资源预览内容
第1页 / 共23页
第2页 / 共23页
第3页 / 共23页
第4页 / 共23页
第5页 / 共23页
第6页 / 共23页
第7页 / 共23页
第8页 / 共23页
第9页 / 共23页
第10页 / 共23页
亲,该文档总共23页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
长江商报社网络建设 工程项目实施 技术方案 长江商报社网络建设工程项目组 2006 年 8 月 16 日 版本历史 Revision History Revision Date Description 1.0 (2006-8-16) 目 录 1. 网络需求分析 . 4 2. 总体工程建设目标 . 4 3. 网络整体设计方案 . 5 3.1 网络结构 . 5 3.2 网络拓扑结构图 . 6 3.3 设备选型说明 . 7 3.4 输入供电准备 . 7 4. 网络结构改造实施方案 . 8 4.1 机房平面布置图 . 8 4.2 设备安装示意图 . 9 4.3 上架安装装配示意图 . 10 4.4 VLAN 及 IP 地址规划 . 12 4.5 设备连接表 . 13 4.6 交换机相关配置 . 14 4.7 核心交换机 HA 冗余引擎部署 . 14 4.7.1 HA 技术介绍 . 14 4.7.2 配置说明 . 16 5. 防火墙设备实施 . 17 5.1 SecPath 500F 防火墙介绍 . 17 5.2 部署说明 . 18 6 测试大纲 . 19 6.1 机箱安装验收 . 19 6.2 系统上电 . 19 6.3 串口登录验收 . 19 6.4 Telnet 登录功能验收 . 20 6.5 以太网帧格式验收 . 20 6.6 静态路由的基本功能 . 21 6.7 Ping 基本功能验收 . 21 6.8 可靠性 HA 功能验收 . 21 6.9 防火墙功能测试 . 22 7. 验收标准 . 23 1. 网络需求分析 长江商报社网络建设项目的预期是构建一个以千兆核心为骨干的高性能网络,由于本次网络建设是一个全新的网络的构建,在网络的构建种应该充分考虑到网络以后的可扩展性。 2. 总体工程建设目标 本项目主要完成网络接入层、核心层集成工程项目,把整个报社办公大楼信息点接入网络,并对上网用户实行灵活安全的访问控制。使得每个信息点上的领导和员工都能够快捷方便的访问办公网络,并通过网络出口访问Internet。 网络系统具体容如下: 大幅度提高网络运行速度和吞吐能力,核心线路采用 1000M(千兆) ,主干线路采用 1000M(千兆) ,桌面独占 100M(百兆) ,服务器设备独占 1000M。 按多种方式(区域和部门)进行 VALN 划分。 网络安全系统的建立。 实现网络核心交换机的高可靠性。 部署局域网安全机制,保证网络安全运行和合理合法使用网络。 实现网络稳定运行和动态伸缩,便于以后进行平滑的升级。 机房改造和布线调整。 网络系统核心骨干为 1000M(千兆) ,主干线路为 1000M(千兆) ,桌面接入带宽为10/100M 。这样的带宽需求,对网络设计和规划提出了严格的要求,因此网络首先应该是层次化结构,且核心交换机必须是高性能的、拥有极高吞吐量的企业级交换机,它不仅要满足性能的要求,而且要满足层次化网络设计的要求。 为了提高交换机之间级连链路的带宽,未来可能还要用到端口捆绑技术,将两个甚至多个链路集合在一起形成一个逻辑通道,以提升级联带宽。 为了提高网络性能和安全性,将一个大的二层网络分隔成若干个小的网段,以避免广播在网络中的四处蔓延以及避免风暴是必须要考虑的又一个重要环节,这样不仅能提高网络的整体性能,而且也是在局域网内实施安全性的一个重要手段,在网络技术里这种技术被称为 VLAN,要实现它,必须满足以下一些条件,一个是核心交换机必须是三层交换机能提供路由服务功能,完成 VLAN 之间的高速路由,另一个是所有参与 VLAN 划分的成员交换机必须支持 802.1Q 协议,完成整个网络跨交换机的 VLAN 的划分。 在设计一个安全、可用的网络时,还要采用链路级冗余,在网络中引入冗于的链路后网络会出现环状结构,而当 L2 层网络出现环状结构后会引起广播风暴, 为了避免网络环路的产生而引起的广播风暴,要求网络交换机还要支持 IEEE 802.1D、IEEE 802.1S、IEEE 801.1W 生成树协议族,将开销较高的链路阻塞掉,将一个物理上的环状结构计算为一个逻辑上的树状结构,当开销较低的链路失效时,重新启用已阻塞的链路,保证既实现了链路冗余又不致产生网络环路而引起广播风暴。 为了支持图形、语音、视频、数据等多种信息的传输特别是多媒体信息的传输,要求核心交换及分支交换机支持多种 QOS、COS 和 802.1P 优先级,保证实时性强、低延时的信息优先传输,优化网络性能。 为提高网络的安全性要求网络交换设备支持多种 ACL 算法和应用,包括,可以按 MAC地址(源和目的) 、IP 地址(源和目的) 、IP 协议(TCP/UDP) 、TCP 端口号(源和目的) 、UDP 端口号(源和目的)设置访问控制列表,访问控制列表可进行基于端口、不同 VLAN 之间、同一 VLAN 内的访问控制。 为了网络管理系统的标准需要,要求网络设备支持 SNMP V1/2/3 版本,这样网络设备能将收集到的网络管理数据发送给网络管理软件处理。 为了提高网络系统的可靠性,核心网络设备必须配备双电源热冗余,保证网络系统不间断的工作。未来还可对核心设备进行升级以满足不断增长的网络需求。 3. 网络整体设计方案 长江商报社办公大楼网络项目采用分层次设计,本次设计是核心层、访问层的模式,考虑到以后网络的扩展,所有设备均可以满足以后的网络升级的组网需求;此外,在核心设备上配置双引擎以实现系统高可靠性。 3.1 网络结构 现在流行的网络结构一般有两种:标准的三层结构设计,或简化的二层结构设计,它们内部都包括有: 核心层: 核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 汇聚层:汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心,仍需要较高的性能和比较丰富的功能。 一般认为网络的控制功能应该在该层完成。 接入层:我们在核心层和汇聚层(二级接入)的设计中主要考虑的是网络性能和功能性要高,那么我们在接入层设计上主张使用性能价格比高的设备。接入层是最终用户与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。 在贵单位网络系统设计中,考虑到整体系统的实用性和成本,我们按照简化的二层网络结构进行设计。 3.2 网络拓扑结构图 3.3 设备选型说明 核心层设备一台: 选用华为 3COM S6506R 高性能多业务交换机,具体配置为:S6506R 交换机交流主机一台,2+1 冗余电源,Salience III 96G 路由交换引擎两块,8 端口千兆电口业务板两块,8端口千兆光口业务板一块,多模 SFP 模块八块。 接入层设备八台: 选用华为 3COM S3952P-SI 智能三层交换机,具体配置为:S3052P-SI 标准版交换机八台,48 个 10/100Mb 电口,4 个千兆 SFP 上联口,多模 SFP 光模块八块。 防火墙设备一台: 选用华为 3COM SecPath 500F 千兆防火墙,具体配置为:SecPath 500F 千兆防火墙一台,4 个 GE 千兆口(其中 2 个电口,2 个电口/光口可选) 。 3.4 输入供电准备 目前总电源功率统计表 序号 设备类型 设备型号 单电源功率 电源个数 设备台数 功率小计 1 交换机 S6506R 800W 3 1 2400W 2 S3952P-SI 165W 1 6 990W 3 防火墙 SecPath 500F 70W 1 1 70W 4. 网络结构改造实施方案 4.1 机房平面布置图 4.2 设备安装示意图 4.3 上架安装装配示意图 4.4 VLAN 及 IP 地址规划 序号 VLAN ID 用途 VLAN 虚拟网关地址 可用地址段范围 可用地址数 现规划用户数 所涉及的交换机 端口号 1 1000 网络设备 192.168.0.254/24 192.168.0.1-253 253 7 - - 2 1 防火墙区 192.168.1.253/24 192.168.1.1-252 252 1 S6506R GE 5/0/8 3 2 DMZ 区 192.168.2.254/24 192.168.2.1-253 253 - - - 4 3 采编服务器 192.168.3.254/24 192.168.3.1-253 253 2 S6506R GE 4/0/1-2 5 4 病毒服务器 192.168.4.254/24 192.168.4.1-253 253 1 S6506R GE 4/0/3 6 5 前置机 192.168.5.254/24 192.168.5.1-253 253 1 S6506R GE 4/0/4 7 6 社领导区 192.168.6.254/24 192.168.6.1-253 253 10 S3952-7 10-19 8 7 财务区 192.168.7.254/24 192.168.7.1-253 253 9 S3952-7 1-9 9 8 信息中心 192.168.8.254/24 192.168.8.1-253 253 6 S3952-6 37-42 10 9 人力资源 192.168.9.254/24 192.168.9.1-253 253 6 S3952-6,S3952-7 S3952-6 的32-36,S3952-7的42 11 10 社委办 192.168.10.254/24 192.168.10.1-253 253 6 S3952-6,S3952-7 S3952-6 的27-31,S3952-7的41 12 11 广告 192.168.11.254/24 192.168.11.1-253 253 28 S3952-6,S3952-7 S3952-6 的1-26,S3952-7 的39-40 13 12 发行 192.168.12.254/24 192.168.12.1-253 253 29 S3952-5 4-17,21-23,37-48 14 13 策划 192.168.13.254/24 192.168.13.1-253 253 7 S3952-7 32-38 15 16 采编办公 192.168.19.254/22 192.168.16.1-19.253 1015 223 S3952-1,S3952-2,S3952-3,S3952-4,S3952-7 S3952-1 到 4 的所有的以太电口,S3952-5 的1-3,18-20,24-36,S3952-7 的 20-31 4.5 设备连接表 本端设备 对端设备 序号 设备名称 端口号 VLAN ID IP 地址 设备名称 端口号 VLAN ID IP 地址 1 华为 3COM S6506R GE 3/0/1 Trunk - S3952P-SI-1 GE 1/1/4 Trunk - 2 GE 3/0/2 Trunk - S3952P-SI-2 GE 1/1/4 Trunk - 3 GE 3/0/3 Trunk - S3952P-SI-3 GE 1/1/4 Trunk - 4 GE 3/0/4 Trunk - S3952P-SI-4 GE 1/1/4 Trunk - 5 GE 3/0/5 Trunk - S3952P-SI-5 GE 1/1/4 Trunk - 6 GE 3/0/6 Trunk - S3952P-SI-6 GE 1/1/4 Trunk - 7 GE 3/0/7 Trunk - S3952P-SI-7 GE 1/1/4 Trunk - 8 GE 3/0/8 Trunk - S3952P-SI-8 GE 1/1/4 Trunk - 9 GE 4/0/1 3 192.168.3.254/24 采编服务器 1 本地连接 1 untaged - 10 GE 4/0/2 3 192.168.3.254/24 采编服务器 2 本地连接 1 untaged - 11 GE 4/0/3 4 192.168.4.254/24 病毒服务器 本地连接 1 untaged - 12 GE 4/0/4 5 192.168.5.254/24 前置机 本地连接 1 untaged - 13 GE 5/0/8 1 192.168.1.253/24 SecPath 500F GE 0/1 1 192.168.1.254/24 4.6 交换机相关配置 1. 每台交换机上都配置管理网络设备 VLAN,设置 IP 地址网段为 192.168.0.0,子网掩码是 255.255.255.0。 2. 通过划分不同的 VLAN,实现隔离广播域,控制广播流量在最小范围之内。 3. 核心 S6506R 交换机上配置全部的 VLAN,并配置 GVRP(动态 VLAN 注册协议) ,使其下联的接入交换机能学习到 VLAN 信息。 4. 每台 S3952P-SI 接入交换机上配置 GVRP(动态 VLAN 注册协议) ,使其能学习到上联的核心 S6506R 交换机上 VLAN 配置信息。 5. 核心交换机和接入交换机之间的光纤设置为 Trunk 类型链路,允许多个 VLAN 传输。 6. 服务器设备通过千兆双绞线直接和核心交换机 S6506R 互连。 7. 通过配置访问控制列表,实现各用户 VLAN 之间的访问控制,对采编服务器等重要应用设备的访问管理,如只允许采编人员可以访问采编服务器和前置主机。 8. 核心交换机和防火墙通过互连 VLAN 方式连通,缺省路由指向防火墙端口。 9. 前置机用来和远端的印刷厂主机互连,实现采编数据最后的传送印刷,前置机和采编服务器放置在一个VLAN 内。 4.7 核心交换机 HA 冗余引擎部署 4.7.1 HA 技术介绍 S6506R 交换机支持 HA(High Availability)特性。HA 特性实现系统的高可靠性,在主控板发生故障时, 可以快速、 准确恢复系统的正常运行, 从而增强系统的 MTBF (Mean Time Between Failure) ,即平均故障间隔时间。 HA 特性是主控板单板的一个特性。 交换机有两块主控板单板, 工作在 master-slave 备份模式,即一块工作在 master 模式,为主控板,一块工作在 slave 模式,为备用板。当主控板发生故障时,主备倒换将自动进行。备用板将自动连接并控制系统的 BUS,同时原来的主控板将断开和系统 BUS 的连接。主备倒换完成后,备用板将成为主控板,而原来的主控板将重新启动成为备用板。因此,即使主控板故障,备用板也能迅速取代它成为主控板,保证 S6506R 交换机的正常运行。 S6506R 交换机支持主控板和备用板的热拔插。主控板的热拔插将引起交换机的主备倒换。 S6506R 交换机支持手动的主备倒换。用户可以使用命令来手动的改变主控板和备用板的模式。 在 S6506R 交换机上,备用板上的配置文件是从主控板上拷贝过来的。这样,当备用板取代主控板后备用板可以在和原来系统相同的配置下运行。S6506R 交换机支持两个单板上配置文件的自动同步。当系统的配置发生改变时,当前的主控板在保存配置文件时会同时备份配置文件到备用板上,保证二者的配置一致。用户可以使用命令手动的同步主控板和备用板的配置文件。 另外,S6506R 交换机能够监控电源和系统的工作环境,在故障发生时发出告警,避免故障的继续扩大,保证系统安全的运行。 4.7.2 配置说明 1. HA 配置包括内容 手动设置备用板重新启动,允许或禁止强制倒换,手动执行主备倒换,打开/关闭系统主备自动同步开关,手动执行配置文件的同步。 2. 手动设置备用板重新启动 当备用板正常运行时候,用户可以使用命令手动重新启动备用板。 请在用户视图下进行下列配置。 3. 允许或禁止强制倒换 用户可以根据需要将 S6506R 交换机配置为允许手工强制倒换或者禁止手工强制倒换。 请在系统视图下进行下列配置。 4. 手动执行主备倒换 当备用板正常运行,并且主控板进入实时备份状态之后,如果用户希望备用板成为新的主控板来保证系统的运行,可以通过命令手动的进行主备倒换。 当主备倒换完成后,备用板将成为新的主控板控制系统的正常运行,原来的主控板将自动重新启动。 请在用户视图下进行下列配置。 5. 打开/关闭系统主备自动同步开关 系统提供自动同步功能,只要同步开关打开,当系统配置改变时,主控板保存配置文件的同时,也将配置文件备份到备用板,以保证主备配置的一致性。 用户可以通过以下的命令来打开/关闭系统主备自动同步开关。 请在系统视图下进行下列配置。 6. 手动同步配置文件 S6506R 交换机可以自动同步主控板和备用板的配置文件。如果用户希望手动同步主控板和备用板的配置文件,可以通过命令手动的将主控板上的配置文件备份到备用板上。 请在用户视图下进行下列配置。 5. 防火墙设备实施 5.1 SecPath 500F 防火墙介绍 Quidway SecPath 500F 防火墙是华为 3Com 公司面向大型企业用户开发的新一代专业千兆防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能,能够有效地保证网络的安全;采用 ASPF 状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持 AAA、NAT 等技术,可以确保在开放的 Internet 上实现安全的、满足可靠质量要求的网络;支持多种 VPN 业务,如L2TP VPN、 GRE VPN、 IPSec VPN、 SSL VPN 和华为动态 VPN 等, 可以构建 Internet、 Intranet、Remote Access 等多种形式的 VPN;提供基本的路由能力,支持 RIP/OSPF/BGP/路由策略及策略路由;支持丰富的 QoS 特性,提供流量监管、流量整形及多种队列调度策略;提供双机状态热备功能,支持 Active/Active 和 Active/Backup 两种工作模式,实现负载分担和业务备份。 设备类型:专业级防火墙 转发速率:1000Mbps 3DES 性能:250Mbps 最大会话连接数:1,000,000 条 每秒新建会话连接数:20,000 条/秒 是否支持 VPN:支持 VPN 通道数:1,000 条 接口配置:4GE 5.2 部署说明 1. SecPath 500F 防火墙作为整个公司访问 Internet 的路由转换设备。 2. 防火墙上标准配置 4 了百兆/千兆自适应电口,这次使用了 2 个接口,连接分配为: GE 0/0 口连接电信 ISP 提供的 10Mb 光纤宽带; GE 0/1 口连接核心交换机 S6506R。 3. 按照优先级的高低,配置整体访问权限。 设置 GE 0/0 为 Untrust 区,优先级为默认的 5; 设置 GE 0/1 口为 Trust 区,优先级为默认的 85。 4. 不允许处于低优先级的网络主机直接访问到高优先级的内网区域,对访问管理进行严格的控制监管。 5. 在防火墙上配置NAT 功能,实现内网用户可以正常访问Internet。 6. 针对常见黑客攻击配置相应的特性功能,阻止这些攻击影响内网。 7. 在防火墙上配置“关键字过滤” 、 “网页内容过滤”等,严格过滤非法内容。 8. 在防火墙上配置端口映射功能, 可以把内网的部分服务器主机映射到公网, 使 Internet外网用户可以正常访问这些主机提供的服务。这个功能可选。 9. 可以在防火墙上配置L2PT VPN 拨号,实现外网授权 VPN 用户如移动笔记本用户等拨号到商报社内网后,在相应授权的前提下正常访问内网部分应用服务。这个功能可选。 6 测试大纲 6.1 机箱安装验收 验收目的 验证网络产品的机箱安装符合要求 预置条件 无 测试过程 机箱安装完毕后,在机箱内整体是否牢固。 机箱安装完毕后清理现场,是否遗留工具或杂物。 机箱安装完毕后,机箱内是否清洁,是否遗留杂物。 机箱表面是否干净整洁,外部漆饰完好,各种标志正确、清晰、齐全。 机箱安装完成时,机箱及各单板是否有多余或非正规的标签。 各空挡板及各空单板条是否安装完整。 机箱及空挡板的固定螺钉是否紧固,符合安装要求。 各单板的面板螺钉是否松紧适度,弹簧钢丝是否完好。 机箱的承重托盘是否水平,与机箱的固定螺钉是否配合良好。 走线挡板安装是否稳妥。 暂时闲置的光口是否加有护套。 所占用端口是否规则有序,是否便于将来扩容。 6.2 系统上电 验收目的 验证网络产品系统上电正常 预置条件 网络设备电源、各单板及机箱连接正确 测试过程 确认插座连接无误,打开电源开关。 预期结果 各单板指示灯正常显示。 风扇正常运转。 电源开关正常。 测试说明 在操作终端与网络设备连接正常的情况下,在操作终端上执行 display device 命令可以查看各单板、风扇、电源等的运行情况是否为 Normal状态。 6.3 串口登录验收 验收目的 验证网络产品 Console 口功能正常 预置条件 网络设备主控板的 Console 口与终端计算机串口连接正确。 启动计算机的 Windows 操作系统,进入超级终端,设置连接参数:波特率为 9600bps,无奇偶校验,8 位数据位,1 位停止位,无流控。 终端仿真类型设为 VT100 或自动检测。 功能键、箭头键和 Ctrl 键的类型设置为终端键类型。 ASCII码设置中的ASCII码接收选项选为: 将超过终端宽度的行自动换行。 网络设备正常启动。 测试过程 在连接网络设备主控板 Console 口的计算机的超级终端中键入回车字符。 预期结果 回车后超级终端应出现命令提示符,可进行命令操作及网络设备配置。 测试说明 无 6.4 Telnet 登录功能验收 验收目的 验证网络产品 Telnet 功能正常 预置条件 正确连接网络设备和 PC 机的以太网口。 通过超级终端正确配置网络设备以太网接口的 IP 地址。 配置各 PC 机的 IP 地址,使各 PC 能够正常 Ping 通网络设备上各个相应接口的 IP 地址。 在网络设备上正确配置 Telnet 参数。 测试过程 PC1 上启动 Telnet 客户端程序,从网络设备主控板上的以太网接口登录网络设备,执行配置命令。 PC2 上启动 Telnet 客户端程序,从网络设备接口板上的以太网接口登录网络设备,执行配置命令。 预期结果 步骤 1、2 的 Telnet 均执行成功,可以配置网络设备。 测试说明 无 6.5 以太网帧格式验收 验收目的 验证网络产品支持三种以太网帧格式封装的功能 预置条件 网络设备与终端计算机连接正确。 将两网络设备接口板的以太网口使用交叉网线直接相连。 配置网络设备,使以太网口正常工作。 测试过程 在网络设备接口视图下将接口板的以太网口的帧格式依此更改为:ethernet_II、ethernet_SAP、ethernet_SNAP,期间使用 display interface interface-name 命令进行查看。 在两网络设备上互相 ping 对方的相应端口地址。 预期结果 可以看到与配置对应的封装类型的显示。 互 ping 均能够正常 ping 通对端。 测试说明 本测试用例的封装为发送报文的封装,对于接受报文不进行限制。即任意封装类型的以太网帧都能够被网络设备识别。 6.6 静态路由的基本功能 验收目的 验证网络产品静态路由的基本功能 预置条件 两网络设备通背靠背连接正确。 RTA、RTB 网络设备的相连端口配置正常的 IP 地址,互相正常 ping 通。 测试过程 在 RTA 上配置一个 loopback 接口。 在 RTB 网络设备上通过 display ip route 命令查看路由; 在 RTB 上 ping RTA 的 loopback 地址。 在 RTB 网络设备上配置目的地址为 RTA 的 loopback 地址的静态路由, 重复步骤 2。 预期结果 步骤 2 中,看到没有到 RTA 的 loopback 地址的路由,且无法正常 ping通 RTA 的 loopback 地址。 步骤 4 中, 看到有到 RTA 的 loopback 地址的静态路由, 且能够正常 ping通 RTA 的 loopback 地址。 测试说明 无 6.7 Ping 基本功能验收 验收目的 验证整个网络系统的互通性 预置条件 交换机线缆连接完毕,VLAN 划分清楚,路由条目清晰 测试过程 1、从内网连接一台笔记本电脑,配置 IP 地址和所在 VLAN 为一个网段; 2、依次使用 ping 命令,对所在 VLAN 的虚网关地址、内网服务器地址、防火墙内接口地址、印刷厂前置机|网络设备地址、公网地址进行 ping测试,查看反馈结果; 3、采用扩展 ping 命令,加大数据包体积和数量,对所在 VLAN 的虚网关地址、内网服务器地址、防火墙内接口地址、印刷厂专线前置机|网络设备地址、公网地址进行 ping 测试,查看反馈结果。 预期结果 没有发生 timeout 反馈结果,全部为正常的低延迟 icmp 反馈。 测试说明 无 6.8 可靠性 HA 功能验收 主控板的主备倒换功能 验收目的 验证路由器产品的主备倒换功能 预置条件 PC 与网络设备连接正确。 测试过程 配置各PC与RTA的连接接口的各自IP地址, 使两PC能够互相正常ping通。 PC1 和 PC2 互相长期 Ping 对方的端口地址。 使用 display switch state 命令查看备份状态, 当处于主控板处于实时备份状态时,使用倒换命令使主控板发生倒换。 使用复位键进行倒换,重复上述操作。 拔下主用主控板,使备用主控板升为主用主控板。 预期结果 步骤 3 中,使用命令倒换主备后,主备用主控板能够倒换,Ping 不中断。 步骤 4 中,使用复位键倒换主备后,主备用主控板能够倒换,Ping 不中断。 步骤 5 中,拔下主用主控板强制倒换主备后,备用主控板能够升为主用,Ping 不中断。 测试说明 无 6.9 防火墙功能测试 防火墙对外服务功能测试一:测试处于防火墙内网的用户能否访问指定的正常服务。 步骤一:从局域网内访问公网web 服务器,能否正常访问,打开网页; 客户端 IP 地址:_ 访问站点域名:_ 步骤二:在局域网选一台计算机,在命令行模式下ping 公网域名是否能解析; 客户端 IP 地址:_ 访问站点域名:_ 预期结果:内网用户均能正常访问开启的外网服务,并能正常处理日常业务。 防火墙对外服务功能测试四: 测试处于防火墙外部的用户, 如公网用户访问制定的内网映射服务。 步骤一:从公网主机访问实现端口映射的 web 服务器,能否正常访问,打开网页; 客户端 IP 地址:_ 访问内网 Web 服务器映射地址域名:_ 预期结果:服务器业务均能被外网用户正常访问。 防火墙策略漏洞检测:测试处于防火墙两端的用户是否访问服务器的未开放服务; (检查是否存在不必要的开放端口) 步骤一:在公网主机上,telnet 内网某服务器未经防火墙许可的端口;服务器IP 地址:_ 端口号_ 公网主机 IP 地址:_ 预期结果:规则没有开放的端口不能被telnet 访问到。 7. 验收标准 验收项目 是否合格 备注 所有设备(包括软硬件)到齐 是 否 将采购设备安装上架,连接加电无故障 是 否 VLAN 按照客户应用要求进行逻辑划分 是 否 交换机,防火墙上的路由及 NAT 配置能实现内网主机互访和外网访问 是 否 核心交换机在路由交换引擎遇到故障可自动切换 是 否 内网访问控制规则按照客户要求进行配置并实现 是 否 采编数据文件可以通过印刷厂前置机传送到印刷厂,以实现报纸的及时印刷 是 否 在 SecPath 500F 上部署安全服务特性, 能防范一些黑客攻击 是 否
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号