个人信息安全专业毕业设计
企业园区安全网络架构构成与实施方案
摘要
随着近年来互联网的高速发展,信息安全已经成为电子商务、金融系统、或企业内部不可或缺的一部分。企业的安全网络作为保障内部网络的重要构成,能对网络违规行为、网络拥堵、信息泄露、数据窃取和篡改、不良信息传播等问题进行严密审计和监控,记录现场数据并发出警告。
近几年来,全球网络攻击越来越频繁,攻击手段越来越复杂,国家以及企业对于网络安全的防守难度不断加大。随着国家网络安全法的推出,各行业都在注视企业的网络安全问题,因此,设计一个具有高安全,高可靠以及高性能的企业园区网络具有非常重要的意义。
关键词
等级保护制度 安全审计 售后实施 安全架构
一、 引言
随着《网络安全法》的推出,网络安全成为了近几年各行业关注的焦点。等保2.0也成为了各行业需要完成的目标。根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,本论文介绍了某医药行业公司的网络安全方案设计规划与实施方案
(一)实习单位概况
(入行久了,想了一想还是删了比较好,此行2022年更新)
(二)实习概况
1、实习时间
2020年 12月——2021年 6月
2、实习岗位
售后网络工程师
3、实习任务
了解:了解关于网络安全法,等级保护制度等安全相关法律法规
熟悉:主流防火墙及安全审计设备的使用方法
掌握:主流安全设备上架、调试配置与项目验收的流程与步骤
二、正文
项目背景
某企业开发中心项目,采用先进建设思路和互联网+运营模式,实现开发中心智能化基础建设、园区主干网敷设,打造一个为园区服务的 IT 共享数据中心系统平台,完成园区主干网互联。
(一)企业园区网络方案设计
1. 企业网络整体规划
(1)网络总体设计思路
l 层次化设计
有核心层、汇聚层、接入层,每层功能清晰,架构稳定,易于扩展和维护。
l 模块化设计
一个模块为一个生产网络、安防网络、公共交换区,模块内部调整涉及范围小,定位问题也容易。
l 冗余性设计
双节点冗余性设计,适当的冗余性提高可靠性,过度的冗余不便于运行维护。
l 对称性设计
网络的对称性便于业务部署,拓扑直观,便于设计和分析。
(2)核心层设计规划
核心层部署园区的核心设备,连接汇聚交换机及区域防火墙,转发数据网、设备网之间的流量。
核心层采用堆叠CSS2,是指将多台支持堆叠特性的交换机设备组合在一起,从逻辑上组合成一台交换设备。通过堆叠线缆连接后组成堆叠CSS2,对于上游和下游设备来说,它们就相当于一台交换机Switch。
(3)汇聚层设计规划
汇聚层是一个楼宇的汇聚点,汇聚层的设备用来转发本区域用户流量到核心层。汇聚层将大量用户接入到互联的网络中,模块化扩展接入核心层设备的用户数量。
汇聚层具有高带宽、高端口密度、高转发性能等特点,用于支撑该汇聚层下各业务部门之间的流量。
(4)接入层设计规划
接入层是最靠近终端用户的网络,为用户提供各种接入方式,一般部署二层设备。接入层除了需要部署丰富的二层特性外,还需要部署安全、可靠性等相关功能。
接入层需要具有高密度、高速率的端口,以支持更多的终端接入园区网络。
(5)VLAN规划
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接互通,从而将广播报文限制在一个VLAN内。
基于园区内网拥有比较多不同的业务类型,并且不同类型网络使用者也有很大差别,因此进行VLAN的合理规划将可以帮助建设一个稳定运作的教学合一的网络。
在园区网络中,可以按功能将VLAN划分为以下几种:
l 管理VLAN
网络中的交换机需要划分管理VLAN,在管理VLAN中配置IP地址,以便日常维护。管理VLAN要与用户VLAN严格区分。
l 业务VLAN
业务VLAN指为终端接入用户划分的VLAN,针对园区网络中不同区域,VLAN划分方法不同。建议为每一接入交换机划分一个VLAN,并设置端口隔离, 实现配置的简化和用户间的隔离。
在这种方式下,VLAN划分的基本原则如下:
要严格区分业务VLAN和管理VLAN。
接入交换机可采用统一的VLAN配置, 接入交换机的端口设置为隔离端口。
预留一定数目VLAN方便后续扩展。
(6)IP地址规划
在园区网络中,核心区域有少量设备使用公网IP地址,对外提供服务;核心交换机将园区网内部用户统一接入,为内部用户分配IP地址。
IP地址规划原则
IP地址规划的基本原则如下:
l 唯一性
一个IP网络中不能有两个主机采用相同的IP地址。
l 连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
l 扩展性
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
l 业务地址
园区内网用户的地址由核心交换机统一分配。可以通过在核心交换机上配置地址池来按用户所在区域分配IP地址。
l 互联地址
互联地址是指两台网络设备相互连接的接口所需要的地址,设备互联的网段一般聚合后发布,而且没有必要发布给终端用户。
(二)项目技术设计原则
1、局域网二层技术设计
二层无环设计原则
园区各个分区的交换域中,多台物理分布层交换机都可通过虚拟化技术便简化成一台逻辑设备,同时同一交换域中的接入层交换机到不同汇聚层交换机之间的多条链路连接可以采用链路捆绑的方式,将多条物理链路进行跨设备的链路聚合(Eth-trunk),从而变成了一条逻辑链路,增加带宽的同时也提高了可靠性。
设备采用虚拟化技术后,分布层的两个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟设备。这个简化后的组网可以不再需要使用二层生成树协议,简化了网络配置。同时依靠跨设备的链路聚合,在成员出现故障时不再依赖二层生成树协议(建议作为备份方式)的收敛,提高了网络性能和可靠性。
生成树设计原则
考虑设备兼容性的因素,建议设备的生成树使用IEEE802.1S,多生成树MSTP协议。
- 各楼区的汇聚层交换机,为接入VLAN的设备提供缺省网关,作为二层交换网络的边界,需要控制每个VLAN生成树协议的根,确保生成树的根位于核心交换机,而不是接入交换机。规定核心交换机上MSTP的根优先级为4096
[HUAWEI] stp mode mstp
[HUAWEI] stp instance 0 priority 4096
- 对客户端直接接入的端口,定义为STP边缘端口,优化接入端口的配置。
[HUAWEI]interface GigabitEthernet0/0/1
[HUAWEI]port link-type access
[HUAWEI]stp edged-port enable
- 关闭无用端口,应关闭未使用的交换机端口,需要使用时再进行分配或启用,以避免非法接入或误操作。
[HUAWEI]interface GigabitEthernet0/0/24
[HUAWEI]shutdown
TRUNK设计原则
Trunk设计,需遵循以下原则:
- Trunk两端的业务vlan一致
- trunk链路不允许采用PERMIT VLAN ALL的方式
- Trunk中只允许需要的VLAN被Trunking
- Trunk两端接口的Speed和Duplex设为一致
- 所有trunk链路不允许VLAN 1通过。
[HUAWEI]interface Eth-Trunk0
[HUAWEI]port link-type trunk
[HUAWEI] undo port trunk allow-pass vlan 1
[HUAWEI] port trunk allow-pass vlan 101 to 121
链路聚合设计
对于有高带宽、高可靠性需求的链路,需要使用链路聚合。
|
链路聚合设备 |
链路聚合建议 |
|
核心-核心 |
成员分别2条链路聚合互联 |
|
核心-汇聚 |
设备成员分别采用2条链路聚合到核心成员 |
|
汇聚-接入 |
每台接入设备成员采用2条链路聚合到汇聚成员 |
链路聚合部署技术要求:
- 链路聚合成员端口要求部署在不同的单板,提升单板故障情况下的链路可靠性;
- 堆叠场景下链路聚合成员端口要求部署部署在不同的设备上,提升设备故障情况下的链路可靠性;
- 链路聚合使用LACP模式,聚合端口速率一致;
- 链路聚合成员端口工作模式采用自协商模式。
[HUAWEI]interface Eth-Trunk1
[HUAWEI] port link-type trunk
[HUAWEI] undo port trunk allow-pass vlan 1
[HUAWEI] port trunk allow-pass vlan 101 to 121
[HUAWEI]mode lacp-static
[HUAWEI]interface XGigabitEthernet0/0/1
[HUAWEI]eth-trunk 1
[HUAWEI]interface XGigabitEthernet1/0/1
[HUAWEI]eth-trunk 1
DLDP设计
DLDP用于检测单向链路,并在出现故障时关闭端口或者通知网络管理员。
实际网络中有时会出现光纤交叉连接、一条光纤未连接、一条光纤或双绞线中的一条线路断路的情况,此时链路两端的端口之一可以收到对端发送的链路层报文,但对端不能收到本端发送的报文,这种链路即为单向链路。在单向链路中,由于物理层处于连通状态,能正常工作,因而物理层的检测机制(如自动协商机制)无法发现设备间通信存在问题,从而导致流量的错误转发。
如下面两图所示,以光纤为例,单向链路分为两种类型:一种是光纤交叉连接,另一种是光纤未连接或一条光纤断路。
DLDP的作用就是检测单向链路的存在并采取相应措施。它负责在通过光纤或铜质双绞线连接的设备上,监控物理线路的链路状态。当发现单向链路后,向用户发送告警信息,并根据用户配置,自动关闭或通知用户手工关闭相关端口,以防止网络问题的发生。
DLDP有两种工作模式 :
普通模式:系统只能识别一种类型的单向链路,光纤交叉连接。
加强模式:系统能识别两种类型的单向链路,一种是光纤交叉连接,另一种是一条光纤未连接或一条光纤断路。该模式为默认模式。
DLDP的主要默认参数如下:
|
参数 |
缺省值 |
|
DLDP 功能 |
关闭 |
|
DLDP 工作模式 |
加强模式 |
|
发现单向链路后端口的堵塞模式 |
自动模式 |
在设备之间的互联端口使能DLDP,DLDP的建议配置:
- 全局使能DLDP
- 端口使能DLDP
[HUAWEI]dldp enable
MAC漂移检测设计
S7700交换机、S5700交换机都支持MAC漂移检测告警功能,该功能默认打开,用于开始定位二层环路问题。
该告警带有VLAN参数、MAC参数、漂移端口参数,具体如下:
MAC flapping detected, VLANId = [VLANId], MacAddress = [MAC], Original-Port = [IfNameA], Flapping port = [IfNameB],[IfNameC].Please check the network to which the interface learning a flapping MAC address is connected.
该告警帮助定位环路的具体范围和发生的位置,通常漂移告警中的Flapping Port都是广播风暴环上端口。
[HUAWEI] mac-address flapping detection
MAC联动ARP设计
网络设备进行三层转发时,通过查找ARP表,命中表项后直接转发。某些时候,终端的逻辑位置发生了变化(比如服务器主备网卡发生切换),这个时候该IP对应的端口发生了变化。
MAC表的更新硬件源地址直接学习,只有有报文发送到设备,MAC表就可以刷新。但是这个时候是无法直接刷新ARP表的,除非终端发送了免费ARP。
这个时候,就要开启MAC地址联动ARP功能,一旦MAC地址检测到端口发生变化,同时触发ARP表的刷新。
[HUAWEI]arp topology-change enable
2、局域网三层技术设计
局域网三层设计主要考虑Vlan间的互访及控制,Vlan和其他网络区域的通讯。
l 互联网出口区域:运营商互联。
l DMZ服务器区域:分别与DMZ区域数据中心交换机互联,设备链路数量根据需要定制。
l 内部服务器与对外访问区域:CE6856互联园区核心
l WEB安全:通过WAF5250进行WEB防护
l 区域互联:通过万兆互联,带宽和链路都有冗余。
l 园区区域:根据业务实际划分区域。
区域路由协议
园区各个区域的内部交换域内部采用静态路由(部分可采用动态路由部署),核心网关之间可以采用动态路由协议ospf、核心网关和出口设备之间可以采用静态路由、出口设备上可以根据需要进行策略路由部署。
#
ospf 100 router-id 10.0.x x
area 0
network x.x.x.x 0.0.0.0 //业务段
network x.x.x.x 0.0.0.0
network 10.x.x.x 0.0.0.0 //管理地址
ip route-static 0.0.0.0 0.0.0.0 运营商1
#
ip route-static 0.0.0.0 0.0.0.0 运营商2
#
设备登录管理
设备登录管理包括带外网管,AAA服务,用户设置和用户口令管理。
1) 核心设备带外网管
[HUAWEI]snmp-agent
[HUAWEI]snmp-agent community write cipher xxxxx
[HUAWEI]snmp-agent community read cipher xxxxx
[HUAWEI]snmp-agent sys-info version all
[HUAWEI]snmp-agent target-host trap address udp-domain XXXX params securityname xxxxx all privacy
2) AAA服务
在运维管理服务器区域部署AAA服务,提供用户登录网络设备时的认证、授权、计账功能。AAA认证服务器应支持Radius和TACACS+协议。
[HUAWEI]user-interface vty 0 4
[HUAWEI] authentication-mode aaa
[HUAWEI] protocol inbound ssh telnet
通过Console登录设备时采用本地认证,不通过AAA认证。
[HUAWEI]user-interface con 0
[HUAWEI] authentication-mode password cipher xxxxx
3) 设备登录用户管理
每个登录网络设备的用户应当有自己唯一的用户名。
对于只有设备查看权限,没有配置权限的用户,可以通过AAA服务器设置静态的口令。对于有配置权限的用户,建议通过动态口令技术提高口令的安全性。应设置一个有配置权限的静态口令用户,该用户平时不启用,只有在进行批量管理或动态口令失效时才启用,操作完成后应立即将此禁用。
建议具有设备配置权限的用户采用动态口令技术,以提高安全性。
对于静态口令用户,口令设置原则为:
- 口令设置不为空;
- 根据用户角色要求口令长度,一般需大于等于8位;
- 口令由数字、大小写字母、特殊符号等混合组成;
- 不记录在明显的介质上;
- 定期更改。
4) 设备时钟同步
园区网NTP的部署模式采用以下方式:
- 设置NTP服务器,为全网的设备提供统一的时钟源
- 核心交换机指向专用的NTP网管服务器,进行时钟同步
[HUAWEI]ntp source-interface LoopBack0
[HUAWEI]ntp unicast-server X.X.X.X
[HUAWEI]ntp unicast-server X.X.X.X preferred
5) SNMP
园区所有IP网络设备必须支持SNMP v2c 或SNMP v3,并允许从XXXXXXXX运维管理区进行SNMP管理。
园区所有支持SNMP的网络设备应配置只读SNMP Community,并配置访问控制列表限制对SNMP的访问。
通常情况下,各网络设备不应设定读写SNMP Community,除非网管需要,可以在一段时间内打开,但也要同时设定严格的访问控制列表,以加强安全性。
各支持SNMP设备的相应厂商必须提供该设备所支持的私有MIB文件,以便网管系统使用SNMP进行管理。
[HUAWEI]snmp-agent
[HUAWEI]snmp-agent community read cipher XXXXX acl 2010
[HUAWEI]snmp-agent sys-info version v2
6) DHCP
园区用户核心区采用DHCP动态获取IP地址服务,减少运维工作量,同时利用交换机的DHCP snooping特性,加强局域网防范ARP攻击的能力。
[HUAWEI]interface Vlanif2
[HUAWEI] ip address 10.x.x.x 255.255.255.0
[HUAWEI] dhcp select relay
[HUAWEI]dhcp relay server-ip x.x.x.x(dhcpserver)
[HUAWEI] dhcp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] dhcp snooping enable
3、路由规划设计
路由设计基本原则
- Ø 根据网络架构设计,全网网络连接,将采用静态路由。
- Ø 根据网络架构设计,在核心网关之间可以部署动态ospf路由协议。
路由协议参数定义
1) OSPF路由器标识
在每个OSPF 进程中,路由器都需要有唯一的Router ID 来标识自己。在缺省情形下,路由器指定最高的Loopback IP 地址做为自己的Router ID。为保证OSPF Router ID相对稳定,在OSPF进程的配置中,指定Loopback接口的IP地址为Router ID。对于存在多个OSPF进程的设备,需要定义多个Loopback接口,分别作为不同的OSPF进程的Router ID。
2) OSPF参考带宽
网络设备接口的OSPF cost规定为110 。
[HUAWEI] interface loopback0
[HUAWEI] ospf cost 110
[HUAWEI] interface vlanif xx
[HUAWEI] ospf cost 110
3) OSPF端口类型
- Ø “点到点互连”的网络设备接口,定义其OSPF端口类型为Point-to-Point
[HUAWEI]interface VlanifXX
[HUAWEI] ospf network-type p2p
- Ø 如果网络设备需要在OSPF中发布某个接口的路由,但它并不需要和对端设备建立OSPF邻居关系,可以将此接口的路由直接发布到OSPF中,但需要将其定义为silent-interface
[HUAWEI]ospf 242 router-id 10.242.xxx.xx
[HUAWEI] silent-interface Vlanif16
[HUAWEI] silent-interface Vlanif17
[HUAWEI] area 0.0.0.0
[HUAWEI] network 10.242.xx.0 0.0.0.255
[HUAWEI] network 10.242.xx.0 0.0.0.255
4、网络安全技术
ACL安全访问控制列表的防护
在设备上配置ACL软件访问控制策略,主要用于办公业务的访问控制、对网络设备自身的访问控制等。
[HUAWEI]acl number 2000
[HUAWEI] rule 5 permit source X.X.X.X 0
[HUAWEI] rule 500 deny
[HUAWEI]user-interface vty 0 4
[HUAWEI] acl 2000 inbound
网络设备安全机制
所有网络设备建议遵循下列安全要求:
- Ø 关闭所有网络设备上所有未使用的端口,防止不被授权的网络接入
[HUAWEI]interface GigabitEthernet0/0/1
[HUAWEI] shutdown
- Ø 接入交换机禁止接入Hub
- Ø 打开所有交换机的告警开关(默认开启)
5、网络设备安全配置
访问控制管理
要求对用户的操作进行认证、授权和审计。
- Ø 定义VTY或console 口 timeout时间为30分钟
[HUAWEI]user-interface con 0
[HUAWEI]idle-timeout 30 0
[HUAWEI]user-interface vty 0 14
[HUAWEI]idle-timeout 30 0
- Ø 允许使用telnet 、SSHv1或v2进行远程管理
[HUAWEI] stelnet server enable
[HUAWEI] ssh user localadmin
[HUAWEI] ssh user localadmin authentication-type password
[HUAWEI] ssh user localadmin service-type stelnet telnet
[HUAWEI]user-interface vty 0 14
[HUAWEI]protocol inbound ssh telnet
- Ø 在user-interface vty定义ACL,只允许管理IP访问
[HUAWEI]acl number 2000
[HUAWEI]rule 5 permit source X.X.X.X 0
[HUAWEI]rule 10 permit source X.X.X.X 0
[HUAWEI]rule 500 deny
[HUAWEI]user-interface vty 0 14
[HUAWEI] acl 2000 inbound
- Ø 使用AAA进行认证、授权和审计
[HUAWEI] aaa
[HUAWEI-aaa] local-user localadmin password cipher xxx
[HUAWEI-aaa] local-user localadmin service-type ssh telnet
[HUAWEI-aaa] local-user localadmin privilege level 3
[HUAWEI-aaa] quit
- Ø 登录设备使用CONSOLE、SSH2、telnet
# 配置VTY用户界面的用户验证方式。
[HUAWEI-ui-vty0-4] authentication-mode aaa
[HUAWEI-ui-vty0-4] quit
- Ø SSH和telnet登录方式都采用AAA认证
交换机端配置登录用户参数
# 配置登录验证方式。
[HUAWEI] aaa
[HUAWEI-aaa] local-user localadmin password cipher xxx
[HUAWEI-aaa] local-user localadmin service-type ssh telnet
[HUAWEI-aaa] local-user localadmin privilege level 3
[HUAWEI-aaa] quit
[HUAWEI] stelnet server enable
[HUAWEI] ssh user localadmin
[HUAWEI] ssh user localadmin authentication-type password
[HUAWEI] ssh user localadmin service-type stelnet
- Ø 删除或禁用默认账号和口令
[HUAWEI] undo local-user admin
- Ø 口令复杂度满足要求
SNMP协议管理
对于设备建议采用带外网管方式,其它汇聚交换机与接入交换机均采用带内网管,避免使用默认或熟知的SNMP 团体字。
[HUAWEI] acl number 2010
[HUAWEI] rule 5 permit source xxx
[HUAWEI] rule 10 permit source xxx
[HUAWEI] rule 500 deny
[HUAWEI] snmp-agent
[HUAWEI] snmp-agent community read cipher XXXX acl 2010
[HUAWEI] snmp-agent sys-info version V2
广播风暴抑制配置
当网络中由于某种异常情况出现广播风暴时,可以通过配置广播风暴抑制来降低对网络的危害,配置的阈值小于5M/s,需要在下列端口上配置:
- 汇聚交换机下行端口
- 汇聚交换机互联端口
- 接入交换机上联端口
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression cir 5000
单端口防环路检测
当网络中某个端口下出现环路时,STP一般无法检测成功,需要开启单端口防环路检测:
- 接入交换机下行端口
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] loopback-detect enable
ARP防攻击配置
配置ARP报文速率抑制,如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会对网络设备造成很大的危害。
[HUAWEI]arp anti-attack rate-limit enable
[HUAWEI]arp anti-attack rate-limit alarm enable
配置严格学习ARP表项,严格学习ARP表项指的是设备只学习自己发送的ARP请求报文的应答报文。
[HUAWEI]arp learning strict
配置防止ARP网关冲突,ARP网关冲突防攻击功能使能后,系统生成ARP防攻
击表项,在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP报文在VLAN内广播。
[HUAWEI]arp anti-attack gateway-duplicate enable
802.1x认证配置
IEEE 802.1X标准是一种基于接口的网络接入控制(Port Based Network Access Control)协议。802.1X协议作为局域网接口的一个普通接入控制机制应用于以太网中,主要用于解决以太网内认证和安全方面的问题。通过在局域网接入控制设备的接口对接入的设备进行认证和控制。用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
配置RADIUS主用认证服务器的IP地址、端口。
[HUAWEI] radius-server template 802.1x
[HUAWEI-radius-rd1] radius-server authentication x.x.x.x xxxx
[HUAWEI-radius-rd1] radius-server shared-key simple xxx
[HUAWEI-radius-rd1] radius-server retransmit 2
配置认证方案,认证方案802.1x,认证方法为RADIUS
[HUAWEI] aaa
[HUAWEI–aaa] authentication-scheme 802.1x
[HUAWEI-aaa-authen-abc] authentication-mode radius
配置域,绑定认证方式和RADIUS服务器模板
[HUAWEI-aaa] domain 802.1x
[HUAWEI-aaa-domain-isp1] authentication-scheme 802.1x
[HUAWEI-aaa-domain-isp1] radius-server 802.1x
在全局和接口下使能802.1x认证
[HUAWEI] dot1x enable
[HUAWEI] interface gigabitethernet0/0/1
[HUAWEI-GigabitEthernet1/0/0] dot1x enable
LLDP协议部署
LLDP(Link Layer Discovery Protocol)是IEEE 802.1ab中定义的链路层发现协议。LLDP是一种标准的二层发现方式,可以将本端设备的管理地址、设备标识、接口标识等信息组织起来,并发布给自己的邻居设备,邻居设备收到这些信息后将其以标准的管理信息库MIB(Management Information Base)的形式保存起来,以供网络管理系统查询及判断链路的通信状况。
园区建议在网络设备使能设备LLDP功能,设备能够向邻居设备发送携带本端设备状态信息的LLDP报文,同时也能够解析邻居设备发送的LLDP报文。网管可从设备上获取当前设备的二层的连接状态信息并进行网络拓扑分析,便于了解网络拓扑信息等,方便运维。
<HUAWEI>system-view
[HUAWEI]lldp
(三)园区网络方案实施
设备目录
|
设备类型 |
设备型号 |
|
前置交换机 |
S5735-L32ST4X-A |
|
外网防火墙-1 |
AF-1000-B1600-RH |
|
外网防火墙-2 |
AF-1000-B1600-RH |
|
上网行为管理 |
AC-1000-B1400-RH |
|
核心交换机 |
S12700E-4 |
|
生产网防火墙-1 |
FW-100-BN150 |
|
生产网防火墙-2 |
FW-100-BN150 |
|
公共交换区防火墙 |
FW-100-BN150 |
|
生产网汇聚交换机 |
S6730-H24X6C |
|
公共交换区汇聚交换机 |
S6730-H24X6C |
|
办公网接入交换机 |
S5735-L24T4X-A |
|
S5735-L24T4X-A |
|
|
S5735-L24T4X-A |
|
|
S5735-L24T4X-A |
|
|
S5735-L24T4X-A |
|
|
S5735-L24T4X-A |
|
|
生产网接入交换机 |
S5735-L48T4X-A |
|
S5735-L48T4X-A |
|
|
S5735-L48T4X-A |
|
|
S5735-L48T4X-A |
|
|
S5735-L48T4X-A |
|
|
S5735-L48T4X-A |
|
|
S5735-L48T4X-A |
|
|
POE交换机 |
S5735-L24P4X-A |
|
S5735-L24P4X-A |
|
|
S5735-L24P4X-A |
|
|
S5735-L24P4X-A |
|
|
VPN |
VPN-1000-B1030 |
|
堡垒机 |
OSM-1000-B1150 |
|
态势感知 |
SIP-1000-F600-RH |
|
威胁探针 |
STA-100-B1500 |
|
日志服务器 |
LAS-1000-A600 |
|
eSight |
eSight |
|
aServer-01 |
aServer超融合 |
|
aServer-02 |
aServer超融合 |
|
aServer-03 |
aServer超融合 |
(四)主要设备实施方案
1. 出口防火墙AF-1000-B1600-RH设备实施方案
AF-1000-B1600-RH设备命名规则
|
设备命名 |
设备型号 |
描述 |
|
Core_AF1000-1 |
AF-1000-B1600-RH |
出口防火墙 |
|
Core_AF1000-2 |
AF-1000-B1600-RH |
出口防火墙 |
AF-1000-B1600-RH设备安装规则
出口采用2台深信服下一代防火墙AF-1000-B1600-RH,主要配置虚拟防火墙、内容过滤等功能。考虑到AF-1000-B1600-RH设备安装美观和后期扩容及维护,具体设备面板及板卡安装规划使用如下所示:
1)AF-1000-B1600-RH设备面板如图所示:
AF-1000-B1600-RH设备部署规则
园区出口采用2台AF-1000-B1600-RH下一代高性能防火墙。两台AF-1000-B1600-RH部署主备工作模式,主要部署业务:部署安全策略和根据业务安全级别进行区域划分;根据访问地址等进行出口选路、部署ipv6、智能DNS等实现上园区的业务需求。
两台AF-1000-B1600-RH双机主备,当一台AF-1000-B1600-RH防火墙出现故障时,流量会通过另外一台AF-1000-B1600-RH防火墙所在的链路转发,保证园区访问外部的业务流量正常转发运行。通常情况下,由Master AF-1000-B1600-RH-1进行数据传输,用户希望当Master出现故障时,则由Backup AF-1000-B1600-RH-2接替进行数据传输。当Master恢复后,链路又重新切回原Master上进行数据传输。
AF-1000-B1600-RH-Master和AF-1000-B1600-RH-Backup组成双机热备系统,AF-1000-B1600-RH-1为Master防火墙设备,而AF-1000-B1600-RH-2为Backup防火墙,双机热备功能会提供一条专门的备份通道,用于两台FW之间协商主备状态,以及会话等状态信息和配置命令的备份。当Master防火墙正常工作时,园区AC-1000-B1400-RH通过连接Master防火墙到出口交换机S5735-L32ST4X-A作为与外界其他业务通信。当Master防火墙出现故障时,一台Backup防火墙(VRRP优先级次高的)将成为新的Master防火墙,接替转发报文的工作,保证网络不中断。
AF-1000-B1600-RH设备入网规则
待核心机房设备安装环境具备,进行设备上架、加电、版本等信息的操作,待设备运行正常之后,部署双机,同时使能LINK-GROUP组功能,同步组内接口状态,实现网络状态变化的快速迁移。
待双机部署完毕,进行业务部署,并把S12700E-4上的访问流量默认路由指向AF-1000-B1600-RH,同时回程路由静态明细指向到S12700E-4;在AF-1000-B1600-RH上部署内部、外部安全策略,过滤互访流量进行安全防护控制
2. 核心交换机S12700E-4设备实施方案
S12700E-4设备命名规则
|
设备命名 |
设备型号 |
描述 |
|
Core_S12700_01 |
S12700E-4 |
核心交换机 |
|
Core_S12700_02 |
S12700E-4 |
核心交换机 |
S12700E-4设备板卡安装规则
核心交换机采用2台华为S12700E-4敏捷核心交换机,主要配置为:S12700E-4总装机箱;S12700E 主控处理单元E;S12700E 交换网单元E(X1);48端口十兆/百兆/千兆以太网电接口板(X5S,RJ45);48端口万兆以太网光接口板(X6S,SFP+);3000W 交流电源模块(黑色)。考虑到S12700E-4设备安装美观和后期扩容及维护,具体设备面板及板卡安装规划、端口使用规划如下所示:
S12700E-4设备部署规则
园区网核心交换机采用2台华为S12700E-4敏捷核心交换机, 随着网络的快速普及和应用的日益深入,各种增值业务在网络上得到了广泛部署,网络带宽也以指数级增长,通过交换机集群,可以实现网络高可靠性和网络大数据量转发,同时简化网络管理,如下图:
如上图,两台S12700E-4通过集群卡形成集群模式工作,正常情况下,S12700E-4-1为Master主设备,当S12700E-4-1自身出现故障或S12700E-4-1到AC-1000-B1400-RH链路中断端等异常情况发生,均不会影响设备承载的业务流量,达到网络的高可靠性。
实现举例如下(在核心交换机S12708上组建集群,并通过设置不同的优先级确立S12708在集群组中的主备身份,实现网络链路设备级可靠性。)
S12700E-4-1配置:
#
set css mode css-card
set css id 1
set css priority 100
#
css enable
S12700E-4-2配置:
#
set css mode css-card
set css id 1
set css priority 10
#
css enable
S12700E-4设备入网规则
园区2台S12700E-4承载园区业务核心交换业务,对2台设备S12700E-4上架、上电、刷入版本运行正常之后,部署集群功能。
3. 深信服超融合安装实施方案
aServer功能简介
|
硬件名称 |
设备型号 |
描述 |
|
GGJHQ_aServer_01 |
aServer |
超融合 |
HCI将计算、网络和存储等资源作为基本组成元素,形成根据系统需求进行选择和预 定义的一种技术架构。具体实现方式上一般是在同一套单元节点(x86 服务器)中融入软件虚拟化技术(包括计算、网络、存储、安全等虚拟化),而每一套单元节点可 以通过网络聚合起来,实现模块化的无缝横向扩展(scale-out),构建统一的资源池。 深信服基于超融合构建的超融合架构能够替代繁重复杂的传统云基础架构,实现云架构的极简。 HCI依托超融合技术将数据中心简化为2种设备:x86服务器和交换机,降低了初始投 资成本和学习使用设备的成本。通过接入SCP云计算平台实现平滑扩容,以支撑业务 高性能的需求。HCI内置了P2V迁移工具,可以实现一键迁移应用上云,提升IT的创新 效率。HCI通过CDP技术、数据多副本技术、虚拟机备份技术、应用数据备份、网络 行为管理等多项技术保障数据可靠。针对关键应用具备独特优化技术,支撑Oracle RAC集群、SQL Server集群、金蝶、用友和ERP类软件关键业务稳定运行,高达 99.9999%的可靠性。内置防火墙、WAF、云杀毒等运行在云平台上的业务应用,使 其具备完善的安全防护体系,符合安全等保合规要求,能够有效防止数据中心内部的 东西向安全威胁。HCI具备全局的资源管理能力,部署配置“所画即所得”,降低应 用部署时间,减少故障定位和修复时间,无需专门培训即可掌握平台使用方法。
部署方式及步骤
aServer一体机出厂时已预装超融合操作系统,并设置ETH0接口为管理接口,默认IP 地址是10.250.0.1/24。使用PC配置同网段IP地址,直连ETH0口,用浏览器打开 https://10.250.0.1/可以登录aServer一体机的控制台。 默认的管理员账号和密码均为admin,首次登录会提示修改默认密码,使用一个月后 强制修改默认密码。 首次登录成功后会提示修改默认IP地址。如果有多台aServer主机,需要在组建集群之 前分别登录以修改默认IP地址,且要求IP地址在同网段。
三、结论
(一 )在这次的实习工作中,我参与了多项企业园区网络的建设,深刻理解了多种园区网络规划与设计思路,诸如安全设备的放置位置以及其对于网络安全环境的作用。在日常工作中,主要是以安全审计类设备的实施与设备调试为主,因此也理解了诸如堡垒机,EDR,日志审计,数据库审计,WAF,态势感知等等的运行原理与实施方法
(二)我认为,在学校中的课程实操应该尽量偏向于设备运维与网络安全建设或者多进行渗透测试的学习,多让学生接触防火墙,安全审计类设备,这些设备对于日后的实习工作中是有许多帮助的
四、致谢
随着时间的流逝两年半的专科生生活即将结束,回想近阶段的学习与生活,虽然颇有忙碌但却十分充实,心中仍有怀想之情,在此毕业论文即将完成之际,看着这密密麻麻的文稿,虽然存在诸多不足,但却倾注了很多师长亲朋的关注和帮助,感激之情油然漫溢。谨此向曾给予我帮助和支持的人们表以衷心的感谢!
首先,我要感谢金之杰老师。大二的网络安全技术以及WEB后台技术为我的工作打下了牢固的基础,让我能成功参与公司的大型企业园区网络建设,并且在工作中学到了行业相关的大量知识。在学习之外,金老师教诲我们做人做事的道理,他独到的见解、严谨的作风和以身作则的生活态度也使我受益良多,钦佩不已。
其次,我要感谢我的公司领导和在学习阶段对我孜孜教诲的老师们,是你们的辛勤劳动和无私奉献让我不断进步;也是你们让我在以后的人生道路上勇往直前,因为你们是我坚强的后盾。另外,我要感谢我的父母,他们的关怀和鼓励是支持我应对困难、迎接挑战的最大动力。感谢我的同门师兄弟姐妹们,们经常和我相互切磋交流,使我能够集思广益,并且陪我度过了愉快而又难忘的三年的大学生活,在此一并致谢。
最后,衷心感谢评阅本文的老师们,欢迎批评指正!
五、参考资料
【1】华为-S2720, S5700, S6700 产品文档
【2】深信服-AF-1000-B1600-RH产品文档
【3】深信服-超融合产品文档
【4】华为-HCIP-SEC课程资料
浙公网安备 33010602011771号