《DCN统一互联网出口的设计与实施.doc》由会员分享,可在线阅读,更多相关《DCN统一互联网出口的设计与实施.doc(6页珍藏版)》请在三一文库上搜索。
1、DCN统一互联网出口的设计与实施1.统一互联网出口的背景 DCN(Data Communication Network)中文名为综合业务数据支撑网,吉林省联通公司DCN网作为多个应用系统的支撑网络,一直运行着大量的业务,其中包括全省的网管系统、电话充值系统、财务系统、物流系统、客服系统、办公自动化系统、全省综合营销系统、全省集中计费帐务系统、桌面电视电话系统等,是一个综合的承载网,与各个业务子系统都有接口,并且已经延伸到省内的各县市公司和主要机房。因此,DCN的正常运转是支撑企业业务正常运行的必要条件。 随着各业务系统的蓬勃发展,吉林省联通公司的网络规模逐渐扩大,系统也越来越开放;与此同时,网
2、络攻击、黑客技术水平的不断提升,主要是病毒越加多样化。这些新型的网络病毒,无法迅速找到解决的方法,导致DCN网面临外部入侵,增加很多安全威胁,影响系统的正常运作。 DCN网经过安全建设,以及集团统一进行的AD域部署,已经在DCN网建设安全上初具规模。同时,在分公司已经部署了终端安全接入的网关,及相关防火墙设备,进行终端安全防护以及地市DCN网的安全防护。 目前终端进行了严格的安全部署,已经从系统上满足了终端的安全保障。工作人员可以结合实际情况,进行行为控制,但从实际上看,系统上基本没有统一的访问互联网的部署方式。通过各自的接入方式访问公网,这样,整个DCN网的终端安全带来很大的隐患。没有统一出
3、口,统一的防护策略,使DCN网防护存在漏洞。 2. 网络现状 全省DCN网设置长春市和吉林市两个省级中心节点,由两台高性能的三层核心骨干交换机(华为S8512)和两台核心骨干路由器(华为NE80)组成双星型结构。长春二枢纽节点作为主用省中心节点,吉林市节点作为备用省中心节点,两个省中心节点之间路由器NE80采用GE链路相连;另外将省网通大厦作为全省的业务中心,网通大厦至两个省级中心节点采用GE(到主用省中心)/155M (到备用省中心)链路相连,形成全省的核心网络。包括四平联通在内的各地市节点本地核心路由器为2台NE40。分公司核心路由器NE40分别通过155M POS 上联到两个省中心节点N
4、E80路由器,实现链路冗余备份。 总体组网结构如图1。 3. 网络建设方案 为保证DCN网上各项业务正常运行,同时满足办公需求,在省公司新增华为NE40路由器和Eudemon1000防火墙,包括四平联通在内的各地市DCN网节点核心路由器扩容155M POS端口,通过设置在各分公司的西门子ASON传输设备分别上联至省中心二枢纽七楼DCN机房新增NE40路由器,在省公司公网出口上统一部署出口策略和NAT策略,实现各地市DCN网接入全省统一互联网出口,保障DCN网络安全。 DCN网统一互联网出口结构图见图2。 4. 上网控制配置 缺省情况下,公司DCN网络的用户是无法通过统一互联网出口访问互联网的,
5、需要在地市连接省公司的主用核心路由器NE40上进行配置,具体配置如下: 4.1配置可以上网用户的规则 配置命令: rule-map intervlan 规则名称 ip 原ip 反掩码 目的ip 反掩码 (注:规则是应用在新加的pos接口上3/0/0,并且是对入方向控制,对应的规则可以从原来出口防火墙上获取) 例子如下: rule-map intervlan r-1 ip any 133.200.108.188 0.0.0.0 /允许地址 rule-map intervlan r-2 ip any 133.200.106.150 0.0.0.0 /允许地址 rule-map intervlan
6、r-3 ip any 133.200.130.109 0.0.0.0 /允许地址 rule-map intervlan r-1000 ip any any /拒绝其它所有 4.2关联EACL 配置命令: eacl eacl的名称 规则名称 permit或deny 例子如下: eacl internet r-1 permit eacl internet r-2 permit eacl internet r-3 permit eacl internet r-1000 deny /最后一条是deny 4.3应用到POS端口上 在一个新建POS接口上应用EACL 配置命令: access-group
7、router eacl eacl-name 例子如下: interface pos 3/0/0 access-group router eacl internet 4.4取消可以上网用户的上网功能 配置命令: undo eacl eacl的名称 规则名称 undo rule-map规则名称 例子如下: undo eacl internet r-1 undo rule-map r-1 5. 统一互联网接入情况 目前四平联通共有443个终端接入了统一互联网出口,代表IP地址及配置命令如下: rule-map intervlan r-1 ip any 10.62.0.101 0.0.0.0 eacl
8、 internet r-1 permit rule-map intervlan r-2 ip any 10.62.0.164 0 eacl internet r-2 permit rule-map intervlan r-3 ip any 133.200.124.193 0 eacl internet r-3 permit rule-map intervlan r-443 ip any 133.200.108.165 0 eacl internet r-443 permit 6 .结语 吉林省联通公司DCN网统一出口工程的实施,实现了全省各地市分公司访问互联网并进行统一管理,实现了互联网访问可管、可控。统一出口具备高速带宽、强大的性能,可以满足全省各级公司日益增长的通信需求。更重要的是,通过部署统一互联网出口,统一进行安全防护,更好的防护了公网给DCN网带来的攻击危害,进一步巩固了公司的信息安全。