网络实验室建设项目方案Word文件下载.docx

1、本文档内容基于Cisco 3825、Cisco 3845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208、F5等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：1.3.1 实施原则 实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤，对每一个执行的动作都有相应的检查是否完成的步骤，达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。 详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风

2、险和将导致的后果。 在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。 对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。2 项目介绍2.1 项目简介上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设，为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运维管理网络。目前，上海鹏越惊虹正在张江建设网络实验室，作为以提供员工对于网络测试的需

3、求，在这样的背景下，需要启动网络系统的建设，以提供公司测试环境网络。有鉴于此，本文将从公司的网络系统业务需求分析和接入需求分析出发，横向从生产系统网络、运维系统网络，纵向从核心层、隔离层、接入层角度，集中考虑业务系统、接入系统对网络的需求，从而形成张江网络系统的网络设计方案。3 网络设备命名在鹏越惊虹技术有限公司网络实验室建设中，与网络建设有关的设备主要有： Cisco路由器/交换机 NetScreen防火墙 F5负载均衡器 Allot流量管理设备（不一定完全上）以上设备主机名按本章的定义规则进行命名，命名规则所定义的约定需求能够很容易标识设备所属区域、设备型号以及序号。方便网络运维人员、系统

4、管理人员和资产管理人员的日后工作。3.1 生产网设备命名规范设备命名规则：字段1字段2字段3-（字段4）-n字段1标识设备所属区域，长度1字符：Z：张江（只有一地的话，可以不写）字段2标识设备所属区域核心层分为下面两个区域： TG：主机连接核心层交换机接入层以A开头，以一位数字表示各子区域 A1：互联网接入 A2：专线接入3.2 运维网设备命名规范字段1字段2字段3标识设备所属功能区域 MBON：交换机 YW：运维字段3标识设备类型网管区使用CORE表示网络机房中的汇聚交换机，在服务器机房中的使用机柜编号作为标识；其他区域的字段三采用下面的标识 FW：NetScreen防火墙 R：Cisco路

5、由器 SW：Cisco交换机3.3 设备名称一览设备描述设备名称核心层主机系统交换机1Z-TG-1主机系统交换机2Z-TG-2隔离层互联网接入交换机Z-3750-front互联网核心交换机1Z-CORE-1互联网核心交换机2Z- CORE-2接入层互联网出口路由器1Z-A1-R-1互联网出口路由器2Z-A1-R-2互联网流量管理设备Z-A1-BM互联网接入防火墙1Z-A1-FW-1互联网接入防火墙2Z-A1-FW-2Z-A1-SW互联网链路均衡设备1Z-A1-LC-1互联网链路均衡设备2Z-A1-LC-2互联网接入汇聚交换机Z-A1-SW-HJ专线路由器1Z-A2-R-1专线路由器2Z-A2-

6、R-2专线接入交换机Z-A2-SW专线接入防火墙1Z-A2-FW-1专线接入防火墙2Z-A2-FW-2专线接入汇聚交换机Z-A2-SW-HJ运维网网管核心交换机Z-MOBN-CORE运维网核心防火墙Z-MOBN-FW4 IP地址和Vlan规划为了使新中心的IP地址具有更好的可扩展性，以及IP地址的层次清晰，新的数据网将启用全新的IP地址。新分配的IP地址层次分明，将清晰的体现网络结构，便于日后的管理和维护。4.1 生产网IP地址和Vlan规划 核心层应用系统IP地址和Vlan规划此段地址可以是复用地址段，大家的核心内网的地址可以使用一样的。核心层区域IP地址段Vlan ID主机托管192.16

7、8.1-10/24自定 隔离层应用系统IP地址和Vlan规划隔离层区域互联网区域10.0.VLAN.0/242-63 接入层应用系统IP地址和Vlan规划接入层区域专线系统172.0.0-254.0/24无4.2 运维网IP地址和Vlan规划运维网区域VPN接入部分172.1.100.0/24MBON区172.1.1.0/242985 设备配置整体规范5.1 VTP protocol生产网里，所有Cisco交换机的VTP 模式设置为Transparent模式，在每台启用VLAN的交换机上手工建立VLAN信息。5.2 Spanning Tree生成树启用协议： Pvst在隔离层中，汇聚交换机（6

8、506和3750）作为网间网VLAN生成树的根，其中编号是1的交换机作为Primary ROOT，编号是2的交换机作为Secondary ROOT。启用Pvst后，不连接交换机的端口的PortFast功能默认打开。5.3 HSRP在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为Active，优先级为110；编号是2的交换机作为默认状态为Standby，优先级为90。在设备上配置HSRP 抢占。5.4 路由协议在目前已知的条件下，网络实验室的专线接入区（A2）使用OSPF动态路由协议，其他区域都使用静态路由。5

9、.5 设备安全配置5.5.1 设备访问控制 访问超时line con 0exec-timeout 5 0line vty 0 4 访问源限制ip access-list standard TelnetAuth permit 172.1.1.0 0.0.0.255 access-class TelnetAuth in SNMP为设备安全起见，SNMP被使用在只读模式，不在设备上配置RW字串。并且配置ACL，限制访问源。access-list 99 permit 172.1.1.0 0.0.0.255snmp-server community sfit RO 995.5.2 网络设备服务 关闭全局

10、不需要的服务no service fingerno service padno service udp-small-serversno service tcp-small-serversno ip bootp serverno ip http serverno ip fingerno ip source-routeno ip gratuitous-arpsno ip domain-lookupno ip http secure-server 关闭接口不需要的服务no ip redirectsno ip directed-broadcastno ip proxy-arpno ip unreach

11、ables 开启提高设备安全性的服务service password-encryption5.5.3 设备端口安全配置 通用配置1. 不使用的端口配置为Shutdown2. 光纤端口上开启UDLD 广域网/互联网接入路由器在连接外联设备的接口上关闭cdp（no cdp enable） 服务器接入交换机3. 连接服务器的端口配置为Access模式4. 连接服务器的端口配置portfast和bpduguard、bpdufilter5.6 设备互联规范鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。5.6.1 冗余3750交换机连接冗余6506交换机这种情况主要指隔离层的

12、核心6506交换机连接隔离层接入3750交换机和接入层的汇聚3750交换机。如下图所示。两台3750交换机使用堆叠方式组成逻辑上的一台交换机；两台6506交换机使用引擎上的两个光纤口组成EtherChannel进行互联。每台3750交换机上各拿出一个端口，使用LACP协议组成EtherChannel连接到6506上。6506和3750之间使用虚拟网间网Vlan端口进行互联，并在6506的互联端口上允许这些Vlan通过。这样当某一台3750发生故障时，不会引起网间网Vlan的Spanning-Tree（生成树）的状态变化。在6506上的网间网Vlan端口（Interface Vlan）开启HSR

13、P协议，3750的静态路由的下一条地址就是HSRP的虚拟地址。5.6.2 冗余3750交换机连接非冗余NetScreen防火墙这种情况主要指接入层互联网接入区的接入208防火墙连接3750交换机。两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到两台3750交换机上，通过使用特有的Redundant特性，两个端口绑定在同一个冗余组里互相备份。默认情况下，所有的数据应当通过左侧的交换机，当端口或线路发生故障时，备用端口将自动进行切换，数据流向右侧的交换机。5.6.3 冗余3750交换机连接冗余防火墙这种情况主要指接入层专线接入区（A2

14、）中的NetScreen ISG 1000防火墙连接内外两侧的3750交换机。每台NetScreen 208防火墙使用两个端口分别连接到同一台3750交换机上，通过使用特有的Redundant特性，两个端口绑定在同一个冗余组里互相备份；只有在交换机发生故障或交换机与防火墙之间的两根线都断开时，防火墙才进行切换。6 生产系统网络设计6.1 生产网络设计及区域划分网络整体设计的主要思路采用核心、隔离、接入的垂直分层的网络架构，模块化的设计原则，使得整体网络按照业务的不同，可以实现模块化建设和模块化管理。各区域网络描述及作用如下。 核心层生产网络的核心层包括托管系统的服务器和内部总线，按照不同业务的

15、又可以分为主机系统 隔离层隔离层由服务器接入交换机和汇聚交换机组成，上端连接系统各业务的前置服务器，下端与各类接入线路链接。在隔离层上还需要考虑不同系统的不同业务之间的隔离。 接入层接入层用于外部线路的接入以及安全上的防护，主要可以分为互联网接入、专线接入。6.2 Vlan和IP地址分配6.2.1 应用系统Vlan和IP地址分配 主机系统IP地址分配IP地址用户1用户2用户n 隔离层交易区（A1）IP地址和Vlan分配主机系统每个用户分配一段C类地址/2412其余设备之间的互联Vlan和IP地址的分配如下：端口对端设备3750-frontvlan 100Z-CORE-1Z-CORE-2Vlan

16、 100vlan 200HVlan 200Vlan 2102.1Vip:10.210.0.41.1Vredundant113/241.2Vlan 300Vlan 310redundant2Vlan 320Vlan 330G0/0Vlan 340G0/16.2.2 专线广域网和局域网IP地址分配 广域网间网IP地址分配每条专线的广域网间网从10.254.1.0/24分配一段30位掩码的地址。 局域网地址每套系统的客户端从172.0.0-254.0/24中分配一段C类地址。6.3 核心层设计6.3.1 主机系统核心设计主机系统的服务器通过单独的网卡连接到一组组冗余交换机上，组成主机系统的内部总线。

17、系统可以通过专线接入路由器直接接入内部总线，对系统进行管理和维护。6.4 隔离层设计隔离层就是互联网区（A1）。接入交换机摆放在服务器机房的排头柜里，负责连接本排机柜里的交易系统前置交换机，前置交换机的网关都部署在接入交换机上。汇聚交换机摆放在网络机房内，一侧连接排头柜的隔离层接入交换机，另一侧连接接入层的汇聚交换机。6.4.1 互联网区（A1）设计互联网区一侧连接主机系统，另一侧连接接入层互联网接入区（A1）和专线接入区（A2）。互联网区前置服务器的网关都部署在接入交换机上。对于主机系统，每套系统分配一段C类地址。在互联网区3750-front的接入交换机上配置访问控制列表（ACL），阻止不

18、同系统之间的通讯，避免各套系统之间的相互访问所可能产生的安全隐患。以主机系统1为例，其交易前置机的网段为10.0.8.0/24，Vlan ID是8。在Interface Vlan 8上配置一个方向为In的ACL，ACL一共有三个条目： permit ip 10.010.0 deny ip 10.010.0 permit ip 10.06.5 接入层设计接入层分为2个区域：互联网接入区（A1）、专线接入区（A2）。6.5.1 互联网接入区（A1）设计一台Allot NetEnforcer AC-804带宽管理设备。AC-804共有4个千兆以太网电口，可以同时管理两条互联网线路上的流量，定制并生成

19、相应的报表。由于采用的外置的旁路（bypass）模块，因此在设备发生故障时也不对网络产生影响。Allot内侧是两台NetScreen 208防火墙，每台防火墙连接一条互联网线路，负责互联网线路上的访问控制和IP地址转换。在NetScreen 208防火墙内侧是由两台Cisco 3750堆叠而成的一组交换机。通过NetScreen特有的Redundant Group特性，将每台NetScreen 208分别连接到两台Cisco 3750交换机上，避免了单点故障的发生。两台F5 Bip-IP 3400 Link Controller链路负载均衡设备的主要功能是实现Inbound方向的数据流的原进原

20、出。另外，在F5上配置目标地址为所有地址、类型为Performance Layer4的VS（虚拟服务器），Pool Member为两台208的内口地址。根据需要选择两个Member同时使用还是一主一备，保证Outbound方向的数据流可以顺利通过F5。F5后侧是由两台Cisco 3750堆叠而成的一组交换机，负责连接上面的隔离层交易区汇聚交换机。6.5.2 专线接入区（A2）设计专线接入区A2主要是用于远程专线的接入。在接入路由器和接入交换机之间启用OSPF动态路由，实现同一会员多条专线之间的冗余和自动切换。如上图所示。所有的路由器通过通过两条不同的链路上联至接入交换机上，两条链路分别属于不同

21、的vlan，两个Vlan分属于两台3750交换机。对于来自会员方向的数据，路由器将优先选择COST累加值小的链路。在正常情况下，专线接入路由器上配置到所连接专网的静态路由，在OSPF Area 0中重分发。在路由重分发时配合route-map技术，就可以有效的管理会员的交易专线。对于有两条线路的会员，在主线路连接的路由器上将静态路由重分发到OSPF Area 0中的metric的值为50，备用线路连接的路由器上将静态路由重分发到OSPF Area 0中的metric的值为100；对于只有一条专线的会员，其重分发的metric也是50。正常情况下，去往会员端的数据流将通过主用线路；当主线路故障时，流量将通过备份线路去往会员端。线路故障的切换时间不超过2秒，设备故障的切换时间不超过5秒。接入交换机内侧是一组NetScreen ISG 1000防火墙，负责专线接入区的安全隔离和访问控制，使每根专线只能访问自己的主机系统。ISG 1000后侧是由两台Cisco 3750堆叠而成的一组汇聚交换机，负责连接上面的核心交换机。