GSN 全局安全网络解决方案技术交流.ppt

2007 RuiJie Networks,Ltd.All rights reserved.RuiJie ConfidentialPresentation_ID1网络综合实课程中级张国清辽宁省交通高等专科学校信息工程系2内容提要内容提要 本书是示范校建设三年综合实训项目第二册网络综合实训课程。全书通过辽宁城市职业学院校园网建设项目设计、规划和实施过程，按照企业的项目实施的工作流程开展课程实施过程。通过课程中安排辽宁城市职业学院校园网建设项目的实施，一方面学习了解的企业工作流程，另一方面学习了解相应的工程技术。本课程涉及内容有：校园网络规划、网络拓扑规划、校园网设备的选型，交换机设备的配置、路由器设备配置、网络安全设备配置等技术学习内容。3课程思想 本课程为工程实训课程，以学生在实训环境中解决项目为主，辅以必要理论。课程通过改编来自企业项目案例，把企业项目引入课堂中，让学生在学校熟悉企业项目实施过程，缩短学生未来在企业工作中适应时间。课程在组织实施过程中，按项目、分小组、以团队组织实施。倡导团队间交流和沟通，共同完成工程方案，查询技术资料、撰写项目方案，共同完成方案测试、报告、总结工作。教师负责项目技术咨询和指导工作，控制课程组织和开展，以及项目总体发展方向把握。4第一章第一章 系统设计概述系统设计概述51.1 前前 言言 随着国家对教育不断投入，校园数字化建设成为现今每个学校校园网建设重点，而数字化就意味着自动化、高效、快速、便捷、理性，这是学校工使管理进入一个新的层次，提高教育质量目标。校园数字化将使学校的管理进入全新阶段，能提高校长、教务人员、教师与学生工作、学习与交流，改善各层面信息传递，使校园与社会、校园与家庭更紧密地联结成一个综合的教育环境，更好地提高综合教育质量。提供学校与家长更直接沟通，对学生的教育真正做到校园、家庭与社会全方位的最佳配合。61.2 数字化校园网的建设需求数字化校园网的建设需求高性能需求关键业务服务质量保证需求网络安全需求先进性需求可靠稳定性需求开放性的需求网络系统的扩展性需求71.3 数字化校园网数字化校园网建设原则建设原则 1.3.1 实用性和经济性 1.3.2 先进性和成熟性 1.3.3 可靠性和稳定性 1.3.4 安全性和保密性 1.3.5 可扩展性和可管理性8第二章第二章 校园网目前现状校园网目前现状92.1 方案背景方案背景辽宁城市职业学院目前机构有办公室，教务处，学辽宁城市职业学院目前机构有办公室，教务处，学生处，人事处，财务处，招生就业办，国际交流处，继生处，人事处，财务处，招生就业办，国际交流处，继续教育处，图书馆，教育信息化部，传媒中心，大学生续教育处，图书馆，教育信息化部，传媒中心，大学生创业园，还设有经济技术系、人文科学系、外语系、机创业园，还设有经济技术系、人文科学系、外语系、机电工程系、城市美化系五个系，电工程系、城市美化系五个系，22个专业，涉及经济、个专业，涉及经济、文学、理学、管理四大学科。文学、理学、管理四大学科。为加强信息化建设，学院申请专项建设资金，建设为加强信息化建设，学院申请专项建设资金，建设学院各部门互相连通校园网。学院网络在本次建设中，学院各部门互相连通校园网。学院网络在本次建设中，采用两层网络结构，即核心设备三层核心路由交换机，采用两层网络结构，即核心设备三层核心路由交换机，接入层采用二层汇聚交换机，目前学院出口通过华为接入层采用二层汇聚交换机，目前学院出口通过华为AR-28-31路由器接入路由器接入internet。102.2 现有网络结构现有网络结构 如图所示拓扑是辽宁城市职业学院，前期已建设完成校园网拓扑，校园网建设中出口设备使用华为AR-28-31路由器WAN口接入电讯网，连入internet网络。AR-28-31路由器内部LAN口和学院网络中心三层交换机相连，核心设备采购华为S3928F-EI核心路由交换机。学院各部门计算机，通过二层交换机接入，接入设备使用华为S2126交换机，构建一个资源共享校园网环境。112.2 现有网络结构现有网络结构122.3 现有网络改造要求现有网络改造要求2.3.1 对高速安全校园网基础平台需求2.3.2 对校园网络统一应用系统的需求2.3.3 对校园网络安全管理系统的需求2.3.4 与客户沟通后实施要求及达到目标13第三章第三章 校园网网络规划方案校园网网络规划方案14校园网规划辽辽宁宁城城市市职职业业学学院院校校园园网网改改造造，总总体体以以高高性性能能、高高可可靠靠性性、高高安安全全性性、扩扩展展性性、可可管管理理性性和和统统一一网网管管及及可可运运营营为为原原则则，考考虑虑技技术术先先进进性性、成成熟熟性性，并并采采用用模模块块化化设设计计方方法法。对对校校园园网网络络性性能能、带宽、主要业务进行全面改造和建设。带宽、主要业务进行全面改造和建设。新新规规划划校校园园网网改改造造项项目目，通通过过全全网网三三个个层层次次接接入入、汇汇聚聚、核核心心模模式式改改造造，清清晰晰结结构构，简简化化校校园网信息化使用便利性。园网信息化使用便利性。15 网络拓扑图网络拓扑图16拓扑说明 网网络络结结构构采采用用三三层层结结构构，增增加加一一条条校校园园网网出出口口，保保证证出出口口稳稳定定。其其中中一一个个出出口口使使用用华华为为AR-28-31 AR-28-31 接接教教育育网网出出口口，新新增增锐锐捷捷RSR-04ERSR-04E接接电电信信网网出出口口，校校园园网网核核心心新新增增2 2台台RG-S6506RG-S6506，原原有有核核心心放放置置到到汇汇聚聚层层。汇汇聚聚层层，接接入入层层分分别别增增加加4 4台台RG-S3760RG-S3760交交换换机机和和3030台台S1926G+S1926G+交换机。交换机。网网络络出出口口将将教教育育网网和和公公网网分分口口，AR-28-31AR-28-31负负责责教教育育网网访访问问，RSR-04ERSR-04E负负责责公公网网访访问问，在在2 2台台RG-S6506RG-S6506上上根根据据IPIP地地址址做做策策略略路路由由，实实现现访访问问教教育育网网资资源源的的通通过过AR-28-31AR-28-31访访问问，访访问问公公网网资资源源的的通通过过RSR-04ERSR-04E访访问问。在在RG-IPS RG-IPS 100100上上做做安安全全策策略略，封封掉掉一一些些蠕蠕虫虫病病毒毒常常用用端端口口，保保证证内内部部网网络络的的安安全全。学学校校的的WEBWEB服服务务器器从从原原来的来的S3928S3928交换机上移到新核心交换机交换机上移到新核心交换机RG-S6506RG-S6506上。上。新新建建设设网网络络采采用用双双核核心心三三层层结结构构，以以保保证证核核心心设设备备冗冗余余、链链路冗余备份实现，实现校园网络稳定性。路冗余备份实现，实现校园网络稳定性。173.2 方案介绍方案介绍1、核心层网络设计 根据辽宁城市职业学院信息点的分布及数量情况，考虑到核心交换机需要为内网的各项信息化应用提供一个高速、优质的数据通信和图像传输平台，满足数据和视频传输需要。考虑到将来网络扩展需要，辽宁城市职业学院校园网在规划设计过程中，特别选用2台技术先进、高性能、锐捷网络万兆RG-S6506核心路由交换机，构造校园内部网络的中心节点，实现校园网络的链路冗余备份，保证校园网络稳定性。183.2 方案介绍方案介绍2、汇聚层网络设计 汇聚层主要用于汇聚接入层的网络流量，并提供各种服务和控制功能。汇聚层设备均位于各个汇聚区域的核心，在辽宁城市职业学院校园网络项目改造建设中，校园网规划中共设立了6个网络汇聚区域。根据汇聚区域的信息点数量，最终选用了4台锐捷RG-S3760三层以太网交换机，锐捷RG-S3760共配置4块多模光纤模块，通过多模光纤连接核心路由交换机锐捷RG-S6506上。193.2 方案介绍方案介绍3、接入层网络设计 接入层交换机主要用于校园网内所有的信息点与用户终端的接入。根据辽宁城市职业学院接入层网络的实际应用与业务需求，从保护校方投资的角度考虑，在接入层我们提倡使用安全和智能化的2层线速交换机RG-S2126进行网络的接入，选择RG-S2126交换机的主要原因是，RG-S2126接入交换机具有支持网管性能，可以满足对整个网络统一管理的需求。校园网中新增加的RG-S2126模块化智能交换机，和校园网络中原有的交换机一起，承担宁城市职业学院全部网络设备的网络管理功能。203.3 新增设备清单新增设备清单 新规划的辽宁城市职业学院校园网，为满足更多区域网新规划的辽宁城市职业学院校园网，为满足更多区域网络的接入，在原有网络设备的基础上，校园网出口、核络的接入，在原有网络设备的基础上，校园网出口、核心层、汇聚层和接入层以及安全和无线接入，都增补了心层、汇聚层和接入层以及安全和无线接入，都增补了更多的网络设备，新增补的设备如表所示。更多的网络设备，新增补的设备如表所示。213.4 网络信息规划网络信息规划新规划的辽宁城市职业学院校园网，为满足更多区域网新规划的辽宁城市职业学院校园网，为满足更多区域网络的接入，在原有网络设备的基础上，校园网出口、核络的接入，在原有网络设备的基础上，校园网出口、核心层、汇聚层和接入层以及安全和无线接入，都增补了心层、汇聚层和接入层以及安全和无线接入，都增补了更多的网络设备。更多的网络设备。为有效管理这些接入的设备，方便施工和后期的校园网为有效管理这些接入的设备，方便施工和后期的校园网络维护需要，增加施工和维护的标准化，前期，在进行络维护需要，增加施工和维护的标准化，前期，在进行辽宁城市职业学院校园网规划设计时，针对校园网络中辽宁城市职业学院校园网规划设计时，针对校园网络中的新增补设备，重新进行了编号，以方便标示和使用。的新增补设备，重新进行了编号，以方便标示和使用。223.5 校园网骨干设备解决方案校园网骨干设备解决方案关键部件的冗余设计高性能:SPOH设计技术可扩展性:交换机模块化的设计可扩展性:真正的十万兆以太网的架构可扩展性:NP+ASIC设计体系233.6 网络安全解决方案网络安全解决方案3.6.1 校园网安全面临形势 CMIS、一卡通、网上巡考、网报志愿、安全监控等关键应用中断影响巨大 CMIS、一卡通、网报志愿、公文流转等系统中关键信息泄露带来后果 国家重大活动敏感时期网络非法言论造成负面影响 在出现紧急事件时的应急响应难以得到网络保证 恶意网络攻击难以及时定位解决243.6 网络安全解决方案网络安全解决方案3.6.2 全局安全网络解决方案1、安装网络防火墙，抵挡来自外网的攻击253.6 网络安全解决方案网络安全解决方案3.6.2 全局安全网络解决方案2、布置入侵检测系统，保障内网安全3、实施GSN全局安全解决档案，维护整网安全保障263.7 校园网资源中心解决方案校园网资源中心解决方案资源中心概述资源中心现状资源中心解决方案273.8 校园网出口选择校园网出口选择3.8.1 网络出口概述283.8 校园网出口选择校园网出口选择3.8.2 高效的NAT转发3.8.3 有效的网络应用管理3.8.4 完美日志功能293.9校园网无线解决方案校园网无线解决方案 3.9.1 校园网无线方案解决的问题3.9.2 如何规划校园网无线方案3.9.3 校园网无线方案设计原则3.9.4 校园网无线规划拓扑3.9.5 智能无线交换网络解决方案3.9.6 无线网络灵活组网方式3.9.7 无线网络全网高可靠性3.9.8 无线网络优秀的扩展性3.9.9 无线网络入侵检测30313.10 网络综合布线解决方案网络综合布线解决方案3.10.1 校园网综合布线策略3.10.2 校园网综合布线方案选择3.10.3 校园网综合布线设计内容3.10.4 校园网综合布线标准与规范选择3.10.5 校园网综合布线产品选型3.10.6 校园网综合布线安装工艺要求323.11校园网存储设计方案校园网存储设计方案 3.11.1 如何规划校园网存储系统3.11.2 校园网存储系统设计原则3.11.3 校园网存储系统方案设计3.11.4 基于SAN的网络集中存储特色33343.12 网络管理解决方案网络管理解决方案35便捷方便的图形化操作界面拓扑发现能力强大的配置管理功能智能化设备文件管理自动任务机制轻量简单的监视管理36第四章第四章 方案整体特点方案整体特点37方案整体特点 在结构设计上，辽宁城市职业学院网络系统采用三层结在结构设计上，辽宁城市职业学院网络系统采用三层结构进行网络设计，把网络分成核心层、汇聚层和接入层。构进行网络设计，把网络分成核心层、汇聚层和接入层。网络核心使用双核心，汇聚设备使用高速设备，提高了网络核心使用双核心，汇聚设备使用高速设备，提高了网络中数据的高速转发，实现了网络冗余管理功能。网络中数据的高速转发，实现了网络冗余管理功能。以以校园网络的建设为核心与基础，加快教育现代化的进程，校园网络的建设为核心与基础，加快教育现代化的进程，实现学院发展中的跳跃式发展关键性步骤。实现学院发展中的跳跃式发展关键性步骤。3839第五章第五章 设备选型说明设备选型说明405.1 核心交换机选型核心交换机选型产品概述产品特性产品技术参数415.2 汇聚交换机选型汇聚交换机选型辽宁城市职业学院校园网校园网汇聚层交换机产品，选择RG-S3760系列。RG-S3760系列是锐捷网络推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术实现和方案保障。425.3 接入交换机选型接入交换机选型RG-S2126S是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。435.4 出口路由器选型出口路由器选型RSR-04E提供丰富的IP/MPLS特性及卓越的性能，是在中型POP点提供安全可靠的网络业务的理想产品，能够用作公司总部、企业骨干、高性能园区边界路由器。RSR-04E路由器拥有三个独特的硬件模块,专门用于控制层面、转发层面和业务层面。转发及服务层面包括可编程的ASIC，控制层面包括一个专用处理器,该处理器运行着模块化、安全、高可用的RGNOS系统。445.5 防火墙设备选型防火墙设备选型RG-WALL160防火墙采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、H.323等)时，可提供强有力的安全信道。455.6 智能无线局域网交换机选型智能无线局域网交换机选型MX（Mobility Exchange）系列无线局域网交换机产品是锐捷网络推出的智能无线交换网络解决方案家族的重要组成部分。该产品系列采用了先进的智能无线交换平台技术（Smart Mobile），专门针对于无线局域网络而设计，通过集中式或分布式智能数据转发来控制与管理整个无线网络。465.7 IP SAN存储设备选型存储设备选型RG-iS6200是一套Smart Storage SystemS3智能存储系统。在标准以太网环境下，通过“存储虚拟化交换”技术对存储设备全面管理，整合标准FC、SCSI和iSCSI接口的存储资源，提供了一个移植简便、业界领先扩展性、性价比杰出、安全可靠企业级FC SAN解决方案。独创D-CBD融合方案，打造数据中心（DataCenter）CBDD-CBD。Storage Consolidation存储整合。即满足基于数据块级别Block Level的应用需求（如SQL数据库等），又满足基于文件级别File Level的应用需求（如FTP、WWW、文件共享等），同时对现有的DAS、SAN、NAS进行完美的融合，因此可以全部满足数据中心的应用需求。47第五章第五章 设备选型说明设备选型说明486.1 项目实施概述项目实施概述施工手册适用范围工作内容及要求 参与本项目实施人员，需要具有以下能力。熟悉基本网络技术以及网络安全基础知识。熟悉锐捷路由器,防火墙配置工作。熟悉windows配置工作。能独立对不同网络结构做出分析。496.2 项目施工准备项目施工准备6.2.1 工具准备6.2.2 设备准备6.2.3 材料准备6.2.4 赴客户现场506.3 项目施工过程项目施工过程辽宁城市职业学院校园网设计方案主要由以下四大部辽宁城市职业学院校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、分构成：交换模块、广域网接入模块、远程访问模块、服务器群。服务器群。整个辽宁城市职业学院校园网项目设备安装、调试系整个辽宁城市职业学院校园网项目设备安装、调试系统的拓扑结构图如图所示。统的拓扑结构图如图所示。51526.3.1配置接入层交换机配置接入层交换机接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是锐捷网络的 RG-S2126S的24口交换机。RG-S2126S交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是锐捷网络的IOS操作系统。以图中的接入层交换机RG-S2126S为例进行介绍，其子网中所有的接入层交换机RG-S2126S的基本配置基本一样。53546.3.2配置汇聚层交换机配置汇聚层交换机汇聚层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。辽宁城市职业学院校园网中的汇聚层交换机采用的是锐捷网络的RG-S3760交换机。作为3层交换机，锐捷网络的RG-S3760交换机拥有48个10/100Mbps自适应快速以太网端口，同时还有6个1000Mbps的GBIC端口供上连使用，6个模块插槽可供扩展使用。RG-S3760交换机运行的是锐捷网络的Integrated NOS操作系统 55566.3.3配置核心层交换机配置核心层交换机核心层将各汇聚层交换机互连起来进行穿越园区网骨干的高速数据交换。辽宁城市职业学院网络系统中的核心层交换机采用的是锐捷RG-6506交换机，该款交换机采用Supervisor II Plus（WS-X4013+）作为交换机引擎，运行的是锐捷网络的NOS操作系统。核心层交换机锐捷RG-6506交换机中，安装了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module,6-Ports(GBIC)）模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G5484（1000BASE-SXShort WavelengthGBIC(Multimode only)）。我们以图中的核心层交换机RG-6506-1为例进行介绍。57586.3.4配置校园网出口配置校园网出口在辽宁城市职业学院网络系统校园网解决方案设计中，广域网接入模块功能是由广域网接入路由器来完成。其中一个网络的出口使用客户原有华为AR-28-31 接教育网出口，新增加锐捷网络的RSR-04E接电信公网出口。它们都通过自己的串行接口serial 0/0使用专线技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。5960第七章 项目安全设备配置617.1 IPS100IPS100入侵防御配置入侵防御配置7.1.1 管理账号配置7.1.2 基本配置7.1.3 关联配置7.1.4 监控配置627.2 防火墙设备配置防火墙设备配置63第八章第八章 项目核心设备配置清单项目核心设备配置清单64设备配置清单 8.1 RSR04E路由器配置8.2 S6506-1核心交换机配置8.3 S3760-1交换机配置8.4 S3760-2交换机配置8.5 S3928F交换机配置8.6 SAM认证系统安装65谢 谢！辽宁省交通高等专科学校信息工程系