项目详细实施方案模板V10.docx
《项目详细实施方案模板V10.docx》由会员分享,可在线阅读,更多相关《项目详细实施方案模板V10.docx(80页珍藏版)》请在冰点文库上搜索。
项目详细实施方案模板V10
XX园区网项目详细实施方案
文档修订记录
序号
修订内容简述
修订日期
目前版本号
作者
1
XX园区网项目实施方案框架编写
2013-8-11
1.0
姚成龙
2
XX园区网项目实施方案框架修改与方案编写
2013-8-14
1.1
姚成龙
3
XX园区网项目实施方案组网图修改与楼宇编号修改
2013-8-15
1.2
姚成龙
4
XX园区网项目实施方案组网图端口规划编写
2013-8-16
1.3
姚成龙
5
XX园区网项目实施方案中添加详细实施脚本
2013-8-19
1.4
姚成龙
6
XX园区网项目实施方案详细实施脚本修改
2013-8-21
1.5
姚成龙
7
XX园区网项目实施方案详细实施脚本再次修改
2013-8-23
1.6
姚成龙
8
XX园区网项目实施方案部分命令修改
2013-8-26
1.7
姚成龙
9
XX园区网项目实施方案部分添加802.1x认证
2013-9-05
1.8
姚成龙
1文档介绍
1.项目背景
XX确立了“精品银行”的发展战略,提出“发挥作为第一生产力的核心作用,实现信息科技从面相经营到面向经营和管理并重转变,促进我行业务转型和管理水平提升,为我行稳健经营、快速发展提供强大的科技支撑”的发展思路。
2.项目目标
张江园区办公网络满足10月12日信息技术部入驻张江园区、11月3日信用卡中心、营运管理中心、客户中心等三个业务部门入驻张江园区的网络接入需求。
3.文档目的
本文档的主要目的是:
指导我行张江园区办公网的网络实施。
4.文档简介
本文档主要面向我行的网络技术人员、管理人员,同时也面向网络实施单位,用于指导该项目的实施,是该项目工程实施的指导性文件之一。
5.设计范围
针对XX张江园区网的网络架构进行设计,指导新系统上线时的网络实施工作,其内容包括了:
Ø网络总体架构
Ø园区网架构设计
⏹网络基础服务设计
Ø网络设备命名设计
Ø交换网络设计
Ø路由设计
ØIP地址分配设计
⏹网络高可用设计
Ø网络设备的高可用性设计
Ø二层网络协议的高可用性设计
Ø三层网络协议的高可用性设计
⏹网络安全设计
Ø网络架构安全设计
Ø网络安全技术设计
Ø网络设备配置设计
⏹网络管理设计
Ø网络性能管理设计
Ø网络配置管理设计
6.术语定义
CSS简介
1、堆叠的定义
堆叠,是指通过专用或复用的堆叠端口和堆叠线缆,把多台支持堆叠特性的单独交换机组合在一起,从逻辑上像一台交换机实现报文转发。
Ø整个堆叠系统只有一个控制平面(所有物理交换机使用相同的系统MAC,IP地址和全局配置);
Ø用户使用一个IP对堆叠进行管理和维护;
Ø相邻设备不感知是单机还是堆叠系统,和堆叠系统的接口和原来的单机一样。
网管和堆叠系统之间的接口采用命令行、SNMP以及netconf接口,用户和堆叠系统之间的接口采用命令行;
核心交换机接口由单机的三维变为四维,TOR交换机接口由单机的二维变为三维
2、堆叠的优点
多台交换机通过堆叠在逻辑上形成一台整体的交换机之后,可以带来以下的好处:
Ø减少网络节点;
Ø增强网络的可靠性;
Ø提高端口密度和带宽;
Ø避免多设备间启用STP/MSTP协议。
3、堆叠系统的构成
一个典型的堆叠系统在物理上由以下两部分部分构成:
成员交换机和堆叠线缆。
成员交换机就是普通的交换机,不过必须是支持堆叠特性的同一系列的交换机,如63系列、93系列等。
堆叠线缆用于连接各个成员交换机。
与堆叠线缆相对应的是位于成员交换机上的堆叠端口。
堆叠端口有两种形式:
专用的堆叠口和复用的普通业务口。
前者对应着专用的堆叠线缆,后者对应着复用的网线或光纤。
复用普通业务口时,往往会把多个端口加入到一个Trunk口中,然后将整个Trunk口作为逻辑上的一个“堆叠口”,而把其中的业务口称为“成员口”。
逻辑功能上,一个堆叠系统中分为三类交换机:
主交换机、备交换机、从交换机。
成员交换机在逻辑功能上的这三种类别,对应着三种不同的角色。
主交换机又叫做“堆叠主”,是整个堆叠系统的控制、管理的核心。
备交换机又叫做“堆叠备”,在堆叠系统里充当着堆叠主的备份,当堆叠主出故障或进行人为的主备倒换时,堆叠备会升为堆叠主,替代之前的堆叠主继续完成对整个堆叠系统的控制和管理,从而提高整个堆叠系统的可靠性。
堆叠主和堆叠备以外的成员交换机都是从交换机,又叫做“堆叠从”,作为堆叠系统里的普通的一员,完成对报文的转发和响应堆叠主的管理和配置。
在建立堆叠系统时,成员交换机之间需要通过互发竞争报文(SPDU报文)来进行竞争得到堆叠主、堆叠备、堆叠从。
POE供电简介
PoE全称为PoweroverEthernet,是指通过10BASE-T、100BASE-TX、1000BASE-T以太网网络进行供电。
通过这种方式,终端设备在接入网络的同时就可以实现受电,可以有效的解决IP电话、无线AP(AccessPoint)、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电问题,不再需要考虑这些设备的室内电源系统布线的问题。
在兼容性方面,PoE供电的统一标准是IEEE802.3at和802.3af标准,可以兼容不同厂家设备。
Voice-vlan简介
VoiceVLAN是为用户的语音数据流划分的VLAN。
用户通过创建VoiceVLAN并将连接语音设备的接口加入到VoiceVLAN中,使语音数据流集中在VoiceVLAN中进行传输。
采用VoiceVLAN的方式,便于对语音数据流进行有针对性的QoS(QualityofService)配置,提高语音数据流量的传输优先级,保证通话质量。
7.参考文档
《XX两地三中心整体建设咨询项目_两地三中心网络架构设计v1.1》
《XX张江园区网园区网络非业务部分技术建议书》
2网络架构
2.1整体物理架构图(网络拓扑)
核心层部署园区的核心设备,连接所有的汇聚交换机,转发各个部门之间的流量。
核心交换区采用两台新一代高端智能路由交换机S7706作为整个园区网网络的核心,核心交换机之间采用万兆以太网接口互联堆叠,建立起一个高可靠的高速交换核心区。
汇聚层是部门的核心,转发用户间的“横向”流量。
同时提供到核心层的“纵向”流量。
对接入层隐藏核心层,将大量用户接入到互联的网络中,扩展核心层设备接入用户的数量。
汇聚区采用两台下一代全万兆盒式交换机S6700作为每栋楼的核心,两台汇聚交换机之间采用万兆以太网接口互联堆叠,建立起一个高可靠的汇聚交换核心区。
接入层是最靠近用户的网络,为用户提供各种接入方式,是终端接入网络的第一层。
每楼层布放1-2台接入交换机,每台接入交换机双归属到汇聚层堆叠交换机。
整个园区网分为8栋楼分区,每栋楼编号对应业务分区:
●A客服中心
●B卡迪、信用卡中心
●C后备中心3号楼
●D后备中心2号楼
●E后备中心1号楼
●F会计中心
●H(G,I)宿舍、教室、报告厅
●J数据信息中心南塔楼
2.2网络高可靠性设计
XX张江园区网承载着该园区的所有办公业务,所以对网络可用性的要求较高。
2.2.1核心高可用
●两台防火墙配置双机热备,并通过端口捆绑方式连接核心交换机
●两台S7706交换机通过8根堆叠线缆交叉连接虚拟成一台交换机,避免单台交换机发生整机故障或单板故障造成的单点故障。
●两台AC6605双机热备,AC之间通过一根心跳连接线检测主备状态,避免AC连接的单台交换机发生单板故障或整机故障而造成两台AC形成双主情况。
2.2.2汇聚高可用
在园区网内部的网络架构中,园区网核心以及各功能区域均采用冗余的网络结构设计。
2.2.2.1园区核心与楼宇汇聚互联
园区网核心交换机与各个栋楼的汇聚交换机采用全互联的方式,满足高可用性。
●该高可用性设计部署于园区网核心交换机与所有楼汇聚交换机的互联。
2.2.2.2接入交换机与汇聚交换机互联
楼层汇聚交换机与接入交换机互联的高可用,采用接入交换机上行到汇聚堆叠交换机的不同成员设备的链路聚合来实现,为了防止接入层交换机产生环路,汇聚层与接入层交换机上开启MSTP生成树,所有链路均为活动链路。
该高可用性设计部署于所有楼宇的接入交换机上行与汇聚交换机互联。
2.2.3网络设备高可用
建议在园区网的核心设备选型上,采用高性能和高可靠的网络设备用来保证园区网网络整体的高可用性。
●电源冗余
核心设备与汇聚设备均采用双电源模块。
●引擎冗余
核心交换机设备配置双引擎,并支持的无缝切换。
●业务板卡冗余
业务板卡通过两台交换机堆叠虚拟成一台形成冗余。
2.2.4三层高可用
XX张江园区网采用的三层高可用技术主要有以下一种:
⏹1.VRRP虚拟路由器冗余协议
VRRP(VirtualRouterRedundancyProtocol)将一组路由器构成一台虚拟路由器,把发送到虚拟路由器的数据包动态分配到某一台VRRP路由器上。
使用VRRP提高了默认网关的可用性而无需在每个终端主机上配置动态路由或路由发现协议。
园区网两台出口防火墙与核心交换机之间采用VRRP协议,两台防火墙对核心交换机虚拟成一台防火墙。
2.2.5二层高可用
二层高可用主要通过STP实现。
为了防止接入层交换机上网线错接产生的环路问题,建议在楼宇汇聚交换机与接入层交换机上开启MSTP协议,并配置stpedged-portenable命令将接入交换机下行端口配置为边缘接口。
2.3详细架构设计
2.3.1核心交换区
核心层是整个张江园区网络的核心,连接张江园区各栋楼之间的办公网络。
核心交换区采用两台新一代高端智能路由交换机S7706,两台核心交换机之间采用8根QSFP高速电缆-10m交叉互联堆叠,建立起一个高可靠的高速交换核心区。
设备型号:
☐CSS:
华为S7706
2.3.2汇聚交换区
汇聚层是是每栋楼的核心,转发用户间的“横向”流量。
同时提供到核心层的“纵向”流量。
汇聚区采用两台下一代全万兆盒式交换机S6700作为每栋楼的核心,两台汇聚交换机之间采用4根SFP+堆叠线缆(100cm,含8个堆叠模块)互联堆叠,建立起一个高可靠的高速交换汇聚区。
设备型号:
☐CSS:
华为S6700
2.3.3A楼-客服中心区
客服中心楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
合计
S5700数量(台)
1
1
1
3
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.4B楼-卡迪、信用卡中心区
卡迪、信用卡中心楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
S5700数量(台)
1
2
2
2
2
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.5C楼-后备中心3号楼区
核心交换区后备中心3号楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
6
7
8
S5700数量(台)
1
1
1
1
1
1
1
1
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.6D楼-后备中心2号楼区
核心交换区后备中心2号楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
6
7
8
S5700数量(台)
2
2
2
2
2
2
2
2
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.7E楼-后备中心1号楼区
核心交换区后备中心1号楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
6
7
8
S5700数量(台)
1
2
2
2
2
2
2
2
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.8F楼-会计中心区
会计中心楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
S5700数量(台)
1
1
1
1
1
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.9H/G/I楼-宿舍、教室、报告厅
宿舍、教室、报告厅楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
S5700数量(台)
1
1
1
1
1
1
1
1
1
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
2.3.10J楼-数据信息中心南塔楼区
数据信息中心南塔楼区采用两台下一代全万兆盒式交换机S6700作为汇聚核心,接入楼层采用S5700交换机,每台S5700通过双链路聚合上行到汇聚S6700堆叠交换机。
楼层
1
2
3
4
5
6
7
8
S5700数量(台)
1
1
1
2
2
2
2
1
设备型号:
☐汇聚CSS:
华为S6700
☐有线接入:
华为S5700
☐无线接入:
华为AP5010DN-AGN
3网络基础服务设计
3.1网络设备命名设计
3.1.1总体要求
为便于全行园区网设备信息的快速识别,局域网络设备均应按照本节命名规则进行命名,采用可变长度方式,最长不超过20个字符,最少不少于16个字符。
园区网网络设备的命名规则设计如下:
命名采用AAbbnCCNNNN[Fnn]-nn的命名规则,其中En被方括号包围,表示此为可选项
AA:
两位字母,为园区网标识,石泉为SQ,张江为ZJ
BBn:
两位字母BB加一位数字n,BBn为站点内部功能区域标识,如一个园区网内仅存在一种功能区,n可省略,比如核心区,业务一区,业务二区等等
CC表示设备所在的网络层次,防火墙的层次依据保护的主体定义,比如网银APP与WEB之间的防火墙定义层次定义为APP层。
NNNN:
4位以下数字,为设备型号的数字位,如Nexus7010可以表示为7010,Catalyst6509可以表示为6509。
Fn:
为可选项,用于以下情形:
园区大楼:
一位字母用于表示大楼,用A,B,C,D…Z表示,可以标识一个园区内的26栋大楼,后续的代号一位数字表示,1-9表示1层至9层。
nn:
两位数字,用来区分同类型,同型号的设备。
如果设备存在主备关系,则主设备为01,从设备为02。
如果数台同类型同型号设备。
3.1.2设备具体命名
级别
设备型号
物理位置
楼层
命名
核心
堆叠7706
数据信息中心
ZJca2HX7706-01
旁挂核心
AC6605
数据信息中心
ZJca2AC6605-01
ZJca2AC6605-02
汇聚
堆叠6700
客服中心IDC
ZJca2HJ6700A-01
卡迪、信用卡中心IDC
ZJca2HJ6700B-01
后备中心3号楼IDC
ZJca2HJ6700C-01
后备中心2号楼IDC
ZJca2HJ6700D-01
后备中心1号楼IDC
ZJca2HJ6700E-01
会计中心IDC
ZJca2HJ6700F-01
宿舍、教室、报告厅IDC
ZJca2HJ6700H-01
数据信息中心南塔楼IDC
ZJca2HJ6700J-01
接入
5700
客服中心
1F
ZJca2JR5700A1-01
2F
ZJca2JR5700A2-01
3F
ZJca2JR5700A3-01
卡迪、信用卡中心
1F
ZJca2JR5700B1-01
2F
ZJca2JR5700B2-01
ZJca2JR5700B2-02
3F
ZJca2JR5700B3-01
ZJca2JR5700B3-02
4F
ZJca2JR5700B4-01
ZJca2JR5700B4-02
5F
ZJca2JR5700B5-01
ZJca2JR5700B5-02
后备中心3号楼
1F
ZJca2JR5700C1-01
2F
ZJca2JR5700C2-01
3F
ZJca2JR5700C3-01
4F
ZJca2JR5700C4-01
5F
ZJca2JR5700C5-01
6F
ZJca2JR5700C6-01
7F
ZJca2JR5700C7-01
8F
ZJca2JR5700C8-01
后备中心2号楼
1F
ZJca2JR5700D1-01
ZJca2JR5700D1-02
2F
ZJca2JR5700D2-01
ZJca2JR5700D2-02
3F
ZJca2JR5700D3-01
ZJca2JR5700D3-02
4F
ZJca2JR5700D4-01
ZJca2JR5700D4-02
5F
ZJca2JR5700D5-01
ZJca2JR5700D5-02
6F
ZJca2JR5700D6-01
ZJca2JR5700D6-02
7F
ZJca2JR5700D7-01
ZJca2JR5700D7-02
8F
ZJca2JR5700D8-01
ZJca2JR5700D8-02
后备中心1号楼
1F
ZJca2JR5700E1-01
2F
ZJca2JR5700E2-01
ZJca2JR5700E2-02
3F
ZJca2JR5700E3-01
ZJca2JR5700E3-02
4F
ZJca2JR5700E4-01
ZJca2JR5700E4-02
5F
ZJca2JR5700E5-01
ZJca2JR5700E5-02
6F
ZJca2JR5700E6-01
ZJca2JR5700E6-02
7F
ZJca2JR5700E7-01
ZJca2JR5700E7-02
8F
ZJca2JR5700E8-01
ZJca2JR5700E8-02
会计中心
1F
ZJca2JR5700F1-01
2F
ZJca2JR5700F2-01
3F
ZJca2JR5700F3-01
4F
ZJca2JR5700F4-01
5F
ZJca2JR5700F5-01
宿舍、教室、报告厅
宿舍1F
ZJca2JR5700H1-01
宿舍2F
ZJca2JR5700H2-01
宿舍3F
ZJca2JR5700H3-01
宿舍4F
ZJca2JR5700H4-01
宿舍5F
ZJca2JR5700H5-01
教室1
ZJca2JR5700G1-01
教室2
ZJca2JR5700G2-01
教室3
ZJca2JR5700G3-01
ZJca2JR5700G3-02
报告厅1F
ZJca2JR5700I1-01
数据信息中心南塔楼
1F
ZJca2JR5700J1-01
2F
ZJca2JR5700J2-01
3F
ZJca2JR5700J3-01
4F
ZJca2JR5700J4-01
ZJca2JR5700J4-02
5F
ZJca2JR5700J5-01
ZJca2JR5700J5-02
6F
ZJca2JR5700J6-01
ZJca2JR5700J6-02
7F
ZJca2JR5700J7-01
ZJca2JR5700J7-02
8F
ZJca2JR5700J8-01
3.2设备板卡及端口使用设计
3.2.1设备板卡安装规则
3.2.1.1S7706设备板卡使用原则
张江园区网核心采用华为S7706交换机,主要配置为:
40端口万兆以太网光接口板(FC,SFP+)。
考虑到S7706设备电源在设备下方,为了有利于业务单板散热,具体设备板卡安装规划如下表所示:
S7706
槽位号
板卡型号
板卡类型
备注
Slot6
空闲
空闲
Slot5
EH1D2G48SEC0
40端口万兆以太网光接口板(FC,SFP+)
SFP千兆
Slot4
空闲
空闲
Slot8
SRU
主控板(含交换网)
Slot7
SRU
主控板(含交换网)
Slot3
空闲
空闲
Slot2
空闲
空闲
Slot1
空闲
空闲
3.2.1.2S6700设备板卡使用原则
张江园区网每栋楼汇聚层采用华为S6700交换机,主要配置为:
24端口万兆以太网光接口板(FC,SFP+)。
3.2.1.3S5700设备板卡使用原则
张江园区网每栋楼每层接入层采用华为S5700(PoE+)交换机,包含48个10/100/1000Base-T以太网端口,另扩展一块4端口万兆SFP+接口板。
3.2.1.4AC6605设备板卡使用原则
张江园区网WLAN无线控制器采用华为AC6605,包含2个10GE光口,20+4个GE口(24个电口,其中最后4个电口与4个光口组成combo。
)
3.2.2设备端口使用规则
3.2.2.1核心区端口使用规则
本端
对端
级别
物理位置
命名
端口名称
级别
物理位置
命名
端口名称
核心7706
数据信息中心
ZJca2HX7706-01
1/5/0/0
汇聚6700
客服中心IDC
ZJca2HJ6700A-01
0/0/19
1/5/0/1
1/0/19
2/5/0/0
0/0/20
2/5/0/1
1/0/20
1/5/0/2
卡迪、信用卡中心IDC
ZJca2HJ6700B-01
0/0/19
1/5/0/3
1
升级会员 