網絡割接方案模闆（範文）

1、前言

1.1 文檔目的及其針對的閱讀對象

XX機構1号網自2015年建立運作至今已達6年，由于在此時間段内，行業相關架構安全政策已經發生較大的變化，且在經過對現網架構進行全面評估後，發現目前架構區域和區域之間缺少明顯的區域邊界裝置，不符合相關架構安全政策要求，是以在經過多方多輪技術讨論之後，計劃于2021年5月中旬，即該網伺服器及其應用更新改造項目實施計劃中的專家評審前，對1号網辦公OA區、運維管理區、資料資源共享區這三個區域與核心交換區之間進行防火牆新增工作。本次防火牆新增工作主要是在各區域和核心交換區直連的鍊路上新增一台天融信NGFW4000-UF防火牆，因為該鍊路原本是一個二層鍊路，是以該防火牆主要是運作交換模式，并在之後的試運作期間在政策完全放開（any any）的基礎上按照現網實際需求寫入相應的安全政策，最終在運作平穩後取消完全放開的安全政策。

本文檔針對的閱讀對象為參與網絡割接實施工程師、客戶方和相關監理機關，作為此後運維文檔以及伺服器及其應用更新改造項目傳遞資料留存。

1.2 實施範圍

本實施方案涉及如下範圍：

1、辦公OA區、運維管理區、資料資源共享區和核心交換區的業務運作；

2、由于使用者接入區和核心交換區之間本身已經部署防火牆，是以需要考慮使用者接入區與相關區域之間的正常通信（因過兩道防火牆導緻的安全政策修改）。

1.3 實施内容

本次實施内容主要包括如下方面：

1、新增XX機構1号網辦公OA區、運維管理區、資料資源共享區和核心交換區之間的防火牆；

2、提前完成天融信防火牆軟體版本的更新操作；

3、對該防火牆的配置及政策寫入；

4、保證該防火牆相關接口處于交換模式下，進而使得上下遊交換機無需更改任何配置；

5、提前搭模組化拟環境，對各項業務進行模拟測試；

6、遷移之前提前對現網中的各項業務進行測試，并做好測試結果的記錄工作，為遷移之後的測試結果比對做準備；

7、網絡連通性、業務驗證。

1.4 實施目标

完成XX機構防火牆新增工作，并保證相關業務通信的正常運作，為後續整個項目的專家評審順利進行打下基礎。

2、項目規劃

在全面實施前，對整個項目的實施進行統一的總體規劃，作為項目實施的設計标準和規範。這部分工作的完成情況将直接影響到整個項目的實施可靠性、安全性和有效性。

2.1 人員組織規劃

1、人員需求：XX機構負責人，XX內建商技術人員

2、人員分工：總協調，安裝調試，割接驗收。

機關	電話	姓名	位址	備注
XX機構	XX	XX
XX內建商	XX	XX
3、各小組詳細配置設定情況
序号	小組名稱	負責人	任務
–	–	–	–
1	上司小組	XX機構負責人	負責整個項目的上司、協調和指揮
2	實施小組	XX、XX	負責項目實施的安裝、調試、業務測試、現場教育訓練、驗收等工作

2.2 網絡結構設計

變更前網絡拓撲如下：

XX機構相關區域中的伺服器均接入相關的接入交換機，這些交換機的型号均為H3C-S5560-SI，在原有規劃中，這些交換機的1号接口均通過一個Trunk鍊路與H3C-S7506E核心交換機相連，核心交換機上配置有相關區域的vlanif接口作為網關。

變更後網絡拓撲如下：

該架構在變更之後，原有的辦公OA區、運維管理區、資源共享區與核心交換機之間将新增一台防火牆，用于區域和核心、區域和區域之間做通路控制，進而展現出區域邊界，由于原有的鍊路是二層鍊路，是以該防火牆運作的模式為交換模式，并根據後續的業務需求配置相應的安全政策。

2.3 裝置各參數規劃

【裝置命名規劃】

裝置描述	裝置型号	标準命名
XX機構1号網OA-運管-資源共享區域邊界防火牆	天融信NGFW4000-UF	A-XX-OaYunguanZiyuan-FW
【接口标簽描述】
1、防火牆與核心交換機互聯：To:A-XX-Core-Switch
2、防火牆與辦公OA區接入交換機互聯：To:A-XX-OA-access-Switch
3、防火牆與運維管理區接入交換機互聯：To:A-XX-YunGuan-access-Switch
4、防火牆與資源共享區接入交換機互聯：To:A-XX-Ziyuan-access-Switch

2.4 裝置接口規劃

天融信防火牆與1号網核心交換機通過4号光口連接配接，辦公OA區接入交換機通過5号網口連接配接、運維管理區接入交換機、資源共享區接入交換機，則通過1、2号電口相連接配接，其接口互聯如下：

防火牆和交換機互聯端口規劃表：

本端裝置	對端裝置
裝置名稱	端口	裝置名稱	端口
A-XX-OaYunguanZiyuan-FW	feth14	A-XX-Core-Switch	GigabitEthernet 8/0/1
A-XX-OaYunguanZiyuan-FW	feth15	A-XX-OA-access-Switch	GigabitEthernet 1/0/0
A-XX-OaYunguanZiyuan-FW	feth11	A-XX-YunGuan-access-Switch	GigabitEthernet 1/0/0
A-XX-OaYunguanZiyuan-FW	feth12	A-XX-Ziyuan-access-Switch	GigabitEthernet 1/0/0

2.5 防火牆配置

針對于該防火牆的配置，主要是通過web界面配置進行，步驟如下：

1、将相應的端口配置為交換模式——點選“網絡管理 > 接口 > 實體接口”，然後選擇相應接口點選“編輯”，根據提示配置接口交換模式，并将相應接口配置為Trunk接口，現階段在Trunk接口下允許所有vlan-tag通過；（以下為示例圖檔，并非真實配置）

2、建立和劃分安全區域——點選“資源管理 > 區域”，然後在彈出的“添加”視窗配置，其中feth15、feth11、feth12為Trust區域，feth14為untrust區域；（以下為示例圖檔，并非真實配置）

3、配置安全政策——點選“安全政策 > 通路控制”，在通路控制界面中點選“添加”即可配置相應安全政策，其中Trust到Untrust為放行，使用者接入區的所有終端都可以和辦公OA區、運維管理區和資源共享區的網絡通信配置為放行，最後配置一個臨時性安全政策any any。（以下是示例圖檔，并非真實配置）

3、實施步驟

3.1 時間安排

時間	任務	備注
D	1、核實各項前期準備工作；2、開箱完成裝置組裝、更新版本并加電拷機。
D+2	1、搭模組化拟環境；2、進行相應的網絡配置；3、初步測試。
D+3	1、對網絡環境中防火牆和交換機的互聯線纜打标簽；2、提前完成防火牆安裝位置的确定，并完成防火牆上架操作；3、完成網絡線纜的鋪設工作。（注：必要時再從新鋪設網絡線纜，根據環境情況而定。）
D+4	1、更換天融信NGFW4000-UF防火牆；2、驗證并測試。	21：00開始實施變更
D+5	1、觀察值守，如無問題，将核心交換機内未使用的接口配置删除。

3.2 實施前準備

1、了解相關安全政策要求；

2、對現有網絡通信資訊進行全面收集；

3、勘察機房環境，确定将防火牆部署在何處的機櫃上，确定後進行相關電纜的鋪設；

4、接口标簽準備。

3.3 裝置上線

序号	工作任務	實施行為	備注
1	對核心交換機、各區域接入交換機配置，尤其是接口配置進行備份	備份配置如下 display vlan display configuration display interface brief display ip routing-table（僅在核心交換機上進行） display mac-address static（僅在各區域接入交換機上進行）
2	标記線纜标簽複核	1、将前期布放的網絡線纜打标簽并再次複核。
3	防火牆上架	1、将核心交換機上的線纜全部拔出，并接入防火牆的相應接口上；2、使用一根光纖跳線将防火牆通往核心交換機的接口于核心交換機相連。
4	業務測試及相關互聯位址測試	1、在使用者接入區交換機上接入一台終端，對各個區域的業務系統進行聯通性測試；
5	網管驗證	1、通過網管平台防火牆進行登入測試； 1、確定SNMP能夠網管，確定SecureCRT能遠端登入。

3.4 網絡測試

序号	工作任務	實施行為	備注
1	連通性測試	1、測試終端與相關業務伺服器進行ping測試；核心交換機與相關業務伺服器進行ping測試； Ping 135.46.100.10—13 Ping 135.46.101.10—13 Ping 135.46.102.10—13 2、測試終端與辦公OA區内的業務系統進行浏覽器登入測試； 3、測試終端與資源共享區内的FTP伺服器進行登入測試； 4、運維管理區終端與相關區域内的裝置進行網管系統登入測試。

4、回退與應急操作

如果在更換過程中遇到暫時不能解決的問題，或者在預期時間内不能完成變更，必須按照以下步驟進行回退：

1、将新上架防火牆關閉電源，拔除防火牆上連接配接的線纜；

2、根據原有标簽将相關線纜插回核心交換機原有接口中；

3、對比變更前後的裝置資訊狀态；

display interface brief

4、網絡連通性和業務測試。