1、毕业设计报告(论文)报告(论文)题目:高性能企业园区网的设计与组建作者所在系部: 作者所在专业: 网络工程 作者所在班级: 作 者 姓 名 : 作 者 学 号 : 指导教师姓名: 完 成 时 间 : 2016年6月 摘 要在如今的网络建设中,企业园区网的搭建是非常重要的,企业园区网高速发展的原因是企业园区网内部可以同时开展不通的业务。早期的企业园区网只是简单的数据共享,而现今的企业园区网可以做到企业内部全方位的数据共享。过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业,甚至整个Internet的共同要
2、求。因此构建高性能的企业园区网显得尤为重要。随着网络的逐步普及,高性能企业园区网的建设是企业向信息化发展的必然选择,企业网络系统是一个非常庞大而复杂的系统,它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。关键词:高性能 园区网 信息化AbstractIn todays network construction , enterprise campus network structures is very important , because the rapid development of the enter
3、prise campus network is the enterprise campus network can be carried out inside the business at the same time does not make sense . Early enterprise campus network just simple data sharing, and todays enterprise campus network can do a full range of enterprise data sharing . A single enterprise in t
4、he past and now all of interconnecting a plurality of branch of the company , and thus the network coverage requirements and more widely. This requirement also only limited to the first branch of the enterprise, is now already the whole enterprise , the whole industry, and even the common requiremen
5、ts across the Internet. So to build a high-performance enterprise campus network is particularly important.With the popularity of the network , the construction of high-performance enterprise campus network is the inevitable choice to enterprise information development , enterprise network system is
6、 a very large and complex system , not only for enterprises to modern, integrated information management and office automation, a series application provides basic operating platform , and can provide a variety of applications , so that information can be promptly and accurately transmitted to the v
7、arious systems .Keyword: high performance, Campus Network, Informatization目录摘 要2Abstract3第1章 绪论11.1 课题研究现状分析11.2 选题的目的及意义11.3 课题研究的主要内容1第2章 系统需求分析32.1 系统需求概述32.2 系统的设计原则32.3 系统的目标3第3章 系统设计的主要技术53.1 VLAN技术53.2 OSPF协议53.3 VPN技术63.4 虚拟路由冗余协议63.5 访问控制列表73.6 网络地址转换7第4章 网络总体结构设计84.1企业园区网拓扑结构84.2系统的数据流量设计9
8、4.2.1 数据流向设计原则94.2.2 正常数据流向94.2.3 广域网出口故障数据流向104.2.4 核心交换机故障数据流向124.2.5 汇聚层链路故障数据流向13第5章 网络详细设计155.1 总体技术实现155.2 二层交换功能实现155.3 三层路由功能实现155.4 路由策略设计16第6章 边界策略优化管理176.1 策略优化需求176.2策略优化实现17第7章 系统各模块地址划分197.1 VLAN规划设计197.2 IP地址规划设计20第8章 故障解决228.1 故障分析228.2 常见故障分析228.2.1 物理和协议端口双down228.2.2 物理端口up但协议端口do
9、wn228.2.3 端口双up但无法ping通228.3 协议故障228.3.1 MSTP协议故障228.3.2 OSPF协议故障258.3.3 BGP协议故障268.4 其它故障27结 论28致 谢29参考文献30第1章 绪论1.1 课题研究现状分析随着科技的发展,网络技术的发展也越来越成熟,各大企业基本都实现了信息化的办公。对企业而言,提高企业内部员工的工作效率,更好的扩展企业的业务,同时能够更规范合理的管理企业网络,保证企业信息不被泄漏,越来越多的企业认识到搭建一个高效、稳定、安全的网络的重要性。然而现如今网络技术不断发展,企业园区网络的搭建有很多种选择,如何选择网络技术搭建园区网来满足
10、企业现在的需求以及未来发展的需要,同时对于网络要有可扩展性,这是摆在各企业面前的一个难题。1.2 选题的目的及意义当今世界经济空前繁荣,企业面临着异常激烈的竞争,机遇与挑战并存。如何控制并降低成本,如何获得业务的增长,如何增强核心竞争力,如何提高运营效率和客户满意度,成为企业负责人最关心的话题。网络信息化技术在各行各业发展中起到的作用越来越显著,信息化技术给我们带来了不一样的业务模式,信息化为企业的高速发展提供了最新的技术保证,怎样把高效的信息技术转化为高生产力,并最终成为企业的核心竞争力,是当下每一个企业都在思索的一个问题。纵观目前大部分企业的网络建设,很多企业的网络构架搭建的时间过久,导致
11、存在设计混乱、层次复杂、稳定性低、安全性不足等一系列的问题,已经不能很好的适应现如今信息化高速发展的需求。 所以企业迫切的需要一个合理的、高性能的网络来满足业务需求。本文采用工程化设计的方法,设计并且模拟一个园区网络,采用成熟的产品和技术,满足用户安全性、通用性、高效性和可扩展性的要求,由于网络采用模块化设计的思想,所以网络系统各层可移植性强,极大的帮助了以后的网络设计工作。1.3 课题研究的主要内容本文所设计的高性能企业园区网,主要任务是设计一个规范合理化的高性能网络,统一规划园区网的IP地址,合理使用路由协议,在网关出配置相关的控制策略,通过设备以及链路的冗余保障网络的安全性。而对于企业园
12、区网中,网络管理员在边界对策略的管理没有一个可视化的管理,造成策略管理的混乱,本文也为这种混乱策略的管理给出了相应的解决方案。在网络的建设中了解企业的行政结构,部门划分,对不同职能的部门给予不同的权限,按照最大需求的给予最小权限的原则,保证网络的安全性。在所设计的园区网中,既要可以满足现有应用的需求,又要有一定的冗余度,满足企业业务的扩展需求。设计的网络力求简单稳定高效,避免复杂臃肿,以保证网络的可移植性和可扩展性。第2章 系统需求分析本章主要针对企业现有应用系统进行分析,然后根据企业业务需求制定相应的可行性计划,并且提出企业园区网的总体设计目标。2.1 系统需求概述针对目前企业网络的设计混乱
13、,层次复杂问题提出相应解决方案,规划设计出一个高性能稳定的企业园区网。建设的企业园区网充分考虑设备的性能和相关的网络技术,搭建企业园区网的整体框架,形成支撑企业业务高效发展的体系。2.2 系统的设计原则所设计的企业园区网应遵循以下原则:(1) 采用成熟的网络技术,使网络可以适应未来网络技术以及企业未来业务发展需求;(2) 构建的网络应该采用先进的OSPF、VRRP、VPN等技术;(3) 采用层次化、可移植、可扩展的系统体系;(4) 采用设备冗余、链路冗余等技术保证网路的安全可靠性;(5) 网络结构具有开放性和可扩充性,为将来网络规模的扩大留下足够的余地;(6) 在保证使用要求和技术可行性的前提
14、下,选择易于操作和管理的网络设备;(7) 采用有容错功能的网络设备,主干区域使用硬件双备份,出现故障可以快速恢复;(8) 采用严格的权限管理,不同部门之间限制访问;(9) 在重要的边界设备制定严格的策略,保证企业网的安全,防止数据的泄漏。2.3 系统的目标根据对目前企业网的需求分析,最终企业网需要实现的功能如下:(1) 企业网与互联网的安全互通,终端用户可以随时接入,满足企业业务发展需求;(2) 实现企业网的扩展性需求,在网络规模扩大时,可以在原来网络基础上改造,降低网络的建设和改造成本;(3) 实现内网用户以及外网用户对企业内网资源的安全合理访问,避免非法用户或者合法用户对资源的越权使用;(
15、4) 实现VPN功能,使得外出差人员和合作伙伴能够在Internet上安全地和企业内网进行信息的交互处理;(5) 网内实现可靠性设计,从设备以及技术上均保证了在出现网络故障时网络能够快速恢复的能力;(6) 实现网络的优化部署,实现了路由备份、负载分担功能;(7) 实现整个企业网络的可管理性,通过统一的管理中心实现对全网络的设备以及数据流量的控制;(8) 实现网络访问策略的统一管理,对于需要开通的服务端口,需要通过员工提交申请,又领导审批通过以后再提交网络管理员进行开通。第3章 系统设计的主要技术3.1 VLAN技术在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重
16、要因素。为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风暴问题,网桥和路由器被广泛应用于局域网中。由网桥连接的网络属于同一逻辑子网,逻辑子网是指该网络中的网络站点具有相同的网络层地址,例如具有相同的IP网络号或者IPX网络号。由路由器将不同逻辑子网连接在一起,逻辑子网间的通信必须经路由器进行。在这种网络结构中,由集线器、粗缆和细缆所构成的物理网络与逻辑子网相对应。通常一个IP子网或者IPX子网属于一个广播域,因此网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时,由于网络中的站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的
17、逻辑子网,因此网络的结构缺乏灵活性。为解决这一问题,从而引发了虚拟局域网(VLAN)的概念,所谓VLAN是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。3.2 OSPF协议OSPF是一个内部网关协议,用于在单一自治系统内决策路由。它是基于链路状态的路由协议,链路状态是指路由器接口或链路的参数。这些参数是接口的物理条件:包括接口是Up还是Down、接口的IP地址、分配给接口的子网掩码、接口所连的网络,以及使用路由器的网络连接的相关费用。OSPF与其他路由器交换交换信息,但所交换的不是路由,而是链路状态。OSPF路由器不是告知其他路由器可以到达哪些网
18、络及距离是多少,而是告知它的网络链路状态,这些接口所连的网络及使用这些接口的费用。各个路由器都有其自身的链路状态,称为本地链路状态,这些本地链路状态在OSPF路由域内传播,直到所有的OSPF路由器都有完整而等同的链路状态数据库为止。一旦每个路由器都接收到所有的链路状态,每个路由器可以构造一棵树,以它自己为根,而分支表示到AS 中所有网络的最短的或费用最低的路由。OSPF对于规模巨大的网络,通常将网络划分成多个OSPF区域,并只要求路由器与同一区域的路由器交换链路状态,而在区域边界路由器上交换区域内的汇总链路状态,这样可以减少传播的信息量,且使最短路径计算强度减少。在区域划分时,必须要有一个骨干
19、区域(即区域0),其它非0或非骨干区域与骨干区域必须要有物理或者逻辑连接。当有物理连接时,必须有一个路由器,它的一个接口在骨干区,而另一个接口在非骨干区。当非骨干区不可能与物理连接到骨干区时,必须定义一个逻辑的或虚拟链路,虚拟链路由两个端点和一个传输区来定义,其中一个端点是路由器接口,是骨干区域的一部分,另一端点也是一个路由器接口,但在与骨干区没有物理连接的非骨干区域中。传输区是一个区域,介于骨干区域与非骨干区域之间。3.3 VPN技术VPN(Virtual Private Network)翻译成中文就是虚拟专用网络。它是在公共通信基础设施上构建的虚拟专用或私有网,可以被认为是一种从公共网络中
20、隔离出来的网络。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或操作系统等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个
21、企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。3.4 虚拟路由冗余协议VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的
22、所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA坏掉时,本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。VRRP就是为解决上述问题而提出的,它为具有多播组播或广播能力的局域网(如:以太网)设计。VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个 Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个路由器的接口地址相同,相同的
23、则称为ip拥有者),备份组内的路由器也有自己的IP地址(如Master的IP地址为 10.100.10.2,Backup的IP地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1, 而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.1它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1.于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的 Master路由器坏掉,Backup路由器将会通过选举策略选出一个新的Master路由
24、器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。3.5 访问控制列表ACL(Access Control List,访问控制列表)是一系列permit或者deny语句组成的顺序列表,应用于地址或上层协议。为了过滤数据报文,网络设备需要配置一系列的匹配条件来对数据包进行分类过滤,数据包过滤有时也称为静态数据包过滤,它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问。数据包过滤设备根据源和目的IP地址、源端口和目的端口以及数据包的协议,利用已制定的规则来决定是应该允许还是拒绝流量通过。3.6 网络地址转换NAT技术主要实现内部网络地址
25、到外部网络的转换,静态NAT是把内部网络中的某台服务器地址永久映射成外部网络中的某个合法地址,这样方便外网用户企业园区网资源;动态地址NAT是采用把外部网络中的合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换(PAT)是把内部地址映射到外部网络的一个IP地址的不同端口上,把企业内网IP转换为公网IP地址,使内部用户可以方便的访问公网Internet。目前NAT技术主要用户于地址转换和对内部网络安全的一个保护,企业内部员工数量众多,而能够申请到的公网IP地址有限,这样可以通过NAT技术实现内网多个用户共同使用一个公网IP访问互联网,而这种方式也能有效的隐藏企业内部网络情况,对网络攻
26、击起了一定的防范作用。第4章 网络总体结构设计4.1企业园区网拓扑结构本文所设计网络拓扑结构,基本保证了网络的可靠性、可扩展性、可管理性以及安全性等要求。整个网络采用标准的核心层、汇聚层和接入层三层网络结构,核心层采用双机冗余热备份,保证网络的稳定性。整个网络拓扑结构如图4-1所示。图4-1 整体网络拓扑图如图4-1所示,两台高带宽的千兆交换机作为企业网的枢纽中心,其上行连接核心防火墙,保证园区网内部网络安全,其下行连接汇聚层交换机。汇聚层交换机选用支持三层交换技术和VLAN的交换机,以达到减轻核心层设备的负荷,隔离网络和分段的目的。存储服务器和管理中心服务器也通过连接汇聚层交换机接入园区网。
27、而接入层则选用不支持VLAN和三层交换技术的普通交换机。在不同的建筑部署接入交换机,然后使用VLAN技术将不同智能的部门的流量数据通过二层隔离在自己的广播域范围内,并且为了加强网关的安全,在各个网关出配置相应的访问控制。如禁止员工宿舍访问办公楼网络,以免占用正常业务带宽;禁止各个部门之间网络互通,以免某部门网络被攻破不会进一步攻击另外部门。对于企业网中访问流量大,访问次数多的服务器,如邮件服务器、业务部门需要使用的服务器,采用MSTP+VRRP的组合技术接入到汇聚交换机上,既能提供设备和链路的高度冗余又能实现访问服务器流量的负载均衡。对于为外网提供服务的服务器来说,在边界网关出制定相应策略,只
28、打开某些服务需要的端口,其余端口默认置为关闭状态,保证服务器安全性。4.2系统的数据流量设计根据对企业网络的调研,本网络一共有两类流量,一类是企业员工访问内部资源,另一类是企业员工对互联网资源的访问。为了保证全网的数据稳定性、路由的可控性以及网络的可管理性,需要对企业园区网络的数据流向进行详细的规划设计,本节详细描述了这方面的内容,主要内容包括数据流向设计原则以及正常情况和灾难情况各种情况下的数据流向做一个统一的规划设计,也为后续的路由设计等提供一个原则和基础。4.2.1 数据流向设计原则对于一个高性能的企业园区网来说,清晰明确的流向设计非常关键,体现在以下几个方面:(1)要求正常业务流量和员
29、工宿舍用网流量完全分离,既能有效保证办公数据的安全性,又能形成一个清晰的管理界面,方便后期网络的运维管理。这就需要设计初期进行精确的数据流向设计并匹配相应的路由策略才能实现。(2) 出于对网络高可靠性的要求,在整个网络的核心位置及重要应用区域增加了冗余的链路,这样就使得数据的流量路径变的复杂起来,正常情况下的数据流向和当某些链路或设备发生故障时数据的流向,需要提前规划好流量的迁移路线,以方便故障的定位和灾难的恢复。(3) 要求保证上下行流量路径一致,对于这种冗余链路较多较复杂的网络而言,怎样保证数据走向清晰、避免混乱,便于管理和排错是尤为重要的,因此将流量走向设计为上下行路径统一是非常必要的。
30、4.2.2 正常数据流向正常情况下,员工业务办公流量与员工生活用网流量是分开的,分别走各自的流量路径。两台核心交换机互为备份,平时企业员工办公使用内网资源的流量主要走核心层A侧交换机,办公时员工有访问互联网的需求,外网流量则通过汇聚B侧交换机连接核心A侧交换机通过电信链路接入互联网。员工生活用网不需要访问企业内部服务器资源,故制定策略让员工生活用网的流量走核心层B侧交换机通过联通链路访问互联网,以此保证业务流量与生活流量的隔离。正常数据流量走向如图4-2所示。图4-2 正常流量走向4.2.3 广域网出口故障数据流向若广域网电信链路一侧出口出现故障,原本培训中心以及员工生活使用的互联网不受任何影
31、响,而在办公楼正常办公的员工访问互联网时,链路会自动切换到通过联通一侧链路接入互联网,保证网络的稳定性。办公楼以及培训中心的内网流量则不会受到任何影响。流量走向如图4-3所示。图4-3 广域网电信侧出口故障广域网联通一侧链路出口故障,则在正常流量走向情况下,除了培训中心和员工宿舍用外网流量改为从核心层A侧上行通过电信链路接入互联网外,对于培训中心内网、办公楼内网和外网流量走向并没有影响,具体流量走向如图4-4所示。图4-4 4.2.4 核心交换机故障数据流向若核心层A侧设备出现故障,企业网所有需要访问互联网资源的流量则都从核心层B侧设备通过联通链路接入互联网,此时路由重新计算结果,办公楼连入外
32、网的网关会启动VRRP备份网关,也即切换核心层B侧设备为网关。而若企业员工此时需要访问内网服务器资源,内网流量则会通过核心层B侧设备进行转发,具体流量走向如图4-5所示。同理可知,若核心层B侧设备出现故障,培训中心以及员工宿舍访问外网则会通过核心层A侧设备接入互联网,此时网关也会自动切换为A侧设备。图4-54.2.5 汇聚层链路故障数据流向若汇聚层B侧设备故障,此时培训中心和员工宿舍外网流量则通过汇聚层A侧设备汇聚,再通过核心层B侧设备进行转发访问互联网。具体流量走向如图4-6所示。同理可得,若汇聚层A侧设备出现故障,此时办公楼内外网流量都通过汇聚层B侧设备汇聚。培训中心和员工宿舍访问外网则通
33、过核心层B侧设备接入访问外网,办公楼访问外网依旧通过核心层A侧设备接入访问外网。图4-6第5章 网络详细设计本章对按照前期的设计原则以及规划方案进行详细的设计,包括了园区网络的总体设计、二层交换功能和三层路由功能的实现,详细说明整个网络的连接配置情况。根据对本次改造建网需求的深刻理解以及针对本方案的建设原则,查阅了大量的企业网网组网资料,借鉴先进成熟的中石油企业网组网经验。力求设计建设一个全方位符合长远需求并有很强可靠性、安全性的高性能统一企业园区网络。5.1 总体技术实现由于企业园区网接入设备较多,故整个网络的具体连接无法通过拓扑全部展现出来。本节将对整体网络进行介绍,着重介绍如何通过各种技
34、术组建企业园区网,以及规划中的功能是如何实现的。在企业网出口路由器上配置NAT进行地址转换为企业员工提供高速的互联网接入服务,核心层的两台交换机之间配置VRRP冗余网关备份,对服务器提供高可靠性的网关冗余备份和高效的服务,考虑到服务器应用的流量负载分流,对于服务器的接入采用双上行的典型接入结构。整个网络骨干运行OSPF动态路由协议进行路由的学习计算。5.2 二层交换功能实现二层功能主要表现在各个职能部门内的信息交换,信息源于一个VLAN广播域内的终端,终止于同一个VLAN内的另一个终端,在大多数的情况下,都是终结于这个VLAN所映射的IP子网的网关,本设计方案中将各个接入部门的网关设在汇聚设备
35、上。考虑到应用服务器、邮件服务器和业务服务器的高可靠性要求,重要应用的接入采用VRRP网关冗余接入设计,两台核心交换机热备网关,提供可靠的冗余保障服务。将两个VLAN映射到不同的MSTP实例中,可以计算出不同的树,即实现了冗余备份又实现了流量负载。5.3 三层路由功能实现路由设计是网络设计当中的一个核心内容,对于一个高可靠、高性能的网络来说,一个合理的路由设计显得尤为重要。总体设计思路应根据数据流向的设计方案,合理、高效、可靠部署路由协议,依据数据流向设计提供链路传输保障实现高效、合理承载网络中各项应用需求。合理规划路由协议和策略,充分考虑路由收敛的性能。OSPF是基于链路状态计算最短路径的路
36、由协议,该类协议需要对每条链路赋予一个COST值,路由的COST值为所途经链路COST值的累加数值。为保证OSPF链路状态数据库的一致性和路由对称性,要求一条链路两端的端口COST值配置必需相等。如何合理的分配流量使得数据的路径按照规划设计的路径运转是网络稳定的关键之一,为了实现这个目标,采用的技术手段就是调整COST值。分配OSPF的COST值是一项非常严谨的工作,对网络中流量的稳定起着重要的作用。5.4 路由策略设计全网路由的互通采用静态路由与OSPF组合的方式,将互联网出接口的默认静态路由以及服务器应用的直连路由引入到OSPF域中需要做路由策略来修改引入的COST值,达到路由控制的目的。
37、为了保证办公数据的安全,在员工宿舍的汇聚网关处部署访问控制策略,禁止员工宿舍楼的IP网段对其进行访问。这样就有效保证了办公数据的安全性,不受员工生活用网流量的潜在危险。本企业网整网规划中,为每台网络设备都配置了一个专门的环回口作为该设备的管理地址,为了保证设备的安全性,每台设备的环回地址应该只允许被网管中心的IP地址段远程登录,配置专门的访问控制列表应用在环回口地址上,拒绝任何非网管中心的IP地址对其进行访问控制。为了提高整个网络的安全性,以便将来部署统一的管理和安全机制,在所有的网络设备上部署AAA安全框架,自汇聚层以上核心设备以及关键位置的设备,例如出口路由器及服务器的接入交换机等,都需要
38、被包含在自定义的安全域中,统一进行安全的认证验证或计费管理。第6章 边界策略优化管理6.1 策略优化需求对于目前大多数网络访问控制(ACL)管理主要存在的问题包括:(1)云计算网络结构复杂,缺少对网络拓扑边界和网络访问路径的可视化管理,缺少网络边界开放服务的监控能力,缺少复杂ACL智能优化能力、ACL相关信息的统一检索能力、以及相关ACL的快速定位能力;(2)云计算网络访问需求变化快,无法结合业务进行细粒度访问控制策略管理,ACL数量急剧增长,无法实时跟踪网络访问控制失效策略,往往网络层面的访问控制策略粒度过粗,无法实时跟进业务变化,无法做到最小化需求访问,形同虚设;(3)网络设备的网络访问控
39、制管理和VLAN管理配置复杂,需要专业安全网络工程师才可以实施,操作步骤繁琐且易出错,一旦配置不当会造成网络的瘫痪;且网络设备的ACL容量是有限制,一旦超出限额,所有的网络访问控制策略将全部失效。(4)云计算内部网络结构复杂,需求变化快,不适宜全范围部署防火墙类产品,会影响云核心网络的处理性能,传统网络设备ACL访问控制管理复杂且维护成本高,必须通过高效的可视化集中管理;(5)传统网络管理方式VLAN管理和ACL策略管理混乱,业务申请用户和网络安全管理人员之间沟通不顺畅,无法按需访问,网络ACL变更没有监控和审计措施,缺少信息化审批流程,缺少审计记录,配置管理,变更管理更无法合规可控。根据Ga
40、rtner研究,“超过95%的防火墙漏洞是因由防火墙配置错误导致的,而不是防火墙自身的缺陷”。针对以上出现的种种访问控制问题,使用先进的网络访问控制管理软件进行统一的ACL管理,提升网络安全运维人员效率,简化网络权限管理复杂度,避免人工操作造成的错误配置,保障配置管理和变更管理规范和合规。6.2 策略优化实现通过对网络设备ACL的分析,对多余以及无效的ACL进行合并或者删除,保证网络设备ACL数量的冗余。1.可通过定义数学模型:rule:Rx Ry:规则x 规则y关系: RCD, RPm, REM, RIM, RCRcd 互斥(completely disjoint)Rem 相等(exactl
41、y match)Rim 超集(inclusively match,Rx 是 Ry超集)Rpd 子集(partially disjoint,Rx 是 Ry子集)Rc 关联 (correlated )REDUNDANCY(冗余)Rxorder Ryorder, RxEMRy, Rxaction = RyactionRxorder Ryorder, RxPDRy, Rxaction = RyactionRxorder Ryorder, RxIMRy, Rxaction =RyactionSHADOWING(遮盖)Rxorder Ryorder, RxEMRy, Rxaction! = Ryactio
42、nRxorder Ryorder, RxIMRy, Rxaction! = RyactionGENERALIZATION(泛化)Rxorder Ryorder, RxPDRy, Rxaction != RyactionSUPERIMPOSING(叠加)Rxorder Ryorder, RxCRy, Rxaction = RyactionCORELATION(相关)Rxorder Ryorder, RxCRy, Rxaction != RyactionCOMBINABLE(合并)RxorderRyorderR2(deny)-R3(permit), R1与R2泛化,如果不考虑位置关系的影响,推导出
43、来的R1与R3冗余错误。所以,在推导的时候要考虑这种位置关系带来的问题。通过上述优化处理,确保网络安全策略的有效性、安全性和合规性,从而降低网络安全策略的风险状况,有效提高网络运维人员的工作效率。第7章 系统各模块地址划分7.1 VLAN规划设计按照方案的设计原则,要求企业中不同职能部门的流量数据在二层隔离开来,这就需要将不同的部门划分到不同的VLAN当中,整体的划分思路是,VLAN1049为互联网段,VLAN50300为各服务器和各应用系统使用,VLAN301400为各个部门使用,VLAN401500为培训中心楼使用,VLAN511584为员工宿舍楼使用。表7-1 VLAN统一划分名称VLA
44、N互联网段1049邮件服务器50FTP服务器60门户网站服务器70人力资源ERP系统80网络安全域90项目开发测试100信息内容审计系统110在线培训系统120身份认证130备份系统140电子公文系统150ERP系统160应急管理系统170办公系统180档案管理系统190移动应用平台200经理办公室301财务部302行政管理部303人事部304基础设施运维部305培训中心(1-1)411培训中心(1-2)412培训中心(1-3)413培训中心(1-4)414培训中心(1-6)415培训中心(2-1)421培训中心(2-2)422培训中心(2-3)423培训中心(2-4)424员工宿舍A1楼一层511员工宿舍A1楼二层512员工宿舍A1楼三层513员工宿舍A2楼一层521员工宿舍A2楼二层522员工宿舍D5楼四层5847.2 IP地址规划设计VLAN的划分使得不同部门、不同应用系统以及培训中心和员工宿舍楼的二层隔离,但对于一个企业园区网来说,合理的IP地址规划也是相当的重要。根据在中石油实习期间借鉴中石油广域网的IP规划得知,最好每一个VLAN映射一个IP网段。考虑到未来网络的扩建,使用A类IP地址进行划分。表7-2 IP地址统一划分名称VLANIP地址管理地址-10.0.0.0/8互联网段104910.1.0.0/16邮件服务器5
浙ICP备2021020529号-1 | 浙B2-20240490 
