资源预览内容
第1页 / 共34页
第2页 / 共34页
第3页 / 共34页
第4页 / 共34页
第5页 / 共34页
第6页 / 共34页
第7页 / 共34页
第8页 / 共34页
第9页 / 共34页
第10页 / 共34页
亲,该文档总共34页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
*电业局安全存储网络建设技术建议书二零零九年十月目 录安全存储网络建设技术建议书11概述31.1项目建设背景需求31.1.1网络现状31.2网络建设目标31.3网络建设原则32整体方案设计42.1组网方案42.2方案建议及设备选型依据43网络解决方案53.1IP 地址规划53.2VLAN规划63.3路由规划63.4QOS 设计63.5设备介绍83.5.1S9300系列交换机系统特性83.5.2Oceanspace S2000系列存储系统164安全解决方案204.1安全体系层次设计204.1.1层次一:物理环境的安全性(物理层安全)204.1.2层次二:操作系统的安全性(系统层安全)204.1.3层次三:网络的安全性(网络层安全)204.1.4层次四:应用的安全性(应用层安全)214.1.5层次五:管理的安全性(安全管理)214.1.6总体部署214.2入侵检测系统部署224.2.1安全风险分析224.2.2安全风险解决224.2.3智能网络入侵检测设备234.2.4NIP 1000性能指标284.3终端安全管理系统部署304.3.1终端安全管理系统304.3.2安全监控功能334.3.3资产管理应用功能334.3.4安全接入控制网关应用344.3.5Secospace系统性能指标341 概述1.1 项目建设背景需求1.1.1 网络现状*电业局网络建设主要分为内部办公网络和外部互联网络两部分,现有核心设备是用的是华为5500系列交换机,交换机使用年限已久,随着网络规模的不断扩大,现有网络接口已逐渐不能满足网络的需求;内部服务器数量已达到10台左右,数据量增加的比较快,需要一套网络存储设备。内部安全需要进一步的管理。1.2 网络建设目标为了提高整网核心的可靠性,设计考虑设备冗余(电源、超级引擎采用双配置),为整网提供更加稳定的网络服务。华为核心设备最多支持144个光接口,能够极大地满足现在及将来网络的需求。1.3 网络建设原则我单位针对*电业局存储及安全工程将采用华为先进的高端电信级设备作为构建网络的基础单元,建立一个高带宽、高可用性及高可靠性的数据网络,为濮阳县电业局业务系统提供强有力的保证,本次工程基于以下原则进行:综合性:将网络建设成为不仅支撑现有濮阳县电业局数据业务,而且支撑未来实时业务的综合业务传送平台。支持QOS:能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预留,拥塞控制,报文分类,流量整形等强大的IP QOS功能。高可靠性:具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。高性能:在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。安全性:具有保证系统安全,防止系统被人为破坏的能力。扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。开放性:符合开放性规范,方便接入不同厂商的设备和网络产品。标准化:通讯协议和接口符合国际标准。实用性:具有良好的性能价格比,经济实用,拓扑结构和技术符合骨干网信息量大、信息流集中的特点。2 整体方案设计2.1 组网方案出于安全性和稳定性的要求,工程中采用电信级核心层交换机从而提高整网结构的健壮性、可靠性,高效性。在存储方面采用华为2300的存储,可提供96T的存储容量,满足将来存储的需求。2.2 方案建议及设备选型依据根据*电业局数据库项目的技术规范要求以及华为公司全系列数通产品及解决方案特点,本着满足业务优先、先进实用、平滑演进等原则,我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下:网络档次高、层次分明:采用最高能力交换机,按照网络层次依次选择合理产品,各层次产品之间系列化程度高,可靠性强。负载分担的网络:以最大化网络资源负载分担为原则,通过设备间链路的分配调整,实现网络资源合理分布,增加可靠性。安全的双平面的设计:本次为网络结构通过充分利用两期建设中的设备,充分保证网络安全备份及冗余性,整体提高网络的可靠性等级系数。 良好网络兼容性能:在现网大量的应用环境中,华为设备表现出与其他设备厂商良好的互通性,在各大电信运营商网络都有商用。优化的网络性能:华为建议的部署方案,能够保证网络在故障情况下快速实现业务流量疏导,提高整个网络质量,保证网络能够承载。多业务的IP网络:优化后的网络具备极强的可扩展性能,除了具备大流量承载能力,还可提供IPTV等多种业务。平滑的割接方案:华为公司有丰富的网络割接经验,可以保证网络调整到合理的结构,并保证现网业务尽可能的不受影响,保证平滑割接。平滑的向IPv6过渡:我单位本次采用的华为产品具备IPv6高性能转发,满足未来性能要求,并支持多种过渡解决方案,例如IPv4/IPv6双栈、多种过渡隧道等等,是业界过渡方案中最好的产品,能够极大方便实际网络IPv4-IPv6过渡的灵活性。3 网络解决方案3.1 IP 地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。需要在所分配的IP地址网段中尽可能地利用地址空间,充分考虑地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将*电业局业务工作的可用性、可靠性和有效性以及保密性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。IP地址规划遵循以下原则:1. IP地址的规划与划分应该考虑到业务飞速发展,能够满足未来发展的需要;即要满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;2. IP地址的分配需要有足够的灵活性,能够满足各种用户接入;3. IP地址的分配可以采用VLSM技术,以保证IP地址的利用效率;4. 充分合理利用已申请的地址空间,提高地址的利用效率。3.2 VLAN规划VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法: 1. 基于端口的VLAN划分 2. 基于MAC地址的VLAN划分 3. 基于路由的VLAN划分 而本期项目中以基于端口和基于路由的VLAN划分方法为主,除了公共VLAN,网管VLAN,关键领导VLAN等特殊网段,按照部门和单位进行其他VLAN网段的划分。3.3 路由规划在所建网络系统中将涉及*电业局内部不同虚拟网络之间的路由转发以及与外网之间的互联,因此需要结合实际,在汇聚交换机对三层转发协议进行设置,由于通过VLAN隔离业务,在接入层交换机启用二层接入功能,网关设在汇聚交换机,VLAN终结于汇聚交换机。3.4 QOS 设计在传统的IP网络中,所有的报文都被无区别的等同对待,每个路由器对所有的报文均采用先入先出(FIFO)的策略进行处理,它尽最大的努力(best-effort)将报文送到目的地,但对报文传送的可靠性、传送延迟等性能不提供任何保证。随着IP技术的日趋成熟,IP网络电信化已经成为大势所趋,于是形成了语音、视频、数据等多种业务IP统一承载,由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求,因此就必须在网络中部署相应的QoS技术,使得网络管理者能够有效地控制网络资源的使用,能够在有限资源的IP平台上综合语音、视频及数据等多种业务,能够区分业务、针对不同的业务提供特色的差分服务。QoS旨在针对各种应用的不同需求,为其提供不同的服务质量,例如:提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的,QoS提供了下述功能:1. 报文分类和着色2. 避免和管理网络拥塞3. 流量监管和流量整形4. QoS信令协议在*电业局数据库项目网络构建中,将会设计合理的QOS保障方案,利用有限的资源,以获得更好的网络使用效益,是非常必要的。良好的QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较小延时,恶劣情况下保证关键业务得到应有的网络服务。衡量QoS的指标包括:带宽/吞吐量 - 指网络的两个节点之间特定应用业务流的平均速率;时延 - 指数据包在网络的两个节点之间传送的平均往返时间;抖动 - 指时延的变化;丢包率 - 指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力;可用性 - 指网络可以为用户提供服务的时间的百分比。在*电业局数据库项目网络中QOS方案部署如下:接入层交换机接入端口不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记,以便后续的汇聚交换机和核心交换根据相应优先级标记(802.1P、DSCP)进行调度,当然还可以根据策略的需要部署CAR流量监管策略,对用户的接入速率进行控制,保证*电业局网网络始终处于健康(轻载)的运行状态。本次工程采用的S9300高端交换机均支持选择性SVLAN功能(灵活QinQ),可以在同一个物理端口上支持根据单层VLAN ID灵活加载外层VLAN ID,同时能够透传标准VLAN(单VLAN)流量。上述功能实现没有VLAN ID范围数量的限制,对于设备性能没有影响。支持根据802.1p参数、入端口、入VLAN ID等条件进行双VLAN透传、双层VLAN改写外层VLAN、双层VLAN改写内外层VLAN等并且支持在同一物理接口上对以上操作的并行处理。并支持TPID可配置,同时对设备性能没有影响S9300交换机提供完善的Diff-Serv/QoS支持。支持基于源端口、源VLAN ID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞避免方法(WRED、Tail-Drop)、队列调度(WRR、SP)和输出流量整形等功能,支持802.1p 的8个优先级。完全做到业务区分并保证带宽/时延/抖动,可以为用户提供具有不同服务质量等级的服务保证,使IP网络真正成为同时承载数据、语音和视频业务的综合网络。3.5 设备介绍3.5.1 S9300系列交换机系统特性Quidway S9300系列以太汇聚交换机(以下简称S9300)是基于华为公司统一的VRP(Versatile Routing Platform)系统而推出的下一代以太网汇聚交换机,提供整机高达2T交换容量,二、三层线速转发能力,具备强大组播功能,EPON接口和完善的QoS保障,满足城域网、企业园区网对Multi-Play业务承载和全光接入的组网需求,为运营商和企业网提供强大的网络交换和业务运营能力,支持IP专线、VPN、IPTV、IPv6等多种业务。S9300系列包括S9303、S9306、S9312三个产品形态,整个系列秉承模块通用化、归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。S9303
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号