网络实验室建设综合项目专项方案.docx
- 文档编号:3054161
- 上传时间:2022-11-17
- 格式:DOCX
- 页数:17
- 大小:255.37KB
网络实验室建设综合项目专项方案.docx
《网络实验室建设综合项目专项方案.docx》由会员分享,可在线阅读,更多相关《网络实验室建设综合项目专项方案.docx(17页珍藏版)》请在冰豆网上搜索。
网络实验室建设综合项目专项方案
上海鹏越惊虹技术
网络试验室项目
网络实施方案
Version1.0
文档属性
属性
内容
项目名称:
上海鹏越惊虹技术网络试验室项目
文档标题:
上海鹏越惊虹技术网络试验室项目网络实施方案
文档版本号:
Version1.0
版本日期:
-10-04
文档状态:
初稿
作者:
邵勇
文档变更过程
版本
修正日期
修正人
描述
1.0
-10-02
邵勇
文档初稿
概述
1.1文档目标
撰写此文关键目标是为了保障“上海鹏越惊虹技术网络试验室项目”顺利实施,依据上海鹏越惊虹技术网络建设需求,制订出网络试验室实施规范和方法。
在实际实施工作前,将全部实施步骤、方法和各方需完成任务明确。
1.2文档适用人员
本文档资料关键面向负责“上海鹏越惊虹技术网络试验室项目”设计和实施上海鹏越惊虹技术网络技术人员,管理人员;方便经过参考本文档资料顺利完成上海鹏越惊虹技术网络试验室项目。
1.3文档内容范围
本文档内容基于Cisco3825、Cisco3845、Cisco6506、Cisco3750、Cisco3560、NetscreenISG1000、NS208、F5等产品,涵盖了此次上海鹏越惊虹网络试验室(灾备)项目路由、交换安全、网管相关工程内容工程实施设计方案:
1.3.1实施标准
●实施步骤完整性,对于每一个实施步骤各方所需要实施动作有明确要求,有正确时间次序安排,对每一个动作有具体操作步骤,对每一个实施动作全部有对应检验是否完成步骤,达成任何一个只要含有实际实施经验工程师全部能按实施方案完成实施动作。
●具体描述实施方案风险和不足,明确使用实施方案所应负担风险和将造成后果。
●在实施前需要各参与单位和人员最终确定实施方案正确性、明确各方所实施动作和担负责任。
●对于检验实施方案每一个阶段是否达成方案要求,需要有每一阶段测试内容,明确那些测试在指定时间点不能完成或完成后测试结果不正确情况下需要采取网络回退方案,不再实施实施方案下一个实施动作或不进入下一个实施阶段。
2项目介绍
2.1项目介绍
上海鹏越惊虹技术将于近期完成网络试验室建设,为了企业现在及以后多种业务应用提供可靠、稳定、优异、高效网络测试环境。
网络试验室系统关键包含生产系统网络、运维管理网络。
现在,上海鹏越惊虹正在张江建设网络试验室,作为以提供职员对于网络测试需求,在这么背景下,需要开启网络系统建设,以提供企业测试环境网络。
有鉴于此,本文将从企业网络系统业务需求分析和接入需求分析出发,横向从生产系统网络、运维系统网络,纵向从关键层、隔离层、接入层角度,集中考虑业务系统、接入系统对网络需求,从而形成张江网络系统网络设计方案。
3网络设备命名
在鹏越惊虹技术网络试验室建设中,和网络建设相关设备关键有:
●Cisco路由器/交换机
●NetScreen防火墙
●F5负载均衡器
●Allot流量管理设备(不一定完全上)
以上设备主机名按本章定义规则进行命名,命名规则所定义约定需求能够很轻易标识设备所属区域、设备型号和序号。
方便网络运维人员、系统管理人员和资产管理人员以后工作。
3.1生产网设备命名规范
设备命名规则:
字段1—字段2—字段3-(字段4)-n
字段1
标识设备所属区域,长度1字符:
Z:
张江(只有一地话,能够不写)
字段2
标识设备所属区域
关键层分为下面两个区域:
●TG:
主机连接关键层交换机
接入层以A开头,以一位数字表示各子区域
●A1:
互联网接入
●A2:
专线接入
3.2运维网设备命名规范
设备命名规则:
字段1—字段2—字段3
字段1
标识设备所属区域,长度1字符:
Z:
张江(只有一地话,能够不写)
字段2
标识设备所属功效区域
●MBON:
交换机
●YW:
运维
字段3
标识设备类型
网管区使用CORE表示网络机房中汇聚交换机,在服务器机房中使用机柜编号作为标识;其它区域字段三采取下面标识
●FW:
NetScreen防火墙
●R:
Cisco路由器
●SW:
Cisco交换机
3.3设备名称一览
设备描述
设备名称
关键层
主机系统交换机1
Z-TG-1
主机系统交换机2
Z-TG-2
隔离层
互联网接入交换机
Z-3750-front
互联网关键交换机1
Z--CORE-1
互联网关键交换机2
Z-CORE-2
接入层
互联网出口路由器1
Z-A1-R-1
互联网出口路由器2
Z-A1-R-2
互联网流量管理设备
Z-A1-BM
互联网接入防火墙1
Z-A1-FW-1
互联网接入防火墙2
Z-A1-FW-2
互联网接入交换机
Z-A1-SW
互联网链路均衡设备1
Z-A1-LC-1
互联网链路均衡设备2
Z-A1-LC-2
互联网接入汇聚交换机
Z-A1-SW-HJ
专线路由器1
Z-A2-R-1
专线路由器2
Z-A2-R-2
专线接入交换机
Z-A2-SW
专线接入防火墙1
Z-A2-FW-1
专线接入防火墙2
Z-A2-FW-2
专线接入汇聚交换机
Z-A2-SW-HJ
运维网
网管关键交换机
Z-MOBN-CORE
运维网关键防火墙
Z-MOBN-FW
4IP地址和Vlan计划
为了使新中心IP地址含有愈加好可扩展性,和IP地址层次清楚,新数据网将启用全新IP地址。
新分配IP地址层次分明,将清楚表现网络结构,便于以后管理和维护。
4.1生产网IP地址和Vlan计划
●关键层应用系统IP地址和Vlan计划
此段地址能够是复用地址段,大家关键内网地址能够使用一样。
关键层区域
IP地址段
VlanID
主机托管
192.168.[1-10]/24
自定
●隔离层应用系统IP地址和Vlan计划
隔离层区域
IP地址段
VlanID
互联网区域
10.0.[VLAN].0/24
2-63
●接入层应用系统IP地址和Vlan计划
接入层区域
IP地址段
VlanID
专线系统
172.0.[0-254].0/24
无
4.2运维网IP地址和Vlan计划
运维网区域
IP地址段
VlanID
VPN接入部分
172.1.100.0/24
无
MBON区
172.1.1.0/24
298
5设备配置整体规范
5.1VTPprotocol
生产网里,全部Cisco交换机VTP模式设置为Transparent模式,在每台启用VLAN交换机上手工建立VLAN信息。
5.2SpanningTree
生成树启用协议:
Pvst
在隔离层中,汇聚交换机(6506和3750)作为网间网VLAN生成树根,其中编号是1交换机作为PrimaryROOT,编号是2交换机作为SecondaryROOT。
启用Pvst后,不连接交换机端口PortFast功效默认打开。
5.3HSRP
在隔离层接入交换机上接入VLAN端口和互联网区关键交换机上网间网VLAN端口开启HSRP功效。
其中编号是1交换机默认状态为Active,优先级为110;编号是2交换机作为默认状态为Standby,优先级为90。
在设备上配置HSRP抢占。
5.4路由协议
在现在已知条件下,网络试验室专线接入区(A2)使用OSPF动态路由协议,其它区域全部使用静态路由。
5.5设备安全配置
5.5.1设备访问控制
●访问超时
linecon0
exec-timeout50
linevty04
exec-timeout50
●访问源限制
ipaccess-liststandardTelnetAuth
permit172.1.1.00.0.0.255
linevty04
access-classTelnetAuthin
●SNMP
为设备安全起见,SNMP被使用在只读模式,不在设备上配置RW字串。
而且配置ACL,限制访问源。
access-list99permit172.1.1.00.0.0.255
snmp-servercommunitysfitRO99
5.5.2网络设备服务
●关闭全局不需要服务
noservicefinger
noservicepad
noserviceudp-small-servers
noservicetcp-small-servers
noipbootpserver
noiphttpserver
noipfinger
noipsource-route
noipgratuitous-arps
noipdomain-lookup
noiphttpsecure-server
●关闭接口不需要服务
noipredirects
noipdirected-broadcast
noipproxy-arp
noipunreachables
●开启提升设备安全性服务
servicepassword-encryption
5.5.3设备端口安全配置
●通用配置
1.不使用端口配置为Shutdown
2.光纤端口上开启UDLD
●广域网/互联网接入路由器
在连接外联设备接口上关闭cdp(nocdpenable)
●服务器接入交换机
3.连接服务器端口配置为Access模式
4.连接服务器端口配置portfast和bpduguard、bpdufilter
5.6设备互联规范
鹏越惊虹网络试验室生产网中冗余设备互联分为关键有以下三种情况需要进行说明。
5.6.1冗余3750交换机连接冗余6506交换机
这种情况关键指隔离层关键6506交换机连接隔离层接入3750交换机和接入层汇聚3750交换机。
以下图所表示。
两台3750交换机使用堆叠方法组成逻辑上一台交换机;两台6506交换机使用引擎上两个光纤口组成EtherChannel进行互联。
每台3750交换机上各拿出一个端口,使用LACP协议组成EtherChannel连接到6506上。
6506和3750之间使用虚拟网间网Vlan端口进行互联,并在6506互联端口上许可这些Vlan经过。
这么当某一台3750发生故障时,不会引发网间网VlanSpanning-Tree(生成树)状态改变。
在6506上网间网Vlan端口(InterfaceVlan)开启HSRP协议,3750静态路由下一条地址就是HSRP虚拟地址。
5.6.2冗余3750交换机连接非冗余NetScreen防火墙
这种情况关键指接入层互联网接入区接入208防火墙连接3750交换机。
以下图所表示。
两台3750交换机使用堆叠方法组成逻辑上一台交换机。
每台NetScreen208防火墙使用两个端口分别连接到两台3750交换机上,经过使用特有Redundant特征,两个端口绑定在同一个冗余组里相互备份。
默认情况下,全部数据应该经过左侧交换机,当端口或线路发生故障时,备用端口将自动进行切换,数据流向右侧交换机。
5.6.3冗余3750交换机连接冗余防火墙
这种情况关键指接入层专线接入区(A2)中NetScreenISG1000防火墙连接内外两侧3750交换机。
两台3750交换机使用堆叠方法组成逻辑上一台交换机。
每台NetScreen208防火墙使用两个端口分别连接到同一台3750交换机上,经过使用特有Redundant特征,两个端口绑定在同一个冗余组里相互备份;只有在交换机发生故
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 实验室 建设 综合 项目 专项 方案