上海鹏越惊虹技术有限公司网络实验室项目网络实施方案Versio n 1.0 文档属性文档变更过程概述1.1文档目的撰写此文的主要目的是为了保障“上海鹏越惊虹技术有限公司网络实验室项目”的顺利实施，根据上海鹏越惊虹技术有限公司网络建设需求，制定出网络实验室的实施规范和方法。

在实际实施工作前，将所有实施步骤、方法和各方需完成的任务明确。

1.2文档适用人员本文档资料主要面向负责“上海鹏越惊虹技术有限公司网络实验室项目”的设计和实施的上海鹏越惊虹技术有限公司的网络技术人员，管理人员；以便通过参考本文档资料顺利完成上海鹏越惊虹技术有限公司网络实验室项目。

1.3文档内容范围本文档内容基于Cisco 3825、Cisco 3845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208 F5 等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：1.3.1实施原则实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤, 对每一个执行的动作都有相应的检查是否完成的步骤，达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。

详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风险和将导致的后果。

在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。

对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。

2 项目介绍2.1 项目简介上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设，为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。

网络实验室系统主要包括生产系统网络、运维管理网络。

目前，上海鹏越惊虹正在张江建设网络实验室，作为以提供员工对于网络测试的需求，在这样的背景下，需要启动网络系统的建设，以提供公司测试环境网络。

有鉴于此，本文将从公司的网络系统业务需求分析和接入需求分析出发，横向从生产系统网络、运维系统网络，纵向从核心层、隔离层、接入层角度，集中考虑业务系统、接入系统对网络的需求，从而形成张江网络系统的网络设计方案。

3 网络设备命名在鹏越惊虹技术有限公司网络实验室建设中，与网络建设有关的设备主要有：Cisco路由器/交换机NetScreen防火墙F5负载均衡器Allot流量管理设备（不一定完全上）以上设备主机名按本章的定义规则进行命名，命名规则所定义的约定需求能够很容易标识设备所属区域、设备型号以及序号。

方便网络运维人员、系统管理人员和资产管理人员的日后工作。

3.1生产网设备命名规范设备命名规则：字段1—字段2—字段3-（字段4）-n3.2运维网设备命名规范设备命名规则：字段1—字段2—字段33.3设备名称一览4 IP地址和Vian规划为了使新中心的IP地址具有更好的可扩展性，以及IP地址的层次清晰，新的数据网将启用全新的IP地址。

新分配的IP地址层次分明，将清晰的体现网络结构，便于日后的管理和维护。

4.1生产网IP地址和Vian规划核心层应用系统IP地址和Vian规划此段地址可以是复用地址段，大家的核心内网的地址可以使用一样的4.2运维网IP地址和Vian规划5 设备配置整体规范5.1VTP protocol生产网里，所有Cisco 交换机的VTP 模式设置为Transparent 模式，在每台启用VLAN的交换机上手工建立VLAN言息。

5.2Spanning Tree生成树启用协议：Pvst在隔离层中，汇聚交换机（6506和3750）作为网间网VLAN生成树的根，其中编号是1的交换机作为Primary ROOT，编号是2的交换机作为Secondary ROOT。

启用Pvst 后，不连接交换机的端口的PortFast 功能默认打开。

5.3HSRP在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口幵启HSRP功能。

其中编号是1的交换机的默认状态为Active ，优先级为110；编号是 2 的交换机作为默认状态为Standby ，优先级为90。

在设备上配置HSRP抢占。

5.4路由协议在目前已知的条件下，网络实验室的专线接入区（A2）使用OSPF动态路由协议，其他区域都使用静态路由5.5设备安全配置5.5.1设备访问控制访问超时line con 0exec-timeout 5 0line vty 0 4exec-timeout 5 0访问源限制ip access-list sta ndard Teln etAuthpermit 172.1.1.0 0.0.0.255line vty 0 4access-class Teln etAuth inSNMP为设备安全起见，SNMF被使用在只读模式，不在设备上配置RW字串并且配置ACL限制访问源。

sn mp-server com munity sfit RO 995.5.2网络设备服务关闭全局不需要的服务no service fin gerno service padno service udp-small-serversno service tcp-small-serversno ip bootp serverno ip http serverno ip fin gerno ip source-routeno ip gratuitous-arpsno ip doma in-lookup no ip http secure-server关闭接口不需要的服务no ip redirectsno ip directed-broadcastno ip proxy-arpno ip un reachables幵启提高设备安全性的服务service password-e ncrypti on5.5.3设备端口安全配置通用配置1.不使用的端口配置为Shutdow n2.光纤端口上幵启UDLD广域网/互联网接入路由器在连接外联设备的接口上关闭cdp( no cdp enable )服务器接入交换机1. 连接服务器的端口配置为Access模式2. 连接服务器的端口配置portfast 和bpduguard、bpdufilter 5.6 设备互联规范鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。

5.6.1 冗余3750 交换机连接冗余6506 交换机这种情况主要指隔离层的核心6506交换机连接隔离层接入3750 交换机和接入层的汇聚3750 交换机。

如下图所示。

两台3750 交换机使用堆叠方式组成逻辑上的一台交换机；两台6506 交换机使用引擎上的两个光纤口组成EtherChannel 进行互联。

每台3750 交换机上各拿出一个端口，使用LACP协议组成EtherChannel连接到6506 上。

6506 和3750 之间使用虚拟网间网Vlan 端口进行互联，并在6506 的互联端口上允许这些Vlan 通过。

这样当某一台3750 发生故障时，不会引起网间网Vlan 的Spanning-Tree (生成树)的状态变化。

在6506上的网间网Via n端口( In terface Vian )幵启HSRP协议，3750的静态路由的下一条地址就是HSRP勺虚拟地址。

5.6.2 冗余3750 交换机连接非冗余NetScreen 防火墙这种情况主要指接入层互联网接入区的接入208 防火墙连接3750 交换机。

如下图所示。

两台3750 交换机使用堆叠方式组成逻辑上的一台交换机。

每台NetScreen 208 防火墙使用两个端口分别连接到两台3750 交换机上，通过使用特有的Redundant 特性，两个端口绑定在同一个冗余组里互相备份。

默认情况下，所有的数据应当通过左侧的交换机，当端口或线路发生故障时，备用端口将自动进行切换，数据流向右侧的交换机。

5.6.3 冗余3750 交换机连接冗余防火墙这种情况主要指接入层专线接入区（A2）中的NetScree n ISG 1000防火墙连接内外两侧的3750 交换机。

两台3750 交换机使用堆叠方式组成逻辑上的一台交换机。

每台NetScreen 208 防火墙使用两个端口分别连接到同一台3750 交换机上，通过使用特有的Redundant 特性，两个端口绑定在同一个冗余组里互相备份；只有在交换机发生故障或交换机与防火墙之间的两根线都断开时，防火墙才进行切换6 生产系统网络设计6.1生产网络设计及区域划分网络整体设计的主要思路采用核心、隔离、接入的垂直分层的网络架构，模块化的设计原则，使得整体网络按照业务的不同，可以实现模块化建设和模块化管理。

各区域网络描述及作用如下。

核心层生产网络的核心层包括托管系统的服务器和内部总线，按照不同业务的又可以分为主机系统隔离层隔离层由服务器接入交换机和汇聚交换机组成，上端连接系统各业务的前置服务器，下端与各类接入线路链接。

在隔离层上还需要考虑不同系统的不同业务之间的隔离。

接入层接入层用于外部线路的接入以及安全上的防护，主要可以分为互联网接入、专线接入6.2 Vian和IP地址分配621应用系统Vian和IP地址分配主机系统IP地址分配隔离层交易区（A1）IP地址和Vian分配主机系统每个用户分配一段C类地址其余设备之间的互联Vian和IP地址的分配如下:622专线广域网和局域网IP地址分配广域网间网IP地址分配每条专线的广域网间网从10.254.1.0/24 分配一段30位掩码的地址局域网地址每套系统的客户端从172.0.[0-254].0/24 中分配一段C类地址。

6.3核心层设计6.3.1主机系统核心设计主机系统的服务器通过单独的网卡连接到一组组冗余交换机上，组成主机系统的内部总线。

系统可以通过专线接入路由器直接接入内部总线，对系统进行管理和维护。

6.4隔离层设计隔离层就是互联网区（A1）。

接入交换机摆放在服务器机房的排头柜里，负责连接本排机柜里的交易系统前置交换机，前置交换机的网关都部署在接入交换机上。

汇聚交换机摆放在网络机房内，一侧连接排头柜的隔离层接入交换机，另一侧连接接入层的汇聚交换机。

6.4.1互联网区（A1）设计互联网区一侧连接主机系统，另一侧连接接入层互联网接入区（A1）和专线接入区（A2）。

互联网区前置服务器的网关都部署在接入交换机上。

对于主机系统，每套系统分配一段C类地址。

在互联网区3750-front 的接入交换机上配置访问控制列表（ACL，阻止不同系统之间的通讯，避免各套系统之间的相互访问所可能产生的安全隐患。