xx网网络中心技术实施实施方案书V2.0.docVIP

XXX集团信息网网络中心 技术实施方案 XX有限公司 2006/2 目 录 1 概述 1 1.1 工程概述 1 1.2 项目设备列表 2 2 网络实施方案 3 2.1 网络整体设计 3 2.1.1 全网拓扑 3 2.1.2 网络核心设计 3 2.1.3 新大楼局域网 4 2.1.4 城域网和广域网 5 2.1.5 Internet出口设计 5 2.2 OSPF路由协议部署 7 2.2.1 OSPF区域划分 7 2.2.2 OSPF的Cost值设定 8 2.3 VPN接入 9 2.4 部署用户认证方案 10 2.4.1 与现有LDAP认证方式的融合 10 2.4.2 客户端认证 12 2.5 部署端点准入（EAD）方案 13 2.6 部署日志审计系统Xlog 15 2.7 部署入侵检测(IDS)方案 17 2.8 QOS设计 19 概述 工程概述 XXX集团总部设置在杭州市区，下设几十个电厂和子公司，部分在杭州，部分在浙江其他城市。XX集团的子公司与总部互联，通过总部统一的Internet出口，形成以总部为中心辐射子公司的星形结构，实现信息的实时共享和动态管理以及数据、音频、视频三网合一 。 目前XX集团广域网采用星型网络拓扑结构，主要由两部分组成：一部分是子公司通过杭州电力城域网，通过MSTP或裸光纤方式连接到总部汇聚交换机，进而连接到总部的办公局域网；另一部分通过电力通信传输网的SDH的E1，到总部的中心路由器做汇聚后，经防火墙进入办公网络。原网络的拓扑结构如下： 目前广域网和城域网上主要的应用是数据业务，IP电话和Internet访问，视频会议系统也将后续建设。 搬到新办公楼后，XX集团总部将建设全新网络，广(局)域网将进行相应的改造。 集团新大楼XX大厦地面20层，地下2层。7、8、9三层为XXX集团有限公司所属浙江东南发电股份有限公司办公地点，有单独的中心机房。其余楼层为XX集团总部使用。 项目设备列表 本项目主要采用华为3Com的系列产品构建网络平台： 路由设备（NE40－8路由器1台） 交换设备（S8512交换机2台、S8505交换机1台、S3952P交换机45台） 安全设备（SecPath 1800F防火墙2台、SecPath 1000安全网关1台、SecEngine D500入侵检测系统2台） 无线接入设备（AP8750 20台） 业务软件（CAMS管理软件平台、LAN接入组件、EAD组件和1000套客户端软件） Quidview网管系统1套。 网络实施方案 网络整体设计 全网拓扑 网络核心设计 两台S8512分别与两台1800F形成千兆连接，中间串联防毒墙。任何从外网、城域网、广域网来的或者去往外网的流量必须经过防毒墙的检查。 建议在两台防火墙1800F之间增加一条千兆连接，构成一个四边形的核心结构。这样的结构相对于防火墙之间没有连接的直线型结构更加稳定和健壮，不会因为某一段连接的失效而使OSPF骨干路由域Area0被分割。同时可以通过调整端口的OSPF Cost值来实现灵活的流量导向。 根据本项目的具体需求，防火墙1800F的所有端口均工作在路由模式。与内网连接的端口设置为TRUST区域，与城域网和广域网连接的端口放入DMZ区，与外网连接的端口放入UNTRUST区域。可以根据业务需要，设置各区域间的访问策略。 可以规定如下安全策略： TRUST区可以访问DMZ和UNTRUST区所有资源； DMZ区可以访问TRUST区部分资源和UNTRUST区的所有资源； UNTRUST区只能访问防火墙开放的部分资源。 新大楼局域网 两台S8512万兆骨干交换机为整个网络提供高可靠，高性能的核心交换。两台设备通过2条万兆链路连接。 XX大厦各个楼层接入交换机S3952P通过两条千兆多膜光纤分别上联至两台核心交换机S8512。S8512双机启用VRRP热备协议，为每一个VLAN配置一个VRRP组，第一个VRRP组的主用设备为S8512-1，备用设备为S8512-2，第二个VRRP组的主用设备为S8512-2，备用设备为S8512-1，依此类推。这样两台8512可以实现流量分担和冗余。S8512和S3952上根据VLAN配置情况启用STP协议，但两台S8512之间的万兆接口不启STP，以避免出现环路。 大楼普通用户按部门划分VLAN，即1个部门一个VLAN，以实现部门内部的快速互访。认证方式见“用户访问控制”章节。 新大楼所有IP电话可以划入同一个VLAN，也可以划入所在部门VLAN，通过三层设备（S8512）访问MBX。 所有服务器划入同一个VLAN。根据业务需要，通过核心交换机S8512上的防火墙模块实施访问控制。 所有的无线AP划入同一个VLAN，接入交换机和核心交换机上启用DHCP Rela