网络实验室建设项目方案

1、 上海鹏越惊虹技术有限公司网络实验室项目 上海鹏越惊虹技术有限公司网络实验室项目网络实施施方案Verssionn 1.0文档属性性属性内容项目名称称：上海鹏越越惊虹技技术有限限公司网网络实验验室项目目文档标题题：上海鹏越越惊虹技技术有限限公司网网络实验验室项目目网络实实施方案案文档版本本号：Verssionn 1.0版本日期期：20099-100-044文档状态态：初稿作者：邵勇文档变更更过程版本修正日期期修正人描述1.020099-100-022邵勇文档初稿稿概述文档目的的撰写此文文的主要要目的是是为了保保障“上海鹏鹏越惊虹虹技术有有限公司司网络实实验室项项目”的顺利利实施，根据上上海鹏越越

2、惊虹技技术有限限公司网网络建设设需求，制定出出网络实实验室的的实施规规范和方方法。在实际实实施工作作前，将将所有实实施步骤骤、方法法和各方方需完成成的任务务明确。文档适用用人员本文档资资料主要要面向负负责“上海鹏越越惊虹技技术有限限公司网网络实验验室项目目”的设计计和实施施的上海海鹏越惊惊虹技术术有限公公司的网网络技术术人员，管理人人员；以便通通过参考考本文档档资料顺顺利完成成上海鹏鹏越惊虹虹技术有有限公司司网络实实验室项项目。文档内容容范围本文档内内容基于于Cissco 38225、CCiscco 338455、Ciiscoo 65506、Cissco 37550、CCiscco35560、

3、Nettscrreenn ISSG10000、NS2208、F5等等产品，涵盖了了此次上上海鹏越越惊虹网网络实验验室（灾灾备）项项目路由由、交换换安全、网管相相关工程程内容的的工程实实施设计计方案：实施原则则实施步骤骤的完整整性，对对于每一一个实施施步骤各各方所需需要执行行的动作作有明确确的规定定，有精精确的时时间顺序序安排，对每一一个动作作有详细细的操作作步骤，对每一一个执行行的动作作都有相相应的检检查是否否完成的的步骤，达到任任何一个个只要具具有实际际实施经经验的工工程师都都能按实实施方案案完成执执行动作作。详细描述述实施方方案的风风险和局局限性，明确使使用实施施方案所所应承担担的风险险和

4、将导导致的后后果。在实施前前需要各各参与单单位和人人员最终终确认实实施方案案的正确确性、明明确各方方所执行行的动作作和担负负的责任任。对于检查查实施方方案的每每一个阶阶段是否否达到方方案要求求，需要要有每一一阶段的的测试内内容，明明确那些些测试在在指定时时间点不不能完成成或完成成后测试试结果不不正确的的情况下下需要采采用网络络回退方方案，不不再执行行实施方方案的下下一个执执行动作作或不进进入下一一个实施施阶段。项目介绍绍项目简介介上海鹏越越惊虹技技术有限限公司将将于近期期完成网网络实验验室的建建设，为为了公司司目前及及今后的的各种业业务应用用提供可可靠、稳稳定、先先进、高高效的网网络测试试环境

5、。网络实实验室系系统主要要包括生生产系统统网络、运维管管理网络络。目前，上上海鹏越越惊虹正正在张江江建设网网络实验验室，作作为以提提供员工工对于网网络测试试的需求求，在这这样的背背景下，需要启启动网络络系统的的建设，以提供供公司测测试环境境网络。有鉴于此此，本文文将从公公司的网网络系统统业务需需求分析析和接入入需求分分析出发发，横向向从生产产系统网网络、运运维系统统网络，纵向从从核心层层、隔离离层、接接入层角角度，集集中考虑虑业务系系统、接接入系统统对网络络的需求求，从而而形成张张江网络络系统的的网络设设计方案案。网络设备备命名在鹏越惊惊虹技术术有限公公司网络络实验室室建设中中，与网网络建设设

6、有关的的设备主主要有：Ciscco路由由器/交换机机NetSScreeen防防火墙F5负载载均衡器器Alloot流量量管理设设备(不一定定完全上上)以上设备备主机名名按本章章的定义义规则进进行命名名，命名名规则所所定义的的约定需需求能够够很容易易标识设设备所属属区域、设备型型号以及及序号。方便网网络运维维人员、系统管管理人员员和资产产管理人人员的日日后工作作。生产网设设备命名名规范设备命名名规则：字段11字段22字段3-（字段段4）-n字段1标识设备备所属区区域，长长度1字字符：Z：张江江（只有有一地的的话，可可以不写写）字段2标识设备备所属区区域核心层分分为下面面两个区区域：TG：主主机连接

7、接核心层层交换机机接入层以以A开头头，以一一位数字字表示各各子区域域A1：互互联网接接入A2：专专线接入入运维网设设备命名名规范设备命名名规则：字段11字段22字段33字段1标识设备备所属区区域，长长度1字字符：Z：张江江（只有有一地的的话，可可以不写写）字段2标识设备备所属功功能区域域MBONN：交换换机YW：运运维字段3标识设备备类型网管区使使用COORE表表示网络络机房中中的汇聚聚交换机机，在服服务器机机房中的的使用机机柜编号号作为标标识；其其他区域域的字段段三采用用下面的的标识FW：NNetSScreeen防防火墙R：Ciiscoo路由器器SW：CCiscco交换换机设备名称称一览设备

8、描述述设备名称称核心层主机系统统交换机机1Z-TGG-1主机系统统交换机机2Z-TGG-2隔离层互联网接接入交换换机Z-37750-froont互联网核核心交换换机1Z-CCOREE-1互联网核核心交换换机2Z- CCOREE-2接入层互联网出出口路由由器1Z-A11-R-1互联网出出口路由由器2Z-A11-R-2互联网流流量管理理设备Z-A11-BMM互联网接接入防火火墙1Z-A11-FW-11互联网接接入防火火墙2Z-A11-FWW-2互联网接接入交换换机Z-A11-SW互联网链链路均衡衡设备11Z-A11-LCC-1互联网链链路均衡衡设备22Z-A11-LCC-2互联网接接入汇聚聚交换机

9、机Z-A11-SWW-HJJ专线路由由器1Z-A22-R-1专线路由由器2Z-A22-R-2专线接入入交换机机Z-A22-SWW专线接入入防火墙墙1Z-A22-FW-1专线接入入防火墙墙2Z-A22-FWW-2专线接入入汇聚交交换机Z-A22-SWW-HJJ运维网网管核心心交换机机Z-MOOBN-CORRE运维网核核心防火火墙Z-MOOBN-FWIP地址址和Vllan规规划为了使新新中心的的IP地地址具有有更好的的可扩展展性，以以及IPP地址的的层次清清晰，新新的数据据网将启启用全新新的IPP地址。新分配配的IPP地址层层次分明明，将清清晰的体体现网络络结构，便于日日后的管管理和维维护。生产网

10、IIP地址址和Vllan规规划核心层应应用系统统IP地地址和VVlann规划此段地址址可以是是复用地地址段，大家的的核心内内网的地地址可以以使用一一样的。核心层区区域IP地址址段Vlann IDD主机托管管192.1688.11-100/224自定隔离层应应用系统统IP地地址和VVlann规划隔离层区区域IP地址址段Vlann IDD互联网区区域10.00.VLAAN.0/2242-633接入层应应用系统统IP地地址和VVlann规划接入层区区域IP地址址段Vlann IDD专线系统统172.0.0-2544.00/244无运维网IIP地址址和Vllan规规划运维网区区域IP地址址段Vlann

11、 IDDVPN接接入部分分172.1.1000.0/24无MBONN区/24298设备配置置整体规规范VTP prootoccol生产网里里，所有有Cissco交交换机的的VTPP 模式式设置为为Traansppareent模模式，在在每台启启用VLLAN的的交换机机上手工工建立VVLANN信息。Spannninng TTreee生成树启启用协议议： PPvstt在隔离层层中，汇汇聚交换换机（665066和37750）作为网网间网VVLANN生成树树的根，其中编编号是11的交换换机作为为Priimarry RROOTT，编号号是2的的交换机机作为SSecoondaary R

12、OOOT。启用Pvvst后后，不连连接交换换机的端端口的PPorttFasst功能能默认打打开。HSRPP在隔离层层的接入入交换机机上的接接入VLLAN端端口和互互联网区区的核心心交换机机上的网网间网VVLANN端口开开启HSSRP功功能。其其中编号号是1的的交换机机的默认认状态为为Acttivee，优先先级为1110；编号是是2的交交换机作作为默认认状态为为Staandbby，优优先级为为90。在设备备上配置置HSRRP 抢抢占。路由协议议在目前已已知的条条件下，网络实实验室的的专线接接入区（A2）使用用OSPPF动态态路由协协议，其其他区域域都使用用静态路路由。设备安全全配置设备访问问控制

13、访问超时时linee coon 00execc-tiimeoout 5 00linee vtty 00 4execc-tiimeoout 5 00访问源限限制ip aacceess-lisst sstanndarrd TTelnnetAAuthh perrmitt 17 0.00.0.2555linee vtty 00 4 acccesss-cllasss TeelneetAuuth inSNMPP为设备安安全起见见，SNNMP被被使用在在只读模模式，不不在设备备上配置置RW字字串。并并且配置置ACLL，限制制访问源源。acceess-lisst 999 ppermmit 17

14、 0.00.0.2555snmpp-seerveer ccommmuniity sfiit RRO 999网络设备备服务关闭全局局不需要要的服务务no sservvicee fiingeerno sservvicee paadno sservvicee uddp-ssmalll-sservverssno sservvicee tccp-ssmalll-sservverssno iip bboottp sservverno iip hhttpp seerveerno iip ffinggerno iip ssourrce-rouuteno iip ggrattuittouss-arrpsno i

15、ip ddomaain-loookuppno iip hhttpp seecurre-sservver关闭接口口不需要要的服务务no iip rrediirecctsno iip ddireecteed-bbroaadcaastno iip pproxxy-aarpno iip uunreeachhablles开启提高高设备安安全性的的服务servvicee paasswwordd-enncryyptiion设备端口口安全配配置通用配置置不使用的的端口配配置为SShuttdowwn光纤端口口上开启启UDLLD广域网/互联网网接入路路由器在连接外外联设备备的接口口上关闭闭cdpp（noo cdd

16、p eenabble）服务器接接入交换换机连接服务务器的端端口配置置为Acccesss模式式连接服务务器的端端口配置置porrtfaast和和bpdduguuardd、bppduffiltter设备互联联规范鹏越惊虹虹网络实实验室生生产网中中的冗余余设备互互联分为为主要有有以下三三种情况况需要进进行说明明。冗余37750交交换机连连接冗余余65006交换换机这种情况况主要指指隔离层层的核心心65006交换换机连接接隔离层层接入337500交换机机和接入入层的汇汇聚37750交交换机。如下图图所示。两台37750交交换机使使用堆叠叠方式组组成逻辑辑上的一一台交换换机；两两台65506交交换机使使

17、用引擎擎上的两两个光纤纤口组成成EthherCChannnell进行互互联。每每台37750交交换机上上各拿出出一个端端口，使使用LAACP协协议组成成EthherCChannnell连接到到65006上。65006和337500之间使使用虚拟拟网间网网Vlaan端口口进行互互联，并并在65506的的互联端端口上允允许这些些Vlaan通过过。这样样当某一一台37750发发生故障障时，不不会引起起网间网网Vlaan的SSpannninng-TTreee（生成成树）的的状态变变化。在65006上的的网间网网Vlaan端口口（Innterrfacce VVlann）开启启HSRRP协议议，37750

18、的的静态路路由的下下一条地地址就是是HSRRP的虚虚拟地址址。冗余37750交交换机连连接非冗冗余NeetSccreeen防火火墙这种情况况主要指指接入层层互联网网接入区区的接入入2088防火墙墙连接337500交换机机。如下下图所示示。两台37750交交换机使使用堆叠叠方式组组成逻辑辑上的一一台交换换机。每台NNetSScreeen 2088防火墙墙使用两两个端口口分别连连接到两两台37750交交换机上上，通过使使用特有有的Reedunndannt特性性，两个个端口绑绑定在同同一个冗冗余组里里互相备备份。默默认情况况下，所所有的数数据应当当通过左左侧的交交换机，当端口或或线路发生生故障时时，

19、备用端端口将自自动进行行切换，数据流流向右侧侧的交换换机。冗余37750交交换机连连接冗余余防火墙墙这种情况况主要指指接入层层专线接接入区（A2）中的的NettScrreenn ISSG 110000防火墙墙连接内内外两侧侧的37750交交换机。两台37750交交换机使使用堆叠叠方式组组成逻辑辑上的一一台交换换机。每每台NeetSccreeen 2208防防火墙使使用两个个端口分分别连接接到同一一台37750交交换机上上，通过过使用特特有的RReduundaant特特性，两两个端口口绑定在在同一个个冗余组组里互相相备份；只有在在交换机机发生故故障或交交换机与与防火墙墙之间的的两根线线都断开开时

20、，防防火墙才才进行切切换。生产系统统网络设设计生产网络络设计及区区域划分分网络整体体设计的的主要思思路采用用核心、隔离、接入的的垂直分分层的网网络架构构，模块块化的设设计原则则，使得得整体网网络按照照业务的的不同，可以实实现模块块化建设设和模块块化管理理。各区区域网络络描述及及作用如如下。核心层生产网络络的核心心层包括括托管系系统的服服务器和和内部总总线，按按照不同同业务的的又可以以分为主主机系统统隔离层隔离层由由服务器器接入交交换机和和汇聚交交换机组组成，上上端连接接系统各各业务的的前置服服务器，下端与与各类接接入线路路链接。在隔离离层上还还需要考考虑不同同系统的的不同业业务之间间的隔离离。

21、接入层接入层用用于外部部线路的的接入以以及安全全上的防防护，主主要可以以分为互互联网接接入、专专线接入入。Vlann和IPP地址分分配应用系统统Vlaan和IIP地址址分配主机系统统IP地地址分配配IP地址址用户1192.1688.1.0/224用户2192.1688.2.0/224用户n192.1688.n.0/224隔离层交交易区（A1）IPP地址和和Vlaan分配配主机系统统每个用用户分配配一段CC类地址址IP地址址Vlann IDD用户110.00.1.0/2241用户210.00.2.0/2242其余设备备之间的的互联VVlann和IPP地址的的分配如如下：设备名称称端口IP地址址对

22、端设备备端口IP地址址37500-frronttvlann 100010.00.1000.33/244Z-COORE-1Z-COORE-2Vlann 100010.00.1000.11/24410.00.1000.22/244Z-COORE-1Z-COORE-2vlann 200010.00.2000.11/24410.00.2000.22/244Hsrpp:100.0.2000.4Z-A11-SWW-HJJVlann 200010.00.2000.33/244Z-A11-SWW-HJJVlann 211010.00.2110.33/244Z-A11-LCC-1Z-A11-LCC-22.110

23、.00.2110.11/24410.00.2110.22/244Vip:10.2100.0.4Z-A11-LCC-1Z-A11-LCC-21.110.00.2220.11/24410.00.2220.22/244Vip:10.0.2220.4Z-A11-FW-1reduundaant1110.00.2220.33/244Z-A11-LCC-1Z-A11-LCC-21.210.00.2330.11/24410.00.2330.22/244Vip:10.0.2230.4Z-A11-FWW-2reduundaant1110.00.2330.33/244Z-COORE-1Z-COORE-2Vlann

24、30001/2442/244Vip:1922.300.0.4Z-A22-SWW-HJJVlann 30003/244Z-A22-SWW-HJJVlann 31101/244Z-A22-FW-1Z-A22-FW-2reduundaant112/244Z-A22-FW-1Z-A22-FW-2reduundaant222/244Z-A22-SWWVlann 32201/244Z-A22-SWWVlann 33303/244Z-A22-R-1Z

25、-A22-R-2G0/00G0/001/2442/244Z-A22-SWWVlann 34403/244Z-A22-R-1Z-A22-R-2G0/11G0/111/2442/244专线广域域网和局局域网IIP地址址分配广域网间间网IPP地址分分配每条专线线的广域域网间网网从100.2554.11.0/24分配配一段330位掩掩码的地地址。 局域网地地址每套系统统的客户户端从1172.0.0-2254.0/24中分分配一段段C类地地址。 核心层设设计主机系统统核心设设计主机系统统的服务务器通过过单

26、独的的网卡连连接到一一组组冗冗余交换换机上，组成主主机系统统的内部部总线。系统可可以通过过专线接接入路由由器直接接接入内内部总线线，对系系统进行行管理和和维护。隔离层设设计隔离层就就是互联联网区（A1）。接接入交换换机摆放放在服务务器机房房的排头头柜里，负责连连接本排排机柜里里的交易易系统前前置交换换机，前前置交换换机的网网关都部部署在接接入交换换机上。汇聚交交换机摆摆放在网网络机房房内，一一侧连接接排头柜柜的隔离离层接入入交换机机，另一一侧连接接接入层层的汇聚聚交换机机。互联网区区（A1）设计互联网区区一侧连连接主机机系统，另一侧侧连接接入入层互联联网接入入区（AA1）和和专线接接入区（A2

27、）。互联网区区前置服服务器的的网关都部署署在接入入交换机机上。对于主主机系统统，每套套系统分分配一段段C类地地址。在互联网网区37550-ffronnt的接接入交换换机上配配置访问问控制列列表（AACL），阻止止不同系系统之间间的通讯讯，避免免各套系系统之间间的相互互访问所所可能产产生的安安全隐患患。以主主机系统统1为例例，其交交易前置置机的网网段为110.00.8.0/224，VVlann IDD是8。在Innterrfacce VVlann 8上上配置一一个方向向为Inn的ACCL，AACL一一共有三三个条目目：permmit ip 0255 10.0.8.

28、0 0255denyy ipp 0255 00.0.2555.2555permmit ip 0255 anyy接入层设设计接入层分分为2个区域域：互联联网接入入区（AA1）、专线接入入区（AA2）。互联网接接入区（A1）设计一台Alllott NeetEnnforrcerr AC-8044带宽管管理设备备。ACC-8004共有有4个千千兆以太太网电口口，可以以同时管管理两条条互联网网线路上上的流量量，定制制并生成成相应的的报表。由于采采用的外外置的旁旁路（bbypaass）模块，因此在在设备发发生故

29、障障时也不不对网络络产生影影响。Alloot内侧侧是两台台NettScrreenn 2008防火火墙，每每台防火火墙连接接一条互互联网线线路，负负责互联联网线路路上的访访问控制制和IPP地址转转换。在在NettScrreenn 2008防火火墙内侧侧是由两两台Ciiscoo 37750堆堆叠而成成的一组组交换机机。通过过NettScrreenn特有的的Reddunddantt Grroupp特性，将每台台NettScrreenn 2008分别别连接到到两台CCiscco 337500交换机机上，避避免了单单点故障障的发生生。两台F55 Biip-IIP 334000 Liink Conntroolleer链路路负载均均衡设备备的主要要功能是是实现IInbooundd方向的的数据流流的原进进原出。另外，在F55上配置置目标地