搜索
第1页用友软件股份有限公司.提供第一篇.系统集成方案根据★★★★信息化网络部署现状、应用系统软硬件支撑平台要求、系统安全的分析和策略,本章内容将着重技术实现配置。根据项目建设任务的要求,★★★★网络建设要满足各成员单位、项目部信息化运作,对于网络建设的要求非常高,需要从链路安全、核心设备的冗余安全、网络安全及网络管理等多方面来考虑。并考虑到★★★★未来5-10年的发展对信息系统网络的需要。在下图的★★★★总体拓扑图中,我们将网络划分成了二级结构,★★★★处于网络的中心位置,★★★★的局域网内部又细分了各个子区域,分别有核心区、办公区、无线覆盖区域、对内服务器区、对外服务器区、网络管理区、网络安全区域等等。各接入结算成员单位、机构则属于网络二级机构。建议★★★★采用中国电信和中国网通两条链路接入internet,通过链接均衡器,实现链接接入的负载均衡。★★★★与各个结算成员单位、银行采用IPsecVPN技术进行广域网连接;外网终端或移动办公用户用则通过在电脑上安装VPN客户端软件实现与其与★★★★的互联。在★★★★网络边界上采用防火墙和IPS入侵防御系统,增强中心网络抗外部攻击的能力;在★★★★网络内部,采用内部网络安全管理系统,防止来自内网终端的网络攻击和病毒感染,并具有内部审计和监控功能,防止内部泄密事件的发生。第2页用友软件股份有限公司.提供InternetVPNVPNInternetVPN/下文将对★★★★网络各部分进行分别阐述。第3页用友软件股份有限公司.提供第一章.★★★★本部网络设计1.1.网络设计需要考虑的问题稳定―企业生产的保障设备稳定特性★★★★网络上承载着的核心业务数据,一旦网络通信中断,接入企业的生产经营将会受到严重影响,因此,全网交换设备要求:首先要支持VRRP。要求核心设备支持虚拟路由冗余协议VRRP,提供完善的双核心保障,实施全网安全容灾技术,确保信息网络能够具有7×24小时的运行能力,支撑网络运行。其次需要支持完善的生成树协议。要求全网设备支持包括802.1D、802.1W(STP、RSTP、MSTP)等在内的多种生成树协议,可完全保证链路快速收敛和负载均衡,提高系统容错能力,保证网络的可靠稳定运行。良好的扩展能力随着经营业务的不断壮大,★★★★规模也势必扩大,因此全网必须具备一定的扩展能力,为了保护原有投资,核心设备必须是模块化结构,同时拥有可扩展的端口、足够的背板带宽以及对未来主流协议的可升级性(如IPv6);接入层设备也要求具有一定的扩展能力,例如扩展千兆、万兆接口等特性。灵活方便的全网管理随着业务的广泛开展进行,在接入单位、机构分布较为分散的情况,如何实时的对全网进行监控以及在网络出现问题时能够快捷的找到问题点进行维护是★★★★网络能够稳定运转的一个重要保障。因此全网的网络设备要求不仅能够支持多种管理方式,还能够支持统一网管,中心网管系统可自动生成图形化网络拓扑结构图,并且识别各种网络和IP设备,查看到整个网络的拓扑结构。当发生网络故障的时候,系统可以自动向网络管理员发出报警信号。可协助管理人员在无需较深专业知识的基础上,快速实现对全网设备的管理。安全―建设可信办公网部门安全-支持VLAN和ACL第4页用友软件股份有限公司.提供★★★★内部门较多,而各个部门的安全级别不一样,因此要求全网支持VLAN划分,隔离用户信息互通,从而提高网络安全。同时,通过ACL的控制,限制员工对于受限资源的访问,例如公司重要信息、QQ、BT等,以确保部门安全,提高工作效率。病毒防范-支持ACL病毒已经成为危害网络安全的重要因素,一个小小的病毒可以引起全网的瘫痪,这在对于时效性要求很高的★★★★网络系统是绝对不允许的,因此在网络系统中,要具有一定防病毒能力。为了达到这个目的,需要做到支持ACL,通过防火墙和交换机上ACL的设置,有效降低病毒在网络中传播的可能性,抵御来自内外病毒的攻击。抵御通过互联网的攻击通过防火墙将办公网与Internet隔离,允许取得授权的机器访问Internet,同时通过防火墙阻止来自外部的部分常见网络攻击。支持802.1x,多元素绑定在★★★★网络建设中,要求网络能够全网支持资源按照权限级别实施访问控制,通过先进的网络监控和访问控制,以实现对“冲击波”等网络病毒和黑客攻击行为的有效防范;同时,要求具备多元素任意绑定,提供多端口同步监控技术。入侵防御系统在★★★★网络建设中,入侵监控与安全日志分析可以帮助企业及时发现HACKER入侵的企图并通过分析及时阻断入侵行为。第5页用友软件股份有限公司.提供1.2.★★★★网络设计拓扑图★★★★本部网络拓扑图1.3.★★★★本部网络设计方案描述针对★★★★实际情况,★★★★网络整体的拓扑设计采用下述方案:分层架构,全网千兆骨干连接(未来可扩至万兆骨干),千兆至桌面本部网络设计遵照标准的“核心-汇聚-接入”三层设计理念,核心层设备主要用于高效地执行路由管理、网络管理、网络服务、核心数据处理等功能;汇聚层设备则主要用于汇聚各接入交换机,该交换机需要具有完善的三层功能,在提供高效数据转发的同时,能够提供强大的安全控制功能。本部在部分重要区域(例如服务器区、财务部等)部署汇聚交换机;接入层交换机则直接面向终端用户,提供信息点接口。第6页用友软件股份有限公司.提供整个网络分层次的结构便于管理,有利于未来网络规模的扩展,同时也方便我们灵活地设计网络带宽。初期建设,骨干网传输带宽为千兆,并且千兆直接至用户。随着未来应用的增多,对带宽要求的提升,可以考虑逐级升级网络带宽,例如将核心设备和汇聚设备之间的链路带宽提升至N*1000M或者万兆,汇聚设备和接入设备之间的链路带宽提升至N*1000M,核心设备与部分接入设备之间的链路带宽提升至N*1000M或者万兆。三核心环网、双链路接入,保障网络可靠运行为保障本部网络具有99.999%的电信级高可靠性,本部采用三核心、双链路的设计方案。所谓三核心环网,即本部网骨干的两台核心交换机以及内部服务器区的核心交换机,通过在之间运行OSPF动态路由协议,提供了本部网核心的高可靠性,任意一条链路故障或者任意一个交换机端口故障都不会影响核心网络的稳定运行。而接入层交换机双链路上行方式的好处在于,任意一台核心交换机的故障,或者任意一条上行链路的故障,均不会影响网络的稳定运行,备用交换机或备用线路会智能地启用起来,使得网络不会中断地运行。图热冗余备份示意图要实现这样的热冗余备份机制,则要求交换机必须支持VRRP(虚拟热冗余备份协议)和MSTP(多生成树协议),以及OSPF(开放最短路径优先路由协议)。VRRP协议主要用于多台核心设备面向接入用户虚拟出一个实时可用的IP地址,实现核心设备间的智能热备第7页用友软件股份有限公司.提供份;MSTP协议则主要用于避免VLAN内部出现环路,配合VRRP协议实现线路的智能热备份,OSPF路由协议将数据中心交换机、两台核心交换机有机地整合起来,使得变得更加稳定,并且自动进行选路,提高网络的路由稳定。VLAN技术,实现部门之间的安全隔离随着网络规模的扩大,网络变的越来越复杂。通常情况下,当企业用户转移到网络中另一个物理位置时,需要重新配置网络,甚至还有用户的工作站需要进行大量的管理工作。针对于此,网管交换机IEEE802.1QVLAN技术很好的解决了网络管理的问题。VLAN的灵活划分与部署将通过减少网络中移动与变更所需要的资源,达到实现为用户节约资源的目的,同时VLAN能实现网络安全隔离与管理的自动化。合理IP地址规划交换式的网络,往往都是VLAN和IP规划都是协调一致进行的,VLAN是实现部门与部门之间的二层隔离,而IP则是实现部门之间在可控范围内的互通。合理的IP地址规划有助于网络的维护与管理。多出口设计,提供更高出口性能★★★★出口设计为双出口模式,分别采用中国电信和中国网通两条Internet链路接入,以加速不同地域分布的客户接入,且两条链路互为备份。多接口模式的好处在于,对于大型广域网网络,能更好地发挥出专业设备如多业务安全路由器、VPN防火墙各自的优势,从而提供更高的性能。对于internet链路,由于出口所承载的信息点较多,因此使用专业的高性能路由器,一是由其实施NAT的数据处理;二是实施带宽管理策略。安全策略的实施,提高内网安全性★★★★网络交换机的硬件ACL功能可以实现对于二~四层数据流的识别,这就意味着它可以识别IP或者是UDP协议的各个端口来决定是否对报文进行丢弃。使用这个功能,对于某些机密的资源,设置只允许“某台PC(或者某个网段)”通过特定的IP或者是UDP端口进行访问。从而最大限度的保证★★★★机密资源的安全。为了防止内网非法用户的接入,以及私建代理服务器、篡改IP地址的现象发生,并避免内网的DDoS攻击,在接入层交换机上实施IP+MAC+端口的绑定配置。同时,近期ARP病毒泛滥,导致很多政府、企业网络出现大面积频繁掉线的现象,在第8页用友软件股份有限公司.提供交换机上启用防御ARP欺骗的功能,从而保障★★★★内网的时时畅通性,减少系统维护人员的工作量。端到端的网管,实现轻松网管网络的维护运用方面采用优秀的网络管理软件。目前国内外主流网络厂商,均会提供功能强大且完善的网管系统,该系统为全中文,界面友好,易用性强,而不宜太过专业化。在需要采用MAC地址和端口绑定来保证安全接入的场合,网管人员只需要通过网管工作站远程登录到每台交换机上进行绑定操作即可。并能提供网络系统的性能分析及实时告警。1.4.网络设备的选择核心设备核心设备承载着整个★★★★网络的内部数据交换,且考虑到未来的可拓展性,要求必须是完全模块化构造,具有超高的背板带宽和二/三层包转发速率,能够提供高密度的千兆接口,并且可以扩展万兆的支持。该设备具有至少2个可做热冗余备份的管理模块插槽以及2个可做热冗余备份的电源模块插槽。内部服务器区域是整个★★★★网络的核心业务区域,因此在网络中的具有非常重要的地位。因此在内部服务区域交换机设计的时候,考虑到稳定性以及安全性,采用模块化的交换机,提供高密度的千兆接口,直接与服务器相连,同时具备万兆扩展能力,配备冗余的电源以及冗余的管理模块,提高设备的稳定性。汇聚设备要求汇聚设备提供较高密度的千兆接口,具有较高的背板带宽和二/三层包转发速率,具有完善的路由功能,以及上行带宽改造为万兆的可扩展能力。接入设备接入设备,直接连接★★★★内网用户,因此该设备在具有全面管理功能(Console、telnet、web、snmp)的同时,具有较强的安全防护功能,例如ARP病毒防御能力,MAC+IP+端口的绑定功能,同时具有强大的ACL访问控制能力等等,从而在网络接入层就杜绝一些恶意数据流的传播,并且,为打造高带宽的★★★★网络,接入交换机也提供全千兆接口,同时考虑到保护投资以及强大的可升级性,提供万兆的可扩展。Internet出口路由器第9页用友软件股份有限公司.提供出口采用两台路由器,分别承载着中国电信和中国网通两条Internet链路的信息访问数据流,且两台路由器互为备份。为了给内网用户提供高速、公平、安全的公众网访问服务,该路由器在具有超高转发性能的同时,具有针对用户进行网速限制,会话数限制的功能,同时具备强大的基于状态的防火墙功能,以及防御内外网DoS/DDoS攻击的能力。出口VPN防火墙中心VPN防火墙用于和1644个成员单位、机构的安全互连,因此,同出口路由器一样,也应具有强大的NAT、以及数据处理性能,要求该设备应能最大支持3000个VPN隧道,VPN的加密转发速度大于200M。并且支持第三方的数字证书。内部服务区专用防火墙内部服务区专用防火墙主要用于控制用户对服务器的访问权限,并阻挡部分外来攻击和病毒,因此,要求该设备具有强大的访问控制功能、安全防御能力;同时,应该具有强大的处理性能,对于防火墙性能的考核主要体现在两个方面,一、最大会话数,二,吞吐量;鉴于数据中心大容量的数据交换,要求防火墙最大会话数不小于200万条,吞吐量不小于2G