【正文】 生產(chǎn)聯(lián)機(jī)65001:11001001000生產(chǎn)批量65001:11001001000測試65001:11001001000運(yùn)行管理65001:11001001000生產(chǎn)其他65001:11001001000 階段三局域網(wǎng)的具體路由策略部署如下圖所示：生產(chǎn)、辦公局域網(wǎng)都使用OSPF路由協(xié)議，生產(chǎn)OSPF進(jìn)程號為100，辦公OSPF進(jìn)程號為200。廣域區(qū)交換機(jī)為局域網(wǎng)與廣域網(wǎng)的邊界點(diǎn)，負(fù)責(zé)OSPF 100、200與iBGP的路由再發(fā)布。在廣域網(wǎng)交換機(jī)上將iBGP中生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、測試路由導(dǎo)入OSPF 100，辦公路由導(dǎo)入OSPF 200，并設(shè)置相應(yīng)的OSPF Cost：業(yè)務(wù)類型CommunityOSPF Process交換機(jī)一Cost交換機(jī)二Cost生產(chǎn)聯(lián)機(jī)65001:11001001000生產(chǎn)批量65001:11001001000測試65001:11001001000運(yùn)行管理65001:1100/200100/10001000/100生產(chǎn)其他65001:11001001000辦公65001:12001000100辦公其他65001:12001000100第七章 流量工程 流量分布 階段一廣域網(wǎng)上承載的應(yīng)用包括生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、測試等，各應(yīng)用的流量分布情況如下圖所示：生產(chǎn)聯(lián)機(jī)流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量、測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障情況下，兩條鏈路可以互相切換備份。 階段二廣域網(wǎng)上承載的應(yīng)用包括生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、測試等，各應(yīng)用的流量分布情況如下圖所示：生產(chǎn)聯(lián)機(jī)流量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路二，再經(jīng)過核心骨干鏈路二到達(dá)北京數(shù)據(jù)中心，測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，一級分行到北京數(shù)據(jù)中心的廣域鏈路一作為其他三條鏈路的備份線路，在鏈路故障情況下，4鏈路可以互相切換備份。 階段三廣域網(wǎng)上承載的應(yīng)用包括生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、辦公、測試等，各應(yīng)用的流量分布情況如下圖所示：（3條鏈路流量分布圖）一級骨干網(wǎng)3條鏈路情況下，生產(chǎn)聯(lián)機(jī)流量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路二，再經(jīng)過核心骨干鏈路二到達(dá)北京數(shù)據(jù)中心，辦公、測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障情況下，3鏈路可以互相切換備份。一級骨干網(wǎng)2條鏈路情況下，生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量流量經(jīng)過一級分行到上海數(shù)據(jù)中心的廣域鏈路一，生產(chǎn)批量再經(jīng)過核心骨干鏈路二到達(dá)北京數(shù)據(jù)中心，辦公、測試流量經(jīng)過一級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障情況下，2鏈路可以互相切換備份。 QoS策略 總體策略根據(jù)X行實(shí)際的組網(wǎng)結(jié)構(gòu)和流量分布情況，QoS策略采用DiffServ模型，在網(wǎng)絡(luò)的入口處對數(shù)據(jù)包進(jìn)行DSCP標(biāo)識，在廣域網(wǎng)上部署CBQ和WRED技術(shù)，根據(jù)數(shù)據(jù)包的DSCP值分配帶寬，提供區(qū)分式服務(wù)。QoS總體策略如下所示：（階段一、二QoS總體策略）（階段三QoS總體策略）廣域網(wǎng)上承載了不同種類的應(yīng)用數(shù)據(jù)，根據(jù)這些應(yīng)用的重要性和帶寬消耗，給它們分配不同的DSCP值，映射到相應(yīng)的隊(duì)列中，DSCP值具體分配如下：數(shù)據(jù)流優(yōu)先級ClassDSCP值網(wǎng)絡(luò)控制信息高EF101110運(yùn)行管理數(shù)據(jù)流視頻/語音數(shù)據(jù)流生產(chǎn)聯(lián)機(jī)數(shù)據(jù)流高AF4100010國際業(yè)務(wù)數(shù)據(jù)流100100生產(chǎn)批量數(shù)據(jù)流較高AF3011010辦公數(shù)據(jù)流一般AF2010010測試數(shù)據(jù)流一般AF1001010其他低BE000000在網(wǎng)絡(luò)正常條件下，生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、辦公、測試等業(yè)務(wù)運(yùn)行在各自的鏈路上，相互之間不存在帶寬競爭關(guān)系。發(fā)生鏈路故障的情況下，受影響的業(yè)務(wù)將被切換到其他正常鏈路上，多種業(yè)務(wù)之間便可能形成帶寬競爭。為了確保關(guān)鍵業(yè)務(wù)在任何鏈路條件下都能優(yōu)先得到服務(wù)，全網(wǎng)采用統(tǒng)一的QoS策略，核心骨干網(wǎng)的2條廣域鏈路的QoS策略相同，一級骨干網(wǎng)的4條廣域鏈路的策略也相同，即使鏈路發(fā)生故障，某些業(yè)務(wù)切換到備份鏈路上后，依然能夠得到原來的帶寬。 階段一、二根據(jù)QoS總體策略，DSCP的標(biāo)識應(yīng)該局域網(wǎng)接入層設(shè)備完成，考慮到局域網(wǎng)環(huán)境的實(shí)際條件，在廣域區(qū)交換機(jī)上對局域網(wǎng)進(jìn)入的數(shù)據(jù)流作統(tǒng)一標(biāo)記。廣域區(qū)內(nèi)部使用1000M以太網(wǎng)互連，通常情況下不會產(chǎn)生擁塞，因此可以不作QoS保障。在核心骨干和一級骨干路由器的廣域接口上使用CBQ和WRED技術(shù)，通過CBQ為各種應(yīng)用分配相應(yīng)的帶寬，WRED可以預(yù)測網(wǎng)絡(luò)的擁塞情況，提前丟棄非關(guān)鍵的數(shù)據(jù)包，防止TCP的全局同步問題。廣域鏈路用于QoS分配的帶寬比例設(shè)置為物理帶寬的90%，核心骨干網(wǎng)2條鏈路的具體帶寬分配如下：業(yè)務(wù)類型帶寬比例622M鏈路網(wǎng)絡(luò)控制10%622M*90%*10%=55M生產(chǎn)聯(lián)機(jī)45%622M*90%*45%=250M國際業(yè)務(wù)生產(chǎn)批量35%195M測試10%55M一級分行到北京、上海數(shù)據(jù)中心4條鏈路的具體帶寬分配如下：業(yè)務(wù)類型帶寬比例2M鏈路4M鏈路6M鏈路網(wǎng)絡(luò)控制10%180K360K540K生產(chǎn)聯(lián)機(jī)55%990K1980K2970K國際業(yè)務(wù)生產(chǎn)批量25%450K900K1350K空閑10%180K360K540K（分行到上海數(shù)據(jù)中心的線路一、二帶寬分配）業(yè)務(wù)類型帶寬比例2M鏈路4M鏈路6M鏈路網(wǎng)絡(luò)控制10%180K360K540K生產(chǎn)聯(lián)機(jī)55%990K1980K2970K國際業(yè)務(wù)生產(chǎn)批量25%450K900K1350K測試10%180K360K540K（分行到北京數(shù)據(jù)中心的線路一、二帶寬分配） 階段三根據(jù)QoS總體策略，DSCP的標(biāo)識應(yīng)該局域網(wǎng)接入層設(shè)備完成，考慮到局域網(wǎng)環(huán)境的實(shí)際條件，在廣域區(qū)交換機(jī)上對局域網(wǎng)進(jìn)入的數(shù)據(jù)流作統(tǒng)一標(biāo)記。廣域區(qū)內(nèi)部使用1000M以太網(wǎng)互連，通常情況下不會產(chǎn)生擁塞，因此可以不作QoS保障。在核心骨干和一級骨干路由器的廣域接口上使用CBQ和WRED技術(shù)，通過CBQ為各種應(yīng)用分配相應(yīng)的帶寬，WRED可以預(yù)測網(wǎng)絡(luò)的擁塞情況，提前丟棄非關(guān)鍵的數(shù)據(jù)包，防止TCP的全局同步問題。廣域鏈路用于QoS分配的帶寬比例設(shè)置為物理帶寬的90%，核心骨干網(wǎng)2條鏈路的具體帶寬分配如下：業(yè)務(wù)類型帶寬比例622M鏈路網(wǎng)絡(luò)控制10%55M生產(chǎn)聯(lián)機(jī)35%195M國際業(yè)務(wù)生產(chǎn)批量25%135M辦公20%110M測試10%55M一級分行到北京、上海數(shù)據(jù)中心2條鏈路的具體帶寬分配如下：業(yè)務(wù)類型帶寬比例4M鏈路8M鏈路12M鏈路網(wǎng)絡(luò)控制5%180K360K540K生產(chǎn)聯(lián)機(jī)40%1440K2880K4320K國際業(yè)務(wù)生產(chǎn)批量25%900K1800K2700K辦公20%720K1440K2160K空閑10%360K720K1080K（分行到上海數(shù)據(jù)中心的線路一帶寬分配）業(yè)務(wù)類型帶寬比例4M鏈路8M鏈路12M鏈路網(wǎng)絡(luò)控制5%180K360K540K生產(chǎn)聯(lián)機(jī)40%1440K2880K4320K國際業(yè)務(wù)生產(chǎn)批量25%900K1800K2700K辦公20%720K1440K2160K測試10%360K720K1080K（分行到北京數(shù)據(jù)中心的線路二帶寬分配）第八章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)安全是廣域網(wǎng)建設(shè)中非常重要的一環(huán)，網(wǎng)絡(luò)安全設(shè)計(jì)原則如下：216。 設(shè)備安全主要指核心骨干路由器、一級骨干路由器以及廣域區(qū)交換機(jī)的設(shè)備安全，只有經(jīng)過認(rèn)證的用戶才能訪問廣域網(wǎng)設(shè)備，防止非授權(quán)用戶對網(wǎng)絡(luò)設(shè)備的惡意攻擊。216。 業(yè)務(wù)安全通過路由加ACL的方式實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全防護(hù)，防止不信任應(yīng)用之間的互訪。要實(shí)現(xiàn)全面的安全防護(hù)，還需要通過安全專用設(shè)備（防火墻、IDS等）實(shí)現(xiàn)應(yīng)用層面的保護(hù)。 設(shè)備安全設(shè)備安全的部署策略如下所示：216。 只開放必要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對象。為了提供網(wǎng)絡(luò)設(shè)備的安全級別，盡可能關(guān)閉不必要的服務(wù)，降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。216。 用戶認(rèn)證用戶認(rèn)證應(yīng)采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式，集中認(rèn)證為主要認(rèn)證方式，本地認(rèn)證為備份認(rèn)證方式，在集中認(rèn)證服務(wù)器無法訪問的情況下使用本地認(rèn)證。集中認(rèn)證采用Radius認(rèn)證協(xié)議，在Radius服務(wù)器上建立設(shè)備管理用戶，通過單一用戶便可以實(shí)現(xiàn)全網(wǎng)設(shè)備的統(tǒng)一管理。同時(shí)在設(shè)備上建立本地用戶數(shù)據(jù)庫，在Radius服務(wù)器不可用的情況下，使用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證。在VTY和Console接口上啟用用戶認(rèn)證，認(rèn)證方式為集中認(rèn)證和本地認(rèn)證相結(jié)合。216。 Telnet接入安全TELNET是對網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段，可以對設(shè)備進(jìn)行最為有效的操作，為了確保TELNET訪問的合法性和安全性，我們需要注意：（1）設(shè)置最大會話連接數(shù)；（2）設(shè)置訪問控制列表，限制TELNET的連接請求來自指定的源IP網(wǎng)段；（3）盡量用SSH代替TELNET，采用SSH的好處是所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。216。 SNMP安全通過SNMP我們可以對設(shè)備進(jìn)行全面的日常管理，為了提高SNMP管理的安全性，需要應(yīng)注意以下幾點(diǎn)：（1）避免使用缺省的snmp munity，設(shè)置高質(zhì)量的口令；（2）不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmp munity；（3）把只讀snmp munity和可讀寫snmp munity區(qū)分開來；（4）配置ACL來限制能夠通過SNMP訪問網(wǎng)絡(luò)設(shè)備的網(wǎng)管服務(wù)器的IP地址。216。 日志記錄為了能夠?qū)V域網(wǎng)設(shè)備進(jìn)行監(jiān)控和故障信息記錄，需要記錄網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)。日志記錄主要包括以下內(nèi)容：（1）收集網(wǎng)絡(luò)設(shè)備的SYSLOG；（2）設(shè)置SYSLOG Server（通常位于網(wǎng)管工作站上）用于收集所有網(wǎng)絡(luò)設(shè)備的SYSLOG；（3）所有的SYSLOG可以送到專門的事件管理服務(wù)器上，進(jìn)行事件的壓縮、關(guān)聯(lián)和分析，有利于更好的故障定位和處理。（4）收集SNMP Trap，通過網(wǎng)管工作站收集網(wǎng)絡(luò)設(shè)備的SNMP Trap信息，便于及時(shí)的故障處理；（5）收集用戶操作記錄，通過AAA服務(wù)器，對用戶進(jìn)行認(rèn)證、授權(quán)和行為跟蹤，產(chǎn)生相應(yīng)的日志報(bào)告，以供安全審計(jì)。216。 路由協(xié)議安全路由協(xié)議的安全主要指鄰居關(guān)系的可靠建立和路由信息的安全交換，廣域網(wǎng)項(xiàng)目中主要涉及BGP和OSPF兩種路由協(xié)議，通過啟用它們的安全驗(yàn)證功能，可以提高廣域網(wǎng)路由協(xié)議的安全性。（1）BGP路由驗(yàn)證（必要）核心骨干網(wǎng)、一級骨干網(wǎng)的eBGP鄰居關(guān)系，以及廣域區(qū)的iBGP鄰居關(guān)系都應(yīng)該使用MD5密碼驗(yàn)證，保證BGP鄰居關(guān)系的合法建立，提高BGP路由交換的安全性。（2）OSPF路由驗(yàn)證（必要）在OSPF進(jìn)程100、200、300上都啟用基于Area的MD5驗(yàn)證，保證OSPF鄰居關(guān)系的合法建立。216。 訪問控制為了防止局域網(wǎng)對廣域網(wǎng)設(shè)備的非法訪問，在廣域區(qū)交換機(jī)與局域網(wǎng)相連的端口上應(yīng)用入方向的ACL訪問控制，只允許運(yùn)行管理區(qū)的特定主機(jī)可以訪問廣域網(wǎng)設(shè)備，其他的一概不能訪問。216。 路由隔離廣域區(qū)設(shè)備運(yùn)行在OSPF 300中，缺省情況下，局域網(wǎng)是無法學(xué)到OSPF 300的路由，因此局域網(wǎng)也就無從訪問廣域網(wǎng)設(shè)備。但是運(yùn)行管理區(qū)可能需要訪問廣域區(qū)設(shè)備，如果將OSPF 300再發(fā)布至局域網(wǎng)，應(yīng)該確保除運(yùn)行管理區(qū)外，其他區(qū)不能學(xué)到廣域網(wǎng)設(shè)備的路由。 業(yè)務(wù)安全 階段一、二業(yè)務(wù)安全的部署策略如下所示：216。 網(wǎng)絡(luò)層面生產(chǎn)網(wǎng)絡(luò)內(nèi)部路由完全互通，因此不能通過路由保證各業(yè)務(wù)之間的安全隔離。生產(chǎn)業(yè)務(wù)內(nèi)部的安全在網(wǎng)絡(luò)層面主要通過ACL實(shí)現(xiàn)，在廣域交換機(jī)上對生產(chǎn)局域網(wǎng)接入進(jìn)行ACL控制，通過ACL保障關(guān)鍵應(yīng)用的安全性。ACL的缺省規(guī)則應(yīng)該為deny，需要開放的訪問通過手工添加permit規(guī)則，防止可能產(chǎn)生的安全漏洞。比如對于生產(chǎn)聯(lián)機(jī)應(yīng)用，我們只允許分行的生產(chǎn)聯(lián)機(jī)能夠訪問總行的生產(chǎn)聯(lián)機(jī)服務(wù)器，可以專門為生產(chǎn)聯(lián)機(jī)添加一條規(guī)則，而其他未添加規(guī)則的應(yīng)用仍然處于拒絕狀態(tài)。216。 應(yīng)用層面ACL控制只能實(shí)現(xiàn)網(wǎng)絡(luò)層面的防護(hù)，并不能識別應(yīng)用層的數(shù)據(jù)，要實(shí)現(xiàn)全面的安全防護(hù)，還需要借助于專用的安全設(shè)備。為了提高生產(chǎn)局域網(wǎng)內(nèi)部的安全性，需要在局域網(wǎng)內(nèi)部的關(guān)鍵業(yè)務(wù)區(qū)部署IDS，對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控和控制，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，然后采取適當(dāng)?shù)膽?yīng)對措施。在生產(chǎn)外聯(lián)區(qū)域應(yīng)該部署多道防火墻，拒絕外聯(lián)單位對非授權(quán)區(qū)域的訪問。生產(chǎn)局域網(wǎng)和辦公局域網(wǎng)之間也應(yīng)該部署防火墻，通過嚴(yán)格的防火墻策略，保證生產(chǎn)局域網(wǎng)的安全性。 階段三業(yè)務(wù)安全的部署策略如下所示：216。 網(wǎng)絡(luò)層面生產(chǎn)和辦公網(wǎng)絡(luò)的路由是完全隔離的，因此兩者之間不能直接互相訪問，它們的互相需要通過防火墻。網(wǎng)絡(luò)層面防護(hù)的重點(diǎn)還是在生產(chǎn)或辦公業(yè)務(wù)的內(nèi)部，通過ACL對業(yè)務(wù)內(nèi)部互訪進(jìn)行嚴(yán)格控制。在廣域交換機(jī)上對生產(chǎn)、辦公局域網(wǎng)接入進(jìn)行ACL控制，通過ACL保障關(guān)鍵應(yīng)用的安全性。ACL的缺省規(guī)則應(yīng)該為deny，需要開放的訪問通過手工添加permit規(guī)則，防止可能產(chǎn)生的安全漏洞。比如對于生產(chǎn)聯(lián)機(jī)應(yīng)用，我們只允許分行的生產(chǎn)聯(lián)機(jī)能夠訪問總行的生產(chǎn)聯(lián)機(jī)服務(wù)器，可以專門為生產(chǎn)聯(lián)機(jī)添加一條規(guī)則，而其他為添加規(guī)則的應(yīng)用仍然處于拒絕狀態(tài)。216。 應(yīng)用層面ACL控制只能實(shí)現(xiàn)網(wǎng)絡(luò)層面的防護(hù)