1、前言

1.1 文档目的及其针对的阅读对象

XX机构1号网自2015年新建运行至今已达6年，由于在此时间段内，行业相关架构安全政策已经发生较大的变化，且在经过对现网架构进行全面评估后，发现当前架构区域和区域之间缺少明显的区域边界设备，不符合相关架构安全政策要求，因此在经过多方多轮技术讨论之后，计划于2021年5月中旬，即该网服务器及其应用升级改造项目实施计划中的专家评审前，对1号网办公OA区、运维管理区、数据资源共享区这三个区域与核心交换区之间进行防火墙新增工作。本次防火墙新增工作主要是在各区域和核心交换区直连的链路上新增一台天融信NGFW4000-UF防火墙，因为该链路原本是一个二层链路，所以该防火墙主要是运行交换模式，并在之后的试运行期间在策略完全放开（any any）的基础上按照现网实际需求写入相应的安全策略，最终在运行平稳后取消完全放开的安全策略。
本文档针对的阅读对象为参与网络割接实施工程师、客户方和相关监理单位，作为此后运维文档以及服务器及其应用升级改造项目交付资料留存。

1.2 实施范围

本实施方案涉及如下范围：
1、办公OA区、运维管理区、数据资源共享区和核心交换区的业务运行；
2、由于用户接入区和核心交换区之间本身已经部署防火墙，因此需要考虑用户接入区与相关区域之间的正常通信（因过两道防火墙导致的安全策略修改）。

1.3 实施内容

本次实施内容主要包括如下方面：
1、新增XX机构1号网办公OA区、运维管理区、数据资源共享区和核心交换区之间的防火墙；
2、提前完成天融信防火墙软件版本的升级操作；
3、对该防火墙的配置及策略写入；
4、保证该防火墙相关接口处于交换模式下，从而使得上下游交换机无需更改任何配置；
5、提前搭建模拟环境，对各项业务进行模拟测试；
6、迁移之前提前对现网中的各项业务进行测试，并做好测试结果的记录工作，为迁移之后的测试结果比对做准备；
7、网络连通性、业务验证。

1.4 实施目标

完成XX机构防火墙新增工作，并保证相关业务通信的正常运行，为后续整个项目的专家评审顺利进行打下基础。

2、项目规划

在全面实施前，对整个项目的实施进行统一的总体规划，作为项目实施的设计标准和规范。这部分工作的完成情况将直接影响到整个项目的实施可靠性、安全性和有效性。

2.1 人员组织规划

1、人员需求：XX机构负责人，XX集成商技术人员
2、人员分工：总协调，安装调试，割接验收。

单位	电话	姓名	地址	备注
XX机构	XX	XX
XX集成商	XX	XX

3、各小组详细分配情况

序号	小组名称	负责人	任务
1	领导小组	XX机构负责人	负责整个项目的领导、协调和指挥
2	实施小组	XX、XX	负责项目实施的安装、调试、业务测试、现场培训、验收等工作

2.2 网络结构设计

变更前网络拓扑如下：

XX机构相关区域中的服务器均接入相关的接入交换机，这些交换机的型号均为H3C-S5560-SI，在原有规划中，这些交换机的1号接口均通过一个Trunk链路与H3C-S7506E核心交换机相连，核心交换机上配置有相关区域的vlanif接口作为网关。

变更后网络拓扑如下：

该架构在变更之后，原有的办公OA区、运维管理区、资源共享区与核心交换机之间将新增一台防火墙，用于区域和核心、区域和区域之间做访问控制，从而体现出区域边界，由于原有的链路是二层链路，所以该防火墙运行的模式为交换模式，并根据后续的业务需求配置相应的安全策略。

2.3 设备各参数规划

【设备命名规划】

设备描述	设备型号	标准命名
XX机构1号网OA-运管-资源共享区域边界防火墙	天融信NGFW4000-UF	A-XX-OaYunguanZiyuan-FW

【接口标签描述】
1、防火墙与核心交换机互联：To:A-XX-Core-Switch
2、防火墙与办公OA区接入交换机互联：To:A-XX-OA-access-Switch
3、防火墙与运维管理区接入交换机互联：To:A-XX-YunGuan-access-Switch
4、防火墙与资源共享区接入交换机互联：To:A-XX-Ziyuan-access-Switch

2.4 设备接口规划

天融信防火墙与1号网核心交换机通过4号光口连接，办公OA区接入交换机通过5号网口连接、运维管理区接入交换机、资源共享区接入交换机，则通过1、2号电口相连接，其接口互联如下：

防火墙和交换机互联端口规划表：

本端设备		对端设备
设备名称	端口	设备名称	端口
A-XX-OaYunguanZiyuan-FW	feth14	A-XX-Core-Switch	GigabitEthernet 8/0/1
A-XX-OaYunguanZiyuan-FW	feth15	A-XX-OA-access-Switch	GigabitEthernet 1/0/0
A-XX-OaYunguanZiyuan-FW	feth11	A-XX-YunGuan-access-Switch	GigabitEthernet 1/0/0
A-XX-OaYunguanZiyuan-FW	feth12	A-XX-Ziyuan-access-Switch	GigabitEthernet 1/0/0

2.5 防火墙配置

针对于该防火墙的配置，主要是通过web界面配置进行，步骤如下：
1、将相应的端口配置为交换模式——点击“网络管理 > 接口 > 物理接口”，然后选择相应接口点击“编辑”，根据提示配置接口交换模式，并将相应接口配置为Trunk接口，现阶段在Trunk接口下允许所有vlan-tag通过；（以下为示例图片，并非真实配置）

2、创建和划分安全区域——点击“资源管理 > 区域”，然后在弹出的“添加”窗口配置，其中feth15、feth11、feth12为Trust区域，feth14为untrust区域；（以下为示例图片，并非真实配置）

3、配置安全策略——点击“安全策略 > 访问控制”，在访问控制界面中点击“添加”即可配置相应安全策略，其中Trust到Untrust为放行，用户接入区的所有终端都可以和办公OA区、运维管理区和资源共享区的网络通信配置为放行，最后配置一个临时性安全策略any any。（以下是示例图片，并非真实配置）

3、实施步骤

3.1 时间安排

时间	任务	备注
D	1、核实各项前期准备工作；2、开箱完成设备组装、升级版本并加电拷机。
D+2	1、搭建模拟环境；2、进行相应的网络配置；3、初步测试。
D+3	1、对网络环境中防火墙和交换机的互联线缆打标签；2、提前完成防火墙安装位置的确定，并完成防火墙上架操作；3、完成网络线缆的铺设工作。（注：必要时再从新铺设网络线缆，根据环境情况而定。）
D+4	1、更换天融信NGFW4000-UF防火墙；2、验证并测试。	21：00开始实施变更
D+5	1、观察值守，如无问题，将核心交换机内未使用的接口配置删除。

3.2 实施前准备

1、了解相关安全政策要求；
2、对现有网络通信信息进行全面收集；
3、勘察机房环境，确定将防火墙部署在何处的机柜上，确定后进行相关电缆的铺设；
4、接口标签准备。

3.3 设备上线

序号	工作任务	实施行为	备注
1	对核心交换机、各区域接入交换机配置，尤其是接口配置进行备份	备份配置如下 display vlan display configuration display interface brief display ip routing-table（仅在核心交换机上进行） display mac-address static（仅在各区域接入交换机上进行）
2	标记线缆标签复核	1、将前期布放的网络线缆打标签并再次复核。
3	防火墙上架	1、将核心交换机上的线缆全部拔出，并接入防火墙的相应接口上；2、使用一根光纤跳线将防火墙通往核心交换机的接口于核心交换机相连。
4	业务测试及相关互联地址测试	1、在用户接入区交换机上接入一台终端，对各个区域的业务系统进行联通性测试；
5	网管验证	1、通过网管平台防火墙进行登录测试； 1、确保SNMP能够网管，确保SecureCRT能远程登录。

3.4 网络测试

序号

工作任务

实施行为

备注

连通性测试

1、测试终端与相关业务服务器进行ping测试；核心交换机与相关业务服务器进行ping测试；

Ping 135.46.100.10—13

Ping 135.46.101.10—13

Ping 135.46.102.10—13

2、测试终端与办公OA区内的业务系统进行浏览器登录测试；

3、测试终端与资源共享区内的FTP服务器进行登录测试；

4、运维管理区终端与相关区域内的设备进行网管系统登录测试。

4、回退与应急操作

如果在更换过程中遇到暂时不能解决的问题，或者在预期时间内不能完成变更，必须按照以下步骤进行回退：
1、将新上架防火墙关闭电源，拔除防火墙上连接的线缆；
2、根据原有标签将相关线缆插回核心交换机原有接口中；
3、对比变更前后的设备信息状态；
display interface brief
4、网络连通性和业务测试。

网络割接方案模板（范文）相关推荐

大创项目实施方案模板范文_27篇互联网电商创业计划书范文+34个电商行业商业计划书模板下载...
疯狂BP-商业计划书在线制作工具导语:2018年中国快消品市场增长接近15%,远远超过GDP增长,其中线下增长8%,线上增长35%,线上仍处于快速增长的阶段,但15%增长背后是市场份额的重新分配,不 ...
三分钟扫盲，网络割接如何高效进行？割接前后有哪些步骤和注意点？
大家好,这里是网络技术联盟站wljslmz. 今天给大家分享的是新旧系统割接方案,我会以银行改造项目来给大家普及相关知识,下面是本文目录: 文章目录概述割接前的准备工作执行扎实的割接步骤割接过 ...
网络教室服务器维护,学校校园因特网网络维护制度方案范文
学校校园因特网网络维护制度方案范文学校信息中心负责网络设备.校级服务器及网络线路的维护.各教师负责本人机器维护.信息中心向各教师提供必要的技术支持. 一.网络设备维护 1.网络设备(包括交换机.机柜 ...
接口上线平滑处理_业务系统割接上线关键点和割接方案内容说明
今天谈下业务系统割接上线方案的内容,对于大项目来说,业务系统在建设完成并UAT测试通过后,最终的割接上线往往是一个系统工程,不能有丝毫的马虎. 系统割接上线概述临近项目上线,最近周末都在加班处理上线 ...
计算机基础与应用相关的论文,计算机基础方面论文范文资料,与国内高校计算机基础教育相关毕业论文模板范文...
计算机基础方面论文范文资料,与国内高校计算机基础教育相关毕业论文模板范文关于计算机基础及计算机及大学计算机方面的免费优秀学术论文范文,计算机基础方面毕业设计论文,关于国内高校计算机基础教育相关论文范 ...
电子版个人简历模板范文十篇
电子版个人简历模板范文篇1 基本信息真实姓名:__性别:男年龄:25岁身高:170CM 婚姻状况:未婚户籍所在:贵州盘县学历:中专工作经验:1-3年联系地址:贵州贵阳求职意向最近工作过 ...
软件系统非功能测试方法,非功能测试方案模板
<非功能测试方案模板>由会员分享,可在线阅读,更多相关<非功能测试方案模板(12页珍藏版)>请在人人文库网上搜索. 1.测试规范文档非功能测试方案模板非功能测试方案模板 VE ...
电大计算机统考大纲,电大计算机专科论文大纲模板范文电大计算机专科论文提纲怎么写...
[100个]电大计算机专科论文大纲模板范文,每一个论文提纲都是精选出来的,看了后定能知晓电大计算机专科论文提纲怎么写等相关写作技巧,让电大计算机专科论文写作轻松起来! 五.中国电大教育出现困境的原因及 ...
大一计算机论文_大一计算机论文大纲模板范文大一计算机论文提纲怎样写
为论文写作提供[100个]大一计算机论文大纲模板范文,海量大一计算机相关论文提纲,包括专科与本科以及硕士论文提纲,解决您的大一计算机论文提纲怎样写的相关难题! 五.大学生网络自我效能感:结构.测量及相 ...
网络项目实施方案介绍
XXX项目工程实施方案 V1.0 XXXXXXXXXXX公司 200x年x月文档修订记录版本更新日期更新摘要 1.0 2009年5月4日建立文档 1.1 2009年5月10日修改IP ...

网络割接方案模板（范文）