【正文】 區(qū)域中SDH專線一側(cè)采用OSPF協(xié)議，即7606與2921互聯(lián)接口之間采用ospf。并放入AREA0中。成為整網(wǎng)ospf的backbone部分。目前為業(yè)務(wù)主用線路，如果帶寬較低，需要使用QOS技術(shù)保證時(shí)延敏感數(shù)據(jù)；2. 未來(lái)規(guī)劃中，備用線路也將使用路由器SDH專線方式連接，實(shí)行業(yè)務(wù)分流實(shí)現(xiàn)方式，使用SLA技術(shù)來(lái)監(jiān)測(cè)鏈路質(zhì)量；超出限定范圍可自動(dòng)切換至另一條鏈路。3. 備用線路一側(cè)采用防火墻防火墻 ipsec vpn技術(shù)實(shí)現(xiàn)冗余，通過(guò)調(diào)整AD值來(lái)實(shí)現(xiàn)線路的備份區(qū)域內(nèi)設(shè)備安全性設(shè)計(jì)與實(shí)施原則1. 7606路由器一側(cè)采用專線連接，來(lái)自外網(wǎng)的攻擊幾乎沒(méi)有，主要防范內(nèi)網(wǎng)的威脅，采用設(shè)置強(qiáng)密碼，對(duì)登錄協(xié)議采用SSH，禁用不使用的服務(wù)，例如DHCP等，在cppr上面對(duì)管理協(xié)議進(jìn)行限速和整形，并且只允許ssh協(xié)議對(duì)設(shè)備進(jìn)行管理，設(shè)置超時(shí)時(shí)間；2. 防火墻一側(cè)屬于備份線路，采用ipsec vpn技術(shù)來(lái)對(duì)省分到核心的業(yè)務(wù)進(jìn)行備份和分流作用，對(duì)此業(yè)務(wù)進(jìn)行加密，加密感興趣流為省分和核心之間的業(yè)務(wù)；3. 目前北京辦公區(qū)的互聯(lián)網(wǎng)業(yè)務(wù)需要從5550設(shè)備上面提供，所以，5550上面對(duì)內(nèi)網(wǎng)進(jìn)行保護(hù)，啟用動(dòng)態(tài)pat技術(shù)保證北京辦公區(qū)能夠正常上網(wǎng)，對(duì)最大連接數(shù)和一些常用的服務(wù)進(jìn)行監(jiān)控。第十二章 服務(wù)器集群區(qū)域?qū)嵤┎糠諭P地址分配北京數(shù)據(jù)中心服務(wù)器集群區(qū)域地址規(guī)劃用戶業(yè)務(wù)業(yè)務(wù)名稱使用VLAN使用網(wǎng)段（）網(wǎng)關(guān)地址（）1　1002　1013　1024　1035　1046　1057　1068　1079　10810　10911　11012　11113　11214　11315　11416　11517　11618　11719　11820　11921　12022　12123　12224　12325　12426　12527　12628　12729　12830　12931　13032　13133　13234　13335　13436　13537　13638　13739　13840　139 預(yù)留部分 41　14042　14143　14244　14345　14446　14547　14648　14749　14850　14951　15052　15153　15254　15355　15456　15557　15658　15759　15860　15961　16062　16163　16264　16365　16466　16567　16668　16769　16870　16971　17072　17173　17274　17375　17476　17577　17678　17779　17880　17981　1808218183182841838518486185871868818789188901899119092191931929419395194961951. 核心生產(chǎn)區(qū) （個(gè)險(xiǎn)，團(tuán)險(xiǎn) sap） 2. OA 3. 運(yùn)維 4. 外連 5. 應(yīng)用 6. internet 電子商務(wù)區(qū)域中路由設(shè)計(jì)和實(shí)施原則1. 此區(qū)域中全部服務(wù)器均直連到北京核心idc 6509交換機(jī)的防火墻模塊上。將6509上接入服務(wù)器的接口劃入不同VLAN，用以區(qū)分各類業(yè)務(wù)；2. 在FWSM模塊上劃分出12個(gè)VLAN和網(wǎng)段，供6種不同業(yè)務(wù)使用（inside，outside不同接口不同網(wǎng)段）使用，服務(wù)器的默認(rèn)網(wǎng)關(guān)設(shè)置在FWSM模塊的inside接口上；3. 從內(nèi)部向外部使用靜態(tài)NAT映射方式使內(nèi)部主機(jī)一一映射到outside接口地址，提高安全性，使outside范圍內(nèi)任意設(shè)備上沒(méi)有inside路由條目，從而達(dá)到安全性和隱藏內(nèi)網(wǎng)主機(jī)的目的。4. NAT地址表：CONTEXT名稱inside接口（vlan）inside網(wǎng)段內(nèi)部設(shè)備網(wǎng)關(guān)outside接口（vlan）outside網(wǎng)段外部設(shè)備網(wǎng)關(guān)110110021031023105104410710651091086111110區(qū)域內(nèi)設(shè)備安全性設(shè)計(jì)與實(shí)施原則1. 通過(guò)邊緣地區(qū)關(guān)閉CDP協(xié)議來(lái)實(shí)現(xiàn)邊界安全；2. 開(kāi)啟SSH協(xié)議對(duì)設(shè)備進(jìn)行管理，啟用syslog功能，對(duì)設(shè)備告警信息進(jìn)行日志分析；3. 設(shè)置高強(qiáng)度密碼，并且設(shè)置更換周期，密碼定期更換；4. 使用6500系列特有的auto secure功能對(duì)核心設(shè)備進(jìn)行加固；5. 對(duì)內(nèi)部設(shè)備使用AAA進(jìn)行認(rèn)證授權(quán)記賬設(shè)置，對(duì)核心安全進(jìn)行嚴(yán)格控制。第十三章 運(yùn)維區(qū)域?qū)嵤┎糠直径嗽O(shè)備型號(hào)本端接口對(duì)端接口對(duì)端設(shè)備型號(hào)業(yè)務(wù)描述互聯(lián)ip6509_1interface 9/48interface 0/48WSC3560X48TS_1運(yùn)維測(cè)試　6509_2interface 9/48interface 0/47WSC3560X48TS_16509_1interface 9/47interface 0/48WSC3560X48TS_26509_2interface 9/47interface 0/47WSC3560X48TS_2IP地址規(guī)劃北京數(shù)據(jù)中心運(yùn)維測(cè)試區(qū)用戶業(yè)務(wù)業(yè)務(wù)名稱使用VLAN使用網(wǎng)段（）網(wǎng)關(guān)地址（）1　100保留101區(qū)域中路由設(shè)計(jì)和實(shí)施原則 6509交換機(jī)上。6509與3560的互聯(lián)接口起trunk。在6509上啟用svi，作為各網(wǎng)段網(wǎng)關(guān)。通過(guò)ospf協(xié)議實(shí)現(xiàn)全網(wǎng)互聯(lián)互通。3560與6509互聯(lián)接口起trunk。并劃分vlan。將不同運(yùn)維業(yè)務(wù)劃分入不同vlan。第十四章 業(yè)務(wù)外連區(qū)域?qū)嵤┎糠直径嗽O(shè)備型號(hào)本端接口對(duì)端接口對(duì)端設(shè)備型號(hào)對(duì)端三層設(shè)備ipASA5540BUNK9_1interface 0/0interface 0/48SC2960S48TSS_165011Int 9/46Int vlan ASA5540BUNK9_2interface 0/0interface 0/48SC2960S48TSS_2　65022Int 9/46Int vlan ASA5540BUNK9_1interface 0/3interface 0/3ASA5540BUNK9_1failoverC3925STM1SM/K9_1interface 0/0interface 0/1ASA5540BUNK9_1C3925STM1SM/K9_2interface 0/0interface 0/1ASA5540BUNK9_2C3925STM1SM/K9_1C3925STM1SM/K9_2IP地址規(guī)劃北京數(shù)據(jù)中心業(yè)務(wù)外連區(qū)用戶業(yè)務(wù)業(yè)務(wù)名稱使用VLAN使用網(wǎng)段（）網(wǎng)關(guān)地址（）1　1098區(qū)域中路由設(shè)計(jì)和實(shí)施原則1. 2960交換機(jī)作為前置機(jī)，上接一些特殊業(yè)務(wù)。左側(cè)通過(guò)trunk連到北京核心idc6509交換機(jī)，右側(cè)通過(guò)trunk連接防火墻ＡＳＡ5540。2960交換機(jī)上劃分不同vlan，用以區(qū)分不同的業(yè)務(wù)。Ospf區(qū)域在路由器3925左側(cè)接口處終結(jié)。路由器3925為ASBR。路由器3925右側(cè)的區(qū)域可以放入左側(cè)的ospf區(qū)域中。也可以用其他路由協(xié)議在asbr處雙向重分布。防火墻通過(guò)context，虛擬若干防火墻，用以保證不同業(yè)務(wù)的安全需求。核心交換機(jī)6509上啟用SVI接口，Vlan之間通過(guò)三層Ospf協(xié)議可做到互聯(lián)互通。服務(wù)器所在網(wǎng)段若有特殊需求，不能互訪，可通過(guò)ACL在2960交換機(jī)上限制不同網(wǎng)段之間的通信；2. 防火墻之間啟用failover保證業(yè)務(wù)的可靠性；3. 3925路由器負(fù)責(zé)終結(jié)合作單位的廣域網(wǎng)線路（STM1），來(lái)實(shí)現(xiàn)合作單位的接入，通過(guò)相同（不同）路由協(xié)議做到互聯(lián)互通；4. 此區(qū)域內(nèi)的服務(wù)器對(duì)外部采用靜態(tài)NAT方式對(duì)合作單位提供服務(wù)，從ASA5540防火墻上進(jìn)行地址映射，向外映射到外部網(wǎng)段，向內(nèi)直接與6509的FWSM模塊outside接口連接，提供數(shù)據(jù)的讀寫連接性。5. NAT地址表：設(shè)備實(shí)際地址對(duì)內(nèi)網(wǎng)使用網(wǎng)段對(duì)外網(wǎng)使用網(wǎng)段　區(qū)域內(nèi)設(shè)備安全性設(shè)計(jì)與實(shí)施原則1. 外連業(yè)務(wù)區(qū)的連接是專用線路，所以來(lái)自外部互聯(lián)網(wǎng)的攻擊不存在；2. 在防火墻上面部署最大連接數(shù)限制，啟用MPF高級(jí)協(xié)議處理，對(duì)進(jìn)入流量進(jìn)行深度包檢測(cè)功能，保證不被蠕蟲(chóng)和activeX控件和java惡意程序攻擊；3. 在防火墻上面放行外部需要訪問(wèn)的地址和端口，并且禁止icmp向外部回應(yīng)（外部禁ping）4. 路由器設(shè)置強(qiáng)密碼，外部接口上面使用ACL控制不允許SSH和telnet管理；5. 如有需要，啟用cisco ios防火墻特性，針對(duì)不同的區(qū)域進(jìn)行不同策略的監(jiān)控；6. 在路由器外側(cè)接口上啟用tcp intercept功能放置DDOS和蠕蟲(chóng)病毒的攻擊。第十五章 電子商務(wù)區(qū)實(shí)施部分Dmz區(qū)域用另外地址（冗余線路）oer本端設(shè)備型號(hào)本端接口對(duì)端接口對(duì)端設(shè)備型號(hào)ip　Juniper SSG520MSH_1interface 0/3interface 0/48WSC3560X48TS1Int vlan 1099Int Vlan 1099Juniper SSG520MSH_2interface 0/3interface 0/48WSC3560X48TS2　ASA5540BUNK9_1interface 0/0interface 0/47WSC3560X48TS1Int vlan 1099ASA5540BUNK9_1interface 0/0interface 0/47SC2960S48TSS_1Int vlan 1100　ASA5540BUNK9_1interface 0/3interface 0/3ASA5540BUNK9_2failoverCISCO3925/K9_1interface 0/0interface 0/1ASA5540BUNK9_1Int vlan 1100　CISCO3925/K9_2interface 0/0interface 0/1ASA5540BUNK9_2　6509_1Int 9/45Int f0/1Juniper SSG520MSH_1　6509_2Int 9/45Int f0/2Juniper SSG520MSH_16509_1Int 9/44Int f0/1Juniper SSG520MSH_26509_2Int 9/44Int f0/2Juniper SSG520MSH_2CISCO3925/K9_1CISCO3925/K9_2IP地址規(guī)劃北京數(shù)據(jù)中心電子商務(wù)區(qū)用戶業(yè)務(wù)業(yè)務(wù)名稱使用VLAN使用網(wǎng)段（）