割接实施方案德邦证券公司IDC改造

1、德邦公司idc改造实施方案德邦证券公司idc改造实施方案德邦证券公司idc改造实施方案目录第1章idc网络现状31.1 idc网络改造项目需求31.1.1 概述31.1.2 idc网络现状31.1.3 idc网络现状拓扑31.1.4 总体功能要求5第2章网络改造深化设计说明62.1 网络改造深化设计说明62.2 方案设计总则72.2.1 成熟性与实用性72.2.2 集成性和可扩展性72.2.3 服务性与便利性72.3 方案设备清单72.3.1 方案设备清单72.4 方案设计拓扑82.4.1 idc网络改造方案规划拓朴8第3章idc网络改造深化设计步骤103.1 idc机房内综合布线的实施、整理

2、103.1.1 广州idc机房内综合布线的实施、整理103.1.2 上海idc机房内综合布线的实施、整理103.2 idc机房内现有网络、服务器设备情况103.2.1 广州idc现有网络、服务器设备情况103.2.2 上海idc现有网络、服务器设备情况153.3 改造升级后网络规划163.3.1 广州idc升级后网络设备ip对应情况183.3.2 广州idc升级后交换机端口对应情况 广州idc广域网交换机ws-c2960g-a 广州idc广域网交换机ws-c2960g-b 广州idc核心交换机1：cisco ws-c3560g-a213.3

3、.2.4 广州idc核心交换机2：cisco ws-c3560g-b233.3.3 广州idc网络改造后服务器应用端口对应情况243.3.4 广州idc升级后网络路由及防火墙安全策略283.3.5 上海idc升级后网络设备ip对应情况283.3.6 上海idc升级后服务器ip对应情况283.3.7 上海idc升级后网络端口对应情况2 上海idc外网交换机cisco s2960-a2 上海idc内网交换机cisco s3560-a303.3.8 上海idc升级后网络路由及防火墙安全策略31第4章网络割接实施步骤324.1 网络割接实施步骤说明324.2 确定网络改

4、造切割实施方案时间表324.3 广州idc交换机3560g配置、测试324.4 广州idc防火墙isg 1000配置、测试324.5 广州idc多链路负载均衡设备f5 lc1600配置、测试324.6 广州idc交换机、防火墙、负载均衡设备上线、割接324.7 广州idc网络割接失败回退措施334.8 上海idc交换机3560g配置、测试334.9 上海idc防火墙isg 1000配置、测试334.10 上海idc交换机、防火墙上线、割接334.11 上海idc网络割接失败回退措施33- 9 -第1章 idc网络现状1.1 idc网络改造项目需求1.1.1 概述德邦证券公司idc安全建设的总体

5、目标是：保证公司广州、上海idc机房服务器的安全、稳定、可靠的运行，为证券公司信息化建设提供持续源动力和保障体系。1.1.2 idc网络现状现阶段网络存在的问题：1 广州、上海idc机房服务器都是直接挂在公网上，给客户端访问，没有网络安全设备进行防护，存在很大的网络安全隐患；2 广州idc服务器群都接在几台cisco的2960g二层交换机上，没有二层设备的冗余；3 公司网通客户端访问广州idc机房的服务器时经常觉得慢，导致业务效率低下。1.1.3 idc网络现状拓扑德邦证券公司idc 网络现状拓扑如下：1.1.4 总体功能要求idc机房网络改造的初期目标如下：1、 广州、上海idc机房内布线整

6、理2、 广州idc机房内的主要业务服务器所接的核心交换机增加冗余设备，以提高网络层的可靠性；3、 广州idc机房内增加防火墙安全设备以应对网络安全的威胁，并且要考虑到以后vpn设备的增加、vpn客户端的接入、与上海idc做site-to-site vpn；4、 上海idc机房新增防火墙设备以应对网络安全的威胁。5、 广域网链路要考虑电信、网通双链路的接入对网络的拓扑更改6、 考虑以后的服务器负载均衡、链路负载均衡、存储、备份等方面的长远规划。第2章 网络改造深化设计说明2.1 网络改造深化设计说明针对对德邦证券公司idc机房安全需求并从技术和管理角度进行了认真的分析和研究，提出如下深化设计、实

7、施方案建议。1. 确定网络改造切割实施方案时间表2. 广州、上海idc内综合布线的实施、整理；3. 广州、上海idc现有网络、服务器设备连线状装况、设备物理端口配置（ip 地址、掩码、网关）及各应用端口情况分布表；4. 广州、上海idc新增接入线路后公网ip地址信息，做出各服务器ip地址对应表；5. 细化网络拓朴设计；6. 规划广域网多链路的路由、防火墙安全策略、局域网交换vlan设置；7. 切割实施、回退方案测试、确定；8. 网络改造切割实施方案培训；9. 广州idc网络升级切割实施；10. 上海idc网络升级切割实施；11. 广州、上海idc之间vpn互联实施、12. 远程接入用户vpn实

8、施2.2 方案设计总则花毒科技公司经过认真细致地研究用户网络现有情况后，认为德邦证券公司idc机房安全建设中要实现企业高品质、稳定可靠的目标要求，在安全系统建设实施中，应始终坚持以下原则：2.2.1 成熟性与实用性系统应采用先进的、已使用过、成熟可靠的产品技术，同时具有实用性，充分发挥系统的功能和作用。同时能够满足网络管理的要求，操作方便，维护简单，便于管理。2.2.2 集成性和可扩展性确保系统总体结构的先进性、合理性、可扩展性和兼容性，使整个系统可以随着技术的发展和进步，不断得到充实和提高。2.2.3 服务性与便利性所采用实施的网络技术应能充分体现对客户管理者和使用者各个方面的安全、先进、可

9、靠、方便和高效等。2.3 方案设备清单2.3.1 方案设备清单序号产品代码描述数量单位用途1.1 内网交换机1-1-1cisco ws-c3560g-24ts-scatalyst 3560 24 10/100/1000t + 4 sfp + ipb image1台上海idc用1-1-2cisco ws-c3560g-48ts-scatalyst 3560 48 10/100/1000t + 4 sfp + ipb image2台广州idc用1.2. 网络防火墙1-2-1juniper ns-isg-1000ns-isg 1000 高级版, 4-10/100/1000 电口, 风扇, 单交流电源

10、, 无虚拟系统3台广州两台，aa模式；上海一台1-2-2ns-isg-1000-vsys-100 to 5ns-isg 1000 虚拟系统升级3台1-2-3原厂授权证明1套厂家授权书2.3.链路负载均衡1-3-1f5-big-lc-1600-4g-rf5链路负载均衡2台广州idc用1-3-2std-l3 service (3y)三年原厂软硬件服务2套1-3-3rma-2 (3y)三年原厂备件服务2套1-3-4f5厂家原厂授权证明1套厂家授权书1.4.机房布线整理1-4-1pmgs3-24康普六类配线架24口6个1-4-2pmgs3-48康普六类配线架48口3个需新增一个网络机柜1-4-3110

11、wb2-4500l标签白色(90条/6张/1包)3批按实际需求1-4-4gs8e-5康普六类数据跳线（5ft）144条按实际需求1-4-5gs8e-9康普六类数据跳线（9ft）40条按实际需求1-4-61071004esl千兆比双绞线4对6箱按实际需求注：机房布线整理部份清单可根据机房现场情况做适当调整。2.4 方案设计拓扑2.4.1 idc网络改造方案规划拓朴第3章 idc网络改造深化设计步骤3.1 idc机房内综合布线的实施、整理3.1.1 广州idc机房内综合布线的实施、整理8月128月20施工（主干布线、配线架上模块等安装、整理工作）3.1.2 上海idc机房内综合布线的实施、整理上海

12、idc内无须布线施工，把现有网线都更换成千兆网线（20根）3.2 idc机房内现有网络、服务器设备情况广州、上海idc现有网络、服务器设备连线状装况、设备物理端口配置（ip 地址、掩码、网关）及各应用端口情况分布表；3.2.1 广州idc现有网络、服务器设备情况应用类型主机名设备型号操作系统网卡接口ip addr/mask备注机柜位置oa单点登录应用localhosthp dl380 g6linux5.5eht383电信 h10 网通eth231内网oa单点登录应用localhosthp dl380 g6linux5.5eth3123.14.161

13、.184电信 h10 网通eth232内网oa应用localhosthp dl1610g5linux5.5eth181电信 h10 网通eth033内网oa应用dipserver2hp dl1610g5linux5.5eth1原82撤销电信 h10 网通xxxxxxxxcxxxeth024内网oa数据库oraoadb1hp dl1610g5linux5.5eth035内网h10eth0:181虚拟ipeth01心跳o

14、a数据库oraoadb2hp dl1610g5linux5.5eth036内网h10eth0:182虚拟ipeth02心跳电子地图svctag-f792n2xdell r710windows2003sp2eth496电信h09eth48网通eth444内网公司网站应用deppon-161142ce5hp dl1610g5windows2003sp2eth298电信h09eth27网通eth2

15、8内网公司网站数据库dp-protaldell 1950windows2003sp2eth90电信h09网通eth29内网业务erpeasapp1ibm p550aix5.3en103电信h11en28网通en003内网业务erpeasapp2ibm p550aix5.3电信h11en14网通en104内网en238用于license财务生产easapp3ibm p550aix5.3en2123.14.38

16、.197电信h11网通en101内网en101内网远程管理ctbsserverdell 2950windows2003sp2eth00电信g07网通eth2内网vmnet1内网vmnet8内网语音、短信dpdbserverdell 6850windows2003sp2eth206电信h09网通eth03内网eth25内网业务erp备用dpstcenter1dell r710linux5.3e

17、th004电信h11网通eth0:005内网eth201内网业务erp备用dpstcenter2dell r710linux5.3电信h11网通eth006内网数据库（生产节点1）ora570aibm p570 aix5.3en335虚拟ipg08en41心跳en230内网en323内网数据库（生产节点2）ora570bibm p570 aix5.3en42心跳h08en336虚拟

18、ipen326内网数据库（统计节点1）ora550aibm p550 aix5.3en01心跳g07en1内网en237虚拟ipen233内网数据库（统计节点2）ora550bibm p550 aix5.3en02心跳g07en238虚拟ipen234内网数据库（财务生产）stasticdataibm p550 aix5.3电信g08网通en007内网光纤交换机1博科电信g08网通98内网

19、光纤交换机2博科99内网g08网通99内网生产存储480cx4-480电信h08网通23内网24内网生产存储340cx3-340电信g08网通13内网14内网生产存储120cx4-120电信g08网通96内网97内网原oa应用svctag-cdhtq2xdell r710windows2003sp2eth443内网 h09 99电信5网通原oa数据库d

20、p3950ibm x3950 m2windows2003sp2eth40内网 h09 eth41内网eth200内网原oa前应用www-c6c328fd8dbdell 6850windows2003sp2eth42内网 h09 05电信负载均衡器f5 ltm1600a85电信h109网通37内网f5 ltm1600b86电信0网通38内网浮动i

21、p87电信1网通39内网virtual server（cas）88电信2网通46内网virtual server（portal）89电信3网通47内网数据库（报表中心节点1）bidb1ibmx3850linux5.5eth021内网h07数据库（报表中心节点2）bidb2ibmx3850linux5.5eth022内网h07应用（报表中心

22、）localhostdellr910linux5.5eth023内网h07eth166应用（报表中心）localhostdellr910linux5.5eth070内网h07eth182后勤系统应用localhostibmx3650linux5.5eth004内网h06eth164电信后勤系统应用localhostibmx3650linux5.5eth005内网h06后勤系统数据库localhostibmx3650linux5.5eth01

23、06内网h06后勤系统数据库localhostibmx3650linux5.5eth007内网h06eth041内网cacti监控cactiibmx3650m3linux5.5eth19电信h08eth042内网新条码1localhostibmx3650m2linux5.5eth167h11eth043内网新条码2localhostibmx3650m2linux5.5eth165h08电信闲置外网ip：123.14.4

24、6.165 - 90掩码：24 网关：61网通闲置外网ip：6，0 - 4掩码：24 网关：53.2.2 上海idc现有网络、服务器设备情况上海idc机房服务器情况应用类型主机名设备型号操作系统网卡接口ip addr/mask备注机柜位置数据库orahrdb1dell r710linux5.5电信网通d10eth051内网eth0:141虚拟ipeth1

25、1心跳数据库orahrdb2dell r710linux5.5电信网通eth052内网d10eth0:142虚拟ipeth2心跳hr1dphrapp1dell r710linux5.5eth16电信eth342网通d10eth054内网hr2dphrapp2dell r710linux5.5eth10电信网通d10eth053内网存储dell eq_logic46内网d10192.

26、168.2.250内网电信闲置外网ip:4-35 ，7-39，1-47掩码:40 网关:3网通闲置外网ip：40-241，43-255 掩码52互联地址01/2023.3 改造升级后网络规划广州、上海idc新增接入线路后公网ip地址信息，做出各服务器ip地址及端口对应表；规划广域网多链路的路由、防火墙安全策略、局域网交换vlan设置；德邦idc vlan划分情况序号地区ip地址网

27、段分配对象ip地址段/子网掩码ip网关vlan标号1广州idc192.168.xxx.xxx网管/241服务器内网/242财务服务2/243服务器网3_备用-7.0/224/24/24网络设备互联/28f5与juniper互联176/28f5与juniper互联28192.168.

28、255.32/28juniper与3560互联198/28juniper与3560互联210oa数据库心跳/24统计数据库心跳/24业务erp用于license38网通公网6/275692/27925电信公网60/276170/2877序号地区ip地址网段分配对象ip地址段/子网掩码ip网关vlan标号1上海idc192.

29、168.xxx.xxx网管/24网络设备互联/28f5与juniper互联176/28f5与juniper互联282/28juniper与3560互联198/28juniper与3560互联210服务器内网/24541服务器网3_备用-15.0/22数据库心跳/24网通公网00/24201/2026112

30、.65.241.240/286电信公网2/2835广州idc机房网络vlan划分情况vlanname用途子网掩码ip地址spaningtree rootsw-3560-1sw-3560-21netmg网管根2ser_lan服务器内网根 3ser_lan1财务服务2 根4app1服务器网1_备用 根5ct_int电信vlannul

31、lnull6cnc_int网通vlannullnull7f5_juniper_1f5与juniper互联40nullnull8f5_juniper_2f5与juniper互联406nullnull9juniper-switch-1sw与juniper互联402nullnull10juniper-switch-2sw与juniper互联408nullnull上海id

32、c机房网络vlan划分情况vlanname用途子网掩码ip地址spaningtree rootsw-3560-1sw-3560-21netmg网管根2ser_lan服务器内网根 3app2服务器网2_备用 根4app3服务器网3_备用 根5ct_int电信vlannullnull6cnc_int网通vlannullnull3.3.1 广州idc

33、升级后网络设备ip对应情况f5 big-lc1600-a (广州)序号端口号连接方向电路开通方向vlanvip缺省网关ip(备注)11.1wan2960-1-19ct-158861891.2wan2960-1-20cnc-162531.3wan2960-1-18isg1000-1-g1/1741.4wan2960-1-13isg1000-1-g1/38192.168.255.

34、17082mgt口11带外管理f5 big-lc1600-b (广州) 序号端口号连接方向电路开通方向vlanvip缺省网关ip(备注)11.1wan2960-2-19ct-258861901.2wan2960-2-20cnc-262541.3wan2960-2-18isg1000-2-g1/1741.4

35、wan2960-2-13isg1000-2-g1/387092mgt口12带外管理juniper isg1000-a (广州)序号端口号连接方向电路开通方向vlanvip缺省网关ip(备注)11wan2960-2-17f5-1-1.37422:9s3560-1-39内网方向93642:10s3560-1-39内网方向10192.168.255.

36、49003wan2960-1-14f5-1-1.480784juniperisg1000-2内部互联n/an/an/a内部互联口，同步数据2mgt口access带外管理juniper isg1000-b (广州)序号端口号连接方向电路开通方向vlanvip缺省网关备注11wan2960-2-17f5-2-1.37432:9s3560-2-39内网方向9192.168.2

37、55.33652:10s3560-2-39内网方向109013wan2960-2-14f5-2-1.480794juniperisg1000-1内部互联n/an/an/a内部互联口，同步数据2带外管理accessmgt口cisco ws-c3560g-48ts-sf5 big-ltm1600 (广州)f5 big-ltm1600-a (广州)序号端口号连接方向电路开通方

38、向trunk/accessvip缺省网关ip(备注)11395437234212f5 big-ltm1600-b (广州)序号端口号连接方向电路开通方向trunk/accessvip缺省网关ip(备注)11385439234212cisco asa5520cisco asa5520-a (广州)序号端口号连接方向电路开通方向trunk/accessvip缺省网关ip(备注)11割接后已撤掉234cisco asa 5520-b (广州)vpn网关序号端口号电路开通

39、方向连接方向trunk/accessvip缺省网关ip(备注)11s3560g-a-0/41lan2s2960g-a-g0/18ct9301343.3.2 广州idc升级后交换机端口对应情况 广州idc广域网交换机ws-c2960g-a(wan switch) cisco s2960g-a(54)插槽序号电路板名称端口号连接方向电路开通方向vlantrunk/access备注120端口1000base以太网模块12345678910111213isg1000a-g1.3isg1000-a8is