网络实验室建设项目方案.doc
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
接入层
接入层用于外部线路的接入以及安全上的防护,主要可以分为互联网接入、专线接入。
5.2
5.2.1
主机系统IP地址分配
IP地址
用户1
192.168.1.0/24
用户2
192.168.2.0/24
…
……
用户n
192.168.n.0/24
隔离层交易区(A1)IP地址和Vlan分配
主机系统每个用户分配一段C类地址
Z-A2-SW-HJ
运维网
网管核心交换机
Z-MOBN-CORE
运维网核心防火墙
Z-MOBN-FW
3
为了使新中心的IP地址具有更好的可扩展性,以及IP地址的层次清晰,新的数据网将启用全新的IP地址。新分配的IP地址层次分明,将清晰的体现网络结构,便于日后的管理和维护。
3.1
核心层应用系统IP地址和Vlan规划
4.2
生成树启用协议:Pvst
在隔离层中,汇聚交换机(6506和3750)作为网间网VLAN生成树的根,其中编号是1的交换机作为Primary ROOT,编号是2的交换机作为Secondary ROOT。
启用Pvst后,不连接交换机的端口的PortFast功能默认打开。
4.3
在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为Active,优先级为110;编号是2的交换机作为默认状态为Standby,优先级为90。在设备上配置HSRP抢占。
详细描述实施方案的风险和局限性,明确使用实施方案所应承担的风险和将导致的后果。
在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。
对于检查实施方案的每一个阶段是否达到方案要求,需要有每一阶段的测试内容,明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案,不再执行实施方案的下一个执行动作或不进入下一个实施阶段。
服务器接入交换机
3.连接服务器的端口配置为Access模式
4.连接服务器的端口配置portfast和bpduguard、bpdufilter
4.6
鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。
4.6.1
这种情况主要指隔离层的核心6506交换机连接隔离层接入3750交换机和接入层的汇聚3750交换机。如下图所示。
2.1
10.0.210.1/24
10.0.210.2/24
Vip:10.210.0.4
Z-A1-LC-1
Z-A1-LC-2
1.1
10.0.220.1/24
10.0.220.2/24
Vip:10.0.220.4
Z-A1-FW-1
百度文库redundant1
10.0.220.3/24
Z-A1-LC-1
Z-A1-LC-2
在6506上的网间网Vlan端口(Interface Vlan)开启HSRP协议,3750的静态路由的下一条地址就是HSRP的虚拟地址。
4.6.2
这种情况主要指接入层互联网接入区的接入208防火墙连接3750交换机。如下图所示。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到两台3750交换机上,通过使用特有的Redundant特性,两个端口绑定在同一个冗余组里互相备份。默认情况下,所有的数据应当通过左侧的交换机,当端口或线路发生故障时,备用端口将自动进行切换,数据流向右侧的交换机。
此段地址可以是复用地址段,大家的核心内网的地址可以使用一样的。
核心层区域
IP地址段
Vlan ID
主机托管
192.168.[1-10]/24
自定
隔离层应用系统IP地址和Vlan规划
隔离层区域
IP地址段
Vlan ID
互联网区域
10.0.[VLAN].0/24
2-63
接入层应用系统IP地址和Vlan规划
接入层区域
10.0.100.2/24
Z-CORE-1
Z-CORE-2
vlan200
10.0.200.1/24
10.0.200.2/24
Hsrp:10.0.200.4
Z-A1-SW-HJ
Vlan200
10.0.200.3/24
Z-A1-SW-HJ
Vlan210
10.0.210.3/24
Z-A1-LC-1
Z-A1-LC-2
MBON:交换机
YW:运维
字段3
标识设备类型
网管区使用CORE表示网络机房中的汇聚交换机,在服务器机房中的使用机柜编号作为标识;其他区域的字段三采用下面的标识
FW:NetScreen防火墙
R:Cisco路由器
SW:Cisco交换机
2.2
设备描述
设备名称
核心层
主机系统交换机1
Z-TG-1
主机系统交换机2
1.2
10.0.230.1/24
10.0.230.2/24
Vip:10.0.230.4
Z-A1-FW-2
redundant1
10.0.230.3/24
Z-CORE-1
Z-CORE-2
Vlan 300
192.30.0.1/24
192.30.0.2/24
Vip:192.30.0.4
Z-A2-SW-HJ
Vlan300
1.3
本文档内容基于Cisco 3825、Cisco 3845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208、F5等产品,涵盖了此次上海鹏越惊虹网络实验室(灾备)项目路由、交换安全、网管相关工程内容的工程实施设计方案:
1.3.1
实施步骤的完整性,对于每一个实施步骤各方所需要执行的动作有明确的规定,有精确的时间顺序安排,对每一个动作有详细的操作步骤,对每一个执行的动作都有相应的检查是否完成的步骤,达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机;两台6506交换机使用引擎上的两个光纤口组成EtherChannel进行互联。每台3750交换机上各拿出一个端口,使用LACP协议组成EtherChannel连接到6506上。6506和3750之间使用虚拟网间网Vlan端口进行互联,并在6506的互联端口上允许这些Vlan通过。这样当某一台3750发生故障时,不会引起网间网Vlan的Spanning-Tree(生成树)的状态变化。
4.6.3
这种情况主要指接入层专线接入区(A2)中的NetScreen ISG 1000防火墙连接内外两侧的3750交换机。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到同一台3750交换机上,通过使用特有的Redundant特性,两个端口绑定在同一个冗余组里互相备份;只有在交换机发生故障或交换机与防火墙之间的两根线都断开时,防火墙才进行切换。
4.4
在目前已知的条件下,网络实验室的专线接入区(A2)使用OSPF动态路由协议,其他区域都使用静态路由。
4.5
4.5.1
访问超时
line con 0
exec-timeout 5 0
line vty 0 4
exec-timeout 5 0
访问源限制
ip access-list standard TelnetAuth
有鉴于此,本文将从公司的网络系统业务需求分析和接入需求分析出发,横向从生产系统网络、运维系统网络,纵向从核心层、隔离层、接入层角度,集中考虑业务系统、接入系统对网络的需求,从而形成张江网络系统的网络设计方案。
字段1
标识设备所属区域,长度1字符:
Z:张江(只有一地的话,可以不写)
字段2
标识设备所属功能区域
上海鹏越惊虹技术有限公司
网络实验室项目
网络实施方案
Version1.0
文档属性
属性
内容
项目名称:
上海鹏越惊虹技术有限公司网络实验室项目
文档标题:
上海鹏越惊虹技术有限公司网络实验室项目网络实施方案
文档版本号:
Version1.0
版本日期:
2009-10-04
文档状态:
初稿
作者:
邵勇
文档变更过程
版本
修正日期
修正人
描述
1.0
2009-10-02
邵勇
文档初稿
概述
1.1
撰写此文的主要目的是为了保障“上海鹏越惊虹技术有限公司网络实验室项目”的顺利实施,根据上海鹏越惊虹技术有限公司网络建设需求,制定出网络实验室的实施规范和方法。
在实际实施工作前,将所有实施步骤、方法和各方需完成的任务明确。
1.2
本文档资料主要面向负责“上海鹏越惊虹技术有限公司网络实验室项目”的设计和实施的上海鹏越惊虹技术有限公司的网络技术人员,管理人员;以便通过参考本文档资料顺利完成上海鹏越惊虹技术有限公司网络实验室项目。
互联网接入交换机
Z-A1-SW
互联网链路均衡设备1
Z-A1-LC-1
互联网链路均衡设备2
Z-A1-LC-2
互联网接入汇聚交换机
Z-A1-SW-HJ
专线路由器1
Z-A2-R-1
专线路由器2
Z-A2-R-2
专线接入交换机
Z-A2-SW
专线接入防火墙1
Z-A2-FW-1
专线接入防火墙2
Z-A2-FW-2
专线接入汇聚交换机
Z-TG-2
隔离层
互联网接入交换机
Z-3750-front
互联网核心交换机1
Z--CORE-1
互联网核心交换机2
Z-CORE-2
接入层
互联网出口路由器1
Z-A1-R-1
互联网出口路由器2
Z-A1-R-2
互联网流量管理设备
Z-A1-BM
互联网接入防火墙1
Z-A1-FW-1
互联网接入防火墙2
Z-A1-FW-2
IP地址
Vlan ID
用户1
10.0.1.0/24
1
用户2
10.0.2.0/24
2
…
……
其余设备之间的互联Vlan和IP地址的分配如下:
设备名称
端口
IP地址
对端设备
端口
IP地址
3750-front
vlan 100
10.0.100.3/24
Z-CORE-1
Z-CORE-2
Vlan 100
10.0.100.1/24
5
5.1
网络整体设计的主要思路采用核心、隔离、接入的垂直分层的网络架构,模块化的设计原则,使得整体网络按照业务的不同,可以实现模块化建设和模块化管理。各区域网络描述及作用如下。
核心层
生产网络的核心层包括托管系统的服务器和内部总线,按照不同业务的又可以分为主机系统
隔离层
隔离层由服务器接入交换机和汇聚交换机组成,上端连接系统各业务的前置服务器,下端与各类接入线路链接。在隔离层上还需要考虑不同系统的不同业务之间的隔离。
no ip proxy-arp
no ip unreachables
开启提高设备安全性的服务
service password-encryption
4.5.3
通用配置
1.不使用的端口配置为Shutdown
2.光纤端口上开启UDLD
广域网/互联网接入路由器
在连接外联设备的接口上关闭cdp(no cdp enable)
192.30.0.3/24
2
2.1
上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设,为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运维管理网络。
目前,上海鹏越惊虹正在张江建设网络实验室,作为以提供员工对于网络测试的需求,在这样的背景下,需要启动网络系统的建设,以提供公司测试环境网络。
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip domain-lookup
no ip http secure-server
关闭接口不需要的服务
no ip redirects
no ip directed-broadcast
permit 172.1.1.0 0.0.0.255
line vty 0 4
access-class TelnetAuth in
SNMP
为设备安全起见,SNMP被使用在只读模式,不在设备上配置RW字串。并且配置ACL,限制访问源。
access-list 99 permit172.1.1.0 0.0.0.255
IP地址段
Vlan ID
专线系统
172.0.[0-254].0/24
无
3.2
运维网区域
IP地址段
Vlan ID
VPN接入部分
172.1.100.0/24
无
MBON区
172.1.1.0/24
298
4
4.1
生产网里,所有Cisco交换机的VTP模式设置为Transparent模式,在每台启用VLAN的交换机上手工建立VLAN信息。
snmp-server communitysfitRO 99
4.5.2
关闭全局不需要的服务
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no ip bootp server
接入层用于外部线路的接入以及安全上的防护,主要可以分为互联网接入、专线接入。
5.2
5.2.1
主机系统IP地址分配
IP地址
用户1
192.168.1.0/24
用户2
192.168.2.0/24
…
……
用户n
192.168.n.0/24
隔离层交易区(A1)IP地址和Vlan分配
主机系统每个用户分配一段C类地址
Z-A2-SW-HJ
运维网
网管核心交换机
Z-MOBN-CORE
运维网核心防火墙
Z-MOBN-FW
3
为了使新中心的IP地址具有更好的可扩展性,以及IP地址的层次清晰,新的数据网将启用全新的IP地址。新分配的IP地址层次分明,将清晰的体现网络结构,便于日后的管理和维护。
3.1
核心层应用系统IP地址和Vlan规划
4.2
生成树启用协议:Pvst
在隔离层中,汇聚交换机(6506和3750)作为网间网VLAN生成树的根,其中编号是1的交换机作为Primary ROOT,编号是2的交换机作为Secondary ROOT。
启用Pvst后,不连接交换机的端口的PortFast功能默认打开。
4.3
在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为Active,优先级为110;编号是2的交换机作为默认状态为Standby,优先级为90。在设备上配置HSRP抢占。
详细描述实施方案的风险和局限性,明确使用实施方案所应承担的风险和将导致的后果。
在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。
对于检查实施方案的每一个阶段是否达到方案要求,需要有每一阶段的测试内容,明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案,不再执行实施方案的下一个执行动作或不进入下一个实施阶段。
服务器接入交换机
3.连接服务器的端口配置为Access模式
4.连接服务器的端口配置portfast和bpduguard、bpdufilter
4.6
鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。
4.6.1
这种情况主要指隔离层的核心6506交换机连接隔离层接入3750交换机和接入层的汇聚3750交换机。如下图所示。
2.1
10.0.210.1/24
10.0.210.2/24
Vip:10.210.0.4
Z-A1-LC-1
Z-A1-LC-2
1.1
10.0.220.1/24
10.0.220.2/24
Vip:10.0.220.4
Z-A1-FW-1
百度文库redundant1
10.0.220.3/24
Z-A1-LC-1
Z-A1-LC-2
在6506上的网间网Vlan端口(Interface Vlan)开启HSRP协议,3750的静态路由的下一条地址就是HSRP的虚拟地址。
4.6.2
这种情况主要指接入层互联网接入区的接入208防火墙连接3750交换机。如下图所示。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到两台3750交换机上,通过使用特有的Redundant特性,两个端口绑定在同一个冗余组里互相备份。默认情况下,所有的数据应当通过左侧的交换机,当端口或线路发生故障时,备用端口将自动进行切换,数据流向右侧的交换机。
此段地址可以是复用地址段,大家的核心内网的地址可以使用一样的。
核心层区域
IP地址段
Vlan ID
主机托管
192.168.[1-10]/24
自定
隔离层应用系统IP地址和Vlan规划
隔离层区域
IP地址段
Vlan ID
互联网区域
10.0.[VLAN].0/24
2-63
接入层应用系统IP地址和Vlan规划
接入层区域
10.0.100.2/24
Z-CORE-1
Z-CORE-2
vlan200
10.0.200.1/24
10.0.200.2/24
Hsrp:10.0.200.4
Z-A1-SW-HJ
Vlan200
10.0.200.3/24
Z-A1-SW-HJ
Vlan210
10.0.210.3/24
Z-A1-LC-1
Z-A1-LC-2
MBON:交换机
YW:运维
字段3
标识设备类型
网管区使用CORE表示网络机房中的汇聚交换机,在服务器机房中的使用机柜编号作为标识;其他区域的字段三采用下面的标识
FW:NetScreen防火墙
R:Cisco路由器
SW:Cisco交换机
2.2
设备描述
设备名称
核心层
主机系统交换机1
Z-TG-1
主机系统交换机2
1.2
10.0.230.1/24
10.0.230.2/24
Vip:10.0.230.4
Z-A1-FW-2
redundant1
10.0.230.3/24
Z-CORE-1
Z-CORE-2
Vlan 300
192.30.0.1/24
192.30.0.2/24
Vip:192.30.0.4
Z-A2-SW-HJ
Vlan300
1.3
本文档内容基于Cisco 3825、Cisco 3845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208、F5等产品,涵盖了此次上海鹏越惊虹网络实验室(灾备)项目路由、交换安全、网管相关工程内容的工程实施设计方案:
1.3.1
实施步骤的完整性,对于每一个实施步骤各方所需要执行的动作有明确的规定,有精确的时间顺序安排,对每一个动作有详细的操作步骤,对每一个执行的动作都有相应的检查是否完成的步骤,达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机;两台6506交换机使用引擎上的两个光纤口组成EtherChannel进行互联。每台3750交换机上各拿出一个端口,使用LACP协议组成EtherChannel连接到6506上。6506和3750之间使用虚拟网间网Vlan端口进行互联,并在6506的互联端口上允许这些Vlan通过。这样当某一台3750发生故障时,不会引起网间网Vlan的Spanning-Tree(生成树)的状态变化。
4.6.3
这种情况主要指接入层专线接入区(A2)中的NetScreen ISG 1000防火墙连接内外两侧的3750交换机。
两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208防火墙使用两个端口分别连接到同一台3750交换机上,通过使用特有的Redundant特性,两个端口绑定在同一个冗余组里互相备份;只有在交换机发生故障或交换机与防火墙之间的两根线都断开时,防火墙才进行切换。
4.4
在目前已知的条件下,网络实验室的专线接入区(A2)使用OSPF动态路由协议,其他区域都使用静态路由。
4.5
4.5.1
访问超时
line con 0
exec-timeout 5 0
line vty 0 4
exec-timeout 5 0
访问源限制
ip access-list standard TelnetAuth
有鉴于此,本文将从公司的网络系统业务需求分析和接入需求分析出发,横向从生产系统网络、运维系统网络,纵向从核心层、隔离层、接入层角度,集中考虑业务系统、接入系统对网络的需求,从而形成张江网络系统的网络设计方案。
字段1
标识设备所属区域,长度1字符:
Z:张江(只有一地的话,可以不写)
字段2
标识设备所属功能区域
上海鹏越惊虹技术有限公司
网络实验室项目
网络实施方案
Version1.0
文档属性
属性
内容
项目名称:
上海鹏越惊虹技术有限公司网络实验室项目
文档标题:
上海鹏越惊虹技术有限公司网络实验室项目网络实施方案
文档版本号:
Version1.0
版本日期:
2009-10-04
文档状态:
初稿
作者:
邵勇
文档变更过程
版本
修正日期
修正人
描述
1.0
2009-10-02
邵勇
文档初稿
概述
1.1
撰写此文的主要目的是为了保障“上海鹏越惊虹技术有限公司网络实验室项目”的顺利实施,根据上海鹏越惊虹技术有限公司网络建设需求,制定出网络实验室的实施规范和方法。
在实际实施工作前,将所有实施步骤、方法和各方需完成的任务明确。
1.2
本文档资料主要面向负责“上海鹏越惊虹技术有限公司网络实验室项目”的设计和实施的上海鹏越惊虹技术有限公司的网络技术人员,管理人员;以便通过参考本文档资料顺利完成上海鹏越惊虹技术有限公司网络实验室项目。
互联网接入交换机
Z-A1-SW
互联网链路均衡设备1
Z-A1-LC-1
互联网链路均衡设备2
Z-A1-LC-2
互联网接入汇聚交换机
Z-A1-SW-HJ
专线路由器1
Z-A2-R-1
专线路由器2
Z-A2-R-2
专线接入交换机
Z-A2-SW
专线接入防火墙1
Z-A2-FW-1
专线接入防火墙2
Z-A2-FW-2
专线接入汇聚交换机
Z-TG-2
隔离层
互联网接入交换机
Z-3750-front
互联网核心交换机1
Z--CORE-1
互联网核心交换机2
Z-CORE-2
接入层
互联网出口路由器1
Z-A1-R-1
互联网出口路由器2
Z-A1-R-2
互联网流量管理设备
Z-A1-BM
互联网接入防火墙1
Z-A1-FW-1
互联网接入防火墙2
Z-A1-FW-2
IP地址
Vlan ID
用户1
10.0.1.0/24
1
用户2
10.0.2.0/24
2
…
……
其余设备之间的互联Vlan和IP地址的分配如下:
设备名称
端口
IP地址
对端设备
端口
IP地址
3750-front
vlan 100
10.0.100.3/24
Z-CORE-1
Z-CORE-2
Vlan 100
10.0.100.1/24
5
5.1
网络整体设计的主要思路采用核心、隔离、接入的垂直分层的网络架构,模块化的设计原则,使得整体网络按照业务的不同,可以实现模块化建设和模块化管理。各区域网络描述及作用如下。
核心层
生产网络的核心层包括托管系统的服务器和内部总线,按照不同业务的又可以分为主机系统
隔离层
隔离层由服务器接入交换机和汇聚交换机组成,上端连接系统各业务的前置服务器,下端与各类接入线路链接。在隔离层上还需要考虑不同系统的不同业务之间的隔离。
no ip proxy-arp
no ip unreachables
开启提高设备安全性的服务
service password-encryption
4.5.3
通用配置
1.不使用的端口配置为Shutdown
2.光纤端口上开启UDLD
广域网/互联网接入路由器
在连接外联设备的接口上关闭cdp(no cdp enable)
192.30.0.3/24
2
2.1
上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设,为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运维管理网络。
目前,上海鹏越惊虹正在张江建设网络实验室,作为以提供员工对于网络测试的需求,在这样的背景下,需要启动网络系统的建设,以提供公司测试环境网络。
no ip http server
no ip finger
no ip source-route
no ip gratuitous-arps
no ip domain-lookup
no ip http secure-server
关闭接口不需要的服务
no ip redirects
no ip directed-broadcast
permit 172.1.1.0 0.0.0.255
line vty 0 4
access-class TelnetAuth in
SNMP
为设备安全起见,SNMP被使用在只读模式,不在设备上配置RW字串。并且配置ACL,限制访问源。
access-list 99 permit172.1.1.0 0.0.0.255
IP地址段
Vlan ID
专线系统
172.0.[0-254].0/24
无
3.2
运维网区域
IP地址段
Vlan ID
VPN接入部分
172.1.100.0/24
无
MBON区
172.1.1.0/24
298
4
4.1
生产网里,所有Cisco交换机的VTP模式设置为Transparent模式,在每台启用VLAN的交换机上手工建立VLAN信息。
snmp-server communitysfitRO 99
4.5.2
关闭全局不需要的服务
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no ip bootp server