兆隆计算机学院新建大楼网络设计方案
北大青鸟(西安兆隆)授权培训中心BJ2Q8121班获奖作品
警告:禁止用于商业用途,否则必追究其法律责任
第一章
企业需求分析
1.1
兆隆计算机学院网络需求概述
北大青鸟APTECH(西安兆隆)授权培训中心成立于2001年10月,是经西安市碑林区教育局审批、西安市碑林区民政局注册的事业法人单位。现有软件工程师、网络工程师、软件测试工程师三大主流IT培训项目。目前兆隆中心在西安设立有交大、南郊、高新,省图、双鱼、雁塔和宝鸡兆嵘七家分校,每家分校都由一栋七层的大楼构成,总部设在交大分校,覆盖了西安市的东、西、南郊和宝鸡及周边地区。七家分校现有教学面积3.6万平方米,在校生近5000余名,教职工3000余人。
兆隆计算机学院的组织架构如图1.1所示。
兆隆计算机学院的信息点分布如表1-1所示。
图1-1 兆隆计算机学院的信息点分布
兆隆计算机学院各分校所从事的业务对网络系统有极大的依赖性,内部办公等都需要网络支持。公司建设初期已经实施了简单的网络系统,但随着公司规模的不断扩大和业务的不断拓展,员工数量的不断增多和信息应用系统的不断增加,现有的网络系统逐渐不能满足企业信息化建设的要求,因此需要对兆隆七家网络分校之间以及分校内部的网络体系进行重新规划和部署,目前兆隆计算机七家网络分校在一期工程时土建工程已基本完成,整个办公楼的网络具体建设目前也正待实施中。暗管已经走好,信息节点已经确定。本项目属于二期工程,只针对网络互联部分进行分析和设计。
为了使兆隆计算机学院的信息网络系统能够在未来几年的时间内保持技术上的先进性和实用性,公司要求在项目的规划和实施中采用先进的计算机、服务器、网络设备以及系统管理模式,实现公司内部所有资源的合理应用和完善管理,使所有员工都能方便地使用公司内部网络,并能够安全高效地访问公司内的网络应用服务和因特网。
满足企业信息化的要求,为各类应用系统提供方便、快捷的信息通路。
良好的性能,能够支持大容量和实时性的各类应用。
能够可靠地运行,实现高可用性。
易于维护管理。
提高安全机制,满足保护企业信息安全的要求。
具有较高的性价比。
未来升级扩展容易,保护用户投资。
使用简单、维护容易。
良好的售后服务支持。
此次兆隆计算机学院网络建设将将采用先进的计算机、网络设备和软件,实现一个高效的办公网络系统。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性,国内外及各行业的通用性,并且要有良好的市场形象与售后技术支持,便于维护和升级。
总体来讲,为了使项目的实施顺利进行,并使系统规划能够满足兆隆计算机学院的应用和发展的需求,在项目规划中应满足以下要求:
开放性:采用开放标准、开放技术、开放结构。
实用性:网络系统设计以实用、满足应用为主,不追求最高、最新。
先进性:计算机网络技术、软硬件技术的发展迅速,网路的设计要立足于较高的起点,保证系统有较长的生命力。
安全可靠性:同时考虑应用系统的设计、网络系统设计、硬件设备的选项配置几个方面,以确保数据的安全。
兼容与可扩展性:尽量采用成熟的技术,保证软硬件的兼容性,同时需考虑设备的更新于升级的能力。
经济性:在满足功能与性能的基础上实现性能/价格比最优。
可管理性:随着网络规模和复杂程度的增加,网络系统的管理和故障排除将成为较难的事情,针对各种设备都要提供一定的网络管理功能。
主要依据原则如下:
工程实施依照国家有关标准完成。
项目设计应满足兆隆计算机学院未来发展的要求,即在公司规模扩大、成立新的分校、分校合并时,本设计仍然能够满足公司运营的要求或方便的变更和升级。
采用先进的、成熟的、业界标准的、在市场上有着广泛应用的技术。
项目设计应遵循实用的原则,避免不切实际贪大求全。
所有操作系统及应用采用正版软件。
所有网络设备应是主流产品,保证所有设备均为新品并能提供良好的技术支持服务。
工程实施严格按照同规格日期完成并保证质量。
工程实施需要提供详细的文档资料及配置手册。
应提供完整的培训及售后服务。
兆隆计算机学校此次的网络建设是对七家分校进行全新的规划设计,原有的网络设备不应用于其中,以便能够避免原有网络的性能不能满足应用要求、安全性和可靠性差的问题。
兆隆计算机学院各分校土建工程已基本完成,整个办公楼的网络具体建设目前也正待设施中。暗管已经走好,信息节点已经确定。本次项目的网络建设需要实现两个方面:一、各个分校之间的网络连接,要求实现安全、高效的网络互联。二、办公楼各个楼层的网络连接,要求提供良好的网络系统应用平台,实现借助网络系统进行VoIP通话、设备共享和管理、利用无线AP进行WLAN上网等。该网络的建设将为我处大楼进入网络化运营与管理、网络教学与培训等多元化网络应用阶段打好基础,为大楼提供工作效率、丰富经营模式、提升教学、科研和学术水平提供有力支撑。
本次兆隆计算机学院对新建办公楼宇网络建设要求充分考虑兆隆计算机学院总网络的接入,使内部网络与外部的其它楼宇局域网有机的结合。根据实际应用情况实现部分用户可以通过静态IP地址或无线网卡访问外部网络资源,部分用户只访问所建网络内部资源。整个网络建设方案应本着实用性、安全性和经济性的设计原则,根据前面的所提供的集中汇集接入兆隆计算机学院机关办公楼的方式来设计,具体需求如下:
建设一个通畅、高效、安全、稳定、可扩展的企业内联网,支撑兆隆计算机学院内各类信息系统的运行,共享各种资源,提高企业的办公效率,降低企业网络的总体运行费用。
建成的网络用户大楼机关办公部分可以访问外部网络资源,也可以访问内部网络资源,另外一部分只允许实用本大楼内部网络资源。
网络整体具有良好的可扩展性,减轻维护人员的工作量,提高网络系统的运行质量。、
实现和因特网的高速可靠连接,要求网络连接高效、运行稳定、同时进行必要的安全访问控制。
具备良好的可扩展性,能够满足兆隆计算机学院未来发展的需求,保护对该学院的投资。
由于网络中保存了办公、会议资料等众多数据,而且部分内容涉及大楼机密,因此该网络建设要充分的考虑安全的因素,全面保障学院网络系统和内部数据免受恶意***和破坏,同时可以有效的阻止内部网络病毒的传播,建成的网络需要提供全面而完善的安全特性。
在项目实施完毕后,工程实施方要对兆隆计算机学院的相关人员进行培训,并移交全部的项目工程资料,保证网络的正常运行和管理维护。
新建的网络支持视频会议、等多媒体的应用。
需要扩展网络与服务器有机结合,为内部网络系统提供良好的应用平台,服务器位置预设在四楼会议室,搭建的平台要求畅通、实用,避免由于数据交换频繁、数据量大而引起的网络拥塞、广播包泛滥问题,并解决大楼主机访问的安全性问题。
新规划实施的兆隆计算机学院网络将覆盖交大、南郊、高新,省图、双鱼、雁塔和宝鸡兆嵘七家分校,其网络建设需求如下:
施工方需自行组织光纤施工(光纤熔接工作)。
各个分校的内部网络全部采用全冗余的结构来保障网络的高可靠性,避免出现多级连接。
学院内所有的信息服务应用均由总公司提供,服务器均放置在交大分校总部,其它分校通过网络远程访问。
出于网络安全的考虑,兆隆计算机学院仅有单一的因特网访问出口,七家分校要访问因特网必须通过交大分校总部。
布线要求整齐、直观、简洁、明了,端口及线的两端需要有标注,配线架处需配有书面主交换机端口及对应线去向明细表。
施工方需提供施工设计方案及施工结束后的相关资料的书面和电子文档—VLAN划分明细、网络拓扑图、IP地址明细表。
网络设计为模块化的拓扑结构,总公司统一进行规划和管理,全网采用统一的网络方案和策略。
每个分校的网络自成体系,单个分公司的局域网广播数据流和网络故障不能扩展到全网。
所有分校的局域网规划使用VLAN、VTP、PVST等交换技术,提高网络运行的稳定性和可靠性。
兆隆计算机学院七家分校网络互联的路由协议,要求使用收敛速度快、效率高的动态路由协议,保证七家分校网络之间的可达性和稳定性。
出于安全的考虑,七家分校的员工只允许访问交大总部的服务器,而不能直接访问交大总部员工和其它分校员工的计算机。
考虑业务的需要,外出办公以及家庭办公的用户能够通过安全的隧道随时访问交大分校总部的资源。
各个分校之间能够进行免费的语音互通。
所有分校里的员工能够在允许的范围内通过无线网络连接到公司内部,并能够访问交大分校总部的网络资源。
为了实现网络设备的统一,也出于兼容性的考虑,此次网络建设计划在交换机和路由器选型方面全部采用思科公司的产品。全网使用同一厂商设备的主要好处在于可以实现各种不同网络设备功能的互相配合和补充。此外,思科公司是全球领先的网络设备提供商,技术先进产品齐全,能够提供完善的支持与服务。
为了保证兆隆计算机学院的办公和生产经营,网络需要安全可靠地运行。因此在项目设计开始时就要采用统一的安全规则,以保证重要信息和网络系统本身的安全,采用的技术包括网络设备的冗余备份和线路与设备的切换机制等。在网络中也会购买和安装防火墙、***检测等安全设备,以增加网络的安全性。
项目工程实施方必须提供所有的硬件、软件和系统集成服务。工程实施应在设备到货、安装及系统集成的过程中对兆隆计算机学院的技术人员进行必要的技术培训,具体培训要求见1.3.4小节。
工程的实施方应成立专门的项目组,负责工程的实施,并在规定的日期前完成。
在项目施工之前就需要制定完善的施工流程和施工计划,对施工的工期和进度安排进行规划。
兆隆计算机学院负责组织验收。实施方和兆隆计算机学院共同组成验收小组,对施工方提供的产品和集成系统进行检验。
实施方交付的系统必须符合兆隆计算机学院提出的要求。
兆隆计算机学院此次网络建设的项目必须进行最少72小时的连续测试,测试中如果有任何部分发生故障,则重新开始测试。如果7天内测试通不过,兆隆计算机学院有权停止验收并拒绝该系统。
任何测试必须整个系统完成通过,不允许部分验收。
系统交付验收是在完成安装、运行、测试和集成并通过验收后。
系统交付文档应按照合同中和实施方案中写明的提交时间分阶段提交相应文档,包括:
项目方案书。
工程实施报告。
项目终验报告。
实施方在施工之前需要和兆隆计算机学院进行相信的沟通,确定项目的实施方案,制定详细的实施计划。
工程实施过程主要可以分为下面连个阶段:
设备的到货和验收。
系统的具体实施。
项目中使用的原有路由交换设备要进行一定的检测,如有必要需要对IOS版本进行升级,而后方能在本次项目中使用。
项目中新购买的设备到货之后,将保持原包装的密封状态,由实施方的售后工程师和兆隆计算机学院的有关授权人员共同拆开包装进行设备的验收。验收工作包括对设备进行加电验收,对于有异议的地方要及时解决。
在设备无误,双方一致同意的情况下,参与验收的双方人员在一式两份的设备验收单上签字并加盖兆隆计算机学院公章。
设备验收完成后,根据项目的进度安排,开始系统的安装实施工作。
作为实施方的售后工程师,应该有项目设备的发货清单,包括设备的数量、型号、序列号、配置等详细情况。
兆隆计算机学院将在此之前准备好设备安装的场地,包括场地的供电、空调、防尘等。实施方的售后工程师应该在设备安装前进行场地的检查。
系统实施可以按照设计方案中的模块中的模块划分和项目施工安全进行。
各个部分的安装完成之后,进行系统的联调。
系统实施过程中需要按时提交有关的施工文档。
实施方的项目经理、售后工程师,以及兆隆计算机学院的相关人员,在系统的实施过程中应该保持良好的沟通。
系统测试根据系统实施分三个阶段进行。
第一阶段在系统每个模块实施完成后进行,要对各个模块进行基本的测试。主要包括交换设备的安装、配置及线路的连接,主要检查是否按照实施工艺的规范实施,各个部分能否正常工作。
第二阶段在整个系统安装联调完毕后进行,要对整个系统的所有功能模块进行相应的测试。系统要满足兆隆计算机学院在需求中提出的各项要求,重点检查路由部分能否正常工作,预先设计的对因特网的访问控制策略是否能够正常工作,运行是否稳定。
第三阶段在整个系统试运行中进行,要对整个系统的故障切换机制进行演练。模拟各种可能出现的故障情况,检验系统是否能够自动切换,是否打到了项目方案设计的目标。
所有的网络设备在验收之后都必须提供至少1年的保证期,其间的维护服务不得收取任何费用。在保证期内,实施方的系统集成工程师必须在兆隆计算机学院提出维护要求后的2小时内提出可行的解决方案,重大问题4小时内解决。
工程结束后半月内提供所有工程建设相关资料的书面材料与电子文档,全面结束完成之后提供3年的免费上面软硬件售后服务。
培训要求:为了使兆隆计算机学院网络建成后能顺利投入运行,在项目建设的各个时期,应及时组织公司人员进行各类培训,例如前期的技术培训,实施过程中的系统调试培训,后期的管理维护培训等。
培训人员:兆隆计算机学院各分校负责网络管理与维护的技术人员。
培训内容:网络设备的维护,网络系统的管理与维护。
培训方式:集中授课或在施工现场培训指导技术人员。
培训时间:按照兆隆计算机学院的进度要求,实施方需列出集中授课的时间表。
综合来看,投标方需充分考虑到地产行业特殊的网络应用需求,结合自身多年在行业网络领域的丰富经验,采用业界领先的网络通信技术,在保证大楼网络卓越性能的同时,更加突出网络应用的稳定性和安全性,为我学院网络建设提供一套完善的解决方案,全面满足我学院对所建网络的要求,为大楼提高工作效率、丰富经营模式,部署先进办公设施。为科研和学术水平提供有力支撑,促进兆隆计算机学院紧跟时代步伐、实现办公信息化。
第二章
方案设计
2.1
总体设计
无论是VoIP、IP视频网络,还是各种应用系统(例如办公自动化、电子商务等),都需要构建在有效、可靠及安全的网络基础之上。就像盖房子,如果不大好地基,房屋很容易倒塌,最终将以失败告终。同样,如果企业网络的基础服务并不可靠,则VoIP、IP视频及电子商务等依赖网络服务的应用最终都将遭遇性能及可靠性问题。
下面,我们将开始逐步讨论如何为兆隆计算机学院构建一个高可用性的网络。
按照兆隆计算机学院的网络建设规划和总体要求,我们计划对兆隆计算机学院的网络在利用原有综合布线系统和设备的基础上,重新规划实施,建设兆隆计算机学院的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
兆隆计算机学院的网络整体结构将按照图2.1所示规划实施。
图2.1 兆隆计算机学院新建大楼拓扑图
从图中可以看到,兆隆七家分校的局域网络将通过路由器连接成一个统一的企业内联网,满足兆隆计算机学院对网络统一管理的要求。
这7部分通过路由器相连,计划使用OSPF(开发最短路径优先协议)作为路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,在各厂商中具有广泛的支持基础,并且具有路由信息传输的可控性和路由链路负载均衡的能力。
OSPF与RIP(路由信息协议)等距离矢量路由协议相比,具有快速收敛的优势,能够支持更大型的互联网络,并且不容易受到有害路由选择信息的影响。同时OSPF协议使用子区域的概念,可以有效减少路由选择协议对路由器的CPU和内存的占用,还能降低路由选择协议的通信量,这使得构建一个层次化的互联网络拓扑成为可能。
在兆隆计算机学院的内联网设计中,我们也将采用区域划分的OSPF设计。交大分校总部属于Area 0(及骨干区域),宝鸡兆嵘分校在Area 1,南郊分校在Area 2,高新分校在Area 3,陕图分校在Area 4,双鱼分校在Area 5,雁塔校区在Area 6。这样,如果兆隆计算机学院业务扩展,成立了新的分校,只需将新的分公司划分到Area 7、Area 8直到Area N插槽,可以在需要时扩充更多端口,使网络路由的骨干部分具有良好的可扩展性。
南郊分校、高新分校、陕图分校、双鱼分校和雁塔分校通过帧中继虚链路连接到交大分校总部,宝鸡兆嵘分校离交大分校总部距离比较远,使用廉价的×××通过公网连接到交大分校总部。使用交大分校总部的单一出口访问因特网,以提高网络的安全性,而且学院的所有服务器都在交大分校总部实现,分校只使用总部提供的应用服务,不需要自己建设。
由于所有的分校都通过交大分校总部的出口访问因特网,同时兆隆计算机学院作为一家新型IT企业,对于因特网的访问又非常频繁,所有此次申请了一条10M带宽的宽带接入链路作为整个网络的出口,以满足公司内对于访问因特网速度和带宽的要求。
出口处配置防火墙(兆隆计算机学院使用ISA防火墙),出入因特网的通信流量都必须通过防火墙的过滤,通过防火墙对兆隆计算机学院的网络加以保护,并实现安全的控制。同时网络中也部署了***检测系统,与防火墙共同实现网络的安全防护。
各个校区的LAN部分为了保证网络的健壮和可靠性,将采用全冗余结构(如图2.1所示,实际上各个分校内交换机数量为28台)。两台核心交换机采用三层交换机,利用三层交换技术实现VLAN之间的路由,同时两台核心交换机之间使用HSRP进行备份,以保障网络的健壮性和可靠性。
各个分校的LAN部分在网络结构上分为2层,核心层和接入层,接入层交换机全部冗余上行链路,分别上联到2台核心交换机,也保证了网络的健壮性和可靠性。同时,LAN部分会启用VTP和STP,实现VLAN的统一配置管理和环路避免。
此次网络建设,兆隆计算机学院会增加大量服务器提供各种网络和应用服务,所以在交大分校总部的LAN中将所有服务器都分配在核心层交换机上并单独划分一个VLAN作为服务器的区块,放置系统中所有的服务器,包括DC、DNS服务器、Web服务器、FTP服务器、邮件服务器等。
2.1.2
设备清单
兆隆计算机学院网络建设项目中使用的路由、交换设备计划全部采用Cisco公司的产品,具体参数见表2-1。
其它六家分校出口路由器
路由器只用于连接总部,性能方面要求不高。
表2-1 设备清单
2.2
设备命名规范和连接规范
网
络设备的命名和连接规范如同综合布线中线缆的标识、记录一样,都非常重要的。良好的设备命名和连接,可以使网络的结构清晰,帮助网络管理员更方便地管理网络,提高网络的可维护性。
然而,在实际工作中,这项工作尽管简单却不容易做好,需要格外注意。
2.2.1
设备命名规范
设置路由器和交换机的名称,也就是设置路由器和交换机出现在CLI提示符中的名字。一般以地理位置、型号或者用途来为交换机命名。当需要Telnet登陆到若干台设备上以维护一个大型网络时,通过设备名称提示符提示自己所调试的设备是位于哪里的哪一台设备,使很有必要的。
从上一节的设备清单中可以看出,兆隆计算机学院此次网络建设中使用的网络设备主要包括3种类型:路由器、二层交换机和三层交换机,设备放置的地点分别在七家分校,每家分校设备的数量基本相同,因此,为了便于管理,我们提出设备的命名统一使用如下格式:地点缩写-设别类型-编号,其中:
名称全部由大写英文字母、数字和横线组成。
交大、南郊、高新,省图、双鱼、雁塔和宝鸡兆嵘七家分校的缩写分别为:JD、NJ、GX、ST、SY、YT、BJ。
路由器、二层交换机、三层交换机的类型代码分别为:R、S、RS。
设备编号从1开始,有几台设备就编号到几。
例如,南郊分校使用的第12台二层交换机就命名为:NJ-R-12,宝鸡兆嵘使用的路由器命名为BJ-R-1。
2.2.2
设备连接规范
设备连接设计要求统一实施标准的、严格的连接规范,便于工程的实施和运行管理。其基本原则如下:
交大分校总部路由器各端口按顺序连接OSPF的不同区域,即S0/0端口连接Area 1, S0/1端口的子接口连接Area 2、Area 3、Area 4、Area 5。其它分校路由器的S0/1端口分别连接对应的区域。
交大分校路由器的快速以太网端口按顺序连接核心交换机,即F0/0端口连接JD-RS-1的1号端口,F0/1端口连接JD-RS-2的1号端口,其它分校连接方式相同。
交大分校路由器的第一个以太网端口(E0/0端口)连接ISA防火墙,其它分校不连。
交大分校路由器的每种端口类型(例如串口和以太网口)优先从0端口开始使用,其它分校相同。
交大分校核心交换机的第一个端口连接路由器,第二个端口用于备份,其它分校相同
交大分校核心交换机的第3、4端口连接另一台核心交换机。5~16端口连接接入交换机,17~20端口连接服务器,21~24端口用于连接扩充的接入交换机,其它分校不需要连接服务器,剩余的端口用于扩充的接入交换机或者快速以太网通道。
各分校接入交换机的第一个端口连接第一台核心交换机。
各分校接入交换机的第二个端口连接第二台核心交换机。
各分校接入交换机的第3~24端口连接用户计算机、服务器等。
按照这样的原则,我们可以确定兆隆计算机学院内联网的路由器端口使用如图2.2所示。
注意:兆隆计算机学院路由器连接其它分校的路由器使用的总接口是S0/1,对应的子接口分别为S0/1.1、S0/1.2、S0/1.3、S0/1.4、S0/1.5。
图2.2 路由器端口连接图
所有分校核心交换机Cisco Catalyst 3750的端口 使用如图2.3所示。
接入交换机的端口连接比较简单,这里就不再进行图示了。
图2.3 核心交换机端口使用图
2.3
VLAN划分与IP地址规划
兆隆计算机学院此次对七家分校的局域网进行全新的规划,所有的子网都将遵循标准划分。规划的同时要考虑到未来网络的升级。
2.3.1
网段细分
在企业网络刚刚兴起时,由于企业网络规模小、应用范围存在局限性、对因特网接入的认识程度较浅、网络安全及管理的贫乏等原因,使得企业网络仅限于交换模式的状态。在这种交换模式下,LAN交换机的每个端口均为自己独立的冲突域,但对于所有处于同一个IP网段的网络设备来说,却同在一个广播域中,当工作站的数量较多、信息流较大的时候,容易形成广播风暴,甚者造成网络的瘫痪。
我们建议兆隆计算机学院各分校网络的细分遵循3个依据:地点、部门和功能。这样可以使网络结构清晰,各个公司和智能部门的隔离也更加安全,降低了日后维护的工作量。
按照地点划分,七家分校将划分不同的网段。
按照部门划分,七家分校内部的局域网,将继续按照部门划分更细致的、不同的网段。
按照功能划分,交大分校总部的服务器将全部划分在一个网段,而路由、交换设备以及他们的端口将划分在另一个完全不同的网段。
不同网段之间的连通通过路由方式来实现,并可以在路由器上加以控制。
各分校的子网的规划见表2-2。
表2-2 子网的规划表
如果兆隆计算机学院增加新的分校,只需在网络总体结构中连接一个新的网段即可。
在一个大、中型网络中,VLAN(虚拟专用网)的划分时必不可少的步骤之一。划分虚拟子网可以隔离VLAN内的广播,解决以太网LAN内广播包过多的问题,提高网络的性能。一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网络。对于局域网交换机,其每一个端口只能标记一个VLAN,一个VLAN中的所有端口拥有一个广播域,而处于不同VLAN的端口则共享不同的广播域,这样就避免了广播风暴的产生。可以说,在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
在兆隆计算机学院的网络建设中,必然要划分VLAN。按照上一小节中我们提出的网段细分方法,将每个网段对应到VLAN中,可以得到VLAN划分规划见表2-3。
其中,各分校VLAN命名的规范为:地点的拼音缩写-部门的拼音缩写/功能的缩写。
需要注意的是,由于VLAN 1是管理VLAN的,路由和交换使用的管理信息多在此VLAN中传输,具有一定特殊性,所以最好不要用于最终用户的使用。VLAN *5~9是为日后添加新的部门使用的。
各个分校所有部门对应的VLAN以及IP地址都保持一致的原则,从全网的规划设计的角度上讲,这样划分可以使网络的架构更加明晰,所以在本方案中采用了一致的规划原则。
2.3.3
IP地址规划
考虑到兆隆计算机学院的实际情况和网络改建的要求,此处讲对兆隆计算机学院的IP地址使用情况统一进行规划和设计。
兆隆计算机学院此次计划采用C类似有地址,在上一节中提出的每个子网将规划使用1个C类私有地址,初步规划见表2-4。
表2-4 兆隆计算机学院IP地址规划表
兆隆计算机学院现有员工3000余人,在按照地点、部门和功能划分以后,目前每个子网使用的IP地址都远远超出了现在用户和设备数量的需求,能够满足未来人员增长、设备增加的需求。
同时,如果兆隆计算机学院增加新的分公司,只需继续使用后续的C类地址即可,不会对网络IP地址的结构造成影响。
2.3.4
IP地址分配
有了IP的规划和VLAN的划分之后,可以确定具体在路由和交换设备上,端口的IP地址、交换机的管理IP、VLAN的网关等应该如何分配。
按照前面介绍的设备连接规划,在兆隆计算机学院中,可以确定设备上端口和IP地址的具体使用情况见表2-5。
注:表2-5只列出了交大总部的交换路由设备使用的IP地址表,其它分校的IP地址表见附件。
表2-5 兆隆计算机学院路由交换设备使用IP地址表
2.4
交换部分设计
本方案中,交换部分的设计只介绍交大分校总部的方案设计,其它分校的设计大致一样。其中,三层交换机的路由功能设计,将在后面的路由部分和安全可靠性部分进行描述。
2.4.1
交换部分总体设计
此次兆隆计算机学院的网络改造,将对所有校区的局域网进行规划。
为了兆隆计算机学院网络能够高效、稳定地运行,便于管理与维护,此次兆隆计算机学院对各个分校的局域网交换技术的相关方面进行了规划设计,包括VLAN、VTP、STP、Trunk、EthernetChannel、三层交换等。
VLAN将广播限制在单个VLAN内部,较少了各VLAN间主机的广播通信对其它VLAN的影响。在VLAN间需要通信的时候,可以利用三层交换技术实现。
当网络管理员需要管理的交换机数量较多时,可以使用VLAN中继协议(VTP)简化管理,它只需在单独一台交换机上定义所有VLAN,然后通过VTP协议将VLAN的定义传播到本管理域中的所有交换机上,这样,大大减少了网络管理员的工作负担和工作强度。
当网络内交换机数量增多或交换机链路增加时,都有可能因交换网络的复杂性提高而造成交换环路,或者为了提高网络冗余度而有意设置了交换环路,这就需要通过在各个交换机上运行生成树协议(STP)来解决。
此外,按照网络建设要求,各个分校将建设一个双核心、全冗余的交换网络,其拓扑结构如图2.4所示。(注:下面只画出了交大分校总部的局域网交换部分拓扑图,其它分校的局域网交换部分拓扑图基本相同)
图2.4 交大分校总部的局域网交换部分拓扑图
其中所有的接入交换机采用购买的二层交换设备,核心层交换机采用购买的两台三层交换机。全网交换机配置VTP,以对VLAN的设计统一管理。
两台核心交换机之间采用2条链路组成以太网通道,以提高核心交换机之间的带宽。所有的接入交换机都使用2条上行链路(设置为Trunk),分别连接到2台核心交换机,采用STP对这样的交换环路进行阻塞,在保证上行链路冗余性的同时,避免了可能造成的广播风暴、桥表震荡等问题。
交换机的端口使用情况见表2-6(注:主要是交大分校交换机的端口规划,其它分校的接法相同)。
图2.6 交换机的端口使用规划表
由于VLAN的规划设计已经在上一节中讨论过了,所以从下面开始,我们将逐步详细介绍各个分校的局域网交换部分所使用的其它技术以及规划设计的方法。
注:以交大分校的局域网交换部分进行讨论,其它分校所用的技术基本相同。
当网络中交换机数量较多时,需要分别在每台交换机上创建很多重复的VLAN。工作量大、过程繁琐,并且容易出错。由于兆隆计算机学院网络中使用的全部交换机都为Cisco的产品,所以将使用Cisco的专有协议——VLAN中继协议(VTP)来解决这个问题。
Cisco公司专有的VTP协议能够从一个中心控制点开始,维护整个企业网络上VLAN的添加、删除和重命名工作,确保配置的一致性,可以减少在数量众多的交换机上配置VLAN相关的管理任务,降低认为因素导致的VLAN配置不一致现象(例如,VLAN配置错误、名称不统一等),降低了配置的复杂性。
为使网络能够高效稳定地运行,便于管理与维护,兆隆计算机学院内每一个独立的局域网都应当运行VTP协议,下面对交大分校总部局域网中的VTP进行规划:
VTP域名为 jiaoda.zhaolong.com。
VTP版本为V2。
VTP域口令为jiaodavtp。
VTP修剪设为启用。
VTP Server包括 JD-RS-1、JD-RS-2。
VTP Client包括 JD-S-1~12。
配置VTP修建是为了减少在中继端口上不必要的信息量。VTP通过修剪,来减少没有必要扩散的VLAN广播数据流量,提高中继链路的带宽利用率。
VTP的口令是为了保证VTP域的安全。设置了口令之后,除非交换机设置了正确的口令,否则,新交换机不能自动加入到已存在的管理域中,可以避免VLAN被错误或恶意地增加、删除。
兆隆计算机学院所有的局域网都采用全冗余结构,在交换网络中造成了大量的交换环境,可能会引起网络中的广播风暴和桥表震荡等问题,所以将在网络中启用生产树协议(STP),用来阻塞冗余链路,而在发生链路故障时,迅速启用被阻塞的冗余链路,启到链路备份的作用。
所以,此处的交换部分设计中,也将在各个交换机上启用生成树协议,并且我们将通过调整交换机优先级的方式,来指定性能较高的核心交换机(即两台三层交换机JD-RS-1和JD-RS-2)为根网桥。
并且,Cisco交换机支持每个VLAN的生成树(PVST),在本方案中我们也将采用这种方式,为每一个VLAN启用一个STP实例。
根据兆隆计算机学院各个部门的人数调整,最终指定JD-RS-1为VLAN 1、VLAN 50、VLAN 51的根网桥和VLAN 52、VLAN 53、VLAN 54的备份网桥,JD-RS-2为VLAN 52、VLAN 53、VLAN 54的根网桥和VLAN 1、VLAN 50、VLAN 51的备份根网桥。其它分校指定*-RS-1为VLAN 1 、VLAN *1、 VLAN *2的根网桥和VLAN *3、VLAN *4的备份网桥,*-RS-2为VLAN *3、VLAN *4的根网桥和VLAN 1、VLAN *1、VLAN *2的备份网桥
具体如图2.5所示,虚线表示被阻塞的冗余链路。
图2.5 STP的实现图解
VLAN 1,50,51之间的流量转发将使用JD-RS-1,而VLAN 52,52,54之间的流量转发将使用JD-RS-2,如果VLAN 1,50,51和VLAN 52,53,54之间要互相通信,则两台核心交换机都需要用到。
通过这种方式,不同VLAN的流量被分担到了2台不同的核心交换机上,还可以实现一定的负载分担功能。
对于JD-S-1~12接入交换机来说,我们将在其上启用上行速链路,以减少网络拓扑变化时(例如某一台核心交换机故障)的重新收敛时间,使冗余链路在转发链路故障后能够立即启用,减少用户的断网时间。
同时,所有的接入交换机的3~24端口还将启用速端口,因为这些端口连接的都是计算机等,不会产生交换环路,所以配置成速端口,可以在端口启动时直接进入转发阶段,加快网络收敛的速度。
其余的STP参数不需要进行调整,保持默认值即可。
2.4.4
Ethernet Channel 设计
从上面各小节的图中可以看到,在两台核心交换机之间设计了一条以太网通道,这也是系统的实际需要。
该以太网通道汇聚的是两条核心交换机之间的链路,分别使用了两台核心交换机上的3、4端口,使两台核心交换机之间的链路带宽达到了200Mbps。而且核心交换机上有大量保留端口,随时可以扩充通道的带宽,最大可以汇聚8条链路成为一条以太网通道。
同时,这条以太网通道也是两台核心交换机之间的Trunk链路,按照STP对不同VLAN的根网桥做了指定之后,需用这条Trunk链路承载不同VLAN之间的流量以及VTP的各种消息。
配置以太网通道可以提高冗余功能。因为两台核心交换机之间的连通与否关系到VLAN 1、50、51和52、53、54之间是否能够互通,所以是非常关键的链路。使用以太网通道不但可以增加核心交换机之间的带宽,也可以增加这部分网络的安全可靠性。
配合以接入交换机的双上行链路,本方案可以实现极高的网络可靠性和健壮性,只要有一台核心交换机以及一半的正常链路,整个网络就可以正常工作。
在配置的时候,优先使用标准的协议,如802.1q。
在两台核心交换机上各自为VLAN配置IP地址,启用路由转发功能,各个VLAN内的计算机使用该地址作为网关,之间便可以实现互通了。
三层交换机技术在第三层实现了数据包的高速转发,从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。
这里需要注意一点是,兆隆计算机学院的局域网中,两台核心交换机启用路由功能,其上给VLAN配置的IP地址将是上面所连计算机的网关地址。而两台交换机上同一个VLAN只能配置不同的IP地址,所以这两台三层交换机还会采用HSRP方式形成互为备份关系,为每个VLAN上形成一个HSRP组,使用HSRP组的虚拟地址作为VLAN的网关。
为了更好的管理局域网内所有的交换机,需要增强交换机某些方面的安全设置,具体如下:
交换机使能口令的配置(建议加密的使能口令)。
交换机网关的配置以及线路密码的配置(便于远程管理交换机)。
交换机标识以及各个接口的标识的配置(用于更好地管理交换设备)。
备份配置信息(便于交换机出故障时恢复)。
对于企业内联网的路由器而言,可以使用一系列路由协议。选择路由器时需同时考虑网络设计和路由协议的选择。最常见的标准路由协议是RIP和OSPF,但RIP并不适合大型网络。考虑到兆隆计算机学院内联网未来扩展的要求,我们将采用OSPF协议作为网络的路由协议。
OSPF路由协议是业界标准的网络协议,许多厂商的网络设备都支持它,因此它受到了广泛的应用。OSPF路由协议能够快速收敛,支持无类路由(Classless)和变长子网掩码(VLSM),可划分区域,适合运行在大中型网络中。
设计方案从OSPF区域、指定路由器、路由器ID等方面进行了规划。
为了解决最短路由优先(SPF)算法的频繁计算、路由表过大、链路状态数据库过大的问题,OSPF将大型网络分成多个区域。划分区域具有以下优点:
减少OSPF路由协议的LSA泛洪,减少链路带宽的占用。
降低SPF计算频率,减少路由器的资源消耗。
具有更小的路由表。
降低链路状态更新的负荷。
提高网络的稳定性。
兆隆计算机学院的内联网OSPF路由协议将采用多区域的方式。
兆隆计算机学院中OSPF区域划分的原则如下:
交大分校总部的路由器内联本地设备的接口属于Area 0。
交大分校总部内的三层交换机上的路由器端口属于Area 0。
交大分校总部的路由器连接防火墙的端口属于Area 0。
交大分校的路由器下联各个分校的的接口属于该分校的Area。
其它六家分校中,宝鸡兆嵘分校在Area 1,南郊分校在Area 2,高新分校在Area 3,陕图分校在Area 4,双鱼分校在Area 5,雁塔校区在Area 6
分校路由器只连接末梢网络,所以分校的OSPF区域均为末梢区域,并可设置成完全末梢区域,以减少Area 1~6中的LSA的泛洪数量。
具体的OSPF多区域划分如图2.6所示。
图2.6 OSPF区域划分图
按照这个原则,我们可以确定OSPF区域规划和区域内所属端口和网络的规划,见表2-6。
表2-6 OSPF区域规划表
主意:交换机的管理IP地址也全部发布到了OSPF区域中,可以实现从兆隆计算机学院内的任何地方通过Telnet等远程登录方法实现对设备的管理和维护。
路由器的ID是在OSPF区域内唯一标识一台路由器的IP地址。路由器首先会选取所有的Loopback接口上数值最高的IP地址作为路由器的ID,如果路由器没有配置Loopback接口的IP地址,那么它将选取自己所有的物理接口上数值最高的IP地址作为它的Router ID。用作路由器ID的接口不一定要运行OSPF协议。
使用Loopback地址作为路由器ID有两个好处:一个是loopback接口比任何其他的物理接口更稳定,因为只要路由器启动,这个环回接口就处于活动状态,只有路由器失效时它才会失效;另一个就是,这样的网络的设计者将具有更好控制路由器的ID的能力。
注: 由于Router ID的选举不具有抢占性,最好在路由模式下指定路由器的Router ID为Loopback地址。
所以,在兆隆计算机学院的路由网络中,为了提高OSPF路由协议的运行稳定性,在每台启用OSPF的路由器和三层交换机上都将配置一个Loopback接口,使用该接口的IP地址作为OSPF路由器的ID。根据兆隆计算机学院的OSPF规划,我们将采用一些特殊的地址作为Loopback接口地址,具体的使用原则如下:
每个区域内设备的Loopback地址前两端采用区域号加1的数字(如果该路由器在多个区域内有端口,则由该设备放置的地点决定区域号)。
第3段地址用2表示该设备为路由器,用1表示该设备为三层交换机。
第4段地址从1开始按照同类型设备数量顺次下排。
因此,根据这个原则,可以确定兆隆计算机学院所有启用OSPF路由协议设备的Loopback地址。(即路由器的ID)见表2-7。
表2-7 路由器ID规划表
2.5.3
OSFP指定路由器设计
兆隆计算机学院的Area 0是广播型网络;Area 1是运行在GRE隧道上的广播多址网络;Area 2,3,4,5,6是一个由帧中继网络连接起来的非广播型网络,其中有多台路由器,需要考虑OSPF的DR、BDR选举问题。
由于路由器的ID已经确定,本方案在采取默认优先级的情况下,所有三层交换机*-RS-2都将成为对应区域的DR,*-RS-1都将成为对应区域的BDR。
2.6
广域网部分
为了安全,兆隆计算机学院内联网有统一的因特网出口,位于交大分校总部。同时,兆隆计算机学院也是一家在业务上需要频繁访问因特网的新型IT企业,对带宽和访问速度要求较高,所以在此次建设时,申请了一条10Mbps的以太网带宽接入链路来接入因特网,以实现对因特网接入的高带宽、高速度的要求。
具体来讲,兆隆计算机学院的广域网接入功能是由防火墙实现的。到达兆隆计算机学院总部的链路首先连接到防火墙(兆隆计算机学院采用的是ISA防火墙),再经由防火墙连接到JD-R-1上,实现公司内部和因特网的互联。
随着这条接入链路的申请,兆隆计算机学院从ISP处申请了一段公网IP地址,以便接入使用。
这段地址和使用方法见表2-8。
由于在ISA上可以实现NAT和防火墙的访问控制策略,所以在连接ISA的路由器上(即JD-R-1)就不再需要配置NAT。
2.6.1
帧中继接入的选择
帧中继是基于DDN网或ATM网,提供点到点和点到多点的数据传送服务。帧中继是将流量控制、纠错控制等留给终端去完成,大大简化了节点机之间的协议,缩短了传输时延,提高了传输效率。帧中继具有动态分配带宽的特点,适合传送大量突发数据。
帧中继的网络技术特征
1、 高效性
由于帧中继使用统计复用技术向用户提供共享的网络资源,大大提高了网络资源的利用率,大大提高了带宽利用率。另一方面,由于帧中继简化了节点机之间的协议处理,因而能向用户提供高速率、低时延的业务。
2、经济性
因为帧中继技术可以有效地利用网络资源,从网络运营者的角度出发,可以经济地将网络空闲资源分配给用户使用。而作为用户可以经济灵活地接入帧中继网,并在其他用户无突发性数据传送时,共享资源。
3、可靠性
虽然帧中继节点仅有OSI物理层和链路层的核心功能,无纠错和流量控制,但由于光纤传输线路质量好,终端智能化程度高,前者保证了网络传输不易出错,即使有少量错误也由后者去处理。另外,网络中采取了永久虚电路(PVC)管理和阻塞管理,保证了网络自身的可靠性。
4、灵活性
帧中继网组建方面:由于帧中继的协议十分简单,利用现有数据网上的硬件设备稍加修改,同时进行软件升级就可实现,而且操作简便,所以实现起来灵活方便。
用户接入方面:帧中继网络能为多种业务类型提供共用的网络传送能力,而且对高层协议保持透明,用户可方便接入,无须担心协议的兼容性。
5、长远性
与ATM技术相比,帧中继有简便而且技术成熟等优点。另外,两者本质上采用包交换技术,兼容起来也比较容易。帧中继与ATM相辅相成,会成为用户接入ATM网的最佳方式。
由于兆隆计算机学院交大分校总部和宝鸡兆嵘分校之间距离比较远,采用光纤或者专线接入需要花费大量的成本,因此,在本次项目方案中,综合考虑以上因素,决定采用基于IPSec的×××技术实现。
所谓虚拟专用网(Virtual Private Network, ×××)就是建立在公网上的,由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对×××用户之间没有专用的物理连接,而是通过ISP提供的公共网络来实现通信的,其专用性表现在×××之外的用户无法访问×××内部的网络资源,×××内部用户之间可以实现安全通信。 由于Internet本质上是一个开放的网络,没有任何的安全措施可言。专线的连接可以实现不同地区之间的互访,但需要支付高额的费用,维护也相当的困难。随着Internet应用的扩展,很多要求安全和保密的业务需要通过廉价的Internet实现,这一需求促进了×××技术的发展。 广泛地讲,×××体系结构可以被分为两种常见的情况:站点到站点的×××(企业总部与各个分部之间的互联)和远程访问×××(远程用户与公司总部之间的互联)。×××技术实现安全互联有多种方式,如MPLS ×××、SSL ×××等,但IPSec ×××技术是现在企业用的最多的接入方式,本次兆隆计算机学院总部和宝鸡兆嵘分校之间就是通过使用Cisco路由器和预共享密钥建立IPSec ×××实现站点到站点之间的访问。
本方案中要求七家分校都运行OSPF路由协议,而单一的IPSec ×××不支持广播链路,所以需要在交大分校总部和宝鸡兆嵘分校之间的路由器上建立一条GRE隧道,然后将IPSec ×××应用在隧道tunnel接口之上。
兆隆计算机学院出差的员工或者家庭办公的人员需要与交大分校总部随时交换机密的商务信息。出差的员工如何能成功远程访问总公司内部的资源并保证这一过程中的安全性?如何在局域网上实现一个安全、方便、低成本的远程访问服务呢?这就需要远程用户通过拨号或者虚拟专用连接登录总部的×××服务器。远程客户机一旦得到×××服务器的确认,就可以访问网络资源,就好像客户机已经直接连接在局域网上一样 。拨号的远程访问通过电话线传输数据,虽然效率不高,但是对于那些只有少量数据需要传输的用户,特别是在家庭中办公的用户来说是一个很好的解决方案。使用虚拟专用连接提供了高的传输效率,而且降低了投资成本和维护成本。相对于拨号连接来说,它节约了通信费用,特别是对于外地的分公司来说,解决了一大笔长途电话的费用。此次项目考虑到远程办公人员较多,采用虚拟专用连接进行拨号。
此次项目中将×××服务器和ISA防火墙放置在了同一台服务器上,这样更有利于管理和维护。如果经测试负载过重,可以考虑使用NLB群集技术来增加ISA防火墙以及×××服务器的可靠性。
为了能够让远程访问用户安全访问总部内部的资源,可以在×××服务器上设置一些策略,比如说时间上的限制以及认证方面需要。
自从20世纪80年代计算机网络在企业中开始大规模应用以来,利用计算机网络所提供的便捷且廉价的传输和资源共享功能,无数的企业从中获得了巨大的好处。现今,这种专门的企业网以延伸到企业的几乎每一个角落,成为企业内部传输的基本平台。但是,传统的语音传输却似乎一直游离于这股潮流之外,很多拥有先进网络的企业,在语音通信时采用的方式仍同他们几十年前的前辈一样,为每一个分处各地的通信点到当地电话局去申请一部电话,利用电话公司庞大的语音网为其提供服务,同时承受高昂的通信费用。不过,随着新兴的VoIP技术的出现,这种情况终于开始改变。
在计算机多媒体化和Internet技术的推动下,VoIP技术诞生虽然时间不长,但已经体现处强大的发展潜力,经过了PC to PC、PC to Phone、Phone to Phone这几个发转阶段,现已走向市场。随着PSTN和IP网咯的不断融合,从普通用户、企业用户到电信运营商都在从VoIP技术中获得收益。
目前,VoIP在运营商一级正发展为大规模、高可靠性、高性能的电信级网络。而基于企业网平台的企业内部的VoIP应用也得到了日益广泛的应用和关注,也是当前VoIP应用的一个热点。
考虑到兆隆计算机学院对语音电话的需求量过大,此次方案决定采用VoIP技术,实施的方案如下图2.7所示
图2.7 VoIP连接方式
2.7
网络安全性设计
对网络安全而言,一套行之有效的安全管理策略更重要。在网络建设项目中实现网络安全管理是一个动态的系统工程,关系到安全项目规划、安全策略规定、人员职责分工、安全等级评定、网络用户管理、安全规章制度建立等方面,这些在一开始就对网络的规划实施安全性提出了要求。
在前面的设计部分中,我们已经讨论了部分安全性设计,例如VTP域的认证、交换机密码的设置等。本节中,为了兆隆计算机学院的网络实现安全性的设计要求,我们将首先讨论兆隆计算机学院网络建设和管理方面的一般性安全规则,然后对密码策略、网络常规安全性策略等几个方面进行详细设计。
一个网络的安全,首先要有严格和有效执行的管理制度,其次必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施,才能够产生良好的效果。
兆隆计算机学院的网络改建项目从建设初期就对网络的安全性给予足够的重视了,而后期的管理更是网络安全运行的保障,所以兆隆计算机学院的网络项目在以下几个方面必须进行规划考虑,才能保障网络的安全性:
网络建设方案:包括网络技术体制、网络拓扑结构、设备配置、IP地址和域名分配方案等相关技术文档。
机房管理制度:包括对网络机房实行分域控制,保护重点网络设备和服务器的物理安全。如果设备在物理上是不安全的(例如,想执行破坏性操作的人员可以直接接触到设备),那么这些设备将毫无安全可言。
各类人员职责分工:根据职责分离和多人负责的原则划分部门和人员职责,包括对领导者、网络管理员、安全保密员和网络用户的职责进行分工。
安全保密规定:制定颁布本公司计算机网络安全保密管理规定。
安全策略文档:建立防火墙和防病毒系统等安全设备的安全配置和升级策略以及策略修改登记。
口令管理制度:严格制定网络设备、安全设备、应用系统以及个人计算机的口令管理制度。
系统操作规程:对不同应用系统明确操作规程,规范网络行为。
应急响应方案:建立网络数据备份策略和安全应急策方案,确保网络的应急响应。
用户授权管理:以最小权限原则对网络用户划分数据库等应用系统操作的权限,并作记录。
安全防护记录:记录重大网络安全事件,对网络设备和安全系统进行日志分析,并提出修复意见。
安全评估方案定期对系统运行、用户操作等进行安全评估,提交网络安全报告。
其他制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统以及全面建立计算机网络各类文档、堵塞网络安全漏洞等。
为了使网络中的路由器和交换机更安全,可以配置一些简单的安全策略,并且关闭其上一些不必要开启的默认服务(可能会对网络的安全造成威胁),主要包括以下几点:
1、保护设备的物理安全
设备的物理安全性是指未经授权的人员不能直接接触到运行中的设备。提高设备的物理安全性,是网络安全最基本的要求。通过将设备安置在独立的设备间中,并增加门禁系统,确保只有授权的管理人员和维护人员才能接触到物理设备。
2、包含设备的密码
设备的enable密码应当设置,且应当设置成比较负载的强密码。但是要注意的是,普通的password密码加密机制已经很古老,存在极大的安全漏洞,必须使用no enable password禁用,然后利用enable secret命令设置密码。该加密机制是IOS采用了MD5散列算法进行加密的,比较安全。
3、控制Telnet访问
此处我们仅考虑网络内部为了配置设备方便而使用的Telnet连接。
在兆隆计算机学院的项目中,为了配置方便,在项目实施阶段可以打开Telnet功能(也需要足够长和复杂的密码)。不过项目结束后,由于兆隆计算机学院各分校均有自己的网络管理员,所以应当将密码取消以关闭Telnet,这样,只有网络管理员才可以通过Console口登录,进行设备的配置。
另外,如果遇到特殊的情况需要打开Telnet,可以利用访问控制列表对可以通过Telnet访问的设备的IP加以限制。
4、禁止CDP
CDP(Cisco Discovery Protocol)Cisco发现协议是Cisco私有的一个协议,存在于Cisco 11.0以后的IOS版本中,都是默认开启的,用于帮助管理员手机本地相连和远程设备的信息。这个协议有一个缺陷:对所有发出的设备请求都做出应答,这样将导致路由器的泄密情况,因此,必须禁止其运行。
对于兆隆计算机学院来说,我们将在JD-R-1路由器的连接防火墙的端口上,使用命令你no cdp enable禁用CDP,以便让路由器内部网络使用CDP,而禁止路由器对外网的CDP应答。
5、关闭HTTP服务
现在许多Cisco设备都允许使用Web界面来进行控制配置,这样可以为经验欠缺的管理者提供方便的管理,但是,在这方便的背后却隐藏了很大的危机,可能给不怀好意的访问者打开了一扇门。因此在兆隆计算机学院的所有设备上,都使用no ip http server命令关闭Web方式的配置途径。
2.7.3
ACL设计
即使已经在因特网的出口部署了防火墙,出于安全性因素考虑,我们也需要使用访问控制列表(Access Control List,ACL)在路由器上对兆隆计算机学院的网络内部、内外网之间的流量进行一些常规的控制,提供第二层的安全防护。因为在网络环境中普遍存在着一些非常重要的、影响服务器群的安全隐患,因此在绝大多数万路过环境的实现中它们都是对外屏蔽的。
下面我们将对于在路由器上如果设计ACL进行讨论。
1、兆隆计算机学院交大分校总部路由器ACL设置
交大分校总部的路由器是整个网络的出口路由器,它的作用主要是在因特网和学院内网之间路由数据包。除了完成主要的路由任务外,出口路由器还可以利用访问控制列表来完成以自身为中心的流量控制和过滤功能,并实现一定的安全功能。
(1)对外屏蔽简单网络管理协议SNMP
利用这个协议,远程主机可以监视、控制网络上的其它网络设备。配置ACL时应将它的两种服务类型SNMP和SNMPTRAP都对外屏蔽。
(2)、对外屏蔽远程登录协议Telnet
这里主要针对以外网发起的对内网设备的Telnet连接,这是不允许的。
首先,Telnet是一种不安全的协议类型。用户在使用Telnet登录网络设备或服务器时所使用的用户名和口令在网络中是以明文传输的,很容易被网络上的非法协议分析设备截获。其次,Telnet可以登录到大多数网络设备和UNIX服务器,并可以使用相关命令完成操作它们,这是及其危险的,因此必须加以屏蔽。
(3)、针对DoS的设计
DoS(Denial of Service Attack,拒绝服务***)是一种非常常见而且极具破坏力的***手段。它可以导致服务器、网络设备的正常服务进程停止,严重时会导致服务器操作系统崩溃。预防DoSD的手段是将外网对内网的ping流量屏蔽。
在ISA正常工作的情况下,这些流量在经过防火墙时就已经屏蔽,路由器上的ACL在ISA防火墙不幸被攻破后会起到一定的安全保护作用。
2、兆隆计算机学院其它分校路由器ACL设置
在分校的路由器上,这些针对网络出口的ACL是不需要的,只需要满足兆隆计算机学院自己的网络流量控制要求即可。应用在分校路由器上的ACL是启用在内部端口上的,控制从分公司交换网络进入路由器需要转发的流量,规则如下:
禁止访问交大分校的内网(除过服务器所在的VLAN 50)。
禁止访问其它分校的内网。
运行其它流量。
需要注意的是,宝鸡兆嵘分校和交大分校总部是通过Internet连接的,需要在出口路由器上禁止所有用户访问互联网,只允许访问总部内部的资源。
以上安全措施都不是针对网络内部的用户的,但事实上很多安全隐患来自于万路过的内部,所以严格控制用户的接入,可以避免由于非法用户接入带来的潜在的安全隐患。
兆隆计算机学院网络完成之后,所有用户的IP地址在规划之前应当确保交换机的所有用户端口都处于关闭状态,只有当用户的使用申请通过批准之后,网络管理员才能将端口激活。
现在,网络系统的高可靠性日益成为设计整个系统的一个关键因素。兆隆计算机学院此次的网络改建项目是日后整个公司信息系统运行的基础。对于兆隆计算机学院这样的一个对网络依赖性极高的新型IT公司来说,可靠性尤为重要。网络作为一个整体,在出现故障时,必须依靠能维持正常的网络连接。
网络系统的可靠性包括外在的因素和自身的因素。外在因素是指机房、供电、空调等辅助系统必须正常运行,提供适合网络设备运行的环境。自身因素包括网络设备、通信线路的可靠性,以及网络系统的故障自动切换机制。
由于兆隆计算机学院的机房设计装修已经在前期完成,所以在本设计方案中,仅讨论网络系统自身的因素。
物理上的安全也就是冗余能力是网络可靠性的保证,即网络的可靠性主要通过线路和设备的冗余来实现。
虽然Cisco公司的网络设备产品具有较高的平均无故障工作时间(这也是我们选择Cisco公司产品的另一个主要原因),但是,任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个正常设备上,是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证在设备出现故障的情况下,立刻启用后备模块,保证网络的安全运行。
兆隆计算机学院的网络设计成全冗余结构,正是为了保障网络的可靠运行,即网络不会因为某一条链路断开、某一台核心设备故障而造成全网大范围的停顿不能正常使用。
前期以太网通道、STP设计时,我们已定对交换网络内的冗余机制进行了规划,接下来主要讨论网关冗余如何实现,然后讨论故障切换是如何实现的。
HSRP是Cisco公司特有的一个协议。HSRP向主机提供了默认网关的冗余性,减少了主机维护路由表的任务。
兆隆计算机学院在两台核心的三层交换机上启用热备份路由器协议(HSRP),其设计目标是支持特定情况下IP流量可以从故障设备切换到其它设备上而不会引起混乱,并允许主机使用单路由器作为网关,在实际第一跳路由器使用失败的情形下,仍然保持与网络的连通。
在路由器上配置HSRP时,我们使用的是路由器的端口,即将不同路由器的端口划到一个HSRP组中,成为内网主机的网关。
在兆隆计算机学院所有的局域网络规划中,路由器的端口IP地址和主机的IP地址并不在同一个子网内,所以,HSRP是规划使用在三层交换机上,按照不同的VLAN启用多个HSRP组,并且将活跃路由器的职责按照VLAN分担到两台设备上,分担的时候应该根据
VLAN对于的根网桥进行分担。
具体的HSRP组、虚拟IP地址等的规划见比表2-9。
注:下面的表只列出了交大分校总部的HSRP分配情况,其它分校的配置见附件。
表2-9 HSRP组、虚拟IP地址等的规划表
从表中可以看出,在兆隆计算机学院网络中的HSRP设计中,每个VLAN启用了一个HSRP组,HSRP组号与VLAN的ID保持一致。
通过将优先级指定为120的方式,我们使VLAN对应的组和STP的根网桥保持一致。
设置的活跃路由器都配置了占先权,该路由器故障恢复时,能够恢复活跃的身份,以维持网络的负载分担设计。
2.9
工程实施安排
兆隆计算机学院的网络改建项目将分为以下3个阶段进行:
(1)完成各个分校的局域网交换部分调试,进行阶段测试。
(2)完成HSRP和路由调试,实现七家分校的互联互通,并可以连接到因特网,进行阶段测试。
(3)完成ACL的调试,全网联调,进行项目的测试验收。
实施过程会有详细记录,与测试结果一并形成文档,由兆隆计算机学院的相关人员存档保存,以供日后的网络维护使用。
由于字数限制,上传了主要设计部分,完整版的请访问:
http://bbs.51cto.com/viewthread.php?tid=596471&page=1&extra=page%3D1