网络实施方案

网络实施方案公司机密，未经许可，请勿传播第ProjectManager起草日期:[DatePrepared]声明：该文档由杭州XX科技有限公司（以下简称“XX科技”）所提交。文档相关的信息不应被其它公司参考引用。文档属性属性内容客户名称XXXX项目名称XXXX项目网络实施方案项目编号文档主题网络实施配置规划文档版本1.0版本日期2014-05-20作者文档变更版本修订日期修订人描述1.02014/5/17IP地址规化修改文档送呈客户名称目的XXXX审阅、存档目录第1章项目实施计划 51.1责任分工界面 51.2项目里程碑目标 61.3项目实施计划安排 6第2章网络总体规划 72.1网络现状 72.2新建网络设计 7第3章设备部署 83.1设备命名 83.2端口描述 83.3软件版本 83.4槽位部署 8第4章网络连接 104.1端口分配原则 104.2端口分配列表 10第5章IP地址和VLAN分配 115.1IP地址分配原则 115.2IP地址整体分配 115.3管理地址 115.4互联地址 115.5业务地址 125.6VLAN划分 125.7端口划分 12第6章路由协议部署 146.1OSPF设计 14第7章局域网部署 157.1设备接口聚合 157.2VRRP规划 157.3MSTP规划 167.4VRRP与MSTP 16第8章安全规划 188.1网络安全原则 188.2设备安全 188.3业务安全 20第9章项目验收标准 219.1测试验收表 219.2测试内容 24第10章H3C工程安装规范一览表 30第11章设备配置脚本 31项目实施计划责任分工界面项目实施主要参与者为各厂商、展望科技和客户。具体责任分工界面为：工程进展客户集成商厂商1.工程准备阶段工程准备阶段项目组筹备参与主要责任参与/工程规划工程环境调查主要责任参与参与产品到货参与主要责任参与签收主要责任参与参与安装环境准备：网络准备/系统准备主要责任参与参与2.工程实施阶段所有产品网络准备主要责任参与参与应急计划准备参与参与主要责任应急及备份参与参与主要责任提起安装申请参与主要责任参与安装批准主要责任参与参与安装/调试参与（提供访问控制关系）主要责任（具体实施、总体协调）主要责任（提供技术支持）工程文档主要责任3.工程验收阶段工程验收验收文档准备参与主要责任验收参与主要责任验收文档提交参与主要责任验收签署主要责任参与4.试运行～终验初验初验完成主要责任（安全系统日常运营维护）主要责任（技术支持）主要责任（技术支持）～试运行终验终验后主要责任（系统运营维护）参与（技术支持）参与（技术支持）项目里程碑目标2014年x月x日前完成项目建设各个阶段及各项建设内容的方案制定，完成硬件设备和软件系统的供货、安装、配置、调试、测试、总体联调、试运行、验收，直至系统正式运行。制定明确的培训范围、培训内容和培训计划。在用户单位合适的时间内完成对用户现场管理培训、原厂商培训的范围和内容，并保证有足够的人力和物力确保系统安全稳定的运行。项目实施计划安排根据整个工程的网络覆盖及网络技术要求，我们拟出工程实施进度安排如下表：实施阶段实施步骤实施内容时间范围一、项目准备12345二、设备调试67891011三、试运行及调优13四、验收14项目成员单位名称姓名职务电话E-mail信泰人寿信息部主管技术负责人技术负责人杭州展望项目经理销售负责人技术负责人实施人员实施人员网络总体规划网络现状原组网图如下：（略）现网存在如下问题：结构混乱，没有层次，不利于统一管理；使用静态路由，维护工作量大，网络扩展性差；核心设备没有冗余，存在单点故障风险；广域网带宽不足，无法满足日益增长的业务需求。……新建网络设计新网络拓扑如下：（略）新建网络有如下优点：结构整齐，层次清晰，便于管理。采用动态路由协议，维护简单，扩展性好；新增一台核心设备，实现了设备级的冗余，网络健壮性提高；每个节点新增1条广域网线路，带宽提高，实现了线路冗余；设备部署设备命名按下列规则正确设置主机名：设备局点和级别-设备厂商名称-设备型号-设备序列号（1、2、3等）序号部署地点设备层次厂商设备型号设备序号设备命名1北海核心H3CS951201BHCore-H3C-S9512-01端口描述为便于识别和维护，定义VLAN和VLAN端口、物理端口描述的规则如下：交换机之间互联用VLAN、VLAN接口的描述规则为：TO:设备名称_端口编号_V+VLANID例如：本VLAN连接北海核心交换机01的GE1/1端口，VLAN号是100，描述为：TO:BHCore-H3C-S9512-01_GE1/1_V100。交换机连接服务器或者用户的VLAN及VLAN接口的描述为：TO:服务器名或用户组名例如：本VLAN连接工程部用户，描述为：TO:Engine_user。软件版本序号设备名称软件版本123槽位部署S9512E交换机：设备型号槽位号板卡名称板卡型号S9512E0112端口千兆以太网光接口业务板2324端口千兆以太网光接口业务板456S9512E交换路由处理板7S9512E交换路由处理板89101148端口千兆以太网电接口业务板1213NAT业务处理卡网络连接端口分配原则在XXXXX网络系统中，网络连接中设备端口的分配遵循以下原则：在核心或者汇聚设备上，连接到核心的上行设备根据端口编号从高到低分配，主备互联的平行设备也根据编号从高到低向前分配在核心或者汇聚设备上，从核心连接下行的汇聚或接入的设备，其端口的分配从低到高依次分配互联的端口均采用光口，不采用电口端口分配列表序号主机名/槽位/子槽/端口Host/slot/sub-slot/interface对端设备(SideB)端口Interface对端Host/设备描述1左侧slot0～32slot0预留3slot1预留4slot2预留5slot3～LSRM2GT24LEB16slot7～LSRM1GP48LEB1789101112slot8预留13slot9预留IP地址和VLAN分配IP地址分配原则IP地址的基本原则如下：掩码选择loopback地址使用32位掩码，互连地址使用30位掩码，业务IP地址采用24位掩码地址分配顺序每个业务网络分配到的B类地址的最后5个C类地址可以用来做互联地址和二层设备的管理VLAN地址同类设备互连，第一个C类地址作为Loopback地址的网段。IP地址整体分配区域地址段掩码业务网16OA网16管理地址设备的管理地址（即loopback地址）使用/24网段。序号设备名称管理地址掩码1BHCore-H3C-S9512E-013223互联地址广域网互联地址广域网设备的互联地址使用/16网段。序号本端设备本端地址对端设备对端地址掩码1BHWAN-H3C-SR8812-01CKWAN-H3C-SR8812-01302局域网互联地址局域网设备的互联地址使用/16网段。序号本端设备本端地址对端设备对端地址掩码1BHCore-H3C-S9512-01BHCore-H3C-S9512-023023业务地址业务地址使用/8网段。序号业务部门地址段掩码1财务部242工程部243VLAN划分保留VLAN:1-99互联VLAN：100-199财务部VLAN:200-299工程部VLAN：300-399端口划分本端设备对端设备说明设备名称端口端口类型设备名称端口端口类型编号编号1G（SFP,LC）1G（SFP,LC）VLAN1001G（SFP,LC）1G（SFP,LC）VLAN101路由协议部署本次网络规划建议全网采用OSPF，并与静态路由相结合。OSPF设计OSPF区域划分由于XX公司总部和各分公司每一个局域网设备数量不多（30台以下），每个局域网只需划分一个Area0便可以满足需求，将相关接口全部加入OSPF区域0，OSPF的进程号统一设置为1。OSPFRouter-id设置OSPF需要使用唯一的RouterID标识每一台路由器，建议相关网络设备的Loopback地址作为其OSPFRouterID。OSPFCost设置同层次设备名字段末位为01的交换机的上下行线路接口的COST值为默认值（10），设备名字字段末位为02的交换机的上下行线路接口的COST值为1000，以保证在正常情况下报文由设备名字字段末位为01的设备进行转发，在主用路径失效的情况下再走备份路径。如下图所示：（图略）局域网部署XXXXX每个业务网段的接入交换机和核心交换机间为二层交换网络，并有链路的冗余，出现了二层环路，所以在接入交换机和核心交换机间启用MSTP协议。其中，作为VRRP主网关的核心交换机配置为首选根桥(Primary)，作为VRRP备份网关的核心交换机配置为备份根桥(Secondary)，所有负责终端接入的电接口启用边缘端口、BPDU保护。设备接口聚合链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。在XXXX两台核心交换机启用链路聚合功能，链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。采用动态聚合模式VRRP规划为了保障业务网关的备份，在核心交换机上开启VRRP协议。保证核心交换机上的业务负载均衡，对于不同的VLAN，由不同的核心交换机设置为主交换机。业务网段的网关配置在XXXX_Core_S7503E_FW1上，非业务网段配置在XXXX_Core_S7503E_FW2上。XXXX_Core_S7503E_FW1和XXXX_Core_S7503E_FW2之间建立VRRP主从关系。主设备的VRRP优先级设置为120，从设备的VRRP优先级设置为100。VRRP配置规划表如下：VLANIDVLAN应用XXXX_Core_S7503E_FW1XXXX_Core_S7503E_FW2VRRP虚地址MSTP规划为防止网络产生冗余链路，需配置STP协议来消除二层环路。考虑到

STP不能快速迁移，即使是在点对点链路或边缘端口（边缘端口指的是该端口直接与用户终端相连，而没有连接到其它设备或共享网段上），也必须等待2倍的ForwardDelay的时间延迟，端口才能迁移到转发状态。RSTP可以快速收敛，但是和STP一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按VLAN阻塞冗余链路，所有VLAN的报文都沿着一棵生成树进行转发。因此，本次STP配置推荐使用MSTP。MSTP由IEEE制定的802.1s标准定义，它可以弥补STP和RSTP的缺陷，既可以快速收敛，也能使不同VLAN的流量沿各自的路径转发，从而为冗余链路提供了更好的负载分担机制。楼层所有设备属于同一个MST域，根据VRRP的主备方式，MST域里分为两个instance，分别为instance1（主要针对业务VLAN）instance2（主要针对非业务VLAN），XXXX-S7503E-S-1，XXXX-S7503E-S-1直接与接入交换机之间的MSTP规划：共分2个Instance：Instance1：指定根交换机为XXXX-S7503E-S-1，备份根交换机为XXXX-S7503E-S-1，包含VLAN2、VLAN3、VLAN4、VLAN12、VLAN13Instance2：指定根交换机为XXXX-S7503E-S-2，备份根交换机为XXXX-S7503E-S-1，包含VLAN5、VLAN6、VLAN7、VLAN8、VLAN9、VLAN10、VLAN11、VLAN14、VLAN15、VLAN16、VLAN17、VLAN18、VLAN100、VLNA200；在接入交换机同样需要进行相应的mstpinstance映射。VRRP与MSTPVRRP与MSTP的规划VRRP作为一种容错协议，它保证当主机的下一跳设备出现故障时，可以及时的由另一台设备来代替，从而保持通讯的连续性和可靠性。两台设备配置VRRP，其中一台为Master，一台为Slave，两台设备对应一个VirtualIP。生成树协议用于防止数据链路层由于冗余链路的连接而产生的以太网环路，从而避免广播风暴的发生。在各个大网的网关处部署MSTP，可以MSTP中的根桥设备与VRRP中Master设备保持一致。同时一个MSTP的实例对应一个或多个业务Vlan，实例一对应设备的管理Vlan。每个业务网的接入交换机和汇聚交换机间为二层交换网络，并有链路的冗余，出现了二层环路，所以在接入交换机和汇聚交换机间启MSTP协议。其中，作为VRRP主网关的汇聚交换机配置为首选根桥(Primary)，并在相应的端口上启用根保护和TC攻击保护功能，防止网络震荡的产生；作为VRRP备份网关的汇聚交换机配置为备份根桥(Secondary)，并在相应的端口上启用TC攻击保护功能；接入层交换机上连汇聚交换机的端口启用环路保护功能和TC攻击防范功能，所有负责终端接入的电接口启用边缘端口、BPDU保护和TC攻击保护功能。其配置和工作状态如下图所示：MSTP配置及工作状态图所启用的各种保护功能的作用如下：根保护：防止网络中恶意攻击或误用造成根桥改变而重新计算，引起网络中断；BPDU保护：有效防止了接入端口私自添加交换机或HUB对网络造成的震荡；环路保护：在网络出现短暂拥塞无法正常接收BPDU时，防止Blocking端口状态转变为Forwarding，形成环路；TC攻击保护：针对网络中恶意的TC攻击报文，防止交换机频繁删除ARP表和MAC地址表。安全规划网络安全原则网络安全是XXXX网络系统项目建设中非常重要的一环，网络安全设计原则如下：设备安全主要指核心骨干交换机及各个业务网的设备安全。只有经过认证的用户才能访问系统中的设备，以防止非授权用户对网络设备的恶意攻击。业务安全通过路由加ACL的方式实现网络层面的安全防护，防止不信任应用之间的互访。要实现全面的安全防护，还需要通过安全专用设备（防火墙、IDS等）实现应用层面的保护。设备安全只开放必要的网络服务网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。用户认证用户认证应采用集中认证和本地认证相结合的方式，集中认证为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议，在Radius服务器上建立设备管理用户，通过单一用户便可以实现全网设备的统一管理。同时在设备上建立本地用户数据库，可在Radius服务器不可用的情况下，使用本地数据库进行验证。在VTY和Console接口上启用用户认证，认证方式为集中认证和本地认证相结合。Telnet接入安全Telnet是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保Telnet访问的合法性和安全性，我们需要注意：（1）设置最大会话连接数；（2）设置访问控制列表，限制Telnet的连接请求来自指定的源IP网段；（3）尽量用SSH代替Telnet，采用SSH的好处是所有信息以加密的形式在网络中传输。SNMP安全通过SNMP我们可以对设备进行全面的日常管理，为了提高SNMP管理的安全性，需要应注意以下几点：（1）避免使用缺省的snmpcommunity，设置高质量的口令；（2）不同区域的网络设备采用不同的snmpcommunity；（3）把只读snmpcommunity和可读写snmpcommunity区分开来；（4）配置ACL来限制能够通过SNMP访问网络设备的网管服务器的IP地址。日志记录为了能够对整个XX网络系统设备进行监控和故障信息记录，需要记录网络设备的运行状态。日志记录主要包括以下内容：（1）收集网络设备的SYSLOG；（2）设置SYSLOGServer（通常位于网管工作站上）用于收集所有网络设备的SYSLOG；（3）所有的SYSLOG可以送到专门的事件管理服务器上，进行事件的压缩、关联和分析，有利于更好的故障定位和处理。（4）收集SNMPTrap，通过网管工作站收集网络设备的SNMPTrap信息，便于及时的故障处理；（5）收集用户操作记录，通过AAA服务器，对用户进行认证、授权和行为跟踪，并产生相应的日志报告，以供安全审计。路由协议安全路由协议的安全主要指邻居关系的可靠建立和路由信息的安全交换，此网络项目中主要涉及BGP和OSPF两种路由协议，通过启用它们的安全验证功能，可以提高网络中路由协议的安全性。（1）BGP路由验证（必要）核心骨干网与各个业务网核心的eBGP邻居关系，应该使用MD5密码验证，保证BGP邻居关系的合法建立，提高BGP路由交换的安全性。（2）OSPF路由验证（必要）在OSPF进程上都启用基于Area的MD5验证，保证OSPF邻居关系的合法建立。OSPF路由验证的配置方法为在OSPF区域视图下authentication-modemd5。访问控制为了防止局域网对广域网设备的非法访问，在广域区交换机与局域网相连的端口上应用入方向的ACL访问控制，只允许运行管理区的特定主机可以访问广域网设备，其他的一概不能访问。路由隔离由于各个业务网都能访问到数据中心网，而各个业务网之间是相互隔离的，因此需要在各个业务网的核心设备上开启路由隔离，防止各个业务网的设备间互相学习路由，从而禁止相互访问。端口组播/广播抑制当网络中因为某种因素出现广播风暴或者较多组播报文时，这些报文的泛滥会造成端口的阻塞，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。我们可以设置各个业务网交换机的端口或VLAN广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。业务安全网络层面ACL的缺省规则应该为deny，开放的访问需要通过手工添加permit规则，以防止可能产生的安全漏洞。应用层面ACL控制只能实现网络层面的防护，并不能识别应用层的数据，要实现全面的安全防护，还需要借助于专用的安全设备。高级的业务安全控制端口安全：根据用户的网络安全特性，在可维护性和网络安全性之间选择平衡点；设备端口在接入用户之前处于关闭状态；端口使能Port-security功能，限定用户接入位置网络实施方案公司机密，未经许可，请勿传播第24页,共SECTIONPAGES31页文档编号：xxx项目验收标准测试验收表测试项目设备验收测试测试结果竣工验收测试测试结果移交运行测试测试结果1.1网络设备√OKPOKNGNT1.1.1启动测试√OKPOKNGNT1.1.2状态检查√OKPOKNGNT√OKPOKNGNT1.1.3配置检查√OKPOKNGNT√OKPOKNGNT1.1.4端口检查√OKPOKNGNT1.1.5物理检查√OKPOKNGNT3.2性能指标√OKPOKNGNT√OKPOKNGNT1.2.1带宽测试√OKPOKNGNT√OKPOKNGNT1.2.2利用率测试√OKPOKNGNT√OKPOKNGNT1.2.3吞吐量测试√OKPOKNGNT√OKPOKNGNT1.2.4延迟测试√OKPOKNGNT√OKPOKNGNT3.3网络容错性√OKPOKNGNT√OKPOKNGNT1.3.1设备单点故障测试√OKPOKNGNT√OKPOKNGNT1.3.2网络单点故障测试√OKPOKNGNT√OKPOKNGNT1.4网络连通性√OKPOKNGNT√OKPOKNGNT1.4.1链路连通性√OKPOKNGNT√OKPOKNGNT1.4.2链路冗余√OKPOKNGNT√OKPOKNGNT1.5网络可用性和稳定性OKPOKNGNT√OKPOKNGNT1.5.1网络可用性测试OKPOKNGNT√OKPOKNGNT1.5.2网络稳定性测试√OKPOKNGNT√OKPOKNGNT1.6网络安全性√OKPOKNGNT√OKPOKNGNT1.6.1访问控制和过滤测试√OKPOKNGNT√OKPOKNGNT1.7设备可管理性√OKPOKNGNT√OKPOKNGNT1.7.1故障诊断√OKPOKNGNT√OKPOKNGNT1.7.2故障恢复√OKPOKNGNT√OKPOKNGNT1.8网络功能√OKPOKNGNT√OKPOKNGNT1.8.1分行应用测试√OKPOKNGNT√OKPOKNGNT1.8.2支行应用测试√OKPOKNGNTOKPOKNGNT1.8.3VLAN功能测试√OKPOKNGNT√OKPOKNGNT1.8.4路由备份√OKPOKNGNTOKPOKNGNT1.9网管功能测试√OKPOKNGNT√OKPOKNGNT1.9.1可用性测试√OKPOKNGNT注：本测试项目中的编号为本标准相应层次编号。结论表示方式：OK：测试结果全部正确POK：测试结果大部分正确NG：测试结果有较大的错误NT：由于各种原因本次无法测试网络实施方案公司机密，未经许可，请勿传播第31页,共31页文档编号：xxx测试内容网络设备测试目的是验证设备质量和配置是否合格。对每一台网络设备，均需进行如下所列的测试项目。启动测试冷启动对单个设备两次开关电源，观察能否正常启动。有冗余电源配置的设备，在切断冗余电源的情况下，断开和闭合主电源，观察能否正常启动；在切断主电源的情况下，断开和闭合冗余电源，观察能否正常启动。热启动单个设备正常启动后，用该产品的热启动命令进行热启动测试，观察能否正常启动。状态检查一般设备都有电源和每个物理端口的指示灯，配合相应产品的说明书，检查设备的指示灯是否正常。一台设备状态正常必须是所有指示灯正常。配置检查用被测产品的相应命令检查网络设备的硬软件配置，特别注意软件版本。如显示的信息符合设备合同的要求及与产品说明一致，即为正常。端口检查用被测产品的相应命令检查网络设备中端口配置，并用网络测试设备对端口进行速率、校验机制等进行测试。如测试结果符合设备合同的要求及与产品说明一致，即为正常。物理检查对设备进行检查，应记录网络设备（对模块结构的设备，还包括独立部件）出厂编号、产地、出厂日期等内容，与合同和产品说明一致为正常。网络性能指标测试目的是获取网络运行基本指标，以评判网络性能指标是否正常和达到设计要求。应测试网络带宽、利用率、吞吐量、精确度、延迟等指标。带宽测试应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等进行可用带宽测试。测试结果达到良好、一般为合格。与设计带宽一致即为正常。以太网指标如表1所示。在双链路和负载均衡情况下，可用带宽应为单链路的1.8倍以上。表1以太网可用带宽指标单位（Mb）以太网类型良好一般差千兆端口间≥800500至800≤500百兆端口间≥8050至80≤50利用率测试网络带宽利用率测试应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等进行带宽利用率测试。以24h为一个周期，分网段采用专用的网络测试设备进行网络带宽利用率测试抽查，每隔1min为一个统计点，并作好记录。要求测试最大利用率/流量、最小利用率/流量、平均利用率/流量；网络带宽利用率=实际占用带宽/总设计带宽。平均利用率指标达到良好、一般为合格；以太网平均利用率指标：0至20%范围内，网络状况良好；20%至40%范围内，网络状况一般；超过40%，网络状况较差。吞吐量测试在网络利用率最低和最高的时间段，采用FTP工具从网络中心的FTPSERVER下载和上传文件方法进行测试。文件的脚本分两类。一类为单个容量为100MB至1000MB的大文件，另一类为同等容量的一批1KB至10KB左右的小文件。在三种不同的环境下进行测试：第一种：在网络中心的两台工作站上做点到点的FTP测试，测试同一网段内的吞吐量，并记录FTP的时间；第二种：在不同网段的工作站上做同样的FTP测试，测试跨网段的吞吐量，并记录FTP的时间；第三种：在支行上的工作站上做同样的FTP测试，并记录FTP的时间。分析三次的结果是否稳定、正常。并作好记录（着重记录传输时间）；吞吐量=传输文件容量/传输时间。对于以太网，在网络利用率低的情况下，上传的吞吐量指标大于等于总带宽的60%为合格，下传的吞吐量指标大于等于总带宽的40%为合格。对于IP广域网，以专线（物理、虚拟）方式组网，吞吐量指标大于等于专线带宽的80%为合格。延迟测试主要测试数据包往返耗时，应做三项测试。这三种测试，对于64Byte、和1518Byte、5000Byte每种大小的数据包，各发送100个，测试并记录其平均延迟时间：第一种是跨骨干的交换机之间的PING测试；第二种是跨骨干的工作站间的PING测试；第三种是广域网上的工作站间的PING测试；对于第一、二种测试，平均延迟时间正常值范围为：对于64Byte的包，延迟时间小于2ms，网络状况良好，2ms至5ms之间，网络状况一般，大于5ms网络状况较差；对于1518Byte的包，延迟时间小于5ms，网络状况良好，5ms至10ms之间，网络状况一般，大于10ms网络状况较差。延迟值相对稳定，波动小；对第三种测试，以2M带宽为例，延迟时间在15ms以下，每跨过一个设备路由器，增加1.5ms。延迟时间值=15ms+n*1.5ms，其中n为跨过的广域网设备的个数，不计传输时延。总延迟不得超过30ms。网络容错性设备单点故障测试模拟设备单点故障环境，检测对网络运行的影响。电源容错对于冗余电源配置的设备，要测试电源的冗余情况。在测试时关掉主电源，看能否正常工作；之后，让关掉的电源重新上电；再关掉另一个冗余电源，看能否正常工作。同时运行典型应用系统，观察应用系统能否正常持续提供服务。模块容错多种网络设备的模块有冗余功能，如交换机上可插两块引擎，平时只有一块处于工作状态，另一块备用，处在监视状态。试用被测产品的相应命令使工作模块DISBALE（模拟故障），测试另一模块是否立即开始启动工作，记录切换时间和网络恢复时间。同时运行典型的原有应用系统，观察应用系统能否正常持续提供服务。同时采用专用网络测试仪器检测网络能否正常提供服务。网络单点故障测试模拟设备、链路等故障环境，检测对网络运行的影响。设备故障在有设备冗余并设置好设备热备份的地方，人为使主设备产生模拟故障，用被测产品的相应命令检查备用设备是否启动，并且记录切换时间和网络恢复时间；重新正常启动原主设备，用被测产品的相应命令检查该设备是否启动并切换回来，并且记录切换时间和网络恢复时间。同时运行原有典型的应用系统，观察应用系统能否正常持续提供服务，否则记录服务中断后到恢复正常的时间，分析中断服务的原因。链路容错在有链路冗余的网络中，切断当前工作链路，用被测产品的相应命令检查备用线路是否启动，并且记录切换时间；重新连通被切断的链路，用被测产品的相应命令检查工作线路是否启动并切换回来，并且记录切换时间和网络恢复时间。同时运行原有典型的应用系统，观察应用系统能否正常提供服务，否则记录服务中断后到恢复正常的时间，分析中断服务的原因。网络连通性链路连通性应做两项测试，只有两项测试都合格，链路连通性测试才合格：在测试用工作站上运行Telnet程序，连到待测试的设备上，用设备的相应命令，查看各个实际上物理链路连接的端口是否正常。必须看到端口正常和协议正常才为链路连接正常；Ping对方端口的IP地址。分别PING1000次64、1518字节的包，对于以太局域网成功率应在99.8%以上，对于广域网成功率应在99.5%以上，且无连续二次以上的“Timeout”信息为正常。链路冗余环形链路在存在环形链路的以太网中，对于采用生成树保证链路冗余的网络，在测试用工作站上运行Telnet程序登录到相应网络设备上，通过该设备的相应命令检查生成树连接是否准确完整、是否有明确的断点，检查生成树的重算次数以确定网络是否稳定；用切断某条链路的方法断开环，检查生成树的重算次数以确定网络是否稳定，待网络达到稳定后，测试网络的连通性并记录收敛时间；重新合上被切断的链路，检查生成树的重算次数以确定网络是否稳定，测试网络的连通性并记录收敛时间。对每个环测一次。路由备份方式下的链路冗余在两个网络结点间切断主链路，测试备份链路连接是否正常及收敛时间、丢包数。负载均衡方式下的链路冗余在两个网络结点间切断任一条链路，测试连接是否正常及收敛时间、丢包数。允许PING包在短时间内没有回音，但在15s内要求恢复。网络可用性和稳定性以试运行期间运行日志的数据为依据计算网络运行可用率。设备可用率、网络可用率应达到设计指标；网络实际运行时间指网络无故障运行时间（除去计划检修时间）。设备故障和链路故障均计入故障时间；当分支系统出现故障时，系统的故障时间按1/（分支数+1）计；由于传输网络而出现的故障时间不计入；网络总运行时间指网络试运行至测试时的自然时间。网络稳定性测试以试运行期间的运行数据进行评判。应给出连续试运行无故障时间和故障时间及次数；在测试期间，网络系统必须连续试运行（7*24）h以上无故障情况的发生，特别是不会出现网络中断的情况。在测试过程中，网络系统上必须运行相应的应用或者模拟的应用，必须有相当的负荷量。网络安全性从VLAN、设备配置保护、产品安全等方面进行测试。访问控制和过滤测试访问控制测试：根据产品说明书，检查网络产品是否支持访问控制列表的使用。若支持，则测试若干访问列表项，如该产品根据测试要求进行了访问控制，则为正常；过滤测试：测试是否支持基于TCPport、UDPport、ICMP的过滤。设备可管理性该测试所指设备可管理性主要指设备的配置是否简单，一般故障的诊断是否智能化，故障的恢复是否较为容易等。从设备配置简单、故障恢复、故障诊断等方面进行测试。本地网络管理、远地网络管理、通过串口管理或者其他维护接口的带外管理，和通过网络传输信道的带内管理。设备配置选用的网络产品是否可用多种方式进行配置，如WEB方式、命令行方式、远程配置等。故障诊断人为对设备进行故障设置，如拔去某一块接口卡，观察设备的指示灯、控制口输出、扬声器等是否有相应的提示或说明，其提示或说明是否正确。故障恢复对硬件的故障一旦恢复（如修复接口卡后重新插入），观察设备的指示灯、控制口输出、扬声器等是否有相应的提示或说明，其提示或说明是否正确；网络设备操作系统是否能方便地从异地备份（TXT文件、FLASH卡等）中恢复。网络功能分行应用测试通过分行的应用程序访问服务器。测试是否正常使用支行应用测试通过支行的应用程序访问服务器。测试是否正常使用VLAN功能测试VLAN隔离功能采用两种方法测试：在隔离的虚网间进行互相的访问操作（如PING），如不能PING通，即为正常；在一个VLAN中发一组广播数据，在非该VLAN的工作站中进行监测，如未收到该数据，则VLAN功能正常；测试各VLAN内网络利用率、碰撞率、差错率、广播量、延迟等指标。路由备份在设备与软件到位的情况下，如已设置了局域网路由备份，则可将正常工作的设备/路由模块关机或设置成故障，检测备份设备/备份路由是否正常启动并开始工作。记录网络恢复正常时间。网管功能测试配置管理通过测试明确网络管理软件能实现的网络配置功能。测试应针对不同的配置管理对象进行。系统拓扑自动发现，检查拓扑能否自动生成；拓扑自动层次