有线无线一体化网络设计原则
系统建设的目的在于应用。根据应用场景的各种规范及各种业务的需求,结合部门的应用经验和发展要求,在系统设计时,主要应遵循以下原则:
一、实用性原则
实用性原则主要体现在以下方面:以现行需求为基础,适当考虑发展的需要为依据来确定系统规模。选择成熟、先进、维护量小、使用方便的技术设备和措施。创造一个开放的网络平台,支持多种业务的同时传输,如支持语音、图象等多媒体业务。
二、安全性原则
1) 协议的安全性
在网络中运行着很多网络协议,包括路由协议和各种为上层应用服务的广域网,局域网络协议等,路由器上也存在着很多服务,有些服务是网络运行所必需的,必须打开它,而有些服务是对网络运行无关紧要或无用的,可以关闭。正是这些网络协议或服务,确保了网络系统的正常运行,因此,我们首先应确保这些网络协议或服务的安全性。
2) 应用服务协议的安全
对这些路由协议和各种上层应用服务的协议,我们应区别对待。首先,对于网络运行所必需的协议,如路由协议等,我们不但应正常运行,而且必须加以保护,以防止非法路由器加入或伪造的路由信息,系统如何能够鉴别出哪些路由信息是可靠的呢,就必须采用一些加密技术或邻机校验方法,以完成认证,对于网络运行无关紧要或无用的协议,则应严格限制或关闭,而对网络运行有危害或本身有安全缺陷的协议,则应关闭。
3) 路由协议的安全
在路由协议安全性方面,我们可以采用路由器邻居相互校验,校验方式可以是明码方式或MD5加密方式,对于OSPF、BGP既可采用MD5校验方式,也可以采用明码方式。
通过明码或MD5加密方式校验,可以确保只有有效的路由器才能加入到网络,从而能够避免非法的路由器或伪造的路由信息加入到网络中,使路由出错,导致网络瘫痪。
4) SNMP的安全性
SNMP是另一种访问网络设备的方式。使用SNMP,你可以收集网络设备的状态,配置网络设备。Get-request、get-next-request消息用来 收集状态信息,set-request消息用来配置网络设备。在每台路由器都要 配置community string,每一个SNMP消息都有一个community string来进 行校验,每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的,SNMPv2的community string采用MD5来进行加密,同 时SNMP可以和访问列表结合起来,使指定的的IP地址或端口才可以访问到网管信息。
5) 设备的安全性
对网络设备的访问与配置,主要有以下两种方式:控制口console的控制和远程登录telnet 的控制。
A 控制口console的控制
B 远程登录telnet 的控制
C 用户的分级管理
6)无线的安全性
WLAN利用了不可见的公用媒介进行空中信号传播,安全问题是部署无线的巨大挑战。无线面临的安全挑战, 主要是防止非法AP接入,防止非法用户接入,防止ARP攻击,防止AP过载,防止不合理应用等。
● 防范未授权AP
IEEE802.11网络很容易受到大量网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测(WIDS)功能来防范,通过WIDS用于对有恶意的用户攻击和入侵无线网络进行早期检测,它用于检测WLAN网络中的rogue设备,上报管理中心,并对它们采取反制措施,以阻止其工作,最大程度地保护无线网络。
● 防范非法用户
这主要通过认证技术及加密技术来保证。通过802.1x认证、MAC地址认证、Portal认
证等多种认证方式,保证无线用户身份的安全性, 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性。另外,通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改,实现精细的用户权限控制,从而大大增强了无线网络的可用度,网管人员可以轻松地对不同级别的人进行接入权限分配。
● 防范ARP攻击
企业内部普遍存在ARP 攻击手段,通过伪造IP地址和M无线交换机地址实现ARP欺骗,产生大量的ARP通信量使网络阻塞或者实现中间人攻击,严重的可以使网络不可用,危害企业应用。为了防止攻击者通过ARP报文实施“中间人”攻击,要求无线控制器具有ARP入侵检测功能,即通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文。从而有效防御ARP欺骗。
● 防范网络带宽滥用
在WLAN网络中,同一个无线AP下会同时接入多个无线终端,如果部分终端应用BT等下载应用,将占用所有的无线端口带宽,导致其它终端不能正常工作。为了避免上述问题,需要网络支持智能带宽限速,可以限制终端使用为固定带宽,也可以限制所有终端平均分享限定带宽,从而有效解决带宽占用的问题。
另外,为了避免无线网络中部分AP过载,部分AP闲置而影响网络使用,需要通过负载均衡来实现。智能负载分担方法可以动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。
7)设备防盗
由于无线终端不是部署在机房,自身的防盗问题很重要。传统胖AP设备,由于和家用无线路由器功能类似,被盗窃的风险远大于瘦AP无线终端,因为其必须配合无线控制器才能使用。在瘦AP组网方案中,无线控制器能够实时监测瘦AP状态,一旦出现故障可以随时告警。而且,无线网络密钥是在无线控制器上集中管理,即使瘦AP被盗,整个网络的密钥也不会丢失。同时,AP无线终端也可能通过良好的产品结构设计降低被盗风险。
三、可靠性原则
为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对整个网络的机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高电脑机房的安全可靠性。
针对本网络设计方案,其可用性设计包括网络设备本身的冗余能力、网络的冗余设计。应采用以下一些手段:
● 设备冗余:
对关键设备进行整机冗余,模块冗余,支持模板热拔插、冗余的控制模块设计、冗余电源设计、风扇冗余设计。建议所有模块和环境部件应具备1+1或1:N热备份的功能,切换时间小于3秒,使系统具备99.999%以上的可用性。对非关键设备进行1:N的冷备份。
● 路由冗余:
采用合适的动态路由协议,实现路由的冗余,当链路中断时,路由能够迅速收敛。
● 无线功率自动控制:
当一台AP接入用户过多,或者出现故障的情况,立刻由中央无线控制器自动控制该AP周边AP加大功率,从而有效地保证用户仍能高可靠接入无线网络。
● 无线终端采用POE供电:
传统AP需要同时有电源线和网线连接才能工作,而采用了支持POE供电的AP无线终端就无需再部署电源线。从而大幅降低故障点,有效提高系统可靠性。
四、成熟和先进性原则
在网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实11 用的技术。设备厂商和系统集成商应有相关领域的丰富经验。
五、规范性原则
网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络的扩展升级、与其他网络的互联提供良好的基础。
六、开放性和标准化原则
在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则,如果是不同厂商的产品,必须之间具备可操作性与可管理性。
七、可扩充和扩展化原则
有充分的机制方便各网点的扩展、业务量和业务种类的扩展,保证建设完成后的网络在向新的技术升级时,能保护现有的投资。
网络可扩展的关键在于能否实现合理的层次化设计,采取层次化的设计可以根据网络需求的变化,可在不影响现有网络运行的状况下,迅速扩展。
网络的建设必须具有良好的灵活性与可扩展性,能够根据今后业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力,提供技术升级、设备更新的灵活性。
在网络设备选型过程中,每个核心骨干层次设计中所采用的设备本身应具有极高的端口密度,层次化设计为整个网络的扩展奠定了基础。同时,我们应充分考虑路由协议的选用,使路由协议为整个网络的发展带来极强的路由扩展能力。