中元公司網(wǎng)絡(luò)升級(jí)改造規(guī)劃與實(shí)施

王正

（中國中元國際工程有限公司）

中元公司網(wǎng)絡(luò)升級(jí)改造規(guī)劃與實(shí)施

王正

（中國中元國際工程有限公司）

論文論述了中元公司網(wǎng)絡(luò)升級(jí)改造方案，涉及網(wǎng)絡(luò)設(shè)備選型，互聯(lián)網(wǎng)接口擴(kuò)充，網(wǎng)絡(luò)地址規(guī)劃，虛擬局域網(wǎng)劃分，訪問控制列表的運(yùn)用，第三層交換技術(shù)，鏈路聚合的應(yīng)用以及虛擬專用網(wǎng)絡(luò)技術(shù)的運(yùn)用。

虛擬局域網(wǎng)；訪問控制列表；虛擬專用網(wǎng)絡(luò)

1　網(wǎng)絡(luò)升級(jí)改造需求分析

企業(yè)網(wǎng)絡(luò)信息化改造的首要環(huán)節(jié)就是對(duì)信息化系統(tǒng)進(jìn)行詳細(xì)規(guī)劃，以便掌握企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)需求、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全策略以及網(wǎng)絡(luò)發(fā)展需求，然后，根據(jù)企業(yè)自身實(shí)際情況規(guī)劃出合理的升級(jí)改造和實(shí)施解決方案。

1.1公司現(xiàn)有網(wǎng)絡(luò)和信息化系統(tǒng)狀況

中元公司網(wǎng)絡(luò)系統(tǒng)建設(shè)于2002年，主干網(wǎng)絡(luò)為千兆以太網(wǎng)，快速以太網(wǎng)絡(luò)交換到桌面，布線采用超五類非屏蔽雙絞線和6芯多模光纖，Internet網(wǎng)絡(luò)出口帶寬為20M。

核心交換機(jī)采用的是凱創(chuàng)8600核心交換機(jī)，擁有32G的背板帶寬，最大32個(gè)千兆端口或者128個(gè)百兆端口。

接入交換機(jī)采用凱創(chuàng)2402，二層交換機(jī)擁有24個(gè)百兆端口。

防火墻采用netscreen 204，擁有4個(gè)10M/100M自適應(yīng)端口，最大吞吐容量400M。

Active Directory域控制器服務(wù)器，DNS服務(wù)器和DHCP服務(wù)器為HP DL380G3，運(yùn)行windows server 2003。

各種專業(yè)軟件授權(quán)服務(wù)器和應(yīng)用系統(tǒng)服務(wù)器為HP DL380G3，運(yùn)行windows server 2003。

網(wǎng)絡(luò)端口1500個(gè)，主要分布在公司1號(hào)、2號(hào)、3號(hào)、4號(hào)辦公樓中。

中元公司原有網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1　中元公司原網(wǎng)絡(luò)拓?fù)鋱D

1.2現(xiàn)有網(wǎng)絡(luò)系統(tǒng)存在的問題

1）網(wǎng)絡(luò)性能：百兆端口交換到桌面已經(jīng)不能滿足企業(yè)數(shù)據(jù)傳輸?shù)男枰?，而且服?wù)器的千兆網(wǎng)卡只能接在百兆端口的交換機(jī)上，導(dǎo)致了服務(wù)器的帶寬瓶頸，發(fā)揮不出應(yīng)有的性能。

2）接入帶寬：Internet的接入帶寬只有20M，已經(jīng)不能滿足企業(yè)辦公的需求，而且只有一條接入線路，一旦出現(xiàn)故障，整個(gè)企業(yè)都將無法訪問互聯(lián)網(wǎng)。

3）網(wǎng)絡(luò)端口：網(wǎng)絡(luò)端口數(shù)量不足，由于網(wǎng)絡(luò)建設(shè)較早，公司的規(guī)模發(fā)展又快，原有的網(wǎng)絡(luò)端口數(shù)量嚴(yán)重不足。

4）服務(wù)器性能：服務(wù)器老舊，性能不足，運(yùn)行的操作系統(tǒng)也已經(jīng)過時(shí)。

5）網(wǎng)絡(luò)安全：原有防火墻功能單一，性能不足，無法應(yīng)對(duì)日新月異的網(wǎng)絡(luò)安全威脅。

1.3升級(jí)改造的需求

1）高帶寬的需求

隨著中元公司企業(yè)規(guī)模的快速發(fā)展和對(duì)信息技術(shù)應(yīng)用的日益提高，公司網(wǎng)絡(luò)上運(yùn)行的各種應(yīng)用也越來越多，網(wǎng)絡(luò)不僅要跑日常網(wǎng)上辦公自動(dòng)化系統(tǒng)、網(wǎng)頁瀏覽、電子郵件收發(fā)等傳統(tǒng)數(shù)據(jù)業(yè)務(wù)，還要承載網(wǎng)絡(luò)視頻會(huì)議，協(xié)同辦公系統(tǒng)，統(tǒng)一通信（即時(shí)消息）等對(duì)帶寬和延時(shí)要求都很高的數(shù)據(jù)業(yè)務(wù)，使得網(wǎng)絡(luò)處理的數(shù)據(jù)量大大增加。這就需要加強(qiáng)網(wǎng)絡(luò)核心交換機(jī)處理能力，核心交換機(jī)至少要支持千兆交換，最好能夠支持萬兆交換，接入層交換機(jī)也要具備千兆交互能力，滿足千兆交換到桌面，從而滿足今后公司網(wǎng)絡(luò)發(fā)展的需要。

2）高性能的需求

隨著公司規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)不斷增多，網(wǎng)絡(luò)規(guī)模越來越大，跨部門同時(shí)協(xié)作應(yīng)用多來越多，對(duì)網(wǎng)絡(luò)設(shè)備性能提出了很高的要求。要能快速處理網(wǎng)絡(luò)傳輸數(shù)據(jù)，能夠滿足跨部門的應(yīng)用請(qǐng)求，所以接入交換機(jī)最好要支持第三層交換和堆疊技術(shù)，核心交換機(jī)支持多種服務(wù)模塊的擴(kuò)展，以滿足今后公司發(fā)展的需要。

3）高可靠性需求

隨著公司業(yè)務(wù)的發(fā)展，越來越多業(yè)務(wù)將利用網(wǎng)絡(luò)來進(jìn)行處理，網(wǎng)絡(luò)的暢通無中斷將成為企業(yè)正常運(yùn)營(yíng)的保證。所以網(wǎng)絡(luò)設(shè)計(jì)要保證通信線路的通暢無中斷，這就要求網(wǎng)絡(luò)設(shè)備的可靠性和鏈路的可靠性。設(shè)備可靠性，可通過配備冗余電源和引擎來保證；鏈路可靠性，可通過增加Internet出口線路、布線配置冗余線路，采用鏈路聚合技術(shù)來保證。

4）高安全性需求

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊手段和病毒種類越來越多，為了保障企業(yè)網(wǎng)絡(luò)安全，降低安全威脅給企業(yè)帶來的損失。這就要求建立完善的安全防御體系，同時(shí)也對(duì)網(wǎng)絡(luò)安全設(shè)備提出了很高的要求；要求安全設(shè)備要同時(shí)具備處理防病毒、防網(wǎng)絡(luò)攻擊、入侵檢測(cè)及網(wǎng)絡(luò)應(yīng)用識(shí)別的能力。

1.4升級(jí)改造目標(biāo)

為了保證公司網(wǎng)絡(luò)數(shù)據(jù)、語音、視頻的安全和高效，建成集數(shù)據(jù)、語音、視頻為一體的網(wǎng)絡(luò)，具體目標(biāo)如下。

1）實(shí)用性：按照實(shí)際需求，在保證技術(shù)可行性的前提下，選擇性價(jià)比高、售后服務(wù)好，管理方便的設(shè)備；

2）可靠性：從網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)計(jì)方案、設(shè)備選擇、技術(shù)服務(wù)、備件供應(yīng)等方面考慮，確保網(wǎng)絡(luò)系統(tǒng)可靠性；

3）安全性：整體統(tǒng)一規(guī)劃，從各個(gè)環(huán)節(jié)入手建立完整的網(wǎng)絡(luò)系統(tǒng)安全體系；

4）優(yōu)化投資：網(wǎng)絡(luò)系統(tǒng)既能滿足將來公司的發(fā)展需求，又能充分利用現(xiàn)有網(wǎng)絡(luò)系統(tǒng)資源，使網(wǎng)絡(luò)系統(tǒng)升級(jí)能夠平滑過渡，從而降低改造成本。

2　網(wǎng)絡(luò)升級(jí)改造總體設(shè)計(jì)方案

2.1總體設(shè)計(jì)

中元公司原有網(wǎng)絡(luò)拓?fù)錇樾切屯負(fù)浣Y(jié)構(gòu)。星型網(wǎng)絡(luò)拓?fù)渑c總線型網(wǎng)絡(luò)相比網(wǎng)絡(luò)性能高、故障率低，與環(huán)型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相比易擴(kuò)展，與網(wǎng)狀拓?fù)浣Y(jié)構(gòu)相比成本低且易于維護(hù)管理，所以本次改造仍將采用星型網(wǎng)絡(luò)拓?fù)?，并將重新?duì)核心層、匯聚層和接入層進(jìn)行設(shè)計(jì)優(yōu)化。改造后的網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

圖2　中元公司改造后的拓?fù)鋱D

在網(wǎng)絡(luò)邊界上部署1臺(tái)UTM防火墻，負(fù)責(zé)鏈路負(fù)載均衡、互聯(lián)網(wǎng)流量管控、入侵檢測(cè)、VPN連接、NAT轉(zhuǎn)換和安全策略轉(zhuǎn)發(fā)，以及應(yīng)用識(shí)別和上網(wǎng)行為管理。UTM防火墻通過千兆光纖與核心交換機(jī)相連接。

核心層配備1臺(tái)配置冗余電源和模塊的核心交換機(jī)，確保主干網(wǎng)絡(luò)的穩(wěn)定可靠，啟用訪問控制列表對(duì)訪問權(quán)限進(jìn)行控制。

接入層堆疊交換機(jī)，通過2條千兆光纖運(yùn)用端口聚合技術(shù)與核心交換機(jī)相連接，既提高了連接帶寬，又實(shí)現(xiàn)了線路冗余。

服務(wù)器采用千兆網(wǎng)卡用六類雙絞線直接與核心交換機(jī)相連接，保證了訪問性能和速度，避免出現(xiàn)訪問瓶頸。

升級(jí)改造方案運(yùn)用一系列先進(jìn)成熟的技術(shù)，基本上滿足了公司的需求。

2.2Internet網(wǎng)絡(luò)出口設(shè)計(jì)

中元公司原來只有一條光環(huán)新網(wǎng)的Internet網(wǎng)絡(luò)出口線路，接口帶寬也只有20M，這樣的帶寬已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足公司日常辦公的需要，導(dǎo)致員工訪問互聯(lián)網(wǎng)，速度非常緩慢，嚴(yán)重影響辦公效率，而且一旦這條線路出現(xiàn)故障，將導(dǎo)致整個(gè)公司都無法訪問互聯(lián)網(wǎng)。新的設(shè)計(jì)將會(huì)增加一條電信通的帶寬100M的Internet出口線路，并且原有的光環(huán)新網(wǎng)的線路帶寬也將增加到100M。這樣既能保證在一條線出現(xiàn)路故障時(shí)，另一條線路能夠正常訪問互聯(lián)網(wǎng)，同時(shí)也能滿足公司網(wǎng)上日常辦公的需要。

2.3核心層設(shè)計(jì)

中元公司原有核心交換機(jī)擴(kuò)展能力不足，性能也已落后，而且只有1個(gè)處理引擎和1個(gè)電源，很容易引發(fā)單點(diǎn)故障，導(dǎo)致整個(gè)局域網(wǎng)癱瘓。本設(shè)計(jì)方案將會(huì)采購1臺(tái)新的核心交換機(jī)來替換這臺(tái)老設(shè)備，并給新核心交換機(jī)配備雙引擎和冗余電源，提升網(wǎng)絡(luò)可靠性，新核心具備擴(kuò)展萬兆交換能力并且支持IPV6協(xié)議，方便以后的擴(kuò)展和升級(jí)。核心層運(yùn)用鏈路匯聚技術(shù)通過千兆光纖與接入層交換機(jī)相連接。

2.4匯聚層和接入層設(shè)計(jì)

中元公司原有網(wǎng)絡(luò)交換機(jī)采用級(jí)聯(lián)方式，即幾臺(tái)接入層將交換機(jī)上聯(lián)到核心交換機(jī)，這種方式的網(wǎng)路性能低下，而且容易出現(xiàn)單點(diǎn)故障，網(wǎng)絡(luò)可靠性非常低。本方案接入層將采用堆疊交換機(jī)，每組堆疊交換機(jī)通過鏈路匯聚技術(shù)將千兆光纖直接與核心交換機(jī)連接。這樣降低了網(wǎng)絡(luò)的復(fù)雜度和布線施工的難度，同時(shí)還提供了線路冗余，提高了網(wǎng)絡(luò)的可靠性。新的接入層堆疊交換機(jī)具備全端口限速全千兆交互，并且支持全端口POE供電，上聯(lián)模塊擴(kuò)展等功能，以便今后網(wǎng)絡(luò)升級(jí)和擴(kuò)展。

2.5網(wǎng)絡(luò)安全設(shè)計(jì)

中元公司原有網(wǎng)絡(luò)防火墻為ASIC架構(gòu)，對(duì)網(wǎng)絡(luò)層威脅處理能力較強(qiáng)，但是面對(duì)如今越來越多的應(yīng)用層威脅則顯得力不從心，同時(shí)缺乏靈活的流量和帶寬控制。新的方案將采購1臺(tái)UTM統(tǒng)一管理設(shè)備來替代老的防火墻。新的UTM設(shè)備采用多核架構(gòu)，具備靈活高效的流量管理和監(jiān)控，具備攻擊防護(hù)和入侵檢測(cè)，支持鏈路負(fù)載均衡和多種VPN協(xié)議，設(shè)備配有冗余電源，提高了穩(wěn)定性和可靠性，同時(shí)配有擴(kuò)展插槽方便日后升級(jí)和擴(kuò)展。

2.6服務(wù)器方案設(shè)計(jì)

中元公司原有服務(wù)器比較老舊，一些應(yīng)用軟件還需要在老系統(tǒng)上運(yùn)行，這就導(dǎo)致服務(wù)器的安全可靠性下降，一旦舊設(shè)備出現(xiàn)故障將導(dǎo)致應(yīng)用系統(tǒng)無法使用。為了解決上述問題，改造方案將新購一批雙路高性能機(jī)架服務(wù)器，替換老舊的服務(wù)器，并利用虛擬化技術(shù)，把一些老服務(wù)器系統(tǒng)遷移到虛擬機(jī)中運(yùn)行，這樣既保證了系統(tǒng)的正常運(yùn)行，同時(shí)減少了機(jī)房空間的占用和能源的消耗。

3　網(wǎng)絡(luò)升級(jí)改造的實(shí)施

3.1設(shè)備選型

中元公司信息化系統(tǒng)升級(jí)改造工程的硬件包括：網(wǎng)絡(luò)安全設(shè)備，核心交換機(jī)，接入交換機(jī)，服務(wù)器等。設(shè)備不一定選最先進(jìn)最好的，但一定選最適合的，要本著先進(jìn)性、可靠性、實(shí)用性、安全性、可擴(kuò)展性及符合國際標(biāo)準(zhǔn)等原則進(jìn)行選擇。

3.1.1網(wǎng)絡(luò)安全設(shè)備

網(wǎng)絡(luò)安全設(shè)備是抵御各種網(wǎng)絡(luò)攻擊的重要武器，是企業(yè)網(wǎng)絡(luò)防護(hù)的不可或缺的組成部分，其重要功能有：隔離不同網(wǎng)絡(luò)，防止內(nèi)部信息的外泄；強(qiáng)化網(wǎng)絡(luò)安全策略，對(duì)來自外部、內(nèi)部的網(wǎng)絡(luò)違規(guī)和入侵行為進(jìn)行檢測(cè)和集中監(jiān)控；防止外部用戶對(duì)內(nèi)網(wǎng)的非法訪問。

此次改造采用的網(wǎng)絡(luò)安全設(shè)備為山石網(wǎng)科UTM SG-6000-G5150全新一代多核安全網(wǎng)關(guān)，其基于角色、深度應(yīng)用的安全架構(gòu)突破了傳統(tǒng)防火墻只能基于IP和端口的防范限制。處理器模塊化設(shè)計(jì)可以提升整體處理能力，突破傳統(tǒng)UTM在開啟病毒防護(hù)或IPS等功能所帶來的性能下降的局限，其處理能力高達(dá)8～10Gbps，為網(wǎng)絡(luò)提供基于角色、深度應(yīng)用安全的訪問控制、IPSec/SSL VPN、應(yīng)用帶寬管理、病毒過濾、入侵防御等安全服務(wù)。

3.1.2核心交換機(jī)

核心層是整個(gè)系統(tǒng)的中樞，核心層網(wǎng)絡(luò)設(shè)備要求運(yùn)行穩(wěn)定、交換能力強(qiáng)、可靠性高，能夠?qū)崿F(xiàn)高冗余、高帶寬、多層交換，可提供網(wǎng)絡(luò)安全控制機(jī)制、有擴(kuò)展升級(jí)的能力。本次核心交換機(jī)選用思科6506核心交換機(jī)。

3.1.3接入層交換機(jī)

接入層采用堆疊交換機(jī)，提供線速全千兆交換，雙鏈路上行到核心交換機(jī)時(shí)，采用鏈路聚合技術(shù)，不僅提供了線路冗余，同時(shí)還提高了傳輸帶寬，增強(qiáng)了網(wǎng)絡(luò)的可靠性。本次接入層交換機(jī)采用思科3750X堆疊交換機(jī)。

3.1.4服務(wù)器選型

由于要用到虛擬化技術(shù)整合老舊服務(wù)器，所以對(duì)服務(wù)器的體積、CPU、硬盤和內(nèi)存要求較高，本次選擇惠普2U機(jī)架式服務(wù)器HP ProLiant DL380p Gen8。

3.2局域網(wǎng)IP地址和VLAN劃分

3.2.1局域網(wǎng)IP地址和VLAN劃分原則

局域網(wǎng)絡(luò)的IP地址規(guī)劃和VLAN劃分是非常重要的，合理的IP地址規(guī)劃，不僅可以減少網(wǎng)絡(luò)壓力，還可為今后網(wǎng)絡(luò)擴(kuò)展帶來便利；同樣VLAN的劃分也非常關(guān)鍵，基于端口劃分的VLAN可以有效地抑制局域網(wǎng)的廣播風(fēng)暴。中元公司IP和VLAN采用按照公司部門來劃分。

3.2.2VLAN的具體配置實(shí)現(xiàn)

1）在核心交換機(jī)上定義VTP域和服務(wù)模式Server

Core6506 # vtp mode server

Core6506 # vtp domain zhongyuan

2）在核心交換機(jī)上創(chuàng)建VLAN并配置IP地址和子網(wǎng)掩碼

Core6506 （config） # interface vlan 100

Core6506 （config-if） # ip address 172.16.16.1 255.255.252.0

其他VLAN的創(chuàng)建和配置類似。

3）在核心交換機(jī)上給VLAN指定DHCP服務(wù)器地址。

Core6506 （config） # interface vlan 100

Core6506 （config-if） # ip helper-address 172.16.4.41

Core6506 （config-if） # ip helper-address 172.16.4.42

其他VLAN指定的DHCP服務(wù)器地址同上。

4）在核心交換機(jī)上把連接堆疊交換機(jī)的端口配置成trunk端口并封裝802.1Q

Core6506 （config） # int gi 2/1

Core6506 （config-if） # switchport mode trunk

Core6506 （config-if） # switchport trunk encapsulation dotlq

其他連接堆疊交換機(jī)的端口配置類似。

5）在接入層堆疊交換機(jī)上指定VTP域并配置VTP服務(wù)模式Client

SW3750X-L1 # vtp mode client

SW3750X-L1 # vtp domain zhongyuan

其他接入層交換機(jī)配置方法同上。

6）在接入層堆疊交換機(jī)上與核心交換機(jī)上聯(lián)端口配置成trunk端口并封裝802.1Q

SW3750X-L1 （config） # int gi 1/1/1

SW3750X-L1 （config-if） # switchport mode trunk

SW3750X-L1 （config-if） # switchport trunk encapsulation dotlq

其他接入層交換機(jī)的上聯(lián)端口配置類似。

7）把接入層堆疊交換機(jī)的端口劃入VLAN

SW3750X-L1 （config） # int gi 1/0/1

SW3750X-L1 （config） # switchport mode access

SW3750X-L1 （config-if） # switchport mode vlan l00

其他各交換機(jī)各VLAN端口的配置類似。

3.3鏈路聚合的配置實(shí)現(xiàn)

1）在核心交換機(jī)對(duì)應(yīng)接入交換機(jī)的端口上配置鏈路聚合

Core6506 （config） # port-channel load-balance src-dst-ip

Core6506 （config） # interface range gi 2/1-2

Core6506 （config-if-range） # switchport mode trunk

Core6506 （config-if-range） # switchport trunk encapsulation dotlq

Core6506 （config-if-range） # channel-group 1 mode on

其他核心交換機(jī)的聚合端口設(shè)置類似。

2）在接入層堆疊交換機(jī)對(duì)應(yīng)核心交換機(jī)的端口上配置鏈路聚合

SW3750X-L1 （config） # port-channel load-balance src-dst-ip

SW3750X-L1 （config） # interface range gi 1/1/1-2

SW3750X-L1 （config-if-range） # switchport mode trunk

SW3750X-L1 （config-if-range） # switchport trunkencapsulation dotlq

SW3750X-L1 （config-if-range） # channel-group 1 mode on

其他接入層堆疊交換機(jī)的聚合端口設(shè)置類似。

3）顯示鏈路聚合狀態(tài)信息

Core6506 # show etherchannel summary

Core6506 # show etherchannel detail

3.4創(chuàng)建和應(yīng)用ACL訪問控制列表規(guī)則

1）創(chuàng)建ACL訪問控制列表規(guī)則

Core6506 （config） # ip access-list extended VLAN 100

Core6506 （config-ext-nacl） # permit tcp any any gt 6890

Core6506 （config-ext-nacl） # permit tcp any any lt 6902

Core6506 （config-ext-nacl） # permit ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255

Core6506 （config-ext-nacl） # permit ip 172.16.16.0 0.0.3.255 172.16.108.0 0.0.3.255

Core6506 （config-ext-nacl） # permit ip 172.16.16.0 0.0.3.255 172.16.0.0 0.0.3.255

Core6506 （config-ext-nacl） # deny ip 172.16.16.0 0.0.3.255 172.16.0.0 0.0.255.255

Core6506 （config-ext-nacl） #permit ip any any

其他規(guī)則配置類似。

2）在VLAN端口上應(yīng)用ACL訪問控制列表規(guī)則

Core6506 （config） # interface vlan 100

Core6506 （config-if） # ip access-group VLAN 100 in其他VLAN端口配置類似。

3.5UTM防火墻配置

3.5.1Internet接口設(shè)置

防火墻使用安全域（Zone）來對(duì)網(wǎng)絡(luò)流量的安全需求進(jìn)行區(qū)分和標(biāo)識(shí)，它內(nèi)置了常用預(yù)定義的安全域，這里使用設(shè)備的Untrust域（非可信安全域）和Trust域（可信安全域）。ethernet0/0接口用來連接核心交換機(jī)，ethernet0/1連接電信通的鏈路，ethernet0/2連接光環(huán)新網(wǎng)的鏈路，如圖3所示。

3.5.2網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

源NAT主要是用于內(nèi)網(wǎng)用戶訪問Internet；目的NAT則相反，常用于Internet用戶訪問內(nèi)網(wǎng)服務(wù)器。內(nèi)網(wǎng)用戶在上網(wǎng)時(shí)，如果從ethernet0/2接口轉(zhuǎn)發(fā)，則其數(shù)據(jù)包源地址被轉(zhuǎn)換為ethernet0/2接口的IP地址；類似地，若從ethernet0/3轉(zhuǎn)發(fā)，則源地址被轉(zhuǎn)換為ethernet0/3接口的IP地址，如圖4所示。

3.5.3VPN配置

1）分支機(jī)構(gòu)IPSec VPN設(shè)置

需要配置分支機(jī)構(gòu)IP地址、子網(wǎng)掩碼、加密方式和預(yù)共享密鑰，建立隧道接口和綁定隧道配置如圖5所示。

圖3　Internet網(wǎng)絡(luò)接口IP

圖4　網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

圖5　IPSec VPN配置

2）SSL移動(dòng)VPN配置

需要配置SSL VPN名稱、接入用戶、出接口、服務(wù)端口、隧道接口和地址池，如圖6所示。

圖6　SSL VPN配置信息

3.5.4防火墻策略

本項(xiàng)目啟用了已下策略：SSL VPN和IPSec VPN用戶可以訪問內(nèi)網(wǎng)所有資源；開啟FTP服務(wù)器的FTP端口；開啟公司網(wǎng)站服務(wù)器的HTTP端口；開啟郵件服務(wù)器的HTTP，SMTP，POP3，IMAP協(xié)議端口；普通員工上班時(shí)間不能上外網(wǎng)等策略，具體策略如圖7所示。

3.5.5病毒過濾

配置病毒過濾功能后，設(shè)備能夠探測(cè)各種病毒威脅，例如蠕蟲、木馬、惡意軟件、惡意網(wǎng)站等，并且根據(jù)配置對(duì)發(fā)現(xiàn)的病毒進(jìn)行處理。

本項(xiàng)目中，將病毒庫配置為每日自動(dòng)升級(jí)，并針對(duì)FTP，HTTP，IMAP4，POP3以及SMTP五種數(shù)據(jù)包進(jìn)行病毒掃描過濾，同時(shí)對(duì)網(wǎng)絡(luò)中病毒攻擊行為進(jìn)行了統(tǒng)計(jì)，如圖8所示。

圖7　防火墻策略

3.5.6入侵防御

入侵防御系統(tǒng)（Intrusion Prevention System）簡(jiǎn)稱IPS，能夠?qū)崟r(shí)監(jiān)控多種網(wǎng)絡(luò)入侵并根據(jù)配置對(duì)網(wǎng)絡(luò)攻擊進(jìn)行入侵防御等操作。本項(xiàng)目中，開啟IPS特征庫自動(dòng)升級(jí)，并對(duì)所有支持協(xié)議的數(shù)據(jù)包開啟了入侵檢測(cè)和防御功能。檢測(cè)出入侵行為后，按照嚴(yán)重級(jí)別不同采取記錄日志、重置連接甚至徹底阻斷的處理方式。本項(xiàng)目IPS配置策略如圖9所示。

圖8　防火墻病毒過濾配置

圖9　防火墻IPS入侵防御設(shè)置

3.5.7攻擊防護(hù)

本項(xiàng)目中，分別在內(nèi)網(wǎng)所在的Trust安全域以及外網(wǎng)所在的Untrust安全域，開啟了全部類型的攻擊（Syn flood攻擊/ICMP flood 攻擊/UDP flood 攻擊/ARP spoofing 攻擊/IP spoofing 攻擊/IP scan 攻擊/Port scan 攻擊/WinNuke 攻擊/ IP fragment 攻擊/IP option 攻擊/Ping of death 攻擊/Smurf/ Fraggle 攻擊/Land attack 攻擊/大ICMP包攻擊等）防御功能，并且使用了系統(tǒng)默認(rèn)的閥值，如圖10所示。

4　結(jié)束語

圖10　防火墻攻擊防護(hù)設(shè)置

本文圍繞中元公司網(wǎng)絡(luò)升級(jí)改造的規(guī)劃與實(shí)施的論題展開論述，通過分析中元公司原有網(wǎng)絡(luò)信息化系統(tǒng)情況，指出了原有網(wǎng)絡(luò)信息化系統(tǒng)存在的問題，在明確中元公司對(duì)信息化系統(tǒng)升級(jí)的需求和目標(biāo)后，結(jié)合目前先進(jìn)成熟的網(wǎng)絡(luò)和信息化技術(shù)，制定出了經(jīng)濟(jì)可行的適合中元公司的信息化系統(tǒng)升級(jí)規(guī)劃方案，該方案包括對(duì)網(wǎng)絡(luò)拓?fù)涞母脑?，交換機(jī)、防火墻和服務(wù)器的選型。

方案的實(shí)施過程中，通過運(yùn)用虛擬局域網(wǎng)VLAN技術(shù)，消除局域網(wǎng)內(nèi)網(wǎng)絡(luò)廣播風(fēng)暴；運(yùn)用第三層交換技術(shù)，保證不同虛擬局域網(wǎng)VLAN客戶端能夠通信；運(yùn)用ACL訪問控制列表技術(shù)，保證了局域網(wǎng)中訪問的安全性；通過鏈路聚合技術(shù)，使得網(wǎng)絡(luò)核心層與接入層的傳輸帶寬翻倍的同時(shí)實(shí)現(xiàn)了鏈路冗余，提高了局域網(wǎng)網(wǎng)絡(luò)可靠性；通過運(yùn)用虛擬專用網(wǎng)絡(luò)VPN技術(shù)，實(shí)現(xiàn)了異地協(xié)同辦公和遠(yuǎn)程辦公；通過部署統(tǒng)一通信軟件，使得協(xié)同辦公的溝通更加便捷，提高了辦公效率；通過服務(wù)器虛擬化技術(shù)，使得服務(wù)器的利用率更高，資源分配更合理，同時(shí)節(jié)省機(jī)房空間和能源能耗。

【1】王達(dá).Cisco/H3C交換機(jī)配置與管理完全手冊(cè)［M］.北京 ：中國水利水電出版社，2009.

【2】王達(dá).Cisco/H3C交換機(jī)高級(jí)配置與管理技術(shù)手冊(cè)［M］.中國水利水電出版社，2012.

【3】王春海.宋濤，VPN網(wǎng)絡(luò)組建案例實(shí)錄.第2版［M］.科學(xué)出版社，2011.

【4】秦柯.Cisco IPSec VPN實(shí)戰(zhàn)指南［M］.人民郵電出版社，2012.

【5】馬春光.郭方方，防火墻、入侵檢測(cè)與VPN［M］.北京郵電大學(xué)出版社，2008.

【6】史寶會(huì).中小型企業(yè)網(wǎng)絡(luò)組建與管理［M］.北京 ：人民郵電出版社，2008.

【7】張?jiān)Ｉ?陳建軍，企業(yè)網(wǎng)絡(luò)搭建及應(yīng)用［M］.北京 ：北京：高等教育出版社，2010.

【8】黃勁榮.校園網(wǎng)升級(jí)改造的分析、設(shè)計(jì)與實(shí)現(xiàn)［D］.廣東工業(yè)大學(xué)，2005.

Planning and Implementation of Network System Upgrade of IPPR Corporation

WANG Zheng
（China IPPR International Engineering Co.， Ltd）

This paper attempts to discuss from the planning and implementation of network system upgrade in China IPPR International Engineering Corporation， this upgrading and renovation plan involves equipment selection， Internet interface expansion， network address layout， VLAN division， ACL application， the third layer switch technique， Link Aggregation application， VPN technique application.

VLAN； ACL； VPN