办公网公网线路整改总结-10-10分解.docxVIP

办公网公网线路整改总结 1、整改原状 1.1 业务分散 各业务部门公网光纤线路均采用单点接入，线路部署分散，故障发生需要较长时间进行故障节点判定，业务影响时间较长。 1.2 无流量监管 现有公网光纤线路均采用2层设备接入，不具备流量监控条件，不能对各部门业务流量进行分析处理，无法对后期网络布局影响范围、线路带宽增减等提供依据 1.3 缺乏安全管控 目前所有线路均由公网直接接入局域网内部，所有访问路径未部署任何安全管控设备，服务端遭受外部恶意主机攻击不仅影响该业务线路，对公司内网安全也有很大安全风险。 2、整改方案 2.1 改造方向 ? 对公网线路、内网连接重新部署，完成统一整合，形成完整且独立的事业部公网网络区域 ? 实现公网线路的流量监控和安全防护功能，对各业务流量进行分析，为后期线路增减提供依据并且实现内网外网的安全隔离 ? 整合后的网络必须具备一定的可用性，由于接入线路比较集中，要尽量避免重要节点的单点故障造成的整体线路中断 2.2 网络架构图 整体网络架构图如下： 图1-1 公网线路调整拓扑图 3、实施情况 3.1 公网整改架构调整 为了更好的达到公网整合后预期的效果，在实施方案形成后，经过不断的商讨和凝练，我们定义了新的网络架构拓扑，如下图： 图1-2 调整后拓扑 由于后期，针对于公网公网网络现状的深入了解，发现有部分公网线路已经存在类似防火墙之类的网络设备接入，从现有的设备中，我们即可观察到线路利用情况，因此对需要整改的公网线路进行精简后，发现一台防火墙足以承载相关流量，此次实际梳理的公网线路如下表： 电信 联通 移动 备注 26~242 5 6~43 46~158 30~142 6~96 14~126 02 72-176 98 3.2 公网物理线路整理 由于整改前的公网线路，在上线实施使用前，并没有经过周全的布线规划，导致网络线缆凌乱不堪，交织在一起，此次实施前，我们清理掉全部不在使用的光电转换设备及其线缆，在实施中，我们针对全部线缆进行了统一梳理、部署及扎线贴标工作，使其看起来简单有序，但由于历史缘故，仍有部分其他设备线路无法挪动，美中仍有不足。 4、整改后效果 4.1 流量监控 通过将公网流量透过防火墙的方式，实现对所有公网线路的监控，在防火墙主页中，可以实时监控所有线路的总机带宽及会话数。 图 4.1 监控防火墙整机流量图 在首页中，我们只能看到所有线路的总体流量情况趋势图，为了监控到每一条线路每一个IP地址的流量情况，我们可以自定义根据公网IP地址来监控其对应的流量，根据每条线路所拥有的IP地址段，定义一个监控组，即可监控这条线路的IP地址使用情况及该地址的流量使用情况，如下图所示： 图4-2 自定义公网线路监控1 图4-3 自定义公网线路监控2 如图中所以，我们根据公网线路的作用定义了流量监控组，在流量监控组中可以清晰的看到每一个在用IP地址的流量使用情况及历史曲线图，可以一目了然的看到每条线路的带宽使用情况，然后评估该线路的利用率是否符合公司要求。 4.2 安全管控 将所有公网流量透过防火墙之后，防火墙即可对这些流量进行安全分析，进行安全监测、安全过滤，保障内网服务器的安全。 在监控防火墙上，开启二层安全防护后，可以针对流入防火墙的流量进行固定的安全防护，并针对不同的攻击类型，做出相应响应，完成对内网服务器的安全防护，如下图： 图4-4 开启攻击防护 在开启公网防护后，防火墙会针对外部不安全流量进行安全管控，根据默认的安全管控行为，做出相应措施，如下图： 图4-5 攻击防护措施 如上图所示，当有攻击发生后，防火墙会匹配防护措施，实现对外部不安全流量的管控功能，途中针对ICMP 泛洪攻击，防火墙及时有效的drop掉疑似攻击流量，完成对内网安全域防护功能。 5、整改外公网线路监控 由于此次公网线路整改，并没有涉及全部公网线路，因为部分公网线路已经存在4层以上设备，可做监控使用，这部分线路梳理如下： 公网线路 监控设备 备注 26-230 01 62~166 54 48 06:4430/ 30~142 23 通过上表，可以通过相关监控设备对相应的公网线路进行流量监控，举例说明如下： 图5-1 深信服设备流量监控 6、实施总结 在实施前，由于对实施工作及细节考虑的不充分，导致线路整改方案一改再改，实施时间一推再推，最终成型的方案，也就是我们实施的方案，最终全部实现了最初预期的畅想，完成了对公网线路的整理，对公网流量的监控，对公网安全性进行了防护工作，使科大讯飞A1楼公网梳理成一个有机的整体，具体可观性、可控性，使我们可以对每一条线路了然于目，知道其使用情况，带宽利用率。 在实施过程中，突发将所有线路整合到同一台交换机后，所有线路开始丢包，导致整体公网线路均不可用，后考虑是交换机性能不足，