【文章內容簡介】 網絡的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵，保證在網絡設計中選用高可靠性的網絡產品設備，充分考慮冗余、容錯和備份能力，同時合理設計網絡構架，制定可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統(tǒng)的可靠運行。2. 技術先進性：在保證滿足基本業(yè)務應用的同時，又要體現出網絡的先進性。再網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮到網絡應用的現狀和未來發(fā)展趨勢。3. 高性能：骨干網絡的性能是整個網絡良好運行的基礎，在設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、圖像）的高質量傳輸，才能使網絡不成為業(yè)務的擴展。4. 標準開放性：支持國際上通用標準的網絡協議、國際標準的大型的動態(tài)路由協議等開放協議，有利于以保證與其他網絡之間的平滑連接互通，以及將來網絡的擴展。5. 可管理性：選用先進的網絡管理平臺，具有對設備、端口等的管理及流量統(tǒng)計分析，并可提供保障自動報警。6. 可擴展性：根據未來業(yè)務的增長和變化，網絡可以平滑地擴充和升級，最大程度的減少對網絡構架和現有設備的調整。7. 安全性：制定統(tǒng)一的網絡安全策略，整體考慮網絡平臺的安全性，做到業(yè)務數據的安全傳遞和網絡設備不受黑客攻擊。8. 經濟性：在充分利用現有資源的情況下，最大限度地降低網絡系統(tǒng)的總體投資，有計劃、有步驟地實施，在保證網絡整體性能的前提下，充分利用現有的網絡設備或做必要的升級。第三章 網絡總體設計 網絡總體拓撲圖考慮到總公司的實際需求，建議采用兩臺Cisco Catalyst3560 做雙機熱備，用Cisco 專有熱備份路由協議技術（HSRP），根據需求配置成多組HSRP；同時雙機還可以做負載均衡。這樣設計不但保證網絡的高可用性和穩(wěn)定性，還能夠充分利用現有設備的資源，以避免單臺核心設備的負載太重而導致的網絡性能問題。如上圖所示，整體網絡可以根據功能劃分為總部核心網絡、內聯接入包括辦公網絡、數據中心、分公司接入等，各區(qū)域相對獨立，通過核心網絡進行數據的交互。各區(qū)域可以各自建立交換網絡、路由接入、網絡安全體系，可以有獨立的安全策略、數據流量控制等個體的特性，而需要和其他區(qū)域的設備進行通訊的時候，則必須遵守核心網絡區(qū)的策略。 網絡層次化設計隨著網絡技術的迅速發(fā)展和網上應用量的增長，分布式的網絡服務和交換已經移至用戶級，由此形成了一個新的、更適應現代的高速大型網絡的分層設計模型。這種分級方法被稱為“多層設計”。多層設計有以下一些好處：多層設計是模塊化的，網絡容量可隨著日后網絡節(jié)點的增加而不斷增大。多層網絡有很大的確定性，因此在運行和擴展過程中進行故障查找和排除非常簡單。多層網絡系統(tǒng)設計最有效地利用多種第3 層業(yè)務，包括分段﹑負載分擔和故障恢復等。在分層網絡中運用智能第3 層業(yè)務可以大大減少因配置不當或故障設備引起的一般問題。多層模式使網絡的移植更為簡單易行，因為它保留了基于路由器和交換機的網絡原有的尋址方案，對以往的網絡有很好的兼容性。另外分層結構也能夠對網絡的故障進行很好的隔離。針對實際情況我們可以采用三層結構模型。 三層結構模型劃分為三個層次，即核心層、分布層、接入層。每個層次完成不同的功能。核心層核心層作為整個網絡系統(tǒng)的核心，其主要功能是高速、可靠的進行數據交換。分布層分布層主要進行接入層的數據流量匯聚，并對數據流量進行訪問控制。包括訪問控制列表、VLAN 路由等等。接入層接入層主要提供最終用戶接入網絡的途徑。主要是進行VLAN的劃分、與分布層的連接等等。 核心層設計核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數據交換。我們推薦使用兩臺Cisco Catalyst 3560交換機完成此項功能。兩臺3560交換機高性能、可靠性、可用性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供，如有需要在3560 上面可以部署安全策略，使得核心交換區(qū)的安全性進一步地增強。Cisco Catalyst 3560 系列憑借眾多智能服務將控制擴展到網絡邊緣，其中包括先進的服務質量 (QOS)、可預測性能、高級安全性和全面的管理。它提供帶集成永續(xù)性的出色控制，將永續(xù)性集成到硬件和軟件中，縮短了網絡停運時間。Cisco Catalyst 3560 系列的模塊化架構、介質靈活性和可擴展性減少了重復運營開支，提高了投資回報（ROI），從而在延長部署壽命的同時降低了擁有成本。接入層設計接入層交換機采用思科的WSC2960 以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網三層結構。辦公系統(tǒng)所需的各種服務器如辦公自動化服務器、郵件服務器、DHCP 服務器等組成服務器群，數據中心的多種金融系統(tǒng)應用服務器, 連接到匯聚交換機的千兆模塊上面,因此，內部的局域網是采用三層結構組建。 內聯接入內聯接入的作用是用于連接上海期貨機房和北京辦公網絡。我們推薦使用兩臺Cisco 2800系列路由器通過SDH/DDN線路完成此項功能。由于總部網絡和分部機房屬于公司的內部網絡的一部分，因此可信度很高；接入時主要作用是生產運營系統(tǒng)的數據交換，查詢等等和管理以及監(jiān)控?？偨Y以上的原因，內聯路由器與核心交換網絡間不需要配置額外的防火墻。第四章 路由設計 路由協議選擇　開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協議是一種為 IP 網絡開發(fā)的內部網關路由選擇協議，由 IETF 開 發(fā)并推薦使用。OSPF 定義了 5 種分組：Hello 分組用于建立和維護連接；數據庫描述分組初始化路由器的網絡拓撲數據庫；當發(fā)現數據庫中的某部分信息已經過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數據庫或對鏈路狀態(tài)請求分組進行響應；由于 OSPF 直接運行在 IP 層，協議本身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。OSPF 協議由三個子協議組成：Hello 協議、交換協議和擴散協議。其中 Hello 協議負責檢查鏈路是否可用，并完成指定路由器及備份指定路由器；交換協議完成“主”、“從”路由器的指定并交換各自的路由數據庫信息；擴散協議完成各路由器中路由數據庫的同步維護。OSPF 協議主要優(yōu)點：1. 為了克服距離矢量路由選擇協議的缺點，開發(fā)了鏈路狀態(tài)選擇協議。2. 鏈路狀態(tài)路由選擇協議僅在網絡拓撲發(fā)生變化時才生成路由選擇更新。3. 鏈路狀態(tài)路由選擇協議具體如下特征： 快速響應網絡變化 . 在網絡變化時發(fā)送觸發(fā)更新 . 以較低的頻率發(fā)送定期更新，被稱為鏈路狀態(tài)刷新（LSU）.SPF 算法最短路徑優(yōu)先（SPF）路由算法，又稱 Dijkstra 算法，所有的 OSPF 路由器并執(zhí)行 SPF 算法，根據路由器的拓撲數據庫構造出來以他自己為根結點的最短路徑樹。這個最短路徑樹就生成了路由表。OSPF 規(guī)定有層次的網路結構，OSPF 將網絡分為若干區(qū)域：1. 傳輸區(qū)域（骨干區(qū)域）：主要的功能為快速高效的傳輸 IP 分組的 OSPF 區(qū)域，中轉區(qū)域將其他類型的 OSPF 區(qū)域連接起來。2. 常規(guī)區(qū)域（非骨干區(qū)域）：主要功能是為了連接用戶和資源的 OSPF 區(qū)域3. 骨干區(qū)域的區(qū)域號必須為 0。所以的常規(guī)區(qū)域必須與骨干區(qū)域相連。層次化區(qū)域的優(yōu)點：便于管理。 最小化路由表 將拓撲變更影響限制在區(qū)域內 將 LSA 變更泛洪限制在范圍內 OSPF 路由器在完全鄰接之前,所經過的幾個狀態(tài):Down:此狀態(tài)還沒有與其他路由器交換信息。首先從其 ospf 接口向外發(fā)送 hello 分組，還并不知道 DR(若為廣播網絡)和任何其他路由器。發(fā)送 hello 分組使用組播地址。Attempt: 只適于 NBMA 網絡,在 NBMA 網絡中鄰居是手動指定的,在該狀態(tài)下,路由器將使用HelloInterval 取代 PollInterval 來發(fā)送 Hello 包。Init: 表明在 DeadInterval 里收到了 Hello 包,但是 2Way 通信仍然沒有建立起來。twoway: 雙向會話建立,而 RID 彼此出現在對方的鄰居列表中。(若為廣播網絡：例如：以太網。在這個時候應該選舉 DR,BDR)。ExStart: 信息交換初始狀態(tài)，在這個狀態(tài)下,本地路由器和鄰居將建立 Master/Slave 關系,并確定 DD Sequence Number,路由器 ID 大的的成為 Master.Exchange: 信息交換狀態(tài)，本地路由器和鄰居交換一個或多個 DBD 分組（也叫 DDP) 。DBD包含有關 LSDB 中 LSA 條目的摘要信息)。Loading: 信息加載狀態(tài)：收到 DBD 后,將收到的信息同 LSDB 中的信息進行比較。如果 DBD中有更新的鏈路狀態(tài)條目，則向對方發(fā)送一個 LSR，用于請求新的 LSA 。Full: 完全鄰接狀態(tài),鄰接間的鏈路狀態(tài)數據庫同步完成，通過鄰居鏈路狀態(tài)請求列表為空且鄰居狀態(tài)為 Loading 判斷。另外 OSPF 還有自己的自制系統(tǒng)即 AS 自治系統(tǒng)（autonomous system）：一組相互管理下的網絡，它們共享同一個路由選擇方法，自治系統(tǒng)由地區(qū)再劃分并必須由 IANA 分配一個單獨的 16 位數字。地區(qū)通常連接到其他地區(qū)，使用路由器創(chuàng)建一個自治系統(tǒng)。為了保持骨干區(qū)域與普通區(qū)域的連通性，需要虛鏈路。虛鏈路(Virtual Link)以下兩種情況需要使用到虛鏈路: 1. 通過一個非骨干區(qū)域連接到一個骨干區(qū)域。2. 通過一個非骨干區(qū)域連接一個分段的骨干區(qū)域兩邊的部分區(qū)域。虛鏈接是一個邏輯的隧道（Tunnel）,配置虛鏈接的一些規(guī)則:1. 虛鏈接必須配置在 2 個 ABR 之間。2. 虛鏈接所經過的區(qū)域叫 Transit Area,它必須擁有完整的路由信息。3. Transit Area 不能是 Stub Area。4. 盡可能的避免使用虛鏈接,它增加了網絡的復雜程度和加大了排錯的難度。 路由規(guī)劃拓撲圖 IP 地址規(guī)劃標識網絡中的一個節(jié)點。IP 地址空間的分配，要與網絡層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和靈活性，同時能滿足路由協議的要求，提高路由算法的效率，加快路由變化的收斂速度。我們根據以下幾個原則來分配IP 地址：唯一性：一個IP 網絡中不能有兩個主機采用相同的IP 地址簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表的款項連續(xù)性：連續(xù)地址在層次結構網絡中易于進行路由總結(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網絡規(guī)模擴展時能保證地址總結所需的連續(xù)性靈活性：地址分配應具有靈活性，可借助可變長子網掩碼技術(VLSM VariableLength Sub Mask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。部門 網段 子網掩碼 網關地址 廣播地址 VLAN市場部 2財務部 3營銷部 4人事部 5科研部 6總部行政部 7部門 網段 子網掩碼 網關地址 廣播地址 VLAN市場部 2財務部 3營銷部 4人事部 5科研部 6分部行政部 7第五章 網絡安全解決方案 網絡邊界安全威脅分析與非安全網絡的互聯面臨的安全問題與網絡內部的安全是不同的，主要的原因是攻擊人是不可控的，攻擊是不可溯源的，也沒有辦法去“封殺”，一般來說網絡邊界上的安全問題主要有下面幾個方面：　　 信息泄密：網絡上的資源是可以共享的，但沒有授權的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式：? 攻擊者(非授權人員)進入了網絡，獲取了信息，這是從網絡內部的泄密 ? 合法使用者在進行正常業(yè)務往來時，信息被外人獲得，這是從網絡外部的泄密　　 入侵者的攻擊：互聯網是世界級的大眾網絡，網絡上有各種勢力與團體。入侵就是有人通過互聯網進入你的網絡(或其他渠道)，篡改數據，或實施破壞行為，造成你網絡業(yè)務的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為?！　?網絡病毒：與非安全網絡的業(yè)務互聯，難免在通訊中帶來病毒，一旦在你的網絡中發(fā)作，業(yè)務將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機特性。這是“無對手”、“無意識”的攻擊行為?！　?木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時象病毒一樣自由擴散，沒有主動的跡象，但進入你的網絡后，便主動與他的“主子”聯絡，從而讓主子來控制你的機器，既可以盜用你的網絡信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網絡”?！　碜跃W絡外部的安全問題，重點是防護與監(jiān)控。來自網絡內部的安全，人員是可控的，可以通過認證、授權、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計?！　∮捎谟羞@些安全隱患的存在，在網絡邊界上，最容易受到的攻擊方式有下面幾種：　　 黑客入侵：入侵的過程是隱秘的，造成的后果是竊取數據與系統(tǒng)破壞。木馬的入侵也屬于黑客的一種，只是入侵的方式采用的病毒傳播，達到的效果與黑客一樣。　　 病毒入侵：病毒就是網絡的蛀蟲與垃圾，大量的自我繁殖，侵占系統(tǒng)與網絡資源，導致系統(tǒng)性能下降。病毒對網關沒有影響，就象“走私”團伙，一旦進入網絡內部，便成為可怕的“瘟疫”，病毒的入侵方式就象“水