《网络实验室建设项目方案31429.docx》由会员分享,可在线阅读,更多相关《网络实验室建设项目方案31429.docx(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 上海鹏越惊虹技术有限公司网络实验室项目 上海鹏越惊惊虹技术有有限公司网络实验室室项目网络实施方方案Versiion 11.0文档属性属性内容项目名称:上海鹏越惊惊虹技术有有限公司网网络实验室室项目文档标题:上海鹏越惊惊虹技术有有限公司网网络实验室室项目网络络实施方案案文档版本号号:Versiion 11.0版本日期:2009-10-004文档状态:初稿作者:邵勇文档变更过过程版本修正日期修正人描述1.02009-10-002邵勇文档初稿概述1.1 文档目的撰写此文的的主要目的的是为了保保障“上海鹏越越惊虹技术术有限公司司网络实验验室项目”的顺利实实施,根据据上海鹏越越惊虹技术术有限公司司网络
2、建设设需求,制制定出网络络实验室的的实施规范范和方法。在实际实施施工作前,将将所有实施施步骤、方方法和各方方需完成的的任务明确确。1.2 文档适用人人员本文档资料料主要面向向负责“上海鹏越惊惊虹技术有有限公司网网络实验室室项目”的设计和和实施的上上海鹏越惊惊虹技术有有限公司的的网络技术术人员,管管理人员;以便通过过参考本文文档资料顺顺利完成上上海鹏越惊惊虹技术有有限公司网网络实验室室项目。1.3 文档内容范范围本文档内容容基于Ciisco 38255、Cissco 33845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208、F5等
3、产品,涵盖了此次上海鹏越惊虹网络实验室(灾备)项目路由、交换安全、网管相关工程内容的工程实施设计方案:1.3.1 实施原则l 实施步骤的的完整性,对对于每一个个实施步骤骤各方所需需要执行的的动作有明明确的规定定,有精确确的时间顺顺序安排,对对每一个动动作有详细细的操作步步骤,对每每一个执行行的动作都都有相应的的检查是否否完成的步步骤,达到到任何一个个只要具有有实际实施施经验的工工程师都能能按实施方方案完成执执行动作。l 详细描述实实施方案的的风险和局局限性,明明确使用实实施方案所所应承担的的风险和将将导致的后后果。l 在实施前需需要各参与与单位和人人员最终确确认实施方方案的正确确性、明确确各方
4、所执执行的动作作和担负的的责任。l 对于检查实实施方案的的每一个阶阶段是否达达到方案要要求,需要要有每一阶阶段的测试试内容,明明确那些测测试在指定定时间点不不能完成或或完成后测测试结果不不正确的情情况下需要要采用网络络回退方案案,不再执执行实施方方案的下一一个执行动动作或不进进入下一个个实施阶段段。2 项目介绍2.1 项目简介上海鹏越惊惊虹技术有有限公司将将于近期完完成网络实实验室的建建设,为了了公司目前前及今后的的各种业务务应用提供供可靠、稳稳定、先进进、高效的的网络测试试环境。网络实验验室系统主主要包括生生产系统网网络、运维维管理网络络。目前,上海海鹏越惊虹虹正在张江江建设网络络实验室,作
5、作为以提供供员工对于于网络测试试的需求,在在这样的背背景下,需需要启动网网络系统的的建设,以以提供公司司测试环境境网络。有鉴于此,本本文将从公公司的网络络系统业务务需求分析析和接入需需求分析出出发,横向向从生产系系统网络、运运维系统网网络,纵向向从核心层层、隔离层层、接入层层角度,集集中考虑业业务系统、接接入系统对对网络的需需求,从而而形成张江江网络系统统的网络设设计方案。3 网络设备命命名在鹏越惊虹虹技术有限限公司网络络实验室建建设中,与与网络建设设有关的设设备主要有有:l Ciscoo路由器/交换机l NetSccreenn防火墙l F5负载均均衡器l Allott流量管理理设备(不一定完
6、完全上)以上设备主主机名按本本章的定义义规则进行行命名,命命名规则所所定义的约约定需求能能够很容易易标识设备备所属区域域、设备型型号以及序序号。方便便网络运维维人员、系系统管理人人员和资产产管理人员员的日后工工作。3.1 生产网设备备命名规范范设备命名规规则:字段段1字段2字段3-(字字段4)-n字段1标识设备所所属区域,长长度1字符符:Z:张江(只只有一地的的话,可以以不写)字段2标识设备所所属区域核心层分为为下面两个个区域:l TG:主机机连接核心层层交换机接入层以AA开头,以以一位数字字表示各子子区域l A1:互联联网接入l A2:专线线接入3.2 运维网设备备命名规范范设备命名规规则:
7、字段段1字段2字段3字段1标识设备所所属区域,长长度1字符符:Z:张江(只只有一地的的话,可以以不写)字段2标识设备所所属功能区区域l MBON:交换机l YW:运维维字段3标识设备类类型网管区使用用COREE表示网络络机房中的的汇聚交换换机,在服服务器机房房中的使用用机柜编号号作为标识识;其他区区域的字段段三采用下下面的标识识l FW:NeetScrreen防防火墙l R:Cissco路由由器l SW:Ciisco交交换机3.3 设备名称一一览设备描述设备名称核心层主机系统交交换机1Z-TG-1主机系统交交换机2Z-TG-2隔离层互联网接入入交换机Z-37550-frront互联网核心心交换
8、机11Z-COORE-11互联网核心心交换机22Z-CORRE-2接入层互联网出口口路由器11Z-A1-R-1互联网出口口路由器22Z-A1-R-2互联网流量量管理设备备Z-A1-BM互联网接入入防火墙11Z-A1-FW-1互联网接入入防火墙22Z-A1-FW-2互联网接入入交换机Z-A1-SW互联网链路路均衡设备备1Z-A1-LC-11互联网链路路均衡设备备2Z-A1-LC-22互联网接入入汇聚交换换机Z-A1-SW-HHJ专线路由器器1Z-A2-R-1专线路由器器2Z-A2-R-2专线接入交交换机Z-A2-SW专线接入防防火墙1Z-A2-FW-11专线接入防防火墙2Z-A2-FW-22专线
9、接入汇汇聚交换机机Z-A2-SW-HHJ运维网网管核心交交换机Z-MOBBN-COORE运维网核心心防火墙Z-MOBBN-FWW4 IP地址和和Vlann规划为了使新中中心的IPP地址具有有更好的可可扩展性,以以及IP地地址的层次次清晰,新新的数据网网将启用全全新的IPP地址。新新分配的IIP地址层层次分明,将将清晰的体体现网络结结构,便于于日后的管管理和维护护。4.1 生产网IPP地址和VVlan规规划l 核心层应用用系统IPP地址和VVlan规规划此段地址可可以是复用用地址段,大大家的核心心内网的地地址可以使使用一样的的。核心层区域域IP地址段段Vlan ID主机托管192.1168.1-
10、100/244自定l 隔离层应用用系统IPP地址和VVlan规规划隔离层区域域IP地址段段Vlan ID互联网区域域10.0.VLANN.0/242-63l 接入层应用用系统IPP地址和VVlan规规划接入层区域域IP地址段段Vlan ID专线系统172.00.0-254.0/244无4.2 运维网IPP地址和VVlan规规划运维网区域域IP地址段段Vlan IDVPN接入入部分172.11.100.0/244无MBON区区172.11.1.0/242985 设备配置整整体规范5.1 VTPprrotoccol生产网里,所有Cisco交换机的VTP 模式设置为Transparent模式,在每台
11、启用VLAN的交换机上手工建立VLAN信息。5.2 Spannning Treee生成树启用用协议: Pvstt在隔离层中中,汇聚交交换机(66506和37550)作为为网间网VVLAN生生成树的根根,其中编编号是1的的交换机作作为Priimaryy ROOOT,编号号是2的交交换机作为为Secoondarry ROOOT。启用Pvsst后,不不连接交换换机的端口口的PorrtFasst功能默默认打开。5.3 HSRP在隔离层的的接入交换换机上的接接入VLAAN端口和和互联网区区的核心交交换机上的的网间网VVLAN端端口开启HHSRP功功能。其中中编号是11的交换机机的默认状状态为Acctiv
12、ee,优先级级为1100;编号是是2的交换换机作为默默认状态为为Stanndby,优优先级为990。在设备上上配置HSRRP 抢占占。5.4 路由协议在目前已知知的条件下下,网络实实验室的专专线接入区区(A2)使用OOSPF动动态路由协协议,其他他区域都使使用静态路路由。5.5 设备安全配配置5.5.1 设备访问控控制l 访问超时line con 0exec-timeeout 5 0line vty 0 4exec-timeeout 5 0l 访问源限制制ip acccesss-lisst sttandaard TTelneetAutth permmit 1172.11.1.0 00.0.00
13、.2555line vty 0 4 acceess-cclasss TellnetAAuth inl SNMP为设备安全全起见,SSNMP被被使用在只只读模式,不不在设备上上配置RWW字串。并并且配置AACL,限限制访问源源。accesss-liist 999 peermitt 1722.1.11.0 00.0.00.2555snmp-servver ccommuunityy sfiit ROO 995.5.2 网络设备服服务l 关闭全局不不需要的服服务no seervicce fiingerrno seervicce paadno seervicce uddp-smmall-servvers
14、no seervicce tccp-smmall-servversno ipp boootp sserveerno ipp htttp seerverrno ipp finngerno ipp souurce-routteno ipp graatuittous-arpssno ipp dommain-lookkupno ipp htttp seecuree-serrverl 关闭接口不不需要的服服务no ipp reddirecctsno ipp dirrecteed-brroadccastno ipp prooxy-aarpno ipp unrreachhableesl 开启提高设设备安全性
15、性的服务serviice ppasswword-encrryptiion5.5.3 设备端口安安全配置l 通用配置1. 不使用的端端口配置为为Shuttdownn2. 光纤端口上上开启UDDLDl 广域网/互互联网接入入路由器在连接外联联设备的接接口上关闭闭cdp(nno cddp ennablee)l 服务器接入入交换机1. 连接服务器器的端口配配置为Acccesss模式2. 连接服务器器的端口配配置porrtfasst和bppduguuard、bbpduffilteer5.6 设备互联规规范鹏越惊虹网网络实验室室生产网中中的冗余设备互互联分为主主要有以下下三种情况需需要进行说说明。5.6.
16、1 冗余37550交换机机连接冗余余65066交换机这种情况主主要指隔离离层的核心心65066交换机连连接隔离层层接入37750交换换机和接入入层的汇聚聚37500交换机。如如下图所示示。两台37550交换机机使用堆叠叠方式组成成逻辑上的的一台交换换机;两台台65066交换机使使用引擎上上的两个光光纤口组成成EtheerChaannell进行互联联。每台33750交交换机上各各拿出一个个端口,使使用LACCP协议组组成EthherChhanneel连接到到65066上。65066和37550之间使使用虚拟网网间网Vllan端口口进行互联联,并在66506的的互联端口口上允许这这些Vlaan通过
17、。这这样当某一一台37550发生故故障时,不不会引起网网间网Vllan的SSpannning-Treee(生成树树)的状态态变化。在65066上的网间间网Vlaan端口(IInterrfacee Vlaan)开启启HSRPP协议,33750的的静态路由由的下一条条地址就是是HSRPP的虚拟地地址。5.6.2 冗余37550交换机机连接非冗冗余NettScreeen防火火墙这种情况主主要指接入入层互联网网接入区的的接入2008防火墙墙连接37750交换换机。如下下图所示。两台37550交换机机使用堆叠叠方式组成成逻辑上的的一台交换换机。每台NeetScrreen 208防防火墙使用用两个端口口分
18、别连接接到两台33750交交换机上,通过使用用特有的RRedunndantt特性,两两个端口绑绑定在同一一个冗余组组里互相备备份。默认认情况下,所所有的数据据应当通过过左侧的交交换机,当当端口或线路路发生故障障时,备用端口口将自动进进行切换,数数据流向右右侧的交换换机。5.6.3 冗余37550交换机机连接冗余余防火墙这种情况主主要指接入入层专线接接入区(AA2)中的NNetSccreenn ISGG 10000防火墙墙连接内外外两侧的33750交交换机。两台37550交换机机使用堆叠叠方式组成成逻辑上的的一台交换换机。每台台NetSScreeen 2008防火墙墙使用两个个端口分别别连接到同
19、同一台37750交换换机上,通通过使用特特有的Reedunddant特特性,两个个端口绑定定在同一个个冗余组里里互相备份份;只有在在交换机发发生故障或或交换机与与防火墙之之间的两根根线都断开开时,防火火墙才进行行切换。6 生产系统网网络设计6.1 生产网络设设计及区域域划分网络整体设设计的主要要思路采用用核心、隔隔离、接入入的垂直分分层的网络络架构,模模块化的设设计原则,使使得整体网网络按照业业务的不同同,可以实实现模块化化建设和模模块化管理理。各区域域网络描述述及作用如如下。l 核心层生产网络的的核心层包包括托管系系统的服务务器和内部部总线,按按照不同业业务的又可可以分为主主机系统l 隔离层
20、隔离层由服服务器接入入交换机和和汇聚交换换机组成,上上端连接系系统各业务务的前置服服务器,下下端与各类类接入线路路链接。在在隔离层上上还需要考考虑不同系系统的不同同业务之间间的隔离。l 接入层接入层用于于外部线路路的接入以以及安全上上的防护,主主要可以分分为互联网网接入、专专线接入。6.2 Vlan和和IP地址址分配6.2.1 应用系统VVlan和和IP地址址分配l 主机系统IIP地址分配IP地址用户1192.1168.11.0/224用户2192.1168.22.0/224用户n192.1168.nn.0/224l 隔离层交易易区(A1)IP地地址和Vllan分配配主机系统每每个用户分分配一
21、段CC类地址IP地址Vlan ID用户110.0.1.0/241用户210.0.2.0/242其余设备之之间的互联联Vlann和IP地地址的分配配如下:设备名称端口IP地址对端设备端口IP地址3750-fronntvlan 10010.0.100.3/244Z-CORRE-1Z-CORRE-2Vlan 10010.0.100.1/24410.0.100.2/244Z-CORRE-1Z-CORRE-2vlan 20010.0.200.1/24410.0.200.2/244Hsrp:10.00.2000.4Z-A1-SW-HHJVlan 20010.0.200.3/244Z-A1-SW-HHJVl
22、an 21010.0.210.3/244Z-A1-LC-11Z-A1-LC-222.110.0.210.1/24410.0.210.2/244Vip:110.2110.0.4Z-A1-LC-11Z-A1-LC-221.110.0.220.1/24410.0.220.2/244Vip:110.0.220.4Z-A1-FW-1redunndantt110.0.220.3/244Z-A1-LC-11Z-A1-LC-221.210.0.230.1/24410.0.230.2/244Vip:110.0.230.4Z-A1-FW-22redunndantt110.0.230.3/244Z-CORRE-1Z
23、-CORRE-2Vlan 300192.330.0.1/244192.330.0.2/244Vip:1192.330.0.4Z-A2-SW-HHJVlan 300192.330.0.3/244Z-A2-SW-HHJVlan 310192.331.0.1/244Z-A2-FW-11Z-A2-FW-22redunndantt1192.331.0.2/244Z-A2-FW-11Z-A2-FW-22redunndantt2192.332.0.2/244Z-A2-SWVlan 320192.332.0.1/244Z-A2-SWVlan 330192.333.0.3/244Z-A2-R-1Z-A2-R-2
24、G0/0G0/0192.333.0.1/244192.333.0.2/244Z-A2-SWVlan 340192.334.0.3/244Z-A2-R-1Z-A2-R-2G0/1G0/1192.334.0.1/244192.334.0.2/2446.2.2 专线广域网网和局域网网IP地址址分配l 广域网间网网IP地址址分配每条专线的的广域网间间网从100.2544.1.00/24分配一一段30位位掩码的地地址。 l 局域网地址址每套系统的的客户端从从172.0.00-2544.0/24中分配配一段C类类地址。6.3 核心层设计计6.3.1 主机系统核核心设计主机系统的的服务器通通过单独的的网卡连
25、接接到一组组组冗余交换换机上,组组成主机系系统的内部部总线。系统可以以通过专线线接入路由由器直接接接入内部总总线,对系系统进行管管理和维护护。6.4 隔离层设计计隔离层就是是互联网区区(A1)。接入入交换机摆摆放在服务务器机房的的排头柜里里,负责连连接本排机机柜里的交交易系统前前置交换机机,前置交交换机的网网关都部署署在接入交交换机上。汇汇聚交换机机摆放在网网络机房内内,一侧连连接排头柜柜的隔离层层接入交换换机,另一一侧连接接接入层的汇汇聚交换机机。6.4.1 互联网区(A1)设计互联网区一一侧连接主主机系统,另一侧连接接接入层互联联网接入区区(A1)和和专线接入入区(A2)。互联网区前前置服
26、务器器的网关都部署在在接入交换换机上。对于主机机系统,每每套系统分分配一段CC类地址。在互联网区区37500-froont的接接入交换机机上配置访访问控制列列表(ACCL),阻阻止不同系系统之间的的通讯,避避免各套系系统之间的的相互访问问所可能产产生的安全全隐患。以以主机系统统1为例,其其交易前置置机的网段段为10.0.8.0/244,Vlaan IDD是8。在在Inteerfacce Vllan 88上配置一一个方向为为In的AACL,AACL一共共有三个条条目:l permiit ipp 10.0.8.00 0.00.0.2255 110.0.8.00 0.00.0.2255l deny
27、ip 10.0.8.00 0.00.0.2255 110.0.0.00 0.00.2555.2555l permiit ipp 10.0.8.00 0.00.0.2255 aany6.5 接入层设计计接入层分为为2个区域:互联网接接入区(AA1)、专专线接入区区(A2)。6.5.1 互联网接入入区(A11)设计一台Alllot NNetEnnforccerACC-8044带宽管理理设备。AAC-8004共有44个千兆以以太网电口口,可以同同时管理两两条互联网网线路上的的流量,定定制并生成成相应的报报表。由于于采用的外外置的旁路路(byppass)模模块,因此此在设备发发生故障时时也不对网网络产
28、生影影响。Allott内侧是两两台NettScreeen 2208防火火墙,每台台防火墙连连接一条互互联网线路路,负责互互联网线路路上的访问问控制和IIP地址转转换。在NNetSccreenn 2088防火墙内内侧是由两两台Cissco 33750堆堆叠而成的的一组交换换机。通过过NetSScreeen特有的的Reduundannt Grroup特特性,将每每台NettScreeen 2208分别别连接到两两台Cissco 33750交交换机上,避避免了单点点故障的发发生。两台F5 Bip-IP 33400 Linkk Conntrolller链链路负载均均衡设备的的主要功能能是实现IInbo
29、uund方向向的数据流流的原进原原出。另外外,在F55上配置目目标地址为为所有地址址、类型为为Perfformaance Layeer4的VVS(虚拟拟服务器),Pool Member为两台208的内口地址。根据需要选择两个Member同时使用还是一主一备,保证Outbound方向的数据流可以顺利通过F5。F5后侧是是由两台CCiscoo 37550堆叠而而成的一组组交换机,负负责连接上上面的隔离离层交易区区汇聚交换换机。6.5.2 专线接入区区(A2)设计专线接入区区A2主要是用用于远程专专线的接入入。在接入入路由器和和接入交换换机之间启启用OSPPF动态路路由,实现现同一会员员多条专线线之
30、间的冗冗余和自动动切换。如上图所示示。所有的的路由器通通过通过两两条不同的的链路上联联至接入交交换机上,两两条链路分分别属于不不同的vllan,两个Vllan分属属于两台33750交交换机。对对于来自会会员方向的的数据,路路由器将优优先选择CCOST累累加值小的的链路。在在正常情况况下,专线接入路路由器上配配置到所连连接专网的的静态路由由,在OSSPF AArea 0中重分分发。在路路由重分发发时配合rroutee-mapp技术,就就可以有效效的管理会会员的交易易专线。对对于有两条条线路的会会员,在主主线路连接接的路由器器上将静态态路由重分分发到OSSPF AArea 0中的mmetriic的
31、值为为50,备备用线路连连接的路由由器上将静静态路由重重分发到OOSPF Areaa 0中的的metrric的值值为1000;对于只只有一条专专线的会员员,其重分分发的meetricc也是500。正常情情况下,去去往会员端端的数据流流将通过主主用线路;当主线路路故障时,流流量将通过过备份线路路去往会员员端。线路路故障的切切换时间不不超过2秒秒,设备故故障的切换换时间不超超过5秒。接入交换机机内侧是一一组NettScreeen IISG 11000防防火墙,负负责专线接接入区的安安全隔离和和访问控制制,使每根根专线只能能访问自己己的主机系系统。ISSG 10000后侧侧是由两台台Ciscco 37750堆叠叠而成的一一组汇聚交换机机,负责连连接上面的的核心交换机机。