网络实验室建设项目方案

上海鹏越惊虹技术网络实验室项目网络实施方案Version1.0文档属性速属性心内容辟项目名称：寒上海乖鹏越惊虹阅技术有限公样司址网络实验室才项目筒文档标题：友上海善鹏越惊虹督技术有限公半司批网络实验室荷项目网络实距施方案屯文档版本号毅：敞V栗ersio接n顶1.0浓版本日期：诊2023-男10-04丘文档状态：美初稿售贱邵勇文档变更过程泥版本费修正日期顿修正人加描述裤1.0行2023-亩10-02皂邵勇流文档初稿概述文档目的撰写此文的主要目的是为了保障“上海鹏越惊虹技术网络实验室项目”的顺利实施，根据上海鹏越惊虹技术网络建设需求，制定出网络实验室的实施规范和方法。胃在实际实施遭工作前，将挽所有实施步就骤、方法和份各方需完成曲的任务明确饱。难文档适用人漫员笼本文档资料连主要面向负叶责虏“腹上海懂鹏越惊虹锻技术有限公烧司料网络实验室绿项目陆”魔的设计和实戴施的上海迫鹏越惊虹潮技术有限公射司茧的网络技术次人员，管理降人员尖；粗以便通过参迎考本文档资毕料顺利完成代上海瞎鹏越惊虹纷技术有限公受司贫网络实验室载项目。昂文档内容范闯围绑本文档内容滔基于个Cisco哭3825诞、怕Cisco栏3845弊、友Cisco多6506负、Cisc酸o375原0巷、Cisc讽o3560阀、Nets察creen币ISG1继000、N断S208、催F5等产品辫，涵盖了此旅次上海述鹏越惊虹网友络实验室嫂（灾备）项嫁目路由、交摘换安全、网共管相关工程右内容的工程船实施设计方异案：实施原则天实施步骤的封完整性，对夏于每一个实彻施步骤各方分所需要执行勇的动作有明波确的规定，缎有精确的时完间顺序安排羊，对每一个骑动作有详细悟的操作步骤扛，对每一个艘执行的动作懂都有相应的灰检查是否完临成的步骤，订达到任何一便个只要具有往实际实施经枯验的工程师苏都能按实施棍方案完成执勇行动作。其详细描述实降施方案的风始险和局限性秋，明确使用荡实施方案所驰应承担的风仅险和将导致垦的后果。列在实施前需不要各参与单绝位和人员最核终确认实施挪方案的正确踏性、明确各苦方所执行的参动作和担负淋的责任。赠对于检查实蚊施方案的每快一个阶段是杯否达到方案嫁要求，需要形有每一阶段欧的测试内容熟，明确那些灾测试在指定搏时间点不能荒完成或完成许后测试结果赶不正确的情执况下需要采系用网络回退优方案，不再佳执行实施方斗案的下一个戒执行动作或蔬不进入下一枯个实施阶段糖。项目介绍项目简介委上海庄鹏越惊虹凶技术有限公屑司将于近期秋完成策网络实验室钩的建设，为匠了公司目前灶及今后的各碧种业务应用烂提供可靠、缎稳定、先进住、高效的网裕络测试环境芽。组网络实验室苍系统主要包的括生产系统高网络、运维突管理距网络。尖目前，上海绣鹏越惊虹捆正在张江建泪设情网络实验室与，作为以提染供竟员工对于网花络测试的需继求步，在这样的造背景下，需凯要启动灰网络系统的愈建设，以跪提供公司更测试环境鹊网络。扒有鉴于此，白本文将从钞公司的网络隐系统业务需鸡求分析和接缎入需求分析罢出发，横向承从生产系统县网络、运维案系统网络，怕纵向从核心变层、隔离层蒜、接入层角道度，集中考川虑业务凳系统、接入嗽系统对网络雨的需求，从鸡而形成张江这网络系统的勿网络设计方脱案。哨网络设备命笑名筝在坚鹏越惊虹申技术有限公肿司疗网络实验室侧建设中，与赏网络建设有健关的设备主株要有：仙Cisco芝路由器担/炸交换机题NetSc解reen昼防火墙芝F5撒负载均衡器司Allot香流量管理设耕备佛(粥不一定完全窑上洞)朱以上设备主联机名按本章拾的定义规则猜进行命名，振命名规则所朴定义的约定您需求能够很船容易标识设验备所属区域驼、设备型号宵以及序号。匀方便网络运讲维人员、系筒统管理人员务和资产管理源人员的日后闸工作。锻生产网存设备命名规紧范押设备命名规逮则：楚字段1活—僻字段2宣—黑字段学3-（字段灵4饺）-诊n仰字段1丝标识设备所婚属区域，长情度1字符：杀Z：张江艳（只有一地蒸的话，可以删不写）遇字段2乔标识设备所馒属析区域免核心层分为滥下面两个区咸域：乖TG：主机皂连接蠢核心层交换裁机扛接入层以A顺开头，以一榜位数字表示祸各子区域具A1：互联烤网接入鞠A2：乒专线炎接入尾运维网设备丑命名规范虾设备命名规舰则：降字段1燃—钟字段2嗓—皂字段3包字段1容标识设备所套属区域，长伸度1字符：捐Z：张江雷（只有一地纺的话，可以替不写）管字段2能标识设备所疯属竖功能区域权MBON：堆交换机牢YW：运维裂字段兴3蕉标识取设备类型琴网管区使用民CORE表脆示网络机房扇中的汇聚交旋换机，在服脉务器机房中喊的使用机柜门编号作为标谢识；其他区卧域的字段三势采用下面的递标识莲FW：Ne晨tScre雾en防火墙浑R：Cis功co路由器兔SW：Ci妥sco交换淋机营设备名称一涌览危IP地址和装Vlan规泼划共为了使新中四心的IP地烟址具有更好勺的可扩展性教，以及IP鸭地址的层次签清晰，新的等数据网将启捞用全新的I艰P地址。新袍分配的IP萍地址层次分篮明，将清晰丘的体现网络盲结构，便于依日后的管理然和维护。炎生产网IP蜻地址和Vl捎an规划踩核心层编应用系统I附P地址和V童lan窄规划兰此段地址可恩以是复用地希址段，大家润的核心内网醒的地址可以脖使用一样的最。唯核心层区域透IP地址段映Vlan孤ID钟主机托管魔192.1钓68.[1野-10]/迎24脊自定泰隔离层应用血系统IP地雕址和Vla吴n是规划规隔离层区域玻IP地址段财Vlan掏ID设互联网区域偷1沸0呆.您0拒.林[使VLAN桶].0/2下4颜2返-63消接入层应用玉系统IP地筹址和Vla垫n规划叔接入层险区域战IP地址段突Vlan街ID念专线系统肉1晴72.0淹.[葵0妈-伶254哗].0/2咱4狐无翻运维网草IP地址和凑Vlan规翁划喇运维网区域蛛IP地址段焦Vlan燕ID朗VPN接入漏部分寨172.蕉1止.宣100.0吓/24邪无别MBON区悬172.1红.1残.0/2恶4戒298诉设备配置舅整体规范狐VTP器proto定col揉生产网里，萍所有Cis膛co交换机闭的VTP西模式设置为垦Trans丙paren嚼t模式，在狭每台启用V隶LAN的交缸换机上手工老建立VLA洪N信息。椅Spann违ingT局ree屯生成树启用赵协议：P朴vst勿在隔离层中秧，汇聚交换咽机（650鹿6皂和3750魔）作为网间纵网VLAN修生成树的根本，塘其中编号是搏1的交换机句作为Pri少mary惊ROOT，幕编号是2的培交换机作为域Secon施dary罚ROOT。靠启用Pvs册t常后，不连接玩交换机的端已口的Por斥tFast糕功能默认减打开。HSRP知在隔离层的剑接入交换机备上的接入V风LAN端口唱和且互联网区众的核心交换够机上的网间珠网狭VLAN梦端口开启H流SRP功能掀。予其中编号是萄1的交换机扮的默认状态溪为Acti趴ve，优先展级为110胳；编号是2珍的交换机作骗为零默认状态为拜Stand贫by，优先摆级为90蛋。扶在设备上盯配置练HSRP塌抢占。路由协议签在目前已知夜的条件下，胞网络实验室稳的专线接入旁区（A纺2粉）使用OS敌PF扇动态路由协衣议，辈其他区域都绳使用静态路壁由。壁设备安全配爪置秃设备访问控欣制访问超时暗line叶con0赴exec-习timeo帐ut5拘0感line码vty0近4吐exec-继timeo什ut5怨0访问源限制罪ipac碗cess-荣list哈stand帖ardT犯elnet枝Auth汗perm猪it17片2.1.惜1从.00.贼0.束0社.255授line理vty0发4闭acce亭ss-cl额assT荣elnet辅Auth污inSNMP保为设备安全皱起见，SN贼MP被使用冬在只读模式蛙，不在设备滋上配置RW送字串。并且抽配置ACL德，限制访问皮源。衡acces待s-lis况t邻99谦perm靠it修172.圣1.唇1炒.00.切0.沸0唇.255菌snmp-衡serve鼓rcom童munit汗y严sfit且RO铜99获网络设备服贩务乖关闭全局不衣需要的服务柿nose尚rvice诱fing卸er垮nose食rvice奏pad冻nose电rvice斯udp-轨small宪-serv对ers男nose地rvice种tcp-欢small术-serv丛ers钻noip霞boot特pser塞ver肠noip秩钻serv拼er锅noip流fing惨er少noip摄sour粪ce-ro却ute注noip俘grat当uitou捞s-arp市s奏noip股doma惰in-lo维okup廊noip静同secu陈re-se损rver揉关闭接口不椅需要的服务直noip步redi收rects嫌noip慢dire追cted-隆broad饮cast豆noip舒prox肆y-arp摘noip庸unre要achab掘les吴开启提高设芦备安全性的慧服务罚servi笼cepa翻sswor巴d-enc追rypti蹦on抖设备端口安正全配置通用配置要不使用的端尖口配置为S止hutdo费wn遵光纤端口上洲开启UDL睁D藏广域网/互缺联网接入路错由器烘在连接外联医设备的接口颂上关闭cd党p（no饭cdpe挽nable贷）类服务器接入索交换机宵连接服务器盛的端口配置僚为Acce帆ss模式养连接服务器级的端口配置笼portf这ast和b兽pdugu袍ard、b歌pdufi固lter违设备絮互联规范场鹏越惊虹网莲络实验室偷生产网中的聋冗余纠设备互联分忽为主要有以琴下辟三橡种情况需要洋进行说明。饲冗余糊3750消交换机连接挥冗余650僚6交换机手这种情况穿主要指隔离椒层的核心6使506交换缘机连接隔离评层接入37榜50交换机嘱和接入层的朽汇聚375奇0交换机。艇如下图所示歇。斩两台375年0交换机使深用堆叠方式芳组成逻辑上汪的一台交换跌机；两台6殃506交换停机使用引擎学上的两个光互纤口组成E福therC且hanne嫂l进行互联辩。每台37活50交换机市上各拿出一盯个端口，使究用LACP躲协议组成E庙therC幕hanne廉l连接到6泄506上斩。爽6506和佛3750之嘉间使用虚拟麻网间网Vl都an端口进顷行互联，并参在6506装的互联端口竖上允许这些私Vlan通哄过。这样当偏某一台37料50发生故率障时，不会知引起网间网烧Vlan的咸Spann沫ing-T血ree（生据成树）的状暑态变化。击在6506扁上的网间网肚Vlan端辛口（Int挣erfac枕eVla床n）开启H睬SRP协议疲，言3750的撑静态路由的钞下一条地址压就是HSR悟P的虚拟地生址。香冗余汤3750交扁换机连接非顺冗余Net平Scree颈n防火墙雕这种情况主奶要指余接入层互联填网接入区的膏接入208剂防火墙连接颗3750交忽换机。如下沿图所示。搁两台375鸽0交换机使区用堆叠方式属组成逻辑上雷的一台交换层机颈。使每台Net届Scree之n208代防火墙使用扶两个端口分余别连接到两继台3750搬交换机上膝，戏通过使用特馅有的Red坛undan毛t特性，券两个端口绑色定在同一个早冗余组里互惊相备份。柱默认情况下粘，所有的数载据应当通过礼左侧的交换新机，猾当启端口或链线路屠发生故障时旋，援备用端口将祖自动进行切财换，数据流晌向右侧的交竖换机。欢冗余375邻0交换机连才接冗余防火招墙着这种情况主趋要指接入层龙专线接入区酬（A绢2硬）中的Ne粉tScre砖enIS浙G100愉0防火墙连肤接内外两侧穷的3750您交换机。盆两台375渔0交换机使芽用堆叠方式拴组成逻辑上梁的一台交换笔机。每台N寒etScr竖een2弱08防火墙骂使用两个端总口分别连接谱到冈同一台平3750交单换机上，询通过使用特盘有的Red称undan鉴t特性，肚两个端口绑轰定在同一个施冗余组里互券相备份；只冷有在交换机笨发生故障或祝交换机与防削火墙之间的瓜两根线都断萌开时，防火沟墙才进行切放换。权生产洒系统培网络设计捧生产日网络粘设计垫及区域划分遭网络整体设抚计的主要思然路采用气核心、隔离雅、接入的垂迎直分层的牧网络架构，蝇模块化的设嫂计原落则，使得整捞体网络按照手业务的不同插，可以实现担模块化建设蜻和模块化管娃理。各区域柄网络描述及摇作用如下。核心层尸生产网络的浪核心层火包括托管系免统的服务器跌和内部总线摇，按照不同财业务的又可投以分为主机笔系统隔离层免隔离层由服驶务器接入交滚换机和汇聚仰交换机组成圆，上端连接肥系统各业务耽的前置服务孝器，下端与衔各类接入线肺路链接。在懒隔离层上还兆需要考虑不剪同系统的不望同业务之间宴的隔离。接入层野接入层兼用于外部线符路的接入以省及安全上的鹊防护，主要姿可以分为互源联网接入、湾专线接入。地Vlan和首IP地址分酷配悟应用露系统Vla限n和IP地筛址分配逮主机容系统IP零地址冶分配疤IP地址得用户1刘192.1煤68.1.昆0/24令用户2买192.1题68.2.敲0/24覆…覆……壳用户n问192.1挨68.n.醉0/24埋隔离层交易除区澡（寨A理1）毛IP地址和普Vlan的分配银主机祸系统每个用罢户分配一段型C树类地址舒IP地址挎V拴lanI蝇D滚用户1泪10.0.际1.0幸/24智1贯用户2旷10.0.哨2.0雹/24克2滥…最……惊其余设备之漠间的互联V王lan和I燃P地址的分厦配如下：嚼设备名称轧端口染IP地址卵对端设备参端口冈IP地址倦3750-满front简vlan跳100朱10.0.要100.3鞠/24稍Z-COR退E-1岩Z-COR躁E-2悟V艰lan1踏00赌10.0.绿100.1夫/24武10.0.抓100.2锤/24纯Z-砖CORE-祝1鸽Z接-CORE适-2阵vlan陆200衬10.0.吊200.1蹲/24惑10.0.寄200.2陈/24已H耕srp:1番扎00.4遍Z-A1-刺SW-HJ徒V伸lan钉200沈10.0.连200.3鄙/24时Z-A1-蛙SW-HJ狂V李lan搁210孕10.0.户210.3浩/24驴Z-A1-春LC钩-1伯Z-A1-奸LC贪-2乓2.1请10.0.姻210.1踢/24纤10.0.引210.2恭/24厦V妇ip:10如.皱210.0旅.4以Z-A1-佩LC觉-1春Z-A1-愉LC汽-2别1.1允10.0.锹220.1废/24照10.0.绩220.2屈/24词V脊ip:10男.0.22斑0.4傅Z-A1-交F勉W栗-1译redu授ndant申1妄1证稻20.眯3/24缺Z-A1-乔LC兄-1哪Z-A1-少LC捐-2奴1.2羽10.0.斗230.1描/24厌10.0.路230.2桌/24浇V句ip:10柜.0.23喂0.4硬Z-A1-暑FW-2垄r蚕edu剩ndant筒1丰10.0.黄230.3反/24维Z萝-CORE栏-薯1师Z蛾-CORE恶-2提V纽lan3节00脚192.3缘茧/24蚕192.3酒狐/24逢V鞭ip:19印2.30.框0.4哥Z-A混2尸-SW-H乏J杂V墙lan堪300迹192.3侍思/24门Z-A锯2泰-SW-H毯J糟V浩lan怨310偿192.3候究/24顽Z-A钩2双-庸FW-1剂Z-A扔2掩-羞FW-2吹r缴edu县ndant仰1融192.3尺六/24耀Z-A汁2犁-踢FW-1戚Z-A宰2野-恳FW-2毅r舅edu墨ndant最2魔192.3遣铲/24星Z-A忧2热-SW慈Vlan犹320亦192.3类鞠/24裕Z-A央2翠-SW芝V表lan斯330狠192.3绑活/24盈Z-A什2然-R-1鞋Z-A社2毁-R-漫2亡G0/0左G0/0铁192.3菠帜/24果192.3梨隆/24袍Z-A伪2疮-SW朝V期lan3营40艰192.3螺延/24截Z-A任2洲-R-1起Z-A垄2疑-R-童2伯G0/1育G0/1弱192.3贞侧/24萌192.3以拍/24君专线广域网州和局域网I尽P地址分配腊广域网间网切IP地址分门配赴每条专线的订广域网间网曲从俗10.25竟4.它1.0需/孝24社分配一段3捏0蒜位掩码的地资址。局域网地址波每套援系统奉的客户端从妥172.汤0.[0-早254]酷.0/跳24莫中分配一段投C遇类地址。核心层设计指主机系统支核心设计我主机碌系统苗的服务器通恼过单独的网贤卡连接到一秃组组冗余交泳换机上，组田成主机气系统的内部走总线遇。罗系统可以查通过专线接胃入路由器直陶接接入内部洪总线，对系隐统进行管理磨和维护。隔离层设计窄隔离层残就是互联网贷区（充A真1）阅。接入交换菊机摆放在服职务器机房的元排头柜里，刊负责连接都本排机柜里价的连交易系统前瑞置交换机，袄前置交换机挣的网关零都部署在接勉入交换机上琴。汇聚交换馋机摆放先在网络机房希内，一侧连担接排头柜的创隔离层球接入交换机扭，另一侧连恨接接入层的减汇聚交换机盏。证互联网谣区亭（垫A歉1烘）雅设计弹互联网质区加一侧连接主浅机系统概，准另一侧众连接眼接入层瓦互联网接入洲区阿（A1）运和具专线接入区呼（A目2祸）群。痛互联网区亦前置服务器帖的网罢关摸都部署在接陶入交换机上顺。凉对于主机系韵统，每套长系统分配一蜂段C杜类地址黑。资在互联网纪区典3750-赛front罢的接入交换鬼机上配置访控问控制列表真（ACL）召，久阻止不同钉系统之间的膝通讯，避免弟各套资系统之间的齐相互访问所肚可能产生的绢安全隐患。私以主机系统蚊1为例，其蓄交易前置机夕的网段为1路敌.0/24乔，贫Vlan筑ID是8。蛇在Inte址rface电Vlan炭8上配置撕一个方向为吼In的AC蚊L，ACL些一共有三个末条目：呜permi筑tip贴1斑0间.矮0秋.8.0视印.255穿1社0脆.栏0租.8.0中焦.255河deny遇ip拴1进0弄.前0俭.8.0委端.255嚼1准0巧.届0烦.0.0嫁掏55.25转5碎permi袄tip席1蹄0氏.遇0赢.8.0然设.255豆any接入层设计贺接入层分为带2利个区域：互私联网吧接入暖区（A1）乐、软专线脚接入区（季A2尝）。净互联网接入惯区（A1）抓设计海一台All炊ot开NetEn进force拿r血AC-奸804带宽遣管理设备。么AC-80遮4共有4个席千兆以太网费电口，可以佣同时管理两螺条互联网线灾路上的流量总，定制并生路成相应的报叹表。由于采欠用的外置的扶旁路（by躲pass己）模块，因喇此在设备发兵生故障时也美不对网络笔产生影响。粘Allot蒸内侧是两台体NetSc遮reen岸208防火饱墙，每台防豆火墙连接一表条互联网线繁路，负责互极联网线路上险的访问控制或和IP地址客转换。在N度etScr俱een2野08防火墙糟内侧是由两简台Cisc帽o375御0堆叠而成编的一组交换闷机。通过N肃etScr涨een特有涨的Redu候ndant亦Grou辈p特性，将犹每台Net侄Scree妹n208挠分别连接到飞两台Cis编co37垄50交换机兴上，避免了樱单点故障的瞎发生。姑两台F5立Bip-I拌P340槽0Lin驳kCon释troll窃er链路负骄载均衡设备废的主要功能船是实现估Inbou棉nd方向的娇数据流的原影进原出。肤另外，访在F5上配像置目标地址验为所有地址妖、类型为P童erfo