某企业网络割接方案计划

,.公司网络建设建设工程网络割接方案,.1、公司网络建设总体要求1.1工程概况为了解决当前网络建设在网络性能、业务承载、运维效率等方面谢谢阅读的瓶颈和问题，真正实现全公司一张网的网络建设络布局，公司在感谢阅读2014年启动了网络建设建设工作。按照公司统一要求，XX公司目前已实现覆盖共计100个站点的网络建设。截止2016年1月，XX网络建设改造工作现已经基本完成，初步建成了利用光传输网，以10GE链路为主、覆盖全公司系精品文档放心下载100个节点的高速数据通信络平台，实现了核心区域网状连接、各区域内双星型上联的网络架构。谢谢阅读据调研，公司现有各个业务，没有启动MPLSVPN，故各个业务路由和数据之间，没有进行逻辑隔离，共用网络的带宽和其他资源。与网络不同，新建的网络建设将采用MPLSVPN组网技术，各个业务承载在相应的独立VPN中隔离运行，通过路由策略和QoS进行区分。感谢阅读总之，本次割接工作总体方案即将现有全省业务从现有网络割接至网络建设的独立VPN中运行。谢谢阅读1.2割接原则一、安全第一原则本次割接技术难度大，原有网络结构将发生巨大变化，风险大，谢谢阅读,.所有方案和操作要安全第一，先易后难、先试点再推广、先一般业务感谢阅读再重要业务。二、方便回退原则所有操作留有余地，不轻易删除原有配置，保证任何操作能快速感谢阅读回退。三、提前准备原则不影响业务的准备操作要按照时间点提前完成，比如跳纤，设备精品文档放心下载IP分配，新建链路的协议建立等等，保证割接的检修时间充足，留有谢谢阅读处理问题和验证业务的时间。四、分工协作原则本次割接难度大，任务重，风险高，需要各单位组密切配合，共精品文档放心下载同完成。2、公司网络现状2.1XX公司网络建设改造方案图1.1XX公司网络建设网络架构建成后的XX公司网络建设采用MPLSVPN组网技术，根据VPN精品文档放心下载划分方案，以后XX省内的信息内网业务、视频业务、语音业务、IMS感谢阅读业务将逐步过渡到网络建设。,.2.2网络现状现有网络采用分层的拓扑结构，分为2个核心节点、15个骨干节点。公司配置2台XX设备作为核心设备，XX节点配置1台XX设备作为核心设备，每个骨干层节点上配置2台XX设备作为骨干设备。XX节点骨干设备分别采用1条622M链路+1条155M链路和公司核心PE设备互联，采用1条155M链路和节点XX核心PE设备互联，链路之间保持冗余和独立。精品文档放心下载公司配置2台XX核心交换机、2台XX硬件防火墙和2台核心PE设备之间采用口字形方式连接实现服务器区业务的接入。节点配感谢阅读2台XX硬件防火墙和2台骨干PE设备之间采用口字形方式连接，实现节点与上级公司之间业务的交互。信息广域现况如下图：精品文档放心下载,.2.2.1XXXX业务现状目前，各节点和上级公司直属单位信息内网业务、营销业务等多谢谢阅读个业务均通过上级公司XXXX上联至公司。图2.2-2上级公司XXXX业务拓扑图2.2.2XXXX业务现状现有各节点XXXX业务情况如下：2.2-1XXXX业务情况表XXXX公司为例，节点信息内网业务拓扑图如下：2.2-3XXXX公司信息内网业务拓扑图综上所述，各节点的2台XXXX设备作为各节点信息内网、感谢阅读业务、XXXX工单业务至上级公司的出口。本期工程若进行信息内网割接，需要考虑XXXX上承载的XXXX业务和XXXX工精品文档放心下载单业务的割接方案。2.3XXXX现状2.3.1上级公司XXXX系统拓扑图业务各节点通过信息内网和传输专线上联至上级公司，据了解，上级公司至节点业务使用信息内网通道，传输通道作为备用通道。感谢阅读,.2.3-1XX省XXXX系统网络拓扑图2.3.2节点XXXX系统拓扑图各节点XXXX业务通过信息内网和传输专线上联至上级公司，感谢阅读据了解，仅传输专线通道承载XXXX会议业务（少数节点采用信息感谢阅读内网）。2.3-2XXXX市公司XXXX系统网络拓扑图谢谢阅读2.4XXXX工单业务现状工单业务仅覆盖在各个节点。现在XXXX工单业务无独立通道，包含在信息内网业务中。谢谢阅读3、网络割接方案由于现有网络上节点XXXX包含地区信息内网业务、XXXX工精品文档放心下载单业务和XXXX业务。本次信息内网割接后各节点放置的XXXX路谢谢阅读由器将不再使用，为了不影响 XXXX业务，本次割接方案需考虑谢谢阅读业务、XXXX工单业务的割接方案。XXXX工单业务属于内网业务，需将XXXX工单业务IP地址调整至各节点内网中。精品文档放心下载,.3.1信息内网割接方案3.1.1上级公司割接方案上级公司原有的XXXXA和XXXXB与公司信息CE1与CE2已谢谢阅读具备链路，在现有信息CE1和CE2上对信息内网业务进行配置可以谢谢阅读实现信息内网业务，在割接过程中如需回退，则在信息CE上调整路谢谢阅读由优先级，并在PE上修改MED使原信息内网业务仍流经原公司链谢谢阅读路。割接前拓扑图如下所示：图3.1-1XX上级公司信息内网割接前示意图3.1.2上级公司割接步骤第一步：按照上级公司信息内网割接拓扑进行设备连接，并打上精品文档放心下载临时标签，同时保持上级公司信息CE与公司PE设备互联链路不动，谢谢阅读上级公司信息内网割接拓扑如下所示：（工程中心）,.图3.1-2XX上级公司信息内网割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），感谢阅读在上级公司相关设备（、XXXX）信息VPN业务所使用的端口，做感谢阅读出相应配置，绑定到信息VPN实例，并通过路由本地优先级控制使精品文档放心下载信息内网业务流仍经过原公司链路，本地优先级越高越优，公司链路谢谢阅读本地优先级CE1500、CE2100，修改新增链路学到的路由本地优先感谢阅读级为CE180CE250；公司回程路由通过AS-PATH控制，越少越优，感谢阅读公司链路发布路由的AS-PATH5467654676，修改新增链路发布路由精品文档放心下载AS-PATH5467654676。在省调PE及备调PE上做路由汇总和路由过滤，只发送被允许的汇总路由至公司；（工程中心、信息内网割接精品文档放心下载,.组）上级公司PE1-RR设备()配置：1.配置互联端口地址，并绑定相应VPN实例：interfaceGigabitEthernet3/2/1感谢阅读ipbindingvpn-instancespi感谢阅读ipaddress352感谢阅读2.bgp协议配置：bgp64600ipvpn-instancespiaddress-familyipv4unicast谢谢阅读peer3as-number54676感谢阅读peer3allow-as-loop感谢阅读peer3substitute-as谢谢阅读peer3soo54676:54918精品文档放心下载上级公司CE设备(XXXX)配置：1.配置互联端口地址，并绑定相应VPN实例：interfaceGigabitEthernet2/0/6精品文档放心下载ipbindingvpn-instancespi精品文档放心下载ipaddress452谢谢阅读2.bgp协议配置：bgp54676peer4as-number64600精品文档放心下载#ipv4-familyunicastundosynchronization,.network4655感谢阅读network精品文档放心下载network精品文档放心下载network感谢阅读network谢谢阅读import-routedirectpeer4route-policylocalimport谢谢阅读peer4route-policyas-pathexport感谢阅读route-policyas-pathpermitnode10精品文档放心下载applyas-path5467654676route-policylocalpermitnode10精品文档放心下载applylocal-preference803.ospf协议配置：ospf100router-id45精品文档放心下载filter-policyip-prefixspi-denyimportimport-routebgppermit-ibgpcost10type1route-policyspi-gwarea感谢阅读network8谢谢阅读network12谢谢阅读route-policyspi-gwpermitnode10谢谢阅读if-matchip-prefixspi-ip#ipip-prefixspi-ipindex10permit8greater-equal8less-equal8ipip-prefixspi-ipindex20permit8greater-equal8less-equal8ipip-prefixspi-ipindex21permit8greater-equal8less-equal8ipip-prefixspi-ipindex22permit8greater-equal8less-equal8ipip-prefixspi-ipindex23permit8greater-equal8less-equal8ipip-prefixspi-ipindex24permit8greater-equal8less-equal8ipip-prefixspi-ipindex25permit8greater-equal8less-equal8感谢阅读,.ipip-prefixspi-ipindex26permit8greater-equal8less-equal8ipip-prefixspi-denyindex10deny8greater-equal8less-equal8ipip-prefixspi-denyindex20permit0less-equal32感谢阅读4.黑洞路由：iproute-staticNULL0preference200iproute-staticNULL0preference200iproute-staticNULL0preference200谢谢阅读省调RRXXXXRR路由过滤配置：aclnumber2001descriptionspiaclrule1permitsource16精品文档放心下载rule2permitsource4谢谢阅读rule3permitsource55谢谢阅读rule4permitsource55感谢阅读rule5permitsource55精品文档放心下载rule6permitsource8感谢阅读rule7permitsource450谢谢阅读rule8permitsource460感谢阅读rule9permitsource55精品文档放心下载rule10permitsource8精品文档放心下载rule100denybgp64600address-familyvpnv4peer2route-policyspiexport精品文档放心下载peer4route-policyspiexport精品文档放心下载第三步：在上级公司CE上查看VPNv4路由表，确保能看到节谢谢阅读点信息VPN的路由，修改新增链路路由优先级为CE1700CE2600、谢谢阅读不增加AS-PATH使信息业务流量经过新增链路，同时测试信息内网精品文档放心下载业务功能是否正常，如正常，则进行下一步，如不正常，则断开上级精品文档放心下载公司PE与信息CE之间链路并检查相关设备配置，重复第三步直到精品文档放心下载,.业务内网功能正常；（工程中心、信息内网割接组）1.bgp协议配置：bgp54676ipv4-familyunicastundosynchronizationpeer4route-policylocalimport感谢阅读route-policylocalpermitnode10谢谢阅读applylocal-preference700精品文档放心下载图3.1-3XX上级公司信息内网割接后示意图,.第四步：割接完成，将临时标签换成正式标签，并规范整理新增谢谢阅读链路。（工程中心）3.1.3节点割接方案根据公司要求，本次割接后网络建设节点出口将不再保留防火感谢阅读墙。节点信息内网割接方案采用将两台XXX9508（XXXX公司为感谢阅读Cisco6500）上联至F3016的通道割接至两台市公司新增CE1与CE2，感谢阅读使用信息内网VPN，以XXXX公司信息内网为例，割接示意图如下：谢谢阅读(根据科信部意见，本期割接后，防火墙若需保留可自行安排)谢谢阅读图3.1-4XXXX公司信息内网割接后方案一示意图谢谢阅读在割接过程中如需回退，则在shutdown掉S9508至新增CE之间链路，删除S9508上ospf进程中的Area0区域，使原信息内网业务仍经过原节点XXXX。感谢阅读,.3.1.4节点信息内网割接步骤图3.1-6XXXX公司信息内网割接前示意图第一步：按照节点割接拓扑准备跳线，并打上临时标签，同时保精品文档放心下载持节点信息内网设备(S9508)与原节点XXXX设备互联链路不动，新感谢阅读增链路测试端口up之后，shutdown掉新增链路连接的端口；（各节谢谢阅读点现场工作组）,.图3.1-7XXXX公司信息内网割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），感谢阅读找到各节点相关设备信息VPN业务所使用的端口，做出相应配置，感谢阅读绑定到信息VPN实例；（工程中心、信息内网割接组、各节点现场精品文档放心下载工作组）各节点IP地址在节点CE上做路由汇总，对于准入系统使用的谢谢阅读1.228等地址段，超出公司规定范围，有两种种解决方案：一在所有精品文档放心下载节点部署准入服务器，保证1.228等地址段只需要在节点内通信，二，谢谢阅读更改1.228等节点21地址段，符合公司最新IP地址规范。推荐是用谢谢阅读方案二。（信息内网割接组）节点PE（）设备配置：1.配置互联端口地址，并绑定相应VPN实例：interfaceGigabitEthernetx/x/x感谢阅读ipbindingvpn-instancespi精品文档放心下载ipaddressx.x.x.xx.x.x.x感谢阅读,.2.bgp协议配置：bgp54916ipvpn-instancespiaddress-familyipv4unicast精品文档放心下载peerx.x..x.xas-number54676精品文档放心下载peerx.x..x.xallow-as-loop谢谢阅读peerx.x.x.xsubstitute-as感谢阅读peerx.x.x.xsoo54916:54916感谢阅读节点CE（）设备配置：1.配置互联端口地址，并绑定相应vpn实例：interfaceGigabitEthernetx/x/x谢谢阅读ipbindingvpn-instancespi谢谢阅读ipaddressx.x.x.xx.x.x.x谢谢阅读2.bgp协议配置：bgp54676ipvpn-instancespiaddress-familyipv4unicast精品文档放心下载peerx.x.x.xas-number54676谢谢阅读peerx.x.x.xroute-policylocalimport感谢阅读peerx.x.x.xroute-policymedexport精品文档放心下载route-policymedpermitnode10精品文档放心下载applycost100route-policylocalpermitnode10感谢阅读applylocal-preference500感谢阅读3.ospf协议配置：ospf100import-routebgppermit-ibgpcost10type1精品文档放心下载,.areanetworkx.x.x.xx.x.x.x4.黑洞路由：iproute-staticx.x.x.xx.x.x.xNULL0preference200精品文档放心下载节点现网设备（S9508）配置：1.配置互联端口地址：interfaceVlan-interfacexxx感谢阅读ipaddressx.x.x.xx.x.x.x精品文档放心下载2.ospf协议配置：ospf100areanetworkx.x.x.xx.x.x.x第三步：断开原有S9508至XXXX之间链路，开启shutdown掉感谢阅读的新增链路连接接口，同时测试信息内网业务功能是否正常，如正常，谢谢阅读则进行下一步，如不正常，则还原原有S9508至XXXX之间链路感谢阅读shutdown新增链路连接接口，并检查相关设备配置，重复第三步直到精品文档放心下载业务内网功能正常；（工程中心、各节点现场工作组、信息内网业务谢谢阅读组）节点现网设备（S9508）配置：1.OSPF协议配置：ospf100router-id7感谢阅读import-routebgppermit-ibgpcost10type1感谢阅读,.图3.1-8XXXX公司信息内网割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增感谢阅读链路。（各节点现场工作组）3.2XXXX系统割接方案3.2.1上级公司割接方案将公司网络建设放置在XX的两台视频CE1和视频CE2上联至感谢阅读上级公司本部PE1和PE2，实现XXXX业务整体割接，对应至视频感谢阅读VPN。在割接过程中如需回退，则在信息CE上调整路由优先级，并精品文档放心下载PE上修改MED使原视频指挥业务仍流经原公司链路。割接前示意图如下所示：感谢阅读,.图3.2-1上级公司应急指挥割接前示意图3.2.2上级公司割接方案步骤第一步：按照上级公司应急指挥割接拓扑进行设备连接，并打上精品文档放心下载临时标签，同时保持上级公司视频CE与公司PE设备互联链路不动，谢谢阅读上级公司应急指挥割接拓扑如下所示；（工程中心、会议电视割接组）感谢阅读,.图3.2-2上级公司应急指挥割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），谢谢阅读在上级公司相关设备（、NE20E）视频VPN业务所使用的端口，做谢谢阅读出相应配置，绑定到信息VPN实例，并通过路由本地优先级控制使谢谢阅读应急指挥业务流仍经过原公司链路，优先级越高越优，公司链路本地感谢阅读优先级CE1300、CE2100，修改新增链路学到的路由本地优先级为谢谢阅读CE180CE250；公司回程路由通过as-path控制，越少越优，公司链谢谢阅读路发布路由的 AS-PATH5467354673，修改新增链路发布路由的精品文档放心下载AS-PATH5467354673。在CE上做路由汇总，在省调和备调RR上做感谢阅读路由过滤，只发送被允许的汇总路由至公司；（工程中心、会议电视精品文档放心下载割接组）,.第三步：在上级公司CE上查看VPNv4路由表，确保能看到节谢谢阅读点应急指挥VPN的路由，修改路由优先级为CE1700CE2600、不增精品文档放心下载AS-PATH使应急指挥业务流量经过新增链路，同时测试应急指挥业务功能是否正常，如正常，则进行下一步，如不正常，则断开上级公司PE与视频CE之间链路并检查相关设备配置，重复第三步直到视频应急指挥业务功能正常；（工程中心、视频会议割接组）谢谢阅读图3.2-3上级公司应急指挥割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增感谢阅读链路。（工程中心）,.3.2.3节点割接方案将市公司应急S5700上联到XXXX的通道割接至市公司新增谢谢阅读CE1与CE2，使用视频VPN。以XXXX公司为例，在割接过程中如感谢阅读需回退，则在shutdown掉S5700至新增CE之间链路，使原信息内谢谢阅读网业务仍经过原节点XXXX。割接示意图如下：图3.2-4XXXX公司应急指挥割接示意图各节点XXXX系统现有通道采用信息内网通道或者传输专线的感谢阅读方式，拓扑结构大致相近，在本期XXXX系统割接实施之前，各节精品文档放心下载点需将现有信息内网的XXX9508（XXXX公司为Cisco6500）连接感谢阅读至应急NE20，同时需保证该地区内现有的 XXXX业务已汇总至感谢阅读S5700，才能保证应急业务割接的顺利进行。,.3.2.4节点割接步骤图3.2-5XXXX公司应急指挥割接前示意图第一步：按照节点应急指挥割接拓扑准备跳线，并打上临时标签，精品文档放心下载同时保持节点应急指挥设备(S5700)与传输主干网链路不动，新增链精品文档放心下载路测试端口up之后，shutdown掉新增链路连接的端口，节点应急指谢谢阅读挥割接拓扑如下所示；（各节点现场工作组、会议电视割接组）谢谢阅读,.图3.2-6XXXX公司应急指挥割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），感谢阅读找到各节点相关设备视频VPN业务所使用的端口，做出相应配置，谢谢阅读绑定到信息VPN实例；（工程中心、各节点现场工作组、会议电视精品文档放心下载割接组）节点PE（）设备配置：3.配置互联端口地址，并绑定相应VPN实例：interfaceGigabitEthernetx/x/x精品文档放心下载ipbindingvpn-instancespi精品文档放心下载ipaddressx.x.x.xx.x.x.x感谢阅读4.bgp协议配置：bgp54914ipvpn-instancespiaddress-familyipv4unicast谢谢阅读peerx.x..x.xas-number54673精品文档放心下载,.peerx.x..x.xallow-as-loop谢谢阅读peerx.x.x.xsubstitute-as感谢阅读peerx.x.x.xsoo54673:54914精品文档放心下载节点CE（）设备配置：1.配置互联端口地址，并绑定相应vpn实例：interfaceGigabitEthernetx/x/x谢谢阅读ipbindingvpn-