网络工程项目管理流程表格M05XXX项目实施方案.docx

1、 XXX项目实施方案 Vx.y 内蒙古宝亮信息技术有限公司 2009年4月2日 项目信息： 项目名称 项目编号 方案信息： 文档名称 XXX项目实施方案 文档编号 建立日期 密级 AA-BB-CC-01-003 2008-01-01 方案描述 文档修订记录： 序号 修订内容简述 修订日期 版本号 作者 1 建立文档 2008-01-22 1.0 2 修订排版 3

2、 4 5 6 7 8 目 录 一.前言 1 1.1文档目的 1 1.2适用对象 1 1.3文档内容范围 1 1.4参考文档 2 二.项目概述 3 2.1 项目背景 3 2.2 总体目标 3 2.3 阶段目标 3 三.项目总体情况 4 3.1 网络现状描述 4 3.1.1 XXX网络现状 4 3.1.2 XXX网络现状 4 3.1.3 XXX网络现状 4 3.2 网络建设/改造目标 4 3.2.1 拓扑结构描述 4 3.2.2 新增设备列表 5 3.2.3 路

3、由协议描述 5 四.项目详细实施方案 6 4.1设备信息 6 4.1.1 设备命名 6 4.1.2 软件版本 7 4.1.3 板卡安装 7 4.1.4 端口描述 8 4.1.5 设备互联 9 3.1.6 设备安装规范 12 4.2 VLAN分配 12 4.2.1 Layer2和Layer3的边界 12 4.2.2 VLAN ID 13 4.2.3 VLAN的命名 13 4.3 IP地址分配 14 4.3.1 IP地址规范 14 4.3.2 IP地址使用原则 14 4.3.3 IP地址 14 4.4 路由协议实施 14 4.4.1 OSPF路由协议总体设计 1

4、4 4.4.2 BGP路由协议基本设计 15 4.4.3路由策略——网络设备主备关系设计 15 4.4.4路由策略——路由上收的设计 16 4.4.5路由策略——路由下发的设计 16 4.4.6路由策略——上行数据的流向设计 16 4.4.7路由策略——下行数据的流向设计 16 4.4.8路由策略——稳态下的数据流向 16 4.5 冗余备份设计 17 4.5.1设备硬件冗余 17 4.5.2二层链路冗余 19 4.5.3生成树冗余 20 4.5.4 VRRP冗余 21 4.5.5路由协议冗余 22 4.6 网络安全设计 22 4.6.1 AAA 22 4.6.2

5、路由协议 23 4.6.3应用服务 24 4.6.4网络管理 25 4.6.5口令管理 26 4.7 服务器接入实现 26 4.7.1服务器网络接入分类 26 4.7.2服务器网络接入原则 26 4.7.3跨区服务器接入 27 4.7.4本地服务器接入 27 4.8 QoS设计 27 4.8.1数据流分类和标记 29 4.8.2 QoS控制策略 29 五.配置实现 30 5.1 X区设备 30 5.2 Y区设备 30 5.3 Z区设备 30 六.工程组织 31 6.1 项目实施计划 31 6.1.1 项目实施总体图 31 6.1.2试点测试工作计划 31

6、 6.1.3全面实施工作计划 32 6.1.4项目验收计划 32 6.2 项目实施流程 32 6.2.1 工程实施整体流程图 32 6.3人员组织安排 33 3.1项目组织结构 33 3.2内蒙宝亮项目组 34 一.前言 1.1文档目的 本文档是XXX项目实施的总体概要性设计文件，对本次项目实施的总体设计方向、详细设计思路和参考资料作了明确的阐述。 编写本文档的主要目的，旨在负责明确本次项目所要达成的总体目标，指导与规范在实施中会涉及的工程和技术要素，以保证项目实施的参与成员能按照规范要求高质、高效、按时地完成本次升级改造任务。 1.2适用对象 本文档的适用对象

7、主要是负责XXX项目网络设计和实施的网络设计人员、维护人员及项目实施小组成员。 1.3文档内容范围 本文档作为XXX项目总体设计的概要文件，涵盖了如下内容： l 项目概述 ——包括项目背景、项目的总体目标和阶段性目标； l 总体设计 ——包括网络现状的描述和网络改造的目标； l 详细设计 ——包括设备相关的规范和设计、VLAN的规范、IP地址的规范、路由的规范和设计、冗余备份的规范和设计、网络安全的规范和设计、服务器接入的规范、QoS的规范和设计； l 参考知识 ——包括本次XXX项目所涉及的一些重要协议和技术，如RSTP、VRRP、OSPF、BGP、AAA、SNMP等，及

8、一些提供参考的表格规范； 1.4参考文档 用户提供： 二.项目概述 2.1 项目背景 文字说明： 2.2 总体目标 根据 …… 的要求，改造后的网络系统应符合规范所要求的功能分区、协议类型、配置参数、性能指标、工程工艺等各项标准，并保障改造过程的平滑过渡和改造后网络的稳定、可靠及安全。 2.3 阶段目标 基于以上的…… 文字说明： 图表说明： 三.项目总体情况 3.1 网络现状描述 文字说明： 3.1.1 XXX网络现状 文字说明： 图表说明： 3.1.2 XXX网络现状 文字说明： 图表说明： 3.1.3 XXX网络现状 文字说明：

9、图表说明： 3.2 网络建设/改造目标 3.2.1 拓扑结构描述 文字说明： 图表说明： 3.2.2 新增设备列表 名称 详细描述 数量 3.2.3 路由协议描述 文字说明： 图表说明： 四.项目详细实施方案 4.1设备信息 4.1.1 设备命名 文字说明： ，详细命名规则如下： （举例）网络系统中一台具体设备的命名由如下四个部分组成：字段1_字段2_字段3_nn。 字段1：表示设备的安装地点和行级。字段1由英文字母标识和数字编码标识两个部分组成。英文字母表示设备所在地点，

10、如BJ表示北京，FJ表示福建，BJFT表示北京丰台。数字编码表示所在银行级别，如下表： 数字编码 含义 0 1 2 3 4 5 6 字段2：表示设备所在的功能区。 功能区域 标识 生产区 办公区 广域网区 字段3：表示设备承担的角色，如核心交换机表示为CS、分布层交换机表示DS、接入层交换机表示AS、广域网接入路由器表示AR。 nn：表示设备的编号，01表示第一台、02表示第2台，依次类推。 设备名称中的英文字母全部采用大写。 例1： 4.1.2 软件版本 设备类型

11、 软件版本 备注 4.1.3 板卡安装 以下是RG-S8610的前面板示意图，在本次项目中，为了保证工程的规范性，RG-S8610相关板卡的安装位置规范如图所示： M8600P-48GT/4SFP安装在第2号槽位，M8600-24SFP/12GT安装在第6槽位。两块M6810-CM II管理引擎分别安装在第M1、M2号槽位。电源模块RG-PA1200安装在电源专用槽位。 4.1.4 端口描述 为了保证工程的规范性，设备的端口描述必须遵循如下描述原则： Connect _to _[设备名称]-端口编号 例如：Connect_to_[FJ

12、FZ2_WN_AR_01]-G0/1，表示连接到广域网区路由器01的G0/1端口。 interface GigabitEthernet 1/9 switchport access vlan 801 description Connect_to_[FJFZ2_WN_AR_01]-G0/1 4.1.5 设备互联 1、平级设备间的互联 说明： 建议： 注意： 设备互联规范如下： l 设备使用光口互联 核心交换机（RG-S8610）互联： 汇聚交换机（RG-S5750-48GT/4SFP）互联： l 设备使用电口互联 核心交换机（RG-S86

13、10）互联： 汇聚交换机（RG-S5750-48GT/4SFP）互联： 2、与上级设备的互联 从设备/线卡端口由后往前依次分配，尽量遵循端口号与所连设备命名编号的奇偶对应，例如G2/45连接WN_AR01、G2/46连接WN_AR02。 例如：广域网区核心交换机上联广域网路由器的连接如下： 3、与下级设备互联 从设备/线卡端口由前往后依次分配，尽量遵循端口号与所连设备编号的奇偶对应。 例如：广域网区核心交换机下联生产区/办公区核心交换机的连接如下： 3.1.6 设备安装规范 文字说明： 图表说明： 4.2 VLAN分配 4.2.1 Layer2和La

14、yer3的边界 二级分行网络在逻辑上形成三层结构，即：核心层、分布层和接入层。Layer2和Layer3的边界定义如下图： Layer2和Layer3的边界位于每个网络功能分区的分布层。接入层设备通过VLAN连接服务器和终端等。接入层设备和分布层设备之间通过Trunk连接。分布层设备之间通过Trunk连接。分布层设备和核心层设备之间通过路由连接。 4.2.2 VLAN ID 文字说明： 图表说明： 4.2.3 VLAN的命名 VLAN的命名根据VLAN的业务类型定义，目的是便于识别该VLAN的作用；针对本次网络升级改造，规定如下： 1、设备互联VLAN命名 [字段2_字段

15、3nn]_To_[字段2_字段3nn]；如VLAN 800，VLAN名称为 [WN_CS01]_To_ WN_CS02]，表示VLAN800是用作广域网核心01和02互联。 2、业务VLAN命名 业务VLAN根据业务类型进行命名。 4.3 IP地址分配 4.3.1 IP地址规范 文字说明： 图表说明： 4.3.2 IP地址使用原则 文字说明： 图表说明： 4.3.3 IP地址 文字说明： 图表说明： 4.4 路由协议实施 4.4.1 OSPF路由协议总体设计 文字说明： 1、OSPF进程、区域和Router-ID 文字说明： 图表说明： 2、OSPF接口类

16、型： 文字说明： 图表说明： 4.4.2 BGP路由协议基本设计 文字说明： 1、BGP邻居关系 文字说明： 图表说明： 2、BGP AS Number 文字说明： 图表说明： 3、其他 文字说明： 图表说明： 4.4.3路由策略——网络设备主备关系设计 文字说明： 图表说明： 4.4.4路由策略——路由上收的设计 文字说明： 图表说明： 4.4.5路由策略——路由下发的设计 文字说明： 图表说明： 4.4.6路由策略——上行数据的流向设计 文字说明： 图表说明： 4.4.7路由策略——下行数据的流向设计 文字说明： 图表说明： 4.4

17、8路由策略——稳态下的数据流向 文字说明： 图表说明： 4.5 冗余备份设计 4.5.1设备硬件冗余 1、核心设备的硬件冗余 文字说明： l 管理引擎的冗余： 核心交换机采用RG-S8610，可安装两块管理引擎模块，两块管理引擎均安装之后，会形成一主一备的关系，如果主引擎失效，备份引擎自动接管。也可以在特殊情况下（比如在线升级时）进行手工的引擎切换，操作如下： WN_CS_01#redundancy forceswitch 在需要时对主管理引擎或备份管理引擎重启，操作如下： WN_CS_01#redundancy reload peer //重启备份管理引擎 WN_

18、CS_01#redundancy reload shelf //重启主管理引擎 l 电源的冗余： RG-S8610交换机可安装两块电源，以实现电源的热备份。 2、低端设备的硬件冗余 本次项目所采购的RG-S5750系列交换机，用作生产和办公功能区的核心和汇聚。考虑到生产网络的高可靠性要求，为RG-S5750系列交换机配备了RPS冗余电源系统，结合交换机自带的一个电源接口，可实现双电源的冗余。RPS冗余电源系统的连接图规范如下所示： 4.5.2二层链路冗余 核心交换机承担着生产运营的重任，有极高的可靠性要求。而两台核心交换机之间的互联链路，则负责转发整网在非稳定状态下的大部

19、分冗余流量，对可以性的要求也很高。因此核心交换机之间的互联链路设计为双链路冗余，冗余协议为LACP，即IEEE802.3AD。当其中一条物理链路断开时，另一条物理链路依然可以进行数据转发。 举例说明，核心交换机01的配置如下： interface GigabitEthernet 0/23 port-group 1 interface GigabitEthernet 0/24 port-group 1 interface AggregatePort 1 switch access vlan 800 核心交换机02的配置如下： interface GigabitEther

20、net 0/23 port-group 1 interface GigabitEthernet 0/24 port-group 1 interface AggregatePort 1 switch access vlan 800 4.5.3生成树冗余 文字说明： 图表说明： 举例说明，汇聚交换机01配置如下： spanning-tree //开启生成树 spanning-tree mode rstp //生成树模式为RSTP spanning-tree mst 0 priority 40

21、96 //生成树优先级为4096，设计为主根桥 汇聚交换机02配置如下： spanning-tree //开启生成树 spanning-tree mode rstp //生成树模式为RSTP spanning-tree mst 0 priority 8192 //生成树优先级为8192，设计为次根桥 接入交换机配置如下： spanning-tree //开启生成树 spanning-tree mode r

22、stp //生成树模式为RSTP //生成树优先级为默认值，设计为非根桥 4.5.4 VRRP冗余 为保证服务器和PC接入到子功能区的网络后，能实现三层网关的冗余，在子功能区的汇聚交换机上须启用VRRP协议。 文字说明： 图表说明： 举例说明，汇聚交换机01配置如下： interface VLAN 510 ip address 10.186.135.251 255.255.255.0 vrrp 51 priority 110 //VRRP优先级为110，设计为MASTER vrrp 51 tim

23、ers advertise 10 //VRRP报文交互间隔为10秒，减少交互频率 vrrp 51 ip 10.186.135.254 //VRRP虚拟出的网关IP vrrp 51 track VLAN 831 //VRRP跟踪上联接口，如果接口失效，则自动降低优先级，以使该设备成为VRRP BACKUP设备。 汇聚交换机02配置如下： interface VLAN 510 ip address 10.186.135.250 255.255.255.0 vrrp 51 priority 105

24、 //VRRP优先级为110，设计为MASTER vrrp 51 timers advertise 10 //VRRP报文交互间隔为10秒，减少交互频率 vrrp 51 ip 10.186.135.254 //VRRP虚拟出的网关IP 注解： VRRP的group number分配表如下 功能区域 VRRP GROUP 4.5.5路由协议冗余 使用OSPF、BGP等动态路由协议，多链路网络可以获得三层冗余功能。参见第4.4章节——路由设计及规范。

25、 4.6 网络安全设计 4.6.1 AAA 不同的管理人员应该有各自的用户名和口令，即用户名和口令不能共享，便于帐号管理和不被泄漏。用户认证的实现方式可以分为：本地认证和集中认证。本地认证是指用户数据库保存在网络设备上，用户认证在本地实现。集中认证是指设置专门的集中认证服务器，保存网络中所有的用户帐号，集中实现用户认证，常用的认证协议有RADIUS，TACACS+。 用户认证应采用集中认证和本地认证相结合的方式，集中认证为主用、本地认证为备用。 用户授权是指对用户进行分权限管理。例如，我们把网络管理用户分为超级用户和普通用户。其中，超级用户对网络设备拥有查看和配置的权限，普通用户对网

26、络设备只拥有特定的查看权限。在集中认证时，不同的用户还可被限制只能访问特定的网络设备。 用户审计是指认证服务器端将用户的认证信息、授权信息和网络行为记录在日志中，以供日后查看和审计。 4.6.2路由协议 路由协议在网络中以组播、广播或单播的方式进行报文的交互。为避免路由信息的泄漏，防止不安全的设备意外加入到正常的网络中，破坏正常的路由，应对路由协议自身采取安全措施。 启用OSPF路由协议的认证功能： 1）路由配置模式中，指定区域的认证方式。 2）在接口中配置认证的方式和密钥。 如果区域认证方式和接口认证方式都配置了则以接口的认证方式为准。举例说明，生产区核心交换机01和02之

27、间配置OSPF路由协议的认证功能，如下： 生产区核心交换机01： 配置以太网端口 interface GI0/48 ip address X.X.X.X X.X.X.X ip ospf message-digest-key XXXX md5 hello 配置OSPF路由协议 router ospf 100 network X.X.X.X X.X.X.X area 0 area 0 authentication message-digest 生产区核心交换机02： 配置以太网端口 interface GI0/48 ip address X.X.X.X

28、 X.X.X.X ip ospf message-digest-key XXXX md5 hello 配置OSPF路由协议 router ospf 100 network X.X.X.X X.X.X.X area 0 area 0 authentication message-digest 启用BGP路由协议的认证功能: router bgp 64999 neighbor X.X.X.X password 7 XXXX //配置邻居间的交互密码，对端与本端保持一致 4.6.3应用服务 网络设备所开启的无用功能越多，留给恶意攻击者的漏洞或后门就越多，同时也浪费

29、了不必要的资源，因此要关闭一些在本次项目中不涉及使用的应用服务。 1、关闭BOOTP/DHCP服务： (config)#no service dhcp 2、关闭HTTP服务，如不能禁止应添加控制和认证： (config)#no service http 3、关闭Finger服务； 4、关闭IP源路由； 5、关闭TCP-KEEPALIVE 服务： (config)#no service tcp-keepalives-in (config)#no service tcp-keepalives-out 6、关闭sequence-numbers服务： (config

30、)#no service sequence-numbers 4.6.4网络管理 网络设备以console方式和telnet方式的管理，应从以下方面采取安全措施： 1、保证设备访问的物理安全； 2、采用用户认证和授权； 3、设置会话空闲的超时参数； 对于telnet方式，另应采取以下的安全措施： 1、设置最大会话连接数； 2、设置访问控制列表，限制TELNET的连接请求来自指定的源IP网段； 3、尽量用SSH代替TELNET，采用SSH的好处是所有信息以加密的形式在网络中传输。 网络设备以SNMP的管理方式，应从以下方面采取安全措施： 1、设置ACL定义网管服务器可访问源

31、和目的IP。 2、配置SNMP的community修改默认字符串，并均配置读写字符串，关联ACL。举例配置如下： (config)#snmp-server community password1 rw 98 (config)#snmp-server community password2 ro 99 3、配置网管服务器登录的口令，并定期更改。 4.6.5口令管理 口令应以密文的形式存储在网络设备中。对所有的口令，应尽可能配置成passowrd模式，进行7级加密。在锐捷网络的设备上，还可以开启口令加密服务，自动为系统设置的口令加密，如： (config)#service passw

32、ord-encryption 口令设置原则： 1、口令设置不为空； 2、根据用户角色要求口令长度，一般需大于等于8位； 3、口令由数字、大小写字母、特殊符号等混合组成； 4、不记录在明显的介质上； 5、定期更改。 农行的网络设备，应在console、telnet、SNMP网管登录入口设置口令；所有设备应设置登录和enable双重口令。 4.7 服务器接入实现 4.7.1服务器网络接入分类 文字说明： 图表说明： 4.7.2服务器网络接入原则 文字说明： 图表说明： 4.7.3跨区服务器接入 文字说明： 图表说明： 4.7.4本地服务器接入 文字说明

33、 图表说明： 4.8 QoS设计 QoS是一种保障网络数据传输的技术，可以在网络拥塞时保证重要数据的传输质量。QoS是端到端的定义，一般，它将包括以下几个方面： 1.Classification 网络中的不同控制点对数据包进行分类，可以根据Input端口、MAC地址、源/目的IP地址、IP协议或应用端口号等对数据流进行分类。 2.Marking 分类后的数据流，需要进行相应的标记，然后通过对数据包标记的匹配，完成相应的QoS控制策略。 对分类后的数据包进行标记的方法，通常有IP Precedence、DSCP和MPLS EXP。如下图： 3.Policing/Sha

34、ping 流量监管traffic policing 的典型作用是限制进入某一网络的某一连接的流量与突发。在报文满足一定的条件时，如某个连接的报文流量过大，流量监管就可以对该报文采取不同的处理动作，例如丢弃报文，或重新设置报文的优先级等。通常的用法是使用CAR来限制某类报文的流量。 流量整形traffic shaping 的典型作用是限制流出某一网络的某一连接的流量与突发，使这类报文以比较均匀的速度向外发送。流量整形通常使用缓冲区和令牌桶来完成，当报文的发送速度过快时，首先在缓冲区，进行缓存在令牌桶的控制下，再均匀地发送这些被缓冲的报文。 4.Queuing Queuing是用来实施拥塞

35、管理的手段，通常包括一下队列技术： l 先进先出(FIFO)排队 l 优先级排队(PQ) l 定制排队(CQ) l 加权公平排队(WFQ) l 基于服务类别的Weighted Fair Queuing(CBWFQ) l LLQ（Low Latency Queuing） 5.Dropping Dropping是实现拥塞避免的技术。通过监视网络流量负荷，可预测和避免公共网络瓶颈处发生的拥塞。通常有以下两种方式： l Tail Dropping l 加权随机早期侦测（WRED） 4.8.1数据流分类和标记 文字说明： 图表说明： 4.8.2 QoS控制策略 文字说明：

36、 图表说明： 五.配置实现 5.1 X区设备 5.2 Y区设备 5.3 Z区设备 六.工程组织 6.1 项目实施计划 6.1.1 项目实施总体图 文字说明： 图表说明： 6.1.2试点测试工作计划 6.1.2.1 试点测试的确定工作 文字说明： 6.1.2.2 技术方案的交流工作 文字说明： 6.1.2.3 试点测试的实施工作 文字说明： 6.1.2.4 试点测试的总结工作 文字说明： 6.1.3全面实施工作计划 文字说明： 6.1.4项目验收计划 文字说明： 6.2 项目实施流程 6.2.1 工程实施整体流程图 6.2.1

37、1 项目实施前的设备开箱验收阶段 文字说明： 图表说明： 6.2.1.2 项目实施中设备调试阶段 文字说明： 图表说明： 6.2.1.3 项目实施中设备安装阶段及空载测试 文字说明： 图表说明： 6.2.1.4 项目实施过程中的初验阶段 文字说明： 图表说明： 6.2.1.5 项目实施过程中的网络试运行阶段 文字说明： 图表说明： 6.2.1.6 项目实施的验收阶段 文字说明： 图表说明： 6.3人员组织安排 3.1项目组织结构 1 2 3 4 5 6 7 8 3.2内蒙宝亮项目组 1 2 3 4 5 6 7