網絡項目設計解決方案模板

安博實訓平臺資源網絡工程路由互換方向XX項目技術提議書安博教育集團4月第一章網絡總體設計1.1網絡總體拓撲1.2網絡層次化設計對網絡進行層次化設計，既保證了網絡的安全，以便人們更好的地去管理網絡，也使得對網絡故障查找和排除的工作變得非常簡樸。多層設計是模塊化的，網絡容量可伴隨即來網絡節(jié)點的增長而不停增大。多層網絡有很大確實定性，多層網絡系統(tǒng)設計最有效運用多種第三層業(yè)務，包括分段，負載分擔和故障恢復等。在分層網絡中運用智能第三層業(yè)務可以大大減少因配置不妥或故障設備引起的一般問題。針對實際狀況我們可以采用三層構造模型。三層構造模型劃分為三個層次，即關鍵層，分布層，接入層。每個層次完畢不一樣的功能。關鍵層：關鍵層作為整個網絡的系統(tǒng)的關鍵，其重要功能是高速，可靠的進行數據互換。分布層：分布層重要進行接入層的數據流量匯聚，并對數據流量進行訪問控制。包括訪問控制列表，vlan路由等等。接入層：接入層重要提供最終顧客接入網絡的途徑。重要是進行vlan的劃分與分布層的連接等等。1.3關鍵層設計關鍵互換區(qū)的作用是盡快的提供所有的區(qū)域間的數據互換。在關鍵層我們采用兩臺CISCO2811-HSEC/K9系列路由器(單價1.64萬)，CISCO2811-HSEC/K9系列路由器"集成化安全處理方案采用了PIX、IDS傳感器和VPN集中器技術，將強大的CiscoIOS功能和業(yè)界領先的LAN/WAN連接與世界一流的安全功能匯集于一身?！斑\用既有設施”--運用既有網絡基礎設施，在路由器上通過CiscoIOS支持全新安全特性，無需布署額外的硬件“在最需要的地方布署安全特性”--為在網絡任意地點采用防火墻、IPS和VPN等安全功能提供了靈活性,從而最大程度地發(fā)揮了安全優(yōu)勢“保護您的網關”--在網絡所有的入點布署最佳安全功能“節(jié)省時間和資金”--減少了設備數量，減少了培訓和管理成本“保護您的基礎設施”--保護了路由器，可以防御直接針對網絡基礎設施的襲擊1.4會聚層設計在會聚層我們采用兩臺CISCOWS-C3750G-12S-S系列互換機（單價2.66萬），ISCOWS-C3750G-12S-S系列互換機是一種創(chuàng)新的產品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提高了堆疊式互換機在局域網中的工作效率。這個產品系列采用了最新的思科StackWise智能堆疊技術，不僅實現高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立互換機在堆疊時集成在一起，便于顧客建立一種統(tǒng)一、高度靈活的互換系統(tǒng)--就仿佛是一整臺互換機同樣。這代表了堆疊式互換機新的工業(yè)技術水平和原則。

3750系列最多可以將9個互換機堆疊在一起，構成一種統(tǒng)一的邏輯單元，其中總共包括468個以太網10/100端口或者252個以太網10/100/1000端口。各個10/100和10/100/1000單元可以根據網絡的需要任意組合。

3750系列可以使用原則多層軟件鏡像（SMI）或者增強多層軟件鏡像（EMI）。SMI功能集包括先進的服務質量（QoS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組愈加豐富的企業(yè)級功能，包括先進的、基于硬件的IP單播和組播路由。1.5接入層設計在接入層我們采用3臺CISCOWS-C2960-24TC-L系列互換機（單價5800元）和3臺CISCOWS-C2960-48TT-L系列互換機（單價7600元）。CISCOWS-C2960-24TC-L系列互換機為多達24個端口提供完全15.4瓦功率的PoE配置在網絡邊緣提供高級訪問控制列表(ACL)和增強安全性等智能化特性支持千兆以太網上行鏈路靈活性的兩用上行鏈路，容許使用銅纜或光纖上行鏈路；其中每個兩用上行端口分別擁有一種10/100/1000以太網端口和一種基于小形可插拔(SFP)的千兆以太網端口，每次有一種端口處在激活狀態(tài)采用高級QoS、速率限制、ACL和組播服務，提供網絡控制和帶寬優(yōu)化根據顧客、端口和MAC地址，并通過多種不一樣的身份驗證措施、數據加密技術和NAC，提供網絡安全性采用CiscoNetworkAssistant軟件，輕松進行網絡配置、升級和故障排除采用Smartports對專業(yè)應用進行自動配置1.6內聯(lián)接入內聯(lián)接入的作用是用于連接總部企業(yè)與分企業(yè)或者企業(yè)內部其他部門，我們推薦使用一臺cisco2800系列路由器通過SDH/DDN線路完畢此項功能。由于北京總部辦公網絡和分企業(yè)機房屬于ambow企業(yè)的內部網絡的一部分，因此可信度很高，接入時重要作用是管理和監(jiān)控，不波及交易。總結以上的原因，內聯(lián)路由器與關鍵互換網絡間不需要配置額外的防火墻。第二章路由設計2.1路由協(xié)議選擇對于路由協(xié)議，目前很好的動態(tài)路由協(xié)議時ospf協(xié)議和EIGRP協(xié)議，不過EIGRP協(xié)議屬于cisco私有協(xié)議，其他廠商設備不支持，考慮到ambow企業(yè)網絡的擴展性，公開性，投資的保護等原因，我們設計采用ospf路由協(xié)議和靜態(tài)路由相結合的路由方式。OSPF協(xié)議中，首先每個路由發(fā)送HOLLO包，與其他路由器建立鄰居關系。然后每臺路由器進行LSA泛洪，并獲得相似版本的LSA形成形同的LSDB（鏈路狀態(tài)數據庫）。最終以自己為跟通過SPF算法計算出抵達每一種目的地的最優(yōu)途徑，然后添加到路由表。2.2路由規(guī)劃拓撲圖Area02.2IP地址規(guī)劃IP地址的規(guī)劃在網絡設計中的作用舉足輕重，直接影響整個網絡運行的效果，IP地址的設計的總原則是簡樸，易管理，易擴展。IP地址是TCP/IP協(xié)議族中的網絡層邏輯地址，它被用來唯一地標識網絡中的一種節(jié)點，IP地址空間的分派，要與網絡層次構造相適應，既要有效地運用地址空間，又要體現出網絡的可擴展性和靈活性，同步能滿足路由協(xié)議的規(guī)定，提高路由算法的效率，加緊路由變化的收斂速度。我們根據如下幾種原則來分派IP地址：、唯一性：一種IP網絡中不能有兩個主機采用相似的IP地址簡樸性：地址分派應簡樸易于管理，減少網絡擴展的復雜性，簡化路由表的款項持續(xù)性：持續(xù)地址在層次構造中易于進行路由總結，大大縮減路由表，提高路由算法的效率可擴展性：地址分派在每一層次上都要留有余量，在網絡規(guī)模擴展時能保證地址總結所需的持續(xù)性。靈活性：地址分派應具有靈活性，可借助可變長子網掩碼技術，以滿足多種路由方略的優(yōu)化，充足運用地址空間。地址規(guī)劃：總部分部網段211.x.x.x192.168.x.x子網掩碼255.255.255.0255.255.255.0子網網段部門部門保留211.0.0.0192.168.0.0設備互聯(lián)211.16.30.0/30-21.16.70.0/30192.168.101.0技術專用211.16.1.0/32—211.16.6.0/32第三章網絡安全處理方案3.1網絡邊界安全威脅分析網絡的邊界隔離者不一樣功能或地區(qū)的多種網絡區(qū)域，由于職責和功能不一樣，相連網絡的密級也不一樣。這樣的網絡直接相連，必然存在著安全風險，我們對ambow總部網絡邊界問題做脆弱性和風險的分析。Ambow總部網絡重要=存在的邊界安全風險包括：Ambow總部網絡與各級單位的連接，也許遭到來自各地的越權訪問，惡意襲擊和計算機病毒的入侵：例如一種不滿的內部顧客，運用盜版軟件或從Internet下載的黑客程序惡意襲擊內部站點，致使網絡局部或整體癱瘓。內部的各個功能網絡通過骨干互換互相連接，這樣的話，重要的部門或者專網遭到來自其他部門的越權訪問。這些越權訪問也許包括惡意的襲擊，誤操作等等，不過它們的后果都將導致重要信息的泄露或者是網絡的癱瘓。3.2網絡內部安全威脅分析Ambow總部網絡的風險分析重要針對ambow的整個內網的安全風險，重要體現為如下幾種方面：內部顧客的非授權訪問：ambow內部的資源也不是對任何的員工都開放的，也需要有對應的訪問權限。內部顧客的非授權的訪問，更輕易導致資源和重要信息的泄露。內部顧客的誤操作:由于內部顧客的計算機導致的水平參差不齊，對于應用軟件的理解也各不相似，假如一部分軟件沒有對應的對誤操作的防備措施，極輕易給服務系統(tǒng)和其他主機導致危害。內部顧客的惡意襲擊：就網絡安全來說，據記錄約有70%左右的襲擊來自內部顧客，相比外部襲擊來說，內部顧客具有更得天獨厚的優(yōu)勢，因此，對內部顧客襲擊的防備也很重要。設備的自身安全性也會直接關系到ambow網絡系統(tǒng)和多種網絡應用的正常運行。例如：路由設備存在路由信息泄露，互換機和路由器設備配置風險等。重要服務器或操作系統(tǒng)自身存在安全的漏洞，假如管理員沒有及時發(fā)現并且進行修復，將會為網絡的安全帶來諸多不安定的原因。重要服務器的當機或者重要數據的丟失，都將會導致ambow企業(yè)內部的業(yè)務無法正常運行。安全管理的困難，對于眾多的網絡設備和網絡安全設備，安全方略的配置和安全事件管理的難度很大。3.3安全產品選型原則Ambow網絡屬于一種行業(yè)的專用網絡，因此在安全產品的選型上，必須謹慎，選型的原則包括：安全保密產品的接入應不明顯影響系統(tǒng)運行效率，并且滿足工作規(guī)定，不影響正常的業(yè)務。安全保密產品必須滿足上面提出的安全需求，保證整個ambow網絡的安全性。安全保密產品必須通過國家主管部門指定的測評機構的檢測；安全保密產品必須具有自我保護能力；安全保密產品必須符合國家和國際上的有關原則；安全產品必須操作簡樸易用，便于簡樸布署和集中管理。3.4網絡常用技術簡介Vlan技術（VirtuallocalAreaNetwork）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃提成一種個網段從而實現虛擬工作組的新興技術。IEEE于1999年頒布了用原則化Vlan實現方案的802.1Q協(xié)議原則草案。VLAN技術容許網絡管理者將一種物理地LAN邏輯地劃提成不一樣的廣播域（或稱虛擬LAN，即VLAN），每一種VLAN都包括一組有著相似需求的計算機工作站，與物理上形成的LAN有著相似的屬性。但由于它是邏輯地而不是物理地劃分，因此同一種VLAN內的各個工作站不必被放置在同一種物理空間里，即這些工作站不一定屬于同一種物理LAN網段。一種VLAN內部的廣播域個單播流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量，減少設備投資，簡化網絡管理，提高網絡的安全性。Trunk技術一般的互換機端口只能屬于一種VLAN，對于對個VLAN需要跨過多臺互換機，就需要用到Trunk技術。Trunk是指互換機之間或互換機與路由器之間VLAN之間的連接，VLAN信息通過Trunk在互換機之間或路由器之間傳遞，從而可以將VLAN跨越整個網絡，而不僅僅是局限在一臺互換機上。Cisco支持802.1Q，ISL技術得到了Inrel等廠商的大力支持，TagSwitching被3Com及LucentCajun支持。對于CISCO互換機的Trunk端口，既可以指定它的封裝協(xié)議為802.1Q或TSL，也可以通過DTP協(xié)議自動協(xié)商。DTP協(xié)議重要用于處理Trunk端口的802.1Q和ISL封裝協(xié)議的自動協(xié)商，對于不一樣廠家的互換機互連時很有協(xié)助。對Trunk的定義只能在迅速以太網端口和千兆以太端口上進行，它既可以是單個的迅速以太端口或千兆以太網端口，也可以是迅速以太網通道（FEC）或千兆以太網通道（GEC）。雖然我們采用的是思科互換機，不過最為一種原則，開放。先進的網絡系統(tǒng)，我們推薦的是用IEEE802.1Q原則協(xié)議。Spanning-Tree協(xié)議在局域網中是不容許出現環(huán)路的，而為了實現冗余和負載的均衡，一般會有多條鏈路的鏈接，這樣就會引入環(huán)路。為了處理這個矛盾，推出了STP協(xié)議。STP算發(fā)會將網絡網絡中的連接生成一種樹，通過特定的算法自動將優(yōu)先權高的鏈路激活，將優(yōu)先權低的鏈路阻塞，保證在網絡中任何時候都不會出現環(huán)路。假如網絡的連接狀況發(fā)生了變化，STP算法會導致網絡的臨時的不穩(wěn)定狀態(tài)，該轉換時間在30秒之內，亦即在30秒之內會重新恢復到穩(wěn)定狀態(tài)。STP對于終端是透明的，終端感覺不到STP的操作過程。在互換機上可以通過修改端口的優(yōu)先級來變化連接的優(yōu)先權，使得STP算法將高優(yōu)先權的連接作為活動的連接。Cisco互換機的一種非常有用的特性就是可以對每個VLAN設置Spanning-tree，而不是對整個網絡只能屬于一種Spanning-tree。這個特性是諸多廠商的設備所不具有的。在互換機上對端口的優(yōu)先權的設置可以基于VLAN進行，每個端口對于不一樣的VLAN設置不一樣的優(yōu)先權。對于指定的VLAN，具有該VLAN最高優(yōu)先權的端口轉發(fā)該VLAN的信息，其他VLAN的信息阻塞。通過這種措施，在具有冗余連接的互換機端口上分別針對不一樣的VLAN設置不一樣的優(yōu)先權，既可以實現鏈路的冗余，又可以實現負載的均衡。Cisco互換機端口支持每VLAN的生成樹協(xié)議，每個端口都可設置基于VLAN的cost或priority參數，從而實目前多條途徑上的負載均衡能力。目前多數廠商都支持STP協(xié)議，不過不容許多種STP域。采用多種STP域顯然可以獲得比單個域高的網絡可靠性。第四章產品簡介CISCO2811-HSEC/K9路由器CISCO2811-HSEC/K9系列路由器"集成化安全處理方案采用了PIX、IDS傳感器和VPN集中器技術，將強大的CiscoIOS功能和業(yè)界領先的LAN/WAN連接與世界一流的安全功能匯集于一身?！斑\用既有設施”--運用既有網絡基礎設施，在路由器上通過CiscoIOS支持全新安全特性，無需布署額外的硬件“在最需要的地方布署安全特性”--為在網絡任意地點采用防火墻、IPS和VPN等安全功能提供了靈活性,從而最大程度地發(fā)揮了安全優(yōu)勢“保護您的網關”--在網絡所有的入點布署最佳安全功能“節(jié)省時間和資金”--減少了設備數量，減少了培訓和管理成本“保護您的基礎設施”--保護了路由器，可以防御直接針對網絡基礎設施的襲擊CISCOWS-C3750G-12S-S互換機ISCOWS-C3750G-12S-S系列互換機是一種創(chuàng)新的產品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提高了堆疊式互換機在局域網中的工作效率。這個產品系列采用了最新的思科StackWise智能堆疊技術，不僅實現高達32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立互換機在堆疊時集成在一起，便于顧客建立一種統(tǒng)一、高度靈活的互換系統(tǒng)--就仿佛是一整臺互換機同樣。這代表了堆疊式互換機新的工業(yè)技術水平和原則。

3750系列最多可以將9個互換機堆疊在一起，構成一種統(tǒng)一的邏輯單元，其中總共包括468個以太網10/100端口或者252個以太網10/100/1000端口。各個10/100和10/100/1000單元可以根據網絡的需要任意組合。

3750系列可以使用原則多層軟件鏡像（SMI）或者增強多層軟件鏡像（EMI）。SMI功能集包括先進的服務質量（QoS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。EMI可以提供一組愈加豐富的企業(yè)級功能，包括先進的、基于硬件的IP單播和組播路由。CISCOWS-C2960-24TC-L互換機WS-C2960-24TC-L系列互換機為多達24個端口提供完全15.4瓦功率的PoE配置在網絡邊緣提供高級訪問控制列表(ACL)和增強安全性等智能化特性支持千兆以太網上行鏈路靈活性的兩用上行鏈路，容許使用銅纜或光纖上行鏈路；其中每個兩用上行端口分別擁有一種10/100/1000以太網端口和一種基于小形可插拔(SFP)的千兆以太網端口，每次有一種端口處在激活狀態(tài)采用高級QoS、速率限制、ACL和組播服務，提供網絡控制和帶寬優(yōu)化根據顧客、端口和MAC地址，并通過多種不一樣的身份驗證措施、數據加密技術和NAC，提供網絡安全性采用CiscoNetworkAssistant軟件，輕松進行網絡配置、升級和故障排除采用Smartports對專業(yè)應用進行自動配置CISCOWS-C2960-48TT-L互換機