广域网融合实施的方案.docVIP

广域网融合实施方案 XXX科技有限公司 2014年3月 目录 1 项目概述。 2 2 网络升级规划 3 2.1 割接前业务概况 3 2.2 割接前网络拓扑 3 2.3 割接后网络拓扑 4 2.4 设备部署 4 2.4.1 设备的命名及密码 4 2.4.2 接口管理 5 2.4.3 包过滤策略 6 2.4.4 基本攻击防护 6 3 割接步骤 6 3.1 割接前准备 6 3.1.1 业务单位用户告知：提前开好工作票 6 3.1.2 预配置设备 6 3.1.3 预先保存所有割接涉及到设备的配置信息 6 3.1.4 割接前测试所有业务运行是否正常 6 3.2 正式割接内容 7 4 割接涉及范围、影响及回退 7 5 设备清单 7 附件：工程文档 7 项目概述。 目前各地市广域网均部署一台物理防火墙和IPS设备，如设备损坏将直接导致两条链路失去冗余性，造成广域网链路中断，可能引发信息系统事件。本次项目实施新增一台物理防火墙和IPS设备，保证广域网出口的冗余性。 网络升级规划 割接前业务概况 目前网络环境 割接前网络拓扑 割接后网络拓扑 拓扑描述：本次实施主要在备用链路上添加防火墙和IPS 设备部署 设备的命名及密码 按照以下规则对设备进行命名： 设备局点和级别-设备厂商名称-设备型号-设备序列号（1、2等）. 如：XXXX点 HNZZhou_DP_FW1000_B 【XXXX_迪普_FW1000_备链路】 序号 部署地点 厂商 设备型号 链路用途 设备命名 1 XXXX 迪普 FW1000 Backup XXXX_DP_FW1000_B 2 XXXX 迪普 IPS2000 Backup XXXX_DP_IPS2000_B 用户名：XXXX 密码：XXXX 接口管理 设备管理地址规划 设备型号 接口名称 管理地址 网关地址 FW1000-GE-N Eth0_0 10.230.136.6 10.230.136.36 IPS2000-GA-N Eth0_0 10.230.136.5 10.230.136.36 防火墙端口规划、vlan规划、接口安全域等级及描述 FW1000-GE-N 本端端口 安全域名称 接口优先级 接口描述 对端端口 上联接口 Eth1_13 toNE40 5 至NE40 G1/0/3(NE40) 下联接口 Eth1_12 toIPS 85 至IPS2000 Eth1_7 所属VLAN 10 IPS端口规划及描述 IPS2000-GA-N 本端接口 接口描述 对端接口 上联接口 Eth1_7 至FW1000 Eth1_12 下联接口 Eth1_6 至H3C9508 G3/1/1 包过滤策略 防火墙上开启包过滤策略、对内外网络进行安全隔离 基本攻击防护 IPS上开启攻击防护策略及IPS策略 割接步骤 割接前准备 业务单位用户告知：提前开好工作票 预配置设备 预先整理防火墙和IPS设备接入信息、并预先做好设备相关配置 预先保存所有割接涉及到设备的配置信息 割接前测试所有业务运行是否正常 测试电力办公系统、营销系统、缴费等业务情况 正式割接内容 第1步：把备用链路在旧防火墙上断开，测试业务连通性。若业务正常、把备用链路割接到新防火墙和IPS上；若不正常立刻回退至旧防火墙 第2步：检查各网络设备的当前运行状态、、访问外网是否正常 第3步：把主链路断开、测试备用链路运行时业务连通性。若业务正常、把主链路恢复；若业务不正常、把主链路恢复、排查备用链路连通性 割接涉及范围、影响及回退 此次割接涉及电力广域网业务短暂中断若本次割接若出现业务不正常状况、立刻把主备链路均接至旧防火墙和IPS 设备清单 设备、部件、材料名称 型号 规格 品牌 产地 生产厂家 单位 数量 应用防火墙 FW1000-GE-N XXXX 杭州 XXXX 台 1 入侵防御系统 IPS2000-GA-N XXXX 杭州 XXXX 台 1 附件：工程文档 XXXX 服务合同号 合同签署 客户名称 设备类型 和数量 1台FW1000-GE-N、1台IPS2000-GA-N 工程服务类型 工程实施□ 工程督导□ 工程支持□ 工程服务内容 于______年___月____日完成到货验收 □是 □否 □不涉及 完成设备硬件安装和软件调测 □是 □否 □不涉及 完成产品维护现场讲解和培训 □是 □否 □不涉及 完成业务上线/割接 □是 □否 □不涉及 工程文档、工程帐号和密码已移交客户，并协助客户修改帐号和密码 □否 □不涉及 客户在实施前已对工程实施方案进行了确认 □是 □否 □不涉及 工程实施进度和人力投入满足客户要求 □是