【正文】 交換機(jī)與總公司職場的核心交換機(jī)通過雙千兆上連，辦公室內(nèi)計(jì)算機(jī)與接入交換機(jī)連接，形成統(tǒng)一交換網(wǎng)絡(luò)。中心中心數(shù)據(jù)中心核心路由器運(yùn)行在OSPF AREA 1中，中心中心數(shù)據(jù)中心核心路由器與地市核心路由器運(yùn)行在OSPF AREA 0中。在中心中心沒有做路由重分發(fā)控制，也沒有做路由過濾、路由匯總。 網(wǎng)絡(luò)區(qū)域現(xiàn)狀? 內(nèi)網(wǎng)網(wǎng)絡(luò)區(qū)域現(xiàn)狀錦泰保險中心機(jī)房生產(chǎn)服務(wù)器、管理服務(wù)器、測試服務(wù)器、運(yùn)維管理、管理網(wǎng)用戶均連接到核心交換機(jī)上。要摸清楚所有應(yīng)用資源、服務(wù)器資源，理順各個應(yīng)用的訪問關(guān)系及訪問端口。我們在網(wǎng)絡(luò)中設(shè)計(jì)一個核心交換區(qū)，這個區(qū)域作為其它區(qū)域的交換中心。因?yàn)槊總€區(qū)域的安全功能和詳細(xì)的路由可以根據(jù)每個區(qū)域的功能進(jìn)行定義，可以在不影響其他應(yīng)用或者整個區(qū)域的情況下進(jìn)行網(wǎng)絡(luò)的增強(qiáng)或強(qiáng)化。管理服務(wù)器區(qū)：部署全部管理類服務(wù)器和小型機(jī)，按照不同的用途和功能劃分為管理、視頻、OA等不同的VLAN。此次改造將原有外聯(lián)線路進(jìn)行整合。該區(qū)收集被管理系統(tǒng)、設(shè)備的運(yùn)行狀態(tài)信息；監(jiān)控網(wǎng)絡(luò)、系統(tǒng)狀態(tài)；下達(dá)管理指令，排除系統(tǒng)故障。其中核心交換區(qū)的兩臺核心交換機(jī)之間用兩條不同的板卡、不同物理介質(zhì)的鏈路做兩條PortChannel鏈路捆綁。核心交換區(qū)與管理服務(wù)器區(qū)的連接模式核心交換區(qū)與管理服務(wù)器區(qū)交換機(jī)之間采用4條千兆以太網(wǎng)線互聯(lián)。由于內(nèi)聯(lián)區(qū)路由器沒有配置交換板卡，因此使用兩個引擎上自帶的千兆接口，每個引擎上自帶兩個千兆接口，兩個引擎共有四個可用。外聯(lián)區(qū)防火墻和外聯(lián)區(qū)路由器之間分別適用一個千兆以太口相連。EE：為設(shè)備的序列， 01表示第一臺，02 為第二臺。四川錦泰保險 IP 地址編碼結(jié)構(gòu)和含義如下。（3） C 段定義二級地市標(biāo)識（5Bits）用以標(biāo)識四川錦泰保險所轄的二級地市，包括各地市分公司所轄地/本市分公司的標(biāo)識。三級地域標(biāo)識有效取值范圍為0001～1111，即最多可標(biāo)識 16 個縣節(jié)點(diǎn)。（7） G 段定義用戶網(wǎng)絡(luò)地址（5Bits）定義用戶網(wǎng)絡(luò)，用于網(wǎng)點(diǎn)實(shí)際可用的 IP 地址。這樣共有16 個分區(qū)，我們暫時使用 8 個分區(qū)，這樣數(shù)據(jù)中心的 IP 地址分配方案如下：序號區(qū)域 標(biāo)識D IP地址段 匯總路由 掩碼 備注1管理用戶區(qū) 1111.255.2551717.0256個C類地址2管理服務(wù)器區(qū) 11105.0256個C類地址22 / 8753核心交換區(qū) 1101.255.2551717.0256個C類地址4內(nèi)聯(lián)區(qū)110055.0256個C類地址5運(yùn)行管理區(qū)1011.255.2551717.0256個C類地址6生產(chǎn)服務(wù)器區(qū)101055.0256個C類地址7外聯(lián)區(qū)1001.255.2551717.0256個C類地址8測試區(qū)100055.0256個C類地址9預(yù)留0111256個C類地址10預(yù)留0110256個C類地址23 / 8711預(yù)留0101256個C類地址12預(yù)留0100256個C類地址13預(yù)留0011256個C類地址14預(yù)留0010256個C類地址15預(yù)留0001256個C類地址16預(yù)留0000256個C類地址生產(chǎn)服務(wù)器區(qū)IP地址段分配管理服務(wù)器區(qū)IP地址段分配核心交換區(qū)IP地址分配管理用戶區(qū)地址分配運(yùn)行管理區(qū)IP地址分配內(nèi)聯(lián)區(qū)IP地址分配外聯(lián)區(qū)IP地址分配? VLAN分配原則在錦泰保險中心機(jī)房，VLAN ID 按區(qū)域劃分，不同的區(qū)域 VLAN ID 的取值不同，確保全局統(tǒng)一。24 / 87邏輯區(qū)域 Vlan號 用 途 應(yīng)用類型 服務(wù)器100 　 生產(chǎn)服務(wù)器組1　101 　 生產(chǎn)服務(wù)器 　102 　 生產(chǎn)服務(wù)器 　103 　 生產(chǎn)服務(wù)器 　104 　 生產(chǎn)服務(wù)器 　105 　 生產(chǎn)服務(wù)器 　106 　 生產(chǎn)服務(wù)器 　108~120 預(yù)留 生產(chǎn)服務(wù)器 　生產(chǎn)服務(wù)器區(qū)150180 網(wǎng)間網(wǎng),網(wǎng)管 網(wǎng)絡(luò)管理 　200 　 管理服務(wù)器 　201 　 管理服務(wù)器 　202 　 管理服務(wù)器 　203 　 管理服務(wù)器 　204220 預(yù)留 管理服務(wù)器 　管理服務(wù)器區(qū)250280 網(wǎng)間網(wǎng),網(wǎng)管 網(wǎng)絡(luò)管理 　300350 　 管理用戶VLAN 　管理用戶區(qū)350380 網(wǎng)間網(wǎng),網(wǎng)管 網(wǎng)絡(luò)管理 　內(nèi)網(wǎng)區(qū) 400450 網(wǎng)間網(wǎng),網(wǎng)管 網(wǎng)絡(luò)管理 　核心交換區(qū) 500600 網(wǎng)間網(wǎng),網(wǎng)管 網(wǎng)絡(luò)管理 　600650 　 運(yùn)行管理 　運(yùn)維管理650680 網(wǎng)間網(wǎng),網(wǎng)管 　 　外網(wǎng)區(qū) 700780 網(wǎng)間網(wǎng),網(wǎng)管 　 　800850 測試用戶 　 　測試區(qū)851880 網(wǎng)間網(wǎng),網(wǎng)管 　 　? 網(wǎng)絡(luò)設(shè)備互聯(lián)VLAN分配25 / 87由于交換機(jī)的互聯(lián)接口支持三層路由模式，在設(shè)置時直接在互聯(lián)接口上配置地址，不必配置 VLAN 接口,方案中分配的 VLAN 號預(yù)留。26 / 87 路由策略實(shí)施設(shè)計(jì)? 數(shù)據(jù)分流策略管理網(wǎng)分離前數(shù)據(jù)分流策略：中心中心數(shù)據(jù)中心局域網(wǎng)改造后，局域網(wǎng)分為８個邏輯分區(qū)，以核心交換區(qū)為中心，各周邊區(qū)域?yàn)檫吘?，?gòu)成一個全網(wǎng)狀互聯(lián)的網(wǎng)絡(luò)結(jié)構(gòu)，區(qū)域間的通信通過核心交換區(qū)進(jìn)行轉(zhuǎn)發(fā)。據(jù)此，局域網(wǎng)內(nèi)，各區(qū)域間數(shù)據(jù)流路徑設(shè)計(jì)策略如下：各區(qū)域設(shè)定該區(qū)域兩臺交換機(jī)互為主備關(guān)系，即一部分ＶＬＡＮ在SW_1為HSRP主用交換機(jī)，在SW_2為備用交換機(jī)，一部分ＶＬＡＮ在SW_２為HSRP備用交換機(jī)，在SW_ １為主用交換機(jī)，實(shí)現(xiàn)數(shù)據(jù)流的負(fù)載分擔(dān)。FullMesh結(jié)構(gòu)避免了核心交換區(qū)和其它區(qū)域中各有一臺交換機(jī)故障時網(wǎng)絡(luò)終端的可能，實(shí)現(xiàn)高可用性。某個錦泰保險分公司到地市中心管理網(wǎng)線路或設(shè)備故障后，管理網(wǎng)數(shù)據(jù)流不做自動冗余，該錦泰保險分公司管理網(wǎng)數(shù)據(jù)流不能正常訪問中心中心管理網(wǎng)服務(wù)器，其它錦泰保險分公司及下掛網(wǎng)點(diǎn)的管理網(wǎng)數(shù)據(jù)流不受影響，均能正常訪問中心中心管理網(wǎng)服務(wù)器。某個地市分公司到中心中心生產(chǎn)網(wǎng)線路或設(shè)備故障后，生產(chǎn)網(wǎng)數(shù)據(jù)流需要自動切換到管理網(wǎng)線路上，保證該地市分公司轄內(nèi)的生產(chǎn)數(shù)據(jù)流能正常訪問中心中心的生產(chǎn)網(wǎng)服務(wù)器。其中連接JTIN39428 / 875_RT_01和地市分公司生產(chǎn)網(wǎng)路由器的電信ＳＤＨ的鏈路上運(yùn)行OSPF AREA 1。連接JTIN3945_RT_02 和地市分公司管理網(wǎng)路由器的移動ＳＤＨ的鏈路上運(yùn)行OSPF AREA ２。核心服務(wù)器區(qū)的路由設(shè)計(jì)：核心服務(wù)器區(qū)的2 臺核心交換機(jī)與 2臺核心交換區(qū)的交換機(jī)間使用 4對光纖建立full mesh連接。管理服務(wù)器區(qū)的2 臺核心交換機(jī)與 2臺核心交換區(qū)的交換機(jī)間啟用 4個三層Vlan。管理網(wǎng)用戶區(qū)的JT_OA_4506_SW_01上配置到管理網(wǎng)用戶網(wǎng)段的匯總靜態(tài)路由，該靜態(tài)路由通過OSPF重分發(fā)靜態(tài)路由的方式發(fā)布到OSPF鏈路狀態(tài)數(shù)據(jù)庫中，在核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02形成一條類型１的外部路由。內(nèi)聯(lián)區(qū)的路由設(shè)計(jì)：內(nèi)聯(lián)區(qū)JTIN3945_RT_01和JTIN3945_RT_02與2臺核心交換區(qū)的交換機(jī)間使用4對光纖建立 full mesh連接。外聯(lián)區(qū)的JT_EN_5520_FW_01 和JT_EN_5520_FW_02與核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02的互聯(lián)接口運(yùn)行在同一個VLAN中30 / 87，并啟用HSRP協(xié)議。數(shù)據(jù)中心OSPF Metric值設(shè)計(jì)：在中心數(shù)據(jù)中心調(diào)整局域網(wǎng)內(nèi)部路徑路由開銷值，使局域網(wǎng)內(nèi)動態(tài)路由計(jì)算具有穩(wěn)定的屬性，默認(rèn)100兆鏈路的開銷是1 ，為了區(qū)別千兆鏈路的開銷，故將百兆鏈路的開銷調(diào)整為10 。實(shí)施訪問控制是維護(hù)系統(tǒng)運(yùn)行安全、保護(hù)系統(tǒng)資源的重要技術(shù)手段。? Vlan 之間的互訪暫不控制。? 需要在連接核心交換區(qū)交換機(jī)的端口對病毒端口做 in 和 out 兩個方向的 ACL 控制? 內(nèi)聯(lián)區(qū) ACL 規(guī)劃 在內(nèi)聯(lián)區(qū)的兩臺路由器的上對地市分公司的 In 接口作防病毒端口過濾。此類安全控制措施對網(wǎng)絡(luò)設(shè)備有較高的性能要求32 / 87（CPU 性能），建議只在 CISCO7604 及以上檔次系列的路由器上實(shí)施。? 運(yùn)行管理網(wǎng)用戶區(qū) ACL 規(guī)劃 ? Vlan 之間的互訪暫不控制。? 對測試網(wǎng)對外的訪問必須按需求逐條增加相應(yīng)的 permit 策略，策略盡量精確到 ip 地址。應(yīng)用系統(tǒng)之間安全分析應(yīng)用系統(tǒng)之間的互訪，安全風(fēng)險主要存在于：? 不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問；34 / 87? 應(yīng)用系統(tǒng)不同安全等級服務(wù)器之間不適當(dāng)?shù)幕ピL；客戶端與服務(wù)器之間安全分析客戶端訪問服務(wù)器，主要的安全風(fēng)險存在于：? 非授權(quán)客戶端不適當(dāng)?shù)脑L問服務(wù)器；? 授權(quán)客戶端不適當(dāng)?shù)脑L問高安全級別的服務(wù)器；惡意代碼安全分析惡意代碼在網(wǎng)絡(luò)中的傳播，可能對所有的應(yīng)用系統(tǒng)產(chǎn)生嚴(yán)重的影響。在局域網(wǎng)內(nèi)采用 VLAN 技術(shù)，出了在網(wǎng)絡(luò)性能、管理方面的有點(diǎn)外，在網(wǎng)絡(luò)安全上，也具有明顯的優(yōu)點(diǎn)：? 限制局域網(wǎng)中的廣播包；? 隔離不同的網(wǎng)段，使不同 VLAN 之間的設(shè)備互通必須經(jīng)過路由，為安全控制提供了基礎(chǔ)；? 提供了基礎(chǔ)的安全性，VLAN 之間的數(shù)據(jù)包在鏈路層上隔離，防止數(shù)據(jù)不適當(dāng)?shù)霓D(zhuǎn)發(fā)或竊聽。? 安全策略設(shè)計(jì)網(wǎng)絡(luò)分區(qū)根據(jù)中心錦泰保險中心機(jī)房網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的設(shè)計(jì)結(jié)構(gòu)，數(shù)據(jù)中心局域網(wǎng)被劃分為 8 個功能區(qū)域。預(yù)防惡意代碼的安全策略網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發(fā)作時，對網(wǎng)絡(luò)安全有嚴(yán)重的影響。網(wǎng)絡(luò)設(shè)備自身安全策略網(wǎng)絡(luò)設(shè)備自身安全防護(hù)，安全策略設(shè)計(jì)如下：? 物理安全：? 安裝環(huán)境溫度、濕度、空氣潔凈度需要滿足設(shè)備正常運(yùn)行條件；? 禁止非授權(quán)人員物理接觸設(shè)備。預(yù)防惡意代碼生產(chǎn)服務(wù)器區(qū)不做惡意代碼防范，防惡意代碼工作實(shí)施在其他邊緣區(qū)域，保證惡意代碼不會侵犯到服務(wù)器區(qū)。40 / 87 QOS實(shí)施設(shè)計(jì) QOS設(shè)計(jì)概要四川錦泰保險的骨干網(wǎng)是一個高性能、高帶寬、多鏈路的 IP 網(wǎng)絡(luò)，同時承載錦泰保險的各種應(yīng)用，而這些應(yīng)用對錦泰保險的關(guān)鍵性各不相同，應(yīng)用本身的特點(diǎn)對網(wǎng)絡(luò)所提供的服務(wù)要求也各不相同。為了保證當(dāng)生產(chǎn)網(wǎng)故障后，切換到管理網(wǎng)上的生產(chǎn)類關(guān)鍵數(shù)據(jù)的正常傳輸，需要考慮在生產(chǎn)網(wǎng)故障后，在管理網(wǎng)上做相應(yīng)的 QOS 機(jī)制，以保證關(guān)鍵數(shù)據(jù)的正常傳輸不受管理網(wǎng)數(shù)據(jù)的影響。思科路由器的配置方法如下：//啟用ip cef distributed或ip cefip cef distributed或ip cef//關(guān)鍵業(yè)務(wù)類ip accesslist extended Key //從錦泰保險流向地市分公司的生產(chǎn)數(shù)據(jù)流量 permit……permit ……ip accesslist extended Voice //語音業(yè)務(wù)類 permit ip 錦泰保險VoIP網(wǎng)關(guān) any //錦泰保險VoIP網(wǎng)42 / 87關(guān)訪問地市分公司VoIP網(wǎng)關(guān)p accesslist extended Video //視頻會議類permit ip ……ip accesslist extended OA //辦公、管理業(yè)務(wù)類permit…… //從錦泰保險流向地市分公司的管理網(wǎng)流量permit …… //從錦泰保險流向地市分公司的辦公流量classmap matchany Keyapplication match ip dscp cs6 match accessgroup name Keyclassmap matchany Voiceapplication match accessgroup name Voiceclassmap matchany Videoapplication match accessgroup name Videoclassmap matchany OAapplication match accessgroup name OA//policymap名稱的定義采用QoS_錦泰保險或地市分公司名稱的簡稱policymap policymap class Keyapplication priority bandwidth class Voiceapplication priority bandwidth class Videoapplication priority 1200 class OAapplication bandwidth percent value43 / 87interface interface name maxreser