【導(dǎo)讀】 1 莁蒅肇羋蒄螁羃芇薆薄衿芆芆蝿螅芅莈薂肄莄蒀螇羀莄薂薀袆莃節(jié)螆螂罿蒄薈螈羈薇襖肆羇芆蚇羇荿袂袈羆蒁蚅螄羅薃蒈肅肄芃蚃罿肅蒞蒆裊肂薈螞袁肁芇薄螇肁莀螀肅肀蒂薃羈聿薄螈袇肈芄薁螃膇莆螇蠆膆蒈蕿羈膅羋螅羄膅莀蚈袀膄蒃袃螆膃薅蚆肅膂芅葿羈芁莇蚄袇芀葿蕆螃艿腿螞蠆艿莁蒅肇羋蒄螁羃芇薆薄衿芆芆蝿螅芅莈薂肄莄蒀螇羀莄薂薀袆莃節(jié)螆螂罿蒄薈螈羈薇襖肆羇芆蚇羇荿袂袈羆蒁蚅螄羅薃蒈肅肄芃蚃罿肅蒞蒆裊肂薈螞袁肁芇薄螇肁莀螀肅肀蒂薃羈聿薄螈袇肈芄薁螃膇莆螇蠆膆蒈蕿羈膅羋螅羄膅莀蚈袀膄蒃袃螆膃薅蚆肅膂芅葿羈芁莇蚄袇芀葿蕆螃艿腿螞蠆艿莁蒅肇羋蒄螁羃芇薆薄衿芆芆蝿螅芅莈薂肄莄蒀螇羀莄薂薀袆莃節(jié)螆螂罿蒄薈螈羈薇襖肆羇芆蚇羇荿袂袈羆蒁蚅螄羅薃蒈肅肄芃蚃罿肅蒞蒆裊肂薈螞袁肁芇薄螇肁莀螀肅肀蒂薃羈聿薄螈袇肈芄薁螃膇莆螇蠆膆蒈蕿羈膅羋螅羄膅莀蚈袀膄蒃袃螆膃薅蚆肅膂芅葿羈芁莇蚄袇芀葿蕆螃艿腿螞蠆艿莁蒅肇羋蒄螁羃芇薆薄衿芆

　　

【正文】 OSPF 更加開放，更加易于保持其未來的擴(kuò)展性。 OSPF 協(xié)議的設(shè)計(jì) 骨干區(qū) 域： 骨干區(qū)域 (area 0)主要完成全網(wǎng)路由匯總交換與數(shù)據(jù)轉(zhuǎn)發(fā)，是全網(wǎng)的核心，對(duì)區(qū)域內(nèi)的 20 網(wǎng)絡(luò)設(shè)備的數(shù)量以及性能有一定的要求，任何節(jié)點(diǎn)路由的改變都將對(duì)骨干區(qū)路由設(shè)備產(chǎn)生影響，因此， Area 0 的設(shè)計(jì)較為重要。 將核心兩臺(tái) C7609 和 若干核心交換機(jī)放 在 Area 0，共同組成 Area 0 的骨干 路由器。 非骨干區(qū)域： 非骨干區(qū)域 包括四個(gè) OSPF 區(qū)域，按地理上把每?jī)蓚€(gè)大區(qū)劃到一個(gè) OSPF 區(qū)域 。非主干區(qū)設(shè)置為 NSSA 區(qū)。 區(qū)域位置 所屬礦及分支 Area 編號(hào) OSPF 進(jìn)程號(hào) 北環(huán) 牛兒莊礦 1 1 薛村莊礦 大淑村礦 馬選廠 邯選廠 邯鄲辦公樓 東環(huán) 五礦 2 小屯礦 羊渠河礦 九龍礦 南環(huán) 孫莊礦 3 黃沙礦 梧桐莊礦 新三礦 西環(huán) 萬年礦 4 峰煤焦化 通二礦 網(wǎng)絡(luò)安全設(shè)計(jì) 防火墻的組成 CISCO ASA 系列防火墻已經(jīng)不是傳統(tǒng)意義上的防火墻，它是 IPS+Firewall+VPN 的結(jié)合體 ， 21 換句話，購買一臺(tái) ASA 防火墻，相當(dāng)于購買了三臺(tái)不同工功能的設(shè)備： ? IPS：入侵檢測(cè)，可以檢測(cè)外部入侵 行為，并且會(huì)主動(dòng)地去中斷它； ? Firewall：防火墻，通過思科公司的特殊算法，將網(wǎng)絡(luò)規(guī)劃成不同安全區(qū)域，將外部不安全區(qū)域的攻擊阻擋，保證內(nèi)部網(wǎng)絡(luò)的安全； ? VPN：虛擬私網(wǎng)，通過安全口令控制，在公用網(wǎng)絡(luò)建立安全網(wǎng)絡(luò)通道，實(shí)現(xiàn)一個(gè)虛擬的專用網(wǎng)絡(luò) 防火墻策略的設(shè)計(jì) 采用路由模式，開啟 OSPF 路由協(xié)議，允許部分網(wǎng)段訪問礦廠的內(nèi)網(wǎng)。將連接到集團(tuán)的線路設(shè)置為外部網(wǎng)絡(luò)，連接到礦區(qū)的接口定義為內(nèi)部網(wǎng)絡(luò)。設(shè)置相應(yīng) ACL 控制外部訪問，從外部允許進(jìn)入到內(nèi)部網(wǎng)絡(luò)的 IP 地址匹配為 NAT（ 0），進(jìn)行路由到達(dá)內(nèi)部網(wǎng)絡(luò)。 IPS 的設(shè) 計(jì) 將 Cisco ASA 5500 系列自適應(yīng)安全設(shè)備（ ASA）的網(wǎng)絡(luò)流量發(fā)送至高級(jí)檢查和預(yù)防安全服務(wù)模塊（ AIPSSM）（ IPS）模塊，網(wǎng)絡(luò)管理員和公司高層管理人員經(jīng)常強(qiáng)調(diào)，一切都應(yīng)該納入監(jiān)控范圍。這種配置就能夠滿足監(jiān)控一切的要求。除監(jiān)控一切外，對(duì)于 ASA 和 AIPSSM 的交互方式，還應(yīng)該確定兩點(diǎn)： 1） AIPSSM 模塊是以混合模式還是內(nèi)部模式操作或部署？ 混合模式指在 ASA 將原始數(shù)據(jù)發(fā)送到目的地的同時(shí)，還將一份數(shù)據(jù)發(fā)送至 AIPSSM。在混合模式中， AIPSSM 被視為入侵監(jiān)測(cè)系統(tǒng)（ IDS）。在 這種模式下，觸發(fā)器包（引起警報(bào)的包）仍然可以到達(dá)目的地。盡管系統(tǒng)可能會(huì)設(shè)置路障，阻止其它包到達(dá)目的地，但觸發(fā)包不會(huì)受到阻礙。 內(nèi)部模式指 ASA 將數(shù)據(jù)發(fā)送至 AIPSSM 執(zhí)行檢查。如果數(shù)據(jù)通過了 AIPSSM 檢查，則數(shù)據(jù)返回 ASA，繼續(xù)處理并發(fā)送到目的地。在內(nèi)部模式中， AIPSSM 可視為入侵防御系統(tǒng)（ IPS）。與混合模式不同，內(nèi)部模式（ IPS）將阻止觸發(fā)包到達(dá)目的地。 我們建議使用第一種，也就是開啟 IDS 功能。這是因?yàn)椴捎脙?nèi)部模式，會(huì)產(chǎn)生數(shù)據(jù)延時(shí)，并且在企業(yè)內(nèi)部使用 IPS 的意義不是很大。 如果 ASA 不能與 AIPSSM 通信， ASA 應(yīng)怎樣處理需要檢查的流量呢？當(dāng) ASA 無法與 22 AIPSSM 通信時(shí)，可以參考 AIPSSM 重加載或模塊發(fā)生故障需要更換的情況。在這些情況下，ASA 可能無法打開或無法關(guān)閉。 如果是無法打開，即使 AIPSSM 無法到達(dá)， ASA 也能夠?qū)⑿枰獧z查的流量發(fā)送至最終目的地。 如果是無法關(guān)閉，當(dāng) ASA 不能與 AIPSSM 通信時(shí)，需要檢查的流量將受到阻礙。 UTM 的設(shè)計(jì) 集防火墻、 VPN、防病毒、入侵防護(hù)、上網(wǎng)行為管理和垃圾郵件過濾等功能于一身的 UTM多功能安全網(wǎng)關(guān)產(chǎn)品，正逐步得到 廣大行業(yè)用戶和中小企業(yè)用戶的青睞，同樣，使用 UTM 多功能安全網(wǎng)關(guān)產(chǎn)品，可以幫助峰峰集團(tuán)更好地控制網(wǎng)絡(luò)攻擊。 我們建議將 UTM 放置集團(tuán)網(wǎng)絡(luò)總出口，將整個(gè)集團(tuán)外部威脅屏蔽掉。 23 施工詳細(xì)設(shè)計(jì) 路由配置 北環(huán)的路由設(shè)置 router ospf 1 work area 1 area 1 nssa 東環(huán)的路由設(shè)置 router ospf 1 work area 2 area 2 nssa 南環(huán)的路由設(shè)置 router ospf 1 work area 3 area 3 nssa 西環(huán)的路由設(shè)置 router ospf 1 work area 4 area 4 nssa 24 防火墻的配置 開啟 OSPF router ospf 2 work area 0 重分布 OSPF 進(jìn)程 為了避免路由信息完全被傳遞到外部網(wǎng)絡(luò)，我們建議使用兩個(gè) OSPF 進(jìn)程，將兩個(gè)路由進(jìn)程的信息通過路由重分發(fā)來實(shí)現(xiàn)路由信息的控制。 routemap 1to2 permit match metric 1 set metric 5 set metrictype type1 router ospf 2 redistribute ospf 1 routemap 1to2 配置 OSPF 接口成本 由于到達(dá)核心網(wǎng)絡(luò)的路徑成本有相同的可能，為了避免產(chǎn)生對(duì)等路由，會(huì)在接口下手工配置路徑成本，人為定義線路成本。 interface inside ospf cost 20 配置 OSPF 區(qū)域參數(shù) router ospf 2 area 1 nssa area 1 defaultcost 20 25 IPS 的配置 配置運(yùn)行模式 將 Cisco ASA 5520 配置為 混合模式 ，將所有的數(shù)據(jù)包都發(fā)送到 IPS 模塊。 accesslist IPS permit ip any any classmap myipsclass match accesslist IPS policymap myipspolicy class myipsclass ips promiscuous failclose servicepolicy myipspolicy global 配置 AIPSSM 模塊 ?登錄到 AIPSSM模塊 asa session 1 Opening mand session with slot 1. Connected to slot 1. Escape character sequence is 39。CTRL^X39。. login: cisco Password: ? 查看告警事件 show events alert 光纜分配 光纜實(shí)施包括 ： ? 光纜的敷設(shè) ? 光纜的熔接 ? 光纖接續(xù)盒的安裝 ? 光纖跳線的安裝 26 ? 光纜施工布線圖的繪制 地面光纜長(zhǎng) 度統(tǒng)計(jì)：調(diào)度中心 —— 地面煤流運(yùn)輸系統(tǒng)控制室 —— 副井機(jī)房 —— 壓風(fēng)機(jī)房—— 南風(fēng)井 —— 西風(fēng)井 —— 調(diào)度中心。（ 500+300+250+600+3000+3000+2400） =11300m。 井下光纜長(zhǎng)度統(tǒng)計(jì)：調(diào)度中心 —— 副井口 —— 下井 —— 中央變電所 —— 新中央變電所 —— 南一采區(qū)變電所 —— 三采區(qū)變電所 —— 三采區(qū)中部變電所 —— 六采區(qū)變電所 —— 四采區(qū)變電所 —— 北 翼 采 區(qū) 變 電 所 。（ 800+800+200+600+800+1000+550+500+1000+800+1000+1800+900+600+800 ）=16000m。（未含至五采區(qū)變電所的光纜長(zhǎng)度） 機(jī)柜布置 機(jī)柜安裝包括地面機(jī)柜和井下機(jī)柜的安裝，地面采用標(biāo)準(zhǔn)機(jī)柜；井下采 用礦用防爆 型交換機(jī) 。 ? 監(jiān)控中心站的工業(yè)控制機(jī)柜安裝 核心交換機(jī)、服務(wù)器和工控機(jī) 。 ? 地面交換機(jī)機(jī)柜：安裝在副井機(jī)房。 ? 井下 交換機(jī) 柜 ：安裝在 中央變電所、新中央變電所、南一變電所、北翼變電所、三采區(qū)變電所、三采區(qū)中部變電所、四采區(qū)變電所、五采區(qū)、六采區(qū) 等 。 交換機(jī)布置 井上網(wǎng)絡(luò)核心機(jī)房增加核心交換機(jī)，井下環(huán)網(wǎng)交換機(jī)采用具有防爆和 MA 認(rèn)證的礦用交換機(jī)，應(yīng)放置在沒有淋水侵入，空氣流通的變電所中。 每臺(tái)交 換機(jī)配置電源模塊，所有交換機(jī)的不間斷電源能夠提供 2 小時(shí) 供電時(shí)間。 骨干交換機(jī)的安裝地點(diǎn)： ? 中央變電所： 一個(gè)千兆光纖接口通過光纜聯(lián)接監(jiān)控中心 2 號(hào) X414 交換機(jī)，另一個(gè)千兆光纖接口通過光纜聯(lián)接 新中央 變電所 X414 交換機(jī)。 ? 新中央變電所： 一個(gè)千兆光纖接口通過光纜聯(lián)接 中央 變電所 X414 交換機(jī)，另一個(gè)千 27 兆光纖接口通過光纜聯(lián)接 南一變電所 X414 交換機(jī)。 ? 南一變電所： 一個(gè)千兆光纖接口通過光纜聯(lián)接 新中央 變電所 X414 交換機(jī)，另一個(gè)千兆光纖接口通過光纜聯(lián)