大型網(wǎng)絡(luò)改造案例分析

網(wǎng)絡(luò)改造案例分析1、概述：本案例主要針對aaa公司網(wǎng)絡(luò)改造部分，主要涉及aaa公司內(nèi)部網(wǎng)絡(luò)改造及安全建設(shè)以及另外兩個大型局域網(wǎng)互聯(lián)等工程內(nèi)容。。通過本案例學(xué)習(xí)，應(yīng)掌握網(wǎng)絡(luò)遷移、網(wǎng)絡(luò)區(qū)域劃分、網(wǎng)絡(luò)安全規(guī)劃、防火墻模塊fwsm劃分context等等主要內(nèi)容1.1.改造前網(wǎng)絡(luò)狀況鴻務(wù)器新聞網(wǎng)站視頻點播服務(wù)器郵件服務(wù)器?刀片中心1?刀片中心2冊5小機E鴻務(wù)器新聞網(wǎng)站視頻點播服務(wù)器郵件服務(wù)器?刀片中心1?刀片中心2冊5小機EM閃小機2五類雙絞線多摸光纖單模光纖[ASA552CI)irs'An.tdi1.2.需求分析1.2.1.存在的問題從目前AAA公司局域網(wǎng)現(xiàn)狀來看，具體存在以下問題：＞網(wǎng)絡(luò)架構(gòu)略顯凌亂，缺乏模塊化、層次化的結(jié)構(gòu)使得網(wǎng)絡(luò)不易管理和擴展。＞沒有安全區(qū)域的劃分和控制，當(dāng)網(wǎng)絡(luò)某一局部出現(xiàn)安全隱患被侵入后，由于網(wǎng)絡(luò)之間邊界不清楚，缺乏邊界控制，攻擊很容易擴散，從而局部侵入馬上成為全網(wǎng)侵入，造成對全網(wǎng)的威脅。＞對不同下屬單位、業(yè)務(wù)的接入使用多個防火墻隔離，不便管理。用戶采用單點接入，存在可靠性方面的隱患。＞部分設(shè)備的硬件和軟件老化，不支持一些新的功能和特性，需要升級。1.2.2.建設(shè)目標(biāo)鑒于上述問題，本次工程建設(shè)目標(biāo)如下：包括核心設(shè)備升級、增加新的設(shè)備并將三個單位的局域網(wǎng)直接互連，統(tǒng)一進行網(wǎng)絡(luò)架構(gòu)和安全部署。1.3.改造目標(biāo)拓?fù)涔窘尤虢粨Q機援入交換機試驗研究院1.4.改造后邏輯架構(gòu)安全監(jiān)控我鹹**H響應(yīng)薪毓L3V70V40DC：DCV81垠行銀軒互聯(lián)網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)大區(qū)總部數(shù)據(jù)網(wǎng)數(shù)據(jù)網(wǎng)大X總部11CW-DBDBCW-APPDBV1I2|VI10CW-DBCW-APPSGS-5F-S-C6509-1L3SGS-5F-S-C6509-1L3WSMInternetSJWAdminFUSV1AdininSJWInternetFWSMFWSM試研院6509?l公司接入交換機援入交換機試驗研究院1.4.改造后邏輯架構(gòu)安全監(jiān)控我鹹**H響應(yīng)薪毓L3V70V40DC：DCV81垠行銀軒互聯(lián)網(wǎng)互聯(lián)網(wǎng)互聯(lián)網(wǎng)大區(qū)總部數(shù)據(jù)網(wǎng)數(shù)據(jù)網(wǎng)大X總部11CW-DBDBCW-APPDBV1I2|VI10CW-DBCW-APPSGS-5F-S-C6509-1L3SGS-5F-S-C6509-1L3WSMInternetSJWAdminFUSV1AdininSJWInternetFWSMFWSM試研院6509?l試研院6509-2調(diào)通局6506-2調(diào)通局6506-1DC-5F-S-C65O9-1L3DC-5F-S-C6509-2L3VPN2、網(wǎng)絡(luò)設(shè)備清單

型號描述數(shù)量一、原有設(shè)備升級Sup264MFlash卡MEM-C6K-ATA-1-64M=Cat6500Sup2,ATATypelFlashMemCard,64MBSpare4Sup2引擎256M內(nèi)存MEM-S2-256MB=Catalyst6500256MBDRAMontheSupervisor(SUP2),Spare4Sup2引擎MSFC2路由模塊512M內(nèi)存MEM-MSFC2-512MB=Catalyst6500512MBDRAMontheMSFC2orSUP720MSFC3,Spare4注：MSFC2路由模塊256M內(nèi)存報價單上已經(jīng)沒有了Catalyst6500防火墻模塊（配置了20個虛擬防火墻許可）WS-SVC-FWM-1-K9=Firewallbladefor6500and7600,VFWLicenseSeparate1FR-SVC-FWM-VC-T1=Catalyst6500and7600virtualFWlicensingfor20VF1Catalyst650048口千兆電口模塊WS-X6548-GE-TX=Catalyst650048-portfabric-enabled10/100/1000Module1Catalyst650016口千兆模塊WS-X6516A-GBIC=Catalyst650016-portGigEMod,fabric-enabled(Req.GBICs)2GBIC多模光纖接口卡WS-G5484=1000BASE-SXShortWavelengthGBIC(Multimodeonly)48二、新增設(shè)備入侵檢測系統(tǒng)（Cisco7600的IDSM-2入侵檢測模塊）WS-SVC-IDS2BUNK9=IDSM-2600Mmodspare12網(wǎng)絡(luò)安全監(jiān)控、分析與響應(yīng)系統(tǒng)（每秒鐘5000個事件處理，750G硬盤）CS-MARS-100-K9CS-MARS1003RUAppliance,5,000EPS,750GBRAID10,HW/SW1AAA公司核心交換機每臺配置單引擎、雙電源，24口千兆，每臺配置防火墻模塊（配置20個虛擬防火墻許可），第2代網(wǎng)絡(luò)分析模塊WS-C6509-EEnhC6509Chassis,9slot,15RU,NoPowSupply,NoFanTray222MEM-C6K-CPTFL512MCatalyst6500Sup720/Sup32CompactFlashMem512MB2CF-ADAPTER-SPSPadapterwithcompactflashforSUP7202WS-C6509-E-FANCatalyst6509-EChassisFanTray2WS-CAC-3000WCatalyst65003000WACpowersupply4WS-SUP720-3BCatalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3B2WS-X6724-SFPCatalyst650024-portGigEMod:fabric-enabled(Req.SFPs)2GLC-SX-MMGESFP,LCconnectorSXtransceiver28GLC-LH-SMGESFP,LCconnectorLX/LHtransceiver20WS-SVC-FWM-1-K9FirewallbladeforCatalyst65002FR-SVC-FWM-VC-T1Catalyst6500and7600virtualFWlicensingfor20VF2WS-SVC-NAM-2Catalyst6500NetworkAnalysisModule-22AAA公司匯聚交換機WS-C4507RCatalyst4500Chassis(7-Slot),fan,nop/s,RedSupCapable2PWR-C45-1300ACVCatalyst45001300WACPowerSupply(DataandPoE)2PWR-C45-1300ACV/2Catalyst45001300WACPowerSupply(DataandPoE)2WS-X4515Catalyst4500SupervisorIV(2GE),Console(RJ-45)2WS-X4306-GBCatalyst4500GigabitEthernetModule,6-Ports(GBIC)6WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)36AAA公司接入交換機WS-C3560G-24TS-ECatalyst35602410/100/1000T+4SFPEnhancedImage2GLC-SX-MMGESFP,LCconnectorSXtransceiver8調(diào)通局II區(qū)交換機WS-C4507RCatalyst4500Chassis(7-Slot),fan,nop/s,RedSupCapable1PWR-C45-1300ACVCatalyst45001300WACPowerSupply(DataandPoE)1PWR-C45-1300ACV/2Catalyst45001300WACPowerSupply(DataandPoE)1WS-X4515Catalyst4500SupervisorIV(2GE),Console(RJ-45)1WS-X4548-GB-RJ45Catalyst4500Enhanced48-Port10/100/1000Base-T(RJ-45)1防火墻ASA5520-K8ASA5520AppliancewithSW,HA,4GE+1FE,DES9S733IS-12218SXFCiscoCAT6000-SUP720IOSIPSERVICES3、完成項目應(yīng)具備的知識與能力項目涉及知識點：vian、trunk、vtp、channel、stp、ospf、防火墻、ids、fwsm模塊等。應(yīng)具備的操作能力：交換機、路由器、防火墻、fwsmcontext劃分等。項目涉及的設(shè)備情況：4507、3750、6509、asa5520、fwsm、pix等4、知識點與設(shè)備回顧及補充：與實驗環(huán)境不同的新增設(shè)備：pixfwsm、ids、mars等超出NA/NP范圍的知識點是重點：pix、fwsmcontext劃分。所有知識點和設(shè)備的資料都應(yīng)準(zhǔn)備：詳細(xì)見附件參考文檔。5、實施過程簡述為確保網(wǎng)絡(luò)系統(tǒng)平滑過渡，本系統(tǒng)改造采用逐步替換割接方式進行。主要包括如下步驟：AAA公司新設(shè)備安裝AAA公司新、舊設(shè)備互連AAA公司樓層交換機割接試驗院局域網(wǎng)互連電調(diào)局局域網(wǎng)互連AAA公司接入綜合數(shù)據(jù)網(wǎng)改造綜合單位接入改造AAA公司internet出口改造AAA公司外聯(lián)單位改造AAA公司服務(wù)器群接入改造6、配置文件：參見附件。7、項目的模擬配置：動手實驗實驗?zāi)康模航粨Q機割接遷移實驗拓?fù)涿枋觯涸袃膳_核心交換機，冗余下聯(lián)數(shù)臺樓層接入交換機，并作stp冗余配置。所有vlan全部總結(jié)在核心交換機上。其中vlan10為服務(wù)器網(wǎng)段?，F(xiàn)需新增兩臺核心交換機，所有樓層全部割接到新核心上，并將原核心交換機做為服務(wù)器交換機，并與新核心交換機運行ospf協(xié)議。實驗步驟：1、搭建模擬割接前實驗平臺2、平臺搭建完成后，showvlan,showtrunk,showstp等進行核實并記錄目前狀態(tài)。3、加電新核心交換機，并將vtp模式改為client模式，配置與老核心交換機互聯(lián)端口為turunk模式,并與老核心交換機互聯(lián)。觀察學(xué)習(xí)到的vlan情況，showvlan。更改vtp模式為server模式。并新增vlan測試在老交換機上是否學(xué)習(xí)到。4、在新核心交換機上配置三層vlan端口（先shutdown）,配置完成后，先shutdown老交換機端口，然后在新交換機上noshutdownvlan端口。并測試vlan間連通性。遷移除服務(wù)器vlan外的其他vlan到新交換機上。5、遷移接入交換機到新核心交換機上。觀察聯(lián)通性。注意，此時用戶vlan不能訪問服務(wù)器vlan，為什么？？？？6、在新核心交換機與老核心交換機間啟用一個互聯(lián)vlan，并更改互聯(lián)端口從trunk到vlan。然后在四臺核心上運行ospf，然后在從用戶vlan訪問服務(wù)器vlan，測試連通性。7、問題提問：這樣的核心間vlan連接方式，有何優(yōu)缺點？（答案：還是存在stp問題，最好采用物理路由接口方式連接。）實驗總結(jié)：實際項目中，經(jīng)常遇到這樣的情況，如何確保網(wǎng)絡(luò)平滑過渡，減少網(wǎng)絡(luò)中斷時間，是必須要考慮的問題。8、案例練習(xí)題：問題：請就改造后的優(yōu)缺點分析，包括系統(tǒng)架構(gòu)、安全性、可靠性、可管理性等方面。參考答案：1.系統(tǒng)架構(gòu)更加清晰、合理整個網(wǎng)絡(luò)分為三大塊：局域網(wǎng)，綜合數(shù)據(jù)網(wǎng)，各接入單位。局域網(wǎng)包括AAA公司、試驗院、調(diào)通局三個網(wǎng)絡(luò)。在AAA公司局域網(wǎng)中，通過區(qū)域劃分，包括核心區(qū)、匯聚區(qū)、接入?yún)^(qū)、服務(wù)器區(qū)、外聯(lián)區(qū)、安全區(qū)等。>通過統(tǒng)一的安全接入方式，有效的改變了原接入單位接入方式混亂的局面。主要體現(xiàn)在各綜合單位及各分局接入。統(tǒng)一了internet出口，更有效的利用資源。提高系統(tǒng)可靠性通過節(jié)點冗余、引擎冗余、電源冗余、鏈路冗余等措施，極大提高系統(tǒng)可靠性，降低系統(tǒng)中斷風(fēng)險。提高系統(tǒng)安全性通過部署防火墻模塊、IDS模塊、ASA5520防火墻以及MRAS系統(tǒng)，極大提高了系統(tǒng)安全，以及對系統(tǒng)異常事件的監(jiān)控及響應(yīng)能力。FWSM的劃分，有效的提高各區(qū)域訪問的安全控制。>分布式的安全監(jiān)控點部署，提高了接入的安全性，并最大限度的隔離網(wǎng)絡(luò)威脅的擴散。集中式的安全監(jiān)控響應(yīng)系統(tǒng)MRAS的部署，可以集中監(jiān)控各匯聚點配置的防火墻、入侵檢測系統(tǒng)等安全設(shè)備，從而對整個骨干網(wǎng)的安全威脅形成了全面的監(jiān)控響應(yīng)機制。提高系統(tǒng)可管理性通過重新調(diào)整vlan