互联网实验室建设项目方案

上海鹏越惊虹技术有限公司网络实验室项目

网络实施方案

Version 1.0

文档属性

文档变更过程

上海鹏越惊虹技术有限公司网络实验室项目

概述

1.1文档目的

撰写此文的主要目的是为了保障“上海鹏越惊虹技术有限公司网络实验室项目”的顺利实施，根据上海鹏越惊虹技术有限公司网络建设需求，制定出网络实验室的实施规范和方法。

在实际实施工作前，将所有实施步骤、方法和各方需完成的任务明确。

1.2文档适用人员

本文档资料主要面向负责“上海鹏越惊虹技术有限公司网络实验室项目”的设计和实施的上海鹏越惊虹技术有限公司的网络技术人员，管理人员；以便通过参考本文档资料顺利完成上海鹏越惊虹技术有限公司网络实验室项目。

1.3文档内容范围

本文档内容基于Cisco 3825、Cisco 3845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208、F5等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：

1.3.1实施原则

●实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明确的规

定，有精确的时间顺序安排，对每一个动作有详细的操作步骤，对每一个执行的动作都有相应的检查是否完成的步骤，达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。

●详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风险和将

导致的后果。

●在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执

行的动作和担负的责任。

对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。

上海鹏越惊虹技术有限公司网络实验室项目

2项目介绍

2.1项目简介

上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设，为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运维管理网络。

目前，上海鹏越惊虹正在张江建设网络实验室，作为以提供员工对于网络测试的需求，在这样的背景下，需要启动网络系统的建设，以提供公司测试环境网络。

有鉴于此，本文将从公司的网络系统业务需求分析和接入需求分析出发，横向从生产系统网络、运维系统网络，纵向从核心层、隔离层、接入层角度，集中考虑业务系统、接入系统对网络的需求，从而形成张江网络系统的网络设计方案。

3网络设备命名

在鹏越惊虹技术有限公司网络实验室建设中，与网络建设有关的设备主要有：

●Cisco路由器/交换机

●NetScreen防火墙

●F5负载均衡器

●Allot流量管理设备(不一定完全上)

以上设备主机名按本章的定义规则进行命名，命名规则所定义的约定需求能够很容易标识设备所属区域、设备型号以及序号。方便网络运维人员、系统管理人员和资产管理人员的日后工作。

3.1生产网设备命名规范

设备命名规则：字段1—字段2—字段3-（字段4）-n

3.2运维网设备命名规范

设备命名规则：字段1—字段2—字段3

上海鹏越惊虹技术有限公司网络实验室项目

3.3设备名称一览

上海鹏越惊虹技术有限公司网络实验室项目

4IP地址和Vlan规划

为了使新中心的IP地址具有更好的可扩展性，以及IP地址的层次清晰，新的数据网将启用全新的IP地址。新分配的IP地址层次分明，将清晰的体现网络结构，便于日后的管理和维护。

4.1生产网IP地址和Vlan规划

●核心层应用系统IP地址和Vlan规划

此段地址可以是复用地址段，大家的核心内网的地址可以使用一样的。

●隔离层应用系统IP地址和Vlan规划

●接入层应用系统IP地址和Vlan规划

4.2运维网IP地址和Vlan规划

上海鹏越惊虹技术有限公司网络实验室项目

5设备配置整体规范

5.1VTP protocol

生产网里，所有Cisco交换机的VTP 模式设置为Transparent模式，在每台启用VLAN的交换机上手工建立VLAN信息。

5.2Spanning Tree

生成树启用协议：Pvst

在隔离层中，汇聚交换机（6506和3750）作为网间网VLAN生成树的根，其中编号是1的交换机作为Primary ROOT，编号是2的交换机作为Secondary ROOT。

启用Pvst后，不连接交换机的端口的PortFast功能默认打开。

5.3HSRP

在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为Active，优先级为110；编号是2的交换机作为默认状态为Standby，优先级为90。在设备上配置HSRP 抢占。

5.4路由协议

在目前已知的条件下，网络实验室的专线接入区（A2）使用OSPF动态路由协议，其他区域都使用静态路由。

5.5设备安全配置

5.5.1设备访问控制

●访问超时

line con 0

exec-timeout 5 0

line vty 0 4

exec-timeout 5 0

●访问源限制

ip access-list standard TelnetAuth

permit 172.1.1.0 0.0.0.255

line vty 0 4

access-class TelnetAuth in

●SNMP

为设备安全起见，SNMP被使用在只读模式，不在设备上配置RW字串。并且配置ACL，限制访问源。

access-list 99 permit 172.1.1.0 0.0.0.255

snmp-server community sfit RO 99

5.5.2网络设备服务

●关闭全局不需要的服务

no service finger

no service pad

no service udp-small-servers

no service tcp-small-servers

no ip bootp server

no ip http server

no ip finger

no ip source-route

no ip gratuitous-arps

no ip domain-lookup