網(wǎng)絡(luò)安全文檔

1、云計(jì)算數(shù)據(jù)中心整體網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)的整體設(shè)計(jì)不僅關(guān)系到整個網(wǎng)絡(luò)系統(tǒng)的性能， 還涉及到未來 網(wǎng)絡(luò)系統(tǒng)如何有效地與新技術(shù)接軌以及系統(tǒng)的平滑升級等問題。本系統(tǒng)立足于滿足數(shù)據(jù)的接入、轉(zhuǎn)發(fā)、存儲等需求，同時選擇適合的有發(fā) 展前途的網(wǎng)絡(luò)技術(shù)，充分滿足未來五年業(yè)務(wù)的需求。與計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)總體設(shè)計(jì)設(shè)計(jì)思路網(wǎng)絡(luò)的建網(wǎng)思路需要做一個整體規(guī)劃，應(yīng)考慮如下幾個方面：采用新一代、主流網(wǎng)絡(luò)技術(shù)來設(shè)計(jì)云計(jì)算中心網(wǎng)絡(luò)， 新一代網(wǎng)絡(luò) 技術(shù)往往能提供更高的性能，而且有更長的產(chǎn)品生命周期，便于維護(hù)。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)主要作用是接入各類應(yīng)用業(yè)務(wù)資源，為中心管理平臺的各項(xiàng)應(yīng)用提供基礎(chǔ)保障，能夠更好的服務(wù)于各類用戶。數(shù)據(jù)

2、中心網(wǎng)絡(luò)結(jié)構(gòu)核心層核心層主要設(shè)備是核心交換機(jī)，作為整個網(wǎng)絡(luò)的大腦，核心交換 機(jī)的配置性能較高。目前核心交換機(jī)一般都具備雙電源、雙引擎，考 慮到超融合平臺對于核心交換機(jī)的背板帶寬及處理能力要求較高。故數(shù)據(jù)中心網(wǎng)絡(luò)新購兩臺模塊化核心交換機(jī)， 其具有更大的靈活性和可 擴(kuò)充性，可以根據(jù)實(shí)際或者未來的需求選擇不同數(shù)量、 不同速率和不 同接口類型的模塊，以滿足云計(jì)算數(shù)據(jù)中心日益增長的網(wǎng)絡(luò)業(yè)務(wù)需求。匯聚層超融合平臺匯聚層新購兩臺高性能萬兆交換機(jī)， 滿足超融合平臺 業(yè)務(wù)流量及存儲流量。管理交換考慮到與數(shù)據(jù)中心原機(jī)房利舊服務(wù)器以及超融合平臺的管理業(yè) 務(wù)流量分離情況，新采購兩臺 24電口交換機(jī)，用于超融合平臺管理

3、 和利舊服務(wù)器網(wǎng)絡(luò)接入。辦公網(wǎng)匯聚交換根據(jù)集團(tuán)總部東南西北樓分布，數(shù)據(jù)中心需要一臺辦公網(wǎng)匯聚交 換機(jī)，用于總部辦公用戶接入交換機(jī)與數(shù)據(jù)中心核心交換的連接。辦公網(wǎng)樓層交換根據(jù)現(xiàn)有情況，南樓需要三臺接入交換機(jī)，用于本樓辦公用戶辦 公網(wǎng)的接入。網(wǎng)管系統(tǒng)為了提供快速部署、快速呈現(xiàn)、快速定位、快速預(yù)警等一系列快 速運(yùn)維服務(wù)，新購一套網(wǎng)管軟件對集團(tuán)總部網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)控管 理，保障業(yè)務(wù)正常運(yùn)行，通過直觀、易用的管理界面，提供有線無線 一體化快速運(yùn)維方案，提高集團(tuán)網(wǎng)絡(luò)管理效率，有效降低集團(tuán)網(wǎng)絡(luò)運(yùn) 維成本。網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)VLANB 劃VLAN就是虛擬局域網(wǎng)，隨著集團(tuán)業(yè)務(wù)網(wǎng)中用戶和終端設(shè)備大規(guī) 模接入，網(wǎng)絡(luò)廣播

4、的流量呈幾何級數(shù)量增多，通過 VLANK術(shù)，把一定規(guī)模的用戶和終端歸納到一個廣播域當(dāng)中，從而限制專網(wǎng)的廣播流 量，提高帶寬利用率。每一個VLANB數(shù)據(jù)轉(zhuǎn)發(fā)時，可以二層和三層方式實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā) ， 二層VLANK術(shù)能將一組用戶歸納到一個廣播域當(dāng)中，從而限制廣播 流量，提高帶寬利用率。三層 VLANM基于IP協(xié)議，一組用戶歸納到 一個網(wǎng)段內(nèi)，通過網(wǎng)關(guān)與別的組進(jìn)行交換。在網(wǎng)絡(luò)用戶VLANB劃方面，一般可根據(jù)設(shè)備管理網(wǎng)絡(luò)、設(shè)備互 聯(lián)網(wǎng)絡(luò)，辦公網(wǎng)絡(luò)，以及具體的網(wǎng)絡(luò)應(yīng)用權(quán)限來劃分。在具體 VLAN 規(guī)劃中，應(yīng)合理規(guī)劃每一個VLAN實(shí)際應(yīng)用業(yè)務(wù)數(shù)量。一般規(guī)劃VLAN&源參考如下幾個做法：VLAN1在所有設(shè)備上

5、不啟用三層接口地址，不使用 VLAN便載實(shí) 際業(yè)務(wù)或者作為網(wǎng)管VLAN全網(wǎng)每臺設(shè)備的網(wǎng)管 VLANK以使用同一個，方便設(shè)備預(yù)配置與 日常管理。我們一般建議按照每個區(qū)域進(jìn)行 VLANK源的劃分，超融合平臺 網(wǎng)絡(luò)使用的VLAN勻遵從所屬業(yè)務(wù)的VLAN劃。網(wǎng)絡(luò)IP地址規(guī)劃IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的 關(guān)鍵，要充分考慮到地址空間的合理使用， 保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)地址 分配及業(yè)務(wù)流量的均勻分布。IP地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路 由有非常密切的關(guān)系，將對網(wǎng)絡(luò)的可用性、可靠性與有效性產(chǎn)生顯著影響。因此在對網(wǎng)絡(luò)IP地址進(jìn)行規(guī)劃建設(shè)的同時，應(yīng)充分考慮本地 網(wǎng)對I

6、P地址的需求，以滿足未來業(yè)務(wù)發(fā)展對 IP地址的需求。IP地址規(guī)劃原則：唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的IP地址；這 就需要選擇一個足夠大的IP地址范圍，不但能夠滿足現(xiàn)有的需要， 同時能夠滿足未來網(wǎng)絡(luò)的擴(kuò)展。兩個不同網(wǎng)絡(luò)互聯(lián)時應(yīng)避免使用同一 網(wǎng)段IP地址，以免造成IP地址沖突。簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡 化路由表項(xiàng)。連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；IP地址分配既要考慮到擴(kuò)充，又 要能做到連續(xù)?？蓴U(kuò)展性：地址分配在每一層次上都要留有余量， 在網(wǎng)絡(luò)規(guī)模擴(kuò) 展時能保證地址疊合所需的連續(xù)性。靈活性：地址分配

7、應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化， 充分利用地址空間。路由總體規(guī)劃路由分為靜態(tài)路由和動態(tài)路由，根據(jù)項(xiàng)目實(shí)際情況進(jìn)行選擇。靜態(tài)路由是在路由器中設(shè)置的固定的路由表。 除非網(wǎng)絡(luò)管理員干 預(yù)，否則靜態(tài)路由不會發(fā)生變化。由于靜態(tài)路由不能對網(wǎng)絡(luò)的改變作 出反應(yīng)，一般用于網(wǎng)絡(luò)規(guī)模不大、拓?fù)浣Y(jié)構(gòu)固定的網(wǎng)絡(luò)中。靜態(tài)路由 的優(yōu)點(diǎn)是簡單、高效、可靠。在所有的路由中，靜態(tài)路由優(yōu)先級最高。當(dāng)動態(tài)路由與靜態(tài)路由發(fā)生沖突時，以靜態(tài)路由為準(zhǔn)。動態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實(shí)時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變 化。動態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的網(wǎng)絡(luò)。其中最常用

8、的動態(tài)路由是 OSPF （Open Shortest Path First開放式最短路徑優(yōu)先）協(xié)議。網(wǎng)絡(luò)傳輸帶寬要求云計(jì)算數(shù)據(jù)中心核心層交換機(jī)到業(yè)務(wù)交換機(jī)的網(wǎng)絡(luò)采用萬兆光模塊互聯(lián)，骨干網(wǎng)絡(luò)帶寬達(dá)到萬兆，保證主干業(yè)務(wù)網(wǎng)絡(luò)高帶寬、高性 能實(shí)現(xiàn)數(shù)據(jù)交換高速轉(zhuǎn)發(fā)。網(wǎng)絡(luò)安全性設(shè)計(jì)網(wǎng)絡(luò)安全性方面是保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及數(shù)據(jù)信息資源,使之免受偶然或惡意的破壞、篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、 網(wǎng)絡(luò)服務(wù)的不中斷。網(wǎng)絡(luò)安全性設(shè)計(jì)主要有結(jié)構(gòu)安全、訪問控制、安 全審計(jì)、邊界完整性檢查、入侵防范和網(wǎng)絡(luò)設(shè)備防護(hù)這幾方面的內(nèi)容。網(wǎng)絡(luò)管理規(guī)劃網(wǎng)絡(luò)管理主要是從網(wǎng)絡(luò)監(jiān)控管理、應(yīng)急操作管理和日常維護(hù)管理 三個方面對網(wǎng)絡(luò)

9、管理規(guī)劃進(jìn)行簡要說明：網(wǎng)絡(luò)監(jiān)控管理網(wǎng)絡(luò)系統(tǒng)監(jiān)控主要是通過網(wǎng)管系統(tǒng)統(tǒng)一進(jìn)行信息采集和事件呈 現(xiàn)，配合網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)施應(yīng)急操作管理應(yīng)急操作管理主要是通過固定的操作流程，通過對故障設(shè)備進(jìn)行 主備切換、旁路等方式快速恢復(fù)網(wǎng)絡(luò)系統(tǒng)的連通性。日常維護(hù)管理日常維護(hù)管理主要包括故障診斷、配置和設(shè)備操作等內(nèi)容，指導(dǎo) 網(wǎng)絡(luò)運(yùn)維人員的日常維護(hù)管理工作。網(wǎng)絡(luò)可靠性、可用性、可維護(hù)性、可擴(kuò)展性的設(shè)計(jì)網(wǎng)絡(luò)的可靠性設(shè)計(jì)網(wǎng)絡(luò)的可靠性是為了保證網(wǎng)絡(luò)數(shù)據(jù)交換過程中， 重要環(huán)節(jié)在出現(xiàn) 設(shè)備損壞或失敗時，還能夠保證正常傳輸。網(wǎng)絡(luò)可靠性主要可從傳輸 鏈路可靠性、網(wǎng)絡(luò)設(shè)備可靠性兩個方面進(jìn)行設(shè)計(jì)。傳輸鏈路可靠性傳輸鏈路的可靠性一般通過鏈路

10、聚合技術(shù)來進(jìn)行保障。鏈路聚合 設(shè)計(jì)增加了網(wǎng)絡(luò)的復(fù)雜性，但是提高了網(wǎng)絡(luò)的可靠性，使關(guān)鍵線路上 實(shí)現(xiàn)了冗余功能。除此之外，鏈路聚合還可以實(shí)現(xiàn)負(fù)載均衡。網(wǎng)絡(luò)設(shè)備可靠性網(wǎng)絡(luò)設(shè)備的可靠性主要通過關(guān)鍵部件冗余備份、設(shè)備冗余備份、 傳輸告警抑制和快速鏈路故障檢測來進(jìn)行保障。關(guān)鍵部件冗余備份是指網(wǎng)絡(luò)設(shè)備提供主控、電源等關(guān)鍵部件的1+1冗余備份；另外系統(tǒng)各單板及電源、風(fēng)扇模塊均具有熱插拔功能。 這些設(shè)計(jì)使得設(shè)備或網(wǎng)絡(luò)出現(xiàn)嚴(yán)重異常時，系統(tǒng)能夠快速地恢復(fù)和作 出反應(yīng)，從而提高系統(tǒng)的平均無故障運(yùn)行時間， 盡可能地降低不可靠 因素對正常業(yè)務(wù)的影響。設(shè)備冗余備份是指通過雙機(jī)虛擬化或網(wǎng)絡(luò)冗余協(xié)議等方式實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的冗余備份。一旦出現(xiàn)設(shè)備不可用的情況，