冀中网络能源项目

实 施 方 案

冀中能源网络技术有限公司

目 录

第一部分 工程描述 ......................................................................................................................... 3 第二部分 网络拓扑图 ..................................................................................................................... 4 第三部分 设备清单 ......................................................................................................................... 8 第四部分 网络设备机柜布局图 ..................................................................................................... 9 第五部分 技术规划 ....................................................................................................................... 11

5.1核心交换机Catalyst6509和Catalyst4506 ...................................................................... 11 5.2汇聚层Catalyst2970和接入层 Catalyst2950 ................................................................. 12 5.3 Cisco3845安全路由器 ..................................................................................................... 12 5.4 防火墙模块FWSM ......................................................................................................... 13 5.5 入侵检测模块IDSM ....................................................................................................... 14 5.6 趋势防病毒产品 .............................................................................................................. 15 5.7 网强网管软件及PCMAIN资产管理软件 .................................................................... 18 5.8 网络安全规划 .................................................................................................................. 19 5.9 路由协议规划 .................................................................................................................. 21 5.10 VLAN及IP地址规划 ................................................................................................... 21 5.11 网络管理设置 ................................................................................................................ 25 5.12 设备名和口令设置 ........................................................................................................ 25 5.13 设备连线 ........................................................................................................................ 26 第六部分 项目组及项目进度安排 ............................................................................................... 27 第七部分 网络应急方案 ............................................................................................................. 31 第八部分 参考配置 ....................................................................................... 错误！未定义书签。

8.1 Trunk协议的配置 ............................................................................ 错误！未定义书签。 8.2 安全VTP域的配置 ........................................................................ 错误！未定义书签。 8.3 二层VLAN的配置 ......................................................................... 错误！未定义书签。 8.4 三层VLAN的配置 ......................................................................... 错误！未定义书签。 8.5 浮动静态路由的配置 ...................................................................... 错误！未定义书签。 8.6 安全策略的配置 .............................................................................. 错误！未定义书签。 8.7 HSPR协议的配置 ............................................................................ 错误！未定义书签。 8.8 CBAC配置 ....................................................................................... 错误！未定义书签。 附表1：设备连线表 .............................................................................. 错误！未定义书签。 实施方案认可表： ......................................................................................................................... 34

第一部分 工程描述

冀中网络能源技术股份有限公司是一家以铜加工为主的全国大型企业。冀中能源网络集团网络系统项目建设的总体目标是利用各种先进成熟的网络技术和通信技术，建设一个技术先进、扩展性强、安全性高的数据中心及主干网络。数据中心包括中心服务器和中心存储系统，同时通过网络系统将公司各种PC机、工作站、终端设备和局域网连接起来，并与原有的网络系统、广域网相连，形成结构合理、内外沟通的企业网络系统，并在此基础上建立能满足企业办公、指挥协调和管理需要的软硬件环境，开发各类信息库和应用系统，为集团公司内工作的各类工作人员提供充分的网络信息服务。

冀中网络能源有限公司对这次参与实施冀中网络网络项目，能为冀中网络能源建设一个高速、安全的主干网络尽自己的微薄之力而感到非常荣幸，同时也深感责任重大。我们郑重承诺：一定把该系统建设好，完成集团领导交给我们的任务！

第二部分 网络拓扑图

由于冀中网络能源较为复杂，且设备之间有多种的组合，我们设计了2种网络方案，其中方案1拓扑图如下：

主楼放置2台核心交换机Catalyst6509和Catalyst4506，两台核心交换机之间捆绑两条1000M光纤线路互联，配置HSRP互为热备来实现主交换之间的冗余，同时通过ACL来保证VLAN之间的安全互访，主楼中分布7台接入层交换机Catalyst2950，分别通过trunk链路连接到Catalyst6509和Catalyst4506，实现接入层到核心层交换之间冗余，在2个侧楼各分布了1台Catalyst2970和2台Catalyst2950，Catalyst2970通过光纤线路分别连接到Catalyst6509和Catalyst4506，实现汇聚层到核心层交换之间冗余，原老大楼网络主交换为一台avaya三层交换机，通过光纤线路连接到核心交换机，按照整体设计，老大楼需要拉两根光纤线路到中心机房，以达到新老大楼线路连接冗余，另有4个点通过改动后的光纤线路连接到核心交换机，需要安装共4台cisco2950交换机。

网络的主出口设备为cisco3845，同时连接电信和网通的线路，内部网络通过cisco3845做NAT地址转换来访问公网，在cisco3845上对两条线路做策略路由

通过合理的分配流量来实现线路的负载均衡，同时cisco3845作为VPN服务器，各个分公司用户及移动用户通过VPN安全接入到内部网络，对内网服务器进行访问。在cisco3845后面是PCMAIN行为监控设备，对内网上网的异常行为进行监控，拦截和限制非法收发的邮件，对内部网络上网的带宽进行限制，趋势防毒墙NVW1200接在PCMAIN后面，为透明模式，对所有经过这条链路的流量进行监测，防止网络病毒进入内部网络，在NVW后面是Catalyst6509的防火墙模块FWSM，这是网络中最重要的一道防护，我们将会配置严格的访问控制来保证网络的安全，FWSM将配置为透明模式，以降低网络的复杂程度，Catalyst6509上的IDS模块IDSM对网络中的重要流量进行监控。

新增服务器群中每台服务器都分别接到核心交换机Catalyst6509和Catalyst4506上以实现链路的冗余，趋势OFSC和TMCM对内部网络中起着病毒防范和集中管理的作用，网强网管对所有网络设备进行集中管理，PCMAIN服务器对能源公司中计算机资源进行管理，网络中CISCO的安全设备都通过VMS来集中管理。

xxxxx很重视内部网络中对访问权限的控制，我们通过ACS与内网中的域控制器相结合，合理配置ACS来实现，ACS主备服务器各一台，分别接在两台核心交换机上来达到冗余，防止其中一台服务器出现故障导致全网无法正常访问。

方案2如下图：

与方案1中不同的是网络出口设计为两条链路，一条为主链路，作为内部网络上网的出口，一条链路作为VPN拨入接入，主链路出口为电信线路，下面接趋势防毒墙NVW1200---PCMAIN---FWSM，其中上网通过FWSM做NAT地址转换，并在FWSM进行出入流量的状态检测，VPN链路出口为网通线路，接cisco3845，其中cisco3845作为VPN服务器，并同样起用NAT配置作为主链路的备份，一旦主链路中出现故障无法上网，可以切换到VPN线路来上网，实现上网设备的冗余。

以上2种方案相比，各有优缺点总结如下： 1、从上网出口看

方案1的优点在cisco3845上接2条线路通过做策略路由，通过合理的分配可以实现ISP线路的负载均衡，并能作到上网线路的冗余，缺点是如果上网设备出现问题，这个链路就会断掉，无法实现设备的冗余；

方案2中出口设备为2个，优点是一旦上网主链路FWSM出现故障，上网设备将会切换到cisco3845上，内网通过cisco3845做NAT出外网，这样可以实现出口设备的冗余，缺点是2条线路一条上网一条走VPN不能通过对流量的调整来达到线路的负载均衡。 2、从安全性看

方案1在安全性上是非常高的，网络中进出的所有流量都经过了cisco3845、NVW1200、PCMAIN行为监控设备、FWSM对病毒、进攻及异常流量的多层防护，在方案2中的上网主链路中同样也实现了很高的安全性，经过了NVW1200、PCMAIN和FWSM的多层防护，在VPN的链路上用户拨入到cisco3845经过了安全认证，并且cisco3845对VPN流量进行状态检测，对攻击行为有着很好的防护能力，但是由于未部署防毒墙，对网络病毒缺乏防护，安全性稍低。 3、从故障概率

方案1上出口设备都在一条链路上，且为单点故障，设备数量多于方案2，即故障点多于方案2，所以从故障概率来说方案2稍优于方案1。

对于以上的2种方案进行了技术分析并结合冀中能源网络公司的实际网络需求情况，我们最终决定实施是采用第1种方案，第2中方案作为备用。

第三部分 设备清单

CISCO产品

核心交换机Catalyst 6509

Cat 6509 Chassis, 9slot, 15RU, No Pow Supply, No Fan Tray

Catalyst 6509 High Speed Fan Tray Catalyst 6500 3000W AC power supply

Catalyst 6500/Cisco 7600 Supervisor 720 Fabric MSFC3 PFC3B

Catalyst 6500 48-port fabric-enabled 10/100/1000 Module Catalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) Cisco CAT6000-MSFC3 IOS ENT FW W/SSH/3DES

600M IDSM-2 Mod for Cat Firewall blade for Catalyst 6500

1000BASE-SX Short Wavelength GBIC (Multimode only)

数量

1 1 2 1 1 1 1 1 1 8 1 1 1 1 1 1 1 8 2 4 1 15 1 1

主核心交换机 WS-C6509 WS-C6K-9SLOT-FAN2 WS-CAC-3000W WS-SUP720-3B WS-X6548-GE-TX WS-X6408A-GBIC S6M3AK9H-12217SXB WS-SVC-IDS2-BUN-K9 WS-SVC-FWM-1-K9 WS-G5484 备用核心层 WS-C4506

WS-X4515 S4KL3EK9-12225EW PWR-C45-1300ACV PWR-C45-1300ACV/2 WS-X4548-GB-RJ45

WS-X4306-GB

核心交换机Catalyst 4506

Catalyst 4500 Chassis (6-Slot),fan, no p/s Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)

Cisco IOS ENHNCD L3 C4500 SUP4/5,3DES(OSPF,EIGRP,IS-IS)

Catalyst 4500 1300W AC Power Supply with Inline Power Catalyst 4500 1300W AC Power Supply with Inline Power Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45)

Catalyst 4500 Gigabit Ethernet Module, 6-Ports (GBIC) 1000BASE-SX Short Wavelength GBIC (Multimode only)

汇聚层

WS-G5484

WS-C2970G-24TS-E

GLC-SX-MM=

CISCO3845-HSEC/K9

WS-C2950T-48-SI

CSACS-3.3-WIN-K9

CWVMS-2.2-WINR-K9

汇聚层交换机Catalyst 2970

Catalyst 2970 24 10/100/1000T + 4 SFP, Enhanced Image

GE SFP, LC connector SX transceiver

VPN路由器

接入层交换机

用户认证平台

安全管理平台

VPN路由器

3845 Security Bundle,AIM-VPN-HPII-PLUS,Adv. IP Serv,64F/256D

接入层交换机

48 10/100 and 2 10/100/1000BASE-T uplinks, Standard Image

安全认证软件

Cisco Secure ACS 3.3 for Windows

安全管理软件

VMS 2.2 WIN 20 Device Restricted

非CISCO产品 网强网管软件 Pcmain

说明

支持100个节点

计算管理系统和内容监控系统，500点

数量 1 1 1 1

趋势网络防毒墙 1200 － L型，最多可用至250用户

EnterPrise Solution for Internet - B ( 趋势科技防毒墙网络版 + 趋势科技

趋势防毒软件 防毒墙服务器版 + ScanMail + Interscan + TMCM )，300点

第四部分 网络设备机柜布局图

网络设备中需要上架的有cisco6509一台、cisco4506一台、cisco3845一台、趋势防毒墙NVW1200一台、cisco2970二台、cisco2950十五台，其中除2台cisco2970和4台cisco2950分别放置在两个侧楼机柜外，另有4台cisco2950分布在4个分厂，其他设备均分布在主机房的2个机柜中。

主机房网络设备布局如下：

下图为两个侧楼机柜布局，由于每个机柜只有3台设备放置，占用空间较小，可以按照实际情况进行调整。

第五部分 技术规划

5.1核心交换机Catalyst6509和Catalyst4506

2台核心交换机上配置HSRP以实现主交换设备之间的冗余，HSRP如下图所示：

通过配置HSRP组可以实现负载分担和核心交换机间的相互热备，如上图所示：主交换机为Catalyst6509，备份路由器为Catalyst 4506，通过HSRP配置中生成的各个VLAN接口的虚拟地址作为下面交换机和终端的网关，所有终端平时通过主交换机Catalyst6509互访和上外网，如果主交换机出现故障，备份交换机承接主交换机的所有任务，并且不会导致主机连通中断现象。同时，通过将对VLAN网段进行分组，可以实现流量的负载均衡功能，充分利用网络带宽资源。

核心交换机之间交换机之间采用Cisco GEC（Gigabit EtherChannel）技术相连，在核心交换机上各配置2个千兆光纤接口组成一条逻辑通路（Channel）提供双倍的并行带宽，实现核心之间成倍增加带宽和为线路冗余提供可靠性。

在交换机上启用VTP，VTP是思科第2层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名，VTP 减少了交换网络中的管理事务，通过 VTP，其域内的所有交换机都清楚所有的 VLAN的情况。

xxxxx网络中VTP规划如下表：

5.2汇聚层Catalyst2970和接入层 Catalyst2950

核心层与汇聚层2970及2950、汇聚层2970与接入层2950之间连接通过trunk封装802.1q协议来透传VLAN信息，Catalyst2970和Catalyst2950之间采用channel技术，在两边交换机上各配置2个千兆以太网接口组成一条逻辑通路（Channel）提供双倍的的并行带宽，实现汇聚层和接入层之间成倍增加带宽和为线路冗余提供可靠性。

5.3 Cisco3845安全路由器

Cisco3845为整个网络做NAT地址转换来访问公网，xxxxx下属的各个子公司和出差的移动用户有访问内部网络服务器的需求，我们通过配置cisco3845为VPN server来实现vpn远程连接，客户端通过安装cisco vpn client拨号软件，在任何可以上网的地方拨号到cisco3845，经过认证后来实现通过VPN安全的访问内部网络主机。

VPN配置参数表：

Cisco3845采用带有防火墙功能的IOS，通过对CBAC的配置，严格审查源和目的地址，增强端口的和TCP和UDP应用程序的安全，CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个会话通过防火墙，并 决定是否为回返通信流量选择某一通道，cisco3845在实际应用考虑到其自身资源的耗费，既作为VPN服务器又对整个网络做NAT，如果起用CBAC将会导致出口数据流较大的延时，且由于FWSM已完全能保证网络出口链路的安全性，我们在实施时不起用CBAC，但是如果采用方案2时，cisco3845将起用CBAC来保证VPN链路的安全性。

5.4 防火墙模块FWSM

Cisco防火墙服务模块FWSM安装在Cisco Catalyst 6509交换机中，FWSM是业界性能最高的防火墙解决方案，FWSM能提供5Gbps的性能、高达1,000,000的并发连接数及每秒10万个的新增连接数。FWSM完全支持VLAN，提供动态路由，而且可以完全集成在Cisco Catalyst 6500系列交换机内。FWSM基于Cisco PIX Firewall技术， FWSM采用了通过软件下载增强特性的网络处理器技术，能最大限度地适应未来需求和特性。

由于FWSM高达5Gbps出色的性能，我们采用FWSM作为网络出口链路中最重要的一道防护。我们将根据实际网络访问要求制订严格的访问控制策略在FWSM上，对进入内部网络的数据都进行状态检测。 （1）服务访问策略：

服务访问策略集中在外部网络访问。

服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从外部访问某些内部主机和服务；允许内部用户访问指定的外部主机和服务。

（2）Firewall设计策略：

Firewall设计策略基于特定的Firewall，定义完成服务访问策略的规则，通常有两种基本的设计策略：

允许任何服务除非被明确禁止； 禁止任何服务除非被明确允许。

我们在对外部网络访问控制中采用第二种类型的设计策略。

5.5 入侵检测模块IDSM

为了满足xxxxx对交换型局域网中的入侵检测的需求，我们采用Catalyst 6509交换机提供了一个带有IDSM的集成解决方案。IDSM从交换机背板监控网络流量，而不是使用与一个交换机SPAN端口连接的外部IDS检测器。这样就可以对网络流量进行更细化的访问并克服与SPAN的局限性。

IDSM将检测网络中的未授权活动（如黑客攻击）并向管理控制台发送告警，提供所发现的活动的详细信息。安全或网络管理员将指明IDSM必须利用VLAN访问控制列表（ACL）捕获特性来检查网络流量，从而实现了严密的流量监控。

IDSM具有最广泛的攻击识别功能，提供了世界最佳的实时入侵检测解决方案。IDSM部署在Catalyst 6509机箱中，只占用一个插槽，交换机内置IDS的解决方案可以通过VLAN访问控制列表{VACL}获取功能来提供对数据流的访问权限。通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，而且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或者中断。

我们将配置IDSM对网络中的出口流量、VPN流量和服务器访问流量等重要的数据流量进行监测，实时监视各个网段的访问请求，并及时将信息反馈给控制台。每秒500Mb（Mbps）的IDS检测能力可以提供高速的分组检查功能，可以为各种类型的网络和流量提供更多的保护，多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁。

重要的管理技术（Cisco VMS安全产品包提供的支持，以及内置的Cisco IDS设备管理器、IDS事件浏览器、本地管理功能和CLI支持）让IDSM更加便于管理，更加善于检测和响应威胁，同时就潜在的攻击向管理人员发出警报。 我们将配置FWSM和IDSM实现联动，当IDS发现与其特征库中相匹配的攻

击行为时，会给防火墙发送一条信息，防火墙根据IDS的信息动态的增加一条规则阻断攻击，从而为用户提供一个整体、动态的网络安全。

IDSM-2是一个被动设备，在发生故障时不会对Cisco Catalyst设备造成任何破坏性影响。

5.6 趋势防病毒产品

TMCM中央控管

趋势TMCM是中央控管软件，对所有趋势产品进行升级部署和管理，其中最重要的是趋势NVW1200的管理，是必须要注册到TMCM上的，其他趋势产品同样需要注册到TMCM上，在实施中需要注意的是TMCM和NVW及OFSC服务器和客户端之间都要保证双向的通信，趋势所有产品在实施中我们都会设置预设升级（每天）和预设定时扫描，以达到最佳的防护效果。

趋势防病毒控管中心TMCM软件安装在xxxxx内部网络中趋势防病毒服务器上。实现对所有趋势防毒软件的集中管理、集中设置、集中维护；在xxxxx内部网络中搭建一个三层的病毒防护、管理构架；集成临时策略功能，有效阻止爆发初期，病毒在内网的感染和扩散；形成统一报告，提供分析内网漏洞的有效数据。 我们将配置TMCM提供漏洞评估工具和病毒爆发防御服务，为整个网络内部的计算机做一次整体的扫描，结合趋势科技提供的损害清除服务，从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。病毒爆发防御服务将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等以保证在大规模病毒泛滥时内部网络的安全。

趋势防毒墙NVW1200

我们将NVW布署在主出口链路上，对所有进过这条链路的流量进行病毒监测，

NVW将发起病毒攻击的计算机的IP地址记录实时上传到TMCM加以记录。 所有感染病毒的客户机在企图向外发送病毒数据包时，病毒数据包均会被Network Viruswall所阻挡，同时，Network Viruswall会联动TMCM，自动的将被病毒感染的计算机上的病毒清除。配置中需要注意的地方在FWSM上为两端的TMCM和NVW1200开放10319注册管理所必需的端口以保证通信正常。

我们将利用Network Viruswall检测网络中防病毒漏洞和安全漏洞，由于xxxxx中的Windows 2000professional系统，windows XP系统以及windows 2000Server或以上的系统存在着防病毒漏洞和部分微软系统安全隐患，极有可能被病毒利用（如：冲击波病毒），从而对整个网络的速度，性能造成极大的影响，甚至可能造成网络瘫痪。通过利用Network Viruswall的系统安全漏洞检测功能可以将有系统漏洞的机器做暂时的隔离。我们将配置NVW将有系统漏洞的机器重定向到安装安全补丁的内部网站，从而避免了IT网管人员大量的手动工作，更有效率的提升内部网络的安全。通过分析网络数据流量变化、任何时刻连入或连出任一客户端的联机数、任一端口号或通讯协议（TCP、UDP、ICMP和IGMP）突然流量激增。找出中毒的主机、病毒攻击目标，以及针对特定弱点的攻击，并通过集中管理控制台（TMCM）通知IT管理人员。

OFFICESCAN网络版

我们将在内部网络中部署一台防病毒网络版OFSC服务器，由于管理跨多网段我们必须通过IP地址方式来进行安装管理，网络中的计算机可以通过多种方式（如web安装、客户端安装包安装等）来安装客户端防病毒软件。

透过Officescan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全网的防毒策略，并且也能迅速响应各种紧急事件。 Officescan网络版防病毒软件布署后有以下优点及特性：

支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；

集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；

集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引