集团网络改造方案建议书模板.doc

集团网络改造方案建议书 73 2020年4月19日 文档仅供参考 重庆翰华担保集团 网络技术建议书 年 月 日 目 录 第1章 项目背景 3 1.1 需求分析 3 1.2 网络设计原则 5 第2章 网络结构设计 8 2.1 网络设计 8 第3章 本方案的技术设计 9 3.1 路由协议的设计 9 3.2 VLAN设计 10 3.3 trunk链路的设计 11 3.4 访问控制（ACL）的设计 11 3.5 服务质量（QOS）机制 12 3.6 广播风暴的抑制 12 3.7 防止对DHCP服务器的攻击 12 3.8 防止基于流的攻击特性 12 第4章 具体解决方案 12 4.1 VLAN规划 12 4.1.1 划分VLAN的必要性 12 4.1.2 划分VLAN的方法 14 4.1.3 具体VLAN规划 16 4.2 IP地址分配原则 17 4.3 本次工程IP地址分配 18 4.4 网络设备自身的安全功能 20 4.4.1 用户严格隔离 20 4.4.2 有效防范MAC扫描和ARP攻击： 20 4.4.3 DHCP攻击、VLAN “Hopping”攻击的防范： 20 4.4.4 采用SNMP v3杜绝网管攻击： 20 4.4.5 有效抑制广播风暴 21 4.4.6 防治蠕虫病毒 21 第5章 H3C设备介绍 25 5.1 核心交换机 25 5.2 防火墙 30 5.3 接入交换机 36 第6章 附录 42 6.1 华三公司介绍 42 6.2 技术支持与售后服务 44 6.2.1 两小时厂家上门服务一年免费维保 44 6.2.2 服务组织机构 44 6.2.3 服务及时性保障 45 6.2.4 服务有效性保障 46 第1章 项目背景 1.1 需求分析 为满足翰华担保集团现代化办公的需要，需要建立一套现代化网络平台。重庆翰华担保集团拥有大量的服务器和主机设备，需要局域网络提供高速带宽支持。这就需要建设一套先进的网络系统，加速实现办公现代化，充分提高工作效率。 计算机网络系统为其它各子系统集成提供了基础，网络主干当前一般采用千兆，可平滑升级到万兆，同时达到100兆交换到桌面。包括建立有线与无线共存应用，多种服务和强大的数据库。网络设计必须遵循高可靠性、经济性、流量合理分布、传输时延最小和便于管理等原则，选择先进、可靠、符合未来技术发展趋势的组网技术。购置设备的选型要具有开放性、符合国际标准，兼顾先进性和成熟性，并与已有设备兼容，具有良好的可管理性。网络应具有高可靠性，包括设备可靠性、链路可靠性、路由冗余等。同时，骨干网具有支持IPv6协议、组播路由等下一代互联网技术的扩展能力。为员工提供Email、DNS、DHCP、FTP、BBS等网络基本服务，运行和维护基于Web的信息发布系统。划分专门的网段，运行和维护各类信息系统的服务器，提供数据中心服务。 选用的网络设备应是当今世界上较为先进、应用范围广，而且应与世界上其它主要厂商的产品具有良好的互连性。 根据整个厂区的网络信息点的分布。要充分考虑到：网络安全系统、网络地址要求、 网上多媒体系统、服务器、存储、备份系统、中心机房环境等。 网络规划，除了考虑到当前的实际需要外，对于网络平台的规划我们充分考虑现阶段网络技术发展的趋势，并提供长远的规划和扩展的考虑，实施完成后重庆翰华担保集团园区网络应充分满足以下几个方面： 高性能 随着IP电话、视频会议、网上业务、OA办公系统、电子邮件系统、ERP系统等应用的应用，网络需要承载各种信息流，将对重庆翰华担保集团内网以及外网网带宽提出较高的要求。高速网络是网络发展的必然方向，网络应该运用当今最先进的技术，而且应该满足今后若干年的性能需求。因此，我们建议的重庆翰华担保集团的基础网络结构： 1、以千兆为核心技术，支持万兆交换已成为组网的基本要求，千兆到接入交换机、千兆到服务器，、百兆到员工，应该成为重庆翰华担保集团网络建设的基本要求。 2、支持多种应用：建成后的重庆翰华担保集团网络是融合多种应用如数据、IP电话、视频、监控等的网络，网络在建之初就应该考虑的对多业务的支持。 3、对于一个大型的网络来说，VLAN的灵活划分是非常重要的功能，它为限制全网范围的广播、减少不必要的流量提供了有效的手段。在网络设计中应选择切实可行的技术进行VLAN的灵活划分。 高安全性 随着重庆翰华担保集团信息化建设的不断深入，在重庆翰华担保集团网络迅速壮大并推动业务快速发展的同时，也使重庆翰华担保集团面临着更加严峻的挑战：网络安全与网络管理日益成为关系到重庆翰华担保集团可持续发展的重大因素。当前常见的企业网络安全隐患主要来自以下一些方面： 1．网络级攻击：窃听报文 ，IP地址欺骗 、源路由攻击、端口扫描 、拒绝服务攻击。 2．应用层攻击 ：有多种形式，包括探测应用软件的漏洞、"特洛依木马"等； 3．系统级攻击：不法分子利用操作系统的安全漏洞对内部网构成安全威胁。 另外，网络本身的可靠性与线路安全也是值得关注的问题。 因此建成的重庆翰华担保集团网络系统应具有良好的安全性。能够对使用者进行验证、授权、审核，以保障系统的安全性。同时提供灵活的用户接入控制策略：及分布式控制和集中式控制。 高可靠性 重庆翰华担保集团网络系统承载着重庆翰华担保集团各种重要的业务数据，整个网络系统应具有高可靠性。除了采用高可靠性的网络设备以外还应考虑链路层和网络层的备份。 可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。 易管理、易维护 重庆翰华担保集团网络系统规模大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。 1.2 网络设计原则 网络平台是信息化建设的重要基础设施，必须从网络信息体系建设的全局考虑，将计算机网络建设为一个高起点，易于扩充、升级、管理和使用的网络系统。 先进性和实用性 网络规划既要以现实需要为出发点，又要考虑长远发展的需要和潜在的扩充，尽可能采取先进而成熟的技术和产品，使之在一定时期内都能保持较先进的水平。使网络带宽性能不但适应现在的需要，还能够满足未来几年数据量的要求。 在网络设计中，首先要考虑的是实用性，使之易操作、易管理和维护而且易于用户掌握和学习使用。其次要考虑对现有设备和资源的充分利用，采用成熟的网络通信技术和设备，保证原有的投资。 当前随着网络的声音、图像等多媒体应用日益增加，对网络服务质量，如带宽，延迟等有很高的要求。利用IP QoS、IP Multicast、MPLS等技术能够保证服务质量(QoS)满足用户要求。 可靠性与安全性 系统安全可靠运行是整个系统建设的基础。鉴于网络信息的重要性，要求网络系统要有较高的可靠性，各级网络应具有网络监督和管理能力；要适当考虑关键设备和线路的冗余，使其能够进行在线修复、更换和扩充；要确保系统数据传输的正确性，以及为防止异常情况发生所必须的保护性措施。 根据具体情况采用VPN技术、访问控制列表、子网隔离、防火墙和IPS等安全控制措施，以保证网络安全运行，拒绝未经授权的访问。 不但要求网络能够长时间的安全运转，同时要求网络设备具有较强的容错能力。在系统设计上，要从以下几个方面保证网络的可靠与容错: ①选用高可靠性的网络设备，在网络的关键部位采用冗余备份设计，避免单点故障，保证网络长期运行的可靠性。 ②采用优秀的网管系统对网络进行实时监控，以便及时发现网络故障。 ③采用可靠的备份系统，经过TFTP服务器定时备份网络设备配置。 系统设计能对关键数据提供可靠的保护；对网络病毒提供防范措施；网络数据要有可靠的备份，备份系统要求读写速度快，保密性好，可靠性高。 开放性与标准化 系统采用的硬件平台、软件平台、网络协议等符合开放系统的标准，并能够与其它系统实现互联，将采用大多数厂商支持的国际标准协议。 具体讲，主要从以下几个方面实现开放性和标准化； •采用工业标准TCP/IP协议。 •网络互联设备应支持多种协议，能与其它厂家设备互操作。 •采用支持SNMP协议的网管软件。 在总体设计中，应采用开放式的体系结构，使网络易于扩充，使相对独立的分系统易于进行组合调整。有适应外界环境变化的能力，即在外界环境改变时，系统能够不作修改或仅作少量修改就能在新环境下运行。 网络选用的通信协议和设备要符合国际标准或工业标准，将不同应用环境和不同的网络优势有机地结合起来。也就是说，要使网络的硬件环境、通讯环境、软件环境、操作平台之间的相互依赖减至最小，发挥各自优势。同时，要保证网络的互联，为信息的互通和应用的互操作创造有利的条件。 经济性与可扩充性 •扩展和升级 系统建设要考虑将来的扩展和升级，以免人力、物力、财力的浪费。网络设计不但要满足当前的需求，还要为将来的扩展留有余地，保护投资。网络设计采用国际标准的技术和符合标准的设备，系统软件或硬件升级都不应影响整个系统的运行。系统上结点的增减也应不影响系统的正常运行。 建成的网络系统必须具有良好的可扩充性和升级能力，其扩充和升级将以最低成本花费为前提。 •易于管理和维护 网络系统的所有设备都应是可管理的，会支持远程监控及对故障的过程诊断和恢复。经过网络管理工具，能够方便地监控网络运行情况，对出现的问题及时解决，对网络的优化提供依据。另外，网络的设计应采用简单易用的网络技术，降低运行维护的费用。 • 经济性 能够和现有网络无缝的连接，同时能够提升现有网络的性能。 在网络设备的选择上，既要考虑技术性能、市场份额、技术特色，又要权衡与原有系统整合的条件、人员的培训状况。本系统需要完整而成熟的最新技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性。 根据前面所作的现状与需求分析，我们提出以下的总体设计思想： 采用先进的万兆、千兆以太网以及快速以太网交换技术：当前，局域网建设模式是以千兆以太网为骨干、并具有万兆能力，设备间以百兆以太网交换的方式； 采用业界主流的交换机产品：在产品选型上采用业界最先进的产品，能够保证网络具有长期的产品升级、支持和维护； 在设备配置上兼顾先进性与适用性：采取最先进的设备配置能够保证网络的性能，但同时也造成网络建设成本的增加，因此，必须兼顾先进性与适用性，求得最佳的性能价格比； 面向应用的网络：当前，局域网应用的发展非常迅猛，各类新的应用技术和模式不断涌现，网络必须支持这种变化，满足新的应用的需求； 周密的网络安全策略：网络安全当前已经成为网络建设中非常重要的一个环节，对于局域网来说，网络安全的重要性就更显突出，必须制定周密的网络安全策略，最大限度地保证网络安全； 全面的网络管理与维护：网络管理与维护在网络的整个运行周期中起着非常重要的作用，因此在网络设计时必须充分考虑未来网络管理与维护的工作。 第2章 网络结构设计 根据重庆翰华担保集团的网络信息点的分布，我们建议使用核心层加接入层的方式来实现我们所需要的网络。 考虑到重庆翰华担保集团园区的规模和设计，我们建议在网络核心层使用一台核心交换设备，接入层交换机经过千兆链路连接到核心交换机，来满足对当前的要求。 2.1 网络设计 拓扑结构描述： 如图所示：整个网络拓扑结构分为核心层和接入层,下面我们就对整个网络结构做详细描述。 1． 中心部分是由防火墙、VPN网关、上网行为管理及核心交换机组成； 2． 为了保证WEB服务器能安全的为互联网用户提供服务，我们能够把服务器放在防火墙的DMZ区里面，来实现WEB服务器的对外提供服务； 3． 为了保证分支用户能安全高效的接入总公司的内网，我们在防火墙后面放置一台VPN设备用来做与分支机构互联的VPN网关。 4． 为了使用户更加安全的接入互联网，我们在出口处放置了一台上网行为管理设备，最大可能的保护用户连接互联网的安全。 5． 接入层:接入层交换机全部经过千兆铜缆的方式连接到核心交换机上的,同时楼层的接入交换机之间的级联也是经过千兆的方式进行级联的,这样就达到了骨干千兆,百兆桌面的网络结构。同时本次方案中,我们选用的是H3C的S3100-26TP-EI交换机,该交换机具有高安全性能,支持IP+MAC+端口的绑定功能,为用户的安全接入提供了可行性. 第3章 本方案的技术设计 3.1 路由协议的设计 在大型网络中，选择适当的路由协议是非常重要的。当前常见的路由协议有多种，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。 选择适当的路由协议需要考虑以下因素： 1）路由协议的开放性 开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不但保证了当前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。 2）网络的拓扑结构 网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。 3）网络节点数量 不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 4）与其它网络的互连要求 经过划分成相对独立管理的网络区域，能够减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是一般划分为一个自治系统（AS），在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。 5）管理和安全上的要求 一般要求在能够满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。 因此选择静态路由协议，对于厂区数据网网络性能的最优和安全性是非常重要的。 3.2 VLAN设计 在网络成为必不可少的工具、信息处理成为日常工作的重心后，VLAN技术的运用显得越来越重要。VLAN对于信息系统的意义体现在： 1. VLAN能够改进网络的通信效率。因为通信流量只局限于本子网中，不会对其它子网产生干扰。 2. VLAN能够避免广播风暴。在较大规模的网络中，大量的广播信息很容易引起网络性能的急剧降低，甚至使网络瘫痪。而VLAN使广播只在子网中进行，不会作无意义的扩散，从而消除了广播风暴产生的条件。 3. VLAN大大增强了网络及其信息的安全性。因为子网间无法随意进行访问，信息流通得到相当好的控制。 4. VLAN使网络的组织更具灵活性。网络用户在网络中的物理位置不会影响该用户逻辑上的访问权限，也就是说网络规划完全不会受到物理的限制。 VLAN的划分与IP子网的规划存在很大的关系。 具体的实施过程建议如下进行： 1．对全网的IP地址进行全面的规划，确定各子网内主机的数量，并根据IP子网内主机的数量确定掩码的长度。 2．确定IP子网的聚合点，聚合点以下采用连续的子网划分。使聚合点向核心路由器通告最少的路由。 3．选择合适的路由协议进行子网路由。 4．根据IP子网的规划，对交换机进行VLAN的规划和划分。建立VLAN和IP子网的对应关系。 5．网络管理系统采用完全独立的IP子网和VLAN，实现更安全的对所有网络设备进行管理。 6．根据信息流量的走向和分布，确定服务器集群的VLAN和IP子网。 7．在三层路由交换机建立相应的VLAN以及与VLAN绑定的IP子网网关。 8．建立相应的子网间的访问策略，在三层路由交换机配置访问列表。 3.3 trunk链路的设计 所有的接入层交换机全部采用的是H3C公司的3100EI系列的二层可管理千兆交换机，因为要满足因为地理位置不同，但部门是同一个部门的问题，同时IP要规划在同一个子网内；因此，我们能够经过在二层交换机上做trunk的方式，把网关都集中在核心三层交换机上来实现。 3.4 访问控制（ACL）的设计 对于那些确实具有网络接入许可，但试图访问未得到授权的网络资源的用户站点，H3C系列产品的多层交换引擎能在进行高效的第三层交换的同时，根据用户的IP地址限制其访问不被授权访问的服务器。 本方案提供的安全性是建立在网络的物理端口、虚拟网的逻辑界限和OSI网络模型的数据链路层、网络层的立体交叉的、多维化的安全保障。 应用ACL防范“冲击波”等蠕虫病毒： 最近发现的冲击波病毒，造成了很多地方感染，网络瘫痪。这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞。蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。 蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows ，可是能够造成Windows 系统的RPC服务崩溃。另外中毒的服务器会向网络发送大量无效的数据包，浪费有效的网络带宽，造成用户感觉上网速度慢，甚至使交换机等网络设备死机，因此我们能够利用S21系列智能交换机的ACL功能做出限制，禁止其转发和传播。 3.5 服务质量（QOS）机制 本方案采用的交换机支持802.1P、端口优先级、IP TOS、二到七层过滤等QoS策略，具备MAC流、IP流、应用流、时间流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。实现网络的高效、可靠运行,支持数据、话音和视频之间的无缝集成。为用户提供良好的QoS保证。 3.6 广播风暴的抑制 H3C S5510、S3100EI均能够实现基于端口的广播风暴抑止功能，可支持同一VLAN内的风暴抑止功能，能够有效的抑止局域网内部的广播风暴，确保网络的安全稳定。 3.7 防止对DHCP服务器的攻击 使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。 H3C S5510系列交换机能够支持多种禁止私设DHCP Server的方法。 3.8 防止基于流的攻击特性 H3C核心交换机S5510、接入交换机S3100EI均采用最长路由匹配技术，与传统的基于流转发的方式相比，更具有强大的安全特性，对于如：红色代码等病毒可具有较高的抗攻击能力，可确保网络的安全、稳定。 第4章 具体解决方案 4.1 VLAN规划 4.1.1 划分VLAN的必要性 VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，因此允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能能够获得较大的改进： 1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。 2.采用虚网技术能够将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，因此采用虚网技术能减轻系统的扩容压力，将迁移费用降至最小。 3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要协议为IEEE802.1Q，此协议结合有鉴别和加密技术以确保整个网络内部数据的保密性和完整性。 4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域，从而节省网络带宽。 5.虚拟局域网能够建立在不同的物理网络上，用封装的办法支法支持不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。 6.虚拟网络中的主要应用技术为“虚网中继”，VLAN Trunking特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主要是经过一条高速全双工通道(200Mbps)来)来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如下图所示： 如果采用VLAN trunking 的技术，则V1、V2、V3均可经过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1能够独占此100M带宽；而且能够使得线路的连接变得简单，从而大大提高可靠性与易维护性。 4.1.2 划分VLAN的方法 作为一个大型企业集团，为方便管理和维护，交换机必须要求支持灵活的VLAN划分，华三公司的S3100EI接入交换机不但能够支持标准的802.1Q VLAN，还能实现端口之间的隔离。 我们能够使用S3100EI支持的P-VLAN（primary-vlan）这个特性，一方面实现用户之间的隔离，另一方面能够为三层交换机节省VLAN资源。S3100EI能够屏蔽下面的VLAN划分，仅向三层交换机提供一个VLAN信息，在边缘交换机实现了端口能够同时属于多个Vlan； 如图所示：其中端口1为uplink端口，端口2，3，4为接入端口； Vlan 1：包含端口：1，2，3，4，5 Vlan 2：包含端口：1，2 Vlan 3：包含端口：1，3，4 Vlan 4：包含端口：1，5 设计中采用了几个secondary VLAN包含在一个primary VLAN中的方式，给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，能够采用了为每个用户分配一个secondary vlan的方式，每个VLAN中只包含用户连接的port和uplink port；如果希望实现用户之间二层报文的互通，能够将用户连接的端口划入同一个VLAN中；同时创立primary VLAN，该vlan包含所有secondary VLAN中包含的端口和uplink端口，这样对上层交换机来说，能够认为下层交换机中只有一个primary VLAN，用来标识设备，而不必关心primary VLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。 primary VLAN中的所有端口都是不是802.1Q的trunk端口，包括与其它交换机相连的uplink口。每个 port的PVID就是它所属secondary vlan的ID；uplink端口的PVID是primary VLAN的ID； 如下图所示： 这样VLAN 10和VLAN 20内的用户属于一个网段，分属不同的VLAN，在三层交换机上仅仅需要创立VLAN 30，它认为二层交换机上面仅仅只有一个VLAN 30，在二层交换机上配置VLAN 30为P-VLAN，包含从VLAN 10和VLAN 20，它们对三层交换机来说是不可见的。 将端口分配给VLAN的方式有两种，分别是静态的和动态的。 静态VLAN： 形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。 动态VLAN： 建议使用华三公司的802.1X实现动态VLAN功能。 我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在CAMS（后台综合访问管理服务器）中，CAMS根据用户端的权限归类，在认证经过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能（华三全系列交换机支持）。 4.1.3 具体VLAN规划 在重庆翰华担保集团网络建设中，首先，必须实现不同部门网络之间的互相割离。一般按照具体部门之间进行划分。本次项目奖建议使用此种划分方法。 我们建议使用VLAN技术，同时在核心交换机上配合使用访问控制列表实现不同部门之间的隔离。我们建议每个部门作为一个独立的VLAN，部门内部能够使用P－VLAN的功能，再进一步进行隔离。 从广播控制角度出发，为了保障网络的高可用和高性能，我们建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过50台，最好控制在30台以内，对于主机数量超过50的业务部门，我们经过二层隔离，三层交换的方式来解决。 对于服务器建议单独设置在一个VLAN中。 如果不同部门的人员之间需要实现互访，则只需要在核心交换机S9512上放开访问控制列表就能够了。 对于集团公司高层，需要能够访问各个部门资源，对于此类用户，我们只需在核心交换机上，不对其设置任何访问控制列表就能够了。 总之，任何访问控制要求，均能够经过访问控制列表的方式实现。 为避免混乱及出错，应对网络中的Vlan ID统一规划，禁止出现网中的ID相同而又不在同一个Vlan中的情形。另外，由于802.1Q协议支持至多4096个Vlan ID，按部门划分Vlan ID能够为以后管理带来很大的方便，比如一看Vlan ID即知是哪个部门的用户。 建议Vlan ID采用如下分配原则： （1）、Vlan1保留使用 （2）、为方便管理，建议按地理区域或分支机构划分一段连续的Vlan ID。 （3）、VLAN ID的分配按照每个部门占用一个VLAN ID的方式，该VLAN ID必须保证全网统一规划，不允许重复。 （4）、部门内部在使用P－VLAN技术隔离不同员工时，该VLAN ID不需要统一规划，但必须保证在同一台交换机上，P－VLAN ID不重复。 4.2 IP地址分配原则 IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。 IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于本期IP地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。 IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，具体的IP地址分配将一般在工程实施时统一规划实施，这里主要描述IP地址分配的原则。 主要的原则描述为： n IP地址分配要尽量给每个分支机构分配连续的IP地址空间；在每个分支机构网中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制； n IP地址的规划与划分应该考虑到个分支机构的发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； n 地址分配是由业务驱动，按照业务量的大小分配各地的地址段； n IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率； n 采用CIDR技术，这样能够减小路由器路由表的大小，加快路由器路由的收敛速度，也能够减小网络中广播的路由信息的大小； n 在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址。 n 充分合理利用已申请的地址空间，提高地址的利用效率。 IP地址规划应该是网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。 4.3 本次工程IP地址分配 IP地址规划应该包括两部分，外部地址和内部地址的规划，外部地址就是Internent上的公有地址，一般在申请的时候，电信会分配给若干个公有IP地址，由于外部地址我们使用电信分配的地址，因此我们先讨论主要部分，内部地址的分配。 内部IP地址应该本着易管理、易分配、易理解等原则来进行分配，由于我们规划的是内部地址，因此应该使用私有地址去规划。 RFC1918中定义的非Internet连接的网络地址，称为“专用Internet地址分配”。RFC1918规定了不想连入Internet的IP地址分配指导原则。由Internet地址授权机构(IANA)控制IP地址分配方案中，留出了三类网络号，给不连到Internet上的专用网用，分别用于A，B和C类IP网，具体如下： 10.0.0.0～10.255.255.255 172.16.0.0～172.31.255.255 192.168.0.0～192.168.255.255 由于重庆翰华担保集团内部的用户数量很多，我们建议采用192.168.0.0～192.168.255.255这个C类私有地址，子网掩码24位，即255.255.255.0，支持254个网段，每网段支持254个主机地址。 在前面的VLAN规划中，我们建议每个部门使用一个VLAN，在进行IP地址规划时，需要和VLAN规划结合其它，使每个VLAN占用一个独立的网段。 考虑到内部每个部门的信息点数不会超过254个信息点，因此，我们建议给每个部门分配一个C的IP地址，即使用255.255.255.128作为掩码，每个网段能够支持254个主机。 例如192.168.0.0这个网段，采用255.255.255.0这个子网掩码，划分的网段主机如下： 192.168.0.0－192.168.0.254 网络地址：192.168.0.0 广播地址：192.168.0.255 192.168.1.0-192.168.1.255 网络地址：192.168.1.0 广播地址：192.168.1.255 192.168.2.0-192.168.2.255 网络地址：192.168.2.0 广播地址：192.168.2.255 192.168.3.0-192.168.3．0 网络地址：192.168.3.0 广播地址：192.168.3.255 这种划分方法比较容易管理，也很便于网管人员理解，每个网段支持254台主机，符合Vlan划分的原则。 在具体进行IP地址规划时，建议将192.168.0.0这个网段留出，用作特殊地址分配。 网络设备地址： 网络设备地址主要用作网络交换设备的带外管理地址，地址分配为192.168.0.2－192.168.0.254。对应我们的管理VLAN。 服务器部分地址 相关服务器的地址手动分配，我们保留192.168.1.1－192.168.1.254，这个网段作为服务器的网络地址。每个分支机构的服务器使用与该分支机构相同的VLAN ID，分配一个独立的网段，比如使用192.168.1.1-192.168.1.4, 255.255.255.252的掩码，该网段能够容纳2台服务器。 具体主机的地址分配可按需分配。 备用地址 192.168.2.0这个地址段留做备用地址。 由于重庆翰华担保集团内部使用的是私有IP地址，要访问Internet必须进行地址转换，地址转换的工作在出口路由器设备上进行。建议申请多个有效IP地址，一部分留给对外的服务器使用，一部分作为地址池，共地址转换使用。 4.4 网络设备自身的安全功能 4.4.1 用户严格隔离 方法一：用Vlan隔离。在楼层以太网交换机上按端口划分Vlan，每个用户占用一个Vlan。 方法二：利用PVlan技术。在楼道交换机上划分PVlan，使用户端口之间不能通信，用户端口只能和Uplink口通信。 方法三：使用以太网MUX设备。该类设备将接入层交换机的端口分为两类：上行口Uplink和用户端口。用户端口之间不能通信，Uplink口能够和所有端口通信。 经过用户隔离，能够防止用户对网络邻居的工具，阻止冲击波等蠕虫病毒在园区网上的传播。 4.4.2 有效防范MAC扫描和ARP攻击： MAC地址表放置在内存中，容量有限，用户经过不停的发送MAC地址冲刷MAC地址表，经过MAC地址表溢出来更改MAC与IP地址的绑定，从而重新定向流量(CAM Overflow, macoftool工具)。ARP攻击与此类似，它是经过对交换机CPU的处理能力进行大容量冲刷造成其溢出而实现其攻击的。华三S3100EI交换机经过将MAC地址与端口绑定与IP、并限制端口下MAC地址的最大学习个数，从而有效地防止MAC扫描，同时也可有效地防范ARP攻击。 4.4.3 DHCP攻击、VLAN “Hopping”攻击的防范： 使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。 由于DHCP是经过二层广播包起作用的，故在二层严格隔离用户，可防止DHCP Server假冒。为解决DHCP Smurf，在以太网接入时，对用户划分Vlan，由汇聚层交换机控制一个Vlan下申请的最大IP地址数，当该Vlan的IP地址数目达到限制值后，拒绝新的DHCP申请。Vlan的划分可根据企业的实际情况灵活掌握。华三S系列