1、.辦公網(wǎng)公網(wǎng)線路整改總結1、整改原狀1.1 業(yè)務分散各業(yè)務部門公網(wǎng)光纖線路均采用單點接入，線路部署分散，故障發(fā)生需要較長時間進行故障節(jié)點判定，業(yè)務影響時間較長。1.2 無流量監(jiān)管現(xiàn)有公網(wǎng)光纖線路均采用2 層設備接入， 不具備流量監(jiān)控條件，不能對各部門業(yè)務流量進行分析處理，無法對后期網(wǎng)絡布局影響范圍、線路帶寬增減等提供依據(jù)1.3缺乏安全管控目前所有線路均由公網(wǎng)直接接入局域網(wǎng)內(nèi)部，所有訪問路徑未部署任何安全管控設備，服務端遭受外部惡意主機攻擊不僅影響該業(yè)務線路，對公司內(nèi)網(wǎng)安全也有很大安全風險。2、整改方案2.1 改造方向?qū)W(wǎng)線路、內(nèi)網(wǎng)連接重新部署，完成統(tǒng)一整合，形成完整且獨立的事業(yè)部公網(wǎng)網(wǎng)絡區(qū)域

2、實現(xiàn)公網(wǎng)線路的流量監(jiān)控和安全防護功能，對各業(yè)務流量進行分析，為后期線路增減提供依據(jù)并且實現(xiàn)內(nèi)網(wǎng)外網(wǎng)的安全隔離整合后的網(wǎng)絡必須具備一定的可用性，由于接入線路比較集中，要盡量避免重要節(jié).點的單點故障造成的整體線路中斷2.2 網(wǎng)絡架構圖整體網(wǎng)絡架構圖如下：圖 1-1公網(wǎng)線路調(diào)整拓撲圖.3、實施情況3.1 公網(wǎng)整改架構調(diào)整為了更好的達到公網(wǎng)整合后預期的效果，在實施方案形成后，經(jīng)過不斷的商討和凝練，我們定義了新的網(wǎng)絡架構拓撲，如下圖：圖 1-2調(diào)整后拓撲由于后期， 針對于公網(wǎng)公網(wǎng)網(wǎng)絡現(xiàn)狀的深入了解，發(fā)現(xiàn)有部分公網(wǎng)線路已經(jīng)存在類似防火墻之類的網(wǎng)絡設備接入，從現(xiàn)有的設備中，我們即可觀察到線路利用情況，因此對

3、需要整.改的公網(wǎng)線路進行精簡后，發(fā)現(xiàn)一臺防火墻足以承載相關流量，此次實際梳理的公網(wǎng)線路如下表：電信聯(lián)通移動備注2624256434615830142696141260272-176983.2 公網(wǎng)物理線路整理由于整改前的公網(wǎng)線路，在上線實施使用前，并沒有經(jīng)過周全的布線規(guī)劃，導致網(wǎng)絡線纜凌亂不堪， 交織在一起， 此次實施前， 我們清理掉全部不在使用的光電轉(zhuǎn)換設備及

4、其線纜，在實施中， 我們針對全部線纜進行了統(tǒng)一梳理、部署及扎線貼標工作，使其看起來簡單有序，但由于歷史緣故，仍有部分其他設備線路無法挪動，美中仍有不足。4、整改后效果4.1 流量監(jiān)控通過將公網(wǎng)流量透過防火墻的方式，實現(xiàn)對所有公網(wǎng)線路的監(jiān)控，在防火墻主頁中，可以實時監(jiān)控所有線路的總機帶寬及會話數(shù)。.圖 4.1監(jiān)控防火墻整機流量圖在首頁中， 我們只能看到所有線路的總體流量情況趨勢圖，為了監(jiān)控到每一條線路每一個 ip 地址的流量情況，我們可以自定義根據(jù)公網(wǎng)ip 地址來監(jiān)控其對應的流量，根據(jù)每條線路所擁有的ip 地址段， 定義一個監(jiān)控組，即可監(jiān)控這條線路的ip 地址使用情況及該地址的流量使用情況，如下

5、圖所示：圖 4-2自定義公網(wǎng)線路監(jiān)控1.圖 4-3自定義公網(wǎng)線路監(jiān)控2如圖中所以， 我們根據(jù)公網(wǎng)線路的作用定義了流量監(jiān)控組，在流量監(jiān)控組中可以清晰的看到每一個在用ip 地址的流量使用情況及歷史曲線圖，可以一目了然的看到每條線路的帶寬使用情況，然后評估該線路的利用率是否符合公司要求。4.2 安全管控將所有公網(wǎng)流量透過防火墻之后，防火墻即可對這些流量進行安全分析，進行安全監(jiān)測、安全過濾，保障內(nèi)網(wǎng)服務器的安全。在監(jiān)控防火墻上，開啟二層安全防護后，可以針對流入防火墻的流量進行固定的安全防護，并針對不同的攻擊類型，做出相應響應，完成對內(nèi)網(wǎng)服務器的安全防護，如下圖：.圖 4-4開啟攻擊防護在開啟公網(wǎng)防護后

6、，防火墻會針對外部不安全流量進行安全管控，根據(jù)默認的安全管控行為，做出相應措施，如下圖：圖 4-5攻擊防護措施如上圖所示， 當有攻擊發(fā)生后，防火墻會匹配防護措施，實現(xiàn)對外部不安全流量的管控功能，途中針對icmp泛洪攻擊，防火墻及時有效的drop掉疑似攻擊流量，完成對內(nèi)網(wǎng)安全域防護功能。5、整改外公網(wǎng)線路監(jiān)控由于此次公網(wǎng)線路整改，并沒有涉及全部公網(wǎng)線路，因為部分公網(wǎng)線路已經(jīng)存在4 層以上設備，可做監(jiān)控使用，這部分線路梳理如下：公網(wǎng)線路監(jiān)控設備備注26-2300162166546

7、48https:/ 06:4430/3014223通過上表，可以通過相關監(jiān)控設備對相應的公網(wǎng)線路進行流量監(jiān)控，舉例說明如下：.圖 5-1 深信服設備流量監(jiān)控6、實施總結在實施前， 由于對實施工作及細節(jié)考慮的不充分，導致線路整改方案一改再改，實施時間一推再推，最終成型的方案，也就是我們實施的方案，最終全部實現(xiàn)了最初預期的暢想，完成了對公網(wǎng)線路的整理，對公網(wǎng)流量的監(jiān)控，對公網(wǎng)安全性進行了防護工作，使科大訊飛a1 樓公網(wǎng)梳理成一個有機的整體，具體可觀性、可控性，使我們可以對每一條線路了然于目，知道其使用情況，帶寬利用率。在實施過程中， 突發(fā)將所有線路整合到同一臺交換機后， 所