网络实施方案.docx
《网络实施方案.docx》由会员分享,可在线阅读,更多相关《网络实施方案.docx(33页珍藏版)》请在冰豆网上搜索。
网络实施方案
网络实施方案
XXXX项目
XXXXXX客户
起草人:
ProjectManager
起草日期:
[DatePrepared]
商业信用
声明:
该文档由杭州XX科技有限公司(以下简称“XX科技”)所提交。
文档相关的信息不应被其它公司参考引用。
文档属性
属性
内容
客户名称
XXXX
项目名称
XXXX项目网络实施方案
项目编号
文档主题
网络实施配置规划
文档版本
1.0
版本日期
2014-05-20
作者
文档变更
版本
修订日期
修订人
描述
1.0
2014/5/17
IP地址规化修改
文档送呈
客户名称
目的
XXXX
审阅、存档
第1章项目实施计划
1.1责任分工界面
项目实施主要参与者为各厂商、展望科技和客户。
具体责任分工界面为:
工程进展
客户
集成商
厂商
1.工程准备阶段
工程准备阶段
项目组筹备
参与
主要责任
参与
/工程规划
工程环境调查
主要责任
参与
参与
产品到货
参与
主要责任
参与
签收
主要责任
参与
参与
安装环境准备:
网络准备/系统准备
主要责任
参与
参与
2.工程实施阶段
所有产品
网络准备
主要责任
参与
参与
应急计划准备
参与
参与
主要责任
应急及备份
参与
参与
主要责任
提起安装申请
参与
主要责任
参与
安装批准
主要责任
参与
参与
安装/调试
参与(提供访问控制关系)
主要责任(具体实施、总体协调)
主要责任(提供技术支持)
工程文档
主要责任
3.工程验收阶段
工程验收
验收文档准备
参与
主要责任
验收
参与
主要责任
验收文档提交
参与
主要责任
验收签署
主要责任
参与
4.试运行~终验
初验
初验完成
主要责任(安全系统日常运营维护)
主要责任(技术支持)
主要责任(技术支持)
~试运行
终验
终验后
主要责任(系统运营维护)
参与(技术支持)
参与(技术支持)
1.2项目里程碑目标
2014年x月x日前完成项目建设各个阶段及各项建设内容的方案制定,完成硬件设备和软件系统的供货、安装、配置、调试、测试、总体联调、试运行、验收,直至系统正式运行。
制定明确的培训范围、培训内容和培训计划。
在用户单位合适的时间内完成对用户现场管理培训、原厂商培训的范围和内容,并保证有足够的人力和物力确保系统安全稳定的运行。
1.3项目实施计划安排
根据整个工程的网络覆盖及网络技术要求,我们拟出工程实施进度安排如下表:
实施阶段
实施步骤
实施内容
时间范围
一、项目准备
1
2
3
4
5
二、设备调试
6
7
8
9
10
11
三、试运行及调优
13
四、验收
14
1.4项目成员
单位名称
姓名
职务
电话
E-mail
信泰人寿
信息部主管
技术负责人
技术负责人
杭州展望
项目经理
销售负责人
技术负责人
实施人员
实施人员
第2章网络总体规划
2.1网络现状
原组网图如下:
(略)
现网存在如下问题:
1.结构混乱,没有层次,不利于统一管理;
2.使用静态路由,维护工作量大,网络扩展性差;
3.核心设备没有冗余,存在单点故障风险;
4.广域网带宽不足,无法满足日益增长的业务需求。
5.……
2.2新建网络设计
新网络拓扑如下:
(略)
新建网络有如下优点:
1.结构整齐,层次清晰,便于管理。
2.采用动态路由协议,维护简单,扩展性好;
3.新增一台核心设备,实现了设备级的冗余,网络健壮性提高;
4.每个节点新增1条广域网线路,带宽提高,实现了线路冗余;
第3章设备部署
3.1设备命名
按下列规则正确设置主机名:
设备局点和级别-设备厂商名称-设备型号-设备序列号(1、2、3等)
序号
部署地点
设备层次
厂商
设备型号
设备序号
设备命名
1
北海
核心
H3C
S9512
01
BHCore-H3C-S9512-01
3.2端口描述
为便于识别和维护,定义VLAN和VLAN端口、物理端口描述的规则如下:
●交换机之间互联用VLAN、VLAN接口的描述规则为:
TO:
设备名称_端口编号_V+VLANID
例如:
本VLAN连接北海核心交换机01的GE1/1端口,VLAN号是100,描述为:
TO:
BHCore-H3C-S9512-01_GE1/1_V100。
●交换机连接服务器或者用户的VLAN及VLAN接口的描述为:
TO:
服务器名或用户组名
例如:
本VLAN连接工程部用户,描述为:
TO:
Engine_user。
3.3软件版本
序号
设备名称
软件版本
1
2
3
3.4槽位部署
S9512E交换机:
设备型号
槽位号
板卡名称
板卡型号
S9512E
0
1
12端口千兆以太网光接口业务板
2
3
24端口千兆以太网光接口业务板
4
5
6
S9512E交换路由处理板
7
S9512E交换路由处理板
8
9
10
11
48端口千兆以太网电接口业务板
12
13
NAT业务处理卡
第4章网络连接
4.1端口分配原则
在XXXXX网络系统中,网络连接中设备端口的分配遵循以下原则:
Ø在核心或者汇聚设备上,连接到核心的上行设备根据端口编号从高到低分配,主备互联的平行设备也根据编号从高到低向前分配
Ø在核心或者汇聚设备上,从核心连接下行的汇聚或接入的设备,其端口的分配从低到高依次分配
Ø互联的端口均采用光口,不采用电口
4.2端口分配列表
序号
主机名/槽位/子槽/端口Host/slot/sub-slot/interface
对端设备(SideB)
端口Interface
对端Host/设备描述
1
左侧slot0~3
2
slot0预留
3
slot1预留
4
slot2预留
5
slot3~LSRM2GT24LEB1
6
slot7~LSRM1GP48LEB1
7
8
9
10
11
12
slot8预留
13
slot9预留
第5章IP地址和VLAN分配
5.1IP地址分配原则
IP地址的基本原则如下:
Ø掩码选择
loopback地址使用32位掩码,互连地址使用30位掩码,业务IP地址采用24位掩码
Ø地址分配顺序
每个业务网络分配到的B类地址的最后5个C类地址可以用来做互联地址和二层设备的管理VLAN地址同类设备互连,第一个C类地址作为Loopback地址的网段。
5.2IP地址整体分配
区域
地址段
掩码
业务网
172.16.0.0
16
OA网
172.17.0.0
16
5.3管理地址
设备的管理地址(即loopback地址)使用192.168.10.0/24网段。
序号
设备名称
管理地址
掩码
1
BHCore-H3C-S9512E-01
192.168.10.1
32
2
3
5.4互联地址
5.4.1广域网互联地址
广域网设备的互联地址使用172.16.0.0/16网段。
序号
本端设备
本端地址
对端设备
对端地址
掩码
1
BHWAN-H3C-SR8812-01
172.16.0.1
CKWAN-H3C-SR8812-01
172.16.0.2
30
2
5.4.2局域网互联地址
局域网设备的互联地址使用172.16.1.0/16网段。
序号
本端设备
本端地址
对端设备
对端地址
掩码
1
BHCore-H3C-S9512-01
172.16.1.1
BHCore-H3C-S9512-02
172.16.1.2
30
2
3
5.5业务地址
业务地址使用10.0.0.0/8网段。
序号
业务部门
地址段
掩码
1
财务部
10.0.0.0
24
2
工程部
10.0.1.0
24
3
5.6VLAN划分
保留VLAN:
1-99
互联VLAN:
100-199
财务部VLAN:
200-299
工程部VLAN:
300-399
5.7端口划分
本端设备
对端设备
说明
设备名称
端口
端口类型
设备名称
端口
端口类型
编号
编号
1G(SFP,LC)
1G(SFP,LC)
VLAN100
1G(SFP,LC)
1G(SFP,LC)
VLAN101
第6章路由协议部署
本次网络规划建议全网采用OSPF,并与静态路由相结合。
6.1OSPF设计
6.1.1OSPF区域划分
由于XX公司总部和各分公司每一个局域网设备数量不多(30台以下),每个局域网只需划分一个Area0便可以满足需求,将相关接口全部加入OSPF区域0,OSPF的进程号统一设置为1。
6.1.2OSPFRouter-id设置
OSPF需要使用唯一的RouterID标识每一台路由器,建议相关网络设备的Loopback地址作为其OSPFRouterID。
6.1.3OSPFCost设置
同层次设备名字段末位为01的交换机的上下行线路接口的COST值为默认值(10),设备名字字段末位为02的交换机的上下行线路接口的COST值为1000,以保证在正常情况下报文由设备名字字段末位为01的设备进行转发,在主用路径失效的情况下再走备份路径。
如下图所示:
(图略)
第7章局域网部署
XXXXX每个业务网段的接入交换机和核心交换机间为二层交换网络,并有链路的冗余,出现了二层环路,所以在接入交换机和核心交换机间启用MSTP协议。
其中,作为VRRP主网关的核心交换机配置为首选根桥(Primary),作为VRRP备份网关的核心交换机配置为备份根桥(Secondary),所有负责终端接入的电接口启用边缘端口、BPDU保护。
7.1设备接口聚合
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。
在XXXX两台核心交换机启用链路聚合功能,链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加带宽。
同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。
采用动态聚合模式
7.2VRRP规划
为了保障业务网关的备份,在核心交换机上开启VRRP协议。
保证核心交换机上的业务负载均衡,对于不同的VLAN,由不同的核心交换机设置为主交换机。
业务网段的网关配置在XXXX_Core_S7503E_FW1上,非业务网段配置在XXXX_Core_S7503E_FW2上。
XXXX_Core_S7503E_FW1和XXXX_Core_S7503E_FW2之间建立VRRP主从关系。
主设备的VRRP优先级设置为120,从设备的VRRP优先级设置为100。
VRRP配置规划表如下:
VLANID
VLAN应用
XXXX_Core_S7503E_FW1
XXXX_Core_S7503E_FW2
VRRP虚地址
7.3MSTP规划
为防止网络产生冗余链路,需配置STP协议来消除二层环路。
考虑到 STP不能快速迁移,即使是在点对点链路或边缘端口(边缘端口指的是该端口直接与用户终端相连,而没有连接到其它设备或共享网段上),也必须等待2倍的ForwardDelay的时间延迟,端口才能迁移到转发状态。
RSTP可以快速收敛,但是和STP一样存在以下缺陷:
局域网内所有网桥共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。
因此,本次STP配置推荐使用MSTP。
MSTP由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。
楼层所有设备属于同一个MST域,根据VRRP的主备方式,MST域里分为两个instance,分别为instance1(主要针对业务VLAN)instance2(主要针对非业务VLAN),XXXX-S7503E-S-1,XXXX-S7503E-S-1直接与接入交换机之间的MSTP规划:
共分2个Instance:
Instance1:
指定根交换机为XXXX-S7503E-S-1,备份根交换机为XXXX-S7503E-S-1,包含VLAN2、VLAN3、VLAN4、VLAN12、VLAN13
Instance2:
指定根交换机为XXXX-S7503E-S-2,备份根交换机为XXXX-S7503E-S-1,包含VLAN5、VLAN6、VLAN7、VLAN8、VLAN9、VLAN10、VLAN11、VLAN14、VLAN15、VLAN16、VLAN17、VLAN18、VLAN100、VLNA200;
在接入交换机同样需要进行相应的mstpinstance映射。
7.4VRRP与MSTP
7.4.1VRRP与MSTP的规划
VRRP作为一种容错协议,它保证当主机的下一跳设备出现故障时,可以及时的由另一台设备来代替,从而保持通讯的连续性和可靠性。
两台设备配置VRRP,其中一台为Master,一台为Slave,两台设备对应一个VirtualIP。
生成树协议用于防止数据链路层由于冗余链路的连接而产生的以太网环路,从而避免广播风暴的发生。
在各个大网的网关处部署MSTP,可以MSTP中的根桥设备与VRRP中Master设备保持一致。
同时一个MSTP的实例对应一个或多个业务Vlan,实例一对应设备的管理Vlan。
每个业务网的接入交换机和汇聚交换机间为二层交换网络,并有链路的冗余,出现了二层环路,所以在接入交换机和汇聚交换机间启MSTP协议。
其中,作为VRRP主网关的汇聚交换机配置为首选根桥(Primary),并在相应的端口上启用根保护和TC攻击保护功能,防止网络震荡的产生;作为VRRP备份网关的汇聚交换机配置为备份根桥(Secondary),并在相应的端口上启用TC攻击保护功能;接入层交换机上连汇聚交换机的端口启用环路保护功能和TC攻击防范功能,所有负责终端接入的电接口启用边缘端口、BPDU保护和TC攻击保护功能。
其配置和工作状态如下图所示:
MSTP配置及工作状态图
所启用的各种保护功能的作用如下:
●根保护:
防止网络中恶意攻击或误用造成根桥改变而重新计算,引起网络中断;
●BPDU保护:
有效防止了接入端口私自添加交换机或HUB对网络造成的震荡;
●环路保护:
在网络出现短暂拥塞无法正常接收BPDU时,防止Blocking端口状态转变为Forwarding,形成环路;
●TC攻击保护:
针对网络中恶意的TC攻击报文,防止交换机频繁删除ARP表和MAC地址表。
第8章安全规划
8.1网络安全原则
网络安全是XXXX网络系统项目建设中非常重要的一环,网络安全设计原则如下:
Ø设备安全
主要指核心骨干交换机及各个业务网的设备安全。
只有经过认证的用户才能访问系统中的设备,以防止非授权用户对网络设备的恶意攻击。
Ø业务安全
通过路由加ACL的方式实现网络层面的安全防护,防止不信任应用之间的互访。
要实现全面的安全防护,还需要通过安全专用设备(防火墙、IDS等)实现应用层面的保护。
8.2设备安全
Ø只开放必要的网络服务
网络设备可以提供很多网络服务,有些服务可能成为网络攻击的对象。
为了提供网络设备的安全级别,尽可能关闭不必要的服务,降低网络攻击的风险。
Ø用户认证
用户认证应采用集中认证和本地认证相结合的方式,集中认证为主要认证方式,本地认证为备份认证方式,在集中认证服务器无法访问的情况下使用本地认证。
集中认证采用Radius认证协议,在Radius服务器上建立设备管理用户,通过单一用户便可以实现全网设备的统一管理。
同时在设备上建立本地用户数据库,可在Radius服务器不可用的情况下,使用本地数据库进行验证。
在VTY和Console接口上启用用户认证,认证方式为集中认证和本地认证相结合。
ØTelnet接入安全
Telnet是对网络设备进行管理的主要手段,可以对设备进行最为有效的操作,为了确保Telnet访问的合法性和安全性,我们需要注意:
(1)设置最大会话连接数;
(2)设置访问控制列表,限制Telnet的连接请求来自指定的源IP网段;
(3)尽量用SSH代替Telnet,采用SSH的好处是所有信息以加密的形式在网络中传输。
ØSNMP安全
通过SNMP我们可以对设备进行全面的日常管理,为了提高SNMP管理的安全性,需要应注意以下几点:
(1)避免使用缺省的snmpcommunity,设置高质量的口令;
(2)不同区域的网络设备采用不同的snmpcommunity;
(3)把只读snmpcommunity和可读写snmpcommunity区分开来;
(4)配置ACL来限制能够通过SNMP访问网络设备的网管服务器的IP地址。
Ø日志记录
为了能够对整个XX网络系统设备进行监控和故障信息记录,需要记录网络设备的运行状态。
日志记录主要包括以下内容:
(1)收集网络设备的SYSLOG;
(2)设置SYSLOGServer(通常位于网管工作站上)用于收集所有网络设备的SYSLOG;
(3)所有的SYSLOG可以送到专门的事件管理服务器上,进行事件的压缩、关联和分析,有利于更好的故障定位和处理。
(4)收集SNMPTrap,通过网管工作站收集网络设备的SNMPTrap信息,便于及时的故障处理;
(5)收集用户操作记录,通过AAA服务器,对用户进行认证、授权和行为跟踪,并产生相应的日志报告,以供安全审计。
Ø路由协议安全
路由协议的安全主要指邻居关系的可靠建立和路由信息的安全交换,此网络项目中主要涉及BGP和OSPF两种路由协议,通过启用它们的安全验证功能,可以提高网络中路由协议的安全性。
(1)BGP路由验证(必要)
核心骨干网与各个业务网核心的eBGP邻居关系,应该使用MD5密码验证,保证BGP邻居关系的合法建立,提高BGP路由交换的安全性。
(2)OSPF路由验证(必要)
在OSPF进程上都启用基于Area的MD5验证,保证OSPF邻居关系的合法建立。
OSPF路由验证的配置方法为在OSPF区域视图下authentication-modemd5。
Ø访问控制
为了防止局域网对广域网设备的非法访问,在广域区交换机与局域网相连的端口上应用入方向的ACL访问控制,只允许运行管理区的特定主机可以访问广域网设备,其他的一概不能访问。
Ø路由隔离
由于各个业务网都能访问到数据中心网,而各个业务网之间是相互隔离的,因此需要在各个业务网的核心设备上开启路由隔离,防止各个业务网的设备间互相学习路由,从而禁止相互访问。
Ø端口组播/广播抑制
当网络中因为某种因素出现广播风暴或者较多组播报文时,这些报文的泛滥会造成端口的阻塞,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。
我们可以设置各个业务网交换机的端口或VLAN广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。
8.3业务安全
Ø网络层面
ACL的缺省规则应该为deny,开放的访问需要通过手工添加permit规则,以防止可能产生的安全漏洞。
Ø应用层面
ACL控制只能实现网络层面的防护,并不能识别应用层的数据,要实现全面的安全防护,还需要借助于专用的安全设备。
Ø高级的业务安全控制
端口安全:
根据用户的网络安全特性,在可维护性和网络安全性之间选择平衡点;设备端口在接入用户之前处于关闭状态;端口使能Port-security功能,限定用户接入位置
第9章项目验收标准
9.1测试验收表
测试项目
设备验收测试
测试结果
竣工验收测试
测试结果
移交运行测试
测试结果
1.1网络设备
√
OKPOKNGNT
1.1.1启动测试
√
OKPOKNGNT
1.1.2状态检查
√
OKPOKNGNT
√
OKPOKNGNT
1.1.3配置检查
√
OKPOKNGNT
√
OKPOKNGNT
1.1.4端口检查
√
OKPOKNGNT
1.1.5物理检查
√
OKPOKNGNT
3.2性能指标
√
OKPOKNGNT
√
OKPOKNGNT
1.2.1带宽测试
√
OKPOKNGNT
√
OKPOKNGNT
1.2.2利用率测试
√
OKPOKNGNT
√
OKPOKNGNT
1.2.3吞吐量测试
√
OKPOKNGNT
√
OKPOKNGNT
1.2.4延迟测试
√
OKPOKNGNT
√
OKPOKNGNT
3.3网络容错性
升级会员 