中国移动公众服务云四期工程-管理网网络实施方案-v1.0-华讯更新存储管理区域

中国移动公众服务云四期工程网络集成方案第页概述项目简述本工程在中国移动广东南方基地扩容建设公众服务云平台，南方基地公众服务云资源池管理平台四期的建设，以属地资源管理为建设目标，完成对资源池服务器、网络设备、安全设备等的管理，为公众服务云提供弹性计算、弹性网络、弹性负载均衡、弹性安全等业务服务能力。为完成并增强各资源池提供云服务能力，能够快速对所属资源及能力进行运维处理，以资源池管理平台为基础，完成资源池的属地运维。本期工程新增约1000台通用X86架构服务器；工程建设地点中国移动南方基地3.1栋303、304、505机房方案设计四期各类设备建设规模设备名称厂商型号数量单位管理核心区管理汇聚交换机华为S9312E2台管理域防火墙华为E8000E-X82台管理域负载均衡器F5F5-BIG-LTM-100002台管理域IDS入侵检测天融信TopSentry_3000_TS-82380-T-012台管理域系统漏扫榕基.安拓RJ-iTopIIIYX-011台业务域管理接入交换机瑞思康达ISCOM3048G-4C44台管理域业务接入交换机烽火S5800-52T-S16台管理IPMI接入交换机烽火S5800-52T-S8台业务域IPMI接入交换机瑞思康达ISCOM3048G-4C15台业务域IPMI接入交换机烽火S5800-52T-S7台管理DMZ区管理域DMZ区汇聚交换机华为S9312E2台管理域DMZ区防火墙迪普FW1000-TE-N2台管理域DMZ区负载均衡器F5F5-BIG-LTM-100002台管理域WEB应用防火墙深信服AF-60202台管理域DMZ业务接入交换机烽火S5800-52T-S4台管理心跳区管理域心跳汇聚交换机华为S9312E2台管理域心跳接入交换机烽火S5800-52T-S10台管理存储区管理域存储汇聚交换机思科N77102台管理域存储接入交换机思科N55966台预留烽火S5800-52T-S1台总体网络架构图人员组织架构操作项厂家负责人南基负责人公众云网络整体规划设计原则针对此项目的重要性和特殊性，在设计该项目解决方案时特别遵循了以下设计原则:先进性原则充分采用先进成熟的网络技术，满足平台各种业务实时数据、非实时数据传输需要，形成统一先进的通信系统。安全可靠性原则网络的安全可靠性是网络的一个重要的指标。从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网络设计也要提供保障其安全的手段。适用性原则由于计算机技术的迅速发展，新技术不断产生，同时为保证对新技术的支持，设备的投资和资源在不断地增加。为避免设备投资的膨胀，方案要求网络硬件具有较高的性能价格比及最佳的适用性。可扩充性原则考虑到未来业务的发展，网络承载的信息流量不断增加。设计中须考虑未来带宽扩容、电路提速的需要，从网络和设备的配置上都要保留一定的扩充余地，便于融入随着新技术发展带来的新功能。标准性原则现代网络技术的发展趋势是遵循国际统一标准的开放系统、支持分布式计算和客户机/计算机，运行多种网络操作系统、网络协议，兼容其他厂商的网络产品，遵守国际标准的开放式系统。物理安装建议设备物理安装要求安装在标准19″机柜中或独立放置，设备应水平放置，螺钉安装应紧固，并应预留足够大的维护空间。机柜或设备接地应符合相关标准的接地要求。设备单体模块分配物理端口分配原则终端接入根据服务器命名序号进行分配，如服务器（序号1）接入端口1，服务器（序号2）接入端口2，按序接入；设备互联本次新增设备互联使用40G/端口的线路按序进行分配；本次新增设备互联使用10G/端口的线路从10G端口的按序进行分配；如单台设备有多根互联线缆，需要分开不同的板卡进行分担冗余对接；设备基础配置设备命名原则设备的名称遵照如下格式：省名地市名-网络层次-网元类型序号-业务及功能（可选）业务（可选）.（可选）功能（可选）符号字符字符字符字符字符字符数字字符字符字符数2（大写字母）2或3（大写字母）11-2（大写字母）12（大写字母）31≤10(大写字母)“省名”、“地市名”：表示网元所处的实际地理位置，4个大写字母。广东省广州市用GDGZ表示。“-”：连接符。网络层次：表示网元所处的网络层次，1~2个大写字母。第一位字母代表网元所在的骨干网、省网及城域网层次，其中骨干网上的网元设备用B(Backbone简写)表示，省网网元用P(Province简写)，城域网网元用M（Metropolis简写）表示；骨干网设备不再细分层次。对于省网和城域网网元设备，用第二位字母细分其在省网或城域网中所处的骨干、汇聚及接入层次，B（Backbone简写）表示骨干层次，C（Converge简写）表示汇聚层次，A（Access简写）表示接入层次，如:PB－省网骨干层；PC－省网汇聚层；PA－省网接入层；MB－城域网骨干层；MC－城域网汇聚层；MA－城域网接入层；说明：对于为多个省区提供业务接入，且设备连接在全国骨干网层次，但维护职责在物理位置所在省公司的设备，如WAP网关、WWW、E-MAIL服务器等，其命名中网络层次按骨干网层次命名。对于为多个省区提供业务接入，但设备连接在省网层次，且由物理位置所在省公司维护的设备，如DSMP系统等，其命名中网络层次应按照省网层次命名。网元或设备类型：表示网元设备的类型，为2至3个大写字母，规定如下表所列。网元类型除表中规定标识外，还可根据实际需要不断扩展。网元类型简写规定网元类型简写解释路由器RTRouter交换机SWSwitch集线器HBHub网关GWGateway网守GKGateKeeper服务器SVServer工作站WSWorkStationPC机PCPersonalComputer防火墙FWFireWall磁盘阵列DADiskArray磁带库TBTapeBase磁带库TLTapeLibrary磁带阵列TATapeArray操作维护终端TMTerminate共享切换器KVMKeyboard、Video、Mouse调制解调器MDMModem光纤转换器OFTOpticalFiberTransForm信令接口单元SIUSignalInterfaceUnit语音处理单元VPUVoiceProcessingUnit端口控制器PTCPortController

注：服务器指能提供某类服务的主机设备，如WWW、DNS、Radius等；工作站指用于某类工作的主机设备，如安全类、网管类工作站；可能的其他类型简写另行统一规定。如果同一网元设备具有多种网元类型的属性，则取其主要属性的网元类型。序号网元序号为3位数字，具有相同地理位置、网络层次和类型的网元设备以序号001、002区别，若不需区别，则取默认值001。另外，三国际出口路由器序号规定为001，省网接入路由器序号规定为001。业务字段分为a业务字段和b功能字段，两部分之间用a.b的格式表示，一般不超过10个大写字母。业务字段用于描述网元的业务属性，该字段必选。功能字段用于描述网元的主要功能，该字段可选。但有突出功能的网元设备都应有功能字段。如果同一网元设备具有多种功能，则取其主要功能属性。业务字段除表中规定标识外，还可随着业务发展不断扩展。业务字段简写规定业务属性简写GPRS系统GPRSCMNET系统CMNETDSMP系统DSMP短消息中心SMSC短信网关SMGW彩铃系统CRBT彩信系统MMSWAP网关WAPIP城域网IPMANWLAN系统WLANKJAVA系统JAVAUSSD系统USSDIMPS系统IMPSPushtotalk系统PTT国际出口点INTERNETIP电话一次拨号17951IP电话二次拨号17950电子邮件系统MAILDNS域名系统DNSIP电话二次拨号17950NAP点接入NAP功能字段（可选）描述主要的网元功能，业务字段除表中规定标识外，还可随着业务发展不断扩展。功能字段网元功能简写WWW服务器WWWWAP服务器WAP数据库服务器DB备份设备BACKUP入侵检测服务器IDS智能外设IP交互式语音应答系统IVRBilling服务器BILLING网管服务器NMSISS工作站ISSHPOpenView工作站HPOVACS工作站ACS典型网元设备命名示例广州短消息中心的第5台数据库服务器:GDGZ-MB-SV005-SMSC.DB广州彩铃IP的第8台语音处理单元:GDGZ-MB-VPU008-CRBT.IP广东彩铃后台系统的第9台WWW服务器:GDGZ-PB-SV009-CRBT.WWW广东彩铃后台系统的第1台备份磁带库:GDGZ-PB-TL001-CRBT.BACKUP广东DSMP系统骨干层第二台以太网交换机:GDGZ-PB-SW002-DSMP广东DSMP系统骨干层第一台入侵检测服务器:GDGZ-PB-SV001-DSMP.IDSIP电话一次拨号网关1:GDGZ-PA-GW001-17951IP电话二次拨号网关2:GDGZ-PA-GW002-17950骨干网中的第二个WAP网关:GDGZ-B-GW002-WAP设备命名表按照目前南方基地公众云的现网设备进行命名，以便统一标识，具体如下表格端口描述方法根据设备的不同结构和端口所处的层次，分为单体化设备和多机框设备。单体化设备端口命名规范[网元设备名称]端口/线缆类型-槽位号/适配卡序号/端口序号符号字符字符字符字符字符数字字符数字字符数字字符数1≤25（大写字母）1≤511111≤2网元设备名称：设备端口所属设备的名称（按照网元设备命名规则命名的名称）；“[”，“]”,“-”，“/”：连接符。端口/线缆类型：端口的类型用≤5个字符表示，规定如下：端口/线缆类型简写以太网接口E快速以太网接口FE千兆以太网接（光）口GE光纤转换器上的裸光纤端口OF异步串口ASE1接口E1SCSI口SCSI直流电源接口DC交流电源接口AC地线端口GNDCE1接口CE1ISDN基本速率接口BRIISDN一次群速率接口PRIPacketoverSDH接口STM/SOV.35接口V.35槽位号：板卡所处的凹槽号，为1位数字，根据该设备厂商的槽位编号规则确定该槽位号。对于没有槽位的简单设备，该序号可省略。适配卡序号：适配卡序号为1位数字，适用于一个凹槽中插有多块适配卡的设备。根据该设备厂商对同一槽位中适配卡编号规则确定该适配卡序号。对于没有适配卡的简单设备，该序号可省略。端口序号：端口序号为≤2位数字，同一板卡上的端口按照厂商编号规则进行排序。多机框设备端口命名规范[网元设备名称]端口类型-机框号/适配卡号/端口序号符号字符字符字符字符字符数字字符数字字符数字字符数1≤25（大写字母）1≤5（大写字母）11111≤2网元设备名称：设备端口所属设备的名称（按照网元设备命名规则命名的名称）；“[”，“]”,“-”，“/”：连接符。端口类型：参见单体化设备端口命名规范；机框号：板卡所属机框的编号（根据设备厂商的编号规则）；适配卡号：参见单体化设备端口命名规范；端口序号：参见单体化设备端口命名规范；典型设备端口命名示例单体化设备端口的命名示例：广东DSMP路由器：第0槽位第1块板卡的第一个快速以太网端口[GDGZ-PB-RT001-DSMP]FE-0/1/1广东DSMP交换机：第6个千兆以太网端口[GDGZ-PB-SW001-DSMP]GE-6多机框设备端口的命名示例：广东广州CMNET某台服务器二号机框的第二块RPU板的第一个E1接口：[GDGZ-PA-SV001-CMNET]E1-2/2/0设备运行软件版本建议序号设备型号类别部署位置推荐版本备注DPFW1000-TE-N防火墙出口层需要厂家推荐并且升级至对应版本华为E8000E-x8防火墙汇聚层天融信TopSentry3000TS-82380-T入侵检测汇聚层深信服AF-6020防火墙汇聚层中兴M6000-5S路由器出口层华为S9312E交换机核心层思科N5596交换机接入层思科N7710交换机汇聚层烽火S5800交换机接入层F5-BIG-LTM-10000负载均衡汇聚层BIG-IP11.5.1BuildHotfix4瑞斯康达ISCOM3048G-4C交换机接入层Ip地址规划原则体系化编址体系化其实就是结构化、组织化，根据具体需求和组织结构为原则对整个网络地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼，然后逐级由大到小分割、划分的；从网络总体来说，体系化编制由于相邻或者具有相同服务性质的主机或办公群落都在IP地址上也是连续的，这样在各个区块的边界路由设备上便于进行有效的路由汇总，使整个网络的结构清晰，路由信息明确，也能减小路由器中的路由表。而每个区域的地址与其他的区域地址相对独立，也便于独立的灵活管理；针对南方基地公众云的相关地址约定进行编制分配，具体如下：管理网IP地址分配约定私网IP地址分配约定公网IP地址分配约定

公众云管理网实施方案管理网网络架构图二层网络部署设计管理网生成树设计目前规划划分3个实例;设备网关实例设备互联实例剩余实例实例ID实例描述实例包含vlan1设备网关实例40-69，130-1992设备互联实例10-39，70-1293剩余实例1-9，200-4096设备配置厂家配置指令华为（共4台S9312E交换机）MSTP烽火（共45台S5800-52T-SE交换机）瑞斯康达(共60台ISCOM3048G-4C交换机)DMZ区域部署架构图DMZ区域部署架构概述DMZ区汇聚/接入交换机部署概述本次管理DMZ区域使用华为的S9312E做该区域的汇聚交换机，在逻辑上使用2×10GE的线路利用华为的CSS（ClusterSwitchSystem）堆叠功能将物理上的2台汇聚交换机虚拟成一台汇聚交换机；DMZ区域的接入交换机使用4台烽火交换机S5800-52T-S，每两台烽火接入交换机用硬件堆叠卡和堆叠电缆实现设备堆叠；DMZ区域的每台接入交换机1×10GE双上行至汇聚交换机S9312E，由于汇聚交换机做了堆叠，该上行端口使用端口捆绑技术互联；DMZ区共32台管理域一般服务器，每台服务器双网卡上行至2台归属的接入交换机上，服务器网卡采取捆绑模式bondmod1；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D2管理域DMZ汇聚交换机-1xg0/0/0管理域DMZ汇聚交换机-2505机房E2xg0/0/0xg0/0/6管理域DMZ区接入交换机1505机房C710xg0/0/7管理域DMZ区接入交换机2505机房C811xg1/0/0管理域DMZ汇聚交换机-2505机房E2xg1/0/0xg1/0/6管理域DMZ区接入交换机3505机房C1012xg1/0/7管理域DMZ区接入交换机4505机房C1113505机房E2管理域DMZ汇聚交换机-2xg0/0/0管理域DMZ汇聚交换机-1505机房D2xg0/0/0xg0/0/6管理域DMZ区接入交换机1505机房C710xg0/0/7管理域DMZ区接入交换机2505机房C811xg1/0/0管理域DMZ汇聚交换机-1505机房D2xg1/0/0xg1/0/6管理域DMZ区接入交换机3505机房C1012xg1/0/7管理域DMZ区接入交换机4505机房C1113设备配置华为CSS堆叠配置DMZ汇聚交换机S9312E-1DMZ汇聚交换机S9312E-2#S9300-1的集群ID默认为1，配置集群连接方式为LPU。system-viewsysnameNFJD-PSC-M-S9312-3setcssmodelpu#配置集群端口和集群物理成员端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable#配置S9300-2的集群ID为2，集群连接方式为LPU。system-viewsysnameNFJD-PSC-M-S9312-4setcssid2setcssmodelpu#配置集群端口和集群物理成员端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable与烽火S5800接入交换机端口捆绑配置举例DMZ汇聚交换机S9312E-1/2接入交换机S5800-52T-Strunk允许vlan40-49interfaceeth-trunk10modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/6eth-trunk10quitinterfacegigabitethernet2/0/0/6eth-trunk10quittrunk允许vlan40-49DMZ区防火墙部署概述本次建设DMZ区域防火墙使用2台迪普FW1000-TE-N防火墙，两台防火墙部署为主备模式，每台防火墙分别1×10GE互联至两台汇聚交换机上，由于交换机做了堆叠，每台防火墙互联汇聚交换机端口均做端口捆绑；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D2管理域DMZ汇聚交换机-1xg0/0/4管理域DMZ区防火墙1505机房D48xg1/0/4管理域DMZ区防火墙2505机房E49505机房E2管理域DMZ汇聚交换机-2xg0/0/4管理域DMZ区防火墙1505机房D48xg1/0/4管理域DMZ区防火墙2505机房E49505机房D4管理域DMZ区防火墙1电口管理域DMZ区防火墙2505机房E4设备配置管理域DMZ区防火墙热备配置管理域DMZ区防火墙1管理域DMZ区防火墙2hotbackuphotb_typeadvanced//设置双机热备类型为高级双机热备。sync_portgige0_1//指定配置同步接口，用于双机配置的同步sync_neigh_ip//指定对端IP地址，通过此IP进行配置同步。heart_ifnamegige0_1//指定心跳接口，用于传送心跳报文。session_sync//会话同步开启后，主机会话将同步到备机。hotbackuphotb_typeadvanced//设置双机热备类型为高级双机热备。sync_portgige0_1//指定配置同步接口，用于双机配置的同步sync_neigh_ip//指定对端IP地址，通过此IP进行配置同步。heart_ifnamegige0_1//指定心跳接口，用于传送心跳报文。session_sync//会话同步开启后，主机会话将同步到备机。端口捆绑配置管理域DMZ汇聚交换机-1/2管理域DMZ区防火墙1管理域DMZ区防火墙2允许trunk10-18，29，30interfaceeth-trunk8modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/4eth-trunk8quitinterfacegigabitethernet2/0/0/4eth-trunk8quitinterfaceeth-trunk9modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/1/0/4eth-trunk9quitinterfacegigabitethernet2/1/0/4eth-trunk9quit允许trunk10-18，29，30link-aggregation8modestaticlink-aggregation8interfacegige0_0link-aggregation8interfacegige0_1允许trunk10-18，29，30link-aggregation9modestaticlink-aggregation9interfacegige0_0link-aggregation9interfacegige0_1DMZ区IDS入侵检测部署概述本次建设DMZ区域防火墙使用2台天融信IDS入侵检测TopSentry3000TS-82380-T，两台IDS入侵检测部署为同时使用，每台IDS入侵检测分别1×10GE互联至两台汇聚交换机上，由于交换机做了堆叠，每台IDS入侵检测互联汇聚交换机端口均做端口捆绑；目前规划镜像的流量为南北流量，即镜像源为：在汇聚交换机上监控互联防火墙的出口端口流量至IDS设备端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D2管理域DMZ汇聚交换机-1xg0/0/3管理域IDS入侵检测1505机房D415xg1/0/3管理域IDS入侵检测2505机房E516505机房E2管理域DMZ汇聚交换机-2xg0/0/3管理域IDS入侵检测1505机房D415xg1/0/3管理域IDS入侵检测2505机房E516设备配置端口捆绑配置管理域DMZ汇聚交换机-1/2管理域IDS入侵检测1管理域IDS入侵检测2interfaceeth-trunk15modelacplocal-preferenceenableportlink-typeaccessquitinterfacegigabitethernet1/0/0/3eth-trunk15quitinterfacegigabitethernet2/0/0/3eth-trunk15quitinterfaceeth-trunk16modelacplocal-preferenceenableportlink-typeaccessquitinterfacegigabitethernet1/1/0/3eth-trunk16quitinterfacegigabitethernet2/1/0/3eth-trunk16quit镜像配置，需要做镜像捆绑端口eth-trunk8DMZ区WEB应用防火墙部署概述本次建设DMZ区域防火墙使用2台深信服WEB应用防火墙AF-6020，两台WEB应用防火墙部署为主备模式，每台WEB应用防火墙分别1×10GE互联至两台汇聚交换机上，由于交换机做了堆叠，每台WEB应用防火墙互联汇聚交换机端口均做端口捆绑；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D2管理域DMZ汇聚交换机-1xg0/0/2管理域WEB应用防火墙1505机房D24xg1/0/2管理域WEB应用防火墙2505机房E25505机房E2管理域DMZ汇聚交换机-2xg0/0/2管理域WEB应用防火墙1505机房D24xg1/0/2管理域WEB应用防火墙2505机房E25设备配置管理域DMZ区WEB应用防火墙热备配置WEB应用防火墙1WEB应用防火墙2端口捆绑配置管理域DMZ汇聚交换机-1/2WEB应用防火墙1WEB应用防火墙2允许trunkvlan30interfaceeth-trunk4modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/2eth-trunk4quitinterfacegigabitethernet2/0/0/2eth-trunk4quitinterfaceeth-trunk5modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/1/0/2eth-trunk5quitinterfacegigabitethernet2/1/0/2eth-trunk5quitDMZ区F5负载均衡部署概述本次建设DMZ区域防火墙使用2台F5-BIG-LTM-10000的负载均衡设备，两台负载均衡设备部署为主备模式，每台负载均衡设备分别1×10GE互联至两台汇聚交换机上，由于交换机做了堆叠，每台负载均衡设备互联汇聚交换机端口均做端口捆绑；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D2管理域DMZ汇聚交换机-1xg0/0/1管理域DMZ区负载均衡器1505机房D82xg1/0/1管理域DMZ区负载均衡器2505机房E83505机房E2管理域DMZ汇聚交换机-2xg0/0/1管理域DMZ区负载均衡器1505机房D82xg1/0/1管理域DMZ区负载均衡器2505机房E83设备配置DMZ区负载均衡器热备配置DMZ区负载均衡器1DMZ区负载均衡器2端口捆绑配置管理域DMZ汇聚交换机-1/2DMZ区负载均衡器1DMZ区负载均衡器2允许trunkvlan40-49interfaceeth-trunk2modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/1eth-trunk2quitinterfacegigabitethernet2/0/0/1eth-trunk2quitinterfaceeth-trunk3modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/1/0/1eth-trunk3quitinterfacegigabitethernet2/1/0/1eth-trunk3quitDMZ区负载均衡器2配置和DMZ区负载均衡器1相同核心区域部署架构图核心区域部署架构概述核心区核心/接入交换机部署概述本次改造，新增2台交换机华为S9312E用于充当管理网核心区核心交换机，这两台交换机在逻辑上使用2×10GE的线路利用华为的CSS（ClusterSwitchSystem）堆叠功能将物理上的2台核心交换机虚拟成一台核心交换机；原有管理网汇聚交换机C4510下挂的C2960交换机仍与其互联，并且将C4510与新增的核心交换机S9312E进行对接，每台C4510分别采用2×10GE的线路两两交叉互联；本次管理网新增了60台管理接入交换机；其中16台为烽火交换机用于管理域业务接入交换机，44台为瑞思达交换机用于业务域管理接入交换机；此60台交换机中每台分别与新增的2台核心交换机S9312E1×10GE互联；由于2台核心交换机形成堆叠，故与下联每台管理接入交换机其链路做链路捆绑；本次管理网新增了27台管理IPMI接入交换机；其中烽火交换机12台：5台为用于管理域业务接入交换机，7台为烽火交换机用于业务域管理接入交换机；瑞思康达交换机15台，其用于业务域管理接入交换机；此27台交换机中每台分别与新增的2台汇聚交换机S9312E1×10GE互联；由于2台核心交换机形成堆叠，故与下联每台管理接入交换机其链路做链路捆绑；管理域共180台服务器，除了DMZ区共32台管理域一般服务器之外，另外148台服务器为核心生产区及内部互联区使用，包括138台管理域一般服务器和10台管理域数据库型服务器。每台服务器4张网卡上行至2台归属的接入交换机上，服务器网卡采取捆绑模式bondmod1并做成2个bond接口；该2个bond接口其中一个接口用来走管理业务流量，另一个接口用来走管理流量；故服务器在对接归属的交换机时，交换机前24个接口用于接管理流量，后24个接口用于接管理业务流量；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D3管理核心交换机-1xg0/0/0管理核心交换机-2505机房E3xg0/0/0xg0/0/11管理域业务接入交换机1505机房A311xg0/0/12管理域业务接入交换机2505机房A412xg0/0/13管理域业务接入交换机3505机房B313xg0/0/14管理域业务接入交换机4505机房B414xg0/0/15管理域业务接入交换机5505机房B515xg1/0/0管理核心交换机-2xg1/0/0xg1/0/10管理域业务接入交换机6505机房B616xg1/0/11管理域业务接入交换机7505机房B717xg1/0/12管理域业务接入交换机8505机房B1018xg1/0/13管理域业务接入交换机9505机房B1119xg1/0/14管理域业务接入交换机10505机房B1220xg1/0/15管理域业务接入交换机11505机房C121xg2/0/0管理域业务接入交换机12505机房C222xg2/0/1管理域业务接入交换机13505机房C323xg2/0/2管理域业务接入交换机14505机房C424xg2/0/3管理域业务接入交换机15505机房C425xg2/0/4管理域业务接入交换机16505机房C726xg2/0/5管理域IPMI接入交换机1505机房A327xg2/0/6管理域IPMI接入交换机2505机房B528xg2/0/7管理域IPMI接入交换机3505机房B729xg2/0/8管理域IPMI接入交换机4505机房C230xg2/0/9管理域IPMI接入交换机5505机房C931xg2/0/10业务域管理接入交换机1505机房F332xg2/0/11业务域管理接入交换机2505机房F433xg2/0/12业务域管理接入交换机3505机房F1134xg2/0/13业务域管理接入交换机4505机房F1235xg2/0/14业务域管理接入交换机5505机房G336xg2/0/15业务域管理接入交换机6505机房G437xg3/0/0业务域管理接入交换机7505机房G1138xg3/0/1业务域管理接入交换机8505机房G1239xg3/0/2业务域管理接入交换机9505机房H340xg3/0/3业务域管理接入交换机10505机房H441xg3/0/4业务域管理接入交换机11505机房I342xg3/0/5业务域管理接入交换机12505机房I443xg3/0/6业务域管理接入交换机13505机房I1144xg3/0/7业务域管理接入交换机14505机房I1245xg3/0/8业务域管理接入交换机15505机房J146xg3/0/9业务域管理接入交换机16505机房J247xg3/0/10业务域管理接入交换机17505机房J848xg3/0/11业务域管理接入交换机18505机房J949xg3/0/12业务域管理接入交换机19505机房K250xg3/0/13业务域管理接入交换机20505机房K351xg3/0/14业务域管理接入交换机21505机房K752xg3/0/15业务域管理接入交换机22505机房K853xg4/0/0业务域管理接入交换机23505机房L354xg4/0/1业务域管理接入交换机24505机房L455xg4/0/2业务域管理接入交换机25505机房L1156xg4/0/3业务域管理接入交换机26505机房L1257xg4/0/4业务域管理接入交换机27505机房M358xg4/0/5业务域管理接入交换机28505机房M459xg4/0/6业务域管理接入交换机29505机房M1160xg4/0/7业务域管理接入交换机30505机房M1261xg4/0/8业务域管理接入交换机31505机房N662xg4/0/9业务域管理接入交换机32505机房N763xg4/0/10业务域管理接入交换机33505机房N364xg4/0/11业务域管理接入交换机34505机房N465xg4/0/12业务域管理接入交换机35505机房O366xg4/0/13业务域管理接入交换机36505机房O467xg4/0/14业务域管理接入交换机37505机房O968xg4/0/15业务域管理接入交换机38505机房O1069xg5/0/0业务域管理接入交换机39505机房P370xg5/0/1业务域管理接入交换机40505机房P471xg5/0/2业务域管理接入交换机41505机房P772xg5/0/3业务域管理接入交换机42505机房P873xg5/0/4业务域管理接入交换机43505机房Q374xg5/0/5业务域管理接入交换机44505机房Q475xg5/0/6业务域IPMI接入交换机1505机房F576xg5/0/7业务域IPMI接入交换机2505机房F1177xg5/0/8业务域IPMI接入交换机3505机房G578xg5/0/9业务域IPMI接入交换机4505机房G1179xg5/0/10业务域IPMI接入交换机5505机房H580xg5/0/11业务域IPMI接入交换机6505机房I581xg5/0/12业务域IPMI接入交换机7505机房I1182xg5/0/13业务域IPMI接入交换机8505机房J383xg5/0/14业务域IPMI接入交换机9505机房J884xg5/0/15业务域IPMI接入交换机10505机房K285xg6/0/0业务域IPMI接入交换机11505机房K986xg6/0/1业务域IPMI接入交换机12505机房L587xg6/0/2业务域IPMI接入交换机13505机房L1188xg6/0/3业务域IPMI接入交换机14505机房M589xg6/0/4业务域IPMI接入交换机15505机房M1190xg6/0/5业务域IPMI接入交换机16505机房N691xg6/0/6业务域IPMI接入交换机17505机房N592xg6/0/7业务域IPMI接入交换机18505机房O593xg6/0/8业务域IPMI接入交换机19505机房O1094xg6/0/9业务域IPMI接入交换机20505机房P595xg6/0/10业务域IPMI接入交换机21505机房P796xg6/0/11业务域IPMI接入交换机22505机房Q597505机房E3管理核心交换机-1xg0/0/0管理核心交换机-2505机房D3xg0/0/0xg0/0/11管理域业务接入交换机1505机房A311xg0/0/12管理域业务接入交换机2505机房A412xg0/0/13管理域业务接入交换机3505机房B313xg0/0/14管理域业务接入交换机4505机房B414xg0/0/15管理域业务接入交换机5505机房B515xg1/0/0管理核心交换机-1xg1/0/0xg1/0/10管理域业务接入交换机6505机房B616xg1/0/11管理域业务接入交换机7505机房B717xg1/0/12管理域业务接入交换机8505机房B1018xg1/0/13管理域业务接入交换机9505机房B1119xg1/0/14管理域业务接入交换机10505机房B1220xg1/0/15管理域业务接入交换机11505机房C121xg2/0/0管理域业务接入交换机12505机房C222xg2/0/1管理域业务接入交换机13505机房C323xg2/0/2管理域业务接入交换机14505机房C424xg2/0/3管理域业务接入交换机15505机房C425xg2/0/4管理域业务接入交换机16505机房C726xg2/0/5管理域IPMI接入交换机1505机房A327xg2/0/6管理域IPMI接入交换机2505机房B528xg2/0/7管理域IPMI接入交换机3505机房B729xg2/0/8管理域IPMI接入交换机4505机房C230xg2/0/9管理域IPMI接入交换机5505机房C931xg2/0/10业务域管理接入交换机1505机房F332xg2/0/11业务域管理接入交换机2505机房F433xg2/0/12业务域管理接入交换机3505机房F1134xg2/0/13业务域管理接入交换机4505机房F1235xg2/0/14业务域管理接入交换机5505机房G336xg2/0/15业务域管理接入交换机6505机房G437xg3/0/0业务域管理接入交换机7505机房G1138xg3/0/1业务域管理接入交换机8505机房G1239xg3/0/2业务域管理接入交换机9505机房H340xg3/0/3业务域管理接入交换机10505机房H441xg3/0/4业务域管理接入交换机11505机房I342xg3/0/5业务域管理接入交换机12505机房I443xg3/0/6业务域管理接入交换机13505机房I1144xg3/0/7业务域管理接入交换机14505机房I1245xg3/0/8业务域管理接入交换机15505机房J146xg3/0/9业务域管理接入交换机16505机房J247xg3/0/10业务域管理接入交换机17505机房J848xg3/0/11业务域管理接入交换机18505机房J949xg3/0/12业务域管理接入交换机19505机房K250xg3/0/13业务域管理接入交换机20505机房K351xg3/0/14业务域管理接入交换机21505机房K752xg3/0/15业务域管理接入交换机22505机房K853xg4/0/0业务域管理接入交换机23505机房L354xg4/0/1业务域管理接入交换机24505机房L455xg4/0/2业务域管理接入交换机25505机房L1156xg4/0/3业务域管理接入交换机26505机房L1257xg4/0/4业务域管理接入交换机27505机房M358xg4/0/5业务域管理接入交换机28505机房M459xg4/0/6业务域管理接入交换机29505机房M1160xg4/0/7业务域管理接入交换机30505机房M1261xg4/0/8业务域管理接入交换机31505机房N662xg4/0/9业务域管理接入交换机32505机房N763xg4/0/10业务域管理接入交换机33505机房N364xg4/0/11业务域管理接入交换机34505机房N465xg4/0/12业务域管理接入交换机35505机房O366xg4/0/13业务域管理接入交换机36505机房O467xg4/0/14业务域管理接入交换机37505机房O968xg4/0/15业务域管理接入交换机38505机房O1069xg5/0/0业务域管理接入交换机39505机房P370xg5/0/1业务域管理接入交换机40505机房P471xg5/0/2业务域管理接入交换机41505机房P772xg5/0/3业务域管理接入交换机42505机房P873xg5/0/4业务域管理接入交换机43505机房Q374xg5/0/5业务域管理接入交换机44505机房Q475xg5/0/6业务域IPMI接入交换机1505机房F576xg5/0/7业务域IPMI接入交换机2505机房F1177xg5/0/8业务域IPMI接入交换机3505机房G578xg5/0/9业务域IPMI接入交换机4505机房G1179xg5/0/10业务域IPMI接入交换机5505机房H580xg5/0/11业务域IPMI接入交换机6505机房I581xg5/0/12业务域IPMI接入交换机7505机房I1182xg5/0/13业务域IPMI接入交换机8505机房J383xg5/0/14业务域IPMI接入交换机9505机房J884xg5/0/15业务域IPMI接入交换机10505机房K285xg6/0/0业务域IPMI接入交换机11505机房K986xg6/0/1业务域IPMI接入交换机12505机房L587xg6/0/2业务域IPMI接入交换机13505机房L1188xg6/0/3业务域IPMI接入交换机14505机房M589xg6/0/4业务域IPMI接入交换机15505机房M1190xg6/0/5业务域IPMI接入交换机16505机房N691xg6/0/6业务域IPMI接入交换机17505机房N592xg6/0/7业务域IPMI接入交换机18505机房O593xg6/0/8业务域IPMI接入交换机19505机房O1094xg6/0/9业务域IPMI接入交换机20505机房P595xg6/0/10业务域IPMI接入交换机21505机房P796xg6/0/11业务域IPMI接入交换机22505机房Q597设备配置华为CSS堆叠配置核心交换机S9312E-1核心交换机S9312E-2#S9300-1的集群ID默认为1，配置集群连接方式为LPU。system-viewsysnameNFJD-PSC-M-S9312-1setcssmodelpu#配置集群端口和集群物理成员端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable#配置S9300-2的集群ID为2，集群连接方式为LPU。system-viewsysnameNFJD-PSC-M-S9312-2setcssid2setcssmodelpu#配置集群端口和集群物理成员端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable端口捆绑配置举例核心交换机S9312E-1/2烽火接入交换机S5800-52T-S瑞思康达接入交换机ISCOM3048G-4C允许trunkvlan130-150interfaceeth-trunk11modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/11eth-trunk11quitinterfacegigabitethernet2/0/0/11eth-trunk11quit允许trunkvlan130-150允许trunkvlan130-150核心区防火墙部署概述本次建设核心区域防火墙使用2台华为E8000E-X8防火墙，两台防火墙部署为主备模式，每台防火墙分别1×10GE互联至两台核心交换机上，由于交换机做了堆叠，每台防火墙互联核心交换机端口均做端口捆绑；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D3管理核心交换机-1xg0/0/6管理域防火墙-1505机房D11xg0/0/7xg0/0/8管理域防火墙-2505机房E12xg0/0/9xg1/0/5管理域防火墙-1505机房D11xg1/0/6xg1/0/7管理域防火墙-2505机房E12xg1/0/8505机房E3管理核心交换机-2xg0/0/6管理域防火墙-1505机房D11xg0/0/7xg0/0/8管理域防火墙-2505机房E12xg0/0/9xg1/0/5管理域防火墙-1505机房D11xg1/0/6xg1/0/7管理域防火墙-2505机房E12xg1/0/8设备配置核心区防火墙热备配置管理域防火墙-1管理域防火墙-2端口捆绑配置管理核心交换机-1/2管理域防火墙-1管理域防火墙-2允许trunkvlan19-27，70-88interfaceeth-trunk1modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/6eth-trunk1quitinterfacegigabitethernet1/0/0/7eth-trunk1quitinterfacegigabitethernet1/1/0/5eth-trunk1quitinterfacegigabitethernet1/1/0/6eth-trunk1quitinterfacegigabitethernet2/0/0/6eth-trunk1quitinterfacegigabitethernet2/0/0/7eth-trunk1quitinterfacegigabitethernet2/1/0/5eth-trunk1quitinterfacegigabitethernet2/1/0/6eth-trunk1quitinterfaceeth-trunk2modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/8eth-trunk2quitinterfacegigabitethernet1/0/0/9eth-trunk2quitinterfacegigabitethernet1/1/0/7eth-trunk2quitinterfacegigabitethernet1/1/0/8eth-trunk2quitinterfacegigabitethernet2/0/0/8eth-trunk2quitinterfacegigabitethernet2/0/0/9eth-trunk2quitinterfacegigabitethernet2/1/0/7eth-trunk2quitinterfacegigabitethernet2/1/0/8eth-trunk2quit核心区漏洞扫描部署概述本次建设核心区域新增一台系统漏洞扫描设备，为安拓RJ-iTopIIIYX，该系统漏洞扫描设备分别1×GE互联至两台核心交换机上，由于交换机做了堆叠，互联核心交换机端口均做端口捆绑；由于该设备需要扫描管理网所有服务器并且管理网针对不同子系统开启vpn-instance，故需要将其部署至一个专用的vpn-instance中使其互通所有vpn-instance的服务器；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D3管理核心交换机-1g8/0/1管理域系统漏洞扫描505机房E55505机房E3管理核心交换机-2g8/0/1管理域系统漏洞扫描505机房E55设备配置端口捆绑配置管理核心交换机-1/2管理域系统漏洞扫描interfaceeth-trunk5modelacplocal-preferenceenableportlink-typeaccessportdefaultvlan135quitinterfacegabitethernet1/8/0/1eth-trunk5quitinterfacegabitethernet2/8/0/1eth-trunk5quit核心区互联IP专网/内部专线CE路由器部署概述本次建设核心区域增加去往IP专网/内部专线网络的出口，数据部署链路为两台管理网核心交换机S9312E与两台新增的中兴路由器M6000-5S形成口字形部署，对接线路带宽分别为1×10GE；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D3管理核心交换机-1xg0/0/1IP专网/内部互联CE路由器-1505机房ODF505机房E3管理核心交换机-2xg0/0/1IP专网/内部互联CE路由器-2505机房ODF5设备配置管理核心交换机-1/2IP专网/内部互联CE路由器-1IP专网/内部互联CE路由器-2interfacegigabitethernet1/0/0/1portlink-typeaccessportdefaultvlan84stpedged-portenableinterfacegigabitethernet2/0/0/1portlink-typeaccessportdefaultvlan84stpedged-portenable核心区互联管理CE路由器部署概述本次建设核心区域，在核心交换机S9312E上面部署去往内部系统互联区的网络，数据部署链路为两台管理网核心交换机S9312E与两台CE路由器juniperMX960形成口字形部署，对接线路带宽分别为1×GE；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D3管理核心交换机-1g8/0/0管理域CE路由器MX960-1505机房C12505机房E3管理核心交换机-2g8/0/0管理域CE路由器MX960-2505机房C12设备配置管理核心交换机-1/2管理域CE路由器MX960-1管理域CE路由器MX960-2interfacegigabitethernet1/8/0/0portlink-typeaccessportdefaultvlan83stpedged-portenableinterfacegigabitethernet2/8/0/0portlink-typeaccessportdefaultvlan83stpedged-portenable核心区F5负载均衡部署概述本次建设核心区域防火墙使用2台F5-BIG-LTM-10000的负载均衡设备，两台负载均衡设备部署为主备模式，每台负载均衡设备分别4×10GE互联至两台核心交换机上，由于交换机做了堆叠，每台负载均衡设备互联核心交换机端口均做端口捆绑；端口对应表本端机柜本端设备名称本端端口对端设备名称对端机柜对端端口端口捆绑ID505机房D3管理核心交换机-1xg0/0/2管理域负载均衡器-1505机房D83xg0/0/3xg0/0/4管理域负载均衡器-2505机房E84xg0/0/5xg1/0/1管理域负载均衡器-1505机房D83xg1/0/2xg1/0/3管理域负载均衡器-2505机房E84xg1/0/4505机房E3管理核心交换机-2xg0/0/2管理域负载均衡器-1505机房D83xg0/0/3xg0/0/4管理域负载均衡器-2505机房E84xg0/0/5xg1/0/1管理域负载均衡器-1505机房D83xg1/0/2xg1/0/3管理域负载均衡器-2505机房E84xg1/0/4设备配置负载均衡器热备配置管理域负载均衡器-1管理域负载均衡器-2端口捆绑配置管理域核心交换机-1/2管理域负载均衡器-1管理域负载均衡器-2允许trunkvlan130-150interfaceeth-trunk3modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/2eth-trunk3quitinterfacegigabitethernet1/0/0/3eth-trunk3quitinterfacegigabitethernet1/1/0/1eth-trunk3quitinterfacegigabitethernet1/1/0/2eth-trunk3quitinterfacegigabitethernet2/0/0/2eth-trunk3quitinterfacegigabitethernet2/0/0/3eth-trunk3quitinterfacegigabitethernet2/1/0/1eth-trunk3quitinterfacegigabitethernet2/1/0/2eth-trunk3quitinterfaceeth-trunk4modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/4eth-trunk4quitinterfacegigabitethernet1/0/0/5eth-trunk4quitinterfacegigabitethernet1/1/0/3eth-trunk4quitinterfacegigabitethernet1/1/0/4eth-trunk4quitinterfacegigabitethernet2/0/0/4eth-trunk4quitinterfacegigabitethernet2/0/0/5eth-trunk4quitinterfacegigabitethernet2/1/0/3eth-trunk4quitinterfacegigabitethernet2/1/0/4eth-trunk4quit管理网互联端口以及端口捆绑num-id对应表规划心跳专网区域部署架构图心跳专网区域部署概述本次管理网设计增加心跳专网，即构建一个心跳专网供服务器部署应用高可靠性使用；该专网使用两台华为汇聚交换机S9312E，这两台交换机在逻辑上使用2×10GE的线路利用华为的CSS（ClusterSwitchSystem）堆叠功能将物理上的2台汇聚交换机虚拟成一台汇聚交换机；心跳专网接入层面本次使用10台烽火S5800-52T-S的交换机；每台接入交换机均双上行1×10GE互联线缆至汇聚交换机S9312E；由于汇聚交换机使用了堆叠，其每台接入交换机均使用端口捆绑上行端口；管理网服务器其心跳网卡均部署2张，捆绑为bondmod1主备模式，分别双上行至归属的成对接入交换机上；心跳网生成树设计目前规划划分2个实例;心跳vlan实例剩余实例实例ID实例描述实例包含vlan1心跳vlan实例350-3992剩余vlan实例1-9，200-4096设备配置厂家配置指令华为（共2台S9312E交换机）烽火（共10台S5800-52T-SE交换机）心跳专网互联端口以及端口捆绑num-id对应表规划设备配置华为CSS堆叠配置心跳汇聚交换机S9312E-1心跳汇聚交换机S9312E-2#S9300-1的集群ID默认为1，配置集群连接方式为LPU。system-viewsysnameNFJD-PSC-MHb-S9312-1setcssmodelpu#配置集群端口和集群物理成员端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable#配置S9300-2的集群ID为2，集群连接方式为LPU。system-viewsysnameNFJD-PSC-MHb-S9312-2setcssid2setcssmodelpu#配置集群端口和集群物理成员端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable端口捆绑配置举例心跳汇聚交换机S9312E-1/2接入交换机S5800-52T-Sinterfaceeth-trunk1modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/1eth-trunk1quitinterfacegigabitethernet2/0/0/1eth-trunk1quit管理存储区域部署架构图管理存储区域部署概述本期工程建设管理网设置独立的存储专网，使用Cisco的两台Nexus7710作为存储汇聚交换机，两两堆叠，接入上使用Cisco的6台Nexus5596并且两两堆叠构成3对管理存储接入交换机，每台存储接入交换机与存储汇聚交换机采用2×40GE线缆互联，构成每对交换机上行有160GE线缆带宽，本期工程为管理域单独配置1台IPSAN阵列，容量为345TBIPSAN存储空间；该阵列与每台存储汇聚交换机有16×10GE线缆互联，并严格按照阵列上同一端口组端口互接不同的汇聚交换机上；管理存储网生成树设计目前规划划分3个实例;设备网关vlan实例设备互联vlan实例剩余vlan实例实例ID实例描述实例包含vlan1设备网关vlan实例310-3492设备互联vlan实例300-3093剩余vlan实例1-299，350-4096设备配置厂家配置指令思科N7710（共2台）N7K-1:vlan1-299vlan300-309vlan310-349vlan350-4094spanning-treemodemstspanning-treemstconfigurationnamestorgeinstance1vlan310-349instance2vlan300-309instance3vlan1-299,350-4096spanning-treemst1priority4096spanning-treemst2priority4096spanning-treemst3priority4096N7K-2:vlan1-299vlan300-309vlan310-349vlan350-4094spanning-treemodemstspanning-treemstconfigurationnamestorgeinstance1vlan310-349instance2vlan300-309instance3vlan1-299,350-4094spanning-treemst1priority8192spanning-treemst2priority8192spanning-treemst3priority8192思科N5596（共6台）N5K:vlan1-299vlan300-309vlan310-349vlan350-4094spanning-treemodemstspanning-treemstconfigurationnamestorgeinstance1vlan310-349instance2vlan300-309instance3vlan1-299,350-4094#N5Kpriority默认优先级为32768，不用再进行定义。Vlan最大值为4094，非4096管理存储区域互联端口以及端口捆绑num-id对应表规划VPC设计vPCdomain与角色本端设备名称VPCdomainnum对端设备名称Vpcrole角色管理存储汇聚交换机N7710-1992管理存储汇聚交换机N7710-2管理存储汇聚交换机N7710-1管理存储接入交换机N5596-1991管理存储接入交换机N5596-2管理存储接入交换机N5596-1管理存储接入交换机N5596-3990管理存储接入交换机N5596-4管理存储接入交换机N5596-3管理存储接入交换机N5596-5989管理存储接入交换机N5596-6管理存储接入交换机N5596-5vPCPeerKeepalive以及其他优化配置VPCPeerKeepalive的链路选择有两种方式：基于N7K/N5K的引擎/机箱上的mgmt0端口；采用独立的业务端口；本次设计新增的N5K设备采用管理接口进行构建Keepalive线路，N7K采用独立的线缆互联vPCPeerLink本次构建的VPC环境其peer-link线路如下部署：存储接入交换机N5596采用2*10GE互联；存储核心交换机N7018采用4×40GE互联；设备配置管理存储汇聚交换机N7710-1管理存储汇聚交换机N7710-2管理存储接入交换机N5596-1管理存储接入交换机N5596-2管理存储接入交换机N5596-3管理存储接入交换机N5596-4管理存储接入交换机N5596-5管理存储接入交换机N5596-6三层网络部署设计DMZ基本网络部署管理网DMZ为平台和子系统的部署区域，访问公网以及对外提供访问区域服务器在该区域的网关部署在DMZ汇聚交换机上，所有接入交换机均二层透传至DMZ汇聚交换机上；每个子系统有各自的路由表，使其DMZ区域子系统之间默认隔离；即在汇聚交换机上需要开启针对各自子系统的vpn-instance；Ip地址/vlan规划区域规划网段vlan号子系统网段有效ip地址有效ip个数保留ip地址网关ip地址DMZ/24WAFVIP/24到54254无无/24

/24

/2440资源池管理平台/27到9190到9041运维-监控2/273到1192到1242运维工具系统4/275到3194到3443IVR6/277到151916到252644PaaS28/2729到471948到575845VLB60/2761到791980到899046安全子系统92/2793到111912到212247论坛子系统24/2725到431944到535448BC-OP/26到1512到124/265到155116到252628/2629到795180到899092/2693到435144到5354保留/24/2449DMZ-BC-EC云主机/24到4324344到5354Vpn-instance名字规划子系统vpn-instance资源池管理平台DMZ-ResourcePool运维-监控DMZ-OperationMonitor运维工具系统DMZ-OperationToolIVRDMZ-IVRPaaSDMZ-PaasVLBDMZ-VLB安全子系统DMZ-Security论坛子系统DMZ-ForumBC-OPDMZ-BcOpDMZ-BC-EC云主机DMZ-BcEc设备配置管理域DMZ汇聚交换机-1/2Vlan创建接口网关配置DMZ区域CMNET出口部署每个子系统有各自的路由表，使其DMZ区域子系统之间默认隔离；即在汇聚交换机上需要开启针对各自子系统的vpn-instance；故汇聚交换机需要为各个子系统配置相应的上行vlan分配至对应的vpn-instance，上行防火墙需要配置各个子系统对应的上行vlan端口进行互联；Ip地址/vlan规划子系统本端设备本端ip地址对端设备对端ip地址vlan标识资源池管理平台管理域DMZ区汇聚交换机1&2/28管理域DMZ区防火墙-1/