网络工程项目管理流程表格M05XXX项目实施方案.docx

1、XXX项目实施方案Vx.y 内蒙古宝亮信息技术有限公司2009年4月2日项目信息：项目名称项目编号方案信息：文档名称XXX项目实施方案文档编号建立日期密级AA-BB-CC-01-0032008-01-01方案描述文档修订记录：序号修订内容简述修订日期版本号作者1建立文档2008-01-221.02修订排版345678目 录一.前言11.1文档目的11.2适用对象11.3文档内容范围11.4参考文档2二.项目概述32.1 项目背景32.2 总体目标32.3 阶段目标3三.项目总体情况43.1 网络现状描述43.1.1 XXX网络现状43.1.2 XXX网络现状43.1.3 XXX网络现状43.2

2、 网络建设/改造目标43.2.1 拓扑结构描述43.2.2 新增设备列表53.2.3 路由协议描述5四.项目详细实施方案64.1设备信息64.1.1 设备命名64.1.2 软件版本74.1.3 板卡安装74.1.4 端口描述84.1.5 设备互联93.1.6 设备安装规范124.2 VLAN分配124.2.1 Layer2和Layer3的边界124.2.2 VLAN ID134.2.3 VLAN的命名134.3 IP地址分配144.3.1 IP地址规范144.3.2 IP地址使用原则144.3.3 IP地址144.4 路由协议实施144.4.1 OSPF路由协议总体设计144.4.2 BGP路

3、由协议基本设计154.4.3路由策略网络设备主备关系设计154.4.4路由策略路由上收的设计164.4.5路由策略路由下发的设计164.4.6路由策略上行数据的流向设计164.4.7路由策略下行数据的流向设计164.4.8路由策略稳态下的数据流向164.5 冗余备份设计174.5.1设备硬件冗余174.5.2二层链路冗余194.5.3生成树冗余204.5.4 VRRP冗余214.5.5路由协议冗余224.6 网络安全设计224.6.1 AAA224.6.2路由协议234.6.3应用服务244.6.4网络管理254.6.5口令管理264.7 服务器接入实现264.7.1服务器网络接入分类264.

4、7.2服务器网络接入原则264.7.3跨区服务器接入274.7.4本地服务器接入274.8 QoS设计274.8.1数据流分类和标记294.8.2 QoS控制策略29五.配置实现305.1 X区设备305.2 Y区设备305.3 Z区设备30六.工程组织316.1 项目实施计划316.1.1 项目实施总体图316.1.2试点测试工作计划316.1.3全面实施工作计划326.1.4项目验收计划326.2 项目实施流程326.2.1 工程实施整体流程图326.3人员组织安排333.1项目组织结构333.2内蒙宝亮项目组34一.前言1.1文档目的本文档是XXX项目实施的总体概要性设计文件，对本次项目

5、实施的总体设计方向、详细设计思路和参考资料作了明确的阐述。编写本文档的主要目的，旨在负责明确本次项目所要达成的总体目标，指导与规范在实施中会涉及的工程和技术要素，以保证项目实施的参与成员能按照规范要求高质、高效、按时地完成本次升级改造任务。1.2适用对象本文档的适用对象主要是负责XXX项目网络设计和实施的网络设计人员、维护人员及项目实施小组成员。1.3文档内容范围本文档作为XXX项目总体设计的概要文件，涵盖了如下内容：l 项目概述包括项目背景、项目的总体目标和阶段性目标；l 总体设计包括网络现状的描述和网络改造的目标；l 详细设计包括设备相关的规范和设计、VLAN的规范、IP地址的规范、路由的

6、规范和设计、冗余备份的规范和设计、网络安全的规范和设计、服务器接入的规范、QoS的规范和设计；l 参考知识包括本次XXX项目所涉及的一些重要协议和技术，如RSTP、VRRP、OSPF、BGP、AAA、SNMP等，及一些提供参考的表格规范；1.4参考文档用户提供：二.项目概述2.1 项目背景文字说明：2.2 总体目标根据 的要求，改造后的网络系统应符合规范所要求的功能分区、协议类型、配置参数、性能指标、工程工艺等各项标准，并保障改造过程的平滑过渡和改造后网络的稳定、可靠及安全。2.3 阶段目标基于以上的文字说明：图表说明：三.项目总体情况3.1 网络现状描述文字说明：3.1.1 XXX网络现状文

7、字说明：图表说明：3.1.2 XXX网络现状文字说明：图表说明：3.1.3 XXX网络现状文字说明：图表说明：3.2 网络建设/改造目标3.2.1 拓扑结构描述文字说明：图表说明：3.2.2 新增设备列表名称详细描述数量3.2.3 路由协议描述文字说明：图表说明：四.项目详细实施方案4.1设备信息4.1.1 设备命名文字说明： ，详细命名规则如下：（举例）网络系统中一台具体设备的命名由如下四个部分组成：字段1_字段2_字段3_nn。字段1：表示设备的安装地点和行级。字段1由英文字母标识和数字编码标识两个部分组成。英文字母表示设备所在地点，如BJ表示北京，FJ表示福建，BJFT表示北京丰台。数字

8、编码表示所在银行级别，如下表： 数字编码含义0123456字段2：表示设备所在的功能区。功能区域标识生产区办公区广域网区字段3：表示设备承担的角色，如核心交换机表示为CS、分布层交换机表示DS、接入层交换机表示AS、广域网接入路由器表示AR。nn：表示设备的编号，01表示第一台、02表示第2台，依次类推。设备名称中的英文字母全部采用大写。例1：4.1.2 软件版本设备类型软件版本备注4.1.3 板卡安装以下是RG-S8610的前面板示意图，在本次项目中，为了保证工程的规范性，RG-S8610相关板卡的安装位置规范如图所示：M8600P-48GT/4SFP安装在第2号槽位，M8600-24SFP

9、/12GT安装在第6槽位。两块M6810-CM II管理引擎分别安装在第M1、M2号槽位。电源模块RG-PA1200安装在电源专用槽位。4.1.4 端口描述为了保证工程的规范性，设备的端口描述必须遵循如下描述原则：Connect _to _设备名称-端口编号例如：Connect_to_FJFZ2_WN_AR_01-G0/1，表示连接到广域网区路由器01的G0/1端口。interface GigabitEthernet 1/9switchport access vlan 801description Connect_to_FJFZ2_WN_AR_01-G0/1 4.1.5 设备互联1、平级设备间

10、的互联说明：建议：注意：设备互联规范如下：l 设备使用光口互联核心交换机（RG-S8610）互联： 汇聚交换机（RG-S5750-48GT/4SFP）互联：l 设备使用电口互联核心交换机（RG-S8610）互联：汇聚交换机（RG-S5750-48GT/4SFP）互联：2、与上级设备的互联从设备/线卡端口由后往前依次分配，尽量遵循端口号与所连设备命名编号的奇偶对应，例如G2/45连接WN_AR01、G2/46连接WN_AR02。例如：广域网区核心交换机上联广域网路由器的连接如下：3、与下级设备互联从设备/线卡端口由前往后依次分配，尽量遵循端口号与所连设备编号的奇偶对应。例如：广域网区核心交换机下

11、联生产区/办公区核心交换机的连接如下：3.1.6 设备安装规范文字说明：图表说明：4.2 VLAN分配4.2.1 Layer2和Layer3的边界二级分行网络在逻辑上形成三层结构，即：核心层、分布层和接入层。Layer2和Layer3的边界定义如下图：Layer2和Layer3的边界位于每个网络功能分区的分布层。接入层设备通过VLAN连接服务器和终端等。接入层设备和分布层设备之间通过Trunk连接。分布层设备之间通过Trunk连接。分布层设备和核心层设备之间通过路由连接。4.2.2 VLAN ID文字说明：图表说明：4.2.3 VLAN的命名VLAN的命名根据VLAN的业务类型定义，目的是便于

12、识别该VLAN的作用；针对本次网络升级改造，规定如下：1、设备互联VLAN命名字段2_字段3nn_To_字段2_字段3nn；如VLAN 800，VLAN名称为 WN_CS01_To_ WN_CS02，表示VLAN800是用作广域网核心01和02互联。2、业务VLAN命名业务VLAN根据业务类型进行命名。4.3 IP地址分配4.3.1 IP地址规范文字说明：图表说明：4.3.2 IP地址使用原则文字说明：图表说明：4.3.3 IP地址文字说明：图表说明：4.4 路由协议实施4.4.1 OSPF路由协议总体设计文字说明：1、OSPF进程、区域和Router-ID文字说明：图表说明：2、OSPF接口

13、类型：文字说明：图表说明：4.4.2 BGP路由协议基本设计文字说明：1、BGP邻居关系文字说明：图表说明：2、BGP AS Number文字说明：图表说明：3、其他文字说明：图表说明：4.4.3路由策略网络设备主备关系设计文字说明：图表说明：4.4.4路由策略路由上收的设计文字说明：图表说明：4.4.5路由策略路由下发的设计文字说明：图表说明：4.4.6路由策略上行数据的流向设计文字说明：图表说明：4.4.7路由策略下行数据的流向设计文字说明：图表说明：4.4.8路由策略稳态下的数据流向文字说明：图表说明：4.5 冗余备份设计4.5.1设备硬件冗余1、核心设备的硬件冗余文字说明：l 管理引擎

14、的冗余：核心交换机采用RG-S8610，可安装两块管理引擎模块，两块管理引擎均安装之后，会形成一主一备的关系，如果主引擎失效，备份引擎自动接管。也可以在特殊情况下（比如在线升级时）进行手工的引擎切换，操作如下：WN_CS_01#redundancy forceswitch在需要时对主管理引擎或备份管理引擎重启，操作如下：WN_CS_01#redundancy reload peer /重启备份管理引擎WN_CS_01#redundancy reload shelf /重启主管理引擎l 电源的冗余：RG-S8610交换机可安装两块电源，以实现电源的热备份。2、低端设备的硬件冗余本次项目所采购的R

15、G-S5750系列交换机，用作生产和办公功能区的核心和汇聚。考虑到生产网络的高可靠性要求，为RG-S5750系列交换机配备了RPS冗余电源系统，结合交换机自带的一个电源接口，可实现双电源的冗余。RPS冗余电源系统的连接图规范如下所示：4.5.2二层链路冗余核心交换机承担着生产运营的重任，有极高的可靠性要求。而两台核心交换机之间的互联链路，则负责转发整网在非稳定状态下的大部分冗余流量，对可以性的要求也很高。因此核心交换机之间的互联链路设计为双链路冗余，冗余协议为LACP，即IEEE802.3AD。当其中一条物理链路断开时，另一条物理链路依然可以进行数据转发。举例说明，核心交换机01的配置如下：i

16、nterface GigabitEthernet 0/23 port-group 1interface GigabitEthernet 0/24 port-group 1interface AggregatePort 1switch access vlan 800核心交换机02的配置如下：interface GigabitEthernet 0/23 port-group 1interface GigabitEthernet 0/24 port-group 1interface AggregatePort 1switch access vlan 8004.5.3生成树冗余文字说明：图表说明：举例

17、说明，汇聚交换机01配置如下：spanning-tree /开启生成树spanning-tree mode rstp /生成树模式为RSTPspanning-tree mst 0 priority 4096 /生成树优先级为4096，设计为主根桥汇聚交换机02配置如下：spanning-tree /开启生成树spanning-tree mode rstp /生成树模式为RSTPspanning-tree mst 0 priority 8192 /生成树优先级为8192，设计为次根桥接入交换机配置如下：spanning-tree /开启生成树spanning-tree mode rstp /生成

18、树模式为RSTP/生成树优先级为默认值，设计为非根桥4.5.4 VRRP冗余为保证服务器和PC接入到子功能区的网络后，能实现三层网关的冗余，在子功能区的汇聚交换机上须启用VRRP协议。文字说明：图表说明：举例说明，汇聚交换机01配置如下：interface VLAN 510 ip address 10.186.135.251 255.255.255.0 vrrp 51 priority 110 /VRRP优先级为110，设计为MASTER vrrp 51 timers advertise 10 /VRRP报文交互间隔为10秒，减少交互频率 vrrp 51 ip 10.186.135.254 /

19、VRRP虚拟出的网关IP vrrp 51 track VLAN 831 /VRRP跟踪上联接口，如果接口失效，则自动降低优先级，以使该设备成为VRRP BACKUP设备。汇聚交换机02配置如下：interface VLAN 510ip address 10.186.135.250 255.255.255.0vrrp 51 priority 105 /VRRP优先级为110，设计为MASTERvrrp 51 timers advertise 10 /VRRP报文交互间隔为10秒，减少交互频率vrrp 51 ip 10.186.135.254 /VRRP虚拟出的网关IP注解：VRRP的group

20、number分配表如下功能区域VRRP GROUP4.5.5路由协议冗余使用OSPF、BGP等动态路由协议，多链路网络可以获得三层冗余功能。参见第4.4章节路由设计及规范。4.6 网络安全设计4.6.1 AAA不同的管理人员应该有各自的用户名和口令，即用户名和口令不能共享，便于帐号管理和不被泄漏。用户认证的实现方式可以分为：本地认证和集中认证。本地认证是指用户数据库保存在网络设备上，用户认证在本地实现。集中认证是指设置专门的集中认证服务器，保存网络中所有的用户帐号，集中实现用户认证，常用的认证协议有RADIUS，TACACS+。用户认证应采用集中认证和本地认证相结合的方式，集中认证为主用、本地

21、认证为备用。用户授权是指对用户进行分权限管理。例如，我们把网络管理用户分为超级用户和普通用户。其中，超级用户对网络设备拥有查看和配置的权限，普通用户对网络设备只拥有特定的查看权限。在集中认证时，不同的用户还可被限制只能访问特定的网络设备。用户审计是指认证服务器端将用户的认证信息、授权信息和网络行为记录在日志中，以供日后查看和审计。4.6.2路由协议路由协议在网络中以组播、广播或单播的方式进行报文的交互。为避免路由信息的泄漏，防止不安全的设备意外加入到正常的网络中，破坏正常的路由，应对路由协议自身采取安全措施。启用OSPF路由协议的认证功能：1）路由配置模式中，指定区域的认证方式。 2）在接口中

22、配置认证的方式和密钥。 如果区域认证方式和接口认证方式都配置了则以接口的认证方式为准。举例说明，生产区核心交换机01和02之间配置OSPF路由协议的认证功能，如下：生产区核心交换机01： 配置以太网端口 interface GI0/48ip address X.X.X.X X.X.X.Xip ospf message-digest-key XXXX md5 hello 配置OSPF路由协议 router ospf 100 network X.X.X.X X.X.X.X area 0 area 0 authentication message-digest 生产区核心交换机02： 配置以太网端口

23、 interface GI0/48 ip address X.X.X.X X.X.X.Xip ospf message-digest-key XXXX md5 hello 配置OSPF路由协议 router ospf 100 network X.X.X.X X.X.X.X area 0 area 0 authentication message-digest 启用BGP路由协议的认证功能:router bgp 64999neighbor X.X.X.X password 7 XXXX /配置邻居间的交互密码，对端与本端保持一致4.6.3应用服务网络设备所开启的无用功能越多，留给恶意攻击者的漏洞

24、或后门就越多，同时也浪费了不必要的资源，因此要关闭一些在本次项目中不涉及使用的应用服务。1、关闭BOOTP/DHCP服务： (config)#no service dhcp2、关闭HTTP服务，如不能禁止应添加控制和认证：(config)#no service http3、关闭Finger服务；4、关闭IP源路由；5、关闭TCP-KEEPALIVE 服务：(config)#no service tcp-keepalives-in (config)#no service tcp-keepalives-out 6、关闭sequence-numbers服务：(config)#no service s

25、equence-numbers4.6.4网络管理网络设备以console方式和telnet方式的管理，应从以下方面采取安全措施：1、保证设备访问的物理安全；2、采用用户认证和授权；3、设置会话空闲的超时参数；对于telnet方式，另应采取以下的安全措施：1、设置最大会话连接数；2、设置访问控制列表，限制TELNET的连接请求来自指定的源IP网段；3、尽量用SSH代替TELNET，采用SSH的好处是所有信息以加密的形式在网络中传输。网络设备以SNMP的管理方式，应从以下方面采取安全措施：1、设置ACL定义网管服务器可访问源和目的IP。2、配置SNMP的community修改默认字符串，并均配置读

26、写字符串，关联ACL。举例配置如下：(config)#snmp-server community password1 rw 98(config)#snmp-server community password2 ro 993、配置网管服务器登录的口令，并定期更改。4.6.5口令管理口令应以密文的形式存储在网络设备中。对所有的口令，应尽可能配置成passowrd模式，进行7级加密。在锐捷网络的设备上，还可以开启口令加密服务，自动为系统设置的口令加密，如：(config)#service password-encryption口令设置原则：1、口令设置不为空；2、根据用户角色要求口令长度，一般需大于

27、等于8位；3、口令由数字、大小写字母、特殊符号等混合组成；4、不记录在明显的介质上；5、定期更改。 农行的网络设备，应在console、telnet、SNMP网管登录入口设置口令；所有设备应设置登录和enable双重口令。4.7 服务器接入实现4.7.1服务器网络接入分类文字说明：图表说明：4.7.2服务器网络接入原则文字说明：图表说明：4.7.3跨区服务器接入文字说明：图表说明：4.7.4本地服务器接入文字说明：图表说明：4.8 QoS设计QoS是一种保障网络数据传输的技术，可以在网络拥塞时保证重要数据的传输质量。QoS是端到端的定义，一般，它将包括以下几个方面：1.Classificati

28、on网络中的不同控制点对数据包进行分类，可以根据Input端口、MAC地址、源/目的IP地址、IP协议或应用端口号等对数据流进行分类。2.Marking分类后的数据流，需要进行相应的标记，然后通过对数据包标记的匹配，完成相应的QoS控制策略。对分类后的数据包进行标记的方法，通常有IP Precedence、DSCP和MPLS EXP。如下图：3.Policing/Shaping流量监管traffic policing 的典型作用是限制进入某一网络的某一连接的流量与突发。在报文满足一定的条件时，如某个连接的报文流量过大，流量监管就可以对该报文采取不同的处理动作，例如丢弃报文，或重新设置报文的优先

29、级等。通常的用法是使用CAR来限制某类报文的流量。流量整形traffic shaping 的典型作用是限制流出某一网络的某一连接的流量与突发，使这类报文以比较均匀的速度向外发送。流量整形通常使用缓冲区和令牌桶来完成，当报文的发送速度过快时，首先在缓冲区，进行缓存在令牌桶的控制下，再均匀地发送这些被缓冲的报文。4.QueuingQueuing是用来实施拥塞管理的手段，通常包括一下队列技术：l 先进先出(FIFO)排队l 优先级排队(PQ)l 定制排队(CQ)l 加权公平排队(WFQ)l 基于服务类别的Weighted Fair Queuing(CBWFQ)l LLQ（Low Latency Qu

30、euing）5.DroppingDropping是实现拥塞避免的技术。通过监视网络流量负荷，可预测和避免公共网络瓶颈处发生的拥塞。通常有以下两种方式：l Tail Droppingl 加权随机早期侦测（WRED）4.8.1数据流分类和标记文字说明：图表说明：4.8.2 QoS控制策略文字说明：图表说明：五.配置实现5.1 X区设备5.2 Y区设备5.3 Z区设备六.工程组织6.1 项目实施计划6.1.1 项目实施总体图文字说明：图表说明：6.1.2试点测试工作计划6.1.2.1 试点测试的确定工作文字说明：6.1.2.2 技术方案的交流工作文字说明：6.1.2.3 试点测试的实施工作文字说明：

31、6.1.2.4 试点测试的总结工作文字说明：6.1.3全面实施工作计划文字说明：6.1.4项目验收计划文字说明：6.2 项目实施流程6.2.1 工程实施整体流程图6.2.1.1 项目实施前的设备开箱验收阶段文字说明：图表说明：6.2.1.2 项目实施中设备调试阶段文字说明：图表说明：6.2.1.3 项目实施中设备安装阶段及空载测试文字说明：图表说明：6.2.1.4 项目实施过程中的初验阶段文字说明：图表说明：6.2.1.5 项目实施过程中的网络试运行阶段文字说明：图表说明：6.2.1.6 项目实施的验收阶段文字说明：图表说明：6.3人员组织安排3.1项目组织结构123456783.2内蒙宝亮项目组1234567