网络系统深化设计方案(原创)

前言

概述

文档描述XX网络系统的详细设计,包括网络拓扑,网络参数设计,路由特性配置,用于指导项目的具体部署和配置。

读者对象

本文档主要适用于以下人员:

l 技术支持工程师

l 网络维护工程师

文档制作人

拟制人 xxx 日期 2019-09-20

审核人 xxx 日期 2019-10-15

批准人 xxx 日期 2019-10-20

修改记录

修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。

版本 发布日期 描述

V1.0 2019-09-20 第一次

V2.0 2019-09-27 第二次

V3.0 2019-10-10 第三次

目 录

前言... 2

概述.... 2

读者对象.... 2

文档制作人.... 2

修改记录.... 2

1 项目概述... 6

1.1 项目背景.... 6

1.1.1 项目概况.... 6

1.2 项目范围.... 6

1.3 深化设计内容.... 6

1.3.1 系统结构深化设计.... 6

1.3.2 设备配置深化设计.... 7

1.4 项目需求分析.... 7

1.4.1 生产网业务需求分析.... 7

1.4.2 离港网业务需求分析.... 10

1.4.3 办公网需求分析.... 11

1.4.4 安防网业务需求分析.... 12

1.4.5 数据管理区业务需求分析.... 13

1.4.6 外联网互联网业务分析.... 14

2 网络总体设计... 15

2.1 网络总体设计.... 15

2.1.1 网络总体架构设计.... 15

2.1.2 网络总体流量设计.... 15

2.2 子网规划.... 16

2.2.1 生产网规划.... 16

2.2.2 安防网规划.... 17

2.2.3 办公网规划.... 17

2.2.4 外联网规划.... 17

3 网元信息和命名规划... 19

3.1 网络设备介绍.... 19

3.1.1 S7703.. 19

3.1.2 S5720.. 20

3.1.3 USG6370.. 20

3.1.4 AR550.. 21

3.2 命名规则及实例.... 21

3.2.1 线缆命名规则.... 21

3.2.2 线缆标签示例.... 22

3.2.3 设备命名规则.... 23

3.2.4 设备命名示例.... 25

4 IP、VLAN总体规划... 26

4.1 IP地址总体规划.... 26

4.1.1 IP地址规划基本原则.... 26

4.1.2 IP地址整体规划.... 26

4.1.3 IP地址分配规则.... 27

4.2 VLAN总体设计.... 28

4.2.1 VLAN整体规划.... 28

4.2.2 Vlan分配规则.... 29

4.3网络设备位置、端口和具体IP地址设计.... 30

5 二层特性总体规划... 34

5.1 概述.... 34

5.2 Eth-trunk(链路捆绑技术)规划.... 34

5.3 MSTP规划.... 36

5.3.1 MSTP设计原则.... 36

5.3.2 MSTP参数设计.... 36

5.3.3 MSTP配置步骤.... 37

5.4 广播风暴抑制规划.... 38

5.5 MAC漂移检测规划.... 39

6 路由总体规划... 42

6.1 静态路由规划.... 42

7 可靠性总体规划... 43

7.1 概述.... 43

7.2 设备可靠性规划.... 43

7.2.1 网络设备高可靠性.... 43

7.2.2 网络设备模块可靠性.... 45

7.3 链路可靠性规划.... 45

7.3.1 DLDP.. 45

8 网络设备安全总体规划... 47

8.1 整体网络安全架构设计.... 47

8.2 安全域划分原则.... 47

8.3 防火墙部署设计.... 48

8.4 防入侵部署设计.... 48

8.5 防病毒系统设计.... 48

8.6 上网行为管理设计.... 49

8.6.1 设计思路.... 49

8.7 网络设备安全设计.... 51

8.7.1 设备的访问控制.... 51

8.7.2 Console/Meth控制端口.... 51

8.7.3 系统日志.... 52

8.7.4 密码设置.... 52

9 网络交换系统深化设计清单... 53

9.1 网络交换系统深化设计清单.... 53

1 项目概述

1.1 项目背景

XX业是信息密集型产业,其信息技术性不仅体现在航空公司的营销及航空公司为旅客提供的服务质量方面,还体现在XX如何顺利保障飞机流、旅客流、行李流、货物流、资金流等方面,以使得XX充分发挥生产保障和行政管控的能力,进一步为旅客、航空公司、货主提供更有效、便捷和高品质的服务。

1.1.1项目概况

按满足2025年旅客吞吐量90万人次、货邮吞吐量3000吨的目标,XX按4C标准设计。新建一条长2600米、宽45米的跑道和一条长183米、宽18米的垂直联络道;建设13000平方米的XX、7个站坪机位及停车场、货运仓库、XX办公综合楼、900平方米航管楼、4560平方米消防救援综合楼、1座塔台以及安检、门卫值班室等生产生活配套设施;配套建设通信、导航、气象、供电、供水、供油、污水垃圾处理等辅助设施

1.2 项目范围

根据部署位置不同,XX整个网络由航站区、货运区、公共区网络组成。按功能区分,子网划分为:生产网、安防网、办公网等,以及其它系统内实施的网络同上述网络的互联,安防网、生产网与XX其他区域内网络的互联。

1.3 深化设计内容

1.3.1 系统结构深化设计

1.深化的系统结构图、系统连接图、设备布置图、和机柜内设备安装大样图等;

2.网络交换系统深化清单等;;

3.进行模拟测试认证等

4.与其它相关工程的界面和有关资料数据;

1.3.2 设备配置深化设计

承包人根据网络系统深化设计方案,对网络设备的各端口和路由表进行详细的配置说明,包括:

1.系统物理层、数据链路层、IP层的配置方案(包括核心设备的路由表、路由域设计);

2.基于用户需求并且合理的用户IP地址分配、VLAN划分配置方案;

3.系统多播、流量控制、运行策略的配置说明;

4.统一管理和分配全网(包括但不限于本项目中的网络系统、行李系统、安检系统、泊位系统等)IP地址资源。

1.4 项目需求分析

本此项目的需求调研分析阶段已经涵盖在了整个深化设计的项目中。本节对生产网、安防网、办公网等主要业务系统功能进行描述(依据招标文件、投标文件、设计图纸、需求调研等)

1.4.1 生产网业务需求分析

生产网是XX地面信息系统的网络承载平台,是XX最重要的网络。主要承载的业务系统有:信息集成系统、航班信息显示系统、公共广播系统、泊位引导系统、内部通信系统、安检信息管理系统、安检系统、行李系统等。

根据与各业务系统的调研交流,方便对各业务系统做安全管控,每个系统的服务器均单独划分一个网段,各业务系统终端单独划分独立网段。

信息集成系统与其他系统之间业务数据交换,其中包括本系统与航显、实现航班及资源信息发布等;本系统为广播系统提供航班数据,实现航班信息广播发布;本系统与泊位引导系统进行业务数据传输,实现飞机停靠时间传输;生产运营系统还通过外联专线与航空公司及空管进行数据交互,实现接收航班计划、气象、场间雷达,并将XX生产数据传递给航空公司及空管

航班信息显示系统主要用于为旅客和工作人员提供进出港航班动态信息,引导出港旅客办理乘机、中转、候机、登机手续,引导到港旅客提取行李和帮助接送旅客的人员获得相关航班信息等。该系统能够为XX的旅客服务提供自动化手段,保证XX正常的生产运营秩序,提高对旅客和中外航空公司的服务质量和提升XX形象。

航显系统通过分布在XX的显示终端设备,提供:值机手续办理引导、候机引导、登机引导、到港航班行李提取引导、离港航班与到港航班实时动态信息、向工作人员提供进港航班的行李输送带的分配信息、根据需要显示气象信息、与航空公司业务结合,显示航空公司要求的自由文本信息(包括:寻人、航班特殊通知)、广告服务支持等。

公共广播系统独立成网,公共广播网核心交换机挂接在生产网子网的核心交换机上。公共广播系统用于在XX内通过音频设备广播航班信息等。

公共广播网采用了CobraNet/Madi数字音频技术,CobraNet是一种综合硬件、软件和通信协议为一体的网络音频实时传技术,利用成熟的以太网技术传输和分配实时、非压缩的数字音频信号。

泊位引导系统作用:引导飞机自动泊位系统,通过生产运行平台实现与生产运营系统数据交换。

内部通信系统是一个集计算机技术、Internet技术、CTI技术、IVR技术、数据库技术、CRM技术、PBX技术、网络技术等为一体的集成系统。它将XX内分属各职能部门为客户提供的服务,集中在一个统一的对外联系“窗口”,通过采用统一的标准服务界面,为用户提供系统化、智能化、个性化、人性化的服务。

安检信息管理系统是集旅客身份验证、肖像采集、安检过程录像、行李X光照片采集、行李开包录像、安检人员管理和布控信息管理于一体的综合性安检信息管理系统。系统通过计算机网络,综合利用XX现有安全检查设施和信息资源,提高安检质量,规范安检管理,最大限度的确保空防安全。

系统由主服务器、接口服务器、管理工作站、阅读器、摄像头等设备组成。

系统功能主要包括:旅客值机信息获取、交运行李图像采集;旅客照片采集、布控、航意险检查、行李状态提示等。安检信息管理系统内服务器通过生产运行平台实现与离港系统、行李系统进行数据交换;并上传安检信息给数据管理区经分系统。

安检系统用于安检口对旅客人身和随身行李以及旅客在值机柜台、大件行李柜台、中转行李柜台等地方交运的行李进行安全检查,完成对手提行李、交运行李和人身的安全检查,以及各类工作人员的随身携带物品,进入XX隔离区的货物进行安全检查。

生产网各业务系统服务器及用户数量统计如下:

1.4.2 离港网业务需求分析

离港网主要为离港系统(自助值机、DCS、行李再确认系统)提供网络服务。离港控制系统(DCS)是航空公司及其代理、XX地面服务人员在处理旅客登机过程中,为旅客办理值机手续的面向用户的实时的计算机事务处理系统。

离港系统由自助值机服务器、报文下载服务器、集成接口服务器、离港应用服务器等和离港值机、登机、配载、控制工作站等组成。其中各服务器放置在ITC离港机房内,值机、登机工作站分别位于XX值机柜台和登机口柜台,配载、控制工作站位于XX各航空公司配载室等。

离港系统与行李分拣、行李再确认系统、安检信息系统、地面信息系、航班信息显示系统等有系统接口。

离港网主要业务服务器包括:

l 离港系统的相关服务器部署在生产网的核心交换机上通过vlan的形式隔离。

用户数量统计

根据布线信息点位统计,离港网:

l 值机点位13个;

l 登机点位5个;

1.4.3 办公网需求分析

办公网目前无业务系主要上外网。并且作为办公网络承载平台,未来可能会有OA等其他业务系统部署在办公网。

OA系统是XX办公网的主要业务系统,它实现XX办公、管理手段的现代化,为XX领导决策提供服务。

办公网有Internet接口。

用户数量统计

根据布线信息点位统计办公网用户点位100个。

1、 办公、管理等业务隔离(vlan隔离)需求分析

2、 用户终端数量统计

1.4.4 安防网业务需求分析

安防网主要包括监控系统、门禁系统、手动报警系统等。安防系统主要是视频监控类业务应用,实现安防视频流的采集、存储和管理。XX安防系统包括数字网络视频监控系统(CCTV)、门禁系统、报警系统三个子系统,以及承载这三个系统运行的网络(称安防网或安全信息网),安防系统采用独立的信息传输网络。XX安防网络系统为1000M/100M兆到终端的星形网络拓扑。网络协议采用国际通用标准TCP/IP。网络中每一台二级交换机都分别与两台核心交换机上连,做到了链路冗余。两台核心交换机之间通过Trunk模式链接, 速度达到20G, 应能使负载均衡和互为热备份。安防系统以CCTV为主,集成门禁系统、报警系统,最终实现CCTV、门禁系统、报警系统的联动。CCTV、门禁系统、报警系统可以独立工作,任何一个系统的故障不影响其他系统的正常运行。安防系统应与消防报警系统联动,接收消防报警系统的报警信号并按规则进行处理。拾音器应能接入安防系统,进行现场声音的录制、存储、检索和回放。

安防网与安检信息网有数据接口。

用户数量统计

根据布线信息点位统计,安防网信息点位355个。

安防监控系统相对于其他系统对网络系统有特殊的要求。监控中的视频流对网络带宽的占用比较大,而且是长期的、持续的占用,视频流在网络上的传播通常采用流媒体转发方式。

1.4.5 数据管理区业务需求分析

数据管理区网络对机房网络设备(交换机、防火墙等)、服务器设备(X86服务器等)进行集中化整合管理,能够根据业务需要对网络资源进行便捷的管理,能够根据需要快速的创建链路、分配带宽,以及动态的回收网络资源。

和其他各个域都存在访问关系,是数据交换平台,备份平台,运维管理等功能的聚合区域。

1.4.6 外联网互联网业务分析

外联网主要为连接航空公司,空管等第三方单位外联使用, 通过防火墙做地址映射,分配统一规划的地址段。

互联网(暂无)主要为XX门户网站、贵宾服务、自助服务、商业及移动服务体验等提供Internet网络接入服务, 另外作为其他域服务器访问部分受限的第三方单位的服务器公网地址的出口。

2 网络总体设计

2.1 网络总体设计

2.1.1 网络总体架构设计

XX网络整体拓扑图如下:

XX信息主机房作为XX以后的数据中心机房,主要由XX核心交换机、各子网络(生产网、安防网、办公网)核心交换机,承担着全场网络数据交换的重任。

生产网和安防网拥有独立的网络核心、接入设备,通过对接防火墙进行数据交互,从而形成全网的互连互通。 办公网独立组网。

2.1.2 网络总体流量设计

网络中的数据流量主要有三种类型的流量,适用不同的访问规则。

域内访问,原则上域内各系统服务器之间可以互相访问,

域间访问,安防网和生产网互通,数据管理区与各域之间全部互通,其它域之间不做互通。

个别外联单位互联网公网地址访问通过互联网明细路由访问。

2.2 子网规划

2.2.1 生产网规划

生产网为离港系统、安检信息系统、内通系统、广播系统、航显系统、信息集成等生产业务提供网络服务。

主要承载业务:

Ø 生产运行系统

Ø 泊位引导系统

Ø 内部通信系统

Ø 航班信息显示系统

Ø 公共广播系统

Ø 安检信息管理系统

Ø 离港系统

Ø 广播系统

Ø 行李系统

2.2.2 安防网规划

安防网为安防监控系统提供网络服务。安防监控系统相对于其他系统对网络系统有特殊的要求。监控中的视频流对网络带宽的占用比较大,而且是长期的、持续的占用,视频流在网络上的传播通常采用流媒体服务器转发的方式,因此将安防系统独立组网。

主要承载业务:

Ø 安全管理平台系统

Ø 监控系统

Ø 门禁系统

Ø 报警系统

2.2.3 办公网规划

办公网为人力资源(暂无)、上网等服务,以提高办公效率和后勤保障效率。

主要承载业务:

Ø 人力资源系统

Ø 为提供XX内部员工提供上网接入服务。

2.2.4 外联网规划

主要为空管、航油、航食、地服等外部单位提供网络专线接入服务,目前只有空管接入。

同时生产、安防、对外服务等与航空公司、公安、物流企业等外部单位存在互访关系。

通过防火墙做地址映射,分配统一规划的地址段。(防火墙采用路由模式),通过静态路由和外联网互通。

3 网元信息和命名规则

3.1 网络设备介绍

XX网络系统工程项目涉及到的设备包括HUAWEI 7703,HUAWEI S5720,HUAWEI USG6370, HUAWEI AR550。

3.1.1 S7703

S7700系列交换机可提供有线无线深度融合、统一用户管理、网络质量感知iPCA、完善的H-QoS策略、一体化安全等智能业务优化特性,支持100G端口,支持SVF2.0超级虚拟交换机,具备超强扩展性和可靠性。

通过部署内置华为首款以太网络处理器ENP的敏捷单板,S7700可以升级为敏捷交换机,客户可以享有敏捷交换机带来的创新体验。

本次采购的是S7703设备。

如下图所示,S7703设备外观(正面/背面):

3.1.2 S5720

S5720-SI下一代标准型千兆以太网交换机系列(以下简称S5720-SI),是华为公司全新研发的三层千兆以太网交换机,提供灵活的全千兆接入以及高性价比的固定千兆和万兆上行端口。该系列交换机基于新一代高性能硬件和华为公司统一的VRP(Versatile Routing Platform)软件平台,具有增强的三层特性,简易的运行维护,智能iStack堆叠,灵活的以太组网,可扩展支持MACSec,成熟的IPv6特性等特点,广泛应用于企业园区接入和汇聚、数据中心接入等多种应用场景。

本次采购的是S5720S-28P-PWR-LI-AC。

3.1.3 USG6370

华为USG6300系列盒式下一代防火墙是面向中小企业和连锁机构推出的企业级下一代防火墙。

USG6300系列支持业界最多的6300+应用识别,集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等多种安全功能于一身,为企业提供全面、简单、高效的下一代网络安全防护。

通过ICSA实验室Firewall、IPS、IPSec、SSL VPN、AV认证,通过CC EAL4+认证,获得NSS实验室推荐级评价。NAT、VPN、IPS、Anti-DDoS等传统特性,和业务感知、虚拟化、IPv6安全等增强特性,多业务合一,一台设备替换多台设备,有效降低TCO, 支持云管理,统一运维简化管理 , 联动云端沙箱防御高级威胁,保护信息资产不泄漏。

本次采购的是USG6370。

3.1.4 AR550

AR550系列敏捷网关是专为严酷环境设计的工业交换设备,可以满足在恶劣的温度、湿度、电磁干扰等环境下的网络通信需求。AR550系列集成路由、交换和VPN等功能于一体,具有强大的应用扩展能力,可广泛应用于各行业如电力、交通等工业自动化领域。

本次采购的是华为AR550-8FE-D-H。

3.2 命名规则及实例

3.2.1 线缆命名规则

网络设备线缆标签采用统一的书写规则,保证线缆标签的含义明确,简单易读,网络设备线缆标签按照如下两种情况制定规则:

Ø 网络设备端线缆标签

络设备端线缆标签名包含3个部分,分别是本端、对端、目的端

l 本端表示本端网络设备名称和对应接口,格式为“网络设备命名-设备端口”

l 对端表示光纤对端所连接的网络设备名称和相应端口号或综合布线资源编号

l 目的端表示本端设备最终连接的设备名称和端口号,格式为“网络设备命名-设备端口”

标签格式分为三行,书写格式如下:

Ø 配线架端线缆标签

网络设备端线缆标签名包含2个部分,分别是本端、对端

l 本端表示本端所连接的综合布线资源编号

l 对端表示光纤对端所连接的网络设备名称和相应端口号或综合布线资源编号

标签格式分为两行,书写格式如下:

本端 本端所连接的综合布线资源编号

对端 对端所连接的网络设备名称和相应端口号或综合布线资源编号

3.2.2 线缆标签示例

示例1:RD01弱电小间 安防网汇聚接入交换机-01端口G1/0/1连接配线架

图 RD02安防网线缆标签图例

如上图所示,位于RD02机房内的光纤跳线两端连接核心交换机S7703的端口和配线架端口。下面就RD01机房内的网络设备端标签和配线架端标签进行说明。

RD02 汇聚交换机S5720-01端口G/1/0/27线缆标签

对应的配线架端线缆标签

3.2.3 设备命名规则

根据HUAWEI网络规划设计经验以及XX网络设备命名需求,对于整体网络设备命名制定如下规则:

设备命名格式:

设备命名分为4个字段,分别对应设备所处区域、物理安装位置(配线间)、网络系统-网络类型-设备型号-唯一标识,字段间用“-”分割,如下图:

命名方式:字段一_字段二_字段三_字段四_字段五

范例: JC-RD01-CS-S7703-01

字段描述

字段1: 网络单元区域

表征设备所处网络信息,具体代码定义如下:

网络单元 字段代码定义(2-3字位)

生产网 SC

安防网 AF

办公网 OA

字段2: 网络单元所处的区域名称

表征设备所处区域位置,具体代码定义如下:

弱电间 字段代码定义

航站区 T1

货运区 HY

公共区 GG

字段3: 网络单元所处配线间

表征设备物理位置,即设备弱电间编号,具体代码定义如下:

弱电间 字段代码定义

弱电小间01(主机房) RD01

弱电小间02 RD02

弱电小间03 RD03

指挥中心 AOC

字段4: 设备产商+设备型号+序号

表征设备型号,设备型号代码设计原则采用厂商的产品型号定义简写,具体代码定义如下:

设备类型 字段代码定义(8字位)

HUAWEI S7703交换机 HW-S7703-01

HUAWEI S5700交换机(24口) HW-S5720-01

HUAWEI AR550交换机(24口) HUAWEI- AR550-01

HUAWEI USG6370防火墙 HW-USG6370-01

3.2.4 设备命名示例

例如:

生产网核心交换机第1台 JC-RD01-CS-S7703-01

生产网接入交换机第1台 JC-RD01-CS-S5720-01

4 IP、VLAN总体规划

4.1 IP地址总体规划

4.1.1 IP地址规划基本原则

IP地址规划原则需要考虑规范性、标准性、可扩展性、连续性和灵活性,在进行IP地址规划设计时,必须考虑如下基本原则:

l 规范性:网络地址空间划分和分配是基于对全局的应用部署、数据流向和用户访问的全面理解,结合业界最佳实践对全局规划、分配、使用IP地址具有指导和强制作用;

l 标准性:IP地址的分配空间需要符合RFC1918的标准规定;

l 可扩展性:网络地址在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速的业务发展对基础架构的要求;

l 连续性:在网络规模扩展时能保证地址汇总所需的连续性。网络地址空间划分采用分层、分级结构化方法,按职能划分连续地址,易于进行路由汇总;

l 灵活性:地址分配应具有灵活性,借助可变长子网掩码技术,支持多种路由策略的优化和充分利用地址空间

从国际IP地址规划标准(IEEE RFC1918)来看,国际标准私有网络地址分配的规划如下:

172.16.0.0 - 172.16.255.255

4.1.2 IP地址整体规划

考虑到XX IP地址的现有需求和将来10年内的发展需要,在地址规划方面,采用国际标准(RFC1918)的私有地址段172.16.0.0/16,具体地址空间规划如下:

 

子网 地址段 vlan 备注 总体规划

生产网 172.16.1.0~172.16.50.0 vlan101-150

安防网 172.16.51.0~172.16.100.0 vlan151-100

办公网 172.16.101.0~172.16.110.0 vlan101-110

4.1.3 IP地址分配规则

l 服务器/终端地址段中,服务器和终端地址从低到高,从.1开始分配

服务器:取各子网第一个C,例如生产网集成系统 172.16.1.0/24, vlan取前2个,101-102

终端:从第三个C开始,vlan从第3个vlan开始,103-106

l 设备互联地址:

网络设备互连采用单独的地址段:172.16.254.0/24

设备互联地址使用30位掩码,地址从低到高分配;

同类设备互连,编号小的设备取奇地址,编号大的设备取偶地址;

不同层次的设备互连,靠近网络核心的设备选取奇地址,远离网络核心的设备选取偶地址;

例如:

安防网与防火墙互联采用172.16.254.0/30

生产网与防火墙互联采用172.16.254.4/30

安防网与防火墙互联采用172.16.254.8/30

l 网络设备管理地址,从低到高,从.1开始分配

例如:

生产网交换机采用172.16.251.0/24

安防网交换机采用172.16.252.0/24

办公网交换机采用172.16.253.0/24

4.2 VLAN总体设计

4.2.1 VLAN整体规划

考虑到XX的网络架构设计,从统一规划角度出发,将按照子网来规划,各子网使用不同的Vlan ID,而设备互联地址之间Vlan使用vlan254,如下表:

 注:因为交换机通常的Vlan缺省为Vlan 1,如果使用Vlan 1,那么当1台缺省配置的交换机接入网络时,可能会对现有网络中的Vlan 1的Spanning Tree带来震荡,特别是在大范围使用Vlan 1,且处于同一Spanning Tree时,这种影响将会更大,因此将使用vlan 250-253作为管理vlan,以屏蔽Vlan 1带来的不必要的影响。

4.2.2 Vlan分配规则

在各网的vlan id范围中,前5个Vlan id作为服务器接入Vlan,且使用顺序从小到大使用,例如,集成系统中,Vlan 101-105作为服务器接入Vlan;

l 每段vlan id范围中,每段Vlan id范围中,前5个Vlan id作为服务器接入Vlan,且使用顺序从小到大使用,例如,集成系统中,Vlan 101-105作为服务器接入Vlan;

l 每段Vlan id范围中,剩余的Vlan id作为客户端(终端)接入Vlan,且使用顺序从小到大使用,例如,集成系统中,Vlan 106-108作为客户端(终端)接入Vlan;

l Vlan 254 作为设备互连用途Vlan,且使用顺序从大到小使用,各子网可复用该vlan范围

l Vlan 250-253,预留作为设备管理用途Vlan;

4.3网络设备位置、端口和具体IP地址设计

5 二层特性总体规划

5.1 概述

本章节详细介绍了整网的二层特性总体规划,从Eth-Trunk链路捆绑技术,MSTP破环技术,广播风暴抑制技术,MAC地址漂移检测等方面来描述。

5.2 Eth-trunk(链路捆绑技术)规划

随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出越来越高的要求。在传统技术中,常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出高额的费用,而且不够灵活。

ETH-TRUNK可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,达到增加链路带宽的目的。在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效的提高设备之间链路的可靠性。

ETH-TRUNK主要有以下三个优势:

l 增加带宽

ETH-TRUNK的最大带宽可以达到各成员接口带宽之和。

l 提高可靠性

当某条活动链路出现故障时,流量可以切换到其他可用的成员链路上,从而提高ETH-TRUNK的可靠性。

l 负载分担

在一个链路聚合组内,可以实现在各成员活动链路上的负载分担。

如图所示,DeviceA与DeviceB之间通过三条以太网物理链路相连,将这三条链路捆绑在一起,就成为了一条逻辑链路,这条逻辑链路的最大带宽等于原先三条以太网物理链路的带宽总和,从而达到了增加链路带宽的目的;同时,这三条以太网物理链路相互备份,有效地提高了链路的可靠性。

说明:

Eth-Trunk链路两端相连的物理接口的数量、速率、双工方式、jumbo、流控方式必须一致。

图Eth-Trunk示意图

ETH-TRUNK可以作为普通的以太网接口来使用,实现各种路由协议以及其它业务。与普通以太网接口的差别在于:转发的时候链路聚合组需要从成员接口中选择一个或多个接口来进行数据转发。

配置思路及举例:

采用如下的思路配置负载分担链路聚合:

1、 创建Eth-Trunk 接口并加入成员接口(GigabitEthernet 0/0/1 和GigabitEthernet 0/0/2),实现增加链路带宽。

[Huawei]interface Eth-Trunk 1

[Huawei-Eth-Trunk1]trunkport GigabitEthernet 0/0/1 to 0/0/2

Info: This operation may take a few seconds. Please wait for a moment...

说明:

接口缺省都加入了VLAN1,因此加入Eth-Trunk前建议先将接口从VLAN1中退出或将接口Shutdown,避免出现广播风暴。

[Huawei-Eth-Trunk1]undo port trunk allow-pass vlan 1

2、 创建VLAN并将接口加入VLAN,本例以配置trunk接口为例

[Huawei-Eth-Trunk1] port trunk allow-pass vlan 2 to 4094

3、 配置Eth-Trunk模式为LACP模式,增加可靠性。

[Huawei-Eth-Trunk1] mode lacp

5.3 MSTP规划

5.3.1 MSTP设计原则

XX为二层网络在满足条件的情况下,尽量使用L3连接,原则上只在接入层和层之间,并且所有交换广播域都被限制在一个功能区内,以控制生成树(Spanning Tree)规模,降低收敛时间。

5.3.2 MSTP参数设计

根桥(Bridge)选择:选取汇聚交换机中VRRP角色中的主设备作为MSTP的根桥;

阻塞(Block port)点选择:选择在接入交换机与汇聚交换机中VRRP备设备相连接的端口上;

如下图所示:

5.3.3 MSTP配置步骤

采用以下思路配置MSTP功能:

1. 在处于环形网络中的交换设备上配置MSTP基本功能,包括:

a) 配置环网中的设备生成树协议工作在MSTP模式。

[SwitchA]stp mode mstp

b) 配置根桥设备。

[SwitchA]stp root primary

c) 配置端口的路径开销值,实现将该端口阻塞。

[SwitchC-GigabitEthernet0/0/3]stp cost

d) 使能MSTP,实现破除环路。

[SwitchA] stp enable

说明:

与PC机相连的端口不用参与MSTP计算,配置为边缘端口,并配置BPDU过滤。

2. 配置保护功能,实现对设备或链路的保护。例如:在根桥设备的指定端口配置根保护功能。

[SwitchA-GigabitEthernet1/0/1] stp root-protection

3. 由于边缘设备无法参与STP计算,回应STP报文,因此存在慢收敛。网络边缘连接用户终端或者服务器的交换机端口,可以通过如下方法规避慢收敛:

端口下配置stp disable去使能STP协议,使端口一直保持在转发状态。

[SwitchC-GigabitEthernet0/0/24] stp disable

端口下配置stp edge-port enable指定为边缘端口,端口默认保持在转发状态。并且全局配置stp bpdu-protection,一旦端口接受到BPDU报文后,启动保护shutdown端口。

[SwitchC-GigabitEthernet0/0/24] stp edge-port enable

[SwitchC-GigabitEthernet0/0/24] stp bpdu-protection

注意:边缘保护ShutDown的端口,需要手工恢复。

5.4 广播风暴抑制规划

流量抑制是一种用于控制广播、组播以及未知单播报文,防止这三类报文引起广播风暴的安全技术,其主要通过配置阈值来限制流量。

当设备某个二层以太接口收到广播、组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。引入流量抑制特性,可以控制这三类报文流量,防范广播风暴。

流量抑制特性按以下三种形式来限制广播、组播以及未知单播报文产生的广播风暴。

l 在接口视图下,入方向上,设备支持分别对三类报文按百分比、包速率和比特速率进行流量抑制。

设备监控接口下的三类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。

l 在接口视图下,出方向上,设备支持对三类报文的阻塞(Block)。

l 在VLAN视图下,设备支持分别对三类报文按比特速率进行流量抑制。

设备监控同一VLAN内三类报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。

图 流量抑制典型应用组网图

如图所示,

在二层网络内的设备上,可以配置VLAN内的流量抑制来限制VLAN内的广播、组播和未知单播报文。

SwitchA作为二层网络到路由器的衔接点,当需要限制二层网络转发的来自用户的广播、组播和未知单播报文时,可以通过在SwitchA的二层以太接口GE1/0/1上配置流量抑制功能来实现。

在接口GE1/0/1出方向上,可以采取阻塞广播、组播和未知单播报文的方式,保证二层网络内用户和其他网络设备的安全性。

配置思路:

通过在接入终端的接口视图下配置流量抑制功能,实现限制二层网络转发的广播、组播或者未知单播报文产生广播风暴。

[SwitchA-GigabitEthernet1/0/1] broadcast-suppression cir 100

5.5 MAC漂移检测规划

MAC地址漂移即设备上一个接口学习到的MAC地址在同一VLAN中另一个接口上也学习到,后学习到的MAC地址表项覆盖原来的表项。正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中出现环路,形成广播风暴。处于风暴影响中的每个交换机节点都有MAC地址漂移的现象。因此,可以利用该现象来监控网络中是否成环。

MAC地址防漂移

网络中产生环路或非法用户进行网络攻击都会造成MAC地址发生漂移,导致MAC地址不稳定。

可以通过两种方式来避免这种情况:

提高接口MAC地址学习优先级。当不同接口学到相同的MAC地址表项时,高优先级接口学到的MAC地址表项可以覆盖低优先级接口学到的MAC地址表项,防止MAC地址在接口间发生漂移。

不允许相同优先级的接口发生MAC地址表项覆盖。当伪造网络设备所连接口的优先级与安全的网络设备相同时,后学习到的伪造网络设备的MAC地址表项不会覆盖之前正确的表项。但如果网络设备下电,此时会学习到伪造网络设备的MAC地址,当网络设备再次上电时将无法学习到正确的MAC地址。

MAC地址漂移检测

MAC地址漂移检测是交换机对MAC地址漂移现象进行检测的功能。MAC地址漂移检测是利用MAC地址学习时接口跳变实现的,因此能提供的信息与MAC地址学习相关,包括MAC地址、VLAN,以及跳变的接口等诊断信息。其中跳变的接口即为可能出现环路的接口。网络管理员根据网络中每台设备上出现的跳变接口,以及网络拓扑,判断环路的源头。

图MAC地址漂移检测组网图

如图2网络中,若SwitchC和SwitchD之间误接网线,则SwitchB、SwitchC、SwitchD之间形成环路。当SwitchA上Port1接口从网络中收到一个广播报文后转发给SwitchB,该报文经过环路,会被SwitchA上Port2接口收到。在接口Port2上配置MAC地址漂移检测,此时SwitchA会感知到MAC地址学习接口跳变的现象。若连续出现此现象,则在SwitchA上可以判断出现了MAC地址漂移。

配置思路

采用如下思路配置MAC地址漂移检测功能:

开启MAC地址漂移检测功能(mac-address flapping detection),实现检测网络中是否存在MAC地址漂移;

配置MAC地址漂移表项的老化时间(mac-address flapping aging-time 500);

配置接口MAC地址漂移后的处理动作,实现破除环路(mac-address flapping action error-down);

配置被Shutdown接口的自动恢复功能、自动恢复时间(error-down auto-recovery cause mac-address-flapping interval 500)。

6 路由总体规划

6.1 静态路由规划

本项目中在各网络与外联网,出口互联等场景下需要使用静态路由。

另外,在静态路由实现路由冗余方面,需要从配置上实现。配置两条静态路,通过不同的COST值来保证链路的主备,通过配置一个比主路由的COST更大的静态路由,保证网络中主路由失效的情况下,提供备份路由。本项目中,部分网络设计中,需要通过配置主备静态路由实现静态路由的冗余。

配置举例:

IP route-static x.x.x.x (目的地址) x.x.x.x(掩码)Vlanif N x.x.x.x(下一跳地址)

7 可靠性总体规划

7.1 概述

本章节详细介绍了整网的可靠性总体规划,从设备数量级可靠性,设备模块级可靠性,链路级可靠性,路由级可靠性等方面来描述。

7.2 设备可靠性规划

7.2.1 网络设备高可靠性

虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)通过把几台路由设备联合组成一台虚拟的路由设备,实现网关设备的主备备份,保障网络的可靠通信。如下图所示,SwitchA和SwitchB组成一个VRRP备份组,正常情况下,SwitchA为Master设备并承担业务转发任务,SwitchB为Backup设备且不承担业务转发。如果SwitchA发生故障,SwitchB会成为新的Master设备,继续为主机转发数据,实现网关备份的功能。

操作步骤:

3 #在SwitchA上创建VRRP备份组1,配置SwitchA在该备份组中的优先级为120,并配置抢占时间为20秒。

4 [SwitchA] interface vlanif 100

5 [SwitchA-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111

6 [SwitchA-Vlanif100] vrrp vrid 1 priority 120

7 [SwitchA-Vlanif100] vrrp vrid 1 preempt-mode timer delay 20 [SwitchA-Vlanif100] quit

8 #在SwitchB上创建VRRP备份组1,其在该备份组中的优先级为缺省值100。

9 [SwitchB] interface vlanif 100

10 [SwitchB-Vlanif100] vrrp vrid 1 virtual-ip 10.1.1.111

11 [SwitchB-Vlanif100] quit

图VRRP示意图

7.2.2 网络设备模块可靠性

S7703设备所有关键器件,如主控、电源、风扇等均采用冗余设计,有效保证网络稳定运行。 如果其中一个主控板(或电源、风扇)在出现故障时,冗余的主控板(或电源、风扇)继续工作,保证设备的管理单元和业务单元不受影响,继续正常的转发报文。

7.3 链路可靠性规划

7.3.1 DLDP

在实际组网中有时会出现一种特殊的现象——单向链路。所谓单向链路是指本端设备可以通过链路层收到对端设备发送的报文,但对端设备不能收到本端设备的报文。单向链路会引起一系列问题,比如生成树拓扑环路等。

设备连接检测协议DLDP(Device Link Detection Protocol),用于监控光纤或铜质双绞线的链路状态。当发现单向链路后,会根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。

配置思路及举例:

1. 接口下使能DLDP功能,实现SwitchA和SwitchB之间单向链路的检测。

2. 调整DLDP参数,更好的对链路进行检测。

接口使能DLDP功能:

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] dldp enable

在SwitchA上配置发送Advertisement报文的时间间隔为10秒

[SwitchA] dldp interval 10

在SwitchA上配置DelayDown定时器的超时时间为4秒

[SwitchA] dldp delaydown-timer 4

在SwitchA上配置DLDP报文的认证方式simple方式,密码为12345

[SwitchA] dldp authentication-mode simple 12345

对SwitchB重复步骤1~步骤6。

8 网络设备安全总体规划

8.1 整体网络安全架构设计

网络安全架构规划是以安全域划分为基础的。通过安全域的划分,明确各个安全实体所具有的安全级别,对这些安全实体进行整合,制定安全域之间的安全边界。网络安全架构规划以此为基础,接入所有的安全域,并在安全域内和安全边界上部署安全策略。

8.2 安全域划分原则

安全域是一个逻辑范围或区域。同一安全域中的信息资产具有相同或相近的安全属性,如安全级别、安全威胁、安全弱点、风险等。同一安全域内的系统相互信任,如在业务层面存在密切的逻辑关系。通过安全域的划分,能够将业务系统与安全技术有机结合,形成完整的防护体系。这样既可以对同一安全域内的系统进行统一规范的保护,又可以限制系统风险在网内的任意扩散,从而有效控制安全事件和安全风险的传播。

安全域划分一方面要符合国际标准(ISO 13335、ISO 17799、ISO 7498-2、ISO 15408)和行业最佳实践,另一方面要根据网络实际网络环境和业务应用情况来确定。

本设计采用安全域的划分办法,即根据安全等级定义安全域。各安全域本身的威胁级别、保护级别和安全需求相对固定,跨安全域的访问控制要遵循安全域的网间访问控制策略,在同一安全域下的访问,不做安全防护。

安全域划分步骤分两个步骤进行,首先根据网络的功能定位和安全属性定义安全域,然后基于安全域和安全边界,提出合理的安全策略。安全策略包括边界安全架构规划、安全域和安全边界的安全技术建议。

安全域的划分是相对的逻辑划分,须根据实际的逻辑实体进行具体规划,特别是XX网络分为多个不同网络单元,对于不同网络单元有着不同的网络安全域划分,在接下来的章节,将对不同网络单元分别规划安全域和安全边界,并制定相应的安全策略。

8.3 防火墙部署设计

XX内网部分的业务子网如生产网,安防网、办公网、等可能面临着滥权访问,非法访问,僵木蠕等恶意入侵,网络攻击等多种安全威胁,需要功能强大的防火墙、入侵防御及入侵检测系统组成内网安全防护方案,来有效防范像扫描类攻击,畸形包攻击,资源耗尽型攻击,特殊报文控制及非法和滥权访问等威胁。

在边界部署抗拒绝服务攻击系统,防护来自互联网的恶意拒绝服务攻击行为,采用双机模式部署,串联部署在网络边界,确保网络层面的高可用性;

部署防火墙系统,限制区域间的访问,通过源地址、源端口、目的地址、目的端口、接口要素进行策略编制,实现指定地址间的访问,确保网络层的安全。

8.4 防入侵部署设计

本次网络使用的入侵防御设备是华为USG6370,通过开启其功能特性,提升区域的安全性,抵御外来的恶意网络攻击。在本次设计中,开启了入侵防御特性。

入侵防御能够有效防御来自应用层的攻击,例如缓冲区溢出攻击、木马、后门攻击、蠕虫等。IPS是一种安全机制,它通过监控或者分析系统事件,检测入侵,并通过一定的响应方式,实时地中止入侵行为。保护系统或系统资源不受未经授权的访问。

8.5 防病毒系统设计

本次防病毒系统设计属于新增项,在办公网部署一套,在生产网和安防网部署一套,生产网和安防网共用。

图 防病毒系统部署架构

如上图所示,在生产网和办公网内分别部署一套防病毒系统放置在RD01机房,将其连接至本业务网核心交换机,负责病毒定义码的分发和整个网络防病毒软件的管理。所有病毒库代码升级、病毒告警均由主控服务器完成。做到对客户端的统一管理与集中监控,病毒码统一自动、升级,全网扫描和杀毒引擎。在用户终端安装受管理的客户端软件。

防病毒服务器与客户端之间定时(可配置)自动通讯,检查是否有最新的病毒定义码文件,防病毒系统配置是否修改。如果有新的变化,则自动从服务器获取最新配置并修改本机配置。服务器与客户端的扫描可定义一个每周比较空闲的时间段全网扫描一次,清除潜在的安全隐患。可以根据用户需求修改配置,实时监控保护系统在日常运行中不受病毒侵害。

8.6 上网行为管理设计

8.6.1 设计思路

本次上网行为管理设备属于新增项,在办公网部署一套,具体设计思路如下;

l 在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行管理。

l 根据企业组织架构和人员分布,建立用户组树形结构,匹配企业目前组织架构,为后续网络管理奠定基础。

l 通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高企业员工工作效率,为企业带来效益增长。

l 在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失,同时,有效防止不良信息外发行为,避免引起法律纠纷。

l 通过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有效隔离内网,提高内网安全性。

l 由于大规模部署了上网行为管理系统,因此,为了对整体系统实行有效管理,在主机房署一台集中管理设备,对全网的上网行为管理系统进行统一管理,降低管理成本,提高可管理性。

如图所示

8.7 网络设备安全设计

设备的安全配置也是网络安全的一个重要因素,XX目前已有关于安全配置的规范,建议XX网络安全管理人员定期检查、更新网络设备的安全配置,譬如 “口令管理”、“服务管理”、“访问控制和管理”、“攻击防范”和“路由安全”,以保障网络设备的安全。

设备配置安全主要从口令管理、服务管理、访问控制和管理、攻击防范和路由安全这几个方面考虑:

l 口令管理:要求使用加密口令,避免口令被恶意截取;

l 服务管理:强调网络设备关闭不必要的服务,减少被攻击者利用的可能;

l 访问控制和管理:要求对客户端的操作进行严格的认证、授权和审计;

l 攻击防范:增加网络设备防范攻击功能的配置,减少网络设备被恶意攻击的风险;

l 路由安全:关注路由协议认证,消除路由安全问题;

l 设备配置文件备份采用自动化工具,并实现对设备配置文件的变更实现实时监控和非授权变更告警通知;

8.7.1 设备的访问控制

对防火墙和交换机的管理,主要通过设备本身的Console/Meth 控制端口、网络远端 VTY 虚拟终端或网管SNMP 协议。通常Console/Meth 控制端口连接访问服务器作为带外网络管理,VTY 虚拟终端远程访问是访问设备的最常用的方法。华为设备支持的访问协议可以是 Telnet或SSH。通过配置访问控制,做到只有特定的管理员可以配置设备,而其他的管理员只有查看相关配置的权限。

8.7.2 Console/Meth控制端口

加强机房安全控制,避免非法人员接触设备Console/Meth 控制端口,并适当降低Console/Meth控制端口的非活动超时时间,降低被盗用的风险。同时,在Console/Meth口上配置AAA,做到只有特定的知晓用户名/密码的网络管理员才可以调试设备,提高设备安全性。

8.7.3 系统日志

详尽的系统日志能够为XX网络运维和安全审计提供足够的信息,及时发现网络、设备出现的问题并解决。相关系统日志的操作设计包括:

l 开启时间戳服务:为系统日志和Debug信息记录提供详细的时间点;

l 关闭到Console端口的日志输出:防止日志信息冲击Console导致无法使用;

l 增加日志缓冲区空间:默认值是4096字节;

l 网络管理系统中设置日志服务器:将网络设备的日志信息及时备份到日志服务器以备查看。日志服务器需做好安全保护,防止重要的日志信息被盗,服务器的安全不在本案设计范围内。

8.7.4 密码设置

任何情况下不要使用单词、生日数字、专有名词等类似简单密码作为设备的登陆密码,要使用字母数字混合的密码,且务必控制密码知晓范围;

默认情况下配置中所有的密码和其他的认证字符序列都使用MD5哈希算法不可逆的机制进行加密,很难使用软件反向推算出原始密码,具有较大安全性,建议XX网络所有网络设备开启密码加密设置

9 网络交换系统深化设计清单

9.1 网络交换系统深化设计清单