网络实验室建设项目方案

1、 上海鹏越惊虹技术有限公司网络实验室项目 上海鹏越惊虹技术有限公司网络实验室室项目网络实施方方案Versiion 1.00文档属性属性内容项目名称：上海鹏越惊惊虹技术术有限公公司网络络实验室室项目文档标题：上海鹏越惊惊虹技术术有限公公司网络络实验室室项目网网络实施施方案文档版本号号：Versiion 1.00版本日期：2009-10-04文档状态：初稿作者：邵勇文档变更过过程版本修正日期修正人描述1.02009-10-02邵勇文档初稿概述文档目的撰写此文的的主要目目的是为为了保障障“上海鹏鹏越惊虹虹技术有有限公司司网络实实验室项项目”的顺利利实施，根根据上海海鹏越惊惊虹技术术有限公公司网络络建

2、设需需求，制制定出网网络实验验室的实实施规范范和方法法。在实际实施施工作前前，将所所有实施施步骤、方方法和各各方需完完成的任任务明确确。文档适用人人员本文档资料料主要面面向负责责“上海鹏越越惊虹技技术有限限公司网网络实验验室项目目”的设计计和实施施的上海海鹏越惊惊虹技术术有限公公司的网网络技术术人员，管管理人员员；以便通通过参考考本文档档资料顺顺利完成成上海鹏鹏越惊虹虹技术有有限公司司网络实实验室项项目。文档内容范范围本文档内容容基于CCiscco 338255、Ciiscoo 38845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS

3、208、F5等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：实施原则实施步骤的的完整性性，对于于每一个个实施步步骤各方方所需要要执行的的动作有有明确的的规定，有有精确的的时间顺顺序安排排，对每每一个动动作有详详细的操操作步骤骤，对每每一个执执行的动动作都有有相应的的检查是是否完成成的步骤骤，达到到任何一一个只要要具有实实际实施施经验的的工程师师都能按按实施方方案完成成执行动动作。详细描述实实施方案案的风险险和局限限性，明明确使用用实施方方案所应应承担的的风险和和将导致致的后果果。在实施前需需要各参参与单位位和人员员最终确确认实施施方案的的

4、正确性性、明确确各方所所执行的的动作和和担负的的责任。对于检查实实施方案案的每一一个阶段段是否达达到方案案要求，需需要有每每一阶段段的测试试内容，明明确那些些测试在在指定时时间点不不能完成成或完成成后测试试结果不不正确的的情况下下需要采采用网络络回退方方案，不不再执行行实施方方案的下下一个执执行动作作或不进进入下一一个实施施阶段。项目介绍项目简介上海鹏越惊惊虹技术术有限公公司将于于近期完完成网络络实验室室的建设设，为了了公司目目前及今今后的各各种业务务应用提提供可靠靠、稳定定、先进进、高效效的网络络测试环环境。网络实实验室系系统主要要包括生生产系统统网络、运运维管理理网络。目前，上海海鹏越惊惊

5、虹正在在张江建建设网络络实验室室，作为为以提供供员工对对于网络络测试的的需求，在在这样的的背景下下，需要要启动网网络系统统的建设设，以提提供公司司测试环环境网络络。有鉴于此，本本文将从从公司的的网络系系统业务务需求分分析和接接入需求求分析出出发，横横向从生生产系统统网络、运运维系统统网络，纵纵向从核核心层、隔隔离层、接接入层角角度，集集中考虑虑业务系系统、接接入系统统对网络络的需求求，从而而形成张张江网络络系统的的网络设设计方案案。网络设备命命名在鹏越惊虹虹技术有有限公司司网络实实验室建建设中，与与网络建建设有关关的设备备主要有有：Ciscoo路由器器/交换机机NetSccreeen防火火墙F

6、5负载均均衡器Allott流量管管理设备备(不一定定完全上上)以上设备主主机名按按本章的的定义规规则进行行命名，命命名规则则所定义义的约定定需求能能够很容容易标识识设备所所属区域域、设备备型号以以及序号号。方便便网络运运维人员员、系统统管理人人员和资资产管理理人员的的日后工工作。生产网设备备命名规规范设备命名规规则：字字段1字段22字段3-（字段段4）-n字段1标识设备所所属区域域，长度度1字符符：Z：张江（只只有一地地的话，可可以不写写）字段2标识设备所所属区域域核心层分为为下面两两个区域域：TG：主机机连接核心心层交换换机接入层以AA开头，以以一位数数字表示示各子区区域A1：互联联网接入入

7、A2：专线线接入运维网设备备命名规规范设备命名规规则：字字段1字段22字段33字段1标识设备所所属区域域，长度度1字符符：Z：张江（只只有一地地的话，可可以不写写）字段2标识设备所所属功能能区域MBON：交换机机YW：运维维字段3标识设备类类型网管区使用用CORRE表示示网络机机房中的的汇聚交交换机，在在服务器器机房中中的使用用机柜编编号作为为标识；其他区区域的字字段三采采用下面面的标识识FW：NeetSccreeen防火火墙R：Cissco路路由器SW：Ciiscoo交换机机设备名称一一览设备描述设备名称核心层主机系统交交换机11Z-TG-1主机系统交交换机22Z-TG-2隔离层互联网接入入

8、交换机机Z-37550-ffronnt互联网核心心交换机机1Z-COORE-1互联网核心心交换机机2Z-CORRE-22接入层互联网出口口路由器器1Z-A1-R-11互联网出口口路由器器2Z-A1-R-22互联网流量量管理设设备Z-A1-BM互联网接入入防火墙墙1Z-A1-FW-11互联网接入入防火墙墙2Z-A1-FW-2互联网接入入交换机机Z-A1-SW互联网链路路均衡设设备1Z-A1-LC-1互联网链路路均衡设设备2Z-A1-LC-2互联网接入入汇聚交交换机Z-A1-SW-HJ专线路由器器1Z-A2-R-11专线路由器器2Z-A2-R-22专线接入交交换机Z-A2-SW专线接入防防火墙11

9、Z-A2-FW-1专线接入防防火墙22Z-A2-FW-2专线接入汇汇聚交换换机Z-A2-SW-HJ运维网网管核心交交换机Z-MOBBN-CCOREE运维网核心心防火墙墙Z-MOBBN-FFWIP地址和和Vlaan规划划为了使新中中心的IIP地址址具有更更好的可可扩展性性，以及及IP地地址的层层次清晰晰，新的的数据网网将启用用全新的的IP地地址。新新分配的的IP地地址层次次分明，将将清晰的的体现网网络结构构，便于于日后的的管理和和维护。生产网IPP地址和和Vlaan规划划核心层应用用系统IIP地址址和Vllan规规划此段地址可可以是复复用地址址段，大大家的核核心内网网的地址址可以使使用一样样的。

10、核心层区域域IP地址段段Vlan ID主机托管192.1168.1-10/244自定隔离层应用用系统IIP地址址和Vllan规规划隔离层区域域IP地址段段Vlan ID互联网区域域10.0.VLAAN.0/2242-63接入层应用用系统IIP地址址和Vllan规规划接入层区域域IP地址段段Vlan ID专线系统172.00.0-2544.00/244无运维网IPP地址和和Vlaan规划划运维网区域域IP地址段段Vlan IDVPN接入入部分172.11.1000.0/24无MBON区区172.11.1.00/244298设备配置整整体规范范VTPprrotoocoll生产网里，所有Cisco交

11、换机的VTP 模式设置为Transparent模式，在每台启用VLAN的交换机上手工建立VLAN信息。Spannningg Trree生成树启用用协议： Pvvst在隔离层中中，汇聚聚交换机机（65506和37750）作作为网间间网VLLAN生生成树的的根，其其中编号号是1的的交换机机作为PPrimmaryy ROOOT，编编号是22的交换换机作为为Secconddaryy ROOOT。启用Pvsst后，不不连接交交换机的的端口的的PorrtFaast功功能默认认打开。HSRP在隔离层的的接入交交换机上上的接入入VLAAN端口口和互联联网区的的核心交交换机上上的网间间网VLLAN端端口开启启H

12、SRRP功能能。其中中编号是是1的交交换机的的默认状状态为AActiive，优优先级为为1100；编号号是2的的交换机机作为默默认状态态为Sttanddby，优优先级为为90。在设备备上配置置HSRRP 抢抢占。路由协议在目前已知知的条件件下，网网络实验验室的专专线接入入区（AA2）使用用OSPPF动态态路由协协议，其其他区域域都使用用静态路路由。设备安全配配置设备访问控控制访问超时line conn 0exec-timmeouut 55 0line vtyy 0 4exec-timmeouut 55 0访问源限制制ip acccesss-llistt sttanddardd Teelneet

13、Auuth permmit 1722.1.1.0 0.00.0.2555line vtyy 0 4 acceess-claass TellnettAutth iinSNMP为设备安全全起见，SSNMPP被使用用在只读读模式，不不在设备备上配置置RW字字串。并并且配置置ACLL，限制制访问源源。accesss-llistt 999 peermiit 1172.1.11.0 0.00.0.2555snmp-serrverr coommuunitty ssfitt ROO 999网络设备服服务关闭全局不不需要的的服务no seerviice finngerrno seerviice paddno s

14、eerviice udpp-smmalll-seerveersno seerviice tcpp-smmalll-seerveersno ipp boootpp seerveerno ipp htttp serrverrno ipp fiingeerno ipp soourcce-rroutteno ipp grratuuitoous-arppsno ipp doomaiin-llookkupno ipp htttp seccuree-seerveer关闭接口不不需要的的服务no ipp reedirrecttsno ipp diirecctedd-brroaddcasstno ipp prr

15、oxyy-arrpno ipp unnreaachaablees开启提高设设备安全全性的服服务serviice passswoord-enccrypptioon设备端口安安全配置置通用配置不使用的端端口配置置为Shhutddownn光纤端口上上开启UUDLDD广域网/互互联网接接入路由由器在连接外联联设备的的接口上上关闭ccdp（nno ccdp enaablee）服务器接入入交换机机连接服务器器的端口口配置为为Acccesss模式连接服务器器的端口口配置pporttfasst和bbpduuguaard、bbpduufillterr设备互联规规范鹏越惊虹网网络实验验室生产产网中的的冗余设备备互

16、联分分为主要要有以下下三种情况况需要进进行说明明。冗余37550交换换机连接接冗余665066交换机机这种情况主主要指隔隔离层的的核心665066交换机机连接隔隔离层接接入37750交交换机和和接入层层的汇聚聚37550交换换机。如如下图所所示。两台37550交换换机使用用堆叠方方式组成成逻辑上上的一台台交换机机；两台台65006交换换机使用用引擎上上的两个个光纤口口组成EEtheerChhannnel进进行互联联。每台台37550交换换机上各各拿出一一个端口口，使用用LACCP协议议组成EEtheerChhannnel连连接到665066上。65006和337500之间使使用虚拟拟网间网网V

17、laan端口口进行互互联，并并在65506的的互联端端口上允允许这些些Vlaan通过过。这样样当某一一台37750发发生故障障时，不不会引起起网间网网Vlaan的SSpannninng-TTreee（生成成树）的的状态变变化。在65066上的网网间网VVlann端口（IInteerfaace Vlaan）开开启HSSRP协协议，337500的静态态路由的的下一条条地址就就是HSSRP的的虚拟地地址。冗余37550交换换机连接接非冗余余NettScrreenn防火墙墙这种情况主主要指接接入层互互联网接接入区的的接入2208防防火墙连连接37750交交换机。如如下图所所示。两台37550交换换机使

18、用用堆叠方方式组成成逻辑上上的一台台交换机机。每台NNetSScreeen 2088防火墙墙使用两两个端口口分别连连接到两两台37750交交换机上上，通过使使用特有有的Reedunndannt特性性，两个个端口绑绑定在同同一个冗冗余组里里互相备备份。默默认情况况下，所所有的数数据应当当通过左左侧的交交换机，当端口或线路发生故障时，备用端口将自动进行切换，数据流向右侧的交换机。冗余37550交换换机连接接冗余防防火墙这种情况主主要指接接入层专专线接入入区（AA2）中的的NettScrreenn ISSG 110000防火墙墙连接内内外两侧侧的37750交交换机。两台37550交换换机使用用堆叠方

19、方式组成成逻辑上上的一台台交换机机。每台台NettScrreenn 2008防火火墙使用用两个端端口分别别连接到到同一台台37550交换换机上，通过使用特有的Redundant特性，两个端口绑定在同一个冗余组里互相备份；只有在交换机发生故障或交换机与防火墙之间的两根线都断开时，防火墙才进行切换。生产系统网网络设计计生产网络设设计及区区域划分分网络整体设设计的主主要思路路采用核核心、隔隔离、接接入的垂垂直分层层的网络络架构，模模块化的的设计原原则，使使得整体体网络按按照业务务的不同同，可以以实现模模块化建建设和模模块化管管理。各各区域网网络描述述及作用用如下。核心层生产网络的的核心层层包括托托管

20、系统统的服务务器和内内部总线线，按照照不同业业务的又又可以分分为主机机系统隔离层隔离层由服服务器接接入交换换机和汇汇聚交换换机组成成，上端端连接系系统各业业务的前前置服务务器，下下端与各各类接入入线路链链接。在在隔离层层上还需需要考虑虑不同系系统的不不同业务务之间的的隔离。接入层接入层用于于外部线线路的接接入以及及安全上上的防护护，主要要可以分分为互联联网接入入、专线线接入。Vlan和和IP地地址分配配应用系统VVlann和IPP地址分分配主机系统IIP地址址分配IP地址用户1192.1168.1.00/244用户2192.1168.2.00/244用户n192.1168.n.00/244隔离

21、层交易易区（A1）IPP地址和和Vlaan分配配主机系统每每个用户户分配一一段C类类地址IP地址Vlan ID用户110.0.1.00/2441用户210.0.2.00/2442其余设备之之间的互互联Vllan和和IP地地址的分分配如下下：设备名称端口IP地址对端设备端口IP地址3750-froontvlan 100010.0.1000.3/24Z-CORRE-11Z-CORRE-22Vlan 100010.0.1000.1/2410.0.1000.2/24Z-CORRE-11Z-CORRE-22vlan 200010.0.2000.1/2410.0.2000.2/24Hsrp:10.0.22

22、00.4Z-A1-SW-HJVlan 200010.0.2000.3/24Z-A1-SW-HJVlan 210010.0.2100.3/24Z-A1-LC-1Z-A1-LC-22.110.0.2100.1/2410.0.2100.2/24Vip:110.2210.0.44Z-A1-LC-1Z-A1-LC-21.110.0.2200.1/2410.0.2200.2/24Vip:110.00.2220.44Z-A1-FW-1redunndannt110.0.2200.3/24Z-A1-LC-1Z-A1-LC-21.210.0.2300.1/2410.0.2300.2/24Vip:110.00.23

23、30.44Z-A1-FW-2redunndannt110.0.2300.3/24Z-CORRE-11Z-CORRE-22Vlan 3000192.330.00.1/24192.330.00.2/24Vip:1192.30.0.44Z-A2-SW-HJVlan 3000192.330.00.3/24Z-A2-SW-HJVlan 3100192.331.00.1/24Z-A2-FW-1Z-A2-FW-2redunndannt1192.331.00.2/24Z-A2-FW-1Z-A2-FW-2redunndannt2192.332.00.2/24Z-A2-SWVlan 3200192.332.00.

24、1/24Z-A2-SWVlan 3300192.333.00.3/24Z-A2-R-11Z-A2-R-22G0/0G0/0192.333.00.1/24192.333.00.2/24Z-A2-SWVlan 3400192.334.00.3/24Z-A2-R-11Z-A2-R-22G0/1G0/1192.334.00.1/24192.334.00.2/24专线广域网网和局域域网IPP地址分分配广域网间网网IP地地址分配配每条专线的的广域网网间网从从10.2544.1.0/24分配配一段330位掩掩码的地地址。 局域网地址址每套系统的的客户端端从1772.00.00-2554.0/224中分分配一

25、段段C类地地址。核心层设计计主机系统核核心设计计主机系统的的服务器器通过单单独的网网卡连接接到一组组组冗余余交换机机上，组组成主机机系统的的内部总总线。系统可可以通过过专线接接入路由由器直接接接入内内部总线线，对系系统进行行管理和和维护。隔离层设计计隔离层就是是互联网网区（A1）。接接入交换换机摆放放在服务务器机房房的排头头柜里，负负责连接接本排机机柜里的的交易系系统前置置交换机机，前置置交换机机的网关关都部署署在接入入交换机机上。汇汇聚交换换机摆放放在网络络机房内内，一侧侧连接排排头柜的的隔离层层接入交交换机，另另一侧连连接接入入层的汇汇聚交换换机。互联网区（A1）设计互联网区一一侧连接接主

26、机系系统，另一侧侧连接接入入层互联联网接入入区（AA1）和和专线接接入区（AA2）。互联网区前前置服务务器的网网关都部署署在接入入交换机机上。对于主主机系统统，每套套系统分分配一段段C类地地址。在互联网区区37550-ffronnt的接接入交换换机上配配置访问问控制列列表（AACL），阻止不同系统之间的通讯，避免各套系统之间的相互访问所可能产生的安全隐患。以主机系统1为例，其交易前置机的网段为10.0.8.0/24，Vlan ID是8。在Interface Vlan 8上配置一个方向为In的ACL，ACL一共有三个条目：permiit iip 110.0.8.0 00.0.0.2255 10.

27、0.8.0 00.0.0.2255deny ip 10.0.8.0 00.0.0.2255 10.0.0.0 00.0.2555.2555permiit iip 110.0.8.0 00.0.0.2255 anyy接入层设计计接入层分为为2个区域域：互联联网接入入区（AA1）、专线接入区（A2）。互联网接入入区（AA1）设设计一台Alllot NettEnfforccerAAC-8804带带宽管理理设备。AC-804共有4个千兆以太网电口，可以同时管理两条互联网线路上的流量，定制并生成相应的报表。由于采用的外置的旁路（bypass）模块，因此在设备发生故障时也不对网络产生影响。Allott内侧

28、是是两台NNetSScreeen 2088防火墙墙，每台台防火墙墙连接一一条互联联网线路路，负责责互联网网线路上上的访问问控制和和IP地地址转换换。在NNetSScreeen 2088防火墙墙内侧是是由两台台Cissco 37550堆叠叠而成的的一组交交换机。通通过NeetSccreeen特有有的Reedunndannt GGrouup特性性，将每每台NeetSccreeen 2208分分别连接接到两台台Cissco 37550交换换机上，避避免了单单点故障障的发生生。两台F5 Bipp-IPP 34400 Linnk CConttrolllerr链路负负载均衡衡设备的的主要功功能是实实现Innbouund方方向的数数据流的的原进原原出。另另外，在在F5上上配置目目标地址址为所有有地址、类类