网络改造设计方案.docx

《网络改造设计方案.docx》由会员分享，可在线阅读，更多相关《网络改造设计方案.docx（21页珍藏版）》请在课桌文档上搜索。

1、网络改造设计方案凯达信息有限责任公司目录L背景41.1 现状描述41.2 存在问题41.3 改造后拓扑42 .工程实施内容52.1 工程实施主要内容53 .工程实施组织64 .工程实施74.1 .资源准备74.1.1 IP地址规划74.1.2 设备命名114.2 网络改造前准备144.2.1 项目协调会144.2.2 机房现场勘查和准备144.2.3 设备配置备份144.3 工程实施步骤154.3.1 Internet访问配置154.3.2 凯达内网访问配置：154.3.3 服务器及终端地址更换164.3.4 连通性测试164.4 配置实例164.4.1 定义路由器名称164.4.2 配置接口

2、地址174.4.3 Trunk部分174.4.4 VTP部分174.4.5 Vlan部分174.5 存在问题194.6 实施保障195 实施安排205.1 第一阶段改造205.2 第二阶段改造215.3 第三阶段改造21凯达武威项目网络建设现在己经完成。由于海外网络接入需求，要对通信及IP地址进行下一步的改造。考虑到要对整个通讯系统IP地址全面的改造，整个项目公司启用凯达海外IP地址，从而对拉克项目提供网络改造解决方案。1.1 现状描述经调研，武威项目局域网由于建设时期投产工期紧张，IP地址资源有限,致使最终网络建设完成后，使用IP地址为华泰国内10网段IP地址段和非凯达内网私有地址段(192

3、.168.X.X)o改造后武威项目卫星回国将直接接入凯达广域网，需要将现有IP地址更换为凯达海外IP地址，否则将无法访问凯达内网。1.2 存在问题原武威项目网络建设过程中，由于各种原因导致IP地址没有进行过全局的统一规划。存在问题主要有以下几个方面：IP地址未经完整规划。局域网中存在大量非凯达许可IP地址1.3 改造后拓扑本次网络改造以对网络结构和用户使用感受影响最小为原则，改造后的网路结构中二层网络部分不做任何变动，仅在核心交换和路由之间做出调整：1. 将原网络结构中承接核心交换CiSCO4503和深信服、BIUeCOat的CiSeo3560移除；2. CiSCO4503A启用三层IP接口连

4、接CiSCoASA5520,原深信服设备仍部署为二层模式；3. Cisco4503B启用三层IP接口连接Cisco3825设备，原Bluecoat设备仍部署为二层模式；4. Internet出口移至防火墙设备，由防火墙设备提供Internet访问和NAT地址转换。网络改造后可以根据访问的目的地址不同将访问Internet和凯达内网数据进行分流，访问凯达内网数据走拓扑图左边路径通过Bluecoat设备进行访问加速；访问Internet数据走拓扑图右边路径通过深信服设备的上网行为认证和防火墙设备的安全管理。两台核心交换之间启用三层SVJ口互联，分别向对方写一条访问凯达内网和Internet的浮动静

5、态路由实现三层路由冗余功能。2.工程实施内容2.1 工程实施主要内容 网络改造与路由策略按照新的网络拓扑进行网络改造，对武威项目网络IP地址进行重新规划，对全网路由进行调整优化。 NAT在Cisco3825路由器上启用NAT配置作为过渡方式，将原网络中的地址转换为172.16.X.X网段，以确保最短时间内恢复用户对凯达内网的访问。在防火墙Internet接口配置NAT将内网服务器发布并提供用户对Internet的访问。 VPN将原路由器上IPsecVPN配置移至防火墙设备。 DHCP全网终端用户IP地址采用DHCP自动分发机制，替换原有网络中大量手动指定的IP地址。 核心网络建设1 .全网采用

6、静态路由；2 .汇聚交换机(Tnnlk+STP)上连至核心；3 .可以远程管理的设备需配置InterfaCeVlan接口地址进行统一管理。IP地址规划将整个网络的IP地址进行重新的整体规划。根据不同区域的用户数量和以后业务发展情况分配不同数量且连续的IP地址段。在核心路由上将IP地址条目数做到最少，方便管理及运维人员维护操作。网络割接本次割接所有准备工作包括路由配置需在割接前完成，如果割接失败将按照回退步骤将网络还原回原来配置。培训工程师在现场实施之前，实施组工程师为客户方技术人员介绍设备的概况、基本性能功能、设备的基本配置方法，使得客户方技术人员对本项目涉及的设备有所了解和认识。培训方式：现

7、场演示、介绍。培训时间：工程师实施过程中。培训地点：实施现场。3 .工程实施组织为确保项目建设工作的顺利、有序进行，相关部门应成立项目领导小组、工程技术组、工程管理组。项目领导小组负责项目调整过程中重大问题的决策。工程技术组具体负责建设过程中的工程组织和实施工作、并及时向领导小组汇报工程进展情况；负责项目前期的准备工作、工程实施方案、对工程实施中出现的技术问题进行分析解决、对整个工程实施提供技术支持、工程验收。工程管理组制定工程实施计划、负责设备到货验收、安排工程实施的各项工作、协调工程实施中的问题、组织工程验收。4 .工程实施4.1 ,资源准备4.1.1 IP地址规划本次网络改造的主要目的为

8、将武威项目公司的IP地址进行重新的规划和替换，并能解决以前网络中IP地址不易管理的问题。此部分难度较大，由于前线应用系统复杂，基于AD域控的CailManager、OA认证、EXChanger等服务的地址的变更将会直接影响整个武威项目网络的使用。同时，由于武威项目公司网络在兰州、北京均彳T用户存在，并通过当地武威当地网络和凯达广域网连接，故也不能通过服务器地址的私有化、不发布而避开改造。基于以上情况，将按照以下困难程度顺序依次进行实施设计。争取在最短时间内，保证用户网络系统可用性的前提下，完成IP地址的变更。IP地址变更步骤如下：1、卫星出口地址、核心设备互联地址变更；2、关键应用服务器（AD

9、域控、ExchangeCallManager）地址的变更；3、非关键应用服务器地址的变更；4、武威公司用户段地址变更；5、IP电话地址变更；6、设备管理地址、功能终端的地址变更；4.1.1.1IP地址规划原则武威网络改造过程中，需要对现有网络中的IP地址进行变更。将使用172.16.128.0-172.16.135.255替换现有的地址。主要实施步骤如下：A完成三层设备网间路由及网间地址的变更在核心设备路由、交换机、防火墙等三层网络设备配置新的路由条目以确保终端IP地址更改后路由的通畅。完成二层设备管理地址变更，并更改路由：修改二层设备配置的同时，按照新IP地址规划表、配置规范对设备重新进行V

10、LAN划分、VTP配置、安全配置、端口描述、设备重命名等细节配置，以减轻二期改造的工作量。并对过程加以记录，对配置进行存档。完成服务器地址的变更，并更改路由：修改服务器地址的过程中，网络方面配合服务器地址的变更配置量较小。完成固定IP应用终端地址的变更：静态IP终端地址的变更，可根据地域逐步进行，需要更改的有：专用打印机、扫描仪、IP摄像头等。并在修改后，运维调试一定时间。完成三层设备网间及接口地址的变更修改三层设备互联接口地址实现新老路由的切4.1.1.2设备互联地址分配路由器间链路的IP地址，从业务的相关性上，他们一般不具有全局的功能,而只是提供完成两个路由器之间的连接。因而从这个角度上讲

11、，这部分的地址空间的分配应当考虑以下的方面：尽可能以分层次的方式分配地址。由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。提供足够的预留空间，以满足今后新增链路的需要。采用上面的分层次的链路地址分配结构，能够保证路由处理的高效性。而在实施的过程中，应当考虑到在根据业务需要新增链路的时候，这种分层次的结构尽量不会被打破。那么，就需要在初期分配的时候，考虑到不远的将来可能进行的扩容，从而进行相应的预留。互连链路地址采用2

12、9或30位掩码的分配方式。4.1.1.3IP地址分配将172.16.128.0/21用于武威公司用户，其中：A172.16.128.0/25用于核心骨干网间地址 172.16.128.128/25用于设备管理地址 172.16.129.0/25用于服务器地址A172.16.129.128/25用于兰州用户地址 172.16.130.0/26用于营地用户1（甲方）地址 172,16.130.64/26用于营地用户2（甲方）地址 172.16.130.128/25打印机及IP电话地址A172.16.131.0/24用于营地用户3（乙方）地址 172.16.132.0/23用于井队地址 172.16

13、.134.0/24营地内无线中继塔覆盖用户地址A172.16.135.0/24营地内无线覆盖地址核心骨干网间IP地址规划如下图:172.16.128.0网间地址172.16.128.1核心路由A接口地址172.16.128.2172.16.128.3172.16.128.4172.16.128.5172.16.128.6ASA5520-01接口地址172.16.128.7广播地址172.16.128.8网间地址172.16.128.9核心路由B接口地址172.16.128.10172.16.128.11172.16.128.12172.16.128.13172.16.128.14Bluecoa

14、tSG510接口地址172.16.128.15广播地址172.16.128.16网间地址172.16.128.17S5520-01接口地址172.16.128.18172.16.128.19172.16.128.20172.16.128.21172.16.128.22深信服接口地址172.16.128.23广播地址172.16.128.24网间地址172.16.128.25BluecoatSG510接口地址172.16.128.26172.16.128.27172.16.128.28172.16.128.29172.16.128.304503-02接口地址172.16.128.31广播地址17

15、2.16.128.32网间地址172.16.128.33深信服接口地址172.16.128.34172.16.128.35172.16.128.36172.16.128.37172.16.128.384503-01接口地址172.16.128.40网间地址172.16.128.414503-01接口地址172.16.128.42172.16.128.43172.16.128.44172.16.128.45172.16.128.46ASA5520-02接口地址172.16.128.47广播地址IP地址详细规划表请参照附表（IP地址规划表）。4.1.2 设备命名4.1.3.1 核心设备命名规则核心

16、设备命名采用“物理区域名-设备型号-逻辑层缩写”的格式进行编写。命名中物理区域名与实际地址的对应关系为：前线营地：Camp兰州：Baghdad前线小队：Team命名中设备型号名与实际设备的对应关系为：CISC03825:3825命名中逻辑层缩写，由于为核心设备均标注为：“COR”例：前线营地的3825：Camp-3825-COR4.1.3.2 汇聚设备命名规则汇聚设备命名采用“物理区域名-设备型号-逻辑层缩写”的格式进行编写。命名中物理区域名与实际地址的对应关系与核心设备命名规则一致。命名中设备型号名与实际设备的对应关系为:CISC04507:4507CISC03560:3560CISC029

17、60：2960命名中逻辑层缩写，由于为核心设备均标注为：“DIS”例：前线营地的3560：Camp-3560-DIS4.1.3.3 接入设备命名规则接入设备命名采用“所在区域名-所属甲方地区名（-附属地区名）-设备型号缩写-编号”的格式进行编写。命名中物理区域名与实际地址的对应关系与核心设备命名规则一致。命名中设备所在区域名与所属甲方地区名的对应关系为：例：营地：机房：Camp-CoreRoom-3560-01兰州：办公室机房：Baghdad-Office-3560-01小队：办公室机房：TeamOl-office-3560-01命名中设备型号名与实际设备的对应关系为：CISC02960:29

18、60CISC03560:3560命名中编号中，便满足“物理区域名-所属甲方地区名-服务公司名-设备型号-编号”即可，可以不分层级，均按照01、02、03、04续延。原则是，按照我们归纳的逻辑区域进行划分，编制接入设备命名时，将以此区域作为整体进行编号，此逻辑区域并非全为机房。4.13.4.1网间地址端口主要为设备互连接口所用描述。具体格式如下：TOY对端设备-接口-例1：此端口链接对端为营地2821设备的G0/1口,对端IP172.16.128.7T0-41342Trunk端口主要为二层设备之间链接与接入汇聚互连接口的描述所用。具体格式如下：ToY设备HOSTNAME-对端接口即可。特殊Acc

19、ess端口：主要为描述一些特殊终端设备，比如服务器、领导、摄像头等等。具体格式如下：FOR-“设备类型”-“功能描述”-“编号”设备IP地址。服务器描述格式:FOR-Server-“功能”-编号例1：此端口链接对端为营地的第N个摄像头，地址为LLLIFOR-Camera-IffDorm-N例2:此端口链路对端为第二台AD服务器，地址为2.2.2.2F0RServer-AD-024.1.3.5 VLAN规则VLANID与命名VLAN101网络设备管理地址：DeviceVLANIll服务器地址：ServerVLAN121领导地址：LeaderVLAN122BGP领导地址：UserVLAN200:I

20、P电话：VoIP4.1.3.6 VTP配置在每区域的汇聚设备上，配置加密认证的VTP服务端。每区域交换机配置为CliCnt端。VTP的域名分别为:前线营地：Camp兰州：Bagdad小队：TeanI4.1.3.7 静态路由描述TOY设备H0STNAME例如：T0-4.2网络改造前准备4.2.1 项目协调会武威项目能否顺利实施的一个重要因素就是工程相关部门和人员进行合作的密切性和致性。相互之间的合作和理解是工程实施成功的重要基石。通过项目协调会的方式可以使参与工程项目的各个部门和人员加强交流，以明确各自职责并共同合作完成实施工作。4.2.2 机房现场勘查和准备工程实施准备阶段，做好设备安装机房的

21、现场勘察工作，并根据现场勘察结果提出机房现场准备的建议，进行机房准备工作。下述环境因素比较重要： 现有线缆布局和配线排布局； 设备安装地建筑物强度（机房承重能力）； 电路设备状况； 机架空间和可利用机架状况； 电源能力和地线排布局； 用户对设备安装所能提供的具体支持（设备支持、人力支持、管理支持、技术支持、等等）；4.2.3 设备配置备份实施人员需事先将所有涉及网络改造设备配置进行备份，为网络回退做准4.3.1 IlItenIet访问配置1 .分别修改核心路由器与ASA5520防火墙、ASA5520防火墙与Cisco4503A互联地址；ASA5520防火墙与Internet互联网接口地址。2

22、.在防火墙ASA5520配置访问Internet静态路由下一跳地址为与互联网互联接口地址；配置用户地址访问InternetNAT地址转换池；配置内部提供Internet访问的服务器静态NAT转换及端口映射；配置与兰州互联的IPSeCVPN；配置对凯达内网访问静态路由下一跳地址为与路由器的互联接口地址；配置访问营地静态路由下一跳地址为与Cisco4503A的互联接口地址；配置访问营地浮动静态路由下一跳地址为与核心路由的互联接口地址3 .在核心交换Cisco4503A上配置访问Intemet静态路由下一跳地址为与防火墙ASA5520互联接口地址；在核心交换Cisco4503A上配置访问凯达内网静态

23、路由下一跳地址为与Cisco4503B三层互联SVI口地址；配置访问Internet静态浮动路由为与Cisco4503B三层互联SVI口地址。4.3.2 凯达内网访问配置：4.3.2.1 第一步：卫星出口地址更换1 .调整卫星极化角度；2 .配置卫星猫，修改卫星猫IP地址；3 .修改路由器连接凯达内网地址并修改对凯达内网访问静态路由。4.3.2.2 第二步：国内DNS服务器地址更换1 .在北办配置新的DNS服务器，将原DNS服务器中域名与IP地址的对应关系修改为网络改造后的IP地址,在现场实施卫星切换时将北办DHCP配置中的DNS地址修改为新DNS服务器地址即可。5.3.2.3第三步：核心网络

24、接口及路由配置1 .分别修改核心路由器与核心交换CiSCo4503B互联接口地址2 .在核心交换Cisco4503B上配置访问凯达内网静态路由下一跳地址为与路由器互联接口地址；在核心交换CiSCo4503B上配置访问Internet静态路由下一跳地址为与CiSCO4503A三层互联SVl地址；配置访问Internet静态浮动路由下一跳地址为与路由器互联接口地址；3 .在路由器上配置对营地内网访问的静态路由下一跳地址为Cisco4503B接口地址;对营地内网访问的浮动静态路由下一跳地址为与防火墙互联接口地址；4.3.3 服务器及终端地址更换前两个步骤完成后能确保业务正常运行，在此基础上对服务器设

25、备和终端设备IP地址进行逐步修改。用户将终端配置设置为DHCP自动获取地址即可更换终端IP地址。4.3.4 连通性测试1 .配置完成，检查端口UP状态；2 .检查路由协议正常运行，检查路由表；3 .测试路由是否已配置正确，访问内外网地址；4 .在国内外测试内部服务器是否正常发布。4.4 配置实例4.4.1 定义路由器名称Hostname路由器名称4.4.2 配置接口地址定义互联接口地址interface端口号description端口描述信息ipaddress接口地址掩码4.4.3 Trunk部分配置模板：interfacegl(configif)swmodetrunk(configif)sw

26、trendotlq(configif)swtralvlanall4.4.4 VTP部分VTP通过网络(ISL帧或Cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN,自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在vtpserver做相应设置,vtpclient会自动学习vtpserver上的vlan信息配置模板：Uvlandatabase(vlan)UvtpdomainTTAG-ASB(vlan)Uvtpserver(vlan)UvtppasswordTTAG-ASB4.4.5 Vlan部分VLAN(

27、VirtualLocalAreaNetwork,虚拟局域网)技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN,每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。配置模板：#创建VLAN20和VLAN30,并配置VLAN20和VLAN30的描述字符串，将端口GigabitEthernet20l加入到VLAN20,GigabitEthernet202加入到VLAN30,SWitCh1#VlandatabaseSwitchl(vlan)Uv

28、lan20namevlan20Switchl(vlan)UexitSwiIchlttconfigtSwitchl(config)#interfaceGigabitEthernet20lSwitchl(configif)UswitchportmodeaccessSWitChI(Config-if)#SwitChPortaccessvlan20Switchl(configif)Uspanning-treeportfastSwiIchlttvlandatabaseSwitchl(vlan)Uvlan30namevlan30Switchl(vlan)UexitSwiIchlttconfigtSwitc

29、hl(config)#interfaceGigabitEthernet202SWitChI(Config-if)#SwitChPortmodeaccessSwitchl(config-if)Uswitchportaccessvlan30Switchl(config-if)Uspanning-treeportfast其它VIan相同配置#创建VLAN20和VLAN30的接口JP地址分别配置为LLLl和1.1.2.1Switchl(config)Uintvlan20Switchl(config-if)ipaddress1,1.1,1255.255.255.255Switchl(config)Uin

30、tvlan30Switchl(config-if)ffipaddressL1.2.1255.255.255.2554.5 存在问题网络改造完成后现场人员访问北办服务器以及北办人员访问现场服务器的路径均将通过凯达广域网与华泰互联的路径实现。经过测试，由于华泰与凯达内网边界处架设了防火墙设备，导致RTX、邮件、采办系统等应用访问无法实现，需协调华泰总部开放防火墙设备上对相应服务器地址（见下表）的访问权限。用户地址北办应用系统名称IP地址备注172.16.128.0/21BLADE-I刀片服务器172.16.1.171刀片宿主机CrnX服务器172.16.1.182虚拟机Romtedesktop17

31、2.16.1.187虚拟机采办服务器172.16.1.183虚拟机BLADE-2刀片服务器172.16.1.172刀片宿主机AD/DNS服务器172.16.1.176虚拟机TSM服务器172.16.1.181虚拟机BLADE-3刀片服务器172.16.1.173刀片宿主机MAIL邮件服务器172.16.1.177虚拟机RTX服务器172.16.1.184虚拟机VIDEO视频会议服务器无操作系统修复状态BLADE-4刀片服务器172.16.1.174刀片宿主机ANTI病毒服务器172.16.1.180虚拟机ORACLE服务器无系统无法登陆BLADE-5刀片服务器172.16.1.175刀片宿主机

32、空闲状态CISCOIvonPortC160垃圾邮件网关不详处于工作状态SEPAT0NS2100虚拟带库192.168.*.*内部管理地址IBMDS3400存储192.168.*.*内部管理地址4.6实施保障为保障网络的使用性，此步骤是针对网络割接失败而制定，如实施过程中无法实现预期目标，将网络连接切换回原网络连接方式，将备份的配置重新写入相应设备即可实现网络回退。5实施安排为了确保工程顺利实施，保质、保量按期完成网络改造工程，成立网络改造工程项目组。对网络改造工程由实施准备至竣工验收的全过程实行统一指挥、调试、协调监督。5.1第一阶段改造由于兰州没有技术人员，局域网整体改造会涉及到变更VPN配

33、置，所以暂时保持原来网络结构不变，HH卫星出口和修改核心路由及防火墙配齐实现网络互联,通第一步：原始设备配置存档工作内容：针对此次网络改造所涉及到了所有设备现有配置进行配置文档的保存。负责人：工作时长：已完成第二步：卫星出口迁移工作内容:将国内卫星MODI-M设备从移动搬至西安,配置两端卫星MODEMo负责人：工作时长：6小时第三步：内网出口地址切换工作内容：在CiSCO3825路由器上修改与凯达内网互联接口地址，配置新的访问凯达内网静态路由。负责人：工作时长：2小时第四步：内部服务器外网发布工作内容：在防火墙CiSCOASA5520将所有提供外网访问的服务器地址配置外网发布以及端口映射。负责

34、人：工作时长：3小时第五步：内部地址访问集团内网NAT配置工作内容：在Cisco3825路由器上对现有网络中所有IP配置NAT转换,对所有服务器配置一对一静态NATo负责人：工作时长：2小时网络改造实施安排序号实施内容时间负责人联系方式1原始设备配置备份2卫星出口迁移3集团内网出口地址切换4内部服务器外网发布5内部地址访问集团内网NAT配置5.2第二阶段改造网IP地址更换为新的172.16.128735段地址.第一步：服务器地址工作内容：逐步修改各服务器IP地址负责人：工作时长：4天第二步：逐步终端IP地址负责人：工作时长：4天5.3第三阶段改造阶段改造主要为更改核心网络结构，实现方案设中双.

35、联双核心，实现访问inionet.，凯达内网数据分流并实现路由冗余功能.第一步：internet出口更改工作内容：将internet出口物理连接线路连接只防火墙CiSCOASA5520上，配置出口IP地址，配置外网访问静态路由、配置外网访问NAT。负责人：工作时长：2小时第二步：与兰州VPN建立工作内容：将原路由器上与兰州建立VPN的配置移至防火墙CiscoASA5520,配置访问兰州静态路由。负责人：工作时长：2小时第三步：三层冗余路由配置工作内容：在Cisco3825路由器、防火墙CiscoASA5520、核心交换机CiSCo4503A、CiSCO4503B上配置访问凯达内网与internet的静态路由和浮动静态路由。负责人：工作时长：2小时