上海鹏越惊虹技术有限公司网络实验室项目
6 生产系统网络设计
6.1 生产网络设计及区域划分
Server服务器vlan:10.0.vlan.254/243750-frontMBON:vlan298:172.1.1.3/24Vlan100:10.0.100.3/24Vlan100:10.0.100.1/24CORE-1Vlan100:10.0.100.2/24CORE-2MBON:172.1.1.1/24TO-A1-SW-HJ Vlan200:10.0.200.1/24TO-A2-SW-HJ Vlan300:192.30.0.1/24Vlan200-hsrp:10.0.200.4TO-core Vlan200:10.0.200.3/24MBON Vlan298:172.1.1.4/24TO-LC Vlan210:10.0.210.3/24TO-sw-hj vlan210:10.0.210.1/2/24Vip:10.210.0.4TO Fw1:vlan220:10.0.220.1/2/24A1-LC-1Vip:10.0.220.4TO Fw2:Vlan230:10.0.230.1/2/24Vip:10.0.230.4Vlan298:172.1.1.6/24To-lc 10.0.220.3/24Mgt:172.1.1.7/24A1-FW-1A1-FW-2A1-SW-HJMBON:172.1.1.2/24TO-A1-SW-HJ Vlan200:10.0.200.2/24TO-A2-SW-HJ Vlan300:192.30.0.2/24Vlan300-hsrp:192.30.0.4Vlan298:172.1.1.10/24To-core vlan300:192.30.0.3/24To-A2-FW vlan310:192.31.0.1/24A2-SW-HJMgt:172.1.1.11/24To-A2-SW-HJ 192.31.0.2/24To-A2-SW 192.32.0.2/24A1-LC-2A2-FW-1A2-FW-2A1-SWTo-lc 10.0.230.3/24Mgt 172.1.1.8/24A2-R-1Vlan298:172.1.1.13/24To-A2-FW Vlan320:192.32.0.1/24To-A2-R1 Vlan330:192.33.0.3/24To-A2-R2 Vlan340 192.34.0.3/24A2-SWR1-SW 192.33.0.1/24A2-R-2Mbon:172.1.1.14/24Mbon:172.1.1.15/24R1-SW 192.34.0.1/24R2-SW 192.33.0.2/24R2-SW 192.34.0.2/24CTCCNC专线接入
网络整体设计的主要思路采用核心、隔离、接入的垂直分层的网络架构,模块化的设计原则,使得整体网络按照业务的不同,可以实现模块化建设和模块化管理。各区域网络描述及作用如下。 ? 核心层
生产网络的核心层包括托管系统的服务器和内部总线,按照不同业务的又可以分为主机系统 ? 隔离层
隔离层由服务器接入交换机和汇聚交换机组成,上端连接系统各业务的前置服务器,下端与各类接入线路链接。在隔离层上还需要考虑不同系统的不同业务
上海鹏越惊虹技术有限公司网络实验室项目
之间的隔离。 ? 接入层
接入层用于外部线路的接入以及安全上的防护,主要可以分为互联网接入、专线接入。
6.2 Vlan和IP地址分配
6.2.1 应用系统Vlan和IP地址分配
? 主机系统IP地址分配
用户1 用户2 ? 用户n IP地址 192.168.1.0/24 192.168.2.0/24 ?? 192.168.n.0/24 ? 隔离层交易区(A1)IP地址和Vlan分配
主机系统每个用户分配一段C类地址
用户1 用户2 ? IP地址 10.0.1.0/24 10.0.2.0/24 ?? Vlan ID 1 2 其余设备之间的互联Vlan和IP地址的分配如下: 设备名称 端口 IP地址 对端设备 端口 IP地址
上海鹏越惊虹技术有限公司网络实验室项目
设备名称 3750-front Z-CORE-1 Z-CORE-2 Z-A1-SW-HJ Z-A1-LC-1 Z-A1-LC-2 Z-A1-LC-1 Z-A1-LC-2 Z-CORE-1 Z-CORE-2 Z-A2-SW-HJ Z-A2-FW-1 Z-A2-FW-2 Z-A2-SW Z-A2-SW 端口 vlan 100 vlan 200 Vlan 210 1.1 IP地址 10.0.100.3/24 10.0.200.1/24 10.0.200.2/24 Hsrp:10.0.200.4 10.0.210.3/24 10.0.220.1/24 10.0.220.2/24 Vip:10.0.220.4 10.0.230.1/24 10.0.230.2/24 Vip:10.0.230.4 192.30.0.1/24 192.30.0.2/24 Vip:192.30.0.4 192.31.0.1/24 192.32.0.2/24 192.33.0.3/24 192.34.0.3/24 对端设备 Z-CORE-1 Z-CORE-2 Z-A1-SW-HJ Z-A1-LC-1 Z-A1-LC-2 Z-A1-FW-1 端口 Vlan 100 Vlan 200 2.1 IP地址 10.0.100.1/24 10.0.100.2/24 10.0.200.3/24 10.0.210.1/24 10.0.210.2/24 Vip:10.210.0.4 redund10.0.220.3/24 ant1 redund10.0.230.3/24 ant1 Vlan 300 redundant1 Vlan 320 G0/0 G0/0 G0/1 G0/1 192.30.0.3/24 192.31.0.2/24 192.32.0.1/24 192.33.0.1/24 192.33.0.2/24 192.34.0.1/24 192.34.0.2/24 1.2 Vlan 300 Vlan 310 redundant2 Vlan 330 Vlan 340 Z-A1-FW-2 Z-A2-SW-HJ Z-A2-FW-1 Z-A2-FW-2 Z-A2-SW Z-A2-R-1 Z-A2-R-2 Z-A2-R-1 Z-A2-R-2 6.2.2 专线广域网和局域网IP地址分配
? 广域网间网IP地址分配
每条专线的广域网间网从10.254.1.0/24分配一段30位掩码的地址。 ? 局域网地址
每套系统的客户端从172.0.[0-254].0/24中分配一段C类地址。
上海鹏越惊虹技术有限公司网络实验室项目
6.3 核心层设计
6.3.1 主机系统核心设计
FileADDB主机系统WebMailFTPVPN
主机系统的服务器通过单独的网卡连接到一组组冗余交换机上,组成主机系统的内部总线。系统可以通过专线接入路由器直接接入内部总线,对系统进行管理和维护。
6.4 隔离层设计
隔离层就是互联网区(A1)。接入交换机摆放在服务器机房的排头柜里,负责连接本排机柜里的交易系统前置交换机,前置交换机的网关都部署在接入交换机上。汇聚交换机摆放在网络机房内,一侧连接排头柜的隔离层接入交换机,另一侧连接接入层的汇聚交换机。
上海鹏越惊虹技术有限公司网络实验室项目
6.4.1 互联网区(A1)设计
Server3750-frontCORE-1CORE-2A1-SW-HJA2-SW-HJ
互联网区一侧连接主机系统,另一侧连接接入层互联网接入区(A1)和专线接入区(A2)。
互联网区前置服务器的网关都部署在接入交换机上。对于主机系统,每套系统分配一段C类地址。
在互联网区3750-front的接入交换机上配置访问控制列表(ACL),阻止不同系统之间的通讯,避免各套系统之间的相互访问所可能产生的安全隐患。以主机系统1为例,其交易前置机的网段为10.0.8.0/24,Vlan ID是8。在Interface Vlan 8上配置一个方向为In的ACL,ACL一共有三个条目:
? permit ip 10.0.8.0 0.0.0.255 10.0.8.0 0.0.0.255
? deny ip 10.0.8.0 0.0.0.255 10.0.0.0 0.0.255.255 ? permit ip 10.0.8.0 0.0.0.255 any