数据中心网络建设方案

时间: 2016-07-01 14:15:40
来源: www.islandfam.com
点击: 19975

 

第一章 前言

数据中心作为企业的重要基础设施之一,作为企业信息化建设的支撑平台,对企业的科研和管理等方面将起着重要的作用。

数据中心网络建设项目是一项复杂的工程,需要结合企业的现状和未来发展的需要,企业内部IT服务对网络的要求,以及网络技术本身的发展趋势等诸多方面的因素来共同考虑,并结合完善周密的项目企划和实施,由各部门人员和专业的网络设计人员和企业项目组通力合作才可能成功地顺利完成本项目。其详细的技术设计和实施计划须从对业务的实际情况和未来长期发展的需求进行详细分析入手,包括对现有IT总体规划,关键业务应用的评估、分析及与业务运作相关需求的分析,因此其绝对不是一些空洞文件的堆积,而是一个融入我们双方心血的复杂的项目。将本着与友好合作关系的原则,在此参与本项目方案设计,其目的在于利用丰富的网络建设、规划经验和先进的网络设备,为提供一个整体解决方案,以通过有力的专业服务支持,协助实现宽带数据骨干网络的建设。我们希望在本项目及今后的具体物理结构设计与项目管理中,能够与贵校展开更加密切的诚挚合作。

 

第二章 设计原则与设计思想

第一节 项目总体目标及需要

设计的数据通信系统是一个以企业的应用驱动为基础的网络系统,企业的应用运作方式驱动着网络应用,而网络应用又驱动着专业的服务、网络管理以及网络的基础结构,在这个模型中,企业最为关心的是网络的应用。但是专业的服务、严谨的网络管理系统以及可靠的网络基础架构又是承载网络应用的基础。

1.1 需求分析

数据中心网络主要实现整个内部科研、交流和办公需要,全面提升整个企业信息化建设的整体水平,提升企业整体的科研、办公、管理效率。归纳起来企业网建设的需求主要有:

(1)实现企业网内部各楼层部门之间实现联网。

(2) 实现企业网内部所有用户的安全接入,保证整个企业网内部网络用户高速、安全接入,对一些非法用户进行拒绝。

(3)建立高速、安全、高效的网络基础支持平台,为实现“数字化企业”创造条件。

(4)实现企业管理系统现代化。

(5)实现企业系统多媒体化(包含VoIP系统的实现)。

1.2 网建设的总体目标在数据中心建设支持所有场所的计算机安全、高速、可靠互连;

实现企业网与中国移动、Internet(中国电信)、中国联通等的安全可靠互连;

实现企业网的网管系统,实现有效的配置管理、失效管理、安全管理、计费管理和性能管理;

数据中心网络作为信息系统的基础运行环境,建立基于高性能的多媒体企业系统和以信息交换、信息发布、查询、视频会议等应用为主的网络应用基础环境,为领导决策、日常行政管理、企业、科研提供先进的支持手段;

建立网络环境下的全单位办公自动化系统及各类管理信息系统,实现全单位各类信息的集中管理、处理及信息共享;

建立全单位Internet和Intranet应用,为全单位的信息获取和信息交流提供服务;

网络系统具有完善的安全保证体系结构,要有良好的安全保证能力;

企业网主要部分应能支持IPV6等下一代互联网标准;

 

第二节 项目总体设计原则

网络的可靠性

企业数据中心网络由于运行企业系统,需要保证网络的正常运行,不因网络的故障或变化引起企业的瞬间质量恶化甚至企业的中断这点十分重要。网络作为数据处理及转发中心,应充分考虑可靠性。

数据中心网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。

模块冗余考虑网络汇接点的主干设备和核心设备的所有关键模块和环境部件应具备1+1或1:N热备份的功能,所有模块具备热插拔的功能,当某一关键模块出现故障时,可由备份模块接替其功能;

设备冗余考虑在网络核心出口提供由两台设备组成一个虚拟路由设备的能力,如采用核心设备DCRS-9808启用VRRP路由协议,当其中一个设备因故障停止工作时,另一台设备自动接替其工作,并且不引起其他节点的路由表重新计算,从而提高网络的稳定性;

链路冗余考虑主干连接(计算机网络信息中心与各主干大楼之间的连接)具备可靠的线路冗余方式,根据业务信息量很大,充分考虑运营维护的工作量等因素, DCRS-9808满足数据中心级别的可靠性要求和企业网应用的灵活性要求。可自愈的系统设计,平滑软件加载功能实现无需重新启动交换机的系统升级功能;这种网络自愈特性应可以保证不会引起业务的瞬间质量恶化,更不会引起业务的中断,保障系统具备99.999%以上的可用性,保证设备每年停用时间不会超过5.36分钟;只有达到这样的指标,才能真正减轻网络中心维护工作量,给企业一个优质的信息网络空间。

 

网络的安全性

网络的发展趋势是基于Internet Web技术的开放网络化系统。这不仅带来了新的巨大的使用方便,同时也带来了不断增加的复杂应用及信息技术的挑战,因而安全是企业数据中心网络建设中要考虑的一个关键因素。

公司认为,网络安全在内容上主要应考虑以下5个方面:

身份鉴别与授权

身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪?”这两个问题,授权回答“你可以访问什么”。必须对身份机制谨慎部署,因为如果设施难以使用,即便是最严谨的安全策略也有可能被避开。

边界安全

边界安全涉及到防火墙种类的功能,决定网络的不同区域允许或拒绝何种业务,特别是在Internet和园区网之间或拨入网和园区网之间。

数据的保密性和完整性

数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据,而数据完整性指确保数据在传输过程中未被改动。

安全监测

为检验安全基础设施的有效性,应经常进行定期的安全审查,包括新系统安装检查,发现恶意入侵行为的措施,可能的特殊问题(拒绝业务攻击)以及对安全策略的全面遵守等方面。

策略管理

由于网络安全涉及到以上的多个方面,每一个方面都使用了多种产品和技术,对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。

在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。

 

网络的可扩展性

从我国企业系统信息系统的发展来看,目前用户数量以及应用系统的膨胀是必然的趋势,网络系统面临数据流量增大的压力,在设计企业系统信息网络时应充分考虑系统的可扩展性,从而保护网络系统投资。

网络的扩展能力包括设备交换容量的扩展能力、端口数量的扩展能力、主干带宽的扩展,以及网络规模的扩展能力。

交换容量扩展应具备在现有基础上继续扩充2-4倍容量的能力,以适应IP类业务急速膨胀的需求。设备的选型应充分考虑包转发能力以及数据交换能力。

端口密度扩展需要认真分析用户和应用系统的扩展可能性,在具备扩展可能性的信息节点配置高可扩展性的网络设备,满足网络扩容时对用户接入以及系统互联的需要。

主干设备应具备充足的接口,满足4-8倍甚至更高的带宽扩展能力,以适应IP类应用及业务急速膨胀的需求。

网络规模扩展需综合考虑网络体系结构、路由协议的规划和设备的CPU路由处理能力,应能满足网络扩容时对用户接入以及数据流量变化或增大时处理能力的需要。

核心万兆交换机DCRS-9808,提供12个插槽,其中8个位业务插槽,采用专为基于IP的通讯和关键性业务设计优化,可以提供不间断的、线速的、无阻塞的万兆或高密度千兆交换。

7.2T的背板带宽和高达1786Mpps的线速转发性能,保证网络核心大数据量交换机的需求;提供多种接入模块,满足企业网络多种应用需求;支持IPv6和L2 MPLS功能,满足企业网络的先进性需求。

 

先进性和成熟性

系统所有的组成要素均应充分地考虑其先进性。我们不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。

企业是网络技术应用的先行者,在的网络设计中,我们充分考虑企业网络设备对新技术标准的支持能力,例如:IPV6、MPLS VPN等技术的支持。对于企业网络中心,大数据交换量需求的场合,应该使核心交换机满足服务器的负载均衡功能,满足企业用户的大数据量通讯的需求。

作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构应在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。

 

网络的可管理性

随着网络中设备逐渐增多,网络技术日趋复杂,网络管理的重要性越来越明显——网络的复杂导致系统运行的不确定因素增加,可靠性降低,“宕机”时间变长且带来的损失越来越大,而往往由于平时对网管的忽略,缺乏受过专业培训的网络管理人员,也缺乏综合的网管解决方案,因而发生问题时无从下手,这才意识到网管的重要。作为一套考虑完善、可靠性要求极高的系统,当然不希望有“亡羊补牢”的情况发生,因此网络管理是网络设计必不可少的考虑因素之一,从设备本身操作系统所具备的一些网管功能,到简单的网络管理工具,甚而功能强大的大型管理系统,用户可根据自身的实际网络应用和资金安排,循序渐进,逐步实现全面网络管理功能。

 

兼容性和开放性

只有支持兼容性的系统,才能支持与其他开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应支持国际工业标准或事实上的标准,以便能和不同厂家的开放型产品在同一网络中同时共存;通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。

对于处于同一工作范围内的网络设备,要求硬件设备符合NEBS标准体系认证,保证运行设备不会对其他提供服务的设备造成负面影响,不会对人和环境造成伤害,降低火灾隐患。只有符合NEBS国际标准认证的核心网络设备,才能够满足以上的关键需求,符合的建设要求。

 

其他

在系统集成的设计过程中,决定性的因素还有很多,需要结合用户需求综合考虑。

例如,网络数据流量的估计是网络所需带宽的重要依据,以信息服务系统为例,其工作方式主要分为局域网内部工作站对网络服务器上的信息资源的访问和远程计算机对本局域网网络服务器上信息资源的访问两种。由于局域网内工作站对网络服务器的访问有可能造成网络最大的数据流量,使服务器和网络设备之间的连接成为系统瓶颈口,使网络发生拥塞,因此需要对这一数据流量进行一个大致的估计,以便按照估计在服务器和工作站之间配置容量相当的网络设备和通讯带宽。

遵从了如上的设计原则,选择技术先进,经济实用、适应性强、可靠性高、可扩展性好的设备,从而使系统具有较高的性能价格比,真正满足的应用需求。

 

第三节 项目总体设计思想

层次化设计

层次化设计方法可为网络带来以下三个优点:

可扩展性:因为网络可模块化增长而不会遇到问题;

简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易;

设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;

可管理性:层次结构使单个网络设备的配置的复杂性大大降低,更易管理。

要建设大型的、性能优良的、具有很强扩展能力和升级能力的综合网络,在设计中就必须采用层次化的网络设计原则。具体而言,核心主干层的主要作用是提供高速传输和路由最优化通信,汇接网络层主要完成网络流量的控制机制以使接入网络和核心层环境隔离开来,还应能对由用户接入层所区分开的不同优先级的应用加以区别对待,从而支持端到端的服务。

 

端到端的网络服务保障

企业网络根本的目标是服务全单位甚至与企业信息相关的所有公众,也是数据中心网络建设的根本目标之一,这就不仅仅需要在提供便宜的带宽方面下足功夫,而且更重要的是必须在更高层次上保证“网络运行品质”的五个方面:

端到端的网络实际运行性能

端到端的网络安全性可靠性

端到端的服务质量(QOS)保证

端到端的业务易实施性

端到端的网络可管理性

 

第三章 系统总体设计

网络系统的总体设计主要包括以下几大部分:

网络总体建设方案

网络互联拓扑图

系统可靠性和策略路由设计

路由协议规划(整个企业网内考虑)

无线局域网设计

数据中心网络安全性设计

远程异地办公的支持

数据中心产品备件和售后方案

人员培训方案

 

第一节 企业网络总体建设方案

1.1 总体方案描述

在本方案中我们采用了“自顶向下”的设计思想。自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之前,将重点放在应用、会话、数据的传输上。另外,我们还认为:“好的网络设计必需清楚客户的需求蕴涵着许多商业和技术的目标,包括可用性、可伸缩性、可购买性、安全性和可管理性等。”所以我们在设计网络系统的时候,尽量站在用户的角度考虑问题,以满足用户的应用需求和技术需求为指南。

本网络系统是一个大端口密度网络系统,是一个要求带宽较高、要求很高的安全性、支持用户数和应用种类较多的网络。在网络设计中我们采用先进的千兆位以太网和第三层交换设备作为骨干网络,同时考虑网络核心设备支持10G/100G以太网络,满足用户的未来升级需求。其总体架构为可扩展的10G/100G以太网骨干,在网络的汇聚层节点,设计采用模块化结构千兆位以太网路由交换机,并使用千兆位以太网连接接入层交换机和应用服务器,网络用户使用10/100/1000M交换到桌面的连接;在整个网络中可以根据实际需求划分VLAN,在网络中心的主干结点支持VLAN之间的线速路由。

1.2 网络拓扑设计

方案设计概要:

1.         采用内、外网物理隔离设计思路,保证内网(办公网)的应用安全不受外网(包含VoIP/无线/公寓区用户)影响;

2.         内网网络架构采用全冗余设计,全方位保障数据中心各办公业务系统对网络的安全、高效、稳定的要求;

3.         外网应用(包含VoIP/无线/公寓区用户)采用独立网络结构设计,既保证了各应用系统的性能,又充分考虑了系统的灵活可扩展性和性价比;

4.         外网用户对内网的访问将通过VPN+认证的方式保障网络应用的安全;

1.3 网络核心层设计

1.3.1 内网核心层设计

数据中心网络建成后将承载网页浏览、电子邮件服务,多媒体、远程办公、VOD点播、视频会议,监控,等多种应用系统,因此网络骨干需要具有较高的性能以保障上述各应用系统的顺畅运行, 充分考虑以上因素,设计企业网络采用双核心的方案,在核心机房内分别设计采用2台十万兆核心交换机,作为企业数据中心的核心交换机,2 台核心设备之间采用2个千兆链路通过链路聚合的方式实现两个核心之间4G全双工的通讯连接。每个核心交换机各通过一个千兆链路分别连接到两台防火墙,实现关键链路的冗余备份。 

1.3.2 外网核心层设计

外网核心交换机采用多业务万兆路由交换机。改交换机承担数据中心无线用户的接入、VoIP系统数据交换以及八楼公寓区用户的办公上网需求。

以业务智能化为核心理念的多业务万兆路由交换产品。该产品具备成熟的IPv6特性、线速MPLS L2/L3 VPN功能、多平面分离的高可靠性设计、高性能的L2/L3交换、丰富精细的QoS策略、强大的融合业务支持、整合安全特性,因此,它能帮助用户切实提升商务效率和业务竞争力。业务万兆路由交换产品可作为园区网、城域网的关键设备之一,它不仅能够降低用户构建下一代网络的复杂性,而且提供了很好的投资保护。

1.4 网络汇聚层设计

企业服务器群网络汇聚层在服务器群网络中一方面是核心层的网络元素,参与核心层网络路由设计;另一方面它又是联接接入层所有交换机的汇聚点;同时也是网络策略控制的中心。因此汇聚层的高可用性设计也要从这几方面考虑。

汇聚层以3层交换机对的形式来部署,实现设备级的冗余。可以利用链路聚合技术将汇聚层交换机对之间的端口和链路组合起来,实现高可用的高速互联。汇聚层交换机间可以通过2层主干链路连接,也可以使用3层交换启用路由协议。

从汇聚层到核心层的连接每台汇聚层交换机采用双链路连接到不同的核心层交换机实现上联链路冗余。针对核心层的连接使用3层交换,启用与核心层一致的快速收敛路由协议,并且进行等价多路径设置,实现链路负载均衡和提高路由收敛速度。

汇聚层是接入层所有交换机的汇聚点,当汇聚层与接入层交换机之间采用2层连接时可以使用VRRP、HSRP或GLBP实现网关的冗余备份和流量的负载分担。发生链路或节点故障时,收敛速度取决于缺省网关冗余与故障切换,通过合理地配置各种协议状态定时器,可以达到亚秒级的收敛速度。

根据以上分析,从数据中心网络的实际情况出发,我们设计采用3层网络结构,在服务器区采用两台万兆交换机作为汇聚交换机,汇聚间采用VRRP协议,实现双机互备,通过3层路由上联两台核心交换机。所有服务器采用双网卡方式,每网卡分别连接一台汇聚交换机,网卡通过软件捆绑,形成双链路冗余和负载均衡。

1.5 网络接入层设计

我们在企业网建设经验中发现,近两年内网络内部形形色色的网络攻击,给用户的应用及网络稳定造成了极大的威胁,尤其是ARP攻击,让用户一直很头疼,并且ARP攻击会经常性的出现不同的变种版本,让网络经常性的时断时续。智能安全接入交换机可以提供一套完整的动态防护ARP 等攻击方案。可以在接入层防范来自终端的诸多攻击,保证用户应用的稳定运行。

1.6 一站式安全出口设计

企业内所有员工都要通过企业网出口访问INTERNET,同时为保障整网出口的稳定,冗余性,一定是多个外网出口,因此要求企业网出口区域在多出口情况下具有较高的性能,可以使企业内部用户顺畅地通过不同出口访问外网而不产生瓶颈。因此,在数据中心的网络出口,部署了2台防火墙,防火墙专为大型企业网络中心网络而设计,功能强大、性能稳定卓越、抗拒绝服务攻击能力突出。外网出口部署一台全千兆多业务防火墙,以保障外网应用的安全。

1.7 按用户授权访问Internet

本方案中,我们采用的全千兆多业务防火墙实现对用户的访问控制。通过安全统一管理器可以实现企业网的访问外网管理,可以实现灵活的授权访问机制。

该方式具有如下特点:

超强的用户接入控制

    帐号的唯一性认证,防止多个用户共用一个帐号上网。

    针对不同的企业用户,开放不同的权限

    针对不同的IP 地址授权不同的访问外网的权限;比如:开放网页浏览服务等

    可以针对不同的用户开发或者关闭BT、电驴、QQ等应用服务

 

第二节 系统可靠性和路由设计

2.1 系统可靠性设计

2.1.1 冗余策略

实施目的:要建立可靠性为99.999%的局域网络。

局域网系统要求7x24小时不间断运行,因此对系统可靠性提出了很高的要求。系统可靠性由以下因素决定:

物理设备冗余设计

数据链路的逻辑备份

数据中心网络的物理冗余主要通过提供冗余设备和冗余链路来完成。在网络中,两台核心交换机均互为备份,关键业务交换机通过互为备份的双链路接入到两台核心交换机。通过SPANNING TREE及路由策略的灵活配置实现设备的负载均衡和冗余备份。

局域网常见的冗余策略

  (1)核心交换机物理冗余;

(2)核心交换机双电源冗余;

(3)接入层交换机采用双链路连接至局域网核心交换机,实现链路和设备冗余;

(4) 对于分布层和核心层采用路由策略实现设备和链路的热备份。

2.1.2 接入交换机冗余策略

实施目的:防止接入交换机单点故障造成网络瘫痪

本方案中,提供边缘设备接入局域网络的交换机故障将影响到所有连接到该交换机模块的边缘设备,在此最多可以影响达到24个用户。

为了保障网络运行的可靠,为提供1小时相应的备机更换政策。

2.2 策略路由

实施目的:根据用户类别、业务类别进行路由选径及分流

一般路由不管是透过RIP、OSPF、BGP,还是MPLS标记协议,多是由目的地址来决定路由路径,因此无法对网络流量进行有效分流,或是对网络流量制定策略。然而,策略路由能力在现今多样化的网络环境中有时是必要的功能之一。在企业网中,作为企业研究的用户必须被连接到中国移动的网络出口,而宿舍网络的用户则通常被导引到CHINANET的出口,如此分流才不致影响到企业网的科研性能,同时经由适当的分流,高速/低速出口均能分配到相应的流量,从而使得带宽的应用得到有效分配。

想要达到这种分流的效果,一般路由是无法做到的,唯有透过策略路由(PBR),将源地址进行分类,并且制定其下一跳出口的IP地址才能达成。而这也是策略路由有别于一般路由之处:基于源地址信息执行路由选径,而不基于目的地址信息执行路由选径。策略路由能做的不仅是依用户的类别进行路由选径及分流,更进一步,它也可以做到依业务的类别来指定路由或分流。 跟ACL一样,在需要策略路由的网络设备上,不但要有完整而多样化的策略路由支持功能,同时必须强调有硬件处理能力,才能在启动的同时,仍然享有三层交换线速转发的能力。

        

2.3 IP路由选择

实施对象:汇聚层交换机

实施目的:交换路由信息;方便网管人员的网络路由管理

三层可路由交换机支持丰富的路由协议,RIP、 OSPF静态路由等常用路由协议,可以实现和其他品牌的路由交换机的路由协议兼容。

建议在网络建设实施过程中,在网络的核心和汇聚层的路由交换机上面应用OSPF动态路由协议,该协议具有收敛速度快、网络响应速度快等多种优点,非常适应类似于这样的网络规模上面使用。

在接入层和汇聚层之间,由于接入层设备变化频繁,为了避免接入层设备宕机造成网络核心的路由震荡,建议在汇聚层和接入层设备之间部署静态路由,方便企业的网络管理。

 

第三节 数据中心网络安全设计

企业网信息系统通过企业网信息的共享、交流、协作,使企业网的管理活动成为企业网的增值过程:通过该系统实现政府在政治、经济、社会、生活等领域的管理服务职能;实现政府决策信息的发布与存取,支持决策活动:实现办公业务信息交流和交互式处理,支持企业网执行活动,以完成企业网活动的全过程。然而,企业网信息系统功能的发挥,是建立在系统安全、有效的基础上的,企业网信息系统的安全是实现系统功能的关键所在。《国家信息化领导小组关于我国企业网建设指导意见》(17号文件)明确指出建立企业网网络和信息安全保障体系是企业网建设的主要目标和任务之一。避免造成“只搭网,无安全;修了路,不敢跑车”的局面。因此,在企业网建设中,必须把解决信息安全问题作为一项重点工作。

3.1企业网面临的安全威胁

在计算机网络中,安全威胁来自各方面,甚至有些是由于我们自身的失误而产生的。影响、危害计算机网络安全的因素分自然和人为两类。自然因素包括温度、湿度、灰尘、雷击、静电、水灾、火灾、地震,空气污染和设备故障等因素,人为因素又有无意和故意之分,例如由于误操作删除了数据的疏忽和过失,而人为故意的破坏如黑客行为。由于网络存储和流动着许多高度机密数据和电子财富,这早已是各类间谍及黑客窥测和行动的目标。

就我们所讨论的范围来说,影响网络安全的因素有四类:黑客、病毒、合法人员的失误,以及网络系统自身的脆弱性,细分起来,目前网络存在的威胁主要表现在以下几个方面:

(1)合法人员自身的因素,在一个安全设计充分的网络中,人为因素造成的安全漏洞无疑是整个网络安全性的最大隐患。

网络管理员或网络用户都拥有相应的权限,利用这些权限破坏网络安全的隐患也是存在的。如操作口令被泄露,磁盘上的机密文件被人利用及未将临时文件删除导致重要信息被窃取,都可能使网络安全机制形同虚设,从内部遭受严重破坏。

(2) 非授权访问

没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

(3)信息泄漏或丢失

指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。

(4)破坏数据完整性

以非法手段窃得对数据的使用权,删除、修改、插入或重某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。

(5)拒绝服务攻击

它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子函件炸弹”。它的表现形式是用户在很短的时间内收到大量垃圾电子函件,从而影响正常业务的运行。严重时会使系统关机、网络瘫痪,“信息炸弹”的攻击更具威慑力,信息炸弹一旦爆炸,就会引起网络系统瘫痪。        

(6)利用网络传播的病毒

计算机病毒被发现十多年来,其种类以几何级数在增涨,受害的计算机数量每年增加一倍,很多病毒的泛滥还带来了灾难性的后果。同时,病毒机理和变种不断演变,并通过网络快速地广泛传播,比如,病毒可以通过电子函件、软件下载、文件服务器、防火墙等侵入网络内部,传输介质可以是光纤,电缆或电话线。它们动辄删除、修改文件,导致程序运行错误、死机,甚至于毁坏硬件。人们虽然对于在单机环境中的病毒防治取得了很大成绩。但计算机网络无疑为病毒防治工作提出了新的挑战。网络的普及为病毒检测与消除带来很大的难度,使病毒的破坏性大大高于单机系统,而且用户很难防范,成为计算机及其网络安全发展的又一大公害。

(7)网络系统固有的脆弱性

Internet从建设伊始就缺乏安全的总体构想,因而充满了安全隐患和固有的安全缺陷。例如,Internet所依赖的TCP/IP协议本身就很不安全。

IP层协议的安全缺陷包括:

¨     应用层协议Telnet,FTP、SMT等协议缺乏认证和保密措施;

¨     依靠软件配置IP地址,造成地址假冒和地址欺骗;

¨     IP协议支持源路由方式,即源点可以指定信息包括送到目的节点的中间路由,提供了源路由攻击的条件。

(8)传输线路的安全与质量

尽管在同轴电缆、微波或卫星通信中要窃听其中指定一路的信息是很困难的,但是从安全的角度来说,没有绝对安全的通信线路。无论采用何种传输线路,当线路的通信质量不好时,将直接影响联网效果,严重的时候甚至导致网络中断。例如市内电话线路,主要电气指标有直流电气性能指标(环阻、绝缘电阻);交流特征(线路衰耗、线路衰耗交流频率特征);交流特性阻抗等。当通信线路中断,计算机网络也就中断,这还比较明显。而当线路时通时断,线路衰耗大或串杂音严重时,问题就不那么明显,但是对通信网络的影响却是相当大,可能会严重地危害通信数据的完整性。

3.2 针对企业网的安全设计

通过上述分析我们认为与本次数据中心内、外网系统建设过程中涉及到路由交换平台部分相关的安全漏洞主要存在于(5)、(6)两条,下面是网络公司解决方案针对这两条的措施。

我们认为,要彻底根治(5)、(6)两条问题,除了加强设备自身的安全性以及抗击病毒能力还远远不够,必须将这些问题隔离在用户PC上并且在出现苗头以前必须能够发现问题,也就所谓的安全接入的全新理念。

3.2.1防火墙

根据企业网络的现状,我们选择配置了多业务全千兆防火墙设备,可以有效防止DDOS等各种安全问题,具体参见安全统一威胁管理器功能描述。

3.2.2骨干网防DDOS攻击

我们知道,针对外部INTERNET上的黑客用户攻击内部用户或者资源,我们可以通过防火墙、IDS等网络设备进行防范,但是对于内部用户攻击内部的一些业务相关的重要服务器我们就束手无策了,或者尽管服务器前面配置了防火墙但是DDOS攻击会将连接防火墙的带宽消耗殆尽,尤其是现在内部局域网网络带宽普遍比较高,而各种黑客小程序,如DDOS、DOS等拒绝服务攻击小程序更是可以从INTERNET上唾手可得。

3.2.3 全网防病毒设计

为了防止日益猖獗的冲击波、振荡波病毒或者以后类似变种及新型病毒对网络造成的严重影响,尤其是这类病毒可以导致三层交换机处于瘫痪状态(CPU利用率100%),大大影响了交通系统正常的业务应用,导致非常严重的损失。

为了防患于未然,我们建议在整个企业网内、网络出口的各个层次进行访问控制,

3.2.4 全网安全接入控制

为了防止一些别有用心的人通过这些公共途径连接到企业网内、外网系统内部的网络信息,从而进一步对内部网络进行攻击,我们建议使用动态路由协议认证技术,只有具有相同认证Password的路由器,才能够进行正常的网络动态路由学习,否则即使将非法的路由器接入到网络中来,也不能够通过动态路由协议得到内部网络路由信息。

为了保证整个平台的稳定、可靠性,我们不仅需要从网络设备本身下功夫,如在核心交换机上配置冗余电源、管理引擎等,还需要从很多地方如OSPF协议的MD5加密、全网的ACL、端口限速等多个方面着手控制,但是仅仅这些还是不行的,我们需要借助电信等运营商的技术对于接入网络的用户进行控制,对于这些接入用户可以进行实时的控制,并且还可以有效地防止用户使用BT下载消耗Internet出口资源、防止用户冒用别人的IP/MAC进行对于企业网内、外网系统或者相关资源进行破坏活动等。

这就是基于802.1X的企业网安全接入解决方案DCSM-A系统,一种采用集中式管理,同时进行分布式安全域部署实现安全通信、全面用户行为精细管理的解决方案:

对在线用户的短消息通知,用户名/用户IP/用户MAC的各种反查功能。

对上线用户基于策略的VLAN授权控制,内外网访问带控制,防代理、防IP地址盗用、防MAC地址盗用、防非法DHCP Server等。

各种绑定和绑定列表控制功能,上网时段控制功能。

对在线用户的网络病毒检测告警/隔离功能:冲击波病毒、震荡波病毒、发包速度异常、收发包比例失调(网络扫描)等进行实时检测并进行告警,管理员可以将用户隔离,同时禁止有毒用户进网。

DCSM通过五个统一、十个一体化几乎能够解决当前企业在安全管理与身份认证方面所遇到的所有问题。

五个统一、十个一体化内容如下:

blob.png

    Web和802.1x一体化的价值

通过认证计费管理平台实现Web和802.1x一体化,可以方便的与接入交换机及出口网关设备相互通,对不同的区域可以根据企业需要采用不同的认证管理方式,例如对于来宾区采用控制力比较强的802.1x认证方式,在接入端实现终端多元素绑定,对于办公区域,可以采用灵活方便的Web Portal的认证方式。

    准入和准出一体化的价值

通过认证计费管理平台实现准入和准出一体化,企业用户只需要1套帐号密码,经过1次认证就可以实现访问内外网的需求,同时也可以实现内网访问只认证不计费,外网访问计费的方式。通过认证平台与出口流控设备的互动,可以实现非常灵活的计费方式,不仅可以按照上网时长计费,也可以根据流量计费或根据带宽计费。   

    有线和无线一体化的价值

企业网同时具备有线网络和无线网络接入能力,通过有线无线一体化,可以避免有线、无线使用不同的认证计费平台,进而提升用户的上网体验效果,无论用户采用有线方式还是无线方式上网,都可以通过统一的认证计费平台来进行认证、计费、管理,即减少了网络投资,又方便管理。

    IPv4/IPv6一体化的价值

新建设企业网同时承载IPv4和IPv6协议。认证计费管理平台需要同时支持IPv4与IPv6,管理员可以很方便的看到用户的IPv4与IPv6方面的相关信息,方便管理,通过IPv4与IPv6的统一认证,也增强了IPv6方面的网络安全,避免IPv6用户可以不经过认证就能接入网络。

    私有、标准一体化的价值

由于企业网建设周期较长,且设备经常需要升级,这就造成了企业网的建设几乎不可能至始至终都使用同一厂家的设备,这就需要认证计费管理平台能够与不同厂商的接入交换机之间实现互通,实现接入端802.1x统一认证,无论接入端使用的是哪家主流厂商的接入交换机都要求认证计费管理平台能与之互通,实现终端802.1x认证,并且可以实现一些诸如多元素绑定、即时消息、强制下线等等一些特色功能。

    身份认证、安全管理一体化的价值

身份认证管理平台集认证计费与安全管理于一身,不仅可以实现基于用户名、密码的认证,也可以通过与客户端软件的配合实现主机的安全性检查,保证只有安全的终端才可以接入网络,接入网络后,也可以防止客户端私改IP、MAC,避免ARP相关网络攻击。

    身份管理、带宽管理一体化的价值

通过认证管理平台与企业网出口流控设备相互动,可以实现身份认证、带宽管理一体化,流控设备可以根据具体的用户来设置策略,可以根据具体用户来分配带宽资源,也可以根据用户群组来分配带宽资源,对不同的用户群组可以设置不同的策略。

    网元管理、服务管理一体化的价值

认证管理平台不仅可以实现网元管理,还可以实现易用的用户自服务的管理,方便实现用户业务办理、修改信息、查询信息、帐单导出、问题保修等服务。

    实名审计、舆情监控一体化

通过认证计费管理平台与上网行为审计系统互动,可以在上网行为审计系统上实现基于实名的审计,而不是传统的基于IP的审计,同时可以实现实时的舆情监控,民意调查功能。

3.2.5 802.1X融合统一认证计费方案

blob.png

l 组网说明

需要部署支持802.1x的接入交换机,负责用户的接入认证数据,其中,对于非品牌的接入交换机,只需要支持标准802.1x即可;内网部署DCSM作为AAA统一管理中心,进行统一开户、配置计费策略、用户帐号的绑定控制等;

DCSM接收来自802.1x的接入交换机的认证和计费数据,用户的流量不经过DCSM;可采用两台DCSM,以主备方式组网,保证整个网络的核心稳定运行。

2  方案特点

多厂家设备融合统一认证计费

有线无线集成化客户端,在实现有线无线统一身份认证的同时,还解决了长时间困扰用户的多厂家设备同时存在时无法实现统一认证的问题,由于高校企业网建设周期较长,在不同的阶段由于不同的需求可能采用不同厂家的设备,目前的802.1x认证,各厂家均是采用私有认证,在终端设备上必须安装各厂家独有的私有客户端才能与其接入交换机、认证计费系统互动,实现私有802.1x认证,这种私有认证对接入设备的依赖性很强,不便于后续的应用扩展,有线无线集成化客户端,配合DCSM统一身份认证平台,无论接入设备是否是的产品,只要支持标准的802.1x协议即可,在客户端安装有线无线集成化客户端,就可以与DCSM认证平台互动,实现私有802.1x认证,实现即时消息通知、IP地址上传、强制下线以及keep alive等功能。

接入控制安全可靠:

功能强大的安全接入管理功能:不仅可实现认证的绑定、防代理上网,更可以实现基于安全交换机的ACL转发控制功能,从而防止内网中假冒地址等方式的攻击、扫描、ARP病毒、冲击波病毒等对网络造成的影响。

通过对网络的扫描,DCSM可以实时动态地发现网络的情况,确定网络中是否有各种各样问题,并且实时发现网络中的终端、服务器和网络设备。即使在终端启用防止ping的个人防火墙的情况下,DCSM仍然可以通过其它的方式发现这些终端并获得这些终端的配置信息。这对于动态了解网络中的情况变化发现网络中存在的问题、IP地址管理、终端的资产管理提供了技术手段。

对于终端,可实现如下交互操作:

√ 阻断与强制下线

√ 信息收集

√ 强制补丁升级

√ 强制客户端升级

√ 与瑞星等防病毒软件实现联动,保证上网前的客户机的安全性

√ 发送实时消息

√ 启动与停止用户主机中的软件进程等

灵活的认证计费

预付费业务(功能强大,强调费用用光后的实时强制断线功能),后付费业务(很少人用)。精确的流量计费,精确的时长计费。包天、包月计费;支持用户上网的时段控制,可在某些时间段内禁止用户上网。基于授权组的管理策略:可通过授权组功能实现对用户、用户组实现带宽、VLAN等的灵活授权功能。

轻松的网络管理

支持对用户的强制下线管理。防代理,防上网后IP地址篡改,防启用非法DHCP Server;基于用户组的用户管理。支持开户模板方式;用户web自注册开户功能,节省管理员输入大量用户信息的工作量。用户web自修改计费策略功能,用户可通过web自服务来自己修改管理允许的计费策略

3.2.6 Web准入认证计费方案

     blob.png

l    原理机制

接入交换机将未认证用户的HTTP请求重定向至Portal Server

用户得到认证界面,提交用户名和密码进行认证,

Portal Server获得用户提交的用户名和密码,连同用户的其它接入特征信息(包括接入交换机IP、接入交换机端口、接入交换机Vlan、用户IP地址、用户MAC)等送给DCSM服务器校验

DCSM根据接入审查策略、计费策略等一系列判断后通知Portal Server校验结果

Portal Server根据校验结果通知交换机方向或阻断,并通知用户校验结果

用户在认证成功后转到保活页面,并可以访问网络。

2  方案特点

  可控

WEB身份准入认证方案,同样基于Dot1x的安全设计思想,在最接近用户的层面即用户连接网络的接入端口启用认证,确保只有合法用户才能访问网络,将非法用户屏蔽在网络之外。

WEB身份准入认证方案,在用户身份绑定方面完全继承Dot1x的安全控制方法,可以不仅仅实现用户名和密码的简单校验,也可以实现接入交换机IP+接入交换机端口+接入端口所在Vlan+用户IP+用户MAC实现六元组的绑定检查,确保合法用户在合法信息点使用合法IP通过合法终端才能接入网络,实现高度的安全管理控制。

WEB身份认证方式,对于庞大的Windows用户,可以通过ActiveX控件方式进一步增强终端安全检查,杜绝没有安装关键操作系统补丁、没有安装指定杀毒软件的终端接入网络,强制用户提升安全意识、及时实施终端安全加固。

可信

通过WEB认证,确保接入网络的用户身份可信,通过用户身份可信确保用户的IP可信,通过IP可信确保用户行为不可抵赖性。让一切可追查到IP的审计均可以追查到最终用户,对蓄意非法的网络攻击和破坏行为具有强大的威慑作用。

配合上网行为审计系统,实现基于用户的行为审计和网络行为告警管控联动,对用户非法网络行为实施有效监控和管理。

易用

传统Dot1x认证方式涉及到认证客户端的下发、部署、安装、配置,这不仅增加了维护工作,也使得网络可用性大大降低,再者,客户端固有的操作系统兼容性等问题导致企业网准入认证技术得不到有效实施,致使部分高校用户放弃了企业网安全接入控制。

WEB身份准入认证技术,不使用客户端,通过操作系统自带的浏览器即可实现准入认证,不仅方便最终用户使用,也解决了Dot1x客户端认证固有的各种问题。

WEB身份准入认证技术,降低准入控制的实施难度和推广难度,提升了准入控制技术的可用性,将会进一步促进身份准入认证安全措施的实施。

融合

接入交换机可以同时支持WEB准入认证与Dot1x准入认证,配合DCSM系统可以管控不同用户在不同区域使用不同认证方式,即同一账号在不同区域可以使用不同的认证方式,不同身份账号在同一区域使用不同的认证方式,从而实现灵活的管理和控制。

接入交换机在实施Dot1x或WEB认证的同时可以防止并阻断ARP欺骗、恶意ARP扫描、私设DHCP Server等非法网络行为。

接入交换机在实施Dot1x或WEB认证的同时,允许用户不认证或无法认证情况下访问指定的公共资源,例如DCSM自主助系统、WSUS服务器、防病毒服务器等等,从而让企业网的资源得到合理有效利用。

内网安全接入、外网灵活计费。WEB身份准入技术解决了企业网安全接入技术层面的问题,但不应该让校内安全接入与访问校外的互联网计费运营混淆,否则就成了内网认证即收费,既不利于企业网身份准入的实施也不利于企业网正常收费运营业务的开展。配合交换机WEB身份准入认证,提供WEB二次转一次认证技术:一次认证依次通过接入交换机和外网计费网关,实现内网安全接入、外网灵活计费的安全接入运营管理。

内网安全接入、外网基于用户的应用控制和速率控制。网络准入、网络运营需求解决后,还需要考虑提升出口带宽资源的合理有效应用、实施灵活的应用控制,这与网络准入关系密切,因为这三者均是基于用户身份而言,也只有基于用户身份而言才合理、流量和应用控制才能有效部署。配合流量整形与用户接入管理DCFS系列网关的配合,实现基于用户的安全准入控制、速率和应用管理、网络运营管理,促进企业网更安全、更可控、更高效,让企业网更好地为师生服务。

DCSM系统可以实现与AD域、LDAP实施统一身份认证,只要使用一个用户名和密码即可实现网络层面的准入认证和应用系统的准入认证,配合数字企业建设,实现统一身份管理。

 

3.3 VLAN设置方案

VLAN在逻辑上等价于广播域。更具体的说,我们可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理LAN上,但他们之间可以象在同一个LAN上那样自由通信而不受物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。

在网络设计中,作为企业和办公的核心网络设备,根据具体需要划分多个VLAN,其中ADMIN作为设备管理用VLAN.这样可以对这些不同VLAN之间的通讯进行控制,这样既可以节约成本,又可以保障重要网段的安全,同时减少广播和冲突,提高系统的可用性。

在接入层交换机与分布层交换机之间采用802.1Q作为VLAN的传输协议。

根据目前的应用需求,在网络实施前期按照需求,配置网络的VLAN。

3.4 系统防病毒安全策略

近年来网络病毒日益严重,为了网络的安全运行,迫切需要一个行之有效的防治病毒的解决方案。

通过分析目前防病毒软件发展的趋势可以知道,集中管理的网络防病毒系统使用效果最好。如果在网络环境中使用单机防毒程序,每一工作站的使用者依个人的喜好自行设定管理软件,设定并无一致性。部分使用者可能会移除或是关闭在他们计算机上执行的防毒软件,使他们的工作站无法受到保护。除此之外,运用病毒特征比对技术的防毒软件必须依赖最新的病毒码档案始能有效的发挥功用,需要不断的升级和更新特征文件和软件内核,以应对新产生的各类病毒。

对于一个大型网络来说,部署的防毒系统将十分复杂和庞大。尤其在各网点在地域上分离的情况下,通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护显得十分重要。这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。

有效的企业网络环境防毒策略必须顾及以下几个层面,防护网络环境中病毒主要的入侵点:

1.客户端:在每个用户的PC平台上,都必须具有相应的防病毒软件进行安装防范。

2.服务器端:网络中还存在大量的PC服务器如文件服务器、应用服务器等等。用户在日常工作时会经常同这些服务器进行文件传输等工作,也就形成了另外一种病毒的传播途径。这些服务器也需要安装相应的防病毒软件。

3. 网关:网关是隔离内部网络和外部网络的设备如防火墙、代理服务器等。在网关级别进行病毒防范可以起到对外部网络中病毒进行隔离的作用。

4. 邮件服务器:电子邮件目前已经成为病毒传播的重要途径。对邮件服务器进行集中邮件病毒防范是非常有意义的。一个好的邮件或群件病毒防范系统可以很好地和服务器的邮件传输机制结合在一起,完成在服务器上对病毒的清除工作。另外,由于目前邮件病毒的传输方式已经从以前的单纯附件携带方式扩展为内容携带方式,所以一个好的邮件防病毒系统应该具有清除邮件正文中的病毒的能力。

5. 于的SMTP对外网关处,建议使用邮件网关级防病毒设备,用来过滤每一封进出公司网络的e-mail 与其所夹带的每一个附件,核对是否符合所设定的政策。

6. 此外,在的环境中建议采用集中管理的网络防病毒系统。通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护。这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。

3.5 防火墙安全控制策略

在数据中心的网络出口,部署了2台防火墙,防火墙专为中型企业网络中心网络而设计,功能强大、性能稳定卓越、抗拒绝服务攻击能力突出。防火墙专为具有复杂网络结构的中型企业用户而设计,配备16个10/100/1000M自适应以太网端口,8个SFP 千兆光口,提供了复杂网络多子网之间的安全控制方案。在网络中,存在着以千兆网络接口存在的服务器,而防火墙多端口的特点,不仅可以直接对大量网络服务器进行接入,并且可以有效的划分不同安全区域,根除服务器之间的被跳板入侵等的安全隐患。在保护网络安全的同时还降低了成本。设备采用64位多核多线程处理器芯片和高速交换总线技术,实现了芯片级的VPN、QoS流量管理等功能的硬件加速性能,避免了传统ASIC和NP安全系统新建连接能力和流量控制能力弱的弊病。

主要特性

最具性价比的安全网关

基于高性能多核多线程处理器的硬件芯片级解决方案

支持多接口链路负载均衡,支持端口备份,提供链路优先选择

具有自主知识产权的64位高安全操作系统

芯片级硬件加速深度包检测、IPSEC VPN、SSL VPN等功能模块

支持USB KEY双因素身份认证登陆SSL VPN

支持P2P(BT、eMule,迅雷等)应用控制,提供高速硬件对关键应用的颗粒度为1kbps的QOS支持,支持网游优化

支持应用层安全防护,支持JavaApplet,Active-X、URL过滤等功能

极低的设备功耗(45W),节约用户能源成本

支持ARP防护客户端,全面防御基于ARP的病毒及攻击

支持SNMPV1 V2,支持OSPF协议封装

部署灵活,维护方便、易于管理

3.6 其他安全策略

(1)实行对网络路由的安全控制和分布

利用‘路由过滤–RoutingFiltering'技术,限制某些网段的路由往其它网段发布,使路由信息只是传输到合适的网络范围,提供网络访问的安全控制。

(2)对网络路由协议做MD5的认证

为了防止一些别有用心的人通过这些公共途径连接到数据中心内部的网络信息,从而进一步对内部的网络进行攻击,我们建议使用动态路由协议认证技术,只有具有相同认证Password的路由器,才能够进行正常的网络动态路由学习,否则即使将非法的路由器接入到网络中来,也不能够通过动态路由协议得到内部的网络路由信息。

 

第四节 网络管理

针对网络用户集中的特点,我们提出基于LinkManager5.0 NM系统管理方案。

信息网络的网络管理是网络建设的重要内容,是保证局域网系统正常运行的前提。网络管理不但需要先进、实用的技术支持手段,对大型网络而言,更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成,界定并实现网络管理是网管设计的主要内容。

在当前环境下,用户要求网络管理越来越简单便捷,总结如下:

中文界面,操作简单,在线帮助:降低网管人员操作难度,提高管理效率;

真正实现全网管理:消灭网络盲点,全网状况尽在掌握;

故障区分、准确定位以及故障处理:问题及时发现并能快速响应,减少用户损失;

集中或者分布式网管适合不同的网络结构,满足不同管理方式;

智能配置全网QoS(服务质量)策略:实现端到端用户和应用的服务质量保证,网络中存在多种业务模式,并确保关键用户、关键业务的网络质量;

性能管理,安全管理等也都是用户关心的基本网络管理问题。

业界已有的网络管理系统平台有HP Openview、IBM Tivoli、CA TNG等,这些网管系统都是主要面向全球所有计算机网络而开发,强调功能性较多,但是,对于中国运营商用户业务特点涉及较少。

立足中国市场,提供符合中国运营商宽带城域网使用特点的设备/网元级的网络管理系统。

  l     网络管理系统——LinkManager

LinkManager系列网络管理系统具有:

1.1识别所有SNMP设备,具有同时管理不同厂商设备的潜力;

1.2集成分布式网络管理和集中式网络管理的优势特性;

1.3提供尽可能多的网络状态信息;

1.4中文管理界面;

1.5易于操作;

1.6可以不依赖昂贵的网络管理平台;

1.7实现网络设备管理、用户管理的完美统一,同时对网络管理、网络流量计费系统也实现了完美的统一。

blob.png

               图1  集中式管理模式

 

4.1  网络管理规划特点


(1)采用LinkManager网络管理系统;

(2)全部的状态信息汇集至一台网管工作站;

(3)适合应用服务集中的模式。

 

LinkManager宽带网络管理系统是一套基于Windows NT平台的高度集成、功能较完善、实用性强、方便易用的宽带网络管理系统。它是根据中国宽带网络运营商用户的实际需求,结合ISO网络管理模型的五大功能域的架构,自主研发出来的一套具有自有知识产权的宽带网管系统。

在配合宽带网络运营商需求方面,LinkManager在系统级及设备级专为宽带网络运营管理员设计了用户管理,其实质是将宽带网络强调的用户隔离、信息点管理等理念与实现宽带接入的二、三层交换机设备的管理无缝地糅合在一起,通过提供一键隔离、更新用户记录、反常用户监控、用户开通情况统计、自动交费检查、自动MAC地址学习、远程配置等功能,达到简化操作、强化管理的目的。

在进行设备管理时,LinkManager具有既面向指定设备,又支持通用网络设备的“垂直+水平”的管理特性。它能够对推出的具有SNMP功能的网络设备提供齐全的设备管理和功能管理,同时也能够良好地支持其他任何具有通用SNMP功能的网络设备,提供整个网络的拓扑结构和常用网络管理信息。

 

4.2  网管系统主要特性

LinkManager NM是基于多年开发与服务经验,推出的一款新一代综合性网络管理软件。LinkManager NM以易用、实用、够用为开发原则,定位于对网络和业务应用实施深入而全面的监控,把网络拓扑发现、资源管理、设备管理、终端管理、性能管理、故障分析、异常流量监测、服务器管理、数据库管理、WEB监控等融为一体。

LinkManager NM通过可视化、仪表化、智能化的网络导航管理模式,将复杂的网络管理工作简单化、人性化,让网管软件带动用户来熟悉与掌控自己的网络,大大降低了用户技术入门的门槛,助广大网管人员轻松驾驭网络。

系统功能: 

网络拓扑发现  网络异常监测  终端合法性监控  服务器管理  

业务应用管理  网络链路管理  统计报表

系统特点:

即开即用(Out Of The Box):NM可即开即用,安装简便,无需用户再额外查阅手册。

一站式导航(One-Stop Navigation):NM的导航系统可以引导用户一步到位地建立起网络管理的全局体系。

blob.png

智能化(Intelligence):自动发现网络及其承载的服务,自动配置监控对象及性能阀值,自动分析故障并发出告警。

多维度(Multi-Dimension):从路由、设备、终端、流量、故障等方面多角度、细颗粒度地监控、管理网络。

全局观(Overview):以Portal的方式展现,帮助网络管理人员一目了然地掌控网络的运行全局。

宽屏化 (Widescreen):国内首款宽屏设计,便于更多信息的集中显示。

个性化 (Personality):用户可根据需要建立起自己的特色网络管理中心,并配制个性化的监控界面。

 

主要功能:

1.         网络拓扑发现

自动、准确、及时地发现各类大型网络的拓扑结构。拓扑发现准备是LinkManager NM相对于其他产品的优点。并且可根据管理员设置自动完成更新。拓扑呈现直观,展现界面可自定义。

blob.png

2.         网络运行状况监测

持续监视、报告网络的运行情况,发现异常及时告警。

blob.png 

(1) 设备故障与链路阻断告警

(2) 设备与链路性能告警

(3) 异常流量告警,如ARP病毒爆发、BT下载等

3.         终端合法性监控

NM内置有合法性监测引擎设备,能在不额外消耗网络带宽的情况下,自动监测网内终端设备的基本属性(IP地址、MAC地址、主机名、连接的交换机端口等),提供面向终端的安全性、活跃度、流量管理,并且可通过多种安全策略,阻断非法终端接入。
 blob.png

4.         服务器管理

监测方式多样,如SSH(远程登录)、Agent、SNMP等;监测的服务器包括Windows、Linux、HP-UX、AIX、Solaris等分类呈现监控结果,重点突出。

blob.png

5.         业务应用管理

深入监测Oracle数据库、WEB服务、Email服务等业务应用,展现其运行健康度。

blob.png

 

6.         网络链路管理

从业务角度对网络重要链路进行监测和分析,对链路的通断、负荷、健康度进行评估;自动跟踪链路的通断,并对链路的SLA进行管理。

blob.png

7.         统计报表

NM为用户提供了性能、告警、状态、资源等统计和分析报表,帮助用户轻松地、多角度地掌控IT资源的运行全局。


blob.png

 blob.png

 

第五节 无线局域网设计

无线局域网,就是通过无线局域网(Wireless Local Area Network,简称WLAN)技术,在某一特定区域中建立的无缝无线通讯网络,使该区域的每个角落都处在网络中,形成全覆盖的无线网络。

对于新办公楼经常会接待外来人员,采用WLAN覆盖可以方便外来人员访问互联网,同时通过物理隔离与企业的内网有效的隔离起来,防止企业机密外泄。

所以,为了保证办公网的安全,在该设计方案中,大楼内所有无线AP通过网络(外网)和无线控制器连接。同时,无线控制器通过上行链路直接和外网核心交换机连接。通过采用无线用户独立网段,,出口防火墙策略隔离等手段最大限度保障局域网的安全。无线用户如果需要进入内网,将采用VPN+身份认证的方式确保网络安全。

无线网络最大的特点是具有的高度的空间自由性和灵活性;可以避免大规模铺设网线和固定设备投入,有效地削减了网络建设费用,极大的增强了建网的灵活度;无线局域网带宽很宽,适合进行大量双向和多向的多媒体信息传输,尤其适合报告厅或会场这种信息点密度较高且位置不顾定的场所。通过无线局域网的建设,都可以找到解决的基础和途径。

实际上,拥有无线网络,已经成为现代化办公的一个重要标志。

5.1 无线局域网设计原则

5.1.1无线与有线的隔离

新办公楼的无线主要用于公寓区人员或外来人员访问互联网,通过防火墙上实施安全访问策略,再辅以认证管理系统的认证授权机制,以及内、外网物理隔离的方式,可以有效地将无线用户和企业内网隔离开。

5.1.2遵循标准

无线局域网采用的技术支持应为国际标准或业界标准,不使用某个厂商的专用技术和协议,以保证网络设备的互通性,有利于网络的投资保护。

5.1.3集中式管理+分布式转发的网络结构

上一代代无线局域网架构采用无线交换机加瘦AP的结构,使得无线局域网的网络性能、网络管理和安全管理能力得以大幅提高,使建设大型无线网成为可能。但是随着无线数据流量的增加,无线交换机不但容易成为数据传输瓶颈,也容易发生单点故障。增加无线交换机无疑将大幅提高组网成本。

新一代无线局域网架构采用无线控制器加智能AP的架构,新一代可胖可瘦智能AP可以接受集中式管理和配置,又可以本地直接转发数据,成功的规避了第三代无线局域网存在的问题,成为无线局域网发展的必然。

5.1.4安全可靠性

在网络安全性方面,无线局域网系统要具有与有线局域网同样要求的安全防护措施,无线网的安全性主要从以下几个方面考虑:

  1) 接入认证:具有支持多种用户认证方式;

       2) 数据链路的全程加密;

       3) 具有无线电波监控能力,能提供无线入侵侦测和无线终端位置的追踪功能。

可靠性方面主要是:具有提供智能化的无线电波自动调控与切换能力,以确保单个AP接入点在发生故障时自动切换到邻近AP;双无线控制器热备功能。

5.1.5无线技术的选择

随着802.11n的到来,无线局域网(WLAN)领域正在发生根本性的转变,而这场转变正如无线局域网的诞生一样引人瞩目。802.11n最终标准的300Mbps的极高数据速率为实现全无线企业网络奠定了坚实的基础。丰富的多媒体应用将无缝部署于网络内的各个节点,其卓越性能远远超过此前的802.11a/b/g技术。由于802.11n的后向兼容行,该技术的成熟也逐渐取代了802.11a/b/g,成为企业组建无线局域网的首选。

根据无线网络设计原则,结合的具体情况,建议采用的802.11n集中式无线局域网解决方案,在5-8楼公寓区部署企业级双频300M无线AP(R3),所有AP通过双绞线连接无线控制器,采取集中管理方式,降低网络管理员的工作量。

 

5.2无线组网方式设计

无线网络AP的部署,需要考虑的因素远多于有线网络,比如说建筑的分布,墙体的厚度、材质,所以只有实地勘测以后,才可能精确确定AP的部署位置和数量。根据我司与贵公司项目组成员的反复沟通和测试,先确定数据中心大楼共需要22个AP,实现大楼的无线信号覆盖

AP大多摆放在天花板、墙壁等不易直接观察设备工作状态的位置,这就要求无线网络必须采用集中管理的方式对全网设备进行实时的监控和管理。

使用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上采用无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给政府内部职员所用,而另一个可给来宾专用。多SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。

802.11的标准内定义了不同加密情况时数据包的封装格式,所以用户可在无线接入时使用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,但是不同加密方式不能在同一个SSID内同时存在的。

某一个SSID可以覆盖全网,也可以只局限于办公区内的某些范围。新办公楼在部分范围内全网开通,然后针对该SSID进行一些权限限制,例如:来宾(Guest)使用的SSID;但有些SSID可以只在办公区广播,只供某些部门使用,例如一些部门办公区所使用的SSID。

5.3用户管理设计

网络无线系统中可以设定用户的角色(role),每个角色可以基于用户权限和可访问资源的设定等规则。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要分别登录不同的SSID,这样是十分不便的。网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户成功通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问所有SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的复杂性。

对某些特殊的来宾开放某些VIP账号,分配给其较高权限的角色。在带宽方面可以做比较宽松的限制。所有这些在配置、使用和管理上都非常符合一般企业的网络管理需求。

5.4无线安全性设计

在网络无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:

(1)多SSID:可以根据需要,在网络无线系统中设置多个SSID,不同的SSID采用不同的安全策略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,用户无法看到,防止非法用户的连接企图。SSID还可以限制SSID出现的范围也是实现安全性的一种手段。可是实现企业对不同的区域实行不同级别的安全等级保护

(2)加密:网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i         多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵活,可以根据实际需求进行选择,同时也保证了企业涉密部门数据传输的安全性。

(3)用户认证提供三种方式:

① WPA-PSK+captive portal+VPN。

加密方式采用WPA-PSK,不建议采用静态WEP,因为有安全隐患。采用captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的安全性。认证服务器的选择比较灵活,可以使用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DCWS-6028内置的帐户数据库。

② WPA+802.11x加密方式尽量采用WPA,如果客户端不支持也可采用动态WEP,认证方式采用802.11x,认证服务器选择RADIUS。

③ Dynamic PSK™

Dynamic PSK™是网络专有的用户认证和加密技术。传统的无线加密密钥对所有的用户是相同的,相当脆弱;而且长度较短,容易被解码。Dynamic PSK™技术为每一个用户提供一个64字节的密钥,实现完整而且非常安全的认证加密手段。

(4)用户的Role(角色):

每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽控制的设定,这样我们就可以根据每一位政府职员的权限设定的对应安全策略。

(6)带宽控制:

可以对每个用户设定其可以使用的带宽,一方面可以保证政府的重要应用对网络资源的占有,另一方面,当客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。

5.5无线方案特点

1)认证一体化。无线解决方案可与认证计费系统DCSM-A无缝结合,实现无线、有线网络的统一认证;也支持第三方的radius认证和Windows的AD认证。可以保护政府的前期投资,方便用户实行统一的用户权限管理。

2)网络管理一体化。的无线产品除了可以通过专有的无线控制器或者FlexMaster进行网络管理,也支持通过SNMP协议,由LinkManager进行统一管理。可以简化企业的网络管理工作。

3)网络结构一体化。无线解决方案采用智能AP+无线控制器组网,其中无线控制器旁接在核心交换机或者汇聚交换机上,无须改变现有的网络结构。无线数据转发全部交给本地接入交换机完成,不会象无线交换机串接组网方式那样,出现转发瓶颈。

4)安全防御一体化。无线解决方案完全支持TSA可信安全接入方案,同时采用集中式安全管理的方式,全面实现政府无线网络的安全运营。

5)绿色环保网络。无线解决方案使用的无线产品,全部通过严格的RoHS测试;独有的天线技术保证了使用比其它厂商少的AP数量,达到更大的无线覆盖面积,更好的网络Qos,更可以减少90%的电磁污染。                   



返回列表