互联网出口统一网络切换实施手册.docx

1、互联网出口统一网络切换实施手册XXXX统一互联网出口项目网络实施手册实施地点： XXX公司 实施日期： xxxx年xx月xx日 1.范围本实施文档适用于XXXX公司等子公司实施网络改造作业使用，不适于范围外其他网络结构使用。实施文档应为一家子公司留存一份，内容也应不尽相同。实施文档所列的实施内容属于实施过程及检查文档，用于项目实施记录及归档，由主管部门保存，便于日后运维、拍错、数据追踪等工作调用查询。2.实施准备实施准备工作包括实施人员的确认、设备检查、网络检查、系统检查等工作，具体工作内容及检查项目如下所示：2.1.实施人员子公司网络切换实施工作应包括实施人员、子公司系统管理员、子公司计算机

2、运维外委人员，人员资料如下：所属部门实施人员姓名联系电话备注2.2.实施工具序号工器具单位数量检查1管理笔记本台1具备 不具备2CONSOLE线条1具备 不具备3网线条1具备 不具备4圆珠笔个1具备 不具备5A4纸张张3具备 不具备2.3.设备检查序号类别设备型号备注1防火墙2接入层交换机3接入层交换机2.4.网络检查2.4.1.拓扑分析拓扑检查主要是对现有子公司网络拓扑进行记录并分析，拓扑在下框可手工画出，或者子公司若有存档，可采用扫描件方式填充：XXXX公司现行网络拓扑图：2.4.2.网络运行检查网络检查是在网络切换前确认现在子公司各应用系统的使用情况，并未之后的实施测试提供材料：系统名称

3、系统连接使用情况备注2.5.实施准备2.5.1.实施拓扑实施拓扑是在子公司原拓扑的基础上，根据统一互联网出口区域划分的原则，重新规划网络结构，拓扑结构用于实施记录及交工使用，拓扑图可手绘或电子文档。实施后拓扑结构：2.5.2.实施网络资源分配网络资源分配是根据统一互联网出口项目区域划分原则和子公司计算机设备的实际使用情况，为不同的区域划分VLAN和IP段，分配的网络资源可在下表详细列出，作为项目实施资料及交工资料：区域（VLAN）分类网络号/掩码网关/掩码备注3.实施内容3.1.检查并配置互联网出口安全设备配置3.1.1.检查并配置互联网出口的骨干边界FW配置检查并配置骨干网边界FW中对应的X

4、XXX公司网络是否已配置（截图）检查并配置骨干网边界FW中对应的XXXX公司安全策略：（截图）3.1.2.检查并配置上网行为管理配置检查并配置上网行为管理中对应的XXXX公司的用户认证与管理配置：（截图）检查上网行为管理中对应的XXXX公司的流量管理配置：（截图）检查上网行为管理中对应的XXXX公司的配置后在线用户是否归类在所在组别：（截图）3.1.3.检查并配置互联网出口的公网边界FW配置检查并配置公网边界FW中对应的XXXX公司网络是否已配置；（截图）检查并配置公网边界FW中对应的XXXX公司网络SNAT是否已配置；（截图）检查并配置公网边界FW中对应的XXXX公司网络安全策略是否已配置；

5、（截图）3.2.检查并配置核心交换机配置核心交换机的互联VLAN、IP及路由信息已在各子公司网络切换前配置完毕，现场实施人员应在到场后首先检查这部分的配置信息是否完整、正确、并截图记录。检查核心交换机与XXXX公司互联的接口信息;检查核心交换机与XXXX公司互联的动态路由配置信息;（截图）3.3.配置XXX公司防火墙设置笔记本IP地址；CONSOLE线接入防火墙；网线接入防火墙管理口；WEB界面打开防火墙管理界面；3.3.1.配置VLAN及IP、路由（策略路由）配置互联VLAN及IP（附截图）（截图）互联网段IP测试（截图）3.3.2.配置动态路由OSPF启用OSPF功能；设置router-i

6、d；（截图）将IP地址宣告入OSPF进程；（截图）检查OSPF邻居状态是否为Full；（截图）检查OSPF路由表信息；（截图）3.3.3.配置防火墙上传日志服务器信息子公司防火墙需要将日志上报至日志审计服务器，以便日志审计使用。以XX防火墙为例，在防火墙系统-系统配置管理-syslog服务器配置一栏添加IP：1.1.1.1 端口： 。子公司防火墙配置大同小异，以实际情况为准；（截图）3.3.4.配置XXXX公司防火墙访问控制安全策略由于子公司的网络物理分离只在防火墙以下的层间进行端口物理分离，在防火墙往上（含防火墙）分离采用逻辑隔离，即通过路由配置、安全策略配置等办法隔离网络间的互访权限。因此

7、在子公司防火墙上配置相关的访问策略非常重要。子公司访问策略控制配置必须含以下配置，在实施切换过程中需再三确认、测试（切记）：XXXX公司OA办公网络访问目标网络是X.X.X.X/XX和X.X.X.X/XX；XXXX公司上网网络和WIFI网络访问网络是X.X.X.X/XX；XXXX公司上网网络和WIFI网络禁止访问X.X.X.X/XX和X.X.X.X/XX；XXXX公司办公网络访问：办公设备网络（单向）；安全策略配置完成后条件允许的话，需找多台设备进行测试确认（附截图）3.3.5.配置XXXX公司防火墙巡检账号鉴于在项目完成后，XX公司要对全网进行信息安全运维工作，且相关部门也会定期访问进行配置

8、检查、日志检查、基线检查，现场实施人员需在XXXX公司配置运维账号，如下表所示：（截图）账户密码权限账号新增配置完成后，请现场实施人员再次检查“信任主机”选项，配置相应的信任主机。3.4.配置增XXXX公司交换机根据作业工作界面，防火墙一下第一台交换机应视为我们的工作内容，如果XXXX公司防火墙每个端口分配了不同的VLAN或者trunk，连接不同的交换机用于物理隔离，我们项目实施人员对防火墙下联的第一台交换机进行配置补充、修改工作，以用于网络测试，安全策略测试等工作。CONSOLE线登录交换机将原有的办公VLAN更改为新建VLAN增加各功能区域VLAN3.5.配置互联网出口日志服务器，添加监控

9、设备进入互联网出口日志探针服务器（https:/1.1.1.1）,将XXXX公司的防火墙管理IP地址加入列表中；（截图）4.实施检查确认序号检查类别检查项目是否符合备注1IPOA办公地址都已配置符合 不符合2办公设备地址已配置符合 不符合3管理地址已配置符合 不符合4有线上网地址已配置符合 不符合5无线上网地址已配置符合 不符合6互联地址已配置符合 不符合7配置骨干-核心交换机已配置符合 不符合骨干-公网防火墙已配置符合 不符合骨干-边界防火墙已配置符合 不符合骨干-AC上网行为已配置符合 不符合8子公司防火墙已配置符合 不符合9子公司关键交换机已配置符合 不符合10协议状态OSPF邻居形成Full符合 不符合11OSPF路由表具有路由条目符合 不符合12三层VLAN接口形成up状态符合 不符合13业务验证子公司防火墙具备ping通防火墙侧互联地址符合 不符合14具备访问OA系统符合 不符合15具备访问财务系统符合 不符合16具备访问符合 不符合