XX公司网络割接方案

1、XX企业网络割接方案XX企业网络割接方案XX企业网络割接方案企业网络建设建设工程网络割接方案1、企业网络建设整体要求1.1工程大体为认识决目前网络建设在网络性能、业务承载、运维效率等方面的瓶颈和问题，真确实现全企业一张网的网络建设络布局，企业在2014年启动了网络建设建设工作。依照企业一致要求，XX企业目前已实现覆盖合计100个站点的网络建设。截止2016年1月，XX网络建设改造工作现已经基本达成,初步建成了利用光传输网，以10GE链路为主、覆盖全企业系统100个节点的高速数据通信络平台，实现了核心地域网状连结、各地域内双星型上联的网络架构。据调研，企业现有各个业务，没有启动MPLSVPN，故

2、各个业务路由和数据之间，没有进行逻辑间隔,共用网络的带宽和其他资源。与网络不同样，新建的网络建设将采用MPLSVPN组网技术，各个业务承载在相应的独立VPN中间隔运行,经过路由策略和QoS进行区分。总之，本次割接工作整体方案立刻现有全省业务从现有网络割接至网络建设的独立VPN中运行.1.2割接原则一、安全第一原则本次割接技术难度大，原有网络构造将发生巨大变化，风险大，所有方案和操作要安全第一,先易后难、先试点再推行、先一般业务再重要业务.二、方便回退原则所有操作留有余地，不轻易删除原有配置，保证任何操作能迅速回退。三、提早准备原则不影响业务的准备操作要依照时间点提早达成，比方跳纤，设施IP分派

3、，新建链路的协议成立等等，保证割接的检修时间充分，留有办理问题和考证业务的时间。四、分工协作原则本次割接难度大，任务重，风险高,需要各单位组亲密配合，共同达成。2、企业网络现状2。1XX企业网络建设改造方案图1.1XX企业网络建设网络架构建成后的XX企业网络建设采用MPLSVPN组网技术，依照VPN区分方案,今后XX省内的信息内网业务、视频业务、语音业务、IMS业务将渐渐过渡到网络建设。2。2网络现状现有网络采用分层的拓扑构造，分为2个核心节点、15个骨干节点。企业配置2台XX设施作为核心设施，XX节点配置1台XX设施作为核心设施,每个骨干层节点上配置2台XX设施作为骨干设备。XX节点骨干设施

4、分别采用1条622M链路+1条155M链路和企业核心PE设施互联，采用1条155M链路和节点XX核心PE设施互联,链路之间保持冗余和独立。企业配置2台XX核心互换机、2台XX硬件防火墙和2台核心PE设施之间采用口字形方式连结实现服务器区业务的接入.节点配置2台XX硬件防火墙和2台骨干PE设施之间采用口字形方式连结，实现节点与上级企业之间业务的交互。信息广域现况以以下列图：业务现状目前，各节点和上级企业直属单位信息内网业务、营销业务等多个业务均经过上级企业XXXX上联至企业.图2.2-2上级企业XXXX业务拓扑图业务现状现有各节点XXXX业务情况以下：表2。2-1XXXX业务情况表以XXXX企业

5、为例，节点信息内网业务拓扑图以下：图2。23XXXX企业信息内网业务拓扑图综上所述，各节点的2台XXXX设施作为各节点信息内网、业务、XXXX工单业务至上级企业的出口.本期工程若进行信息内网割接,需要考虑XXXX上承载的XXXX业务和XXXX工单业务的割接方案.2.3XXXX现状2.3。1上级企业XXXX系统拓扑图XXXX业务各节点经过信息内网和传输专线上联至上级企业,据认识，上级企业至节点业务使用信息内网通道，传输通道作为备用通道。图2。3-1XX省XXXX系统网络拓扑图2.3。2节点XXXX系统拓扑图各节点XXXX业务经过信息内网和传输专线上联至上级企业，据认识，仅传输专线通道承载XXXX

6、会议业务（少许节点采用信息内网）。图2.3-2XXXX市企业XXXX系统网络拓扑图2。4XXXX工单业务现状工单业务仅覆盖在各个节点。现在XXXX工单业务无独立通道，包含在信息内网业务中。3、网络割接方案由于现有网络上节点XXXX包含地域信息内网业务、XXXX工单业务和XXXX业务.本次信息内网割接后各节点放置的XXXX路由器将不再使用,为了不影响XXXX业务，本次割接方案需考虑XXXX业务、XXXX工单业务的割接方案.工单业务属于内网业务，需将XXXX工单业务IP地点调整至各节点内网中.3.1信息内网割接方案3。1.1上级企业割接方案上级企业原有的XXXXA和XXXXB与企业信息CE1与CE

7、2已具备链路，在现有信息CE1和CE2上对信息内网业务进行配置能够实现信息内网业务，在割接过程中如需回退，则在信息CE上调整路由优先级，并在PE上改正MED使原信息内网业务仍流经原企业链路。割接前拓扑图以下所示:图3.1-1XX上级企业信息内网割接前表示图3.1。2上级企业割接步骤第一步：依照上级企业信息内网割接拓扑进行设施连结，并打上临时标签,同时保持上级企业信息CE与企业PE设施互联链路不动，上级企业信息内网割接拓扑以下所示:（工程中心）图3。12XX上级企业信息内网割接表示图第二步：参照搜资内容（割接有关设施新增的互联端口信息)，在上级企业有关设施（、XXXX）信息VPN业务所使用的端口

8、，做出相应配置，绑定到信息VPN实例，并经过路由当地优先级控制使信息内网业务流仍经过原企业链路，当地优先级越高越优，企业链路当地优先级CE1500、CE2100，改正新增链路学到的路由当地优先级为CE180CE250;企业回程路由经过ASPATH控制，越少越优，企业链路宣布路由的ASPATH5467654676,改正新增链路宣布路由的AS-PATH5467654676。在省调PE及备调PE上做路由汇总和路由过滤，只发送被赞同的汇总路由至企业；（工程中心、信息内网割接组)上级企业PE1RR设施()配置：1.配置互联端口地点，并绑定相应VPN实例：interfaceGigabitEthernet3

9、/2/1ipbindingvpninstancespiipaddress10。228.240。13255。2.bgp协议配置：bgp64600ipvpninstancespiaddressfamilyipv4unicastpeer10.228。240.13allowasloop。13substitute-aspeer10。228.240。13soo54676:54918上级企业CE设施（XXXX)配置:1.配置互联端口地点,并绑定相应VPN实例：interfaceGigabitEthernet2/0/6ipbindingvpn-instancespi。14255。255。255.2522.bg

10、p协议配置：bgp54676number64600ipv4-familyunicastundosynchronizationnetwork10.42。0。0255.255。252。0network10。0255。254。0.0network10.240。0。0255。255。0.0importroutedirectpolicylocalimportpeer10.228。240。14routepolicyas-pathexportroutepolicyaspathpermitnode10applyaspath5467654676routepolicylocalpermitnode10applyl

11、ocalpreference803.ospf协议配置：ospf100routerid10。8。251.145filter-policyipprefixspidenyimportimport-routebgppermitibgpcost10type1route-policyspigwarea0.0。0.0network10。8。232。3network10。6。21。1120。route-policyspigwpermitnode10if-matchip-prefixspiipipipprefixspiipindex10permit10。equal8less-equal8ipipprefixsp

12、iipindex20permit20。equal8ipipprefixspi-ipindex21permit21。0。0.08greaterequal8lessequal8ipipprefixspi-ipindex22permit22.0。0。08greater-equal8less-equal8ipipprefixspi-ipindex23permit23。0.0。08greater-equal8lessequal8ipip-prefixspiipindex24permit24。0。0。08greater-equal8lessequal8ipipprefixspi-ipindex25perm

13、it25.0。0.08greater-equal8less-equal8ipipprefixspiipindex26permit26。0。0.08greater-equal8lessequal8ipip-prefixspi-denyindex10deny10。0。0.08greater-equal8less-equal8ipip-prefixspidenyindex20permit0。equal324.黑洞路由：iproute-static10。0NULL0preference200。254.0。0NULL0preference200iproute。0NULL0preference200省调R

14、RXXXXRR路由过滤配置：aclnumber2001descriptionspiacl。rule2permitsource10.8。17。240。0。0.3rule3permitsource10。42。3.255rule4permitsource10.227。128.00。0。127。255。255rule6permitsource10。8。222.880。1450rule8permitsource10。8。251.1460rule9permitsource10。240。0。00。0.255。255rule10permitsource10.8。3rule100denybgp64600addr

15、essfamilyvpnv4。12routepolicyspiexportpeer10.8。252.14routepolicyspiexport第三步：在上级企业CE上查察VPNv4路由表,保证能看到节点信息VPN的路由，改正新增链路路由优先级为CE1700CE2600、不增加ASPATH使信息业务流量经过新增链路,同时测试信息内网业务功能可否正常,如正常，则进行下一步，如不正常,则断开上级企业PE与信息CE之间链路并检查有关设施配置，重复第三步直到业务内网功能正常；（工程中心、信息内网割接组）1。bgp协议配置:bgp54676ipv4familyunicastundosynchroniza

16、tion。14route-policylocalimportroutepolicylocalpermitnode10applylocal-preference700图3。13XX上级企业信息内网割接后表示图第四步：割接达成,将临时标签换成正式标签,并规范整理新增链路。（工程中心)节点割接方案依照企业要求，本次割接后网络建设节点出口将不再保存防火墙。节点信息内网割接方案采用将两台XXX9508（XXXX企业为Cisco6500）上联至F3016的通道割接至两台市企业新增CE1与CE2，使用信息内网VPN,以XXXX企业信息内网为例，割接表示图以下：(依照科信部建议，本期割接后，防火墙若需保存可自

17、行安排）图3.14XXXX企业信息内网割接后方案一表示图在割接过程中如需回退,则在shutdown掉S9508至新增CE之间链路，删除S9508上ospf进度中的Area0地域,使原信息内网业务仍经过原节点XXXX。3.1。4节点信息内网割接步骤图3。16XXXX企业信息内网割接前表示图第一步：依照节点割接拓扑准备跳线，并打上临时标签，同时保持节点信息内网设施（S9508）与原节点XXXX设施互联链路不动，新增链路测试端口up此后,shutdown掉新增链路连结的端口；(各节点现场工作组）图3.1-7XXXX企业信息内网割接表示图第二步：参照搜资内容(割接有关设施新增的互联端口信息），找到各节

18、点有关设施信息VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例；(工程中心、信息内网割接组、各节点现场工作组)各节点IP地点在节点CE上做路由汇总，关于准入系统使用的1。等地点段，高出企业规定范围，有两各种解决方案：一在所有节点部署准入服务器,保证1。228等地点段只要要在节点内通信,二，改正1.228等节点21地点段,符合企业最新IP地点规范。介绍是用方案二。（信息内网割接组）节点PE（）设施配置：1.配置互联端口地点,并绑定相应VPN实例：interfaceGigabitEthernetx/x/xipbindingvpn-instancespi。xx。x。x.x2.bgp协议配置

19、：bgp54916ipvpn-instancespiaddressfamilyipv4unicastpeerx。x.。x。xas-number54676peerx。x。.x。xallowas-looppeerx。x。x。xsoo54916：54916节点CE（）设施配置：1.配置互联端口地点，并绑定相应vpn实例：interfaceGigabitEthernetx/x/xipbindingvpn-instancespiipaddressx.x。x。x2.bgp协议配置：bgp54676ipvpninstancespiaddressfamilyipv4unicastpeerx。x.x。xas-n

20、umber54676。xroutepolicylocalimportpeerx。x.x。xroute-policymedexportroutepolicymedpermitnode10applycost100route-policylocalpermitnode10applylocalpreference5003。ospf协议配置:ospf100importroutebgppermitibgpcost10type1area0.0。0。0networkx。x。x.xx。x.x。x4。黑洞路由：iproute。x。x。xNULL0preference200节点现网设施（S9508)配置：1.配置互

21、联端口地点:interfaceVlan-interfacexxxipaddressx。x。x。xx。x。x。x2.ospf协议配置：ospf100networkx。x。x。xx.x。x.x第三步:断开原有S9508至XXXX之间链路，开启shutdown掉的新增链路连结接口，同时测试信息内网业务功能可否正常，如正常，则进行下一步，如不正常，则复原原有S9508至XXXX之间链路shutdown新增链路连结接口，并检查有关设施配置，重复第三步直到业务内网功能正常;（工程中心、各节点现场工作组、信息内网业务组）节点现网设施（S9508）配置：1.OSPF协议配置：importroutebgpper

22、mit-ibgpcost10type1图3。1-8XXXX企业信息内网割接后表示图第四步：割接达成，将临时标签换成正式标签,并规范整理新增链路.(各节点现场工作组）3。2XXXX系统割接方案上级企业割接方案将企业网络建设放置在XX的两台视频CE1和视频CE2上联至上级企业本部PE1和PE2,实现XXXX业务整体割接，对应至视频VPN。在割接过程中如需回退，则在信息CE上调整路由优先级，并在PE上改正MED使原视频指挥业务仍流经原企业链路.割接前表示图以下所示：图3。21上级企业应急指挥割接前表示图3.2。2上级企业割接方案步骤第一步：依照上级企业应急指挥割接拓扑进行设施连结，并打上临时标签，同

23、时保持上级企业视频CE与企业PE设施互联链路不动,上级企业应急指挥割接拓扑以下所示;(工程中心、会议电视割接组）图3.2-2上级企业应急指挥割接表示图第二步：参照搜资内容（割接有关设施新增的互联端口信息），在上级企业有关设施(、NE20E)视频VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例，并经过路由当地优先级控制使应急指挥业务流仍经过原企业链路,优先级越高越优，企业链路当地优先级CE1300、CE2100,改正新增链路学到的路由当地优先级为CE180CE250;企业回程路由经过aspath控制，越少越优,企业链路宣布路由的ASPATH5467354673，改正新增链路宣布路由的A

24、SPATH5467354673.在CE上做路由汇总,在省调解备调RR上做路由过滤，只发送被赞同的汇总路由至企业；（工程中心、会议电视割接组）第三步：在上级企业CE上查察VPNv4路由表，保证能看到节点应急指挥VPN的路由，改正路由优先级为CE1700CE2600、不增加ASPATH使应急指挥业务流量经过新增链路,同时测试应急指挥业务功能可否正常，如正常，则进行下一步，如不正常,则断开上级企业PE与视频CE之间链路并检查有关设施配置,重复第三步直到视频应急指挥业务功能正常；（工程中心、视频会议割接组）图3.23上级企业应急指挥割接后表示图第四步:割接达成，将临时标签换成正式标签，并规范整理新增链

25、路。(工程中心）3。2。3节点割接方案将市企业应急S5700上联到XXXX的通道割接至市企业新增CE1与CE2，使用视频VPN。以XXXX企业为例,在割接过程中如需回退，则在shutdown掉S5700至新增CE之间链路，使原信息内网业务仍经过原节点XXXX。割接表示图以下:图3。24XXXX企业应急指挥割接表示图各节点XXXX系统现有通道采用信息内网通道或许传输专线的方式,拓扑构造大概周边，在本期XXXX系统割接推行从前,各节点需将现有信息内网的XXX9508（XXXX企业为Cisco6500）连结至应急NE20，同时需保证该地域内现有的XXXX业务已汇总至S5700,才能保证应急业务割接的

26、顺利进行。节点割接步骤图3。2-5XXXX企业应急指挥割接前表示图第一步：依照节点应急指挥割接拓扑准备跳线，并打上临时标签，同时保持节点应急指挥设施(S5700）与传输骨干网链路不动，新增链路测试端口up此后，shutdown掉新增链路连结的端口,节点应急指挥割接拓扑以下所示；(各节点现场工作组、会议电视割接组）图3.2-6XXXX企业应急指挥割接表示图第二步:参照搜资内容（割接有关设施新增的互联端口信息）,找到各节点有关设施视频VPN业务所使用的端口，做出相应配置，绑定到信息VPN实例;(工程中心、各节点现场工作组、会议电视割接组）节点PE（）设施配置：3.配置互联端口地点，并绑定相应VPN实例:interfaceGigabitEthernetx/x/xipbindingvpn-instancespiipaddressx。x。4.bgp协议配置：bgp54914ipvpninstancespiaddress-familyipv4unicastpeerx。x.x。xas-number54673peerx.x。x.xallowaslooppeerx.x。x.xsubstituteaspeerx.x.x.xsoo54673:54914节点CE（）设施配置：1.配置互联端口地点,并绑定相应vpn实例:interfaceGigabitEthernetx/x/xipbindingvpn-