网络改造设计方案Word文档格式.docx
《网络改造设计方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《网络改造设计方案Word文档格式.docx(17页珍藏版)》请在冰点文库上搜索。
![网络改造设计方案Word文档格式.docx](https://file1.bingdoc.com/fileroot1/2023-5/10/c48c204f-115c-4cd9-8200-74ac330e4ab2/c48c204f-115c-4cd9-8200-74ac330e4ab21.gif)
项目领导小组负责项目调整过程中重大问题的决策。
工程技术组具体负责建设过程中的工程组织和实施工作、并及时向领导小组汇报工程进展情况;
负责项目前期的准备工作、工程实施方案、对工程实施中出现的技术问题进行分析解决、对整个工程实施提供技术支持、工程验收。
工程管理组制定工程实施计划、负责设备到货验收、安排工程实施的各项工作、协调工程实施中的问题、组织工程验收。
4.工程进度计划
序号
任务名称
开始时间
完成时间
1
项目启动会
2
协调客户准备安装环境
3
工程实施技术方案设计
4
网络割接
5
工程文档制作和移交
6
初验
7
试运行
8
终验
5.工程实施
5.1.资源准备
5.1.1IP地址规划
本次网络改造的主要目的为将北非橄榄项目公司的IP地址进行重新的规划和替换,以前网络中IP地址比较混乱且不易管理的问题。
此部分难度较大,由于前线应用系统复杂,基于AD域控的CallManager、OA认证、Exchanger等服务的地址的变更将会直接影响整个北非橄榄项目网络的使用。
同时,由于北非橄榄项目公司网络在Kandaha、北京均有用户存在,并通过当地北非当地网络和集团广域网连接。
故我们也不能通过服务器地址的私有化、不发布而避开改造。
基于以上情况,我们将按照以下困难程度顺序依次进行实施设计。
争取在最短时间内,尽可能不干扰用户使用的情况下,完成IP地址的变更。
IP地址变更环节如下:
1、关键应用服务器(AD域控、Exchange、CallManager)地址的变更;
2、非关键应用服务器地址的变更;
3、北非橄榄公司用户段地址变更;
4、IP电话地址变更;
5、设备管理地址、功能终端的地址变更;
5.1.1.1IP地址规划原则
北非橄榄网络改造过程中,需要对现有网络中的IP地址进行变更。
将使用172.16.128.0-172.16.135.255替换现有的地址。
主要实施步骤如下:
完成三层设备网间路由及网间地址的变更
在核心设备路由、交换机、防火墙等三层网络设备配置新的路由条目以确保终端IP地址更改后路由的通畅。
完成二层设备管理地址变更,并更改路由:
修改二层设备配置的同时,按照《新IP地址规划表》、《配置规范》对设备重新进行VLAN划分、VTP配置、安全配置、端口描述、设备重命名等细节配置,以减轻二期改造的工作量。
并对过程加以记录,对配置进行存档。
完成服务器地址的变更,并更改路由:
修改服务器地址的过程中,网络方面配合服务器地址的变更配置量较小。
完成固定IP应用终端地址的变更:
静态IP终端地址的变更,可根据地域逐步进行,需要更改的有:
专用打印机、扫描仪、IP摄像头等。
并在修改后,运维调试一定时间。
完成三层设备网间及接口地址的变更
修改三层设备互联接口地址实现新老路由的切换。
5.1.1.2设备间链路地址分配
路由器间链路的IP地址,从业务的相关性上,他们一般不具有全局的功能,而只是提供完成两个路由器之间的连接。
因而从这个角度上讲,这部分的地址空间的分配应当考虑以下的方面:
尽可能以分层次的方式分配地址。
由于链路地址空间不具有全局性,因而并不需要在全网范围内为每个链路保持精确路由。
而采取分层次的地址分配方式,能够将链路地址逐级汇总,从而使得这些地址在各路由器的路由表中占有较少的空间。
以降低对路由器的要求,并保证路由器的处理效率。
提供足够的预留空间,以满足今后新增链路的需要。
采用上面的分层次的链路地址分配结构,能够保证路由处理的高效性。
而在实施的过程中,应当考虑到在根据业务需要新增链路的时候,这种分层次的结构尽量不会被打破。
那么,就需要在初期分配的时候,考虑到不远的将来可能进行的扩容,从而进行相应的预留。
互连链路地址采用30位掩码的分配方式。
5.1.1.3IP地址分配
将172.16.128.0/21用于北非橄榄公司用户,其中:
172.16.128.0/25用于核心骨干网间地址
172.16.128.128/25用于设备管理地址
172.16.129.0/25用于服务器地址
172.16.129.128/25用于功能性设备地址
172.16.130.0/22用于用户地址
172.16.134.0/24用于IP电话地址
172.16.135.0/25用于领导地址
172.16.135.128/25预留
核心骨干网间IP地址规划如下图:
地址
描述
备注
应用
172.16.128.0
网间地址
172.16.128.1
核心路由A
接口地址
172.16.128.2
172.16.128.3
172.16.128.4
172.16.128.5
172.16.128.6
ASA5520-01
172.16.128.7
广播地址
172.16.128.8
172.16.128.9
核心路由B
172.16.128.10
172.16.128.11
172.16.128.12
172.16.128.13
172.16.128.14
BluecoatSG510
172.16.128.15
172.16.128.16
172.16.128.17
172.16.128.18
172.16.128.19
172.16.128.20
172.16.128.21
172.16.128.22
深信服
172.16.128.23
172.16.128.24
172.16.128.25
172.16.128.26
172.16.128.27
172.16.128.28
172.16.128.29
172.16.128.30
4503-02
172.16.128.31
172.16.128.32
172.16.128.33
172.16.128.34
172.16.128.35
172.16.128.36
172.16.128.37
172.16.128.38
4503-01
172.16.128.39
172.16.128.40
172.16.128.41
172.16.128.42
172.16.128.43
172.16.128.44
172.16.128.45
172.16.128.46
ASA5520-02
172.16.128.47
IP地址详细规划表请参照附表(IP地址规划表)。
5.1.3设备命名
5.1.3.1核心设备命名规则
核心设备命名采用“物理区域名-设备型号-逻辑层缩写”的格式进行编写。
命名中物理区域名与实际地址的对应关系为:
前线营地:
Camp
Kandaha:
Tdad
前线小队:
Team
命名中设备型号名与实际设备的对应关系为:
CISCO2821:
2821
命名中逻辑层缩写,由于为核心设备均标注为:
“COR”
例:
前线营地的2821=Camp-2821-COR
5.1.3.2汇聚设备命名规则
汇聚设备命名采用“物理区域名-设备型号-逻辑层缩写”的格式进行编写。
命名中物理区域名与实际地址的对应关系与核心设备命名规则一致。
CISCO4507:
4507
CISCO3560:
3560
CISCO2960:
2960
“DIS”
前线营地的3560=Camp-3560-DIS
5.1.3.3接入设备命名规则
接入设备命名采用“所在区域名-所属甲方地区名(-附属地区名)-设备型号缩写-编号”的格式进行编写。
命名中设备所在区域名与所属甲方地区名的对应关系为:
例:
营地:
机房:
Camp-CoreRoom-3560-01
Kandaha:
办公室机房:
Tdad-Office-3560-01
小队:
Team01-office-3560-01
CISCO2960:
命名中编号中,便满足“物理区域名-所属甲方地区名-服务公司名-设备型号-编号”即可,可以不分层级,均按照01、02、03、04……续延。
原则是,按照我们归纳的逻辑区域进行划分,编制接入设备命名时,将以此区域作为整体进行编号,此逻辑区域并非全为机房。
5.1.3.4.1网间地址端口
主要为设备互连和链接功能设备所用描述。
具体格式如下:
TO-<
对端设备-接口>
-<
对端IP>
例1:
此端口链接对端为营地2821设备的G0/1口,对端IP172.16.128.7
Camp-ASA5520-G0/1>
-<
IP:
172.16.128.7>
5.1.3.4.2Trunk端口
主要为二层设备之间链接与接入汇聚互连接口的描述所用。
设备HOSTNAME-对端接口>
即可。
特殊Access端口:
主要为描述一些特殊终端设备,比如服务器、领导、摄像头等等。
FOR-“设备类型”-“功能描述”-“编号”<
设备IP地址>
。
服务器描述格式:
FOR-Server-“功能”-编号<
此端口链接对端为营地的第N个摄像头,地址为1.1.1.1
FOR-Camera-1#Dorm-N<
1.1.1.1>
例2:
此端口链路对端为第二台AD服务器,地址为2.2.2.2
FOR-Server-AD-02<
2.2.2.2>
5.1.3.5VLAN规则
VLANID与命名
VLAN101网络设备管理地址:
Device
VLAN111服务器地址:
Server
VLAN121领导地址:
Leader
VLAN122BGP领导地址:
User
VLAN200:
IP电话:
VoIP
5.1.3.6VTP配置
在每区域的汇聚设备上,配置加密认证的VTP服务端。
每区域交换机配置为Client端。
VTP的域名分别为:
Camp
Bagdad
小队:
team
5.1.3.7静态路由描述
设备HOSTNAME>
例如:
Camp-ASA5520>
5.1.3.8打印机服务器步骤和标准
收集打印机MAC地址、所在楼宇、所在房间号、型号,寻找MAC对应的具体交换机的接口并记录在IP地址对应表中,将打印机其他资料也填入新的IP地址表中,并分配IP;
按照"
楼宇名-房间号-IP地址"
为打印机命名建立服务器;
在DHCP服务器上按照IP地址对应表为打印机地址做好MAC-IP的分配;
编写用户修改手册(打印机配置的+用户PC更改的);
网络打印机方面路由切换完成;
网络切换的同时,将所有之前记录在案的打印机端口更换新的VLAN
ID;
测试、并对于无法获得地址的打印机手工配置IP地址。
(如果按照此方式建立打印服务器条目的话,在打印服务器里就可以看到IP地址);
服务器上的共享打印机命名规则:
名称:
楼宇-房间号-Black/Colour/Map(黑白、彩色、绘图仪)
备注:
XX.XX.XX.XX-型号
5.2设备安装前准备
5.2.1项目协调会
北非橄榄项目能否顺利实施的一个重要因素就是工程相关部门和人员进行合作的密切性和一致性。
相互之间的合作和理解是工程实施成功的重要基石。
通过项目协调会的方式可以使参与工程项目的各个部门和人员加强交流,以明确各自职责并共同合作完成实施工作。
5.2.2机房现场勘查和准备
工程实施准备阶段,做好设备安装机房的现场勘察工作,并根据现场勘察结果提出机房现场准备的建议,进行机房准备工作。
下述环境因素比较重要:
现有线缆布局和配线排布局;
设备安装地建筑物强度(机房承重能力);
电路设备状况;
机架空间和可利用机架状况;
电源能力和地线排布局;
用户对设备安装所能提供的具体支持(设备支持、人力支持、管理支持、技术支持、等等);
具体建议如下:
1.机房电源、地线及同步要求
要求使用不间断稳压电源供电。
稳压源(含UPS)的输入中心线和输出中心线不能相联,需分别接地,各自构成回路,不能交叉。
地线:
机房设备机架全部接地,要求接地电阻不大于4欧姆。
照明、办公设备不得与设备电源相联。
电源:
电源为单相220伏,由最短可提供30分钟后备池的UPS保护;
UPS的输入应为主供电系统,由可切换的发电机电源支持。
2.机房环境要求
机房设计环境如下表所示:
No
项目
参考值
空气条件
尘埃,低于0.3mg/m3
振动
机房内部地面低于0.25G
有害气体
气体浓度不能高于危害操作员健康和机器寿命的限度.
地板强度
大于等于500kg/m2
(相当于一般写字楼的地面)
地板表面
防静电材料
防尘封材料
楼层高度
大于等于2.2m
墙壁和天花板
阻燃材料
吸音和隔音材料
窗户
为防止阳光对设备损害,应加窗帘
防尘和防止盐类与有害气体的腐蚀
9
门
最窄不小于1.2m,最高不少于2.0m
10
保安
能防火、防洪水与地震和操作员及设备安全
11
卫生条件
能防鼠患和昆虫
12
防火
安装自动火警装置和灭火器
13
电场强度
≤120dB(1V/m),频率范围从10KHZ到1GHZ
14
磁场强度
≤50Oe(显示器要求为0.015Oe)
15
静电
≤6KV(试验设备的要求为150PF/330Ohm)
16
照明
300到700流明(luX)高于地顿85cm
C推荐500流明
17
工作温度
32-104°
F(0to40°
C)
18
非工作温度
-40-185°
F(--40to85°
19
工作湿度
5-95%,非冷凝
20
噪音水平
3英尺(0.914m)处为34dB1
5.4工程实施步骤
5.4.1第一步:
设备配置
主要任务:
●核心路由器配置(静态路由协议)。
●汇聚交换机配置(启用STP协议、Trunk配置、Vlan配置等)。
●内网安全设备配置
5.4.1第二步:
连通性测试
●配置完成,检查端口UP状态。
●路由协议正常运行。
●测试路由是否已配置正确
●测试连通性
实施内容:
●检查路由表
#showiprouter
Ping核心交换机接口地址
Ping核心路由器接近欧地址
5.5配置实例
5.5.1定义路由器名称
Hostname路由器名称
5.5.2配置接口地址
定义互联接口地址
interface端口号
description端口描述信息
ipaddress接口地址掩码
5.5.3Trunk部分
配置模板:
interfaceg0/1
(config-if)swmodetrunk
(config-if)swtrendot1q
(config-if)swtralvlanall
5.5.4VTP部分
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。
VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。
此外,VTP减小了那些可能导致安全问题的配置。
便于管理,只要在vtpserver做相应设置,vtpclient会自动学习vtpserver上的vlan信息
#vlandatabase
(vlan)#vtpdomainTAG-ASB
(vlan)#vtpserver
(vlan)#vtppasswordTAG-ASB
5.5.5Vlan部分
VLAN(VirtualLocalAreaNetwork,虚拟局域网)技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。
Vlan优点
1.限制网络上的广播。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
2.增强局域网的安全性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3.增加了网络连接的灵活性。
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
本次项目实施根据业务需求与部门分工建立不同Vlan
#创建VLAN20和VLAN30,并配置VLAN20和VLAN30的描述字符串,将端口GigabitEthernet2/0/1加入到VLAN20,GigabitEthernet2/0/2加入到VLAN30。
Switch1#vlandatabase
Switch1(vlan)#vlan20namevlan20
Switch1(vlan)#exit
Switch1#configt
Switch1(config)#interfaceGigabitEthernet2/0/1
Switch1(config-if)#switchportmodeaccess
Switch1(config-if)#switchportaccessvlan20
Switch1(config-if)#spanning-treeportfast
Switch1(vlan)#vlan30namevlan30
Switch1(config)#interfaceGigabitEthernet2/0/2
Switch1(config-if)#switchportaccessvlan30
其它Vlan相同配置
#创建VLAN20和VLAN30的接口,IP地址分别配置为1.1.1.1和1.1.2.1
Switch1(config)#intvlan20
Switch1(config-if)#ipaddress1.1.1.1255.255.255.255
Switch1(config)#intvlan30
Switch1(config-if)#ipaddress1.1.2.1255.255.255.255