網(wǎng)絡(luò)實驗室建設(shè)項目方案

1、 上海鵬越驚虹技術(shù)有限公司網(wǎng)絡(luò)實驗室項目 上海鵬越驚虹技術(shù)有限公司網(wǎng)絡(luò)實驗室項目網(wǎng)絡(luò)實施施方案Verssionn 1.0文檔屬性性屬性內(nèi)容項目名稱稱：上海鵬越越驚虹技技術(shù)有限限公司網(wǎng)網(wǎng)絡(luò)實驗驗室項目目文檔標(biāo)題題：上海鵬越越驚虹技技術(shù)有限限公司網(wǎng)網(wǎng)絡(luò)實驗驗室項目目網(wǎng)絡(luò)實實施方案案文檔版本本號：Verssionn 1.0版本日期期：20099-100-044文檔狀態(tài)態(tài)：初稿作者：邵勇文檔變更更過程版本修正日期期修正人描述1.020099-100-022邵勇文檔初稿稿概述文檔目的的撰寫此文文的主要要目的是是為了保保障“上海鵬鵬越驚虹虹技術(shù)有有限公司司網(wǎng)絡(luò)實實驗室項項目”的順利利實施，根據(jù)上上海鵬越越

2、驚虹技技術(shù)有限限公司網(wǎng)網(wǎng)絡(luò)建設(shè)設(shè)需求，制定出出網(wǎng)絡(luò)實實驗室的的實施規(guī)規(guī)范和方方法。在實際實實施工作作前，將將所有實實施步驟驟、方法法和各方方需完成成的任務(wù)務(wù)明確。文檔適用用人員本文檔資資料主要要面向負(fù)負(fù)責(zé)“上海鵬越越驚虹技技術(shù)有限限公司網(wǎng)網(wǎng)絡(luò)實驗驗室項目目”的設(shè)計計和實施施的上海海鵬越驚驚虹技術(shù)術(shù)有限公公司的網(wǎng)網(wǎng)絡(luò)技術(shù)術(shù)人員，管理人人員；以便通通過參考考本文檔檔資料順順利完成成上海鵬鵬越驚虹虹技術(shù)有有限公司司網(wǎng)絡(luò)實實驗室項項目。文檔內(nèi)容容范圍本文檔內(nèi)內(nèi)容基于于Cissco 38225、CCiscco 338455、Ciiscoo 65506、Cissco 37550、CCiscco35560、

3、Nettscrreenn ISSG10000、NS2208、F5等等產(chǎn)品，涵蓋了了此次上上海鵬越越驚虹網(wǎng)網(wǎng)絡(luò)實驗驗室（災(zāi)災(zāi)備）項項目路由由、交換換安全、網(wǎng)管相相關(guān)工程程內(nèi)容的的工程實實施設(shè)計計方案：實施原則則實施步驟驟的完整整性，對對于每一一個實施施步驟各各方所需需要執(zhí)行行的動作作有明確確的規(guī)定定，有精精確的時時間順序序安排，對每一一個動作作有詳細(xì)細(xì)的操作作步驟，對每一一個執(zhí)行行的動作作都有相相應(yīng)的檢檢查是否否完成的的步驟，達(dá)到任任何一個個只要具具有實際際實施經(jīng)經(jīng)驗的工工程師都都能按實實施方案案完成執(zhí)執(zhí)行動作作。詳細(xì)描述述實施方方案的風(fēng)風(fēng)險和局局限性，明確使使用實施施方案所所應(yīng)承擔(dān)擔(dān)的風(fēng)險險和

4、將導(dǎo)導(dǎo)致的后后果。在實施前前需要各各參與單單位和人人員最終終確認(rèn)實實施方案案的正確確性、明明確各方方所執(zhí)行行的動作作和擔(dān)負(fù)負(fù)的責(zé)任任。對于檢查查實施方方案的每每一個階階段是否否達(dá)到方方案要求求，需要要有每一一階段的的測試內(nèi)內(nèi)容，明明確那些些測試在在指定時時間點不不能完成成或完成成后測試試結(jié)果不不正確的的情況下下需要采采用網(wǎng)絡(luò)絡(luò)回退方方案，不不再執(zhí)行行實施方方案的下下一個執(zhí)執(zhí)行動作作或不進(jìn)進(jìn)入下一一個實施施階段。項目介紹紹項目簡介介上海鵬越越驚虹技技術(shù)有限限公司將將于近期期完成網(wǎng)網(wǎng)絡(luò)實驗驗室的建建設(shè)，為為了公司司目前及及今后的的各種業(yè)業(yè)務(wù)應(yīng)用用提供可可靠、穩(wěn)穩(wěn)定、先先進(jìn)、高高效的網(wǎng)網(wǎng)絡(luò)測試試環(huán)境

5、。網(wǎng)絡(luò)實實驗室系系統(tǒng)主要要包括生生產(chǎn)系統(tǒng)統(tǒng)網(wǎng)絡(luò)、運維管管理網(wǎng)絡(luò)絡(luò)。目前，上上海鵬越越驚虹正正在張江江建設(shè)網(wǎng)網(wǎng)絡(luò)實驗驗室，作作為以提提供員工工對于網(wǎng)網(wǎng)絡(luò)測試試的需求求，在這這樣的背背景下，需要啟啟動網(wǎng)絡(luò)絡(luò)系統(tǒng)的的建設(shè)，以提供供公司測測試環(huán)境境網(wǎng)絡(luò)。有鑒于此此，本文文將從公公司的網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)業(yè)務(wù)需需求分析析和接入入需求分分析出發(fā)發(fā)，橫向向從生產(chǎn)產(chǎn)系統(tǒng)網(wǎng)網(wǎng)絡(luò)、運運維系統(tǒng)統(tǒng)網(wǎng)絡(luò)，縱向從從核心層層、隔離離層、接接入層角角度，集集中考慮慮業(yè)務(wù)系系統(tǒng)、接接入系統(tǒng)統(tǒng)對網(wǎng)絡(luò)絡(luò)的需求求，從而而形成張張江網(wǎng)絡(luò)絡(luò)系統(tǒng)的的網(wǎng)絡(luò)設(shè)設(shè)計方案案。網(wǎng)絡(luò)設(shè)備備命名在鵬越驚驚虹技術(shù)術(shù)有限公公司網(wǎng)絡(luò)絡(luò)實驗室室建設(shè)中中，與網(wǎng)網(wǎng)絡(luò)建設(shè)設(shè)

6、有關(guān)的的設(shè)備主主要有：Ciscco路由由器/交換機機NetSScreeen防防火墻F5負(fù)載載均衡器器Alloot流量量管理設(shè)設(shè)備(不一定定完全上上)以上設(shè)備備主機名名按本章章的定義義規(guī)則進(jìn)進(jìn)行命名名，命名名規(guī)則所所定義的的約定需需求能夠夠很容易易標(biāo)識設(shè)設(shè)備所屬屬區(qū)域、設(shè)備型型號以及及序號。方便網(wǎng)網(wǎng)絡(luò)運維維人員、系統(tǒng)管管理人員員和資產(chǎn)產(chǎn)管理人人員的日日后工作作。生產(chǎn)網(wǎng)設(shè)設(shè)備命名名規(guī)范設(shè)備命名名規(guī)則：字段11字段22字段3-（字段段4）-n字段1標(biāo)識設(shè)備備所屬區(qū)區(qū)域，長長度1字字符：Z：張江江（只有有一地的的話，可可以不寫寫）字段2標(biāo)識設(shè)備備所屬區(qū)區(qū)域核心層分分為下面面兩個區(qū)區(qū)域：TG：主主機連接

7、接核心層層交換機機接入層以以A開頭頭，以一一位數(shù)字字表示各各子區(qū)域域A1：互互聯(lián)網(wǎng)接接入A2：專專線接入入運維網(wǎng)設(shè)設(shè)備命名名規(guī)范設(shè)備命名名規(guī)則：字段11字段22字段33字段1標(biāo)識設(shè)備備所屬區(qū)區(qū)域，長長度1字字符：Z：張江江（只有有一地的的話，可可以不寫寫）字段2標(biāo)識設(shè)備備所屬功功能區(qū)域域MBONN：交換換機YW：運運維字段3標(biāo)識設(shè)備備類型網(wǎng)管區(qū)使使用COORE表表示網(wǎng)絡(luò)絡(luò)機房中中的匯聚聚交換機機，在服服務(wù)器機機房中的的使用機機柜編號號作為標(biāo)標(biāo)識；其其他區(qū)域域的字段段三采用用下面的的標(biāo)識FW：NNetSScreeen防防火墻R：Ciiscoo路由器器SW：CCiscco交換換機設(shè)備名稱稱一覽設(shè)備

8、描述述設(shè)備名稱稱核心層主機系統(tǒng)統(tǒng)交換機機1Z-TGG-1主機系統(tǒng)統(tǒng)交換機機2Z-TGG-2隔離層互聯(lián)網(wǎng)接接入交換換機Z-37750-froont互聯(lián)網(wǎng)核核心交換換機1Z-CCOREE-1互聯(lián)網(wǎng)核核心交換換機2Z- CCOREE-2接入層互聯(lián)網(wǎng)出出口路由由器1Z-A11-R-1互聯(lián)網(wǎng)出出口路由由器2Z-A11-R-2互聯(lián)網(wǎng)流流量管理理設(shè)備Z-A11-BMM互聯(lián)網(wǎng)接接入防火火墻1Z-A11-FW-11互聯(lián)網(wǎng)接接入防火火墻2Z-A11-FWW-2互聯(lián)網(wǎng)接接入交換換機Z-A11-SW互聯(lián)網(wǎng)鏈鏈路均衡衡設(shè)備11Z-A11-LCC-1互聯(lián)網(wǎng)鏈鏈路均衡衡設(shè)備22Z-A11-LCC-2互聯(lián)網(wǎng)接接入?yún)R聚聚交換機

9、機Z-A11-SWW-HJJ專線路由由器1Z-A22-R-1專線路由由器2Z-A22-R-2專線接入入交換機機Z-A22-SWW專線接入入防火墻墻1Z-A22-FW-1專線接入入防火墻墻2Z-A22-FWW-2專線接入入?yún)R聚交交換機Z-A22-SWW-HJJ運維網(wǎng)網(wǎng)管核心心交換機機Z-MOOBN-CORRE運維網(wǎng)核核心防火火墻Z-MOOBN-FWIP地址址和Vllan規(guī)規(guī)劃為了使新新中心的的IP地地址具有有更好的的可擴展展性，以以及IPP地址的的層次清清晰，新新的數(shù)據(jù)據(jù)網(wǎng)將啟啟用全新新的IPP地址。新分配配的IPP地址層層次分明明，將清清晰的體體現(xiàn)網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)，便于日日后的管管理和維維護(hù)。生產(chǎn)網(wǎng)

10、IIP地址址和Vllan規(guī)規(guī)劃核心層應(yīng)應(yīng)用系統(tǒng)統(tǒng)IP地地址和VVlann規(guī)劃此段地址址可以是是復(fù)用地地址段，大家的的核心內(nèi)內(nèi)網(wǎng)的地地址可以以使用一一樣的。核心層區(qū)區(qū)域IP地址址段Vlann IDD主機托管管192.1688.11-100/224自定隔離層應(yīng)應(yīng)用系統(tǒng)統(tǒng)IP地地址和VVlann規(guī)劃隔離層區(qū)區(qū)域IP地址址段Vlann IDD互聯(lián)網(wǎng)區(qū)區(qū)域10.00.VLAAN.0/2242-633接入層應(yīng)應(yīng)用系統(tǒng)統(tǒng)IP地地址和VVlann規(guī)劃接入層區(qū)區(qū)域IP地址址段Vlann IDD專線系統(tǒng)統(tǒng)172.0.0-2544.00/244無運維網(wǎng)IIP地址址和Vllan規(guī)規(guī)劃運維網(wǎng)區(qū)區(qū)域IP地址址段Vlann

11、 IDDVPN接接入部分分172.1.1000.0/24無MBONN區(qū)/24298設(shè)備配置置整體規(guī)規(guī)范VTP prootoccol生產(chǎn)網(wǎng)里里，所有有Cissco交交換機的的VTPP 模式式設(shè)置為為Traansppareent模模式，在在每臺啟啟用VLLAN的的交換機機上手工工建立VVLANN信息。Spannninng TTreee生成樹啟啟用協(xié)議議： PPvstt在隔離層層中，匯匯聚交換換機（665066和37750）作為網(wǎng)網(wǎng)間網(wǎng)VVLANN生成樹樹的根，其中編編號是11的交換換機作為為Priimarry RROOTT，編號號是2的的交換機機作為SSecoondaary R

12、OOOT。啟用Pvvst后后，不連連接交換換機的端端口的PPorttFasst功能能默認(rèn)打打開。HSRPP在隔離層層的接入入交換機機上的接接入VLLAN端端口和互互聯(lián)網(wǎng)區(qū)區(qū)的核心心交換機機上的網(wǎng)網(wǎng)間網(wǎng)VVLANN端口開開啟HSSRP功功能。其其中編號號是1的的交換機機的默認(rèn)認(rèn)狀態(tài)為為Acttivee，優(yōu)先先級為1110；編號是是2的交交換機作作為默認(rèn)認(rèn)狀態(tài)為為Staandbby，優(yōu)優(yōu)先級為為90。在設(shè)備備上配置置HSRRP 搶搶占。路由協(xié)議議在目前已已知的條條件下，網(wǎng)絡(luò)實實驗室的的專線接接入?yún)^(qū)（A2）使用用OSPPF動態(tài)態(tài)路由協(xié)協(xié)議，其其他區(qū)域域都使用用靜態(tài)路路由。設(shè)備安全全配置設(shè)備訪問問控制

13、訪問超時時linee coon 00execc-tiimeoout 5 00linee vtty 00 4execc-tiimeoout 5 00訪問源限限制ip aacceess-lisst sstanndarrd TTelnnetAAuthh perrmitt 17 0.00.0.2555linee vtty 00 4 acccesss-cllasss TeelneetAuuth inSNMPP為設(shè)備安安全起見見，SNNMP被被使用在在只讀模模式，不不在設(shè)備備上配置置RW字字串。并并且配置置ACLL，限制制訪問源源。acceess-lisst 999 ppermmit 17

14、 0.00.0.2555snmpp-seerveer ccommmuniity sfiit RRO 999網(wǎng)絡(luò)設(shè)備備服務(wù)關(guān)閉全局局不需要要的服務(wù)務(wù)no sservvicee fiingeerno sservvicee paadno sservvicee uddp-ssmalll-sservverssno sservvicee tccp-ssmalll-sservverssno iip bboottp sservverno iip hhttpp seerveerno iip ffinggerno iip ssourrce-rouuteno iip ggrattuittouss-arrpsno i

15、ip ddomaain-loookuppno iip hhttpp seecurre-sservver關(guān)閉接口口不需要要的服務(wù)務(wù)no iip rrediirecctsno iip ddireecteed-bbroaadcaastno iip pproxxy-aarpno iip uunreeachhablles開啟提高高設(shè)備安安全性的的服務(wù)servvicee paasswwordd-enncryyptiion設(shè)備端口口安全配配置通用配置置不使用的的端口配配置為SShuttdowwn光纖端口口上開啟啟UDLLD廣域網(wǎng)/互聯(lián)網(wǎng)網(wǎng)接入路路由器在連接外外聯(lián)設(shè)備備的接口口上關(guān)閉閉cdpp（noo cdd

16、p eenabble）服務(wù)器接接入交換換機連接服務(wù)務(wù)器的端端口配置置為Acccesss模式式連接服務(wù)務(wù)器的端端口配置置porrtfaast和和bpdduguuardd、bppduffiltter設(shè)備互聯(lián)聯(lián)規(guī)范鵬越驚虹虹網(wǎng)絡(luò)實實驗室生生產(chǎn)網(wǎng)中中的冗余余設(shè)備互互聯(lián)分為為主要有有以下三三種情況況需要進(jìn)進(jìn)行說明明。冗余37750交交換機連連接冗余余65006交換換機這種情況況主要指指隔離層層的核心心65006交換換機連接接隔離層層接入337500交換機機和接入入層的匯匯聚37750交交換機。如下圖圖所示。兩臺37750交交換機使使用堆疊疊方式組組成邏輯輯上的一一臺交換換機；兩兩臺65506交交換機使使

17、用引擎擎上的兩兩個光纖纖口組成成EthherCChannnell進(jìn)行互互聯(lián)。每每臺37750交交換機上上各拿出出一個端端口，使使用LAACP協(xié)協(xié)議組成成EthherCChannnell連接到到65006上。65006和337500之間使使用虛擬擬網(wǎng)間網(wǎng)網(wǎng)Vlaan端口口進(jìn)行互互聯(lián)，并并在65506的的互聯(lián)端端口上允允許這些些Vlaan通過過。這樣樣當(dāng)某一一臺37750發(fā)發(fā)生故障障時，不不會引起起網(wǎng)間網(wǎng)網(wǎng)Vlaan的SSpannninng-TTreee（生成成樹）的的狀態(tài)變變化。在65006上的的網(wǎng)間網(wǎng)網(wǎng)Vlaan端口口（Innterrfacce VVlann）開啟啟HSRRP協(xié)議議，37750

18、的的靜態(tài)路路由的下下一條地地址就是是HSRRP的虛虛擬地址址。冗余37750交交換機連連接非冗冗余NeetSccreeen防火火墻這種情況況主要指指接入層層互聯(lián)網(wǎng)網(wǎng)接入?yún)^(qū)區(qū)的接入入2088防火墻墻連接337500交換機機。如下下圖所示示。兩臺37750交交換機使使用堆疊疊方式組組成邏輯輯上的一一臺交換換機。每臺NNetSScreeen 2088防火墻墻使用兩兩個端口口分別連連接到兩兩臺37750交交換機上上，通過使使用特有有的Reedunndannt特性性，兩個個端口綁綁定在同同一個冗冗余組里里互相備備份。默默認(rèn)情況況下，所所有的數(shù)數(shù)據(jù)應(yīng)當(dāng)當(dāng)通過左左側(cè)的交交換機，當(dāng)端口或或線路發(fā)生生故障時時，

19、備用端端口將自自動進(jìn)行行切換，數(shù)據(jù)流流向右側(cè)側(cè)的交換換機。冗余37750交交換機連連接冗余余防火墻墻這種情況況主要指指接入層層專線接接入?yún)^(qū)（A2）中的的NettScrreenn ISSG 110000防火墻墻連接內(nèi)內(nèi)外兩側(cè)側(cè)的37750交交換機。兩臺37750交交換機使使用堆疊疊方式組組成邏輯輯上的一一臺交換換機。每每臺NeetSccreeen 2208防防火墻使使用兩個個端口分分別連接接到同一一臺37750交交換機上上，通過過使用特特有的RReduundaant特特性，兩兩個端口口綁定在在同一個個冗余組組里互相相備份；只有在在交換機機發(fā)生故故障或交交換機與與防火墻墻之間的的兩根線線都斷開開時

20、，防防火墻才才進(jìn)行切切換。生產(chǎn)系統(tǒng)統(tǒng)網(wǎng)絡(luò)設(shè)設(shè)計生產(chǎn)網(wǎng)絡(luò)絡(luò)設(shè)計及區(qū)區(qū)域劃分分網(wǎng)絡(luò)整體體設(shè)計的的主要思思路采用用核心、隔離、接入的的垂直分分層的網(wǎng)網(wǎng)絡(luò)架構(gòu)構(gòu)，模塊塊化的設(shè)設(shè)計原則則，使得得整體網(wǎng)網(wǎng)絡(luò)按照照業(yè)務(wù)的的不同，可以實實現(xiàn)模塊塊化建設(shè)設(shè)和模塊塊化管理理。各區(qū)區(qū)域網(wǎng)絡(luò)絡(luò)描述及及作用如如下。核心層生產(chǎn)網(wǎng)絡(luò)絡(luò)的核心心層包括括托管系系統(tǒng)的服服務(wù)器和和內(nèi)部總總線，按按照不同同業(yè)務(wù)的的又可以以分為主主機系統(tǒng)統(tǒng)隔離層隔離層由由服務(wù)器器接入交交換機和和匯聚交交換機組組成，上上端連接接系統(tǒng)各各業(yè)務(wù)的的前置服服務(wù)器，下端與與各類接接入線路路鏈接。在隔離離層上還還需要考考慮不同同系統(tǒng)的的不同業(yè)業(yè)務(wù)之間間的隔離離。

21、接入層接入層用用于外部部線路的的接入以以及安全全上的防防護(hù)，主主要可以以分為互互聯(lián)網(wǎng)接接入、專專線接入入。Vlann和IPP地址分分配應(yīng)用系統(tǒng)統(tǒng)Vlaan和IIP地址址分配主機系統(tǒng)統(tǒng)IP地地址分配配IP地址址用戶1192.1688.1.0/224用戶2192.1688.2.0/224用戶n192.1688.n.0/224隔離層交交易區(qū)（A1）IPP地址和和Vlaan分配配主機系統(tǒng)統(tǒng)每個用用戶分配配一段CC類地址址IP地址址Vlann IDD用戶110.00.1.0/2241用戶210.00.2.0/2242其余設(shè)備備之間的的互聯(lián)VVlann和IPP地址的的分配如如下：設(shè)備名稱稱端口IP地址址對

22、端設(shè)備備端口IP地址址37500-frronttvlann 100010.00.1000.33/244Z-COORE-1Z-COORE-2Vlann 100010.00.1000.11/24410.00.1000.22/244Z-COORE-1Z-COORE-2vlann 200010.00.2000.11/24410.00.2000.22/244Hsrpp:100.0.2000.4Z-A11-SWW-HJJVlann 200010.00.2000.33/244Z-A11-SWW-HJJVlann 211010.00.2110.33/244Z-A11-LCC-1Z-A11-LCC-22.110

23、.00.2110.11/24410.00.2110.22/244Vip:10.2100.0.4Z-A11-LCC-1Z-A11-LCC-21.110.00.2220.11/24410.00.2220.22/244Vip:10.0.2220.4Z-A11-FW-1reduundaant1110.00.2220.33/244Z-A11-LCC-1Z-A11-LCC-21.210.00.2330.11/24410.00.2330.22/244Vip:10.0.2230.4Z-A11-FWW-2reduundaant1110.00.2330.33/244Z-COORE-1Z-COORE-2Vlann

24、30001/2442/244Vip:1922.300.0.4Z-A22-SWW-HJJVlann 30003/244Z-A22-SWW-HJJVlann 31101/244Z-A22-FW-1Z-A22-FW-2reduundaant112/244Z-A22-FW-1Z-A22-FW-2reduundaant222/244Z-A22-SWWVlann 32201/244Z-A22-SWWVlann 33303/244Z-A22-R-1Z

25、-A22-R-2G0/00G0/001/2442/244Z-A22-SWWVlann 34403/244Z-A22-R-1Z-A22-R-2G0/11G0/111/2442/244專線廣域域網(wǎng)和局局域網(wǎng)IIP地址址分配廣域網(wǎng)間間網(wǎng)IPP地址分分配每條專線線的廣域域網(wǎng)間網(wǎng)網(wǎng)從100.2554.11.0/24分配配一段330位掩掩碼的地地址。 局域網(wǎng)地地址每套系統(tǒng)統(tǒng)的客戶戶端從1172.0.0-2254.0/24中分分配一段段C類地地址。 核心層設(shè)設(shè)計主機系統(tǒng)統(tǒng)核心設(shè)設(shè)計主機系統(tǒng)統(tǒng)的服務(wù)務(wù)器通過過單

26、獨的的網(wǎng)卡連連接到一一組組冗冗余交換換機上，組成主主機系統(tǒng)統(tǒng)的內(nèi)部部總線。系統(tǒng)可可以通過過專線接接入路由由器直接接接入內(nèi)內(nèi)部總線線，對系系統(tǒng)進(jìn)行行管理和和維護(hù)。隔離層設(shè)設(shè)計隔離層就就是互聯(lián)聯(lián)網(wǎng)區(qū)（A1）。接接入交換換機擺放放在服務(wù)務(wù)器機房房的排頭頭柜里，負(fù)責(zé)連連接本排排機柜里里的交易易系統(tǒng)前前置交換換機，前前置交換換機的網(wǎng)網(wǎng)關(guān)都部部署在接接入交換換機上。匯聚交交換機擺擺放在網(wǎng)網(wǎng)絡(luò)機房房內(nèi)，一一側(cè)連接接排頭柜柜的隔離離層接入入交換機機，另一一側(cè)連接接接入層層的匯聚聚交換機機?；ヂ?lián)網(wǎng)區(qū)區(qū)（A1）設(shè)計互聯(lián)網(wǎng)區(qū)區(qū)一側(cè)連連接主機機系統(tǒng)，另一側(cè)側(cè)連接接入入層互聯(lián)聯(lián)網(wǎng)接入入?yún)^(qū)（AA1）和和專線接接入?yún)^(qū)（A2

27、）?；ヂ?lián)網(wǎng)區(qū)區(qū)前置服服務(wù)器的的網(wǎng)關(guān)都部署署在接入入交換機機上。對于主主機系統(tǒng)統(tǒng)，每套套系統(tǒng)分分配一段段C類地地址。在互聯(lián)網(wǎng)網(wǎng)區(qū)37550-ffronnt的接接入交換換機上配配置訪問問控制列列表（AACL），阻止止不同系系統(tǒng)之間間的通訊訊，避免免各套系系統(tǒng)之間間的相互互訪問所所可能產(chǎn)產(chǎn)生的安安全隱患患。以主主機系統(tǒng)統(tǒng)1為例例，其交交易前置置機的網(wǎng)網(wǎng)段為110.00.8.0/224，VVlann IDD是8。在Innterrfacce VVlann 8上上配置一一個方向向為Inn的ACCL，AACL一一共有三三個條目目：permmit ip 0255 10.0.8.

28、0 0255denyy ipp 0255 00.0.2555.2555permmit ip 0255 anyy接入層設(shè)設(shè)計接入層分分為2個區(qū)域域：互聯(lián)聯(lián)網(wǎng)接入入?yún)^(qū)（AA1）、專線接入入?yún)^(qū)（AA2）?；ヂ?lián)網(wǎng)接接入?yún)^(qū)（A1）設(shè)計一臺Alllott NeetEnnforrcerr AC-8044帶寬管管理設(shè)備備。ACC-8004共有有4個千千兆以太太網(wǎng)電口口，可以以同時管管理兩條條互聯(lián)網(wǎng)網(wǎng)線路上上的流量量，定制制并生成成相應(yīng)的的報表。由于采采用的外外置的旁旁路（bbypaass）模塊，因此在在設(shè)備發(fā)發(fā)生故

29、障障時也不不對網(wǎng)絡(luò)絡(luò)產(chǎn)生影影響。Alloot內(nèi)側(cè)側(cè)是兩臺臺NettScrreenn 2008防火火墻，每每臺防火火墻連接接一條互互聯(lián)網(wǎng)線線路，負(fù)負(fù)責(zé)互聯(lián)聯(lián)網(wǎng)線路路上的訪訪問控制制和IPP地址轉(zhuǎn)轉(zhuǎn)換。在在NettScrreenn 2008防火火墻內(nèi)側(cè)側(cè)是由兩兩臺Ciiscoo 37750堆堆疊而成成的一組組交換機機。通過過NettScrreenn特有的的Reddunddantt Grroupp特性，將每臺臺NettScrreenn 2008分別別連接到到兩臺CCiscco 337500交換機機上，避避免了單單點故障障的發(fā)生生。兩臺F55 Biip-IIP 334000 Liink Conntroolleer鏈路路負(fù)載均均衡設(shè)備備的主要要功能是是實現(xiàn)IInbooundd方向的的數(shù)據(jù)流流的原進(jìn)進(jìn)原出。另外，在F55上配置置目標(biāo)地