收藏
下载资源 加入VIP,免费下载

网络实验室项目网络实施方案.docx

上传人:王** 文档编号:554883 上传时间:2023-11-17 格式:DOCX 页数:18 大小:43.01KB
下载 相关 举报
网络实验室项目网络实施方案.docx_第1页
第1页 / 共18页
网络实验室项目网络实施方案.docx_第2页
第2页 / 共18页
网络实验室项目网络实施方案.docx_第3页
第3页 / 共18页
网络实验室项目网络实施方案.docx_第4页
第4页 / 共18页
网络实验室项目网络实施方案.docx_第5页
第5页 / 共18页
网络实验室项目网络实施方案.docx_第6页
第6页 / 共18页
网络实验室项目网络实施方案.docx_第7页
第7页 / 共18页
网络实验室项目网络实施方案.docx_第8页
第8页 / 共18页
网络实验室项目网络实施方案.docx_第9页
第9页 / 共18页
网络实验室项目网络实施方案.docx_第10页
第10页 / 共18页
亲,该文档总共18页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《网络实验室项目网络实施方案.docx》由会员分享,可在线阅读,更多相关《网络实验室项目网络实施方案.docx(18页珍藏版)》请在优知文库上搜索。

1、网络实验室项目网络实施方案Version1.0文档属性属性内容项目名称:虹技术有限公司网络实验室项H文档标题:虹技术有限公司网络实验室项目网络实施方案文档版本号:Version1.0版本日期:2009-10-04文档状态:初稿作者:文档变更过程版本修正日期修正人描述1.02009-10-02文档初稿概述1.1 文档目的撰写此文的主要目的是为了保障“虹技术有限公司网络实验室项目”的顺利实施,根据虹技术有限公司网络建设需求,制定出网络实验室的实施规范和方法。在实际实施工作前,将所有实施步骤、方法和各方需完成的任务明确。1.2 文档适用人员本文档资料主要面向负责“虹技术有限公司网络实验室项目”的设计

2、和实施的虹技术有限公司的网络技术人员,管理人员;以便通过参考本文档资料顺利完成虹技术有限公司网络实验室项目。1.3 文档内容范围本文档内容基于Cisco3825、Cisco3845Cisco6506Cisco3750Cisco3560NetscreenISGl000NS208、F5等产品,涵盖了此次虹网络实验室(灾备)项目路由、交换安全、网管相关工程内容的工程实施设计方案:1.3.1 实施原则实施步骤的完整性,对于每一个实施步骤各方所需要执行的动作有明确的规定,有精确的时间顺序安排,对每一个动作有详细的操作步骤,对每一个执行的动作都有相应的检查是否完成的步骤,达到任何一个只要具有实际实施经验的

3、工程师都能按实施方案完成执行动作。 详细描述实施方案的风险和局限性,明确使用实施方案所应承担的风险和将导致的后果。 在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。 对于检查实施方案的每一个阶段是否达到方案要求,需要有每一阶段的测试内容,明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案,不再执行实施方窠的下一个执行动作或不进入下一个实施阶段。2项目介绍2.1 项目简介虹技术有限公司将于近期完成网络实验室的建设,为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运

4、维管理网络。目前,虹正在张江建设网络实验室,作为以提供员工对于网络测试的需求,在这样的背景下,需要启动网络系统的建设,以提供公司测试环境网络。有鉴于此,本文将从公司的网络系统业务需求分析和接入需求分析出发,横向从生产系统网络、运维系统网络,纵向从核心层、隔离层、接入层角度,集中考虑业务系统、接入系统对网络的需求,从而形成张江网络系统的网络设计方案。3网络设备命名在鹏越惊虹技术有限公司网络实验室建设中,与网络建设有关的设备主要有: CiSeo路由器/交换机 NetScreen防火墙 F5负载均衡器 Allot流量管理设备(不一定完全上)以上设备主机名按本章的定义规则进行命名,命名规则所定义的约定

5、需求能够很容易标识设备所属区域、设备型号以及序号。方便网络运维人员、系统管理人员和资产管理人员的日后工作。3.1 生产网设备命名规范设备命名规则:字段1一字段2一字段3-(字段4)-n字段1标识设备所属区域,长度1字符:Z:张江(只有一地的话,可以不写)字段2标识设备所属区域核心层分为下面两个区域: TG:主机连接核心层交换机接入层以A开头,以一位数字表示各子区域 Al:互联网接入 A2:专线接入3.2 运维网设备命名规范设备命名规则:字段1一字段2一字段3字段1标识设备所属区域,长度1字符:Z:张江(只有一地的话,可以不写)字段2标识设备所属功能区域MBON:交换机YW:运维字段3标识设备类

6、型网管区使用CORE表示网络机房中的汇聚交换机,在服务器机房中的使用机柜编号作为标识;其他区域的字段三采用下面的标识 FW:NelSCreen防火墙 R:CiSCo路由器 SW:Cisco交换机3.3 设备名称一览设备描述设备名称核心层主机系统交换机1Z-TG-I主机系统交换机2Z-TG-2隔离层互联网接入交换机乙3750-front互联网核心交换机1Z-CORE-I互联网核心交换机2Z-CORE-2接入层互联网出口路由器1Z-Al-R-I互联网出口路由器2Z-Al-R-2互联网流量管理设备Z-Al-BM互联网接入防火墙1Z-Al-FW-I互联网接入防火墙2Z-A1-FW-2互联网接入交换机Z

7、-Al-SW互联网链路均衡设备1Z-Al-LC-I互联网链路均衡设备2Z-A1-LC-2互联网接入汇聚交换机Z-Al-SW-HJ专线路由器1Z-A2-R-1专线路由器2Z-A2-R-2专线接入交换机Z-A2-SW专线接入防火墙1Z-A2-FW-1专线接入防火墙2Z-A2-FW-2专线接入汇聚交换机Z-A2-SW-HJ运维网网管核心交换机Z-MOBN-CORe运维网核心防火墙Z-MOBN-FW4IP地址和Vlan规划为了使新中心的IP地址具有更好的可扩展性,以及IP地址的层次清晰,新的数据网将启用全新的IP地址。新分配的IP地址层次分明,将清晰的体现网络结构,便于日后的管理和维护。4.1 生产网

8、IP地址和Vlan规划核心层应用系统IP地址和Vlan规划此段地址可以是复用地址段,大家的核心内网的地址可以使用一样的。核心层区域IP地址段VlanID主机托管192.168.l-1024自定隔离层应用系统IP地址和Vlan规划隔离层区域IP地址段VlanID互联网区域1O.O.VLAN.0/242-63接入层应用系统IP地址和Vlan规划接入层区域IP地址段VlanID专线系统172.0.0-254.024无4.2 运维网IP地址和Vlan规划运维网区域IP地址段VlanIDVPN接入部分172.1.100.0/24无MBON区172.1.1.0/242985设备配置整体规范5.1 VTPp

9、rotocol生产网里,所有CiSCO交换机的VTP模式设置为TranSParem模式,在每台启用VLAN的交换机上手工建立VLAN信息。5.2 SpanningTree生成树启用协议:Pvst在隔离层中,汇聚交换机(6506和3750)作为网间网VLAN生成树的根,其中编号是1的交换机作为PrimaryROOT,编号是2的交换机作为SecondaryROOT0启用PVSt后,不连接交换机的端口的PortFast功能默认打开。5.3 HSRP在隔离层的接入交换机上的接入VLAN端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为ACtiVe,优先级

10、为110;编号是2的交换机作为默认状态为Standby,优先级为90。在设备上配置HSRP抢占。5.4 路由协议在目前己知的条件下,网络实验室的专线接入区(A2)使用OSPF动态路由协议,其他区域都使用静态路由。5.5 设备安全配置5.5.1 设备访问控制访问超时linecon0exec-timeout50linevty04exec-timeout50访问源限制ipaccess-liststandardTelnetAuthpermit172.1.1.00.0.0.255linevty04access-classTelnetAuthinSNMP为设备安全起见,SNMP被使用在只读模式,不在设备上

11、配置RW字串。并且配置ACL,限制访问源。access-list99permit172.1.1.00.0.0.255snmp-servercommunitysfitRO995.5.2网络设备服务 关闭全局不需要的服务noservicefingernoservicepadnoserviceudp-smal!-serversnoservicetcp-small-serversnoipbootpservernoiphttpservernoipfingernoipsource-routenoipgratuitous-arpsnoipdomain-lookupnoiphttpsecure-server

12、关闭接口不需要的服务noipredirectsnoipdirected-broadcastnoipproxy-arpnoipUnreachables 开启提高设备安全性的服务servicepassword-encryption5.5.3设备端口安全配置通用配置1. 不使用的端口配置为Shutdown2. 光纤端口上开启UDLD广域网/互联网接入路由器在连接外联设备的接口上关闭cdp(nocdpenable)服务器接入交换机1. 连接服务器的端口配置为Access模式2. 连接服务器的端口配置POrtfaSt和bpduguard、bpdufilter5.6设备互联规范鹏越惊虹网络实验室生产网中的

13、冗余设备互联分为主要有以下三种情况需要进行说明。5.6.1 冗余3750交换机连接冗余6506交换机这种情况主要指隔离层的核心6506交换机连接隔离层接入3750交换机和接入层的汇聚3750交换机。如下图所示。两台3750交换机使用堆叠方式组成逻辑上的一台交换机;两台6506交换机使用引擎上的两个光纤口组成EtherChannel进行互联。每台3750交换机上各拿出一个端口,使用LACP协议组成EtherChannel连接到6506上。6506和3750之间使用虚拟网间网Vlan端口进行互联,并在6506的互联端口上允许这些Vlan通过。这样当某一台3750发生故障时,不会引起网间网Vlan的

14、Spanning-Tree(生成树)的状态变化。在6506上的网间网Vlan端口(InterfaceVlan)开启HSRP协议,3750的静态路由的下一条地址就是HSRP的虚拟地址。5.6.2 冗余3750交换机连接非冗余NetScreen防火墙这种情况主要指接入层互联网接入区的接入208防火墙连接3750交换机。如下图所示。两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen208防火墙使用两个端口分别连接到两台3750交换机上,通过使用特有的RedUndant特性,两个端口绑定在同一个冗余组里互相备份。默认情况下,所有的数据应当通过左侧的交换机,当端口或线路发生故障时,备用端口将自动进行切换,数据流向右侧的交换机。5.6.3 冗余3750交换机连接冗余防火墙这种情况主要指接入层专线接入区(A2)中的NetScreenISGI(MM)防火墙连接内外两侧的3750交换机。两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台NetScreen208防火墙使用两个端口分别连接到同一台3750交换机上,通过使用特有的RedUndam特性,两个端口绑定在同一个冗余组里互相备份;只有在交换机发生故障或交换机与防火墙之间的两根线都断开时,防火墙才进行切换。6生产系统网络设计

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 网络与通信

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!