中國移動公眾服務(wù)云四期工程網(wǎng)絡(luò)集成方案第頁概述項(xiàng)目簡述本工程在中國移動廣東南方基地擴(kuò)容建設(shè)公眾服務(wù)云平臺，南方基地公眾服務(wù)云資源池管理平臺四期的建設(shè)，以屬地資源管理為建設(shè)目標(biāo)，完成對資源池服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理，為公眾服務(wù)云提供彈性計算、彈性網(wǎng)絡(luò)、彈性負(fù)載均衡、彈性安全等業(yè)務(wù)服務(wù)能力。為完成并增強(qiáng)各資源池提供云服務(wù)能力，能夠快速對所屬資源及能力進(jìn)行運(yùn)維處理，以資源池管理平臺為基礎(chǔ)，完成資源池的屬地運(yùn)維。本期工程新增約1000臺通用X86架構(gòu)服務(wù)器；工程建設(shè)地點(diǎn)中國移動南方基地3.1棟303、304、505機(jī)房方案設(shè)計四期各類設(shè)備建設(shè)規(guī)模設(shè)備名稱廠商型號數(shù)量單位管理核心區(qū)管理匯聚交換機(jī)華為S9312E2臺管理域防火墻華為E8000E-X82臺管理域負(fù)載均衡器F5F5-BIG-LTM-100002臺管理域IDS入侵檢測天融信TopSentry_3000_TS-82380-T-012臺管理域系統(tǒng)漏掃榕基.安拓RJ-iTopIIIYX-011臺業(yè)務(wù)域管理接入交換機(jī)瑞思康達(dá)ISCOM3048G-4C44臺管理域業(yè)務(wù)接入交換機(jī)烽火S5800-52T-S16臺管理IPMI接入交換機(jī)烽火S5800-52T-S8臺業(yè)務(wù)域IPMI接入交換機(jī)瑞思康達(dá)ISCOM3048G-4C15臺業(yè)務(wù)域IPMI接入交換機(jī)烽火S5800-52T-S7臺管理DMZ區(qū)管理域DMZ區(qū)匯聚交換機(jī)華為S9312E2臺管理域DMZ區(qū)防火墻迪普FW1000-TE-N2臺管理域DMZ區(qū)負(fù)載均衡器F5F5-BIG-LTM-100002臺管理域WEB應(yīng)用防火墻深信服AF-60202臺管理域DMZ業(yè)務(wù)接入交換機(jī)烽火S5800-52T-S4臺管理心跳區(qū)管理域心跳匯聚交換機(jī)華為S9312E2臺管理域心跳接入交換機(jī)烽火S5800-52T-S10臺管理存儲區(qū)管理域存儲匯聚交換機(jī)思科N77102臺管理域存儲接入交換機(jī)思科N55966臺預(yù)留烽火S5800-52T-S1臺總體網(wǎng)絡(luò)架構(gòu)圖人員組織架構(gòu)操作項(xiàng)廠家負(fù)責(zé)人南基負(fù)責(zé)人公眾云網(wǎng)絡(luò)整體規(guī)劃設(shè)計原則針對此項(xiàng)目的重要性和特殊性，在設(shè)計該項(xiàng)目解決方案時特別遵循了以下設(shè)計原則:先進(jìn)性原則充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足平臺各種業(yè)務(wù)實(shí)時數(shù)據(jù)、非實(shí)時數(shù)據(jù)傳輸需要，形成統(tǒng)一先進(jìn)的通信系統(tǒng)。安全可靠性原則網(wǎng)絡(luò)的安全可靠性是網(wǎng)絡(luò)的一個重要的指標(biāo)。從結(jié)構(gòu)設(shè)計、產(chǎn)品選擇以及網(wǎng)絡(luò)管理上要對網(wǎng)絡(luò)的可靠性作出保證。安全性與可靠性同樣重要，除了系統(tǒng)提供多種安全控制的手段外，網(wǎng)絡(luò)設(shè)計也要提供保障其安全的手段。適用性原則由于計算機(jī)技術(shù)的迅速發(fā)展，新技術(shù)不斷產(chǎn)生，同時為保證對新技術(shù)的支持，設(shè)備的投資和資源在不斷地增加。為避免設(shè)備投資的膨脹，方案要求網(wǎng)絡(luò)硬件具有較高的性能價格比及最佳的適用性?？蓴U(kuò)充性原則考慮到未來業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。設(shè)計中須考慮未來帶寬擴(kuò)容、電路提速的需要，從網(wǎng)絡(luò)和設(shè)備的配置上都要保留一定的擴(kuò)充余地，便于融入隨著新技術(shù)發(fā)展帶來的新功能。標(biāo)準(zhǔn)性原則現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展趨勢是遵循國際統(tǒng)一標(biāo)準(zhǔn)的開放系統(tǒng)、支持分布式計算和客戶機(jī)/計算機(jī)，運(yùn)行多種網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議，兼容其他廠商的網(wǎng)絡(luò)產(chǎn)品，遵守國際標(biāo)準(zhǔn)的開放式系統(tǒng)。物理安裝建議設(shè)備物理安裝要求安裝在標(biāo)準(zhǔn)19″機(jī)柜中或獨(dú)立放置，設(shè)備應(yīng)水平放置，螺釘安裝應(yīng)緊固，并應(yīng)預(yù)留足夠大的維護(hù)空間。機(jī)柜或設(shè)備接地應(yīng)符合相關(guān)標(biāo)準(zhǔn)的接地要求。設(shè)備單體模塊分配物理端口分配原則終端接入根據(jù)服務(wù)器命名序號進(jìn)行分配，如服務(wù)器（序號1）接入端口1，服務(wù)器（序號2）接入端口2，按序接入；設(shè)備互聯(lián)本次新增設(shè)備互聯(lián)使用40G/端口的線路按序進(jìn)行分配；本次新增設(shè)備互聯(lián)使用10G/端口的線路從10G端口的按序進(jìn)行分配；如單臺設(shè)備有多根互聯(lián)線纜，需要分開不同的板卡進(jìn)行分擔(dān)冗余對接；設(shè)備基礎(chǔ)配置設(shè)備命名原則設(shè)備的名稱遵照如下格式：省名地市名-網(wǎng)絡(luò)層次-網(wǎng)元類型序號-業(yè)務(wù)及功能（可選）業(yè)務(wù)（可選）.（可選）功能（可選）符號字符字符字符字符字符字符數(shù)字字符字符字符數(shù)2（大寫字母）2或3（大寫字母）11-2（大寫字母）12（大寫字母）31≤10(大寫字母)“省名”、“地市名”：表示網(wǎng)元所處的實(shí)際地理位置，4個大寫字母。廣東省廣州市用GDGZ表示?！?”：連接符。網(wǎng)絡(luò)層次：表示網(wǎng)元所處的網(wǎng)絡(luò)層次，1~2個大寫字母。第一位字母代表網(wǎng)元所在的骨干網(wǎng)、省網(wǎng)及城域網(wǎng)層次，其中骨干網(wǎng)上的網(wǎng)元設(shè)備用B(Backbone簡寫)表示，省網(wǎng)網(wǎng)元用P(Province簡寫)，城域網(wǎng)網(wǎng)元用M（Metropolis簡寫）表示；骨干網(wǎng)設(shè)備不再細(xì)分層次。對于省網(wǎng)和城域網(wǎng)網(wǎng)元設(shè)備，用第二位字母細(xì)分其在省網(wǎng)或城域網(wǎng)中所處的骨干、匯聚及接入層次，B（Backbone簡寫）表示骨干層次，C（Converge簡寫）表示匯聚層次，A（Access簡寫）表示接入層次，如:PB－省網(wǎng)骨干層；PC－省網(wǎng)匯聚層；PA－省網(wǎng)接入層；MB－城域網(wǎng)骨干層；MC－城域網(wǎng)匯聚層；MA－城域網(wǎng)接入層；說明：對于為多個省區(qū)提供業(yè)務(wù)接入，且設(shè)備連接在全國骨干網(wǎng)層次，但維護(hù)職責(zé)在物理位置所在省公司的設(shè)備，如WAP網(wǎng)關(guān)、WWW、E-MAIL服務(wù)器等，其命名中網(wǎng)絡(luò)層次按骨干網(wǎng)層次命名。對于為多個省區(qū)提供業(yè)務(wù)接入，但設(shè)備連接在省網(wǎng)層次，且由物理位置所在省公司維護(hù)的設(shè)備，如DSMP系統(tǒng)等，其命名中網(wǎng)絡(luò)層次應(yīng)按照省網(wǎng)層次命名。網(wǎng)元或設(shè)備類型：表示網(wǎng)元設(shè)備的類型，為2至3個大寫字母，規(guī)定如下表所列。網(wǎng)元類型除表中規(guī)定標(biāo)識外，還可根據(jù)實(shí)際需要不斷擴(kuò)展。網(wǎng)元類型簡寫規(guī)定網(wǎng)元類型簡寫解釋路由器RTRouter交換機(jī)SWSwitch集線器HBHub網(wǎng)關(guān)GWGateway網(wǎng)守GKGateKeeper服務(wù)器SVServer工作站W(wǎng)SWorkStationPC機(jī)PCPersonalComputer防火墻FWFireWall磁盤陣列DADiskArray磁帶庫TBTapeBase磁帶庫TLTapeLibrary磁帶陣列TATapeArray操作維護(hù)終端TMTerminate共享切換器KVMKeyboard、Video、Mouse調(diào)制解調(diào)器MDMModem光纖轉(zhuǎn)換器OFTOpticalFiberTransForm信令接口單元SIUSignalInterfaceUnit語音處理單元VPUVoiceProcessingUnit端口控制器PTCPortController

注：服務(wù)器指能提供某類服務(wù)的主機(jī)設(shè)備，如WWW、DNS、Radius等；工作站指用于某類工作的主機(jī)設(shè)備，如安全類、網(wǎng)管類工作站；可能的其他類型簡寫另行統(tǒng)一規(guī)定。如果同一網(wǎng)元設(shè)備具有多種網(wǎng)元類型的屬性，則取其主要屬性的網(wǎng)元類型。序號網(wǎng)元序號為3位數(shù)字，具有相同地理位置、網(wǎng)絡(luò)層次和類型的網(wǎng)元設(shè)備以序號001、002區(qū)別，若不需區(qū)別，則取默認(rèn)值001。另外，三國際出口路由器序號規(guī)定為001，省網(wǎng)接入路由器序號規(guī)定為001。業(yè)務(wù)字段分為a業(yè)務(wù)字段和b功能字段，兩部分之間用a.b的格式表示，一般不超過10個大寫字母。業(yè)務(wù)字段用于描述網(wǎng)元的業(yè)務(wù)屬性，該字段必選。功能字段用于描述網(wǎng)元的主要功能，該字段可選。但有突出功能的網(wǎng)元設(shè)備都應(yīng)有功能字段。如果同一網(wǎng)元設(shè)備具有多種功能，則取其主要功能屬性。業(yè)務(wù)字段除表中規(guī)定標(biāo)識外，還可隨著業(yè)務(wù)發(fā)展不斷擴(kuò)展。業(yè)務(wù)字段簡寫規(guī)定業(yè)務(wù)屬性簡寫GPRS系統(tǒng)GPRSCMNET系統(tǒng)CMNETDSMP系統(tǒng)DSMP短消息中心SMSC短信網(wǎng)關(guān)SMGW彩鈴系統(tǒng)CRBT彩信系統(tǒng)MMSWAP網(wǎng)關(guān)WAPIP城域網(wǎng)IPMANWLAN系統(tǒng)WLANKJAVA系統(tǒng)JAVAUSSD系統(tǒng)USSDIMPS系統(tǒng)IMPSPushtotalk系統(tǒng)PTT國際出口點(diǎn)INTERNETIP電話一次撥號17951IP電話二次撥號17950電子郵件系統(tǒng)MAILDNS域名系統(tǒng)DNSIP電話二次撥號17950NAP點(diǎn)接入NAP功能字段（可選）描述主要的網(wǎng)元功能，業(yè)務(wù)字段除表中規(guī)定標(biāo)識外，還可隨著業(yè)務(wù)發(fā)展不斷擴(kuò)展。功能字段網(wǎng)元功能簡寫WWW服務(wù)器WWWWAP服務(wù)器WAP數(shù)據(jù)庫服務(wù)器DB備份設(shè)備BACKUP入侵檢測服務(wù)器IDS智能外設(shè)IP交互式語音應(yīng)答系統(tǒng)IVRBilling服務(wù)器BILLING網(wǎng)管服務(wù)器NMSISS工作站ISSHPOpenView工作站HPOVACS工作站ACS典型網(wǎng)元設(shè)備命名示例廣州短消息中心的第5臺數(shù)據(jù)庫服務(wù)器:GDGZ-MB-SV005-SMSC.DB廣州彩鈴IP的第8臺語音處理單元:GDGZ-MB-VPU008-CRBT.IP廣東彩鈴后臺系統(tǒng)的第9臺WWW服務(wù)器:GDGZ-PB-SV009-CRBT.WWW廣東彩鈴后臺系統(tǒng)的第1臺備份磁帶庫:GDGZ-PB-TL001-CRBT.BACKUP廣東DSMP系統(tǒng)骨干層第二臺以太網(wǎng)交換機(jī):GDGZ-PB-SW002-DSMP廣東DSMP系統(tǒng)骨干層第一臺入侵檢測服務(wù)器:GDGZ-PB-SV001-DSMP.IDSIP電話一次撥號網(wǎng)關(guān)1:GDGZ-PA-GW001-17951IP電話二次撥號網(wǎng)關(guān)2:GDGZ-PA-GW002-17950骨干網(wǎng)中的第二個WAP網(wǎng)關(guān):GDGZ-B-GW002-WAP設(shè)備命名表按照目前南方基地公眾云的現(xiàn)網(wǎng)設(shè)備進(jìn)行命名，以便統(tǒng)一標(biāo)識，具體如下表格端口描述方法根據(jù)設(shè)備的不同結(jié)構(gòu)和端口所處的層次，分為單體化設(shè)備和多機(jī)框設(shè)備。單體化設(shè)備端口命名規(guī)范[網(wǎng)元設(shè)備名稱]端口/線纜類型-槽位號/適配卡序號/端口序號符號字符字符字符字符字符數(shù)字字符數(shù)字字符數(shù)字字符數(shù)1≤25（大寫字母）1≤511111≤2網(wǎng)元設(shè)備名稱：設(shè)備端口所屬設(shè)備的名稱（按照網(wǎng)元設(shè)備命名規(guī)則命名的名稱）；“[”，“]”,“-”，“/”：連接符。端口/線纜類型：端口的類型用≤5個字符表示，規(guī)定如下：端口/線纜類型簡寫以太網(wǎng)接口E快速以太網(wǎng)接口FE千兆以太網(wǎng)接（光）口GE光纖轉(zhuǎn)換器上的裸光纖端口OF異步串口ASE1接口E1SCSI口SCSI直流電源接口DC交流電源接口AC地線端口GNDCE1接口CE1ISDN基本速率接口BRIISDN一次群速率接口PRIPacketoverSDH接口STM/SOV.35接口V.35槽位號：板卡所處的凹槽號，為1位數(shù)字，根據(jù)該設(shè)備廠商的槽位編號規(guī)則確定該槽位號。對于沒有槽位的簡單設(shè)備，該序號可省略。適配卡序號：適配卡序號為1位數(shù)字，適用于一個凹槽中插有多塊適配卡的設(shè)備。根據(jù)該設(shè)備廠商對同一槽位中適配卡編號規(guī)則確定該適配卡序號。對于沒有適配卡的簡單設(shè)備，該序號可省略。端口序號：端口序號為≤2位數(shù)字，同一板卡上的端口按照廠商編號規(guī)則進(jìn)行排序。多機(jī)框設(shè)備端口命名規(guī)范[網(wǎng)元設(shè)備名稱]端口類型-機(jī)框號/適配卡號/端口序號符號字符字符字符字符字符數(shù)字字符數(shù)字字符數(shù)字字符數(shù)1≤25（大寫字母）1≤5（大寫字母）11111≤2網(wǎng)元設(shè)備名稱：設(shè)備端口所屬設(shè)備的名稱（按照網(wǎng)元設(shè)備命名規(guī)則命名的名稱）；“[”，“]”,“-”，“/”：連接符。端口類型：參見單體化設(shè)備端口命名規(guī)范；機(jī)框號：板卡所屬機(jī)框的編號（根據(jù)設(shè)備廠商的編號規(guī)則）；適配卡號：參見單體化設(shè)備端口命名規(guī)范；端口序號：參見單體化設(shè)備端口命名規(guī)范；典型設(shè)備端口命名示例單體化設(shè)備端口的命名示例：廣東DSMP路由器：第0槽位第1塊板卡的第一個快速以太網(wǎng)端口[GDGZ-PB-RT001-DSMP]FE-0/1/1廣東DSMP交換機(jī)：第6個千兆以太網(wǎng)端口[GDGZ-PB-SW001-DSMP]GE-6多機(jī)框設(shè)備端口的命名示例：廣東廣州CMNET某臺服務(wù)器二號機(jī)框的第二塊RPU板的第一個E1接口：[GDGZ-PA-SV001-CMNET]E1-2/2/0設(shè)備運(yùn)行軟件版本建議序號設(shè)備型號類別部署位置推薦版本備注DPFW1000-TE-N防火墻出口層需要廠家推薦并且升級至對應(yīng)版本華為E8000E-x8防火墻匯聚層天融信TopSentry3000TS-82380-T入侵檢測匯聚層深信服AF-6020防火墻匯聚層中興M6000-5S路由器出口層華為S9312E交換機(jī)核心層思科N5596交換機(jī)接入層思科N7710交換機(jī)匯聚層烽火S5800交換機(jī)接入層F5-BIG-LTM-10000負(fù)載均衡匯聚層BIG-IP11.5.1BuildHotfix4瑞斯康達(dá)ISCOM3048G-4C交換機(jī)接入層Ip地址規(guī)劃原則體系化編址體系化其實(shí)就是結(jié)構(gòu)化、組織化，根據(jù)具體需求和組織結(jié)構(gòu)為原則對整個網(wǎng)絡(luò)地址進(jìn)行有條理的規(guī)劃。一般這個規(guī)劃的過程是由大局、整體著眼，然后逐級由大到小分割、劃分的；從網(wǎng)絡(luò)總體來說，體系化編制由于相鄰或者具有相同服務(wù)性質(zhì)的主機(jī)或辦公群落都在IP地址上也是連續(xù)的，這樣在各個區(qū)塊的邊界路由設(shè)備上便于進(jìn)行有效的路由匯總，使整個網(wǎng)絡(luò)的結(jié)構(gòu)清晰，路由信息明確，也能減小路由器中的路由表。而每個區(qū)域的地址與其他的區(qū)域地址相對獨(dú)立，也便于獨(dú)立的靈活管理；針對南方基地公眾云的相關(guān)地址約定進(jìn)行編制分配，具體如下：管理網(wǎng)IP地址分配約定私網(wǎng)IP地址分配約定公網(wǎng)IP地址分配約定

公眾云管理網(wǎng)實(shí)施方案管理網(wǎng)網(wǎng)絡(luò)架構(gòu)圖二層網(wǎng)絡(luò)部署設(shè)計管理網(wǎng)生成樹設(shè)計目前規(guī)劃劃分3個實(shí)例;設(shè)備網(wǎng)關(guān)實(shí)例設(shè)備互聯(lián)實(shí)例剩余實(shí)例實(shí)例ID實(shí)例描述實(shí)例包含vlan1設(shè)備網(wǎng)關(guān)實(shí)例40-69，130-1992設(shè)備互聯(lián)實(shí)例10-39，70-1293剩余實(shí)例1-9，200-4096設(shè)備配置廠家配置指令華為（共4臺S9312E交換機(jī)）MSTP烽火（共45臺S5800-52T-SE交換機(jī)）瑞斯康達(dá)(共60臺ISCOM3048G-4C交換機(jī))DMZ區(qū)域部署架構(gòu)圖DMZ區(qū)域部署架構(gòu)概述DMZ區(qū)匯聚/接入交換機(jī)部署概述本次管理DMZ區(qū)域使用華為的S9312E做該區(qū)域的匯聚交換機(jī)，在邏輯上使用2×10GE的線路利用華為的CSS（ClusterSwitchSystem）堆疊功能將物理上的2臺匯聚交換機(jī)虛擬成一臺匯聚交換機(jī)；DMZ區(qū)域的接入交換機(jī)使用4臺烽火交換機(jī)S5800-52T-S，每兩臺烽火接入交換機(jī)用硬件堆疊卡和堆疊電纜實(shí)現(xiàn)設(shè)備堆疊；DMZ區(qū)域的每臺接入交換機(jī)1×10GE雙上行至匯聚交換機(jī)S9312E，由于匯聚交換機(jī)做了堆疊，該上行端口使用端口捆綁技術(shù)互聯(lián)；DMZ區(qū)共32臺管理域一般服務(wù)器，每臺服務(wù)器雙網(wǎng)卡上行至2臺歸屬的接入交換機(jī)上，服務(wù)器網(wǎng)卡采取捆綁模式bondmod1；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D2管理域DMZ匯聚交換機(jī)-1xg0/0/0管理域DMZ匯聚交換機(jī)-2505機(jī)房E2xg0/0/0xg0/0/6管理域DMZ區(qū)接入交換機(jī)1505機(jī)房C710xg0/0/7管理域DMZ區(qū)接入交換機(jī)2505機(jī)房C811xg1/0/0管理域DMZ匯聚交換機(jī)-2505機(jī)房E2xg1/0/0xg1/0/6管理域DMZ區(qū)接入交換機(jī)3505機(jī)房C1012xg1/0/7管理域DMZ區(qū)接入交換機(jī)4505機(jī)房C1113505機(jī)房E2管理域DMZ匯聚交換機(jī)-2xg0/0/0管理域DMZ匯聚交換機(jī)-1505機(jī)房D2xg0/0/0xg0/0/6管理域DMZ區(qū)接入交換機(jī)1505機(jī)房C710xg0/0/7管理域DMZ區(qū)接入交換機(jī)2505機(jī)房C811xg1/0/0管理域DMZ匯聚交換機(jī)-1505機(jī)房D2xg1/0/0xg1/0/6管理域DMZ區(qū)接入交換機(jī)3505機(jī)房C1012xg1/0/7管理域DMZ區(qū)接入交換機(jī)4505機(jī)房C1113設(shè)備配置華為CSS堆疊配置DMZ匯聚交換機(jī)S9312E-1DMZ匯聚交換機(jī)S9312E-2#S9300-1的集群ID默認(rèn)為1，配置集群連接方式為LPU。system-viewsysnameNFJD-PSC-M-S9312-3setcssmodelpu#配置集群端口和集群物理成員端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable#配置S9300-2的集群ID為2，集群連接方式為LPU。system-viewsysnameNFJD-PSC-M-S9312-4setcssid2setcssmodelpu#配置集群端口和集群物理成員端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable與烽火S5800接入交換機(jī)端口捆綁配置舉例DMZ匯聚交換機(jī)S9312E-1/2接入交換機(jī)S5800-52T-Strunk允許vlan40-49interfaceeth-trunk10modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/6eth-trunk10quitinterfacegigabitethernet2/0/0/6eth-trunk10quittrunk允許vlan40-49DMZ區(qū)防火墻部署概述本次建設(shè)DMZ區(qū)域防火墻使用2臺迪普FW1000-TE-N防火墻，兩臺防火墻部署為主備模式，每臺防火墻分別1×10GE互聯(lián)至兩臺匯聚交換機(jī)上，由于交換機(jī)做了堆疊，每臺防火墻互聯(lián)匯聚交換機(jī)端口均做端口捆綁；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D2管理域DMZ匯聚交換機(jī)-1xg0/0/4管理域DMZ區(qū)防火墻1505機(jī)房D48xg1/0/4管理域DMZ區(qū)防火墻2505機(jī)房E49505機(jī)房E2管理域DMZ匯聚交換機(jī)-2xg0/0/4管理域DMZ區(qū)防火墻1505機(jī)房D48xg1/0/4管理域DMZ區(qū)防火墻2505機(jī)房E49505機(jī)房D4管理域DMZ區(qū)防火墻1電口管理域DMZ區(qū)防火墻2505機(jī)房E4設(shè)備配置管理域DMZ區(qū)防火墻熱備配置管理域DMZ區(qū)防火墻1管理域DMZ區(qū)防火墻2hotbackuphotb_typeadvanced//設(shè)置雙機(jī)熱備類型為高級雙機(jī)熱備。sync_portgige0_1//指定配置同步接口，用于雙機(jī)配置的同步sync_neigh_ip//指定對端IP地址，通過此IP進(jìn)行配置同步。heart_ifnamegige0_1//指定心跳接口，用于傳送心跳報文。session_sync//會話同步開啟后，主機(jī)會話將同步到備機(jī)。hotbackuphotb_typeadvanced//設(shè)置雙機(jī)熱備類型為高級雙機(jī)熱備。sync_portgige0_1//指定配置同步接口，用于雙機(jī)配置的同步sync_neigh_ip//指定對端IP地址，通過此IP進(jìn)行配置同步。heart_ifnamegige0_1//指定心跳接口，用于傳送心跳報文。session_sync//會話同步開啟后，主機(jī)會話將同步到備機(jī)。端口捆綁配置管理域DMZ匯聚交換機(jī)-1/2管理域DMZ區(qū)防火墻1管理域DMZ區(qū)防火墻2允許trunk10-18，29，30interfaceeth-trunk8modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/4eth-trunk8quitinterfacegigabitethernet2/0/0/4eth-trunk8quitinterfaceeth-trunk9modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/1/0/4eth-trunk9quitinterfacegigabitethernet2/1/0/4eth-trunk9quit允許trunk10-18，29，30link-aggregation8modestaticlink-aggregation8interfacegige0_0link-aggregation8interfacegige0_1允許trunk10-18，29，30link-aggregation9modestaticlink-aggregation9interfacegige0_0link-aggregation9interfacegige0_1DMZ區(qū)IDS入侵檢測部署概述本次建設(shè)DMZ區(qū)域防火墻使用2臺天融信IDS入侵檢測TopSentry3000TS-82380-T，兩臺IDS入侵檢測部署為同時使用，每臺IDS入侵檢測分別1×10GE互聯(lián)至兩臺匯聚交換機(jī)上，由于交換機(jī)做了堆疊，每臺IDS入侵檢測互聯(lián)匯聚交換機(jī)端口均做端口捆綁；目前規(guī)劃鏡像的流量為南北流量，即鏡像源為：在匯聚交換機(jī)上監(jiān)控互聯(lián)防火墻的出口端口流量至IDS設(shè)備端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D2管理域DMZ匯聚交換機(jī)-1xg0/0/3管理域IDS入侵檢測1505機(jī)房D415xg1/0/3管理域IDS入侵檢測2505機(jī)房E516505機(jī)房E2管理域DMZ匯聚交換機(jī)-2xg0/0/3管理域IDS入侵檢測1505機(jī)房D415xg1/0/3管理域IDS入侵檢測2505機(jī)房E516設(shè)備配置端口捆綁配置管理域DMZ匯聚交換機(jī)-1/2管理域IDS入侵檢測1管理域IDS入侵檢測2interfaceeth-trunk15modelacplocal-preferenceenableportlink-typeaccessquitinterfacegigabitethernet1/0/0/3eth-trunk15quitinterfacegigabitethernet2/0/0/3eth-trunk15quitinterfaceeth-trunk16modelacplocal-preferenceenableportlink-typeaccessquitinterfacegigabitethernet1/1/0/3eth-trunk16quitinterfacegigabitethernet2/1/0/3eth-trunk16quit鏡像配置，需要做鏡像捆綁端口eth-trunk8DMZ區(qū)WEB應(yīng)用防火墻部署概述本次建設(shè)DMZ區(qū)域防火墻使用2臺深信服WEB應(yīng)用防火墻AF-6020，兩臺WEB應(yīng)用防火墻部署為主備模式，每臺WEB應(yīng)用防火墻分別1×10GE互聯(lián)至兩臺匯聚交換機(jī)上，由于交換機(jī)做了堆疊，每臺WEB應(yīng)用防火墻互聯(lián)匯聚交換機(jī)端口均做端口捆綁；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D2管理域DMZ匯聚交換機(jī)-1xg0/0/2管理域WEB應(yīng)用防火墻1505機(jī)房D24xg1/0/2管理域WEB應(yīng)用防火墻2505機(jī)房E25505機(jī)房E2管理域DMZ匯聚交換機(jī)-2xg0/0/2管理域WEB應(yīng)用防火墻1505機(jī)房D24xg1/0/2管理域WEB應(yīng)用防火墻2505機(jī)房E25設(shè)備配置管理域DMZ區(qū)WEB應(yīng)用防火墻熱備配置WEB應(yīng)用防火墻1WEB應(yīng)用防火墻2端口捆綁配置管理域DMZ匯聚交換機(jī)-1/2WEB應(yīng)用防火墻1WEB應(yīng)用防火墻2允許trunkvlan30interfaceeth-trunk4modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/2eth-trunk4quitinterfacegigabitethernet2/0/0/2eth-trunk4quitinterfaceeth-trunk5modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/1/0/2eth-trunk5quitinterfacegigabitethernet2/1/0/2eth-trunk5quitDMZ區(qū)F5負(fù)載均衡部署概述本次建設(shè)DMZ區(qū)域防火墻使用2臺F5-BIG-LTM-10000的負(fù)載均衡設(shè)備，兩臺負(fù)載均衡設(shè)備部署為主備模式，每臺負(fù)載均衡設(shè)備分別1×10GE互聯(lián)至兩臺匯聚交換機(jī)上，由于交換機(jī)做了堆疊，每臺負(fù)載均衡設(shè)備互聯(lián)匯聚交換機(jī)端口均做端口捆綁；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D2管理域DMZ匯聚交換機(jī)-1xg0/0/1管理域DMZ區(qū)負(fù)載均衡器1505機(jī)房D82xg1/0/1管理域DMZ區(qū)負(fù)載均衡器2505機(jī)房E83505機(jī)房E2管理域DMZ匯聚交換機(jī)-2xg0/0/1管理域DMZ區(qū)負(fù)載均衡器1505機(jī)房D82xg1/0/1管理域DMZ區(qū)負(fù)載均衡器2505機(jī)房E83設(shè)備配置DMZ區(qū)負(fù)載均衡器熱備配置DMZ區(qū)負(fù)載均衡器1DMZ區(qū)負(fù)載均衡器2端口捆綁配置管理域DMZ匯聚交換機(jī)-1/2DMZ區(qū)負(fù)載均衡器1DMZ區(qū)負(fù)載均衡器2允許trunkvlan40-49interfaceeth-trunk2modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/1eth-trunk2quitinterfacegigabitethernet2/0/0/1eth-trunk2quitinterfaceeth-trunk3modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/1/0/1eth-trunk3quitinterfacegigabitethernet2/1/0/1eth-trunk3quitDMZ區(qū)負(fù)載均衡器2配置和DMZ區(qū)負(fù)載均衡器1相同核心區(qū)域部署架構(gòu)圖核心區(qū)域部署架構(gòu)概述核心區(qū)核心/接入交換機(jī)部署概述本次改造，新增2臺交換機(jī)華為S9312E用于充當(dāng)管理網(wǎng)核心區(qū)核心交換機(jī)，這兩臺交換機(jī)在邏輯上使用2×10GE的線路利用華為的CSS（ClusterSwitchSystem）堆疊功能將物理上的2臺核心交換機(jī)虛擬成一臺核心交換機(jī)；原有管理網(wǎng)匯聚交換機(jī)C4510下掛的C2960交換機(jī)仍與其互聯(lián)，并且將C4510與新增的核心交換機(jī)S9312E進(jìn)行對接，每臺C4510分別采用2×10GE的線路兩兩交叉互聯(lián)；本次管理網(wǎng)新增了60臺管理接入交換機(jī)；其中16臺為烽火交換機(jī)用于管理域業(yè)務(wù)接入交換機(jī)，44臺為瑞思達(dá)交換機(jī)用于業(yè)務(wù)域管理接入交換機(jī)；此60臺交換機(jī)中每臺分別與新增的2臺核心交換機(jī)S9312E1×10GE互聯(lián)；由于2臺核心交換機(jī)形成堆疊，故與下聯(lián)每臺管理接入交換機(jī)其鏈路做鏈路捆綁；本次管理網(wǎng)新增了27臺管理IPMI接入交換機(jī)；其中烽火交換機(jī)12臺：5臺為用于管理域業(yè)務(wù)接入交換機(jī)，7臺為烽火交換機(jī)用于業(yè)務(wù)域管理接入交換機(jī)；瑞思康達(dá)交換機(jī)15臺，其用于業(yè)務(wù)域管理接入交換機(jī)；此27臺交換機(jī)中每臺分別與新增的2臺匯聚交換機(jī)S9312E1×10GE互聯(lián)；由于2臺核心交換機(jī)形成堆疊，故與下聯(lián)每臺管理接入交換機(jī)其鏈路做鏈路捆綁；管理域共180臺服務(wù)器，除了DMZ區(qū)共32臺管理域一般服務(wù)器之外，另外148臺服務(wù)器為核心生產(chǎn)區(qū)及內(nèi)部互聯(lián)區(qū)使用，包括138臺管理域一般服務(wù)器和10臺管理域數(shù)據(jù)庫型服務(wù)器。每臺服務(wù)器4張網(wǎng)卡上行至2臺歸屬的接入交換機(jī)上，服務(wù)器網(wǎng)卡采取捆綁模式bondmod1并做成2個bond接口；該2個bond接口其中一個接口用來走管理業(yè)務(wù)流量，另一個接口用來走管理流量；故服務(wù)器在對接歸屬的交換機(jī)時，交換機(jī)前24個接口用于接管理流量，后24個接口用于接管理業(yè)務(wù)流量；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D3管理核心交換機(jī)-1xg0/0/0管理核心交換機(jī)-2505機(jī)房E3xg0/0/0xg0/0/11管理域業(yè)務(wù)接入交換機(jī)1505機(jī)房A311xg0/0/12管理域業(yè)務(wù)接入交換機(jī)2505機(jī)房A412xg0/0/13管理域業(yè)務(wù)接入交換機(jī)3505機(jī)房B313xg0/0/14管理域業(yè)務(wù)接入交換機(jī)4505機(jī)房B414xg0/0/15管理域業(yè)務(wù)接入交換機(jī)5505機(jī)房B515xg1/0/0管理核心交換機(jī)-2xg1/0/0xg1/0/10管理域業(yè)務(wù)接入交換機(jī)6505機(jī)房B616xg1/0/11管理域業(yè)務(wù)接入交換機(jī)7505機(jī)房B717xg1/0/12管理域業(yè)務(wù)接入交換機(jī)8505機(jī)房B1018xg1/0/13管理域業(yè)務(wù)接入交換機(jī)9505機(jī)房B1119xg1/0/14管理域業(yè)務(wù)接入交換機(jī)10505機(jī)房B1220xg1/0/15管理域業(yè)務(wù)接入交換機(jī)11505機(jī)房C121xg2/0/0管理域業(yè)務(wù)接入交換機(jī)12505機(jī)房C222xg2/0/1管理域業(yè)務(wù)接入交換機(jī)13505機(jī)房C323xg2/0/2管理域業(yè)務(wù)接入交換機(jī)14505機(jī)房C424xg2/0/3管理域業(yè)務(wù)接入交換機(jī)15505機(jī)房C425xg2/0/4管理域業(yè)務(wù)接入交換機(jī)16505機(jī)房C726xg2/0/5管理域IPMI接入交換機(jī)1505機(jī)房A327xg2/0/6管理域IPMI接入交換機(jī)2505機(jī)房B528xg2/0/7管理域IPMI接入交換機(jī)3505機(jī)房B729xg2/0/8管理域IPMI接入交換機(jī)4505機(jī)房C230xg2/0/9管理域IPMI接入交換機(jī)5505機(jī)房C931xg2/0/10業(yè)務(wù)域管理接入交換機(jī)1505機(jī)房F332xg2/0/11業(yè)務(wù)域管理接入交換機(jī)2505機(jī)房F433xg2/0/12業(yè)務(wù)域管理接入交換機(jī)3505機(jī)房F1134xg2/0/13業(yè)務(wù)域管理接入交換機(jī)4505機(jī)房F1235xg2/0/14業(yè)務(wù)域管理接入交換機(jī)5505機(jī)房G336xg2/0/15業(yè)務(wù)域管理接入交換機(jī)6505機(jī)房G437xg3/0/0業(yè)務(wù)域管理接入交換機(jī)7505機(jī)房G1138xg3/0/1業(yè)務(wù)域管理接入交換機(jī)8505機(jī)房G1239xg3/0/2業(yè)務(wù)域管理接入交換機(jī)9505機(jī)房H340xg3/0/3業(yè)務(wù)域管理接入交換機(jī)10505機(jī)房H441xg3/0/4業(yè)務(wù)域管理接入交換機(jī)11505機(jī)房I342xg3/0/5業(yè)務(wù)域管理接入交換機(jī)12505機(jī)房I443xg3/0/6業(yè)務(wù)域管理接入交換機(jī)13505機(jī)房I1144xg3/0/7業(yè)務(wù)域管理接入交換機(jī)14505機(jī)房I1245xg3/0/8業(yè)務(wù)域管理接入交換機(jī)15505機(jī)房J146xg3/0/9業(yè)務(wù)域管理接入交換機(jī)16505機(jī)房J247xg3/0/10業(yè)務(wù)域管理接入交換機(jī)17505機(jī)房J848xg3/0/11業(yè)務(wù)域管理接入交換機(jī)18505機(jī)房J949xg3/0/12業(yè)務(wù)域管理接入交換機(jī)19505機(jī)房K250xg3/0/13業(yè)務(wù)域管理接入交換機(jī)20505機(jī)房K351xg3/0/14業(yè)務(wù)域管理接入交換機(jī)21505機(jī)房K752xg3/0/15業(yè)務(wù)域管理接入交換機(jī)22505機(jī)房K853xg4/0/0業(yè)務(wù)域管理接入交換機(jī)23505機(jī)房L354xg4/0/1業(yè)務(wù)域管理接入交換機(jī)24505機(jī)房L455xg4/0/2業(yè)務(wù)域管理接入交換機(jī)25505機(jī)房L1156xg4/0/3業(yè)務(wù)域管理接入交換機(jī)26505機(jī)房L1257xg4/0/4業(yè)務(wù)域管理接入交換機(jī)27505機(jī)房M358xg4/0/5業(yè)務(wù)域管理接入交換機(jī)28505機(jī)房M459xg4/0/6業(yè)務(wù)域管理接入交換機(jī)29505機(jī)房M1160xg4/0/7業(yè)務(wù)域管理接入交換機(jī)30505機(jī)房M1261xg4/0/8業(yè)務(wù)域管理接入交換機(jī)31505機(jī)房N662xg4/0/9業(yè)務(wù)域管理接入交換機(jī)32505機(jī)房N763xg4/0/10業(yè)務(wù)域管理接入交換機(jī)33505機(jī)房N364xg4/0/11業(yè)務(wù)域管理接入交換機(jī)34505機(jī)房N465xg4/0/12業(yè)務(wù)域管理接入交換機(jī)35505機(jī)房O366xg4/0/13業(yè)務(wù)域管理接入交換機(jī)36505機(jī)房O467xg4/0/14業(yè)務(wù)域管理接入交換機(jī)37505機(jī)房O968xg4/0/15業(yè)務(wù)域管理接入交換機(jī)38505機(jī)房O1069xg5/0/0業(yè)務(wù)域管理接入交換機(jī)39505機(jī)房P370xg5/0/1業(yè)務(wù)域管理接入交換機(jī)40505機(jī)房P471xg5/0/2業(yè)務(wù)域管理接入交換機(jī)41505機(jī)房P772xg5/0/3業(yè)務(wù)域管理接入交換機(jī)42505機(jī)房P873xg5/0/4業(yè)務(wù)域管理接入交換機(jī)43505機(jī)房Q374xg5/0/5業(yè)務(wù)域管理接入交換機(jī)44505機(jī)房Q475xg5/0/6業(yè)務(wù)域IPMI接入交換機(jī)1505機(jī)房F576xg5/0/7業(yè)務(wù)域IPMI接入交換機(jī)2505機(jī)房F1177xg5/0/8業(yè)務(wù)域IPMI接入交換機(jī)3505機(jī)房G578xg5/0/9業(yè)務(wù)域IPMI接入交換機(jī)4505機(jī)房G1179xg5/0/10業(yè)務(wù)域IPMI接入交換機(jī)5505機(jī)房H580xg5/0/11業(yè)務(wù)域IPMI接入交換機(jī)6505機(jī)房I581xg5/0/12業(yè)務(wù)域IPMI接入交換機(jī)7505機(jī)房I1182xg5/0/13業(yè)務(wù)域IPMI接入交換機(jī)8505機(jī)房J383xg5/0/14業(yè)務(wù)域IPMI接入交換機(jī)9505機(jī)房J884xg5/0/15業(yè)務(wù)域IPMI接入交換機(jī)10505機(jī)房K285xg6/0/0業(yè)務(wù)域IPMI接入交換機(jī)11505機(jī)房K986xg6/0/1業(yè)務(wù)域IPMI接入交換機(jī)12505機(jī)房L587xg6/0/2業(yè)務(wù)域IPMI接入交換機(jī)13505機(jī)房L1188xg6/0/3業(yè)務(wù)域IPMI接入交換機(jī)14505機(jī)房M589xg6/0/4業(yè)務(wù)域IPMI接入交換機(jī)15505機(jī)房M1190xg6/0/5業(yè)務(wù)域IPMI接入交換機(jī)16505機(jī)房N691xg6/0/6業(yè)務(wù)域IPMI接入交換機(jī)17505機(jī)房N592xg6/0/7業(yè)務(wù)域IPMI接入交換機(jī)18505機(jī)房O593xg6/0/8業(yè)務(wù)域IPMI接入交換機(jī)19505機(jī)房O1094xg6/0/9業(yè)務(wù)域IPMI接入交換機(jī)20505機(jī)房P595xg6/0/10業(yè)務(wù)域IPMI接入交換機(jī)21505機(jī)房P796xg6/0/11業(yè)務(wù)域IPMI接入交換機(jī)22505機(jī)房Q597505機(jī)房E3管理核心交換機(jī)-1xg0/0/0管理核心交換機(jī)-2505機(jī)房D3xg0/0/0xg0/0/11管理域業(yè)務(wù)接入交換機(jī)1505機(jī)房A311xg0/0/12管理域業(yè)務(wù)接入交換機(jī)2505機(jī)房A412xg0/0/13管理域業(yè)務(wù)接入交換機(jī)3505機(jī)房B313xg0/0/14管理域業(yè)務(wù)接入交換機(jī)4505機(jī)房B414xg0/0/15管理域業(yè)務(wù)接入交換機(jī)5505機(jī)房B515xg1/0/0管理核心交換機(jī)-1xg1/0/0xg1/0/10管理域業(yè)務(wù)接入交換機(jī)6505機(jī)房B616xg1/0/11管理域業(yè)務(wù)接入交換機(jī)7505機(jī)房B717xg1/0/12管理域業(yè)務(wù)接入交換機(jī)8505機(jī)房B1018xg1/0/13管理域業(yè)務(wù)接入交換機(jī)9505機(jī)房B1119xg1/0/14管理域業(yè)務(wù)接入交換機(jī)10505機(jī)房B1220xg1/0/15管理域業(yè)務(wù)接入交換機(jī)11505機(jī)房C121xg2/0/0管理域業(yè)務(wù)接入交換機(jī)12505機(jī)房C222xg2/0/1管理域業(yè)務(wù)接入交換機(jī)13505機(jī)房C323xg2/0/2管理域業(yè)務(wù)接入交換機(jī)14505機(jī)房C424xg2/0/3管理域業(yè)務(wù)接入交換機(jī)15505機(jī)房C425xg2/0/4管理域業(yè)務(wù)接入交換機(jī)16505機(jī)房C726xg2/0/5管理域IPMI接入交換機(jī)1505機(jī)房A327xg2/0/6管理域IPMI接入交換機(jī)2505機(jī)房B528xg2/0/7管理域IPMI接入交換機(jī)3505機(jī)房B729xg2/0/8管理域IPMI接入交換機(jī)4505機(jī)房C230xg2/0/9管理域IPMI接入交換機(jī)5505機(jī)房C931xg2/0/10業(yè)務(wù)域管理接入交換機(jī)1505機(jī)房F332xg2/0/11業(yè)務(wù)域管理接入交換機(jī)2505機(jī)房F433xg2/0/12業(yè)務(wù)域管理接入交換機(jī)3505機(jī)房F1134xg2/0/13業(yè)務(wù)域管理接入交換機(jī)4505機(jī)房F1235xg2/0/14業(yè)務(wù)域管理接入交換機(jī)5505機(jī)房G336xg2/0/15業(yè)務(wù)域管理接入交換機(jī)6505機(jī)房G437xg3/0/0業(yè)務(wù)域管理接入交換機(jī)7505機(jī)房G1138xg3/0/1業(yè)務(wù)域管理接入交換機(jī)8505機(jī)房G1239xg3/0/2業(yè)務(wù)域管理接入交換機(jī)9505機(jī)房H340xg3/0/3業(yè)務(wù)域管理接入交換機(jī)10505機(jī)房H441xg3/0/4業(yè)務(wù)域管理接入交換機(jī)11505機(jī)房I342xg3/0/5業(yè)務(wù)域管理接入交換機(jī)12505機(jī)房I443xg3/0/6業(yè)務(wù)域管理接入交換機(jī)13505機(jī)房I1144xg3/0/7業(yè)務(wù)域管理接入交換機(jī)14505機(jī)房I1245xg3/0/8業(yè)務(wù)域管理接入交換機(jī)15505機(jī)房J146xg3/0/9業(yè)務(wù)域管理接入交換機(jī)16505機(jī)房J247xg3/0/10業(yè)務(wù)域管理接入交換機(jī)17505機(jī)房J848xg3/0/11業(yè)務(wù)域管理接入交換機(jī)18505機(jī)房J949xg3/0/12業(yè)務(wù)域管理接入交換機(jī)19505機(jī)房K250xg3/0/13業(yè)務(wù)域管理接入交換機(jī)20505機(jī)房K351xg3/0/14業(yè)務(wù)域管理接入交換機(jī)21505機(jī)房K752xg3/0/15業(yè)務(wù)域管理接入交換機(jī)22505機(jī)房K853xg4/0/0業(yè)務(wù)域管理接入交換機(jī)23505機(jī)房L354xg4/0/1業(yè)務(wù)域管理接入交換機(jī)24505機(jī)房L455xg4/0/2業(yè)務(wù)域管理接入交換機(jī)25505機(jī)房L1156xg4/0/3業(yè)務(wù)域管理接入交換機(jī)26505機(jī)房L1257xg4/0/4業(yè)務(wù)域管理接入交換機(jī)27505機(jī)房M358xg4/0/5業(yè)務(wù)域管理接入交換機(jī)28505機(jī)房M459xg4/0/6業(yè)務(wù)域管理接入交換機(jī)29505機(jī)房M1160xg4/0/7業(yè)務(wù)域管理接入交換機(jī)30505機(jī)房M1261xg4/0/8業(yè)務(wù)域管理接入交換機(jī)31505機(jī)房N662xg4/0/9業(yè)務(wù)域管理接入交換機(jī)32505機(jī)房N763xg4/0/10業(yè)務(wù)域管理接入交換機(jī)33505機(jī)房N364xg4/0/11業(yè)務(wù)域管理接入交換機(jī)34505機(jī)房N465xg4/0/12業(yè)務(wù)域管理接入交換機(jī)35505機(jī)房O366xg4/0/13業(yè)務(wù)域管理接入交換機(jī)36505機(jī)房O467xg4/0/14業(yè)務(wù)域管理接入交換機(jī)37505機(jī)房O968xg4/0/15業(yè)務(wù)域管理接入交換機(jī)38505機(jī)房O1069xg5/0/0業(yè)務(wù)域管理接入交換機(jī)39505機(jī)房P370xg5/0/1業(yè)務(wù)域管理接入交換機(jī)40505機(jī)房P471xg5/0/2業(yè)務(wù)域管理接入交換機(jī)41505機(jī)房P772xg5/0/3業(yè)務(wù)域管理接入交換機(jī)42505機(jī)房P873xg5/0/4業(yè)務(wù)域管理接入交換機(jī)43505機(jī)房Q374xg5/0/5業(yè)務(wù)域管理接入交換機(jī)44505機(jī)房Q475xg5/0/6業(yè)務(wù)域IPMI接入交換機(jī)1505機(jī)房F576xg5/0/7業(yè)務(wù)域IPMI接入交換機(jī)2505機(jī)房F1177xg5/0/8業(yè)務(wù)域IPMI接入交換機(jī)3505機(jī)房G578xg5/0/9業(yè)務(wù)域IPMI接入交換機(jī)4505機(jī)房G1179xg5/0/10業(yè)務(wù)域IPMI接入交換機(jī)5505機(jī)房H580xg5/0/11業(yè)務(wù)域IPMI接入交換機(jī)6505機(jī)房I581xg5/0/12業(yè)務(wù)域IPMI接入交換機(jī)7505機(jī)房I1182xg5/0/13業(yè)務(wù)域IPMI接入交換機(jī)8505機(jī)房J383xg5/0/14業(yè)務(wù)域IPMI接入交換機(jī)9505機(jī)房J884xg5/0/15業(yè)務(wù)域IPMI接入交換機(jī)10505機(jī)房K285xg6/0/0業(yè)務(wù)域IPMI接入交換機(jī)11505機(jī)房K986xg6/0/1業(yè)務(wù)域IPMI接入交換機(jī)12505機(jī)房L587xg6/0/2業(yè)務(wù)域IPMI接入交換機(jī)13505機(jī)房L1188xg6/0/3業(yè)務(wù)域IPMI接入交換機(jī)14505機(jī)房M589xg6/0/4業(yè)務(wù)域IPMI接入交換機(jī)15505機(jī)房M1190xg6/0/5業(yè)務(wù)域IPMI接入交換機(jī)16505機(jī)房N691xg6/0/6業(yè)務(wù)域IPMI接入交換機(jī)17505機(jī)房N592xg6/0/7業(yè)務(wù)域IPMI接入交換機(jī)18505機(jī)房O593xg6/0/8業(yè)務(wù)域IPMI接入交換機(jī)19505機(jī)房O1094xg6/0/9業(yè)務(wù)域IPMI接入交換機(jī)20505機(jī)房P595xg6/0/10業(yè)務(wù)域IPMI接入交換機(jī)21505機(jī)房P796xg6/0/11業(yè)務(wù)域IPMI接入交換機(jī)22505機(jī)房Q597設(shè)備配置華為CSS堆疊配置核心交換機(jī)S9312E-1核心交換機(jī)S9312E-2#S9300-1的集群ID默認(rèn)為1，配置集群連接方式為LPU。system-viewsysnameNFJD-PSC-M-S9312-1setcssmodelpu#配置集群端口和集群物理成員端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable#配置S9300-2的集群ID為2，集群連接方式為LPU。system-viewsysnameNFJD-PSC-M-S9312-2setcssid2setcssmodelpu#配置集群端口和集群物理成員端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable端口捆綁配置舉例核心交換機(jī)S9312E-1/2烽火接入交換機(jī)S5800-52T-S瑞思康達(dá)接入交換機(jī)ISCOM3048G-4C允許trunkvlan130-150interfaceeth-trunk11modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/11eth-trunk11quitinterfacegigabitethernet2/0/0/11eth-trunk11quit允許trunkvlan130-150允許trunkvlan130-150核心區(qū)防火墻部署概述本次建設(shè)核心區(qū)域防火墻使用2臺華為E8000E-X8防火墻，兩臺防火墻部署為主備模式，每臺防火墻分別1×10GE互聯(lián)至兩臺核心交換機(jī)上，由于交換機(jī)做了堆疊，每臺防火墻互聯(lián)核心交換機(jī)端口均做端口捆綁；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D3管理核心交換機(jī)-1xg0/0/6管理域防火墻-1505機(jī)房D11xg0/0/7xg0/0/8管理域防火墻-2505機(jī)房E12xg0/0/9xg1/0/5管理域防火墻-1505機(jī)房D11xg1/0/6xg1/0/7管理域防火墻-2505機(jī)房E12xg1/0/8505機(jī)房E3管理核心交換機(jī)-2xg0/0/6管理域防火墻-1505機(jī)房D11xg0/0/7xg0/0/8管理域防火墻-2505機(jī)房E12xg0/0/9xg1/0/5管理域防火墻-1505機(jī)房D11xg1/0/6xg1/0/7管理域防火墻-2505機(jī)房E12xg1/0/8設(shè)備配置核心區(qū)防火墻熱備配置管理域防火墻-1管理域防火墻-2端口捆綁配置管理核心交換機(jī)-1/2管理域防火墻-1管理域防火墻-2允許trunkvlan19-27，70-88interfaceeth-trunk1modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/6eth-trunk1quitinterfacegigabitethernet1/0/0/7eth-trunk1quitinterfacegigabitethernet1/1/0/5eth-trunk1quitinterfacegigabitethernet1/1/0/6eth-trunk1quitinterfacegigabitethernet2/0/0/6eth-trunk1quitinterfacegigabitethernet2/0/0/7eth-trunk1quitinterfacegigabitethernet2/1/0/5eth-trunk1quitinterfacegigabitethernet2/1/0/6eth-trunk1quitinterfaceeth-trunk2modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/8eth-trunk2quitinterfacegigabitethernet1/0/0/9eth-trunk2quitinterfacegigabitethernet1/1/0/7eth-trunk2quitinterfacegigabitethernet1/1/0/8eth-trunk2quitinterfacegigabitethernet2/0/0/8eth-trunk2quitinterfacegigabitethernet2/0/0/9eth-trunk2quitinterfacegigabitethernet2/1/0/7eth-trunk2quitinterfacegigabitethernet2/1/0/8eth-trunk2quit核心區(qū)漏洞掃描部署概述本次建設(shè)核心區(qū)域新增一臺系統(tǒng)漏洞掃描設(shè)備，為安拓RJ-iTopIIIYX，該系統(tǒng)漏洞掃描設(shè)備分別1×GE互聯(lián)至兩臺核心交換機(jī)上，由于交換機(jī)做了堆疊，互聯(lián)核心交換機(jī)端口均做端口捆綁；由于該設(shè)備需要掃描管理網(wǎng)所有服務(wù)器并且管理網(wǎng)針對不同子系統(tǒng)開啟vpn-instance，故需要將其部署至一個專用的vpn-instance中使其互通所有vpn-instance的服務(wù)器；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D3管理核心交換機(jī)-1g8/0/1管理域系統(tǒng)漏洞掃描505機(jī)房E55505機(jī)房E3管理核心交換機(jī)-2g8/0/1管理域系統(tǒng)漏洞掃描505機(jī)房E55設(shè)備配置端口捆綁配置管理核心交換機(jī)-1/2管理域系統(tǒng)漏洞掃描interfaceeth-trunk5modelacplocal-preferenceenableportlink-typeaccessportdefaultvlan135quitinterfacegabitethernet1/8/0/1eth-trunk5quitinterfacegabitethernet2/8/0/1eth-trunk5quit核心區(qū)互聯(lián)IP專網(wǎng)/內(nèi)部專線CE路由器部署概述本次建設(shè)核心區(qū)域增加去往IP專網(wǎng)/內(nèi)部專線網(wǎng)絡(luò)的出口，數(shù)據(jù)部署鏈路為兩臺管理網(wǎng)核心交換機(jī)S9312E與兩臺新增的中興路由器M6000-5S形成口字形部署，對接線路帶寬分別為1×10GE；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D3管理核心交換機(jī)-1xg0/0/1IP專網(wǎng)/內(nèi)部互聯(lián)CE路由器-1505機(jī)房ODF505機(jī)房E3管理核心交換機(jī)-2xg0/0/1IP專網(wǎng)/內(nèi)部互聯(lián)CE路由器-2505機(jī)房ODF5設(shè)備配置管理核心交換機(jī)-1/2IP專網(wǎng)/內(nèi)部互聯(lián)CE路由器-1IP專網(wǎng)/內(nèi)部互聯(lián)CE路由器-2interfacegigabitethernet1/0/0/1portlink-typeaccessportdefaultvlan84stpedged-portenableinterfacegigabitethernet2/0/0/1portlink-typeaccessportdefaultvlan84stpedged-portenable核心區(qū)互聯(lián)管理CE路由器部署概述本次建設(shè)核心區(qū)域，在核心交換機(jī)S9312E上面部署去往內(nèi)部系統(tǒng)互聯(lián)區(qū)的網(wǎng)絡(luò)，數(shù)據(jù)部署鏈路為兩臺管理網(wǎng)核心交換機(jī)S9312E與兩臺CE路由器juniperMX960形成口字形部署，對接線路帶寬分別為1×GE；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D3管理核心交換機(jī)-1g8/0/0管理域CE路由器MX960-1505機(jī)房C12505機(jī)房E3管理核心交換機(jī)-2g8/0/0管理域CE路由器MX960-2505機(jī)房C12設(shè)備配置管理核心交換機(jī)-1/2管理域CE路由器MX960-1管理域CE路由器MX960-2interfacegigabitethernet1/8/0/0portlink-typeaccessportdefaultvlan83stpedged-portenableinterfacegigabitethernet2/8/0/0portlink-typeaccessportdefaultvlan83stpedged-portenable核心區(qū)F5負(fù)載均衡部署概述本次建設(shè)核心區(qū)域防火墻使用2臺F5-BIG-LTM-10000的負(fù)載均衡設(shè)備，兩臺負(fù)載均衡設(shè)備部署為主備模式，每臺負(fù)載均衡設(shè)備分別4×10GE互聯(lián)至兩臺核心交換機(jī)上，由于交換機(jī)做了堆疊，每臺負(fù)載均衡設(shè)備互聯(lián)核心交換機(jī)端口均做端口捆綁；端口對應(yīng)表本端機(jī)柜本端設(shè)備名稱本端端口對端設(shè)備名稱對端機(jī)柜對端端口端口捆綁ID505機(jī)房D3管理核心交換機(jī)-1xg0/0/2管理域負(fù)載均衡器-1505機(jī)房D83xg0/0/3xg0/0/4管理域負(fù)載均衡器-2505機(jī)房E84xg0/0/5xg1/0/1管理域負(fù)載均衡器-1505機(jī)房D83xg1/0/2xg1/0/3管理域負(fù)載均衡器-2505機(jī)房E84xg1/0/4505機(jī)房E3管理核心交換機(jī)-2xg0/0/2管理域負(fù)載均衡器-1505機(jī)房D83xg0/0/3xg0/0/4管理域負(fù)載均衡器-2505機(jī)房E84xg0/0/5xg1/0/1管理域負(fù)載均衡器-1505機(jī)房D83xg1/0/2xg1/0/3管理域負(fù)載均衡器-2505機(jī)房E84xg1/0/4設(shè)備配置負(fù)載均衡器熱備配置管理域負(fù)載均衡器-1管理域負(fù)載均衡器-2端口捆綁配置管理域核心交換機(jī)-1/2管理域負(fù)載均衡器-1管理域負(fù)載均衡器-2允許trunkvlan130-150interfaceeth-trunk3modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/2eth-trunk3quitinterfacegigabitethernet1/0/0/3eth-trunk3quitinterfacegigabitethernet1/1/0/1eth-trunk3quitinterfacegigabitethernet1/1/0/2eth-trunk3quitinterfacegigabitethernet2/0/0/2eth-trunk3quitinterfacegigabitethernet2/0/0/3eth-trunk3quitinterfacegigabitethernet2/1/0/1eth-trunk3quitinterfacegigabitethernet2/1/0/2eth-trunk3quitinterfaceeth-trunk4modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/4eth-trunk4quitinterfacegigabitethernet1/0/0/5eth-trunk4quitinterfacegigabitethernet1/1/0/3eth-trunk4quitinterfacegigabitethernet1/1/0/4eth-trunk4quitinterfacegigabitethernet2/0/0/4eth-trunk4quitinterfacegigabitethernet2/0/0/5eth-trunk4quitinterfacegigabitethernet2/1/0/3eth-trunk4quitinterfacegigabitethernet2/1/0/4eth-trunk4quit管理網(wǎng)互聯(lián)端口以及端口捆綁num-id對應(yīng)表規(guī)劃心跳專網(wǎng)區(qū)域部署架構(gòu)圖心跳專網(wǎng)區(qū)域部署概述本次管理網(wǎng)設(shè)計增加心跳專網(wǎng)，即構(gòu)建一個心跳專網(wǎng)供服務(wù)器部署應(yīng)用高可靠性使用；該專網(wǎng)使用兩臺華為匯聚交換機(jī)S9312E，這兩臺交換機(jī)在邏輯上使用2×10GE的線路利用華為的CSS（ClusterSwitchSystem）堆疊功能將物理上的2臺匯聚交換機(jī)虛擬成一臺匯聚交換機(jī)；心跳專網(wǎng)接入層面本次使用10臺烽火S5800-52T-S的交換機(jī)；每臺接入交換機(jī)均雙上行1×10GE互聯(lián)線纜至匯聚交換機(jī)S9312E；由于匯聚交換機(jī)使用了堆疊，其每臺接入交換機(jī)均使用端口捆綁上行端口；管理網(wǎng)服務(wù)器其心跳網(wǎng)卡均部署2張，捆綁為bondmod1主備模式，分別雙上行至歸屬的成對接入交換機(jī)上；心跳網(wǎng)生成樹設(shè)計目前規(guī)劃劃分2個實(shí)例;心跳vlan實(shí)例剩余實(shí)例實(shí)例ID實(shí)例描述實(shí)例包含vlan1心跳vlan實(shí)例350-3992剩余vlan實(shí)例1-9，200-4096設(shè)備配置廠家配置指令華為（共2臺S9312E交換機(jī)）烽火（共10臺S5800-52T-SE交換機(jī)）心跳專網(wǎng)互聯(lián)端口以及端口捆綁num-id對應(yīng)表規(guī)劃設(shè)備配置華為CSS堆疊配置心跳匯聚交換機(jī)S9312E-1心跳匯聚交換機(jī)S9312E-2#S9300-1的集群ID默認(rèn)為1，配置集群連接方式為LPU。system-viewsysnameNFJD-PSC-MHb-S9312-1setcssmodelpu#配置集群端口和集群物理成員端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable#配置S9300-2的集群ID為2，集群連接方式為LPU。system-viewsysnameNFJD-PSC-MHb-S9312-2setcssid2setcssmodelpu#配置集群端口和集群物理成員端口interfacecss-port1portinterfacexgigabitethernet0/0/0quitinterfacecss-port2portinterfacexgigabitethernet1/0/0quitcssenable端口捆綁配置舉例心跳匯聚交換機(jī)S9312E-1/2接入交換機(jī)S5800-52T-Sinterfaceeth-trunk1modelacplocal-preferenceenableportlink-typetrunkporttrunkallow-passvlanXXquitinterfacegigabitethernet1/0/0/1eth-trunk1quitinterfacegigabitethernet2/0/0/1eth-trunk1quit管理存儲區(qū)域部署架構(gòu)圖管理存儲區(qū)域部署概述本期工程建設(shè)管理網(wǎng)設(shè)置獨(dú)立的存儲專網(wǎng)，使用Cisco的兩臺Nexus7710作為存儲匯聚交換機(jī)，兩兩堆疊，接入上使用Cisco的6臺Nexus5596并且兩兩堆疊構(gòu)成3對管理存儲接入交換機(jī)，每臺存儲接入交換機(jī)與存儲匯聚交換機(jī)采用2×40GE線纜互聯(lián)，構(gòu)成每對交換機(jī)上行有160GE線纜帶寬，本期工程為管理域單獨(dú)配置1臺IPSAN陣列，容量為345TBIPSAN存儲空間；該陣列與每臺存儲匯聚交換機(jī)有16×10GE線纜互聯(lián)，并嚴(yán)格按照陣列上同一端口組端口互接不同的匯聚交換機(jī)上；管理存儲網(wǎng)生成樹設(shè)計目前規(guī)劃劃分3個實(shí)例;設(shè)備網(wǎng)關(guān)vlan實(shí)例設(shè)備互聯(lián)vlan實(shí)例剩余vlan實(shí)例實(shí)例ID實(shí)例描述實(shí)例包含vlan1設(shè)備網(wǎng)關(guān)vlan實(shí)例310-3492設(shè)備互聯(lián)vlan實(shí)例300-3093剩余vlan實(shí)例1-299，350-4096設(shè)備配置廠家配置指令思科N7710（共2臺）N7K-1:vlan1-299vlan300-309vlan310-349vlan350-4094spanning-treemodemstspanning-treemstconfigurationnamestorgeinstance1vlan310-349instance2vlan300-309instance3vlan1-299,350-4096spanning-treemst1priority4096spanning-treemst2priority4096spanning-treemst3priority4096N7K-2:vlan1-299vlan300-309vlan310-349vlan350-4094spanning-treemodemstspanning-treemstconfigurationnamestorgeinstance1vlan310-349instance2vlan300-309instance3vlan1-299,350-4094spanning-treemst1priority8192spanning-treemst2priority8192spanning-treemst3priority8192思科N5596（共6臺）N5K:vlan1-299vlan300-309vlan310-349vlan350-4094spanning-treemodemstspanning-treemstconfigurationnamestorgeinstance1vlan310-349instance2vlan300-309instance3vlan1-299,350-4094#N5Kpriority默認(rèn)優(yōu)先級為32768，不用再進(jìn)行定義。Vlan最大值為4094，非4096管理存儲區(qū)域互聯(lián)端口以及端口捆綁num-id對應(yīng)表規(guī)劃VPC設(shè)計vPCdomain與角色本端設(shè)備名稱VPCdomainnum對端設(shè)備名稱Vpcrole角色管理存儲匯聚交換機(jī)N7710-1992管理存儲匯聚交換機(jī)N7710-2管理存儲匯聚交換機(jī)N7710-1管理存儲接入交換機(jī)N5596-1991管理存儲接入交換機(jī)N5596-2管理存儲接入交換機(jī)N5596-1管理存儲接入交換機(jī)N5596-3990管理存儲接入交換機(jī)N5596-4管理存儲接入交換機(jī)N5596-3管理存儲接入交換機(jī)N5596-5989管理存儲接入交換機(jī)N5596-6管理存儲接入交換機(jī)N5596-5vPCPeerKeepalive以及其他優(yōu)化配置VPCPeerKeepalive的鏈路選擇有兩種方式：基于N7K/N5K的引擎/機(jī)箱上的mgmt0端口；采用獨(dú)立的業(yè)務(wù)端口；本次設(shè)計新增的N5K設(shè)備采用管理接口進(jìn)行構(gòu)建Keepalive線路，N7K采用獨(dú)立的線纜互聯(lián)vPCPeerLink本次構(gòu)建的VPC環(huán)境其peer-link線路如下部署：存儲接入交換機(jī)N5596采用2*10GE互聯(lián)；存儲核心交換機(jī)N7018采用4×40GE互聯(lián)；設(shè)備配置管理存儲匯聚交換機(jī)N7710-1管理存儲匯聚交換機(jī)N7710-2管理存儲接入交換機(jī)N5596-1管理存儲接入交換機(jī)N5596-2管理存儲接入交換機(jī)N5596-3管理存儲接入交換機(jī)N5596-4管理存儲接入交換機(jī)N5596-5管理存儲接入交換機(jī)N5596-6三層網(wǎng)絡(luò)部署設(shè)計DMZ基本網(wǎng)絡(luò)部署管理網(wǎng)DMZ為平臺和子系統(tǒng)的部署區(qū)域，訪問公網(wǎng)以及對外提供訪問區(qū)域服務(wù)器在該區(qū)域的網(wǎng)關(guān)部署在DMZ匯聚交換機(jī)上，所有接入交換機(jī)均二層透傳至DMZ匯聚交換機(jī)上；每個子系統(tǒng)有各自的路由表，使其DMZ區(qū)域子系統(tǒng)之間默認(rèn)隔離；即在匯聚交換機(jī)上需要開啟針對各自子系統(tǒng)的vpn-instance；Ip地址/vlan規(guī)劃區(qū)域規(guī)劃網(wǎng)段vlan號子系統(tǒng)網(wǎng)段有效ip地址有效ip個數(shù)保留ip地址網(wǎng)關(guān)ip地址DMZ/24WAFVIP/24到54254無無/24

/24

/2440資源池管理平臺/27到9190到9041運(yùn)維-監(jiān)控2/273到1192到1242運(yùn)維工具系統(tǒng)4/275到3194到3443IVR6/277到151916到252644PaaS28/2729到471948到575845VLB60/2761到791980到899046安全子系統(tǒng)92/2793到111912到212247論壇子系統(tǒng)24/2725到431944到535448BC-OP/26到1512到124/265到155116到252628/2629到795180到899092/2693到435144到5354保留/24/2449DMZ-BC-EC云主機(jī)/24到4324344到5354Vpn-instance名字規(guī)劃子系統(tǒng)vpn-instance資源池管理平臺DMZ-ResourcePool運(yùn)維-監(jiān)控DMZ-OperationMonitor運(yùn)維工具系統(tǒng)DMZ-OperationToolIVRDMZ-IVRPaaSDMZ-PaasVLBDMZ-VLB安全子系統(tǒng)DMZ-Security論壇子系統(tǒng)DMZ-ForumBC-OPDMZ-BcOpDMZ-BC-EC云主機(jī)DMZ-BcEc設(shè)備配置管理域DMZ匯聚交換機(jī)-1/2Vlan創(chuàng)建接口網(wǎng)關(guān)配置DMZ區(qū)域CMNET出口部署每個子系統(tǒng)有各自的路由表，使其DMZ區(qū)域子系統(tǒng)之間默認(rèn)隔離；即在匯聚交換機(jī)上需要開啟針對各自子系統(tǒng)的vpn-instance；故匯聚交換機(jī)需要為各個子系統(tǒng)配置相應(yīng)的上行vlan分配至對應(yīng)的vpn-instance，上行防火墻需要配置各個子系統(tǒng)對應(yīng)的上行vlan端口進(jìn)行互聯(lián)；Ip地址/vlan規(guī)劃子系統(tǒng)本端設(shè)備本端ip地址對端設(shè)備對端ip地址vlan標(biāo)識資源池管理平臺管理域DMZ區(qū)匯聚交換機(jī)1&2/28管理域DMZ區(qū)防火墻-1/