网络系统设计的步骤和原则,网络系统建设方案
chanong
|简介概述
本文档提供了XX网络系统的详细设计,包括网络拓扑、网络参数设计、路由功能的配置等,作为项目具体部署和配置的指导。
读者
本文档主要面向以下人群:
l 技术支持工程师
l 网络维护工程师
文件制作者
制作人xxx 日期2019-09-20
审稿人xxx 日期2019-10-15
批准人xxx 日期2019-10-20
记录变更
更改日志存储每个文档更新的描述。最新版本的文档包括所有先前版本文档的更新。
版本发布日期说明
V1.0 2019-09-20 第一次
V2.0 2019-09-27 第2次
V3.0 2019-10-10 第三次
目录
简介.2
概述.2
目标受众.2
文件制作人.2
更改记录.2
1 项目概述. 6
1.1 项目背景.6
1.1.1 项目概况.6
1.2 项目范围.6
1.3 深化设计内容.6
1.3.1 系统配置详细设计.6
1.3.2 设备配置详细设计.7
1.4 项目需求分析. 7
1.4.1 分析生产网络的业务需求. 7
1.4.2 力港网业务需求分析. 10
1.4.3 办公网络需求分析. 11
1.4.4 分析安全网络业务需求. 12
1.4.5 分析数据管理领域的业务需求. 13
1.4.6 外网互联网业务分析. 14
2 总体网络设计. 15
2.1 整体网络设计. 15
2.1.1 整体网络架构设计. 15
2.1.2 整体网络流量设计. 15
2.2 子网规划. 16
2.2.1 生产网络规划. 16
2.2.2 安全网络规划. 17
2.2.3 办公网络规划. 17
2.2.4 外网规划. 17
3 网元信息及命名方案. 19
3.1 网络设备概述. 19
3.1.1 S7703.19
3.1.2 S5720.20
3.1.3 USG6370.20
3.1.4 AR550.21
3.2 命名约定和示例. 21
3.2.1 电缆命名约定. 21
3.2.2 电缆标签示例.22
3.2.3 设备命名约定. 23
3.2.4 设备命名示例.25
4 IP和VLAN总体规划. 26
4.1 IP地址总体规划. 26
4.1.1 IP地址规划的基本原则. 26
4.1.2 IP地址总体规划. 26
4.1.3 IP地址分配规则. 27
4.2 VLAN整体设计. 28
4.2.1 VLAN总体规划. 28
4.2.2 VLAN分配规则. 29
4.3 设计网络设备位置、端口和特定IP地址. 30
5 二楼特色总体规划…34
5.1 概述. 34
5.2 Eth-trunk(链路捆绑技术)规划. 34
5.3 MSTP规划. 36
5.3.1 MSTP设计原则. 36
5.3.2 设计MSTP参数. 36
5.3.3 MSTP配置步骤. 37
5.4 广播风暴抑制计划. 38
5.5 MAC漂移检测计划. 39
6 总体路线规划. 42
6.1 静态路由规划. 42
7 可靠性总体规划.43
7.1 概述. 43
7.2 设备可靠性规划. 43
7.2.1网络设备的高可靠性. 43
7.2.2 网络设备模块的可靠性. 45
7.3 链路可靠性规划. 45
7.3.1 DLDP.45
8 网络设备安全总体规划.47
8.1 设计整体网络安全架构. 47
8.2 安全域划分原则. 47
8.3 防火墙实现设计. 48
8.4 入侵防御部署设计. 48
8.5 防病毒系统设计. 48
8.6 设计互联网行为管理. 49
8.6.1 设计思路. 49
8.7 网络设备的安全设计.51
8.7.1 设备访问控制. 51
8.7.2 控制台/母控制端口. 51
8.7.3 系统日志.52
8.7.4 密码设置.52
9 网络交换系统详细设计清单.53
9.1 网络交换系统详细设计清单.53
1 项目概况1.1 项目背景
XX行业是信息密集型行业。这种信息技术不仅体现在航空公司的营销和为旅客提供的服务质量上,而且体现在XX如何确保飞机、旅客、行李、货物的顺畅流动上。在其他方面,XX可以充分利用其生产支持和行政管理能力,进一步为旅客、航空公司和托运人提供更加有效、便捷和优质的服务。
1.1.1 项目概况
为实现2025年旅客吞吐量90万人次、货邮吞吐量3000吨的目标,XX按照4C标准设计。建设长2600米、宽45米的跑道和长183米、宽18米的垂直通道,XX场地面积13000平方米,建设7个停机坪座位建设停车场一座、货运仓库一座、XX.办公综合楼、900平方米空管楼、4560平方米消防救援综合楼、1座塔楼、安检室、保安值班室等生产生活保障设施、通讯、导航、气象建设保障、供电、供水、燃料供应、污水、垃圾处理等附属设备设施。
1.2 项目范围
根据部署地点的不同,整个XX网络由终端区、货运区和公共区域网络组成。子网按照功能分为生产网络、安全网络、办公网络等,还包括其他系统中实现的网络与上述网络之间的互连,以及安全网络与生产网络之间的互连。网络和XX的其他区域网络。
1.3 深化设计内容
1.3.1 系统配置详细设计
1、详细的系统配置图、系统连接图、设备布置图、机箱内设备安装图等。
2、网络交换系统等详细清单;
3.我们将进行模拟考试、认证等。
四。与其他相关项目和相关数据的接口。
1.3.2 设备配置详细设计
根据详细的网络系统设计方案,承包商将提供网络设备上每个端口和路由表的详细配置说明,包括:
1、系统物理层、数据链路层、IP层配置规划(包括核心设备路由表和路由域设计)。
2、根据用户需求合理分配用户IP地址和VLAN划分配置规划。
3.为系统配置多播、流量控制和操作策略的步骤。
四。我们将对整个网络(包括但不限于本项目中的网络系统、行李系统、安检系统、泊位系统等)的IP地址资源进行集中管理和分配。
1.4 项目需求分析
该项目的需求研究和分析阶段贯穿于详细设计项目的始终。我们将讲解生产网络、安全网络、办公网络等主要业务系统功能(根据招标文件、标书、图纸、需求调查等)。
1.4.1 分析生产网络的业务需求
生产网络是XX地面信息系统的平台网络,是XX最重要的网络。安装的主要操作系统包括信息集成系统、航班信息显示系统、公共广播系统、泊位引导系统、内部通信系统、安全信息管理系统、安检系统、行李系统等。
基于各业务系统的研究和沟通,为了便于各业务系统的安全管控,将各系统的服务器划分为单独的网段,将各业务系统的终端划分为单独的网段。将会被分裂。
信息集成系统与其他系统(包括本系统与航空显示屏、航班信息、资源信息发布等)之间的业务数据交换;本系统向广播系统提供航班数据,广播发布航班信息;本系统实现与泊位通信引导系统,业务数据传输实现飞机停泊时间的传输,生产作业系统通过外部专线与航空公司、空管配合,飞行接收计划、天气和逐点雷达,将XX生产数据发送至承运商和承运商,空中交通管制管理
航班信息显示系统主要为旅客和工作人员提供到达、出发航班的动态信息,引导出发旅客登机、转机、候机、值机,引导到达旅客提取行李,用于引导和协助工作人员分拣。送乘客并检索相关航班信息。该系统为XX的旅客服务提供了自动化手段,保障了XX的正常生产和航班秩序,提高了对旅客和中外航空公司的服务质量,提升了XX的形象。
航空显示系统提供值机信息、候机信息、登机信息、到达航班行李提取信息、出发和到达航班的实时动态信息,并将分配给XX的显示终端设备提供给工作人员。到达航班的传送带、与航空公司合作持续显示天气信息、显示航空公司所需的自由文本信息(失踪人员、特殊航班通知等)、支持广告服务等。
公共广播系统形成独立的网络,公共广播网络的核心交换机与生产网络子网的核心交换机相连。广播系统用于通过区域内的音响设备广播航班信息等。
公共广播网络采用CobraNet/Madi数字音频技术。 CobraNet是一种集硬件、软件和通信协议于一体的实时网络音频传输技术。它采用成熟的以太网技术来传输和分发实时、未压缩的数字音频信号。
泊位引导系统的作用是引导飞机自动泊位系统,并通过生产作业平台与生产作业系统实现数据交换。
内部通信系统是集计算机技术、互联网技术、CTI技术、IVR技术、数据库技术、CRM技术、PBX技术、网络技术等为一体的综合系统。 XX内部各职能部门为客户提供的服务,统一为对外沟通的统一“接触点”,采用统一标准的服务接口,为用户提供系统化、智能化、个性化、人性化的服务。
安检信息管理系统是集旅客身份核验、肖像采集、安检流程视频、行李X光照片采集、行李开箱视频、安检人员管理、执法信息管理于一体的综合性安检信息管理系统。该系统通过计算机网络综合利用XX公司现有的安检设备和信息资源,提高安检质量,规范安检管理,最大限度地发挥人防安全的作用。
系统由主服务器、接口服务器、管理工作站、读写器、摄像头等设备组成。
系统功能主要包括检索旅客值机信息、采集托运行李图像、采集旅客照片、部署控制、航保检查、提示行李状态等。安检信息管理系统服务器通过生产业务平台与出发系统、行李系统实现数据交换,并将安检信息上传至数据管理区经济分局系统。
安检系统在安检口对旅客的个人行李和随身行李进行安全检查,在值机柜台、大件行李柜台、中转行李柜台等处对旅客托运行李进行安全检查、托运各工作人员携带的行李、私人行李、随身物品,以及进入XX隔离区的物品,一律接受安全检查。
生产网络中各业务系统的服务器数量和用户数量统计如下。
1.4.2 力港网业务需求分析
出发网络主要为出发系统(自助值机、DCS、行李再确认系统)提供网络服务。离港控制系统(DCS)是一个面向用户的实时计算机交易处理系统,允许航空公司、其代理人和XX地面服务人员在登机期间处理旅客办理登机手续。
设备互连地址使用30位掩码,地址从低位到高位分配。
当相似的设备互连时,编号较低的设备获得奇数地址,编号较高的设备获得偶数地址。
设备具有不同级别的互连,靠近网络核心的设备选择奇数地址,远离网络核心的设备选择偶数地址。
例如:
安全网络和防火墙
互联采用172.16.254.0/30 生产网与防火墙互联采用172.16.254.4/30 安防网与防火墙互联采用172.16.254.8/30 l 网络设备管理地址,从低到高,从.1开始分配 例如: 生产网交换机采用172.16.251.0/24 安防网交换机采用172.16.252.0/24 办公网交换机采用172.16.253.0/24 4.2 VLAN总体设计 4.2.1 VLAN整体规划 考虑到XX的网络架构设计,从统一规划角度出发,将按照子网来规划,各子网使用不同的Vlan ID,而设备互联地址之间Vlan使用vlan254,如下表: 注:因为交换机通常的Vlan缺省为Vlan 1,如果使用Vlan 1,那么当1台缺省配置的交换机接入网络时,可能会对现有网络中的Vlan 1的Spanning Tree带来震荡,特别是在大范围使用Vlan 1,且处于同一Spanning Tree时,这种影响将会更大,因此将使用vlan 250-253作为管理vlan,以屏蔽Vlan 1带来的不必要的影响。 4.2.2 Vlan分配规则 在各网的vlan id范围中,前5个Vlan id作为服务器接入Vlan,且使用顺序从小到大使用,例如,集成系统中,Vlan 101-105作为服务器接入Vlan; l 每段vlan id范围中,每段Vlan id范围中,前5个Vlan id作为服务器接入Vlan,且使用顺序从小到大使用,例如,集成系统中,Vlan 101-105作为服务器接入Vlan; l 每段Vlan id范围中,剩余的Vlan id作为客户端(终端)接入Vlan,且使用顺序从小到大使用,例如,集成系统中,Vlan 106-108作为客户端(终端)接入Vlan; l Vlan 254 作为设备互连用途Vlan,且使用顺序从大到小使用,各子网可复用该vlan范围 l Vlan 250-253,预留作为设备管理用途Vlan; 4.3网络设备位置、端口和具体IP地址设计 5 二层特性总体规划5.1 概述 本章节详细介绍了整网的二层特性总体规划,从Eth-Trunk链路捆绑技术,MSTP破环技术,广播风暴抑制技术,MAC地址漂移检测等方面来描述。 5.2 Eth-trunk(链路捆绑技术)规划 随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出越来越高的要求。在传统技术中,常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出高额的费用,而且不够灵活。 ETH-TRUNK可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,达到增加链路带宽的目的。在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效的提高设备之间链路的可靠性。 ETH-TRUNK主要有以下三个优势: l 增加带宽 ETH-TRUNK的最大带宽可以达到各成员接口带宽之和。 l 提高可靠性 当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高ETH-TRUNK的可靠性。 l 负载分担 在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。 如图所示,DeviceA与DeviceB之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路,这条逻辑链路的最大带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。 说明: Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、jumbo、流控方式必须一致。 图Eth-Trunk示意图 ETH-TRUNK可以作为普通的以太网接口来使用,实现各种路由协议以及其它业务。与普通以太网接口的差别在于:转发的时候链路聚合组需要从成员接口中选择一个或多个接口来进行数据转发。 配置思路及举例: 采用如下的思路配置负载分担链路聚合: 1、 创建Eth-Trunk 接口并加入成员接口(GigabitEthernet 0/0/1 和GigabitEthernet 0/0/2),实现增加链路带宽。 [Huawei]interface Eth-Trunk 1 [Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2 Info: This operation may take a few seconds. Please wait for a moment... 说明: 接口缺省都加入了VLAN1,因此加入Eth-Trunk前建议先将接口从VLAN1中退出或将接口Shutdown,避免出现广播风暴。 [Huawei-Eth-Trunk1]undo port trunk allow-pass vlan 1 2、 创建VLAN并将接口加入VLAN,本例以配置trunk接口为例 [Huawei-Eth-Trunk1] port trunk allow-pass vlan 2 to 4094 3、 配置Eth-Trunk模式为LACP模式,增加可靠性。 [Huawei-Eth-Trunk1] mode lacp 5.3 MSTP规划 5.3.1 MSTP设计原则 XX为二层网络在满足条件的情况下,尽量使用L3连接,原则上只在接入层和层之间,并且所有交换广播域都被限制在一个功能区内,以控制生成树(Spanning Tree)规模,降低收敛时间。 5.3.2 MSTP参数设计 根桥(Bridge)选择:选取汇聚交换机中VRRP角色中的主设备作为MSTP的根桥; 阻塞(Block port)点选择:选择在接入交换机与汇聚交换机中VRRP备设备相连接的端口上; 如下图所示: 5.3.3 MSTP配置步骤 采用以下思路配置MSTP功能: 1. 在处于环形网络中的交换设备上配置MSTP基本功能,包括: a) 配置环网中的设备生成树协议工作在MSTP模式。 [SwitchA]stp mode mstp b) 配置根桥设备。 [SwitchA]stp root primary c) 配置端口的路径开销值,实现将该端口阻塞。 [SwitchC-GigabitEthernet0/0/3]stp cost 200000 d) 使能MSTP,实现破除环路。 [SwitchA] stp enable 说明: 与PC机相连的端口不用参与MSTP计算,配置为边缘端口,并配置BPDU过滤。 2. 配置保护功能,实现对设备或链路的保护。例如:在根桥设备的指定端口配置根保护功能。 [SwitchA-GigabitEthernet1/0/1] stp root-protection 3. 由于边缘设备无法参与STP计算,回应STP报文,因此存在慢收敛。网络边缘连接用户终端或者服务器的交换机端口,可以通过如下方法规避慢收敛: 端口下配置stp disable去使能STP协议,使端口一直保持在转发状态。 [SwitchC-GigabitEthernet0/0/24] stp disable 端口下配置stp edge-port enable指定为边缘端口,端口默认保持在转发状态。并且全局配置stp bpdu-protection,一旦端口接受到BPDU报文后,启动保护shutdown端口。 [SwitchC-GigabitEthernet0/0/24] stp edge-port enable [SwitchC-GigabitEthernet0/0/24] stp bpdu-protection 注意:边缘保护ShutDown的端口,需要手工恢复。 5.4 广播风暴抑制规划 流量抑制是一种用于控制广播、组播以及未知单播报文,防止这三类报文引起广播风暴的安全技术,其主要通过配置阈值来限制流量。 当设备某个二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。引入流量抑制特性,可以控制这三类报文流量,防范广播风暴。 流量抑制特性按以下三种形式来限制广播、组播以及未知单播报文产生的广播风暴。 l 在接口视图下,入方向上,设备支持分别对三类报文按百分比、包速率和比特速率进行流量抑制。 设备监控接口下的三类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。 l 在接口视图下,出方向上,设备支持对三类报文的阻塞(Block)。 l 在VLAN视图下,设备支持分别对三类报文按比特速率进行流量抑制。 设备监控同一VLAN内三类报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。 图 流量抑制典型应用组网图 如图所示, 在二层网络内的设备上,可以配置VLAN内的流量抑制来限制VLAN内的广播、组播和未知单播报文。 SwitchA作为二层网络到路由器的衔接点,当需要限制二层网络转发的来自用户的广播、组播和未知单播报文时,可以通过在SwitchA的二层以太接口GE1/0/1上配置流量抑制功能来实现。 在接口GE1/0/1出方向上,可以采取阻塞广播、组播和未知单播报文的方式,保证二层网络内用户和其他网络设备的安全性。 配置思路: 通过在接入终端的接口视图下配置流量抑制功能,实现限制二层网络转发的广播、组播或者未知单播报文产生广播风暴。 [SwitchA-GigabitEthernet1/0/1] broadcast-suppression cir 100 5.5 MAC漂移检测规划 MAC地址漂移即设备上一个接口学**到的MAC地址在同一VLAN中另一个接口上也学**到,后学**到的MAC地址表项覆盖原来的表项。正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中出现环路,形成广播风暴。处于风暴影响中的每个交换机节点都有MAC地址漂移的现象。因此,可以利用该现象来监控网络中是否成环。 MAC地址防漂移 网络中产生环路或非法用户进行网络攻击都会造成MAC地址发生漂移,导致MAC地址不稳定。 可以通过两种方式来避免这种情况: 提高接口MAC地址学**优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发生漂移。 不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学**到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电,此时会学**到伪造网络设备的MAC地址,当网络设备再次上电时将无法学**到正确的MAC地址。 MAC地址漂移检测 MAC地址漂移检测是交换机对MAC地址漂移现象进行检测的功能。MAC地址漂移检测是利用MAC地址学**时接口跳变实现的,因此能提供的信息与MAC地址学**相关,包括MAC地址、VLAN,以及跳变的接口等诊断信息。其中跳变的接口即为可能出现环路的接口。网络管理员根据网络中每台设备上出现的跳变接口,以及网络拓扑,判断环路的源头。 图MAC地址漂移检测组网图 如图2网络中,若SwitchC和SwitchD之间误接网线,则SwitchB、SwitchC、SwitchD之间形成环路。当SwitchA上Port1接口从网络中收到一个广播报文后转发给SwitchB,该报文经过环路,会被SwitchA上Port2接口收到。在接口Port2上配置MAC地址漂移检测,此时SwitchA会感知到MAC地址学**接口跳变的现象。若连续出现此现象,则在SwitchA上可以判断出现了MAC地址漂移。 配置思路 采用如下思路配置MAC地址漂移检测功能: 开启MAC地址漂移检测功能(mac-address flapping detection),实现检测网络中是否存在MAC地址漂移; 配置MAC地址漂移表项的老化时间(mac-address flapping aging-time 500); 配置接口MAC地址漂移后的处理动作,实现破除环路(mac-address flapping action error-down); 配置被Shutdown接口的自动恢复功能、自动恢复时间(error-down auto-recovery cause mac-address-flapping interval 500)。 6 路由总体规划6.1 静态路由规划 本项目中在各网络与外联网,出口互联等场景下需要使用静态路由。 另外,在静态路由实现路由冗余方面,需要从配置上实现。配置两条静态路,通过不同的COST值来保证链路的主备,通过配置一个比主路由的COST更大的静态路由,保证网络中主路由失效的情况下,提供备份路由。本项目中,部分网络设计中,需要通过配置主备静态路由实现静态路由的冗余。 配置举例: IP route-static x.x.x.x (目的地址) x.x.x.x(掩码)Vlanif N x.x.x.x(下一跳地址) 7 可靠性总体规划7.1 概述 本章节详细介绍了整网的可靠性总体规划,从设备数量级可靠性,设备模块级可靠性,链路级可靠性,路由级可靠性等方面来描述。 7.2 设备可靠性规划 7.2.1 网络设备高可靠性 虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)通过把几台路由设备联合组成一台虚拟的路由设备,实现网关设备的主备备份,保障网络的可靠通信。如下图所示,SwitchA和SwitchB组成一个VRRP备份组,正常情况下,SwitchA为Master设备并承担业务转发任务,SwitchB为Backup设备且不承担业务转发。如果SwitchA发生故障,SwitchB会成为新的Master设备,继续为主机转发数据,实现网关备份的功能。 操作步骤: 3 #在SwitchA上创建VRRP备份组1,配置SwitchA在该备份组中的优先级为120,并配置抢占时间为20秒。 4 [SwitchA] interface vlanif 100 5 [SwitchA-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111 6 [SwitchA-Vlanif100] vrrp vrid 1 priority 120 7 [SwitchA-Vlanif100] vrrp vrid 1 preempt-mode timer delay 20 [SwitchA-Vlanif100] quit 8 #在SwitchB上创建VRRP备份组1,其在该备份组中的优先级为缺省值100。 9 [SwitchB] interface vlanif 100 10 [SwitchB-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111 11 [SwitchB-Vlanif100] quit 图VRRP示意图 7.2.2 网络设备模块可靠性 S7703设备所有关键器件,如主控、电源、风扇等均采用冗余设计,有效保证网络稳定运行。 如果其中一个主控板(或电源、风扇)在出现故障时,冗余的主控板(或电源、风扇)继续工作,保证设备的管理单元和业务单元不受影响,继续正常的转发报文。 7.3 链路可靠性规划 7.3.1 DLDP 在实际组网中有时会出现一种特殊的现象——单向链路。所谓单向链路是指本端设备可以通过链路层收到对端设备发送的报文,但对端设备不能收到本端设备的报文。单向链路会引起一系列问题,比如生成树拓扑环路等。 设备连接检测协议DLDP(Device Link Detection Protocol),用于监控光纤或铜质双绞线的链路状态。当发现单向链路后,会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。 配置思路及举例: 1. 接口下使能DLDP功能,实现SwitchA和SwitchB之间单向链路的检测。 2. 调整DLDP参数,更好的对链路进行检测。 接口使能DLDP功能: [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] dldp enable 在SwitchA上配置发送Advertisement报文的时间间隔为10秒 [SwitchA] dldp interval 10 在SwitchA上配置DelayDown定时器的超时时间为4秒 [SwitchA] dldp delaydown-timer 4 在SwitchA上配置DLDP报文的认证方式simple方式,密码为12345 [SwitchA] dldp authentication-mode simple 12345 对SwitchB重复步骤1~步骤6。 8 网络设备安全总体规划8.1 整体网络安全架构设计 网络安全架构规划是以安全域划分为基础的。通过安全域的划分,明确各个安全实体所具有的安全级别,对这些安全实体进行整合,制定安全域之间的安全边界。网络安全架构规划以此为基础,接入所有的安全域,并在安全域内和安全边界上部署安全策略。 8.2 安全域划分原则 安全域是一个逻辑范围或区域。同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等。同一安全域内的系统相互信任,如在业务层面存在密切的逻辑关系。通过安全域的划分,能够将业务系统与安全技术有机结合,形成完整的防护体系。这样既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。 安全域划分一方面要符合国际标准(ISO 13335、ISO 17799、ISO 7498-2、ISO 15408)和行业最佳实践,另一方面要根据网络实际网络环境和业务应用情况来确定。 本设计采用安全域的划分办法,即根据安全等级定义安全域。各安全域本身的威胁级别、保护级别和安全需求相对固定,跨安全域的访问控制要遵循安全域的网间访问控制策略,在同一安全域下的访问,不做安全防护。 安全域划分步骤分两个步骤进行,首先根据网络的功能定位和安全属性定义安全域,然后基于安全域和安全边界,提出合理的安全策略。安全策略包括边界安全架构规划、安全域和安全边界的安全技术建议。 安全域的划分是相对的逻辑划分,须根据实际的逻辑实体进行具体规划,特别是XX网络分为多个不同网络单元,对于不同网络单元有着不同的网络安全域划分,在接下来的章节,将对不同网络单元分别规划安全域和安全边界,并制定相应的安全策略。 8.3 防火墙部署设计 XX内网部分的业务子网如生产网,安防网、办公网、等可能面临着滥权访问,非法访问,僵木蠕等恶意入侵,网络攻击等多种安全威胁,需要功能强大的防火墙、入侵防御及入侵检测系统组成内网安全防护方案,来有效防范像扫描类攻击,畸形包攻击,资源耗尽型攻击,特殊报文控制及非法和滥权访问等威胁。 在边界部署抗拒绝服务攻击系统,防护来自互联网的恶意拒绝服务攻击行为,采用双机模式部署,串联部署在网络边界,确保网络层面的高可用性; 部署防火墙系统,限制区域间的访问,通过源地址、源端口、目的地址、目的端口、接口要素进行策略编制,实现指定地址间的访问,确保网络层的安全。 8.4 防入侵部署设计 本次网络使用的入侵防御设备是华为USG6370,通过开启其功能特性,提升区域的安全性,抵御外来的恶意网络攻击。在本次设计中,开启了入侵防御特性。 入侵防御能够有效防御来自应用层的攻击,例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。IPS是一种安全机制,它通过监控或者分析系统事件,检测入侵,并通过一定的响应方式,实时地中止入侵行为。保护系统或系统资源不受未经授权的访问。 8.5 防病毒系统设计 本次防病毒系统设计属于新增项,在办公网部署一套,在生产网和安防网部署一套,生产网和安防网共用。 图 防病毒系统部署架构 如上图所示,在生产网和办公网内分别部署一套防病毒系统放置在RD01机房,将其连接至本业务网核心交换机,负责病毒定义码的分发和整个网络防病毒软件的管理。所有病毒库代码升级、病毒告警均由主控服务器完成。做到对客户端的统一管理与集中监控,病毒码统一自动、升级,全网扫描和杀毒引擎。在用户终端安装受管理的客户端软件。 防病毒服务器与客户端之间定时(可配置)自动通讯,检查是否有最新的病毒定义码文件,防病毒系统配置是否修改。如果有新的变化,则自动从服务器获取最新配置并修改本机配置。服务器与客户端的扫描可定义一个每周比较空闲的时间段全网扫描一次,清除潜在的安全隐患。可以根据用户需求修改配置,实时监控保护系统在日常运行中不受病毒侵害。 8.6 上网行为管理设计 8.6.1 设计思路 本次上网行为管理设备属于新增项,在办公网部署一套,具体设计思路如下; l 在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行管理。 l 根据企业组织架构和人员分布,建立用户组树形结构,匹配企业目前组织架构,为后续网络管理奠定基础。 l 通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高企业员工工作效率,为企业带来效益增长。 l 在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失,同时,有效防止不良信息外发行为,避免引起法律纠纷。 l 通过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有效隔离内网,提高内网安全性。 l 由于大规模部署了上网行为管理系统,因此,为了对整体系统实行有效管理,在主机房署一台集中管理设备,对全网的上网行为管理系统进行统一管理,降低管理成本,提高可管理性。 如图所示 8.7 网络设备安全设计 设备的安全配置也是网络安全的一个重要因素,XX目前已有关于安全配置的规范,建议XX网络安全管理人员定期检查、更新网络设备的安全配置,譬如 “口令管理”、“服务管理”、“访问控制和管理”、“攻击防范”和“路由安全”,以保障网络设备的安全。 设备配置安全主要从口令管理、服务管理、访问控制和管理、攻击防范和路由安全这几个方面考虑: l 口令管理:要求使用加密口令,避免口令被恶意截取; l 服务管理:强调网络设备关闭不必要的服务,减少被攻击者利用的可能; l 访问控制和管理:要求对客户端的操作进行严格的认证、授权和审计; l 攻击防范:增加网络设备防范攻击功能的配置,减少网络设备被恶意攻击的风险; l 路由安全:关注路由协议认证,消除路由安全问题; l 设备配置文件备份采用自动化工具,并实现对设备配置文件的变更实现实时监控和非授权变更告警通知; 8.7.1 设备的访问控制 对防火墙和交换机的管理,主要通过设备本身的Console/Meth 控制端口、网络远端 VTY 虚拟终端或网管SNMP 协议。通常Console/Meth 控制端口连接访问服务器作为带外网络管理,VTY 虚拟终端远程访问是访问设备的最常用的方法。华为设备支持的访问协议可以是 Telnet或SSH。通过配置访问控制,做到只有特定的管理员可以配置设备,而其他的管理员只有查看相关配置的权限。 8.7.2 Console/Meth控制端口 加强机房安全控制,避免非法人员接触设备Console/Meth 控制端口,并适当降低Console/Meth控制端口的非活动超时时间,降低被盗用的风险。同时,在Console/Meth口上配置AAA,做到只有特定的知晓用户名/密码的网络管理员才可以调试设备,提高设备安全性。 8.7.3 系统日志 详尽的系统日志能够为XX网络运维和安全审计提供足够的信息,及时发现网络、设备出现的问题并解决。相关系统日志的操作设计包括: l 开启时间戳服务:为系统日志和Debug信息记录提供详细的时间点; l 关闭到Console端口的日志输出:防止日志信息冲击Console导致无法使用; l 增加日志缓冲区空间:默认值是4096字节; l 网络管理系统中设置日志服务器:将网络设备的日志信息及时备份到日志服务器以备查看。日志服务器需做好安全保护,防止重要的日志信息被盗,服务器的安全不在本案设计范围内。 8.7.4 密码设置 任何情况下不要使用单词、生日数字、专有名词等类似简单密码作为设备的登陆密码,要使用字母数字混合的密码,且务必控制密码知晓范围; 默认情况下配置中所有的密码和其他的认证字符序列都使用MD5哈希算法不可逆的机制进行加密,很难使用软件反向推算出原始密码,具有较大安全性,建议XX网络所有网络设备开启密码加密设置 9 网络交换系统深化设计清单9.1 网络交换系统深化设计清单