资源描述
网络工程实施方案
一、到货前准备
1、项目人员组织结构及分工
² 项目经理:
工作内容及范围:负责项目的总体协调
² 商务负责:
工作内容及范围:负责与商务相关的工作
² 技术负责:
工作内容及范围:负责项目的总体实施
² 工程技术人员:CCIE
CCNP
CCNA
工作内容及范围:CCIE和CCNP为项目实施的技术把关,CCNA负责实施方案的制作和项目的具体实施
2、工程时间安排、工程进度安排
预计9月初设备全部到货,总预计4至5周时间完成工程。
具体安排如下:
根据项目各子任务的工作量估算以及我们对网络工程的经验,制定项目实施进度计划表格。
表1:项目实施进度计划 ☆
工程安排
合同签定—9.1
9.2
9.3—9.26
9.27-9.28
9.29—10.7
10.8
设备订购
设备到货验收
系统安装工程
现场培训
系统整体测试
系统验收测试
系统安装工程具体分解以下的子任务:
² 中心和汇聚交换机的模拟环境联合调试 4天
² 主干切换 3天
² 各边缘交换机的调试 4天
² 广域网和CACHE507的调试 3天
² VPN和ACS的调试 4天
² 省专网和卫星烟草专网的PIX调试 1天
² ACL和QOS的设置 2天
² 网管软件的安装与调试 2天
² 设备配置文件与IOS备份 1天
3、 IP地址的划分,VLAN的分配
配合计算机中心整理虚网分配,将相同职能部门划分为同一虚网.并制成表格。
1)包括三部分:
² 综合办公楼:
服务器区、销售、领导、技术、财务、会议室、各楼层办公室(待细化)、互联网访问、
² 联合工房包括:
生活区右侧、生活区左侧、能源动力中心、三层中控室、二层备件库、物流中控室、质检室
² 厂房辅区包括:
机修车间办公室、机修车间及备件库、锅炉房、门卫2、烟叶库A、烟叶库B、烟叶库C、烟叶库D
三部分的VLAN要做到各自独立划分,IP子网互不重叠。
2)IP分配有两种方案:用户分配静态IP地址或从DHCP服务器动态获得IP
本方案采用动、静态分配结合的方法来实现。
VLAN的划分原则:
从将来的发展考虑,要预留足够的扩展空间。为VLAN预留足够的扩展空间,也可以方便网络的优化。
将VLAN以10为单位分段,取VLAN10、VLAN20、VLAN30作为当前使用的VLAN,VLAN11-VLAN19、VLAN21-VLAN29、VLAN31-VLAN39作为预留。
综合办公楼使用172.17.0.0/16段子网;
联合工房和厂房辅区使用172.16.0.0/16段子网。
VLAN 10---VLAN 390 分配给综合办公楼;
VLAN 400---VLAN 590 分配给联合工房;
VLAN 500---VLAN 600 分配给厂房辅区。
具体实现如下表:
VLAN、IP分配表:
功能单位
IP地址范围
VLAN IP地址
管理预留
应用预留
VLAN ID
VLAN名称
综合办公楼
VPN远程接入
172.17.190.0/24
172.17.190.1
172.17.190.1-9
172.17.190.10-30
VLAN 190
vpn
综合办公楼其他
172.17.200.0/24
172.17.200.1
172.17.200.1-9
172.17.200.10-30
VLAN 200
other1
卫星和省专网
172.17.210.0/24
172.17.210.1
172.17.210.1-9
172.17.210.10-30
VLAN 210
wxhszw
新旧厂互连
192.168.0.0/24
192.168.0.1
VLAN 240
xjchl
(包括办公室和备件库)
烟叶库
172.16.200.0/24
172.16.200.1
172.16.200.1-9
172.16.200.10-30
Vlan 600
yyk
(包括A、B、C、D)
厂房辅区其他
172.16.210.0/24
172.16.210.1
172.16.210.1-9
172.16.210.10-30
Vlan 610
other3
DHCP分配表:(DHCP服务器IP:10.188.137.253)
功能单位
子网内部设备预留
DHCP分配使用区域
管理预留
应用预留
VLAN IP地址
综合办公楼
信息技术部
172.17.10.231-254
172.17.10.31-230
172.17.10.1-9
172.17.10.10-30
172.17.10.1
财务部
172.17.20.231-254
172.17.20.31-230
172.17.20.1-9
172.17.20.10-30
172.17.20.1
领导
172.17.30.231-254
172.17.30.31-230
172.17.30.1-9
172.17.30.10-30
172.17.30.1
技术中心
172.17.40.231-254
172.17.40.31-230
172.17.40.1-9
172.17.40.10-30
172.17.40.1
物资供应部
172.17.50.231-254
172.17.50.31-230
172.17.50.1-9
172.17.50.10-30
172.17.50.1
人力资源部
172.17.60.231-254
172.17.60.31-230
172.17.60.1-9
172.17.60.10-30
172.17.60.1
安全保卫部
172.17.70.231-254
172.17.70.31-230
172.17.70.1-9
172.17.70.10-30
172.17.70.1
后勤保障部
172.17.80.231-254
172.17.80.31-230
172.17.80.1-9
172.17.80.10-30
172.17.80.1
质量管理部
172.17.90.231-254
172.17.90.31-230
172.17.90.1-9
172.17.90.10-30
172.17.90.1
技改办
172.17.100.231-254
172.17.100.31-230
172.17.100.1-9
172.17.100.10-30
172.17.100.1
组织宣传部
172.17.110.231-254
172.17.110.31-230
172.17.110.1-9
172.17.110.10-30
172.17.110.1
监察审计部
172.17.120.231-254
172.17.120.31-230
172.17.120.1-9
172.17.120.10-30
172.17.120.1
产品销售部
172.17.130.231-254
172.17.130.31-230
172.17.130.1-9
172.17.130.10-30
172.17.130.1
营销策划部
172.17.140.231-254
172.17.140.31-230
172.17.140.1-9
172.17.140.10-30
172.17.140.1
营销服务部
172.17.150.231-254
172.17.150.31-230
172.17.150.1-9
172.17.150.10-30
172.17.150.1
会议室
172.17.170.231-254
172.17.170.31-230
172.17.170.1-9
172.17.170.10-30
172.17.170.1
办公室
172.17.180.231-254
172.17.180.31-230
172.17.180.1-9
172.17.180.10-30
172.17.180.1
综合办公楼其他
172.17.200.231-254
172.17.200.31-230
172.17.200.1-9
172.17.200.10-30
172.17.200.1
² 对DHCP SERVER放置位置的建议:
DHCP SERVER功能可以做在1台主交换机上,也可以做在1台专用的服务器上。在交换机上启用DHCP功能后,在该交换机重启时,所有的DHCP CLIENT均会同时再次申请DHCP延期服务,这样会造成交换机拥塞甚至死机。所以,将DHCP做在1台专用的服务器上,是最优的做法。
二、到货、实施前准备
1、现场检查与到货验收
检验到的硬件设备的货号及数量是否与设备订货清单一致。
检验到货的设备是否完好无损。
验收的结果应该提供一份由参与验收的用户和系统集成商签名的硬件验收清单,并注明日期。
如果没有可见的设备损害,那么在验货后,即开始设备的安装和调试。
设备到货,进行设备验收,记录设备的序列号,表格如下:
Item No.
Name of Goods
(产品名称)
Main Specification
(产品性能)
Quantity(数量)
S/N NO.
(序列号)
1-1
CISCO Catalyst
2
1-2
Cisco Catalyst
2
2、设备定位,标签标明设备放置的物理位置
制作标签贴于交换机的上面机壳的显眼处,标明该交换机将放置在厂区的具体位置,例如:制丝车间、管理IP:172.17.250.21 ,该IP为交换机上可以激活的一个VLAN的IP地址(该IP地址用于交换机的远程管理)。如果在2950边缘交换机上,可以设置多个VLAN,但只有1个VLAN所赋予的IP地址可以和外界通讯。
在规划完设备位置后,按计划标识网络名称、主干电缆(光纤)标签、和主干连接的的具体端口位置,并绘制网络设备详细表。
设备/名称
软件版本
端口数
IP地址
具体位置
电缆连接标识
三、实施
一)、中心和汇聚交换机模拟环境联合调试
1、准备:
² 两台6509中心交换机依下图上好模块:
WS-SUP720引擎
WS-SUP720引擎(冗余)
空、扩展用
WS-X6816-GBIC
WS-X6816-GBIC
空、扩展用
WS-6148-GE-TX
空、扩展用
空、扩展用
电源
电源
WS-SUP720引擎
WS-SUP720引擎(冗余)
空、扩展用
WS-X6816-GBIC
WS-X6816-GBIC
空、扩展用
WS-6148-RJ-45
空、扩展用
空、扩展用
电源
电源
² 4507R汇聚交换机依下图上好模块:
第一台汇聚4507R 第二台汇聚4507R
WS-X4515引擎
WS-X4306-GBIC
WS-X4232-GB-RJ
WS-X4148-RJ
空、扩展用
电源
电源
空、冗余引擎扩展用
空、扩展用
WS-X4515引擎
WS-X4306-GBIC
WS-X4232-GB-RJ
WS-X4148-RJ
空、扩展用
电源
电源
空、冗余引擎扩展用
空、扩展用
² 连接2台6509间引擎的光纤口
2台6509交换机的用四条光纤跳线连接相互的引擎光纤上联口
2台6509交换机上的2个超级引擎上的光纤端口均可同时使用,在其中一台6509交换机的主引擎出故障的时候,冗余引擎替代主引擎发挥作用,该冗余引擎与另一台6509交换机的冗余引擎的中继线替代原来的两台主引擎的中继线发挥作用,保证网络主干的正常使用。
采用如下的连线方式:
Sup720
Sup720
Sup720
Sup720
因SUP720采用SFP光纤接口,在没有购置该接口模块的情况下,两台6509中心交换机间可通过6816模块上的GBIC口实现交换机间的冗余连接和通讯。通过在两台6509交换机的第一块6816模块的第15、16光纤端口互相连接,做TRUNK+CHANNEL,实现如下图:
6816
6816
该连接可以保证任何时候,2台6509交换机间的活动引擎可以正常连接,避免活动引擎连接冗余引擎,导致数据无法在2台6509交换机间传递。
² 连接2台4507R间引擎的光纤口
X4515
X4515
² 用超5类跳线连接2台3550-12G间的1000Base-T口
3550-12G
3550-12G
² 各交换机间的连接示意图:
第一台中心交换机6509与各汇聚及边缘接入的连接端口示意图
6509_2的gi1/15
汇聚3550_1的gi0/1
汇聚4507_2的gi1/1
6509_2的gi1/16
汇聚3550_2的gi0/1
汇聚4507_1的gi1/1
6509_1上第一块6816
6509_1上第二块6816
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
门卫1的gi0/1
能源动力中心的gi0/1
制丝中控的gi1/1
综合楼11层的gi0/1
综合楼10层的gi0/1
综合楼9层的gi0/1
综合楼8层的gi0/1
综合楼7层的gi0/1
综合楼6层的gi0/1
综合楼5层的gi0/1
综合楼4层的gi0/1
综合楼3层的gi1/1
综合楼2层的gi0/1
综合楼1层的gi0/1
会议室2的gi0/1
会议室1的gi0/1
第二台中心交换机6509与各汇聚及边缘接入的连接端口示意图
汇聚4507_2的gi1/2
汇聚3550_1的gi0/2
6509_1的gi1/16
6509_1的gi1/15
汇聚3550_2的gi0/2
汇聚4507_1的gi1/2
6509_2上第一块6816
6509_2上第二块6816
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
门卫1的gi0/2
能源动力中心的gi0/2
制丝中控的gi1/2
综合楼11层的gi0/2
综合楼10层的gi0/2
综合楼9层的gi0/2
综合楼8层的gi0/2
综合楼7层的gi0/2
综合楼6层的gi0/2
综合楼5层的gi0/2
综合楼4层的gi0/2
综合楼3层的gi1/2
综合楼2层的gi0/2
综合楼1层的gi0/2
会议室2的gi0/2
会议室1的gi0/2
中心交换机和各汇聚交换机的连接端口示意图
6509_1
6509_2
1
2
3
4
15
16
15
16
1
2
3
4
空、扩展用
空、扩展用
WS-X6816-GBIC
WS-X6816-GBIC
空、扩展用
空、扩展用
2
1
2
1
WS-SUP720引擎
WS-SUP720引擎
2
1
2
1
WS-SUP720引擎
WS-SUP720引擎
空、扩展用
空、扩展用
WS-6148-GE-TX
WS-6148-GE-TX
空、扩展用
空、扩展用
2
1
2
1
4507_2
2
1
2
1
12
11
10
9
8
7
6
5
4
3
2
1
空、扩展用
空、冗余引擎扩展用
电源
电源
空、扩展用
WS-X4148-RJ
WS-X4232-GB-RJ
WS-X4306-GBIC
WS-X4515引擎
空、扩展用
空、冗余引擎扩展用
电源
电源
空、扩展用
WS-X4148-RJ
WS-X4232-GB-RJ
WS-X4306-GBIC
WS-X4515引擎
4507_1
3550_2
3550_1
电源
电源
电源
电源
1
2
3
4
5
6
7
8
9
10
11
12
² 各交换机间连接端口分配表
6509中心交换机
端口
接入交换机位置
交换机名称
对应连接端口
光纤类型
接入交换机管理IP
gi1/16
gi1/16
3550-12G_1
gi0/12
3550-12G_2
gi0/12
2、2台6509中心交换机间的调试
² 初调第一台6509中心交换机
调试PC通过串口配置线连接第一块720引擎
6509交换机上电(两个电源模块均需上电),启动进入配置模式
命名该交换机:
hostname 6509_1
采用统一的命名方式:交换机型号_位置,如:2950G48_nydl
分配管理IP:
interface vlan 250
ip address 172.17.250.2 255.255.255.0
standby 1 priority 150 preempt
standby 1 ip 172.17.250.1
no shutdown
设置ENABLE密码:
enable password cisco
设置TELNET密码:
line vty 0 4
password cisco
login
² 配置VTP信息:
vtp mode server
vtp version 2
vtp domain xmyc
² 创建VLAN信息
全局培植模式下:
vlan 250
name wlgl1
vlan 220
name server1
vlan 230
name server2
² 修改VLAN名字
如果对所输入的VLAN信息不满意的话,可以通过以下命令进行修改:
vlan 250
name 新的VLAN的名字
² 配置与两台6509交换机的中继线的会聚和TRUNK
interface Port-channel1
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet1/15
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
interface GigabitEthernet1/16
switchport
switchport mode trunk
switchport trunk encapsulation dot1q
channel-group 1 mode desirable
Channel有3种模式:auto 、 desirable 、 on
其中能让Channel正常运作的配置方法有3种:desirable与desirable;desirable与auto;on与on,其中desirable与desirable是最优的做法。
on模式并不携带PAGP信息,auto只能被动进行链路协商,desirable能主动进行链路协商。
² 三层路由口的配置
将中心交换机和汇聚交换机之间所连接的2条光纤的GBIC口作为三层路由口,用于中心交换机和汇聚交换机的IP通讯。主干三层路由口IP分配表:
6509_1
gi1/1
192.168.10.1
4507_1 gi4/1
192.168.10.2
gi1/2
192.168.10.5
4507_2 gi4/1
192.168.10.6
gi1/3
192.168.10.9
3550-12G_1 gi0/1
192.168.10.10
gi1/4
192.168.10.13
3550-12G_2 gi0/1
192.168.10.14
6509_1
gi1/1
192.168.10.17
4507_1 gi4/2
192.168.10.18
gi1/2
192.168.10.21
4507_2 gi4/2
192.168.10.22
gi1/3
192.168.10.25
3550-12G_1 gi0/2
192.168.10.26
gi1/4
192.168.10.29
3550-12G_2 gi0/2
192.168.10.30
具体做法如下,全局配置模式下:
default interface gi1/1
default interface gi1/2
default interface gi1/3
default interface gi1/4
/*** 初始化gi1/1-4 GBIC口,在端口无法设置IP时特别有用 ***/
interface gi1/1
no switchport
/*** 使用该命令可去掉端口的2层特性,使该端口成为3层路由口 ***/
ip address 192.168.10.1 255.255.255.252
interface gi1/2
no switchport
ip address 192.168.10.5 255.255.255.252
interface gi1/3
no switchport
ip address 192.168.10.9 255.255.255.252
interface gi1/4
no switchport
ip address 192.168.10.13 255.255.255.252
其中1、2口用于和2台4507R交换机通讯;3、4口用于和2台3550-12G交换机通讯。
² 初调第二台6509中心交换机
调试PC通过串口配置线连接第一块720引擎
6509交换机上电,启动进入配置模式
命名该交换机:
hostname 6509_2
分配管理IP:
interface vlan 250
ip address 172.17.250.3 255.255.255.0
standby 1 ip 172.17.250.1
no shutdown
设置ENABLE密码:
enable password cisco
设置TELNET密码:
line vty 0 4
password cisco
login
² 配置与另一台6509交换机的四条中继线的会聚和TRUNK
interface Port-channel1
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
interface GigabitEthernet1/15
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
interface GigabitEthernet1/16
switchpor t
switchport trunk encapsulation dot1q
switchport mode trunk
channel-group 1 mode desirable
² 设置VTP为SERVER模式:
vtp mode server
vtp version 2
vtp domain xmyc
² 三层路由口的配置
将中心交换机和汇聚交换机之间所连接的2条光纤的GBIC口作为三层路由口,用于中心交换机和汇聚交换机的IP通讯。具体做法如下,全局配置模式下:
default interface gi1/1
default interface gi1/2
default interface gi1/3
default interface gi1/4
interface gi1/1
no switchport
ip address 192.168.10.17 255.255.255.252
interface gi1/2
no switchport
ip address 192.168.10.21 255.255.255.252
interface gi1/3
no switchport
ip address 192.168.10.25 255.255.255.252
interface gi1/4
no switchport
ip address 192.168.10.29 255.255.255.252
其中1、2口用于和2台4507R交换机通讯;3、4口用于和2台3550-12G交换机通讯。
² 设置VLAN信息、启用交换机间的热备份路由协议HSRP
在中心交换机和汇聚交换机上分别设置所需的VLAN信息,中心交换机和汇聚交换机各自独立维护自己的一套VLAN信息。
在主干和汇聚交换机上分别启用HSRP协议,保证在中心6509交换机间或汇聚交换机间有1台故障的情况下,VLAN间仍能正常的通讯。
在2台中心6509交换机进行维护的特殊情况下,汇聚交换机仍能正常地工作,保证生产的不间断性。
中心交换机和汇聚交换机上的VLAN划分:
6509中心交换机上负责接入综合办公楼的VLAN;4507R汇聚交换机负责接入联合工房的VLAN;3550-12G汇聚交换机接入负责厂房辅区的VALN。
将分布在中心交换机上的VLAN分成两部分,在2台6509上分别设置不同的VLAN网关的优先级,奇数VLAN在第一台6509上激活,偶数VLAN在另一台6509上激活,达到每台6509上分别负担一半的VLAN通讯,实现负载均衡目的。
在第二台6509上,VLAN10处于备份状态,在第一台6509上,VLAN10是激活的:
第一台6509配置如下:
interface Vlan250
ip address 172.17.250.2 255.255.255.0
standby 25 priority 150 preempt
standby 25 ip 172.17.250.1
interface Vlan220
ip address 10.188.137.66 255.255.255.0
standby 22 ip 10.188.137.65
interface Vlan230
ip address 172.16.16.2 255.255.255.0
standby 23 priority 150 preempt
standby 23 ip 172.16.16.1
interface Vlan10
ip address 172.17.10.2 255.255.255.0
standby 1 priority 150 preempt
standby 1 ip 172.17.10.1
第二台6509配置如下:
interface Vlan250
ip address 172.17.250.3 255.255.255.0
standby 25 ip 172.17.250.1
interface Vlan220
ip address 10.188.137.67 255.255.255.0
standby 22 priority 150 preempt
standby 22 ip 10.188.137.65
² 设置动态路由协议EIGRP,使中心和汇聚交换机之间的各IP子网可以通讯
在2台中心交换机上配置EIGRP协议:
router eigrp 100
network 10.0.0.0
network 172.16.0.0
network 172.17.0.0
no auto summary
router eigrp 168
network 10.0.0.0
network 172.16.0.0
network 172.17.0.0
no auto summary
EIGRP协议缺省的负载均衡线路可以达到6条,如果多于6条,可以用命令maxium-path设置;
There is no need config EIGRP AUTO-SUMMARY in this scenario. If you want the router do summary, you must config IP SUMMARY EIGRP in interface mode.
二)、交换机上架、全部交换机统调
保持现有的网络不动,使用现有多余的光纤线路连接新的中心交换机和汇聚交换机,组成第二个网络,进行测试。
在测试成功后,再进行新旧网络的切换。
需要利用烟厂停产的时间进行切换以保证烟厂生产系统数据的完整性、安全性
1、 综合办公楼网络部分切换
² 边缘交换机的初始配置
命名,在配置模式下使用如下命令:
hostname xmyc_c2950G_bg01
分配管理IP,在配置模式下命令如下:
interface vlan 250
ip address 172.17.250.51 255.255.255.0
no shutdown
ENABLE密码设置,在全局配置模式下:
Enable password cisco
TELNET管理密码,在全局配置模式下:
Line vty 0 4
Password cisco
login
设置VTP模式,在全局配置模式下:
vtp mode client
vtp version 2
vtp domain xmyc
配置中继端口(TRUNK)
interface range gi0/1 -2
switchport mode trunk
switchport trunk allow vlan all
设置缺省网关:
ip default-gateway 172.17.250.1
² 为加快端口的启用速度,2950边缘交换机上启用PORTFAST
interface range fa0/1 - 23
spanning-tree portfast
² 为加快生成树的收敛速度,所有的2950边缘交换机和接入位置的4006、4503交换机上全部启用UPLINKFAST
spanning-tree uplinkfast
² 中心交换机和汇聚交换机相对独立,通过路由方式通讯,设置BACKBONEFAST意义不大在本实施方案中不对所有交换机设置BACKBONEFAST
² 根据具体情况分配VLAN给各个端口
赋予具体端口具体的VLAN,在全局配置模式下使用命令如下:
对于一组相同性质的端口:
interface range fa0/1 – 24
switchport mode access
switchport access vlan 3
对于一个具体的端口:
interface fa0/10
switchport mode access
switchport access vlan 4
三)、广域网络的调试:
² Internet接入配置
采用静态路由的方式连接互联网专线
² Internet接入配置
网 络 中 心
服务器群
Internet
WEB
服务器
Internet拓扑图
拓扑图说明
申请电信10M光纤宽带接入,分配一定数量的合法的INTERNET IP地址以供路由器、防火墙、WEB服务器和MAIL服务器使用。光纤宽带
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
