别网络设备即可满足日常需要，但随着网络应用不断丰富，数字化办公的推行，局域网不但需要支持越来越多的连网用户，而且更要支持许多新型网络应用以满足应用要求，因此需要改造现有网络结构，并合理规划以建设更强大、更灵活、更智能、更可靠的网络环境。1.2 网络现状1.2.1 网络拓扑图1.2.2 网络描述干部疗养院分为三栋办公楼，机房位于酒店一楼。办公南楼与办公北楼经过楼层交换机汇聚后通过光纤接入酒店一楼机房内。网络出口使用D-Link DI-7001 路由器通过6M光纤专线接入互联网。互联网区网络结构

2、没有层次和区域概念。所有二层交换机均为简单交换机，不具备防护和管理功能。交换机连接混乱，性能参差不齐；生活区与办公区没有实现隔离混杂在一起，网络质量无法保障。 局专网系统与互联网实现物理隔离，即每个办公室内有两个网络插口，一个连接局专网系统，另一个连接互联网。1.2.3 网络故障描述此网络环境共瘫痪过三次，详细网络故障描述如下：故障现象：部分节点无法上网，防火墙报ARP攻击。故障原因：疗养院使用路由器默认地址段为192.168.1.0，网关地址为192.168.1.1。有住户私接网关地址同为192.168.1.1的家用路由器进入网络，造成网内存在两个同为192.168.1.1的网关，部分节点获

3、得了错误的网关MAC地址后将数据发送给这个假网关。由于这个假网关并没有出口，则这部分节点将无法访问互联网。同时防火墙侦测到192.168.1.1这个网络地址有两个MAC地址则认为网络出现ARP攻击而报警。故障现象：酒店区由于住客流动性大，使用DHCP动态获取IP地址将极大减少管理员的工作负担。但经常发现有住客不能获取DHCP或获取到错误的DHCP地址而无法上网。故障原因：后经过检查发现网内有部分用户使用路由器当交换机使用，这些路由器默认开启着DHCP功能，这造成网内存在两个DHCP服务器。当住客使用网络向DHCP服务器发送请求时被错误的DHCP服务器所响应分配了错误的IP地址信息而无法上网。故

4、障现象：整个网络系统瘫痪故障原因：办公区南楼四楼早期没有使用，楼层光纤没有接入交换机。早期网络维护人员为了使四楼能使用网络而私自将三楼楼层交换机与四楼楼层交换机串联起来，现在因业务需要将信息科搬至四楼，而将四楼楼层光纤接入交换机。人为的造成网络环路导致数据包在网络中无限循环，最终耗尽网络资源使得所有交换机宕机。由以上故障描述可看出干部疗养院网络结构过于简单安全，网络自身无防护功能，一点出现问题会波及整个网络，而酒店住户无法管控给整个网络系统带来众多隐患。因此有必要升级网络设备以建设相对健硕的网络环境。第二章 网络方案2.1 方案拓扑本方案充分考虑目前干部疗养院网络需求以及今后发展的可扩展性，建

5、议最少需要增加1台三层交换机以及2台网管级二层交换机已达到网络管理的需求，拓扑图如下：2.2 方案描述本方案所使用的技术原理将在备注中说明，本章将不再陈述。通过本方案的设备将建立有层次结构的网络环境，三层交换机作为汇聚层主要负责实现骨干网络之间的可靠高速传输，同时提供接入层VLAN之间的互连,控制和限制接入层的访问,保证网络环境的安全和稳定。两台网管级二层交换机作为接入层，一台负责办公区网络接入，另一台负责生活区网络接入，主要功能是完成用户节点流量的接入和隔离。本方案将采用VLAN技术来实现划分隔离管理区域，每一个楼层将单独划分为一个VLAN，生活区全部划分在一个VLAN里。由于VLAN与VL

6、AN之间隔离，所以一个VLAN内出现网络故障不会影响到其他VLAN内的设备，将产生故障所波及的范围缩减至最小。同时使用STP协议能够使网络核心区域自动避免产生环路，排除潜在环路对网络造成的威胁。为防止下级简易交换机产生环路造成网络问题，所有接入层交换机端口开启RLDP链路协议，一旦检测到此端口下出现环路（例如此端口下的楼层交换机出现环路）该协议将会自动将此端口断开网络30秒， 30秒后会重新开启 如环路仍然存在则继续断开网络，如此往复，直到解决环路问题为止。有效避免下游环路对上游交换机的影响。生活区由于住客混乱网络难于管理需要使用DHCP功能，但非法的DHCP服务器会对生活造成网络故障，因此需

7、要在所有网管交换机开启DHCP snooping功能以增强DHCP服务安全，隔绝非法DHCP服务器的接入。考虑成本问题，本方案只可保证网络故障隔离在接入层交换机之前，及故障范围最小缩小到一个楼层的范围，而由于楼层中的交换机为简易交换机出现环路或广播风暴仍对整个楼层产生影响，出于安全考虑本方案建议将所有楼层交换机也更换成小型网管级交换机以尽可能缩小故障范围。第三章 产品清单1234567序号货物名称品牌型号数量原产地交货单价单项货物总价【项4×交货单价合计】货物单价其他相关费用合计1局域网三层核心交换机锐捷 RG-S5750-28GT-L1中国8280¥0.00¥0

8、.00¥8280.002局域网二层交换机锐捷 RG-S2628G-I6中国3856¥0.00¥0.00¥23136.00总报价小写：31416大写：第四章 技术及其产品说明4.1 使用技术说明4.1.1 VLAN技术VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才

9、能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据交换机的端口来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广

10、播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。4.1.2 STP协议生成树即生成树协议STP(SpanningTreepProtocol)能够提供

11、路径冗余，使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于备用状态。如果生成树中的网络一部分不可达，或者STP值变化了，生成树算法会重新计算生成树拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的，而不管终端连在LAN的某一部分或者多个部分。当创建网络时，网络中所有节点存在多条路径。生成树中的算法计算出最佳路径。因为每个VLAN是一个逻辑LAN部分，所以网管员能使STP一次工作在最多64个VLAN中。如果要配置超过64个VLAN，网管员需要将其他VLAN的STP禁止，因为默认的STP可以支持1-64个VLAN。在实际的

12、网络环境中，物理环路可以提高网络的可靠性，当一条物理线路断掉的时候，另外一条线路仍然可以传输数据。但是，在交换的网络中，当交换机接收到一个目的地址未知的数据帧时，交换机会将这个数据帧广播出去，这样，在存在物理环路的交换网络中，就会产生双向的广播环，甚至产生广播风暴，导致交换机资源耗尽而宕机。这样就产生了一个矛盾，需要物理环路来提高网络的可靠性，而环路又有可能产生广播风暴，怎样才能两全其美呢？ STP（Spanning Tree Protocol，生成树协议），就是用来解决这个矛盾的。STP协议在逻辑上断开网络的环路，防止广播风暴产生，而一旦正在使用的线路出现故障，被逻辑上断开的线路又会恢复畅通

13、，继续传输数据。4.1.3 RLDP协议RLDP 全称是 Rapid Link Detection Protocol，是锐捷网络自主开发的一个用于快速检测以太网链路故障的链路协议。其工作原理如下： RLDP定义了两种协议报文：探测报文(Probe)和探测响应报文(Echo)。RLDP会在每个配置了RLDP并且是linkup的端口周期性地发送本端口的Probe报文，并期待邻居端口响应该探测报文，同时也期待邻居端口也发送自己的Probe报文。如果一条链路在物理和逻辑上都是正确的，那么一个端口应该能收到邻居端口的探测响应报文以及邻居端口的探测报文。否则链路将被认定是异常的。利用RLDP协议用户将可以

14、方便快速地检测出以太网设备的链路故障，包括环路链路故障。单向链路故障、双向链路故障。故障处理方法有四种：warning（告警）、block（关闭端口学习状态）、shutdown-port（设置端口违例）、shutdown-svi（关闭端口所在的svi）。所谓的环路故障是指端口连接的链路上出现了环路。（例如接入层用户接了一个HUB，双链路上联到接入层交换机）很容易利用下联环路就把交换机攻瘫。 RLDP在某个端口上收到了本机发出的RLDP报文，则该端口将被认为是出现了环路故障，于是RLDP会根据用户的配置对这种故障做出处理，包括警告、设置端口违例、关闭端口所在的 svi、关闭端口学习转发等。4.1

15、.4 DHCP以及DHCP snooping动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 "租约" 的概念，有效且动态的分配客户端的

16、 TCP/IP 设定，而且，作为兼容考虑，DHCP 也完全照顾了 BOOTP Client 的需求。DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP的设定环境。DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接

17、收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口，同时可与交换机DAI的配合，防止ARP病毒的传播，即建立和维护一张dhcp-snooping的绑定表，这张表一是通过d

18、hcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。4.2 产品说明三层交换机锐捷 RG-S3760E-48产品说明产品描述：48口10/100M自适应端口，2个SFP/GT光电复用口（SFP为千兆/百兆口），1个扩展槽 ，交流电源，支持R P S；支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链

19、路利用率；支持VRRP虚拟路由器冗余协议，有效保障网络稳定；支持RLDP，可快速检测链路的通断和光纤链路的单向性，并支持端口下的环路检测功能，防止端口下因私接Hub等设备形成的环路而导致网络故障的现象；支持BFD，为各上层协议如路由协议，MPLS等提供一种快速检测两台路由设备之间转发路径连通状态的方法，大大减少了上层协议在链路状态变化时的收敛时间。支持DHCP snooping，可只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCP Server，扰乱IP地址的分配和管理，影响用户的正常上网；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，可有效防范DHCP动态分配IP环

20、境下的ARP主机欺骗和源IP地址的欺骗；通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，保障了信息安全，同时不必占用VLAN资源；专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上的用户接入；以DiffServ标准为核心的QoS保障系统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多

21、种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。二层交换机锐捷 RG-S2652G-I产品说明产品描述：48个10/100M自适应电口，固化2个10/100/1000M电口和2个SFP千兆光口；基础网络保护（NFPP）通过将报文分类限速（管理类、转发类、协议类），并对报文进行攻击监测，双重保障保护CPU和信道带宽资源免受攻击烦扰，保证报文的正常转发以及协议状态的正常，维护网络的稳定。支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；PortFast大大缩减了标准的30-50秒的生成树协议收敛时间，而BPDU Guard功能则避免了生成树协议环路的出现。支持DHCP Snooping，可只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCP Server，扰乱IP地址的分配和管理，影响用户的正常上网；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。