项目详细实施方案模板V10.docx

1、项目详细实施方案模板V10XX园区网项目详细实施方案 文档修订记录序号修订内容简述修订日期目前版本号作者1XX园区网项目实施方案框架编写2013-8-111.0姚成龙2XX园区网项目实施方案框架修改与方案编写2013-8-141.1姚成龙3XX园区网项目实施方案组网图修改与楼宇编号修改2013-8-151.2姚成龙4XX园区网项目实施方案组网图端口规划编写2013-8-161.3姚成龙5XX园区网项目实施方案中添加详细实施脚本2013-8-191.4姚成龙6XX园区网项目实施方案详细实施脚本修改2013-8-211.5姚成龙7XX园区网项目实施方案详细实施脚本再次修改2013-8-231.6姚

2、成龙8XX园区网项目实施方案部分命令修改2013-8-261.7姚成龙9XX园区网项目实施方案部分添加802.1x认证2013-9-051.8姚成龙 1文档介绍1.项目背景XX确立了“精品银行”的发展战略，提出“发挥作为第一生产力的核心作用，实现信息科技从面相经营到面向经营和管理并重转变，促进我行业务转型和管理水平提升，为我行稳健经营、快速发展提供强大的科技支撑”的发展思路。2.项目目标张江园区办公网络满足10月12日信息技术部入驻张江园区、11月3日信用卡中心、营运管理中心、客户中心等三个业务部门入驻张江园区的网络接入需求。3.文档目的本文档的主要目的是：指导我行张江园区办公网的网络实施。4

3、.文档简介 本文档主要面向我行的网络技术人员、管理人员， 同时也面向网络实施单位，用于指导该项目的实施，是该项目工程实施的指导性文件之一。5.设计范围针对XX张江园区网的网络架构进行设计，指导新系统上线时的网络实施工作，其内容包括了：网络总体架构园区网架构设计网络基础服务设计网络设备命名设计交换网络设计路由设计IP地址分配设计网络高可用设计网络设备的高可用性设计二层网络协议的高可用性设计三层网络协议的高可用性设计网络安全设计网络架构安全设计网络安全技术设计网络设备配置设计网络管理设计网络性能管理设计网络配置管理设计6.术语定义 CSS简介1、堆叠的定义堆叠，是指通过专用或复用的堆叠端口和堆叠线

4、缆，把多台支持堆叠特性的单独交换机组合在一起，从逻辑上像一台交换机实现报文转发。整个堆叠系统只有一个控制平面（所有物理交换机使用相同的系统MAC，IP地址和全局配置）；用户使用一个IP对堆叠进行管理和维护；相邻设备不感知是单机还是堆叠系统，和堆叠系统的接口和原来的单机一样。网管和堆叠系统之间的接口采用命令行、SNMP以及netconf接口，用户和堆叠系统之间的接口采用命令行；核心交换机接口由单机的三维变为四维，TOR交换机接口由单机的二维变为三维2、堆叠的优点多台交换机通过堆叠在逻辑上形成一台整体的交换机之后，可以带来以下的好处：减少网络节点；增强网络的可靠性；提高端口密度和带宽；避免多设备间

5、启用STP/MSTP协议。3、堆叠系统的构成一个典型的堆叠系统在物理上由以下两部分部分构成：成员交换机和堆叠线缆。成员交换机就是普通的交换机，不过必须是支持堆叠特性的同一系列的交换机，如63系列、93系列等。堆叠线缆用于连接各个成员交换机。与堆叠线缆相对应的是位于成员交换机上的堆叠端口。堆叠端口有两种形式：专用的堆叠口和复用的普通业务口。前者对应着专用的堆叠线缆，后者对应着复用的网线或光纤。复用普通业务口时，往往会把多个端口加入到一个Trunk口中，然后将整个Trunk口作为逻辑上的一个“堆叠口”，而把其中的业务口称为“成员口”。逻辑功能上，一个堆叠系统中分为三类交换机：主交换机、备交换机、从

6、交换机。成员交换机在逻辑功能上的这三种类别，对应着三种不同的角色。主交换机又叫做“堆叠主”，是整个堆叠系统的控制、管理的核心。备交换机又叫做“堆叠备”，在堆叠系统里充当着堆叠主的备份，当堆叠主出故障或进行人为的主备倒换时，堆叠备会升为堆叠主，替代之前的堆叠主继续完成对整个堆叠系统的控制和管理，从而提高整个堆叠系统的可靠性。堆叠主和堆叠备以外的成员交换机都是从交换机，又叫做“堆叠从”，作为堆叠系统里的普通的一员，完成对报文的转发和响应堆叠主的管理和配置。在建立堆叠系统时，成员交换机之间需要通过互发竞争报文（SPDU报文）来进行竞争得到堆叠主、堆叠备、堆叠从。POE供电简介PoE全称为Power

7、over Ethernet，是指通过10BASE-T、100BASE-TX、1000BASE-T以太网网络进行供电。通过这种方式，终端设备在接入网络的同时就可以实现受电，可以有效的解决IP电话、无线AP(Access Point)、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电问题，不再需要考虑这些设备的室内电源系统布线的问题。在兼容性方面，PoE供电的统一标准是IEEE 802.3at和802.3af标准，可以兼容不同厂家设备。Voice-vlan简介Voice VLAN是为用户的语音数据流划分的VLAN。用户通过创建Voice VLAN并将连接语音设备的接口加入到Voice

8、 VLAN中，使语音数据流集中在Voice VLAN中进行传输。采用Voice VLAN的方式，便于对语音数据流进行有针对性的QoS（Quality of Service）配置，提高语音数据流量的传输优先级，保证通话质量。7.参考文档XX两地三中心整体建设咨询项目_两地三中心网络架构设计 v1.1XX张江园区网园区网络非业务部分技术建议书2网络架构2.1整体物理架构图（网络拓扑）核心层部署园区的核心设备，连接所有的汇聚交换机，转发各个部门之间的流量。核心交换区采用两台新一代高端智能路由交换机S7706作为整个园区网网络的核心，核心交换机之间采用万兆以太网接口互联堆叠，建立起一个高可靠的高速交换

9、核心区。汇聚层是部门的核心，转发用户间的“横向”流量。同时提供到核心层的“纵向”流量。对接入层隐藏核心层，将大量用户接入到互联的网络中，扩展核心层设备接入用户的数量。汇聚区采用两台下一代全万兆盒式交换机S6700作为每栋楼的核心，两台汇聚交换机之间采用万兆以太网接口互联堆叠，建立起一个高可靠的汇聚交换核心区。接入层是最靠近用户的网络，为用户提供各种接入方式，是终端接入网络的第一层。每楼层布放12台接入交换机，每台接入交换机双归属到汇聚层堆叠交换机。整个园区网分为8栋楼分区，每栋楼编号对应业务分区：A 客服中心B 卡迪、信用卡中心C 后备中心3号楼D 后备中心2号楼E 后备中心1号楼F 会计中心

10、H(G,I) 宿舍、教室、报告厅J 数据信息中心南塔楼2.2网络高可靠性设计XX张江园区网承载着该园区的所有办公业务，所以对网络可用性的要求较高。2.2.1核心高可用两台防火墙配置双机热备，并通过端口捆绑方式连接核心交换机两台S7706交换机通过8根堆叠线缆交叉连接虚拟成一台交换机，避免单台交换机发生整机故障或单板故障造成的单点故障。两台AC 6605双机热备，AC之间通过一根心跳连接线检测主备状态，避免AC连接的单台交换机发生单板故障或整机故障而造成两台AC形成双主情况。2.2.2汇聚高可用在园区网内部的网络架构中，园区网核心以及各功能区域均采用冗余的网络结构设计。2.2.2.1园区核心与楼

11、宇汇聚互联园区网核心交换机与各个栋楼的汇聚交换机采用全互联的方式，满足高可用性。该高可用性设计部署于园区网核心交换机与所有楼汇聚交换机的互联。2.2.2.2接入交换机与汇聚交换机互联楼层汇聚交换机与接入交换机互联的高可用，采用接入交换机上行到汇聚堆叠交换机的不同成员设备的链路聚合来实现，为了防止接入层交换机产生环路，汇聚层与接入层交换机上开启MSTP生成树，所有链路均为活动链路。该高可用性设计部署于所有楼宇的接入交换机上行与汇聚交换机互联。2.2.3网络设备高可用建议在园区网的核心设备选型上，采用高性能和高可靠的网络设备用来保证园区网网络整体的高可用性。电源冗余核心设备与汇聚设备均采用双电源模

12、块。引擎冗余核心交换机设备配置双引擎，并支持的无缝切换。业务板卡冗余业务板卡通过两台交换机堆叠虚拟成一台形成冗余。2.2.4三层高可用XX张江园区网采用的三层高可用技术主要有以下一种：1. VRRP 虚拟路由器冗余协议VRRP (Virtual Router Redundancy Protocol) 将一组路由器构成一台虚拟路由器，把发送到虚拟路由器的数据包动态分配到某一台VRRP 路由器上。使用 VRRP提高了默认网关的可用性而无需在每个终端主机上配置动态路由或路由发现协议。园区网两台出口防火墙与核心交换机之间采用VRRP协议，两台防火墙对核心交换机虚拟成一台防火墙。2.2.5二层高可用二层

13、高可用主要通过STP实现。为了防止接入层交换机上网线错接产生的环路问题，建议在楼宇汇聚交换机与接入层交换机上开启MSTP协议，并配置stp edged-port enable命令将接入交换机下行端口配置为边缘接口。2.3详细架构设计 2.3.1核心交换区核心层是整个张江园区网络的核心，连接张江园区各栋楼之间的办公网络。核心交换区采用两台新一代高端智能路由交换机S7706，两台核心交换机之间采用8根QSFP高速电缆-10m交叉互联堆叠，建立起一个高可靠的高速交换核心区。设备型号：CSS：华为S77062.3.2汇聚交换区汇聚层是是每栋楼的核心，转发用户间的“横向”流量。同时提供到核心层的“纵向”

14、流量。汇聚区采用两台下一代全万兆盒式交换机S6700作为每栋楼的核心，两台汇聚交换机之间采用4根SFP+堆叠线缆(100cm,含8个堆叠模块)互联堆叠，建立起一个高可靠的高速交换汇聚区。设备型号：CSS：华为S67002.3.3A楼客服中心区客服中心楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层123合计S5700数量（台）1113设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN2.3.4B楼卡迪、信用卡中心区卡迪、信用卡中心楼区采用两台下

15、一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层12345S5700数量（台）12222设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN2.3.5C楼后备中心3号楼区核心交换区后备中心3号楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层12345678S5700数量（台）11111111设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入

16、：华为AP5010DN-AGN2.3.6D楼后备中心2号楼区核心交换区后备中心2号楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层12345678S5700数量（台）22222222设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN2.3.7E楼后备中心1号楼区核心交换区后备中心1号楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层123456

17、78S5700数量（台）12222222设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN2.3.8F楼会计中心区会计中心楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层12345S5700数量（台）11111设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN2.3.9H/G/I楼宿舍、教室、报告厅宿舍、教室、报告厅楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交

18、换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层12345S5700数量（台）111111111设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN2.3.10J楼数据信息中心南塔楼区数据信息中心南塔楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心，接入楼层采用S5700交换机，每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。楼层12345678S5700数量（台）11122221设备型号：汇聚CSS：华为S6700有线接入：华为S5700无线接入：华为AP5010DN-AGN3网络基础服务设计 3.1网络

19、设备命名设计3.1.1总体要求为便于全行园区网设备信息的快速识别，局域网络设备均应按照本节命名规则进行命名，采用可变长度方式，最长不超过20个字符，最少不少于16个字符。园区网网络设备的命名规则设计如下：命名采用AAbbnCCNNNNFnn-nn 的命名规则，其中En被方括号包围，表示此为可选项AA：两位字母，为园区网标识，石泉为SQ，张江为ZJBBn：两位字母BB加一位数字n，BBn为站点内部功能区域标识，如一个园区网内仅存在一种功能区，n可省略，比如核心区，业务一区，业务二区等等CC表示设备所在的网络层次，防火墙的层次依据保护的主体定义，比如网银APP与WEB之间的防火墙定义层次定义为AP

20、P层。NNNN：4位以下数字，为设备型号的数字位，如Nexus7010可以表示为7010，Catalyst 6509可以表示为6509。Fn：为可选项，用于以下情形： 园区大楼：一位字母用于表示大楼，用A，B，C，DZ表示，可以标识一个园区内的26栋大楼，后续的代号一位数字表示，1-9表示1层至9层。nn：两位数字，用来区分同类型，同型号的设备。如果设备存在主备关系，则主设备为01，从设备为02。如果数台同类型同型号设备。3.1.2设备具体命名级别设备型号物理位置楼层命名核心堆叠7706数据信息中心ZJca2HX7706-01旁挂核心AC6605数据信息中心ZJca2AC6605-01ZJca

21、2AC6605-02汇聚堆叠6700客服中心IDCZJca2HJ6700A-01卡迪、信用卡中心IDCZJca2HJ6700B-01后备中心3号楼IDCZJca2HJ6700C-01后备中心2号楼IDCZJca2HJ6700D-01后备中心1号楼IDCZJca2HJ6700E-01会计中心IDCZJca2HJ6700F-01宿舍、教室、报告厅IDCZJca2HJ6700H-01数据信息中心南塔楼IDCZJca2HJ6700J-01接入5700客服中心1FZJca2JR5700A1-012FZJca2JR5700A2-013FZJca2JR5700A3-01卡迪、信用卡中心1FZJca2JR57

22、00B1-012FZJca2JR5700B2-01ZJca2JR5700B2-023FZJca2JR5700B3-01ZJca2JR5700B3-024FZJca2JR5700B4-01ZJca2JR5700B4-025FZJca2JR5700B5-01ZJca2JR5700B5-02后备中心3号楼1FZJca2JR5700C1-012FZJca2JR5700C2-013FZJca2JR5700C3-014FZJca2JR5700C4-015FZJca2JR5700C5-016FZJca2JR5700C6-017FZJca2JR5700C7-018FZJca2JR5700C8-01后备中心2号

23、楼1FZJca2JR5700D1-01ZJca2JR5700D1-022FZJca2JR5700D2-01ZJca2JR5700D2-023FZJca2JR5700D3-01ZJca2JR5700D3-024FZJca2JR5700D4-01ZJca2JR5700D4-025FZJca2JR5700D5-01ZJca2JR5700D5-026FZJca2JR5700D6-01ZJca2JR5700D6-027FZJca2JR5700D7-01ZJca2JR5700D7-028FZJca2JR5700D8-01ZJca2JR5700D8-02后备中心1号楼1FZJca2JR5700E1-012F

24、ZJca2JR5700E2-01ZJca2JR5700E2-023FZJca2JR5700E3-01ZJca2JR5700E3-024FZJca2JR5700E4-01ZJca2JR5700E4-025FZJca2JR5700E5-01ZJca2JR5700E5-026FZJca2JR5700E6-01ZJca2JR5700E6-027FZJca2JR5700E7-01ZJca2JR5700E7-028FZJca2JR5700E8-01ZJca2JR5700E8-02会计中心1FZJca2JR5700F1-012FZJca2JR5700F2-013FZJca2JR5700F3-014FZJca

25、2JR5700F4-015FZJca2JR5700F5-01宿舍、教室、报告厅宿舍1FZJca2JR5700H1-01宿舍2FZJca2JR5700H2-01宿舍3FZJca2JR5700H3-01宿舍4FZJca2JR5700H4-01宿舍5FZJca2JR5700H5-01教室1ZJca2JR5700G1-01教室2ZJca2JR5700G2-01教室3ZJca2JR5700G3-01ZJca2JR5700G3-02报告厅1FZJca2JR5700I1-01数据信息中心南塔楼1FZJca2JR5700J1-012FZJca2JR5700J2-013FZJca2JR5700J3-014FZJ

26、ca2JR5700J4-01ZJca2JR5700J4-025FZJca2JR5700J5-01ZJca2JR5700J5-026FZJca2JR5700J6-01ZJca2JR5700J6-027FZJca2JR5700J7-01ZJca2JR5700J7-028FZJca2JR5700J8-013.2设备板卡及端口使用设计3.2.1设备板卡安装规则3.2.1.1S7706设备板卡使用原则张江园区网核心采用华为S7706交换机，主要配置为：40端口万兆以太网光接口板(FC,SFP+)。考虑到S7706设备电源在设备下方，为了有利于业务单板散热，具体设备板卡安装规划如下表所示：S7706槽位号

27、板卡型号板卡类型备注Slot 6空闲空闲Slot 5EH1D2G48SEC040端口万兆以太网光接口板(FC,SFP+)SFP千兆Slot 4空闲空闲Slot 8SRU主控板（含交换网）Slot 7SRU主控板（含交换网）Slot 3空闲空闲Slot 2空闲空闲Slot 1空闲空闲 3.2.1.2S6700设备板卡使用原则张江园区网每栋楼汇聚层采用华为S6700交换机，主要配置为：24端口万兆以太网光接口板(FC,SFP+)。3.2.1.3S5700设备板卡使用原则张江园区网每栋楼每层接入层采用华为S5700 （PoE+）交换机，包含48个10/100/1000Base-T以太网端口, 另扩展

28、一块4端口万兆SFP+接口板。3.2.1.4AC 6605设备板卡使用原则张江园区网WLAN无线控制器采用华为AC6605，包含2个10GE光口，20+4个GE口（24个电口，其中最后4个电口与4个光口组成combo。）3.2.2设备端口使用规则3.2.2.1核心区端口使用规则本端对端级别物理位置命名端口名称级别物理位置命名端口名称核心7706数据信息中心ZJca2HX7706-011/5/0/0汇聚6700客服中心IDCZJca2HJ6700A-010/0/191/5/0/11/0/192/5/0/00/0/202/5/0/11/0/201/5/0/2卡迪、信用卡中心IDCZJca2HJ6700B-010/0/191/5/0/31