一套非常不错的H3C和天融信互联网络割接方案模板，附word文档下载

今天给大家带来的是一套《XX机构1号网部分业务区域间新增防火墙-割接方案》，该文档适合网络割接实施工程师进行参考，下面是目录：

• 1、前言
  • 1.1文档目的及其针对的阅读对象
  • 1.2实施范围
  • 1.3实施内容
  • 1.4实施目标
• 2、项目规划
  • 2.1人员组织规划
  • 2.2网络结构设计
  • 2.3设备各参数规划
  • 2.4设备接口规划
  • 2.5 防火墙配置
• 3、实施步骤
  • 3.1 时间安排
  • 3.2 实施前准备
  • 3.3 设备上线
  • 3.4网络测试
  • 3.4、回退与应急操作

1、前言

1.1文档目的及其针对的阅读对象

XX机构1号网自2015年新建运行至今已达6年，由于在此时间段内，行业相关架构安全政策已经发生较大的变化，且在经过对现网架构进行全面评估后，发现当前架构区域和区域之间缺少明显的区域边界设备，不符合相关架构安全政策要求，因此在经过多方多轮技术讨论之后，计划于2021年5月中旬，即该网服务器及其应用升级改造项目实施计划中的专家评审前，对1号网办公OA区、运维管理区、数据资源共享区这三个区域与核心交换区之间进行防火墙新增工作。本次防火墙新增工作主要是在各区域和核心交换区直连的链路上新增一台天融信NGFW4000-UF防火墙，因为该链路原本是一个二层链路，所以该防火墙主要是运行交换模式，并在之后的试运行期间在策略完全放开（any any）的基础上按照现网实际需求写入相应的安全策略，最终在运行平稳后取消完全放开的安全策略。

本文档针对的阅读对象为参与网络割接实施工程师、客户方和相关监理单位，作为此后运维文档以及服务器及其应用升级改造项目交付资料留存。

1.2实施范围

本实施方案涉及如下范围：

1. 办公OA区、运维管理区、数据资源共享区和核心交换区的业务运行；
2. 由于用户接入区和核心交换区之间本身已经部署防火墙，因此需要考虑用户接入区与相关区域之间的正常通信（因过两道防火墙导致的安全策略修改）。

1.3实施内容

本次实施内容主要包括如下方面：

1. 新增XX机构1号网办公OA区、运维管理区、数据资源共享区和核心交换区之间的防火墙；
2. 提前完成天融信防火墙软件版本的升级操作；
3. 对该防火墙的配置及策略写入；
4. 保证该防火墙相关接口处于交换模式下，从而使得上下游交换机无需更改任何配置；
5. 提前搭建模拟环境，对各项业务进行模拟测试；
6. 迁移之前提前对现网中的各项业务进行测试，并做好测试结果的记录工作，为迁移之后的测试结果比对做准备；
7. 网络连通性、业务验证。

1.4实施目标

完成XX机构防火墙新增工作，并保证相关业务通信的正常运行，为后续整个项目的专家评审顺利进行打下基础。

2、项目规划

在全面实施前，对整个项目的实施进行统一的总体规划，作为项目实施的设计标准和规范。这部分工作的完成情况将直接影响到整个项目的实施可靠性、安全性和有效性。

2.1人员组织规划

• 人员需求：XX机构负责人，XX集成商技术人员
• 人员分工：总协调，安装调试，割接验收。

1、 本项目领导小组为XX机构相关领导；

2、 本项目成员联系方式为：

3、 各小组详细分配情况

2.2网络结构设计

变更前网络拓扑如下：

XX机构相关区域中的服务器均接入相关的接入交换机，这些交换机的型号均为H3C-S5560-SI，在原有规划中，这些交换机的1号接口均通过一个Trunk链路与H3C-S7506E核心交换机相连，核心交换机上配置有相关区域的vlanif接口作为网关。

变更后网络拓扑如下：

该架构在变更之后，原有的办公OA区、运维管理区、资源共享区与核心交换机之间将新增一台防火墙，用于区域和核心、区域和区域之间做访问控制，从而体现出区域边界，由于原有的链路是二层链路，所以该防火墙运行的模式为交换模式，并根据后续的业务需求配置相应的安全策略。

2.3设备各参数规划

2.3.1设备命名规划

2.3.2接口标签描述

1. 防火墙与核心交换机互联：To:A-XX-Core-Switch
2. 防火墙与办公OA区接入交换机互联：To:A-XX-OA-access-Switch
3. 防火墙与运维管理区接入交换机互联：To:A-XX-YunGuan-access-Switch
4. 防火墙与资源共享区接入交换机互联：To:A-XX-Ziyuan-access-Switch

2.4设备接口规划

天融信防火墙与1号网核心交换机通过4号光口连接，办公OA区接入交换机通过5号网口连接、运维管理区接入交换机、资源共享区接入交换机，则通过1、2号电口相连接，其接口互联如下：

防火墙和交换机互联端口规划表：

2.5 防火墙配置

针对于该防火墙的配置，主要是通过web界面配置进行，步骤如下：

1、将相应的端口配置为交换模式——点击“网络管理 > 接口 > 物理接口”，然后选择相应接口点击“编辑”，根据提示配置接口交换模式，并将相应接口配置为Trunk接口，现阶段在Trunk接口下允许所有vlan-tag通过；（以下为示例图片，并非真实配置）

2、创建和划分安全区域——点击“资源管理 > 区域”，然后在弹出的“添加”窗口配置，其中feth15、feth11、feth12为Trust区域，feth14为untrust区域；（以下为示例图片，并非真实配置）

3、配置安全策略——点击“安全策略 > 访问控制”，在访问控制界面中点击“添加”即可配置相应安全策略，其中Trust到Untrust为放行，用户接入区的所有终端都可以和办公OA区、运维管理区和资源共享区的网络通信配置为放行，最后配置一个临时性安全策略any any。（以下是示例图片，并非真实配置）

3、实施步骤

3.1 时间安排

D

1. 核实各项前期准备工作；
2. 开箱完成设备组装、升级版本并加电拷机。

D+1

1. 搭建模拟环境；
2. 进行相应的网络配置；
3. 初步测试。

D+2

1. 在模拟环境中进行深入测试。

D+3

1. 对网络环境中防火墙和交换机的互联线缆打标签；
2. 提前完成防火墙安装位置的确定，并完成防火墙上架操作；
3. 完成网络线缆的铺设工作。（注：必要时再从新铺设网络线缆，根据环境情况而定。）

D+4

1. 更换天融信NGFW4000-UF防火墙；
2. 验证并测试。

“ 21：00开始实施变更 ”

D+5

1. 观察值守，如无问题，将核心交换机内未使用的接口配置删除。

3.2 实施前准备

1. 了解相关安全政策要求；
2. 对现有网络通信信息进行全面收集；
3. 勘察机房环境，确定将防火墙部署在何处的机柜上，确定后进行相关电缆的铺设；
4. 接口标签准备。

3.3 设备上线

1、对核心交换机、各区域接入交换机配置，尤其是接口配置进行备份,备份配置如下

display vlan
display configuration
display interface brief
display ip routing-table（仅在核心交换机上进行）
display mac-address static（仅在各区域接入交换机上进行） 

2、标记线缆标签复核

将前期布放的网络线缆打标签并再次复核；

3、防火墙上架

1、将核心交换机上的线缆全部拔出，并接入防火墙的相应接口上；

2、使用一根光纤跳线将防火墙通往核心交换机的接口于核心交换机相连。

4、业务测试及相关互联地址测试

在用户接入区交换机上接入一台终端，对各个区域的业务系统进行联通性测试；

5、网管验证

1、通过网管平台防火墙进行登录测试；

2、确保SNMP能够网管，确保SecureCRT能远程登录.

3.4网络测试

连通性测试

1、测试终端与相关业务服务器进行ping测试；核心交换机与相关业务服务器进行ping测试；

Ping 135.46.100.10—13
Ping 135.46.101.10—13
Ping 135.46.102.10—13

2、测试终端与办公OA区内的业务系统进行浏览器登录测试；

3、测试终端与资源共享区内的FTP服务器进行登录测试；

4、运维管理区终端与相关区域内的设备进行网管系统登录测试。

3.4、回退与应急操作

如果在更换过程中遇到暂时不能解决的问题，或者在预期时间内不能完成变更，必须按照以下步骤进行回退：

1. 将新上架防火墙关闭电源，拔除防火墙上连接的线缆；
2. 根据原有标签将相关线缆插回核心交换机原有接口中；
3. 对比变更前后的设备信息状态；

display interface brief

1. 网络连通性和业务测试。