互联网出口统一网络切换实施手册Word格式.docx
- 文档编号:7020958
- 上传时间:2023-05-07
- 格式:DOCX
- 页数:9
- 大小:18.11KB
互联网出口统一网络切换实施手册Word格式.docx
《互联网出口统一网络切换实施手册Word格式.docx》由会员分享,可在线阅读,更多相关《互联网出口统一网络切换实施手册Word格式.docx(9页珍藏版)》请在冰点文库上搜索。
实施人员姓名
联系电话
备注
2.2.实施工具
序号
工器具
单位
数量
检查
1
管理笔记本
台
具备不具备
2
CONSOLE线
条
3
网线
4
圆珠笔
个
5
A4纸张
张
2.3.设备检查
类别
设备型号
防火墙
接入层交换机
2.4.网络检查
2.4.1.拓扑分析
拓扑检查主要是对现有子公司网络拓扑进行记录并分析,拓扑在下框可手工画出,或者子公司若有存档,可采用扫描件方式填充:
XXXX公司现行网络拓扑图:
2.4.2.网络运行检查
网络检查是在网络切换前确认现在子公司各应用系统的使用情况,并未之后的实施测试提供材料:
系统名称
系统连接
使用情况
2.5.实施准备
2.5.1.实施拓扑
实施拓扑是在子公司原拓扑的基础上,根据统一互联网出口区域划分的原则,重新规划网络结构,拓扑结构用于实施记录及交工使用,拓扑图可手绘或电子文档。
实施后拓扑结构:
2.5.2.实施网络资源分配
网络资源分配是根据统一互联网出口项目区域划分原则和子公司计算机设备的实际使用情况,为不同的区域划分VLAN和IP段,分配的网络资源可在下表详细列出,作为项目实施资料及交工资料:
区域(VLAN)分类
网络号/掩码
网关/掩码
3.实施内容
3.1.检查并配置互联网出口安全设备配置
3.1.1.检查并配置互联网出口的骨干边界FW配置
●检查并配置骨干网边界FW中对应的XXXX公司网络是否已配置
(截图)
●检查并配置骨干网边界FW中对应的XXXX公司安全策略:
3.1.2.检查并配置上网行为管理配置
●检查并配置上网行为管理中对应的XXXX公司的用户认证与管理配置:
●检查上网行为管理中对应的XXXX公司的流量管理配置:
●检查上网行为管理中对应的XXXX公司的配置后在线用户是否归类在所在组别:
3.1.3.检查并配置互联网出口的公网边界FW配置
●检查并配置公网边界FW中对应的XXXX公司网络是否已配置;
●检查并配置公网边界FW中对应的XXXX公司网络SNAT是否已配置;
●检查并配置公网边界FW中对应的XXXX公司网络安全策略是否已配置;
3.2.检查并配置核心交换机配置
核心交换机的互联VLAN、IP及路由信息已在各子公司网络切换前配置完毕,现场实施人员应在到场后首先检查这部分的配置信息是否完整、正确、并截图记录。
●检查核心交换机与XXXX公司互联的接口信息;
●检查核心交换机与XXXX公司互联的动态路由配置信息;
3.3.配置XXX公司防火墙
●设置笔记本IP地址;
●CONSOLE线接入防火墙;
●网线接入防火墙管理口;
●WEB界面打开防火墙管理界面;
3.3.1.配置VLAN及IP、路由(策略路由)
●配置互联VLAN及IP(附截图)
●互联网段IP测试
3.3.2.配置动态路由OSPF
●启用OSPF功能;
●设置router-id;
●将IP地址宣告入OSPF进程;
●检查OSPF邻居状态是否为Full;
●检查OSPF路由表信息;
3.3.3.配置防火墙上传日志服务器信息
子公司防火墙需要将日志上报至日志审计服务器,以便日志审计使用。
以XX防火墙为例,在防火墙系统-系统配置管理-syslog服务器配置一栏添加IP:
1.1.1.1端口:
。
子公司防火墙配置大同小异,以实际情况为准;
3.3.4.配置XXXX公司防火墙访问控制安全策略
由于子公司的网络物理分离只在防火墙以下的层间进行端口物理分离,在防火墙往上(含防火墙)分离采用逻辑隔离,即通过路由配置、安全策略配置等办法隔离网络间的互访权限。
因此在子公司防火墙上配置相关的访问策略非常重要。
子公司访问策略控制配置必须含以下配置,在实施切换过程中需再三确认、测试(切记):
●XXXX公司OA办公网络访问目标网络是X.X.X.X/XX和X.X.X.X/XX;
●XXXX公司上网网络和WIFI网络访问网络是X.X.X.X/XX;
●XXXX公司上网网络和WIFI网络禁止访问X.X.X.X/XX和X.X.X.X/XX;
●XXXX公司办公网络访问:
办公设备网络(单向);
安全策略配置完成后条件允许的话,需找多台设备进行测试确认(附截图)
3.3.5.配置XXXX公司防火墙巡检账号
鉴于在项目完成后,XX公司要对全网进行信息安全运维工作,且相关部门也会定期访问进行配置检查、日志检查、基线检查,现场实施人员需在XXXX公司配置运维账号,如下表所示:
账户
密码
权限
账号新增配置完成后,请现场实施人员再次检查“信任主机”选项,配置相应的信任主机。
3.4.配置增XXXX公司交换机
根据作业工作界面,防火墙一下第一台交换机应视为我们的工作内容,如果XXXX公司防火墙每个端口分配了不同的VLAN或者trunk,连接不同的交换机用于物理隔离,我们项目实施人员对防火墙下联的第一台交换机进行配置补充、修改工作,以用于网络测试,安全策略测试等工作。
●CONSOLE线登录交换机
●将原有的办公VLAN更改为新建VLAN
●增加各功能区域VLAN
3.5.配置互联网出口日志服务器,添加监控设备
进入互联网出口日志探针服务器(https:
//1.1.1.1),将XXXX公司的防火墙管理IP地址加入列表中;
4.实施检查确认
检查类别
检查项目
是否符合
IP
OA办公地址都已配置
符合□不符合
办公设备地址已配置
管理地址已配置
有线上网地址已配置
无线上网地址已配置
6
互联地址已配置
7
配置
骨干-核心交换机已配置
骨干-公网防火墙已配置
骨干-边界防火墙已配置
骨干-AC上网行为已配置
8
子公司防火墙已配置
9
子公司关键交换机已配置
10
协议状态
OSPF邻居形成Full
11
OSPF路由表具有路由条目
12
三层VLAN接口形成up状态
13
业务验证
子公司防火墙具备ping通防火墙侧互联地址
14
具备访问OA系统
15
具备访问财务系统
16
具备访问
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 出口 统一 网络 切换 实施 手册
![提示](https://static.bingdoc.com/images/bang_tan.gif)