【正文】 41 / 87 QoS 流量分類根據(jù)數(shù)據(jù)流的 IP 地址或服務(wù)端口號將數(shù)據(jù)流分為六類，如下表所示：所屬類別 ACL命名 所屬隊列關(guān)鍵業(yè)務(wù)類 Key PQ語音業(yè)務(wù)類 Voice PQ視頻會議類 Video PQ管理數(shù)據(jù)類辦公業(yè)務(wù)類OA缺中心業(yè)務(wù)類CBWFQ? 內(nèi)網(wǎng)互聯(lián)區(qū)管理網(wǎng)路由器的QoS配置模板在配置之前請確認當前設(shè)備的軟件版本是否支持將要配置的 QoS 技術(shù)。中心錦泰保險骨干網(wǎng)的 QoS 部署采用如下的方式：從錦泰保險中心機房通過內(nèi)網(wǎng)區(qū)管理網(wǎng)路由器流向地市分公司管理網(wǎng)路由器的數(shù)據(jù)包，在錦泰保險內(nèi)網(wǎng)區(qū)管理網(wǎng)路由器上同時實施數(shù)據(jù)包的分類和擁塞管理；從地市分公司管理網(wǎng)路由器流向錦泰保險的數(shù)據(jù)包在地市分公司管理網(wǎng)路由器上同時實施數(shù)據(jù)包的分類和擁塞管理。當生產(chǎn)網(wǎng)鏈路或設(shè)備故障后，需要自動切換到管理網(wǎng)鏈路上，而管理網(wǎng)故障不做數(shù)據(jù)流的切換。盡管骨干網(wǎng)的不斷完善提高了整個網(wǎng)絡(luò)的性能和帶寬，但更多的帶寬并不能保證網(wǎng)絡(luò)不發(fā)生擁塞，因為網(wǎng)絡(luò)上的各種新的應(yīng)用層出不窮，訪問量急增，對帶寬的占用越來越多，只靠增加帶寬不能保證各個服務(wù)的級別。39 / 87外聯(lián)區(qū)安全策略的部署外聯(lián)區(qū)保持現(xiàn)有策略不變。網(wǎng)絡(luò)設(shè)備自身安全保護為了防止對網(wǎng)絡(luò)設(shè)備的非法入侵，生產(chǎn)服務(wù)器區(qū)交換機和防火墻應(yīng)做好自我保護。生產(chǎn)服務(wù)器區(qū)安全策略的部署生產(chǎn)服務(wù)器區(qū)作為數(shù)據(jù)中心的關(guān)鍵應(yīng)用區(qū)域，使用硬件防火墻和 IDS 設(shè)備控制進出該區(qū)域的流量。? 網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認有軟件 Bug 的網(wǎng)絡(luò)服務(wù)和可能對自身產(chǎn)生安全威脅的服務(wù)；38 / 87? 加密設(shè)備密碼；? 用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對操作有相應(yīng)的授權(quán)、認證和審計）? 網(wǎng)管 SNMP 安全，對 SNMP 訪問設(shè)置 ACL 控制，只允許許可范圍內(nèi)的 IP地址通過 SNMP 管理設(shè)備。? 在內(nèi)網(wǎng)區(qū)的路由器上，ACL 雙向部署，控制這些端口出（out）和入（in）的流量。預防惡意代碼的安全控制策略如下：? 根據(jù)已知的各類惡意代碼，識別其傳輸特征，編寫相應(yīng)的 ACL；? 把 ACL 部署在關(guān)鍵的控制點上，這些控制點包括：? 各功能區(qū)的出口交換機上（防火墻默認情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時，也可以部署在功能區(qū)內(nèi)各 VLAN 上，達到更進一步控制惡意代碼傳播的目的。安全控制設(shè)計如下：? 在生產(chǎn)服務(wù)器區(qū)邊界部署專用硬件防火墻，防火墻采用雙機主備工作模式，保障系統(tǒng)可靠性；37 / 87? 在防火墻上部署嚴格的安全控制策略，對數(shù)據(jù)流執(zhí)行雙向控制；? 確定客戶端和服務(wù)器之間的訪問規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上。通過網(wǎng)絡(luò)結(jié)構(gòu)的功能分區(qū)，在網(wǎng)絡(luò)安全上實現(xiàn)了以下目標：? 實現(xiàn)不同功能的設(shè)備處在不同的分區(qū)內(nèi)，實現(xiàn)了數(shù)據(jù)鏈路層上物理隔離；? 各分區(qū)有單一的出入口；? 分區(qū)之間互訪必須經(jīng)過網(wǎng)絡(luò)層路由；? 為其他安全控制策略的部署奠定了基礎(chǔ)；? 應(yīng)用系統(tǒng)內(nèi)部安全策略。? 專用的軟硬件，設(shè)備自身安全性很高；? 提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT 或 PAT）功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護內(nèi)部地址的私密性；36 / 87? 提供嚴格的安全管理策略，除了明確定義允許通過的數(shù)據(jù)，其他數(shù)據(jù)都是被拒絕的；? 多層次的安全級別，為不同的安全區(qū)域提供差異化的安全級別，如 DMZ區(qū)域；? 提供多樣的系統(tǒng)安全策略和日志功能。ACL 通過對網(wǎng)絡(luò)數(shù)據(jù)源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。達到了一定程度的物理安全性。網(wǎng)絡(luò)設(shè)備自身安全分析網(wǎng)絡(luò)設(shè)備自身的安全風險主要有：? 網(wǎng)絡(luò)設(shè)備的物理安全；? 網(wǎng)絡(luò)設(shè)備操作系統(tǒng) Bug 和對外提供的網(wǎng)絡(luò)服務(wù)風險；? 網(wǎng)絡(luò)管理協(xié)議 SNMP 非授權(quán)訪問的風險；? 設(shè)備訪問密碼安全；? 設(shè)備用戶安全風險；? 安全技術(shù)中心錦泰保險中心機房局域網(wǎng)安全設(shè)計基于基礎(chǔ)設(shè)施總體架構(gòu)設(shè)計中使用的模塊化設(shè)計方案，是基于業(yè)界企業(yè)級網(wǎng)絡(luò)參考架構(gòu)和安全架構(gòu)進行的，包括Cisco SAFE 和 IBM eBusiness reference model 模型，在設(shè)計中考慮了網(wǎng)絡(luò)的擴展性、可用性、管理性、高性能等因素，也重點覆蓋了安全性設(shè)計。? 安全分析在本次項目中，中心中心數(shù)據(jù)中心局域網(wǎng)內(nèi)的安全威脅分析基于：? 網(wǎng)絡(luò)基礎(chǔ)拓撲架構(gòu)在邏輯上分成了 8 個功能區(qū)；? 應(yīng)用系統(tǒng)訪問關(guān)系；應(yīng)用系統(tǒng)服務(wù)器內(nèi)部安全分析應(yīng)用系統(tǒng)安全風險存在于:? 低安全級別服務(wù)器對高安全級別服務(wù)器上不適當?shù)脑L問；? 授權(quán)客戶端對服務(wù)器的不適當訪問；? 非授權(quán)客戶端對服務(wù)器的不適當訪問；? 不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當訪問；? 惡意代碼對服務(wù)器的不良影響。? 測試交換機不允許起非測試地址的 VLAN。? 在連接骨干交換機的端口對病毒端口做 in 和 out 兩個方向的 ACL 控制。? 在連接核心交換去的交換機的端口對病毒端口做 in 和 out 兩個方向的ACL 控制。? 在連接核心交換去的交換機的端口對病毒端口做 in 和 out 兩個方向的ACL 控制。? 管理網(wǎng)用戶區(qū) ACL 規(guī)劃 ? Vlan 之間的互訪暫不控制。數(shù)據(jù)包過濾錦泰保險的外聯(lián)接入路由器需要配置必要的 ACL,主要對病毒和 DOS 攻擊實現(xiàn)數(shù)據(jù)包級別的安全控制。? 外聯(lián)區(qū) ACL 規(guī)劃 網(wǎng)絡(luò)訪問控制在外聯(lián)區(qū)接入路由器上通過控制外單位可以學到的網(wǎng)段路由，保證每個外單位只能夠訪問到自己允許被訪問到的網(wǎng)段，而不能隨意訪問到其他外單位的網(wǎng)絡(luò)中，或者訪問到錦泰保險中心機房其他禁止訪問的網(wǎng)段。? Vlan 之間的互訪暫不控制。31 / 87? 需要在連接核心交換區(qū)交換機的端口對病毒端口做 in 和 out 兩個方向的 ACL 控制? 管理網(wǎng)服務(wù)器區(qū) ACL 規(guī)劃 ? 不允許測試區(qū)訪問管理網(wǎng)服務(wù)器區(qū)。? 不允許管理網(wǎng)服務(wù)器區(qū)訪問生產(chǎn)網(wǎng)服務(wù)器區(qū)。在本次四川錦泰保險中心機房局域網(wǎng)改造項目中我們需要實施以下的控制。它包括有關(guān)策略、模型、機制的基礎(chǔ)理論與實現(xiàn)方法。廣域網(wǎng)路由設(shè)計光域網(wǎng)總體設(shè)計 ACL實施規(guī)劃在計算機系統(tǒng)中，安全機制的核心是訪問控制。此類靜態(tài) 路由需通過OSPF重分發(fā)靜態(tài)方式發(fā)布到OSPF鏈路狀態(tài)數(shù)據(jù)庫中。外聯(lián)區(qū)的JT_EN_5520_FW_01 和JT_EN_5520_FW_02與核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02之間運行靜態(tài)路由。外聯(lián)區(qū)的路由設(shè)計：外聯(lián)區(qū)的JT_EN_5520_FW_01 和JT_EN_5520_FW_02與核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02之間分別用一條以太口直連，形成口字型連接。內(nèi)聯(lián)區(qū)JTIN3945_RT_01和JTIN3945_RT_02機與2臺核心交換區(qū)的交換機間啟用4 個三層Vlan。運維管理區(qū)的JT_OM_4948_SW_01上通過ＯＳＰＦ直接宣告到OSPF鏈路狀態(tài)數(shù)據(jù)庫中，在核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02形成一條OSPF 內(nèi)部路由。運維管理用戶區(qū)的路由設(shè)計：運維管理區(qū)的JT_OM_4948_SW_01與核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02 交換機間使用2 對光纖建立full mesh連接。管理服務(wù)器區(qū)的1 臺核心交換機與 2臺核心交換區(qū)的交換機間啟用 2個三層物理接口。管理服務(wù)器區(qū)的JT_IS_4506_SW_0JT_IS_4506_SW_02上配置到管理服務(wù)器的網(wǎng)段的匯總靜態(tài)路由，該靜態(tài)路由通過OSPF重分發(fā)靜態(tài)路由的方式發(fā)布到OSPF 鏈路狀態(tài)數(shù)據(jù)庫中，在核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02形成一條類型１的外部路由。管理服務(wù)器區(qū)的路由設(shè)計：管理服務(wù)器區(qū)的JT_IS_4506_SW_0JT_IS_4506_SW_02與核心交換區(qū)的JT_CS_4506_SW_01 和JT_CS_4506_SW_02交換機間使用4對光纖建立full mesh連接。核心服務(wù)器區(qū)的2 臺核心交換機與 2臺核心交換區(qū)的交換機間啟用 4個三層Vlan。中心數(shù)據(jù)中心局域網(wǎng)路由設(shè)計：數(shù)據(jù)中心七個分區(qū)中的核心網(wǎng)絡(luò)設(shè)備與核心交換區(qū)的核心交換機之間的鏈路全部運行在OSPF AREA 0中。地市分公司路由器和錦泰保險分公司路由器之間的鏈路運行ＲＩＰ V２。其中連接JTIN3945_RT_01和地市分公司生產(chǎn)網(wǎng)路由器的電信ＳＤＨ的鏈路上運行OSPF AREA 1。連接JTIN3945_RT_02和地市分公司管理網(wǎng)路由器的移動ＳＤＨ的鏈路上運行OSPF AREA ２。在中心中心廣域網(wǎng)區(qū)路由器JTIN3945_RT_01和 JTIN3945_RT_02上將連接各地市分公司的廣域網(wǎng)鏈路劃分到不同的OSPF AREA中。當?shù)厥蟹止尽㈠\泰保險分公司的生產(chǎn)網(wǎng)網(wǎng)絡(luò)設(shè)備或鏈路故障時能使用管理網(wǎng)的設(shè)備和鏈路實現(xiàn)自動冗余。某個錦泰保險分公司到地市中心生產(chǎn)網(wǎng)線路或設(shè)備故障后，生產(chǎn)網(wǎng)數(shù)據(jù)流需要自動切換到管理網(wǎng)線路上，保證該錦泰保險分公司的生產(chǎn)數(shù)據(jù)流能正常訪問中心中心的生產(chǎn)網(wǎng)服務(wù)器。某個地市分公司到中心中心管理網(wǎng)線路或設(shè)備故障后，管理網(wǎng)數(shù)據(jù)流不做自動冗余，該地市分公司轄內(nèi)管理網(wǎng)數(shù)據(jù)流均不能正常訪問中心中心管理網(wǎng)服務(wù)器。管理網(wǎng)分離后，中心中心到地市分公司、地市分公司到錦泰保險分公司的管理網(wǎng)和生產(chǎn)網(wǎng)各單獨使用一臺網(wǎng)絡(luò)設(shè)備和一條線路，這時需要保證生產(chǎn)數(shù)據(jù)通過生產(chǎn)網(wǎng)路由器、生產(chǎn)網(wǎng)線路進行傳輸，管理網(wǎng)數(shù)據(jù)通過管理網(wǎng)路由器、管理網(wǎng)線路進行傳輸。管理網(wǎng)分離前，管理網(wǎng)和生產(chǎn)網(wǎng)共用相同的網(wǎng)絡(luò)設(shè)備和線路，由于在中心中心和地市分公司之間只有一條廣域網(wǎng)鏈路，地市中心到錦泰保險分公司也只27 / 87有一條廣域網(wǎng)鏈路，所以在廣域網(wǎng)上數(shù)據(jù)不能冗余也不能進行分流。從核心交換區(qū)來看，若數(shù)據(jù)從源區(qū)域經(jīng)SW_1 進入核心交換區(qū)，則將該數(shù)據(jù)經(jīng)SW_1轉(zhuǎn)發(fā)至目的區(qū)域匯聚交換機 SW_1或SW_ ２；若數(shù)據(jù)從源區(qū)域經(jīng)SW_2進入核心交換區(qū)，則將該數(shù)據(jù)經(jīng) SW_2，轉(zhuǎn)發(fā)至目的區(qū)域匯聚交換機SW_1或SW_2。在正常情況下，一部分數(shù)據(jù)流從SW_1 流出該區(qū)域，部分數(shù)據(jù)從 SW_2流出該區(qū)域，在其中一臺交換機故障時，數(shù)據(jù)流從另一臺交換機流出。在這種情況下當網(wǎng)絡(luò)出現(xiàn)故障時，路由可以快速自動迂回，實現(xiàn)冗余。由于各周邊區(qū)域與核心交換區(qū)之間使用兩條冗余連接，各區(qū)域間通信存在多條路徑。 分區(qū)間互聯(lián)需要使用VLAN的，使用各分區(qū)內(nèi)部的網(wǎng)管VLAN ID。接口工作在三層路由模式無需使用 STP，收斂較快。從安全的角度來考慮 VLAN 也是非常重要的，進行 VLAN 劃分后，我們可以基于不同的 VLAN 和應(yīng)用實現(xiàn)相應(yīng)的安全策略控制。避免各個交換機之間由于 VTP 非計劃內(nèi)同步導致 VLAN 信息丟失，從而影響關(guān)鍵業(yè)務(wù)。我們可以把 D 位字符段用來表示數(shù)據(jù)中心的分區(qū)。最大可以分配 32 個。四級地域標識有效取值范圍為000001～111111，即最多可標識 64 個縣節(jié)點。（5） E 段定義應(yīng)用類別（4Bits）用于標識生產(chǎn)或管理下的應(yīng)用類別，共可以表示 16 類。（4） D 段定義三級地域標識（4Bits）用以標識四川錦泰保險二級地市所轄的縣級分公司，包括各錦泰保險分公司所轄地/錦泰保險分公司的標識。二級地域標識有效取值范圍為 00001～11111，即最多可標識 32個二級地域標識節(jié)點。最多可以標示 8 類業(yè)務(wù)。編碼結(jié)構(gòu)IP 地址編碼按地域和功能劃分，編碼結(jié)構(gòu)如下：A B C D E F G5 3 5Bits 4Bits 4Bits 6Bits 5Bits預留生產(chǎn)、管理應(yīng)用類標識二級地域標識三級地域標識應(yīng)用類別四級地域標識用戶網(wǎng)絡(luò)地址編碼含義（1）A 段定義預留字段（5Bits）用于標識未來新增的字節(jié)，由于目前沒有定義，在錦泰保險的網(wǎng)絡(luò)中，我20 / 87們?nèi)∫还潭ㄖ?01000，用 10 進制表示為 64。具體板卡規(guī)劃如下：JT_IS_4506_SW_01Slot 板卡類型 型號1 Catalyst 4500 ESeries 48Port 10/100/1000 (RJ45) WSX4648RJ45E23 Catalyst 4500 ESeries Sup 6E Lite, 2x10GE(X2) w/ Twin Gig WSX45SUP6LE4 Catalyst 4500 ESeries Sup 6E Lite, 2x10GE(X2) w/ Twin Gig WSX45SUP6LE/256 Catalyst 4500 ESeries 24Port GE (SFP) WSX4624SFPE7JT_IS_4506_SW_02Slot 板卡類型 型號1 Catalyst 4500 ESeries 48Port 10/100/1000 (RJ45) WSX4648RJ45E23 Catalyst 4500 ESeries Sup 6E Lite WSX45SUP6LE19 / 87, 2x10GE(X2) w/ Twin Gig4 Catalyst 4500 ESeries Sup 6E Lite, 2x10GE(X2) w/ Twin Gig WSX45SUP6LE/256 Catalyst 4500 ESeries 24Po