某工程项目网络改造方案

　　一.原有设备组网情况：

　　整网采用品字形网络架构，内网服务器通过F1000-S防火墙外联广域网。F1000-S通过S6503交换机连通广域网络， F1000-S通过S5500交换机连通内部服务器。

　　组网拓扑如下：

　　二.原组网存在的问题：

　　经过对现场情况的勘察及测试，发现防火墙之间未做双机热备和VRRP，并且未开启防火墙的相应防护策略，所有端口均加入TRUST区域，使防火墙形同虚设。

　　服务器也未按照原有方案进行连接。设备中的部分配置错误导致在测试过程中出现链路冗余无效的问题。

　　三.改造内容：

　　本次网络改造，是在原网络架构的基础上进行改造，目的是完善原网络存在的漏洞。具体改造内容如下：

　　1、 安全区域划分和域间策略：

　　整网安全域划分为两个，Trust区域和Untrust区域。Trust区域包含内部服务器区。Untrust区域包含外网区。

　　按照用户的需求，通过设置面向对象的ACL，使Untrust区域中被用户允许的对象可以访问Trust区域中的设备，而不被允许的对象将禁止访问Trust区域中的设备。

　　2、 防火墙工作模式及冗余措施

　　防火墙工作在路由模式下;

　　防火墙冗余措施：两台F1000防火墙通过启用对等模式的双机热备进行会话信息的备份;防火墙与交换机的互联端口加入VLAN 20中。流量的备份通过VRRP来实现,并配置对上联华为6503的端口的监视接口功能。

　　交换机冗余措施：两台S5500交换机启用VRRP实现冗余，并配置对上联S5500的端口的监视接口功能。

　　3、 路由规划：

　　本网络组网结构比较简单，只需配置静态路由就可以完成网络的选路工作。配置静态路由可以改进网络的性能，并能为重要的应用保证带宽。交换机配置的出口路由指向防火墙上配置的虚地址。防火墙的出口路由指向华为6503的虚地址，回执路由指向交换机的上联端口G1/0/1。华为6503到防火墙的路由指向防火墙的上联端口G1/1。

　　四.解决方案及效果方案特点：

　　1、两台F1000-S防火墙采用对等模式的双机热备以及VRRP实现冗余。将防火墙的g0/1端口作为HA端口。从而提高网络的可靠性。

　　2、两台S5500-E交换机采用VRRP实现链路冗余。启用VRRP监视接口的功能，实现对上联端口的状态监控。

　　3、按照用户的需求，通过设置面向对象的策略，使Untrust区域中被用户允许的对象可以访问Trust区域中的设备，而不被允许的对象将禁止访问Trust区域中的设备。

2016年01月