网络实验室建设项目方案

　 上海 鹏越惊虹 技术有限公司 网络实验室 项目

　网络实施方案

　Version 1.0

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 文档属性 属性 内容 项目名称：

　上海鹏越惊虹技术有限公司网络实验室项目 文档标题：

　上海鹏越惊虹技术有限公司网络实验室项目网络实施方案 文档版本号：

　Version 1.0 版本日期：

　2009-10-04 文档状态：

　初稿 作者：

　邵勇 文档变更过程 版本 修正日期 修正人 描述 1.0 2009-10-02 邵勇 文档初稿

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　概述 1.1 文档目的 撰写此文的主要目的是为了保障“上海鹏越惊虹技术有限公司网络实验室项目”的顺利实施，根据上海鹏越惊虹技术有限公司网络建设需求，制定出网络实验室的实施规范和方法。

　在实际实施工作前，将所有实施步骤、方法和各方需完成的任务明确。

　1.2 文档适用人员 本文档资料主要面向负责“上海鹏越惊虹技术有限公司网络实验室项目”的设计和实施的上海鹏越惊虹技术有限公司的网络技术人员，管理人员；以便通过参考本文档资料顺利完成上海鹏越惊虹技术有限公司网络实验室项目。

　1.3 文档内容范围 本文档内容基于 Cisco 3825、Cisco 3845、Cisco 6506、Cisco 3750、Cisco3560、Netscreen ISG1000、NS208、F5 等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：

　1.3.1 实施原则  实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤，对每一个执行的动作都有相应的检查是否完成的步骤，达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。

　 详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风险和将导致的后果。

　 在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　  对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　2 项目介绍 2.1 项目简介 上海鹏越惊虹技术有限公司将于近期完成网络实验室的建设，为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运维管理网络。

　目前，上海鹏越惊虹正在张江建设网络实验室，作为以提供员工对于网络测试的需求，在这样的背景下，需要启动网络系统的建设，以提供公司测试环境网络。

　有鉴于此，本文将从公司的网络系统业务需求分析和接入需求分析出发，横向从生产系统网络、运维系统网络，纵向从核心层、隔离层、接入层角度，集中考虑业务系统、接入系统对网络的需求，从而形成张江网络系统的网络设计方案。

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 3 网络设备命名 在鹏越惊虹技术有限公司网络实验室建设中，与网络建设有关的设备主要有：

　 Cisco 路由器/交换机  NetScreen 防火墙  F5 负载均衡器  Allot 流量管理设备(不一定完全上) 以上设备主机名按本章的定义规则进行命名，命名规则所定义的约定需求能够很容易标识设备所属区域、设备型号以及序号。方便网络运维人员、系统管理人员和资产管理人员的日后工作。

　3.1 生产网设备命名规范 设备命名规则：字段 1—字段 2—字段 3-（字段 4）-n 字段 1 标识设备所属区域，长度 1 字符：

　Z：张江（只有一地的话，可以不写）

　字段 2 标识设备所属区域

　核心层分为下面两个区域：

　 TG：主机连接核心层交换机 接入层以 A 开头，以一位数字表示各子区域  A1：互联网接入  A2：专线接入

　3.2 运维网设备命名规范 设备命名规则：字段 1—字段 2—字段 3

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　字段 1 标识设备所属区域，长度 1 字符：

　Z：张江（只有一地的话，可以不写）

　字段 2 标识设备所属功能区域

　 MBON：交换机  YW：运维 字段 3 标识设备类型

　网管区使用 CORE 表示网络机房中的汇聚交换机，在服务器机房中的使用机柜编号作为标识；其他区域的字段三采用下面的标识  FW：NetScreen 防火墙  R：Cisco 路由器  SW：Cisco 交换机 3.3 设备名称一览 设备描述 设备名称 核心层 主机系统交换机 1 Z-TG-1 主机系统交换机 2 Z-TG-2 隔离层 互联网接入交换机 Z-3750-front 互联网核心交换机 1 Z--CORE-1 互联网核心交换机 2 Z- CORE-2 接入层 互联网出口路由器 1 Z-A1-R-1 互联网出口路由器 2 Z-A1-R-2

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 互联网流量管理设备 Z-A1-BM 互联网接入防火墙 1 Z-A1-FW-1 互联网接入防火墙 2 Z-A1-FW-2 互联网接入交换机 Z-A1-SW 互联网链路均衡设备 1 Z-A1-LC-1 互联网链路均衡设备 2 Z-A1-LC-2 互联网接入汇聚交换机 Z-A1-SW-HJ 专线路由器 1 Z-A2-R-1 专线路由器 2 Z-A2-R-2 专线接入交换机 Z-A2-SW 专线接入防火墙 1 Z-A2-FW-1 专线接入防火墙 2 Z-A2-FW-2 专线接入汇聚交换机 Z-A2-SW-HJ 运维网 网管核心交换机 Z-MOBN-CORE 运维网核心防火墙 Z-MOBN-FW

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　4 IP 地址和 Vlan 规划 为了使新中心的 IP 地址具有更好的可扩展性，以及 IP 地址的层次清晰，新的数据网将启用全新的 IP 地址。新分配的 IP 地址层次分明，将清晰的体现网络结构，便于日后的管理和维护。

　4.1 生产网 IP 地址和 Vlan 规划  核心层应用系统 IP 地址和 Vlan 规划 此段地址可以是复用地址段，大家的核心内网的地址可以使用一样的。

　核心层区域 IP 地址段 Vlan ID 主机托管 192.168.[1-10]/24 自定  隔离层应用系统 IP 地址和 Vlan 规划 隔离层区域 IP 地址段 Vlan ID 互联网区域 10.0.[VLAN].0/24 2-63  接入层应用系统 IP 地址和 Vlan 规划 接入层区域 IP 地址段 Vlan ID 专线系统 172.0.[0-254].0/24 无 4.2 运维网 IP 地址和 Vlan 规划 运维网区域 IP 地址段 Vlan ID VPN 接入部分 172.1.100.0/24 无

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 MBON 区 172.1.1.0/24 298

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　5 设备配置整体规范 5.1 VTP protocol 生产网里，所有 Cisco 交换机的 VTP 模式设置为 Transparent 模式，在每台启用 VLAN 的交换机上手工建立 VLAN 信息。

　5.2 Spanning Tree 生成树启用协议：

　Pvst 在隔离层中，汇聚交换机（6506 和 3750）作为网间网 VLAN 生成树的根，其中编号是 1 的交换机作为 Primary ROOT，编号是 2 的交换机作为 Secondary ROOT。

　启用 Pvst 后，不连接交换机的端口的 PortFast 功能默认打开。

　5.3 HSRP 在隔离层的接入交换机上的接入 VLAN 端口和互联网区的核心交换机上的网间网VLAN端口开启HSRP功能。其中编号是1的交换机的默认状态为Active，优先级为 110；编号是 2 的交换机作为默认状态为 Standby，优先级为 90。在设备上配置 HSRP 抢占。

　5.4 路由协议 在目前已知的条件下，网络实验室的专线接入区（A2）使用 OSPF 动态路由协议，其他区域都使用静态路由。

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 5.5 设备安全配置 5.5.1 设备访问控制  访问超时 line con 0 exec-timeout 5 0 line vty 0 4 exec-timeout 5 0  访问源限制 ip access-list standard TelnetAuth

　permit 172.1.1.0 0.0.0.255 line vty 0 4

　access-class TelnetAuth in  SNMP 为设备安全起见，SNMP 被使用在只读模式，不在设备上配置 RW 字串。并且配置 ACL，限制访问源。

　access-list 99 permit 172.1.1.0 0.0.0.255 snmp-server community sfit RO 99 5.5.2 网络设备服务  关闭全局不需要的服务 no service finger no service pad no service udp-small-servers no service tcp-small-servers no ip bootp server no ip http server no ip finger no ip source-route no ip gratuitous-arps no ip domain-lookup

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　no ip http secure-server  关闭接口不需要的服务 no ip redirects no ip directed-broadcast no ip proxy-arp no ip unreachables  开启提高设备安全性的服务 service password-encryption 5.5.3 设备端口安全配置  通用配置 1. 不使用的端口配置为 Shutdown 2. 光纤端口上开启 UDLD  广域网/互联网接入路由器 在连接外联设备的接口上关闭 cdp（no cdp enable）

　 服务器接入交换机 1. 连接服务器的端口配置为 Access 模式 2. 连接服务器的端口配置 portfast 和 bpduguard、bpdufilter 5.6 设备互联规范 鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。

　5.6.1 冗余 3750 交换机连接冗余 6506 交换机 这种情况主要指隔离层的核心6506交换机连接隔离层接入3750交换机和接

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 入层的汇聚 3750 交换机。如下图所示。

　两台 3750 交换机使用堆叠方式组成逻辑上的一台交换机；两台 6506 交换机使用引擎上的两个光纤口组成 EtherChannel 进行互联。每台 3750 交换机上各拿出一个端口，使用 LACP 协议组成 EtherChannel 连接到 6506 上。6506 和 3750之间使用虚拟网间网 Vlan 端口进行互联，并在 6506 的互联端口上允许这些 Vlan通过。这样当某一台 3750 发生故障时，不会引起网间网 Vlan 的 Spanning-Tree（生成树）的状态变化。

　在 6506 上的网间网 Vlan 端口（Interface Vlan）开启 HSRP 协议，3750 的静态路由的下一条地址就是 HSRP 的虚拟地址。

　5.6.2 冗余 3750 交换机连接非冗余 NetScreen 防火墙 这种情况主要指接入层互联网接入区的接入 208 防火墙连接 3750 交换机。如下图所示。

　两台 3750 交换机使用堆叠方式组成逻辑上的一台交换机。每台 NetScreen 208 防火墙使用两个端口分别连接到两台 3750 交换机上，通过使用特有的Redundant 特性，两个端口绑定在同一个冗余组里互相备份。默认情况下，所有

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　的数据应当通过左侧的交换机，当端口或线路发生故障时，备用端口将自动进行切换，数据流向右侧的交换机。

　5.6.3 冗余 3750 交换机连接冗余防火墙 这种情况主要指接入层专线接入区（A2）中的 NetScreen ISG 1000 防火墙连接内外两侧的 3750 交换机。

　两台 3750 交换机使用堆叠方式组成逻辑上的一台交换机。每台 NetScreen 208 防火墙使用两个端口分别连接到同一台 3750 交换机上，通过使用特有的Redundant 特性，两个端口绑定在同一个冗余组里互相备份；只有在交换机发生故障或交换机与防火墙之间的两根线都断开时，防火墙才进行切换。

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 6 生产系统网络设计 6.1 生产网络设计及区域划分 CORE-1 CORE-2A1-SWA1-SW-HJ A2-SW-HJA2-FW-2A2-SWA2-R-1 A2-R-2A1-FW-2A1-LC-2A2-FW-1CTCCNC专线接入A1-LC-1A1-FW-13750-frontServerVlan100:10.0.100.3/24MBON:vlan298:172.1.1.3/24服务器vlan:10.0.vlan.254/24Vlan100:10.0.100.1/24TO-A1-SW-HJ Vlan200:10.0.200.1/24TO-A2-SW-HJ Vlan300:192.30.0.1/24MBON:172.1.1.1/24Vlan200-hsrp:10.0.200.4MBON:172.1.1.2/24Vlan100:10.0.100.2/24TO-A1-SW-HJ Vlan200:10.0.200.2/24TO-A2-SW-HJ Vlan300:192.30.0.2/24Vlan300-hsrp:192.30.0.4MBON Vlan298:172.1.1.4/24TO-core Vlan200:10.0.200.3/24TO-LC Vlan210:10.0.210.3/24TO-sw-hj vlan210:10.0.210.1/2/24TO Fw1:vlan220:10.0.220.1/2/24Vip:10.0.220.4TO Fw2:Vlan230:10.0.230.1/2/24Vip:10.0.230.4Vlan298:172.1.1.6/24Mgt:172.1.1.7/24To-lc 10.0.220.3/24To-lc 10.0.230.3/24Mgt 172.1.1.8/24Vlan298:172.1.1.10/24To-core vlan300:192.30.0.3/24To-A2-FW vlan310:192.31.0.1/24Mgt:172.1.1.11/24To-A2-SW-HJ 192.31.0.2/24To-A2-SW 192.32.0.2/24Vlan298:172.1.1.13/24To-A2-FW Vlan320:192.32.0.1/24To-A2-R1 Vlan330:192.33.0.3/24To-A2-R2 Vlan340 192.34.0.3/24R1-SW 192.33.0.1/24R1-SW 192.34.0.1/24Mbon:172.1.1.14/24R2-SW 192.33.0.2/24R2-SW 192.34.0.2/24Mbon:172.1.1.15/24Vip:10.210.0.4 网络整体设计的主要思路采用核心、隔离、接入的垂直分层的网络架构，模块化的设计原则，使得整体网络按照业务的不同，可以实现模块化建设和模块化管理。各区域网络描述及作用如下。

　 核心层 生产网络的核心层包括托管系统的服务器和内部总线，按照不同业务的又可以分为主机系统  隔离层 隔离层由服务器接入交换机和汇聚交换机组成，上端连接系统各业务的前置服务器，下端与各类接入线路链接。在隔离层上还需要考虑不同系统的不同业务

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　之间的隔离。

　 接入层 接入层用于外部线路的接入以及安全上的防护，主要可以分为互联网接入、专线接入。

　6.2 Vlan 和 和 IP 地址分配 6.2.1 应用系统 Vlan 和 和 IP 地址分配  主机系统 IP 地址分配

　IP 地址 户 用户 1 192.168.1.0/24 户 用户 2 192.168.2.0/24 „ „ „„ 户 用户 n 192.168.n.0/24  隔离层交易区（A1）IP 地址和 Vlan 分配 主机系统每个用户分配一段 C 类地址

　IP 地址 Vlan ID 户 用户 1 10.0.1.0/24 1 户 用户 2 10.0.2.0/24 2 „ „ „„

　其余设备之间的互联 Vlan 和 IP 地址的分配如下：

　设备名称 端口 IP 地址 对端设备 端口 IP 地址

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 设备名称 端口 IP 地址 对端设备 端口 IP 地址 3750-front vlan 100 10.0.100.3/24 Z-CORE-1 Z-CORE-2 Vlan 100 10.0.100.1/24 10.0.100.2/24 Z-CORE-1 Z-CORE-2 vlan 200 10.0.200.1/24 10.0.200.2/24 Hsrp:10.0.200.4 Z-A1-SW-HJ Vlan 200 10.0.200.3/24 Z-A1-SW-HJ Vlan 210 10.0.210.3/24 Z-A1-LC-1 Z-A1-LC-2 2.1 10.0.210.1/24 10.0.210.2/24 Vip:10.210.0.4 Z-A1-LC-1 Z-A1-LC-2 1.1 10.0.220.1/24 10.0.220.2/24 Vip:10.0.220.4 Z-A1-FW-1 redundant1 10.0.220.3/24 Z-A1-LC-1 Z-A1-LC-2 1.2 10.0.230.1/24 10.0.230.2/24 Vip:10.0.230.4 Z-A1-FW-2 redundant1 10.0.230.3/24 Z-CORE-1 Z-CORE-2 Vlan 300 192.30.0.1/24 192.30.0.2/24 Vip:192.30.0.4 Z-A2-SW-HJ Vlan 300 192.30.0.3/24 Z-A2-SW-HJ Vlan 310 192.31.0.1/24 Z-A2-FW-1 Z-A2-FW-2 redundant1 192.31.0.2/24 Z-A2-FW-1 Z-A2-FW-2 redundant2 192.32.0.2/24 Z-A2-SW Vlan 320 192.32.0.1/24 Z-A2-SW Vlan 330 192.33.0.3/24 Z-A2-R-1 Z-A2-R-2 G0/0 G0/0 192.33.0.1/24 192.33.0.2/24 Z-A2-SW Vlan 340 192.34.0.3/24 Z-A2-R-1 Z-A2-R-2 G0/1 G0/1 192.34.0.1/24 192.34.0.2/24 6.2.2 专线广域网 网和局域网 IP 地址分配  广域网间网 IP 地址分配 每条专线的广域网间网从 10.254.1.0/24 分配一段 30 位掩码的地址。

　 局域网地址 每套系统的客户端从 172.0.[0-254].0/24 中分配一段 C 类地址。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　6.3 核心层设计 6.3.1 主机系统核心设计 主机系统WebDBFileMail FTPADVPN 主机系统的服务器通过单独的网卡连接到一组组冗余交换机上，组成主机系统的内部总线。系统可以通过专线接入路由器直接接入内部总线，对系统进行管理和维护。

　6.4 隔离层设计 隔离层就是互联网区（A1）。接入交换机摆放在服务器机房的排头柜里，负责连接本排机柜里的交易系统前置交换机，前置交换机的网关都部署在接入交换机上。汇聚交换机摆放在网络机房内，一侧连接排头柜的隔离层接入交换机，另一侧连接接入层的汇聚交换机。

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 6.4.1 互联网区（A1 ）设计 ServerCORE-1 CORE-2A1-SW-HJ A2-SW-HJ3750-front 互联网区一侧连接主机系统，另一侧连接接入层互联网接入区（A1）和专线接入区（A2）。

　互联网区前置服务器的网关都部署在接入交换机上。对于主机系统，每套系统分配一段 C 类地址。

　在互联网区 3750-front 的接入交换机上配置访问控制列表（ACL），阻止不同系统之间的通讯，避免各套系统之间的相互访问所可能产生的安全隐患。以主机系统 1 为例，其交易前置机的网段为 10.0.8.0/24，Vlan ID 是 8。在 Interface Vlan 8 上配置一个方向为 In 的 ACL，ACL 一共有三个条目：

　 permit ip 10.0.8.0 0.0.0.255 10.0.8.0 0.0.0.255  deny ip 10.0.8.0 0.0.0.255 10.0.0.0 0.0.255.255  permit ip 10.0.8.0 0.0.0.255 any

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　6.5 接入层设 计 接入层分为 2 个区域：互联网接入区（A1）、专线接入区（A2）。

　6.5.1 互联网接入区（A1 ）设计 CORE-1 CORE-2A1-BMA1-FW-1A1-SWA1-LCA1-SW-HJA1-FW-2 一台 Allot NetEnforcer AC-804 带宽管理设备。AC-804 共有 4 个千兆以太网电口，可以同时管理两条互联网线路上的流量，定制并生成相应的报表。由于采用的外置的旁路（bypass）模块，因此在设备发生故障时也不对网络产生影响。

　Allot 内侧是两台 NetScreen 208 防火墙，每台防火墙连接一条互联网线路，负责互联网线路上的访问控制和 IP 地址转换。在 NetScreen 208 防火墙内侧是由两台 Cisco 3750 堆叠而成的一组交换机。通过 NetScreen 特有的 Redundant Group

　上海鹏越惊虹技术有限公司网络实验室项目

　 行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　 特性，将每台 NetScreen 208 分别连接到两台 Cisco 3750 交换机上，避免了单点故障的发生。

　两台 F5 Bip-IP 3400 Link Controller 链路负载均衡设备的主要功能是实现Inbound 方向的数据流的原进原出。另外，在 F5 上配置目标地址为所有地址、类型为 Performance Layer4 的 VS（虚拟服务器），Pool Member 为两台 208 的内口地址。根据需要选择两个 Member 同时使用还是一主一备，保证 Outbound 方向的数据流可以顺利通过 F5。

　F5 后侧是由两台 Cisco 3750 堆叠而成的一组交换机，负责连接上面的隔离层交易区汇聚交换机。

　6.5.2 专线接入区（A2 ）设计 专线接入区 A2 主要是用于远程专线的接入。在接入路由器和接入交换机之间启用 OSPF 动态路由，实现同一会员多条专线之间的冗余和自动切换。

　A31-SWA31-R-1 A31-R-2Area 0Cost 2 Cost 1A2-FW-1静态路由静态路由专网专线A2-FW-2 如上图所示。所有的路由器通过通过两条不同的链路上联至接入交换机上，两条链路分别属于不同的 vlan，两个 Vlan 分属于两台 3750 交换机。对于来自会员方

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　行 井 架 安 装 前 ， 安 装 负 责 人 熟 读 井 架 安 装 使 用 说 明 书 ， 熟 悉 井 架 安 装 方 案 ， 做 好 现 在 准 备 工 作 ， 要 求 作 业 人 员 严 格 按 照 厂 家 说 明 书 步 骤 进 行 安 装 。

　向的数据，路由器将优先选择 COST 累加值小的链路。在正常情况下， 专线接入路由器上配置到所连接专网的静态路由，在OSPF Area 0中重分发。在路由重分发时配合 route-map 技术，就可以有效的管理会员的交易专线。对于有两条线路的会员，在主线路连接的路由器上将静态路由重分发到 OSPF Area 0中的 metric 的值为 50，备用线路连接的路由器上将静态路由重分发到 OSPF Area 0 中的 metric 的值为 100；对于只有一条专线的会员，其重分发的 metric 也是 50。正常情况下，去往会员端的数据流将通过主用线路；当主线路故障时，流量将通过备份线路去往会员端。线路故障的切换时间不超过 2 秒，设备故障的切换时间不超过 5 秒。

　CORE-1 CORE-2A2-SW-HJA2-FW-1A2-SWA2-R-1A2-R-2A2-FW-2 接入交换机内侧是一组 NetScreen ISG 1000 防火墙，负责专线接入区的安全隔离和访问控制，使每根专线只能访问自己的主机系统。ISG 1000 后侧是由两台 Cisco 3750 堆叠而成的一组汇聚交换机，负责连接上面的核心交换机。