XX公司网络割接方案

1、XX 网络割接方案1、公司网络建设总体要求工程概况的瓶颈和问题，真正实现全公司一张网的网络建设络布局，公司在2014 年启动了网络建设建设工作。100 个站点的2016 1 月，XX 10GE 链路为主、覆盖全公司系统 100 个节点的高速数据通信络平台，实现了核心区域网状连接、各区域内双星型上联的网络架构。MPLS MPLS VPN 组网技术，各个业VPN 中隔离运行，通过路由策略和QoS 进行区分。VPN 中运行。割接原则一、安全第一原则本次割接技术难度大，原有网络结构将发生巨大变化，风险大，所有方案和操作要安全第一，先易后难、先试点再推广、先一般业务再重要业务。二、方便回退原则回退。三、

2、提前准备原则IP 处理问题和验证业务的时间。四、分工协作原则本次割接难度大，任务重，风险高，需要各单位组密切配合，共同完成。2、公司网络现状XX公司网络建设改造方案图 1.1XX 公司网络建设网络架构建成后的XX公司网络建设采用MPLS VPNVPN XX IMS 业务将逐步过渡到网络建设。网络现状2 15 2 XX 设备作为核心设备，XX 1 XX 2 XX XX 1 622M 链路+1 155M 链路和公PE 1 155M XX PE 设备互联，链路之间保持冗余和独立。2 XX 2 XX 2 台核心PE 设备之间采用口字形方式连接实现服务器区业务的接入。节点配2XX2PE实现节点与上级公司

3、之间业务的交互。信息广域现况如下图：XXXX 业务现状XXXX 上联至公司。图 2.2-2 上级公司 XXXX 业务拓扑图XXXX 业务现状现有各节点 XXXX 业务情况如下：表 2.2-1 XXXX 业务情况表XXXX 公司为例，节点信息内网业务拓扑图如下：图 2.2-3XXXX 公司信息内网业务拓扑图综上所述，各节点的 2 台 XXXX 设备作为各节点信息内网、XXXX 业务、XXXX XXXX XXXX XXXX 工单业务的割接方案。XXXX现状XXXX系统拓扑图XXXX 业务各节点通过信息内网和传输专线上联至上级公司道。图 2.3-1XX 省 XXXX 系统网络拓扑图XXXX 系统拓扑

4、图XXXX XXXX 会议业务（少数节点采用信息内网）。图 2.3-2XXXX 市公司 XXXX 系统网络拓扑图XXXX工单业务现状XXXX XXXX 立通道，包含在信息内网业务中。3、网络割接方案XXXX XXXX XXXX 业务。本次信息内网割接后各节点放置的XXXX 路由器将不再使用，为了不影响 XXXX 业务，本次割接方案需考虑XXXX 业务、XXXX 工单业务的割接方案。XXXX XXXX IP 地址调整至各节点内网中。信息内网割接方案上级公司割接方案XXXXA XXXXB CE1 CE2 已CE1 CE2 上对信息内网业务进行配置可以实现信息内网业务，在割接过程中如需回退，则在信息

5、CE PE MED 使原信息内网业务仍流经原公司链路。割接前拓扑图如下所示：图 3.1-1XX 上级公司信息内网割接前示意图上级公司割接步骤CE PE 上级公司信息内网割接拓扑如下所示：（工程中心）图 3.1-2XX 上级公司信息内网割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息在上级公司相关设备（VPN 业务所使用的端口，做VPN 实例，并通过路由本地优先级控制使CE1 500、CE2 100，修改新增链路学到的路由本地优先CE1 80 CE2 50AS-PATH控制，越少越优， AS-PATH 54676 AS-PATH 54676 PE PE 上做路由汇总和路由组）上级公

6、司 PE1-RR 设备()配置：VPN实例：interface GigabitEthernet 3/2/1interface GigabitEthernet 3/2/1ipbindingvpn-instancespiip address 10.228.240.13 255.255.255.252bgp 协议配置：bgp 64600ip vpn-instancespiaddressbgp 64600ip vpn-instancespiaddress-familyipv4unicastpeer10.228.240.1354676peer 10.228.240.13peer10.228.240.13

7、peer 10.228.240.13 soo 54676:54918上级公司 CE 设备(XXXX)配置：VPN实例：interface GigabitEthernet 2/0/6interface GigabitEthernet 2/0/6ipbindingvpn-instancespiip address 10.228.240.14 255.255.255.252bgp协议配置：bgp 54676peerbgp 54676peer10.228.240.1464600#ipv4-ipv4-familyunicastundo synchronizationnetwork 10.8.251.14

8、6network 10.8.251.146 255.255.255.255network 10.42.0.0 255.255.252.0network 10.227.128.0 255.255.128.0network 10.228.0.0 255.254.0.0network 10.240.0.0 255.255.0.0import-routedirectpeernetwork 10.42.0.0 255.255.252.0network 10.227.128.0 255.255.128.0network 10.228.0.0 255.254.0.0network 10.240.0.0 25

9、5.255.0.0import-routedirectpeer10.228.240.14route-policylocalimportpeer10.228.240.14route-policyas-pathexportroute-policyas-pathpermitnode10applyas-path5467654676route-policylocalpermitnode10applylocal-preference80ospf 协议配置：ospf100router-idospf100router-id10.8.251.145filter-policyip-prefixspi-denyim

10、portimport-routebgppermit-ibgpcost10type1route-policyspi-gwarea 0.0.0.0network 10.8.232.88 0.0.0.3network 10.6.21.112 0.0.0.7route-policyspi-gwpermitnode10if-match ip-prefixspi-ip#ipip-prefixspiipip-prefixspi-ipindex10permit10.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex20permit20.0.0.08gre

11、ater-equal8less-equal8ipip-prefixspi-ipindex21permit21.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex22permit22.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex23permit23.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex24permit24.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex

12、25permit25.0.0.08greater-equal8less-equal8ipipip-prefixspi-ipindex26permit26.0.0.08greater-equal8less-equal8ipipip-prefixspi-denyindex10deny10.0.0.088less-equal8ipip-prefixspi-denyindex20permit0.0.0.0032黑洞路由：ip routeip route-static 10.227.128.0 255.255.128.0 NULL0 preference 200ip route-static 10.22

13、8.0.0 255.254.0.0 NULL0 preference 200ip route-static 10.240.0.0 255.255.0.0 NULL0 preference 200省调RRXXXXRR路由过滤配置：acl number 2001 description spi aclacl number 2001 description spi aclrule 1 permit source 10.6.22.116 0.0.0.3rule 2 permit source 10.8.17.24 0.0.0.3rule 3 permit source 10.42.0.0 0.0.3.

14、255rule 4 permit source 10.227.128.0 0.0.127.255rule 4 permit source 10.227.128.0 0.0.127.255rule 5 permit source 10.228.0.0 0.1.255.255rule 6 permit source 10.8.222.88 0.0.0.3rule 7 permit source 10.8.251.145 0rule 8 permit source 10.8.251.146 0rule 9 permit source 10.240.0.0 0.0.255.255rule 10 per

15、mit source 10.8.232.88 0.0.0.3rule 100 denybgp 64600address-family vpnv4peer10.8.252.12route-policyspiexport peer10.8.252.14route-policyspiexportCE VPNv4 路由表，确保能看到节VPN CE1 700 CE2 600、AS-PATH使信息业务流量经过新增链路，同时测试信息内网PE CE 之间链路并检查相关设备配置，重复第三步直到业务内网功能正常；（工程中心、信息内网割接组）1.bgp 协议配置：bgp 54676ipv4-familyunicas

16、tbgp 54676ipv4-familyunicastundo synchronizationpeer10.228.240.14route-policylocalimportroute-policylocalpermitnode10applylocal-preference700图 3.1-3XX 上级公司信息内网割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。（工程中心）节点割接方案根据公司要求，本次割接后网络建设节点出口将不再保留防火墙。节点信息内网割接方案采用将两台 XXX 9508（XXXX 公司为o 6500上联至6 的通道割接至两台市公司新增1 与，XX

17、XX )图 3.1-4XXXX 公司信息内网割接后方案一示意图shutdown S9508 CE 之S9508 ospf Area0 区域，使原信息内网业。节点信息内网割接步骤图 3.1-6XXXX 公司信息内网割接前示意图第一步：按照节点割接拓扑准备跳线，并打上临时标签，同时保持节点信息内网设备(S9508)与原节点 XXXX 设备互联链路不动，新增链路测试端口up 之后，shutdown 掉新增链路连接的端口；（各节点现场工作组）图 3.1-7XXXX 公司信息内网割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息）， 找到各节点相关设备信息 VPN 业务所使用的端口，做出相应

18、配置， 绑定到信息 VPN 实例；（工程中心、信息内网割接组、各节点现场工作组）IP CE 上做路由汇总，对于准入系统使用的1.228 等地址段，超出公司规定范围，有两种种解决方案：一在所有1.228 1.228 21 IP 地址规范。推荐是用方案二。（信息内网割接组）节点 PE（）设备配置：VPN 实例：interface GigabitEthernet x/x/xinterface GigabitEthernet x/x/xipbindingvpn-instancespiip address x.x.x.x x.x.x.xbgp 协议配置：bgp 54916ip vpn-instances

19、piaddressbgp 54916ip vpn-instancespiaddress-familyipv4unicastpeerx.x.x.xas-number54676peer x.x.x.x peer x.x.x.xpeer x.x.x.x soo 54916:54916CE（）设备配置：配置互联端口地址，并绑定相应vpn 实例：interface GigabitEthernet x/x/xipinterface GigabitEthernet x/x/xipbindingvpn-instancespiip address x.x.x.x x.x.x.xbgp 协议配置：bgp 5467

20、6ip vpn-instancespiaddress-familybgp 54676ip vpn-instancespiaddress-familyipv4unicastpeerx.x.x.xas-number54676peerx.x.x.xroute-policylocalimportpeerx.x.x.xroute-policymedexportroute-policymedpermitnode10apply cost 100route-policylocalpermitnode10applylocal-preference500ospf协议配置：ospf 100importospf 10

21、0import-routebgppermit-ibgpcost10type1area 0.0.0.0area 0.0.0.0network x.x.x.x x.x.x.xnetwork x.x.x.x x.x.x.x黑洞路由：ipip route-static x.x.x.x x.x.x.x NULL0 preference 200节点现网设备（S9508）配置：配置互联端口地址：interfaceinterfaceVlan-interfacexxxip address x.x.x.x x.x.x.xospf协议配置：ospf 100area 0.0.0.0network x.x.x.x x.

22、x.x.xospf 100area 0.0.0.0network x.x.x.x x.x.x.x第三步：断开原有S9508 XXXX 之间链路，开启shutdown 掉则进行下一步，如不正常，则还原原有 S9508 至 XXXX 之间链路shutdown 工程中心、各节点现场工作组、信息内网业务组）节点现网设备（S9508）配置：1.OSPF 协议配置：ospfospf100router-id10.228.249.57import-routebgppermit-ibgpcost10type1图 3.1-8XXXX 公司信息内网割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增

23、链路。（各节点现场工作组）XXXX系统割接方案上级公司割接方案XX CE1 CE2 上联至PE1 PE2XXXX 业务整体割接，对应至视频。在割接过程中如需回退，则在信息CE PE MED 使原视频指挥业务仍流经原公司链路。割接前示意图如下所示：图 3.2-1 上级公司应急指挥割接前示意图上级公司割接方案步骤CE PE 上级公司应急指挥割接拓扑如下所示（图 3.2-2 上级公司应急指挥割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息在上级公司相关设备（NE20E）VPN 业务所使用的端口，做VPN 实例，并通过路由本地优先级控制使CE1 300、CE2 100，修改新增链路学到的

24、路由本地优先级为CE1 80 CE2 50as-path 控制，越少越优，公司链路发布路由的 AS-PATH 54673 54673，修改新增链路发布路由的AS-PATH 54673 CE RR 上做工程中心、会议电视割接组）CE VPNv4 路由表，确保能看到节VPN CE1 700 CE2 600AS-PATH使应急指挥业务流量经过新增链路，同时测试应急指挥PE CE 之间链路并检查相关设备配置，重复第三步直到视频应急指挥业务功能正常；（工程中心、视频会议割接组）图 3.2-3 上级公司应急指挥割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。（工程中心）节点割接方

25、案将市公司应急 S5700 上联到 XXXX 的通道割接至市公司新增CE1 CE2XXXX 公司为例，在割接过程中如shutdown S5700 CE 之间链路，使原信息内。割接示意图如下：图 3.2-4XXXX 公司应急指挥割接示意图XXXX 系统现有通道采用信息内网通道或者传输专线的XXXX 系统割接实施之前，各节XXX Cisco 6500）连接至应急 NE20，同时需保证该地区内现有的 XXXX 业务已汇总至S5700，才能保证应急业务割接的顺利进行。节点割接步骤图 3.2-5XXXX 公司应急指挥割接前示意图同时保持节点应急指挥设备(S5700)与传输主干网链路不动，新增链路测试端口

26、up 之后，shutdown 掉新增链路连接的端口，节点应急指挥割接拓扑如下所示；（各节点现场工作组、会议电视割接组）图 3.2-6XXXX 公司应急指挥割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息）， 找到各节点相关设备视频 VPN 业务所使用的端口，做出相应配置， 绑定到信息 VPN 实例；（工程中心、各节点现场工作组、会议电视割接组）节点 PE（）设备配置：VPN 实例：interface GigabitEthernet x/x/xinterface GigabitEthernet x/x/xipbindingvpn-instancespiip address x.x.

27、x.x x.x.x.xbgp 协议配置：bgp 54914ip vpn-instancebgp 54914ip vpn-instancespiaddress-familyipv4unicastpeerx.x.x.xas-number54673peer x.x.x.x peer x.x.x.x peer x.x.x.xpeer x.x.x.xpeer x.x.x.x soo 54673:54914CE（）设备配置：配置互联端口地址，并绑定相应vpn 实例：interface GigabitEthernet x/x/xipinterface GigabitEthernet x/x/xipbindingvpn-instancespvvip address