最新网络升级技术方案设计.docx
- 文档编号:7821497
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:20
- 大小:29.12KB
最新网络升级技术方案设计.docx
《最新网络升级技术方案设计.docx》由会员分享,可在线阅读,更多相关《最新网络升级技术方案设计.docx(20页珍藏版)》请在冰豆网上搜索。
最新网络升级技术方案设计
实用文案
网络升级技术方案
1.背景............................................................3
标准文档
实用文案
1.1概述........................................................3
1.2网络现状....................................................3
1.3建设目标....................................................4
2.网络设计........................................................4
2.1设计原则....................................................4
2.2网络设计....................................................4
2.3核心网络升级................................................5
2.3.1网络核心层.....................................................5
2.3.2网络接入层设计.................................................6
2.4智能网络管理................................................6
2.4.1IMC网络设备管理...............................................7
2.4.2IMC用户接入管理..............................................11
2.4.3EAD端点准入控制..............................................15
2.5.7VLAN分组设计.................................................20
3.设备清单.......................................................23
标准文档
实用文案
1.背景
1.4概述
在企业的信息化建设中,基础是网络,离开了网络,我们的智能化建设只能纸上谈兵。
而网络的建
设又与应用密不可分,网络必须结合应用的需求及特点,确保应用的顺利开展,为应用提供可靠的、安
全的、智能化的传输通路。
根据企业的规划和设计规模,我们在设计该企业的网络信息系统时,将遵循“立足现在,着眼未来,
重在实用,旨在效益”的总方针,按照企业行业的国际标准模式,结合中国的具体国情,同时吸收国际
上流行的几家企业网络系统的精华,力争使所设计的网络系统具有技术先进、高效快捷、安全可靠、易
于维护、方便升级等特点。
1.5网络现状
办事处现有网络已经建起一定规模;随着发展需要,现有的网络已经无法满足环境的需要。
现有网络
CISCO3550
企业化信息网络平台建设起步较早。
目前的现状总结为如下几个方面:
全网同处于一个广播域中,对全网的安全性存在很大的隐患。
网络内的核心交换机为一台CISCO3550交换机,设备老化严重。
全网无核心层,汇聚层,接入层之分,故障的排错存在很大的因难。
全网没有做任何安全的措施,包括防ARP等病毒的设置
接入层的交换机是二层不可网管的交换机,不能划分VLAN,无法对接入用户进行管理。
标准文档
实用文案
网内所有PC的IP地址均属于同一个网段,后期无法扩展。
1.6建设目标
通过建设一个高速、安全、可靠、可扩充的网络系统,实现企业信息的高度共享、传递,及管理信
息化,领导能及时、全面、准确地掌握企业的科研、生产、管理、财务、人事等各方面情况,建立出口
信道,实现与Internet互联,实现领导和职员远程VPN的安全接入,进行移动办公和资料查询。
2.网络设计
2.5设计原则
办公网建设应该遵循以下原则:
——简单易用性:
由于企业的人员组成复杂,员工素质差异较大,所以设计的方案必须简单,易于操作,使各种层次
的员工都能逐步熟悉,在使用过程中再对各种功能进行完善。
——可扩展性:
由于企业受市场的影响较大,会出现经常性的人员调整和机构调整,因此办公网必须易于修改和扩
充。
但这个功能必须由网络管理员根据单位授权来完成。
——能有效解决移动办公:
企业人员出差频繁,甚至一些部门常驻外地。
很多事情需要立即办理,办公网应该尽量保证每个
人能够随时随地进行办公。
使用户可以通过互联网安全受控的进入办公网进行日常办公。
——友好的界面设置:
现在的技术能够很好地实现界面设置。
能通过图形管理软件对系统进行管理和设置。
——关于系统的安全性:
系统中必须采用鉴权技术,对使用者身份进行确认。
对用户进行分组,制定详尽的分组策略,做
到那些资源允许那些组访问的明确,对超级用户比如领导的授权,对外来人员也就是我们常说的访客都
要严格加于区别。
2.6网络设计
基于企业目前现状考虑,网络采用二层结构核心层、接入层,采用双核心交换机S75010E相互备份
冗余、双网络主干链路冗余、服务器群防护、网络地址重新规划、网络设备与用户智能管理的方式,实
标准文档
实用文案
施高可用性、高可扩展性和高可靠性、易管理的网络平台。
1.7核心网络升级
核心网络升级包括部署华为-3Com特有的IRF智能弹性架构,结合网络三层分层体系(核心层、汇
聚层、接入层),实现双核心交换机冗余、核心交换机主部件冗余、网络主干链路冗余、服务器群防护、
网络地址重新规划。
2.7网络核心层
建议使用2台H3CS7510E高性能交换机采用VRRP协议构成双核心冗余,H3CS7500E系列产品是杭
州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络推出的新一代高端多业务路由交换机,
该产品基于H3C自主知识产权的ComwareV5操作系统,融合了MPLS、IPv6、网络安全、无线、无源光
网络等多种业务,提供不间断转发、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同
时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。
H3CS7500E符合“限制电
子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
S7510E基于H3C公司自适应安全网络的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换
服务基础上,进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段,从而为企
业IT系统构建面向业务的网络平台,实现通信整合,数据整合奠定了基础。
标准文档
实用文案
H3CS7500E系列交换机支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单
板热插拔,并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余,实现可靠的核心服务;2台位于网络
中心的核心交换机通过千兆链路分别与位于新老厂区办公楼配线间的接入交换机H3CS3600连接,构成
网络千兆光纤主干双冗余,以消除主干单链路故障,从物理链路级别上实现千兆主干链路的冗余互备。
1.8网络接入层设计
接入层将采用新增加的H3CS3600交换机,实现全面的接入控制,H3CS3600交换机与IMC组合实现
接入认证,用户如果不进行认证,将无法接入网内受保护的资源,同时也无法实现网络资源共享以及数
据传输。
2.8智能网络管理
H3C公司的IMC智能网络管理系统,采用组件化、模块化设计,随着业务、设备、用户的扩展,添加
需要的组件,能很好适应集团对网络管理不断丰富需要。
iMC智能管理平台,是在统一了设备资源和用户资源管理的平台框架的基础上,实现的基础业务管
理平台,包括iMC基本资源管理部分、iMC基础网络管理和iMC用户接入管理。
标准文档
实用文案
1.9IMC网络设备管理
iMC基础网络管理,涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等。
丰富、
实用的网络视图,多样化的网络拓扑,智能的告警显示、过滤和关联,直观的状态监控,性能管理,用
户管理与网络拓扑管理相融合
具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。
1)通过IP视图,用户可以观测网络的逻辑结构和物理结构。
2)设备视图,使得用户对网络中设备类型和数量一目了然。
3)自定义视图,使用户可以按照任何希望的方式构造客户化的网络拓扑。
并提供直观简便的预览功能,
集中监控用户关心的重点设备和接口的状态。
多样化的网络拓扑
拓扑更加美观清晰,能够实时显示当前视图的拓扑状态。
通过在拓扑上浮动显示设备、链路的基本
信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行
监视,拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作
和相关链接,拓扑可以作为管理员管理网络的唯一入口。
1)提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备上的接入情况。
标准文档
实用文案
2)用户可以根据实际组网情况,定义自己关注的网络拓扑。
3)在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作链接,以满足不同业务的需求。
智能的告警显示、过滤和关联
2)提供丰富的声光告警,还可以针对不同的告警定义不同操作提示以及维护参考等;
3)汇总显示发生故障的设备,方便管理员日常维护工作展。
4)提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤,可以有效压缩
海量网络告警,使得管理员直接关注真正的网络故障。
5)在安装其他组件的情况下,还提供基本告警和业务告警的关联,
6)在基本告警发生后,系统进行关联分析,自动产生业务告警。
管理员即可根据基本告警从而迅速定
位问题,缩短平均修复时间。
又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供
数据基础。
直观的状态监控
与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中
的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。
性能管理
1)提供了对系统所管理的各种设备性能参数的公共监视功能,比如内存利用率、CPU利用率、设备不可
达率、设备响应时间和接口性能数据等。
2)可对每一个性能指标设置二级阈值,发送不同级别的告警。
用户可以根据告警信息直接了解到设备
标准文档
实用文案
某指标的性能情况,有助于用户随时了解网络的运行状态,预防网络故障,预测网络发展趋势,合
理优化网络。
3)通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息,通过报表的
导出和打印功能,管理员能够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供有利的
支撑。
标准文档
实用文案
用户管理与网络拓扑管理相融合
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。
比如
查看用户信息、强制用户下线、执行安全检查等。
使终端用户的管理更加直观
清晰。
用户管理与网络设备管理相融合,用户管理操作更加简单
1)接入设备列表中可以直接看到用户相关信息,在使得操作简单方便的基础
上,又提高了操作员日常维护的效率:
标准文档
实用文案
2)可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所
挂的用户全部下线处理等;
3)可以在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应
的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。
该
功能使得操作更友好,全面提升操作员的操作体验;
1.10IMC用户接入管理
iMC基本接入管理,主要管理用户的接入准入和控制。
支持多种接入及认
证方式,严格的权限控制手段,详尽的用户监控,集中方便的用户管理,为接
入设备提供查询设备明细信息的链接,接入设备管理与拓扑管理的融合
标准文档
实用文案
支持多种接入及认证方式,适合多种接入组网场景及应用场景:
1)支持802.1x、无线接入等多种认证接入方式;
2)支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬
件信息的绑定认证,增强用户认证的安全性,防止账号盗用和非法接入;
3)支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一
认证,避免用户记忆多个用户名和密码。
4)支持端点准入防御(EAD)解决方案,确保所有接入网络的用户终端符合企
业的安全策略。
严格的权限控制手段,强化用户接入控制管理:
1)用户权限控制策略,可以为不同用户定制不同网络访问权限;
2)禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占
用;
3)可限制用户IP地址分配策略,防止IP地址盗用和冲突;
4)可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网;
5)可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露;6)可以限
制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性;
标准文档
实用文案
详尽的用户监控,强化对终端用户的监视控制:
1)接入业务组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加
入黑名单,并可按MAC、IP地址跟踪非法行为的来源;
2)管理员可以实时监控在线用户,强制非法用户下线;
3)支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网
络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”
等;
4)iMC接入业务组件记录认证失败日志,便于方便定位用户无法认证通过的原
因;
集中方便的接入业务用户管理,简化管理员维护操作
1)基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均
封装于服务中,简化管理员的操作,保证网络管理模式的统一;
2)接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用:
标准文档
实用文案
为接入设备提供查询设备明细信息的链接,操作简便:
可以通过简单的鼠标点击即可看到接入设备的详细信息,比如,对应的基本信
息、告警、性能状况等;
接入设备管理与拓扑管理的融合,使得设备管理更简单,管理更方便:
1)拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,并可以
通过很简单的鼠标点击方式,将此接入设备设置为非接入设备。
标准文档
实用文案
1.11EAD端点准入控制
选择华为-3COM交换机完全支持802.1x协议,802.1X与认证服务器IMC
一起,防止非法用户和设备接入网络,防止不符合安全策略的用户对网络产生
威胁,例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。
当用户的
信息通过认证服务器身份验证及网络准入控制,满足防病毒服务器、补丁服务
的检查后,用户获得网络访问许可,根据分组访问权限,用户就可以访问指定
的业务服务器VPN通道、互连网等,通过EAD系统可以防范网络病毒传播,确
保服务器及企业数据安全。
1原理
EAD解决方案提供企业网络安全管理的平台,通过整合孤立的单点防御系
统,加强对用户的集中管理,统一实施企业网络安全策略,提高网络终端的主
动抵抗能力。
其基本原理图如下:
标准文档
实用文案
EAD基本原理
EAD系统由四部分组成,具体包括安全策略服务器、安全客户端平台、安
全联动设备和第三方服务器。
安全策略服务器是EAD方案中的管理与控制中心,是EAD解决方案的核心
组成部分,实现用户管理、安全策略管理、安全状态评估、安全联动控制以及
安全事件审计等功能。
目前华为3Com公司的CAMS产品实现了安全策略服务器
的功能,该系统在全面管理网络用户信息的基础上,支持多种网络认证方式,
支持针对用户的安全策略设置,以标准协议与网络设备联动,实现对用户接入
行为的控制,同时,该系统可详细记录用户上网信息和安全事件信息,审计用
户上网行为和安全事件。
安全客户端平台是安装在用户终端系统上的软件,该平台可集成各种安全
厂商的安全产品插件,对用户终端进行身份认证、安全状态评估以及实施网络
安全策略。
安全联动设备是企业网络中安全策略的实施点,起到强制用户准入认证、
隔离不合格终端、为合法用户提供网络服务的作用。
CAMS综合接入管理平台作
标准文档
实用文案
为安全策略服务器,提供标准的协议接口,支持同交换机、路由器等各类网络
设备的安全联动。
第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品,通过安
全策略的设置实施,第三方安全产品的功能集成至EAD解决方案中,实现安全
产品功能的整合。
EAD原理图示意了应用EAD系统实现终端安全准入的流程:
用户终端试图接入网络时,首先通过安全客户端上传用户信息至安全策略
服务器进行用户身份认证,非法用户将被拒绝接入网络。
合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、
病毒库版本等信息是否合格,不合格用户将被安全联动设备隔离到隔离区进入
隔离区的用户可以根据企业网络安全策略,通过第三方服务器进行安装系统补
丁、升级病毒库、检查终端系统信息等操作,直到接入终端符合企业网络安全
策略。
安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全
联动设备提供基于身份的网络服务
2功能特点
完备的安全状态评估
用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、
是否感染病毒等反映终端防御能力的状态信息。
EAD通过对终端安全状态进行
评估,使得只有符合企业安全标准的终端才能正常访问网络
实时的“危险”用户隔离
系统补丁、病毒库版本不及时更新或已感染病毒的用户终端,如果不符合
管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁
服务器等用于系统修复的网络资源。
标准文档
实用文案
基于角色的网络服务
在用户终端在通过病毒、补丁等安全信息检查后,EAD可基于终端用户的
角色,向安全客户端下发系统配置的安全策略,按照用户角色权限规范用户的
网络使用行为。
终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是
否禁止使用双网卡等安全措施设置均可由管理员统一管理,并实时应用实施。
可扩展的、开放的安全解决方案
EAD是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。
在现有企业网中,只需对网络设备和三方软件进行简单升级,即可实现接入控
制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。
EAD也是一个开放的解决方案。
EAD系统中,安全策略服务器同设备的交
互、同第三方服务器的交互都基于开放的、标准的协议实现。
在防病毒方面,
目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。
灵活、方便的部署与维护
EAD方案部署灵活,维护方便,可以按照网络管理员的要求区别对待不同
身份的用户,定制不同的安全检查和隔离级别。
EAD可以部署为监控模式(只
记录不合格的用户终端,不进行修复提醒)、提醒模式(只做修复提醒,不进
行网络隔离)和隔离模式,以适应用户对安全准入控制的不同要求。
3EAD应用场景
EAD是一种通用接入安全解决方案,具有很强的灵活性和适应性,可以配
合交换机、路由器、VPN网关等网络设备,实现对局域网接入、无线接入、VPN
接入、关键区域访问等多种组网方式的安全防护。
可以为多种应用场合提供安
全保护,具体包括:
局域网安全防护
标准文档
实用文案
在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交
换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓
延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全
威胁。
无线接入网络的安全防护
WLAN接入的用户终端具有漫游性,经常脱离企业网络管理员的监控,容易
感染病毒和木马或出现长期不更新系统补丁的现象,给网络带来安全隐患。
与
局域网接入防护类似,对于这种无线接入的用户,EAD也可以在交换机配合下,
通过实现用户接入终端的安全控制,实现用户网络的安全保护。
VPN接入网络的安全防护
一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业
内部网络。
EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之
前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。
对于
没有安装EAD安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或
限制其访问权限。
企业关键数据保护
对于接入网络的用户终端,其访问权限受EAD下发的安全策略控制,其对
企业关键数据服务器的访问也因此受控。
同时由于可访问该数据服务器的用户
均通过EAD的安全状态检查,避免数据遭受非法访问和攻击。
网络入口安全防护
大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通
过专线或WAN连接企业总部。
这种组网方式在开放型的商业企业中比较普遍,
受到的安全威胁也更严重。
为了确保接入企业内部网的用户具有合法身份且符
合企业安全标准,可以在企业入口路由器中实施EAD准入认证。
标准文档
实用文案
4结论
EAD提供了一个全新的安全防御体系,该系统作为网络安全管理的平台,
将防病毒功能、自动升级系统补丁等第三方软件提供的网络安全功能、网络设
备接入控制功能、用户接入行为管理功能相融合,加强了对用户终端的集中管
理,提高了网络终端的主动抵抗能力。
在EAD平台的基础上,可轻松构建让企
业管理者、网络用户和网络管理员均放心的安全网络。
通过对网络接入终端的
检查、隔离、修复、管理和监控,有效管理网络安全,使整个网络变被动防御
为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,让网络拥
有“自动免疫”的安全机能。
1.12VLAN分组设计
VLAN,是英文VirtualLocalAreaNetwork的缩写,中文名为"虚拟局域
网",VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上
划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单
元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在
交换机之中。
不过不是所有交换机都具有此功能,只有三层以上交换机才具有
此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN的好处主要有三
个:
(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能
通信的。
这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。
不同VLAN不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更改软件配
置就可以了。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理
标准文档
实用文案
局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有
着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是
从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有
限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。
由VLAN
的特点可知,一个VLAN内部的广播和单播流量
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 最新 网络 升级 技术 方案设计