内网优化升级方案.docxVIP

内网优化升级方案 方案实施背景最近为了规范BOSS运营支持系统、基站视频监控和光传输设备管理 (以下简称内网) 等业务的使用, 保障其高可靠稳定运转, 并统筹考虑内网业务安全性, 实现内网业务彻底与其他网络混用的局面, 需要规范组建内部网络。有效摒弃原有市至县二层数据VLAN传输, 采用新的三层数据互联。这样做的好处是每个县公司处于同一局域网中, 县公司内网与市公司使用动态路由互联, 有效隔离广播域, 在很大程度上杜绝了ARP攻击、IP地址冲突等问题, 该方案实施后, 将对县公司的内网使用提出了更高的要求, 主要是达到内网业务和互联网、专线业务的物理隔离标准。具体方案1.网络拓扑结构根据方案的背景资料, 我们首先介绍一下现有市至县内网组网拓扑结构, 这里的市至县OTN环网作为数据业务的透明传输不在示意图中体现, 如图1所示。如我们可以看到在内网的最上层使用Juniper防火墙和省公司互联, 然后使用烽火交换机作为业务汇聚, 该交换机承载BOSS、CA服务器等业务, 其中CA业务是由Cisco 3550交换机承载, 在烽火交换机将内网业务汇聚后, 分别连接城区和县市区内网业务。目前各交换机采用二层互联, 即VLAN透传。这样整个网络就在一个较大的广播域中, 一个县市区出现问题会影响到整个市的网络, 既不利于业务的长期发展, 又不利于网络安全的防护。我们定义BOSS业务VLAN562、基站监控VLAN564和光传输管理VLAN566这三个VLAN均终结到县公司汇聚交换机处, 县公司内网业务和市公司内网业务互联使用OSPF协议, 县公司内网业务的部署 (例如乡镇或者城区营业厅) 使用交换机和收发器传输, 严格做到物理隔离。2.网络设备配置完成网络拓扑升级前后的对比后, 接下来就是根据网络需求对设备进行配置。在最上层防火墙需要做的工作是配置和核心交换机的互联地址、基于端口的NAT和回指到核心交换机的路由。Cisco交换上设备的配置和核心交换机的互联地址、启用OSPF协议并宣告CA和互联地址网段, 防火墙和Cisco交换机的配置这里就不在详细介绍, 这里具体介绍一下核心和汇聚交换机的配置, 其配置主要分为三部分, 即创建VLAN、配置接口IP地址和使能OSPF协议。核心交换机配置:上面做的工作的是创建VLAN, 并定义VLAN的地址, 设置和市公司核心交换机的互联网段, 并启用OSPF协议, 最后在OSPF协议中宣告所需网段。经过在兖州交换机的端口0/0/25进行网络验证, 是可以访问BOSS的服务器, 这样我们就以兖州为例完成了整个网络的配置。相同的配置方法可以实现其他县市区内网数据的通达, 这里就不再一一介绍。总结上面我们通过对现有网络结构的综合分析, 得出网络中存在弊端和劣势。并提出网络的优化升级方案。依据网络物理隔离、业务分开、网关终结至本地的原则对网络进行了拓扑优化, 又以兖州为例详细介绍了交换机的配置, 通过对网络的验证网络是可达的, 从而满足了网络的整体需求。后期针对内部网络中存在CA服务器等核心数据单元, 我们又在现有路由的基础上应用了路由策略, 有效的防范了核心服务器路由的全网通达, 在一定的程度上降低了网络入侵的风险, 同时做到了交换机的远程和本地登录密码的定期更换, 从而维护了网络的和谐稳定。引言:为了保障内网可靠稳定运转, 并统筹考虑内网业务的安全性, 实现内网业务彻底与其他网络混用的局面, 需要规范组建内部网络。有效摒弃原有市至县二层数据VLAN传输, 采用新的三层数据互联。在很大程度上杜绝了ARP攻击、IP地址冲突等问题, 针对当前的网络现状和劣势, 新的组网方案是在市公司部署一台三层交换机作为内网业务的核心, 然后依托市至县OTN网络将业务传输至县公司, 然后在每个县市区部署一台三层交换机作为业务的汇聚, 其中BOSS和基站监控等业务的网关在交换机上创建。网络优化升级后的具体拓扑结构如图2所示。上面我们主要介绍了核心交换机的配置, 核心思路是打通核心交换机至防火墙和cisco交换机的数据链路, 接下来以兖州为例介绍一下县区汇聚层交换机的配置。汇聚层交换机的配置: