联通机房网络改造方案.docx

联通机房网络改造方案.docx联通机房网络改造方案NEC(重庆)信息系统有限公司二O—五年二月目录联通机房网络改造目标 3联通机房网络现状 3联通机房网络改造目标 4联通机房网络改造总体思路 4联通机房网络改造具体过程 5Ip地址段划分 5交换机vlan配置 5配置防火墙逻辑子接口和VLAN相关 5修改交换机Trunk口允许新增VLAN通过 6防火墙NAT配置 6NAT 6PoolbaseNAT 6联通机房网络改造验证过程 7使用NMAP对网络连通性的验证 8NMAP验证服务器间通信 8NMAP验证端口连通性 8验证网络连通性一般方式 9验证服务器间通信 9验证端口连通性 9排错相关命令 10比对候选配置和有效配置的差异 10查看当前有效配置 10回滚操作 mitZ前回滚 ,联通机房网络中包含一台防火墙、一台二层交换机和一个虚拟局域网,该网络中存在一个广播域和多个冲突域,容易产生广播风暴,网络的扩展性不高,安全性和可靠性不好。1>已知的IP配置:网关地址为::-^24虚拟机服务器IP地址段为:-:,serverl为运行虚拟机的物理服务器。2、 已知的交换机配置:交换机与防火墙连接的接口为ge-O/3/233、 已知的服务器配置:serverl与交换机连接的网卡IP地址为::::^44、 已知的防火墙配置:连接的端口IP地址:・2联通机房网络改造目标网络改造目标:通过新增一个VLAN,将现有的网络划分成多个网段,从而增加了广播域,减小了广播域的大小,减少冲突的发生,增强了网络的安全性和扩展性。联通机房网络改造总体思路1、将(上面有很多虚拟机)划入单独的vlan,在交换机创建一个新的vlan,命名,并将交换机与serverl连接的端口分配给。2、 交换机和防火墙是通过trunk进行连接的,目前防火墙配置的策略是只允许vlanlOO通过,需要配置防火墙和交换机同吋允许vlanlOO和vlanl99通过。3、 由于vlanlOO和vlanl99是内网网段,访问公网时需要在防火墙进行NAT配置,即将内网地址映射为公网地址。1、 VianIP地址划分:IP地址段::、 服务器IP划分:Serverl的网卡:&24Server2的网卡:^24Server3的网卡:^24Server4的网卡:、 防火墙IP划分:防火墙上vlanlOO接口IP地址:±vlanl99接口IP地址:、 虚拟服务器IP划分:目前正在使用的虚拟服务器地址:^^172,,1,・2交换机vlan配置配置步骤:运行edit或者configure命令进入配置模式下进行。1、 创建一个VLAN,名称为,VLANID为199;set“"vlanid1992、 ess模式,并加入到新创建VLAN199中;set-0^3/20unit0・port-modeset-0Q/20unit0--O/3/l接口配置两个逻辑上的子接口与、VLAN199相关,具体如下:set ge-0/0/ ge-O/0/,允许vlanid为100和199的VLAN通过setge-0/0/0-vian[100199]:定义NAT源地址映射规则,从Zone访问Zone的所有流量用Zone接口IP做源地址转换。setnatrule-set-to-fromzonesetnatrule-set-to-tozonerule-set-to-rule-nat-rule-[.^3217