智能大厦中的计算机网络系统设计.doc

智能大厦中的计算机网络系统设计 ■ 中国物流信息中心 孔东 智能大厦中的网络系统设计是整个楼宇管理系统的基础，本文通过对一幢智能大厦的网络系统实例进行剖析，着重探讨了如何设计出一个安全、高性能的计算机网络系统。 智能大厦是信息时代的产物，是信息技术、自动控制技术与现代建筑艺术的巧妙集成，也是综合经济实力的象征。智能大厦一般包括大厦自动控制系统、办公自动系统和通信系统三个部分，如今的发展趋势是这些系统都在公共高速计算机网络上进行集成。因此，在建筑物内建立一个综合集成的计算机网络系统，实现网络集成成为部署各种管理系统的基础。 智能大厦中的网络系统 智能大厦通常会有多家不同的公司入住，传统的大厦仅向大厦内入住的公司提供Internet接入，而计算机网络系统由各进驻公司自行建设。现在的发展趋势是在智能大厦内实现统一管理的计算机网络系统。智能大厦内的计算机网络系统包括以下组成部分: 1. 网络平台: 为大厦内的租户提供统一的Internet接入，提供可以传输数据、语音、视频型号的网络交换平台。 2. 数据中心: 建设一个环境良好的数据中心机房，为大厦内的租户提供机架资源，租户可以将各自的服务器系统、存储系统放在智能大厦统一提供的数据中心中。 3. 管理平台: 完成整个网络系统的管理功能，提供用户管理功能。 智能大厦对网络系统的具体要求如下: ● 网络系统稳定，网络设备要具有高可靠性和安全性。 ● 整个网络的网络设备要支持统一的网络管理，便于今后的维护和扩容。 ● 每个楼层汇聚点要能实现多个VLAN网段的划分，为各独立公司提供内部划分VLAN的需求。 ● 在大楼内部，只有经过认证的企业人员可以使用网络，避免其他非认证人员上网，保证网络安全。 ● 需要保证用户只能访问本公司的各种业务服务器，包括远程和楼内本企业用户，未经授权的用户不得访问。 ●各进驻公司的远程用户可以通过VPN方式访问本企业内部的服务器内容。 ● 要求独立公司内部人员可以进行相互访问，不同独立公司人员之间不能互访，但要考虑特定人员要求建立互访关系。 ● 进驻企业为同一集团公司时，要求允许某些高权限人员可以对其他企业的服务器进行访问。 ● 所有的网络节点都可以访问Internet，并且在访问Internet之前要经过确认，未经确认的节点不允许访问Internet。 ● 能够统计各独立公司上网使用Internet的数据总量和时间，并建立使用Internet的日志。 ● 可以方便地配置、管理所有的客户端。 ● 根据1层大厅和2层多功能厅人员流动的特性，实现有线和无线网络同时接入，并且要考虑无线接入的安全认证问题。 ● 要考虑各独立公司财务部门单独建网的要求。 ● 要充分考虑整体网络的安全性。 智能大厦的组网结构 经典的局域网组网模型将网络结构分为核心层、汇聚层和接入层。参考这种结构，智能大厦的计算机网络系统通常要包含以下部分: ● 核心层: 核心层通常配置两台核心交换机，以保证网络核心的高可靠性，如果配置一台核心交换机，则要求核心交换机配置双主控引擎和双电源。核心层通常还要承担各业务应用子系统服务器群与核心交换机的千兆连接。 ● 接入层: 接入层交换机通常可以提供48端口或者24端口，接入层交换机通过千兆连接到核心层交换机，可以使用堆叠的方式扩展端口密度。 ● 防火墙: 采用千兆或者百兆防火墙将内网与外网分离，采用千兆防火墙将服务器群区与核心交换机分离。 ● 无线网络: 将无线AP接入到就近的汇聚点，覆盖不容易布线的宽阔场所。 ● 网络防病毒软件: 采用企业级网络防病毒软件，确保进驻用户的计算机及服务器群的安全。 ● 漏洞扫描系统: 用于检测网络中存在安全隐患的设备，找出系统中存在的安全漏洞，及时进行修补。 ● 网络认证系统: 用于防止非法用户登录到网络中，窃取网络数据。 ● 网络管理系统: 用于对全网的监控，帮助网络管理员快速准确地定位网络中出现的故障。 方案实例 如图1所示，网络核心交换机采用华为3Com公司的一台S6506R多业务核心交换机。为保证网络的可靠性，在核心交换机上配置了冗余引擎和电源。引擎选用Silence III引擎，交换容量为384Gbps，包转发率为198Mpps。S6506R可以提供万兆接口板，未来可平滑升级到万兆。 S6506R采用最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，创造性地解决了传统交换机的缺陷，能够有效抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。 接入交换机选用华为3Com公司的S3000系列。接入交换机放置在各楼汇聚层的弱电配线间机柜内。各汇聚层交换机采用48端口和24端口两种二层交换机，具有可管理到端口的能力。华为3Com公司的S3000系列交换机硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制，对网络中有病毒特征的计算机，可以直接封堵其端口，使有病毒的设备与网络断开，防止病毒在网络中的传播。 在智能大厦设置独立的数据中心。数据中心交换机使用华为3Com公司的S6502。S6502的交换引擎内置于接口板中，交换容量可达192Gbps。在S6502上配置10/100/1000M RJ45千兆接口板，用于连接网卡为100M或1000M接口的服务器，随着服务器数量的增加，可以灵活地扩充相应的板卡，以适应各进驻公司业务的发展。为了保证数据中心的安全性，在数据中心前部署一台千兆防火墙。 Internet出口路由器选用华为3Com公司的AR4640。AR4640采用双总线结构，包转发能力可达350Kpps，如果使用增强引擎，包转发性能可提升到1Mpps。 1． 网络安全设计 为了保证网络系统的安全性，除了部署传统的防火墙、IDS、漏洞扫描等系统之外，对终端的接入进行控制越来越成为一种重要的安全控制手段。智能大厦的网络安全解决方案的基本思路是从多方面出手，进行立体防御。 防火墙是网络系统的核心基础防护设备，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制，防火墙的部署从以下几个方面考虑: （1）在Internet出口部署防火墙 在整个局域网的Internet出口部署华为3Com公司的Secpath100F防火墙。对外的服务器，如Web、E-mail服务器放在防火墙的DMZ区（如图2所示）。 （2）服务器区部署防火墙 在核心交换机与服务器区交换机之间配置防火墙，服务器区防火墙部署华为3Com公司的Secpath1000F（如图3所示）。除了部署传统的防火墙之外，还应该对用户能否接入网络进行控制。 （3）端点准入防御 利用华为3Com端点准入防御（EAD，Endpoint Admission Control）模块，从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，以加强用户终端的主动防御能力，大幅度提高网络安全。 EAD在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作。在保证用户终端具备自防御能力并安全接入的前提下，通过动态分配ACL、VLAN合理控制用户的网络权限，提升整网的安全防御能力。 EAD的应用是从信息安全角度出发，基于现有的网络环境，通过软硬件设备对网络安全进行加固，基本思想是采用认证－检查－隔离－加固－管理的安全闭环管理。 ● 认证: 对接入网络的用户身份进行分析，根据用户身份动态分配用户使用网络的权限。 ● 检查: 根据需求制定安全策略和防病毒策略，根据安全策略对接入网络的用户终端进行安全检查和病毒扫描。 ● 隔离: 对有安全问题和安全隐患的用户终端进行隔离，以免其感染网络域中的其他用户终端和整个网络。 ● 加固: 帮助有安全问题和安全隐患的用户终端进行安全修补和加固，以便其能够正常进入网络，使用网络资源。 ● 管理: 提供对有安全问题的终端定位统计功能，提供用户日志查询功能，提供安全策略编辑、修改功能等。通过制定新的安全策略，持续保障网络的安全。EAD系统的应用模型如图4所示。 EAD方案可以依据角色对网络接入用户实施不同的安全检查策略并授予不同的网络访问权限。其原理性的流程如下: 1. 用户上网后首先进行身份认证，确认是合法用户后，安全客户端还要检测病毒软件和补丁安装情况，上报CAMS。 2. CAMS检测补丁安装、病毒库版本等是否合格，如果合格进入步骤7。 3. 如果不合格，CAMS通知接入设备（S30/50系列或其他EAD使能的交换机），将该用户的访问权限限制到隔离区内。此时，用户只能访问补丁服务器、病毒服务器等安全资源，因此不会受到外部病毒和攻击的威胁。 4. 安全客户端通知用户进行补丁和病毒库的升级操作。 5. 用户升级完成后，可重新进行安全认证。如果合格则解除隔离，进入步骤7。 6. 如果用户补丁升级不成功，用户仍然无法访问其他网络资源，回到步骤4。 7. 用户可以正常访问其他授权（ACL、VLAN）的网络资源。 EAD系统的应用具有以下特点: ● 严格的身份认证 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入。可以与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。 ● 完备的安全评估 EAD可以帮助管理员加强对终端用户的管理，集中部署终端安全策略。对终端安全状态进行评估，使得只有符合企业安全标准的终端才能准许访问网络，确保企业安全策略的统一。 ● “危险”用户隔离 限制系统补丁、病毒库版本不及时更新或已感染病毒的用户终端的访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中，如果终端发生感染病毒等安全事件，EAD系统可实时隔离该“危险”终端。 ● 基于角色的服务 EAD可基于终端用户的角色，向安全客户端下发系统配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、动态VLAN、是否禁止使用代理、是否禁止使用双网卡以及病毒监控策略等安全措施均可由管理员统一管理和实施。 2．对移动办公的支持 本案例在Internet出口部署了防火墙，所有未经许可的用户都无法通过Internet访问到公司内网。 但是在很多情况下，出差在外地的员工或者在家办公的员工需要通过Internet访问公司内部资源，如何保证访问的安全性呢？这里设计采用IPsec VPN的方式保证访问的安全性。 本方案采用的华为3Com的出口路由器AR4640和出口防火墙Secpath100F均支持IPsec VPN功能，可以作为移动办公用户的VPN接入网关。如果使用AR4640作为VPN网关，则AR4640的外网口必须使用有效IP地址。如果使用Secpath100F作为VPN接入网关，则Secpath100F的外网口必须使用有效IP地址。为了保证AR4640和Secpath100F都具备比较好的性能，方案设计将VPN网关功能和NAT功能分开，使用Secpath100F作为VPN接入网关，使用AR4640作为NAT设备。 如图5所示，移动办公（出差）员工首先连接到Internet，然后通过客户端软件，向VPN网关（AR4640或者Secpath100F）发起连接请求，VPN网关接受用户的请求后，将请求转交给认证服务器，进行基于用户身份的认证; 认证不通过，将请求拒绝; 认证通过，VPN网关将为移动用户创建IPsec VPN隧道，保证重要信息在Internet的传输过程中不失密。这样，出差员工就可以通过internet安全地访问公司内网资源。 3．方案特点 在本网络建设应用方案中，设备选型是以国内排名前列的设备厂家为招标对象，降低了设备采购成本，同时实现了以高档交换机作为核心交换机，建立以千兆为主干的先进的以太交换网络。 （1）高性能和可靠性 核心交换机采用双交换引擎和冗余电源方式替代双机热备份方式，减少了网络总体投资，同时确保了交换机工作的可靠性; 接入交换机千兆光纤上联到核心交换机，满足了网络中数据、语音、视频传输时的主干带宽要求; 服务器区交换机采用插槽式可扩充的三层百兆/千兆自适应交换机，可以针对服务器的数量灵活地扩充板卡，达到各进驻公司应用的要求。 （2）安全性 所选接入交换机端口采用了ACL技术，保证了对接入端口的控制。通过使用硬件防火墙实现网络的安全隔离; 通过部署华为3Com公司的EAD解决方案，确保只有合法用户才能接入到网络中来，从而保证接入用户的安全性; 通过网络防病毒软件，对网络中服务器提供防病毒保护; 使用漏洞扫描设备，对网络中存在安全漏洞的设备进行安全提示，预防病毒对存在漏洞的设备进行攻击。