精华内容
下载资源
问答
  • 华为企业园区网络建设-技术方案,
  • 建设分层的交换式以太网络,对建成企业网络进行优化,使其得到充分的利用。
  • 详细网络方案设计 详细配置设计 综合布线设计 费用分析和工程预算
  • 华为企业园区网络建设技术方案建议书

    万次阅读 多人点赞 2019-01-21 08:54:19
    随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题:  网络架构较为混乱,不便于扩容和维护...

     

    1. 项目概述 

    根据实际情况增加项目介绍 

      1. 项目背景 
      1. 项目目标 
    1. 园区总体系统规划设计 
      1. 需求分析 

    随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题: 

    • 网络架构较为混乱,不便于扩容和维护管理:园区网在建设初期,设备和光纤/电缆随意布放,缺乏统一的网络分层规划管理,网络拓扑相对混乱,不便于对网络性能瓶颈进行正确评估和有效扩容,给日常网络管理也带来很大难度。 
    • 网络可靠性规划不合理,影响企业生产和经营管理、造成投资浪费:由于缺乏有效的园区网规划,对于网络可靠性考虑不够,网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为,同时也存在网络过度冗余、造成投资浪费的现象。 
    • 网络信息安全存在隐患:网络安全性是园区网建设的重中之重,传统园区网安全漏洞较多,无法应对内外部用户日益猖獗的网络攻击行为(例如:对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息),对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络,网络层面的安全保证和防御措施也不到位,造成园区网的脆弱和易攻击。 
    • 无法满足日益增长的网络业务需求:随着企业的业务发展,出现了基于园区网基础设施的丰富增值业务需求,例如:网络接入形式要求多样化,支持WLAN无线接入,满足移动办公、大区域无线缆覆盖等特殊要求;对于企业用户访问外网进行计费,计费策略可灵活设置(时长计费、流量计费、按目的地址计费);企业多出口链路场景下的负载均衡、灵活选路需求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑,支持这些业务存在园区网络分散建设、重复投资的问题。 
    • 缺乏简单有效的网络管理系统,企业IT网络运维部门面临很大压力:当前,企业网IT运维部门面临很大的网络运维压力,来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象,网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高,缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。另外,IT运维部门也需要实施统计园区网各路径的流量信息,便于对网络带宽进行管理和规划,给后续网络扩容提供参考。 
      1. 设计原则  
    • 安全性:安全性是企业园区网建设中的关键,它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。 
    • 可靠性、可用性:高可靠性是园区网提供使用的关键,其可靠性设计包括:关键设备冗余、链路/网络冗余和重要业务模块冗余。 

    关键设备均采用电信级全冗余设计,可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计,每个层次均采用双机方式,层次与层次之间采用全冗余连接。提供多种冗余技术,采用高效、负载均衡的双机备份。 

    可采用交换机的集群或者堆叠技术,在不降低网络可靠性的前提下,减化网络架构。 

    • 可扩展性:园区网方案设计中,采用分层的网络设计;每个层次的设计所采用的设备本身都应具足够高的端口密度,为后续园区网扩展奠定基础。 

    在园区出口层、核心层、汇聚层的设备都采用模块化设计,可根据园区网的发展进行灵活扩展。 

    功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能,为园区网增值业务的扩展提供基础。  

    • 可维护、可管理性:网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统,对园区网所有网络设备进行管理,包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。 
    1. 园区网络架构规划设计 
      1. 园区网络总体网络架构规划设计 
        1. 典型园区网网络架构 

    图 3‑1 典型园区网网络架构

    典型园区网方案采用层次化、模块化的设计思路,按照接入层、汇聚层、核心层和出口层进行网络设备设计部署,在汇聚层交换机,通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能,满足企业日益增长的业务需求。 

    典型园区网的重要特征是不存在网络单点故障,交换机设备和链路都存在冗余备份,接入交换机与核心交换机通过双规或环网相连接,汇聚交换机双规接入核心交换机,交换机之间采用TRUNK链路保证链路级可靠性。 

     

        1. 经济型园区网网络架构 

    图 3‑2 经济型园区网网络架构

    考虑到节省园区网网络建设投资成本,允许网络存在单点故障,不再部署冗余交换机设备,交换机之间互联采用TRUNK链路,保证链路级可靠性,但是园区网交换机设备故障,会导致网络故障和业务中断。 

    经济型的园区网汇聚层交换机仍然可通过模块化(业务单板)方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能。 

     

        1. 虚拟交换园区网网络架构 

    图 3‑3 虚拟交换园区网网络架构

    园区网仍然按照分层结构建设,园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。为了增加园区网可靠性、降低园区网组网复杂度,园区网未来向虚拟化、扁平化方向发展,同层次交换机可以多台虚拟成一台,接入交换机通过堆叠(Stack)特性,将多台接入交换机虚拟成一台接入交换机,汇聚/核心交换机通过CSS(Cluster Switch )将两台交换机虚拟成一台交换机。 

    园区网接入层/汇聚层/核心层交换机虚拟化后,可以减少网络节点、简化网络拓扑,二层网络不需要部署RSTP/MSTP/RRPP/Smart Link等复杂的环网协议和可靠性保护协议,实现无二层环路网络构建,提高二层网络可靠性和链路故障收敛性能,三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快, 

    通过交换机虚拟化设计,交换机互联的两条链路就可以作为Trunk链路进行管理,对于虚拟交换机而言,实现跨设备的链路聚合(TRUNK),大大增强链路可靠性,另外可实现链路的流量负载均衡,构建无二层环路网络,网络可靠性(链路故障自收敛性能)和带宽利用率都得到提高。 

    图 3‑4 交换机集群(堆叠)方案

     

      1. 园区网络分层网络规划设计 

    园区网的网络层次采用业界成熟的三层架构:接入、汇聚和核心,最后企业园区通过出口层网络设备(路由器或交换机)连接到外网通过。 

    这种分层的网络架构,可以保证根据的业务需求,分别对不同层次进行扩容。 

        1. 接入层 

    接入层交换机一般部署在楼道的网络机柜中,接入园区网用户(PC机或服务器),提供二层交换机功能,也支持三层接入功能(接入交换机为三层交换机)。 

    由于接入层交换机直接接园区网用户,根据用户接入信息点数目和类型(GE/FE),对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜,数量大,对于成本、功耗和易管理维护等特性要求较高。 

    高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机,低用户密度的场景推荐使用S2300/S3300作为接入交换机。 

        1. 汇聚层 

    园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中,汇聚园区接入交换机的流量,一般提供三层交换机功能,汇聚层交换机作为园区网的网关,终结园区网用户的二层流量,进行三层转发。 

    根据需要,可以在汇聚交换机上集成增值业务板卡(如防火墙,负载均衡器、WLAN AC控制器)或者旁挂独立的增值业务设备,为园区网用户提供增值业务。 

    汇聚交换机需要提供高密度的GE接口,汇聚接入交换机的流量,通过10GE接口接到核心交换机,推荐使用S9300系列交换机作为园区汇聚层交换机。 

     

        1. 核心层 

    园区核心层交换机部署在园区核心机房中,汇聚各楼宇/区域之间的用户流量,提供三层交换机功能,连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。 

    推荐使用S9300作为园区核心层交换机。 

        1. 出口层 

    园区出口路由器,连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。 

    对于中小型企业园区网,核心层和出口层可进行合并,通过核心交换机(S9300)的WAN接口板的广域网接口(POS等)直接与外网相连。 3.3 二三层网络分界点设计 

    • 二三层网络分界点(用户网关)设置在汇聚交换机 

    汇聚交换机作为用户的网关设备,接入交换机与汇聚交换机之间是二层网络,通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生,汇聚交换机与核心交换机之间是三层网络,运行OSPF等路由协议,通过等价路由、IP FRR保证三层网络可靠性、加快路由收敛时间。 

    【优点】 

    1. 接入交换机是二层交换机,成本低,并且可保护客户现有低端二层交换机的投资; 
    2. 高可靠性,二层网络故障收敛速度快; 

    【缺点】 

    1. 接入交换机和汇聚交换机之间存在二层环路风险,需要配置保证; 
    2. 接入交换机与汇聚交换机之间链路利用率低,需要启用二层协议负载均担多实例以提高链路利用率。 

    本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群(交换机虚拟化)方案来解决。园区汇聚交换机作为二三层网络分界点(用户网关设备)是经典的园区网架构,推荐使用。  

    • 二三层网络分界点(用户网关)设置在接入交换机 

    接入交换机作为用户的二三层分界点(网关设备),即三层到边缘的园区网架构,接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络,运行OSPF等路由协议,整个企业园区是全路由型网络。 

    【优点】 

    1. 网络易扩展:园区网架构对物理网络拓扑依赖度低,可以任意网络拓扑形式扩展;
    2. 网络易维护:全网为三层网络、无二层环路网络风险,无需配置生成树协议、RRPP和VRRP,降低网络配置和维护工作量。 

    【缺点】 

    1. 交换机成本相对较高:相对与二层接入交换机,成本较高; 
    2. 接入层为三层网络,网络故障路由收敛速度相对较慢。 
    3. 园区网络高可靠性规划设计 
      1. 园区网络高可靠性规划设计 

    园区网高可靠性设计总体方案如下图所示: 

    图 4‑1 园区网高可靠性设计方案总览

    针对二层接入(接入交换机是二层交换机、汇聚交换机作为用户网关)典型园区网架构,从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 

    接入层网络是二层网络,接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性,同时解决二层网络环路问题;汇聚层交换机之间通过VRRP(BFD for VRRP)协议确定用户的主备网关,交换机互联通过TRUNK链路,保证链路级可靠性,汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障(单通故障)。 

    园区网接入/汇聚/核心交换机通过虚拟化技术进行集群(或堆叠),将两台/多台交换机虚拟化成一台交换机,降低网络拓扑复杂度的同时,提高网络可靠性,是未来高可靠性园区网的发展趋势。 

    典型园区网可靠性组网设计方案有:口子型组网、三角型组网、U子型组网。  

    • 可靠性组网方案1:口子型组网 

    图 4‑2 口子型组网

    接入交换机与汇聚交换机之间是二层网络,汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层TRUNK链路互连,多台接入交换机与两台汇聚交换机之间组成口子型二层环网,并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。注意:两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路、包含两条以上物理链路,因为汇聚交换机间链路DOWN,两台汇聚交换机VRRP状态都为主(VRRP双主情况产生),此时接入二层环网阻塞在汇聚交换机之间的直连链路上,这样接入用户同时感知两个处于VRRP主用状态的网关设备(汇聚交换机),出现问题。 

    口子型组网方案的优点是,园区网各个楼层接入交换机可以串在一起,与汇聚交换机组成二层环网,汇聚交换机统一为各楼层接入交换机下的用户分配IP地址,实现园区不同楼层的用户可以共用同一个IP地址网段; 该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。 

    口子型组网方案是园区网非常经典的可靠性设计方案,适合各种规模的园区网应用场景。 

    • 可靠性组网方案2:三角型组网 

    图 4‑3 三角型组网

    汇聚交换机作为用户网关设备,两台汇聚交换机之间通过二层链路互连,每台接入交换机上行有两条链路接入到两台汇聚交换机,接入交换机上行两条链路的主备关系由运行的Smart Link协议确定。两台汇聚交换机运行VRRP(BFD+VRRP)协议确定主备用户网关,VRRP报文直接在汇聚交换机直连链路上收发。注意:两台汇聚交换机链路需要保证绝对可靠,必须采用TRUNK链路。口子型组网场景下,多个楼层之间可以共用VRRP组,不受汇聚交换机VRRP组数量限制,可实现不同楼层间的园区用户可以共享一个IP地址网段。 

    三角型组网方案的优点是:二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP);Smart Link故障检测和保护倒换速度快(200~400ms);支持园区网园区不同楼层的用户可以共用同一个IP地址网段。 

    三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路,增加布线成本,对汇聚交换机的端口密度有较高要求。 

    • 可靠性组网方案3:U字型组网 

    图 4‑4 U字型组网

    园区网汇聚交换机之间通过纯三层链路互连,无直连二层链路。汇聚交换机作为园区用户网关,与接入交换机组成二层网络,汇聚交换机的主备通过VRRP(BFD for VRRP)协议协商,VRRP协议通过接入交换机转发,每组接入交换机与两台汇聚交换机组成的一个物理U型网络需要启用一组VRRP,汇聚交换机通过多个物理端口会接入多个二层U型网络,这样汇聚交换机间需要运行多个VRRP组(每个二层U型接入网络运行一个VRRP组),一般一个U型二层接入网覆盖的是同一个楼层的接入交换机。由于不同VRRP组的网关IP网段不能相同,因此每个U型接入网下的所有园区用户需要独占一个IP网段,不同U型接入网的用户(不同楼层的园区用户)之间不能共享一个IP网段,这是此方案应用的最大缺点。 

    U子型方案的优点:二层接入网不存在环路,不需要配置相对复杂的环网保护协议(STP/RSTP/MSTP/RRPP)。 

    • 可靠性设计目标方案(发展趋势):园区网交换机虚拟化 

    图 4‑5 可靠性设计目标方案组网

    园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟化,通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可靠性,一台交换机故障,另外一台交换机自动接管故障设备上的所有业务,可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK链路,提升链路级可靠性,并且流量可以均匀分布在TRUNK成员链路上,提高链路带宽利用率,条或多条链路故障后,流量自动切换到其他正常的链路。 

    该方案另外一个优点网络配置和维护简单,园区二层接入网,不需要配置复杂的二层环网和保护倒换协议,二层链路故障直接感知快速切换,三层网络中多个设备间共享路由表,网络故障路由收敛速度快。网络管理和维护难度大大降低,此方案适应面广,扩展性强,是未来园区网的发展趋势。 

     

      1. 园区网络设备高可靠性规划设计 
        1. 重要部件冗余 

    设备本身要具有电信级5个9的可靠性,需要网络设备支持:  

    • 主控1:1备份 
    • 交换网1+1/1:1两种方式 
    • DC电源1+1备份;AC电源1+1/2+2备份  
    • 模块化的风扇设计,高端配置支持单风扇失效  
    • 无源背板,高可靠性 
    • 独立的设备监控单元,和主控解耦  
    • 所有模块热插拔  
    • 完善的各种告警功能  
    • 设备管理1:1备份 
        1. 设备自身安全 

    如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大. 

    图 4‑6 黑客工具的危害性

    这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。 

    华为公司全系列园区网交换机(S9300/S5300/S3300/S2300)提供攻击防范功能,能够检测出多种类型的网络攻击,并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击,保证内部网络及设备的正常运行。 

    华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。 

    另外,以太网交换机的MAC地址表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者通过不停的发送MAC地址来刷新,填充交换机的MAC地址表,由于MAC地址表的规格有限,导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似,通过攻击报文来更改MAC与IP地址的绑定,从而重新定向流量。 

    华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描,并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击(SAI/DAI功能)。 

    华为全系列交换机支持黑洞MAC功能,园区交换机收到报文时比较报文目的MAC地址,若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性,则可以在园区交换机上配置黑洞MAC,从而将具有该MAC地址的报文过滤掉,避免遭受攻击。 

      1. 园区网络交换机虚拟化规划设计 
        1. 汇聚交换机的集群CSS(Cluster Switch Switching) 

    所谓集群,就是把物理的多台服务器连接在一起,对外表现为一台逻辑的服务器,提供服务。 

    因为企业园区网为了增加可靠性,都是双节点备份,特别适合集群技术。如下图所示: 

    图 4‑7 集群组网的优势

    采用集群技术,对企业园区网络,有四大优势: 

    1) 减化管理和配置 

    首先,集群后需要管理的设备节点减少一半以上。 

    其次,组网变得简洁,不需要配置复杂的协议,包括STP/SmartLink/VRRP等。 

    2) 快速的故障收敛 

    故障收敛时间可以控制在< 1ms, 大大降低了网络链路/节点的故障,对业务的影响。 

    3) 带宽利用率高 

    采用链路Trunk的方式,带宽利用率可以达到100%。 

    4) 扩容方便 

    保护用户投资。随着业务的增加,当用户进行网络升级时,采用集群的方式,只需要增加新设备既可,不需要更改网络配置的情况下,平滑扩容,很好的保护了用户投资。 

    目前,业界有两种堆叠的方式,一种是采用业务接口堆叠,一种是采用专用的堆叠线; 

    图 4‑8 两种集群方式比较

    华为的S93系列交换机采用堆叠线的方式,通过在主板板上插入堆叠卡,连接多台设备。如下图所示,这种方式有如下的优势: 

    图 4‑9 华为CSS集群技术

    采用交换机网集群的方式,相比接口板集群,有如下的优势:  

    • 堆叠带宽高 

    交换机网集群一般采用专用的接口线,堆叠带宽高。   

    S93系列的堆叠带宽高达128G(单向);并且可平滑升级到200G(单向); 相对于业界的80G(单向)的互联带宽,具有明显的优势。  

    • 不占用业务槽位 

    S93系列采用在主控板预留的灵活插卡槽位,插入堆叠卡互联的方式,不占用接口槽位。相对于接口堆叠的方式,节省了1~2个接口槽位。  

    • 可靠性高 

    S93系列采用堆叠线连接,实际上是对交换网的延伸。从上图可以看出,接口板堆叠方式需要经过两个堆叠接口板转发,处理复杂度增加;另外,接口板的硬件可靠性也比交换网低。 

    总体来看,交换网堆叠在软件和硬件方面,可靠性都高于接口堆叠的方式。 

        1. 接入交换机的堆叠iStack 

    iStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2个网络接口,对于堆叠后的设备,可以看作Trunk接口。 

    多台设备堆叠成一台设备后,从功能和管理方面,都可以作为一台设备来看待。 

    华为的iStack堆叠技术有如下的优势:  

    • 简化管理 

    堆叠设备的角色分为Master和Slave;通过对Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。  

    • 简化网络运行 

    iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。  

    • 强大的网络扩展能力 

    通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。  

    • 高可靠性 

    堆叠的高可靠性体现在多个方面,比如:成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master 设备负责堆叠的运行、管理和维护,Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。  

    • 高性能 

    由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的,iStack设备的交换容量和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。因此,iStack 技术能够通过多个单机设备的堆叠,轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。 

     

    1. 园区网络安全方案规划设计 
      1. 园区网安全方案总体规划设计 

    图 5‑1 园区网安全方案总体设计

    从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御,对内部员工进行身份认证和网络访问权限控制,对企业内部进行安全区域划分、隔离和权限控制,对企业外部用户访问进行安全控制、数据加密,防止恶意攻击。园区网全方位的

    安全设计方案保证内部、外部用户访问园区网资源的安全性。 

     

      1. 园区接入安全规划设计 

    图 5‑2 网络准入控制NAC

    企业网交换机与华为赛门铁克的NAC方案配套,实现对接入用户的身份认证、终端健康检查,并实现基于用户角色的差异化权限控制。NAC解决方案包含三个关键组件:通信代理、网络访问控制设备(园区交换机)和认证策略服务器组: 

    通信代理也就是安全客户端,是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估检查以及安全策略实施的主体,其主要功能包括: 

    • 支持802.1x、Portal、MAC等多种认证方式,可以与园区网交换机实现接入、汇聚层的端点准入控制。 
    • 检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息,这些信息将被传递到安全策略服务器,执行端点准入的判断与控制。 
    • 安全策略实施,接收安全策略服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 
    • 实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。  

    网络访问控制设备是企业网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。园区网的网络访问控制设备推荐为华为交换机,可分别实现不同认证方式(如802.1x、MAC认证和Portal等)的端点准入控制,具备以下功能: 

    • 强制网络接入终端进行身份认证和安全状态评估。 
    • 隔离不符合安全策略的用户终端,园区交换机接收到安全策略服务器下发的隔离指令后,可以通过 VLAN 或 ACL 方式限制用户的访问权限;同样,收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 
    • 提供基于身份的网络服务,园区交换机可以根据安全策略服务器下发的策略,为用户提供个性化的网络服务,如提供不同的 QoS、ACL、VLAN 等。 

    根据用户接入安全控制范围需要,作为NAC网络访问控制设备的交换机可以部署在园区接入层、汇聚层,设置可部署在核心层、仅控制用户访问园区外部网络的权限。 

    策略服务器也就是管理服务器,NAC方案的核心是整合与联动,其中的安全策略服务器是NAC方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态检查评估、安全联动控制以及安全事件审计等功能。 

    • 802.1x接入认证 

    图 5‑3 802.1x接入认证流程

    802.1x认证过程如下: 

    1) 用户在802.1x客户端输入用户名、密码,发起802.1x认证请求至园区交换机; 2) 交换机作为Radius客户端将用户名、密码发送到认证服务器进行Radius认证; 

    3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    4) 用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 

    5) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。  

    • 用户MAC认证 

    图 5‑4 MAC认证流程

    用户MAC认证过程如下: 

    1) 用户终端上电(无802.1x认证客户端),用户发起ARP或DHCP请求等报文; 

    2) 园区交换机收到用户终端的数据报文,触发Radius认证请求至认证服务器,根据MAC地址生成用户名和密码; 

    3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    4) 用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 

    5) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。  

    • 802.1X MAC旁路认证 

    图 5‑5 802.1x MAC旁路认证流程

    802.1x MAC旁路认证过程如下: 

    1) 用户终端上电,用户发起ARP或DHCP请求等报文; 

    2) 园区交换机先向用户终端发起EAP探测报文,如果用户终端已经安装802.1x认证客户端,则触发用户802.1x接入认证过程,否则进行MAC认证过程; 

    3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    4) 用户获取IP地址,NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 

    5) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。   

    • WEB Portal认证 

    图 5‑6 WEB Portal认证流程

    WEB Portal认证过程如下: 

    1) 用户终端打开WEB页面,发起HTTP请求至园区交换机; 

    2) 园区交换机进行HTTP重定向,将用户的打开的WEB页面重定向至Portal服务器; 

    3) 用户访问WEB Portal页面,输入用户名和密码进行认证; 

    4) Portal服务器通过Portal 2.0协议将用户输入的用户名和密码信息发送给交换机,交换机到认证服务器进行Radius认证; 

    5) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机,根据用户认证结果控制其网络访问权限; 

    6) NAC客户端软件与策略服务器联动,按照预先定制的安全检查策略,对用户终端健康状态进行检查,检查不通过Radius COA下发VLAN或ACL,限制用户网络访问权限; 7) 用户通过802.1x身份认证和终端健康检查后,获取业务网络访问权限。  

     

    DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,DHCP Snooping绑定表可以基于DHCP过程动态生成,也可以通过静态配置生成,此时需预先准备用户的IP 地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。 

    园区交换机开启DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。 

    • 防ARP中间人攻击 

    图 5‑7 ARP中间人攻击防御

    Dynamic ARP Inspection (DAI)在交换机上基于DHCP Snooping技术提供用户网关IP地址和MAC地址、VLAN和接入端口的绑定, 并动态建立绑定关系。对于用户终端没有使用DHCP动态获取IP地址的场景,可采用静态添加用户网关相关信息的静态绑定表。此时园区交换机检测过滤ARP请求响应报文中的源MAC、源IP是否可以匹配上述绑定表,不能匹配则认为是仿冒网关回应的ARP响应报文,予以丢弃,从而可以有效实现防御ARP中间人/网关ARP仿冒欺骗攻击行为。 

     

    地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时,触发ARP miss,使网络设备给该网段下的每个地址发送ARP报文,地址不存在的话,还需要发送目的主机不可达报文。如果直连网段较大,攻击流量足够大时,会消耗网络设备较多的CPU和内存资源,可引起网络中断。 

    园区交换机支持IP地址扫描攻击的防护能力,收到目的IP是直连网段的报文时,如果该目的地址的路由不存在,会发送一个ARP请求报文,并针对目的地址下一条丢弃表项(弃后续所有目的地址为该直连网段的ARP报文),以防止后续报文持续冲击CPU。如果有ARP应答,则立即删除相应的丢弃表项,并添加正常的路由表项;否则,经过一段时间后丢弃表项自动老化。这样,既防止直连网段扫描攻击对交换机造成影响,又保证正常业务流程的畅通。 

    在上述基础上,交换机还支持基于接口设置ARP miss的速率。当接口上触发的ARP miss超过设置的阈值时,接口上的ARP miss不再处理,直接丢弃。 

    如果用户使用相同的源IP进行地址扫描攻击,交换机还可以基于源IP做ARP miss统计。如果ARP miss的速率超过设定的阈值,则下发ACL将带有此源IP的报文进行丢弃,过一段时间后再允许通过。 

    • 防MAC地址扫描攻击 

    以太网交换机的MAC地址转发表作为二层报文转发的核心,在受到攻击的时候,直接导致交换机无法正常工作。发生MAC地址攻击的时候,攻击者向攻击目标网络发送大量的源MAC地址不断变化以太报文,园区交换机收到以太报文会基于报文的源MAC学习填充二层MAC转发表项,由于MAC地址转发表的规格有限,会因为MAC扫描攻击而很快填充满,无法再学习生成新的MAC转发表,已学习的MAC表条目需通过老化方式删除,这样途径园区交换机大量的单播报文会因为按照目的MAC找不到转发表项而不得不进行广播发送,导致园区网络中产生大量的二层广播报文,消耗网络带宽、引发网络业务中断异常。 

    交换机二层MAC转发表是全局共享资源,单板内各端口/VLAN共享一份MAC转发表,华为园区交换机支持基于端口/VLAN的MAC学习数目限制,同时支持MAC表学习速率限制,有效防御MAC地址扫描攻击行为。MAC学习数目达到端口/VLAN上设置的阈值时,会进行丢弃/转发/告警等动作(动作策略可定制、可叠加)。另外通过园区交换机的MAC地址与端口绑定来限制跨端口的MAC扫描攻击。 

        1. 广播/组播报文抑制 

    攻击者不停地向园区网发送大量恶意的广播报文,恶意广播报文占据了大量的带宽,传统的广播风暴抑制无法识别用户VLAN,将导致正常的广播流量一并被交换机丢弃。园区网交换机需要识别恶意广播流量的VLAN ID,通过基于VLAN的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发。可基于端口或VLAN限制广播报文流量百分比或速率阈值。 

    同时园区网交换机支持组播报文抑制,可基于端口限制组播报文流量百分比或速率阈值。  

      1. 园区网边界防御 规划设计
        1. 防火墙部署规划设计 

    图 5‑8 园区网防火墙功能部署

    企业园区网边界防御分为两个部分:园区出口边界防御、园区内部边界防御。 

    园区出口连接Internet和企业WAN网的接入,企业外部网络尤其Internet网络,是各种攻击行为、病毒传播、安全事件引入的风险点,通过在企业出口部署高性能防火墙设备、或者在核心交换机内置防火墙模块,可以很好的缓解风险的传播,阻挡来自Internet/企业外部网络攻击行为的发生。企业园区出口位置部署的独立防火墙设备(或核心交换机内置的防火墙模块),需要满足高性能、高可靠、高安全的要求,是企业园区网的第一道安全屏障。 

    园区内部边界防御是将企业内部划分为多个区域,分为信任区域和非信任区域,分别实施不同的安全策略,包括部署区域间隔离、受限访问、防止来自区域内部的DOS攻击等安却措施。建议通过汇聚交换机上集成防火墙模块(单板)来实现园区内部的边界防御功能。 

    园区网中防火墙功能无论是独立设备部署还是集成在核心/汇聚交换机内部,都必须支持灵活的业务流控制策略配置,能把特定的流量引到防火墙进行处理,其他流量进行旁路。 

    防火墙本身需要保证高可靠性,需要考虑防火墙的冗余设计,支持Active/Active HA 设计方式,即交换机内集成的多块防火墙板卡支持负载分担和主备模式,不同交换机内的防火墙支持Active/Active模式,同时能够处理流量。 

        1. 防火墙功能规划设计 

    网络隔离:能够对网络区域进行分割,对不同区域之间的数据流进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数的检查,实现对数据流的精细控制,把可能的安全风险控制在相对独立的区域内; 

    包过滤:支持基于ACL的基本包过滤,支持基于FTP、HTTP等应用层协议包过滤(ASPF); 

    攻击防范:对常见的ICMP重定向/不可达、TCP SYN/ARP FLOOD、Land、Smurf、TearDrop、网络端口扫描、畸形报文、拒绝服务(DoS/DDoS)等攻击行为,能够提供有效的检测和防范措施。 

    NAT/PAT:支持园区外部公网地址到内部私网地址的代理转换,支持应用层网关ALG功能。  

        1. 防火墙性能选择 

    园区网防火墙的选择首先是安全防护能力,对于每秒新建连接数,并发连接数和吞吐量,ACL匹配速度,DDOS识别均要进行重点考察。 

    防火墙的性能主要取决于以下参数:  

    • 转发性能:从吞吐量方面考虑,决定设备的防护性能  
    • 并发连接数: 从数据流数目方面考虑,决定设备的防护性能  
    • 每秒新建连接数:决定单位时间的防护能力  
    • ACL匹配速度:决定规则匹配的可靠和性能 

    华为S93系列集成的防火墙单板在性能方面有突出的表现:  

    • 转发性能:每单板支持10Gbps (256Bytes)的吞吐量  
    • 并发连接数:每单板达到400万的并发连接 
    • 每秒新建连接数:每单板达到10万/,,同级别产品通常不足3万 
    • ACL匹配速度:采用智能匹配算法,万条匹配速度和单条速度一致,即ACL匹配动作不影响防火墙整体转发性能  

    华为S93系列交换机集成的防火墙模块,每单板支持8Gbps的转发能力,400万的并发连

    接,每秒钟15万的新建流速度;并且支持1K的虚拟化多实例。 

        1. 虚拟防火墙规划设计 

    企业内部不同的部门具备不同的安全属性,部门内部需要进行独自的安全区域划分、并应用不同的安全策略。如下图所示,可以通过防火墙支持虚拟化实现上述需求,一个物理防火墙对资源进行划分和隔离,分配给企业内不同的部门使用,虚拟防火墙直接互相独立,就好像独立物理的防火墙一样,进行独立配置和控制。 

    图 5‑9 虚拟防火墙设计

    总结一下,虚拟防火墙具备如下特征:  

    • 同物理防火墙一样独立管理、独立设置、每个虚拟防火墙专用的系统日志和攻击日志,以及每个虚拟防火墙的各种内部组件——例如独立路由表、转换数据库、ACL等  
    • 可通过VLAN划分园区网用户(PC机/服务器)属于那个虚拟防火墙  
    • 一台物理防火墙虚拟成多个逻辑防火墙,节省投资和维护成本  
    • 适合于大型企业园区各分支部门对防火墙相对独立使用和维护的场景 

     

        1. NAT规划设计 

    考虑到园区内网安全和企业公网地址缺乏等原因,会有一些企业选择通过采用私网IP地址来建设园区网,可以隐藏企业园区内部网络拓扑,需要在企业出口通过NAT设备进行IP地址转换。为了进行安全防护,NAT功能一般部署在防火墙设备上。NAT的应用一般主要有如下的应用场景: 

    1)  PAT方式 

    它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,是地址转换实现的主要形式。 

    2) NAT Server方式 

    一般情况下,Internet/WAN上的用户,无法直接访问NAT后的私网地址服务器的; 但实际应用中,需要给公网用户提供一个访问私网服务器(如DNS服务器)的机会。 NAT Server方式就可以解决这个问题——通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。 

    在部署NAT时,需要考虑应用级ALG, 因为通常情况下,NAT只改变IP报文头部地址信息,而不对报文载荷进行分析,这对于普通的应用层协议(如Telnet)来说,并不会影响其业务的开展;然而有一些应用层协议,其报文载荷中可能也携带有数据通道的地址或端口信息,若这些信息不能被有效转换,就可能导致问题。所以,NAT需要采用ALG机制处理多种应用层协议。 

    华为S9300交换机内置防火墙模块上的NAT功能, 支持上述企业园区网NAT需求,包括:  

    • 1对1的IP地址转换 
    • PAT方式的多对多的IP地址转换:每板地址池:1K,地址池中地址个数:255  
    • NAT Server功能,支持每板1K个Server 
    • ALG功能包括DNS、FTP、TFTP、ICMP、RTSP、SIP、QQ、MSN 等  
    • NAT多实例 

     

      1. 园区网出口安全规划设计

    随着现代社会网络经济的发展,企业日益发展扩大,办事处、分支机构以及商业合作伙伴逐步增多,如何将这些小型的办公网络和企业总部网络进行经济灵活而有效的互联,并且与整个企业网络安全方案有机融合,提高企业信息化程度,优化商业运作效率,成为企业IT网络设计亟待解决的问题;大量普及的SOHO网络、小型办公网络、智能家居网络也越来越注重接入的便捷性和网络安全性。 

    图 5‑10 园区网出口安全设计

     企业园区网出口设备是企业内部网络与外部网络的连接点,其安全保证能力非常重要,企业在信息化的过程中面临核心技术、商业机密泄密等信息安全问题,VPN技术是企业传输数据非常理想的选择,因为VPN技术正式是为了解决在不安全的Internet上安全传输机密信息,保证信息的完整性、可用性以及保密性,包括IPSec VPN和SSL VPN。企业办事处、分支机构以及商业合作伙伴如果采用主机VPN客户端接入企业总部网络,那么分之机构网络中的每个主机需要单独拨号接入,VPN接入不可控造成内部网络安全隐患,同时也大量消耗企业总部VPN网关隧道资源;如果采用单独的VPN网关与企业总部网关建立VPN隧道,又面临投资过大的问题。需要有效解决企业分支机构VPN接入灵活性、安全性和经济性之间的矛盾。 

    园区出口设备形态推荐:  

    • 接入路由器 

    针对企业办事处、分支机构、商业合作伙伴以及SOHO办公、智能家居等园区网络要求,采用华为SRG列业务路由网关(SRG1210/1220/2210/2220等多款产品)或AR系列接入路由器(AR18/28/46、AR19/29/49)作为园区网出口设备,集路由、交换、无线与数据安全于一体,能够提供灵活的宽带接入、WLAN解决方案、3G无线上网、NAT/PAT地址转换、攻击防范、状态检测等特性,全面满足客户自由安全联网需求。 

    • 交换机 

    针对部分小型园区网,可采用华为S9300交换机作为园区出口设备,考虑到降低设备投资成本,园区出口设备和核心交换机可以合一,通过S9300的WAN接口板提供POS/GE/10GE等广域网接口与企业外部网络互联,同时S9300作为园区核心交换机,下连各个汇聚交换机,S9300通过增值业务单板提供IPsec VPN和SSL VPN,满足企业分支机构安全互联以及企业员工或外部访客远程访问园区网的需求。 

     

     

    1. 园区网络网管系统方案规划设计 
      1. 网管系统概述 

    网管系统 提供了“无缝式IT运维管理”功能,其系统架构清晰,采用模块化的设计理念,各功能模块既可独立运行、松散耦合;亦可整体功能无缝衔接覆盖整个业务系统,灵活的自由组合真正实现个性化的IT无忧运维。 

    网管系统主要由网络管理、流量管理、认证计费等几个产品组成。 

    • 网络管理:实现了对交换机、路由器、防火墙等设备的全方位管理,提供了丰富的拓扑、配置、资产、故障、性能、事件、流量、报表等网络管理功能。 
    • 流量管理:提供网络流量监测、流量门限、协议分析、Web上网行为审计等功能。结合NetFlow网络流量分析器实现更为细化、便捷的全网流量分析功能。 
    • 认证计费:提供灵活多样的计费策略,支持多种认证方式,满足组性化的用户管理,实现多样化的控制策略。  

    通过网管系统模块可以实现对IT资源的全面、可视化、统一管理。 

    图 6‑1 企业网网管系统组件

      1. 系统优势介绍 

    多角度管理: 

    • 面向基础设施:提供全面的IT资源管理,实现对网络、主机、存储设备、安全设备、数据库、中间件及应用软件等IT资源的全面监控和管理;同时对网络和业务应用等IT资源的性能进行监控,定期性能报表和趋势报表,为IT系统性能优化提供科学依据。 
    • 面向维护管理人员:将人、技术与流程进行有效地融合,实现日常运维工作的自动化、信息化和标准化,实时展现当前企业IT系统的运行状态及趋势,帮助管理人员快速定位问题,修复故障,保障业务系统的稳定性,知识库能降低IT运维管理对个人的依赖。 
    • 面向领导决策者:可及时汇总系统运行状态信息,帮助领导全面了解IT系统状况和趋势,为其提供科学依据。同时可借助自动生成的多种工作记录,实现对运维人员的绩效考核,提高团队技术水平,建立以客户为中心的运维模式,提供低成本、高质量的IT服务,提高客户满意度 
    • 立体化分级管理:可根据不同用户的组织结构、地理分布及业务关系,实施跨地域、层次化的统一管理模式,使责权管理更加明确,拓扑图更加清晰,提高系统的工作效率;

    主动预警: 

    • 对网络关键设备设置相关阈值,当达到范围时,自动产生告警,并执行事先设置动作。
    • 内置解释器,告警信息可按指定方式进行解释,更加明白易懂。 
    • 支持声音、邮件和手机短信等多种告警方式,确保信息通知到相应负责人; 

    资产生命周期管理: 

    • 从运维的角度对IT资产进行管理,包括相关配置、使用年限、维修记录等。 
    • 全程跟踪记录IT设备的使用周期,包括入库、领用、使用负荷和报废等。 
    • 减少设备流失,提高设备利用率,以最少的资金投入带来最大的回报; 

    易于使用:操作简单方便,拓扑图支持全屏显示、局部放大镜、延时拖动、鹰眼、拖动图标无极缩放等丰富的操作功能,并支持任意层次的拓扑结构划分; 

    易于部署:无需在被监测信息系统、服务器上安装任何代理软件,只需将系统安装在一台管理机上,即可自动进行监测和管理,同时对现有系统性能影响甚微,不会改变现有系统的应用配置,便于安装实施、维护使用。 

    易于定制:提供了灵活的Web方式的客户化定制、发布工具,可对软件界面呈现及风格、数据库表、对象属性和方法进行灵活配置和定制,以满足用户特定的业务需求;提供了丰富的扩展和开发接口,可以快捷的集成各种管理工具,可以快速将各类IT资源纳入到系统管理范围内,加入到IT服务管理的流程中;此外,可视化的客户定制工具可以支持用户灵活定义和调整流程,以支持组织架构和流程的变化和发展。 

    自动搜索网络、发现网络节点,包括:网络设备、服务器、打印机、PC主机及VLAN等,并基于网络的二层连接关系构建物理拓扑。 

    • 故障智能预测与分析 

    通过实时的网络运行监测,Apex U2810可智能分析和预测潜在故障,并根据告警程度的不同发送警报。 

    • 智能阈值技术 

    能为每一个IT资源监控项给出科学的差异化阈值设置指导,并可随着时间段和业务量的变化进行动态调整。 

    • 网络拓扑快速全面 

    可快速全面的呈现网络拓扑结构,自动发现网络及其承载的服务,并支持多种协议。 

    • 支持分布式管理 

    支持多用户,多角色,IT运维人员,决策人员,不同角色有不同权限,不同区域级别也有不同权限。 

    • 多维度监控 

    支持从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理整个IT网络。  

    NetFLow Analyzer能分析园区网交换机和出口路由器等设备中导出的Netstream数据。它支持标准的的操作硬件,支持Windows和Linux环境,易于部署易于操作,且无需广泛培训。 

    • 深入的流量分析 

    无需使用硬件探针或其他设备,NetFlow Analyzer能简单有效地执行流量分析。除了设置路由/交换设备导出NetFlow数据到NetFlow Analyzer,不需要其它的配置。 

    • 全面显示流量信息 

    NetFlow Analyzer通过NetFlow数据能呈现占用带宽最多的应用、主机和会话。要了解高峰时间的使用和历史趋势,该信息就显得非常重要。此外,从长期来看这些信息还可用于带宽容量规划和巩固安全策略。 

    • 高效的带宽利用 

    在多数企业中,对带宽不加管理将导致在高峰时间不重要的应用具有高于重要应用的优先级。NetFlow Analyzer中的带宽报表准确地显示了哪些应用在高峰时间使用带宽,并深入分析使用这些应用的主机。这将有助于控制带宽使用并加强企业安全策略。 

    • 灵活的设备管理 

    NetFlow Analyzer可以将NetFLow输出设备分组到不同的组别,以便进行针对性监控,以及向用户授予访问权限。利用NetFlow Analyzer中的设备分组,就可以专门管理某组导出NetFlow数据的设备,您可以将操作员指派到不同的组,监控带宽利用情况,以及查看针对每个设备组的流量模式。  

    • 降低运维成本 

    NetFlow Analyzer通过简化管理任务以降低成本。比起分析数据包需要许多时间分析结果并得到结论,故障诊断只需要相当少的时间。带宽报表以及深入分析选项使得流量分析更加快速有效,从而高效地使用企业的重要资源。  

    • 高效的报表,易于趋势分析 

    NetFlow Analyzer提供了丰富的带宽报表,便于分析流量的相关信息。通过查看不同时段的流量模式,NetFlow Analyzer显著简化了趋势分析过程。NetFlow Analyzer具有30多种不同的图表和报表,并带有能深入分析特定明细的选项,便于用户直接访问重要的信息。用户可以在线查看不同时段的图表,并将其输出为PDF格式。   

    • 完全基于Web 

    NetFlow Analyzer完全基于web,因此只需一个web浏览器就可以从网络中的任何位置跨WAN链接轻松查看流量报表。 

     

    集成实时计费、业务管理和客户管理,提供各种应用的运行和管理、计费平台  

    • 先进宽带运营理念的载体  
    • 基于用户的全方位管理控制手段  
    • 支持多种接入认证方式: 
    • 802.1x、
    • WEB、
    • PPPoE、
    • RADIUS认证 
    • 多层次计费策略: 
    • 针对储值卡、充值卡有效期设置; 
    •  支持交费送免费用量设置; 
    • 提供信用额功能,允许用户超支部分用量; 
    • 支持预付费、后付费方式; 
    • 支持月结、即用即结、先付后用、包日等结算方式; 
    • 支持期限用户,即按每月固定月租,开通日开始计费,服务结束日自动停机,可以续交费,计费开始日自动按续费日开始计算;  
    • 支持月结延迟停机,在线催费;  
    • 支持开机停机预受理; 
    • 灵活的控制策略: 
    • 用户每日上网时段控制;  
    • 目标地址控制过滤策略;  
    • 目标端口控制策略;  
    • 源地址控制策略; 
    • 每日或每月上网时间和流量上限控制策略;  
    • 完整的登录记录、访问记录;  
    • 完整的设备运行日志 

     

      1. 网管系统部署 
        1. 集中式网管系统部署 

    图 6‑2 集中式网管系统部署

    硬件推荐配置: 

    软件推荐配置:

     

        1. 分布式网管系统部署 

    系统可以通过将网管服务和数据库分离,降低数据库系统和网管服务器在高负荷状态下的相互影响。目前可将网管服务器和南向接口服务器分离。一方面可以降低南向接口承受的通信压力对网管服务器造成的影响。另外,对于大规模的网络,通过部署多个南向接口服务器,可以提高通信效率,降低单点失效造成的全网无法管理的风险。 

    网络管理系统均部署在一台中心服务器(以下简称Apex中心服务器)上,并通过PlusWell HA Cluster做集群。数据库服务器单独部署一台服务器,流量分析单独部署一台服务器,网络管理的二级系统部署在一台二级服务器上,分布在各个分支机构,可已经根据网络规模的不断增长灵活扩容。 

     

    图 6‑3分布式网管系统部署

    硬件推荐配置:

     

    软件推荐配置:

     

    1. 园区网络设备介绍 
      1. 园区汇聚/核心交换机 Quidway S9300

    Quidway® S9300系列运营级园区汇聚交换机是由华为公司自主开发的新一代高性能核心路由交换机产品,提供大容量、高密度、模块化的二到四层线速转发性能,具有强大组播功能,完善的QoS保障、有效的安全管理机制和电信级的高可靠设计,满足高端用户对多业务、高可靠、大容量、模块化的需求,降低运营商的建网成本和维护成本,可广泛应用于构建各种类型型园区网核心层和汇聚层交换机,对于接入交换机性能和接口密度要求高的某些大型园区网,也可使用S9303/S9306系列交换机作为接入交换机使用。 

    图 7‑1 S9300系列交换机

    产品特点 

    • 先进体系结构,高性能,配置灵活 

    S9300系列交换机采用先进的全分布式体系结构设计,采用业界最新的硬件转发引擎技术,所有端口支持的业务能够线速转发,业务包括IPv4/MPLS/二层转发等。支持ACL线速转发。 

    S9300系列交换机实现组播线速转发,硬件完成两级复制:交换网板复制到接口板和转发引擎复制到接口。 

    S9300支持2Tbps交换容量,支持多种高密度板卡,满足核心、汇聚层设备大容量、高端口密度的要求,可以满足用户日益增长的带宽需求,能够极大的保护和节约用户投资。 

    S9300设备的性能规格参数:  

     

    S9312 

    S9306

    S9303

    交换容量

    1/2Tbps

    1/2Tbps

    288Gbps

    背板容量

    4.8Tbps

    2.4Tbps

    1.2Tbps

    用户接口容量GE(48GE/槽位)

    576GE

    288GE

    144GE

    用户接口容量10GE(48 10GE/槽位)

    64 10GE(线速)

    288  10GE(4:1收敛)

    144 10GE(4:1收敛)

     

    • 完善的安全机制 

    S9300系列交换机支持OSPF、RIP v2 及BGP v4 报文的明文及MD5密文认证,支持安全的SSH登陆、命令行分级保护、基于用户安全策略的SNMP V3、DHCP Snooping、IP Source Guard、DAI(Dynamic ARP Inspection)、层次化CPU通道保护,并提供以下几种用户认证方式:本地认证、RADIUS和HWTACACS认证。 

    支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。 

    • 全面的可靠性 

    链路汇聚:S9300系列交换机最大支持128个汇聚组,每个汇聚组内支持最多8个成员端口,支持跨单板端口间的汇聚。 

    支持DLDP(Device Link Detection Protocol,设备连接检测协议):可以监控光纤或铜质双绞线的链路状态。如果发现单向链路存在,DLDP会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。 

    支持RRPP及多实例:相比其他以太环网技术,RRPP具有以下优势――拓扑收敛速度快,低于50ms。收敛时间与环网上节点数无关,可应用于网络直径较大的网络。 

    支持标准STP/RSTP/MSTP二层环网保护协议 

    支持SmartLink及多实例 

    支持BFD for 单播路由/VRRP/FRR/PIM 

      1. 园区接入交换机 
        1. Quidway  S5300系列交换机 

    产品特点: 

    • 大带宽、高性能 

     

    • 强大的组播功能 

     

    • 运营级高可靠性 

     

    • 卓越的安全特性 

     

    • iStack功能 

     

    • 支持IPv6功能
    展开全文
  • 通用完整的网络方案,乙方必备。
  • 网络方案,常见的典型园区网包括:  企事业办公网,例如政府、金融、能源、交通等行业的办公网络。  企业生产网,例如电力、石油、制造行业的生产控制网络。  科技园区网,例如高新科技园、软件园的园区网...
  • 本文简述了对广通汽车制造有限公司企业园区网络建设的指导思想以及对应相关的网络技术该选用的网络设备,在总体的网络架构上,采用经典的三层网络结构,使在地域上分开的部分可以通过核心层相连接,本次方案采用了...
  • 企业园区网络设计规划与实施计划方案.doc
  • 企业园区网络设计、规划与实施计划方案.doc
  • 企业园区网络设计、规划和实施方案实施计划书.doc
  • 掌握中小型企业网络构建技术、掌握网络设备及服务器配置,熟悉网络调试与故障排除的原则和方法,加深理解计算机网络的基本原理,根据一个小型企业的需求,规划设计一个企业网络方案并对其进行实施
  • 智慧园区解决方案充分利用RFID、移动通信网络、光纤网络等多种网络互连,充分的实现物与物、物与人、人与人的各种互连,实现泛在、融合、智能的网络。通过各种智能化、信息化应用为园区居民的日常生活等各个方面...
  • 2.1.4 此校园网设计方案特点如下: 7 2.1.5布线系统设计 7 2.2 规划设计拓扑图 8 第三章 服务器的配置 10 3.1 Windows2000server服务器的安装 10 3.2 Win2000 server的配置 10 3.3 DNS服务器 10 3.4. DNS的维护 12 ...
  • 园区网络架构介绍

    2018-04-11 16:25:17
    园区网络架构介绍,充分利用成功设计原则,建设和优化网络,满足业务需求
  • 智慧园区系统设计方案

    千次阅读 2020-03-19 11:45:59
    第一章系统总体设计 2.1系统概述 通过智慧化园区的建设,我们要到到以下的个目标: 一是提升园区管理水平及服务能力。通过协同办公,智能控制中心等系统的应用,突破县域园区的空间限制,实现园区与各级部门之间...

    第一章          系统总体设计

    2.1             系统概述

    通过智慧化园区的建设,我们要到到以下的个目标:

    一是提升园区管理水平及服务能力。通过协同办公,智能控制中心等系统的应用,突破县域园区的空间限制,实现园区与各级部门之间的无障碍业务联系,将极大地提高园区工作效率,而在此之上实现的数据分析与知识管理,能够进一步提高园区政府决策的科学性。

    二是提高基础设施运行保障能力。园区通过智慧技术的应用,能够实现基础设施在其生命周期内的高可用性、高效率高负荷、高安全性和高可靠性的运转。对于基础设施正常的损耗和可能故障,能够做到提前预警、实时监控、自动反馈,甚至可以做到自动处理或者提前处理,实现园区基础设施高效使用,个性管理。

    三是促进园区经济与环境协调发展。通过搭建统一的企业服务平台,提高园区对各类资源的利用效率。尤其是信息化技术在企业运营管理、生产中的应用,将有助于企业有效规避市场风险,提高生产效率,降低运营成本,增强企业的竞争力。通过对企业“三污”排放的监测、监控以及节能改造,实现可循环、低排放、可持续的生产方式,促进园区经济和环境协调发展。

    四是有利于构建和谐、幸福园区。通过全覆盖的监控网络和智能化分析,可以实现针对园区社会犯罪、危害公共安全行为、群体事件的及时响应、提前预防。可搭建面向园区服务的劳动保障、医疗卫生、科学教育等保障系统,实现园区经济发展、社会事务、个人生活达到和谐统一。

    2.2             系统架构说明

    智慧园区的技术体系架构自下而上分为感知层、通信层、数据层、应用层,以及完善的标准体系和安全体系。

    感知层是园区感官神经。以物联网、传感网等技术为主体,实现对园区范围内基础设施、环境、建筑、安全等基础信息的监测和控制。实现企业、个人、终端设备“随时、随地、随需”都可以宽带连网,实现网络的泛在化。

    数据核心层是智慧园区的大脑。具有大容量、高性能、高能效、高密度、高适应性等特点。智慧园区其多系统、多领域的融合应用,对数据存储提出了更高的要求。因此,通过云计算架构的实施,将实现平台层的统一和高效能、资源/业务的灵活调度、全面的安全控制管理、节能降耗的综合应用,达到让园区更加“智慧”的目的。

    应用服务层主要是指在感知层、通信层、数据层基础上建立的各种应用系统。借助应用地理信息、数据挖掘、SOA等技术。实现海量信息的分析,评估,挖掘数据的潜在信息和应用价值,从而使用户以更智慧的方式获取和应用相关的信息资源。

     

     

    2.3             系统拓扑

     

    第二章          系统详细设计

    3.1             视频子系统

    视频监控子系统是整个园区安全防范系统建设的基础。前端监控点设备的选择直接关系到整个系统的效果,直接影响后续用户的使用。监控点图像接入信息专网,总控中心进行24小时实时监控,由中心机房进行24小时实时监控和集中存储,全面掌控园区治安动态,并保证在突发事件发生时,各保安部门能够调用现场实时图像信息进行指挥和调度。

     

    3.2             报警子系统

    1. 3.3.1     概述

    报警系统用于防护区域警情的检测与防范,视频监控系统实时监视整个园区的情况,门禁系统控制办公楼、宿舍、办公楼等各建筑物各出入口,各个系统互相补充,共同形成园区的安全屏障。因此,视频监控系统只有与入侵报警系统、消防系统等实现联动,才能使安全防范能力更有效。

    此次报警子系统设计中涵盖如下内容:

    1)    周界报警

    2)    重要室内入侵报警

    3)    公共区域消防报警

    4)    紧急报警点

    3.3.2     系统结构

    报警系统中,探测器是防范现场的前端探头,通常将探测到的非法入侵信息以开关信号的形式,通过传输线路传就近接入网络摄像机,通过平台软件设置的报警联动策略,实现相关的报警联动功能,以起到预防预警作用。

    前端的探测器构成警戒防区,防区的含义是指在系统中,可以识别或区分出防范的区域或位置。根据实际设计或使用需要,系统中可以设置为一个或多个警戒防区,防区内可以布设一个或多个、一种或多种类型的报警探测器。将这些探测器相互配合起来使用,就可以组成具有综合防范功能的防区,最终架构成一套高性能多功能的防范报警系统。

    报警系统与视频监控系统的联动。探测器通过接入摄像机报警端口集成于视频监控系统管理平台,通过软件编程设定不同的触发条件,自动联动摄像机、监视器,并在需要的情况下启动录像机进行录像。

    3.3             信息发布系统

    为了解决园区公共位置的一些信息发布,通知发布或广告信息发布,在园区内设计一套信息发布系统。

    3.3.3     系统简介

    信息发布系统是通过网络数据传输来对LED实现屏大规模组网以及远程实时控制,并发布媒体广告,通知等的发布系统。信息发布系统实现了各显示设备的远程集中控制和统一管理,并随时插播新闻,图片,紧急通知的各类及时信息,将最新的咨询在第一时间传递个用户。

    3.3.4     系统组成

    完整的LED显示屏信息发布系统由3部分组成,发送系统,接受处理系统,显示系统。

    发送系统:由LED显示屏控制软件注册。

    接受处理系统:由LED控制卡组成,可以是集成的,也可以是组成的。

    显示系统:由单双色/全彩LED显示屏组成。

    3.4             广播子系统

    3.4.1  系统简介

    现代化的公共广播系统,主要是用来播放轻松的背景音乐或铃声,在遇到特殊紧急情况是能够及时进行紧急寻呼广播等等。在现代化的安装背景音乐广播,能够创造一种轻松和谐的气氛。设计成熟的背景音乐系统,扬声器的布置配置均匀,音量适宜,不影响人们的正常工作及休息娱乐需要,起到了优化环境,为人们创造一个优美的、享受式的气氛的作用,这也是二十一世纪现代化的发展方向。公共广播寻呼系统可以起到宣传、播放通知等作用,它可以为人们提供互动的沟通,传递有价值的公共信息,播报紧急广播讲话等。
    作为一个现代化的企业园区公共广播系统应满足以下功能:
    1、消防广播功能;
    2、园区(语音业务)广播功能;
    3、背景音乐广播功能;
    上述广播功能作为一个整体考虑,即相互关联,同时又具备相对独立的广播应用,在系统架构和功能实现上,具备主系统和子系统的概念,主系统作为整个广播系统的信息平台,提供系统管理、设备配置、应用定义、权限分配、用户设置等,子系统根据定义完成各自系统的应用功能。

    3.5             一卡通子系统

     3.5.1    系统简介

    一卡通系统的核心设计思想就是搭建基于卡片的开放的应用集成平台,在此平台上扩展和集成多种业务应用。

    在一卡通系统中,账户管理是相对独立于具体应用的基本功能模块。一卡通系统的账户管理功能,可以对组织内的人员身份、人员所属部门、持卡人账户类型,以及账户可用性等一系列基础信息进行灵活的配置管理,最终实现了卡片与现实中卡片使用者的关联。

    单位技术股份有限公司的一卡通平台支持门禁子系统,考勤子系统,巡更子系统,访客子系统,消费子系统,梯控子系统,出入口子系统。实现真正意义上的园区一卡通。

    3.6             动环子系统

    3.6.1     系统简介

    动环系统作为园区一种重要的现代化监测、控制、管理手段,用户可通过现有的网络资源,在企业总监控中心和办公计算机、或移动网络设备上实现对所辖机房的监控、管理,大大减轻日常巡视人员的工作量,便于及时发现危险隐患,保障安全生产,为机房无人值守模式提供了完备、可靠的保障。同时通过科学合规的能耗监测系统,准确掌握数据中心的能耗状况,指导数据中心管理者通过各种节能措施提高数据中心的能耗利用率,减少浪费,降低电力成本。

     

    3.6.2     系统组成

    环境监测子系统是指实现对机房设备的运行状态,如蓄电池电量、UPS等仪表设备实时检测功能,以及机房内积水、配电情况及温湿度情况自动监测和告警功能。同时与视频监控及安防防范子系统结合实现智能联动、实时显示。

    可以将实时的动力环境数据与实时视频图像通过视频动环一体机做视频叠加,通过实时视频图像可以直观的观察到实时的动力环境数据。当动力环境数据超限报警时,可以根据设定的联动预案,在监控画面上自动弹出实时视频与数据。

     

     

    3.7             智能化停车场子系统

     3.7.1    概述

     随着科技经济的不断发展,汽车开始普及普通的家庭,大量的车辆为停车场的管理带来了新的问题。传统的停车场管理主要通过给进入车场的车辆分发IC卡,记录车辆进出时间,作为计费的主要依据,不管是固定车辆还是临时车辆,进出停车场都必须在出入口停车刷卡后,才能进出停车场,在车辆出入繁忙的时段,这种管理方式往往造成塞车的现象,耽误车主宝贵的时间。针对以上现象,

    单位技术股份有限公司推出了全新管理理念,利用车牌识别技术取代传统的IC卡技术,解决车辆进出时必须停下刷卡而造成的停车场进出口塞车现象。

     3.7.2    系统功能

     

     

    车辆进入:

    1.车辆驶入车牌摄像机抓拍区域。

    2.车牌识别系统自动抓拍车辆的的图像并识别出车牌识号,然后通过检索数据库得出车辆类别。

    3.如果非满位或该车属固定车辆情况,闸机放行,同时记下车辆进入时间。车辆越过进口,驶入停车场内。

    整个过程自动完成,无须工作人员干预。车辆一直处于行驶状态,无段暂停。

     

    车辆离开:

    1.车辆驶入车牌摄像机抓拍区域。

    2.车牌识别系统自动抓拍车辆的的图像并识别出车牌识号,然后通过检索数据库得出车辆类别。如果该车属固定车辆情况,闸机自动启竿放行。

    3.电脑调可以出该车入场时的抓拍图像,入场时间等。如果是临时停车,则车辆须暂停交费方能离开,这点和IC卡方案相同。

    4.如果车辆被列入黑名单,不管是临时还是固定车辆,闸机不会打开,同时系统都会发出报警信号,通知工作人员注意。

    5.车辆越过进出口,驶入离开停车场,系统记下车辆离开时间。  

     


    关注我的技术公众号,每个工作日都有优质技术文章推送和电子版方案下载。

    微信扫一扫下方二维码即可关注:


    展开全文
  • 一个中小企业网络规划与设计方案,感觉还不错,可以参考一下。
  • XX公司网络设计方案

    2008-12-24 21:42:30
    XX公司网络设计方案 XX公司网络需求主要有以下几点: (1) 共有A、B、C、D、E、F六个部门,分别拥有20、30、45、35、25、5台计算机。 (2) A、B、C、D、E部门都有各自独立的文件服务器,且文件服务器通常不允许跨部门...
  • 工业园区智能化统设计方案一、智能化设计依据及理念;二、智能化设计系统介绍;智能化设计系统介绍;智能化设计系统介绍;三、本方案工程概况 ;四、本方案设计内容; 由6部分3个子系统组成; 系统架构 系统分为数据网、...

    工业园区智能化统设计方案

    一、智能化设计依据及理念;二、智能化设计系统介绍;智能化设计系统介绍;智能化设计系统介绍;三、本方案工程概况 ;四、本方案设计内容; 由6部分3个子系统组成; 系统架构 系统分为数据网、语音网二个部分。 数据网:企业内部局域网、连接INTENET; 语音网:企业内部语音通讯网络; 本系统的设计思路:数据、语音语干引至各个楼层,水平部份待建筑内部装修时再分步设计、实施。;综合布线结构图;系统设计 所有信息端口的终端采用RJ45接头;数据水平区和工作区采用六类产品;语音水平区和工作区同样采用六类产品,保证前端数据、语音接口可灵活互换。语音主干采用三类50对-100对大对数通讯电缆;数据主干采用12芯室内多模光纤;系统采用模块化设计和分层星型网络拓扑结构。 网络通讯速率达到1000Mbps。;系统设计 本系统中:1#楼1至6层面积较大(每层约为2700平方米),数据与语音容量均按每层200个点考虑。其他楼层数据、语音点位容量均按每层100个点设计,具体点位数量可待内部装修时再详细设计。;综合布线系统;综合布线系统;综合布线系统;企业办公网主干和信息点需求及分布; 设备分析根据对网络需求的考察,根据合理性、实用性和节约费用等原则进行设备选择:1)基于路由器和交换机的局部网间的互联是最好的解决方案。网络协议方面,以网际协议(IP)作为校园网网络系统的公用网络协议实行标准化,使用IP作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。2)在主干网建设时,选择3Com和Cisco系统产品,它能够以极具竞争力的价格提供所有技术,为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。3)在局部网建设方面,选择使用CISCO设备和TP-LINK产品作为骨干网基础设施的基础。 CISCO设备和TP-LINK方案提供了可伸缩的结构和高性能的设备,能够高速传输数据,同时通过它们Secure技术保证了安全地接入Internet和一体化的网络解决方案。;层次性结构如下图所示;根据项目的具体需求设计出该网络拓扑结构为分层的集中式结构或称星型分级拓扑。

    内部网络拓扑图:网络逻辑拓扑结构如图所示。它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。简要说明如下:

    整个网络由核心层、汇聚层和接入层两大部分组成。核心层是由企业级核心路由交换机组成。汇聚层由路由交换机组成。接入层是由接入层楼层交换机组成。 ;以行政楼中心机房为中心,下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑,通过千兆光纤连接。 各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各 LAN 网段的交换机(Switch)连接而组成星型网络,实现千兆核心网络到各楼层,百兆到桌面,满足各种应用的需要。 核心层交换机与服务器群的相连是以千兆以太网的方式。以上拓扑结构设计有以下特点: 它充分利用网络资源,把交换路由模块分开成第二层交换和第三层路由,这样做对网络的性能大有改善。 通过在网内划分 VLAN 的技术来确保网络内部的安全性。基于对核心层的功能及作用,根据用户的实际需求,本方案中对网络系统中核心层由企业级核心交换机组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。 企业级核心路由交换机的性能特性及技术指标如下:?交换机类:企业级交换机?应用层级:三层?接口介质:10/100 BASE-T/ 100FX?传输速率:10Mbps/100Mbps?端口数量:48?背板带宽:32Gbps?VLAN支持:支持? 网管功能:网管功能 SNMP, CLI,?包转发率:13.1Mpps?MAC地址:12k?网络标准:IEEE 802.3, 802.3u,?端口结构:非模块化;汇聚层交换机的设计根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了3个节点,即:行政楼、生产车间和运输楼(工段办)。 汇聚层网络设备全部采用了路由交换机。该交换机支持各种高级路由协议,如 BGP4、RIPV1、RIPv2、VRRP、OSPF、IP 组播、IPX 路由。 汇聚路由交换机CISCO WS-C3560-24TS-S的性能特性及技术指标如下:?交换机类:企业级交换机?应用层级:三层?接口介质:10/100 BASE-T/ 10

    展开全文
  • 软件园区网络设计之网络详细设计

    千次阅读 多人点赞 2021-08-12 16:10:57
    公司 A 搭建网络的时候,使用如上图的拓扑,很多公司部署网络的时候也是使用三层网络模型来设计的;三层网络模型一般需要配置那些协议呢?可运行DHCP 协议,可达到为 PC 主机动态分配 IP 地址;OSPF 开放式最短路径...

    对软件园区的 8 个公司的网络需求进行网络详细设计,公司 A、B、C、D 之间组网的架构使用跨域 VP#-OptionC2 方案设计;然后再设计各个公司的通信方案,公司 A 使用网络三层模型设计;公司 AA 和公司 BB 进行 IP 地址资源规划和AP 的部署;然后是有分公司的企业网络需求实现。

    跨域 VP#-OptionC2 方案

    使用 VP#-OptionC2 方案作为各个大模块的架构;它的优点有:方便管理,易于扩展,AS 与 AS 之间可进行数据传输使用的 LDP 为其分配的标签进行数据的传输的。举个例子:某公司随着规模的不断扩大,它对网络的需求会大大提高,如果有分公司与总部之间恰巧相隔甚远,如果是分布在不同的省份时,部署网络这个问题值得我们去考虑这个事情。不可能在分公司与总部之间直接使用拉网线方式进行,原因有几个不可取的地方,如成本过高,部署的时间也会比较漫长,维护不便,不利于扩展,冗余性不高等一系列问题。使用跨域虚拟专用网络-OptionC2 方案就能解决上述的这些问题。随着公司规模变大,部署网络不再是瓶颈问题,有新增的业务或者是对网络的需求变大了,也能一一解决。可实现公司新增业务的网络需求,可在 PE 设备上配置相应的VP# 业务,且 VP# 与相应的接口相绑定,对 ASBR 设备的性能要求不会很高。拓扑图如下图所示:

    在这里插入图片描述

    是由公司 A、B、C、D 组网组成的,他们之间可以通过公网来进行互访,也可以实现让总公司能访问分公司,分公司不能访问总公司的效果。使用到的技术有 VP#,PE 上接入 VP# 业务能实现对公网路由的隔离,同时也可以通过 vp# 实例中的 RD 值,在私网路由存在冲突的情况下,可对私网路由进行区分;使用 VP#-OptionC2 方案,后期公司如果发展起来了,拓展分公司,如果距离比较远,这个时候选择使用 VP# 接入业务是最适合的,因为距离太远直接拉网线是不实现的。使用 MPLS VP# 这个技术是非常有优势的,在保证数据通信的同时还能保证它的安全性,可降低成本开销;底层使用内部网关协议;AS 之间使用的是 BGP 协议;AS 内使用的 IGP 协议分别有:RIP 协议、OSPF 协议、IS-IS协议;在 MPLS VP# 跨域中使用 LDP 分发标签,或者是使用 MP-BGP,也可以使用静态分发标签的方式或者是 RSVP-TE。

    使用网络三层模型部署公司网络

    在三层网络模型的基础上部署公司网络,把公司的出口与 PE 上创建的 VP#业务进行接入,并与相应的接口相绑定。公司网络常用的网络分级设计模型有核心层、接入层、汇聚层组成;核心层:主要目的在于通过高速转发通信;汇聚层:用于处理来自接入层设备的通信,并提供给核心层的上行链路,以及二层:直接面向用户连接或访问网络的部分[6];网络分级设计模型如下图所示:

    在这里插入图片描述

    公司 A 搭建网络的时候,使用如上图的拓扑,很多公司部署网络的时候也是使用三层网络模型来设计的;三层网络模型一般需要配置那些协议呢?可运行DHCP 协议,可达到为 PC 主机动态分配 IP 地址;OSPF 开放式最短路径优先路由协议,这样可打通底层网络;配置 IS-IS 协议,它可以达到网络的快速收敛;VRRP虚拟路由冗余协议,用于到达网关具备冗余性;交换机端口类型有 hybrid、trunk、QinQ、Vlan-Mapping、access;ETH-trunk 技术,能增强链路的冗余性;STP 生成树协议用于二层解除环路;双点双向路由引入,它能实现两张路由表融合为一张路由表。

    公司 AA 的组网和 IP 地址资源规划

    某软件公司有三个站点,由 3 个路由器表示,核心 Route1,Rouer2,Rouer3。公司 AA 可以从备份的链路和主链路接入网络中。当主链路发生故障,马上切换到备份链路。当主链路数据正常转发时,所有业务都通过 Rouer1 发送出去,Rouer2 为替代网关使用。公司 AA 建立三个无线网络地址池,可以使用 OSPF 协议或者时静态路由协议。AS 内使用 IGP 协议的 OSPF 协议,使用私有地址即可,使用 NAT 技术需要在核心 Route1 和 Router3 路由器上部署,用来达到节省 IP地址资源,还具有一定的安全性。在节约成本 IP 地址资源时,可使用 VLSM 可变长子网掩码来进行对 IP 地址资源的划分。物理组网拓扑图如下图所示:

    在这里插入图片描述

    网络服务提供商分配了 180.11.1.104/29 网段,使用这网段划分为给这 2个地址划分 2 个 30 的掩码为。公司 AA 为分配了这个私网地址用于内部网络寻址:20.20.80.0/20。每个站点预期的用户数量分别时:为公司 BB 工作人员分配 210台主机;公司 BB 工作人员分配 1010 台主机;服务器分配 11 台主机;供公司 BB无线用户分配 230 台主机;需要使用 VLSM 可变长子网掩码技术来进行划分,因为可以节省 IP 地址的资源,可高效利用 IP 地址。网络设备包括交换机等设备,需要有 IPv4 地址,PC 主机的网关使用每个子网的第一个可用的地址即可;两个网络服务提供商的链路分配一个 30 位的子网掩码;内部网络使用 VLAN 技术也可哟进行通信,将有两个主机提供网络管理站进行使用。网络管理主机将使用核心Route1 管理可用地址。规划 IP 资源表格分别如 5.1 表、5.2 表、5.3 表所示:

    表5.1设备IP地址资源划分表
    Table 5.1 Device IP address Resource Planning

    子网掩码需求数量最大数量设备
    180.11.1.104255.255.255.25222主链路接
    180.11.1.108255.255.255.25222备份路接
    20.20.80.0255.255.252.010101022公司 AA
    20.20.84.0255.255.255.0210254公司 BB
    20.20.85.0255.255.255.0230254AP1、ARP2、AP3
    20.20.86.0255.255.255.2401114Server
    20.20.86.16255.255.255.25222Rouer 1
    20.20.86.20255.255.255.25222Rouer 2
    20.20.87.0255.255.255.25222AR3-AR1
    20.20.87.4255.255.255.25222AR2-AR1

    表5.2设备网关和IP地址范围
    Table 5.2 Device Gateway And IP Address Range

    名称IPv4 地址掩码网关地址
    公司 AA20.20.80.2-20.20.83.254255.255.252.020.20.80.1
    公司 BB20.20.84.2-20.20.84.254255.255.255.020.20.84.1
    无线20.20.85.2-20.20.85.254255.255.255.020.20.85.1
    Server20.20.86.2-20.20.86.14255.255.255.24020.20.86.1
    核心Router120.20.86.17-20.20.86.18255.255.255.25220.20.86.17
    Rouer320.20.86.21-20.20.86.22255.255.255.25220.20.86.21

    表5.3 设备接口IP地址表
    Table 5.3 Device Interface IP Address

    设备接口IPv4地址子网掩码
    ISPF0/0180.11.1.105255.255.255.252
    F0/1180.11.1.109255.255.255.252
    Loopback 20200.200.200.200255.255.255.255
    核心Route1F1/0180.1.1.106255.255.255.252
    S 1/0/020.20.87.1255.255.255.252
    S 1/0/120.20.87.5255.255.255.252
    SW2VLAN 20020.20.86.17255.255.255.252
    Rouer2S 1/0/120.20.87.2255.255.255.252
    F1/0.9020.20.80.1255.255.252.0
    F1/0.9420.20.84.1255.255.255.0
    F1/0.9520.20.84.1255.255.255.0
    F1/0.9620.20.86.1255.255.255.240
    F1/0.9920.20.86.2255.255.255.252
    Rouer3S 1/0/020.20.87.6255.255.255.252
    F1/0.9020.20.80.1255.255.252.0
    F1/0.9420.20.84.1255.255.255.0
    F1/0.9520.20.85.1255.255.255.0
    F1/0.9620.20.86.1255.255.255.240
    F1/0.9920.20.86.21255.255.255.252

    有分公司的企业

    公司 H 对公司 Y 进行收购,公司 Y 成为了公司 H 的分公司,公司 H 是总部,已达到相关部门的网络需求,现对公司网络进行一些调整,在公司 Y 原有的网络基础上实现某些的需求;向 ISP 网络服务提供商申请了二层专线实现总部与分部互访,ISP 网络服务提供商采用 VLAN 20 为此用户提供相关的服务;向 ISP 网络服务提供商申请了固定公网 200.1.1.1 的 IP 地址,为公司提供了 internet 访问的需求[7]。PC 主机与连接的交换机端口类型配置为 Access 端口;交换机与交换机之间的互联接口类型默认配置为 trunk 端口;所有接入此网络的 PC 主机的 IP信息通过总部的 DHCP 服务器获取相应的 IP 地址的;所有接入此网络的 PC 主机的网关部署在总部的 SW-1-1 交换机上;公司总部与公司分部的行政区域的内部用户需要进行互访。使用了 ACL 访问控制列表、NAT 网络地址转换技术、VLAN集合技术、MUX VLNA 技术、 QinQ 技术、VLAN-Mapping 高级技术、DHCP 协议、DHCP 中继 OSPF 协议等技术,公司 H 与公司 Y 的拓扑组网如下图所示:

    在这里插入图片描述

    方案测试

    对跨域虚拟专用网络-OptionC2 的 VP# 接入设备进行相应的测试,测试它的连通性。AR1、AE2、AR9、AR10 代表的是相应的模块,代表了公司 A、公司 B、公司 C、公司 D 的网络业务。让 AR1 去 PING 测 AR9,如下图所示:在这里插入图片描述
    由以上输出结果可知,已 PING 测通。

    让 AR10 去 PING 测 AR2,如下图所示:
    在这里插入图片描述
    由以上输出结果可知,已 PING 测通,说明 VPN-OptionC2 方案的连通性是全互通的。

    测试无线 AP 是否可用,测试它的连通性。主机的连接步骤如下图所示:

    在这里插入图片描述
    进行连接如下图所示:

    在这里插入图片描述

    STA1 PING 测 PC1;如下图所示:

    在这里插入图片描述
    已 PING 测通,说明无线 AP 是可用的,连通性已实现。

    对软件园区网的公司 H 对公司 Y 进行收购模块进行测试。PC5 PING 测172.168.200.254 (PC6);如下图所示:
    在这里插入图片描述

    PC6 通过 DCHP 获取 ip 地址,使用 ipconfig 获取 IP 地址;如下图所示:

    在这里插入图片描述

    通过以上输出结果可知,PING 测试已通。

    跑得快,不如跑得久,一时的输赢不代表永远的输赢,跑得久的人才有可能赢得最后的胜利。


    在这里插入图片描述
    好了这期就到这里了,如果你喜欢这篇文章的话,请点赞评论分享收藏,如果你还能点击关注,那真的是对我最大的鼓励。谢谢大家,下期见!

    展开全文
  • 首先,论文的题目是“中小型园区网的设计与实现”。在这个题目中,包含 了几个方面的要求。第一,网络规模是“中小型”,因此,论文中网络的规模不 能太小,我不希望最后的结果是用一个集线器或交换机连接了十几台或...
  • 4.2 企业网络设计理论; 4.3 企业网络主要技术 网络设计 5.1 物理链路设计; 5.2 接入层交换机部署; 5.3 划分子网; 5.4 划分vlan; 5.5 连接广域网 项目实现 6.1 企业办公区布线; ...
  • 思科园区网络设计

    千次阅读 2016-09-11 21:04:38
    园区设计模型:核心骨干网、园区网、数据中心、分支机构/WAN、Internet边界园区网:使终端用户能够从某一地理位置访问网络通信服务和网络资源;数据中心:通常用来存放计算机系统及相关组成部分的设备,又称服务器...
  • 智慧园区网络及安全防范解决方案V3.0 第PAGE 1页 智慧园区网络及安全防范 解 决 方 案 目录 TOC \o "1-3" \h \z \u 一园区网络安全现状分析 9 二园区网络安全建设需求分析 10 1企业间网络安全建设需求 10 2终端安全...
  • 中小型园区网络设计与实现 (三)

    万次阅读 多人点赞 2018-10-24 13:24:30
    Internet在全球的发展促成了企业网的形成,从20世纪90年代以来企业网络成为连接单位各部门并与外界交流信息的重要基础设施,基于局域网和广域网技术发展起来的企业网络技术得到迅速的发展。 我国中小企业数量已经...
  • 企业网络规划和设计方案(一)

    万次阅读 多人点赞 2018-07-04 01:01:57
    企业网络规划和设计方案 一.工程概况公司有一栋独立大楼,高4层,每层面积2000平方米。由研发技术部(成员60人,分成硬件(25)和软件(35)2大部门)、生产部(主要产品是手持电子产品,110人,管理人员10人)和...
  • 200人 500人规模园区设计(中小企业网络

    千次阅读 多人点赞 2020-05-02 11:11:32
    200人 500人规模园区网 一、设备选型(光口和电口的交换机,注意设备利旧) 二、技术需求 三、详细配置 STP Eth-trunk VLAN 网关 SVI DHCP 出口路由 NAT NAT 端口映射 ACL Telnet VLAN 修剪 拓扑配置文件 实验要求 ...
  • 计算机网络实验(园区设计与实施)

    千次阅读 多人点赞 2019-08-03 12:03:58
    《计算机网络》 一、设计任务 本任务模拟了一个企业网,该企业的组织架构如图1所示,企业总部设在上海,技术部和市场部分设在深圳和上海2个地方,各部门主机配置如表所示。 图1 公司组织架构图 在上海总部:...
  • 还有一般企业都有的后勤部门和财务部门等。公司管理层组成:董事会,1个总经理,3个副总经理。3个总监。 二.需求分析 用户需求 公司网络需求主要有以下几点: (1).1层为市场部和后勤部; 2层为生产部; 3层为研发...
  • Cisco Packet Tracer v7.0-中小型企业网络建设最终部署文件 与文章中小型企业网络建设-Cisco Packet Tracer v7.0思科网络模拟器实验练习(https://blog.csdn.net/weixin_39329758/article/details/90709777) 相对应,...
  • 完整实验报告。实现要求:在三层交换设备上产生两个VLAN对应两个部门,利用三层设备实现两部门间通信,内网与外部Internet的通信利用边界路由。外网Internet可以用R2来模拟。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,751
精华内容 1,900
关键字:

企业园区网络设计方案