某政府网站防火墙建设项目

案例分析

      某市政府上网工程中的实际用户数在2500个左右，主干网的实际数据流量在5-10MB。过去，在网络运行的过程中发现病毒情况严重，分析下来主要来源与外部INTERNET，经由内部邮件系统LOTUS DOMINO传播而泛滥。此外，由于众多用户经常上网浏览很多站点，包括一些安全性不是很好的站点，而且还下载很多不同类型的软件，因此，通过HTTP和FTP感染病毒的情况也时有发生。鉴于某市政府上网工程的病毒威胁的实际情况，北京联众未来科技有公司为是政府上网工程提供了防毒解决方案--FORTINET FortiGate 1000-AFA2防毒墙。

       由于该某市政府上网工程的计算机较多，而且使用了各种的操作系统，病毒来源主要是INTERNET，同时其技术工程师提出不能改变政府网络的原有网络拓扑结构，也不希望在邮件服务器上安装防病毒软件增加原服务器的负载，因此推荐使用FORTINET FortiGate 1000-AFA2防毒墙。这个产品设计提供的高性能表现是由于集成了软件和硬件，因而允许更多的扫描过程，保护最多的网络通讯协议：HTTP、FTP、SMTP、POP3、NETBIOS、ＩＭＡＰ。并且具有高扩展能力和容错性，安装配置也非常简单，其中的内容过滤可以锁定未知病毒和蠕虫，阻止它们进入系统。由于FORTINET FortiGate 1000-AFA2防毒墙防火墙直接检测网络中的信息包，因此它可以被安装在任何网络配置中，不管服务器和工作站是什么操作系统。

浦发银行某分行网络改造项目

一、改造背景 
        浦发银行某分行原有网络采用两台Cisco3560-12G作为核心交换机，下级联两台Cisco2960交换机作为核心交换机的扩展端口使用。核心路由器采用两台Cisco7206 ，上有若干个E1接口卡通过广域SDH链路连接各地支行和分理处的接入路由器，组成整个分行的业务网络。
        现阶段，由于浦发银行某分行的快速发展，核心交换机已经无法承载数据流量，曾经出现网络中断的情况，给银行带来了重大的经济损失。同时，随着各地ATM数量的增加，核心路由器的扩展已经无法满足业务的发展需求，网络改造升级已经势在必行。
原有广域链路采用SDH方式，这样在后期的扩展中不但需要增加核心路由器的成本，而且组网的灵活度也不够高，建议客户在后期的链路选择上考虑采用MSTP接入。

二、关键技术介绍
2.1. VLAN（虚拟局域网）技术简介
        虚拟局域网技术是近年来在计算机网络领域兴起的一项新的技术。虚拟局域网在逻辑上等于OSI七层模型上第二层的广播域，它与具体的物理网及地理位置无关。在传统的共享局域网或者交换局域网环境中，整个网络处于同一个广播域中（即所谓的同一个LAN），这样当大量用户发送广播信息时容易形成广播风暴，使得整个网络瘫痪。虚拟网技术把传统的广播域按需要分割成各个独立的广播域（LAN），由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。
        在传统的网络技术中，网内用户的移动、删除或增加都需要在物理上对网络设备进行设置。而在虚拟网环境中，网络用户的变更不需要重新对网络设备进行设置，也就是说虚拟网技术具有自适应功能。我们可以利用虚拟网技术的这些特点将不同的部门或不同的应用系统分配于不同的VLAN之中，实现不同部门或不同应用系统的逻辑隔离。
        在传统的网络技术中，同一物理网段中的用户在网络层上很难实施安全措施，而在虚拟网络环境中，不同的虚拟网络间用户之间的通信控制则可以做到。虚拟网间的安全与虚拟网间的通信方式有关，由于虚拟网间通信是通过路由实现的，路由器使得通信双方不能直接连接，而路由器的包过滤或防火墙的功能可被用来对不同虚拟局域网间用户的通信做逐项检查，通信可以按照网络管理人员的要求被允许或禁止，从而实现不同部门或不同应用系统间的访问控制，提高了网络的安全性。（网络内部访问的安全性）
2.2. STP生成树技术简介
        生成树协议（STP）是为克服冗余网络中透明桥接的问题而创建的。STP的目的是通过协商一条到根网桥的无环路路径来避免和消除网络中的环路，它通过判定网络中存在环路的地方并阻断冗余链路来实现这个目的。通过这种方式，它确保到每个目的地都有一个路径，所以永远不会产生桥接环路。如果某条链路失效了，因为根网桥知道还存在着冗于链路，它就会启用它先前关掉的这条冗余链路。
        这就是说有些端口需要被关闭或置为非转发模式。这些端口仍然知道网络的拓扑结构，并且，如果正在转发数据的链路失效了，它们就可以被启用了。生成树协议执行一种被称为生成树算法（STA）的算法。
        在一个扩展的局域网中参与STP的所有交换都通过数据消息的交换来获取网络中其他交换机的信息，这些消息被称为桥接协议数据单元（BPDU）。BPDU在每个端口上每两秒发送一次以确保一个稳定的，无环路的拓扑结构。
选举根网桥 
        建立无环路生成树的第一步是选举一个根网桥，它是所有交换机用来决定网络中是否存在环路的参考点。在开始启动时，交换机假设它是根网桥并将网桥ID设置为根ID。
        当选举完根网桥之后，每台交换机必须与根网桥建立关联。这是通过侦听从其各个端口进入的BPDU进行的。如果能在多个端口上接收到同一个BPDU就说明存在着到根网桥的冗余路径。
        交换机首先查看路径开销以判断出哪个端口正在接收低开销的路径。路径开销是根据链路速率和BPDU从根网桥到达本地端口所经过的链路数量而计算出来的。路径开销由源和目的地之间的链路开销总和确定。如果一个端口有最低的路径开销，它将被置于转发模式，接收BPDU的所有其他端口将被置于阻断模式。如果各端口接收到的BPDU的路径开销相同，那么交换机将查看网桥ID以决定哪个端口应该进行转发，有最低网桥ID的端口将被选为转发端口，所有其他端口将被阻断，如果路径开销和网桥ID都相同，端口ID最低的被转发所有其他端口被阻断。
2.3. HSRP（HotStandbyRouterProtocal）技术简介
        实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。 
        为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活动路由器，将有另外的路由器被选为备份路由器。
在实际的一个特定的局域网中，可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作，它有一个Well－known－MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热备份组存在时，把主机分布到不同的热备份组，可以使负载得到分担。
2.4. EIGRP技术简介
        EIGRP（增强内部网关路由协议）是一个无类，增强的距离矢量协议。同IGRP一样，是CISCO的专用协议。
EIGRP不会像OSPF那样发送链路状态数据包，相反，它发送传统的距离矢量更新，在此更新中包含有网络信息及从发出通告的路由器达到这些网络的开销。并且EIGRP也拥有链路状态的特征，即它也在启动时同步相邻路由器间的路由表，并在随后发送特定的更新数据，而且也是在拓扑结构发生改变时发送。EIGRP非常适合于在特大网络中应用。EIGRP的最大跳计数为255。

三、改造后网络拓扑图
        原有网络主干采用SDH链路，在中心的C7206上配置E1接口卡，通过2M*N的方式连接接入路由器的G.703接口，这样的组网方式在前期业务量不大的时候非常适用，但随着未来语音、视频等新型业务的开展，2M带宽会处于满负载的情况，这样网络就会面临升级扩容的问题。此时升级不仅仅是链路带宽的升级，核心路由器和接入路由器也将新增相应的模块才可完成升级工作，这样会大大增加客户的投资成本，而且不利于长期的发展。
        在此次项目中，我们建议客户在未来主干链路的选择上采用MSTP技术，这样做的好处是方便将来带宽的升级，由于MSTP在扩容时无须增加硬件设备的投入，同时核心交换机上提供的均为1000M以太网口，从而保护了用户的投资，产生了可观的经济效益。

四、改造后网络规划的优势
4.1. 内网设计
        浦发银行某分行现阶段的OA办公网采用的是非智能的交换机，同时由于前期地设计没有考虑到整个如果操作不当还会对整个网络系统的扩展性，还出现了级联HUB的情况，这样不仅增大了网络的风险，而且业务网络产生影响。此次项目改造中，将替换下来的C3560-12G暂时作为OA办公网的核心交换机，体现利旧的同时，又可以将OA办公网从逻辑上独立出来，使得OA办公数据流的转发不经过核心交换机，直接在本地C3560上完成。
        逐步替换OA办公网内的非智能交换机，采用Cisco智能交换机作为OA办公网的接入设备，技术上使用VLAN来隔离不同部门的终端主机。所有交换机启用STP生成树协议，这样即使由于操作不当形成环路也会由交换机自动发现，并阻断环路，极大的提高了网络的可靠性。
        两台核心交换机上运行HSRP协议，组成冗余备份和负载分担的虚拟组，这样在两台核心交换机都正常工作的时候可以负载分担网络的流量，如果某台核心交换机由于故障不能正常运行，另外一台交换机则可主动转发故障交换机的流量，使得网络不会因为某台交换机的故障而终端业务流量的转发。

 

4.2. 路由设计
        在OA办公网的路由设计里，我们采用静态路由的方式。由于OA办公网所用到的设备相对较少，采用静态路由方便客户的配置和维护，不同VLAN间则使用VLAN间路由的方式达到三层互通的需求。
        由于EIGRP协议具有收敛时间短、带宽占用小、支持负载均衡、支持变长子网掩码及扩展性好等优点，同时，为了与总行兼容，我们也采用EIGRP动态路由协议作为业务网络的互联技术。
4.3. 改造后网络实现优势 
        浦发银行某分行网络结构在改造后采用交换式宽带千兆网，核心交换节点之间千兆的传输速度，到桌面速率为100M以上。网络设备新增了思科6509核心交换机。并把原来做核心的3560交换机下移作办公核心用，实现了业务、办公分离的效果，整个网络符合未来几年的系统扩展。
五、改造后网络拓扑图

 

教育部门:清华大学,北京大学,北航,北邮,北理工

政府机构:中共中央办公厅,中央军委,民政部,中科院,电科院,中央电视台,北京电视台,中国作家协会,中华会计学会,人民日报社,有色研究总院,声学所,

跨国公司:金佰利,中美史克,优尼科,美国高通,资生堂,GOMEZ,安捷伦,英特尔,微软,ABB,安东奥尔,索菲特,诺维信

军警部门:炮兵司令部,总后机要局,海军司令部,总后通信站,解放军直001部队,解放军防化学院,北京市公安局,上海市公安局,

集成商:亿阳信通,中软,东华合创,东方龙马,华奥星空,启明星辰，海虹控股，蓝汛，

中央企业:中石油物资装备总公司,胜利油田石油管理局,中国五矿大连公司,中煤能源,中国图书进出口总公司，华北油田，

核工业部门:核二院,核四院,401医院

航天航空:中国运载火箭研究所,北京卫星制造厂,航天部501所,

电信通讯:中国电信各地机房,CNNIC,华北电网,中国移动骨干网,中国联通全国各地枢纽机房,大唐电信，信产部泰尔实验室

证券期货:中国证监会信息中心,西南证券,天津证券,东北证券,鞍山信托,胜龙,网宿