互联网出口统一网络切换实施手册.docx
《互联网出口统一网络切换实施手册.docx》由会员分享,可在线阅读,更多相关《互联网出口统一网络切换实施手册.docx(9页珍藏版)》请在冰豆网上搜索。
互联网出口统一网络切换实施手册
XXXX统一互联网出口项目
网络实施手册
实施地点:
XXX公司
实施日期:
xxxx年xx月xx日
1.范围
本《实施文档》适用于XXXX公司等子公司实施网络改造作业使用,不适于范围外其他网络结构使用。
《实施文档》应为一家子公司留存一份,内容也应不尽相同。
《实施文档》所列的实施内容属于实施过程及检查文档,用于项目实施记录及归档,由主管部门保存,便于日后运维、拍错、数据追踪等工作调用查询。
2.实施准备
实施准备工作包括实施人员的确认、设备检查、网络检查、系统检查等工作,具体工作内容及检查项目如下所示:
2.1.实施人员
子公司网络切换实施工作应包括实施人员、子公司系统管理员、子公司计算机运维外委人员,人员资料如下:
所属部门
实施人员姓名
联系电话
备注
2.2.实施工具
序号
工器具
单位
数量
检查
1
管理笔记本
台
1
具备不具备
2
CONSOLE线
条
1
具备不具备
3
网线
条
1
具备不具备
4
圆珠笔
个
1
具备不具备
5
A4纸张
张
3
具备不具备
2.3.设备检查
序号
类别
设备型号
备注
1
防火墙
2
接入层交换机
3
接入层交换机
2.4.网络检查
2.4.1.拓扑分析
拓扑检查主要是对现有子公司网络拓扑进行记录并分析,拓扑在下框可手工画出,或者子公司若有存档,可采用扫描件方式填充:
XXXX公司现行网络拓扑图:
2.4.2.网络运行检查
网络检查是在网络切换前确认现在子公司各应用系统的使用情况,并未之后的实施测试提供材料:
系统名称
系统连接
使用情况
备注
2.5.实施准备
2.5.1.实施拓扑
实施拓扑是在子公司原拓扑的基础上,根据统一互联网出口区域划分的原则,重新规划网络结构,拓扑结构用于实施记录及交工使用,拓扑图可手绘或电子文档。
实施后拓扑结构:
2.5.2.实施网络资源分配
网络资源分配是根据统一互联网出口项目区域划分原则和子公司计算机设备的实际使用情况,为不同的区域划分VLAN和IP段,分配的网络资源可在下表详细列出,作为项目实施资料及交工资料:
区域(VLAN)分类
网络号/掩码
网关/掩码
备注
3.实施内容
3.1.检查并配置互联网出口安全设备配置
3.1.1.检查并配置互联网出口的骨干边界FW配置
●检查并配置骨干网边界FW中对应的XXXX公司网络是否已配置
(截图)
●检查并配置骨干网边界FW中对应的XXXX公司安全策略:
(截图)
3.1.2.检查并配置上网行为管理配置
●检查并配置上网行为管理中对应的XXXX公司的用户认证与管理配置:
(截图)
●检查上网行为管理中对应的XXXX公司的流量管理配置:
(截图)
●检查上网行为管理中对应的XXXX公司的配置后在线用户是否归类在所在组别:
(截图)
3.1.3.检查并配置互联网出口的公网边界FW配置
●检查并配置公网边界FW中对应的XXXX公司网络是否已配置;
(截图)
●检查并配置公网边界FW中对应的XXXX公司网络SNAT是否已配置;
(截图)
●检查并配置公网边界FW中对应的XXXX公司网络安全策略是否已配置;
(截图)
3.2.检查并配置核心交换机配置
核心交换机的互联VLAN、IP及路由信息已在各子公司网络切换前配置完毕,现场实施人员应在到场后首先检查这部分的配置信息是否完整、正确、并截图记录。
●检查核心交换机与XXXX公司互联的接口信息;
●检查核心交换机与XXXX公司互联的动态路由配置信息;
(截图)
3.3.配置XXX公司防火墙
●设置笔记本IP地址;
●CONSOLE线接入防火墙;
●网线接入防火墙管理口;
●WEB界面打开防火墙管理界面;
3.3.1.配置VLAN及IP、路由(策略路由)
●配置互联VLAN及IP(附截图)
(截图)
●互联网段IP测试
(截图)
3.3.2.配置动态路由OSPF
●启用OSPF功能;
●设置router-id;
(截图)
●将IP地址宣告入OSPF进程;
(截图)
●检查OSPF邻居状态是否为Full;
(截图)
●检查OSPF路由表信息;
(截图)
3.3.3.配置防火墙上传日志服务器信息
子公司防火墙需要将日志上报至日志审计服务器,以便日志审计使用。
以XX防火墙为例,在防火墙系统-系统配置管理-syslog服务器配置一栏添加IP:
1.1.1.1端口:
。
子公司防火墙配置大同小异,以实际情况为准;
(截图)
3.3.4.配置XXXX公司防火墙访问控制安全策略
由于子公司的网络物理分离只在防火墙以下的层间进行端口物理分离,在防火墙往上(含防火墙)分离采用逻辑隔离,即通过路由配置、安全策略配置等办法隔离网络间的互访权限。
因此在子公司防火墙上配置相关的访问策略非常重要。
子公司访问策略控制配置必须含以下配置,在实施切换过程中需再三确认、测试(切记):
●XXXX公司OA办公网络访问目标网络是X.X.X.X/XX和X.X.X.X/XX;
●XXXX公司上网网络和WIFI网络访问网络是X.X.X.X/XX;
●XXXX公司上网网络和WIFI网络禁止访问X.X.X.X/XX和X.X.X.X/XX;
●XXXX公司办公网络访问:
办公设备网络(单向);
安全策略配置完成后条件允许的话,需找多台设备进行测试确认(附截图)
3.3.5.配置XXXX公司防火墙巡检账号
鉴于在项目完成后,XX公司要对全网进行信息安全运维工作,且相关部门也会定期访问进行配置检查、日志检查、基线检查,现场实施人员需在XXXX公司配置运维账号,如下表所示:
(截图)
账户
密码
权限
账号新增配置完成后,请现场实施人员再次检查“信任主机”选项,配置相应的信任主机。
3.4.配置增XXXX公司交换机
根据作业工作界面,防火墙一下第一台交换机应视为我们的工作内容,如果XXXX公司防火墙每个端口分配了不同的VLAN或者trunk,连接不同的交换机用于物理隔离,我们项目实施人员对防火墙下联的第一台交换机进行配置补充、修改工作,以用于网络测试,安全策略测试等工作。
●CONSOLE线登录交换机
●将原有的办公VLAN更改为新建VLAN
●增加各功能区域VLAN
3.5.配置互联网出口日志服务器,添加监控设备
进入互联网出口日志探针服务器(https:
//1.1.1.1),将XXXX公司的防火墙管理IP地址加入列表中;
(截图)
4.实施检查确认
序号
检查类别
检查项目
是否符合
备注
1
IP
OA办公地址都已配置
符合□不符合
2
办公设备地址已配置
符合□不符合
3
管理地址已配置
符合□不符合
4
有线上网地址已配置
符合□不符合
5
无线上网地址已配置
符合□不符合
6
互联地址已配置
符合□不符合
7
配置
骨干-核心交换机已配置
符合□不符合
骨干-公网防火墙已配置
符合□不符合
骨干-边界防火墙已配置
符合□不符合
骨干-AC上网行为已配置
符合□不符合
8
子公司防火墙已配置
符合□不符合
9
子公司关键交换机已配置
符合□不符合
10
协议状态
OSPF邻居形成Full
符合□不符合
11
OSPF路由表具有路由条目
符合□不符合
12
三层VLAN接口形成up状态
符合□不符合
13
业务验证
子公司防火墙具备ping通防火墙侧互联地址
符合□不符合
14
具备访问OA系统
符合□不符合
15
具备访问财务系统
符合□不符合
16
具备访问
符合□不符合
升级会员 