网络及应用项目迁移方案.docx

网络及应用项目迁移方案.docx

《网络及应用项目迁移方案.docx》由会员分享，可在线阅读，更多相关《网络及应用项目迁移方案.docx（93页珍藏版）》请在冰豆网上搜索。

网络及应用项目迁移方案

机密

上海市劳动教养工作管理局

网络及应用项目迁移方案

上海市劳动教养工作管理局

上海和为科技有限公司

2006年3月至2006年10月

使用说明

上海市劳动教养工作管理局（简称上海市劳教局）。

文档中粗线部分表示可执行的命令行。

网络概述

现有网络概述

局机关网络结构

内部网络（192.168.10.x）：

此网段连接局机关内部所有工作站、数据库服务器、Web服务器、邮件服务器。

工作人员使用通过内部局域网访问应用服务器。

外部网络（172.28.101.110/128）：

此网段IP地址分配给局机关内部所有服务器以及CISCO2500路由器使用。

CISCO路由器可分配的IP地址范围为172.28.101.120～128，各劳教所服务器以加密方式自动定时拔号登入到路由器，由路由器动态分配的172.28.101.120～128段的IP地址，连接成功后各劳教所服务器与局机关服务器即形成一个外部网络，服务器通过使用此网络进行数据交换、同步。

局机关服务器、路由器

数据库服务器1：

主机型号为CompaqDL760，操作系统是RedHatAdvance2.1。

网卡eth0:

172.28.101.17，网卡eth2:

192.168.10.239（网卡eth1不能安装）。

此服务器安装Oracle数据库及Web服务（Jetty），网卡eth0与下属各劳教所外部拔号网络通信，网卡eth2与局机关内部网络通信。

数据库服务器2：

主机型号为HPTC4100，操作系统为RedHat7.1。

网卡eth0:

172.28.101.16，网卡eth1:

192.168.10.240。

此服务器安装Sybase数据库及Web服务（Tomcat）。

网卡eth0与下属各劳教所外部拔号网络通信，网卡eth1与局机关内部网络通信。

电子邮件服务器：

主机型号为HPLC2，操作系统为RedHat6.1。

网卡eth0:

172.28.10.14，网卡eth1:

192.168.10.242。

网卡eth0与下属各劳教所外部拔号网络通信，网卡eth1与局机关内部网络通信。

CISCO路由器：

本机IP地址172.28.101.110，可动态分配的IP地址范围是172.28.101.120～128。

劳教所网络结构

内部网络（172.28.102.x，第四劳教所为192.168.4.x）：

此网段连接劳教所内部所有工作站、数据库服务器、Web服务器、邮件服务器。

劳教所工作人员使用通过内部局域网访问应用服务器。

外部网络（172.28.101.0/24）：

此网段IP由劳教所内应用服务器通过Modem拔号连接到局机关CISCO路由器，由路由器动态分配具体IP地址（详见局机关外部网络结构）。

连接成功后劳教所服务器与局机关服务器即形成一个外部网络，服务器通过使用此网络进行数据交换、同步。

劳教所服务器

数据库服务器1：

主机型号为HPTC4100，操作系统为RedHat7.1。

网卡eth0:

172.28.102.203（四所是192.168.4.203），调制解调器:

外置型。

此服务器安装有Oracle、Sybase数据库及Web服务（Jetty、Tomcat）。

网卡eth0:

用来与劳教所内部网络通信。

调制解调器拔号与局机关连接成功后，服务器动态、自动分配到IP地址，与局机关网络通信。

电子邮件服务器：

主机型号为HPE80（LC2000、PC机、HP6000），操作系统为RedHat7.1/7.3。

网卡eth0:

172.28.102.xxx（201或202）。

调制解调器:

外置型。

调制解调器拔号与局机关连接成功后，服务器动态、自动分配到IP地址，与局机关邮件服务器通信。

现有网络的不足

现有网络通讯，必须通过定时拔号连接外部网络，无法实现实时数据同步、大容量高速数据传输和远程数据异地备份，且拔号网络通信不稳定。

各单位内部工作人员只能访问到本单位内部网络中的Web、邮件、视频等应用服务，无法访问其它单位应用服务。

现有网络拓扑图如下图1所示：

图1现有网络拓扑图

（图的内容有错误，需要修改）

新型网络设计

上海市劳教局及市内6个劳教所于2006年2月稳定接入上海市公务网（简称市公务网）后，鉴于现有网络的不足以及今后应用的需求，上海市劳教局决定在保留现有网络（用于通讯备份）的基础上,通过增加若干硬件构建新型网络，即：

通过市公务网连接局机关和市内各劳教所，以最大限度的利用市公务网网络平台。

新型网络将提供以下几项功能：

1.局机关及其下属市内各劳教所的内部应用服务器与市公务网互连互通，数据同步、交换和远程数据异地备份实时在线进行。

2.局机关及其下属市内各劳教所内部工作站可通过市公务网随时访问市劳教局各单位的Web、邮件、视频等应用服务，查阅授权信息。

市公务网上其他单位主机无法访问到市劳教局各单位内部工作站，但可以访问授权的Web等应用服务。

初步设计

新型网络初步设计，主要设计思路是通过在每一台应用服务器增加一块网卡的方式，达到利用市公务网互连互通。

上海市劳教局及其下属各市内各劳教所新型网络拓扑图之一如下图2所示：

图2新型网络拓扑图之一

（图的内容有错误，需要修改）

为了实现该新型网络，局机关的总体部署如下：

1.局机关增加新的网段12.1.62.x。

2.局机关每台服务器新增一块网卡与市公务网连接。

其中：

✧数据库（Oracle）、Web（Jetty）服务器：

网卡3：

12.1.62.xxx

✧数据库（Sybase）、Web（Tomcat）服务器：

网卡3：

12.1.62.xxx

✧电子邮件服务器：

网卡3－12.1.62.xxx

3.新网卡上只允许开放22端口（SSH服务）和80端口（HTTP服务）。

4.局机关的电子邮件服务器增加路由功能，局机关内部工作站可以通过该服务器访问外部网络服务。

5.修改现有数据同步拨号脚本，对于通过市公务网连接的方式将其脚本中的拔号部分去掉。

市内各劳教所的服务器部署如下：

1.增加新的网段12.19.248.0/27或12.10.248.0/27。

第四劳教所、劳教收容所增加新的网段12.19.248.xxx/27，其它市内4个劳教所增加新的网段12.10.248.xxx/27，新网络中的IP地址的依据，参见“劳教局公务网IP地址分配表”。

2.各劳教所内新增一台HPDL580G3（364633-AA1，硬盘146GBx4）服务器，将劳教所内原数据库、Web服务器中的数据库、Web迁移到新服务器上，原服务器只作Web服务器备份。

3.市内劳教所每台服务器新增一块网卡与市公务网连接。

其中：

✧数据库（Oracle、Sybase）、Web（Jetty、Tomcat）服务器：

网卡1－12.19.248.xxx或12.10.248.xxx

✧电子邮件服务器：

网卡1－12.19.248.xxx或12.10.248.xxx

4.新网卡上只允许开放22端口（SSH服务）和80端口（HTTP服务）。

5.市内劳教所的电子邮件服务器增加路由功能，市内劳教所内部工作站可以通过该服务器访问外部网络服务。

6.备份数据同步拨号脚本创建新的数据同步拨号脚本（仅删除原拨号部分）。

实施方案

按新型网络初步设计思路，在实施过程中，遇到部分服务器无法识别新增加的网卡（网络服务器硬件不支持或服务器操作系统的版本过低），故初步设计方案无法顺利实施，予以否定。

经过多次设计、调试、测试后，设计新型网络迁移实施方案，其网络拓扑见图3新型网络拓扑图之二

图3新型网络拓扑图之二

（图的内容有错误，需要修改）

根据实际情况，新增代码分发服务器、数据转发（网关）服务器各一台。

对能增加网卡并能识别的服务器就增加网卡，不能增加的就考虑应用数据端口转发。

为了实现如上图所描述的网络环境，局机关的总体部署如下：

1.局机关增加新的网段12.1.62.x。

2.局机关新增一台普通PC机作为代码分发服务器。

3.局机关新增一台普通PC机作为数据转发（网关）服务器。

4.第四劳教所、劳教收容所增加新的网段12.19.248.xxx/27，其它市内4个劳教所增加新的网段12.10.248.xxx/27，新网络中的IP地址的依据，参见“劳教局公务网IP地址分配表”。

5.启用各劳教所内新增HPDL580G3服务器的第二块网卡，作为各劳教所内部和其它应用服务器（如邮件服务器）数据传输、同步的转发（网关）服务器。

安装局机关服务器

局机关新增的代码分发、数据转发（网关）服务器都选用HPdc7608CMT台式PC机。

安装Cenos4.3操作系统。

安装新的代码分发服务器

系统安装centos4.3，安装包的选择参照以上安装所服务器的设置，具体分区信息如下：

[root@syncserversyncuser]#df-h

FilesystemSizeUsedAvailUse%Mountedon

/dev/sda334G198M32G1%/

/dev/sda199M8.4M86M9%/boot

/dev/sda539G81M37G1%/data

none506M0506M0%/dev/shm

/dev/sda630G455M28G2%/home

/dev/sda99.9G55M9.3G1%/opt

/dev/sda815G3.7G11G27%/usr

/dev/sda720G153M19G1%/var

HOSTNAME：

CVS服务器的配置

1）#groupaddjavadev新建CVS用户的主组

2）#useraddcoderep–gjavadev新建cvs用户，并指定组

3）#passwdcoderep

4）#su–coderep

5）$chmod771.修改/home/coderep的权限

6）$chmodg+s.

7）$cvs-d/home/coderep/init初始化资源库

8）$exit

9）修改xinetd服务以起用pserver协议的服务器

在目录/etc/xinetd.d中创建一个名为cvspserver的文件，内容如下：

#default:

on

#description:

TheCVSServer.

servicecvspserver

{

disable=no

socket_type=stream

protocol=tcp

wait=no

user=root

server=/usr/bin/cvs

server_args=-f--allow-root=/home/codereppserver

log_on_success+=USERID

log_on_failure+=USERID

}

10）打开文件/etc/services核实存在以下两行代码，如果不存在，则添加它们：

cvspserver2401/tcp#CVSclient/serveroperations

cvspserver2401/udp#CVSclient/serveroperations

11）重新启动xinetd服务

#servicexinetdrestart

#netstat–lnp|grep2401

12）CVS服务运行

13）拷贝老的代码服务器上的/home/coderep目录到新的服务器上的相同目录

14）对于所有的远程客户机需要设置工作环境。

将如下语句写入/etc/profile

exportCVSROOT=:

pserver:

coderep@12.1.62.30:

/home/coderep

rsync服务器的配置

rsync，remotesynchronize

顾名思意就知道它是一款实现远程同步功能的软件，它在同步文件的同时，可以保持原来文件的权限、时间、软硬链接等附加信息，而且可以通过ssh方式来传输文件。

rsync命令放在/usr/local/rsync/bin。

用rsync命令可以去运行有rsync服务的服务器上抓取资料。

配置一个rsync服务，你需要修改或建立一些配置文件。

1.rsyncd.conf

#vi/etc/rsyncd.conf

rsyncd.conf是rsync服务的主要配置文件，它控制rsync服务的各种属性：

usechroot=no

#maxconnections=4

syslogfacility=local5

pidfile=/var/run/rsyncd.pid

uid=rsync

gid=rsync

hostsallow=172.28.0.0/16,12.19.248.0/24,12.1.0.0/16,12.10.248.0/24

transferlogging=true

strictmodes=true

authusers=syncuser

secretsfile=/etc/rsyncd.secrets

[ljdatain]

path=/opt/sybase/rsyncdata/in

comment=Laojiaodatasyncronizationin

readonly=no

list=no

[ljdataout]

path=/opt/sybase/rsyncdata/out

comment=Laojiaodatasyncronizationout

readonly=yes

list=no

[ljzip]

path=/opt/sybase/rsyncdata/zip

comment=LaojiaoZHIWENXIANGPIAN

readonly=no

list=no

[00_common]

path=/home/coderep/00_common

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[00_ju_2]

path=/home/coderep/00_ju_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[01_s1_2]

path=/home/coderep/01_s1_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[02_s2_2]

path=/home/coderep/02_s2_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[03_s3_2]

path=/home/coderep/03_s3_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[04_s4_2]

path=/home/coderep/04_s4_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[05_srs_2]

path=/home/coderep/05_srs_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[06_nvs_2]

path=/home/coderep/06_nvs_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[07_jds_2]

path=/home/coderep/07_jds_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

[08_sjs_2]

path=/home/coderep/08_sjs_2

comment=HeweiSoftwareDeployHome

readonly=no

list=no

2.rsyncd.secrets

#vi/etc/rsyncd.secrets

rsyncd.secrets是存储rsync服务的用户名和密码的，它是一个明文的文本文件，如下：

syncuser:

syncisabigfun

因为rsyncd.secrets存储了rsync服务的用户名和密码，所以非常重要，因此文件的属性必须设为600，只有所有者可以读写：

#chmod600/etc/rsyncd.secrets

3.rsyncd.motd

#vi/etc/rsyncd.motd

rsyncd.motd记录了rsync服务的欢迎信息，你可以在其中输入任何文本信息，如：

　　Welcometousethersyncservices!

4.services

#vi/etc/services

services并不是rsync的配置文件，这一步也可以不做。

而修改了services文件的好处就在于系统知道873端口对的服务名为rsync。

修改services的方法就是确保services中有如下两行，没有的话就自行加入：

　　rsync　　873/tcp　　#rsync

　　rsync　　873/udp　　#rsync

　5./etc/xinetd.d/rsync

　　#vi/etc/xinetd.d/rsync

　建立一个名为/etc/xinetd.d/rsync文件，输入以下内容：

　　servicersync

　　{

　　　　disable=no

　　　　socket_type　　=stream

　　　　wait　　　　　=no

　　　　user　　　　　=root

　　　　server　　　　=/usr/local/rsync/bin/rsync

　　　　server_args　　=--daemon

　　　　log_on_failure+=USERID

　　}

　　保存后，就可以运行rsync服务了。

输入以下命令：

　　#/etc/rc.d/init.d/xinetdreload

　　这样rsync服务就在这台机器上运行起来了，接下来就是如何来使用它

安装数据转发（网关）服务器

局机关数据转发（网关）服务器安装Cenos4.3操作系统（选择的安装包与各劳教所一致，参见应用项目迁移之安装centos4.2），系统分区情况如下:

（SWAP分区是多少？

2G）

[root@gatewayinst.script]#df-h

FilesystemSizeUsedAvailUse%Mountedon

/dev/sda336G171M34G1%/

/dev/sda199M8.4M86M9%/boot

/dev/sda539G247M37G1%/data

none506M0506M0%/dev/shm

/dev/sda629G155M28G1%/home

/dev/sda99.7G55M9.1G1%/opt

/dev/sda815G2.7G12G20%/usr

/dev/sda720G113M19G1%/var

安装双网卡其中：

网卡eth1－12.1.62.30连接市公务网。

网卡eth0－172.28.101.230连接内部网络。

由于局机关现有服务器都无法识别新增加的网卡。

故所有现有服务器不作任何改动。

GATEWAY（网关）配置

vi/etc/sysconfig/network-scripts/ifcfg-eth0

增加下列行

GATEWAY=12.1.62.1

功能为

增加访问公务网的网关

端口转发配置

网卡eth0－172.28.101.230连接局机关内部网络。

在新增PC上配置网络数据端口转发功能。

#echo"1">/proc/sys/net/ipv4/ip_forward

修改/etc/sysctl.conf文件.

vi/etc/sysctl.conf

将net.ipv4.ip_forward改为1。

然后执行下面的命令：

#sysctl–p

（查看是否设置正确）

注：

让linux每次启动都支持内核的包转发功能。

如果需要转发FTP数据，则需要以root用户执行以下命令：

#modprobeip_nat_ftp

并将其写入/etc/rc.d/rc.local（必须）文件中。

使在系统启动时自动加载该模块。

最终转发服务器的iptables配置如下：

（以下有下划线部斜体字分未验证正确与否，未设）

/*设置服务器iptables的默认规则*/

#iptables-F

#iptables–PINPUTDROP

#iptables–POUTPUTACCEPT

/*使本机可以访问自己以及内部主机可以访问该服务器*/

#iptables–AINPUT–ilo–jACCEPT

#iptables–AINPUT–ieth0–jACCEPT

/*我们允许市公务网的SSH流量进入服务器*/

#iptables–AINPUT–ieth1–pTCP--dport22–jACCEPT

/*我们允许市公务网上的主机对本机使用ping命令*/

#iptables–AINPUT–ieth1–pICMP--icmp-type8–jACCEPT

/*1.0平台rsync数据同步转换，即将从源地址为12.19.248.xxx/24（或12.10.248.***/24）,传到这台转发服务器的10016端口上的rsync（端口873）同步数据包，转发到局机关内网的web服务器172.28.101.16的873端口上

iptables-tnat-APREROUTING-s12.10.248.0/24-d12.1.62.30-ptcp--dport10016-jDNAT--to-destination172.28.101.16:

873

iptables-tnat-APREROUTING-s12.19.248.0/24-d12.1.62.30-ptcp--dport10016-jDNAT--to-destination172.28.101.16:

873

/*2.0平台rsync代码同步转换，即将从源地址为12.19.248.xxx/24（或12.10.248.***/24）,传到这台转发服务器的10013端口上的rsync（端口873）同步数据包，转发到局机关内网的代码服务器172.28.101.13的873