网络接入方案_核心交换机_acl.doc

中国联通增值业务综合网管项目 网络接入方案 北京神州泰岳软件股份有限公司 2006年11月 文档说明 非常感谢给予机会参与《》项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。中国联通内部使用，未经双方书面许可，请勿扩散到第三方。 文档属性 属性 内容 客户名称： 中国联通 项目名称： 中国联通增值业务综合网管项目 文档主题： 网络接入方案 文档编号： PD-S-39 文档版本： 1.0 版本日期： 2006-11-14 文档状态： 初稿 作者： 付勇 文档变更 版本 修订日期 修订人 描述 1.0 2006-11-14 神州泰岳 初稿 文档送呈 单位 姓名 目的 中国联通 审阅 目 录1 网络解决方案 4 1.1 网络方案适用环境 4 1.2 网络方案描述 4 1.3 网络结构 5 1.4 网络实施方案 5 2 实施配置说明 8 2.1 端口隔离技术 8 2.2 Netscreen防火墙二级IP 8 2.3 配置举例 10 网络解决方案 网络方案适用环境 该方案适用于具有以下网络环境特点的场合： 没有核心交换机 防火墙端口数量有限 网络安全方面需要可控 客户网络环境中没有核心交换设备，网管系统的网络无法达到通过接入核心交换机而能访问其他业务系统的目的，另外由于客户基于安全的考虑，会要求网管系统通过防火墙接入各业务系统，然而这会因为防火墙端口数量的限制而导致不可行（因为防火墙端口数量的限制，两台防火墙最多只能接入6个业务系统，而此次项目涉及业务系统10余个）。 网络方案描述 为了达到安全接入客户网络的目的，同时考虑到设备的端口情况，因此提出如下解决方案。将网管交换机配置为二层交换机，划分两个VLAN，例如：VLAN100是接入各业务系统的VLAN,VLAN20是网管系统的VLAN。将到各业务系统交换机的端口都划分到VLAN100里（此时可能有人会问，如果在某个业务系统中将某一台PC的IP更改为其他业务系统的IP网段，那岂不是可以进入到其他业务系统的网段了吗，没错，为了解决该问题提高网络的安全性，我们将使用访问控制列表技术，在第二部分将会进行详细介绍），同时将连接防火墙的trust zone的交换机端口也划分到VLAN100（可能又有人会问，将业务系统划分到trust zone，这样对网管系统是不是不安全，其实大可不必担心，netscreen可以支持非常灵活的策略，可以对trust和untrust之间进行非常严格的限制，另外这样做的主要原因是因为netscreen204防火墙只支持在trust接口上配置二级IP，因此只能将业务系统VLAN划分到trust zone）。将到网管系统的端口都划分到VAN20里，同时将连接防火墙的untrust zone的交换机端口划分到VLAN20中。经过以上连接后，在防火墙trust zone的接口上设置多个secondary ip，一个IP对应一个业务系统，而该IP也成为业务系统到网管系统的网关地址。通过在防火墙上配置相关的安全策略，实现业务系统和网管系统之间的安全互访。 综上所述，方案的目的就是将各业务平台的交换机与网管交换机直接进行连接，通过访问控制列表技术来实现各业务系统之间的隔离。防火墙的trust口和untrust口分别连接业务系统的VLAN和网管系统的VLAN，通过路由和策略的配置，使得网管系统和业务系统之间的数据流必须经过防火墙，并且通过在防火墙上配置安全策略，使得业务系统之间不可以互访，以此来达到安全互访的目的。 网络结构 网络实施方案 网络测试环境结构说明： 交换机部分： 两台交换机通过捆绑47、48口进行互联，并配置为trunk，允许所有VLAN可以通过。 在交换机上建立两个VLAN,VLAN ID 为100和20，VLAN100接入各业务系统，VLAN20为网管系统。 将每台交换机的1口到36口划分到VLAN20。37口到46口划分到VLAN100。 １号防火墙的１口接入１号交换机的38口，2口接入1号交换机的1口。2号防火墙的2口接入到2号交换机的38口，2口接入2号交换机的1口。 网管PC插入1号交换机的5口（VLAN20）。 每台交换机的40口都接入C网短信系统（192。168。5。0/24）, 每台交换机的41口都接入G网短信系统（192。168。10。0/24） 在两台交换机上生成两个访问控制列表2021（C网）和2022（G网），2021访问控制列表只允许数据源是192。168。5。0，其他IP网段都不可以使用该端口，2022访问控制列表只允许数据源是192。168。10。0，其他IP网段都不可以使用该端口，同时将2021访问控制列表应用到两台交换机的40口