趋势科技DeepEdge实施网络交割方案.doc

文档信息 文档名称网络割接方案_20140510 保密级别公开文档版本编号V1.0 拟定人拟定日期 复审人复审日期 批准人批准日期 更改记录 日期修改章节类型*修改描述修改人 2014-5-10C文档建立 * 修改类型分为 C - CREATED M - MODIFIED D - DELETED XXXX 网络交割方案网络交割方案 文件类型：实施准备文档 撰写日期： 撰写部门： 网络交割方案 Page 2 文档信息 文档名称网络割接方案_20140510 保密级别公开文档版本编号V1.0 拟定人拟定日期 复审人复审日期 批准人批准日期 更改记录 日期修改章节类型*修改描述修改人 2014-5-10C文档建立 * 修改类型分为 C - CREATED M - MODIFIED D - DELETED 网络交割方案 Page 3 目 录 1概述概述.3 2割接总体规划割接总体规划3 2.1目标3 2.2总体规划3 2.2.1前期调研3 2.2.2安全域划分前期调整4 2.2.3物理线路准备4 2.2.4安全域划分4 2.2.5安全防护策略部署4 2.3实施原则4 2.4设备规划5 2.4.1设备名称规划说明5 2.4.2管理地址规划说明5 2.4.3互联地址规划说明6 2.5实施步骤6 3割接计划割接计划.6 4割接详细步骤割接详细步骤7 4.1对外服务区和安全互联域割接7 4.1.1实施目标7 4.1.2实施规划8 4.1.3实施风险8 4.1.4实施条件9 4.1.5实施前准备9 4.1.6实施前的预配置9 4.1.7实施步骤10 5测试及验证测试及验证 .10 6回退回退.11 网络交割方案 Page 4 1概述 XX 公司 IT 业务覆盖信息系统开发、系统运维和信息服务。业务系统的开发、测试以及 日常运维都实行了外包。 XX 公司现有的网络系统为二级构架，包括总部、31 个办事处 其拓扑结构如下图所示： 2割接总体规划 2.1目标 根据 XX 公司的情况，进行如下的安全域规划。 1) 域是本次安全域划分的第一层结构，划分的原则是业务行为。XX 安全域总体设计计 划划分为 4 个域，分别是安全服务域、安全管理支撑域、安全接入域和安全互联域。 2) 子域是本次安全域划分的第二层结构，划分的原则是威胁的等级和类型，设计中拟细 化为 7 个区，包括 3) 单元是本次安全域划分的第三层结构， 最终网络拓扑图如下： 2.2总体规划 XX 公司信息系统网络割接总体规划如下： 2.2.1 前期调研 应用服务器调研 网络交割方案 Page 5 机房综合布线信息调研 应用系统访问控制策略调研 2.2.2 安全域划分前期调整 根据安全域划分的原则对应用系统进行前期调整 根据安全域划分的原则对网络设备配置进行前期调整 2.2.3 物理线路准备 根据项目需求对光纤进行准备 根据项目需求对网线进行准备 2.2.4 安全域划分 对外服务区和安全互联域割接 核心/非核心业务服务区割接 开发/测试服务区割接 安全管理服务、终端区割接 总部、办事处办公接入区割接 2.2.5 安全防护策略部署 对外服务区和安全互联域防护策略部署 核心/非核心业务服务区防护策略部署 开发/测试服务区防护策略部署 安全管理服务、终端区防护策略部署 总部、办事处办公接入区防护策略部署 2.3实施原则 1) 相关各方明确自己的任务和相应的责任，进行人员分工； 2) 做好必要的切换准备工作； 网络交割方案 Page 6 3) 所有新增设备均为离线配置，割接时以做测试工作为主； 4) 预估切换时间； 5) 按时间顺序，制定详细的实施步骤和相应的检查程序； 6) 预估切换风险和后果，作好备份，并准备回退计划； 7) 和各业务部门充分沟通。 2.4设备规划 2.4.1 设备名称规划说明 设备命名采用区域+设备类型+型号+数字，例如安全互联区防火墙“HF-FW5144-1” 设备编号设备编号设备名称设备名称设备品牌型号设备品牌型号用途用途 占用空间占用空间 （机柜号（机柜号/U） SW-1DY-SW S3100- 1 华为 LS-S3100-16C- SI-AC 对外服务区交 换机 A8/1U SW-7DY-SW S3100- 2 华为 LS-S3100-16C- SI-AC 对外服务区交 换机 A8/1U C2900 (原有) DY-SW C2900- 3 CISCO 2924对外服务区交 换机 A8/1U 2.4.2 管理地址规划说明 设备管理地址用于管理所有的设备，方便维护人员登陆察看设备运行状态等信息。 设备编号设备编号管理管理 IP 地址地址/掩码掩码Vlan 或是网关信息或是网关信息 对外服务区对外服务区 SW-1 安全互联域安全互联域 FW-1 Cisco7507 核心核心/非核心业务服务区非核心业务服务区 SW-2 网络交割方案 Page 7 2.4.3 互联地址规划说明 设备互联地址用于三层设备之间连接通讯使用的地址，不同区域的互连地址段应当不一 样便于区分。具体参加 Vlan 和 IP 规划表。 2.5实施步骤 根据网络割接的总体规划，具体实施分以下几个步骤。 对外服务区和安全互联域割接 1) 更换 DMZ 区 Cisco2900 交换机为 SW-1； 2) 更换外联区 Cisco2900 交换机为 SW-7； 3) 4) 5) 总部、办事处办公接入区割接 1) 安装 UTM-2，并进行基本配置； 2) 安装 IDS-1，并进行相关配置。 XX 区割接 1) 安装； 2) 3割接计划 步步 骤骤 内容内容开始时间开始时间结束时间结束时间实施必备条件实施必备条件 1 前期调研 月 日 月 日提供相关的基础资料 及察看资料的权限 2 机房环境准备 月 日 月 日机柜空间、电源、接 地及物理线路 3 割接方案准备及讨论 月 日 月 日步骤 1 4 设备到货加电测试 月 日 月 日 网络交割方案 Page 8 5 割接前准备 月 日 月 日步骤 1-3 6 对外服务区和安全互联域割接 月 日 月 日步骤 1-5 7 总部办事处办公接入区割接 月 日 月 日步骤 1-5 8 安全管理服务、终端区割接 月 日 月 日步骤 1-5 9 核心/非核心业务服务区割接 月 日 月 日步骤 1-5 10 开发/测试服务区割接 月 日 月 日步骤 1-5 4割接详细步骤 4.1对外服务区和安全互联域割接 4.1.1 实施目标 本阶段实施目标为：按安全域划分方案划分对外服务区和安全互联域，更新这两个区的 接入交换机、安全网关和 VPN 设备；增加一台下一代安全网关（DeepEdge） ，目标拓扑图如下： 网络交割方案 Page 9 4.1.2 实施规划 4.1.2.14.1.2.1 SW-1SW-1 物理连线物理连线 本端设备端口本端设备端口对端设备编号对端设备编号 对端设备端对端设备端 口口 信息点号码信息点号码物理介质类型物理介质类型 SW_1_E1/0/1 4.1.2.24.1.2.2 SW-1SW-1 交换机端口配置交换机端口配置 端口端口Vlan/Trunk/Monitor速率速率双工双工STP E1/0/15无AUTOAUTO无 E1/0/16MonitorAUTOAUTO无 4.1.2.34.1.2.3 UTM-1UTM-1 IPIP 地址规划地址规划 本端设备端口本端设备端口IP /掩码掩码 Vlan 或是网或是网 关信息关信息 对端设备对端设备 编号编号/端口端口 Vlan 或是或是 网关信息网关信息 GE210.2.250.254/24SW-1/E1/0/14 GE310.2.1.62/2410.2.1.251S8512-1/G4/1/1 4.1.2.44.1.2.4 SSLSSL VPNVPN IPIP 地址规划地址规划 本端设备端口本端设备端口IP /掩码掩码 Vlan 或是或是 网关信息网关信息 对端设备对端设备 编号编号/端口端口 Vlan 或是网或是网 关信息关信息 E1124.42.126.66/27C2900/F0/21 E210.2.99.49/28S8512-1/ G4/1/2 网络交割方案 Page 10 4.1.34.1.3 实施风险实施风险 本阶段针对对外服务区和安全互联域进行割接，割接过程中会中断公司移动办公用户对 公司的访问、所有人对外服务区和互联网的访问，预计中断时间为 2 个小时左右，在割接操 作完成后业务系统恢复正常。主要风险点在 DeepEdge、SSL VPN 和 HF-DE-1 的控制策略上。 减少风险的方法是完全按照原有的策略部署，通过 log 日志监测所有的应用，经过与业务负 责部门确认后再进行安全细化。 4.1.44.1.4 实施条件实施条件 DE、IWSA、区域接入交换机、防火墙、TDA 等设备到货，并经过加电测试； 提供的区域内应用系统及与本区域相关联的应用系统信息调研资料清楚并准确； 提供的设备之间端口物理连接信息资料清楚并准确； 机房场地、机柜空间、电源及物理线路准备就绪； 本阶段相关人员到位。 4.1.54.1.5 实施前准备实施前准备 通过在外部网站和内网无纸化办公平台弹出公告窗口，以及给每一个人邮箱发邮件 的方式通知本次网络割接的时间安排。 割接涉及的应用服务器信息表； 割接所涉及设备的物理端口连接规划表； 所涉及的网络设备配置备份（包含） ； 获得切换涉及设备的配置权限或有配置权限的用户名和密码。 新设备端口规划； 核对及完善切换涉及的物理线路标签； 物理线路准备完毕； 新设备安装上架安装准备完毕； 提前通知本次切换所中断应用系统涉及的单位做好切换应对和测试工作； VPN 客户端相关配置修改指导； 通知本次割接涉的相关人员。 网络交割方案 Page 11 4.1.64.1.6 实施前的预配置实施前的预配置 配置 SW-1 交换机；（配置脚本，包含接口、路由、Telnet 和镜像配置） 配置 DE-1；（配置脚本，包含接口和路由配置） 配置 SW-7 交换机；（配置脚本，包含接口、路由、Telnet 和镜像配置） 配置 C2900 交换机；（配置脚本，包含接口、路由、Telnet 和镜像配置） 4.1.74.1.7 实施步骤实施步骤 序号序号工作任务工作任务执行人执行人监督人监督人 1 通过在外部网站和内网无纸化办公平台弹出公告窗口， 以及给每一个人邮箱发邮件的方式通知本次网络割接 的时间安排。 （包含故障处理流程、报修电话、参加人 员、测试的方式） 2提交 VPN 用户使用手册，并通知 VPN 用户。 3提交网络设备配置变更申请单。 4 5 5测试及验证 序号序号验证方法验证方法验证结果验证结果负责人负责人 1 1 在、SSL VPN、FW-1、防火墙、视频会议防火墙上 Ping 所涉及的设备的管理地址和互联地址。 并通过察看是否有数据流从这些设备上通过。 2 2 使用下面命令验证域内交换机的相关信息 display current-configuration display vlan all display mac-table-address display ip interface brief display interface 3 3 门户网站、DNS、反垃圾邮件和移动办公 VPN 业务测试 6回退回退 如果在实施过程中遇到不可及时解决的问题，影响到现有业务的进行，应采取必要的回 退措施：恢复原有物理连接，恢复配置（直接删除新配置或者重新启动未保存新增配置的设 网络交割方案 Page 12 备） 。回退前应记录设备 dis cur、dis logging、dis diagnostic-information、dis ip int brief、dis ip rout、dis ospf peer 信息用于故障诊断；回退完成后，应确认应用系 统的的工作情况。详细回退方案如下： 序号序号工作任务工作任务执行人执行人验证人验证人 1得到回退通知。 2 收集设备回退前配置、状态及故障信息。 （dis cur、dis logging、dis diagnostic- information、dis ip int brief、dis ip rout、dis ospf peer） 3 停止门户网站、DN