【正文】 生產(chǎn)聯(lián)機65001:11001001000生產(chǎn)批量65001:11001001000測試65001:11001001000運行管理65001:11001001000生產(chǎn)其他65001:11001001000 階段三局域網(wǎng)的具體路由策略部署如下圖所示：生產(chǎn)、辦公局域網(wǎng)都使用OSPF路由協(xié)議，生產(chǎn)OSPF進程號為100，辦公OSPF進程號為200。廣域區(qū)交換機為局域網(wǎng)與廣域網(wǎng)的邊界點，負責OSPF 100、200與iBGP的路由再發(fā)布。在廣域網(wǎng)交換機上將iBGP中生產(chǎn)聯(lián)機、生產(chǎn)批量、測試路由導入OSPF 100，辦公路由導入OSPF 200，并設置相應的OSPF Cost：業(yè)務類型CommunityOSPF Process交換機一Cost交換機二Cost生產(chǎn)聯(lián)機65001:11001001000生產(chǎn)批量65001:11001001000測試65001:11001001000運行管理65001:1100/200100/10001000/100生產(chǎn)其他65001:11001001000辦公65001:12001000100辦公其他65001:12001000100第七章 流量工程 流量分布 階段一廣域網(wǎng)上承載的應用包括生產(chǎn)聯(lián)機、生產(chǎn)批量、測試等，各應用的流量分布情況如下圖所示：生產(chǎn)聯(lián)機流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量、測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障情況下，兩條鏈路可以互相切換備份。 階段二廣域網(wǎng)上承載的應用包括生產(chǎn)聯(lián)機、生產(chǎn)批量、測試等，各應用的流量分布情況如下圖所示：生產(chǎn)聯(lián)機流量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路二，再經(jīng)過核心骨干鏈路二到達北京數(shù)據(jù)中心，測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，一級分行到北京數(shù)據(jù)中心的廣域鏈路一作為其他三條鏈路的備份線路，在鏈路故障情況下，4鏈路可以互相切換備份。 階段三廣域網(wǎng)上承載的應用包括生產(chǎn)聯(lián)機、生產(chǎn)批量、辦公、測試等，各應用的流量分布情況如下圖所示：（3條鏈路流量分布圖）一級骨干網(wǎng)3條鏈路情況下，生產(chǎn)聯(lián)機流量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路二，再經(jīng)過核心骨干鏈路二到達北京數(shù)據(jù)中心，辦公、測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障情況下，3鏈路可以互相切換備份。一級骨干網(wǎng)2條鏈路情況下，生產(chǎn)聯(lián)機、生產(chǎn)批量流量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量再經(jīng)過核心骨干鏈路二到達北京數(shù)據(jù)中心，辦公、測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障情況下，2鏈路可以互相切換備份。 QoS策略 總體策略根據(jù)X行實際的組網(wǎng)結構和流量分布情況，QoS策略采用DiffServ模型，在網(wǎng)絡的入口處對數(shù)據(jù)包進行DSCP標識，在廣域網(wǎng)上部署CBQ和WRED技術，根據(jù)數(shù)據(jù)包的DSCP值分配帶寬，提供區(qū)分式服務。QoS總體策略如下所示：（階段一、二QoS總體策略）（階段三QoS總體策略）廣域網(wǎng)上承載了不同種類的應用數(shù)據(jù)，根據(jù)這些應用的重要性和帶寬消耗，給它們分配不同的DSCP值，映射到相應的隊列中，DSCP值具體分配如下：數(shù)據(jù)流優(yōu)先級ClassDSCP值網(wǎng)絡控制信息高EF101110運行管理數(shù)據(jù)流視頻/語音數(shù)據(jù)流生產(chǎn)聯(lián)機數(shù)據(jù)流高AF4100010國際業(yè)務數(shù)據(jù)流100100生產(chǎn)批量數(shù)據(jù)流較高AF3011010辦公數(shù)據(jù)流一般AF2010010測試數(shù)據(jù)流一般AF1001010其他低BE000000在網(wǎng)絡正常條件下，生產(chǎn)聯(lián)機、生產(chǎn)批量、辦公、測試等業(yè)務運行在各自的鏈路上，相互之間不存在帶寬競爭關系。發(fā)生鏈路故障的情況下，受影響的業(yè)務將被切換到其他正常鏈路上，多種業(yè)務之間便可能形成帶寬競爭。為了確保關鍵業(yè)務在任何鏈路條件下都能優(yōu)先得到服務，全網(wǎng)采用統(tǒng)一的QoS策略，核心骨干網(wǎng)的2條廣域鏈路的QoS策略相同，一級骨干網(wǎng)的4條廣域鏈路的策略也相同，即使鏈路發(fā)生故障，某些業(yè)務切換到備份鏈路上后，依然能夠得到原來的帶寬。 階段一、二根據(jù)QoS總體策略，DSCP的標識應該局域網(wǎng)接入層設備完成，考慮到局域網(wǎng)環(huán)境的實際條件，在廣域區(qū)交換機上對局域網(wǎng)進入的數(shù)據(jù)流作統(tǒng)一標記。廣域區(qū)內(nèi)部使用1000M以太網(wǎng)互連，通常情況下不會產(chǎn)生擁塞，因此可以不作QoS保障。在核心骨干和一級骨干路由器的廣域接口上使用CBQ和WRED技術，通過CBQ為各種應用分配相應的帶寬，WRED可以預測網(wǎng)絡的擁塞情況，提前丟棄非關鍵的數(shù)據(jù)包，防止TCP的全局同步問題。廣域鏈路用于QoS分配的帶寬比例設置為物理帶寬的90%，核心骨干網(wǎng)2條鏈路的具體帶寬分配如下：業(yè)務類型帶寬比例622M鏈路網(wǎng)絡控制10%622M*90%*10%=55M生產(chǎn)聯(lián)機45%622M*90%*45%=250M國際業(yè)務生產(chǎn)批量35%195M測試10%55M一級分行到北京、上海數(shù)據(jù)中心4條鏈路的具體帶寬分配如下：業(yè)務類型帶寬比例2M鏈路4M鏈路6M鏈路網(wǎng)絡控制10%180K360K540K生產(chǎn)聯(lián)機55%990K1980K2970K國際業(yè)務生產(chǎn)批量25%450K900K1350K空閑10%180K360K540K（分行到上海數(shù)據(jù)中心的線路一、二帶寬分配）業(yè)務類型帶寬比例2M鏈路4M鏈路6M鏈路網(wǎng)絡控制10%180K360K540K生產(chǎn)聯(lián)機55%990K1980K2970K國際業(yè)務生產(chǎn)批量25%450K900K1350K測試10%180K360K540K（分行到北京數(shù)據(jù)中心的線路一、二帶寬分配） 階段三根據(jù)QoS總體策略，DSCP的標識應該局域網(wǎng)接入層設備完成，考慮到局域網(wǎng)環(huán)境的實際條件，在廣域區(qū)交換機上對局域網(wǎng)進入的數(shù)據(jù)流作統(tǒng)一標記。廣域區(qū)內(nèi)部使用1000M以太網(wǎng)互連，通常情況下不會產(chǎn)生擁塞，因此可以不作QoS保障。在核心骨干和一級骨干路由器的廣域接口上使用CBQ和WRED技術，通過CBQ為各種應用分配相應的帶寬，WRED可以預測網(wǎng)絡的擁塞情況，提前丟棄非關鍵的數(shù)據(jù)包，防止TCP的全局同步問題。廣域鏈路用于QoS分配的帶寬比例設置為物理帶寬的90%，核心骨干網(wǎng)2條鏈路的具體帶寬分配如下：業(yè)務類型帶寬比例622M鏈路網(wǎng)絡控制10%55M生產(chǎn)聯(lián)機35%195M國際業(yè)務生產(chǎn)批量25%135M辦公20%110M測試10%55M一級分行到北京、上海數(shù)據(jù)中心2條鏈路的具體帶寬分配如下：業(yè)務類型帶寬比例4M鏈路8M鏈路12M鏈路網(wǎng)絡控制5%180K360K540K生產(chǎn)聯(lián)機40%1440K2880K4320K國際業(yè)務生產(chǎn)批量25%900K1800K2700K辦公20%720K1440K2160K空閑10%360K720K1080K（分行到上海數(shù)據(jù)中心的線路一帶寬分配）業(yè)務類型帶寬比例4M鏈路8M鏈路12M鏈路網(wǎng)絡控制5%180K360K540K生產(chǎn)聯(lián)機40%1440K2880K4320K國際業(yè)務生產(chǎn)批量25%900K1800K2700K辦公20%720K1440K2160K測試10%360K720K1080K（分行到北京數(shù)據(jù)中心的線路二帶寬分配）第八章 網(wǎng)絡安全 網(wǎng)絡安全原則網(wǎng)絡安全是廣域網(wǎng)建設中非常重要的一環(huán)，網(wǎng)絡安全設計原則如下：216。 設備安全主要指核心骨干路由器、一級骨干路由器以及廣域區(qū)交換機的設備安全，只有經(jīng)過認證的用戶才能訪問廣域網(wǎng)設備，防止非授權用戶對網(wǎng)絡設備的惡意攻擊。216。 業(yè)務安全通過路由加ACL的方式實現(xiàn)網(wǎng)絡層面的安全防護，防止不信任應用之間的互訪。要實現(xiàn)全面的安全防護，還需要通過安全專用設備（防火墻、IDS等）實現(xiàn)應用層面的保護。 設備安全設備安全的部署策略如下所示：216。 只開放必要的網(wǎng)絡服務網(wǎng)絡設備可以提供很多網(wǎng)絡服務，有些服務可能成為網(wǎng)絡攻擊的對象。為了提供網(wǎng)絡設備的安全級別，盡可能關閉不必要的服務，降低網(wǎng)絡攻擊的風險。216。 用戶認證用戶認證應采用集中認證和本地認證相結合的方式，集中認證為主要認證方式，本地認證為備份認證方式，在集中認證服務器無法訪問的情況下使用本地認證。集中認證采用Radius認證協(xié)議，在Radius服務器上建立設備管理用戶，通過單一用戶便可以實現(xiàn)全網(wǎng)設備的統(tǒng)一管理。同時在設備上建立本地用戶數(shù)據(jù)庫，在Radius服務器不可用的情況下，使用本地數(shù)據(jù)庫進行驗證。在VTY和Console接口上啟用用戶認證，認證方式為集中認證和本地認證相結合。216。 Telnet接入安全TELNET是對網(wǎng)絡設備進行管理的主要手段，可以對設備進行最為有效的操作，為了確保TELNET訪問的合法性和安全性，我們需要注意：（1）設置最大會話連接數(shù)；（2）設置訪問控制列表，限制TELNET的連接請求來自指定的源IP網(wǎng)段；（3）盡量用SSH代替TELNET，采用SSH的好處是所有信息以加密的形式在網(wǎng)絡中傳輸。216。 SNMP安全通過SNMP我們可以對設備進行全面的日常管理，為了提高SNMP管理的安全性，需要應注意以下幾點：（1）避免使用缺省的snmp munity，設置高質(zhì)量的口令；（2）不同區(qū)域的網(wǎng)絡設備采用不同的snmp munity；（3）把只讀snmp munity和可讀寫snmp munity區(qū)分開來；（4）配置ACL來限制能夠通過SNMP訪問網(wǎng)絡設備的網(wǎng)管服務器的IP地址。216。 日志記錄為了能夠對廣域網(wǎng)設備進行監(jiān)控和故障信息記錄，需要記錄網(wǎng)絡設備的運行狀態(tài)。日志記錄主要包括以下內(nèi)容：（1）收集網(wǎng)絡設備的SYSLOG；（2）設置SYSLOG Server（通常位于網(wǎng)管工作站上）用于收集所有網(wǎng)絡設備的SYSLOG；（3）所有的SYSLOG可以送到專門的事件管理服務器上，進行事件的壓縮、關聯(lián)和分析，有利于更好的故障定位和處理。（4）收集SNMP Trap，通過網(wǎng)管工作站收集網(wǎng)絡設備的SNMP Trap信息，便于及時的故障處理；（5）收集用戶操作記錄，通過AAA服務器，對用戶進行認證、授權和行為跟蹤，產(chǎn)生相應的日志報告，以供安全審計。216。 路由協(xié)議安全路由協(xié)議的安全主要指鄰居關系的可靠建立和路由信息的安全交換，廣域網(wǎng)項目中主要涉及BGP和OSPF兩種路由協(xié)議，通過啟用它們的安全驗證功能，可以提高廣域網(wǎng)路由協(xié)議的安全性。（1）BGP路由驗證（必要）核心骨干網(wǎng)、一級骨干網(wǎng)的eBGP鄰居關系，以及廣域區(qū)的iBGP鄰居關系都應該使用MD5密碼驗證，保證BGP鄰居關系的合法建立，提高BGP路由交換的安全性。（2）OSPF路由驗證（必要）在OSPF進程100、200、300上都啟用基于Area的MD5驗證，保證OSPF鄰居關系的合法建立。216。 訪問控制為了防止局域網(wǎng)對廣域網(wǎng)設備的非法訪問，在廣域區(qū)交換機與局域網(wǎng)相連的端口上應用入方向的ACL訪問控制，只允許運行管理區(qū)的特定主機可以訪問廣域網(wǎng)設備，其他的一概不能訪問。216。 路由隔離廣域區(qū)設備運行在OSPF 300中，缺省情況下，局域網(wǎng)是無法學到OSPF 300的路由，因此局域網(wǎng)也就無從訪問廣域網(wǎng)設備。但是運行管理區(qū)可能需要訪問廣域區(qū)設備，如果將OSPF 300再發(fā)布至局域網(wǎng)，應該確保除運行管理區(qū)外，其他區(qū)不能學到廣域網(wǎng)設備的路由。 業(yè)務安全 階段一、二業(yè)務安全的部署策略如下所示：216。 網(wǎng)絡層面生產(chǎn)網(wǎng)絡內(nèi)部路由完全互通，因此不能通過路由保證各業(yè)務之間的安全隔離。生產(chǎn)業(yè)務內(nèi)部的安全在網(wǎng)絡層面主要通過ACL實現(xiàn)，在廣域交換機上對生產(chǎn)局域網(wǎng)接入進行ACL控制，通過ACL保障關鍵應用的安全性。ACL的缺省規(guī)則應該為deny，需要開放的訪問通過手工添加permit規(guī)則，防止可能產(chǎn)生的安全漏洞。比如對于生產(chǎn)聯(lián)機應用，我們只允許分行的生產(chǎn)聯(lián)機能夠訪問總行的生產(chǎn)聯(lián)機服務器，可以專門為生產(chǎn)聯(lián)機添加一條規(guī)則，而其他未添加規(guī)則的應用仍然處于拒絕狀態(tài)。216。 應用層面ACL控制只能實現(xiàn)網(wǎng)絡層面的防護，并不能識別應用層的數(shù)據(jù)，要實現(xiàn)全面的安全防護，還需要借助于專用的安全設備。為了提高生產(chǎn)局域網(wǎng)內(nèi)部的安全性，需要在局域網(wǎng)內(nèi)部的關鍵業(yè)務區(qū)部署IDS，對網(wǎng)絡流量進行實時監(jiān)控和控制，及時發(fā)現(xiàn)網(wǎng)絡攻擊行為，然后采取適當?shù)膽獙Υ胧Ｔ谏a(chǎn)外聯(lián)區(qū)域應該部署多道防火墻，拒絕外聯(lián)單位對非授權區(qū)域的訪問。生產(chǎn)局域網(wǎng)和辦公局域網(wǎng)之間也應該部署防火墻，通過嚴格的防火墻策略，保證生產(chǎn)局域網(wǎng)的安全性。 階段三業(yè)務安全的部署策略如下所示：216。 網(wǎng)絡層面生產(chǎn)和辦公網(wǎng)絡的路由是完全隔離的，因此兩者之間不能直接互相訪問，它們的互相需要通過防火墻。網(wǎng)絡層面防護的重點還是在生產(chǎn)或辦公業(yè)務的內(nèi)部，通過ACL對業(yè)務內(nèi)部互訪進行嚴格控制。在廣域交換機上對生產(chǎn)、辦公局域網(wǎng)接入進行ACL控制，通過ACL保障關鍵應用的安全性。ACL的缺省規(guī)則應該為deny，需要開放的訪問通過手工添加permit規(guī)則，防止可能產(chǎn)生的安全漏洞。比如對于生產(chǎn)聯(lián)機應用，我們只允許分行的生產(chǎn)聯(lián)機能夠訪問總行的生產(chǎn)聯(lián)機服務器，可以專門為生產(chǎn)聯(lián)機添加一條規(guī)則，而其他為添加規(guī)則的應用仍然處于拒絕狀態(tài)。216。 應用層面ACL控制只能實現(xiàn)網(wǎng)絡層面的防護