《XX农业发展银行网络建设设计方案——思科.doc》由会员分享,可在线阅读,更多相关《XX农业发展银行网络建设设计方案——思科.doc(40页珍藏版)》请在三一办公上搜索。
1、新疆农业发展银行网络建设设计方案思科系统(中国)网络技术有限责任公司2006-12目录第一章、网络发展趋势、需求分析及设计原则31.1 网络的发展趋势31.2 局域网建设的需求分析41.3 局域网建设的设计原则4第二章、网络建设技术方案62.1组网分析62.2组网方案6第三章、组网技术介绍123.1产品关键技术123.2网络设计技术123.3网络安全技术133.4其他考虑因素18第四章、未来网络安全策略的考虑204.1 Internet与Externet接入的安全设计214.2拨号接入的安全设计224.3内部局域网的安全性保证234.4建立统一的安全策略244.5 应用于整个网络的安全特性26
2、第五章、网络安全服务质量设计27第六章、网络管理设计33第七章、小结40 第一章、网络发展趋势、需求分析及设计原则随着Internet技术的不断更新,电子商务技术越来越成熟。电子商务技术改变了传统的企业经营方式,极大的方便了企业的客户,特别是对大的企业,政府行业,商业企业,金融行业电子商务更为重要。目前世界上已经有不少利用电子商务取得成功的企业的例子。1.1 网络的发展趋势电子商务是基于Web的交互式应用,需要网络具有内容意识。并且该网络必须高度可用,因为故障停机直接导致丢失客户,损失收入。该网络必须提供最高水平的服务,增强客户满意度和竞争区别。而且,它还必须能使企业具备敏捷性、能够迅速部署新
3、电子商务应用。我们认为众多企业将发展成“技术公司”。过去,很多企业的技术集中在事务处理自动化上。但是,为了跟上Internet经济的脚步,很多竞争者需要建立与其客户的全面电子连接。IT预算在未来的两到三年内将增加两倍,原因是更多的企业开始不仅将技术视为成本中心,还视为战略性可持续竞争优势的源泉。通过基于Web的人力优化开发,企业每年能以7-25%(非利息开支)的速度提高生产率。这样可以节省出足够的资金用于所需技术和网络基础设施。最基本的一点是,提高公司利用新兴技术的能力与管理影响其业务的其它因素一样重要,企业还必须帮助客户减少人力密集型的处理事务。Internet正在改变传统企业的业务模式以及
4、客户、伙伴和供应商在市场中的运作方式。成功的机构将企业网视为获得竞争优势的必要战略资源。这一趋势的主要推动力是公司希望通过利用机构协作改进业务。部署企业网在战略方面均有重要意义。我们可以看到网络技术的发展趋势: IP协议成为主导的网络通信协议 数据网络、话音网络、视频网络三网合一; Internet/Intranet应用成为主流; 网络安全成为用户建网必须考虑的重要因素 网络发展成为能识别应用的网络技术,也就是智能网络; 光纤互联网成为网络热点等等。 网络接入技术主要采用:以太网、SDH、DDN专线、ATM等。1.2 局域网建设的需求分析网络是业务数据传输的公共通道。根据业务性质不同,各项业务
5、可以有自己的处理系统,也可由若干项业务组合成一个处理系统,但各系统的数据最终通过中心局域网进行传输。在局域网网络方案设计中,根据企业目前和将来应用情况,中心局域网的建设将成为高带宽的、端到端的,以IP协议为基础的整和数据、语音和图象的多业务网络,同时将来可以建立统一的安全策略、QoS策略、流量管理策略和系统管理策略,新建立的网络应该成为未来3-5年内符合行业业务发展和网络技术发展的优秀平台。客户网络通常存在的问题: 从网络的结构与管理角度:很多企业的数据网络结构是一个基于不同业务应用的分离网络体系结构,其缺陷是不利于网络的扩展,难以实现统一的网络管理。 从网络的先进性角度:大多数企业目前采用的
6、网络属于传统企业网数据网络的概念。随着采用TCP/IP协议的语音、视频多媒体应用的发展成熟,数据网络与传统的话音、视频网络已经相互融合,网络发展的方向是建立先进的以统一IP为基础协议,实现语音、视频等多服务集成功能。企业采用基于IP协议的语音、视频技术,比采用任何专用的语音、视频技术更节约资金,更容易进行实施,同时也更开放,具有最灵活的兼容性。实施IP语音、呼叫中心、视频应用可以有效的节约企业内部通讯的费用,控制话费的增长,降低企业运营成本,提高企业利润,竞争能力。 从网络的安全性角度:企业局域网中应该有层次清楚的安全防范体系,有统一的安全管理策略。1.3 局域网建设的设计原则从业务的具体需求
7、以及降低网络运行费用目的出发, 企业数据通信网络网应以IP协议为基础,可以整合数据、语音和图象(H.323协议)多媒体应用,并且可以为不同的应用创造一个开放的统一的一体化网络平台。 建立一个端到端的,以IP为基础的统一的一体化网络平台,支持多协议,多业务,安全策略,流量管理,服务质量管理,资源管理。 局域网的建设要满足全网统一管理、局部管理的要求。 各级网络设备要以IP协议为基础的各类业务数据为主,同时满足OA业务数据的要求。 数据网络平台上可以增加网络的多业务功能,节省网络的运营成本。 支持高智能化的自动呼叫路由功能的客户服务中心的要求,能实现今后可能的集中式和分布式客户服务中心的各种远程呼
8、叫、转移等功能。 支持IP数据网络平台上整合视频功能,同时应该支持全网的基于H.323的电视会议和远程教育应用,提高员工的工作效率和素质,降低业务的运行成本。 应提供完整的网络安全解决方案,即动态和静态的网络安全防范、通信加密、与互联网连接和中间业务系统连接的安全防范功能、入侵检测报警,实施统一的安全策略。 考虑到某些业务对实时性的严格要求,在实施网络带宽管理和质量服务上,优先保证实时业务带宽占用和优先级别。对语音及视频应用,网络可以提供带宽、延时、抖动的品质服务。 各级网络中心的设备选择,主要依据现有业务数据量和现有管理信息业务及OA业务数据量,同时考虑业务在几年内增长导致的网络规模能力的扩
9、充。第二章、网络建设技术方案下面我们将详细阐述本次新疆农业发展银行网络建设方案与实施。这种构架是一种被证实的,基于标准的层次化设计,采用了易于复制的模块化的方法。此种设计提供了一个具有高性能、可预测性和最大可用性的安全的网络, 而且未来可以方便的进行网络升级使用新业务和基于本次网络建设的IP电话应用或者无线应用。2.1组网分析本次网络建设主要分为两级架构其中包括接入层和核心层。接入层,它负责将用户连接到网络的其他部分。因为这是进入网络的第一个接入点,是对合法用户和设备实行认证的理想地点(如防止恶意WLAN接入点等)。同样的,接入层也是对用户流量进行分类和实现端到端QoS 控制的逻辑点,接入层必
10、须支持一些分布层的关键特性,从而实现设备和网络的永续性(例如双连接主机和第一跳路由器冗余)在这里我们选用了Catalyst3560三层交换机设备与银行原有的Catalyst3550 ,Catalyst3750交换机共同使用。网络核心层,网络的心脏是该网络的核心层。该局域网核心层可将所有数据中心和WAN汇聚(各地州分行站点之间)全都连接起来。这里的核心层包括两台相同的Catalyst 3750交换机,Catalyst 3750配置有高性能的处理引擎,分别双连接到以千兆连接线路所服务的接入层交换机和关键业务服务器上面。在核心层中采用双交换机的目的,是可以提供尽可能最好的系统级冗余性,从维护和运行的
11、角度说,冗余拓扑结构可实现绝好的收敛性和可用性,因此我们在本次方案设计中采用了双交换机配置。在下面,我们将按照新疆农业发展银行网络情况做具体的组网方案介绍。2.2组网方案局域网拓朴结构图如下: 新疆农业发展银行用户的局域网作为整个企业网络的核心,担负着本地用户和服务器之间、远程互连设备和服务器之间高速通讯枢纽的重任,全网范围的OA应用,生产、支付等业务数据都需通过其进行交换,必须提供高速的传输性能和高可靠的容错支持,我们在这一层采用了Catalyst3750交换机,以提供更高水平的设备冗余。结合可靠的网络设计,这些Catalyst3750的特性可以帮助用户防止由于网络故障而造成重要业务失去网络
12、连接。新疆农发行网络设计要充分考虑到安全性和可扩展性。在如下的方案设计中,以双中心核心交换机,双主干交换机连接,并且从安全性来考虑,以分区的方式来设计,便于以后安全设备的连接和网络控制。2.2.1 网络设计思路网络的数据中心部分将被称为“服务器群集”,因为它的作用是将很多服务器汇聚起来。它也是我们提供很多增值服务来增强服务器集群永续性、实现多个服务器负载均衡,提供先进的存储网络解决方案的地方。我们相信,只有思科能够提供如此广泛的解决方案、网络设计和专业支持来实现成功的服务器集群网络。关于分支机构的WAN的连接,我们的解决方案提供了针对未来WAN发展方向和服务的更大灵活性。为了实现真正端到端兼容
13、的特性和功能,很多电信运营商的基础设施完全建立的思科的产品和技术之上。所以您可以从端到端思科产品中获益,包括你的广域网服务供应商。 此方案的设计中,中心机房分为两个区域,即服务器区域和楼层接入区域,由高性能的交换机来做核心交换设备。核心交换机是其他几个区域互相通讯的交换核心,也是楼层交换机的汇聚,因此必须具备高性能,中心交换机所有端口必须是千兆端口,而且至少能够支持4个以上千兆接口,以方便今后升级。核心交换机是网络的心脏,一旦瘫痪后果不堪设想。目前网络病毒流行,蠕虫病毒常常使核心交换机瘫痪。因此核心交换机Catalyst3750具有很强的抗风暴功能,能够对CPU进行限速和控制层面的策略管理,保
14、证风暴不会占用100% CPU带宽,从而防止宕机,管理者和控制台还能够对网络设备进行管理,清除病毒影响。网络管理和故障分析经常需要用到端口监听和协议分析,对于管理员来讲,需要在任何地方都能够实施对网络的监听和监控,因此,核心交换机Catalyst3750和楼层交换机Catalyst3560支持端口镜像功能和远程端口镜像功能,保证管理员能够方便地对端口进行监听分析。为进一步提高网络的安全性和管理性,核心交换机能够支持网络分析功能,能够记录下所有数据报,在出现网络安全问题时,能够重现问题现场,准确定位攻击源,定位问题影响范围。Catalyst3750可以快速定位IP地址冲突位置,能有效防止或减少I
15、P地址冲突,确保服务器IP段的IP地址不会冲突;提供可靠、有效的网络管理软件,可以监控、管理已有的LAN、WAN设备,可以快速进行设备故障定位。提供安全高效的内网安全保护,部署高性能的安全隔离系统,实现内部不同VLAN之间的隔离保护;可扩展配置高性能的入侵检测系统,监控网络入侵,利用和安全隔离系统的联动,避免网络入侵可能带来的损失。2.2.2 核心交换机考虑基于以上的设计思路,以及新疆农发行网络用户在网络新挑战下的实际需求,核心交换机中应该可以支持交换机的流量分析,并且可以进行抓包分析,方便进行故障重现,同时也容易判断网络病毒的感染源。在这里,我们建议使用Catalyst3750企业核心交换机
16、,我们设计的是一个Catalyst3750三层交换平台,它可以提供高速访问控制列表(ACL)和服务质量(QoS)。在这里,我们建设了一个两级的扁平化网络,这能够帮助我们节省一些成本,因为所需设备更少,同时降低整个网络的复杂度。当然还需要一些前提条件,比如光纤设施,所提供的光纤要足以实现核心层与分布层合并为一层。各楼层终端设备通过楼层交换机千兆光纤或电口分别上联到两台核心交换机,交换机要具备背板堆叠功能,能够提供高的背板带宽和安全特性,端口地址绑定和端口流量控制功能,具有自动屏蔽广播风暴的功能防止风暴的蔓延。支持QOS的分类,标记和策略转发,以适应今后多更多应用的需求。根据以上的网络需求,我们再
17、次强调,中心局域网络作为整个农发行网络的核心,担负着本地用户和主机和各种服务器之间、远程互连设备和服务器之间高速通讯枢纽的重任,全网范围的业务数据、监控数据和OA应用的数据都需通过其进行交换,必须提供高速的传输性能和高可靠的容错支持。作为生产系统的核心交换机,Catalyst3750具备丰富的容错功能,支持容错时钟系统、三级背板容错、容错负载均衡的风扇系统以及容错的千兆位连接。两台Catalyst3750之间采用Cisco尖端的GigbitChannel技术,直接利用扩展插槽上的千兆位端口通过两条负载均衡的千兆链路互连,每台Catalyst3750上标配24个千兆位电口交换模块,用以连接各楼层
18、交换机和千兆连接的Server。如要提高网络可靠性,尽可能减少单点故障,服务器、路由器和网络之间可以采用双网连接。Catalyst3750支持动态VLAN技术和强大的VLAN间防火墙功能,特别适合大企业网络多业务环境下严格的安全要求,同时Catalyst3750也支持各类千兆以太网模块。Catalyst3750还可提供丰富的三层交换能力,并且可以支持IP电话,完全能满足作为数据中心核心交换机的能力以及对IP电话、视频等新业务的支持。内置Cisco先进的Netflow技术同时提供跨VLAN之间数据的高速、安全交换。Catalyst3750内部丰富的QOS功能可以保障不同应用所需的网络性能。本次设
19、计中,主路由器Router 3725通过原有防火墙设备接入Catalyst3750,达到任何一台交换机出现故障,都不会影响网络的正常运行。核心层交换机Catalyst3750位于数据中心,我们要求它能对各分布层交换机VLAN具有极强的控制能力,在此,我们利用了Cisco的VTP(VLAN Trunk Protocol,VLAN中继协议)技术。利用Cisco的VTP技术,我们将全网所有的交换机设置在一个VLAN的管理域(Domain),将核心层交换机Catalyst3750设置为VTP服务器(Server),各楼分布层交换机设置为VTP客户机(Client),当系统运行后,我们只需在数据中心的核
20、心交换机Catalyst3750设置相应的VLAN控制信息(例如VLAN标识符,各VLAN的安全级别和控制权限等),通过VTP的同步功能,系统会自动将上述VLAN控制信息转发到同一个VLAN管理域的各客户机上,使各分布层交换机不用手工设置相应的VLAN信息即可从服务器上得到正确和统一的信息,当核心层交换机VLAN信息发生改变时,系统会自动与全网同步。而各楼层交换机则不能自行设置相应的VLAN信息,保障了全网VLAN控制的同步和统一。通过VTP的设置,使我们在核心交换机的VLAN控制上,获得如下的优势:减少系统管理员的工作量、提高VLAN的安全性、便于VLAN的修改和移动、便于全网VLAN信息的
21、同步等。2.2.3 楼层交换机考虑对于楼层交换机,需要能够支持三层网络协议,支持对整个交换机的端口进行监听以方便管理。由于上连线路往往会成为瓶颈,所以,楼层交换机需要支持以太网聚合,并且支持多个聚合组,每个聚合组支持4个或以上千兆聚合。我们推荐在楼层布线间放置Catalyst3560三层交换机。Catalyst3560用于为所管辖范围内的所有PC机提供100Mbps或者1000Mbps的连接,它又提供了高速的上连中继通道(Trunk)连接到核心交换机,通过千兆电口分别与两台核心交换机Catalyst3750进行千兆的连接。Catalyst3560是很好性价比,很高性能,特点丰富的以太网交换机,
22、可以提供48口10/100M的接口,并带有模块化的四口千兆上联端口。对布线室所需的带宽,性价比,企业版的软件提供了统一的交换方案。2.2.4 各分行网络设计本次为每个地州分行选用Catalyst3560三层交换机,采用链路聚合方式与各分行原有的Catalyst3550冗余连接后接入各分行防火墙,通过分行接入路由器汇总至新疆农发行数据中心。拓扑结构图如下2.2.5 参考产品配置清单设备型号设备描述数量CISCO37253700 Series, 2-Slot, 2 FE, Multiservice Router 32F/256D2CISCO28212821 w/ AC PWR,2GE,4HWICs
23、,3PVDM,1NME-X,2AIM,IP BASE,64F/256D1WS-C3750G-24TS-ECatalyst 3750 24 10/100/1000 + 4 SFP Enhcd Multilayer;1.5RU2WS-C3560-48TS-SCatalyst 3560 48 10/100 + 4 SFP Standard Image18GLC-T=1000BASE-T SFP3NM-2W2 WAN Card Slot Network Module(no LAN)1NM-2FE2W-V22 port 10/100 Ethernet with 2 WAN Card Slot Netwo
24、rk Module1第三章、组网技术介绍3.1产品关键技术路由协议支持我们是路由技术的世界领先者,既可选用业内使用最广泛的OSPF、BGP、IS-IS和RIP版本2等基于标准的协议,也可选用成熟可靠的增强型内部网关路由协议(EIGRP)等思科协议。必须注意的是,EIGRP还可提供一些您可能需要考虑的额外好处,如配置比较容易(不需要考虑骨干区域等)、因处理要求较低而降低了总体CPU利用率以及可适应未来网络扩容的更强的拓扑结构灵活性等。此外,可实现分层路由汇总和过滤的EIGRP非常适合于为用户建议的分层设计。3.2网络设计技术VLAN和子网划分通常用户都有一种要求,就是在两个接入层交换机之间共享一
25、个子网的设计。为支持这一功能,就必须采用生成树协议。思科公司可以提供符合VLAN 802.1w标准的快速生成树,从而确保对每个VLAN的快速故障切换。在这一设计中,每个子网均被映射到一个VLAN,相应地也有它自己的生成树。在此必须指出,思科公司所推荐的最佳实践是,在每个配线间中采用一个子网(VLAN)或者一个配线间多个VLAN,但要避免一个VLAN跨多个配线间。这可提供一些关键优势。首先,可以无需再使用生成树,因为不存在第二层环路。其次,可实现更加确定的故障切换,因为采用一个单独的第三层控制平面,而非必须映射到某个第三层域的生成树域。用户可通过采用两种方法之一来实现这一目的。首先,通过采用思科
26、公司所推荐的RFC1918专用地址空间,就能在网络中部署更多IP地址。此外,可采用可变长度子网掩码(VLSM)来进一步划分三个现有子网。如果实施这些建议,则无需再使用生成树,从而确保了更快速的故障切换和对上行链路带宽容量的更好利用,因为生成树总会将一条链路设为“阻塞”状态。默认网关冗余性为实现默认网关冗余性,思科公司提供了网关负载均衡协议(GLBP)。这个协议的基础是思科公司多年来一直在部署的热备份路由协议(HSRP)。同HSRP一样,GLBP可确保当默认网关交换机发生故障时,存在一个备用交换机来接替工作。然而,GLBP提供路由器冗余弹性时同时在两条上行链路上均衡负载流量,而HSRP和VRRP
27、则相反,只能同时利用一条上行链路。GLBP允许两台分布层交换机同时激活地在每个方向上转发数据。对用户来说,相当于增加了一倍可用带宽。 另外的好处时,当一条上行链路或一台分布层交换机发生故障时只会影响到50%的用户。另外50%的用户在使用另一条路径,完全不会感到任何中断。GLBP能够和单条上行链路或802.3ad聚合链路一起工作。如果您想保持和其他非思科路由的互操作,思科也支持基于标准的VRRP。3.3网络安全技术部署安全功能,确保高可用性在当今的网络架构中,安全是需要考虑的重要因素,因为它会直接影响到网络的可用性和永续性。用户网络、分支机构或数据中心拓扑结构也许具有抵抗链路故障的永续性,但这并
28、不能防止拒绝服务攻击导致的网络宕机。这里会介绍一些可对网络可用性产生影响的攻击,以及Catalyst交换机如何解决这些问题。3.3.1用伪流量进行网络泛洪攻击拒绝服务或蠕虫攻击会导致网络链路的泛洪,填满设备缓冲器和交换机之间的以太网链路。随之又会严重破坏话音质量并极大降低应用的“有效吞吐率”(“有效吞吐率”一词系指所实现的真正应用吞吐率,它与交换机的原始吞吐率无关)。这些蠕虫多是利用各种不同的TCP或UDP流来扫描网络的。这就导致网络上的数据流量大大增加。下一节中讨论的其他一些特性将介绍因流量过多而导致的问题及其解决办法,然而链路拥堵问题是比较复杂的:导致这一问题的并不是单个流量,所以我们必须
29、限制一条链路上的所有流量。可通过采用Catalyst QoS Scavenger Class(清道夫级别)来减轻这个问题并保护链路。清道夫级别的本来目的是为特定应用提供顺从服务或次尽力服务。对于尽力投送而言,存在一个隐含的承诺,即至少有某些网络资源是可用的。然而,在清道夫级别模式中,不能采取任何承诺,此时应采用清道夫级别服务来重新降低来自流量异常高的系统的流量的优先权。本解决方案在Catalyst交换机中采用了每个端口多个队列的架构。在一次蠕虫攻击过程中,某终端会向网络中送入极大量的流量。这一流量与预定策略进行比较,其中包括如何确定清道夫级流量。清道夫级流量的定义是,在一段持续的时间内以高于预
30、定阈值而突发或传输(而功能正常的终端则不会这样做)的流量。仅凭第一次检测并不足以作为丢弃分组的依据,因为它也许是合法突发。然而,一个端口不太可能看到这样的用户流量会持续较长时间。该流量随后被标记为“清道夫”,然后被放入优先权最低的队列中。该队列深度被配置为比较浅,因此会经常发生队列溢出或尾部丢包。基于TCP的流量会调整抑制;而UDP流量则会被丢弃。这样,就能保护合法的话音流量和其他流量,例如合法的尽力服务流量。3.3.2对交换机的第二层转发表进行泛洪攻击第二层交换机根据MAC地址建立转发表,根据MAC地址进行转发、过滤和学习。然而,这个表只有有限的空间。MAC泛洪攻击会迫使交换机学习伪MAC地
31、址,使CAM表过载,并使数据从整个第二层VLAN域泛洪传送。虽然这是第二层交换机的标准行为,但它仍可导致网络和主机性能的降低。为防止这种攻击,Catalyst提供了端口安全特性,即,可限制某个给定端口所能学习的MAC地址的数目。如果有更多地址进入交换机, Catalyst会将这些端口置入限制模式,以保护网络免受攻击。这可确保某个给定端口只能学习数目不多的MAC地址,当学习其他地址时就会锁定该端口。这样,就能立刻阻止攻击。3.3.3对交换机第三层表的洪泛攻击很多蠕虫都会改变来源和目的地IP地址或TCP/UDP端口号,迫使交换机不得不学习成千上万的新流量。通过改变IP、TCP或UDP信息,会导致交
32、换机的CPU过载,如果交换机采用了基于流的交换机制,甚至会引起交换机瘫痪。交换机不再交换或学习合法流量,而路由网络也会受到严重影响。有这种危害的最新蠕虫包括红色代码(Code Red)、Slammer和机智(Witty)等。Catalyst交换机采用了基于网络拓扑结构而非流的交换机制Cisco 快速转发 (CEF)。当路由协议(OSPF、EIGRP等)生成路由表时,会根据网络前缀(IP子网的网络部分),而非IP源-和目的地址的流信息来生成硬件转发表。这种技术最初设计用来提高网络对针对路由振荡的弹性,也可直接应用于防止蠕虫攻击。因为CEF并不关心网络中的流量,所以第三层转发表不会受到影响。3.3
33、.4攻击交换机CPU除攻击交换机的转发表之外,还可通过向CPU发送ARP分组等需要处理的控制信息来攻击设备本身的CPU。处理能力和容量有限的CPU就会过载,并导致路由更新或BPDU等真正的控制分组被丢弃。很多网络管理者都熟知CPU以100%利用率运行时的后果 设备和网络会变得不稳定。Catalyst 6500可支持控制面板速率限制功能,它可限制向CPU发送分组的速率。在正常运行时,不太可能有大量流量被送往CPU,除非启用基于软件的特性。更不可能出现这些攻击中所使用的那些类型的流量以很高数据速率传送给CPU的情况。这些类型的分组包括ICMP不能到达、ICMP重定向、CEF无路由、TTL超时以及进
34、出访问控制列表等。通过限制这些类型的分组发送给CPU的速率,丢弃超过特定速率的过多分组,确保CPU能够处理(很可能是丢弃)恶意分组,而不会发生故障。Catalyst 6500可支持多个速率限制器,因此能限制攻击所产生的分组等“坏流量”的速率,而允许路由协议等“好”流量通过。这就使CPU甚至在遭受攻击时也能继续处理正常系统任务。3.3.5交换机安全机制思科公司还建议了另外两种生成树增强机制:BPDU Guard,当一个BPDU从某端口进入网络时,可立刻禁用该访问端口。这可防止非法交换机连接到网络并对生成树设计造成潜在的破坏。对于那些可能导致对根网桥进行重新计算的所有分组,RootGuard都会让
35、端口拒绝接收。需要考虑的安全因素 信任与身份机构基础设施中的第一道防线就是接入层。该层必须确定出谁或什么设备正在访问网络、设备的状态是什么、它们可以访问哪些资源。作为进入网络的门户,任何可影响用户行为的安全政策,都必须应用到尽可能靠近用户的地方。多数企业的员工必须先登录网络,然后才能访问服务器、电子邮件和其他资源;基于身份的网络也都采用相同的原则。用个比喻说,基于身份的网络类似于一个既拿着护照又持有航空公司常客优惠卡的人。护照提供了对该人身份的验证(通常是出于安保考虑),而常客优惠卡则可确定应如何对待这个人(通常是出于网络运行考虑)。思科公司基于身份的网络服务(Identity-based N
36、etworking Services IBNS)恰恰提供的是这种功能。确认用户身份IBNS是从IEEE 802.1x 基于端口的网络访问控制标准开始的。基于端口的网络访问控制利用的是IEEE 802 LAN基础设施中现有的物理特性,而无需改变架构。这一现有基础设施提供了对连接到LAN(交换机)端口的设备进行身份验证和授权的方法。802.1x可与RADIUS服务器配合来成功执行基于端口的网络访问控制(802.1x IEEE标准)。为此,网络中就必须存在发挥具体作用的特定设备。请求端(客户端) 请求端请求获得对LAN和交换机服务的访问权,并响应来自接入层设备的请求。请求端必须运行符合802.1x标
37、准的软件。身份验证端(交换机) 身份验证端根据请求端的身份验证状态来控制对网络的物理访问。这个设备作为客户机与身份验证服务器之间的中介(代理),从请求端那里请求身份信息、与身份验证服务器验证该信息并向该请求端作出响应。交换机通过RADIUS协议与身份验证服务器进行通信,并通过802.1x协议与请求端进行通信。身份验证服务器 身份验证服务器就是RADIUS服务器(如Cisco Secure ACS)。它负责处理请求端的身份验证请求。身份验证服务器先验证请求端的身份,然后通知交换机该主机是否被授权能访问LAN和交换机服务。因为交换机是作为代理而工作的,所以身份验证服务对于请求端是透明的。根据用户身
38、份定制相应的服务用护照做个比喻,这个过程只是要确认出用户的身份。完成这一过程后,可向网络提供关于该用户能获得什么服务的进一步信息。这个策略是从Cisco ACS RADIUS服务器和/或接入层设备来配置的,且只有当用户身份验证成功后才能应用到端口之上。策略可以被定义为很多东西,但在IBNS情况下,策略主要指(但不限于)以下方面:支持动态VLAN配置的IEEE 802.1x 可根据用户的身份及其所属的用户组在端口上配置VLAN。支持动态ACL实现功能的IEEE 802.1x 可根据正进行身份验证的请求端的身份将一个安全ACL应用到端口的VLAN。支持动态QoS实现功能的IEEE 802.1x 可
39、根据正进行身份验证的请求端的身份将一个QoS ACL应用到端口/VLAN。支持端口安全的IEEE 802.1x 可使网络管理员锁定被允许在某个端口上进行身份验证的具体MAC地址或一些MAC地址。支持访客VLAN的IEEE 802.1x 可使不具备802.1x功能的用户/设备获得通过某个访客VLAN访问某个接入层端口的权力,一般局限于有限的资源,如仅限互联网连接等。支持VVID的IEEE 802.1x 可实现与基于AVVID的网络的集成。有VVID的IEEE 802.1x可使VVID中的话音流量穿过端口,但要求使用电话的用户/设备进行身份验证。支持RADIUS记帐和跟踪功能的IEEE 802.1
40、x 可使网络管理员向RADIUS服务器发送IEEE 802.1x用户记帐信息来进行记帐和跟踪。安全 威胁防御防止中间人攻击Catalyst交换机必须保护与之相连的用户和服务器。不同于那些可对网络产生影响的攻击,很多针对用户和服务器的攻击都是检测不到的。这些常称为“中间人”攻击的攻击采用的是可从互联网上下载的常用工具。这些工具采用多种不同的机制,可以被恶意用户利用来窥探其他员工、经理或管理人员。这可导致机密信息的失窃以及违反保密政策。思科公司提供了一些特性,这些特性共同使用时可保护用户的重要信息。DHCP 监听:多数企业网络都是依靠DHCP来进行IP地址分配的。而DHCP并不是安全的协议,因此就
41、使得与某个网络相连的错误配置或恶意设备能很容易地对DHCP请求作出响应,并向DHCP客户机提供错误或恶意的信息。此外,在互联网上有一些工具会大量耗用某个DHCP范围内的所有可用IP地址,并可导致所有合法主机都不能获取IP地址,进而导致网络不可用。DHCP Snooping可同时提供针对这两种情况的保护。它可建立端口的可信/不可信状态,因此可使网络管理员能确定应允许哪些端口(和相关设备)作为DHCP服务器,并拒绝所有其他端口上的DHCP服务器活动。此外,DHCP Snooping可对DHCP分组进行调查,并确保发送DHCP请求的设备相关的物理MAC地址能匹配该DHCP请求内部的MAC地址。与端口
42、安全相结合,DHCP Snooping不允许耗用地址工具利用DHCP内在的不安全。在很多情况下,DHCP Snooping是与DHCP Option 82一起使用的,后者可使交换机在DHCP分组中插入有关它自己的信息。可以插入的最常见信息就是DHCP请求的物理端口ID。这可通过将IP地址关联到某个具体交换机上的某个具体端口,为网络提供很强的智能性,从而防止恶意设备和服务器的连接。动态 ARP 检测:ARP(地址解析协议)是另一种本身不安全的网络服务。ARP用于在主机的IP地址表中建立物理(MAC)地址。未经请求的ARP是物理MAC地址向IP地址所有权信息的非请求广播。同样可从互联网上下载的et
43、tercap等工具可使恶意用户利用这一行为并成为中间人,进而访问他们不应访问的机密信息。Ettercap是一种“智能化嗅探器”,它可使有点或毫无技术能力的恶意用户收集资源/用户名/密码信息。与DHCP Snooping一起使用时,Dynamic ARP Inspection可防止某个主机在DHCP服务器没有为其分配的IP地址的情况下,发送未经请求的ARP。这种保护可防止ettercap等工具利用ARP内在的不安全。IP Source Guard:某个主机还可通过意外错误配置或恶意企图,从它所没有或不应拥有的某个IP地址获得流量。IP Source Guard与DHCP Snooping配合使用
44、时,可防止某个主机在没有从合法DHCP服务器获得某个IP地址的情况下,获得流量。IP Source Guard会丢弃那些从某个不存在的来源发起的DDOS攻击,即可防止它们利用某个主机从任何来源发送流量的能力,且只允许从通过DHCP获得的IP地址得到的流量。3.4其他考虑因素在集中提供IP交换基础设施的数据中心服务的核心,还有一些这里并未提出建议,比如有防火墙、内容交换、SSL(安全套接层)、入侵检测、网络分析和高速缓存等很多数据中心服务可对数据中心进行进一步扩展和保护。这些服务是由Catalyst 6500服务模块提供的,这些模块集成在多层交换机或外部设备之中。对这些服务的需求是由应用环境的要
45、求来决定的。在此提及供今后考虑。接入层提供了对服务器本身的连接性。接入层必须能适应快速扩容,同时又要保持最大的服务器可用性。思科公司建议,将每个服务器双连接到两个接入层交换机,以避免服务器单点故障。这两个接入层交换机反过来又双连接到两个汇聚层交换机。因为这些服务器都是在第二层上连接的,所以就需要使用生成树。建议采用每个VLAN快速生成树协议,它可确保在至STP根的主路径发生故障时,实现一秒内的收敛时间。VLAN也可用于隔离多层应用环境的多个层。常用的选择是,将万维网、应用程序和数据库等层部署在不同的VLAN上,并在VLAN边界上使用一些策略。这些策略的范围包括用于VLAN流量的基本防火墙规则、
46、内容交换、SSL和监控等。这些策略的目的在于,同时控制客户机至服务器以及服务器至服务器的流量。其中一些服务器,如数据库服务器等,为双连接。一方面,它们可支持至IP网络的连接;另一方面,可通过光纤通道或iSCSI(IP上的SCSI)来支持存储网络。高性能的IPMulticast支持随着MicrosoftNetShow和NetMeeting等组播应用被越来越广泛地使用,作为端到端组播解决方案一部分的组播路由协议变得越来越重要了。思科三层交换机同时支持独立组播路由协议(PIM)的松散式和密集式两种模式,并具有用于传统应用的距离矢量组播路由协议(DVRMP)的互操作能力。支持IGMP的第一版和第二版,
47、并具有CGMP服务器能力,将组播IP和交换机集成在一起。这些协议不仅对于IP组播客户加入工作组是必需的,而且对于高效的退网处理这对节市带宽和终端CPU周期十分重要也是必需的。第四章、未来网络安全策略的考虑安全策略越来越成为企业网络尤其是企业企业网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上银行、各种中间业务的应用,用户网络不再是一个封闭的网络,而是Intranet、Extranet、Internet互联的网络。这些新应用的出现,极大地扩展了客户的业务,提高了客户的竞争力,但同时也带来网络安全的风险。网络设计中必须制定网络安全策略,保证内部网络的完整性和安全性。CiscoSAFE(SecurityArchitectureforEnterprise企业安全体系结构)为企业客户提供整体的、可扩展的、高性能的、灵活的安全解决方案。SAFE采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计SAFE的每个模块时,Cisco都考虑到一些关键的因素,包括潜在可能的威胁或侵入及相应的对策、性能(不能因为安全控制带来不可接受的性能下降)、可扩展性、可管理性、服务质量和语音的支持等。SAFE体系结构中采用了Cisco的安全技术和产品。本次网络建设所建议的网络安全策略正是基于SAFE企业安全体系结构,可充分满足客户今后对网络安全的要求。Cisco安全IDS系统是企业级的基
