网络实验室建设项目方案Word文档下载推荐.docx

1、2009-10-02文档初稿概述1.1文档目的撰写此文的主要目的是为了保障“上海鹏越惊虹技术有限公司网络实 验室项目”的顺利实施，根据上海鹏越惊虹技术有限公司网络建设需求， 制定出网络实验室的实施规范和方法。在实际实施工作前，将所有实施步骤、方法和各方需完成的任务明确。1.2文档适用人员本文档资料主要面向负责“上海鹏越惊虹技术有限公司网络实验室项 目”的设计和实施的上海鹏越惊虹技术有限公司的网络技术人员，管理人 员；以便通过参考本文档资料顺利完成上海鹏越惊虹技术有限公司网络实 验室项目。1.3文档内容范围本文档内容基于 Cisco 3825、Cisco 3845、Cisco 6506、Cisc

2、o 3750、 Cisco3560、Netscreen ISG1000、NS208 F5 等产品，涵盖了此次上海鹏 越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工 程实施设计方案：1.3.1实施原则实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明 确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤, 对每一个执行的动作都有相应的检查是否完成的步骤，达到任何一个 只要具有实际实施经验的工程师都能按实施方案完成执行动作。 详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风 险和将导致的后果。在实施前需要各参与单位和人员最终确认实施方案的正确性、明确

3、各 方所执行的动作和担负的责任。对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段 的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果 不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个 执行动作或不进入下一个实施阶段。2 项目介绍2.1 项目简介上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设，为了公 司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环 境。网络实验室系统主要包括生产系统网络、运维管理网络。目前，上海鹏越惊虹正在张江建设网络实验室，作为以提供员工对于 网络测试的需求，在这样的背景下，需要启动网络系统的建设，以提供公 司测试环境网

4、络。有鉴于此，本文将从公司的网络系统业务需求分析和接入需求分析出 发，横向从生产系统网络、运维系统网络，纵向从核心层、隔离层、接入 层角度，集中考虑业务系统、接入系统对网络的需求，从而形成张江网络系统的网络设计方案。3 网络设备命名在鹏越惊虹技术有限公司网络实验室建设中，与网络建设有关的设备主要有：Cisco路由器/交换机NetScreen防火墙F5负载均衡器Allot流量管理设备（不一定完全上）以上设备主机名按本章的定义规则进行命名，命名规则所定义的约定 需求能够很容易标识设备所属区域、设备型号以及序号。方便网络运维人 员、系统管理人员和资产管理人员的日后工作。3.1生产网设备命名规范设备命

5、名规则：字段1字段2字段3-（字段4）-n字段1标识设备所属区域，长度1字符：Z:张江（只有地的话，可以不写）字段2标识设备所属区域核心层分为下面两个区域：TG主机连接核心层交换机接入层以A幵头，以一位数字表示各子区域A1：互联网接入A2:专线接入3.2运维网设备命名规范字段1字段2字段3标识设备所属功能区域MBON交换机YW运维字段3标识设备类型网管区使用CORE表示网络机房中的汇聚交换机，在服务器机房中的使用机柜编号作为标识； 其他区域的字段三米用下面的标识FW NetScreen 防火墙R: Cisco路由器SW Cisco交换机3.3设备名称一览设备描述设备名称核心层主机系统交换机1Z

6、-TG-1主机系统交换机2Z-TG-2隔离层互联网接入交换机Z-3750-fro nt互联网核心交换机1Z-C0RE-1互联网核心交换机2Z- CORE-2接入层互联网出口路由器1Z-A1-R-1互联网出口路由器2Z-A1-R-2互联网流量管理设备Z-A1-BM互联网接入防火墙1Z-A1-FW-1互联网接入防火墙2Z-A1-FW-2Z-A1-SW互联网链路均衡设备1Z-A1-LC-1互联网链路均衡设备2Z-A1-LC-2互联网接入汇聚交换机Z-A1-SW-HJ专线路由器1Z-A2-R-1专线路由器2Z-A2-R-2专线接入交换机Z-A2-SW专线接入防火墙1Z-A2-FW-1专线接入防火墙2Z

7、-A2-FW-2专线接入汇聚交换机Z-A2-SW-HJ运维网网管核心交换机Z-MOBN-CORE运维网核心防火墙Z-MOBN-FW4 IP地址和Vian规划为了使新中心的IP地址具有更好的可扩展性，以及 IP地址的层次清 晰，新的数据网将启用全新的IP地址。新分配的IP地址层次分明，将清 晰的体现网络结构，便于日后的管理和维护。4.1生产网IP地址和Vian规划核心层应用系统IP地址和Vian规划此段地址可以是复用地址段， 大家的核心内网的地址可以使用一样的核心层区域IP地址段Vian ID主机托管192.168.1-10/24自定隔离层应用系统IP地址和Vian规划隔离层区域互联网区域10.

8、0.VLAN.0/242-63接入层应用系统IP地址和Vian规划接入层区域专线系统172.0.0-254.0/24无4.2运维网IP地址和Vian规划运维网区域VPN接入部分172.1.100.0/24MBO区172.1.1.0/242985 设备配置整体规范5.1VTP protocol生产网里，所有 Cisco 交换机的 VTP 模式设置为 Transparent 模式， 在每台启用VLAN的交换机上手工建立VLAN言息。5.2Spanning Tree生成树启用协议： Pvst在隔离层中，汇聚交换机（6506和3750）作为网间网VLAN生成树的 根，其中编号是1的交换机作为Prima

9、ry ROOT，编号是2的交换机作为 Secondary ROOT。启用 Pvst 后，不连接交换机的端口的 PortFast 功能默认打开。5.3HSRP在隔离层的接入交换机上的接入 VLAN端口和互联网区的核心交换机上的网间网VLAN端口幵启HSRP功能。其中编号是1的交换机的默认状态 为 Active ，优先级为 110；编号是 2 的交换机作为默认状态为 Standby ， 优先级为90。在设备上配置HSRP抢占。5.4路由协议在目前已知的条件下，网络实验室的专线接入区（ A2）使用OSPF动态路由协议，其他区域都使用静态路由5.5设备安全配置5.5.1设备访问控制访问超时line c

10、on 0exec-timeout 5 0line vty 0 4访问源限制ip access-list sta ndard Teln etAuthpermit 172.1.1.0 0.0.0.255access-class Teln etAuth inRW字串SNMP为设备安全起见，SNMF被使用在只读模式，不在设备上配置并且配置ACL限制访问源。sn mp-server com munity sfit RO 995.5.2网络设备服务关闭全局不需要的服务no service fin gerno service padno service udp-small-serversno service

11、 tcp-small-serversno ip bootp serverno ip http serverno ip fin gerno ip source-routeno ip gratuitous-arpsno ip doma in-lookup no ip http secure-server关闭接口不需要的服务no ip redirectsno ip directed-broadcastno ip proxy-arpno ip un reachables幵启提高设备安全性的服务service password-e ncrypti on5.5.3设备端口安全配置通用配置1.不使用的端口配

12、置为 Shutdow n2.光纤端口上幵启UDLD广域网/互联网接入路由器在连接外联设备的接口上关闭 cdp（ no cdp enable ）服务器接入交换机1. 连接服务器的端口配置为 Access模式2. 连接服务器的端口配置 portfast 和 bpduguard、bpdufilter5.6 设备互联规范鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种 情况需要进行说明。5.6.1 冗余 3750 交换机连接冗余 6506 交换机这种情况主要指隔离层的核心 6506交换机连接隔离层接入 3750 交换 机和接入层的汇聚 3750 交换机。如下图所示。两台 3750 交换机使用

13、堆叠方式组成逻辑上的一台交换机；两台 6506 交换机使用引擎上的两个光纤口组成 EtherChannel 进行互联。每台 3750 交换机上各拿出一个端口， 使用LACP协议组成EtherChannel连接到6506 上。 6506 和 3750 之间使用虚拟网间网 Vlan 端口进行互联，并在 6506 的 互联端口上允许这些 Vlan 通过。这样当某一台 3750 发生故障时，不会引 起网间网 Vlan 的 Spanning-Tree （生成树）的状态变化。在6506上的网间网 Via n端口（ In terface Vian ）幵启HSRP协议， 3750的静态路由的下一条地址就是 HSRP勺虚拟地址。5.6.2 冗余 3750 交换机连接非冗余 NetScreen 防火墙这种情况主要指接入层互联网接入区的接入 208 防火墙连接 3750 交 换机。两台 3750 交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen 208 防火墙使用两个端口分别连接到两台 3750 交换机上，通过 使用特有的 Redundant 特性，两个端口绑定在同一个冗余组里互相备份。默认情况下，所有的数据应当通过左侧的交换机，当端口或线