网络实施方案Word格式.docx

1、项目实施主要参与者为各厂商、展望科技和客户。具体责任分工界面为：工程进展客户集成商厂商1.工程准备阶段工程准备阶段项目组筹备参与主要责任/工程规划工程环境调查产品到货签收安装环境准备：网络准备/系统准备2.工程实施阶段所有产品网络准备应急计划准备应急及备份提起安装申请安装批准安装/调试参与（提供访问控制关系）主要责任（具体实施、总体协调）主要责任（提供技术支持）工程文档3.工程验收阶段工程验收验收文档准备验收验收文档提交验收签署4.试运行终验初验初验完成主要责任（安全系统日常运营维护）主要责任（技术支持）试运行终验终验后主要责任（系统运营维护）参与（技术支持）1.2 项目里程碑目标2014年x

2、月x日前完成项目建设各个阶段及各项建设内容的方案制定，完成硬件设备和软件系统的供货、安装、配置、调试、测试、总体联调、试运行、验收，直至系统正式运行。制定明确的培训范围、培训内容和培训计划。在用户单位合适的时间内完成对用户现场管理培训、原厂商培训的范围和内容，并保证有足够的人力和物力确保系统安全稳定的运行。1.3 项目实施计划安排根据整个工程的网络覆盖及网络技术要求，我们拟出工程实施进度安排如下表：实施阶段实施步骤实施内容时间范围一、项目准备12345二、设备调试67891011三、试运行及调优13四、验收141.4 项目成员单位名称姓名职务电话E-mail信泰人寿信息部主管技术负责人杭州展望

3、项目经理销售负责人实施人员第2章 网络总体规划2.1 网络现状原组网图如下：（略）现网存在如下问题：1. 结构混乱，没有层次，不利于统一管理；2. 使用静态路由，维护工作量大，网络扩展性差；3. 核心设备没有冗余，存在单点故障风险；4. 广域网带宽不足，无法满足日益增长的业务需求。5. 2.2 新建网络设计新网络拓扑如下：新建网络有如下优点：1. 结构整齐，层次清晰，便于管理。2. 采用动态路由协议，维护简单，扩展性好；3. 新增一台核心设备，实现了设备级的冗余，网络健壮性提高；4. 每个节点新增1条广域网线路，带宽提高，实现了线路冗余；第3章 设备部署3.1 设备命名按下列规则正确设置主机名

4、：设备局点和级别-设备厂商名称-设备型号-设备序列号（1、2、3等）序号部署地点设备层次设备型号设备序号设备命名北海核心H3CS951201BHCore-H3C-S9512-013.2 端口描述为便于识别和维护，定义VLAN和VLAN端口、物理端口描述的规则如下： 交换机之间互联用VLAN、VLAN接口的描述规则为：TO:设备名称_端口编号_V+VLAN ID例如：本VLAN连接北海核心交换机01的GE1/1端口，VLAN号是100，描述为：BHCore-H3C-S9512-01_GE1/1_V100。 交换机连接服务器或者用户的VLAN及VLAN接口的描述为：服务器名或用户组名本VLAN连接

5、工程部用户，描述为：Engine_user。3.3 软件版本设备名称软件版本3.4 槽位部署S9512E交换机：槽位号板卡名称板卡型号S9512E12端口千兆以太网光接口业务板24端口千兆以太网光接口业务板S9512E交换路由处理板48端口千兆以太网电接口业务板12NAT业务处理卡第4章 网络连接4.1 端口分配原则在XXXXX网络系统中，网络连接中设备端口的分配遵循以下原则： 在核心或者汇聚设备上，连接到核心的上行设备根据端口编号从高到低分配，主备互联的平行设备也根据编号从高到低向前分配 在核心或者汇聚设备上，从核心连接下行的汇聚或接入的设备，其端口的分配从低到高依次分配 互联的端口均采用光

6、口，不采用电口4.2 端口分配列表主机名/槽位/子槽/端口Host/slot/sub-slot/interface对端设备（Side B）端口 Interface 对端Host/设备描述左侧slot03slot0预留slot1预留slot2预留slot3LSRM2GT24LEB1slot7LSRM1GP48LEB1slot8预留slot9预留第5章 IP地址和VLAN分配5.1 IP地址分配原则 IP地址的基本原则如下： 掩码选择loopback地址使用32位掩码，互连地址使用30位掩码，业务IP地址采用24位掩码 地址分配顺序每个业务网络分配到的B类地址的最后5个C类地址可以用来做互联地址和

7、二层设备的管理VLAN地址同类设备互连，第一个C类地址作为Loopback地址的网段。5.2 IP地址整体分配区域地址段掩码业务网172.16.0.016OA网172.17.0.05.3 管理地址设备的管理地址（即loopback地址）使用192.168.10.0/24网段。管理地址BHCore-H3C-S9512E-01192.168.10.1325.4 互联地址5.4.1 广域网互联地址广域网设备的互联地址使用172.16.0.0/16网段。本端设备本端地址对端设备对端地址BHWAN-H3C-SR8812-01172.16.0.1CKWAN-H3C-SR8812-01172.16.0.23

8、05.4.2 局域网互联地址局域网设备的互联地址使用172.16.1.0/16网段。172.16.1.1BHCore-H3C-S9512-02172.16.1.25.5 业务地址业务地址使用10.0.0.0/8网段。业务部门财务部10.0.0.024工程部10.0.1.05.6 VLAN划分保留VLAN:1-99互联VLAN：100-199财务部VLAN:200-299工程部VLAN：300-3995.7 端口划分说明端口端口类型编号1G（SFP,LC）VLAN100VLAN101第6章 路由协议部署本次网络规划建议全网采用OSPF，并与静态路由相结合。6.1 OSPF设计6.1.1 OSPF

9、区域划分由于XX公司总部和各分公司每一个局域网设备数量不多（30台以下），每个局域网只需划分一个Area 0便可以满足需求，将相关接口全部加入OSPF区域0，OSPF的进程号统一设置为1。6.1.2 OSPF Router-id设置OSPF需要使用唯一的Router ID标识每一台路由器，建议相关网络设备的Loopback地址作为其OSPF Router ID。6.1.3 OSPF Cost设置同层次设备名字段末位为01的交换机的上下行线路接口的COST值为默认值（10），设备名字字段末位为02的交换机的上下行线路接口的COST值为1000，以保证在正常情况下报文由设备名字字段末位为01的设备

10、进行转发，在主用路径失效的情况下再走备份路径。如下图所示：（图略）第7章 局域网部署XXXXX每个业务网段的接入交换机和核心交换机间为二层交换网络，并有链路的冗余，出现了二层环路，所以在接入交换机和核心交换机间启用MSTP协议。其中，作为VRRP主网关的核心交换机配置为首选根桥（Primary），作为VRRP备份网关的核心交换机配置为备份根桥（Secondary），所有负责终端接入的电接口启用边缘端口、BPDU保护。7.1 设备接口聚合链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。在XXXX两台核心交换机

11、启用链路聚合功能，链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。采用动态聚合模式7.2 VRRP规划 为了保障业务网关的备份，在核心交换机上开启VRRP协议。保证核心交换机上的业务负载均衡，对于不同的VLAN，由不同的核心交换机设置为主交换机。业务网段的网关配置在XXXX_Core_S7503E_FW1上，非业务网段配置在XXXX_Core_S7503E_FW2上。XXXX_Core_S7503E_FW1和XXXX_Core_S7503E_FW2之间建立VRRP主从关系。主设备的VRRP优先级设置为120

12、，从设备的VRRP优先级设置为100。VRRP 配置规划表如下：VLAN IDVLAN 应用XXXX_Core_S7503E_FW1XXXX_Core_S7503E_FW2VRRP虚地址7.3 MSTP 规划为防止网络产生冗余链路，需配置STP协议来消除二层环路。考虑到STP不能快速迁移，即使是在点对点链路或边缘端口（边缘端口指的是该端口直接与用户终端相连，而没有连接到其它设备或共享网段上），也必须等待2倍的Forward Delay的时间延迟，端口才能迁移到转发状态。RSTP可以快速收敛，但是和STP一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按VLAN阻塞冗余链路，所有VLAN的

13、报文都沿着一棵生成树进行转发。因此，本次STP配置推荐使用MSTP。MSTP由IEEE制定的802.1s标准定义，它可以弥补STP和RSTP的缺陷，既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。楼层所有设备属于同一个MST域，根据VRRP的主备方式，MST域里分为两个instance ，分别为instance1（主要针对业务VLAN）instance2（主要针对非业务VLAN），XXXX-S7503E-S-1，XXXX-S7503E-S-1直接与接入交换机之间的MSTP规划：共分2个Instance：Instance1：指定根交换机为XXXX

14、-S7503E-S-1，备份根交换机为XXXX-S7503E-S-1，包含VLAN 2、VLAN 3、VLAN 4、VLAN 12、VLAN 13Instance2：指定根交换机为XXXX-S7503E-S-2，备份根交换机为XXXX-S7503E-S-1，包含VLAN 5、VLAN 6、VLAN 7、VLAN 8、VLAN 9、VLAN 10、VLAN 11、VLAN 14、VLAN15、VLAN 16、VLAN 17、VLAN 18、VLA N 100、VLNA 200； 在接入交换机同样需要进行相应的mstp instance映射。7.4 VRRP与MSTP 7.4.1 VRRP与MST

15、P的规划VRRP作为一种容错协议，它保证当主机的下一跳设备出现故障时，可以及时的由另一台设备来代替，从而保持通讯的连续性和可靠性。两台设备配置VRRP，其中一台为Master，一台为Slave，两台设备对应一个Virtual IP。生成树协议用于防止数据链路层由于冗余链路的连接而产生的以太网环路，从而避免广播风暴的发生。在各个大网的网关处部署MSTP，可以 MSTP中的根桥设备与VRRP中Master设备保持一致。同时一个MSTP的实例对应一个或多个业务Vlan，实例一对应设备的管理Vlan。每个业务网的接入交换机和汇聚交换机间为二层交换网络，并有链路的冗余，出现了二层环路，所以在接入交换机和

16、汇聚交换机间启MSTP协议。其中，作为VRRP主网关的汇聚交换机配置为首选根桥（Primary），并在相应的端口上启用根保护和TC攻击保护功能，防止网络震荡的产生；作为VRRP备份网关的汇聚交换机配置为备份根桥（Secondary），并在相应的端口上启用TC攻击保护功能；接入层交换机上连汇聚交换机的端口启用环路保护功能和TC攻击防范功能，所有负责终端接入的电接口启用边缘端口、BPDU保护和TC攻击保护功能。其配置和工作状态如下图所示：MSTP配置及工作状态图所启用的各种保护功能的作用如下： 根保护：防止网络中恶意攻击或误用造成根桥改变而重新计算，引起网络中断； BPDU保护：有效防止了接入端口

17、私自添加交换机或HUB对网络造成的震荡； 环路保护：在网络出现短暂拥塞无法正常接收BPDU时，防止Blocking端口状态转变为Forwarding，形成环路； TC攻击保护：针对网络中恶意的TC攻击报文，防止交换机频繁删除ARP表和MAC地址表。第8章 安全规划8.1 网络安全原则网络安全是XXXX网络系统项目建设中非常重要的一环，网络安全设计原则如下： 设备安全主要指核心骨干交换机及各个业务网的设备安全。只有经过认证的用户才能访问系统中的设备，以防止非授权用户对网络设备的恶意攻击。 业务安全通过路由加ACL的方式实现网络层面的安全防护，防止不信任应用之间的互访。要实现全面的安全防护，还需要

18、通过安全专用设备（防火墙、IDS等）实现应用层面的保护。8.2 设备安全 只开放必要的网络服务网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。 用户认证用户认证应采用集中认证和本地认证相结合的方式，集中认证为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议，在Radius服务器上建立设备管理用户，通过单一用户便可以实现全网设备的统一管理。同时在设备上建立本地用户数据库，可在Radius服务器不可用的情况下，使用本地数据库进行验证。在VTY和C

19、onsole接口上启用用户认证，认证方式为集中认证和本地认证相结合。 Telnet接入安全Telnet是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保Telnet访问的合法性和安全性，我们需要注意：（1）设置最大会话连接数；（2）设置访问控制列表，限制Telnet的连接请求来自指定的源IP网段；（3）尽量用SSH代替Telnet，采用SSH的好处是所有信息以加密的形式在网络中传输。 SNMP安全通过SNMP我们可以对设备进行全面的日常管理，为了提高SNMP管理的安全性，需要应注意以下几点：（1）避免使用缺省的snmp community，设置高质量的口令；（2）不同区域的

20、网络设备采用不同的snmp community；（3）把只读snmp community和可读写snmp community区分开来；（4） 配置ACL来限制能够通过SNMP访问网络设备的网管服务器的IP地址。 日志记录为了能够对整个XX网络系统设备进行监控和故障信息记录，需要记录网络设备的运行状态。日志记录主要包括以下内容：（1）收集网络设备的SYSLOG；（2）设置SYSLOG Server（通常位于网管工作站上）用于收集所有网络设备的SYSLOG；（3）所有的SYSLOG可以送到专门的事件管理服务器上，进行事件的压缩、关联和分析，有利于更好的故障定位和处理。（4）收集SNMP Trap，

21、通过网管工作站收集网络设备的SNMP Trap信息，便于及时的故障处理；（5）收集用户操作记录，通过AAA服务器，对用户进行认证、授权和行为跟踪，并产生相应的日志报告，以供安全审计。 路由协议安全路由协议的安全主要指邻居关系的可靠建立和路由信息的安全交换，此网络项目中主要涉及BGP和OSPF两种路由协议，通过启用它们的安全验证功能，可以提高网络中路由协议的安全性。（1）BGP路由验证（必要）核心骨干网与各个业务网核心的eBGP邻居关系，应该使用MD5密码验证，保证BGP邻居关系的合法建立，提高BGP路由交换的安全性。（2）OSPF路由验证（必要）在OSPF进程上都启用基于Area的MD5验证，

22、保证OSPF邻居关系的合法建立。OSPF路由验证的配置方法为在OSPF区域视图下authentication-mode md5。 访问控制为了防止局域网对广域网设备的非法访问，在广域区交换机与局域网相连的端口上应用入方向的ACL访问控制，只允许运行管理区的特定主机可以访问广域网设备，其他的一概不能访问。 路由隔离由于各个业务网都能访问到数据中心网，而各个业务网之间是相互隔离的，因此需要在各个业务网的核心设备上开启路由隔离，防止各个业务网的设备间互相学习路由，从而禁止相互访问。 端口组播/广播抑制当网络中因为某种因素出现广播风暴或者较多组播报文时，这些报文的泛滥会造成端口的阻塞，交换机会把大量的

23、广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。我们可以设置各个业务网交换机的端口或VLAN广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。8.3 业务安全 网络层面ACL的缺省规则应该为deny，开放的访问需要通过手工添加permit规则，以防止可能产生的安全漏洞。 应用层面ACL控制只能实现网络层面的防护，并不能识别应用层的数据，要实现全面的安全防护，还需要借助于专用的安全设备。 高级的业务安全控制端口安全：根据用户的网络安全特性，在可维护性和网络安全性之间选择平衡点；设备端口在接入用户之前处于关闭状态；端口使能Port-security功能，限定用户接入位置第9章 项目验收标准9.1 测试验收表测 试 项 目设备验收测试测试结果竣工验收测试移交运行测试1.1 网络设备 OK POK NG NT1.1.1 启动测试1.1.2 状态检查1.1.3 配置检查1.1.4 端口检查1.1.5 物理检查3.2 性能指标1.2.1 带宽测试1.2.2 利用率测试1.2.3 吞吐量测试1.2.4 延迟测试3.3 网络容错性