GSN全局安全网络解决方案技术交流.ppt

《GSN全局安全网络解决方案技术交流.ppt》由会员分享，可在线阅读，更多相关《GSN全局安全网络解决方案技术交流.ppt（65页珍藏版）》请在三一办公上搜索。

1、网络综合实课程中级张国清,辽宁省交通高等专科学校信息工程系,内容提要,本书是示范校建设三年综合实训项目第二册网络综合实训课程。全书通过辽宁城市职业学院校园网建设项目设计、规划和实施过程，按照企业的项目实施的工作流程开展课程实施过程。通过课程中安排辽宁城市职业学院校园网建设项目的实施，一方面学习了解的企业工作流程，另一方面学习了解相应的工程技术。本课程涉及内容有：校园网络规划、网络拓扑规划、校园网设备的选型，交换机设备的配置、路由器设备配置、网络安全设备配置等技术学习内容。,课程思想,本课程为工程实训课程，以学生在实训环境中解决项目为主，辅以必要理论。课程通过改编来自企业项目案例，把企业项目引入

2、课堂中，让学生在学校熟悉企业项目实施过程，缩短学生未来在企业工作中适应时间。课程在组织实施过程中，按项目、分小组、以团队组织实施。倡导团队间交流和沟通，共同完成工程方案，查询技术资料、撰写项目方案，共同完成方案测试、报告、总结工作。教师负责项目技术咨询和指导工作，控制课程组织和开展，以及项目总体发展方向把握。,第一章 系统设计概述,1.1 前 言,随着国家对教育不断投入，校园数字化建设成为现今每个学校校园网建设重点，而数字化就意味着自动化、高效、快速、便捷、理性，这是学校工使管理进入一个新的层次，提高教育质量目标。校园数字化将使学校的管理进入全新阶段，能提高校长、教务人员、教师与学生工作、学习

3、与交流，改善各层面信息传递，使校园与社会、校园与家庭更紧密地联结成一个综合的教育环境，更好地提高综合教育质量。提供学校与家长更直接沟通，对学生的教育真正做到校园、家庭与社会全方位的最佳配合。,1.2 数字化校园网的建设需求,高性能需求关键业务服务质量保证需求网络安全需求先进性需求可靠稳定性需求开放性的需求网络系统的扩展性需求,1.3 数字化校园网建设原则,1.3.1 实用性和经济性 1.3.2 先进性和成熟性 1.3.3 可靠性和稳定性 1.3.4 安全性和保密性 1.3.5 可扩展性和可管理性,第二章 校园网目前现状,2.1 方案背景,辽宁城市职业学院目前机构有办公室，教务处，学生处，人事处

4、，财务处，招生就业办，国际交流处，继续教育处，图书馆，教育信息化部，传媒中心，大学生创业园，还设有经济技术系、人文科学系、外语系、机电工程系、城市美化系五个系，22个专业，涉及经济、文学、理学、管理四大学科。为加强信息化建设，学院申请专项建设资金，建设学院各部门互相连通校园网。学院网络在本次建设中，采用两层网络结构，即核心设备三层核心路由交换机，接入层采用二层汇聚交换机，目前学院出口通过华为AR-28-31路由器接入internet。,2.2 现有网络结构,如图所示拓扑是辽宁城市职业学院，前期已建设完成校园网拓扑，校园网建设中出口设备使用华为AR-28-31路由器WAN口接入电讯网，连入int

5、ernet网络。AR-28-31路由器内部LAN口和学院网络中心三层交换机相连，核心设备采购华为S3928F-EI核心路由交换机。学院各部门计算机，通过二层交换机接入，接入设备使用华为S2126交换机，构建一个资源共享校园网环境。,2.2 现有网络结构,2.3 现有网络改造要求,2.3.1 对高速安全校园网基础平台需求2.3.2 对校园网络统一应用系统的需求2.3.3 对校园网络安全管理系统的需求2.3.4 与客户沟通后实施要求及达到目标,第三章 校园网网络规划方案,校园网规划,辽宁城市职业学院校园网改造，总体以高性能、高可靠性、高安全性、扩展性、可管理性和统一网管及可运营为原则，考虑技术先进

6、性、成熟性，并采用模块化设计方法。对校园网络性能、带宽、主要业务进行全面改造和建设。新规划校园网改造项目，通过全网三个层次接入、汇聚、核心模式改造，清晰结构，简化校园网信息化使用便利性。,网络拓扑图,拓扑说明,网络结构采用三层结构，增加一条校园网出口，保证出口稳定。其中一个出口使用华为AR-28-31 接教育网出口，新增锐捷RSR-04E接电信网出口，校园网核心新增2台RG-S6506，原有核心放置到汇聚层。汇聚层，接入层分别增加4台RG-S3760交换机和30台S1926G+交换机。网络出口将教育网和公网分口，AR-28-31负责教育网访问，RSR-04E负责公网访问，在2台RG-S6506

7、上根据IP地址做策略路由，实现访问教育网资源的通过AR-28-31访问，访问公网资源的通过RSR-04E访问。在RG-IPS 100上做安全策略，封掉一些蠕虫病毒常用端口，保证内部网络的安全。学校的WEB服务器从原来的S3928交换机上移到新核心交换机RG-S6506上。新建设网络采用双核心三层结构，以保证核心设备冗余、链路冗余备份实现，实现校园网络稳定性。,3.2 方案介绍,1、核心层网络设计,根据辽宁城市职业学院信息点的分布及数量情况，考虑到核心交换机需要为内网的各项信息化应用提供一个高速、优质的数据通信和图像传输平台，满足数据和视频传输需要。考虑到将来网络扩展需要，辽宁城市职业学院校园网

8、在规划设计过程中，特别选用2台技术先进、高性能、锐捷网络万兆RG-S6506核心路由交换机，构造校园内部网络的中心节点，实现校园网络的链路冗余备份，保证校园网络稳定性。,3.2 方案介绍,2、汇聚层网络设计,汇聚层主要用于汇聚接入层的网络流量，并提供各种服务和控制功能。汇聚层设备均位于各个汇聚区域的核心，在辽宁城市职业学院校园网络项目改造建设中，校园网规划中共设立了6个网络汇聚区域。根据汇聚区域的信息点数量，最终选用了4台锐捷RG-S3760三层以太网交换机，锐捷RG-S3760共配置4块多模光纤模块，通过多模光纤连接核心路由交换机锐捷RG-S6506上。,3.2 方案介绍,3、接入层网络设计

9、,接入层交换机主要用于校园网内所有的信息点与用户终端的接入。根据辽宁城市职业学院接入层网络的实际应用与业务需求，从保护校方投资的角度考虑，在接入层我们提倡使用安全和智能化的2层线速交换机RG-S2126进行网络的接入，选择RG-S2126交换机的主要原因是，RG-S2126接入交换机具有支持网管性能，可以满足对整个网络统一管理的需求。校园网中新增加的RG-S2126模块化智能交换机，和校园网络中原有的交换机一起，承担宁城市职业学院全部网络设备的网络管理功能。,3.3 新增设备清单,新规划的辽宁城市职业学院校园网，为满足更多区域网络的接入，在原有网络设备的基础上，校园网出口、核心层、汇聚层和接入

10、层以及安全和无线接入，都增补了更多的网络设备，新增补的设备如表所示。,3.4 网络信息规划,新规划的辽宁城市职业学院校园网，为满足更多区域网络的接入，在原有网络设备的基础上，校园网出口、核心层、汇聚层和接入层以及安全和无线接入，都增补了更多的网络设备。为有效管理这些接入的设备，方便施工和后期的校园网络维护需要，增加施工和维护的标准化，前期，在进行辽宁城市职业学院校园网规划设计时，针对校园网络中的新增补设备，重新进行了编号，以方便标示和使用。,3.5 校园网骨干设备解决方案,关键部件的冗余设计高性能:SPOH设计技术可扩展性:交换机模块化的设计可扩展性:真正的十万兆以太网的架构可扩展性:NP+A

11、SIC设计体系,3.6 网络安全解决方案,3.6.1 校园网安全面临形势 CMIS、一卡通、网上巡考、网报志愿、安全监控等关键应用中断影响巨大 CMIS、一卡通、网报志愿、公文流转等系统中关键信息泄露带来后果 国家重大活动敏感时期网络非法言论造成负面影响 在出现紧急事件时的应急响应难以得到网络保证 恶意网络攻击难以及时定位解决,3.6 网络安全解决方案,3.6.2 全局安全网络解决方案1、安装网络防火墙，抵挡来自外网的攻击,3.6 网络安全解决方案,3.6.2 全局安全网络解决方案2、布置入侵检测系统，保障内网安全3、实施GSN全局安全解决档案，维护整网安全保障,3.7 校园网资源中心解决方案

12、,资源中心概述资源中心现状资源中心解决方案,3.8 校园网出口选择,3.8.1 网络出口概述,3.8 校园网出口选择,3.8.2 高效的NAT转发3.8.3 有效的网络应用管理3.8.4 完美日志功能,3.9 校园网无线解决方案,3.9.1 校园网无线方案解决的问题3.9.2 如何规划校园网无线方案3.9.3 校园网无线方案设计原则3.9.4 校园网无线规划拓扑3.9.5 智能无线交换网络解决方案3.9.6 无线网络灵活组网方式3.9.7 无线网络全网高可靠性3.9.8 无线网络优秀的扩展性3.9.9 无线网络入侵检测,3.10 网络综合布线解决方案,3.10.1 校园网综合布线策略3.10.

13、2 校园网综合布线方案选择3.10.3 校园网综合布线设计内容3.10.4 校园网综合布线标准与规范选择3.10.5 校园网综合布线产品选型3.10.6 校园网综合布线安装工艺要求,3.11 校园网存储设计方案,3.11.1 如何规划校园网存储系统3.11.2 校园网存储系统设计原则3.11.3 校园网存储系统方案设计3.11.4 基于SAN的网络集中存储特色,3.12 网络管理解决方案,便捷方便的图形化操作界面拓扑发现能力强大的配置管理功能智能化设备文件管理自动任务机制轻量简单的监视管理,第四章 方案整体特点,方案整体特点,在结构设计上，辽宁城市职业学院网络系统采用三层结构进行网络设计，把网

14、络分成核心层、汇聚层和接入层。网络核心使用双核心，汇聚设备使用高速设备，提高了网络中数据的高速转发，实现了网络冗余管理功能。以校园网络的建设为核心与基础，加快教育现代化的进程，实现学院发展中的跳跃式发展关键性步骤。,第五章 设备选型说明,5.1 核心交换机选型,产品概述产品特性产品技术参数,5.2 汇聚交换机选型,辽宁城市职业学院校园网校园网汇聚层交换机产品，选择RG-S3760系列。RG-S3760系列是锐捷网络推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4网络的建设、IPv4向IPv6网络过渡、以及IPv6网络的建设和通信提供了最直接和最方便灵活的技术

15、实现和方案保障。,5.3 接入交换机选型,RG-S2126S是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量（QoS）以及组播管理特性，并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。S2126S以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。,5.4 出口路由器选型,RSR-04E提供丰富的IP/MPLS特性及卓越的性能，是在中型POP点提供安全可靠的网络业务的理想产品，能够用作公司总部、企业骨干、高性能园区边界路由器。RS

16、R-04E路由器拥有三个独特的硬件模块,专门用于控制层面、转发层面和业务层面。转发及服务层面包括可编程的ASIC，控制层面包括一个专用处理器,该处理器运行着模块化、安全、高可用的RGNOS系统。,5.5 防火墙设备选型,RG-WALL160防火墙采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP、H.323等)时，可提供强有力的安全信道。,5.6 智能无线局域网交换机选型,MX（Mobility Exch

17、ange）系列无线局域网交换机产品是锐捷网络推出的智能无线交换网络解决方案家族的重要组成部分。该产品系列采用了先进的智能无线交换平台技术（Smart Mobile），专门针对于无线局域网络而设计，通过集中式或分布式智能数据转发来控制与管理整个无线网络。,5.7 IP SAN存储设备选型,RG-iS6200是一套Smart Storage SystemS3智能存储系统。在标准以太网环境下，通过“存储虚拟化交换”技术对存储设备全面管理，整合标准FC、SCSI和iSCSI接口的存储资源，提供了一个移植简便、业界领先扩展性、性价比杰出、安全可靠企业级FC SAN解决方案。独创D-CBD融合方案，打造数

18、据中心（DataCenter）CBDD-CBD。Storage Consolidation存储整合。即满足基于数据块级别Block Level的应用需求（如SQL数据库等），又满足基于文件级别File Level的应用需求（如FTP、WWW、文件共享等），同时对现有的DAS、SAN、NAS进行完美的融合，因此可以全部满足数据中心的应用需求。,第五章 设备选型说明,6.1 项目实施概述,施工手册适用范围工作内容及要求 参与本项目实施人员，需要具有以下能力。熟悉基本网络技术以及网络安全基础知识。熟悉锐捷路由器,防火墙配置工作。熟悉windows配置工作。能独立对不同网络结构做出分析。,6.2 项目

19、施工准备,6.2.1 工具准备6.2.2 设备准备6.2.3 材料准备6.2.4 赴客户现场,6.3 项目施工过程,辽宁城市职业学院校园网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。整个辽宁城市职业学院校园网项目设备安装、调试系统的拓扑结构图如图所示。,6.3.1 配置接入层交换机,接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是锐捷网络的 RG-S2126S的24口交换机。RG-S2126S交换机拥有24个10/100Mbps自适应快速以太网端口，运行的是锐捷网络的IOS操作系统。以图中的接入层交换机RG-S2126S为例进行介绍，其子网

20、中所有的接入层交换机RG-S2126S的基本配置基本一样。,6.3.2 配置汇聚层交换机,汇聚层除了负责将接入层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能。辽宁城市职业学院校园网中的汇聚层交换机采用的是锐捷网络的RG-S3760交换机。作为3层交换机，锐捷网络的RG-S3760交换机拥有48个10/100Mbps自适应快速以太网端口，同时还有6个1000Mbps的GBIC端口供上连使用，6个模块插槽可供扩展使用。RG-S3760交换机运行的是锐捷网络的Integrated NOS操作系统,6.3.3 配置核心层交换机,核心层将各汇聚层交换机互连起来进行穿越园区网骨干的高速数

21、据交换。辽宁城市职业学院网络系统中的核心层交换机采用的是锐捷RG-6506交换机，该款交换机采用Supervisor II Plus（WS-X4013+）作为交换机引擎，运行的是锐捷网络的NOS操作系统。核心层交换机锐捷RG-6506交换机中，安装了WS-X4306-GB（Catalyst 4000 Gigabit Ethernet Module,6-Ports(GBIC)）模块，该模块提供了5个千兆光纤上连接口，可以用来接入WS-G5484（1000BASE-SXShort WavelengthGBIC(Multimode only)）。我们以图中的核心层交换机RG-6506-1为例进行介绍

22、。,6.3.4 配置校园网出口,在辽宁城市职业学院网络系统校园网解决方案设计中，广域网接入模块功能是由广域网接入路由器来完成。其中一个网络的出口使用客户原有华为AR-28-31 接教育网出口，新增加锐捷网络的RSR-04E接电信公网出口。它们都通过自己的串行接口serial 0/0使用专线技术接入Internet。它的作用主要是在Internet和校园网内网间路由数据包。,第七章 项目安全设备配置,7.1 IPS100入侵防御配置,7.1.1 管理账号配置7.1.2 基本配置7.1.3 关联配置7.1.4 监控配置,7.2 防火墙设备配置,第八章 项目核心设备配置清单,设备配置清单,8.1 RSR04E路由器配置8.2 S6506-1核心交换机配置8.3 S3760-1交换机配置8.4 S3760-2交换机配置8.5 S3928F交换机配置8.6 SAM认证系统安装,谢 谢！,辽宁省交通高等专科学校信息工程系,