网络工程项目管理流程表格M05XXX项目实施方案.docx
《网络工程项目管理流程表格M05XXX项目实施方案.docx》由会员分享,可在线阅读,更多相关《网络工程项目管理流程表格M05XXX项目实施方案.docx(24页珍藏版)》请在冰豆网上搜索。
![网络工程项目管理流程表格M05XXX项目实施方案.docx](https://file1.bdocx.com/fileroot1/2023-1/10/5bef931c-2cd0-47d0-87d8-7385065c425a/5bef931c-2cd0-47d0-87d8-7385065c425a1.gif)
网络工程项目管理流程表格M05XXX项目实施方案
XXX项目实施方案
Vx.y
内蒙古宝亮信息技术有限公司
2009年4月2日
项目信息:
项目名称
项目编号
方案信息:
文档名称
XXX项目实施方案
文档编号
建立日期
密级
AA-BB-CC-01-003
2008-01-01
方案描述
文档修订记录:
序号
修订内容简述
修订日期
版本号
作者
1
建立文档
2008-01-22
1.0
2
修订排版
3
4
5
6
7
8
一.前言
1.1文档目的
本文档是XXX项目实施的总体概要性设计文件,对本次项目实施的总体设计方向、详细设计思路和参考资料作了明确的阐述。
编写本文档的主要目的,旨在负责明确本次项目所要达成的总体目标,指导与规范在实施中会涉及的工程和技术要素,以保证项目实施的参与成员能按照规范要求高质、高效、按时地完成本次升级改造任务。
1.2适用对象
本文档的适用对象主要是负责XXX项目网络设计和实施的网络设计人员、维护人员及项目实施小组成员。
1.3文档内容范围
本文档作为XXX项目总体设计的概要文件,涵盖了如下内容:
●项目概述
——包括项目背景、项目的总体目标和阶段性目标;
●总体设计
——包括网络现状的描述和网络改造的目标;
●详细设计
——包括设备相关的规范和设计、VLAN的规范、IP地址的规范、路由的规范和设计、冗余备份的规范和设计、网络安全的规范和设计、服务器接入的规范、QoS的规范和设计;
●参考知识
——包括本次XXX项目所涉及的一些重要协议和技术,如RSTP、VRRP、OSPF、BGP、AAA、SNMP等,及一些提供参考的表格规范;
1.4参考文档
用户提供:
二.项目概述
2.1项目背景
文字说明:
2.2总体目标
根据……的要求,改造后的网络系统应符合规范所要求的功能分区、协议类型、配置参数、性能指标、工程工艺等各项标准,并保障改造过程的平滑过渡和改造后网络的稳定、可靠及安全。
2.3阶段目标
基于以上的……
文字说明:
图表说明:
三.项目总体情况
3.1网络现状描述
文字说明:
3.1.1XXX网络现状
文字说明:
图表说明:
3.1.2XXX网络现状
文字说明:
图表说明:
3.1.3XXX网络现状
文字说明:
图表说明:
3.2网络建设/改造目标
3.2.1拓扑结构描述
文字说明:
图表说明:
3.2.2新增设备列表
名称
详细描述
数量
3.2.3路由协议描述
文字说明:
图表说明:
四.项目详细实施方案
4.1设备信息
4.1.1设备命名
文字说明:
,详细命名规则如下:
(举例)网络系统中一台具体设备的命名由如下四个部分组成:
字段1_字段2_字段3_nn。
字段1:
表示设备的安装地点和行级。
字段1由英文字母标识和数字编码标识两个部分组成。
英文字母表示设备所在地点,如BJ表示北京,FJ表示福建,BJFT表示北京丰台。
数字编码表示所在银行级别,如下表:
数字编码
含义
0
1
2
3
4
5
6
字段2:
表示设备所在的功能区。
功能区域
标识
生产区
办公区
广域网区
字段3:
表示设备承担的角色,如核心交换机表示为CS、分布层交换机表示DS、接入层交换机表示AS、广域网接入路由器表示AR。
nn:
表示设备的编号,01表示第一台、02表示第2台,依次类推。
设备名称中的英文字母全部采用大写。
例1:
4.1.2软件版本
设备类型
软件版本
备注
4.1.3板卡安装
以下是RG-S8610的前面板示意图,在本次项目中,为了保证工程的规范性,RG-S8610相关板卡的安装位置规范如图所示:
M8600P-48GT/4SFP安装在第2号槽位,M8600-24SFP/12GT安装在第6槽位。
两块M6810-CMII管理引擎分别安装在第M1、M2号槽位。
电源模块RG-PA1200安装在电源专用槽位。
4.1.4端口描述
为了保证工程的规范性,设备的端口描述必须遵循如下描述原则:
Connect_to_[设备名称]-端口编号
例如:
Connect_to_[FJFZ2_WN_AR_01]-G0/1,表示连接到广域网区路由器01的G0/1端口。
interfaceGigabitEthernet1/9
switchportaccessvlan801
descriptionConnect_to_[FJFZ2_WN_AR_01]-G0/1
4.1.5设备互联
1、平级设备间的互联
说明:
建议:
注意:
设备互联规范如下:
●设备使用光口互联
核心交换机(RG-S8610)互联:
汇聚交换机(RG-S5750-48GT/4SFP)互联:
●设备使用电口互联
核心交换机(RG-S8610)互联:
汇聚交换机(RG-S5750-48GT/4SFP)互联:
2、与上级设备的互联
从设备/线卡端口由后往前依次分配,尽量遵循端口号与所连设备命名编号的奇偶对应,例如G2/45连接WN_AR01、G2/46连接WN_AR02。
例如:
广域网区核心交换机上联广域网路由器的连接如下:
3、与下级设备互联
从设备/线卡端口由前往后依次分配,尽量遵循端口号与所连设备编号的奇偶对应。
例如:
广域网区核心交换机下联生产区/办公区核心交换机的连接如下:
3.1.6设备安装规范
文字说明:
图表说明:
4.2VLAN分配
4.2.1Layer2和Layer3的边界
二级分行网络在逻辑上形成三层结构,即:
核心层、分布层和接入层。
Layer2和Layer3的边界定义如下图:
Layer2和Layer3的边界位于每个网络功能分区的分布层。
接入层设备通过VLAN连接服务器和终端等。
接入层设备和分布层设备之间通过Trunk连接。
分布层设备之间通过Trunk连接。
分布层设备和核心层设备之间通过路由连接。
4.2.2VLANID
文字说明:
图表说明:
4.2.3VLAN的命名
VLAN的命名根据VLAN的业务类型定义,目的是便于识别该VLAN的作用;针对本次网络升级改造,规定如下:
1、设备互联VLAN命名
[字段2_字段3nn]_To_[字段2_字段3nn];如VLAN800,VLAN名称为[WN_CS01]_To_WN_CS02],表示VLAN800是用作广域网核心01和02互联。
2、业务VLAN命名
业务VLAN根据业务类型进行命名。
4.3IP地址分配
4.3.1IP地址规范
文字说明:
图表说明:
4.3.2IP地址使用原则
文字说明:
图表说明:
4.3.3IP地址
文字说明:
图表说明:
4.4路由协议实施
4.4.1OSPF路由协议总体设计
文字说明:
1、OSPF进程、区域和Router-ID
文字说明:
图表说明:
2、OSPF接口类型:
文字说明:
图表说明:
4.4.2BGP路由协议基本设计
文字说明:
1、BGP邻居关系
文字说明:
图表说明:
2、BGPASNumber
文字说明:
图表说明:
3、其他
文字说明:
图表说明:
4.4.3路由策略——网络设备主备关系设计
文字说明:
图表说明:
4.4.4路由策略——路由上收的设计
文字说明:
图表说明:
4.4.5路由策略——路由下发的设计
文字说明:
图表说明:
4.4.6路由策略——上行数据的流向设计
文字说明:
图表说明:
4.4.7路由策略——下行数据的流向设计
文字说明:
图表说明:
4.4.8路由策略——稳态下的数据流向
文字说明:
图表说明:
4.5冗余备份设计
4.5.1设备硬件冗余
1、核心设备的硬件冗余
文字说明:
●管理引擎的冗余:
核心交换机采用RG-S8610,可安装两块管理引擎模块,两块管理引擎均安装之后,会形成一主一备的关系,如果主引擎失效,备份引擎自动接管。
也可以在特殊情况下(比如在线升级时)进行手工的引擎切换,操作如下:
WN_CS_01#redundancyforceswitch
在需要时对主管理引擎或备份管理引擎重启,操作如下:
WN_CS_01#redundancyreloadpeer//重启备份管理引擎
WN_CS_01#redundancyreloadshelf//重启主管理引擎
●电源的冗余:
RG-S8610交换机可安装两块电源,以实现电源的热备份。
2、低端设备的硬件冗余
本次项目所采购的RG-S5750系列交换机,用作生产和办公功能区的核心和汇聚。
考虑到生产网络的高可靠性要求,为RG-S5750系列交换机配备了RPS冗余电源系统,结合交换机自带的一个电源接口,可实现双电源的冗余。
RPS冗余电源系统的连接图规范如下所示:
4.5.2二层链路冗余
核心交换机承担着生产运营的重任,有极高的可靠性要求。
而两台核心交换机之间的互联链路,则负责转发整网在非稳定状态下的大部分冗余流量,对可以性的要求也很高。
因此核心交换机之间的互联链路设计为双链路冗余,冗余协议为LACP,即IEEE802.3AD。
当其中一条物理链路断开时,另一条物理链路依然可以进行数据转发。
举例说明,核心交换机01的配置如下:
interfaceGigabitEthernet0/23
port-group1
interfaceGigabitEthernet0/24
port-group1
interfaceAggregatePort1
switchaccessvlan800
核心交换机02的配置如下:
interfaceGigabitEthernet0/23
port-group1
interfaceGigabitEthernet0/24
port-group1
interfaceAggregatePort1
switchaccessvlan800
4.5.3生成树冗余
文字说明:
图表说明:
举例说明,汇聚交换机01配置如下:
spanning-tree
//开启生成树
spanning-treemoderstp
//生成树模式为RSTP
spanning-treemst0priority4096
//生成树优先级为4096,设计为主根桥
汇聚交换机02配置如下:
spanning-tree
//开启生成树
spanning-treemoderstp
//生成树模式为RSTP
spanning-treemst0priority8192
//生成树优先级为8192,设计为次根桥
接入交换机配置如下:
spanning-tree
//开启生成树
spanning-treemoderstp
//生成树模式为RSTP
//生成树优先级为默认值,设计为非根桥
4.5.4VRRP冗余
为保证服务器和PC接入到子功能区的网络后,能实现三层网关的冗余,在子功能区的汇聚交换机上须启用VRRP协议。
文字说明:
图表说明:
举例说明,汇聚交换机01配置如下:
interfaceVLAN510
ipaddress10.186.135.251255.255.255.0
vrrp51priority110
//VRRP优先级为110,设计为MASTER
vrrp51timersadvertise10
//VRRP报文交互间隔为10秒,减少交互频率
vrrp51ip10.186.135.254
//VRRP虚拟出的网关IP
vrrp51trackVLAN831
//VRRP跟踪上联接口,如果接口失效,则自动降低优先级,以使该设备成为VRRPBACKUP设备。
汇聚交换机02配置如下:
interfaceVLAN510
ipaddress10.186.135.250255.255.255.0
vrrp51priority105
//VRRP优先级为110,设计为MASTER
vrrp51timersadvertise10
//VRRP报文交互间隔为10秒,减少交互频率
vrrp51ip10.186.135.254
//VRRP虚拟出的网关IP
注解:
VRRP的groupnumber分配表如下
功能区域
VRRPGROUP
4.5.5路由协议冗余
使用OSPF、BGP等动态路由协议,多链路网络可以获得三层冗余功能。
参见第4.4章节——路由设计及规范。
4.6网络安全设计
4.6.1AAA
不同的管理人员应该有各自的用户名和口令,即用户名和口令不能共享,便于帐号管理和不被泄漏。
用户认证的实现方式可以分为:
本地认证和集中认证。
本地认证是指用户数据库保存在网络设备上,用户认证在本地实现。
集中认证是指设置专门的集中认证服务器,保存网络中所有的用户帐号,集中实现用户认证,常用的认证协议有RADIUS,TACACS+。
用户认证应采用集中认证和本地认证相结合的方式,集中认证为主用、本地认证为备用。
用户授权是指对用户进行分权限管理。
例如,我们把网络管理用户分为超级用户和普通用户。
其中,超级用户对网络设备拥有查看和配置的权限,普通用户对网络设备只拥有特定的查看权限。
在集中认证时,不同的用户还可被限制只能访问特定的网络设备。
用户审计是指认证服务器端将用户的认证信息、授权信息和网络行为记录在日志中,以供日后查看和审计。
4.6.2路由协议
路由协议在网络中以组播、广播或单播的方式进行报文的交互。
为避免路由信息的泄漏,防止不安全的设备意外加入到正常的网络中,破坏正常的路由,应对路由协议自身采取安全措施。
启用OSPF路由协议的认证功能:
1)路由配置模式中,指定区域的认证方式。
2)在接口中配置认证的方式和密钥。
如果区域认证方式和接口认证方式都配置了则以接口的认证方式为准。
举例说明,生产区核心交换机01和02之间配置OSPF路由协议的认证功能,如下:
生产区核心交换机01:
配置以太网端口
interfaceGI0/48
ipaddressX.X.X.XX.X.X.X
ipospfmessage-digest-keyXXXXmd5hello
配置OSPF路由协议
routerospf100
networkX.X.X.XX.X.X.Xarea0
area0authenticationmessage-digest
生产区核心交换机02:
配置以太网端口
interfaceGI0/48
ipaddressX.X.X.XX.X.X.X
ipospfmessage-digest-keyXXXXmd5hello
配置OSPF路由协议
routerospf100
networkX.X.X.XX.X.X.Xarea0
area0authenticationmessage-digest
启用BGP路由协议的认证功能:
routerbgp64999
neighborX.X.X.Xpassword7XXXX
//配置邻居间的交互密码,对端与本端保持一致
4.6.3应用服务
网络设备所开启的无用功能越多,留给恶意攻击者的漏洞或后门就越多,同时也浪费了不必要的资源,因此要关闭一些在本次项目中不涉及使用的应用服务。
1、关闭BOOTP/DHCP服务:
(config)#noservicedhcp
2、关闭HTTP服务,如不能禁止应添加控制和认证:
(config)#noservicehttp
3、关闭Finger服务;
4、关闭IP源路由;
5、关闭TCP-KEEPALIVE服务:
(config)#noservicetcp-keepalives-in
(config)#noservicetcp-keepalives-out
6、关闭sequence-numbers服务:
(config)#noservicesequence-numbers
4.6.4网络管理
网络设备以console方式和telnet方式的管理,应从以下方面采取安全措施:
1、保证设备访问的物理安全;
2、采用用户认证和授权;
3、设置会话空闲的超时参数;
对于telnet方式,另应采取以下的安全措施:
1、设置最大会话连接数;
2、设置访问控制列表,限制TELNET的连接请求来自指定的源IP网段;
3、尽量用SSH代替TELNET,采用SSH的好处是所有信息以加密的形式在网络中传输。
网络设备以SNMP的管理方式,应从以下方面采取安全措施:
1、设置ACL定义网管服务器可访问源和目的IP。
2、配置SNMP的community修改默认字符串,并均配置读写字符串,关联ACL。
举例配置如下:
(config)#snmp-servercommunitypassword1rw98
(config)#snmp-servercommunitypassword2ro99
3、配置网管服务器登录的口令,并定期更改。
4.6.5口令管理
口令应以密文的形式存储在网络设备中。
对所有的口令,应尽可能配置成passowrd模式,进行7级加密。
在锐捷网络的设备上,还可以开启口令加密服务,自动为系统设置的口令加密,如:
(config)#servicepassword-encryption
口令设置原则:
1、口令设置不为空;
2、根据用户角色要求口令长度,一般需大于等于8位;
3、口令由数字、大小写字母、特殊符号等混合组成;
4、不记录在明显的介质上;
5、定期更改。
农行的网络设备,应在console、telnet、SNMP网管登录入口设置口令;所有设备应设置登录和enable双重口令。
4.7服务器接入实现
4.7.1服务器网络接入分类
文字说明:
图表说明:
4.7.2服务器网络接入原则
文字说明:
图表说明:
4.7.3跨区服务器接入
文字说明:
图表说明:
4.7.4本地服务器接入
文字说明:
图表说明:
4.8QoS设计
QoS是一种保障网络数据传输的技术,可以在网络拥塞时保证重要数据的传输质量。
QoS是端到端的定义,一般,它将包括以下几个方面:
1.Classification
网络中的不同控制点对数据包进行分类,可以根据Input端口、MAC地址、源/目的IP地址、IP协议或应用端口号等对数据流进行分类。
2.Marking
分类后的数据流,需要进行相应的标记,然后通过对数据包标记的匹配,完成相应的QoS控制策略。
对分类后的数据包进行标记的方法,通常有IPPrecedence、DSCP和MPLSEXP。
如下图:
3.Policing/Shaping
流量监管trafficpolicing的典型作用是限制进入某一网络的某一连接的流量与突发。
在报文满足一定的条件时,如某个连接的报文流量过大,流量监管就可以对该报文采取不同的处理动作,例如丢弃报文,或重新设置报文的优先级等。
通常的用法是使用CAR来限制某类报文的流量。
流量整形trafficshaping的典型作用是限制流出某一网络的某一连接的流量与突发,使这类报文以比较均匀的速度向外发送。
流量整形通常使用缓冲区和令牌桶来完成,当报文的发送速度过快时,首先在缓冲区,进行缓存在令牌桶的控制下,再均匀地发送这些被缓冲的报文。
4.Queuing
Queuing是用来实施拥塞管理的手段,通常包括一下队列技术:
●先进先出(FIFO)排队
●优先级排队(PQ)
●定制排队(CQ)
●加权公平排队(WFQ)
●基于服务类别的WeightedFairQueuing(CBWFQ)
●LLQ(LowLatencyQueuing)
5.Dropping
Dropping是实现拥塞避免的技术。
通过监视网络流量负荷,可预测和避免公共网络瓶颈处发生的拥塞。
通常有以下两种方式:
●TailDropping
●加权随机早期侦测(WRED)
4.8.1数据流分类和标记
文字说明:
图表说明:
4.8.2QoS控制策略
文字说明:
图表说明:
五.配置实现
5.1X区设备
5.2Y区设备
5.3Z区设备
六.工程组织
6.1项目实施计划
6.1.1项目实施总体图
文字说明:
图表说明:
6.1.2试点测试工作计划
6.1.2.1试点测试的确定工作
文字说明:
6.1.2.2技术方案的交流工作
文字说明:
6.1.2.3试点测试的实施工作
文字说明:
6.1.2.4试点测试的总结工作
文字说明:
6.1.3全面实施工作计划
文字说明:
6.1.4项目验收计划
文字说明:
6.2项目实施流程
6.2.1工程实施整体流程图
6.2.1.1项目实施前的设备开箱验收阶段
文字说明:
图表说明:
6.2.1.2项目实施中设备调试阶段
文字说明:
图表说明:
6.2.1.3项目实施中设备安装阶段及空载测试
文字说明:
图表说明:
6.2.1.4项目实施过程中的初验阶段
文字说明:
图表说明:
6.2.1.5项目实施过程中的网络试运行阶段
文字说明:
图表说明:
6.2.1.6项目实施的验收阶段
文字说明:
图表说明:
6.3人员组织安排
3.1项目组织结构
1
2
3
4
5
6
7
8
3.2内蒙宝亮项目组
1
2
3
4
5
6
7