1、重庆翰华担保集团网络技术建议书2009 年 4 月 14 日杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 2 页, 共 49 页目 录第 1 章 项目背景 .31.1 需求分析 31.2 网络设计原则 5第 2 章 网络结构设计 .82.1 网络设计 8第 3 章 本方案的技术设计 .93.1 路由协议的设计 93.2 VLAN 设计 .103.3 TRUNK 链路的设计 .113.4 访问控制(ACL)的设计 113.5 服务质量(QOS)机制 123.6 广播风暴的抑制 .123.7 防止对 DHCP 服务器的攻击 123.8 防止基于流的攻击特性 .12第 4
2、 章 具体解决方案 124.1 VLAN 规划 .124.1.1 划分 VLAN 的必要性 124.1.2 划分 VLAN 的方法 144.1.3 具体 VLAN 规划 164.2 IP 地址分配原则 .174.3 本次工程 IP 地址分配 184.4 网络设备自身的安全功能 .204.4.1 用户严格隔离 .204.4.2 有效防范 MAC 扫描和 ARP 攻击: .204.4.3 DHCP 攻击、VLAN “Hopping”攻击的防范: .204.4.4 采用 SNMP v3 杜绝网管攻击: .204.4.5 有效抑制广播风暴 .214.4.6 防治蠕虫病毒 .21第 5 章 H3C 设备
3、介绍 .255.1 核心交换机 .255.2 防火墙 .305.3 接入交换机 .36第 6 章 附录 426.1 华三公司介绍 .426.2 技术支持与售后服务 .446.2.1 两小时厂家上门服务一年免费维保 .446.2.2 服务组织机构 .44杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 3 页, 共 49 页6.2.3 服务及时性保障 .456.2.4 服务有效性保障 .46第 1 章 项目背景1.1 需求分析为满足翰华担保集团现代化办公的需要,需要建立一套现代化网络平台。重庆翰华担保集团拥有大量的服务器和主机设备,需要局域网络提供高速带宽支持。这就需要建
4、设一套先进的网络系统,加速实现办公现代化,充分提高工作效率。计算机网络系统为其它各子系统集成提供了基础,网络主干目前一般采用千兆,可平滑升级到万兆,同时达到 100 兆交换到桌面。包括建立有线与无线共存应用,多种服务和强大的数据库。网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则,选择先进、可靠、符合未来技术发展趋势的组网技术。购置设备的选型要具有开放性、符合国际标准,兼顾先进性和成熟性,并与已有设备兼容,具有良好的可管理性。网络应具有高可靠性,包括设备可靠性、链路可靠性、路由冗余等。同时,骨干网具有支持 IPv6 协议、组播路由等下一代互联网技术的扩展能力。为员工
5、提供Email、DNS、DHCP、FTP、BBS 等网络基本服务,运行和维护基于 Web 的信息发布系统。划分专门的网段,运行和维护各类信息系统的服务器,提供数据中心服务。选用的网络设备应是当今世界上较为先进、应用范围广,而且应与世界上其它主要厂商的产品具有良好的互连性。根据整个厂区的网络信息点的分布。要充分考虑到:网络安全系统、网络地址要求、 网上多媒体系统、服务器、存储、备份系统、中心机房环境等。网络规划,除了考虑到当前的实际需要外,对于网络平台的规划我们充分考虑现阶段网络技术发展的趋势,并提供长远的规划和扩展的考虑,实施完成后重庆翰华担保集团园区网络应充分满足以下几个方面:高性能随着 I
6、P 电话、视频会议、网上业务、OA 办公系统、电子邮件系统、ERP 系统等应用的应用,网络需要承载各种信息流,将对重庆翰华担保集团内网以及外网网带宽提出较高的要求。高速网络是网络发展的必然方向,网络应该运用当今最先进的技术,并且应该满足今后若干年的性能需求。因此,我们杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 4 页, 共 49 页建议的重庆翰华担保集团的基础网络结构:1、以千兆为核心技术,支持万兆交换已成为组网的基本要求,千兆到接入交换机、千兆到服务器,、百兆到员工,应该成为重庆翰华担保集团网络建设的基本要求。2、支持多种应用:建成后的重庆翰华担保集团网络是融合
7、多种应用如数据、IP 电话、视频、监控等的网络,网络在建之初就应该考虑的对多业务的支持。3、对于一个大型的网络来说,VLAN 的灵活划分是非常重要的功能,它为限制全网范围的广播、减少不必要的流量提供了有效的手段。在网络设计中应选择切实可行的技术进行 VLAN 的灵活划分。高安全性随着重庆翰华担保集团信息化建设的不断深入,在重庆翰华担保集团网络迅速壮大并推动业务快速发展的同时,也使重庆翰华担保集团面临着更加严峻的挑战:网络安全与网络管理日益成为关系到重庆翰华担保集团可持续发展的重大因素。目前常见的企业网络安全隐患主要来自以下一些方面:1网络级攻击:窃听报文 ,IP 地址欺骗 、源路由攻击、端口扫
8、描 、拒绝服务攻击。2应用层攻击 :有多种形式,包括探测应用软件的漏洞、“特洛依木马“ 等;3系统级攻击:不法分子利用操作系统的安全漏洞对内部网构成安全威胁。另外,网络本身的可靠性与线路安全也是值得关注的问题。所以建成的重庆翰华担保集团网络系统应具有良好的安全性。能够对使用者进行验证、授权、审核,以保障系统的安全性。同时提供灵活的用户接入控制策略:及分布式控制和集中式控制。高可靠性重庆翰华担保集团网络系统承载着重庆翰华担保集团各种重要的业务数据,整个网络系统应具有高可靠性。除了采用高可靠性的网络设备以外还应考虑链路层和网络层的备份。可扩展性和可升级性系统要有可扩展性和可升级性,随着业务的增长和
9、应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易管理、易维护杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 5 页, 共 49 页重庆翰华担保集团网络系统规模大,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。1.2 网络设计原则网络平台是信息化建设的重要基础设施,必须从网络信息体系建设的全局考虑,将计算机网络建设为一个高起点,易于扩充、升级、管理和使用的网络系统。先进性和实用性网络规划既要以现实需要为出发点,又要考虑长远发展的需要和潜在的扩充,尽可
10、能采取先进而成熟的技术和产品,使之在一定时期内都能保持较先进的水平。使网络带宽性能不仅适应现在的需要,还可以满足未来几年数据量的要求。在网络设计中,首先要考虑的是实用性,使之易操作、易管理和维护并且易于用户掌握和学习使用。其次要考虑对现有设备和资源的充分利用,采用成熟的网络通信技术和设备,保证原有的投资。目前随着网络的声音、图像等多媒体应用日益增加,对网络服务质量,如带宽,延迟等有很高的要求。利用 IP QoS、IP Multicast、MPLS 等技术可以保证服务质量 (QoS)满足用户要求。可靠性与安全性系统安全可靠运行是整个系统建设的基础。鉴于网络信息的重要性,要求网络系统要有较高的可靠
11、性,各级网络应具有网络监督和管理能力;要适当考虑关键设备和线路的冗余,使其能够进行在线修复、更换和扩充;要确保系统数据传输的正确性,以及为防止异常情况发生所必须的保护性措施。根据具体情况采用 VPN 技术、访问控制列表、子网隔离、防火墙和 IPS 等安全控制措施,以保证网络安全运行,拒绝未经授权的访问。不仅要求网络能够长时间的安全运转,同时要求网络设备具有较强的容错能力。在系统设计上,要从以下几个方面保证网络的可靠与容错:选用高可靠性的网络设备,在网络的关键部位采用冗余备份设计,避免单点故障,保证网络长期运行的可靠性。采用优秀的网管系统对网络进行实时监控,以便及时发现网络故障。采用可靠的备份系
12、统,通过 TFTP 服务器定时备份网络设备配置。杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 6 页, 共 49 页系统设计能对关键数据提供可靠的保护;对网络病毒提供防范措施;网络数据要有可靠的备份,备份系统要求读写速度快,保密性好,可靠性高。开放性与标准化系统采用的硬件平台、软件平台、网络协议等符合开放系统的标准,并能够与其他系统实现互联,将采用大多数厂商支持的国际标准协议。具体讲,主要从以下几个方面实现开放性和标准化;采用工业标准 TCP/IP 协议。网络互联设备应支持多种协议,能与其它厂家设备互操作。采用支持 SNMP 协议的网管软件。 在总体设计中,应采用开
13、放式的体系结构,使网络易于扩充,使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力,即在外界环境改变时,系统可以不作修改或仅作少量修改就能在新环境下运行。网络选用的通信协议和设备要符合国际标准或工业标准,将不同应用环境和不同的网络优势有机地结合起来。也就是说,要使网络的硬件环境、通讯环境、软件环境、操作平台之间的相互依赖减至最小,发挥各自优势。同时,要保证网络的互联,为信息的互通和应用的互操作创造有利的条件。经济性与可扩充性扩展和升级系统建设要考虑将来的扩展和升级,以免人力、物力、财力的浪费。网络设计不仅要满足当前的需求,还要为将来的扩展留有余地,保护投资。网络设计采用国际标准的技术
14、和符合标准的设备,系统软件或硬件升级都不应影响整个系统的运行。系统上结点的增减也应不影响系统的正常运行。建成的网络系统必须具有良好的可扩充性和升级能力,其扩充和升级将以最低成本花费为前提。易于管理和维护网络系统的所有设备都应是可管理的,会支持远程监控及对故障的过程诊断和恢复。通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络的优化提供依据。另外,网络的设计应采用简单易用的网络技术,降低运行维护的费用。 经济性杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 7 页, 共 49 页可以和现有网络无缝的连接,同时可以提升现有网络的性能。在网络设备的选
15、择上,既要考虑技术性能、市场份额、技术特色,又要权衡与原有系统整合的条件、人员的培训状况。本系统需要完整而成熟的最新技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性。根据前面所作的现状与需求分析,我们提出以下的总体设计思想:采用先进的万兆、千兆以太网以及快速以太网交换技术:目前,局域网建设模式是以千兆以太网为骨干、并具有万兆能力,设备间以百兆以太网交换的方式;采用业界主流的交换机产品:在产品选型上采用业界最先进的产品,可以保证网络具有长期的产品升级、支持和维护;在设备配置上兼顾先进性与适用性:采取最先进的设备配置可以保证网络的性能,但同时也造成网络建设成本的增加,因此,必须兼
16、顾先进性与适用性,求得最佳的性能价格比;面向应用的网络:目前,局域网应用的发展非常迅猛,各类新的应用技术和模式不断涌现,网络必须支持这种变化,满足新的应用的需求;周密的网络安全策略:网络安全目前已经成为网络建设中非常重要的一个环节,对于局域网来说,网络安全的重要性就更显突出,必须制定周密的网络安全策略,最大限度地保证网络安全;全面的网络管理与维护:网络管理与维护在网络的整个运行周期中起着非常重要的作用,因此在网络设计时必须充分考虑未来网络管理与维护的工作。杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 8 页, 共 49 页第 2 章 网络结构设计根据重庆翰华担保集团
17、的网络信息点的分布,我们建议使用核心层加接入层的方式来实现我们所需要的网络。考虑到重庆翰华担保集团园区的规模和设计,我们建议在网络核心层使用一台核心交换设备,接入层交换机通过千兆链路连接到核心交换机,来满足对目前的要求。2.1 网络设计拓扑结构描述:如图所示:整个网络拓扑结构分为核心层和接入层,下面我们就对整个网络结构做详细描述。1 中心部分是由防火墙、VPN 网关、上网行为管理及核心交换机组成;2 为了保证 WEB 服务器能安全的为互联网用户提供服务,我们可以把服务器放在防火墙的 DMZ 区里面,来实现 WEB 服务器的对外提供服务;3 为了保证分支用户能安全高效的接入总公司的内网,我们在防
18、火墙后面放置一台 VPN 设备用来做杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 9 页, 共 49 页与分支机构互联的 VPN 网关。4 为了使用户更加安全的接入互联网,我们在出口处放置了一台上网行为管理设备,最大可能的保护用户连接互联网的安全。5 接入层:接入层交换机全部通过千兆铜缆的方式连接到核心交换机上的,同时楼层的接入交换机之间的级联也是通过千兆的方式进行级联的,这样就达到了骨干千兆,百兆桌面的网络结构。同时本次方案中,我们选用的是 H3C 的 S3100-26TP-EI 交换机,该交换机具有高安全性能,支持 IP+MAC+端口的绑定功能,为用户的安全接入
19、提供了可行性.第 3 章 本方案的技术设计3.1 路由协议的设计在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协议有多种,如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点,分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素:1)路由协议的开放性开放性的路由协议保证了不同厂商都能对本路由协议进行支持,这不仅保证了目前网络的互通性,而且保证了将来网络发展的扩充能力和选择空间。2)网络的拓扑结构网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算,对复杂网络的适应能力较弱。3)网络节点数量不同的协
20、议对于网络规模的支持能力有所不同,需要按需求适当选择,有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。4)与其他网络的互连要求通过划分成相对独立管理的网络区域,可以减少网络间的相关性,有利于网络的扩展,路由协议要能支持减少网络间的相关性,是通常划分为一个自治系统(AS) ,在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。5)管理和安全上的要求杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 10 页, 共 49 页通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需
21、要,例如对路由的传播和选用提出一些人为的要求,就需要路由协议对策略的支持。因 此 选 择 静 态 路 由 协 议 , 对 于 厂 区 数 据 网 网 络 性 能 的 最 优 和 安 全 性 是 非 常 重 要 的 。3.2 VLAN 设计在网络成为必不可少的工具、信息处理成为日常工作的重心后,VLAN 技术的运用显得越来越重要。VLAN 对于信息系统的意义体现在:1. VLAN 可以改善网络的通信效率。因为通信流量只局限于本子网中,不会对其它子网产生干扰。2. VLAN 可以避免广播风暴。在较大规模的网络中,大量的广播信息很容易引起网络性能的急剧降低,甚至使网络瘫痪。而 VLAN 使广播只在子
22、网中进行,不会作无意义的扩散,从而消除了广播风暴产生的条件。3. VLAN 大大增强了网络及其信息的安全性。因为子网间无法随意进行访问,信息流通得到相当好的控制。4. VLAN 使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限,也就是说网络规划完全不会受到物理的限制。VLAN 的划分与 IP 子网的规划存在很大的关系。具体的实施过程建议如下进行:1对全网的 IP 地址进行全面的规划,确定各子网内主机的数量,并根据 IP 子网内主机的数量确定掩码的长度。2确定 IP 子网的聚合点,聚合点以下采用连续的子网划分。使聚合点向核心路由器通告最少的路由。3选择合适的路由协
23、议进行子网路由。4根据 IP 子网的规划,对交换机进行 VLAN 的规划和划分。建立 VLAN 和 IP 子网的对应关系。5网络管理系统采用完全独立的 IP 子网和 VLAN,实现更安全的对所有网络设备进行管理。6根据信息流量的走向和分布,确定服务器集群的 VLAN 和 IP 子网。7在三层路由交换机建立相应的 VLAN 以及与 VLAN 绑定的 IP 子网网关。杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 11 页, 共 49 页8建立相应的子网间的访问策略,在三层路由交换机配置访问列表。3.3 trunk 链路的设计所有的接入层交换机全部采用的是 H3C 公司的
24、 3100EI 系列的二层可管理千兆交换机,因为要满足因为地理位置不同,但部门是同一个部门的问题,同时 IP 要规划在同一个子网内;所以,我们可以通过在二层交换机上做 trunk 的方式,把网关都集中在核心三层交换机上来实现。3.4 访问控制(ACL)的设计对于那些确实具有网络接入许可,但试图访问未得到授权的网络资源的用户站点,H3C 系列产品的多层交换引擎能在进行高效的第三层交换的同时,根据用户的 IP 地址限制其访问不被授权访问的服务器。本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和 OSI 网络模型的数据链路层、网络层的立体交叉的、多维化的安全保障。应用 ACL 防范“冲击
25、波”等蠕虫病毒:最近发现的冲击波病毒,造成了很多地方感染,网络瘫痪。这是一个针对 MS03-026 Microsoft Windows DCOM RPC 接口远程缓冲区溢出漏洞。蠕虫还会在本地的 UDP/69 端口上建立一个 tftp 服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序 msblast.exe。蠕虫选择目标 IP 地址的时候会首先选择受感染系统所在子网的 IP,然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立,蠕虫会向目标的 TCP/135 端口发送攻击数据。如果攻击成功,会监听目标系统的 TCP/4444 端口作为后门,并绑定 cmd.exe。然后蠕虫会连接到这个
26、端口,发送 tftp 命令,回连到发起进攻的主机,将 msblast.exe传到目标系统上,然后运行它。 蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows 系统 RPC 服务崩溃,Windows XP 系统可能会自动重启。该蠕虫不能成功侵入 Windows 2003,但是可以造成 Windows 2003 系统的 RPC 服务崩溃。另外中毒的服务器会向网络发送大量无效的数据包,浪费有效的网络带宽,造成用户感觉上网速度慢,甚至使交换机等网络设备死机,所以我们可以利用 S21系列智能交换机的 ACL 功能做出限制,禁止其转发和传播。3.5 服务质量(Q
27、OS)机制本方案采用的交换机支持 802.1P、端口优先级、IP TOS、二到七层过滤等 QoS 策略,具备 MAC 流、杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 12 页, 共 49 页IP 流、应用流、时间流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。实现网络的高效、可靠运行,支持数据、话音和视频之间的无缝集成。为用户提供良好的 QoS 保证。3.6 广播风暴的抑制H3C S5510、S3100EI 均可以实现基于端口的广播风暴抑止功能,可支持同一 VLAN 内的风暴抑止
28、功能,可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定。3.7 防止对 DHCP 服务器的攻击使 用 DHCP Server动 态 分 配 IP地 址 会 存 在 两 个 问 题 : 一 是 DHCP Server假 冒 , 用 户 将 自 己 的 计算 机 设 置 成 DHCP Server后 会 与 局 方 的 DHCP Server冲 突 ; 二 是 用 户 DHCP Smurf, 用 户 使 用 软件 变 换 自 己 的 MAC地 址 , 大 量 申 请 IP地 址 , 很 快 将 DHCP的 地 址 池 耗 光 。H3C S5510 系列交换机可以支持多种禁止私设 DHCP S
29、erver 的方法。3.8 防止基于流的攻击特性H3C 核心交换机 S5510、接入交换机 S3100EI 均采用最长路由匹配技术,与传统的基于流转发的方式相比,更具有强大的安全特性,对于如:红色代码等病毒可具有较高的抗攻击能力,可确保网络的安全、稳定。第 4 章 具体解决方案4.1 VLAN 规划4.1.1 划分 VLAN 的必要性VLAN 是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点,它由软件进行管理,所以允许用户利用软件功能灵活地配置资源,管理网络。利用交换设备中的虚网功能,不必改变网络的物理基础,即可重新配置网络。采用虚网功能,网络性能可以获得较大的改善:1
30、.虚网技术能对工作组业务进行过滤,有效地分割通信量,因而能更好地利用带宽,提高网络总的吞吐量。2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线,因为虚网技术是从杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 13 页, 共 49 页逻辑角度而非物理角度来划分子网的,所以采用虚网技术能减轻系统的扩容压力,将迁移费用降至最小。3.采用虚网技术能有效隔离网络设备,增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为 IEEE802.1Q,此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。4.虚网技术能对属于同一工作组的用户提供
31、广播服务,但与传统的局域网协议所不同的是,虚拟局域网能限制广播的区域,从而节省网络带宽。5.虚拟局域网可以建立在不同的物理网络上,用封装的办法支法支持不同的网络协议络协议,如SNMP、NMP、IPX、TCP/IP 、IEEE802.33 等,兼容性非常好性非常好。6.虚拟网络中的主要应用技术为“虚网中继” ,VLAN Trunking 特有技术的采用也成成为了必然。必然。简而言之,VLAN Trunking 主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个 LAN Switch 端口所划分的不同 VLAN 与其它 LAN Switch 中各自相应的 VLAN 成员进行线路复用连
32、接的技术。VLAN Trunking 技术的采用,既节省了信道数据量,又提高了可靠性,并便于管理及方便连接,提高了整个网络吞吐量和性能指标。其原理如下图所示:V1V2V3 V4V1V2V4 V1V1V2V320MbpsBandwith20MbpsBandwithVLAN 1to VLAN 4VLAN 2to VLAN 2VLAN Trunkig 技如果采用 VLAN trunking 的技术,则 V1、V2 、V3 均可通过一条全双工的 100Mbps,即 200Mbps 的速率与上级 LAN Switch 进行互通并经过位于树根部的路由器进行路由与其它的 VLAN 进行通讯。VLAN 杭州华
33、三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 14 页, 共 49 页trunking 技术的优点在于采用一条高速通道连接,提高了通道的使用效率,如在,如在 V2,V3 无数据量的情况下,V1 可以独占此 100M 带宽;并且可以使得线路的连接变得简单,从而大大提高可靠性与易维护性。4.1.2 划分 VLAN 的方法作为一个大型企业集团,为方便管理和维护,交换机必须要求支持灵活的VLAN划分,华三公司的S3100EI接入交换机不仅能够支持标准的802.1Q VLAN,还能实现端口之间的隔离。我们可以使用S3100EI支持的P-VLAN(primary-vlan)这个特性,
34、一方面实现用户之间的隔离,另一方面可以为三层交换机节省VLAN资源。S3100EI可以屏蔽下面的VLAN 划分,仅向三层交换机提供一个VLAN信息, 在边缘交换机实现了端口可以同时属于多个 Vlan;如图所示:其中端口1为uplink端口,端口2,3,4为接入端口;Vlan 1: 包 含 端 口 : 1, 2, 3, 4, 5Vlan 2: 包 含 端 口 : 1, 2Vlan 3: 包 含 端 口 : 1, 3, 4Vlan 4: 包 含 端 口 : 1, 52451vlan 1vlan 3vlan 2 43设 计 中 采 用 了 几 个 secondary VLAN包 含 在 一 个 pr
35、imary VLAN中 的 方 式 , 给 用 户 提 供 了 灵 活 的 配 置方 式 。 如 果 用 户 希 望 实 现 二 层 报 文 的 隔 离 , 可 以 采 用 了 为 每 个 用 户 分 配 一 个 secondary vlan的 方 式 , 每个 VLAN中 只 包 含 用 户 连 接 的 port和 uplink port; 如 果 希 望 实 现 用 户 之 间 二 层 报 文 的 互 通 , 可 以 将 用 户连 接 的 端 口 划 入 同 一 个 VLAN中 ; 同 时 创 建 primary VLAN, 该 vlan包 含 所 有 secondary VLAN中 包
36、含 的端 口 和 uplink端 口 , 这 样 对 上 层 交 换 机 来 说 , 可 以 认 为 下 层 交 换 机 中 只 有 一 个 primary VLAN, 用 来 标识 设 备 , 而 不 必 关 心 primary VLAN中 的 端 口 实 际 所 属 的 VLAN, 简 化 了 配 置 , 节 省 了 VLAN资 源 。primary VLAN中 的 所 有 端 口 都 是 不 是 802.1Q的 trunk端 口 , 包 括 与 其 它 交 换 机 相 连 的 uplink口 。 每个 port的 PVID就 是 它 所 属 secondary vlan的 ID; upl
37、ink端 口 的 PVID是 primary VLAN的 ID;杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 15 页, 共 49 页如下图所示: VLAN10VLAN20P-VLA30VLAN30这样 VLAN 10 和 VLAN 20 内的用户属于一个网段,分属不同的 VLAN,在三层交换机上仅仅需要创建 VLAN 30,它认为二层交换机上面仅仅只有一个 VLAN 30,在二层交换机上配置 VLAN 30 为 P-VLAN,包含从 VLAN 10 和 VLAN 20,它们对三层交换机来说是不可见的。将端口分配给VLAN的方式有两种,分别是静态的和动态的。静态VL
38、AN:形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN,然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN:建议使用华三公司的 802.1X 实现动态 VLAN 功能。我们知道,VLAN 常常被规划用于对“资源访问权限” 的分组,不同的 VLAN 具有不同的访问权限,每个 VLAN 内有一个 IP 地址网段,不同的 VLAN/IP 地址段的用户,具有不同的访问资源的权限。用户权限数据一般存储在 CAMS(后台综合访问管理服务器)中,CAMS 根据用户端的权限归类,在认证通过之后向二层交换机作动态的 VLAN ID
39、下发配置。此时,二层交换机要支持 VLAN 的动态配置功能(华三全系列交换机支持) 。4.1.3 具体 VLAN 规划在重庆翰华担保集团网络建设中,首先,必须实现不同部门网络之间的互相割离。通常按照具体部杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 16 页, 共 49 页门之间进行划分。本次项目奖建议使用此种划分方法。我们建议使用 VLAN 技术,同时在核心交换机上配合使用访问控制列表实现不同部门之间的隔离。我们建议每个部门作为一个独立的 VLAN,部门内部可以使用 PVLAN 的功能,再进一步进行隔离。从广播控制角度出发,为了保障网络的高可用和高性能,我们建议在
40、进行具体 VLAN 规划时,同一个广播域内(一个 VLAN)的通信主机不要超过 50 台,最好控制在 30 台以内,对于主机数量超过 50 的业务部门,我们通过二层隔离,三层交换的方式来解决。对于服务器建议单独设置在一个 VLAN 中。如果不同部门的人员之间需要实现互访,则只需要在核心交换机 S9512 上放开访问控制列表就可以了。对于集团公司高层,需要能够访问各个部门资源,对于此类用户,我们只需在核心交换机上,不对其设置任何访问控制列表就可以了。总之,任何访问控制要求,均可以通过访问控制列表的方式实现。为避免混乱及出错,应对网络中的 Vlan ID 统一规划,禁止出现网中的 ID 相同而又不
41、在同一个 Vlan中的情形。另外,由于 802.1Q 协议支持至多 4096 个 Vlan ID,按部门划分 Vlan ID 可以为以后管理带来很大的方便,比如一看 Vlan ID 即知是哪个部门的用户。建议 Vlan ID 采用如下分配原则:(1) 、Vlan1 保留使用(2) 、为方便管理,建议按地理区域或分支机构划分一段连续的 Vlan ID。(3) 、VLAN ID 的分配按照每个部门占用一个 VLAN ID 的方式,该 VLAN ID 必须保证全网统一规划,不允许重复。(4) 、部门内部在使用 PVLAN 技术隔离不同员工时,该 VLAN ID 不需要统一规划,但必须保证在同一台交换
42、机上,PVLAN ID 不重复。4.2 IP 地址分配原则IP 地址的合理规划是网络设计中的重要一环,大型计算机网络必须对 IP 地址进行统一规划并得到实施。IP 地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 17 页, 共 49 页IP地 址 的 合 理 分 配 是 保 证 网 络 顺 利 运 行 和 网 络 资 源 有 效 利 用 的 关 键 。 对 于 本 期 IP地 址 的 分 配 应 该尽 可 能 地 利 用 申 请 到
43、 的 地 址 空 间 , 充 分 考 虑 到 地 址 空 间 的 合 理 使 用 , 保 证 实 现 最 佳 的 网 络 内 地 址 分 配 及业 务 流 量 的 均 匀 分 布 。IP地 址 的 分 配 和 网 络 组 织 、 路 由 策 略 以 及 网 络 管 理 等 都 有 密 切 的 关 系 , 具 体 的 IP地 址 分 配 将 通 常在 工 程 实 施 时 统 一 规 划 实 施 , 这 里 主 要 描 述 IP地 址 分 配 的 原 则 。主 要 的 原 则 描 述 为 : IP 地 址 分 配 要 尽 量 给 每 个 分 支 机 构 分 配 连 续 的 IP 地 址 空 间 ;
44、 在 每 个 分 支 机 构 网 中 , 相 同 的 业务 和 功 能 尽 量 分 配 连 续 的 IP 地 址 空 间 , 有 利 于 路 由 聚 合 以 及 安 全 控 制 ; IP 地 址 的 规 划 与 划 分 应 该 考 虑 到 个 分 支 机 构 的 发 展 , 能 够 满 足 未 来 发 展 的 需 要 ; 即 要 满 足 本期 工 程 对 IP 地 址 的 需 求 , 同 时 要 充 分 考 虑 未 来 业 务 发 展 , 预 留 相 应 的 地 址 段 ; 地 址 分 配 是 由 业 务 驱 动 , 按 照 业 务 量 的 大 小 分 配 各 地 的 地 址 段 ; IP 地
45、 址 的 分 配 必 须 采 用 VLSM(变 长 掩 码 )技 术 , 保 证 IP 地 址 的 利 用 效 率 ; 采 用 CIDR 技 术 , 这 样 可 以 减 小 路 由 器 路 由 表 的 大 小 , 加 快 路 由 器 路 由 的 收 敛 速 度 , 也 可 以 减小 网 络 中 广 播 的 路 由 信 息 的 大 小 ; 在 公 有 地 址 有 保 证 的 前 提 下 , 尽 量 使 用 公 有 地 址 , 主 要 包 括 设 备 loopback 地 址 、 设 备 间 互 连地 址 。 充 分 合 理 利 用 已 申 请 的 地 址 空 间 , 提 高 地 址 的 利 用
46、效 率 。IP 地址规划应该是网络整体规划的一部分,即 IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。4.3 本次工程 IP 地址分配IP 地址规划应该包括两部分,外部地址和内部地址的规划,外部地址就是 Internent 上的公有地址,一般在申请的时候,电信会分配给若干个公有 IP 地址,由于外部地址我们使用电信分配的地址,所以我们先讨论主要部分,内部地址的分配。内部 IP 地址应该本着易管理、易分配、易理解等原则来进行分配,由于我们规划的是内部地址,所杭州华三通信技术有限公司 华三通信技术有限公司 版权所有,侵权必究 第 18 页, 共 49 页以应该使用私有地址去规划。RFC1918 中定义的非 Internet 连接的网络地址,称为“专用 Internet 地址分配” 。RFC1918 规定了不想连入 Internet 的 IP 地址分配指导原则。由 Internet 地址授权机构(IANA)控制 IP 地址分配方案中,留出了三类网络号,给不连到 Internet 上的专用网用,分别用于 A,B 和 C 类 IP
