网络实验室建设项目方案

上海鹏越惊虹技术****。

网络实验室项目。

网络实施方案。

version 1.0

文档属性。文档变更过程。

概述。撰写此文的主要目的是为了保障“上海鹏越惊虹技术****网络实验室项目”的顺利实施，根据上海鹏越惊虹技术****网络建设需求，制定出网络实验室的实施规范和方法。

在实际实施工作前，将所有实施步骤、方法和各方需完成的任务明确。

本文档资料主要面向负责“上海鹏越惊虹技术****网络实验室项目”的设计和实施的上海鹏越惊虹技术****的网络技术人员，管理人员；以便通过参考本文档资料顺利完成上海鹏越惊虹技术****网络实验室项目。

本文档内容基于cisco 3825、cisco 3845、cisco 6506、cisco 3750、cisco3560、netscreen isg1000、ns208、f5等产品，涵盖了此次上海鹏越惊虹网络实验室（灾备）项目路由、交换安全、网管相关工程内容的工程实施设计方案：

实施步骤的完整性，对于每一个实施步骤各方所需要执行的动作有明确的规定，有精确的时间顺序安排，对每一个动作有详细的操作步骤，对每一个执行的动作都有相应的检查是否完成的步骤，达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。

详细描述实施方案的风险和局限性，明确使用实施方案所应承担的风险和将导致的后果。

在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。

对于检查实施方案的每一个阶段是否达到方案要求，需要有每一阶段的测试内容，明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案，不再执行实施方案的下一个执行动作或不进入下一个实施阶段。

上海鹏越惊虹技术****将于近期完成网络实验室的建设，为了公司目前及今后的各种业务应用提供可靠、稳定、先进、高效的网络测试环境。网络实验室系统主要包括生产系统网络、运维管理网络。

目前，上海鹏越惊虹正在张江建设网络实验室，作为以提供员工对于网络测试的需求，在这样的背景下，需要启动网络系统的建设，以提供公司测试环境网络。

有鉴于此，本文将从公司的网络系统业务需求分析和接入需求分析出发，横向从生产系统网络、运维系统网络，纵向从核心层、隔离层、接入层角度，集中考虑业务系统、接入系统对网络的需求，从而形成张江网络系统的网络设计方案。

在鹏越惊虹技术****网络实验室建设中，与网络建设有关的设备主要有：

cisco路由器/交换机。

netscreen防火墙。

f5负载均衡器。

allot流量管理设备(不一定完全上)

以上设备主机名按本章的定义规则进行命名，命名规则所定义的约定需求能够很容易标识设备所属区域、设备型号以及序号。方便网络运维人员、系统管理人员和资产管理人员的日后工作。

设备命名规则：字段1—字段2—字段3-（字段4）-n

设备命名规则：字段1—字段2—字段3

为了使新中心的ip地址具有更好的可扩展性，以及ip地址的层次清晰，新的数据网将启用全新的ip地址。新分配的ip地址层次分明，将清晰的体现网络结构，便于日后的管理和维护。

核心层应用系统ip地址和vlan规划。

此段地址可以是复用地址段，大家的核心内网的地址可以使用一样的。

隔离层应用系统ip地址和vlan规划。

接入层应用系统ip地址和vlan规划。

生产网里，所有cisco交换机的vtp 模式设置为transparent模式，在每台启用vlan的交换机上手工建立vlan信息。

生成树启用协议： pvst

在隔离层中，汇聚交换机（6506和3750）作为网间网vlan生成树的根，其中编号是1的交换机作为primary root，编号是2的交换机作为secondary root。

启用pvst后，不连接交换机的端口的portfast功能默认打开。

其中编号是1的交换机的默认状态为active，优先级为110；编号是2的交换机作为默认状态为standby，优先级为90。在设备上配置hsrp 抢占。

在目前已知的条件下，网络实验室的专线接入区（a2）使用ospf动态路由协议，其他区域都使用静态路由。

访问超时。

line con 0

exec-timeout 5 0

line vty 0 4

exec-timeout 5 0

访问源限制。

ip access-list standard telnetauth

permit 172.1.1.0 0.0.0.255

line vty 0 4

access-class telnetauth in

snmp为设备安全起见，snmp被使用在只读模式，不在设备上配置rw字串。并且配置acl，限制访问源。

access-list 99 permit 172.1.1.0 0.0.0.255

snmp-server community sfit ro 99

关闭全局不需要的服务。

no service finger

no service pad

no service udp-small-servers

no service tcp-small-servers

no ip bootp server

no ip http server

no ip finger

no ip source-route

no ip gratuitous-arps

no ip domain-lookup

no ip http secure-server

关闭接口不需要的服务。

no ip redirects

no ip directed-broadcast

no ip proxy-arp

no ip unreachables

开启提高设备安全性的服务。

service password-encryption

通用配置。

1. 不使用的端口配置为shutdown

2. 光纤端口上开启udld

广域网/互联网接入路由器。

在连接外联设备的接口上关闭cdp（no cdp enable）

服务器接入交换机。

3. 连接服务器的端口配置为access模式。

4. 连接服务器的端口配置portfast和bpduguard、bpdufilter

鹏越惊虹网络实验室生产网中的冗余设备互联分为主要有以下三种情况需要进行说明。

这种情况主要指隔离层的核心6506交换机连接隔离层接入3750交换机和接入层的汇聚3750交换机。如下图所示。

两台3750交换机使用堆叠方式组成逻辑上的一台交换机；两台6506交换机使用引擎上的两个光纤口组成etherchannel进行互联。每台3750交换机上各拿出一个端口，使用lacp协议组成etherchannel连接到6506上。6506和3750之间使用虚拟网间网vlan端口进行互联，并在6506的互联端口上允许这些vlan通过。

这样当某一台3750发生故障时，不会引起网间网vlan的spanning-tree（生成树）的状态变化。

在6506上的网间网vlan端口（interface vlan）开启hsrp协议，3750的静态路由的下一条地址就是hsrp的虚拟地址。

这种情况主要指接入层互联网接入区的接入208防火墙连接3750交换机。如下图所示。

两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台netscreen 208防火墙使用两个端口分别连接到两台3750交换机上，通过使用特有的redundant特性，两个端口绑定在同一个冗余组里互相备份。默认情况下，所有的数据应当通过左侧的交换机，当端口或线路发生故障时，备用端口将自动进行切换，数据流向右侧的交换机。

这种情况主要指接入层专线接入区（a2）中的netscreen isg 1000防火墙连接内外两侧的3750交换机。

两台3750交换机使用堆叠方式组成逻辑上的一台交换机。每台netscreen 208防火墙使用两个端口分别连接到同一台3750交换机上，通过使用特有的redundant特性，两个端口绑定在同一个冗余组里互相备份；只有在交换机发生故障或交换机与防火墙之间的两根线都断开时，防火墙才进行切换。

网络实验室建设项目方案

实验室建设项目方案

学校网络实验室建设方案

中职学校网络实验室建设方案

其他用户还读了