丝路基金金融城域接入方案ok概论
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
不管是防火墙 自身故障,还 是防火墙上下 行链路故障, 网络访问路径 如图所示
人民银行金融城域网
联通 2M
电信 2M
接入路由器
A
防火墙
主FW
心跳线
B
IPS
备FW
核心交换机
日志服务器/策略服务器 网管服务器
接入交换机
二层
五层
10G 1G光纤 1G双绞线
终端PC
终端PC
丝路基金金融城域接入业务访问关系
二层 终端PC
心跳线
IPS
日志服务器/身份认证系统 网管服务器
五层 终端PC
10G 1G光纤 1G双绞线
丝路基金金融城域接入拓扑图
人民银行金融城域网
联通 2M
电信 2M
接入路由器
防火墙
核心交换机 接入交换机
二层 终端PC
心跳线
IPS
日志服务器/策略服务器 网管服务器
五层 终端PC
10G 1G光纤 1G双绞线
802.1X协议
装的应用软件检 终端客户端二层
查、是否有代理、
拨号配置、资产
管理、软件分发、 U盘外设管理、
终端PC
远程协助
B
IPS
备FW
五层 终端PC
策略服务器完成 身份认证,认证 成功后终端PC接 入网络
日志服务器/策略服务器
策略服务器
网管服务器
10G 1G光纤 1G双绞线
丝路基金金融城域接入网终端补丁及病毒库升级部署
地址
防火墙与路由器互联网 172.16.0.0/29
段地址
路由器与三层交换机互 172.16.0.8/29
联网段地址
防火墙心跳网段地址 172.16.0.16/29
终端PC业务地址
172.16.1.0/24
网管网段业务地址
172.16.2.0/24
丝路基金金融城域接入网络设备命名
人民银行金融城域网
2
主设备
基本配置
0235G7LL
USG6370交流主机(8GE电+4GE光,4GB内
USG6370-AC 存,1交流电源)
12
电源模块
02131122
Power-AC-B 170W交流电源模块
12
安装材料
21241561
RAIL-01
NGFW 伸缩滑道
12
•吞吐量:4 Gbit/s •IPS+AV吞吐量: 2
丝路基金
金融城域接入方案
丝路基金金融城域接入拓扑图(基本)
人民银行金融城域网
联通 2M
电信 2M
接入路由器
防火墙
IPS
心跳线
核心交换机 接入交换机
二层 终端PC
五层 终端PC
10G 1G光纤 1G双线
丝路基金金融城域接入拓扑图(完整)
人民银行金融城域网
联通 2M
电信 2M
接入路由器
防火墙
核心交换机 接入交换机
字段含义
AA 字母组合,表示丝路公司简称 SRF
BB 字母组合,表示节点名称缩写,8个字母以内。
T
单个字母,表示设备类型,RT代表路由器,SW 代表交换机,FW代表防火墙。
x
单个数字,表示设备序号。如有楼层在前面加 上楼层编号
SRF-YLSW-2
日志服务器/策略服务器
网管服务器
接入交换机
SRF-YL- 二层 SW-L2-1
方案一:路由器和防火墙清单
边界路由器 边界防火墙
AR2240系列企业路由器
2
基本配置
•转发性能:9Mpps •固定接口:4*GE+4*GE 光+2GE Combo •插槽:4*SIC + 2*WSIC +
02350KKF
AR2240C
AR2240C,SRU40C主控,4 SIC,2 WSIC,2
XSIC,350W交流电源
当接入路由器A 故障,还是路 由器A上行链路 故障,需要在 FW-A上配置链 路可达性检查, 判断路由器或 路由器的上行 链路是否出现 故障,当发现 故障时,进行 主备切换。
人民银行金融城域网
联通 2M
电信 2M
接入路由器
A
防火墙
主FW
心跳线
B
IPS
备FW
核心交换机
FW上的链路可达性检 查的目标IP地址为金融 城域网广域网对端地址。
1
XSIC接口模块
03020MNS
AR0MXEGFTA0 24端口千兆(RJ45)-L2/L3以太网交换电接口
0
卡
1
2 2
2*XSIC
电源
•外形尺寸(H x W x D):
88.1mm x 442mm x
02310CWN
AR0MPSAP350 0
350W 交流电源模块
12
470mm
USG6300_1U
金融城域网广域网对端地址
日志服务器/策略服务器 网管服务器
接入交换机
二层
五层
10G 1G光纤 1G双绞线
终端PC
终端PC
丝路基金金融城域接入终端准入部署
人民银行金融城域网
联通 2M
电信 2M
接入路由器
A
边界防火墙
主FW
心跳线
终端客户端完成
核心交换机
安全认证检查包
括终端病毒库版
本检查、终端补
丁检查、终端安 接入交换机
丝路基金金融城域接入网,简称SRF
联通 2M
电信 2M
设备命名规则将采用字母与数字结合的方法, 具体规则为:AA-BB-T-X。其中:
接入路由器
SRF-YLRT-1
防火墙
SRF-YLFW-1
SRF-YLSW-1
核心交换机
心跳线
SRF-YL-
RT-2
IPS
SRF-YLFW-2
SRF-YLIPS-1
字段名称
丝路基金金融城域接入网络地址规划
人民银行金融城域网
联通 2M
电信 2M
接入路由器
A
0.1/29
B0.2/29
0.3/29 0.5/29 0.4/29 IPS
防火墙
0.18/29
主FW 0.17心/2跳9线
备FW
0.9/29 0.11/29 0.10/29
核心交换机
0.12/29 2.254/24
1.254/24
终端PC
五层 SRF-YL-SL5W-1
终端PC
10G 1G光纤 1G双绞线
丝路基金金融城域接入业务访问关系
人民银行金融城域网
联通 2M
电信 2M
接入路由器
A
防火墙
主FW
心跳线
B
IPS
备FW
核心交换机
日志服务器/策略服务器 网管服务器
接入交换机
二层
五层
10G 1G光纤 1G双绞线
终端PC
终端PC
丝路基金金融城域接入业务访问关系
人民银行金融城域网
联通 2M
电信 2M
病毒、补丁升级路径,通过防 接入路由器
火墙限制终端只能访问病毒、
A
补丁服务器,并在只在特定时
间升级。
防火墙
主FW
心跳线
核心交换机
病毒服务器 补丁服务器
接入交换机
二层
终端客户端
终端PC
B
IPS
备FW
五层 终端PC
日志服务器/策略服务器
策略服务器
网管服务器
10G 1G光纤 1G双绞线
接入交换机
二层
五层
终端PC
终端PC
金融城域网广域网地址 终端PC网关地址 内部设备互联地址 防火墙心跳互联地址 防火墙设备互联虚地址 网管设备网关地址
日志服务器/策略服务器
网管服务器
10G 1G光纤 1G双绞线
金融城域网IP地址池 (申请)
金融城域网联通广域网 (申请)
地址
金融城域网电信广域网 (申请)