信息化项目Cisco网络建设方案

1、信息化项目Cisco网络建设方案1核心层设计我们釆用的Cisco公司核心路由交换机C6513,提供13个扩展插槽，提供高达720G的背板带宽，满足核心数据快速交换的要求。提供QoS保证能力，保证不同类型的数据根据优先级不同进行传输。1、支持引擎、电源等关键部件冗余设计，支持多种路由协议、HSRP协议,保证设备的高安全性、可靠性；2、全面支持分布式IP/MPLSVPN业务转发，保证高性能；3、支持Radius、802.lxSERVER等入认证服务和第三方的系统软件；4、硬件支持IPv6,支持10GRPR高速环网数据接口，满足未来构建企业大型核心环网要求；2汇聚层设计汇聚层在骨干网络中起到承上启下

2、的作用，应具备可靠性、高性能和多业务兼顾的特点。我们采用的Cisco公司核心路由交换机C6506,提供高达720G的背板带宽，满足核心数据快速交换的要求。提供QoS保证能力，保证不同类型的数据根据优先级不同进行传输。：1、支持双引擎、双电源等关键部件冗余设计，支持多种路由协议、HSRP协议，保证设备的高安全性、可靠性；2、全面支持分布式IP/MPLSVPN业务转发，保证高性能；3、支持Radius.802.lxSERVER等入认证服务和第三方的系统软件；4、完善的ACL、流量监管、ToS等安全机制；5、硬件支持IPv6,支持10GRPR高速环网数据接口，满足未来构建企业大型核心环网要求;3数据

3、中心设计我们采用Cisco公司的髙度集成的解决方案，釆用内置入侵防御、内置数据中心交换模块，实现简单的网络结构和管理。核心防火墙：防火墙釆用PIX535防火墙，釆用专用的平台，吞吐量=l.2Gbps,整机并发连接数=65万块，部署在核心交换机上。核心入侵防御系统：釆用内置的IPS4260,能够较好的解决应用层安全隐患。4接入层设计我们选用的CiscoC3750系列三层接入交换机，具备如下优势：1、支持堆叠技术，支持堆叠虚拟管理，使堆叠组可看作一个设备，使可管理性大幅度提高。2、具有良好的端点控制能力，支持丰富的MAC、IP、端口的灵活绑定。3、支持网络管理。4、支持多达4096个VLAN；5I

4、nternet接入设计我们采用路由器+防火墙+入侵防御系统的方式来构建对外访问区。路由器：采用Cisco7609；提供内部网络用户对外网访问要求，具备高性能的NAT转发能力。部署在AA重型机械公司网络的互联网出口。该设备在本项目中的技术优势如下：1、高性能：具备15Mpps的包转发性能，满足未来千兆线路（千兆链路线速转发理论值1.488Mpps）的全线速转发。2、强大的NAT能力：设备具备600万并发NAT连接的能力，整机每秒并发连接可达6万，且支持丰富的NAT特性，提供NAT日志的输出，可配合日志审计系统，做到对于对外访问的纪录和跟踪。防火墙：使用原有Juniper防火墙，划分DMZ区域，通

5、过原有华为5000千兆交换机，连接门户服务器及EMAIL服务器等。配置策略偏重安全区划分，安全抵御由入侵防御系统着重完成。入侵防御系统：使用ASA-5520,具备150M处理性能，满足当前接入带宽。重点配置对于黑客入侵、蠕虫病毒、木马程序的防范。6网络管理、接入认证、日志审计系统1、CiscoWorksLMS网络管理软件CiscoWorks是思科公司推出的网络管理产品，LMS(LANManagementSolution)是定位于局域网的网络管理产品，它能够对LAN环境中的设备进行维护、监测、排错，也能够让网络管理员通过自己的网络浏览器有效的管理整个网络及其设备。它采用了基于Web的客户端/服务

6、器模式，也能够与其它厂商的网络管理工具集成使用。思科公司的网管产品是按照不同的使用环境分类的。比如，我们介绍的LMS是在局域网环境中使用的；在广域网环境中使用的是RWAN(CiscoWorksRoutedWANManagement),它主要适合广域网中对响应时间和访问控制的管理需要;在IP语音环境中是ITEM(IPTelephonyEnvironmentMonitor),它主要适用于管理传输IP语音流量网络；在VPN环境中是VMS(VPN/SecurityManagementSolution),它用于管理和监测VPN及其安全措施。现在局域网已经成为网络架构中的关键系统。对局域网的管理已经从以设

7、备为中心过渡到管理数据流量和语音流量。所以，对网络设备的分离以便排错,监测管理就显得更重要了。CiscoWorksLMS具有先进的设备发现技术、端口配置工具、先进的连接分析、配置管理，设备和网络诊断能力。CiscoWorksLMS包括一组应用程序和工具对局域网进行配置、监测和排错。这些工具包括错误管理，网络拓扑的察看，设备配置的管理，二层/三层路由分析，语音路由追踪，流量监测，端站点的流量追踪，设备的排错等等。我们介绍一下LMS中的几个主要的应用程序：CiscoWorksCampusManager-这是一组基于Web的应用程序，用来管理局域网中的思科交换机。包括二层设备及其连接的发现，数据流的

8、发现和管理，详细的拓扑图示，VLAN/LANE的配置，端站点的追踪，二/三层的路由分析和IP电话用户及其路由信息等。CiscoWorksDeviceFaultManager-本应用程序能够实时的给岀思科出错设备的错误分析，并及时采用各种方式通知网络管理员。nGeniusReal-TimeMonitor-这是一个基于Web的多用户流量管理工具。能够实时的监测、排错和维护网络活动。它釆用图形化的分析和报告，使管理员对网络活动一目了然。CiscoWorksRME(ResourceManagerEssentials)-对网络中思科设备的管理。它会维护网络中的设备清单，对设备及其配置和软件所产生的变化做

9、出纪录。CiscoView-图形化实时显示思科设备的工具，使管理员如身临其境。CiscoWorksManagementServer-是大多数网管软件的运行平台，它同时提供与第三方管理软件集成的接口。2、接入认证系统思科？安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。思科？安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。产品概述现在，网络访问方法越来越多，使遵守安全制度和不可控的网络访问成为企业担心的主要问题。随

10、着IEEE802.11无线局域网和普遍宽带互联网连接的广泛部署，安全问题不但存在于网络外围，还存在于网络内部。能够防御这些安全漏洞的身份识别网络技术现已成为吸引全球客户注重的主要技术。企业越来越多地使用公共密钥基础设施(PKI)和一次性密码(0TP)等更严格的验证方式来控制用户从公共网络访问企业资源。网络管理员希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性来提供灵活的授权策略。最后，集中跟踪并监控网络用户连接的能力对于杜绝不适当地或过度地使用宝贵的网络资源至关重要。Cisco?SecureACS(ACS)是具高可扩展性的高性能访问控制服务器，可作为集中的RADIUS和TACA

11、CS+服务器运行。CiscoSecureACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中，所以提高了灵活性、移动性、安全性和用户生产率，从而进一步增强了访问安全性。它针对所有用户执行统一安全策略，不受用户网络访问方式的影响。它减轻了与扩展用户和网络管理员访问权限相关的管理负担。通过对所有用户帐户使用一个集中数据库，CiscoSecureACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。对于记帐服务，CiscoSecureACS针对网络用户的行为提供具体的报告和监控功能，并记录整个网络上毎次的访问连接和设备配置变化。这个特性对于企业遵守S

12、arbanesOxley法规尤其重要。CiscoSecureACS支持广泛的访问连接，包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。CiscoSecureACS是思科基于身份的网络服务(IBNS)架构的重要组件。CiscoIBNS基于802.lx(用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准，并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表ACL),这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS

13、协议上查询CiscoSecureACSOCiscoSecureACS也是思科网络准入控制(NAC)架构的重要组件。思科NAC是思科系统公司？赞助的业界计划，使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略，进而防止病毒和蠕虫造成损失。通过NAC,客户只允许遵守安全策略的可信的端点设备访问网络(如PC、服务器和个人数字助理等)，并可限制违规设备的访问。思科NAC是思科自防御网络计划的一部分，为在第二层和第三层网络上实现网络准入控制奠定了基础。我们计划进一步扩展端点和网络安全性的互操作性，以便将动态的事故抑制功能包含在内。这个创新将允许遵守安全策略的系统组件报告攻击期间因恶意系统或受

14、感染的系统导致的资源误用。所以，用户可将受感染的系统与其他网络部分动态隔离开，从而大大减少病毒、蠕虫及混合攻击的传播。CiscoSecureACS是功能强大的访问控制服务器，为正在增加其WAN或LAN连接的机构提供了很多高性能和可扩展性特性。表1列出了CiscoSecureACS的主要优势。表1.CiscoSecureACS的主要优势优势说明易用性基于Web的用户界面可简化并分发用户资料、组资料和CiscoSecureACS的配置。可扩展性CiscoSecureACS可通过支持冗余服务器、远程数据库以及数据库复制和备份服务来支持大型网络环境。可扩容性轻型目录访问协议(LDAP)验证转发功能支持

15、对着名目录供应商保存在目录中的用户资料进行验证，包括Sun、Novell和Microsoft等。管理WindowsActiveDirectory支持结合了Windows用户名和密码管理功能，并使用WindowsPerformanceMonitor来查看实时统计数据。系统管理为每个CiscoSecureACS管理员分配不同的访问权限一以及对网络设备进行分组的能力一能够更轻松地控制网络访问并最大限度地提高灵活性，从而方便地对网络中的所有设备执行并更改安全策略。产品灵活性CiscoI0S?软件内嵌了对于AAA的支持，所以，CiscoSecureACS几乎能在思科销售的任何网络接入服务器上使用(Cis

16、coI0S软件版本必须支持RADIUS或TACACS+)0集成与Cisco10S路由器和VPN解决方案紧密集成，提供了多机箱多链路点到点协议(PPP)和CiscoIOS软件命令授权等特性。第三方支持CiscoSecureACS为提供满足RFC要求的RADIUS接口(如RSA、PassGo、安全计算、ActiveCard、Vasco或CryptoCard)的所有OTP供应商提供令牌服务器支持。控制CiscoSecureACS为一天中的时间点、网络使用、登录的会话数量和一周中每天的访问限制提供动态配额。特性和优势CiscoSecureACS4.0提供以下全新特性和优势：CiscoNAC支持一Cis

17、coSecureACS4.0用作NAC部署中的策略决策点。使用可配置的策略，它能评估思科可信代理提交的凭证、决定主机状态、并向网络访问设备发送逐用户的授权信息：ACL、基于策略的ACL或专用的VLAN分配。评估主机凭证可执行很多特定策略，如操作系统补丁级别和防病毒DAT文件版本等。CiscoSecureACS记录策略评估结果以供监控系统使用。CiscoSecureACS4.0还允许第三方审查供应商对没有釆用适当代理技术的主机进行审查，然后再决定是否准许它访问网络。您可通过作为CiscoSecureACS转发凭证目的地的外部策略服务器扩展CiscoSecureACS策略。例如，防病毒供应商特定的

18、凭证可被转发至供应商的防病毒策略服务器，审查策略请求可被转发至审查供应商。可扩展性改进一CiscoSecureACS4.0升级之后可使用业界标准的RDMBS系统，将支持的设备（AAA客户端）和用户数量分别增加了10倍和3倍。同时也大幅度改进了CiscoSecureACS支持的系列协议的性能（每秒的交易数）。基于资料的策略一CiscoSecureACS4.0支持名为网络访问资料库的新特性，允许管理员根据网络位置、网络设备组成员关系、协议类型或用户网络设备发送的其他特定的RADIUS属性值对访问请求进行分类，可将验证、访问控制和授权策略映射到特定的资料库中。例如，基于资料库的策略允许为无线访问与远

19、程（VPN）访问釆用不同的访问策略。扩展的复制组件一CiscoSecureACS4.0改进并增强了复制功能。管理员现已能够复制网络访问资料库和所有相关的配置，包括状态验证设置、AAA客户端和主机、外部数据库配置、全局验证配置、网络设备组、词典、共享资料库组件和其他登录属性。EAP-FAST增强支持一EAP-FAST是思科开发的可供公开访问的新型IEEE802.lxEAP,用于支持无法执行强大的密码策略或希望部署无需数字证书的802.lxEAP的客户。它支持各类用户和密码数据库并支持密码到期和变更机制,是易于部署、易于管理的灵活EAPo例如，未实施强大的密码策略且不希望使用证书的客户可移植到EA

20、P-FAST以防词典攻击。CiscoSecureACS4.0在大量的无线客户端适配器上添加了对EAP-FAST申请人的支持。可下载的IPACLCiscoSecureACS4.0将每用户的ACL支持扩展到了支持这个特性的所有第三层网络设备，包括CiscoPIX?安全产品、思科VPN解决方案和CiscoIOS路由器。您可定义每用户或每用户群应用的一系列ACL。这个特性允许执行适当的ACL策略，藉此补充了NAC支持。当与网络访问过滤器一起使用时，您可通过不同方式每设备的应用可下载的ACL,从而每用户或每访问设备的定制ACL。.认证撤销列表（CRL）比较一CiscoSecureACS4.0使用X.50

21、9CRL资料库支持证书撒销机制。CRL是记录已撤销证书的加盖时间标记的列表，由证书授权机构或CRL发放人签字并免费提交到公共信息库中。CiscoSecureACS4.0从设置好的CRL分配点使用LDAP或HTTP定期检索CRL,并保存它们以便在EAP传输层安全性(EAP-TLS)验证中使用。如果用户在EAP-TLS验证期间提供的证书位于已检索的CRL中，将无法通过CiscoSecureACS验证，CiscoSecureACS将拒绝用户访问网络。这个功能对组织变更频繁的客户来说非常重要，可防止宝贵的网络资产遭到欺骗性的使用。设备访问限制一作为Windows设备验证的增强特性，CiscoSecur

22、eACS4.0提供设备访问限制功能。当打开Windows设备验证功能时，您可使用设备访问限制机制来控制EAP-TLS授权，以及通过Windows外部用户数据库验证的Microsoft受保护的可扩展身份验证协议(PEAP)的用户。如果用户用于访问网络的计算机没有在您为该用户组授权的可配置的时间段内通过设备验证，您可根据需要为用户配置访问权限限制。您也可选择拒绝用户访问网络。网络访问过滤器(NAF)CiscoSecureACS4.0包括NAF,作为新型的共享资料库组件。NAF为在网络设备名、网络设备组或其IP地址上应用网络访问控制及可下载的ACL提供了灵活的方法。根据IP地址应用的NAF可使用IP

23、地址范围和通配符。这个特性提供精确的应用网络访问限制及可下载的ACL,而在以前，所有设备只能应用相同的访问限制或ACL。NAF允许定义灵活的网络设备限制策略，满足大型环境中最常见的要求。思科硬件设备的其他支持一CiscoSecureACS4.0支持思科无线局域网控制器和思科自适合安全产品。3、CS-MARS日志审计系统思科？安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列，将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相结合，可帮助客户更为高效地使用网络和安全设备。通过结合这些功能，思科安全MARS可帮助公司准确识别

24、和消除网络攻击，且保持网络的安全策略符合性。主要优势集中监控思科安全MARS通过各种设备记录、报警和NetFlow通信，提供了具体的网络基础设施信息，包括路由器、交换机、防火墙、VPN集中器和终端设备。这使思科安全MARS可处理IP和MAC地址以及最邻近的交换机端口等威胁信息，并提供网络中的攻击路径。集中事件库思科安全MARS可作为一个中央库，存储安全设备，如防火墙、验证服务器、网络入侵检测和防御服务及代理服务器等所生成的所有事件。此外，它也收集网络设备事件和工作站及服务器记录。所有收集的事件实时相互关联。数据减少思科安全MARS可大幅减少所收集到的数百万安全事件，仅向用户报告实际发生的少量网

25、络事故。及时攻击防御该系统具有出色性能和内置丰富经验，可在攻击影响整个网络前发现它们并提出建议的防御措施。高度可扩展的部署充分利用已有投资进行防御先进的报告功能端到端网络感知利用所有类型的网络设备和终端系统的全面配置，思科安全MARS集成了网络地址转换/端口地址转换(NAT/PAT)和MAC地址信息，以图形方式识别攻击者、攻击目标和网络热点，以便快速釆取行动。它可显示NAT前和NAT后的地址。集成漏洞评估思科安全MARS可确定网络攻击是真的还是误报，进一步减少了报警数目，缩短了釆取行动所需的时间。更低部署和运营成本在引导和连接到网络后，系统可发现和映射拓扑。系统能在极短时间内投入运营。自动防御

26、自动防御功能可识别攻击路径上的阻塞点，使用户能自动使用正确的设备命令来防御攻击。此外，它还能自动发现很多重要属性，如MAC地址、Windows工作站名称、VPN用户名和攻击的第一跳物理交换端口。这些可用于快速、准确地阻止攻击和降低受损程度。网络智能事件关联思科安全MARS可了解路由器、交换机、漏洞分析工具和防火墙的拓扑及设备配置，以及网络流量配置，从而获得网络智能。该系统的集成网络搜索功能可构建一个拓扑图，其中包括设备配置和当前安全策略，使思科安全MARS可对您网络中的分组流建模。因为此设备不在内部运行，且极少使用现有软件代理,它不会影响网络或系统性能。SureVector分析SureVect

27、or分析特性支持更为广泛的管理范围、更快的调查和响应速度。利用SureVector分析，管理员可查看并准确跟踪攻击路径，获得事故发生前原始事件的具体细节，并指岀异常流量和攻击行为的来源。所以，能实时提供更为全面、准确的分析，从而抵御攻击。Netflow数据分析思科安全MARS以每秒30万数据流的速度，从路由器收集NetFlow数据。NetFlow和防火墙记录可用于分析各工作站的网络利用率。这使管理员可发现并对病毒和蠕虫等异常行为采取措施。上下文关联上下文关联使用网络级智能，将跨NAT边界的安全事件和网络行为分组，并通过向其使用系统和用户定义的关联规则，来识别有效的故障。思科安全MARS配备了一

28、套全面的预定义规则，Protego会经常更新这些规则，它们可识别大量混合攻击、零日攻击和蠕虫。一个图形化规则定义框架可简化用户为任意应用创建定制规则的过程。上下文关联大大减少了原始事件数据、支持响应的优先级划分，可使已部署的措施发挥最大效果。高性能的可扩展架构思科安全MARS可在单一机箱中以每秒高达10,000个的速度捕获事件。当需要多个机箱时，可在中央地点部署CiscoSecurityMARSGlobalController0GlobalController能汇总各LocalController的事件。LocalController负责此架构的大多数工作，所以每部署一个LocalContro

29、ller,都能获得近乎线性的性能提高。参数表思科产品编号（Protego型号）|性能|电源每秒事件数每秒NetFlowCS-MARS-20-K950015,000120GB（非RAID）1RUx16in.300WCS-MARS-50-K9100030,000240GBRAID01RUx25.6in.300WCS-MARS-100E-K9300075,000750GBRAID10口热插拔3RUx25.6in.500W双冗余CS-MARS-100-K95000150,000750GBRAID10口热插拔3RUx25.6in.500W双冗余CS-MARS-200-K910,000300,0001TBRAID10口热插拔4RUx25.6in.500W双冗余思科产品编号口(Proteg。GlobalController型号)分布式监控存