【文章內(nèi)容簡介】 網(wǎng)絡(luò)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵，保證在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性的網(wǎng)絡(luò)產(chǎn)品設(shè)備，充分考慮冗余、容錯(cuò)和備份能力，同時(shí)合理設(shè)計(jì)網(wǎng)絡(luò)構(gòu)架，制定可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運(yùn)行。2. 技術(shù)先進(jìn)性：在保證滿足基本業(yè)務(wù)應(yīng)用的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)的先進(jìn)性。再網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。3. 高性能：骨干網(wǎng)絡(luò)的性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，在設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)的擴(kuò)展。4. 標(biāo)準(zhǔn)開放性：支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其他網(wǎng)絡(luò)之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。5. 可管理性：選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理及流量統(tǒng)計(jì)分析，并可提供保障自動(dòng)報(bào)警。6. 可擴(kuò)展性：根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級，最大程度的減少對網(wǎng)絡(luò)構(gòu)架和現(xiàn)有設(shè)備的調(diào)整。7. 安全性：制定統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性，做到業(yè)務(wù)數(shù)據(jù)的安全傳遞和網(wǎng)絡(luò)設(shè)備不受黑客攻擊。8. 經(jīng)濟(jì)性：在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級。第三章 網(wǎng)絡(luò)總體設(shè)計(jì) 網(wǎng)絡(luò)總體拓?fù)鋱D考慮到總公司的實(shí)際需求，建議采用兩臺Cisco Catalyst3560 做雙機(jī)熱備，用Cisco 專有熱備份路由協(xié)議技術(shù)（HSRP），根據(jù)需求配置成多組HSRP；同時(shí)雙機(jī)還可以做負(fù)載均衡。這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。如上圖所示，整體網(wǎng)絡(luò)可以根據(jù)功能劃分為總部核心網(wǎng)絡(luò)、內(nèi)聯(lián)接入包括辦公網(wǎng)絡(luò)、數(shù)據(jù)中心、分公司接入等，各區(qū)域相對獨(dú)立，通過核心網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交互。各區(qū)域可以各自建立交換網(wǎng)絡(luò)、路由接入、網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。 網(wǎng)絡(luò)層次化設(shè)計(jì)隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個(gè)新的、更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)的分層設(shè)計(jì)模型。這種分級方法被稱為“多層設(shè)計(jì)”。多層設(shè)計(jì)有以下一些好處：多層設(shè)計(jì)是模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。多層網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過程中進(jìn)行故障查找和排除非常簡單。多層網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)最有效地利用多種第3 層業(yè)務(wù)，包括分段﹑負(fù)載分擔(dān)和故障恢復(fù)等。在分層網(wǎng)絡(luò)中運(yùn)用智能第3 層業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問題。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因?yàn)樗Ａ袅嘶诼酚善骱徒粨Q機(jī)的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。針對實(shí)際情況我們可以采用三層結(jié)構(gòu)模型。 三層結(jié)構(gòu)模型劃分為三個(gè)層次，即核心層、分布層、接入層。每個(gè)層次完成不同的功能。核心層核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進(jìn)行訪問控制。包括訪問控制列表、VLAN 路由等等。接入層接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。 核心層設(shè)計(jì)核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。我們推薦使用兩臺Cisco Catalyst 3560交換機(jī)完成此項(xiàng)功能。兩臺3560交換機(jī)高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。Cisco Catalyst 3560 系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊緣，其中包括先進(jìn)的服務(wù)質(zhì)量 (QOS)、可預(yù)測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。Cisco Catalyst 3560 系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)營開支，提高了投資回報(bào)（ROI），從而在延長部署壽命的同時(shí)降低了擁有成本。接入層設(shè)計(jì)接入層交換機(jī)采用思科的WSC2960 以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如辦公自動(dòng)化服務(wù)器、郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，數(shù)據(jù)中心的多種金融系統(tǒng)應(yīng)用服務(wù)器, 連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)是采用三層結(jié)構(gòu)組建。 內(nèi)聯(lián)接入內(nèi)聯(lián)接入的作用是用于連接上海期貨機(jī)房和北京辦公網(wǎng)絡(luò)。我們推薦使用兩臺Cisco 2800系列路由器通過SDH/DDN線路完成此項(xiàng)功能。由于總部網(wǎng)絡(luò)和分部機(jī)房屬于公司的內(nèi)部網(wǎng)絡(luò)的一部分，因此可信度很高；接入時(shí)主要作用是生產(chǎn)運(yùn)營系統(tǒng)的數(shù)據(jù)交換，查詢等等和管理以及監(jiān)控?？偨Y(jié)以上的原因，內(nèi)聯(lián)路由器與核心交換網(wǎng)絡(luò)間不需要配置額外的防火墻。第四章 路由設(shè)計(jì) 路由協(xié)議選擇　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議是一種為 IP 網(wǎng)絡(luò)開發(fā)的內(nèi)部網(wǎng)關(guān)路由選擇協(xié)議，由 IETF 開 發(fā)并推薦使用。OSPF 定義了 5 種分組：Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時(shí)后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng)；由于 OSPF 直接運(yùn)行在 IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。OSPF 協(xié)議由三個(gè)子協(xié)議組成：Hello 協(xié)議、交換協(xié)議和擴(kuò)散協(xié)議。其中 Hello 協(xié)議負(fù)責(zé)檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信息；擴(kuò)散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護(hù)。OSPF 協(xié)議主要優(yōu)點(diǎn)：1. 為了克服距離矢量路由選擇協(xié)議的缺點(diǎn)，開發(fā)了鏈路狀態(tài)選擇協(xié)議。2. 鏈路狀態(tài)路由選擇協(xié)議僅在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時(shí)才生成路由選擇更新。3. 鏈路狀態(tài)路由選擇協(xié)議具體如下特征： 快速響應(yīng)網(wǎng)絡(luò)變化 . 在網(wǎng)絡(luò)變化時(shí)發(fā)送觸發(fā)更新 . 以較低的頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新（LSU）.SPF 算法最短路徑優(yōu)先（SPF）路由算法，又稱 Dijkstra 算法，所有的 OSPF 路由器并執(zhí)行 SPF 算法，根據(jù)路由器的拓?fù)鋽?shù)據(jù)庫構(gòu)造出來以他自己為根結(jié)點(diǎn)的最短路徑樹。這個(gè)最短路徑樹就生成了路由表。OSPF 規(guī)定有層次的網(wǎng)路結(jié)構(gòu)，OSPF 將網(wǎng)絡(luò)分為若干區(qū)域：1. 傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸 IP 分組的 OSPF 區(qū)域，中轉(zhuǎn)區(qū)域?qū)⑵渌愋偷?OSPF 區(qū)域連接起來。2. 常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的 OSPF 區(qū)域3. 骨干區(qū)域的區(qū)域號必須為 0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。層次化區(qū)域的優(yōu)點(diǎn)：便于管理。 最小化路由表 將拓?fù)渥兏绊懴拗圃趨^(qū)域內(nèi) 將 LSA 變更泛洪限制在范圍內(nèi) OSPF 路由器在完全鄰接之前,所經(jīng)過的幾個(gè)狀態(tài):Down:此狀態(tài)還沒有與其他路由器交換信息。首先從其 ospf 接口向外發(fā)送 hello 分組，還并不知道 DR(若為廣播網(wǎng)絡(luò))和任何其他路由器。發(fā)送 hello 分組使用組播地址。Attempt: 只適于 NBMA 網(wǎng)絡(luò),在 NBMA 網(wǎng)絡(luò)中鄰居是手動(dòng)指定的,在該狀態(tài)下,路由器將使用HelloInterval 取代 PollInterval 來發(fā)送 Hello 包。Init: 表明在 DeadInterval 里收到了 Hello 包,但是 2Way 通信仍然沒有建立起來。twoway: 雙向會話建立,而 RID 彼此出現(xiàn)在對方的鄰居列表中。(若為廣播網(wǎng)絡(luò)：例如：以太網(wǎng)。在這個(gè)時(shí)候應(yīng)該選舉 DR,BDR)。ExStart: 信息交換初始狀態(tài)，在這個(gè)狀態(tài)下,本地路由器和鄰居將建立 Master/Slave 關(guān)系,并確定 DD Sequence Number,路由器 ID 大的的成為 Master.Exchange: 信息交換狀態(tài)，本地路由器和鄰居交換一個(gè)或多個(gè) DBD 分組（也叫 DDP) 。DBD包含有關(guān) LSDB 中 LSA 條目的摘要信息)。Loading: 信息加載狀態(tài)：收到 DBD 后,將收到的信息同 LSDB 中的信息進(jìn)行比較。如果 DBD中有更新的鏈路狀態(tài)條目，則向?qū)Ψ桨l(fā)送一個(gè) LSR，用于請求新的 LSA 。Full: 完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數(shù)據(jù)庫同步完成，通過鄰居鏈路狀態(tài)請求列表為空且鄰居狀態(tài)為 Loading 判斷。另外 OSPF 還有自己的自制系統(tǒng)即 AS 自治系統(tǒng)（autonomous system）：一組相互管理下的網(wǎng)絡(luò)，它們共享同一個(gè)路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由 IANA 分配一個(gè)單獨(dú)的 16 位數(shù)字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個(gè)自治系統(tǒng)。為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。虛鏈路(Virtual Link)以下兩種情況需要使用到虛鏈路: 1. 通過一個(gè)非骨干區(qū)域連接到一個(gè)骨干區(qū)域。2. 通過一個(gè)非骨干區(qū)域連接一個(gè)分段的骨干區(qū)域兩邊的部分區(qū)域。虛鏈接是一個(gè)邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:1. 虛鏈接必須配置在 2 個(gè) ABR 之間。2. 虛鏈接所經(jīng)過的區(qū)域叫 Transit Area,它必須擁有完整的路由信息。3. Transit Area 不能是 Stub Area。4. 盡可能的避免使用虛鏈接,它增加了網(wǎng)絡(luò)的復(fù)雜程度和加大了排錯(cuò)的難度。 路由規(guī)劃拓?fù)鋱D IP 地址規(guī)劃標(biāo)識網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據(jù)以下幾個(gè)原則來分配IP 地址：唯一性：一個(gè)IP 網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP 地址簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路由總結(jié)(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址總結(jié)所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSM VariableLength Sub Mask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。部門 網(wǎng)段 子網(wǎng)掩碼 網(wǎng)關(guān)地址 廣播地址 VLAN市場部 2財(cái)務(wù)部 3營銷部 4人事部 5科研部 6總部行政部 7部門 網(wǎng)段 子網(wǎng)掩碼 網(wǎng)關(guān)地址 廣播地址 VLAN市場部 2財(cái)務(wù)部 3營銷部 4人事部 5科研部 6分部行政部 7第五章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析與非安全網(wǎng)絡(luò)的互聯(lián)面臨的安全問題與網(wǎng)絡(luò)內(nèi)部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來說網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個(gè)方面：　　 信息泄密：網(wǎng)絡(luò)上的資源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：? 攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密 ? 合法使用者在進(jìn)行正常業(yè)務(wù)往來時(shí)，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密　　 入侵者的攻擊：互聯(lián)網(wǎng)是世界級的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢力與團(tuán)體。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨椋斐赡憔W(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動(dòng)的、有目的、甚至是有組織的行為?！　?網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無對手”、“無意識”的攻擊行為?！　?木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時(shí)象病毒一樣自由擴(kuò)散，沒有主動(dòng)的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動(dòng)與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”?！　碜跃W(wǎng)絡(luò)外部的安全問題，重點(diǎn)是防護(hù)與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計(jì)的方式追蹤用戶的行為軌跡，也就是我們說的行為審計(jì)與合軌性審計(jì)?！　∮捎谟羞@些安全隱患的存在，在網(wǎng)絡(luò)邊界上，最容易受到的攻擊方式有下面幾種：　　 黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數(shù)據(jù)與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達(dá)到的效果與黑客一樣?！　?病毒入侵：病毒就是網(wǎng)絡(luò)的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)性能下降。病毒對網(wǎng)關(guān)沒有影響，就象“走私”團(tuán)伙，一旦進(jìn)入網(wǎng)絡(luò)內(nèi)部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水