【導讀】 1 莁蒅肇羋蒄螁羃芇薆薄衿芆芆蝿螅芅莈薂肄莄蒀螇羀莄薂薀袆莃節(jié)螆螂罿蒄薈螈羈薇襖肆羇芆蚇羇荿袂袈羆蒁蚅螄羅薃蒈肅肄芃蚃罿肅蒞蒆裊肂薈螞袁肁芇薄螇肁莀螀肅肀蒂薃羈聿薄螈袇肈芄薁螃膇莆螇蠆膆蒈蕿羈膅羋螅羄膅莀蚈袀膄蒃袃螆膃薅蚆肅膂芅葿羈芁莇蚄袇芀葿蕆螃艿腿螞蠆艿莁蒅肇羋蒄螁羃芇薆薄衿芆芆蝿螅芅莈薂肄莄蒀螇羀莄薂薀袆莃節(jié)螆螂罿蒄薈螈羈薇襖肆羇芆蚇羇荿袂袈羆蒁蚅螄羅薃蒈肅肄芃蚃罿肅蒞蒆裊肂薈螞袁肁芇薄螇肁莀螀肅肀蒂薃羈聿薄螈袇肈芄薁螃膇莆螇蠆膆蒈蕿羈膅羋螅羄膅莀蚈袀膄蒃袃螆膃薅蚆肅膂芅葿羈芁莇蚄袇芀葿蕆螃艿腿螞蠆艿莁蒅肇羋蒄螁羃芇薆薄衿芆芆蝿螅芅莈薂肄莄蒀螇羀莄薂薀袆莃節(jié)螆螂罿蒄薈螈羈薇襖肆羇芆蚇羇荿袂袈羆蒁蚅螄羅薃蒈肅肄芃蚃罿肅蒞蒆裊肂薈螞袁肁芇薄螇肁莀螀肅肀蒂薃羈聿薄螈袇肈芄薁螃膇莆螇蠆膆蒈蕿羈膅羋螅羄膅莀蚈袀膄蒃袃螆膃薅蚆肅膂芅葿羈芁莇蚄袇芀葿蕆螃艿腿螞蠆艿莁蒅肇羋蒄螁羃芇薆薄衿芆

　　

【正文】 OSPF 更加開放，更加易于保持其未來的擴展性。 OSPF 協(xié)議的設計 骨干區(qū) 域： 骨干區(qū)域 (area 0)主要完成全網(wǎng)路由匯總交換與數(shù)據(jù)轉(zhuǎn)發(fā)，是全網(wǎng)的核心，對區(qū)域內(nèi)的 20 網(wǎng)絡設備的數(shù)量以及性能有一定的要求，任何節(jié)點路由的改變都將對骨干區(qū)路由設備產(chǎn)生影響，因此， Area 0 的設計較為重要。 將核心兩臺 C7609 和 若干核心交換機放 在 Area 0，共同組成 Area 0 的骨干 路由器。 非骨干區(qū)域： 非骨干區(qū)域 包括四個 OSPF 區(qū)域，按地理上把每兩個大區(qū)劃到一個 OSPF 區(qū)域 。非主干區(qū)設置為 NSSA 區(qū)。 區(qū)域位置 所屬礦及分支 Area 編號 OSPF 進程號 北環(huán) 牛兒莊礦 1 1 薛村莊礦 大淑村礦 馬選廠 邯選廠 邯鄲辦公樓 東環(huán) 五礦 2 小屯礦 羊渠河礦 九龍礦 南環(huán) 孫莊礦 3 黃沙礦 梧桐莊礦 新三礦 西環(huán) 萬年礦 4 峰煤焦化 通二礦 網(wǎng)絡安全設計 防火墻的組成 CISCO ASA 系列防火墻已經(jīng)不是傳統(tǒng)意義上的防火墻，它是 IPS+Firewall+VPN 的結(jié)合體 ， 21 換句話，購買一臺 ASA 防火墻，相當于購買了三臺不同工功能的設備： ? IPS：入侵檢測，可以檢測外部入侵 行為，并且會主動地去中斷它； ? Firewall：防火墻，通過思科公司的特殊算法，將網(wǎng)絡規(guī)劃成不同安全區(qū)域，將外部不安全區(qū)域的攻擊阻擋，保證內(nèi)部網(wǎng)絡的安全； ? VPN：虛擬私網(wǎng)，通過安全口令控制，在公用網(wǎng)絡建立安全網(wǎng)絡通道，實現(xiàn)一個虛擬的專用網(wǎng)絡 防火墻策略的設計 采用路由模式，開啟 OSPF 路由協(xié)議，允許部分網(wǎng)段訪問礦廠的內(nèi)網(wǎng)。將連接到集團的線路設置為外部網(wǎng)絡，連接到礦區(qū)的接口定義為內(nèi)部網(wǎng)絡。設置相應 ACL 控制外部訪問，從外部允許進入到內(nèi)部網(wǎng)絡的 IP 地址匹配為 NAT（ 0），進行路由到達內(nèi)部網(wǎng)絡。 IPS 的設 計 將 Cisco ASA 5500 系列自適應安全設備（ ASA）的網(wǎng)絡流量發(fā)送至高級檢查和預防安全服務模塊（ AIPSSM）（ IPS）模塊，網(wǎng)絡管理員和公司高層管理人員經(jīng)常強調(diào)，一切都應該納入監(jiān)控范圍。這種配置就能夠滿足監(jiān)控一切的要求。除監(jiān)控一切外，對于 ASA 和 AIPSSM 的交互方式，還應該確定兩點： 1） AIPSSM 模塊是以混合模式還是內(nèi)部模式操作或部署？ 混合模式指在 ASA 將原始數(shù)據(jù)發(fā)送到目的地的同時，還將一份數(shù)據(jù)發(fā)送至 AIPSSM。在混合模式中， AIPSSM 被視為入侵監(jiān)測系統(tǒng)（ IDS）。在 這種模式下，觸發(fā)器包（引起警報的包）仍然可以到達目的地。盡管系統(tǒng)可能會設置路障，阻止其它包到達目的地，但觸發(fā)包不會受到阻礙。 內(nèi)部模式指 ASA 將數(shù)據(jù)發(fā)送至 AIPSSM 執(zhí)行檢查。如果數(shù)據(jù)通過了 AIPSSM 檢查，則數(shù)據(jù)返回 ASA，繼續(xù)處理并發(fā)送到目的地。在內(nèi)部模式中， AIPSSM 可視為入侵防御系統(tǒng)（ IPS）。與混合模式不同，內(nèi)部模式（ IPS）將阻止觸發(fā)包到達目的地。 我們建議使用第一種，也就是開啟 IDS 功能。這是因為采用內(nèi)部模式，會產(chǎn)生數(shù)據(jù)延時，并且在企業(yè)內(nèi)部使用 IPS 的意義不是很大。 如果 ASA 不能與 AIPSSM 通信， ASA 應怎樣處理需要檢查的流量呢？當 ASA 無法與 22 AIPSSM 通信時，可以參考 AIPSSM 重加載或模塊發(fā)生故障需要更換的情況。在這些情況下，ASA 可能無法打開或無法關閉。 如果是無法打開，即使 AIPSSM 無法到達， ASA 也能夠?qū)⑿枰獧z查的流量發(fā)送至最終目的地。 如果是無法關閉，當 ASA 不能與 AIPSSM 通信時，需要檢查的流量將受到阻礙。 UTM 的設計 集防火墻、 VPN、防病毒、入侵防護、上網(wǎng)行為管理和垃圾郵件過濾等功能于一身的 UTM多功能安全網(wǎng)關產(chǎn)品，正逐步得到 廣大行業(yè)用戶和中小企業(yè)用戶的青睞，同樣，使用 UTM 多功能安全網(wǎng)關產(chǎn)品，可以幫助峰峰集團更好地控制網(wǎng)絡攻擊。 我們建議將 UTM 放置集團網(wǎng)絡總出口，將整個集團外部威脅屏蔽掉。 23 施工詳細設計 路由配置 北環(huán)的路由設置 router ospf 1 work area 1 area 1 nssa 東環(huán)的路由設置 router ospf 1 work area 2 area 2 nssa 南環(huán)的路由設置 router ospf 1 work area 3 area 3 nssa 西環(huán)的路由設置 router ospf 1 work area 4 area 4 nssa 24 防火墻的配置 開啟 OSPF router ospf 2 work area 0 重分布 OSPF 進程 為了避免路由信息完全被傳遞到外部網(wǎng)絡，我們建議使用兩個 OSPF 進程，將兩個路由進程的信息通過路由重分發(fā)來實現(xiàn)路由信息的控制。 routemap 1to2 permit match metric 1 set metric 5 set metrictype type1 router ospf 2 redistribute ospf 1 routemap 1to2 配置 OSPF 接口成本 由于到達核心網(wǎng)絡的路徑成本有相同的可能，為了避免產(chǎn)生對等路由，會在接口下手工配置路徑成本，人為定義線路成本。 interface inside ospf cost 20 配置 OSPF 區(qū)域參數(shù) router ospf 2 area 1 nssa area 1 defaultcost 20 25 IPS 的配置 配置運行模式 將 Cisco ASA 5520 配置為 混合模式 ，將所有的數(shù)據(jù)包都發(fā)送到 IPS 模塊。 accesslist IPS permit ip any any classmap myipsclass match accesslist IPS policymap myipspolicy class myipsclass ips promiscuous failclose servicepolicy myipspolicy global 配置 AIPSSM 模塊 ?登錄到 AIPSSM模塊 asa session 1 Opening mand session with slot 1. Connected to slot 1. Escape character sequence is 39。CTRL^X39。. login: cisco Password: ? 查看告警事件 show events alert 光纜分配 光纜實施包括 ： ? 光纜的敷設 ? 光纜的熔接 ? 光纖接續(xù)盒的安裝 ? 光纖跳線的安裝 26 ? 光纜施工布線圖的繪制 地面光纜長 度統(tǒng)計：調(diào)度中心 —— 地面煤流運輸系統(tǒng)控制室 —— 副井機房 —— 壓風機房—— 南風井 —— 西風井 —— 調(diào)度中心。（ 500+300+250+600+3000+3000+2400） =11300m。 井下光纜長度統(tǒng)計：調(diào)度中心 —— 副井口 —— 下井 —— 中央變電所 —— 新中央變電所 —— 南一采區(qū)變電所 —— 三采區(qū)變電所 —— 三采區(qū)中部變電所 —— 六采區(qū)變電所 —— 四采區(qū)變電所 —— 北 翼 采 區(qū) 變 電 所 。（ 800+800+200+600+800+1000+550+500+1000+800+1000+1800+900+600+800 ）=16000m。（未含至五采區(qū)變電所的光纜長度） 機柜布置 機柜安裝包括地面機柜和井下機柜的安裝，地面采用標準機柜；井下采 用礦用防爆 型交換機 。 ? 監(jiān)控中心站的工業(yè)控制機柜安裝 核心交換機、服務器和工控機 。 ? 地面交換機機柜：安裝在副井機房。 ? 井下 交換機 柜 ：安裝在 中央變電所、新中央變電所、南一變電所、北翼變電所、三采區(qū)變電所、三采區(qū)中部變電所、四采區(qū)變電所、五采區(qū)、六采區(qū) 等 。 交換機布置 井上網(wǎng)絡核心機房增加核心交換機，井下環(huán)網(wǎng)交換機采用具有防爆和 MA 認證的礦用交換機，應放置在沒有淋水侵入，空氣流通的變電所中。 每臺交 換機配置電源模塊，所有交換機的不間斷電源能夠提供 2 小時 供電時間。 骨干交換機的安裝地點： ? 中央變電所： 一個千兆光纖接口通過光纜聯(lián)接監(jiān)控中心 2 號 X414 交換機，另一個千兆光纖接口通過光纜聯(lián)接 新中央 變電所 X414 交換機。 ? 新中央變電所： 一個千兆光纖接口通過光纜聯(lián)接 中央 變電所 X414 交換機，另一個千 27 兆光纖接口通過光纜聯(lián)接 南一變電所 X414 交換機。 ? 南一變電所： 一個千兆光纖接口通過光纜聯(lián)接 新中央 變電所 X414 交換機，另一個千兆光纖接口通過光纜聯(lián)