制定IP网络建设技术规范,为IP网络工程建设做指引,对工程中的每个细节把关。可以避免工程规划不完善和施工不规范等问题遗留下安全隐患。稻田圈根据以往的维护经验,整理了以下的网络建设技术规范,欢迎大家一起探讨。

一、 线缆铺放规范
1) 线缆长合适,应便于维护和将来扩容;
2) 设备机架内线缆应绑在电缆固定横梁上;
3) 线缆布线应整齐、美观,电缆绑扎工艺良好;
4) 设备与配线架间布线槽道内电缆理顺,线缆不得溢出槽道;
5) 线缆不能破损、断裂;
6) 线缆不能压过锋利边缘;
7) 线缆上不能有金属屑/金属丝;
8) 线缆插头应完好无损;
9) 电源线缆与信号线缆在走线架(槽)的布放必须隔离;
10) 线缆应采用整段线料,不得在中间接头;
11) 尾纤在走线槽里铺放必须套上波纹管,尾纤不能过度弯曲。
12) 设备电源线、地线直径应符合标准、地线接地方式应符合标准;
13) 电源线、地线电缆端子与设备、直流配电柜(接线盒)连接牢固;电源接线盒应放置稳妥
14) 所有线缆(电源线、信号线)两端必须有清晰规范的标签。标签内容应包括本端和对端的设备的名称、接口名称,广域网口还必须包含DDF架位的信息。


二、 网络设备的硬件安装规范
1) 所有设备安装后应工作正常,未用的板卡和端口应屏蔽,不能出现告警提示。
2) 所有设备必须连接地线;
3) 设备安装应整齐,牢固;
4) 机柜内设备与设备之间的安装距离应大与1U,不能重叠在一起;
5) 所有设备必需有清晰规范的设备标签,资产标签,标签应粘贴在易于查看的位置;
6) 网络设备表面整洁,无尘灰、无破损;
7) 网络机柜内必须整齐整洁,不能堆放工程余料。

三、 网络设备数据配置规范
1、 路由器数据配置规范
1) 路由器设备的命名必需规范,包含设备位置、所属系统等信息。
2) 路由器的接口必须有清晰的描述,包括本端和对端的设备的名称、接口名称。
3) 路由器必需已设置了管理IP,可远程登陆进行管理;
4) 网络设备的登陆模式必须采用USERNAME+PASSWORD的方式设置;
5) 主备路由器采用网线直接互连,采用OSPF动态路由协议实现主备冗余设置。
6) 设备的所有接口不能有错误包产生。
7) 网络链路不能有丢包现象。(要求用ping指令测试50000个数据包,丢包率为0%)
8) 路由器的数据配置必需清晰准确,不能有多余的、不起作用的数据配置;
9) 路由器的CPU和内存利用率必须在正常范围。
10) IP地址分配要符合规范,按工程规划进行设置。
2、 交换机数据配置规范
1) 交换机的命名必需规范,包含设备位置、所属系统等信息。
2) 交换机的接口必须有清晰的描述,包括本端和对端的设备的名称、接口名称。
3) 交换机的VLAN必须有清晰的描述,不同的网络接在同一交换机上必须划分不同VLAN。
4) 交换机必需已设置了管理IP,可远程登陆进行管理;
5) 网络设备的登陆模式必须采用USERNAME+PASSWORD的方式设置;
6) 主备交换机之间通过网线直接互连。
7) 设备的所有接口不能有错误包产生。
8) 网络链路不能有丢包现象。(要求用ping指令测试50000个数据包,丢包率为0%)
9) 交换机的数据配置必需清晰准确,不能有多余的、不起作用的数据配置。
10) 交换机的CPU和内存利用率必须在正常范围。
11) IP地址分配要符合规范,按工程规划进行设置。
3、 防火墙数据配置规范
1) 防火墙等网络设备的命名必需规范,包含设备位置、所属系统等信息。
2) 防火墙的接口必须有清晰的描述,包括本端和对端的设备的名称、接口名称。
3) 防火墙必需已设置了管理IP,可远程登陆进行管理;
4) 网络设备的登陆模式必须采用USERNAME+PASSWORD的方式设置;
5) 主备防火墙之间通过网线直接相连。
6) 主备数据配置必须同步。
7) 设备的所有接口不能有错误包产生。
8) 网络链路不能有丢包现象。(要求用ping指令测试50000个数据包,丢包率为0%)
9) 防火墙的数据配置必需清晰准确,不能有多余的、不起作用的数据配置;
10) 防火墙的安全策略要按最小接入的原则配置,必须指定源地址、目标地址、和端口号;
11) 防火墙的CPU、内存利用率和连接数必须在正常范围。
12) IP地址分配要符合规范,按工程规划进行设置。

 

四、 网络安全技术规范
1、 网络结构安全技术规范
1) 业务数据流不应和网管数据流在相同的网络链路中。
2) 业务系统应采用防火与网管系统隔离,业务系统位于TRUST区域,网管系统位于UNTRUST区域
2、 业务系统安全技术规范
1) 业务系统服务器必须设置登陆帐号和密码。
2) 业务系统服务器应安装最新的系统补订,通过安全扫描,不存在安全漏洞。
3) 业务系统应安装符合要求的防病毒软件,病毒库更新到最新的版本。
3、 维护终端安全技术规范
1) 维护终端必须设置登陆帐号和密码。
2) 维护终端应安装最新的系统补订,通过安全扫描,不存在安全漏洞。
3) 维护终端应安装符合要求的防病毒软件,病毒库更新到最新的版本。


五、 传输线路建设技术规范
1、 传输质量要求
1) 网络链路不能有丢包现象。(要求用ping指令测试50000个数据包,丢包率为0%)
2) 以太网传输要注意传输设备和网络设备之间的双工模式和速率必须一致。
2、 传输冗余要求
1) 主备传输链路必须分别从不同的传输系统接出。
2) 重要业务系统的主备传输不能走相同的物理路由(线槽、竖井等)。


六、 动力电源建设技术规范
1、 动力电源安全接入规范
1) 网络机柜应采用机房的UPS系统供电,不能直接采用市电。
2) 网络机柜应安装电源插槽,不能采用普通排插接电。
3) 网络机柜的电源插坐应有一定数量的冗余。
4) 网络机柜内的网络设备只能从本机柜内接电,禁止跨机柜接电。
5) 网络设备上电之前应先调查供电系统的功率是否足够。
2、 动力电源冗余要求
1) 主备网络设备的电源应由不同的电源系统供电。
2) 主备用网络设备应连接到不同的电源插槽。

七、 工程文档资料制作规范
1、 网络整改割接方案制作规范。方案应包括:
1) 割接前的准备(工具、仪表、数据备份、整改前后网络拓扑图、割接风险评估及处理措施等)
2) 人员分工和联系方式(操作人员,配合人员,业务测试人员)
3) 割接进度,具体时间安排(细化到每一步操作的时间)
4) 详细操作步骤。
5) 业务测试方法。
6) 割接失败倒回方案。
2、 网络拓扑图制作规范,拓扑图中必须标注设备的型号、名称、物理位置、接口地址、链路带宽等信息。
3、 设备密码表。(表格包含设备名称、管理IP、和登陆密码)
4、 IP地址汇总表。(本项目所有网段IP地址的使用情况)
5、 交换机设备VLAN维护表。(本项目所有交换机接口的VLAN划分情况,VLAN所属系统等信息)
6、 防火墙信息表。(防火墙策略信息汇总表)