网络实施方案
网络实施方案
网 络 实 施 方 案 XXXX项目 XXXXXX客户
起 草 人: Project Manager 起 草 日 期: [Date Prepared]
公司机密,未经许可,请勿传播 文档编号:xxx
第1页, 共31页
网络实施方案
商业信用
声明: 该文档由杭州XX科技有限公司(以下简称“XX科技”)所提交。文档相关的信息不应被其它公 司参考引用。
文档属性
属性 客户名称 项目名称 项目编号 文档主题 文档版本 版本日期 作者 网络实施配置规划 1.0 2014-05-20 XXXX XXXX 项目网络实施方案 内容
文档变更
版本 1.0 修订日期 2014/5/17 修订人 描述 IP 地址规化修改
文档送呈
客户名称 XXXX 目的 审阅、存档
公司机密,未经许可,请勿传播 文档编号:xxx
第2页, 共31页
网络实施方案
目录
第1章项目实施计划 ......................................................................................................................................5 1.1 责任分工界面 .................................................................................................................................5 1.2 项目里程碑目标 .............................................................................................................................6 1.3 项目实施计划安排 .........................................................................................................................6 第2章网络总体规划 ......................................................................................................................................8 2.1 网络现状 .........................................................................................................................................8 2.2 新建网络设计 .................................................................................................................................8 第3章设备部署 ..............................................................................................................................................9 3.1 设备命名 .........................................................................................................................................9 3.2 端口描述 .........................................................................................................................................9 3.3 软件版本 .........................................................................................................................................9 3.4 槽位部署 .......................................................................................................................................10 第4章网络连接 ............................................................................................................................................11 4.1 端口分配原则 ............................................................................................
...................................11 4.2 端口分配列表 ...............................................................................................................................11 第5章 IP地址和VLAN分配 ..........................................................................................................................12 5.1 IP地址分配原则 .............................................................................................................................12 5.2 IP地址整体分配 .............................................................................................................................12 5.3 管理地址 .......................................................................................................................................12 5.4 互联地址 .......................................................................................................................................12 5.5 业务地址 .......................................................................................................................................13 5.6 VLAN划分........................................................................................................................................13 5.7 端口划分 .......................................................................................................................................13 第6章路由协议部署 ....................................................................................................................................15 6.1 OSPF设计 ........................................................................................................................................15 第7章局域网部署 ........................................................................................................................................16 7.1 设备接口聚合 ...............................................................................................................................16 7.2 VRRP规划 ........................................................................................................................................16 7.3 MSTP 规划 .....................................................................................................................................17 7.4 VRRP与MSTP...................................................................................................................................17 第8章安全规划 ............................................................................................................................................19
公司机密,未经许可,请勿传播 文档编号:xxx
第3页, 共31页
网络实施方案
8.1 网络安全原则 ...............................................................................................................................19 8.2 设备安全 .....................................................
..................................................................................19 8.3 业务安全 .......................................................................................................................................21 第9章项目验收标准 ....................................................................................................................................22 9.1 测试验收表 ...................................................................................................................................22 9.2 测试内容 .......................................................................................................................................25 第10章 H3C工程安装规范一览表 ..............................................................................................................31 第11章设备配置脚本 ..................................................................................................................................32
公司机密,未经许可,请勿传播 文档编号:xxx
第4页, 共31页
网络实施方案
第1章 项目实施计划
1.1 责任分工界面
项目实施主要参与者为各厂商、展望科技和客户。具体责任分工界面为: 工程进展 1.工程准备阶段 项目组筹备 /工程规划 工程环境调查 工程准备阶段 产品到货 签收 安装环境准备:网 络准备/系统准备 2.工程实施阶段 网络准备 应急计划准备 应急及备份 所有产品 提起安装申请 安装批准 安装/调试 工程文档 3.工程验收阶段 验收文档准备 工程验收 验收 验收文档提交 验收签署 4.试运行~终验 初验 初验完成 ~试运行 终验后 主要责任(安全系统 日常运营维护) 主要责任(系统运营 维护) 主要 责任(技术 支 持) 参与(技术支持) 主要责任(技术支 持) 参与(技术支持) 参与 参与 参与 主要责任 主要责任 主要责任 主要责任 参与 主要责任 参与 参与 参与 主要责任 参与(提供访问控制 关系) 参与 参与 参与 主要责任 参与 主要 责任(具体 实 施、总体协调) 主要责任 参与 主要责任 主要责任 参与 参与 主要责任(提供技 术支持) 参与 主要责任 参与 主要责任 主要责任 主要责任 参与 主要责任 参与 参与 参与 参与 参与 参与 参与 客户 集成商 厂商
终验
公司机密,未经许可,请勿传播 文档编号:xxx
第5页, 共31页
网络实施方案
1.2 项目里程碑目标
2014年x月x日前完成项目建设各个阶段及各项建设内容的方案制定,完成硬件设备和软件系统 的供货、安装、配置、调试、测试、总体联调、试运行、验收,直至系统正式运行。制定明确的培 训范围、培训内容和培训计划。在用户单位合适的时间内完成对用户现场管理培训、原厂商培训的 范围和内容,并保
证有足够的人力和物力确保系统安全稳定的运行。
1.3 项目实施计划安排
根据整个工程的网络覆盖及网络技术要求,我们拟出工程实施进度安排如下表: 实施阶段 实施步骤 1 2 一、项目准备 3 4 5 6 7 二、设备调试 8 9 10 11 三、试运行及调优 四、验收 13 14 实施内容 时间范围
1.4 项目成员
公司机密,未经许可,请勿传播 文档编号:xxx
第6页, 共31页
网络实施方案
单位名称
姓名
职务 信息部主管
电话
信泰人寿
技术负责人 技术负责人 项目经理 销售负责人
杭州展望
技术负责人 实施人员 实施人员
公司机密,未经许可,请勿传播 文档编号:xxx
第7页, 共31页
网络实施方案
第2章 网络总体规划
2.1 网络现状
原组网图如下:(略)
现网存在如下问题: 1. 2. 3. 4. 5. 结构混乱,没有层次,不利于统一管理; 使用静态路由,维护工作量大,网络扩展性差; 核心设备没有冗余,存在单点故障风险; 广域网带宽不足,无法满足日益增长的业务需求。 ……
2.2 新建网络设计
新网络拓扑如下:(略)
新建网络有如下优点: 1. 2. 3. 4. 结构整齐,层次清晰,便于管理。 采用动态路由协议,维护简单,扩展性好; 新增一台核心设备,实现了设备级的冗余,网络健壮性提高; 每个节点新增 1 条广域网线路,带宽提高,实现了线路冗余;
公司机密,未经许可,请勿传播 文档编号:xxx
第8页, 共31页
网络实施方案
第3章 设备部署
3.1 设备命名
按下列规则正确设置主机名: 设备局点和级别-设备厂商名称-设备型号-设备序列号(1、2、3 等) 序号 1 部署地点 北海 设备层次 核心 厂商 H3C 设备型号 S9512 设备序号 01 设备命名 BHCore-H3C-S9512-01
3.2 端口描述
为便于识别和维护,定义 VLAN 和 VLAN 端口、物理端口描述的规则如下: 交换机之间互联用 VLAN、VLAN 接口的描述规则为:
TO:设备名称_端口编号_V+VLAN ID 例如:本 VLAN 连接北海核心交换机 01 的 GE1/1 端口,VLAN 号是 100,描述为: TO:BHCore-H3C-S9512-01_GE1/1_V100。 交换机连接服务器或者用户的 VLAN 及 VLAN 接口的描述为:
TO:服务器名或用户组名 例如:本 VLAN 连接工程部用户,描述为: TO:Engine_user。
3.3 软件版本
序号 1 2 3 设备名称 软件版本
公司机密,未经许可,请勿传播 文档编号:xxx
第9页, 共31页
网络实施方案
3.4 槽位部署
S9512E交换机: 设备型号 槽位号 0 1 2 3 4 5 S9512E 6 7 8 9 10 11 12 13 NAT 业务处理卡 48 端口千兆以太网电接口业务板 S9512E 交换路由处理板 S9512E 交换路由处理板 24 端口千兆以太网光接口业务板 12 端口千兆以太网光接口业务板 板卡名称 板卡型号
公司机密,未经许可,请勿传播 文
档编号:xxx
第10页, 共31页
网络实施方案
第4章 网络连接
4.1 端口分配原则
在XXXXX网络系统中,网络连接中设备端口的分配遵循以下原则: 在核心或者汇聚设备上,连接到核心的上行设备根据端口编号从高到低分配,主备互联的 平行设备也根据编号从高到低向前分配 在核心或者汇聚设备上,从核心连接下行的汇聚或接入的设备,其端口的分配从低到高依 次分配 互联的端口均采用光口,不采用电口
4.2 端口分配列表
序号
主机名/槽位/子槽/端口 Host/slot/sub-slot/interface
对端设备(Side B)
端口 Interface
1 2 3 4 5 6 7 8 9 10 11 12 13
对端 Host/设备描述
左侧 slot0~3 slot0 预留 slot1 预留 slot2 预留 slot3~LSRM2GT24LEB1 slot7~LSRM1GP48LEB1
slot8 预留 slot9 预留
公司机密,未经许可,请勿传播 文档编号:xxx
第11页, 共31页
网络实施方案
第5章 IP地址和VLAN分配
5.1 IP 地址分配原则
IP地址的基本原则如下: 掩码选择
loopback地址使用32位掩码,互连地址使用30位掩码,业务IP地址采用24位掩码 地址分配顺序
每个业务网络分配到的B类地址的最后5个C类地址可以用来做互联地址和二层设备的管理VLAN 地址同类设备互连,第一个C类地址作为Loopback地址的网段。
5.2 IP 地址整体分配
区域 业务网 OA 网 地址段 172.16.0.0 172.17.0.0 掩码 16 16
5.3 管理地址
设备的管理地址(即 loopback 地址)使用 192.168.10.0/24 网段。 序号 1 2 3 设备名称 BHCore-H3C-S9512E-01 管理地址 192.168.10.1 掩码 32
5.4 互联地址
5.4.1 广域网互联地址 广域网设备的互联地址使用 172.16.0.0/16 网段。
公司机密,未经许可,请勿传播 文档编号:xxx 第12页, 共31页
网络实施方案
序号 1 2
本端设备 BHWAN-H3C-SR8812-01
本端地址 172.16.0.1
对端设备 CKWAN-H3C-SR8812-01
对端地址 172.16.0.2
掩码 30
5.4.2 局域网互联地址 局域网设备的互联地址使用 172.16.1.0/16 网段。 序号 1 2 3 本端设备 BHCore-H3C-S9512-01 本端地址 172.16.1.1 对端设备 BHCore-H3C-S9512-02 对端地址 172.16.1.2 掩码 30
5.5 业务地址
业务地址使用 10.0.0.0/8 网段。 序号 1 2 3 业务部门 财务部 工程部 地址段 10.0.0.0 10.0.1.0 掩码 24 24
5.6 VLAN 划分
保留 VLAN:1-99 互联 VLAN:100-199 财务部 VLAN:200-299 工程部 VLAN:300-399
5.7 端口划分
公司机密,未经许可,请勿传播 文档编号:xxx
第13页, 共31页
网络实施方案
本端设备 设备名称 端口 编号 端口类型 1G(SFP,LC) 1G(SFP,LC) 设备名称
对端设备 端口 编号 端口类型 1G(SFP,LC) 1G(SFP,LC) 说明
VLAN100 VLAN101
公司机密,未经许可,请勿传播 文档编号:xxx
第14页, 共31页
网络实施方案
第6章 路由协议部署
本次网络规划建议全网采用OSPF,并与静态路
由相结合。
6.1 OSPF 设计
6.1.1 OSPF 区域划分 由于 XX 公司总部和各分公司每一个局域网设备数量不多(30 台以下),每个局域网只需划分 一个 Area 0 便可以满足需求,将相关接口全部加入 OSPF 区域 0,OSPF 的进程号统一设置为 1。 6.1.2 OSPF Router-id 设置 OSPF 需要使用唯一的 Router ID 标识每一台路由器,建议相关网络设备的 Loopback 地址作为其 OSPF Router ID。 6.1.3 OSPF Cost 设置 同层次设备名字段末位为 01 的交换机的上下行线路接口的 COST 值为默认值(10),设备名字 字段末位为 02 的交换机的上下行线路接口的 COST 值为 1000, 以保证在正常情况下报文由设备名字 字段末位为 01 的设备进行转发,在主用路径失效的情况下再走备份路径。 如下图所示:(图略)
公司机密,未经许可,请勿传播 文档编号:xxx
第15页, 共31页
网络实施方案
第7章 局域网部署
XXXXX每个业务网段的接入交换机和核心交换机间为二层交换网络,并有链路的冗余,出现了 二层环路,所以在接入交换机和核心交换机间启用MSTP协议。其中,作为VRRP主网关的核心交换 机配置为首选根桥(Primary),作为VRRP备份网关的核心交换机配置为备份根桥(Secondary),所有负 责终端接入的电接口启用边缘端口、BPDU保护。
7.1 设备接口聚合
链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务 的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 在XXXX两台核心交换机启用链路聚合功能,链路聚合可以实现出/入负荷在聚合组中各个成员 端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可 靠性。 采用动态聚合模式
7.2 VRRP 规划
为了保障业务网关的备份,在核心交换机上开启 VRRP 协议。保证核心交换机上的业务负载均 衡 , 对 于 不 同 的 VLAN , 由 不 同 的 核 心 交 换 机 设 置 为 主 交 换 机 。 业 务 网 段 的 网 关 配 置 在 XXXX_Core_S7503E_FW1 上,非业务网段配置在 XXXX_Core_S7503E_FW2 上。 XXXX_Core_S7503E_FW1 和 XXXX_Core_S7503E_FW2 之间建立 VRRP 主从关系。主设备的 VRRP 优先级设置为 120,从设备的 VRRP 优先级设置为 100。 VRRP 配置规划表如下: VLAN ID VLAN 应用 XXXX_Core_S7503E_FW1 XXXX_Core_S7503E_FW2 VRRP 虚地址
公司机密,未经许可,请勿传播 文档编号:xxx
第16页, 共31页
网络实施方案
7.3 MSTP 规划
为防止网络产生冗余链路,需配置STP协议来消除二层环路。考虑到 STP不能快速迁移,即使是 在点对点链路或边缘端口(边缘端口指的是该端口直接与用户终端相连,而没有连接到其它设备或 共享网段上),也必须等待2倍的Forward Delay的
时间延迟,端口才能迁移到转发状态。 RSTP可以快速收敛,但是和STP一样存在以下缺陷:局域网内所有网桥共享一棵生成树,不能按 VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。因此,本次 STP配置推荐使用 MSTP。MSTP由IEEE制定的802.1s标准定义,它可以弥补STP和RSTP的缺陷,既可以快速收敛,也能 使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。 楼层所有设备属于同一个MST域,根据VRRP的主备方式,MST域里分为两个instance ,分别为 instance1 (主要针对业务VLAN) instance2 (主要针对非业务VLAN) , XXXX-S7503E-S-1, XXXX-S7503E-S-1 直接与接入交换机之间的MSTP规划: 共分 2 个 Instance: Instance1:指定根交换机为 XXXX-S7503E-S-1,备份根交换机为 XXXX-S7503E-S-1,包含 VLAN 2、VLAN 3、VLAN 4、VLAN 12、VLAN 13 Instance2:指定根交换机为 XXXX-S7503E-S-2,备份根交换机为 XXXX-S7503E-S-1,包含 VLAN 5、VLAN 6、VLAN 7、VLAN 8、VLAN 9、VLAN 10、VLAN 11、VLAN 14、VLAN15、VLAN 16、VLAN 17、VLAN 18、 VLA N 100、VLNA 200; 在接入交换机同样需要进行相应的 mstp instance 映射。
7.4 VRRP 与 MSTP
7.4.1 VRRP 与 MSTP 的规划 VRRP作为一种容错协议, 它保证当主机的下一跳设备出现故障时, 可以及时的由另一台设备来 代替,从而保持通讯的连续性和可靠性。两台设备配置VRRP,其中一台为Master,一台为Slave,两 台设备对应一个Virtual IP。 生成树协议用于防止数据链路层由于冗余链路的连接而产生的以太网环路, 从而避免广播风暴 的发生。在各个大网的网关处部署MSTP,可以 MSTP中的根桥设备与VRRP中Master设备保持一致。 同时一个MSTP的实例对应一个或多个业务Vlan,实例一对应设备的管理Vlan。 每个业务网的接入交换机和汇聚交换机间为二层交换网络, 并有链路的冗余, 出现了二层环路, 所以在接入交换机和汇聚交换机间启MSTP协议。其中,作为VRRP主网关的汇聚交换机配置为首选 根桥(Primary),并在相应的端口上启用根保护和TC攻击保护功能,防止网络震荡的产生;作为VRRP
公司机密,未经许可,请勿传播 文档编号:xxx 第17页, 共31页
网络实施方案
备份网关的汇聚交换机配置为备份根桥(Secondary),并在相应的端口上启用TC攻击保护功能;接入 层交换机上连汇聚交换机的端口启用环路保护功能和TC攻击防范功能,所有负责终端接入的电接口 启用边缘端口、BPDU保护和TC攻击保护功能。其配置和工作状态如下图所示:
MSTP 配置及工作状态图
所启用的各种保护功能的作用如下: 根保护:防止网络中恶意攻击或误用造成根桥改变而重新计算,引起网络中断; BPDU 保护:有效防
止了接入端口私自添加交换机或 HUB 对网络造成的震荡; 环路保护: 在网络出现短暂拥塞无法正常接收 BPDU 时, 防止 Blocking 端口状态转变为 Forwarding, 形成环路; TC 攻击保护:针对网络中恶意的 TC 攻击报文,防止交换机频繁删除 ARP 表和 MAC 地址表。
公司机密,未经许可,请勿传播 文档编号:xxx
第18页, 共31页
网络实施方案
第8章 安全规划
8.1 网络安全原则
网络安全是XXXX网络系统项目建设中非常重要的一环,网络安全设计原则如下: 设备安全
主要指核心骨干交换机及各个业务网的设备安全。只有经过认证的用户才能访问系统中的设 备,以防止非授权用户对网络设备的恶意攻击。 业务安全
通过路由加ACL的方式实现网络层面的安全防护,防止不信任应用之间的互访。要实现全面的 安全防护,还需要通过安全专用设备(防火墙、IDS等)实现应用层面的保护。
8.2 设备安全
只开放必要的网络服务
网络设备可以提供很多网络服务,有些服务可能成为网络攻击的对象。为了提供网络设备的安 全级别,尽可能关闭不必要的服务,降低网络攻击的风险。
用户认证
用户认证应采用集中认证和本地认证相结合的方式,集中认证为主要认证方式,本地认证为备 份认证方式,在集中认证服务器无法访问的情况下使用本地认证。 集中认证采用Radius认证协议,在Radius服务器上建立设备管理用户,通过单一用户便可以实 现全网设备的统一管理。同时在设备上建立本地用户数据库,可在Radius服务器不可用的情况下, 使用本地数据库进行验证。 在VTY和Console接口上启用用户认证,认证方式为集中认证和本地认证相结合。
Telnet 接入安全
Telnet是对网络设备进行管理的主要手段,可以对设备进行最为有效的操作,为了确保 Telnet 访问的合法性和安全性,我们需要注意: (1)设置最大会话连接数;
公司机密,未经许可,请勿传播 文档编号:xxx 第19页, 共31页
网络实施方案
(2)设置访问控制列表,限制Telnet的连接请求来自指定的源IP网段; (3)尽量用SSH代替Telnet,采用SSH的好处是所有信息以加密的形式在网络中传输。
SNMP 安全
通过SNMP我们可以对设备进行全面的日常管理,为了提高SNMP管理的安全性,需要应注意以 下几点: (1)避免使用缺省的snmp community,设置高质量的口令; (2)不同区域的网络设备采用不同的snmp community; (3)把只读snmp community和可读写snmp community区分开来; (4)配置ACL来限制能够通过SNMP访问网络设备的网管服务器的IP地址。
日志记录
为了能够对整个XX网络系统设备进行监控和故障信息记录,需要
记录网络设备的运行状态。日 志记录主要包括以下内容: (1)收集网络设备的SYSLOG; (2)设置SYSLOG Server(通常位于网管工作站上)用于收集所有网络设备的SYSLOG; (3)所有的SYSLOG可以送到专门的事件管理服务器上,进行事件的压缩、关联和分析,有利 于更好的故障定位和处理。 (4)收集SNMP Trap,通过网管工作站收集网络设备的SNMP Trap信息,便于及时的故障处理; (5)收集用户操作记录,通过AAA服务器,对用户进行认证、授权和行为跟踪,并产生相应 的日志报告,以供安全审计。
路由协议安全
路由协议的安全主要指邻居关系的可靠建立和路由信息的安全交换,此网络项目中主要涉及 BGP和OSPF两种路由协议,通过启用它们的安全验证功能,可以提高网络中路由协议的安全性。 (1)BGP路由验证(必要) 核心骨干网与各个业务网核心的eBGP邻居关系,应该使用MD5密码验证,保证BGP邻居关系的 合法建立,提高BGP路由交换的安全性。 (2)OSPF路由验证(必要)
公司机密,未经许可,请勿传播 文档编号:xxx
第20页, 共31页
网络实施方案
在OSPF进程上都启用基于Area的MD5验证, 保证OSPF邻居关系的合法建立。 OSPF路由验证的配 置方法为在OSPF区域视图下authentication-modemd5。
访问控制
为了防止局域网对广域网设备的非法访问, 在广域区交换机与局域网相连的端口上应用入方向 的ACL访问控制,只允许运行管理区的特定主机可以访问广域网设备,其他的一概不能访问。
路由隔离
由于各个业务网都能访问到数据中心网,而各个业务网之间是相互隔离的,因此需要在各个业 务网的核心设备上开启路由隔离,防止各个业务网的设备间互相学习路由,从而禁止相互访问。
端口组播/广播抑制
当网络中因为某种因素出现广播风暴或者较多组播报文时,这些报文的泛滥会造成端口的阻 塞,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。我们可以 设置各个业务网交换机的端口或VLAN广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。
8.3 业务安全
网络层面
ACL的缺省规则应该为deny,开放的访问需要通过手工添加permit规则,以防止可能产生的安 全漏洞。
应用层面
ACL控制只能实现网络层面的防护,并不能识别应用层的数据,要实现全面的安全防护,还需 要借助于专用的安全设备。
高级的业务安全控制
端口安全:根据用户的网络安全特性,在可维护性和网络安全性之间选择平衡点;设备端口在 接入用户之前处于关闭状态;端口使能Port-security功能,限定用户接入位置
公司机密,未经许可
,请勿传播 文档编号:xxx
第21页, 共31页
网络实施方案
第9章 项目验收标准
9.1 测试验收表
测试项目
1.1 网络设备 1.1.1 启动测试 1.1.2 状态检查 1.1.3 配置检查 1.1.4 端口检查 1.1.5 物理检查 3.2 性能指标 1.2.1 带宽测试 1.2.2 利用率测试 1.2.3 吞吐量测试 1.2.4 延迟测试 3.3 网络容错性 1.3.1 设备单点故障测
设备验收 测试
√ √ √ √ √ √
测试结果 OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT
竣工验收 测试
测试结果
移交运行 测试
测试结果
√ √
OK POK NG NT OK POK NG NT
√ √ √ √ √ √ √
OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT
√ √ √ √ √ √ √
OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT
公司机密,未经许可,请勿传播 文档编号:xxx
第22页, 共31页
网络实施方案 试 1.3.2 网络单点故障测 试 1.4 网络连通性 1.4.1 链路连通性 1.4.2 链路冗余 1.5 网络可用性和稳定 性 1.5.1 网络可用性测试 1.5.2 网络稳定性测试 1.6 网络安全性 1.6.1 访问控制和过滤 测试 1.7 设备可管理性 1.7.1 故障诊断 1.7.2 故障恢复 1.8 网络功能 1.8.1 分行应用测试 1.8.2 支行应用测试 1.8.3 VLAN 功能测试 1.8.4 路由备份 √ √ √ √ √ √ √ √ √ √ √
√ √ √ √
OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT
√ √ √ √ √ √ √ √ √ √ √ √ √ √
OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT OK POK NG NT
√
OK POK NG NT OK POK NG NT
第23页, 共31页
公司机密,未经许可,请勿传播 文档编号:xxx
网络实施方案 1.9 网管功能测试 1.9.1 可用
性测试 注:本测试项目中的编号为本标准相应层次编号。
√
OK POK NG NT
√ √
OK POK NG NT OK POK NG NT
结论表示方式: OK:测试结果全部正确 POK:测试结果大部分正确 NG:测试结果有较大的错误 NT:由于各种原因本次无法测试
公司机密,未经许可,请勿传播 文档编号:xxx
第24页, 共31页
网络实施方案
9.2 测试内容
9.2.1 网络设备 测试目的是验证设备质量和配置是否合格。对每一台网络设备,均需进行如下所列的测试项目。 启动测试 冷启动 对单个设备两次开关电源,观察能否正常启动。有冗余电源配置的设备,在切断冗余电源的情况下, 断开和闭合主电源,观察能否正常启动;在切断主电源的情况下,断开和闭合冗余电源,观察能否 正常启动。 热启动 单个设备正常启动后,用该产品的热启动命令进行热启动测试,观察能否正常启动。 状态检查
一般设备都有电源和每个物理端口的指示灯, 配合相应产品的说明书, 检查设备的指示灯是否正常。 一台设备状态正常必须是所有指示灯正常。 配置检查
用被测产品的相应命令检查网络设备的硬软件配置,特别注意软件版本。如显示的信息符合设备合 同的要求及与产品说明一致,即为正常。 端口检查
用被测产品的相应命令检查网络设备中端口配置,并用网络测试设备对端口进行速率、校验机制等 进行测试。如测试结果符合设备合同的要求及与产品说明一致,即为正常。 物理检查
对设备进行检查,应记录网络设备(对模块结构的设备,还包括独立部件)出厂编号、产地、出厂 日期等内容,与合同和产品说明一致为正常。 9.2.2 网络性能指标 测试目的是获取网络运行基本指标,以评判网络性能指标是否正常和达到设计要求。应测试网络带 宽、利用率、吞吐量、精确度、延迟等指标。 带宽测试
公司机密,未经许可,请勿传播 文档编号:xxx
第25页, 共31页
网络实施方案
应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等进行可用带宽测试。测试结果达到良 好、一般为合格。与设计带宽一致即为正常。以太网指标如表1所示。在双链路和负载均衡情况下, 可用带宽应为单链路的1.8倍以上。 表1 以太网可用带宽指标 单位(Mb) 以太网类型 千兆端口间 百兆端口间 利用率测试 良好 ≥800 ≥80 一般 500至800 50至80 差 ≤500 ≤50
网络带宽利用率测试 应采用专用网络测试设备对网络的骨干层、汇聚层、接入层等进行带宽利用率测试。以 24h为一个 周期,分网段采用专用的网络测试设备进行网络带宽利用率测试抽查,每隔1min为一
个统计点,并 作好记录。要求测试最大利用率/流量、最小利用率/流量、平均利用率/流量; 网络带宽利用率=实际占用带宽/总设计带宽。平均利用率指标达到良好、一般为合格; 以太网平均利用率指标:0至20%范围内,网络状况良好;20%至40%范围内,网络状况一般;超过 40%,网络状况较差。 吞吐量测试
在网络利用率最低和最高的时间段, 采用FTP工具从网络中心的FTP SERVER下载和上传文件方法进行 测试。文件的脚本分两类。一类为单个容量为100MB至1000MB的大文件,另一类为同等容量的一批 1KB至10KB左右的小文件。在三种不同的环境下进行测试: 第一种:在网络中心的两台工作站上做点到点的FTP测试,测试同一网段内的吞吐量,并记录FTP的 时间; 第二种:在不同网段的工作站上做同样的FTP测试,测试跨网段的吞吐量,并记录FTP的时间; 第三种:在支行上的工作站上做同样的FTP测试,并记录FTP的时间。 分析三次的结果是否稳定、正常。并作好记录(着重记录传输时间); 吞吐量=传输文件容量/传输时间。对于以太网,在网络利用率低的情况下,上传的吞吐量指标大于 等于总带宽的60%为合格,下传的吞吐量指标大于等于总带宽的40%为合格。对于IP广域网,以专线 (物理、虚拟)方式组网,吞吐量指标大于等于专线带宽的80%为合格。 延迟测试
主要测试数据包往返耗时,应做三项测试。这三种测试,对于64Byte、和1518Byte、5000 Byte每种 大小的数据包,各发送100个,测试并记录其平均延迟时间: 第一种是跨骨干的交换机之间的PING测试;
公司机密,未经许可,请勿传播 文档编号:xxx
第26页, 共31页
网络实施方案
第二种是跨骨干的工作站间的PING测试; 第三种是广域网上的工作站间的PING测试; 对于第一、二种测试,平均延迟时间正常值范围为: 对于64Byte的包,延迟时间小于2ms,网络状况良好,2ms至5ms之间,网络状况一般,大于5ms网 络状况较差; 对于1518Byte的包,延迟时间小于5ms,网络状况良好,5ms至10ms之间,网络状况一般,大于10ms 网络状况较差。延迟值相对稳定,波动小; 对第三种测试,以2M带宽为例,延迟时间在15ms以下,每跨过一个设备路由器,增加1.5ms。延迟 时间值=15ms+n*1.5ms,其中n为跨过的广域网设备的个数,不计传输时延。总延迟不得超过30 ms。 9.2.3 网络容错性 设备单点故障测试
模拟设备单点故障环境,检测对网络运行的影响。 电源容错
对于冗余电源配置的设备,要测试电源的冗余情况。在测试时关掉主电源,看能否正常工作;之后, 让关掉的电源重新上电;再关掉另一个冗余电源,看能否正常工作。同
时运行典型应用系统,观察 应用系统能否正常持续提供服务。 模块容错
多种网络设备的模块有冗余功能,如交换机上可插两块引擎,平时只有一块处于工作状态,另一块 备用,处在监视状态。试用被测产品的相应命令使工作模块DISBALE(模拟故障),测试另一模块是 否立即开始启动工作,记录切换时间和网络恢复时间。同时运行典型的原有应用系统,观察应用系 统能否正常持续提供服务。同时采用专用网络测试仪器检测网络能否正常提供服务。 网络单点故障测试
模拟设备、链路等故障环境,检测对网络运行的影响。 设备故障
在有设备冗余并设置好设备热备份的地方,人为使主设备产生模拟故障,用被测产品的相应命令检 查备用设备是否启动,并且记录切换时间和网络恢复时间;重新正常启动原主设备,用被测产品的 相应命令检查该设备是否启动并切换回来,并且记录切换时间和网络恢复时间。同时运行原有典型 的应用系统,观察应用系统能否正常持续提供服务,否则记录服务中断后到恢复正常的时间,分析 中断服务的原因。 链路容错
公司机密,未经许可,请勿传播 文档编号:xxx
第27页, 共31页
网络实施方案
在有链路冗余的网络中,切断当前工作链路,用被测产品的相应命令检查备用线路是否启动,并且 记录切换时间; 重新连通被切断的链路, 用被测产品的相应命令检查工作线路是否启动并切换回来, 并且记录切换时间和网络恢复时间。同时运行原有典型的应用系统,观察应用系统能否正常提供服 务,否则记录服务中断后到恢复正常的时间,分析中断服务的原因。 9.2.4 网络连通性 链路连通性
应做两项测试,只有两项测试都合格,链路连通性测试才合格: 在测试用工作站上运行Telnet程序,连到待测试的设备上,用设备的相应命令,查看各个实际上物 理链路连接的端口是否正常。必须看到端口正常和协议正常才为链路连接正常; Ping 对方端口的IP地址。分别PING 1000次64、1518字节的包,对于以太局域网成功率应在99.8%以 上,对于广域网成功率应在99.5%以上,且无连续二次以上的“Time out”信息为正常。 链路冗余
环形链路 在存在环形链路的以太网中,对于采用生成树保证链路冗余的网络,在测试用工作站上运行 Telnet 程序登录到相应网络设备上,通过该设备的相应命令检查生成树连接是否准确完整、是否有明确的 断点,检查生成树的重算次数以确定网络是否稳定;用切断某条链路的方法断开环,检查生成树的 重算次数以确定网络是否稳定,待网络达到稳定后,测试网络的连通性并记录收敛时间;
重新合上 被切断的链路,检查生成树的重算次数以确定网络是否稳定,测试网络的连通性并记录收敛时间。 对每个环测一次。 路由备份方式下的链路冗余
在两个网络结点间切断主链路,测试备份链路连接是否正常及收敛时间、丢包数。 负载均衡方式下的链路冗余
在两个网络结点间切断任一条链路,测试连接是否正常及收敛时间、丢包数。允许PING包在短时间 内没有回音,但在15s内要求恢复。
网络可用性和稳定性
以试运行期间运行日志的数据为依据计算网络运行可用率。设备可用率、网络可用率应达到设
计指标; 网络实际运行时间指网络无故障运行时间(除去计划检修时间)。设备故障和链路故障均计入 故障时间;当分支系统出现故障时,系统的故障时间按1/(分支数+1)计;由于传输网络而出现的 故障时间不计入; 网络总运行时间指网络试运行至测试时的自然时间。
公司机密,未经许可,请勿传播 文档编号:xxx 第28页, 共31页
网络实施方案
9.2.5 网络稳定性测试 以试运行期间的运行数据进行评判。应给出连续试运行无故障时间和故障时间及次数; 在测试期间,网络系统必须连续试运行(7*24)h以上无故障情况的发生,特别是不会出现网络中 断的情况。在测试过程中,网络系统上必须运行相应的应用或者模拟的应用,必须有相当的负荷量。 9.2.6 网络安全性 从VLAN、设备配置保护、产品安全等方面进行测试。 访问控制和过滤测试
访问控制测试:根据产品说明书,检查网络产品是否支持访问控制列表的使用。若支持,则测试若 干访问列表项,如该产品根据测试要求进行了访问控制,则为正常; 过滤测试:测试是否支持基于TCP port、UDP port、ICMP的过滤。 9.2.7 设备可管理性 该测试所指设备可管理性主要指设备的配置是否简单,一般故障的诊断是否智能化,故障的恢 复是否较为容易等。从设备配置简单、故障恢复、故障诊断等方面进行测试。本地网络管理、远地 网络管理、通过串口管理或者其他维护接口的带外管理,和通过网络传输信道的带内管理。 设备配置
选用的网络产品是否可用多种方式进行配置,如WEB方式、命令行方式、远程配置等。 故障诊断
人为对设备进行故障设置,如拔去某一块接口卡,观察设备的指示灯、控制口输出、扬声器等是否 有相应的提示或说明,其提示或说明是否正确。 故障恢复
对硬件的故障一旦恢复(如修复接口卡后重新插入),观察设备的指示灯、控制口输出、扬声器等 是否有相应的提示或说明,其提示或说明是否正确;网络设备操作系统是否能方便地从异地备份 (T
XT文件、FLASH卡等)中恢复。 9.2.8 网络功能 分行应用测试
通过分行的应用程序访问服务器。测试是否正常使用 支行应用测试
通过支行的应用程序访问服务器。测试是否正常使用
公司机密,未经许可,请勿传播 文档编号:xxx 第29页, 共31页
网络实施方案
VLAN 功能测试
VLAN隔离功能采用两种方法测试: 在隔离的虚网间进行互相的访问操作(如PING),如不能PING通,即为正常; 在一个VLAN中发一组广播数据,在非该VLAN的工作站中进行监测,如未收到该数据,则VLAN功能 正常; 测试各VLAN内网络利用率、碰撞率、差错率、广播量、延迟等指标。 路由备份
在设备与软件到位的情况下, 如已设置了局域网路由备份, 则可将正常工作的设备/路由模块关机或 设置成故障,检测备份设备/备份路由是否正常启动并开始工作。记录网络恢复正常时间。 9.2.9 网管功能测试 配置管理
通过测试明确网络管理软件能实现的网络配置功能。测试应针对不同的配置管理对象进行。 系统拓扑自动发现,检查拓扑能否自动生成; 拓扑自动层次化功能; 设备配置/功能修改; 拓扑刷新和探测间隔时间设定; VLAN配置; 新设备的配置。
公司机密,未经许可,请勿传播 文档编号:xxx
第30页, 共31页
网络实施方案
第10章 H3C工程安装规范一览表
序号 1 环境规范 2 室内洁净度:设备表面无可见灰尘 类别 项目 室 内 温 度 22 ℃ ±2 ℃ 、 湿 度 50%Rh±5%Rh 不符合规范可能造成的危害 温度过高或过低可能导致元器件发生物理损坏 灰尘会造成接插件的接触不良、 发热元件的散热 效率降低、绝缘破坏,甚至造成击穿;灰尘还会 增加机械磨损, 尤其对驱动器和盘片, 灰尘不仅 会使读出、 写入信息出现错误, 而且会划伤盘片, 甚至损坏磁头。
3
4 5 6 7 8 9 10 11 12 硬件规范
设备供电插座采用有保护地线(PE) 无保护地线或保护地线不接地的插座容易导致 的单相三线电源插座,且保护地线 供电问题,给人体、设备带来安全隐患。 (PE)可靠接地。 设备不接地或接地不良, 可能危害人体、 设备安 设备、机柜、防雷器等是否接地良 全、 不利于防止雷电和浪涌对设备的打击、 不利 好? 于消除电磁干扰等。 室外走线应为光纤、屏蔽双绞线或加 不使用光纤、 屏蔽双绞线或加装金属套管可能将 装金属套管 雷电引入室内。 同一机房内的设备应进行等电位连 不进行等电位连接可能会使部分低电位设备受 接 到雷电和浪涌的冲击时损坏。 设备深度大于 36cm, 高度大于 1U 的 可能导致设备下垂,机箱变形,内部电路损坏。 设备应安装支撑件支撑设备重量 设备的左右前
后保证大于 10CM 的散 空间太小可能影响散热,导致设备性能出现问 热空间 题。 线缆应捆扎整齐,电源线和信号线应 线缆未捆扎或捆扎不整齐影响外观, 电源线和信 分开布放 号线不分开布放可能导致型号干扰。 设备、信号线、电源线应粘贴标签 不粘帖标签可能导致后期维护不便。 室外安装设备应满足防霉、防潮、防 不满足容易导致设备故障或设备寿命缩短。 腐蚀、防尘、散热要求 设备应远离电梯、 高压电缆、 变压器、 靠近强电设备易受到干扰 电动机等强电设备
公司机密,未经许可,请勿传播 文档编号:xxx
第31页, 共31页
网络实施方案
第11章 设备配置脚本
公司机密,未经许可,请勿传播 文档编号:xxx
第32页, 共31页