【正文】 ............................................................................. 32 . 產品組成 ................................................................................................... 33 . 方案架構及組網 ........................................................................................ 33 . 解決方案特點 ............................................................................................ 34 7. 設備清單 ...................................................................................................................... 35 1. 需求分析 XX連扎管有限公司（以下簡稱衡鋼）網絡系統(tǒng)升級改造項目的目標是在現有網絡基礎上建立一套先進、完善的網絡系統(tǒng)。既能滿足現在的需要（如 ERP、 OA、保衛(wèi)監(jiān)控等等），又能考慮到將來的發(fā)展的需要（如視頻、語音、能源監(jiān)控等等），使系統(tǒng)達到配置靈活，易于管理，易于維護，易于擴充的目的。一臺 Cisco6509 做為核心交換機，以千兆帶寬下接五臺 Cisco3550，接入層為 Cisco2950、 Cisco1924 以及各種 HUB 等近百臺設備。主干網絡帶寬為千兆，大部分為千兆到桌面終端，部分較為分散的信息點為百兆到桌面終端。 考慮到網絡系統(tǒng)的穩(wěn)定性和可靠性，要求所采用的網絡產品必須是經受過大量網上實際應用的考驗，要具備高安全性、高穩(wěn)定性和高可靠性，保障系統(tǒng)的不間斷運行。如果選用較小的供應商的產品，一旦發(fā)生收購或兼并，常常導致整個產品系列的停產，使售后服務和產品升級都面臨很大困難。 根據以上要求， 我們對設計原則和選型依據分別進行闡述。 高可用原則： 系統(tǒng)設計能有效的避免單點失敗，在設備的選擇和關鍵設備的互聯時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網絡能在最短時間內修復。系統(tǒng)應能提供網絡層的安全手段防止系統(tǒng)外 部成員的非法侵入以及操作人員的越級操作，保護網絡建設者 的合法利益。設備廠商和投標商應有相關領域的豐富經驗。 開放性和標準化原則： 在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則。保證建設完成后的系統(tǒng)在向新的技術升級時，能保護現有的投資。 . 設備選型依據 根據以上原則，我們推薦選擇杭州 NN 通信技術公司（以下簡稱 H3C公司）的產品來構筑“高可靠、高安全、可管理”的網絡。 從可靠性考慮， H3C公司是國內優(yōu)秀的數據通信設備供應商之一，產品已在運營商和金融、電力等行業(yè)大量使用。 從安全性考慮，優(yōu)先采用國產設備構筑本次網絡工程，對于網絡的整體考慮是必要的， H3C公司的網絡 產品包括全系列路由器和以太網交換機已在國內多個安全性高的行業(yè)得到規(guī)模應用，如：國務院辦公廳、中共中央辦公廳、國家信息中心、國家科技部、國家財政部、國家審計署、中共中央組織部、中共中央宣傳部、中共中央紀律檢查委員會、國家勞動與社會保障部、國家審計署、國家公安部、國家電網公司、中國銀行、中國工商銀行、中國建設銀行、中國農業(yè)銀行、中石油、中石化等，甚至包括對網絡傳輸可靠性和性能要求極高的“嫦娥奔月”計劃地面?zhèn)鬏敂祿W也采用 H3C公司網絡產品構建。 3. XX 連軋管有限公司網絡建設方案 . 網絡建設原則 結合衡鋼網絡升級改造項目的實際應用和發(fā)展要求，在進行本次網絡系統(tǒng)設計時，主要應遵循以下原則： 1）高性能：骨干網絡的性能是整個網絡良好運行的基礎，在設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數據、語音、圖象）的高質量傳輸，才能使網絡不成為業(yè)務開展的瓶頸。 3）標準化：支持國際上通用標準的網絡協(xié)議、國際標準的動態(tài)路由協(xié)議等開放協(xié)議，有利于以保證與其它網絡之間的平滑連接互通，以及將來網絡的擴展。網絡設計要考慮本期網絡系統(tǒng)應用和今后網絡的發(fā)展，便于向更新技術的升級與銜接。 5）易管理性：網絡設備應易于管理，易于維護，操作簡單，易學，易用，便于進行網絡配置，發(fā)現故障。 7）安全性：網絡系統(tǒng)的數據和文件多數要求具有高度的安全性，因此，網絡系統(tǒng)本身要有較高的安全性，對使用的信息進行嚴格的權限管理，在技術上提供先進的、可靠的 、全面的安全方案和應急措施，確保系統(tǒng)萬無一失。 8）經濟性：在充分利用現有資源的情況下，最大限度地降低網絡系統(tǒng)的總體投資，有計劃、有步驟地實施，在保證網絡整體性能的前提下，充分利用現有的網絡設備或做必要的升級。 由于衡鋼網絡升級改造項目需要能夠支撐起數據和視頻等應用系統(tǒng)的使用，同時考慮整個系統(tǒng)的冗余性和可靠性 ，整個網絡采用冗余結構和分層分級的設計思路進行。面向網絡資源的有效、高效利用，從網絡架構方面提供優(yōu)化方案，使得核心網、接入網具有更高的可靠性和可控性，同時使得網絡結構與布局在結合實際業(yè)務分布的前提下更加合理。這既是 IP 通信技術發(fā)展的方向，也是企業(yè)應用的發(fā)展方向。 衡陽華菱連軋管有限公司網絡拓撲H3C S 9 5 0 8EAD 客戶端H3C S 9 5 0 8H3C i M C( E A D/X l o g )OAE m a ilE RP應用服務器Cat a l yst 6 5 0 9Cat a l yst 3 5 5 0Cat a l yst 2 9 5 0 /HUB原有網絡1 0 GE 光纜千兆光纜千兆電纜H3C S 5 5 0 0 2 8 C/5 2 C EI H3C S 3 6 0 0 2 8 P /5 2 P EI . 核心層設計 核心層負責整個網絡的數據交換，同時也是整個網絡的路由交換中心，全網絕大部分第三層的轉發(fā)交換都通過核心節(jié)點集中進行，為保證核心節(jié)點的高可用性，核心節(jié)點采用雙機備份方式，建議配置兩臺高性能的 H3C S9508 核心路由交換機，它們之間通過兩條 10GE 捆綁實現互連，流量 在捆綁的多條鏈路上負載分擔和備份。這樣任意核心節(jié)點都可以成為是業(yè)務的主 要匯總中心，核心節(jié)點與接入節(jié)點之間形成全冗余連接，以增強整體網絡的容錯和故障隔離能力。 產品特色 特色一： 支持三層的 MPLS VPN 和二層的 MPLS VPN（ Martini、 Kompella），可擴展支持 VPLS技術；支持與 H3C MPLS VPN Manager 配合，實現圖形化的 MPLS 部署與維護。 特色三： 融合的網絡安全特性，自身支持集成的防火墻模塊、 NAT 模塊、 Netstream網絡流量分析模塊等硬件 NP 處理器； 特色四： 最長的網絡正常運行時間，產品的關鍵部件引擎、電源、風扇采用冗余結構，功能特性上支持 RPR（彈性分組環(huán)）、 OSPF/ISIS/BGP 的優(yōu)雅重啟技術，保證了網絡異常時的電信級快速自愈。 豐富的產品應用 07 年止 H3C S9500系列產品規(guī)模應用于運營商、黨政、公檢法、財稅、教育、金融、電力、能源、交通、水利、制造業(yè)、公共事業(yè)、企業(yè)等廣大用戶。 H3C S5500EI系列全千兆多業(yè)務以太網交換機提供千兆到桌面的接入速率， H3C S3600EI 系列智能彈性以太網交換機為用戶提供百兆到桌面的接入速率。接入交換機具備 4 個 GE SFP 光接口，目前所有接入層交換機均通過雙鏈路以千兆速率（ 2 1GE）與兩臺核心路由交換機 H3C S9508互聯，后續(xù)根據業(yè)務發(fā)展對帶寬的需求，百兆三層交換機可支持升級至主干四鏈路（ 2 2GE），千兆三層交換 機可支持升級至主干四鏈路（ 2 2GE 或 2 20GE）帶寬。同時支持 IP Source Check特性，防止包括MAC 欺騙、 IP 欺騙、 MAC/IP 欺騙在內的非法地址仿冒，以 及大流量地址仿冒帶來的 DoS 攻擊。 H3C S5500 系列和 S3600 系列以太網交換機支持端口安全特性可以有效防范基于 MAC 地址的攻擊。 H3C S5500 系列和 S3600 系列以太網交換機支持集中式 MAC 地址認證和 ，支持用戶帳號、 IP、 MAC、 VLAN、端口等用戶標識元素的動態(tài)或靜態(tài)綁定，同時實現用戶策略（ VLAN、QOS、 ACL）的動態(tài)下發(fā)；支持配合 H3C公司的 EAD 系統(tǒng)對在線用戶進行實時的管理，及時的診斷和瓦解網絡非法行為。 . 網絡詳細設計 衡鋼網絡升級改造項目建議采用常用的兩層交換組網模型。同時在核心層配置安全規(guī)則對內部網絡各子網間的路由實現策略控制，接入層啟用 和防 ARP 欺騙等安全特性為用戶提供保護（接入層 用戶認證和防 ARP欺騙等安全特性的部署詳見第 4 節(jié)，網絡安全設計）。在核心路由交換機上配置多個 VRRP 組，組 master 和 backup 角色均勻分布在兩臺核心路由交換機上，使兩臺網關設備同時完成備份和負載分擔功能；通過多生成樹實例（ MSTP）規(guī)劃，使接入設備不同 VLAN業(yè)務負載分擔在兩條上行鏈路，并且到達的核心設備為第一跳網 關 master；實例 root 與生成樹實例映射 VLAN 的三層網關 master 在同一臺核心設備上，使 STP協(xié)議能夠通過計算合理阻塞鏈路，并且縮小鏈路故障引起的網絡震蕩范圍；若接入設備上有 VLAN 重疊，匯聚設備設置為二層 TRUNK鏈路。 由于本次網絡升級改造項目所選用的接入交換機均為三層以太網交換機，支持 RIP、 OSPF 等高級動態(tài)路由協(xié)議。 主要 HA 性能參數 網絡故障 收斂性能 核心層設備雙機切換 3秒（ VRRP）， 1 秒（ OSPF） 光纖鏈路單通故障 2秒 接入層 核心層鏈路故障 /恢復 1秒 核心層設備路由交換處理板主備倒換 50 毫秒 核心層設備單路電源故障 0 秒 4. 網絡安全設計 面對現在網絡環(huán)境越來越多的網絡病毒和攻擊威脅，衡鋼網絡升級改造所選網絡設備從核心到接入設備應提供強大的網絡病毒和攻擊防護能力， H3C S 系列以太網交換機設備不僅提供了強大的ACL 功能，同時為了避免非管理人員登陸并操縱網絡設備，造成網絡傳輸和安全的影響，核心、匯聚和接入設備還提供了 SSH 加密登陸功能，以及 tel/web登錄的源 IP 限制功能； S9500和 S5500系列以太網交換機還支持防源 IP 地址欺騙（ Souce IP Spoofing）、防 DOS/DDOS攻擊（ Synflood，Smurf），防掃描（ PingSweep）等能力；同時為了防止由于病毒的原因而引起交換機的路由表溢出；核心交換機 S9508 和接入交換機 S5500EI/S3600EI 具有 LPM（最長匹配）功能，可節(jié)約存儲空間，病毒和攻擊數據直接通過缺省路由轉發(fā)，不造成存儲溢出。 . H3C EAD 端點準入防御解決方案 目前，在園區(qū)網中，用戶的終端計算機不及時升級系統(tǒng)補丁和病毒庫、私設代理服務器、私自訪問外部網絡、濫用企業(yè) 禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內快速擴散，進而導致網絡使用行為的“失控”。 網絡安全從本質上講是管理問題。 . 方案概述 對于要接入安全網絡的用戶， EAD 解決方案首先要對其進行身份認證，通過身份認證的用戶進行終端的安全認證，根據網絡管理員定制的安全策略進行包括病毒庫更新情況、系統(tǒng)補丁安裝情況、軟件的黑白名單等內容的安全檢查，根據檢查的結果， EAD 對用戶網絡準入進行授權和控制。 EAD 解決方案對用戶網絡準入的整體認證過程如下圖所示： . 組網模型 如下圖所示， EAD 組網模型圖中包括安全客戶端、安全聯動設備、安全策略服務器和第三方服 務器。 安全聯動設備： 是指用戶網絡中的交換機、路由器、 VPN 網關等設備。衡鋼網絡升級改造項目中我們將安全聯動設備部署在接入層交換機 H3C S5500EI和 H3C S3600EI上，用于認證局域網用戶。負責給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結果并進行審核，向安全聯動設備發(fā)送網絡訪問的授權指令。 第三方服務器： 是指補丁服務器、病毒服務器和安全代理服務器等，被部署在隔離區(qū)（ GuestVLAN）中。 . 功能特點 ? 嚴格的身份認證 除基于用戶名和密碼的身份認證外， H3C EAD 還支持身份與接入終端的 MAC 地址、 IP 地址、所在 VLAN、接入設備 IP、接入設備端口號等信息進行綁定，支持智能卡、數字證書認證，增強身份認證的安全性。例如 EAD 可充分利用微軟成熟的桌面管理工具，由 SMS實現各種 Windows 環(huán)境下用戶的桌面管理需求：資產管理、補丁管理、軟件分發(fā)和安裝等。終端用戶的所屬VLAN、 ACL 訪問策略、是否禁止使用代理、是否禁止使用雙網卡等安全措 施均可由管理員統(tǒng)一配置實施。EAD 廣泛、深入的和國內外防病