毕业设计（论文）-河源市法院网络升级改造的方案设计.doc

湖南商务职业技术学院毕 业 设 计题 目 河源市法院网络升级改造的方案设计 姓 名 学 号 201204002030 系 部 理 工 系 专业年级 12级计算机科学与技术 指导教师 2015年 02月28日摘要随着政府部门信息化脚步的加快，我国政府已经把加快政府部门信息化放在了国家发展新一个五年计划当中，作为一项长期目标来实现。广东省河源市原有政法网络(法院部分)于2008年建立，已运行多年，随着网络业务的增加，原有网络承载过重，已经无法满足需求，所以网络的升级改造改造势在必行。 本文从河源市法院网络需求出发，提出了完善的解决方案，包括需求分析，设备选型，网络结构设计VLAN规划，路由规划，OSPF路径选择，设备安装调试，现有网络业务割接等内容。目 录1 引言61.1项目背景61.2工作内容62 河源市法院网络综合升级改造方案72.1网络设计总体概述和网络需求72.2广东河源市法院现网网络拓扑82.2.1改造后的法院网络拓扑92.3设备端口IP地址、VLAN规划102.3.1 VLAN介绍102.3.2 STP生成树协议简介112.3.3 VLAN划分原则132.3.4河源市原有IP地址表152.3.2河源市新增地址列表162.4 路由协议设计172.4.1 OSPF(Open Shortest Path First开放式最短路径优先)协议172.4.2河源市法院路由器协议规划172.4.3原有县路由器路由协议规划182.4.4新增县路由器路由协议规划192.4.5县原有核心交换机路由协议规划202.5 流量路径规划及其冗余性分析203 端口对应设计223.1市路由器和市电信传输接口配置223.2市路由器和区县新增路由器的接口及VLAN规划224 网管实施方案234.1河源市网管地址234.2新增路由器添加网管命令235 安全策略规划245.1 COPP 控制面板策略245.2二层安全245.3安全策略256 传输实施方案266.1 MSTP传输简介266.2数据链路备份276.3 设备上架276.4设备加电276.5跳纤286.6设备上网管286.7紧急回退297详细割接方案307.1网络割接技术背景307.2 实施前的准备工作307.3市法院二级网对接割接317.3.1紫金县网络割接(例)338 四级网割接398.1镇街四级网割接方案398.1.1第一步：镇级基层单位交换机设备硬件安装398.1.2第二步：原有交换机下联用户端口割接398.1.3第三步：新增镇街交换机配置模式(例)398.2 回退方案399 测试验收409.1 测试内容409.1.1设备基本情况测试409.1.2设备联调测试409.1.3设备试运行测试40结 论41致 谢42参 考 文 献431 引言本次项目为广东省政法内网三四级网络升级改造方案,河源市方案。1.1 项目背景本项目是广东省省政府下辖政法信息内网的改造升级方案，由于此项目已经完成多时(2007年规划)2008年12月份第一期网络工程实施，2010年12月第二期工程完工。本网络运行已经经历了6个年头，期间很多地市县法院已经更换了新机房和新设备，相应的县镇也添加了视频学习设备等等。由于新加入的设备占用了大量的带宽，使得原有的中国移动12M SDH线路开始吃紧，并且备用的电线2M MSTP线路几乎处于只能维持最基本的业务水平能力。基于以上线路和设备情况，决定对现有网络进行一次较大的升级。1.2 工作内容根据原有网络拓扑的情况下，我们将会要新增一条中国联通100M MSTP传输线路，并且在此基础上针对每一个县新增一台Cisco 2951-K9路由器一台，并且根据接下来三期工程的业务带宽要求，县下辖镇接交换机从华为的低端弱网管交换机更换成为Cisoc2960-24TT 高性能交换机，为下一步三期工程做好性能和带宽上准备。同时，为了最大化的节约政府开支与最大化的利用旧有网络，我们将会完全保留原有网络中移动12M SDH传输与 中国电信 2M MSTP传输，他们将会被用作备用链路来处理，当新加入的联通100M MSTP线路出现暂不可解决的故障时，他们可为县镇提供基本的法律信息服务，这样，不仅可以做到链路3保险，而且也充分利用了OSPF链路协议的特性，同时也最大化程度的节约了开支也符合政府部门的政策要求。 本次改造一共涉及到超过450台设备，设备涵盖司法，政法，法院系统。由于内容和篇幅的原因，这里只涉及河源市法院网络的改造。2 河源市法院网络综合升级改造方案2.1 网络设计总体概述和网络需求广东政法网的法院的网络建设的总体思想：总体规划，分区域实施。根据法院网对网络总体规划，我们建议网络整体建设分为两个阶段完成：第一阶段完成三级区县到二级市汇聚层网络的改造第二阶段完成乡镇接入层交换机更新替换。河源市网络建设的县级、镇级单位如下所示：表1河源市所属单位区县单位乡镇单位源城区东源县灯塔法庭蓝口法庭紫金县古竹法庭蓝塘法庭龙窝法庭柏塘法庭和平县彭寨法庭下车法庭连平县忠信法庭隆街法庭龙川县鹤市法庭龙母法庭麻布岗法庭车田法庭网络需求(硬件需求与链路业务需求):1. 河源市法院思科交换机新增2700W电源2个2. 河源市紫金县增加交Cisco 2951交换机1台3. 镇接交换机由华为低端2层更换为Cisco 29604. 要求新增联通100M MSTP县至市链路5. 要求改造后数据在联通100M链路上进行转发6. 联通100M链路上行到县公安局，市公安分局，市公安局采用1Gbps链接7. 要求OSPF协议在联通100M链路Down后30s内切换到移动12M MSTP传输8. 要求OPSF协议在移动12M链路Down后30s内切换到中国电信2MSHD传输2.2 广东河源市法院现网网络拓扑 图1 河源市原有网拓扑图原有拓扑如图1所示，所有县/区级都是由单个路由器分别通过移动12M传输和电信2M传输接到市路由器，所有镇交换机通过移动传输设备连接到县核心交换机，然后再通过县路由器，以及移动传输网络的方式，将数据传到市法院路由器上。原有网络于2009年12月始建，2010年10月完成验收，当时由于河源市网带宽不足，并且未考虑到法庭视频学习业务扩展，故上联采用中国电信2M备份线路，下联采用中国移动12M MSTP透传，直接接入河源市法院Cisco 7604中心路由器，再由Cisco7604转发数据包透过广东省网办ATM线透传至某部门机房。完成整个政法信息网内网从法庭办案到审批核实的数据流程。2.2.1 改造后的法院网络拓扑图2改造后网络拓扑图改造后的拓扑如图2所示，在县/区级上增加一台路由器Cisco 2951，新增路由器通过三根链路分别连接到市路由器、县原路由器及县核心交换机。如图上所示，绿色链路就是新增链路。本次改造涉及添加：联通100M/1000M MSTP传输设备 每县节点添加一台Cisco 2951路由器替换原有镇至县移动 12M 透传替换镇接huawei交换机新增河源市源城区法院链路本次改造涉及割接现网业务本次改造后所有的数据流量都会通过新增路由器流向法院的市路由器。当新增设备出现故障时，数据会按照原有数据流向到市路由器。当联通100M/1000M MSTP传输稳定可靠时，所有数据将全部经过新增县法院Cisco2951连接联通100M/1000M MSTP传输经过县公安局，再经过河源市公安局，透过电信SDH传输连接至市法院Cisco 7604路由器，再经过省ATM线路进行转发。当联通100M/1000M MSTP传输不可靠时，OSPF链路将重新收拢聚合到原有县Cisco2851路由器，通过中国移动12M MSTP传输透传至河源市法院Cisco 7604路由器再经过Cisco 7604在省网ATM线进行转发数据。当联通100M/1000M MSTP传输不可靠时，且中国移动12M MSTP也故障时，OSPF将自动聚合链路至中国电信2M备份线路通过电信SDH透传到河源市Cisco7604路由器再经过省网ATM进行转发。图3改造后网络拓扑图2.3 设备端口IP地址、VLAN规划2.3.1 VLAN介绍IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。实际应用需求:把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据交换机的端口来划分VLAN。VLAN网络可以是有混合的网络类型设备组成，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等，可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。2.3.2 STP生成树协议简介STP协议是一个单生成树协议，所谓单生成树协议，就是在网络中将所有的桥设备放到单个生成树拓扑中，保证网络连接的全联通性和无循环链路。STP协议首先会为生成树选定一个跟，然后根据每个桥设备到根的距离来确定该桥到根的路径，这样由根、桥设备以及各个桥到根的路径组成了一个全联通且无循环的生成树。STP协议通过BPDU(桥协议数据单元)进行协议数据的交互。STP BPDU是一种二层报文，目的MAC是多播地址01-80-C2-00-00-00，所有支持STP协议的网桥都会接收并处理收到的BPDU报文，BPDU报文不会被转发。STP协议基本概念Bridge identifier(BID)：每个桥有1个identifier，该BID由两部分组成。前两个字节表示优先级，默认为32768可取值范围在0-65535。后6个字节由bridge的MAC地址组成。确保网络中每个bridge的BID具有唯一性。Root Bridge（跟桥）：网络中作为生成树树根的bridge，该bridge具有最小的BID。Root identifier（RID）：跟桥具有的identifier。Path cost：数据包在网络中传输所需的路径开销。该开销根据局域网类型（带宽+双工模式）来确定数据包在网络中的路径开销。该开销是用来确定最优生成树的关键参数。Port identifier（PID）：每个桥的每个端口具有一个PID，该PID由两部分组成，共16个bits。（前6个bits表示优先级，后10个bit表示端口名称，没看到官方文件说明）。Root path cost：数据包到达跟桥的路径开销。Root port(根端口)：非跟桥上到达跟桥路径开销最小的端口。Designated port（指定端口）:连接到某局域网中的所有端口中具有最小根路径开销的端口。该端口被称为该局域网的指定端口。Designated bridge：局域网的指定端口所在的bridge被称为该局域网的指定端口。Alternate port：备份端口。STP协议中端口状态:Blocking（阻塞状态）：该端口处于使能状态，但根据STP算法的计算结果，该端口不属于生成树的有效组成端口。（既有其他路径可以生成生成树结构，同时比该端口所在的路径具有更优的结构）。处于阻塞状态的端口只接受STP BPDU报文，不转发STP BPDU报文；不接收和转发其他业务报文。 表2 STP协议中端口的状态端口状态地址学习能力转发/接收报文能力接收BPDU报文发送BPDU报文DisabledNONONONOBlockingNONOYESNOListeningNONOYESYESLearningYESNOYESYESForwardingYESYESYESYES Listening（监听状态）：该端口处于使能状态，同时该端口已经被选为生成树的有效组成端口，但为了防止网络拓扑结构的动荡变化造成生成树的不稳当，在blocking和forwarding状态之间添加了listening状态，该状态监听网络中的BPDU报文判断是否有更优的路径，同时该端口开始将FDB表中的相关表项进行清除，该状态接受转发STP BPDU报文，不接受和转发普通业务报文。Learning（学习状态）：该端口处于使能状态，同时该端口已经被选为生成树的有效组成端口。但为了防止网络拓扑结构的动荡变化造成生成树的不稳当，在blocking和forwarding状态之间添加了learning状态，在端口保持在listening状态一定时间（forward timer）之后，若没有发现其他更优路径，则该端口有listening状态转换到learning状态。该状态监听网络中的BPDU报文判断是否有更优的路径，同时端口接受和转发STP BPDU报文，接收普通业务报文，并学习报文MAC地址，不转发普通业务报文。Forwarding（转发状态）：该端口处于使能状态，同时该端口已经被选为生成树的有效组成端口。在端口处于listening状态一定时间之后(forward timer)，若没有发现其他更优路径，该端口有learning状态转换到forwarding状态。该状态接受和转发STP BPDU报文，同时接受和转发普通业务报文。Disable（禁用状态）：该状态可以认为是物理上没有联通的端口。2.3.3 VLAN划分原则1. IP地址规划原则l IP地址规划的结果直接影响到网络运行的质量，以下是几点IP地址规划的基本原则：l 唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。l 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。l 扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。l 实意性：“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。对于IP地址的规划，一般可以分为以下几个部分：Loopback地址、设备互联地址、用户地址，下面就对这几个部分进行详细说明。2. LOOPBACK地址此次工程新增的每一台设备，均需要一个LOOPBACK地址。3. 设备互联地址设备互联IP地址按从核心到汇聚的分配方式逐次分配。掩码统一为30位，网络层次越高的设备接口地址越小，即“高层次，小地址”。例如，路由器之间的互联链路地址为200.0.0.16/30，则路由器A的接口IP地址为200.0.0.17，路由器B的IP地址为200.0.0.18。2.3.4 河源市原有IP地址表表3 河源市原有地址列表2.3.2 河源市新增地址列表 表4河源市新增地址列表2.4 路由协议设计2.4.1 OSPF(Open Shortest Path First开放式最短路径优先)协议OSPF(Open Shortest Path First开放式最短路径优先 )是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(Autonomous System, AS)内决策路由。 链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 OSPF路由协议是一种典型的链路状态（Lin OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(Autonomous System, AS)内决策路由。链路是路由器接口的另一种说法，因此OSPF也称为接口状态路由协议。OSPF通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统 （Autonomous System），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个 AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。2.4.2 河源市法院路由器协议规划1.法院信息网一般具有独立的自治域编号，运营商可从保留的自治域号中统一分配。2.本项目是法院信息网三、四级网络建设，因此我们不涉及BGP协议及自治系统号分配问题。3.综合考虑现网IGP部署情况、业务发展以及工程实施复杂程度，本次优化工程中，路由网关路由器与核心层之间使用OSPF动态路由作为IGP路由协议。可以根据地市进行area划分地址块，实现更快的网络收敛。 表5市法院OSPF路由协议地市市设备OSPF发布区域OSPF自制系统号OSPF宣告网段河源市Cisco7604原有路由器15100128.67.254.0/24 2.4.3 原有县路由器路由协议规划 表6 县原有OSPF路由协议规划地市县/区市/县区设备OSPF发布区域OSPF自制系统号OSPF宣告网段河源市源城区原有路由器15100128.67.254.52/30东源县原有路由器15100128.67.254.56/30紫金县原有路由器 15100128.67.254.60/30和平县原有路由器15100128.67.254.64/30连平县原有路由器15100128.67.254.68/30龙川县原有路由器 15100128.67.254.72/30 2.4.4 新增县路由器路由协议规划 表7新增县路由器OSPF规划地市县/区市、县区设备OSPF发布域OSPF自制系统号OSPF宣告网段河源市源城区新增路由器15100128.67.254.28/30128.67.254.52/30128.67.254.76/30东源县新增路由器15100128.67.254.32/30128.67.254.56/30128.67.254.80/30紫金县新增路由器15100128.67.254.36/30128.67.254.60/30128.67.254.84/30和平县新增路由器15100128.67.254.40/30128.67.254.64/30128.67.254.88/30连平县新增路由器15100128.67.254.44/30128.67.254.68/30128.67.254.92/30龙川县新增路由器15100128.67.254.48/30128.67.254.72/30128.67.254.96/30 2.4.5县原有核心交换机路由协议规划 表8原有县核心交换机OSPF路由规划市县/区市、县区设备OSPF发布区域OSPF自制系统号OSPF宣告网段河源市源城区原有核心交换机15100128.67.254.76/30东源县原有核心交换机15100128.67.254.80/30紫金县原有核心交换机15100128.67.254.84/30和平县原有核心交换机15100128.67.254.88/30连平县原有核心交换机15100128.67.254.92/30龙川县原有核心交换机15100128.67.254.96/30 2.5流量路径规划及其冗余性分析目前河源各县区原有路由器Cisco 2851有2条链路，1条是主用的移动的12M，1条是备用的电信2M，通过在备用的电信2M链路接口上配置ip ospf cost 100来提高链路成本，优选移动链路。在新增路由器2951和100M链路后，我们将在原有Cisco 2851的12M移动链路接口上配置ip ospf cost 50，将业务流量迁移动新增的路由器2951和100M链路上，原有的12M移动链路作为第一备用链路，原有的2M电信链路作为第二备用链路. 图4河源市法院原有网络数据流量图A为改造前数据流量 B为改造后数据流量图5广东省河源市中级人民法院数据冗余流向图A为故障备用第一链路数据冗余图 B为故障备第二用链路数据冗余图 故障场景冗余说明如下：1. 新增的100M链路故障，业务由切换后2851，12M移动链路为主用，2M 链路为备用。2. 新增主用的2951路由器故障，业务切换到备用的2851路由器上，12M移动链路为主用，2M链路为备用。3. 新增主用的2951路由器与原有路由器2851之间的互联链路故障，对业务流无影响。4. 原有路由器2851故障，对业务流无影响。3 端口对应设计3.1 市路由器和市电信传输接口配置 表9路由器传输接口配置表河源市路由器和电信传输设备对接起始端口1对接端口2市路由器Cisco 7604电信传输设备端口编号端口类型单模/多模端口编号端口类型单模/多模GigabitEthernet1/3 1000M光口多模 X X X 3.2 市路由器和区县新增路由器的接口及VLAN规划 表10市路由器和区县新增路由器的子接口及VLAN规划表市路由器和区县新增路由器的子接口及VLAN规划地市县/区本端设备本端接口对端设备对端接口VLAN及子接口 ID河源市源城区区县新增路由器GigabitEthernet0/0.1801市路由器GigabitEthernet1/3. 18011801东源县区县新增路由器GigabitEthernet0/0.1802市路由器GigabitEthernet1/3. 18021802紫金县区县新增路由器GigabitEthernet0/0.1803市路由器GigabitEthernet1/3. 18031803和平县区县新增路由器GigabitEthernet0/0.1804市路由器GigabitEthernet1/3. 18041804连平县区县新增路由器GigabitEthernet0/0.1805市路由器GigabitEthernet1/3. 18051805龙川县区县新增路由器GigabitEthernet0/0.1806市路由器GigabitEthernet1/3. 18061806 4 网管实施方案4.1河源市网管地址 表11河源市网管地址表使用单位原有路由器管理IP地址新增路由器管理IP地址网管系统IP地址源城区128.254.223.1/24128.254.223.1/24128.0.2.103东源县128.254.223.33/24128.254.223.2/24紫金县128.254.223.65/24128.254.223.3/24和平县128.254.223.97/24128.254.223.4/24连平县128.254.223.129/24128.254.223.5/24龙川县128.254.223.161/24128.254.223.6/24 4.2 新增路由器添加网管命令#snmp-server community gdfy RW#snmp-server community gdfyro RO#snmp-server host 128.0.2.103 gdfyro命令分析：定义community值为gdfy，即与网管系统对接的密码；RW为定义读写权限。网管服务器上，需要增加管理设备，只需要将新增路由器的管理IP地址与community值填写上，就可以进行网管。其他县新增路由器按照这个方法配置网管系统。5 安全策略规划5.1 COPP(Control Plane Policing) 控制面板策略Control Plane Policing (CoPP)被称为控制面板策略，控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包，从而保护路由器和交换机免受DOS的攻击，控制面板可以无论在流量多大的情况下都能管理数据包交换和协议的状态情况。在控制面板中，只能通过MQC配置常规的QOS，并且out方向的QOS并不是所有IOS都支持，请自行检查，其中配置的QOS策略中，只有drop和policy两个动作可以使用。而且NBAR功能也不能很好的支持。当在控制面板中配置QOS后，不用在接口下应用该策略，因为控制面板下的策略对所有接口生效。5.2二层安全针对二层交换机的威胁有：1. MAC layer attacks;2. VLAN attacks;3. DHCP snooping;4. Attacks on switch devices。1.MAC layer attacks攻击者使用脚本黑客工具，伪造MAC地址攻击交换机CAM表交换机CAM表只能存放有限数量的MAC地址交换机CAM表存满上限数量的MAC地址，针对以后正常转发数据流量将会广播查询，查询信息过多，将导致网络数据的延时增加。解决方法：限制端口MAC地址数量。2VLAN attacks攻击者使用脚本黑客工具，包头多封装就是在入口时带上一个Native VLAN，然后出口时剥掉，这样紧连的switch如果不是从access口进入就会根据用户帧的VLAN进行转发，从而去了不希望去的端口，实现跨VLAN的攻击。解决方案：在每个VLAN口打上TAG，对默认VLAN口也打TAG标签.3DHCP snoopingDHCP snooping 在全局启用，控制交换机内DHCP广播报文对整个交换环境影响，最大优化交换机性能。解决方案：全局开始IP DHCP SNOOPING。4Attacks on switch devices关闭不必要的服务，如cisco的CDP和公有的LLDP协议为交换机设置密码设置远程交换机地址段范围支持SSH的话，使用SSH加密的登入方式。5.3安全策略通过路由策略、访问控制策略、MAC地址绑定、认证系统、设备口令等进行安全管理，根据不同部门、业务的需求,实现用户的对路由协议的引入和发布,不同网关之间的访问控制,防止MAC漂移,ARP攻击.对终端客户的AAA分类.以及设备的口令管理,可以大幅度降低来自不明用户的风险。6传输实施方案6.1 MSTP传输简介 MSTP协议是一个多生成树 (Multi Spanning Tree MST)协议，相对RSTP来说，主要是引入了实例和域的概念。域的概念是为了将网络中具有不同配置的网络段进行分割开，在网络段内部实行统一的配置，可以在域内进行独立的生成树构造。而域之间则使用一个单一生成树将所有的域连接起来(该生成树被称为CST，公共生成树)，确保全链接和无环。在域的内部可以构造多个生成树实例，同时可以将不同的VLAN映射到不同的生成树实例上。在每个域的内部都有一个实例ID为0的实例，该实例与CST共同组成了CIST(公共内部生成树)。该生成树将整个网络中的域和域内部的桥设备和网段连成一个全链接无环的树MST域：是由交换网络中的多台设备以及它们之间的网段所构成。这些设备具有下列特点：都启动了MSTP；具有相同的域名；具有相同的VLAN到生成树实例映射配置；具有相同的MSTP修订级别配置；这些设备之间在物理上有链路连通。MST Configuration identifier：用来标示一个bridge的 MST配置内容，以确定桥与桥之间是否能够在同一个域内。内容包括Configuration Identifier Format Selector，Configuration Name，Revision Level，Configuration Digest。CIST Root identifier：CIST跟桥的桥ID。CIST External root port cost：CIST 外部根路径开销，是指一个桥所在的域到CIST 跟桥所在的域之间的路径开销，在一个域内所有桥的CIST External root port cost都是一样的，在计算的时候CIST指计算域的跟桥的根端口所在LAN的路径开销。Regional Root Identifier：域的跟桥的桥ID，域的跟桥并不是在域内的所有桥中ID最小的一个，而是域内到CIST跟桥的根路径开销最低的桥。Internal Root Port Cost：内部路径开销是指将域看做一个独立的局域网，域内的桥设备到域的跟桥的根路径开销。Master Port：Master port是指一个域中跟桥的根端口。该域通过该端口到达跟桥的路径最小。VLAN映射表：VLAN映射表是指将VLAN映射到某个具体的MSTI，在同一个域内所有桥设备的VLAN映射表必须保持一致，默认情况所有VLAN映射到实例0。CST：common spanning tree，用于联通不同域或非MSTP桥设备的生成树.6.2数据链路备份在正式实施之前做好相关的数据链路备份是很重要的。一方面，可以把备份的数据链路作为参考对比；另一方面，可以保障当相关的操作失败，工程无法正常实施的情况下，能够把网络倒回原状恢复业务，这样能尽量的减少业务中断时间和损失。数据链路备份包括：1.记录原设备与其他设备互连的槽位号、端口号、各端口配置的时隙、VLAN、绑定的带宽，这些可以从网管上导出网元配置信息报表，也可以手动记录下来。2.把每根与原设备互连的尾纤、双绞线打好标签记录下来。6.3 设备上架设备安装在机柜内指定的位置，按工程要求布线，做好设备接地（一定要按照接地的标准），装上防静电手套。把尾纤从ODF架到设备放通（先不要插设备）。要尽量减少尾纤的弯曲，以免损坏尾纤，以及使光信号衰减过大。2M线从DDF架到设备接好。设备插板的时候戴上防静电手套，因为单板里面的一些电子原件很脆弱。6.4设备加电1.检查设备安装都到位后，开始加电。加电前确认供电设备的保险容量能够满足供电要求，以免加电使电源跳闸而导致其他设备停电断网。2.对于设备有主备电源的，要进行主备测试：3.把主备电源都打开，然后关掉备用电源，查看设备运行是否正常。4前面两种情况测试都通过的情况下，打开主备电源，让设备运行。6.5跳纤带好光功率计、光衰做好跳纤准备。借助于光功率计确定好光纤的收发，把光线的收端接在光功率计上查看光功率是否在光模块的正常接收范围，如果是光功率过高，就在收光的一端加上一定的光衰，如果是光功率过低，则要排查出是什么原因导致的，用相应的方法来解决，使光功率达到正常范围，否则业务无法正常开起来。6.6设备上网管传输骨干网设备管理系统：部署MSTP传输网络管理系统，三级骨干网采用双电路双设备方式。创建网关网元在PC上开启网管系统，输入用户名/密码登陆网管系统，创建网关网元：1右键单击位于桌面上的网上邻居图标，在弹出的右键菜单中选择“属性”，弹出“网络连接”窗口。2在“网络连接”窗口中，右键单击“本地连接”，选择“属性”，弹出“本地连接属性”对话框。3选择“常规”选项卡，在“此连接使用下列项目”列表中选择“Internet协议（TCP/IP）”。4单击“属性”，弹出“Internet协议（TCP/IP）属性”对话框。5在“Internet协议（TCP/IP）属性”中选择“使用下面的IP地址”，设置：“IP地址”：129.9.0.250，“子网掩码”：255.255.0.0，（设备的IP网段为129.9.0.0，IP地址需要与设备的IP设置在相同网段。步骤中给出的IP地址只是例子。如果PC机和设备的IP一样，PC机会提示IP冲突，此时请重新设置PC机的IP地址。）单击“确定”。6在网管主菜单中选择“文件”、“搜索”、“网元”。7弹出“网元搜索”窗口，选择“传送网元搜索”。8单击“增加”，弹出“搜索域输入”对话框。9选择地址类型为“网关网元所在IP网段”或“网关网元IP地址”或“NSAP地址”，输入“搜索地址”、“用户名”和“密码”，单击“确定”。10在“搜索网元”区域框中，可以进行以下操作：(1）选择“搜索网元”，单击“确定”，即可搜索出所选域内的所有网元。(2)选择“搜索完成后创建网元”，输入“网元用户”和“网元密码”，单击“确定”。(3)选择“创建网元后立即开始上载”，单击“确定”，则创建网元后将网元的相关数据上载到网管上。11若用户仅选择“搜索网元”，则网管完成网元搜索后，在“搜索到的网元”列表中选择尚未创建的网元。单击“创建网元”，弹出“创建网元”对话框。设置网元属性为“网关网元”，输入“用户名”和“密码”。单击“确定”。创建非网关网元非网关网元的创建分为以下几步：1非网关网元一般都是直接或间接的连在网关网元上面的，所以当新建的与原网元之间的纤跳通了之后，就能够在原网元上面看到新建的网元。2在原网元上查看新网元的ID，在网元管理器上新建网元，输入新网元的ID、用户名、密码和所属的网关网元，上载网元。更改ID和网元名称。6.7紧急回退在实施过程中由于链路或其他问题，导致业务可能长时中断或者实施无法继续进行的情况下，需要把网络和业务倒回原状，保障业务正常。处理方法如下：1. 按实施前物理拓扑将物理设备连接好；2. 按照备份好的数据，把原来的业务配置好；3. 进行业务测试正常。7.详细割接方案7.1网络割接技术背景网络割接是对正在使用的线路、设备进行操作，将会直接影响到上面承载的业务，网络改造中最关键的一步就是网络割接。 网络割接又叫网络迁移，是指运行网络物理或者逻辑上的更改。许多网络割接不是一步就能完成的，通常会分为很多次小的割接，这时候就需要一个总体的割接方案和许多具体的割接方案一起组合来描述整个过程。割接方案不但是描述割接中需要进行的各项任务，还包含各项任务的时间表，所以相关的内容是需要各个配合部门、单位共同讨论通过的。对于割接中的具体割接步骤，不能仅仅是纸上谈兵，特别是牵涉到软件版本的改变这种协议上有较大更改的情况，通常需要搭设模拟环境进行模拟割接测试。任何软件都很难避免Bug（漏洞），网络起初的稳定运行不能说明在软件版本改变、协议逻辑改动后依然能稳定运行。例如美国的一个大运营商就曾发生过路由器软件版本大规模升级后几个小时后业务中断的情况。所以割接前的模拟测试是验证割接方案可行性的一个严谨的步骤，严格的测试有助于减少这方面的风险。7.2 实施前的准备工作网络割接工作是整个项目建设环节中非常重要的组成，网络割接的顺利与否直接关系整个业务系统是否稳定，也是技术性强、环节复杂、易出现各种问题的阶段，因此在割接工作实施前需做好详细的准备工作。1. 设备预配置本次项目实施将提前配置好所有新增设备，设备详细配置请参考第七章节。网络割接时实施人员只负责线路互联及市、县内网核心交换机的部分配置。2. 设备配置备份网络实施人员在割接前必须对割接所涉及的设备数据配置进行备份，需包括接口信息、VLAN配置、IP地址、路由表等。3. 割接前测试包含新增设备的测试和当前网络的测试。新增设备测试内容主要包括主备倒换测试、链路互通性测试、路由互通性测试等；当前网络的性能测试，主要是记录当前网络对于关键节点连通性等。4. 实施工具准备进行各类实施常用工具的准备，如螺丝刀、Console线、设备互连光纤跳线或双绞线等。7.3市法院二级网对接割接第一步：新增MSTP线路连接到路由器上按照地址表，将新增MSTP线路连接到市路由器GigabitEthernet1/3上。 表12市法院二级设备对接端口表起始端口1对接端口2市路由器Cisco 7604电信传输设备端口编号端口类型单模/多模端口编号端口类型单模/多模GigabitEthernet1/3 1000M 多模 X X X 第二步：记录原路由器与省市路由器的OSPF邻居测试原路由器与省市路由器的OSPF邻居是否正常，记录好邻居情况。第三步：新增路由器Cisco2951与市路由器互联市路由器Cisco 7604和Cisco 2951通过做子接口，保障通信，详细信息如下：表13河源市区县新增地址表