辦公網(wǎng)公網(wǎng)線路整改總結(jié)

1、辦公網(wǎng)公網(wǎng)線路整改總結(jié)1、整改原狀1.1 業(yè)務(wù)分散各業(yè)務(wù)部門公網(wǎng)光纖線路均采用單點接入，線路部署分散，故障發(fā)生需要較長時間進行故障節(jié)點判定，業(yè)務(wù)影響時間較長。1.2 無流量監(jiān)管現(xiàn)有公網(wǎng)光纖線路均采用2層設(shè)備接入，不具備流量監(jiān)控條件，不能對各部門業(yè)務(wù)流量進行分析處理，無法對后期網(wǎng)絡(luò)布局影響范圍、線路帶寬增減等提供依據(jù)1.3 缺乏安全管控目前所有線路均由公網(wǎng)直接接入局域網(wǎng)內(nèi)部，所有訪問路徑未部署任何安全管控設(shè)備，服務(wù)端遭受外部惡意主機攻擊不僅影響該業(yè)務(wù)線路，對公司內(nèi)網(wǎng)安全也有很大安全風(fēng)險。2、整改方案2.1 改造方向l 對公網(wǎng)線路、內(nèi)網(wǎng)連接重新部署，完成統(tǒng)一整合，形成完整且獨立的事業(yè)部公網(wǎng)網(wǎng)絡(luò)區(qū)域

2、l 實現(xiàn)公網(wǎng)線路的流量監(jiān)控和安全防護功能，對各業(yè)務(wù)流量進行分析，為后期線路增減提供依據(jù)并且實現(xiàn)內(nèi)網(wǎng)外網(wǎng)的安全隔離l 整合后的網(wǎng)絡(luò)必須具備一定的可用性，由于接入線路比較集中，要盡量避免重要節(jié)點的單點故障造成的整體線路中斷2.2 網(wǎng)絡(luò)架構(gòu)圖整體網(wǎng)絡(luò)架構(gòu)圖如下：圖1-1 公網(wǎng)線路調(diào)整拓撲圖3、實施情況3.1 公網(wǎng)整改架構(gòu)調(diào)整為了更好的達到公網(wǎng)整合后預(yù)期的效果，在實施方案形成后，經(jīng)過不斷的商討和凝練，我們定義了新的網(wǎng)絡(luò)架構(gòu)拓撲，如下圖：圖1-2 調(diào)整后拓撲由于后期，針對于公網(wǎng)公網(wǎng)網(wǎng)絡(luò)現(xiàn)狀的深入了解，發(fā)現(xiàn)有部分公網(wǎng)線路已經(jīng)存在類似防火墻之類的網(wǎng)絡(luò)設(shè)備接入，從現(xiàn)有的設(shè)備中，我們即可觀察到線路利用情況，因此

3、對需要整改的公網(wǎng)線路進行精簡后，發(fā)現(xiàn)一臺防火墻足以承載相關(guān)流量，此次實際梳理的公網(wǎng)線路如下表：電信聯(lián)通移動備注262426434615830142696141263.2 公網(wǎng)物理線路整理由于整改前的公網(wǎng)線路，在上線實施使用前，并沒有經(jīng)過周全的布線規(guī)劃，導(dǎo)致網(wǎng)絡(luò)線纜凌亂不堪，交織在一起，此次實施前，我們清理掉全部不在使用的光電轉(zhuǎn)換設(shè)備及其線纜，在實施中，我們針對全部線纜進行了統(tǒng)一梳理、部署及扎線貼標(biāo)工作，使其看起來簡單有序，但由于歷史緣故，仍有部分其他設(shè)備

4、線路無法挪動，美中仍有不足。4、整改后效果4.1 流量監(jiān)控通過將公網(wǎng)流量透過防火墻的方式，實現(xiàn)對所有公網(wǎng)線路的監(jiān)控，在防火墻主頁中，可以實時監(jiān)控所有線路的總機帶寬及會話數(shù)。圖 4.1 監(jiān)控防火墻整機流量圖在首頁中，我們只能看到所有線路的總體流量情況趨勢圖，為了監(jiān)控到每一條線路每一個IP地址的流量情況，我們可以自定義根據(jù)公網(wǎng)IP地址來監(jiān)控其對應(yīng)的流量，根據(jù)每條線路所擁有的IP地址段，定義一個監(jiān)控組，即可監(jiān)控這條線路的IP地址使用情況及該地址的流量使用情況，如下圖所示：圖4-2 自定義公網(wǎng)線路監(jiān)控1圖4-3 自定義公網(wǎng)線路監(jiān)控2如圖中所以，我們根據(jù)公網(wǎng)線路的作用定義了流量監(jiān)控組，在流量監(jiān)控組中可以

5、清晰的看到每一個在用IP地址的流量使用情況及歷史曲線圖，可以一目了然的看到每條線路的帶寬使用情況，然后評估該線路的利用率是否符合公司要求。4.2 安全管控將所有公網(wǎng)流量透過防火墻之后，防火墻即可對這些流量進行安全分析，進行安全監(jiān)測、安全過濾，保障內(nèi)網(wǎng)服務(wù)器的安全。在監(jiān)控防火墻上，開啟二層安全防護后，可以針對流入防火墻的流量進行固定的安全防護，并針對不同的攻擊類型，做出相應(yīng)響應(yīng)，完成對內(nèi)網(wǎng)服務(wù)器的安全防護，如下圖：圖4-4 開啟攻擊防護在開啟公網(wǎng)防護后，防火墻會針對外部不安全流量進行安全管控，根據(jù)默認的安全管控行為，做出相應(yīng)措施，如下圖：圖4-5 攻擊防護措施如上圖所示，當(dāng)有攻擊發(fā)生后，防火墻會

6、匹配防護措施，實現(xiàn)對外部不安全流量的管控功能，途中針對ICMP 泛洪攻擊，防火墻及時有效的drop掉疑似攻擊流量，完成對內(nèi)網(wǎng)安全域防護功能。5、整改外公網(wǎng)線路監(jiān)控由于此次公網(wǎng)線路整改，并沒有涉及全部公網(wǎng)線路，因為部分公網(wǎng)線路已經(jīng)存在4層以上設(shè)備，可做監(jiān)控使用，這部分線路梳理如下：公網(wǎng)線路監(jiān)控設(shè)備備注62166606:4430/30142通過上表，可以通過相關(guān)監(jiān)控設(shè)備對相應(yīng)的公網(wǎng)線路進行流量監(jiān)控，舉例說明如下：圖5-1 深信服設(shè)備流量監(jiān)控6、實施總結(jié)在實施前，由于對實施工作及細節(jié)考慮的不充分，導(dǎo)致線路整改方案一改再改，實施時間一推再推，最終成型的方案，也就是我們實施的方案，最終全部實現(xiàn)了最初預(yù)期的暢想，完成了對公網(wǎng)線路的整理，對公網(wǎng)流量的監(jiān)控，對公網(wǎng)安全性進行了防護工作，使科大訊飛A1樓公網(wǎng)梳理成一個有機的整體，具體可觀性、可控性，使我們可以對每一條線路了然于目，知道其使用情況，帶寬利用率。在實施過程中，突發(fā)將所有線路整合到同一臺交換機后，所有