1、XX 網(wǎng)絡割接方案1、公司網(wǎng)絡建設總體要求工程概況的瓶頸和問題，真正實現(xiàn)全公司一張網(wǎng)的網(wǎng)絡建設絡布局，公司在2014 年啟動了網(wǎng)絡建設建設工作。100 個站點的2016 1 月，XX 10GE 鏈路為主、覆蓋全公司系統(tǒng) 100 個節(jié)點的高速數(shù)據(jù)通信絡平臺，實現(xiàn)了核心區(qū)域網(wǎng)狀連接、各區(qū)域內雙星型上聯(lián)的網(wǎng)絡架構。MPLS MPLS VPN 組網(wǎng)技術，各個業(yè)VPN 中隔離運行，通過路由策略和QoS 進行區(qū)分。VPN 中運行。割接原則一、安全第一原則本次割接技術難度大，原有網(wǎng)絡結構將發(fā)生巨大變化，風險大，所有方案和操作要安全第一，先易后難、先試點再推廣、先一般業(yè)務再重要業(yè)務。二、方便回退原則回退。三、

2、提前準備原則IP 處理問題和驗證業(yè)務的時間。四、分工協(xié)作原則本次割接難度大，任務重，風險高，需要各單位組密切配合，共同完成。2、公司網(wǎng)絡現(xiàn)狀XX公司網(wǎng)絡建設改造方案圖 1.1XX 公司網(wǎng)絡建設網(wǎng)絡架構建成后的XX公司網(wǎng)絡建設采用MPLS VPNVPN XX IMS 業(yè)務將逐步過渡到網(wǎng)絡建設。網(wǎng)絡現(xiàn)狀2 15 2 XX 設備作為核心設備，XX 1 XX 2 XX XX 1 622M 鏈路+1 155M 鏈路和公PE 1 155M XX PE 設備互聯(lián)，鏈路之間保持冗余和獨立。2 XX 2 XX 2 臺核心PE 設備之間采用口字形方式連接實現(xiàn)服務器區(qū)業(yè)務的接入。節(jié)點配2XX2PE實現(xiàn)節(jié)點與上級公司

3、之間業(yè)務的交互。信息廣域現(xiàn)況如下圖：XXXX 業(yè)務現(xiàn)狀XXXX 上聯(lián)至公司。圖 2.2-2 上級公司 XXXX 業(yè)務拓撲圖XXXX 業(yè)務現(xiàn)狀現(xiàn)有各節(jié)點 XXXX 業(yè)務情況如下：表 2.2-1 XXXX 業(yè)務情況表XXXX 公司為例，節(jié)點信息內網(wǎng)業(yè)務拓撲圖如下：圖 2.2-3XXXX 公司信息內網(wǎng)業(yè)務拓撲圖綜上所述，各節(jié)點的 2 臺 XXXX 設備作為各節(jié)點信息內網(wǎng)、XXXX 業(yè)務、XXXX XXXX XXXX XXXX 工單業(yè)務的割接方案。XXXX現(xiàn)狀XXXX系統(tǒng)拓撲圖XXXX 業(yè)務各節(jié)點通過信息內網(wǎng)和傳輸專線上聯(lián)至上級公司道。圖 2.3-1XX 省 XXXX 系統(tǒng)網(wǎng)絡拓撲圖XXXX 系統(tǒng)拓撲

4、圖XXXX XXXX 會議業(yè)務（少數(shù)節(jié)點采用信息內網(wǎng)）。圖 2.3-2XXXX 市公司 XXXX 系統(tǒng)網(wǎng)絡拓撲圖XXXX工單業(yè)務現(xiàn)狀XXXX XXXX 立通道，包含在信息內網(wǎng)業(yè)務中。3、網(wǎng)絡割接方案XXXX XXXX XXXX 業(yè)務。本次信息內網(wǎng)割接后各節(jié)點放置的XXXX 路由器將不再使用，為了不影響 XXXX 業(yè)務，本次割接方案需考慮XXXX 業(yè)務、XXXX 工單業(yè)務的割接方案。XXXX XXXX IP 地址調整至各節(jié)點內網(wǎng)中。信息內網(wǎng)割接方案上級公司割接方案XXXXA XXXXB CE1 CE2 已CE1 CE2 上對信息內網(wǎng)業(yè)務進行配置可以實現(xiàn)信息內網(wǎng)業(yè)務，在割接過程中如需回退，則在信息

5、CE PE MED 使原信息內網(wǎng)業(yè)務仍流經(jīng)原公司鏈路。割接前拓撲圖如下所示：圖 3.1-1XX 上級公司信息內網(wǎng)割接前示意圖上級公司割接步驟CE PE 上級公司信息內網(wǎng)割接拓撲如下所示：（工程中心）圖 3.1-2XX 上級公司信息內網(wǎng)割接示意圖第二步：參照搜資內容（割接相關設備新增的互聯(lián)端口信息在上級公司相關設備（VPN 業(yè)務所使用的端口，做VPN 實例，并通過路由本地優(yōu)先級控制使CE1 500、CE2 100，修改新增鏈路學到的路由本地優(yōu)先CE1 80 CE2 50AS-PATH控制，越少越優(yōu)， AS-PATH 54676 AS-PATH 54676 PE PE 上做路由匯總和路由組）上級公

6、司 PE1-RR 設備()配置：VPN實例：interface GigabitEthernet 3/2/1interface GigabitEthernet 3/2/1ipbindingvpn-instancespiip address 10.228.240.13 255.255.255.252bgp 協(xié)議配置：bgp 64600ip vpn-instancespiaddressbgp 64600ip vpn-instancespiaddress-familyipv4unicastpeer10.228.240.1354676peer 10.228.240.13peer10.228.240.13

7、peer 10.228.240.13 soo 54676:54918上級公司 CE 設備(XXXX)配置：VPN實例：interface GigabitEthernet 2/0/6interface GigabitEthernet 2/0/6ipbindingvpn-instancespiip address 10.228.240.14 255.255.255.252bgp協(xié)議配置：bgp 54676peerbgp 54676peer10.228.240.1464600#ipv4-ipv4-familyunicastundo synchronizationnetwork 10.8.251.14

8、6network 10.8.251.146 255.255.255.255network 10.42.0.0 255.255.252.0network 10.227.128.0 255.255.128.0network 10.228.0.0 255.254.0.0network 10.240.0.0 255.255.0.0import-routedirectpeernetwork 10.42.0.0 255.255.252.0network 10.227.128.0 255.255.128.0network 10.228.0.0 255.254.0.0network 10.240.0.0 25

9、5.255.0.0import-routedirectpeer10.228.240.14route-policylocalimportpeer10.228.240.14route-policyas-pathexportroute-policyas-pathpermitnode10applyas-path5467654676route-policylocalpermitnode10applylocal-preference80ospf 協(xié)議配置：ospf100router-idospf100router-id10.8.251.145filter-policyip-prefixspi-denyim

10、portimport-routebgppermit-ibgpcost10type1route-policyspi-gwarea 0.0.0.0network 10.8.232.88 0.0.0.3network 10.6.21.112 0.0.0.7route-policyspi-gwpermitnode10if-match ip-prefixspi-ip#ipip-prefixspiipip-prefixspi-ipindex10permit10.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex20permit20.0.0.08gre

11、ater-equal8less-equal8ipip-prefixspi-ipindex21permit21.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex22permit22.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex23permit23.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex24permit24.0.0.08greater-equal8less-equal8ipip-prefixspi-ipindex

12、25permit25.0.0.08greater-equal8less-equal8ipipip-prefixspi-ipindex26permit26.0.0.08greater-equal8less-equal8ipipip-prefixspi-denyindex10deny10.0.0.088less-equal8ipip-prefixspi-denyindex20permit0.0.0.0032黑洞路由：ip routeip route-static 10.227.128.0 255.255.128.0 NULL0 preference 200ip route-static 10.22

13、8.0.0 255.254.0.0 NULL0 preference 200ip route-static 10.240.0.0 255.255.0.0 NULL0 preference 200省調RRXXXXRR路由過濾配置：acl number 2001 description spi aclacl number 2001 description spi aclrule 1 permit source 10.6.22.116 0.0.0.3rule 2 permit source 10.8.17.24 0.0.0.3rule 3 permit source 10.42.0.0 0.0.3.

14、255rule 4 permit source 10.227.128.0 0.0.127.255rule 4 permit source 10.227.128.0 0.0.127.255rule 5 permit source 10.228.0.0 0.1.255.255rule 6 permit source 10.8.222.88 0.0.0.3rule 7 permit source 10.8.251.145 0rule 8 permit source 10.8.251.146 0rule 9 permit source 10.240.0.0 0.0.255.255rule 10 per

15、mit source 10.8.232.88 0.0.0.3rule 100 denybgp 64600address-family vpnv4peer10.8.252.12route-policyspiexport peer10.8.252.14route-policyspiexportCE VPNv4 路由表，確保能看到節(jié)VPN CE1 700 CE2 600、AS-PATH使信息業(yè)務流量經(jīng)過新增鏈路，同時測試信息內網(wǎng)PE CE 之間鏈路并檢查相關設備配置，重復第三步直到業(yè)務內網(wǎng)功能正常；（工程中心、信息內網(wǎng)割接組）1.bgp 協(xié)議配置：bgp 54676ipv4-familyunicas

16、tbgp 54676ipv4-familyunicastundo synchronizationpeer10.228.240.14route-policylocalimportroute-policylocalpermitnode10applylocal-preference700圖 3.1-3XX 上級公司信息內網(wǎng)割接后示意圖第四步：割接完成，將臨時標簽換成正式標簽，并規(guī)范整理新增鏈路。（工程中心）節(jié)點割接方案根據(jù)公司要求，本次割接后網(wǎng)絡建設節(jié)點出口將不再保留防火墻。節(jié)點信息內網(wǎng)割接方案采用將兩臺 XXX 9508（XXXX 公司為o 6500上聯(lián)至6 的通道割接至兩臺市公司新增1 與，XX

17、XX )圖 3.1-4XXXX 公司信息內網(wǎng)割接后方案一示意圖shutdown S9508 CE 之S9508 ospf Area0 區(qū)域，使原信息內網(wǎng)業(yè)。節(jié)點信息內網(wǎng)割接步驟圖 3.1-6XXXX 公司信息內網(wǎng)割接前示意圖第一步：按照節(jié)點割接拓撲準備跳線，并打上臨時標簽，同時保持節(jié)點信息內網(wǎng)設備(S9508)與原節(jié)點 XXXX 設備互聯(lián)鏈路不動，新增鏈路測試端口up 之后，shutdown 掉新增鏈路連接的端口；（各節(jié)點現(xiàn)場工作組）圖 3.1-7XXXX 公司信息內網(wǎng)割接示意圖第二步：參照搜資內容（割接相關設備新增的互聯(lián)端口信息）， 找到各節(jié)點相關設備信息 VPN 業(yè)務所使用的端口，做出相應

18、配置， 綁定到信息 VPN 實例；（工程中心、信息內網(wǎng)割接組、各節(jié)點現(xiàn)場工作組）IP CE 上做路由匯總，對于準入系統(tǒng)使用的1.228 等地址段，超出公司規(guī)定范圍，有兩種種解決方案：一在所有1.228 1.228 21 IP 地址規(guī)范。推薦是用方案二。（信息內網(wǎng)割接組）節(jié)點 PE（）設備配置：VPN 實例：interface GigabitEthernet x/x/xinterface GigabitEthernet x/x/xipbindingvpn-instancespiip address x.x.x.x x.x.x.xbgp 協(xié)議配置：bgp 54916ip vpn-instances

19、piaddressbgp 54916ip vpn-instancespiaddress-familyipv4unicastpeerx.x.x.xas-number54676peer x.x.x.x peer x.x.x.xpeer x.x.x.x soo 54916:54916CE（）設備配置：配置互聯(lián)端口地址，并綁定相應vpn 實例：interface GigabitEthernet x/x/xipinterface GigabitEthernet x/x/xipbindingvpn-instancespiip address x.x.x.x x.x.x.xbgp 協(xié)議配置：bgp 5467

20、6ip vpn-instancespiaddress-familybgp 54676ip vpn-instancespiaddress-familyipv4unicastpeerx.x.x.xas-number54676peerx.x.x.xroute-policylocalimportpeerx.x.x.xroute-policymedexportroute-policymedpermitnode10apply cost 100route-policylocalpermitnode10applylocal-preference500ospf協(xié)議配置：ospf 100importospf 10

21、0import-routebgppermit-ibgpcost10type1area 0.0.0.0area 0.0.0.0network x.x.x.x x.x.x.xnetwork x.x.x.x x.x.x.x黑洞路由：ipip route-static x.x.x.x x.x.x.x NULL0 preference 200節(jié)點現(xiàn)網(wǎng)設備（S9508）配置：配置互聯(lián)端口地址：interfaceinterfaceVlan-interfacexxxip address x.x.x.x x.x.x.xospf協(xié)議配置：ospf 100area 0.0.0.0network x.x.x.x x.

22、x.x.xospf 100area 0.0.0.0network x.x.x.x x.x.x.x第三步：斷開原有S9508 XXXX 之間鏈路，開啟shutdown 掉則進行下一步，如不正常，則還原原有 S9508 至 XXXX 之間鏈路shutdown 工程中心、各節(jié)點現(xiàn)場工作組、信息內網(wǎng)業(yè)務組）節(jié)點現(xiàn)網(wǎng)設備（S9508）配置：1.OSPF 協(xié)議配置：ospfospf100router-id10.228.249.57import-routebgppermit-ibgpcost10type1圖 3.1-8XXXX 公司信息內網(wǎng)割接后示意圖第四步：割接完成，將臨時標簽換成正式標簽，并規(guī)范整理新增

23、鏈路。（各節(jié)點現(xiàn)場工作組）XXXX系統(tǒng)割接方案上級公司割接方案XX CE1 CE2 上聯(lián)至PE1 PE2XXXX 業(yè)務整體割接，對應至視頻。在割接過程中如需回退，則在信息CE PE MED 使原視頻指揮業(yè)務仍流經(jīng)原公司鏈路。割接前示意圖如下所示：圖 3.2-1 上級公司應急指揮割接前示意圖上級公司割接方案步驟CE PE 上級公司應急指揮割接拓撲如下所示（圖 3.2-2 上級公司應急指揮割接示意圖第二步：參照搜資內容（割接相關設備新增的互聯(lián)端口信息在上級公司相關設備（NE20E）VPN 業(yè)務所使用的端口，做VPN 實例，并通過路由本地優(yōu)先級控制使CE1 300、CE2 100，修改新增鏈路學到的

24、路由本地優(yōu)先級為CE1 80 CE2 50as-path 控制，越少越優(yōu)，公司鏈路發(fā)布路由的 AS-PATH 54673 54673，修改新增鏈路發(fā)布路由的AS-PATH 54673 CE RR 上做工程中心、會議電視割接組）CE VPNv4 路由表，確保能看到節(jié)VPN CE1 700 CE2 600AS-PATH使應急指揮業(yè)務流量經(jīng)過新增鏈路，同時測試應急指揮PE CE 之間鏈路并檢查相關設備配置，重復第三步直到視頻應急指揮業(yè)務功能正常；（工程中心、視頻會議割接組）圖 3.2-3 上級公司應急指揮割接后示意圖第四步：割接完成，將臨時標簽換成正式標簽，并規(guī)范整理新增鏈路。（工程中心）節(jié)點割接方

25、案將市公司應急 S5700 上聯(lián)到 XXXX 的通道割接至市公司新增CE1 CE2XXXX 公司為例，在割接過程中如shutdown S5700 CE 之間鏈路，使原信息內。割接示意圖如下：圖 3.2-4XXXX 公司應急指揮割接示意圖XXXX 系統(tǒng)現(xiàn)有通道采用信息內網(wǎng)通道或者傳輸專線的XXXX 系統(tǒng)割接實施之前，各節(jié)XXX Cisco 6500）連接至應急 NE20，同時需保證該地區(qū)內現(xiàn)有的 XXXX 業(yè)務已匯總至S5700，才能保證應急業(yè)務割接的順利進行。節(jié)點割接步驟圖 3.2-5XXXX 公司應急指揮割接前示意圖同時保持節(jié)點應急指揮設備(S5700)與傳輸主干網(wǎng)鏈路不動，新增鏈路測試端口

26、up 之后，shutdown 掉新增鏈路連接的端口，節(jié)點應急指揮割接拓撲如下所示；（各節(jié)點現(xiàn)場工作組、會議電視割接組）圖 3.2-6XXXX 公司應急指揮割接示意圖第二步：參照搜資內容（割接相關設備新增的互聯(lián)端口信息）， 找到各節(jié)點相關設備視頻 VPN 業(yè)務所使用的端口，做出相應配置， 綁定到信息 VPN 實例；（工程中心、各節(jié)點現(xiàn)場工作組、會議電視割接組）節(jié)點 PE（）設備配置：VPN 實例：interface GigabitEthernet x/x/xinterface GigabitEthernet x/x/xipbindingvpn-instancespiip address x.x.

27、x.x x.x.x.xbgp 協(xié)議配置：bgp 54914ip vpn-instancebgp 54914ip vpn-instancespiaddress-familyipv4unicastpeerx.x.x.xas-number54673peer x.x.x.x peer x.x.x.x peer x.x.x.xpeer x.x.x.xpeer x.x.x.x soo 54673:54914CE（）設備配置：配置互聯(lián)端口地址，并綁定相應vpn 實例：interface GigabitEthernet x/x/xipinterface GigabitEthernet x/x/xipbindingvpn-instancespvvip address