CISCO图书馆设计方案.docx

CISCO图书馆设计方案.docx

《CISCO图书馆设计方案.docx》由会员分享，可在线阅读，更多相关《CISCO图书馆设计方案.docx（32页珍藏版）》请在冰豆网上搜索。

CISCO图书馆设计方案

CISCO图书馆设计方案

1.1设计原则

为构建高质量的网络，在网络建设中要坚持以下原则

1.高可靠性：

网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。

2.技术先进性：

在保证满足基本业务应用的同时，又要体现出网络的先进性。

在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。

3.高性能：

骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。

4.标准开放性：

支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。

5.可扩展性：

根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。

6.可管理性：

选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。

7.安全性：

制订统一的网络安全策略，整体考虑网络平台的安全性。

做到业务数据的安全传递和网络设备不受黑客攻击。

8.经济性：

在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。

1.2设计规范及依据

规范、标准及设计依据

GB/DL——中华人民共和国国家标准

CCC——中国产品强制认证标准

RoHS——电子信息产品污染控制管理办法

《计算机信息系统安全保护等级划分准则》（GB17859）

《安全防范系统验收规则》（GA308）

《计算机信息系统安全保护条例》

《交通管理信息系统建设框架》

《民用建筑电气设计规范》（JGJ/T16-92）

《供电系统设计规范》（GB50052-95）

《低压电气设计规范》（GB50054—95）

《工业企业通讯设计规范》（GBJ42-81）

《工业企业通信接地设计规范》（GBJ115-87）

《电气装置安装工程接地装置、施工及验收规范》（GB／T50169）

IEEE802.3以太网规范

《安全防范工程程序与要求》（GA/T75）

《中华人民共和国安全防范行业标准》（GA/T74-94）

《信息技术设备（包括电气事务设备）安全规范》（GB4943-1995）

《电子计算机机房设计规范》（GB50174-93）

《计算机场地技术条件》（GB2887—89）

《电工电子产品基本环境试验规程试验方法》（GB2423.1/2/3-89）

《电磁兼容试验和测量技术浪涌（冲击）抗扰度试验》（GB/T17626.5-1999）

《电子测量仪器可靠性试验》（GB11463-89）

《信息技术设备抗扰度限值和测量方法》（GB/T17618-1998）

《电子测量仪器振动试验》（GB6587.4-86）

工业企业通信设计规范（GBJ42-81）

市内电话线路工程设计规范（YDJ8-85）

ANSI/EIA/TIA569（CSAT530）商业办事处路径和空间结构标准

ANSI/TIA/EIA-607（CSAT527）商业办事处接地线和耦合线标准

ANSI/TIA/EIA-568-A（CSAT529-95）商业办事处通讯布线标准

ANSI/TIA/EIA-606（CSAT528）商业通讯布线结构管理标准

TIA/EIA-TSB－67无屏蔽双绞线UTP端到端系统功能检测

ISO11801建筑物综合布线规范

2总体设计方案

2.1核心交换机的设计

本次网络建设中我们选用的为思科6509E系列核心交换机，在众多品牌中，此系列交换机也为高端核心交换机，在使用中，能完全满足用户方对核心交换机的需求，在本次网络设计中终端部分分为两部分，一：

安全访问，二：

互联网络接入。

在两部分网络中，互联网络访问的接入有运营商完成，之间的安全防护有内网的安全产品完成。

而如何能够更好的实现这两部分网络平稳，则必须在核心交换机中划分VLAN。

2.2双链路冗余的设计

系统设计采用双链路冗余设计思想，排除单点故障，所有的接入设备为10/100/100T的接入方式，上联为万兆上联，协议为trunk，根据下面的VLAN设计，将不同的网络段地址按需分配。

2.3虚拟交换机的设计

VSS是一种网络系统虚拟化技术，将两台Cisco®Catalyst®6500系列交换机组合为单一虚拟交换机，从而提高运营效率、增强不间断通信，并将系统带宽容量扩展到1.4Tbps。

在初始阶段，VSS将使两台物理CiscoCatalyst6500系列交换机作为单一逻辑虚拟交换机运行，称为虚拟交换系统1440（VSS1440）。

3

3.1划分VLAN的必要性

VLAN是建立在各种交换技术基础之上的。

所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。

利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。

采用虚网功能，网络性能可以获得较大的改善：

1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。

2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。

3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。

虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。

4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。

5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。

6.虚拟网络中的主要应用技术为“虚网中继”，VLANTrunking特有技术的采用也成成为了必然。

必然。

简而言之，VLANTrunking主要是通过一条高速全双工通道来实现将将一个LANSwitch端口所划分的不同VLAN与其它LANSwitch中各自相应的VLAN成员进行线路复用连接的技术。

VLANTrunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。

其原理如下图所示：

如果采用VLANtrunking的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LANSwitch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。

VLANtrunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。

3.2VLAN规划

我们建议按不同的业务使用主体来规划整个图书馆VLAN资源，也可以按照楼层的布局划分不同德VLAN.

为了减小广播域，建议VLAN终结在核心交换机上，每个VLAN内的主机数量原则上不要超过80台，建议每个VLAN内的PC机数量控制在50台以内。

VLAN的划分可以依据不同的业务进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。

将端口分配给VLAN的方式有两种，分别是静态的和动态的。

静态VLAN：

形成静态VLAN过程是将端口强制性地分配给VLAN的过程。

确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。

这是将端口映射到VLAN的一种最通用的方法。

对于办公用户相对集中的区域，建议采用这种部署方式，将VLAN部署在用户对应的汇聚交换机端口上。

动态VLAN：

我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。

用户权限数据一般存储在CAMS中，CAMS根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLANID下发配置。

此时，二层交换机要支持VLAN的动态配置功能。

从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，我们通过二层隔离，三层交换的方式来解决。

管理VLAN：

作为特殊VLAN的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。

网管工作站建议另外设置一个VLAN，例如VLANID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。

VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。

对于服务器建议单独设置在一个VLAN中。

本次建议在图书馆网络中采用静态VLAN划分方案来部署。

3.3网络拓扑图

4网络安全设计

4.1网络安全概述

在本次硬件平台建设方案中，防火墙将处于网络建设的最上层，在抵御外部入侵中起着重要的作用，并且在以后应用对外部公共网络开放时，在带宽足够的情况下可以最大限度保持网络速度，并且此次选型用防火墙在以后应用中能够开启IPS功能，抵御4－7层的攻击，抵挡安全威胁，保护数据安全。

所谓安全威胁，就是XX，对位于服务器、网络和桌面的数据和资源进行访问，甚至破坏或者篡改这些数据/资源。

从安全威胁的对象来看，可以分为网络传送过程、网络服务过程和软件应用过程三类。

网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击，如常见的监听、IP地址欺骗、路由协议攻击、ICMPSmurf攻击等；网络服务过程主要针对TCP/UDP以及居于其上的应用层协议进行，如常见的UDP/TCP欺骗、TCP流量劫持、TCPDoS、FTP反弹、DNS欺骗等等；软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序，甚至是基于Web的软件系统发起攻击。

从安全威胁的手法来看，蠕虫、拒绝服务、监听、木马、病毒…都是常见的攻击工具。

4.2防火墙的部署

随着网络技术的普及，网络攻击行为出现得越来越频繁。

通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。

各种网络病毒的泛滥，也加剧了网络被攻击的危险。

目前，Internet网络上常见的安全威胁分为以下几类：

非法使用：

资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。

例如，攻击者通过猜测帐号和密码的组合，从而进入计算机系统以非法使用资源。

拒绝服务：

服务器拒绝合法用户正常访问信息或资源的请求。

例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。

信息盗窃：

攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。

数据篡改：

攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。

Internet

•基于网络协议的防火墙不能阻止各种攻击工具更加高层的攻击

•网络中大量的低安全性家庭主机成为攻击者或者蠕虫病毒的被控攻击主机

•被攻克的服务器也成为辅助攻击者

目前网络中主要使用防火墙来保证内部网路的安全。

防火墙类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。

防火墙作用于被保护区域的入口处，基于访问控制策略提供安全防护。

例如：

当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。

防火墙技术经历了包过滤防火墙、代理防火墙、状态防火墙的技术演变，但是随着各种基于不安全应用的攻击增多以及网络蠕虫病毒的泛滥，传统防火墙面临更加艰巨的任务，不但需要防护传统的基于网络层的协议攻击，而且需要处理更加高层的应用数据，对应用层的攻击进行防护。

对于互联网上的各种蠕虫病毒，必须能够判断出网络蠕虫病毒的特征，把网络蠕虫病毒造成的攻击阻挡在安全网络之外。

从而对内部安全网络形成立体、全面的防护。

造成当前网络“安全危机”另外一个因素是忽视对内网安全的监控管理。

防火墙防范了来之外网的攻击，对于潜伏于内部网络的“黑手”却置之不理，很容易造成内网变成攻击的源头，导致内网数据泄密，通过NAT从内部网络的攻击行为无法进行审计。

由于对内部网络缺乏防范，当内部网络主机感染蠕虫病毒时，会形成可以感染整个互联网的污染源头，导致整个互联网络环境低劣。

•来自内部网络的攻击污染互联网

•来自内部网络的蠕虫病毒感染互联网

Internet

对于网络管理者，不但需要关注来自外部网络的威胁，而且需要防范来自内部网络的恶意行为。

防火墙需要提供对内部网络安全保障的支持，形成全面的安全防护体系。

本次方案中采用防火墙+IPS方式对整网数据进行2-4层的数据过滤，保护整个内网的数据安全。

5总体方案优势

在本次硬件平台搭建过程中，我们使用了全套思科产品，而利用思科组网解决方案的优点有以下几点：

5.1大规模的市场应用

凭借思科强大的研发实力、完整的产品线及解决方案，思科取得了良好的市场地位：

1.交换机端口数市场份额31.4％，排名第一

2.企业级路由器台数市场份额30％，排名第一

3.网络安全设备市场份额排名第二，其中IPS产品市场排名第一

5.2全网IPv6的扩展支持

采用思科解决方案，6509能提供全网的IPv6解决方案，IPv6方面包括以下方面

1、思科6509系列硬件支持IPv6转发，支持完善的IPv6协议以及IPv4/IPv6双栈；

2、思科承建了Cernet、人民大学、清华大学、北京大学试验网等众多大型IPv6网络，有丰富的项目经验及雄厚的技术实力。

5.3设备清单

描述

型号

描述

数量

核心交换机

机箱

WS-C6509-E

Catalyst6500Enhanced9-slotchassis,15RU,noPS,noFanTray

2

电源

WS-CAC-3000W

Catalyst65003000WACpowersupply

4

风扇

WS-C6509-E-FAN=

Catalyst6509-EChassisFanTray

2

引擎

VS-S720-10G-3C

Cat6500Supervisor720with2x10GbEand3x1GEMSFC3PFC3C

2

千兆光板

WS-X6724-SFP

Catalyst650024-portGigEMod:

fabric-enabled（Req.SFPs）

2

万兆光板

WS-X6716-10G-3C

Catalyst650016port10GigabitEthernetw/DFC3C（reqX2）

4

入侵检测模块

WS-SVC-IDS2-BUN-K9

600MIDSM-2ModforCat

2

网络分析模块

WS-SVC-NAM-2-250S

CiscoCatalyst6500andCisco7600NetworkAnalysisModule

2

光模块

X2-10GB-SR

10GBASE-SRX2Module

30

软件

SV33IS-12233SXI

CiscoCAT6000-VSS720IOSIPSERVICES

2

接入交换机

交换机

WS-C2960S-48TD-L

Catalyst2960S48GigE,2x10GSFP+LANBase

30

堆叠模块

C2960S-STACK

Catalyst2960SFlexStackStackModuleoptionalforLANBase

30

堆叠线缆

CAB-STK-E-0.5M=

CiscoBladeswitch0.5Mstackcable

30

光模块

SFP-10G-SR=

10GBASE-SRSFPModule

30

防火墙

防火墙

ASA5580-40-10GE-K9

ASA5580-40Appliancewith410GE,DualAC,3DES/AES

2

光模块

SFP-10G-SR=

10GBASE-SRSFPModule

6

6产品资料

6.1防火墙

CiscoASA5500系列概述

Cisco®ASA5500系列自适应安全设备是能够为从小型办公室/家庭办公室和中小企业到大型企业的各类环境提供新一代安全性和VPN服务的模块化安全平台。

CiscoASA5500系列能为企业提供全面的服务，而且这些服务都可以根据客户对防火墙、入侵防御（IPS）、Anti-X和VPN的要求而特别定制。

CiscoASA5500系列的各版本能够在适当的位置提供适当的安全服务，因而能为企业提供卓越的安全保护。

每个版本都包含一套特殊的CiscoASA服务，以满足企业网络内特殊环境的要求。

随着每个位置安全需求的满足，整体网络安全性也得到了提升。

由于CiscoASA5500系列支持一个平台上的标准化，因而能降低整体安全运作成本。

统一配置环境不仅简化了管理，还降低了人员培训成本。

另外，该系列的通用硬件平台还有助于降低备件成本。

每个版本都能满足特定的企业环境需求：

∙防火墙版：

使企业能够安全、可靠地部署关键业务应用和网络。

独特的模块化设计能够提供卓越的投资保护，降低运作成本。

∙IPS版：

通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。

∙Anti-X版：

利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。

企业级防火墙和VPN服务提供到公司网络的安全连接。

来自TrendMicro的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。

∙SSL/IPsecVPN版：

使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。

安全套接字层（SSL）和IPSecurity（IPsec）VPN远程接入技术将CiscoSecureDesktop等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。

1.值得信赖的防火墙和威胁防御VPN技术

CiscoASA5500系列建立于值得信赖的CiscoPIX安全设备和CiscoVPN3000系列集中器技术，ASA5500系列是第一个兼具市场领先的防火墙技术保护，同时提供SSL和IPsecVPN服务的解决方案。

2.业内领先的Anti-X服务

将TrendMicro在互联网边缘的威胁防御和内容控制优势与切实可行的思科解决方案结合在一起，提供全面的防病毒、防间谍软件、文件阻挡、防垃圾邮件、防诱骗、URL阻挡和过滤以及内容过滤服务。

3.高级入侵防御服务

提供主动型全功能入侵防御服务，有效阻止各种威胁，包括蠕虫、应用层攻击、操作系统级攻击、rootkit攻击、间谍软件、对等文件共享和即时消息传送。

4.丰富的管理和监控服务

通过CiscoAdaptiveSecurityDeviceManager（ASDM）提供直观的单设备管理和监控服务，通过CiscoSecurityManagementSuite提供企业级多设备集中管理服务。

5.降低部署和运作成本

由于CiscoASA5500系列提供与现有思科安全解决方案一致的设计和界面，因而能显著降低初始安全部署成本和日常管理成本。

首字母缩写

SSC：

安全服务卡，SSM：

安全服务模块，AIP-SSM：

高级检测和防御安全服务模块，CSC-SSM：

内容安全和控制安全服务模块，4GE-SSM：

4Gbps以太网安全服务模块

6.26509交换机

Catalyst6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。

作为思科最出色的智能多层模块化交换机，Catalyst6500系列提供了从布线室到核心、数据中心，乃至WAN边缘的安全、融合、端到端服务。

CiscoCatalyst6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和LAN/WAN/MAN接口上提供了可扩展性能和端口密度。

CiscoCatalyst6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络安全、内容交换、电话和网络分析模块。

由于在所有CiscoCatalyst6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，CiscoCatalyst6500系列提供了高水平的运营一致性，可以优化IT基础设施，增强投资回报。

从48至576个10/100/1000端口或1152个10/100端口的以太网布线室，到支持192条1-Gbps或32个10-Gbps中继线的每秒数亿转发速率的网络核心，CiscoCatalyst6500系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平台功能，大幅度延长了网络正常运营时间。

凭借多个值得信赖的业界首创和领先的特性，CiscoCatalyst6500系列可以支持3代模块，从而进一步证实了Catalyst6500的价值和思科的创新承诺。

思科新一代Catalyst6500系列模块和SupervisorEngine720采用了11种思科开发的全新特定应用集成线路（ASCI）－巩固了思科在联网业界的领先地位，提供了无与伦比的投资保护功能。

产品规格

表1CiscoCatalyst6500系列概览

特性

CiscoCatalyst6500系列

系统特性

机箱配置

3插槽

6插槽

9插槽

9个垂直插槽

13插槽

背板带宽

32Gbps共享总线

256Gbps交换矩阵

720Gbps交换矩阵

第三层转发性能

Supervisor1MSFC：

15Mpps