网络接入方案 无核心交换机 acl.doc

网络接入方案_无核心交换机_acl中国联通增值业务综合网管项目网络接入方案北京神州泰岳软件股份有限公司2006年11月文档说明非常感谢中国联通给予北京神州泰岳软件股份有限公司机会参与《中国联通增值业务综合网管项目》项目,并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。本文档所涉及到的文字、图表等,仅限于北京神州泰岳软件股份有限公司和中国联通内部使用,未经双方书面许可,请勿扩散到第三方。文档属性属性内容客户名称:中国联通项目名称:中国联通增值业务综合网管项目文档主题:网络接入方案文档编号:PD-S-39文档版本::2006-11-14文档状态:初稿作者:-11-14神州泰岳初稿文档送呈单位姓名目的中国联通审阅目录1 网络解决方案 网络方案适用环境 网络方案描述 网络结构 网络实施方案 52 实施配置说明 端口隔离技术 配置举例 10网络解决方案网络方案适用环境该方案适用于具有以下网络环境特点的场合:没有核心交换机防火墙端口数量有限网络安全方面需要可控客户网络环境中没有核心交换设备,网管系统的网络无法达到通过接入核心交换机而能访问其他业务系统的目的,另外由于客户基于安全的考虑,会要求网管系统通过防火墙接入各业务系统,然而这会因为防火墙端口数量的限制而导致不可行(因为防火墙端口数量的限制,两台防火墙最多只能接入6个业务系统,而此次项目涉及业务系统10余个)。网络方案描述为了达到安全接入客户网络的目的,同时考虑到设备的端口情况,因此提出如下解决方案。将网管交换机配置为二层交换机,划分两个VLAN,例如:VLAN100是接入各业务系统的VLAN,VLAN20是网管系统的VLAN。将到各业务系统交换机的端口都划分到VLAN100里(此时可能有人会问,如果在某个业务系统中将某一台PC的IP更改为其他业务系统的IP网段,那岂不是可以进入到其他业务系统的网段了吗,没错,为了解决该问题提高网络的安全性,我们将使用访问控制列表技术,在第二部分将会进行详细介绍),同时将连接防火墙的trustzone的交换机端口也划分到VLAN100(可能又有人会问,将业务系统划分到trustzone,这样对网管系统是不是不安全,screen可以支持非常灵活的策略,可以对trust和untrust之间进行非常严格的限制,screen204防火墙只支持在trust接口上配置二级IP,因此只能将业务系统VLAN划分到trustzone)。将到网管系统的端口都划分到VAN20里,同时将连接防火墙的untrustzone的交换机端口划分到VLAN20中。经过以上连接后,在防火墙trustzone的接口上设置多个secondaryip,一个IP对应一个业务系统,而该IP也成为业务系统到网管系统的网关地址。通过在防火墙上配置相关的安全策略,实现业务系统和网管系统之间的安全互访。综上所述,方案的目的就是将各业务平台的交换机与网管交换机直接进行连接,通过访问控制列表技术来实现各业务系统之间的隔离。防火墙的trust口和untrust口分别连接业务系统的VLAN和网管系统的VLAN,通过路由和策略的配置,使得网管系统和业务系统之间的数据流必须经过防火墙,并且通过在防火墙上配置安全策略,使得业务系统之间不可以互访,以此来达到安全互访的目的。网络结构网络实施方案网络测试环境结构说明:交换机部分:两台交换机通过捆绑47、48口进行互联,并配置为trunk,允许所有VLAN可以通过。在交换机上建立两个VLAN,VLANID为100和20,VLAN100接入各业务系统,VLAN20为网管系统。将每台交换机的1口到36口划分到VLAN20。37口到46口划分到VLAN100。1号防火墙的1口接入1号交换机的38口,2口接入1号交换机的1口。2号防火墙的2口接入到2号交换机的38口,2口接入2号交换机的1口。网管PC插入1号交换机的5口(VLAN20)。每台交换机的40口都接入C网短信系统(192。168。5。0/24),每台交换机的41口都接入G网短信系统(192。168。10。0/24)在两台交换机上生成两个访问控制列表2021(C网)和2022(G网),2021访问控制列表只允许数据源是192。168。5。0,其他IP网段都不可以使用该端口,2022访问控制列表只允许数据源是192。168。10。0,其他IP网段都不可以使用该端口,同时将2021访问控制列表应用到两台交换机的40口,将2022访问控制列表应用到两台交换机的41口。防火墙部分:每台防火墙的1口都划分为trustzone,每台防火墙的2口都划分为untrustzone。两台防火墙通过4口进行