大运会计算机网络平台介绍课件

大运会计算机网络平台介绍部门/作者培训议题网络结构简介网络设备介绍网络规划业务系统故障排查常见故障3网络系统总体介绍5按照层次分为场馆接入层、主干层和非竞赛场馆功能层三个层面主干层：即跨城域范围的主干网，应包括两个子层，即各场馆片区的汇聚层与核心层场馆接入层：即每个竞赛场馆的内部局域网，应包括中心交换与楼道接入两个子层非竞赛场馆功能层：主要的非竞赛场馆如MDC、MOC、TOC等，提供中央数据库应用系统和支撑网络及赛事的功能性设施，逻辑上也分为中心交换和楼道接入两个子层网络系统总体介绍枢纽核心：做为新南头核心节点的备份节点，实现汇聚节点之间互联互通，及在网络异常情况下提供数据高速转发功能枢纽汇聚：提供福田片区场馆上联汇聚功能网络系统总体介绍2个核心节点：枢纽核心、新南头核心8个汇聚节点：龙中汇聚、宝岭汇聚、南油汇聚、科技园汇聚、黄木岗汇聚、枢纽汇聚、MMC大楼、大运村2个数据中心：沙河IDC（MDC）和坂雪岗IDC（SDC）Admin网Games网Admin网和Games网的物理位置基本一致。在工程上，我们专网专柜，不同网络的设备分别安装在不同的网络机柜上，两张网络完全物理隔离44个竞赛场馆：依据就近原则连接到南山，福田，龙岗三大汇聚平台网络系统总体拓扑示意图网络拓扑简介（Games网）枢纽核心枢纽汇聚南山汇聚平台福田汇聚平台龙岗汇聚平台网络拓扑简介（A网MDC模型）数据中心采用两台汇聚交换机分别连接到新南头和枢纽大厦核心节点，中间连接分别安置两台防火墙做为数据流的访问控制。两台防火墙之间需要做HA（高可用性）模式，并且状态表等信息需要及时同步。

MDC设中心交换机一对，下连若五对服务器交换机。服务器均以双网卡连接。中心交换机之间及其到核心节点的连接，采用万兆以太网，而到服务器群组交换机全部采用千兆上联及千兆到桌面。网络拓扑简介（G网MDC模型）数据中心采用两台汇聚交换机分别连接到新南头和枢纽大厦核心节点，中间连接分别安置两台防火墙做为数据流的访问控制。两台防火墙之间需要做HA（高可用性）模式，并且状态表等信息需要及时同步。每两台群组服务器交换机分别连接到数据中心汇聚交换机，下联各业务服务器，每台服务器双上联到两台群组服务器交换机。网络拓扑简介(G网非竞赛场馆模型）非竞赛场馆就近接入电信汇聚节点，采用的是C级别设备直接上联到B设备，下挂D设备作为终端用户接入。网络拓扑简介（A网决赛场馆模型）决赛场馆采用两台场馆中心交换机，负责本场馆的数据转发核心。两台场馆中心机房交换机相互互联并且上联到场馆汇聚节点（龙岗、福田、南山），两台场馆核心设备下面旁挂一台IDS设备，负责网络安全检测。网络拓扑简介（G网决赛场馆模型）决赛场馆采用两台场馆中心交换机，负责本场馆的数据转发核心。两台场馆中心机房交换机相互互联并且上联到场馆汇聚节点（龙岗、福田、南山），中间链路上分别安置一台防火墙作为数据流的访问控制。两台防火墙之间需要做HA（高可用性）模式，并且状态表等信息需要及时同步。网络拓扑简介（G网预赛场馆模型）预赛场馆采用一台场馆中心交换机，负责本场馆的数据转发核心。场馆中心机房交换机上联到场馆汇聚节点（龙岗、福田、南山），中间链路上安置一台防火墙作为数据流的访问控制。培训议题网络结构简介网络设备介绍网络规划业务系统故障排查常见故障锐捷网络设备——S8610S86102引擎插槽+8线卡插槽2电源插槽主要分布在A网MDC和SDC场馆汇聚和G网核心节点电源插槽引擎插槽线卡插槽液晶屏风扇插槽锐捷网络设备——S5750RG-S5750-24SFP/12GTRG-S5750-24GT/12SFP

G网场馆中心设备数据中心服务器接入交换机固化12个SPF端口固化12个千兆电口12个千兆光电复用端口12个千兆光电复用端口2个扩展插槽2个扩展插槽1个RPS接口1个RPS接口软件版本RGOS10.4(2)锐捷网络设备——S3760楼层接入交换机

软件版本RGOS10.4(2)RG-S3760-24固化24个10/100Mbps电口4个千兆光电复用端口RG-S3760-48固化48个10/100Mbps电口4个千兆光电复用端口RG-S3760E-24固化24个10/100Mbps电口2个千兆光电复用端口服务器接入交换机软件版本RGOS10.3(4)RG-S3760-12SFP/GT

12个千兆光电复用端口

Admin网核心、汇聚设备LCD显示插槽机框进风框电源框LPU板：最多16块MPU板：2块，主备冗余SFU板：4块，3+1备份华为网络设备－NE8025机房环境展示培训议题网络结构简介网络设备介绍网络规划业务系统故障排查常见故障网络规划——VRRP规划1、本网络设计中，涉及VRRP的模块有3个，分别是数据中心、决赛场馆、MMC大楼和信息学院科技楼.2、VRRP的主备设置：统一设置偶数序号设备为VRRP主设备，奇数序号设备为VRRP备设备。3、为了防止VRRP频繁切换，VRRP的主设备启用抢占延时，抢占延时为120秒。网络规划——MSTP规划1、本网络设计中，每个场馆都运行MSTP协议；2、MSTP优先级设置：VRRP主设备优先级为4096，VRRP备设备优先级为8192，双上联接入设备优先级为32768，口字形接入设备奇数为16384，偶数为32768.网络规划——接入安全规划用户准入控制设计用户是否有资格接入网络，用户设备是否符合进入的安全条件，在接入交换机上予以认证。根据时间、区域、端口、网络协议等，对每个用户制定不同的访问权限。对于不同的用户区分不同的用户权限，只有通过认证的合法用户才能够获取相应的网络访问权限。风暴控制设计当LAN中存在过量的广播、多播或未知名单播包时，就会导致网络变慢和报文传输超时几率大大增加。这种情况我们称之为LAN风暴。我们可以分别针对广播、多播和未知名单播数据流进行风暴控制。防ARP欺骗局域网中的ARP攻击主要是针对网关进行欺骗，一般是通过在LAN中洪泛非法的sender位为网关IP的ARP报文实现对正常用户的欺骗，导致正常用户无法上网，或者实现“中间者攻击”，通过在接如层交换机上使能anti-arp-spoofing功能可以对ARP网关欺骗进行防范。防非法dhcp欺骗用户可能通过dhcp方式获取ip地址，为了防止场馆内存在用户采用dhcp方式进行欺骗，通过在接入层交换机上开启dhcp-snooping功能来预防此类欺骗。网络环路控制通过在接入终端端口上开启portfast加快端口收敛，开启bpduguard防止网络环路。网络规划——设备命名规划为满足标准化、规范化的要求，根据第26届大运会信息与通信系统项目总体命名规范的准则，计算机网络平台相关设备命名定位4段：AA-BB-CC-DD，每一段为2至5个字符。各字符段说明：第1段AA为设备类型缩写，包括：RT——Router，路由器RS——RoutingSwitch或

Switch,路由式交换机或交换机FC——FlowControl,流量控制器SR——Server,服务器（网管服务器等）WS——Workstation,工作站或PC（网管工作站等）SW——Software,软件（网管软件等）FW——Firewall防火墙IDS——IntrusionDetectionSystem,入侵检测系统NG——NetGear,网闸第2段BB为设备性质、用途或等级描述，并附以数字1、2、3分别表示位于GAMES网、ADMIN网、互联网的设备。全网交换机分为A、B、C、D、E、F等若干个等级，分别表示位于核心层、汇聚层、场馆中心层、场馆楼道接入层、场馆服务器组群和数据中心服务器群组等不同定位的交换机；或者描述性质及用途，例如EXIT表示出口，NM表示网管，等等。例如：A1表示位于G网核心层设备;C2表示A网场馆设备。第3段CC为设备的物理位置缩写，例如“龙岗”表示为“LG”，“大体中心”表示为DTZX。编制缩写时要避免产生重复和歧义。第4段DD为同一物理位置同一性质设备的编号。如每个场馆有两台中心交换机，功能完全一样，编号为01、02.网络规划——IP规划总纲本届大运会采用A类保留网段，其中A网网段从到55的100个B类地址，其中G网网段从到55的100个B类地址，并通过适当的规划区分场馆物理位置和业务。A网地址分配：（G网地址为A网相应地址B段+100）~10.00.255.255为数据中心使用的地址段~55为非竞赛场馆使用的地址，~55为备份数据中心保留地址~55为竞赛场馆使用的地址，~5517个B类网段为临时分配使用，~55为保留给端口互联连接地址~55为保留给网络设备Loopback地址G网地址分配：~55为数据中心使用的地址段~55为非竞赛场馆使用的地址，~55为备份数据中心保留地址~55为竞赛场馆使用的地址，~5517个B类网段为临时分配使用，~55为保留给端口互联连接地址~55为保留给网络设备Loopback地址网络规划——Loopback规划总纲Loopback地址分配总纲全网启用OSPF路由的网络设备每台分配一个loopback地址，命名为loopback0。loopback地址分配32位掩码的地址。格式：10.99/199.xxx.yyy/32各字段含义：1、xxx：用来标示各设备所处场馆的序号1)xxx为1-100时，用于与竞赛场馆对应的序号；2)xxx为101-200时，用于与非竞赛场馆对应的序号+100；3)xxx为201时，备份数据中心汇聚节点4)xxx为202时，信息学院科技楼汇聚节点5)xxx为203时，MMC大楼汇聚节点6)xxx为204时，主数据中心汇聚节点7)xxx为211-225时，用于主干区域编号+210

2、

yyy：yyy为设备命名的序列号DD网络规划——互联地址规划总纲分配格式:10.98/198.XXX.YYY/29各字段含义：1、XXX表示设备或者区域的编号1)XXX为1-50时，表示A/B设备的编号2)当XXX为51-150时，表示竞赛场馆编号+503)当XXX为151-250时，表示非竞赛场馆编号+1502、YYY表示互联端口的IP地址1)以每台A/B型同级别设备互联端口为起点，分配/29位地址。2)奇数地址为自己端口地址，偶数地址为对方设备端口地址。3)防火墙的管理地址为奇数地址+2，网关为奇数地址4)对于C-C或者F-F互联，分配方式从C/F级设备的序号从小到大开始分配5)设备序号为奇数的分配奇数地址，设备序号为偶数的分配偶数地址6)对于B-B互联端口，需要分配两对互联地址。网络规划——场馆地址规划总纲场馆地址分配采取先按照场馆所处的序列号进行分配，再对场馆的业务进行分配。分配如下：公式：10.XXX.YYYY.0/24各字段含义：1、XXX用来标示场馆的序列号A网：1)非竞赛场馆XXX为序列号2)竞赛场馆XXX为序列号+20G网：1)非竞赛场馆XXX为序列号+1002)竞赛场馆XXX为序列号+1202、YYY用来标示场馆的业务类型1）YYY为255时，代表场馆设备的管理地址3、汇聚交换机上采用VRRP接入Vrrp虚网关IP配置为：10.XXX.YYY.254/24奇数编号交换机实IP地址：10.XXX.YYY.252/24偶数编号交换机实IP地址：10.XXX.YYY.253/24用户IP地址：10.XXX.YYY.1/24-10.XXX.YYY.251/24培训议题网络结构简介网络设备介绍网络规划业务系统故障排查常见故障业务系统数据源系统数据描述数据目标系统交换方式交换频率流动方向G网中央成绩系统比赛报项、成绩、奖牌、快讯等综合查询

INFO2011通过数据交换系统实时单向比赛报项、成绩、奖牌、快讯等综合显示通过数据交换系统实时单向比赛报项、成绩、奖牌、快讯等官方网站通过数据交换系统实时单向ACR注册报项系统人员注册信息G网报项管理线下/数据光盘赛前定期双向人员注册信息大运村管理线下/纸质文件赛前不定期单向人员注册信息综合显示通过数据交换系统实时单向人员注册信息公安安保平台（审查制证）专线直联实时双向抵离管理系统抵离信息大运村管理线下/纸质文件赛前不定期单向抵离信息综合显示通过数据交换系统实时单向抵离信息交委交通管理线下/纸质文档赛前不定期单向志愿者管理系统志愿者注册信息ACR注册报项线下/数据文件赛前定期单向志愿者信息制服管理线下/数据文件赛前不定期单向志愿者宣传信息综合查询

INFO2011线下/纸质文件赛前一次单向志愿者宣传信息官方网站线下/纸质文件赛前一次单向HR管理系统培训人员信息培训管理线下/数据文件赛前多次单向制服管理系统——————————培训管理系统——————————礼宾管理系统——————————场馆管理系统——————————大运村管理系统大运村介绍信息综合查询

INFO2011线下/纸质文件赛前一次单向大运村住房/代表团信息综合显示线下/数据文件赛前不定期单向交通计划管理系统交通计划信息及预定服务介绍综合查询

INFO2011线下/数据文件赛前多次单向车辆及司乘信息综合显示线下/数据文件赛前一次单向交通计划/线路/实时车辆信息综合显示通过数据交换系统实时单向交通计划交委交通管理(暂不确定)(暂不确定)(暂不确定)事件处理系统——————————气象信息系统气象网站综合查询

INFO2011网站镜像实时单向气象预报图片综合显示通过数据交换系统实时单向气象信息（备份）综合查询

INFO2011通过数据交换系统实时单向新闻采编系统赛事新闻综合查询

INFO2011(暂不确定)(暂不确定)(暂不确定)G网报项管理系统选手报项信息ACR注册报项线下/数据文件赛前不定期双向安保平台（审查制证）背景审查及制证结果信息ACR注册报项专线直联实时双向业务系统——业务流业务系统——数据流培训议题网络结构简介网络设备介绍网络规划业务系统故障排查常见故障故障分类从故障来源来看,一般分为以下几个方面：硬件故障网络设备系统文件故障传输或者线路故障路由协议故障配置不当或系统缺陷故障病毒攻击类故障从网络层次来看，故障可以分为：物理层故障链路层故障网络层故障传输层故障应用层故障网络故障排除方法

OSI的层次结构为管理员分析和排查故障提供了非常好的组织方式。由于各层相对独立，按层排查能够有效地发现和隔离故障，因而一般使用逐层分析和排查的方法。通常有两种逐层排查方式：一是从低层开始排查，适用于物理网络不够成熟稳定的情况，如组建新的网络、重新调整网络线缆、增加新的网络设备；二是从高层开始排查，适用于物理网络相对成熟稳定的情况，如硬件设备没有变动。故障诊断步骤发现问题确认问题现象和影响范围列举可能原因逐一验证制定计划观察分为主动发现和用户反馈；向受故障影响的用户、网络管理员等关键人员确认故障现象和范围。通过分析收集的信息定位故障可能出现的原因，包括硬件、配置和软件问题；将可能的原因一一列举出来；按照列举出的可能原因，制定出排查计划，从最可能的原因开始排查，并做好备份和恢复计划；当故障排查后，要观察一段时间；若还有故障则重新排查。按照计划对故障进行排查，并对排查过程中收集的信息做进一步分析，记录隐患问题；最重要的是做好备份和恢复准备；如果遇到新的问题或发现计划有问题则修改计划；故障排查举例发现问题确认问题现象和影响范围列举可能原因逐一验证制定计划观察有用户反映无法访问互联网确认有多少用户出现这个问题，用户tracert到哪里不通；若用户集中在某台设备下，则检查设备是否正常；如果只是单个用户不通则按照TCP/IP四层模型进行判断，定位故障出现在哪一层；1.检查设备硬件和配置、互连线是否异常；2.arp表是否正确，主机IP、DNS是否配置正常；3.定位故障点，定位到哪里不通并确认路由和防火墙；4.是否外网问题。按照计划依次进行确认，同时收集好信息供后续分析和恢复，并将一些隐患问题列举出来；若有新问题或发现原计划不当则重新制定计划。故障排除后，观察一段时间看是否重现。定位故障点Ping功能简介Ping功能用来检查IP网络连接及主机是否可达。通常，如果不能Ping到某台主机，则不能对这台主机进行Telnet或者FTP操作。Ping是通过向目的地发送ICMPECHO-REQUEST报文，如果到目的地网络连接正常。功能维护

如果出现无法Ping通的情况，可以通过以下方法来确认问题的所在：1.查看目的地址的所属接口是否是UP的;2.查看链路中是否存在IP地址冲突;3.查看是否正确的学习到对端的MAC地址;4.查看从本机到目的地址是否存在路由,查看目的网络是否存在回程路由;5.查看是否有防火墙拦截。定位故障点Traceroute功能简介：Traceroute命令用来测试数据包从发送主机到目的地所经过的网关，主要用于检查网络连接是否可达，以及辅助分析网络在何处发生了故障。功能维护：

网络中某些网关不通的Traceroute例子：S5760#Traceroute6<pressCtrl+Ctobreak>Tracingtherouteto610msec0msec0msec24msec4msec4msec3***Requesttimedout.45412msec8msec24msec5612msec8msec22msec从上面的结果可以看到，从源地址要访问IP地址为6的主机，网络数据包都经过了哪些网关（1-4），可能是网关3设备的CPU利用率过高，或中间路由器不返回ICMPTTL-expired包。培训议题网络结构简介网络设备介绍网络规划业务系统故障排查常见故障基本功能维护与故障排查

常见故障处理一：端口LINK状态异常故障说明

以太网端口连接后，无法link，或者link不稳定，link后协商的速率不正常；诊断流程1.首先确认配置是否有问题，如端口被shutdown、光电复用口未切换等；2.检查两端端口的自协商是否打开，建议双方交换机的端口将自协商打开。至少需要保证两台交换机的端口的工作状态是一致的；3.重新插拔线缆（网线或者光纤或者光模块），看是否可以Linkup。此举可以确定是否由于这些部件未良好连接导致的问题；4.尝试更换网线或者光纤（或者光模块、扩展模块），看是否可以Linkup；5.把线缆更换到本机的其他端口上，看是否可以正常Linkup。如果其他端口可以Linkup，很大可能是端口硬件故障。如果无法Link,需要更换RJ45线（需要尝试正线和反线），确认光纤线的TX、RX的正确连接；6.如果是长线，则改为短线进行和其他正常端口连接，看是否Link正常；7.把对端更换到其他正常端口上，看是否可以正常Linkup；8.或者使用测试设备对网线或者光纤的衰减进行测试，并和标准值比较，以确认线缆是否损坏。基本功能维护与故障排查

常见故障处理二：二层转发功能维护

二层转发是基于MAC+VID来转发，一般来说有以下几种情况：

物理端口损坏，导致数据无法正常转发；(可参考常见故障处理一进行排查)2.生产树block端口以及安全功能mac地址过滤，端口安全等原因导致端口无法正常转发。Vrrp故障排查Vrrp是一种网关冗余协议，通常出故障的可能性较小，如果出现异常主要从报文交互上进行排查。排查思路：1.两台设备vrrp配置是否一致；2.通过debugvrrp报文可以检查本端设备是否正常发出VRRPhello报文；3.通过debugvrrp报文可以检查对端设备是否收到VRRPhello报文；4.查看设备底层硬件表项是否禁止VRRP报文通过；Ospf