网络实验室建设项目方案64538.docx

《网络实验室建设项目方案64538.docx》由会员分享，可在线阅读，更多相关《网络实验室建设项目方案64538.docx（28页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 上海鹏越惊虹技术有限公司网络实验室项目 上海鹏越惊虹技术有限公司网络实验室室项目网络实施方方案Versiion 1.00文档属性属性内容项目名称：上海鹏越惊惊虹技术术有限公公司网络络实验室室项目文档标题：上海鹏越惊惊虹技术术有限公公司网络络实验室室项目网网络实施施方案文档版本号号：Versiion 1.00版本日期：2009-10-04文档状态：初稿作者：邵勇文档变更过过程版本修正日期修正人描述1.02009-10-02邵勇文档初稿概述1.1 文档目的撰写此文的的主要目目的是为为了保障障“上海鹏鹏越惊虹虹技术有有限公司司网络实实验室项项目”的顺利利实施，根根据上海海鹏越惊惊虹技术术有限公公司

2、网络络建设需需求，制制定出网网络实验验室的实实施规范范和方法法。在实际实施施工作前前，将所所有实施施步骤、方方法和各各方需完完成的任任务明确确。1.2 文档适用人人员本文档资料料主要面面向负责责“上海鹏越越惊虹技技术有限限公司网网络实验验室项目目”的设计计和实施施的上海海鹏越惊惊虹技术术有限公公司的网网络技术术人员，管管理人员员；以便通通过参考考本文档档资料顺顺利完成成上海鹏鹏越惊虹虹技术有有限公司司网络实实验室项项目。1.3 文档内容范范围本文档内容容基于CCiscco 338255、Ciiscoo 38845、Cisco 6506、Cisco 3750、Cisco3560、Netscree

3、n ISG1000、NS208、F5等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：1.3.1 实施原则l 实施步骤的的完整性性，对于于每一个个实施步步骤各方方所需要要执行的的动作有有明确的的规定，有有精确的的时间顺顺序安排排，对每每一个动动作有详详细的操操作步骤骤，对每每一个执执行的动动作都有有相应的的检查是是否完成成的步骤骤，达到到任何一一个只要要具有实实际实施施经验的的工程师师都能按按实施方方案完成成执行动动作。l 详细描述实实施方案案的风险险和局限限性，明明确使用用实施方方案所应应承担的的风险和和将导致致的后果果。l 在实施前需需

4、要各参参与单位位和人员员最终确确认实施施方案的的正确性性、明确确各方所所执行的的动作和和担负的的责任。l 对于检查实实施方案案的每一一个阶段段是否达达到方案案要求，需需要有每每一阶段段的测试试内容，明明确那些些测试在在指定时时间点不不能完成成或完成成后测试试结果不不正确的的情况下下需要采采用网络络回退方方案，不不再执行行实施方方案的下下一个执执行动作作或不进进入下一一个实施施阶段。2 项目介绍2.1 项目简介上海鹏越惊惊虹技术术有限公公司将于于近期完完成网络络实验室室的建设设，为了了公司目目前及今今后的各各种业务务应用提提供可靠靠、稳定定、先进进、高效效的网络络测试环环境。网络实实验室系系统主

5、要要包括生生产系统统网络、运运维管理理网络。目前，上海海鹏越惊惊虹正在在张江建建设网络络实验室室，作为为以提供供员工对对于网络络测试的的需求，在在这样的的背景下下，需要要启动网网络系统统的建设设，以提提供公司司测试环环境网络络。有鉴于此，本本文将从从公司的的网络系系统业务务需求分分析和接接入需求求分析出出发，横横向从生生产系统统网络、运运维系统统网络，纵纵向从核核心层、隔隔离层、接接入层角角度，集集中考虑虑业务系系统、接接入系统统对网络络的需求求，从而而形成张张江网络络系统的的网络设设计方案案。3 网络设备命命名在鹏越惊虹虹技术有有限公司司网络实实验室建建设中，与与网络建建设有关关的设备备主要

6、有有：l Ciscoo路由器器/交换机机l NetSccreeen防火火墙l F5负载均均衡器l Allott流量管管理设备备(不一定定完全上上)以上设备主主机名按按本章的的定义规规则进行行命名，命命名规则则所定义义的约定定需求能能够很容容易标识识设备所所属区域域、设备备型号以以及序号号。方便便网络运运维人员员、系统统管理人人员和资资产管理理人员的的日后工工作。3.1 生产网设备备命名规规范设备命名规规则：字字段1字段22字段3-（字段段4）-n字段1标识设备所所属区域域，长度度1字符符：Z：张江（只只有一地地的话，可可以不写写）字段2标识设备所所属区域域核心层分为为下面两两个区域域：l TG

7、：主机机连接核心心层交换换机接入层以AA开头，以以一位数数字表示示各子区区域l A1：互联联网接入入l A2：专线线接入3.2 运维网设备备命名规规范设备命名规规则：字字段1字段22字段33字段1标识设备所所属区域域，长度度1字符符：Z：张江（只只有一地地的话，可可以不写写）字段2标识设备所所属功能能区域l MBON：交换机机l YW：运维维字段3标识设备类类型网管区使用用CORRE表示示网络机机房中的的汇聚交交换机，在在服务器器机房中中的使用用机柜编编号作为为标识；其他区区域的字字段三采采用下面面的标识识l FW：NeetSccreeen防火火墙l R：Cissco路路由器l SW：Ciis

8、coo交换机机3.3 设备名称一一览设备描述设备名称核心层主机系统交交换机11Z-TG-1主机系统交交换机22Z-TG-2隔离层互联网接入入交换机机Z-37550-ffronnt互联网核心心交换机机1Z-COORE-1互联网核心心交换机机2Z-CORRE-22接入层互联网出口口路由器器1Z-A1-R-11互联网出口口路由器器2Z-A1-R-22互联网流量量管理设设备Z-A1-BM互联网接入入防火墙墙1Z-A1-FW-11互联网接入入防火墙墙2Z-A1-FW-2互联网接入入交换机机Z-A1-SW互联网链路路均衡设设备1Z-A1-LC-1互联网链路路均衡设设备2Z-A1-LC-2互联网接入入汇聚交

9、交换机Z-A1-SW-HJ专线路由器器1Z-A2-R-11专线路由器器2Z-A2-R-22专线接入交交换机Z-A2-SW专线接入防防火墙11Z-A2-FW-1专线接入防防火墙22Z-A2-FW-2专线接入汇汇聚交换换机Z-A2-SW-HJ运维网网管核心交交换机Z-MOBBN-CCOREE运维网核心心防火墙墙Z-MOBBN-FFW4 IP地址和和Vlaan规划划为了使新中中心的IIP地址址具有更更好的可可扩展性性，以及及IP地地址的层层次清晰晰，新的的数据网网将启用用全新的的IP地地址。新新分配的的IP地地址层次次分明，将将清晰的的体现网网络结构构，便于于日后的的管理和和维护。4.1 生产网IP

10、P地址和和Vlaan规划划l 核心层应用用系统IIP地址址和Vllan规规划此段地址可可以是复复用地址址段，大大家的核核心内网网的地址址可以使使用一样样的。核心层区域域IP地址段段Vlan ID主机托管192.1168.1-10/244自定l 隔离层应用用系统IIP地址址和Vllan规规划隔离层区域域IP地址段段Vlan ID互联网区域域10.0.VLAAN.0/2242-63l 接入层应用用系统IIP地址址和Vllan规规划接入层区域域IP地址段段Vlan ID专线系统172.00.0-2544.00/244无4.2 运维网IPP地址和和Vlaan规划划运维网区域域IP地址段段Vlan ID

11、VPN接入入部分172.11.1000.0/24无MBON区区172.11.1.00/2442985 设备配置整整体规范范5.1 VTPprrotoocoll生产网里，所有Cisco交换机的VTP 模式设置为Transparent模式，在每台启用VLAN的交换机上手工建立VLAN信息。5.2 Spannningg Trree生成树启用用协议： Pvvst在隔离层中中，汇聚聚交换机机（65506和37750）作作为网间间网VLLAN生生成树的的根，其其中编号号是1的的交换机机作为PPrimmaryy ROOOT，编编号是22的交换换机作为为Secconddaryy ROOOT。启用Pvsst后，

12、不不连接交交换机的的端口的的PorrtFaast功功能默认认打开。5.3 HSRP在隔离层的的接入交交换机上上的接入入VLAAN端口口和互联联网区的的核心交交换机上上的网间间网VLLAN端端口开启启HSRRP功能能。其中中编号是是1的交交换机的的默认状状态为AActiive，优优先级为为1100；编号号是2的的交换机机作为默默认状态态为Sttanddby，优优先级为为90。在设备备上配置置HSRRP 抢抢占。5.4 路由协议在目前已知知的条件件下，网网络实验验室的专专线接入入区（AA2）使用用OSPPF动态态路由协协议，其其他区域域都使用用静态路路由。5.5 设备安全配配置5.5.1 设备访问

13、控控制l 访问超时line conn 0exec-timmeouut 55 0line vtyy 0 4exec-timmeouut 55 0l 访问源限制制ip acccesss-llistt sttanddardd TeelneetAuuth permmit 1722.1.1.0 0.00.0.2555line vtyy 0 4 acceess-claass TellnettAutth iinl SNMP为设备安全全起见，SSNMPP被使用用在只读读模式，不不在设备备上配置置RW字字串。并并且配置置ACLL，限制制访问源源。accesss-llistt 999 peermiit 1172.

14、1.11.0 0.00.0.2555snmp-serrverr coommuunitty ssfitt ROO 9995.5.2 网络设备服服务l 关闭全局不不需要的的服务no seerviice finngerrno seerviice paddno seerviice udpp-smmalll-seerveersno seerviice tcpp-smmalll-seerveersno ipp boootpp seerveerno ipp htttp serrverrno ipp fiingeerno ipp soourcce-rroutteno ipp grratuuitoous-arp

15、psno ipp doomaiin-llookkupno ipp htttp seccuree-seerveerl 关闭接口不不需要的的服务no ipp reedirrecttsno ipp diirecctedd-brroaddcasstno ipp prroxyy-arrpno ipp unnreaachaableesl 开启提高设设备安全全性的服服务serviice passswoord-enccrypptioon5.5.3 设备端口安安全配置置l 通用配置1. 不使用的端端口配置置为Shhutddownn2. 光纤端口上上开启UUDLDDl 广域网/互互联网接接入路由由器在连接外联联设

16、备的的接口上上关闭ccdp（nno ccdp enaablee）l 服务器接入入交换机机1. 连接服务器器的端口口配置为为Acccesss模式2. 连接服务器器的端口口配置pporttfasst和bbpduuguaard、bbpduufillterr5.6 设备互联规规范鹏越惊虹网网络实验验室生产产网中的的冗余设备备互联分分为主要要有以下下三种情况况需要进进行说明明。5.6.1 冗余37550交换换机连接接冗余665066交换机机这种情况主主要指隔隔离层的的核心665066交换机机连接隔隔离层接接入37750交交换机和和接入层层的汇聚聚37550交换换机。如如下图所所示。两台37550交换换机

17、使用用堆叠方方式组成成逻辑上上的一台台交换机机；两台台65006交换换机使用用引擎上上的两个个光纤口口组成EEtheerChhannnel进进行互联联。每台台37550交换换机上各各拿出一一个端口口，使用用LACCP协议议组成EEtheerChhannnel连连接到665066上。65006和337500之间使使用虚拟拟网间网网Vlaan端口口进行互互联，并并在65506的的互联端端口上允允许这些些Vlaan通过过。这样样当某一一台37750发发生故障障时，不不会引起起网间网网Vlaan的SSpannninng-TTreee（生成成树）的的状态变变化。在65066上的网网间网VVlann端口（

18、IInteerfaace Vlaan）开开启HSSRP协协议，337500的静态态路由的的下一条条地址就就是HSSRP的的虚拟地地址。5.6.2 冗余37550交换换机连接接非冗余余NettScrreenn防火墙墙这种情况主主要指接接入层互互联网接接入区的的接入2208防防火墙连连接37750交交换机。如如下图所所示。两台37550交换换机使用用堆叠方方式组成成逻辑上上的一台台交换机机。每台NNetSScreeen 2088防火墙墙使用两两个端口口分别连连接到两两台37750交交换机上上，通过使使用特有有的Reedunndannt特性性，两个个端口绑绑定在同同一个冗冗余组里里互相备备份。默默认

19、情况况下，所所有的数数据应当当通过左左侧的交交换机，当端口或线路发生故障时，备用端口将自动进行切换，数据流向右侧的交换机。5.6.3 冗余37550交换换机连接接冗余防防火墙这种情况主主要指接接入层专专线接入入区（AA2）中的的NettScrreenn ISSG 110000防火墙墙连接内内外两侧侧的37750交交换机。两台37550交换换机使用用堆叠方方式组成成逻辑上上的一台台交换机机。每台台NettScrreenn 2008防火火墙使用用两个端端口分别别连接到到同一台台37550交换换机上，通过使用特有的Redundant特性，两个端口绑定在同一个冗余组里互相备份；只有在交换机发生故障或交

20、换机与防火墙之间的两根线都断开时，防火墙才进行切换。6 生产系统网网络设计计6.1 生产网络设设计及区区域划分分网络整体设设计的主主要思路路采用核核心、隔隔离、接接入的垂垂直分层层的网络络架构，模模块化的的设计原原则，使使得整体体网络按按照业务务的不同同，可以以实现模模块化建建设和模模块化管管理。各各区域网网络描述述及作用用如下。l 核心层生产网络的的核心层层包括托托管系统统的服务务器和内内部总线线，按照照不同业业务的又又可以分分为主机机系统l 隔离层隔离层由服服务器接接入交换换机和汇汇聚交换换机组成成，上端端连接系系统各业业务的前前置服务务器，下下端与各各类接入入线路链链接。在在隔离层层上还

21、需需要考虑虑不同系系统的不不同业务务之间的的隔离。l 接入层接入层用于于外部线线路的接接入以及及安全上上的防护护，主要要可以分分为互联联网接入入、专线线接入。6.2 Vlan和和IP地地址分配配6.2.1 应用系统VVlann和IPP地址分分配l 主机系统IIP地址址分配IP地址用户1192.1168.1.00/244用户2192.1168.2.00/244用户n192.1168.n.00/244l 隔离层交易易区（A1）IPP地址和和Vlaan分配配主机系统每每个用户户分配一一段C类类地址IP地址Vlan ID用户110.0.1.00/2441用户210.0.2.00/2442其余设备之之间

22、的互互联Vllan和和IP地地址的分分配如下下：设备名称端口IP地址对端设备端口IP地址3750-froontvlan 100010.0.1000.3/24Z-CORRE-11Z-CORRE-22Vlan 100010.0.1000.1/2410.0.1000.2/24Z-CORRE-11Z-CORRE-22vlan 200010.0.2000.1/2410.0.2000.2/24Hsrp:10.0.2200.4Z-A1-SW-HJVlan 200010.0.2000.3/24Z-A1-SW-HJVlan 210010.0.2100.3/24Z-A1-LC-1Z-A1-LC-22.110.0.

23、2100.1/2410.0.2100.2/24Vip:110.2210.0.44Z-A1-LC-1Z-A1-LC-21.110.0.2200.1/2410.0.2200.2/24Vip:110.00.2220.44Z-A1-FW-1redunndannt110.0.2200.3/24Z-A1-LC-1Z-A1-LC-21.210.0.2300.1/2410.0.2300.2/24Vip:110.00.2330.44Z-A1-FW-2redunndannt110.0.2300.3/24Z-CORRE-11Z-CORRE-22Vlan 3000192.330.00.1/24192.330.00.2

24、/24Vip:1192.30.0.44Z-A2-SW-HJVlan 3000192.330.00.3/24Z-A2-SW-HJVlan 3100192.331.00.1/24Z-A2-FW-1Z-A2-FW-2redunndannt1192.331.00.2/24Z-A2-FW-1Z-A2-FW-2redunndannt2192.332.00.2/24Z-A2-SWVlan 3200192.332.00.1/24Z-A2-SWVlan 3300192.333.00.3/24Z-A2-R-11Z-A2-R-22G0/0G0/0192.333.00.1/24192.333.00.2/24Z-A2-

25、SWVlan 3400192.334.00.3/24Z-A2-R-11Z-A2-R-22G0/1G0/1192.334.00.1/24192.334.00.2/246.2.2 专线广域网网和局域域网IPP地址分分配l 广域网间网网IP地地址分配配每条专线的的广域网网间网从从10.2544.1.0/24分配配一段330位掩掩码的地地址。 l 局域网地址址每套系统的的客户端端从1772.00.00-2554.0/224中分分配一段段C类地地址。6.3 核心层设计计6.3.1 主机系统核核心设计计主机系统的的服务器器通过单单独的网网卡连接接到一组组组冗余余交换机机上，组组成主机机系统的的内部总总线。

26、系统可可以通过过专线接接入路由由器直接接接入内内部总线线，对系系统进行行管理和和维护。6.4 隔离层设计计隔离层就是是互联网网区（A1）。接接入交换换机摆放放在服务务器机房房的排头头柜里，负负责连接接本排机机柜里的的交易系系统前置置交换机机，前置置交换机机的网关关都部署署在接入入交换机机上。汇汇聚交换换机摆放放在网络络机房内内，一侧侧连接排排头柜的的隔离层层接入交交换机，另另一侧连连接接入入层的汇汇聚交换换机。6.4.1 互联网区（A1）设计互联网区一一侧连接接主机系系统，另一侧侧连接接入入层互联联网接入入区（AA1）和和专线接接入区（AA2）。互联网区前前置服务务器的网网关都部署署在接入入交

27、换机机上。对于主主机系统统，每套套系统分分配一段段C类地地址。在互联网区区37550-ffronnt的接接入交换换机上配配置访问问控制列列表（AACL），阻止不同系统之间的通讯，避免各套系统之间的相互访问所可能产生的安全隐患。以主机系统1为例，其交易前置机的网段为10.0.8.0/24，Vlan ID是8。在Interface Vlan 8上配置一个方向为In的ACL，ACL一共有三个条目：l permiit iip 110.0.8.0 00.0.0.2255 10.0.8.0 00.0.0.2255l deny ip 10.0.8.0 00.0.0.2255 10.0.0.0 00.0.25

28、55.2555l permiit iip 110.0.8.0 00.0.0.2255 anyy6.5 接入层设计计接入层分为为2个区域域：互联联网接入入区（AA1）、专线接入区（A2）。6.5.1 互联网接入入区（AA1）设设计一台Alllot NettEnfforccerAAC-8804带带宽管理理设备。AC-804共有4个千兆以太网电口，可以同时管理两条互联网线路上的流量，定制并生成相应的报表。由于采用的外置的旁路（bypass）模块，因此在设备发生故障时也不对网络产生影响。Allott内侧是是两台NNetSScreeen 2088防火墙墙，每台台防火墙墙连接一一条互联联网线路路，负责责互

29、联网网线路上上的访问问控制和和IP地地址转换换。在NNetSScreeen 2088防火墙墙内侧是是由两台台Cissco 37550堆叠叠而成的的一组交交换机。通通过NeetSccreeen特有有的Reedunndannt GGrouup特性性，将每每台NeetSccreeen 2208分分别连接接到两台台Cissco 37550交换换机上，避避免了单单点故障障的发生生。两台F5 Bipp-IPP 34400 Linnk CConttrolllerr链路负负载均衡衡设备的的主要功功能是实实现Innbouund方方向的数数据流的的原进原原出。另另外，在在F5上上配置目目标地址址为所有有地址、类类

30、型为PPerfformmancce LLayeer4的的VS（虚虚拟服务务器），Pool Member为两台208的内口地址。根据需要选择两个Member同时使用还是一主一备，保证Outbound方向的数据流可以顺利通过F5。F5后侧是是由两台台Cissco 37550堆叠叠而成的的一组交交换机，负负责连接接上面的的隔离层层交易区区汇聚交交换机。6.5.2 专线接入区区（A22）设计计专线接入区区A2主要是是用于远远程专线线的接入入。在接接入路由由器和接接入交换换机之间间启用OOSPFF动态路路由，实实现同一一会员多多条专线线之间的的冗余和和自动切切换。如上图所示示。所有有的路由由器通过过通过

31、两两条不同同的链路路上联至至接入交交换机上上，两条条链路分分别属于于不同的的vlaan，两个VVlann分属于于两台337500交换机机。对于于来自会会员方向向的数据据，路由由器将优优先选择择COSST累加加值小的的链路。在正常情况下，专线接入路路由器上上配置到到所连接接专网的的静态路路由，在在OSPPF AAreaa 0中中重分发发。在路路由重分分发时配配合rooutee-maap技术术，就可可以有效效的管理理会员的的交易专专线。对对于有两两条线路路的会员员，在主主线路连连接的路路由器上上将静态态路由重重分发到到OSPPF AAreaa 0中中的meetriic的值值为500，备用用线路连连

32、接的路路由器上上将静态态路由重重分发到到OSPPF AAreaa 0中中的meetriic的值值为1000；对对于只有有一条专专线的会会员，其其重分发发的meetriic也是是50。正正常情况况下，去去往会员员端的数数据流将将通过主主用线路路；当主主线路故故障时，流流量将通通过备份份线路去去往会员员端。线线路故障障的切换换时间不不超过22秒，设设备故障障的切换换时间不不超过55秒。接入交换机机内侧是是一组NNetSScreeen ISGG 10000防防火墙，负负责专线线接入区区的安全全隔离和和访问控控制，使使每根专专线只能能访问自自己的主主机系统统。ISSG 110000后侧是是由两台台Cissco 37550堆叠叠而成的的一组汇汇聚交换换机，负负责连接接上面的的核心交换换机。