Upload
celeste-aguirre
View
33
Download
6
Embed Size (px)
DESCRIPTION
兵团电子政务外网项目 Xinjiang production and construction corps e-government project. 电子政务外网师级网络调整优化探讨. 新疆兵团信息技术服务中心 2013-1-1. 目录. 电子政务外网师级网络整体设计架构 师级网络整体结构改造优化总体思路 广域骨干区调整优化 城域网核心调整优化 互联网区调整优化 数据中心区调整优化. 第一部分 总体结构. 电子政务外网师级网络整体设计架构. 师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入 5 个部分. 各师现有实际网络结构图. - PowerPoint PPT Presentation
Citation preview
电子政务外网师级网络调整优化探讨电子政务外网师级网络调整优化探讨
兵团电子政务外网项目兵团电子政务外网项目Xinjiang production and construction corps e-government projectXinjiang production and construction corps e-government project
新疆兵团信息技术服务中心新疆兵团信息技术服务中心2013-1-12013-1-1
目录目录
电子政务外网师级网络整体设计架构
师级网络整体结构改造优化总体思路
广域骨干区调整优化
城域网核心调整优化
互联网区调整优化
数据中心区调整优化
第一部分总体结构
电子政务外网师级网络整体设计架构电子政务外网师级网络整体设计架构
师级电子政务外网的设计框架分为广域骨干网、城域网、数据中心、专网接入、互联网接入 5 个部分
各师现有实际网络结构图各师现有实际网络结构图
目前存在的问题目前存在的问题
•1 、互联网访问问题师局域网互联网接入客户端病毒、 P2P 下载等问题,互联网服务器区安
全问题,团场互联网接入占用出口带宽问题,互联网和专网接入客户端相互干扰问题。
•2 、广域网带宽占用问题团级互联网接入占用广域网带宽,各专网带宽分配•3 、跨部门资源访问问题划分专网相互隔离后访问公共资源
总体调整思路总体调整思路
•1 、将互联网和外网尽量清晰划分出来建议将师级局域网中互联网接入和专网独立开来,并将师级和团级互联
网和外网界面清晰化,以便当互联网出现问题时可以很容易将互联网从外网中独立开来。
•2 、在互联网区域内加强安全防护在出口部署带宽管理设备、在网内部署身份认证设备、多出口考虑负载
均衡设备等提高互联网访问速度和安全。•3 、在广域网进行带宽优化,设置 QOS限制互联网访问带宽,分配各专网带宽•4 、加强公用网服务区资源建设丰富公用网服务区资源建设,丰富外网资源等,允许各专网访问公用服
务网•5 、提高终端设备复用率考虑采用身份认证等方式方便用户根据用户名或 CA 证书等接入不同网
络提高终端设备复用率(探讨)
调整后网络总体示意图调整后网络总体示意图
第二部分广域骨干网调整优化
一、广域骨干网总体优化方式一、广域骨干网总体优化方式
优化师到团广域网访问方式
1 、提高广域网带宽( 4M-10M 、 10M-20M 等)
2 、配置带宽策略( QOS ,增加带宽管理设备,带宽防护(利用安全设备等))
3 、增加某专网线路,然后利用 MPLS VPN 策略路由选路
优化师到团广域网访问方式
1 、提高广域网带宽( 4M-10M 、 10M-20M 等)
2 、配置带宽策略( QOS ,增加带宽管理设备,带宽防护(利用安全设备等))
3 、增加某专网线路,然后利用 MPLS VPN 策略路由选路
二、广域骨干网二、广域骨干网 QOSQOS带宽管理配置带宽管理配置
1 、在团级局域网接入口对不同专网进行着色,标示出不同的专网来
2 、在团级路由器出口配置带宽管理,指定标示出专网带宽
3 、在师级城域网核心路由器局域网接入口对不同专网进行着色,标示出不同的专网
4 、在师级广域网路由接口配置带宽管理,指定标示出专网带宽
1 、在团级局域网接入口对不同专网进行着色,标示出不同的专网来
2 、在团级路由器出口配置带宽管理,指定标示出专网带宽
3 、在师级城域网核心路由器局域网接入口对不同专网进行着色,标示出不同的专网
4 、在师级广域网路由接口配置带宽管理,指定标示出专网带宽
INTERNET
VPN_caiwuVPN_xinfang
INTERNET:2M
VPN_caiwu:1M
VPN_xinfang:1M
INTERNET
VPN_caiwuVPN_xinfang
INTERNET:2M
VPN_caiwu:1M
VPN_xinfang:1M
2.32.3广域骨干网广域骨干网 QOSQOS带宽管理配置举带宽管理配置举例例
一、在师级城域网核心路由器 SR6616 (Xs-cyw-hx-sr6616-RT-1)
1 建立访问控制列表,指定各 VPN 流量
acl number 3010 rule 10 permit ip vpn-instance internet
acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu
acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang
一、在师级城域网核心路由器 SR6616 (Xs-cyw-hx-sr6616-RT-1)
1 建立访问控制列表,指定各 VPN 流量
acl number 3010 rule 10 permit ip vpn-instance internet
acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu
acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
2 设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2
traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3
2 设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1 traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2
traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
3 在入口接口进行着色
qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3
interface GigabitEthernet2/0/1.101 qos apply policy markexp inbound
interface GigabitEthernet2/0/1.509 qos apply policy markexp inbound
interface GigabitEthernet2/0/1.506 qos apply policy markexp inbound
3 在入口接口进行着色
qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3
interface GigabitEthernet2/0/1.101 qos apply policy markexp inbound
interface GigabitEthernet2/0/1.509 qos apply policy markexp inbound
interface GigabitEthernet2/0/1.506 qos apply policy markexp inbound
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
二、在广域网核心路由器 SR6616 (Xs-gyw-hx-sr6616-RT-1)
1 设定标志为 EXP1(INTERNET) ,设定带宽为最大带宽的 20% 设定标志为 EXP2(caiwu) ,设定带宽为最大带宽的 10% 设定标志为 EXP3(xinfang) ,设定带宽为最大带宽的 10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10
二、在广域网核心路由器 SR6616 (Xs-gyw-hx-sr6616-RT-1)
1 设定标志为 EXP1(INTERNET) ,设定带宽为最大带宽的 20% 设定标志为 EXP2(caiwu) ,设定带宽为最大带宽的 10% 设定标志为 EXP3(xinfang) ,设定带宽为最大带宽的 10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
2 在广域网接口设定最大带宽,应用 QOS 策略
qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10%
interface Ethernet1/2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outbound interface Ethernet1/2/7.2 qos max-bandwidth 10240 qos apply policy mplsqos outbound
……
2 在广域网接口设定最大带宽,应用 QOS 策略
qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10%
interface Ethernet1/2/7.1 qos max-bandwidth 10240 qos apply policy mplsqos outbound interface Ethernet1/2/7.2 qos max-bandwidth 10240 qos apply policy mplsqos outbound
……
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
三、在团级路由器MSR5040上配置1 建立访问控制列表,指定各 VPN 流量acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang2 设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3
三、在团级路由器MSR5040上配置1 建立访问控制列表,指定各 VPN 流量acl number 3010 rule 10 permit ip vpn-instance internet acl number 3011 rule 10 permit ip vpn-instance VPN_caiwu acl number 3012 rule 10 permit ip vpn-instance VPN_xinfang2 设定各专网流量,定义标示 traffic classifier internet operator and if-match acl 3010 traffic behavior exp1 remark mpls-exp 1traffic classifier caiwu operator and if-match acl 3011 traffic behavior exp2 remark mpls-exp 2 traffic classifier xinfang operator and if-match acl 3012 traffic behavior exp3 remark mpls-exp 3
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
三、在团级路由器MSR5040上配置
3 在入口接口进行着色qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3interface GigabitEthernet0/1.101 qos apply policy markexp inboundinterface GigabitEthernet0/1.509 qos apply policy markexp inboundinterface GigabitEthernet0/1.506 qos apply policy markexp inbound
三、在团级路由器MSR5040上配置
3 在入口接口进行着色qos policy markexp classifier internet behavior exp1 classifier caiwu behavior exp2 classifier xinfang behavior exp3interface GigabitEthernet0/1.101 qos apply policy markexp inboundinterface GigabitEthernet0/1.509 qos apply policy markexp inboundinterface GigabitEthernet0/1.506 qos apply policy markexp inbound
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
四、在团级路由器MSR5040上配置4 设定标志为 EXP1(INTERNET) ,设定带宽为最大带宽的 20% , 设定标志为 EXP2(caiwu) ,设定带宽为最大带宽的 10% 设定标志为 EXP3(xinfang) ,设定带宽为最大带宽的 10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10
四、在团级路由器MSR5040上配置4 设定标志为 EXP1(INTERNET) ,设定带宽为最大带宽的 20% , 设定标志为 EXP2(caiwu) ,设定带宽为最大带宽的 10% 设定标志为 EXP3(xinfang) ,设定带宽为最大带宽的 10%traffic classifier exp1 operator and if-match mpls-exp 1 traffic behavior ef20% queue ef bandwidth pct 20 traffic classifier exp2 operator and if-match mpls-exp 2 traffic behavior ef10% queue ef bandwidth pct 10traffic classifier exp3 operator and if-match mpls-exp 3 traffic behavior ef10% queue ef bandwidth pct 10
广域骨干网广域骨干网 QOSQOS带宽管理配置举例带宽管理配置举例
四、在团级路由器MSR5040上配置
5 在广域网接口设定最大带宽,应用 QOS 策略
qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10%
interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound
四、在团级路由器MSR5040上配置
5 在广域网接口设定最大带宽,应用 QOS 策略
qos policy mplsqos classifier exp1 behavior ef20% classifier exp2 behavior ef10% classifier exp3 behavior ef10%
interface Ethernet0/0 qos max-bandwidth 10240 qos apply policy mplsqos outbound
三、增加带宽管理设备三、增加带宽管理设备
1 、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备,采用 TRUNK 透明模式部署,对进入路由器的流量进行带宽控制及安全防护
1 、在团级局域网核心交换机和团级核心路由器之间增加带宽管理或安全防护设备,采用 TRUNK 透明模式部署,对进入路由器的流量进行带宽控制及安全防护
带宽管理设备
局域网核心交换机
团级核心路由器 师级广域网核心路由器
四、团级防火墙改造(近期进行)四、团级防火墙改造(近期进行)
1 、利用原团场闲置防火墙,在团级局域网核心交换机和团级核心路由器之间采用TRUNK 透明模式部署
2 、配置步骤如下:(1) 将防火墙设置为透明模式,将 ETH1 (内、团)和 ETH2 (外、师)设置为
TRUNK ,分别接入核心交换机和团场路由器 MSR 5040(2) 建立允许通过的 vlan ,包括 (internet ,各专网的 VLAN )(3) 设定管理 VLAN IP 地址( data-managerVPN 内)(4) 允许师部进行管理访问防火墙(5) 设定安全策略,默认策略允许 ETH1( 团 )ETH2 (师)访问,屏蔽常见病毒端口
( 4444,69.135 等), 禁止 ETH2 (师) ETH1 (团)访问(6) 开启防火墙 IPS 等功能
1 、利用原团场闲置防火墙,在团级局域网核心交换机和团级核心路由器之间采用TRUNK 透明模式部署
2 、配置步骤如下:(1) 将防火墙设置为透明模式,将 ETH1 (内、团)和 ETH2 (外、师)设置为
TRUNK ,分别接入核心交换机和团场路由器 MSR 5040(2) 建立允许通过的 vlan ,包括 (internet ,各专网的 VLAN )(3) 设定管理 VLAN IP 地址( data-managerVPN 内)(4) 允许师部进行管理访问防火墙(5) 设定安全策略,默认策略允许 ETH1( 团 )ETH2 (师)访问,屏蔽常见病毒端口
( 4444,69.135 等), 禁止 ETH2 (师) ETH1 (团)访问(6) 开启防火墙 IPS 等功能
团级防火墙
局域网核心交换机
团级核心路由器 师级广域网核心路由器
五、增加专网线路、配置路由策略选路五、增加专网线路、配置路由策略选路
1 、某些专网提供额外专网线路,可以考虑将其专网指定到该线路。
2 、可采用两种方法实现路由选路方法 1 :将该增加线路绑定到该专网 VPN 中,采用 ospf 进行动态路由学习,由于
OSPF 的优先级高于 BGP ,主线路会走增加线路。备用走我们的主线路方法 2 :采用 MPLS TE 建立流量工程隧道,指定主线路和备用线路,然后将该 VPN
引入到隧道中。
1 、某些专网提供额外专网线路,可以考虑将其专网指定到该线路。
2 、可采用两种方法实现路由选路方法 1 :将该增加线路绑定到该专网 VPN 中,采用 ospf 进行动态路由学习,由于
OSPF 的优先级高于 BGP ,主线路会走增加线路。备用走我们的主线路方法 2 :采用 MPLS TE 建立流量工程隧道,指定主线路和备用线路,然后将该 VPN
引入到隧道中。
局域网核心交换机
团级核心路由器 师级广域网核心路由器
VPN1
5.15.1、路由选路配置举例、路由选路配置举例——方法方法 11
团级路由器MSR5040配置
interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0
ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255
bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011
团级路由器MSR5040配置
interface GigabitEthernet8/0 ip binding vpn-instance VPN_11 ip address 10.111.1.1 255.255.255.0
ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255
bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011
师级广域网核心路由器 SR6616配置
interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0
ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255
bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011
师级广域网核心路由器 SR6616配置
interface GigabitEthernet7/0/1.11 ip binding vpn-instance VPN_11 ip address 10.111.1.2 255.255.255.0
ospf 60011 vpn-instance VPN_11 import-route bgp type 1 area 0.0.0.0 network 10.111.1.0 0.0.0.255
bgp 65445ipv4-family vpn-instance VPN_11 import-route direct import-route ospf 60011
5.25.2、路由选路配置举例、路由选路配置举例——方法方法 22
配置参考mplsmpls templs te cspfInterface g5/1mpls teospfopaque-capability enablearea 0mpls-te enable
配置参考mplsmpls templs te cspfInterface g5/1mpls teospfopaque-capability enablearea 0mpls-te enable
explicit-path main next hop 3.0.0.1 next hop 3.3.3.3interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel-protocol mpls te destination 3.3.3.3 mpls te record-route label
explicit-path main next hop 3.0.0.1 next hop 3.3.3.3interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel-protocol mpls te destination 3.3.3.3 mpls te record-route label
mpls te bandwidth bc0 50000 //指定显式路径 mpls te path explicit-path main mpls te fast-reroute mpls te commit
ip vpn-instance vpn1route-distinguisher 100:1vpn-target 100:1 bothtnl-policy policy1
tunnel-policy policy1tunnel select-seq cr-lsp load-balance-number 1
interface gigabitethernet 1/0ip binding vpn-instance vpn1ip address 192.168.1.1 255.255.255.0
ip vpn-instance vpn1route-distinguisher 100:1vpn-target 100:1 bothtnl-policy policy1
tunnel-policy policy1tunnel select-seq cr-lsp load-balance-number 1
interface gigabitethernet 1/0ip binding vpn-instance vpn1ip address 192.168.1.1 255.255.255.0
第三部分城域网调整优化
城域网调整建议城域网调整建议
1 、师级城域网络将专网和互联网接入分离(布线系统分开)1 、师级城域网络将专网和互联网接入分离(布线系统分开)
专网核心交换机 互联网核心交换机
城域网调整建议城域网调整建议
2 、团级城域网络将专网和互联网接入设备和接口分开2 、团级城域网络将专网和互联网接入设备和接口分开
专网核心交换机
互联网核心交换机
团级核心交换机BD3928
团级互联网接入交换机BD2528
师级城域网核心路由器
团级核心路由器MSR5040
师级广域网核心路由器
城域网专网接入(师级)城域网专网接入(师级)
熟悉专网接入方式,便于各部门接入咨询熟悉专网接入方式,便于各部门接入咨询
城域网专网接入(师级)城域网专网接入(师级)
熟悉专网接入方式,便于各部门接入咨询熟悉专网接入方式,便于各部门接入咨询
接入方式:统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。
设备配置:需要配置一台高性能防火墙,至少提供两个千兆接口,一个用于连接兵团外网数据中心核心交换,一端用于连接部门专网数据中心。
接入方式:统计局部门的专网数据中心通过防火墙与兵团电子政务外网数据中心的核心交换机互联。
设备配置:需要配置一台高性能防火墙,至少提供两个千兆接口,一个用于连接兵团外网数据中心核心交换,一端用于连接部门专网数据中心。
数据中心数据中心
机关局域网机关局域网接入方式:师级机关部门专网位于机关大楼内,将其部门划分到一个 VLAN ,二层透传到兵团
电子政务外网城域网核心路由器,网关落在城域网核心路由器上,并封装到专网 VPN 中。设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。
接入方式:师级机关部门专网位于机关大楼内,将其部门划分到一个 VLAN ,二层透传到兵团电子政务外网城域网核心路由器,网关落在城域网核心路由器上,并封装到专网 VPN 中。
设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。
分散单位分散单位接入方式:专线接入,城域网路由器 MSR5040设备配置:推荐路由器、防火墙(互指路由),交换机也可(网关落到 MSR5040上)接入方式:专线接入,城域网路由器 MSR5040设备配置:推荐路由器、防火墙(互指路由),交换机也可(网关落到 MSR5040上)接入方式:非专线接入,接入互联网防火墙(东软)设备配置:防火墙( IPSEC VPN )接入方式:非专线接入,接入互联网防火墙(东软)设备配置:防火墙( IPSEC VPN )
接入方式:移动客户端,接入互联网防火墙(东软)设备配置:软客户端, CA 证书( KEY )接入方式:移动客户端,接入互联网防火墙(东软)设备配置:软客户端, CA 证书( KEY )
城域网专网接入(团级)城域网专网接入(团级)
熟悉专网接入方式,便于各部门接入咨询熟悉专网接入方式,便于各部门接入咨询
城域网专网接入(团级)城域网专网接入(团级)
熟悉专网接入方式,便于各部门接入咨询熟悉专网接入方式,便于各部门接入咨询
机关局域网机关局域网接入方式:团级机关部门专网位于机关大楼内,将其部门划分到一个 VLAN ,二层透传到兵团
电子政务外网核心路由器,网关落在核心路由器上,并封装到专网 VPN 中。设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。
(信息点多加交换机)
接入方式:团级机关部门专网位于机关大楼内,将其部门划分到一个 VLAN ,二层透传到兵团电子政务外网核心路由器,网关落在核心路由器上,并封装到专网 VPN 中。
设备配置:机关部门专网位于机关大楼内,大楼已部署接入交换机,无需配置额外网络设备。(信息点多加交换机)
分散单位分散单位接入方式:专线接入, BD3928E设备配置:推荐交换机(网关落到团核心 MSR5040上)接入方式:专线接入, BD3928E设备配置:推荐交换机(网关落到团核心 MSR5040上)
接入方式:非专线接入,接入师互联网防火墙(东软)设备配置:防火墙( IPSEC VPN )接入方式:非专线接入,接入师互联网防火墙(东软)设备配置:防火墙( IPSEC VPN )
接入方式:移动客户端,接入互联网防火墙(东软)设备配置:软客户端, CA 证书( KEY )接入方式:移动客户端,接入互联网防火墙(东软)设备配置:软客户端, CA 证书( KEY )
第四部分互联网调整优化
互联网调整互联网调整
1 、师级 VPN 改造(外网、互联网)1 、师级 VPN 改造(外网、互联网)
互联网防火墙
互联网服务区核心交换机
互联网服务区服务器
外网数据中心核心交换机BD8506
城域网核心路由器SR6616
公用网服务区 专网服务区
互联网 VPN
外网 VPN
互联网调整互联网调整
2 、加强现有安全设备策略配置2 、加强现有安全设备策略配置
1 、加强出口防火墙安全策略配置,关闭不对外提供服务的端口等1 、加强出口防火墙安全策略配置,关闭不对外提供服务的端口等
2 、更新补丁、防病毒软件,防止弱口令等安全隐患2 、更新补丁、防病毒软件,防止弱口令等安全隐患
3 、建立日志服务器,将重要设备日志保存至日志服务器3 、建立日志服务器,将重要设备日志保存至日志服务器
互联网增加安全设备示意图互联网增加安全设备示意图3 、增加互联网安全保护设备( IPS ,行为管理、带宽管理,终端管理
等)3 、增加互联网安全保护设备( IPS ,行为管理、带宽管理,终端管理
等)
安全设备推荐部署安全设备推荐部署
序号 产品名称 描述 部署位置 解决风险 数量
1 防病毒网关系统用于访问控制、网络边界恶意代码防
范、应用层综合防御互联网出口与核心交
换区边界结构安全 1
2上网行为管理系
统用于访问控制、应用层的控制与审计
互联网出口与核心交换区边界
行为审计 1
3 入侵防御系统 用于应用层综合防御 互联网服务区边界 入侵防范 1
4运维保垒主机系
统用于日常运维操作行为审计 综合管理区
抗抵赖、运维操作审计、防止审计日志被非法删除
1
5统一身份管控系
统用于全局业务系统的身份管理、认证
管理、权限分配、应用审计综合管理区
身份签别、应用安全、应用审计
2
6SOC安全管理
平台
用于网络设备、服务器设备的统一安全管理,海量日志信息的采集、存储、
管理、分析等综合管理区
系统建设管理、系统安全运维
1
7数据备份与恢复
系统用于主机设备、数据库、应用程序数
据备份与恢复综合管理区 数据完整性、备份与恢复 1
8 终端准入系统用于终端设备的安全准入、补丁更新、
资产管理等综合管理区 主机安全 1
9网络版防病毒软
件用于终端设备的恶意代码防护 综合管理区 主机安全 1
ITIT运维系统运维系统
建议使用各师部署的 IT运维系统,实现运行监控和运维管理
完善身份认证系统和单点登录完善身份认证系统和单点登录
第五部分数据中心调整优化
数据中心调整优化数据中心调整优化
1 、完善数据中心结构,增强数据中心安全性1 、完善数据中心结构,增强数据中心安全性
1、补充完善数据中心结构,增加公用服务区交换机,部署公用网服务区防火墙2、要求各专网接入均需部署防火墙等安全设备
数据中心调整优化数据中心调整优化
2 、共享数据服务区的重点建设(各专网均能访问)2 、共享数据服务区的重点建设(各专网均能访问)城域网核心路由器 SR6616上配置acl number 3000 rule 5 permit ip vpn-instance intranet destination 59.0.0.0 0.255.255.255 rule 12 permit ip vpn-instance jianshehuanbaoju destination 59.0.0.0 0.255.255.255 rule 14 permit ip vpn-instance VPN_tongji destination 59.0.0.0 0.255.255.255 rule 15 permit ip vpn-instance VPN_guotu destination 59.0.0.0 0.255.255.255 rule 16 permit ip vpn-instance VPN_xinfang destination 59.0.0.0 0.255.255.255 rule 17 permit ip vpn-instance VPN_shenji destination 59.0.0.0 0.255.255.255 rule 19 permit ip vpn-instance VPN_caiwu destination 59.0.0.0 0.255.255.255
nat address-group 0 59.223.X.1 59.223.X.1interface GigabitEthernet2/2/6.600nat outbound 3000 address-group 0 vpn-instance data-managerinterface GigabitEthernet2/2/6.601nat outbound 3000 address-group 0 vpn-instance data-managerinterface GigabitEthernet2/2/7nat outbound 3000 address-group 0 vpn-instance data-manager
数据中心调整优化数据中心调整优化
城域网核心路由器 SR6616上配置
ip route-static vpn-instance VPN_tongji 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_guotu 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_xinfang 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_shenji 59.0.0.0 255.0.0.0 NULL0ip route-static vpn-instance VPN_caiwu 59.0.0.0 255.0.0.0 NULL0
ip vpn-instance VPN_xinfangvpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_shenjivpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_caiwuvpn-target 64100:10 64000:10 import-extcommunityip vpn-instance VPN_guotuvpn-target 64100:10 64000:10 import-extcommunity
数据中心调整优化数据中心调整优化
城域网核心路由器 SR6616上配置
bgp 65445
ipv4-family vpn-instance VPN_xinfang import-route direct import-route static # ipv4-family vpn-instance VPN_caiwu import-route direct import-route static # ipv4-family vpn-instance VPN_tongji import-route direct import-route static
谢谢!谢谢!