网络项目设计解决方案模板

1、安博实训平台安博实训平台资源网络工程路由交换方向XX项目技术建议书安博教育集团2010年 4 月安博教育集团第1页共3页安博实训平台第一章网络总体设计1.1网络总体拓扑R1F0/3internetF0/2F0/1S0/1Web服务器防火墙R3F0/1S0/1扩展，分公司FTP服务器F0/3F0/2F0/1R2F0/1F0/2F0/2F0/1F0/3F0/3SW1F0/4SW2F0/4F0/1F0/1F0/1F0/2F0/1F0/2F0/1F0/2F0/1F0/2F0/2F0/2SW3SW4SW5SW6SW7SW8市场部人事部教学部研发部项目部总裁办财务部Presentation_ID? 200

2、 2, Cis co Systems, Inc. All rights re served.191.2 网络层次化设计对网络进行层次化设计， 既保证了网络的安全， 方便人们更好的地去管理网络，也使得对网络故障查找和排除的工作变得非常简单。多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。多层网络有很大的确定性， 多层网络系统设计最有效利用多种第三层业务，包括分段，负载分担和故障恢复等。在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。针对实际情况我们可以采用三层结构模型。 三层结构模型划分为三个层次，即核心层，分布层，接入层。每个层次完成不同的功能。核

3、心层： 核心层作为整个网络的系统的核心，其主要功能是高速，可靠的进行数据交换。分布层： 分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表，vlan 路由等等。安博教育集团第2页共3页安博实训平台接入层： 接入层主要提供最终用户接入网络的途径。主要是进行vlan 的划分与分布层的连接等等。1.3 核心层设计核心交换区的作用是尽快的提供所有的区域间的数据交换。在核心层我们采用 两 台 CISCO 2811-HSEC/K9 系 列 路 由 器 ( 单 价1.64 万 )， CISCO2811-HSEC/K9 系列路由器 集成化安全解决方案采用了PIX 、IDS 传感器和

4、VPN 集中器技术， 将强大的 Cisco IOS 功能和业界领先的 LAN/WAN 连接与世界一流的安全功能汇集于一身。“利用现有设施 ”- 利用现有网络基础设施， 在路由器上通过 Cisco IOS 支持全新安全特性，无需部署额外的硬件“在最需要的地方部署安全特性 ”- 为在网络任意地点采用防火墙、IPS 和 VPN 等安全功能提供了灵活性 , 从而最大限度地发挥了安全优势“保护您的网关 ” - 在网络所有的入点部署最佳安全功能“节省时间和资金 ”- 减少了设备数量，降低了培训和管理成本 “保护您的基础设施 ”- 保护了路由器，可以防御直接针对网络基础设施的攻击1.4 会聚层设计在会聚层我

5、们采用两台 CISCO WS-C3750G-12S-S 系列交换机（单价 2.66 万）， ISCO WS-C3750G-12S-S 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科 StackWise智能堆叠技术， 不但实现高达 32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750 系列最多可以将 9 个交换机堆叠在一起，构成一个统一的逻辑单元，

6、其中总共包含 468 个以太网 10/100 端口或者 252 个以太网 10/100/1000 端口。各个 10/100 和 10/100/1000 单元可以根据网络的需要任意组合。3750 系列可以使用标准多层软件镜像（ SMI ）或者增强多层软件镜像（ EMI ）。 SMI 功能集包括先进的服务质量（ QoS）、速率限制、访问控制列表（ ACL ）和基本的静态和路由信息协议 （ RIP ）路由功能。 EMI 可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的 IP 单播和组播路由 。1.5 接入层设计在接入层我们采用 3 台 CISCO WS-C2960-24TC-L 系列交换机（

7、单价 5800 元）和 3 台 CISCO WS-C2960-48TT-L 系列交换机（单价 7600 元）。CISCOWS-C2960-24TC-L系列交换机为多达24 个端口提供完全15.4瓦功率的 PoE 配置在网络边缘提供高级访问控制列表(ACL)和增强安全性等智能化特性安博教育集团第3页共3页安博实训平台支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤上行链路；其中每个两用上行端口分别拥有一个10/100/1000以太网端口和一个基于小形可插拔(SFP)的千兆以太网端口，每次有一个端口处于激活状态采用高级 QoS 、速率限制、 ACL 和组播服务，提供网络控制和带宽优化

8、根据用户、端口和 MAC 地址，并通过多种不同的身份验证方法、数据加密技术和NAC ，提供网络安全性采用 Cisco Network Assistant软件，轻松进行网络配置、升级和故障排除采用 Smartports对专业应用进行自动配置1.6 内联接入内联接入的作用是用于连接总部公司与分公司或者公司内部其他部门，我们推荐使用一台 cisco2800 系列路由器通过 SDH/DDN 线路完成此项功能。由于北京总部办公网络和分公司机房属于 ambow 公司的内部网络的一部分，因此可信度很高，接入时主要作用是管理和监控，不涉及交易。总结以上的原因，内联路由器与核心交换网络间不需要配置额外的防火墙。

9、第二章路由设计2.1 路由协议选择对于路由协议，目前较好的动态路由协议时 ospf 协议和 EIGRP 协议，但是 EIGRP 协议属于 cisco私有协议，其它厂商设备不支持，考虑到 ambow 公司网络的扩展性，公开性，投资的保护等原因，我们设计采用 ospf 路由协议和静态路由相结合的路由方式。OSPF 协议中，首先每个路由发送 HOLLO 包，与其它路由器建立邻居关系。然后每台路由器进行 LSA 泛洪，并获得相同版本的 LSA 形成形同的 LSDB（链路状态数据库）。最后以自己为跟通过 SPF 算法计算出到达每一个目的地的最优路径，然后添加到路由表。2.2 路由规划拓扑图安博教育集团第

10、4页共3页安博实训平台R1F0/3internetF0/2F0/1S0/1Web服务器防火墙R3F0/1S0/1扩展，分公司FTP服务器F0/3F0/2F0/1R2F0/1F0/2F0/2F0/1F0/3F0/3SW1F0/4SW2F0/4F0/1F0/1F0/1F0/2F0/1F0/2F0/1F0/2F0/1F0/2F0/2F0/2SW3SW4SW5SW6SW7SW8市场部人事部教学部研发部项目部总裁办财务部Presentation_ID? 200 2, Cis co Systems, Inc. All rights re served.19Area02.2 IP地址规划IP 地址的规划在网

11、络设计中的作用举足轻重，直接影响整个网络运行的效果， IP 地址的设计的总原则是简单，易管理，易扩展。IP 地址是 TCP/IP 协议族中的网络层逻辑地址， 它被用来唯一地标识网络中的一个节点， IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址：、唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项连续性：连续地址在层次结构中易于进行路由总结，大大缩减路由表，

12、提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。地址规划：总部分部网段安博教育集团第5页共3页安博实训平台子网掩码子网网段部门部门保留设备互联/30-/30 技术专用/32/32第三章网络安全解决方案3.1 网络边界安全威胁分析网络的边界隔离

13、者不同功能或地域的多个网络区域，由于职责和功能不同，相连网络的密级也不同。这样的网络直接相连，必然存在着安全风险，我们对ambow总部网络边界问题做脆弱性和风险的分析。Ambow 总部网络主要 =存在的边界安全风险包括：Ambow 总部网络与各级单位的连接，可能遭到来自各地的越权访问，恶意攻击和计算机病毒的入侵：例如一个不满的内部用户，利用盗版软件或从 Internet 下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪。内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击，误操作等等，但是它们的后果都将导致重要信息

14、的泄露或者是网络的瘫痪。3.2 网络内部安全威胁分析Ambow 总部网络的风险分析主要针对 ambow的整个内网的安全风险，主要表现为以下几个方面：内部用户的非授权访问： ambow内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄露。内部用户的误操作 : 由于内部用户的计算机造成的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。安博教育集团第6页共3页安博实训平台内部用户的恶意攻击：就网络安全来说，据统计约有 70%左右的攻击来自内部用户，相比外部攻击来

15、说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。设备的自身安全性也会直接关系到 ambow网络系统和各种网络应用的正常运行。例如：路由设备存在路由信息泄露，交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的丢失，都将会造成 ambow公司内部的业务无法正常运行。安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。3.3 安全产品选型原则Ambow 网络属于一个行业的专用网络， 因此在安全产品的选型上， 必须慎重，

16、选型的原则包括：安全保密产品的接入应不明显影响系统运行效率，并且满足工作要求，不影响正常的业务。安全保密产品必须满足上面提出的安全需求，保证整个 ambow网络的安全性。安全保密产品必须通过国家主管部门指定的测评机构的检测；安全保密产品必须具备自我保护能力；安全保密产品必须符合国家和国际上的相关标准；安全产品必须操作简单易用，便于简单部署和集中管理。3.4 网络常用技术介绍Vlan 技术（ Virtual local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于 1999 年颁布了用标准化Vlan

17、 实现方案的 802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理地 LAN 逻辑地划分成不同的广播域（或称虚拟 LAN ，即 VLAN ），每一个 VLAN 都包括一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播域个单播流量都不会转发到其他 VLAN 中，从而有助于控制流量，减少设备投资，简化网络管理，提高网络的安全性。Trunk 技术一般的交换机端口只能属于一个 VLAN ，对于对

18、个 VLAN 需要跨过多台交换机，就需要用到 Trunk 技术。 Trunk 是指交换机之间或交换机与路由器之间 VLAN 之间的连接， VLAN 信息通过 Trunk 在交换机之间或路由器之间传递，从而可以将 VLAN 跨越整个网络，而不仅仅是局限在一台交换机上。Cisco支持 802.1Q，ISL 技术得到了 Inrel 等厂商的大力支持， Tag Switching被 3Com 及 Lucent Ca jun 支持。对于 CISCO 交换机的 Trunk 端口，既可以指定它的封装协议为802.1Q 或安博教育集团第7页共3页安博实训平台TSL ，也可以通过 DTP 协议自动协商。 DTP

19、 协议主要用于处理 Trunk 端口的 802.1Q 和 ISL 封装协议的自动协商，对于不同厂家的交换机互连时很有帮助。对 Trunk 的定义只能在快速以太网端口和千兆以太端口上进行，它既可以是单个的快速以太端口或千兆以太网端口，也可以是快速以太网通道（ FEC ）或千兆以太网通道（ GEC ）。虽然我们采用的是思科交换机，但是最为一个标准，开放。先进的网络系统，我们推荐的是用 IEEE802.1Q 标准协议。Spanning-Tree协议在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的链接，这样就会引入环路。为了解决这个矛盾，推出了 STP 协议。 STP 算发

20、会将网络网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。如果网络的连接状况发生了变化，STP 算法会造成网络的暂时的不稳定状态，该转换时间在 30 秒之内，亦即在 30 秒之内会重新恢复到稳定状态。 STP对于终端是透明的，终端感觉不到STP 的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP 算法将高优先权的连接作为活动的连接。Cisco 交 换 机的 一个非 常 有用 的特征就 是可 以对每个 VLAN 设置Spanning-tree，而不是对整个网络只能属于一个 Spanning-tree

21、。这个特征是很多厂商的设备所不具有的。在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对于不同的VLAN 设置不同的优先权。对于指定的VLAN ，具有该 VLAN 最高优先权的端口转发该VLAN 的信息，其它 VLAN 的信息阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN 设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。Cisco 交换机端口支持每 VLAN 的生成树协议，每个端口都可设置基于 VLAN 的 cost 或 priority 参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持 STP 协议，但是不允许多个 STP 域。采

22、用多个 STP 域显然可以获得比单个域高的网络可靠性。第四章产品简介CISCO 2811-HSEC/K9路由器安博教育集团第8页共3页安博实训平台CISCO 2811-HSEC/K9 系列路由器 集成化安全解决方案采用了 PIX 、IDS 传感器和 VPN 集中器技术，将强大的 Cisco IOS 功能和业界领先的 LAN/WAN 连接与世界一流的安全功能汇集于一身。 “利用现有设施 ” - 利用现有网络基础设施，在路由器上通过 Cisco IOS 支持全新安全特性，无需部署额外的硬件 “在最需要的地方部署安全特性 ”- 为在网络任意地点采用防火墙、 IPS 和 VPN 等安全功能提供了灵活性

23、 , 从而最大限度地发挥了安全优势 “保护您的网关 ” - 在网络所有的入点部署最佳安全功能 “节省时间和资金 ”- 减少了设备数量，降低了培训和管理成本 “保护您的基础设施 ”- 保护了路由器，可以防御直接针对网络基础设施的攻击安博教育集团第9页共3页安博实训平台CISCO WS-C3750G-12S-S交换机ISCO WS-C3750G-12S-S 系列交换机是一个创新的产品系列， 它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科 StackWise 智能堆叠技术，不但实现高达 32Gbps 的堆叠互联，还从物理上到逻辑上使

24、若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统 - 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。3750 系列最多可以将 9 个交换机堆叠在一起，构成一个统一的逻辑单元，其中总共包含 468 个以太网 10/100 端口或者 252 个以太网 10/100/1000 端口。各个 10/100 和 10/100/1000 单元可以根据网络的需要任意组合。3750 系列可以使用标准多层软件镜像（ SMI ）或者增强多层软件镜像（ EMI ）。 SMI 功能集包括先进的服务质量（ QoS）、速率限制、访问控制列表（ ACL ）和基本的静态和路由信

25、息协议 （ RIP ）路由功能。 EMI 可以提供一组更加丰富的企业级功能，包括先进的、基于硬件的 IP 单播和组播路由 。安博教育集团第10页共 3页安博实训平台CISCO WS-C2960-24TC-L交换机安博教育集团第11页共3页安博实训平台WS-C2960-24TC-L系列交换机为多达24 个端口提供完全15.4瓦功率的 PoE配置在网络边缘提供高级访问控制列表(ACL)和增强安全性等智能化特性支持千兆以太网上行链路灵活性的两用上行链路，允许使用铜缆或光纤上行链路；其中每个两用上行端口分别拥有一个10/100/1000以太网端口和一个基于小形可插拔(SFP)的千兆以太网端口，每次有一个端口处于激活状态采用高级 QoS 、速率限制、 ACL 和组播服务，提供网络控制和带宽优化根据用户、端口和 MAC 地址，并通过多种不同的身份验证方法、数据加密技术和NAC ，提供网络安全性采用 Cisco Network Assistant软件，轻松进行网络配置、升级和故障排除采用 Smartports对专业应用进行自动配置CISCO WS-C2960-48TT-L交换机安博教育集团第12页共 3页安博实训平台Cisco Cat