【正文】 ...................................................11 服務(wù)質(zhì)量（QOS）機(jī)制 ................................................................12 廣播風(fēng)暴的抑制 .....................................................................12 防止對(duì) DHCP 服務(wù)器的攻擊 ............................................................12 防止基于流的攻擊特性 ...............................................................12第 4 章 具體解決方案 ......................................................................12 VLAN 規(guī)劃 ...........................................................................12 劃分 VLAN 的必要性 ..............................................................12 劃分 VLAN 的方法 ................................................................14 具體 VLAN 規(guī)劃 ..................................................................16 IP 地址分配原則 .....................................................................17 本次工程 IP 地址分配 ................................................................18 網(wǎng)絡(luò)設(shè)備自身的安全功能 .............................................................20 用戶嚴(yán)格隔離 ...................................................................20 有效防范 MAC 掃描和 ARP 攻擊： ...................................................20 DHCP 攻擊、VLAN “Hopping”攻擊的防范： .........................................20 采用 SNMP v3 杜絕網(wǎng)管攻擊： .....................................................20 有效抑制廣播風(fēng)暴 ...............................................................21 防治蠕蟲病毒 ...................................................................21第 5 章 H3C 設(shè)備介紹 .......................................................................25 核心交換機(jī) .........................................................................25 防火墻 .............................................................................30 接入交換機(jī) .........................................................................36第 6 章 附錄 ..............................................................................42 華三公司介紹 .......................................................................42 技術(shù)支持與售后服務(wù) .................................................................44 兩小時(shí)廠家上門服務(wù)一年免費(fèi)維保 .................................................44 服務(wù)組織機(jī)構(gòu) ...................................................................44華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 3 頁, 共 49 頁 服務(wù)及時(shí)性保障 .................................................................45 服務(wù)有效性保障 .................................................................46第 1 章 項(xiàng)目背景 需求分析為滿足翰華擔(dān)保集團(tuán)現(xiàn)代化辦公的需要，需要建立一套現(xiàn)代化網(wǎng)絡(luò)平臺(tái)。重慶翰華擔(dān)保集團(tuán)擁有大量的服務(wù)器和主機(jī)設(shè)備，需要局域網(wǎng)絡(luò)提供高速帶寬支持。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為其它各子系統(tǒng)集成提供了基礎(chǔ)，網(wǎng)絡(luò)主干目前一般采用千兆，可平滑升級(jí)到萬兆，同時(shí)達(dá)到 100 兆交換到桌面。網(wǎng)絡(luò)設(shè)計(jì)必須遵循高可靠性、經(jīng)濟(jì)性、流量合理分布、傳輸時(shí)延最小和便于管理等原則，選擇先進(jìn)、可靠、符合未來技術(shù)發(fā)展趨勢(shì)的組網(wǎng)技術(shù)。網(wǎng)絡(luò)應(yīng)具有高可靠性，包括設(shè)備可靠性、鏈路可靠性、路由冗余等。為員工提供Email、DNS、DHCP、FTP、BBS 等網(wǎng)絡(luò)基本服務(wù)，運(yùn)行和維護(hù)基于 Web 的信息發(fā)布系統(tǒng)。選用的網(wǎng)絡(luò)設(shè)備應(yīng)是當(dāng)今世界上較為先進(jìn)、應(yīng)用范圍廣，而且應(yīng)與世界上其它主要廠商的產(chǎn)品具有良好的互連性。要充分考慮到：網(wǎng)絡(luò)安全系統(tǒng)、網(wǎng)絡(luò)地址要求、 網(wǎng)上多媒體系統(tǒng)、服務(wù)器、存儲(chǔ)、備份系統(tǒng)、中心機(jī)房環(huán)境等。高速網(wǎng)絡(luò)是網(wǎng)絡(luò)發(fā)展的必然方向，網(wǎng)絡(luò)應(yīng)該運(yùn)用當(dāng)今最先進(jìn)的技術(shù)，并且應(yīng)該滿足今后若干年的性能需求。支持多種應(yīng)用：建成后的重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)是融合多種應(yīng)用如數(shù)據(jù)、IP 電話、視頻、監(jiān)控等的網(wǎng)絡(luò)，網(wǎng)絡(luò)在建之初就應(yīng)該考慮的對(duì)多業(yè)務(wù)的支持。在網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)選擇切實(shí)可行的技術(shù)進(jìn)行 VLAN 的靈活劃分。目前常見的企業(yè)網(wǎng)絡(luò)安全隱患主要來自以下一些方面：1．網(wǎng)絡(luò)級(jí)攻擊：竊聽報(bào)文 ，IP 地址欺騙 、源路由攻擊、端口掃描 、拒絕服務(wù)攻擊。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問題。能夠?qū)κ褂谜哌M(jìn)行驗(yàn)證、授權(quán)、審核，以保障系統(tǒng)的安全性。高可靠性重慶翰華擔(dān)保集團(tuán)網(wǎng)絡(luò)系統(tǒng)承載著重慶翰華擔(dān)保集團(tuán)各種重要的業(yè)務(wù)數(shù)據(jù)，整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高可靠性?？蓴U(kuò)展性和可升級(jí)性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。 網(wǎng)絡(luò)設(shè)計(jì)原則網(wǎng)絡(luò)平臺(tái)是信息化建設(shè)的重要基礎(chǔ)設(shè)施，必須從網(wǎng)絡(luò)信息體系建設(shè)的全局考慮，將計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)為一個(gè)高起點(diǎn)，易于擴(kuò)充、升級(jí)、管理和使用的網(wǎng)絡(luò)系統(tǒng)。使網(wǎng)絡(luò)帶寬性能不僅適應(yīng)現(xiàn)在的需要，還可以滿足未來幾年數(shù)據(jù)量的要求。其次要考慮對(duì)現(xiàn)有設(shè)備和資源的充分利用，采用成熟的網(wǎng)絡(luò)通信技術(shù)和設(shè)備，保證原有的投資。利用 IP QoS、IP Multicast、MPLS 等技術(shù)可以保證服務(wù)質(zhì)量 (QoS)滿足用戶要求。鑒于網(wǎng)絡(luò)信息的重要性，要求網(wǎng)絡(luò)系統(tǒng)要有較高的可靠性，各級(jí)網(wǎng)絡(luò)應(yīng)具有網(wǎng)絡(luò)監(jiān)督和管理能力；要適當(dāng)考慮關(guān)鍵設(shè)備和線路的冗余，使其能夠進(jìn)行在線修復(fù)、更換和擴(kuò)充；要確保系統(tǒng)數(shù)據(jù)傳輸?shù)恼_性，以及為防止異常情況發(fā)生所必須的保護(hù)性措施。不僅要求網(wǎng)絡(luò)能夠長時(shí)間的安全運(yùn)轉(zhuǎn)，同時(shí)要求網(wǎng)絡(luò)設(shè)備具有較強(qiáng)的容錯(cuò)能力。②采用優(yōu)秀的網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，以便及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障。華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 6 頁, 共 49 頁系統(tǒng)設(shè)計(jì)能對(duì)關(guān)鍵數(shù)據(jù)提供可靠的保護(hù)；對(duì)網(wǎng)絡(luò)病毒提供防范措施；網(wǎng)絡(luò)數(shù)據(jù)要有可靠的備份，備份系統(tǒng)要求讀寫速度快，保密性好，可靠性高。具體講，主要從以下幾個(gè)方面實(shí)現(xiàn)開放性和標(biāo)準(zhǔn)化；?采用工業(yè)標(biāo)準(zhǔn) TCP/IP 協(xié)議。?采用支持 SNMP 協(xié)議的網(wǎng)管軟件。有適應(yīng)外界環(huán)境變化的能力，即在外界環(huán)境改變時(shí)，系統(tǒng)可以不作修改或僅作少量修改就能在新環(huán)境下運(yùn)行。也就是說，要使網(wǎng)絡(luò)的硬件環(huán)境、通訊環(huán)境、軟件環(huán)境、操作平臺(tái)之間的相互依賴減至最小，發(fā)揮各自優(yōu)勢(shì)。經(jīng)濟(jì)性與可擴(kuò)充性?擴(kuò)展和升級(jí)系統(tǒng)建設(shè)要考慮將來的擴(kuò)展和升級(jí)，以免人力、物力、財(cái)力的浪費(fèi)。網(wǎng)絡(luò)設(shè)計(jì)采用國際標(biāo)準(zhǔn)的技術(shù)和符合標(biāo)準(zhǔn)的設(shè)備，系統(tǒng)軟件或硬件升級(jí)都不應(yīng)影響整個(gè)系統(tǒng)的運(yùn)行。建成的網(wǎng)絡(luò)系統(tǒng)必須具有良好的可擴(kuò)充性和升級(jí)能力，其擴(kuò)充和升級(jí)將以最低成本花費(fèi)為前提。通過網(wǎng)絡(luò)管理工具，可以方便地監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，對(duì)出現(xiàn)的問題及時(shí)解決，對(duì)網(wǎng)絡(luò)的優(yōu)化提供依據(jù)。? 經(jīng)濟(jì)性華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 7 頁, 共 49 頁可以和現(xiàn)有網(wǎng)絡(luò)無縫的連接，同時(shí)可以提升現(xiàn)有網(wǎng)絡(luò)的性能。本系統(tǒng)需要完整而成熟的最新技術(shù)和產(chǎn)品。根據(jù)前面所作的現(xiàn)狀與需求分析，我們提出以下的總體設(shè)計(jì)思想：采用先進(jìn)的萬兆、千兆以太網(wǎng)以及快速以太網(wǎng)交換技術(shù)：目前，局域網(wǎng)建設(shè)模式是以千兆以太網(wǎng)為骨干、并具有萬兆能力，設(shè)備間以百兆以太網(wǎng)交換的方式；采用業(yè)界主流的交換機(jī)產(chǎn)品：在產(chǎn)品選型上采用業(yè)界最先進(jìn)的產(chǎn)品，可以保證網(wǎng)絡(luò)具有長期的產(chǎn)品升級(jí)、支持和維護(hù)；在設(shè)備配置上兼顧先進(jìn)性與適用性：采取最先進(jìn)的設(shè)備配置可以保證網(wǎng)絡(luò)的性能，但同時(shí)也造成網(wǎng)絡(luò)建設(shè)成本的增加，因此，必須兼顧先進(jìn)性與適用性，求得最佳的性能價(jià)格比；面向應(yīng)用的網(wǎng)絡(luò)：目前，局域網(wǎng)應(yīng)用的發(fā)展非常迅猛，各類新的應(yīng)用技術(shù)和模式不斷涌現(xiàn)，網(wǎng)絡(luò)必須支持這種變化，滿足新的應(yīng)用的需求；周密的網(wǎng)絡(luò)安全策略：網(wǎng)絡(luò)安全目前已經(jīng)成為網(wǎng)絡(luò)建設(shè)中非常重要的一個(gè)環(huán)節(jié)，對(duì)于局域網(wǎng)來說，網(wǎng)絡(luò)安全的重要性就更顯突出，必須制定周密的網(wǎng)絡(luò)安全策略，最大限度地保證網(wǎng)絡(luò)安全；全面的網(wǎng)絡(luò)管理與維護(hù)：網(wǎng)絡(luò)管理與維護(hù)在網(wǎng)絡(luò)的整個(gè)運(yùn)行周期中起著非常重要的作用，因此在網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須充分考慮未來網(wǎng)絡(luò)管理與維護(hù)的工作?？紤]到重慶翰華擔(dān)保集團(tuán)園區(qū)的規(guī)模和設(shè)計(jì)，我們建議在網(wǎng)絡(luò)核心層使用一臺(tái)核心交換設(shè)備，接入層交換機(jī)通過千兆鏈路連接到核心交換機(jī)，來滿足對(duì)目前的要求。1． 中心部分是由防火墻、VPN 網(wǎng)關(guān)、上網(wǎng)行為管理及核心交換機(jī)組成；2． 為了保證 WEB 服務(wù)器能安全的為互聯(lián)網(wǎng)用戶提供服務(wù)，我們可以把服務(wù)器放在防火墻的 DMZ 區(qū)里面，來實(shí)現(xiàn) WEB 服務(wù)器的對(duì)外提供服務(wù)；3． 為了保證分支用戶能安全高效的接入總公司的內(nèi)網(wǎng)，我們?cè)诜阑饓竺娣胖靡慌_(tái) VPN 設(shè)備用來做華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 9 頁, 共 49 頁與分支機(jī)構(gòu)互聯(lián)的 VPN 網(wǎng)關(guān)。5． 接入層:接入層交換機(jī)全部通過千兆銅纜的方式連接到核心交換機(jī)上的,同時(shí)樓層的接入交換機(jī)之間的級(jí)聯(lián)也是通過千兆的方式進(jìn)行級(jí)聯(lián)的,這樣就達(dá)到了骨干千兆,百兆桌面的網(wǎng)絡(luò)結(jié)構(gòu)。目前常用的路由協(xié)議有多種，如RIP、OSPF、ISIS、BGP、DVMRP、PIM等等。選擇適當(dāng)?shù)穆酚蓞f(xié)議需要考慮以下因素：1）路由協(xié)議的開放性開放性的路由協(xié)議保證了不同廠商都能對(duì)本路由協(xié)議進(jìn)行支持，這不僅保證了目前網(wǎng)絡(luò)的互通性，而且保證了將來網(wǎng)絡(luò)發(fā)展的擴(kuò)充能力和選擇空間。例如RIP這樣比較簡單的路由協(xié)議不支持分層次的路由信息計(jì)算，對(duì)復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。4）與其他網(wǎng)絡(luò)的互連要求通過劃分成相對(duì)獨(dú)立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性，是通常劃分為一個(gè)自治系統(tǒng)（AS） ，在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。5）管理和安全上的要求華三通信技術(shù)有限公司 版權(quán)所有，侵權(quán)必究 第 10 頁, 共 49 頁通常要求在可以滿足功能需求的情況下盡可能簡化管理。因 此 選 擇 靜 態(tài) 路 由 協(xié) 議 ， 對(duì) 于 廠 區(qū) 數(shù) 據(jù) 網(wǎng) 網(wǎng) 絡(luò) 性 能 的 最 優(yōu) 和 安 全 性 是 非 常 重 要 的 。VLAN 對(duì)于信息系統(tǒng)的意義體現(xiàn)在：1. VLAN 可以改善網(wǎng)絡(luò)的通信效率。2. VLAN 可以避免廣播風(fēng)暴。而 VLAN 使廣播只在子網(wǎng)中進(jìn)行，不會(huì)作無意義的擴(kuò)散，從而消除了廣播風(fēng)暴產(chǎn)生的條件。因?yàn)樽泳W(wǎng)間無法隨意進(jìn)行訪問，信息流通得到相當(dāng)好的控制。網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的物理位置不會(huì)影響該用戶邏輯上的訪問權(quán)限，也就是說網(wǎng)絡(luò)規(guī)劃完全不會(huì)受到物理的限制。具體的實(shí)施過程建議如下進(jìn)行：1．對(duì)全網(wǎng)的 IP 地址進(jìn)行全面的規(guī)劃，確定各子網(wǎng)內(nèi)主機(jī)的數(shù)量，并根據(jù) IP 子網(wǎng)內(nèi)主機(jī)的數(shù)量確定掩碼的長度。使聚合點(diǎn)向核心路由器通告最少的路由。4．根據(jù) IP 子網(wǎng)的規(guī)劃，對(duì)交換機(jī)進(jìn)行 VLAN 的規(guī)劃和劃分。5．網(wǎng)絡(luò)管理系統(tǒng)采用完全獨(dú)立的 IP 子網(wǎng)和 VLAN，實(shí)現(xiàn)更安全的對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理。7．在三層路由交換機(jī)建立相應(yīng)的 VLAN 以及與 VLAN 綁定的 IP 子網(wǎng)網(wǎng)關(guān)。 trunk 鏈