一種內部支撐網路改造方案

作者：李文超

**：《中國新通訊》2023年第16期

【摘要】本文通過分析內部支撐網路中多個專網間管理混亂、存在的單點故障和其它安全隱患，提出了防火牆的冗餘設計以增強網路可靠性、重新配置訪問控制策略以實現內部多個專網間的相互隔離和受控訪問，從而保證了內部支撐網路的可管理性和可靠性。

【關鍵詞】支撐網路改造防火牆可靠性

一、改造前分析

1、南充電信分公司內部支撐網路內有多個支撐系統：10000號，大唐網管，財務營賬，oa辦公網等。子系統之間的的安全訪問策略控制都是經過cisco 7507和7513兩個pe實現，在實現訪問控制的管理方面帶來了很多不便，甚至有時無法控制滿足要求。

從使用者層面網路需求分析，各子系統又都統一包含縣公司使用者、市公司使用者、伺服器訪問需求、省公司訪問需求、internet訪問需求幾個方面。因此在對終端的管控上存在不易管理和重複建設投入的弊端。

2、改造前的網路拓撲如圖1所示。

3、網路拓撲結構分析及存在的相關問題

改造前，南充電信各子系統的訪問控制通過分布式來實現，部分在pix535上策略，部分在3560上實現。部分則由資料維護中心來管理和維護，這給各子系統的管理和維護帶來了不便之處，不利於管理。（1）網路中的核心裝置pix535防火牆沒有進行冗餘配置，如果該防火牆出現故障，會影響整個網路，影響整個業務。

所以本網路的冗餘性極差。（2）整個網路架構沒有層次，如需新增裝置，只能單一串接入當前網路當中，沒有擴充套件性。

二、改造方案說明

為解決上述支撐網路存在的問題，我主持對網路架構進行了重新設計和優化改造。主要是從防火牆冗餘設計以增強網路可靠性、重新部署各專網間的訪問控制策略、重新劃分使用者接入區域和淘汰陳舊裝置等方面我公司支撐網路進行了全方位優化。