网络搬迁实施方案(模板).doc

fd3ef5c99a22bdefc1a606fd6a55f6f6.pdfSKT Holding网络搬迁实施方案网络改造整合和无线网络SKT Holding网络搬迁实施方案1一、 项目背景和需求2二、 工作范围22.1. 企业内网整合22.2. 网络改造22.3. 无线局域网3三、 实施过程33.1. 网络改造和IP分配33.2. 核心交换机配置63.2.1. IP配置63.2.2. 端口划入相应的VLAN设置TRUNK73.2.3. 路由配置83.2.4. 其他配置83.3. 汇聚层网络交换机配置83.4. 接入层网络配置93.5. 与核心相联的三层网络设备133.5.1. NS-204133.5.2. 3825133.5.3. 3560133.5.4. 服务器IP的配置变更143.5.5. 打印机等公用设备143.5.6. 办公用PC地址变更143.6. 无线网络部署及实施14四、 系统测试14五、 文档整理15六、 参考资料15七、 文档控制15一、 项目背景和需求SKT Holding网络搬迁项目，主要需求包括：网络的改造和多部门企业网络的整合，新的办公地点要新建一套无线网络系统。网络改造部分包括新增一台CISCO3750-24TS-E核心网络交换机。多部门企业网络的整合是将原先位于不同工作地点的网络统一安装部署在新的工作地点。新建无线网络系统包括安装和调试无线LAP，无线网络控制器，CISCO Access Control System软件的配置，内部网络的员工分为四个工作区域，分别配置不同的访问规则。对于外部访客建立专用的访问规则，默认情况下没有访问任何网络的权限。为了保证SKT的办公PC搬迁到新地点后能即时办公和网络通讯，在本次搬迁中对于原先的/16的网络设备保持不变。二、 工作范围2.1. 企业内网整合包括：重新设计和规划网络IP。按照图纸连接网络设备，每个网络单元使用独立的网络分段，不同网络单元间的设备不混装在一台交换机上。2.2. 网络改造新增一台CISCO3750-24TS-E核心网络交换机，代替原有的NS-204网络防火墙作为网络核心层交换设备，提高网络的整体交换能力。工作内容包括：网络设备的下架运输到机房，并重新安装上架，完成线缆连接，加电测试NS-204原有配置信息的迁移配置3750核心交换信息配置与3750相连的汇聚层和接入层网络交换机配置与3750相连的路由器(C3825)，防火墙（NS-204），三层交换机（3560）配置相关的服务器IP配置相关的网络打印机（所有用户端需更新配置）配置PC机IP配置2.3. 无线局域网工作内容：WLAN相关设备安装，连接线缆配置LAP安装和配置ACS配置WLC三、 实施过程3.1. 网络改造和IP分配新的企业网络地址采用RFC1918建议的/8网络地址，为了保留网络的扩展性，本次规划只用了其中/16，其余地址段作为预留备用。对于网络中原有的比较系统的网络规划保留下来，汇总地址为/20原有网络本次分配的地址段/21位置VLAN网络号说明SKT10/24汇总地址:6/VIATECH1/24C-MAU1/24JOYNAV13/24WLAN-SKT14/24汇总地址:0/无线网络地址ViaTech15/24无线网络地址C-Mau16/24无线网络地址Joynav17/24访客无线地址100/24特殊处理权限服务器地址段18/24设备互联网段/24以30位掩码分隔,用于点到点连接,共有64组本网络规划中各设备的IP分配遵守下面的分配原则：VLAN管理地址打印机等公用设备可用地址网关地址101-2021-3031-253254111-2021-3031-253254121-2021-3031-253254131-2021-3031-253254141-20-21-253254151-20-21-253254161-20-21-253254171-20-21-2532541001-20-21-253254181-2021-253254-254通过这些原则首先可确定网络设备的管理地址分配规划（网络内所有的网络交换机和无线相关设备的分配）：位置管理IP主机名VLAN INTERFACE IPSKTA-2950-54A-2950-A-2950-3A-2950-40A-3550-1VIATECHB-2950-54B-2950-B-2950-3C-MAUC-2950-54C-2950-C-2950-3C-2950-4C-2950-5C-2950-6JOYNAVD-2950-54D-2950-D-2950-3D-2950-4D-2950-5D-2950-6D-2950-7WLANLAP-5454545454LAP-LAP-3LAP-4LAP-50WLAN-2960-1ServerFarmServerFarm-2950-54与核心交换机相连接的设备中还有防火墙，路由器等三层网络设备，这些设备与核心交换机3750的连接方式通过配置路由接口的方式实现，因此该接口的地址分配按照设备互联段的地址分配实施：设备连接(三层设备)位置型号主机名管理IP3750对应连接IPINTERNETNS-204?WLCWLCWLC-会议系统C3560?0R&D CenterC3825?43核心交换机的IP规划核心交换机与下联设备的互联在逻辑可以分为两种方式：1.通过SVI接口（VLAN相关）与下联的交换设备互联。2.通过路由接口与下联的设备形成点对点连接，主要用于与三层及以上层面设备的互联，这样有利于路由的静态分布和配置。核心交换机IP分配接口名称端口IP配置子网掩码下联位置描述VLAN10G1/0/SKTVLAN11F1/0/1-3BVLAN12F1/0/4-9CVLAN13F1/0/10-15DVLAN14F1/0/23TrunkWLANVLAN15VLAN16VLAN17VLAN100VLAN18F1/0/16ServerFarmF1/0/24F1/0/2452INTERNETNS-204F1/0/22F1/0/252WLC无线控制器F1/0/21F1/0/2523560会议系统F1/0/20F1/0/203523825R&D Center3.2. 核心交换机配置3.2.1. IP配置int VLAN10description SKTip address 54 ip address secondaryno shutint VLAN11description B areaip address 54 no shutint VLAN12description C areaip address 54 no shutint VLAN13description D areaip address 54 no shutint VLAN14description SKT Wirelessip address 54 no shutint VLAN15description B Wirelessip address 54 no shutint VLAN16description C Wirelessip address 54 no shutint VLAN17description D Wirelessip address 54 no shutint VLAN100description Guest Wirelessip address 54 ip helper-address 06no shutint VLAN18description Server Farmip address 54 no shutiinterface FastEthernet1/0/20 description R&D Center no switchport ip address 3 52!interface FastEthernet1/0/21 description Conference System no switchport ip address 52interface FastEthernet1/0/24 description NS-204 no switchport ip address 52 ip access-group 101 in特别说明：interface vlan vlanid 命令会自动创建相应的vlan.3.2.2. 端口划入相应的VLAN设置TRUNKinterface FastEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/2 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/5 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/6 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/7 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/8 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/9 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/10 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/11 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/12 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/13 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/14 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/15 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/16 switchport trunk encapsulation dot1q switchport mode trunk! interface FastEthernet1/0/17!interface FastEthernet1/0/18!interface FastEthernet1/0/19!interface FastEthernet1/0/22 description Wireless Controller switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet1/0/23 description VLAN14-17&vlan100 for Wireless switchport trunk encapsulation dot1q switchport mode trunk!3.2.3. 路由配置ip classlessip forward-protocol udp bootpsip route 4ip route 4ip route 28 4ip route 4ip route 52 4ip route 28 28 4ip route 4ip route 4ip route 4ip route 4ip route 4 48 4ip http server3.2.4. 其他配置(无线区域访问控制)访客只能访问本区资源access-list 100 deny ip any 55 access-list 100 deny ip any 55 access-list 100 permit ip any any int vlan 100ip access-group 100 inB区无线网络可访问服务器、internet access-list 115 deny ip any 55access-list 115 deny ip any 55access-list 115 deny ip any 55access-list 115 permit ip any anyint vlan 15ip access-group 115 inC区无线网络可访问服务器、internet access-list 116 deny ip any 55access-list 116 deny ip any 55access-list 116 deny ip any 55access-list 116 permit ip any anyint vlan 16ip access-group 116 inD区无线网络可访问服务器、internet access-list 117 deny ip any 55access-list 117 deny ip any 55access-list 117 deny ip any 55access-list 117 permit ip any anyint vlan 17ip access-group 117 inA区无线网络可访所有区域没有配置 B.C.D区无线网络不可互访每个区域中已配置3.3. 汇聚层网络交换机配置SKT汇聚交换机配置interface vlan 16ip address 0 no shutinterface range f0/1 24, g0/1switchport access vlan 103.4. 接入层网络配置hostname A-2950-1interface vlan 1ip address no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname A-2950-2interface vlan 1ip address no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname A-2950-3interface vlan 1ip address no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname A-3550-4interface vlan 1ip address no shutdowninterface range fastethernet 0/1 22switchport access vlan 10hostname A-2950-5interface vlan 1ip address no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname A-2950-6interface vlan 1ip address no shutdowninterface range fastethernet 0/1 47switchport access vlan 10hostname C-QianXun-1interface vlan 1ip address 1 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname C-QianXun-2interface vlan 1ip address 2 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname C-QianXun-3interface vlan 1ip address 3 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname C-QianXun-4interface vlan 1ip address 4 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname C-QianXun-5interface vlan 1ip address 5 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname C-QianXun-6interface vlan 1ip address 6 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname JoyNav-2950-1interface vlan 1ip address 1 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname JoyNav-2950-2interface vlan 1ip address 2 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname JoyNav-2950-3interface vlan 1ip address 3 no shutdowninterface range fastethernet 0/1 23switchport access vlan 10hostname POE-2960interface vlan 1ip address 00 no shutdowninterface fastethernet 0/2,4,6,8,10,12 17switchport access vlan 103.5. 与核心相联的三层网络设备3.5.1. NS-204修改到内部网络的路由，增加一条到目标网络 路由指向3.5.2. 3825到核心的路由增加一条到目标网络 的路由指向3ip route 33.5.3. 3560修改到内部网络的路由，增加一条到目标网络 路由指向ip route 3.5.4. 服务器IP的配置变更服务器的IP地址需重新变更，这样的变动会影响到原来服务器内的应用，因此对于服务器的IP变更分为两类：a. 变更容易实施，对于系统影响不大b. 变更实施起来比较复杂，或者会影响到系统全局的运行，甚至可能会要求重新安装系统，这种变更处理起来比较困难对于a类问题可以直接对服务器进行简单的IP变更即可。对于b类问题可通过静态NAT的方式进行配置，使原有的服务器上无需变更IP,但外部访问者可用变更后的地址进行访问。注意：IP变更后，内部的AD服务器或DNS等服务的地址产生较大的变化，需引起重视。3.5.5. 打印机等公用设备更改打印机等公用设备应当发布适当的通知给使用者，使用者可根据通知及时升级应用。3.5.6. 办公用PC地址变更办公用PC的IP更改会影响到用户的正常使用，比如域服务器的地址要重新配置，或者要重新设备新的网络打印机地址等等。建议做出详细的用户端PC机更新说明或者在域服务器中分发新的域策略，以减少大量的人工变更工作。3.6. 无线网络部署及实施3.6.1. ACS服务器ACS安装在Windows Server 2003（或Windows 2000 Server）服务器上，完成后配置系统的管理功能。建立与Windows AD服务器的关联信息。3.6.2. S2960配置hostname WLAN-2960-1interface VLAN 20ip address 0 interface range f0/1 5switchport mode trunk switchport trunk allowed vlan 20,21,22,23switchport trunk native vlan 20interface f0/24switchport mode trunk switchport trunk allowed vlan 20,21,22,23switchport trunk native vlan 203.6.3. 增加3750的配置interface f1/0/23switchport mode trunk switchport trunk allowed vlan 1,20,21,22,23switchport trunk native vlan 203.6.4. AP设备基本配置：hostname LAP-1interface bvi1ip address 11 hostname LAP-2interface bvi1ip address12 hostname LAP-3interface bvi1ip address 13 hostname LAP-4interface bvi1ip address 14 hostname LAP-5interface bvi1ip address 15 3.6.5. 配置LAP的VLAN和SSID使用WEB方式分别连接5台LAP，http:/10.10.10.*密码：Cisco.在每台LAP上增加VLAN14,21,22,23,100,分别配置SSID，并将SSID、VLAN和802.1X配置绑定。在设置GUEST SSID的时候，配置策略为GUEST.3.6.6. WLC配置使用WEB界面登录，并加入相应的LAP.3.7. 端口镜像配置SPAN和RSPAN3.7.1. SPANSwitch(config)# no monitor session 1Switch(config)# monitor session 1 source interface Fastethernet1/0/1Switch(config)# monitor session 1 destination interface Fastethernet1/0/2encapsulation replicateSwitch(config)# end3.7.2. RSPAN3550上的配置：/创建remote span vlanSwitch(config)# vlan 901Switch(config-vlan)# remote spanSwitch(config-vlan)# end/与3750相连的接口设备为trunkSwitch(config)# int g1/0/1Switch(config-vlan)# switchport mode trunkSwitch(config-vlan)# swithport trunk encapsulation dot1q/设置源端口Switch(config)# no monitor session 1Switch(config)# monitor session 1 s