网络改造设计方案Word文档格式.docx

1、项目领导小组负责项目调整过程中重大问题的决策。工程技术组具体负责建设过程中的工程组织和实施工作、并及时向领导小组汇报工程进展情况；负责项目前期的准备工作、工程实施方案、对工程实施中出现的技术问题进行分析解决、对整个工程实施提供技术支持、工程验收。工程管理组制定工程实施计划、负责设备到货验收、安排工程实施的各项工作、协调工程实施中的问题、组织工程验收。4.工程进度计划序号任务名称开始时间完成时间1项目启动会2协调客户准备安装环境3工程实施技术方案设计4网络割接5工程文档制作和移交6初验7试运行8终验5.工程实施5.1.资源准备5.1.1 IP地址规划本次网络改造的主要目的为将北非橄榄项目公司的I

2、P地址进行重新的规划和替换，以前网络中IP地址比较混乱且不易管理的问题。此部分难度较大，由于前线应用系统复杂，基于AD域控的Call Manager、OA认证、Exchanger等服务的地址的变更将会直接影响整个北非橄榄项目网络的使用。同时，由于北非橄榄项目公司网络在Kandaha、北京均有用户存在，并通过当地北非当地网络和集团广域网连接。故我们也不能通过服务器地址的私有化、不发布而避开改造。基于以上情况，我们将按照以下困难程度顺序依次进行实施设计。争取在最短时间内，尽可能不干扰用户使用的情况下，完成IP地址的变更。IP地址变更环节如下：1、关键应用服务器（AD域控、Exchange、Call

3、 Manager）地址的变更；2、非关键应用服务器地址的变更；3、北非橄榄公司用户段地址变更；4、IP电话地址变更；5、设备管理地址、功能终端的地址变更；5.1.1.1 IP地址规划原则北非橄榄网络改造过程中，需要对现有网络中的IP地址进行变更。将使用172.16.128.0-172.16.135.255替换现有的地址。主要实施步骤如下：完成三层设备网间路由及网间地址的变更在核心设备路由、交换机、防火墙等三层网络设备配置新的路由条目以确保终端IP地址更改后路由的通畅。完成二层设备管理地址变更，并更改路由：修改二层设备配置的同时，按照新IP地址规划表、配置规范对设备重新进行VLAN划分、VTP配

4、置、安全配置、端口描述、设备重命名等细节配置，以减轻二期改造的工作量。并对过程加以记录，对配置进行存档。完成服务器地址的变更，并更改路由：修改服务器地址的过程中， 网络方面配合服务器地址的变更配置量较小。完成固定IP应用终端地址的变更：静态IP终端地址的变更，可根据地域逐步进行，需要更改的有：专用打印机、扫描仪、IP摄像头等。并在修改后，运维调试一定时间。完成三层设备网间及接口地址的变更修改三层设备互联接口地址实现新老路由的切换。5.1.1.2 设备间链路地址分配路由器间链路的IP地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个路由器之间的连接。因而从这个角度上讲，这部分的

5、地址空间的分配应当考虑以下的方面：尽可能以分层次的方式分配地址。由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。提供足够的预留空间，以满足今后新增链路的需要。采用上面的分层次的链路地址分配结构，能够保证路由处理的高效性。而在实施的过程中，应当考虑到在根据业务需要新增链路的时候，这种分层次的结构尽量不会被打破。那么，就需要在初期分配的时候，考虑到不远的将来可能进行的扩容，从而进行相应的预留。互连链路地址采用30位掩码的

6、分配方式。5.1.1.3 IP地址分配将172.16.128.0/21用于北非橄榄公司用户，其中：172.16.128.0/25 用于核心骨干网间地址172.16.128.128/25 用于设备管理地址172.16.129.0/25 用于服务器地址172.16.129.128/25 用于功能性设备地址172.16.130.0/22 用于用户地址172.16.134.0/24 用于IP电话地址172.16.135.0/25 用于领导地址172.16.135.128/25 预留核心骨干网间IP地址规划如下图：地址描述备注应用172.16.128.0网间地址172.16.128.1核心路由A接口地址

7、172.16.128.2172.16.128.3172.16.128.4172.16.128.5172.16.128.6ASA5520-01172.16.128.7广播地址172.16.128.8172.16.128.9核心路由B172.16.128.10172.16.128.11172.16.128.12172.16.128.13172.16.128.14Bluecoat SG510172.16.128.15172.16.128.16172.16.128.17172.16.128.18172.16.128.19172.16.128.20172.16.128.21172.16.128.22深信

8、服172.16.128.23172.16.128.24172.16.128.25172.16.128.26172.16.128.27172.16.128.28172.16.128.29172.16.128.304503-02172.16.128.31172.16.128.32172.16.128.33172.16.128.34172.16.128.35172.16.128.36172.16.128.37172.16.128.384503-01172.16.128.39172.16.128.40172.16.128.41172.16.128.42172.16.128.43172.16.128.4

9、4172.16.128.45172.16.128.46ASA5520-02172.16.128.47IP地址详细规划表请参照附表（IP地址规划表）。5.1.3 设备命名5.1.3.1核心设备命名规则核心设备命名采用“物理区域名-设备型号-逻辑层缩写”的格式进行编写。命名中物理区域名与实际地址的对应关系为：前线营地： CampKandaha： Tdad前线小队： Team命名中设备型号名与实际设备的对应关系为：CISCO2821: 2821命名中逻辑层缩写，由于为核心设备均标注为：“COR”例：前线营地的2821 = Camp-2821-COR5.1.3.2汇聚设备命名规则汇聚设备命名采用“物理

10、区域名-设备型号-逻辑层缩写”的格式进行编写。命名中物理区域名与实际地址的对应关系与核心设备命名规则一致。CISCO4507: 4507CISCO3560: 3560CISCO2960： 2960“DIS”前线营地的3560 = Camp-3560-DIS5.1.3.3接入设备命名规则接入设备命名采用“所在区域名-所属甲方地区名（-附属地区名）-设备型号缩写-编号”的格式进行编写。命名中设备所在区域名与所属甲方地区名的对应关系为： 例： 营地：机房：Camp- Core Room-3560-01 Kandaha： 办公室机房： Tdad-Office-3560-01 小队：Team01-off

11、ice-3560-01 CISCO2960:命名中编号中，便满足“物理区域名-所属甲方地区名-服务公司名-设备型号-编号”即可，可以不分层级，均按照01、02、03、04续延。原则是，按照我们归纳的逻辑区域进行划分，编制接入设备命名时，将以此区域作为整体进行编号，此逻辑区域并非全为机房。5.1.3.4.1网间地址端口主要为设备互连和链接功能设备所用描述。具体格式如下：TO-例1：此端口链接对端为营地2821设备的G0/1口，对端IP172.16.128.7Camp-ASA5520-G0/1- 5.1.3.4.2 Trunk端口主要为二层设备之间链接与接入汇聚互连接口的描述所用。设备HOSTNA

12、ME-对端接口即可。特殊Access端口：主要为描述一些特殊终端设备，比如服务器、领导、摄像头等等。FOR-“设备类型”-“功能描述”-“编号”。服务器描述格式：FOR-Server-“功能”-编号 此端口链接对端为营地的第N个摄像头，地址为1.1.1.1 FOR-Camera-1#Dorm-N 例2:此端口链路对端为第二台AD服务器，地址为2.2.2.2 FOR-Server-AD-02 5.1.3.5 VLAN规则VLAN ID与命名VLAN 101 网络设备管理地址 ：DeviceVLAN 111 服务器地址 ：ServerVLAN 121 领导地址 ：LeaderVLAN 122 BG

13、P领导地址 ：UserVLAN 200: IP电话 ：VoIP5.1.3.6 VTP配置在每区域的汇聚设备上，配置加密认证的VTP服务端。每区域交换机配置为Client端。VTP的域名分别为：CampBagdad小队:team5.1.3.7 静态路由描述设备HOSTNAME例如：Camp-ASA55205.1.3.8 打印机服务器步骤和标准收集打印机MAC地址、所在楼宇、所在房间号、型号，寻找MAC对应的具体交换机的接口并记录在IP地址对应表中，将打印机其他资料也填入新的IP地址表中，并分配IP；按照楼宇名-房间号-IP地址为打印机命名建立服务器；在DHCP服务器上按照IP地址对应表为打印机地

14、址做好MAC-IP的分配；编写用户修改手册（打印机配置的+用户PC更改的）；网络打印机方面路由切换完成；网络切换的同时，将所有之前记录在案的打印机端口更换新的VLANID；测试、并对于无法获得地址的打印机手工配置IP地址。（如果按照此方式建立打印服务器条目的话，在打印服务器里就可以看到IP地址）；服务器上的共享打印机命名规则：名称：楼宇-房间号-Black/Colour/Map（黑白、彩色、绘图仪）备注：XX.XX.XX.XX-型号5.2 设备安装前准备5.2.1 项目协调会北非橄榄项目能否顺利实施的一个重要因素就是工程相关部门和人员进行合作的密切性和一致性。相互之间的合作和理解是工程实施成功

15、的重要基石。通过项目协调会的方式可以使参与工程项目的各个部门和人员加强交流，以明确各自职责并共同合作完成实施工作。5.2.2 机房现场勘查和准备工程实施准备阶段，做好设备安装机房的现场勘察工作，并根据现场勘察结果提出机房现场准备的建议，进行机房准备工作。下述环境因素比较重要：现有线缆布局和配线排布局；设备安装地建筑物强度（机房承重能力）；电路设备状况；机架空间和可利用机架状况；电源能力和地线排布局；用户对设备安装所能提供的具体支持（设备支持、人力支持、管理支持、技术支持、等等）；具体建议如下：1机房电源、地线及同步要求要求使用不间断稳压电源供电。稳压源（含UPS）的输入中心线和输出中心线不能相

16、联，需分别接地，各自构成回路，不能交叉。地线：机房设备机架全部接地，要求接地电阻不大于4欧姆。照明、办公设备不得与设备电源相联。电源：电源为单相220伏，由最短可提供30分钟后备池的UPS保护；UPS的输入应为主供电系统，由可切换的发电机电源支持。2机房环境要求机房设计环境如下表所示：No项 目参 考 值空气条件尘埃，低于0.3mg/m3振动机房内部地面低于0.25G有害气体气体浓度不能高于危害操作员健康和机器寿命的限度.地板强度大于等于500kg/m2（相当于一般写字楼的地面）地板表面防静电材料防尘封材料楼层高度大于等于2.2m墙壁和天花板阻燃材料吸音和隔音材料窗户为防止阳光对设备损害, 应

17、加窗帘防尘和防止盐类与有害气体的腐蚀9门最窄不小于1.2m, 最高不少于2.0m10保安能防火、防洪水与地震和操作员及设备安全11卫生条件能防鼠患和昆虫12防火安装自动火警装置和灭火器13电场强度120dB（1V/m），频率范围从10KHZ到1GHZ14磁场强度50 Oe（显示器要求为0.015 Oe）15静电6KV（试验设备的要求为150PF/330Ohm）16照明300到700流明（luX）高于地顿85cmC推荐500流明17工作温度32 104F （0 to 40C）18非工作温度-40 185F （-40 to 8519工作湿度5 95%, 非 冷 凝20噪音水平3 英 尺 （0.91

18、4 m） 处 为 34 dB15.4 工程实施步骤5.4.1 第一步：设备配置主要任务：核心路由器配置（静态路由协议）。汇聚交换机配置（启用STP协议、Trunk配置、Vlan配置等）。内网安全设备配置5.4.1 第二步：连通性测试配置完成，检查端口UP状态。路由协议正常运行。测试路由是否已配置正确测试连通性实施内容：检查路由表#show ip router Ping 核心交换机接口地址Ping 核心路由器接近欧地址5.5 配置实例5.5.1 定义路由器名称 Hostname 路由器名称 5.5.2 配置接口地址定义互联接口地址interface端口号 description 端口描述信息 i

19、p address 接口地址 掩码5.5.3 Trunk部分配置模板：interface g0/1（config-if）sw mode trunk （config-if）sw tr en dot1q （config-if）sw tr al vlan all5.5.4 VTP部分VTP通过网络（ISL帧或cisco私有DTP帧）保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtp server做相应设置,vtp client会自动学习vtp server上的vlan信息#v

20、lan database（vlan）#vtp domain TAG-ASB（vlan）#vtp server（vlan）#vtp password TAG-ASB5.5.5 Vlan部分VLAN（Virtual Local Area Network，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个 VLAN内。Vlan优点1. 限制网络上的广播。VLAN可以提供建立防火墙的机制，防

21、止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该 VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。2. 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3. 增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境

22、 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。本次项目实施根据业务需求与部门分工建立不同Vlan# 创建VLAN20和VLAN30，并配置VLAN20和VLAN30的描述字符串,将端口GigabitEthernet2/0/1加入到VLAN20, GigabitEthernet2/0/2加入到VLAN30。Switch1#vlan database Switch1（vlan）#vlan 20 name vlan20Switch1（vlan）#exitSwitch1#c

23、onfig t Switch1（config）#interface GigabitEthernet2/0/1Switch1（config-if）#switchport mode access Switch1（config-if）#switchport access vlan20 Switch1（config-if）#spanning-tree portfastSwitch1（vlan）#vlan 30 name vlan30Switch1（config）#interface GigabitEthernet2/0/2Switch1（config-if）#switchport access vlan30 其它Vlan相同配置# 创建VLAN20和VLAN30的接口，IP地址分别配置为1.1.1.1和1.1.2.1Switch1（config）#int vlan 20Switch1（config-if）#ip address 1.1.1.1 255.255.255.255Switch1（config）#int vlan 30Switch1（config-if）#ip address 1.1.2.1 255.255.255.255