某设备维修公司网络改造升级方案
1. 项目描述
某设备维修公司网络改造与设备升级项目包括:机修五车间、机修四车间、特维车间、机修二车间、办公楼部分线路等,其中机修二车间网络接入点IP范围:10.116.X.X,该车间将来保留的时间较短,不进行综合布线。
网络设备升级改造以 1000M 网络为主干,配备必要的智能网络管理功能,淘汰落后设备。在资金允许的前提下更换防火墙等核心安全设备。
2. 建设目标
本次项目的目标:对现有网络系统的整体升级改造,将原有的百兆以太网架构升级为千兆以太网,同时针对目前出现的一些问题做出相应的解决。
基于上述建设目标,本次网络系统整改升级应至少达到以下三个目的:
Ø
将中心节点升级为全千兆三层节点,将汇聚节点由百兆升级为千兆;
Ø
交换机支持VLAN,提供IP、MAC的绑定功能;
Ø
从硬件层面解决内网ARP病毒问题及其它病毒攻击行为。
3. 设计原则
本方案设计立足于采用成熟的网络产品并适当超前的原则,在采用高性能、高可靠性的硬件平台基础上,建立稳定高效的网络。在安全可靠的前提下,提供信息共享和文档交换等办公自动化功能;实现现有应用与将来应用的融合,满足信息数据的分析加工处理的需要;为员工提供多种方便快捷的方式,实时地更好地让人和信息进行相互沟通。能够实现网络平台视频数据传输带宽。
²
可靠性
网络系统应采用可靠性较高的产品和容错较强的网络结构,以使网络具有高度的可靠性,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。
²
安全性
安全性是一些需要数据保密的用户最为关注的问题,也是全网核心与汇聚层网络设计和规划的关键。网络设备本身应具有一定的防攻击能力,同时应可以使用VLAN及ACL等方法来保证数据只能在允许的情况下进行共享和交换。通过这样一些安全措施,从而建设一个具有高端网络安全策略体系的网络。
²
先进性
要采用先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展,保证网络建成后 5-6 年不落后,选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
²
易管理、易维护
由于网络系统规模较大,需要网络系统具有良好的可管理性。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。网络设备应支持SNMP功能。
²
可扩展性
网络系统应具有良好可扩展性,随着业务的增长和应用水平的提高,网络应可平滑地扩展的升级,而不需要对网络结构设备进行大的改动。
在网络设备选型过程中,所采用的设备本身应具有较高的端口密度。
低端配置
网络可扩展的关键在于能否实现合理的层次化设计,采取层次化的设计可以根据网络需求的变化,在不影响现有网络运行的状况下,迅速扩展。因此我们在整体网络采用星型三层结构。网络核心层使用1台Tritium S5328TS路由交换机;S5328TS通过千兆单模光纤和千兆双绞线分别连接汇聚层的设备S5024TS千兆交换机;S5024TS再接入S3028交换机(高配里同样是5024TS交换机)。中心机房通过多业务路由器R7304连接到Internet。
2. 核心层
核心层设备主要负责进行数据的快速转发以及整个局域网路由表的维护,同时实现与外网的互联,提供网络的高速IP数据出口,其重点考虑可靠性和可扩展性。核心层主要由路由设备与核心交换设备构成。路由设备负责建立和管理承载连接,并对这些连接进行路由;核心交换设备主要负责内部数据的转发。
对于需要通过外部网或经Internet连接到其他企业的客户来说,核心层拓扑结构应当包括一条或多条连接到外部网络的链路。一般来说,我们不鼓励分支机构的管理员设计各自的外部网或自行建立到Internet的连接,而应将这些功能集中在核心层,进而减少复杂性和潜在的选路问题,这对于网络安全性也有帮助。
在网络建设初期,核心交换机应选用性价比较高,能够提供密集千兆端口并具有丰富业务支持能力的路由交换机。这里我们采用了Tritium S5328TS路由交换机。S5328交换机系列是银河风云公司面向IP城域网、大型企业及园区网用户开发的系列大容量、高密度的三层线速以太网交换机产品,主要作为企业的核心交换机。S5328能提供大容量高密度的千兆接口,以保证网络的灵活扩展以及设备的稳定可靠。同时支持VRRP,保证了核心网络今后能够支持热备冗余,提供不间断的核心交换能力。它具有丰富的业务功能、强大的QoS保障能力以及完善的安全管理机制和电信级的高可靠设计,完全满足用户对多业务、高可靠、大容量、模块化的需求。
出口路由设备应选用性价比较高,转发速度较快并能够提供线速NAT功能,具有丰富业务支持能力的核心路由器。这里我们采用了Tritium R7304核心路由器。R7304支持丰富的策略路由功能,当我们采用双外线出口时,能起到良好的主从备份功能和负载均衡能力。另外,R7304支持强大的硬件防火墙扩展模块,灵活实现本网络在业务处理与高性能安全防护的高度集成。
3. 汇聚层
汇聚层主要应实现如下功能:扩展核心层设备的端口密度和端口种类:扩大核心层节点的业务覆盖范围:汇聚接入节点,解决接入节点到核心节点间光纤资源紧张的问题;实现接入用户的可管理性,当接入层节点设备不能保证用户流量控制时,需要由汇聚层设备提供用户流量控制及其他策略管理功能。此外,除基本的数据转发业务外,汇聚层还必须能够提供必要的服务层面的功能,包括带宽的控制、数据流QoS优先级的管理、安全性的控制。
汇聚层交换机我们选用了S5024TS-EI二层增强型交换机。它除了提供丰富的二层能力外,还支持IP ACL,Qos,可通过DHCP-Snooping+IP/MAC绑定+DAI来防御ARP病毒。该交换机基于高性能的ASIC,是理想的园区网汇聚交换机。S5024提供了24个10/100/1000Base-T 端口和4个复用的千兆SFP插槽,用户可根据需要选取合适的接口数量灵活地配置网络规模。
在低配方案里我们还使用了S3028Bundle-EI交换机。它提供24个10/100Base-T端口和2对千兆光电复用接口。同时也支持IP ACL,Qos,可通过DHCP-Snooping+IP/MAC绑定+DAI来防御ARP病毒。
4. 路由规划
路由协议的选择我们遵循这样一个规则:管理上层次分明,局部的变动不影响上层路由配置和全局路由配置。技术上应根据网络的复杂性尽量简单、灵活,以提高路由设备的处理效率。
基于我们的汇聚接入是一个二层网络结构,所以我们在内网使用静态路由。
5. IP/MAC绑定功能
本方案中所有的交换设备都提供MAC+IP+PORT+VLAN 的绑定功能。
6. ARP病毒防护能力
针对内网用户使用静态IP地址和通过DHCP获取IP地址两种情况,我们相应的提供两种解决方式
⑴ Bind(ip,mac,port,vlan)+Dynamic ARP Inspection
当用户使用静态IP时,我们在接入交换机上部署IP、MAC、端口和vlan的绑定,同时在相应的端口下打开DAI功能,这样即可有效的防御伪造主机/网关/DNS等攻击方式。
当然,使用手工绑定的缺点就是工作量较大,主机硬件地址变更时需手工修改。
⑵ DHCP-Snooping+Dynamic ARP Inspection
当在内网部署了DHCP服务器,用户通过动态获取的方式来获得IP时,我们可以使用DHCP-Snoopong功能。
我们在连接合法的DHCP服务器的端口下使用ip dhcp snooping trust命令,同时在用户端口下打开DAI功能,并将DHCP服务器和一些固定ip地址的服务器的IP、MAC和端口进行捆绑,这样即可方便的动态生成ip arp inspection table,可以有效防御伪造主机/网关/DNS等攻击方式,同时主机硬件地址变更时也无需手工修改。
为避免在内网用户大量感染arp病毒时相应的非法报文对交换机本身形成拒绝服务攻击模式,我们同时建议打开ARP/DHCP报文限速功能。这样就可以有效的防御ARP/DHCP拒绝服务攻击模式,超出ARP/DHCP报文限速阀值的报文都将被丢弃。
三、 产品介绍
见附件PDF文档。
四、 产品配置
高配:
|
型号
|
描述
|
单价
|
数量
|
总价
|
|
Tritium S5328
千兆三层交换机
|
||||
|
S5328TS-SI-AC
|
Tritium S5328TS-SI
以太网交换机主机(24个10/100/1000Base-T+4个SFPCombo+4Slots+1电源Slots)-已配置交流单电源
|
|
|
|
|
SFP-G-SM10
|
千兆单模SFP模块(1310nm, 10km ,LC)
|
|
||
|
|
|
|
|
|
|
Tritium S5024
千兆二层交换机
|
||||
|
S5024TS-EI-AC
|
Tritium S5024TS-EI
以太网交换机主机(24个10/100/1000Base-T+4个Combo SFP)-交流单电源
|
|
|
|
|
SFP-G-SM10
|
千兆单模SFP模块(1310nm, 10km ,LC)
|
|
|
|
|
|
|
|
|
|
|
Tritium R7304
多业务路由器
|
||||
|
R7304-BPE
|
Tritium R7304(
机箱+风扇)
|
|
|
|
|
R7300-RPU -512M
|
Tritium R7300
系列路由处理单元(默认64MB板载电子盘, 512M 内存)
|
|
|
|
|
R7300-NPU
|
Tritium R7300
系列网络处理板
|
|||
|
R7300-PW-AC
|
Tritium R7300
交流电源
|
|
|
|
|
R7300-FE-4T
|
4
端口百兆以太网高速接口模块(RJ45)
|
|
|
|
|
Tritium-FWM
|
Tritium
系列防火墙模块
|
|
||
|
|
|
|
|
|
|
总计
|
|
|||
低配:
|
型号
|
描述
|
单价
|
数量
|
总价
|
|
Tritium S5328
千兆三层交换机
|
||||
|
S5328TS-SI-AC
|
Tritium S5328TS-SI
以太网交换机主机(24个10/100/1000Base-T+4个SFPCombo+4Slots+1电源Slots)-已配置交流单电源
|
|
|
|
|
SFP-G-SM10
|
千兆单模SFP模块(1310nm, 10km ,LC)
|
|||
|
|
|
|
|
|
|
Tritium S5024
千兆二层交换机
|
||||
|
S5024TS-EI-AC
|
Tritium S5024TS-EI
以太网交换机主机(24个10/100/1000Base-T+4个Combo SFP)-交流单电源
|
|
||
|
SFP-G-SM10
|
千兆单模SFP模块(1310nm, 10km ,LC)
|
|
|
|
|
|
|
|
|
|
|
Tritium S3028
二层交换机
|
||||
|
S3028Bundle-EI-AC
|
Tritium S3028Bundle-EI
以太网交换机主机(24个10/100Base-T+2千兆电接口(RJ45)+2个千兆SFP插槽)-交流单电源
|
|
|
|
|
SFP-G-SM10
|
千兆单模SFP模块(1310nm, 10km ,LC)
|
|
||
|
|
|
|
|
|
|
Tritium R7304
多业务路由器
|
||||
|
R7304-BPE
|
Tritium R7304(
机箱+风扇)
|
|
||
|
R7300-RPU -512M
|
Tritium R7300
系列路由处理单元(默认64MB板载电子盘, 512M 内存)
|
|
|
|
|
R7300-NPU
|
Tritium R7300
系列网络处理板
|
|
||
|
R7300-PW-AC
|
Tritium R7300
交流电源
|
|||
|
R7300-FE-4T
|
4
端口百兆以太网高速接口模块(RJ45)
|
|||
|
Tritium-FWM
|
Tritium
系列防火墙模块
|
|||
|
|
|
|
|
|
|
总计
|
||||
本文出自 “网络校尉” 博客,谢绝转载!