【正文】 其主要目的是管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。 在無線安全性方面，第三代無線系統(tǒng)同樣具備多種用戶認(rèn)證方式、并提供基于用戶的狀態(tài)防火墻、 VPN 加密、 無線入侵偵測(cè)、無線接入病毒防護(hù)功能以及集中的安全管理。 企業(yè)內(nèi)部分支機(jī)構(gòu)、移動(dòng)辦公人員，如何能夠安全接入到企業(yè)網(wǎng)內(nèi)部也是企業(yè)比較關(guān)系的問題，用戶可以通過 SSL VPN 或則 IPSEC VPN 的安全加密隧道直接連接到內(nèi)部網(wǎng)絡(luò)，解決內(nèi)部應(yīng)用系統(tǒng)訪問需求。因此接入交換機(jī)還需要部署 ARP 報(bào)文限速，對(duì)每個(gè)端口單位時(shí)間內(nèi)接收到的 ARP 報(bào)文進(jìn)行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU 資源。 接入層交換機(jī)部署 ARP 入侵檢測(cè) 交換機(jī)要防御 ARP 攻擊，就必須能夠識(shí)別并讀取 ARP 報(bào)文內(nèi)容，然后根據(jù)報(bào)文內(nèi)容判斷是否存在欺騙攻擊行為，對(duì)于 ARP 欺騙報(bào)文進(jìn)行丟棄處理。 在網(wǎng)絡(luò)實(shí)際部署中，有時(shí)候不能在所有的接入層部署 ARP 入侵檢測(cè)。 XXXX 機(jī)房 規(guī)劃 建議書 21/ 37 ARP 欺騙攻擊不僅導(dǎo)致聯(lián)網(wǎng)不穩(wěn)定，極大影響網(wǎng)絡(luò)的正常運(yùn)行，更嚴(yán)重的是利用 ARP 欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊。如有防護(hù)不當(dāng)，極有可能由于個(gè)別的漏洞而導(dǎo)致整個(gè)網(wǎng)絡(luò)的崩潰，因此針對(duì)這些區(qū)域的安全防護(hù)是要考慮的重點(diǎn)內(nèi)容。 接入層設(shè)計(jì) 在接入層面，考慮到從用戶接入起就需要有較強(qiáng)的訪問控制，要求交換機(jī)必須具備 端口限制接入功能， 能夠支持通常的 數(shù)據(jù) 過濾、流量限速等功能； 為增強(qiáng)接入層的安全，還可考慮重要區(qū)域接 XXXX 機(jī)房 規(guī)劃 建議書 20/ 37 入層設(shè)備 支持 DHCP Snooping，防止內(nèi)部人員在局域網(wǎng)私設(shè) DHCP 服務(wù)器，擾亂網(wǎng)絡(luò) IP地址的分配，增強(qiáng)網(wǎng)絡(luò)抵御攻擊的能力，支持動(dòng)態(tài) ARP 檢測(cè)，防止中間人攻擊和 ARP 拒絕服務(wù)，在接入層能夠防止內(nèi)部局域網(wǎng)的 ARP 攻擊，防止病從口 入。 核心層設(shè)計(jì) 核心層負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換，同時(shí)也是整個(gè)網(wǎng)絡(luò)的路由交換中心，全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過核心節(jié)點(diǎn)集中進(jìn)行，為保證核心節(jié)點(diǎn)的高可用性，核心節(jié)點(diǎn)采用雙機(jī)備份方式，設(shè)計(jì)工業(yè)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)核心層各配置兩臺(tái)高性能的核心路由交換機(jī)，它們之間通過兩條 GE 捆綁實(shí)現(xiàn)互連，流量在捆綁的多條鏈路上負(fù)載分擔(dān)和備份。保證建設(shè)完成后的系統(tǒng)在向新的技術(shù)升級(jí)時(shí)，能保護(hù)現(xiàn)有的投資。所有系統(tǒng)單元都可現(xiàn)場(chǎng)替換，從而實(shí)現(xiàn)了最大服務(wù)性和最少的網(wǎng)絡(luò)停機(jī)時(shí)間。這使備份的管理成為制度而不是依賴于某個(gè)人；管理員可以確保每日的備份正常安全；而方案建設(shè)提供商良好的響應(yīng)快速的技術(shù)支持和維護(hù)的重要性則無須贅言。對(duì)這些要做全面的考慮。使用 Server Less的主要是一些 24x7的業(yè)務(wù)，為了不影響服務(wù)性能而 采用的。應(yīng)用性能會(huì)受到影響。 XXXX 機(jī)房 規(guī)劃 建議書 13/ 37 IP SAN 網(wǎng)絡(luò)存儲(chǔ)架構(gòu) 相對(duì)于 FC存儲(chǔ)， IP存儲(chǔ)沒有任何限制，服務(wù)器接入及多鏈路實(shí)施完全免費(fèi)，而且軟件通用，用戶可以自行處理。選擇存儲(chǔ)系統(tǒng)，主要考慮以下幾方面內(nèi)容： ? 數(shù)據(jù)安全性 存儲(chǔ)設(shè)備是應(yīng)用系統(tǒng)中單點(diǎn)故障的隱患，因此為保證數(shù)據(jù)安全，需要嚴(yán)格選擇存儲(chǔ)系統(tǒng)。生產(chǎn)系統(tǒng) 采用兩臺(tái) IBM P740 通過 Power VM 虛擬化技術(shù)，部署到六臺(tái)虛擬服務(wù)器上。同時(shí)，為節(jié)約硬件投資成本，實(shí)現(xiàn)數(shù)據(jù)集中存儲(chǔ)，如果企業(yè)內(nèi)部有多個(gè)系統(tǒng)需要數(shù)據(jù)存儲(chǔ)空間，我們建議采用存儲(chǔ)區(qū)域網(wǎng)絡(luò)（ SAN）或則 IPSAN，磁盤陣列與主機(jī)之間，通過 2 臺(tái)光纖交換機(jī)形成冗余 且負(fù)載均衡的光纖通道，把多個(gè)系統(tǒng)的數(shù)據(jù)集中存儲(chǔ)在該磁盤陣列上面。為了保證 SAP 系統(tǒng)的可用性，可以考慮使用雙機(jī)集 群技術(shù)，規(guī)避硬件故障造成 SAP 系統(tǒng)停止服務(wù)。為了讓 SAP ERP 系統(tǒng)具有最高的安全性，優(yōu)良的系統(tǒng)性能以及業(yè)務(wù)連續(xù)性性 ,應(yīng)該將 “系統(tǒng)高可靠性結(jié)構(gòu)設(shè)計(jì) ”列入硬件計(jì)劃，這樣才能避免因系統(tǒng)發(fā)生問題 ,所可能造成企業(yè)的系統(tǒng)宕機(jī)情景 。 SAP與其合作伙伴共同開發(fā)了在線的評(píng)估工具 ”Quick Sizer” 來幫助用戶完成配置預(yù)估工作。 所有開發(fā)的對(duì)象一旦被傳輸?shù)缴a(chǎn)系統(tǒng) ,就馬上被使用 ,數(shù)據(jù)的傳輸無法測(cè)試，影響業(yè)務(wù)連續(xù)性 三系統(tǒng) 可以完整的測(cè)試所做的 開 發(fā) 以 及 系 統(tǒng) 升 級(jí)(upgrade)。 XXXX建議 書 XXXX 機(jī)房 規(guī)劃 建議書 1/ 37 文檔控制 項(xiàng)目編號(hào) 文檔名稱 XXXX 建議書 文檔序號(hào) 項(xiàng)目經(jīng)理 編寫人 XXXX 完成日期 2021058 修訂記錄 日期 修訂版本 修訂內(nèi)容 修訂人 20210412 V1 XXXX 2021056 V2 XXXX XXXX 機(jī)房 規(guī)劃 建議書 2/ 37 目 錄 第 1 章 SAP 系統(tǒng)架構(gòu)規(guī)劃 ........................................................................................................ 5 SAP 藍(lán)圖架構(gòu)設(shè)計(jì) ........................................................................................................................................ 5 主機(jī)系統(tǒng)規(guī)劃 ............................................................................................................................................... 6 硬件平臺(tái)選擇 ...................................................................................................................................... 7 硬件容量規(guī)劃 ...................................................................................................................................... 7 系統(tǒng)可靠性 ........................................................................................................................................... 8 服務(wù)器平臺(tái)選型 .................................................................................................................................. 9 小機(jī)平臺(tái) ........................................................................................................................................... 10 小機(jī) amp。 硬件初期設(shè)置成本較高 SAP 藍(lán)圖系統(tǒng)架構(gòu)的選擇，是整個(gè)項(xiàng)目的基礎(chǔ)。 “Quick Sizer” 定義了兩類評(píng)估 模型：基于用戶的預(yù)估、基于業(yè)務(wù)量的預(yù)估。 一般情況，系統(tǒng)宕機(jī)分為以下兩種情況： 1 計(jì)劃性宕機(jī) : 軟件升級(jí) /安裝補(bǔ)丁（ support package） ,數(shù)據(jù)庫重組（ Reanization） , 停機(jī)備份（ offline backup） , 硬件維護(hù)等。 使用 雙機(jī) 群集系統(tǒng) (Cluster)， 當(dāng)生產(chǎn)系統(tǒng)主機(jī)故障時(shí) ， 可由冗余主機(jī)自動(dòng)接替 ， 讓系統(tǒng)繼續(xù)工作。具體方案參見存儲(chǔ)系統(tǒng)規(guī)劃?；?IBM Power VM 技術(shù)可以 實(shí)現(xiàn)多套應(yīng)用系統(tǒng)資源的靈活分配，確保在單個(gè)應(yīng)用系統(tǒng)硬件故障的情況下，能夠很快的調(diào)配其余系統(tǒng)的空閑資 源供故障系統(tǒng)使用。既包括存儲(chǔ)系統(tǒng)中硬件設(shè)備的冗余（電源、風(fēng)扇、控制器、緩存），也包括對(duì)存儲(chǔ)設(shè)備中硬盤的RAID 劃分。 IP存儲(chǔ)設(shè)備性價(jià)比高，由于產(chǎn)業(yè)鏈龐大，配件全部標(biāo)準(zhǔn)化，因此性能優(yōu)越，成本低。 3． Server less備份 備份對(duì)系統(tǒng)是透明的，即不會(huì)影響業(yè)務(wù)系統(tǒng)性能。只是一般這種備份要求與系統(tǒng)對(duì)存儲(chǔ)架構(gòu)的要求一致，所以 LAN Free或 Server Less的備份技術(shù)一般在 SAN架構(gòu)下實(shí)現(xiàn)。 5． 備份策 略 備份策略是備份系統(tǒng)日常工作的準(zhǔn)則。 XXXX 機(jī)房 規(guī)劃 建議書 16/ 37 集團(tuán)信息系統(tǒng)的數(shù)據(jù)備份平臺(tái)采用統(tǒng)一集中數(shù)據(jù)備份平臺(tái)，根據(jù)集團(tuán)信息系統(tǒng)具體的部署方式，提供基于 LANFree數(shù)據(jù)備份方式。 網(wǎng)絡(luò)應(yīng)能承受元件、鏈路、電源以及其它類型的故障 。 可 管理性原則： 整個(gè)系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。兩臺(tái)核心設(shè)備構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu)，達(dá)到無單點(diǎn)故障的目的。 Firewall 防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。 本次設(shè)計(jì)中防火墻劃分為 4 個(gè)區(qū)域，安全等級(jí)從高到低分別是工業(yè)區(qū)、辦公區(qū)、 dmz 區(qū)和外聯(lián)區(qū)。如果局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行 ARP 欺騙的木馬程序時(shí)，會(huì)欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊。為了防止出現(xiàn) ARP 中毒引起的中間人攻擊，最好在網(wǎng)絡(luò)核心交換機(jī)或者匯聚三層交換機(jī)上部署 ARP 欺騙防御策略。 在接入層就是利 用接入交換機(jī)的 ARP 入侵檢測(cè)（ ARP Intrusion Inspection）功能，進(jìn)行 ARP 欺騙攻擊防御。 核心交換機(jī)部署 ARP 欺騙防御 如果網(wǎng)絡(luò)中的某臺(tái)接入層交換機(jī)沒有部署 ARP 入侵檢測(cè)， ARP 欺騙攻擊就會(huì)在該交換機(jī)所屬的一個(gè)廣播域內(nèi)得逞，這樣在局部范圍內(nèi)會(huì)發(fā)生 ARP 中毒行為，甚至可能會(huì)引起中間人攻擊。 XXXX 機(jī)房 規(guī)劃 建議書 23/ 37 SSL VPN： 提供 方便、快捷的遠(yuǎn)程安全接入 ， 直接使用 瀏覽器 訪問 內(nèi)部網(wǎng)絡(luò)資源 ，無需 安裝客戶端軟件 ，主要用于移動(dòng)辦公人員，為用戶提供高經(jīng)濟(jì)、低成本的遠(yuǎn)程移動(dòng)安全接入方式。 考慮到網(wǎng)絡(luò)的兼容性和高可用性，本項(xiàng)目無線網(wǎng)絡(luò)采用第三代無線交換機(jī)（控制器）＋瘦 AP解決方案。 主要用于帳號(hào)統(tǒng)一管理與認(rèn)證，并且可以審計(jì)外部用戶通過互聯(lián)網(wǎng) VPN 進(jìn)行企業(yè)網(wǎng)絡(luò)操作。 AP 無線有效覆蓋半徑 30 米 XXXX 機(jī)房 規(guī)劃 建議書 24/ 37 50 米左右，設(shè)計(jì)圖 如下： AAA AAA 認(rèn)證服務(wù)器系統(tǒng)主要用于 驗(yàn)證、授權(quán)和記賬。 在無線網(wǎng)絡(luò)融合到現(xiàn)有有線網(wǎng)絡(luò)方面，第三代無線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更改原有有線網(wǎng)絡(luò)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。 VPN 可以說是 Intra 在公用網(wǎng)絡(luò)上的延伸，能提供和專用網(wǎng)一樣的安全性、可管理性和傳輸性能 。 另外由于 ARP 欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的 ARP 報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU 資源，造成網(wǎng)絡(luò)速度的速度降低。以下就從這三個(gè)方面描述如何能做到有效防御 ARP 欺騙攻擊的。在接入層交換機(jī)上采取的這種技術(shù)，我們稱為 ARP 入侵檢測(cè)。這些都可能是由于存在 ARP 欺騙攻擊及 ARP 中毒，所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。 企業(yè)內(nèi)部網(wǎng)絡(luò)通過配置私網(wǎng)地址建立內(nèi)部互聯(lián)，對(duì)于互聯(lián)網(wǎng)來說，可以隱藏內(nèi)網(wǎng)的 IP 地址，并且在網(wǎng)絡(luò)邊界部署防火墻，提高安全策略，隔離內(nèi)外網(wǎng)，開啟攻擊防護(hù)策略。同時(shí)要求 支持 DHCP Snooping、支持動(dòng)態(tài) ARP 檢測(cè)，防止中間人攻擊和 ARP 拒絕服務(wù)等防止攻擊的特性。 由于 XXXX 園區(qū)規(guī)模較小，工業(yè)系統(tǒng)及信息系統(tǒng)應(yīng)用， 工作人員 網(wǎng)絡(luò)需求較少 ，建議按照 二 層結(jié)構(gòu)進(jìn)行規(guī)劃建設(shè)，即核心 和 接入 兩 個(gè)網(wǎng)絡(luò)層 次 ，出于保證網(wǎng)絡(luò)核心（層）的可靠性以及網(wǎng)絡(luò)分流等因素考慮， 局域網(wǎng)設(shè)計(jì) 冗余核心交換機(jī)。 擴(kuò)展性 原則： 所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見將來需求，如帶 寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點(diǎn)的擴(kuò)展等。在雙重交換引擎配置中，為了保護(hù)關(guān)鍵應(yīng)用，需要在最短的時(shí)間內(nèi)將交換機(jī)控制轉(zhuǎn)換到冗余交換引擎上。 上面所說的完整的災(zāi)難恢復(fù)文檔、恢復(fù)演習(xí)計(jì)劃，還有日常的管理文檔，備份策略等構(gòu)成了全面的管理數(shù)據(jù)。這些是提高災(zāi)難恢復(fù)速度的更重要的因素。如果網(wǎng)絡(luò)帶寬不能滿