公司网络割接方案.docx

《公司网络割接方案.docx》由会员分享，可在线阅读，更多相关《公司网络割接方案.docx（36页珍藏版）》请在咨信网上搜索。

1、公司网络割接方案352020年4月19日文档仅供参考，不当之处，请联系改正。XX公司网络建设建设工程网络割接方案1、公司网络建设总体要求1.1工程概况为了解决当前网络建设在网络性能、业务承载、运维效率等方面的瓶颈和问题，真正实现全公司一张网的网络建设络布局，公司在 启动了网络建设建设工作。按照公司统一要求，XX公司当前已实现覆盖共计100个站点的网络建设。截止 1月，XX网络建设改造工作现已经基本完成，初步建成了利用 光传输网，以10GE 链路为主、覆盖全公司系统100 个节点的高速数据通信络平台，实现了核心区域网状连接、各区域内双星型上联的网络架构。据调研，公司现有各个业务，没有启动MPLS

2、 VPN，故各个业务路由和数据之间，没有进行逻辑隔离，共用网络的带宽和其它资源。与网络不同，新建的网络建设将采用MPLS VPN组网技术，各个业务承载在相应的独立VPN中隔离运行，经过路由策略和QoS进行区分。总之，本次割接工作总体方案即将现有全省业务从现有网络割接至网络建设的独立VPN中运行。1.2割接原则一、 安全第一原则本次割接技术难度大，原有网络结构将发生巨大变化，风险大，所有方案和操作要安全第一，先易后难、先试点再推广、先一般业务再重要业务。二、方便回退原则所有操作留有余地，不轻易删除原有配置，保证任何操作能快速回退。三、提前准备原则不影响业务的准备操作要按照时间点提前完成，比如跳纤

3、，设备IP分配，新建链路的协议建立等等，保证割接的检修时间充分，留有处理问题和验证业务的时间。四、 分工协作原则 本次割接难度大，任务重，风险高，需要各单位组密切配合，共同完成。2、 公司网络现状2.1XX公司网络建设改造方案图1.1XX公司网络建设网络架构 建成后的XX公司网络建设采用MPLS VPN组网技术，根据VPN划分方案，以后XX省内的信息内网业务、视频业务、语音业务、IMS业务将逐步过渡到网络建设。2.2 网络现状现有网络采用分层的拓扑结构，分为2个核心节点、15个骨干节点。公司配置2台XX设备作为核心设备，XX节点配置1台XX设备作为核心设备，每个骨干层节点上配置2台XX设备作为

4、骨干设备。XX节点骨干设备分别采用1条622M链路+1条155M链路和公司核心PE设备互联，采用1条155M链路和节点XX核心PE设备互联，链路之间保持冗余和独立。公司配置2台XX核心交换机、2台XX硬件防火墙和2台核心PE设备之间采用口字形方式连接实现服务器区业务的接入。节点配置2台XX硬件防火墙和2台骨干PE设备之间采用口字形方式连接，实现节点与上级公司之间业务的交互。信息广域现况如下图：2.2.1 XXXX业务现状当前，各节点和上级公司直属单位信息内网业务、营销业务等多个业务均经过上级公司XXXX上联至公司。 图2.2-2 上级公司XXXX业务拓扑图2.2.2 XXXX业务现状现有各节点

5、XXXX业务情况如下：表2.2-1 XXXX业务情况表以XXXX公司为例，节点信息内网业务拓扑图如下： 图2.2-3XXXX公司信息内网业务拓扑图综上所述，各节点的2台XXXX设备作为各节点信息内网、XXXX业务、XXXX工单业务至上级公司的出口。本期工程若进行信息内网割接，需要考虑XXXX上承载的XXXX业务和XXXX工单业务的割接方案。2.3XXXX现状2.3.1上级公司XXXX系统拓扑图 XXXX业务各节点经过信息内网和传输专线上联至上级公司，据了解，上级公司至节点业务使用信息内网通道，传输通道作为备用通道。图2.3-1XX省XXXX系统网络拓扑图2.3.2节点XXXX系统拓扑图 各节点

6、XXXX业务经过信息内网和传输专线上联至上级公司，据了解，仅传输专线通道承载XXXX会议业务（少数节点采用信息内网）。 图2.3-2XXXX市公司XXXX系统网络拓扑图2.4 XXXX工单业务现状 XXXX工单业务仅覆盖在各个节点。现在XXXX工单业务无独立通道，包含在信息内网业务中。3、网络割接方案 由于现有网络上节点XXXX包含地区信息内网业务、XXXX工单业务和XXXX业务。本次信息内网割接后各节点放置的XXXX路由器将不再使用，为了不影响XXXX业务，本次割接方案需考虑XXXX业务、XXXX工单业务的割接方案。XXXX工单业务属于内网业务，需将XXXX工单业务IP地址调整至各节点内网中

7、。3.1信息内网割接方案3.1.1上级公司割接方案上级公司原有的XXXXA和XXXXB与公司信息CE1与CE2已具备链路，在现有信息CE1和CE2上对信息内网业务进行配置能够实现信息内网业务，在割接过程中如需回退，则在信息CE上调整路由优先级，并在PE上修改MED使原信息内网业务仍流经原公司链路。割接前拓扑图如下所示：图3.1-1XX上级公司信息内网割接前示意图3.1.2上级公司割接步骤第一步：按照上级公司信息内网割接拓扑进行设备连接，并打上临时标签，同时保持上级公司信息CE与公司PE设备互联链路不动，上级公司信息内网割接拓扑如下所示：（工程中心）图3.1-2XX上级公司信息内网割接示意图第二

8、步：参照搜资内容（割接相关设备新增的互联端口信息），在上级公司相关设备（、XXXX）信息VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例，并经过路由本地优先级控制使信息内网业务流仍经过原公司链路，本地优先级越高越优，公司链路本地优先级CE1 500、CE2 100，修改新增链路学到的路由本地优先级为CE1 80 CE2 50；公司回程路由经过AS-PATH控制，越少越优，公司链路发布路由的AS-PATH 54676 54676，修改新增链路发布路由的AS-PATH 54676 54676。在省调PE及备调PE上做路由汇总和路由过滤，只发送被允许的汇总路由至公司；（工程中心、信息内网割

9、接组）上级公司PE1-RR设备()配置：1. 配置互联端口地址，并绑定相应VPN实例： interface GigabitEthernet 3/2/1 ip binding vpn-instance spi ip address 10.228.240.13 255.255.255.252 2. bgp协议配置： bgp 64600 ip vpn-instance spi address-family ipv4 unicast peer 10.228.240.13 as-number 54676 peer 10.228.240.13 allow-as-loop peer 10.228.240.1

10、3 substitute-as peer 10.228.240.13 soo 54676:54918上级公司CE设备(XXXX)配置：1.配置互联端口地址，并绑定相应VPN实例：interface GigabitEthernet 2/0/6 ip binding vpn-instance spiip address 10.228.240.14 255.255.255.252 2.bgp协议配置：bgp 54676 peer 10.228.240.14 as-number 64600# ipv4-family unicast undo synchronization network 10.8.2

11、51.146 255.255.255.255 network 10.42.0.0 255.255.252.0 network 10.227.128.0 255.255.128.0 network 10.228.0.0 255.254.0.0 network 10.240.0.0 255.255.0.0 import-route direct peer 10.228.240.14 route-policy local import peer 10.228.240.14 route-policy as-path exportroute-policy as-path permit node 10 a

12、pply as-path 54676 54676route-policy local permit node 10 apply local-preference 803. ospf协议配置：ospf 100 router-id 10.8.251.145 filter-policy ip-prefix spi-deny import import-route bgp permit-ibgp cost 10 type 1 route-policy spi-gw area 0.0.0.0 network 10.8.232.88 0.0.0.3 network 10.6.21.112 0.0.0.7r

13、oute-policy spi-gw permit node 10 if-match ip-prefix spi-ip# ip ip-prefix spi-ip index 10 permit 10.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 20 permit 20.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 21 permit 21.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefi

14、x spi-ip index 22 permit 22.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 23 permit 23.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 24 permit 24.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 25 permit 25.0.0.0 8 greater-equal 8 less-equal 8 ip ip-p

15、refix spi-ip index 26 permit 26.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-deny index 10 deny 10.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-deny index 20 permit 0.0.0.0 0 less-equal 324. 黑洞路由： ip route-static 10.227.128.0 255.255.128.0 NULL0 preference 200 ip route-static 10.22

16、8.0.0 255.254.0.0 NULL0 preference 200 ip route-static 10.240.0.0 255.255.0.0 NULL0 preference 200省调RRXXXXRR路由过滤配置：acl number description spi acl rule 1 permit source 10.6.22.116 0.0.0.3 rule 2 permit source 10.8.17.24 0.0.0.3 rule 3 permit source 10.42.0.0 0.0.3.255 rule 4 permit source 10.227.128.

17、0 0.0.127.255 rule 5 permit source 10.228.0.0 0.1.255.255 rule 6 permit source 10.8.222.88 0.0.0.3 rule 7 permit source 10.8.251.145 0 rule 8 permit source 10.8.251.146 0 rule 9 permit source 10.240.0.0 0.0.255.255 rule 10 permit source 10.8.232.88 0.0.0.3 rule 100 denybgp 64600address-family vpnv4p

18、eer 10.8.252.12 route-policy spi exportpeer 10.8.252.14 route-policy spi export 第三步：在上级公司CE上查看VPNv4路由表，确保能看到节点信息VPN的路由，修改新增链路路由优先级为CE1 700 CE2 600、不增加AS-PATH使信息业务流量经过新增链路，同时测试信息内网业务功能是否正常，如正常，则进行下一步，如不正常，则断开上级公司PE与信息CE之间链路并检查相关设备配置，重复第三步直到业务内网功能正常；（工程中心、信息内网割接组）1.bgp协议配置：bgp 54676 ipv4-family unicas

19、t undo synchronization peer 10.228.240.14 route-policy local importroute-policy local permit node 10 apply local-preference 700图3.1-3XX上级公司信息内网割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。（工程中心）3.1.3节点割接方案 根据公司要求，本次割接后网络建设节点出口将不再保留防火墙。节点信息内网割接方案采用将两台XXX 9508（XXXX公司为Cisco 6500）上联至F3016的通道割接至两台市公司新增CE1与CE2，使用

20、信息内网VPN，以XXXX公司信息内网为例，割接示意图如下：(根据科信部意见，本期割接后，防火墙若需保留可自行安排)图3.1-4XXXX公司信息内网割接后方案一示意图在割接过程中如需回退，则在shutdown掉S9508至新增CE之间链路，删除S9508上ospf进程中的Area0区域，使原信息内网业务仍经过原节点XXXX。3.1.4节点信息内网割接步骤图3.1-6XXXX公司信息内网割接前示意图第一步：按照节点割接拓扑准备跳线，并打上临时标签，同时保持节点信息内网设备(S9508)与原节点XXXX设备互联链路不动，新增链路测试端口up之后，shutdown掉新增链路连接的端口；（各节点现场工

21、作组）图3.1-7XXXX公司信息内网割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），找到各节点相关设备信息VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例；（工程中心、信息内网割接组、各节点现场工作组）各节点IP地址在节点CE上做路由汇总，对于准入系统使用的1.228等地址段，超出公司规定范围，有两种种解决方案：一在所有节点部署准入服务器，保证1.228等地址段只需要在节点内通信，二，更改1.228等节点21地址段，符合公司最新IP地址规范。推荐是用方案二。（信息内网割接组）节点PE（）设备配置：1. 配置互联端口地址，并绑定相应VPN实例： interface

22、GigabitEthernet x/x/x ip binding vpn-instance spi ip address x.x.x.x x.x.x.x 2. bgp协议配置： bgp 54916 ip vpn-instance spi address-family ipv4 unicast peer x.x.x.x as-number 54676 peer x.x.x.x allow-as-loop peer x.x.x.x substitute-as peer x.x.x.x soo 54916:54916节点CE（）设备配置： 1.配置互联端口地址，并绑定相应vpn实例： interfa

23、ce GigabitEthernet x/x/x ip binding vpn-instance spi ip address x.x.x.x x.x.x.x 2.bgp协议配置： bgp 54676 ip vpn-instance spi address-family ipv4 unicast peer x.x.x.x as-number 54676 peer x.x.x.x route-policy local import peer x.x.x.x route-policy med export route-policy med permit node 10 apply cost 100

24、 route-policy local permit node 10 apply local-preference 5003.ospf协议配置： ospf 100 import-route bgp permit-ibgp cost 10 type 1 area 0.0.0.0 network x.x.x.x x.x.x.x4.黑洞路由： ip route-static x.x.x.x x.x.x.x NULL0 preference 200 节点现网设备（S9508）配置：1.配置互联端口地址： interface Vlan-interface xxx ip address x.x.x.x x

25、.x.x.x2.ospf协议配置： ospf 100 area 0.0.0.0 network x.x.x.x x.x.x.x第三步：断开原有S9508至XXXX之间链路，开启shutdown掉的新增链路连接接口，同时测试信息内网业务功能是否正常，如正常，则进行下一步，如不正常，则还原原有S9508至XXXX之间链路shutdown新增链路连接接口，并检查相关设备配置，重复第三步直到业务内网功能正常；（工程中心、各节点现场工作组、信息内网业务组）节点现网设备（S9508）配置：1.OSPF协议配置： ospf 100 router-id 10.228.249.57 import-route b

26、gp permit-ibgp cost 10 type 1 图3.1-8XXXX公司信息内网割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。（各节点现场工作组）3.2 XXXX系统割接方案3.2.1上级公司割接方案 将公司网络建设放置在XX的两台视频CE1和视频CE2上联至上级公司本部PE1和PE2，实现XXXX业务整体割接，对应至视频VPN。在割接过程中如需回退，则在信息CE上调整路由优先级，并在PE上修改MED使原视频指挥业务仍流经原公司链路。割接前示意图如下所示：图3.2-1上级公司应急指挥割接前示意图3.2.2上级公司割接方案步骤第一步：按照上级公司应急指挥割

27、接拓扑进行设备连接，并打上临时标签，同时保持上级公司视频CE与公司PE设备互联链路不动，上级公司应急指挥割接拓扑如下所示；（工程中心、会议电视割接组）图3.2-2上级公司应急指挥割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），在上级公司相关设备（、NE20E）视频VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例，并经过路由本地优先级控制使应急指挥业务流仍经过原公司链路，优先级越高越优，公司链路本地优先级CE1 300、CE2 100，修改新增链路学到的路由本地优先级为CE1 80 CE2 50；公司回程路由经过as-path控制，越少越优，公司链路发布路由的AS-P

28、ATH 54673 54673，修改新增链路发布路由的AS-PATH 54673 54673。在CE上做路由汇总，在省调和备调RR上做路由过滤，只发送被允许的汇总路由至公司；（工程中心、会议电视割接组）第三步：在上级公司CE上查看VPNv4路由表，确保能看到节点应急指挥VPN的路由，修改路由优先级为CE1 700 CE2 600、不增加AS-PATH使应急指挥业务流量经过新增链路，同时测试应急指挥业务功能是否正常，如正常，则进行下一步，如不正常，则断开上级公司PE与视频CE之间链路并检查相关设备配置，重复第三步直到视频应急指挥业务功能正常；（工程中心、视频会议割接组）图3.2-3上级公司应急指

29、挥割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。（工程中心）3.2.3节点割接方案将市公司应急S5700上联到XXXX的通道割接至市公司新增CE1与CE2，使用视频VPN。以XXXX公司为例，在割接过程中如需回退，则在shutdown掉S5700至新增CE之间链路，使原信息内网业务仍经过原节点XXXX。割接示意图如下：图3.2-4XXXX公司应急指挥割接示意图各节点XXXX系统现有通道采用信息内网通道或者传输专线的方式，拓扑结构大致相近，在本期XXXX系统割接实施之前，各节点需将现有信息内网的XXX 9508（XXXX公司为Cisco 6500）连接至应急NE20，

30、同时需保证该地区内现有的XXXX业务已汇总至S5700，才能保证应急业务割接的顺利进行。3.2.4节点割接步骤图3.2-5XXXX公司应急指挥割接前示意图第一步：按照节点应急指挥割接拓扑准备跳线，并打上临时标签，同时保持节点应急指挥设备(S5700)与传输主干网链路不动，新增链路测试端口up之后，shutdown掉新增链路连接的端口，节点应急指挥割接拓扑如下所示；（各节点现场工作组、会议电视割接组）图3.2-6XXXX公司应急指挥割接示意图第二步：参照搜资内容（割接相关设备新增的互联端口信息），找到各节点相关设备视频VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例；（工程中心、各节点

31、现场工作组、会议电视割接组）节点PE（）设备配置：3. 配置互联端口地址，并绑定相应VPN实例： interface GigabitEthernet x/x/x ip binding vpn-instance spi ip address x.x.x.x x.x.x.x 4. bgp协议配置： bgp 54914 ip vpn-instance spi address-family ipv4 unicast peer x.x.x.x as-number 54673 peer x.x.x.x allow-as-loop peer x.x.x.x substitute-as peer x.x.x.

32、x soo 54673:54914 节点CE（）设备配置： 1.配置互联端口地址，并绑定相应vpn实例： interface GigabitEthernet x/x/x ip binding vpn-instance spvv ip address x.x.x.x x.x.x.x 2.bgp协议配置： bgp 54673 ip vpn-instance spi address-family ipv4 unicast peer x.x.x.x as-number 54673 peer x.x.x.x route-policy local import peer x.x.x.x route-pol

33、icy med export route-policy med permit node 10 apply cost 100 route-policy local permit node 10 apply local-preference 5003.ospf协议配置： ospf 100 import-route bgp permit-ibgp cost 10 type 1 area 0.0.0.0 network x.x.x.x x.x.x.x4.黑洞路由： ip route-static x.x.x.x x.x.x.x NULL0 preference 200 节点现网设备（S5700）配置：

34、1.配置互联端口地址： interface Vlan-interface xxx ip address x.x.x.x x.x.x.x2.ospf协议配置： ospf 10 area 0.0.0.0 network x.x.x.x x.x.x.x第三步：断开原有S5700至传输主干网链路，开启shutdown掉的新增链路连接接口，同时测试XXXX指挥业务功能是否正常，如正常，则进行下一步，如不正常，则还原原有S5700至传输主干网链路、shutdown新增链路连接接口，并检查相关设备配置，重复第三步直到应急指挥业务功能正常；（视频业务割接组、各节点现场工作组）图3.2-7XXXX公司应急指挥割接后示意图第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。（各节点现场工作组）4、 监控割接方案监控割接示意图如下：将原接于XXXX的IMS监控（所有网络间的链路监控）割接上联至 XXX 9508（信息内网割接组）。5、 网络双平面改造待割接完成后，试运行一个月稳定后，将原有XXXX至XXXX三条通道中的两条（622M至上级公司，155M至XXXX）增加到网络，作为逃生通道，以防止在完全失效后保证网络运行。