DCIP网络设计和网络安全管理概述ISSUE.ppt

DC120006 IP网络设计和网络安全管理概述 ISSUE 1.0 前 言 如何规划和设计一个可靠性好、扩展性强、安全性高、便于管理和维护的网络呢？如何对网络进行安全保证和有效管理呢？本课程从网络设计，路由协议，网络安全，网络管理四个方面进行了概要性介绍。 目 录 网络设计基本原则 路由协议技术和设计 网络安全策略介绍 网络管理系统和维护简介 网络规划基本原则 可靠性原则 从设备本身 网络拓扑 可扩展性原则 设备性能 可升级的能力 IP地址规划、路由协议规划 网络规划基本原则 可运营性原则 网络是否能够提供丰富的业务 能否提供足够健壮的安全级别 对关键业务的QOS保证 可管理原则 提供灵活的网络管理平台，利用一个平台实现对系统中的各种类型设备进行统一管理； 提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。 设备选型 可靠性 是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠性 转发性能 通过某设备的流量（该设备满配最大流量）/2。 业务支持能力 除了普通的IP路由功能外，是否需要该设备支持诸如（NAT、各种VPN、策略路由）等业务属性。（CPU、ASIC、NP） 端口支持 是否能够提供组网所需要的端口。 扩展能力 是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（CPU、ASIC、NP） 价格因素 在综合考虑以上因素的基础上选择适当的设备。 网络拓扑规划 层次化，模块化 最大化网络性能 减小网络实施和故障排除时间 节约成本 冗余备份 降低网络单点失效带来的影响 实现负载分担并提高了网络的性能 增加了网络的复杂性和成本 安全 保护核心路由器，分界点，交换机，服务器等 防火墙等保护网络免受外部攻击 网络拓扑规划 基本的备份原则 备份花费的代价=设备故障带来的损失； N＋1备份，关键的设备、链路、模块中任何一个出现故障，不会影响整网运行。 拓扑、设备自身、协议的备份 接入层备份思路 通常选择不具备关键模块冗余功能的设备。 通常不考虑双机备份或者仅提供双链路级别上行的备份。 网络拓扑规划 汇聚层备份思路 通常选择具备关键模块冗余功能的设备。 通常考虑双机备份，上行通常提供双链路级别的备份，并且汇聚层设备之间考虑环行连接。 核心层备份思路 通常选择具备电信局可靠性的设备。 在拓扑上考虑核心层设备之间网状或部分网状连接。 地址规划 唯一性 一个IP网络中不能有两个主机采用相同的IP地址。 连续性 连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 扩展性 地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。 实意性 “望址生义” 目 录 网络设计基本原则 路由协议技术和设计 网络安全策略介绍 网络管理系统和维护简介 什么是路由？ 路由是指导IP报文发送的路径信息。 ＩＧＰ＆ＥＧＰ 按寻径算法划分 距离矢量算法 RIP BGP 链路状态算法 OSPF IS-IS 路由协议选择原则 距离向量协议 简单的、扁平的网络拓扑，不需要层次化设计 管理员缺乏链路状态协议知识和链路状态数据库故障排除能力 不需要考虑网络在最坏情况下的收敛时间 链路状态协议 层次化大型网络 管理员有丰富的知识维护链路状态协议 快速收敛对网络非常重要 路由协议选择原则 静态路由协议 手工配置，适用于末梢网络 不会有协议报文占用带宽 易于故障排除 用户对于路径的选择有更高的控制权 大型网络中不易管理 不了解路由信息的详细情况 缺省路由 简单，适用于只有唯一进出链路的网络 不了解路由信息的详细情况 层次化网络拓扑中路由协议的选择 核心层路由协议的选择 提供冗余链路和负载分担 推荐使用OSPF,IS-IS 不推荐使用RIP 汇聚层路由协议的选择 可以使用OSPF,IS-IS,RIPv2 接入层路由协议的选择 可以使用OSPF,RIPv2，静态路由 IS-IS不适于接入层 网络协议部署 ISIS协议部署 Bgp协议部署 Mpls vpn 协议部署 目 录 网络设计基本原则 路由协议技术和设计 网络安全策略介绍 网络管理系统和维护简介 网络安全 访问策略 访问的权限和分级 责任策略 用户、操作人员、管理人员的责任 认证策略 有效的口令机制 隐私策略 合理的隐私监控制度，电子邮件监控，键盘记录等 计算机技术购买原则 计算机网络系统的配置、审计和安全策略 网络安全 物理安全 通过物理隔离手段保护关键的网络资源 认证授权 认证鉴别用户身份的合法性 授权控制已通过认证的用户对于网络资源的使用权限和范围 数据加密 加密原始数据，防止数据被接受方以外的第三方阅读 加密会影响网络的性能，需要在安全和性能之间折中 内部网络无需加密