公司网络割接专项方案

XX企业网络建设建设工程网络割接方案
1、企业网络建设总体要求
1.1工程概况
为了处理目前网络建设在网络性能、业务承载、运维效率等方面瓶颈和问题，真正实现全企业一张网网络建设络布局，企业在开启了网络建设建设工作。

根据企业统一要求，XX企业现在已实现覆盖累计100个站点网络建设。

截止1月，XX网络建设改造工作现已经基础完成，初步建成了利用光传输网，以10GE 链路为主、覆盖全企业系统100 个节点高速数据通信络平台，实现了关键区域网状连接、各区域内双星型上联网络架构。

据调研，企业现有各个业务，没有开启MPLS VPN，故各个业务路由和数据之间，没有进行逻辑隔离，共用网络带宽和其它资源。

和网络不一样，新建网络建设将采取MPLS VPN组网技术，各个业务承载在对应独立VPN中隔离运行，经过路由策略和QoS进行区分。

总而言之，此次割接工作总体方案立即现有全省业务从现有网络割接至网络建设独立VPN中运行。

1.2割接标准
一、安全第一标准
此次割接技术难度大，原有网络结构将发生巨大改变，风险大，
全部方案和操作要安全第一，先易后难、先试点再推广、先通常业务再关键业务。

二、方便回退标准
全部操作留有余地，不轻易删除原有配置，确保任何操作能快速回退。

三、提前准备标准
不影响业务准备操作要根据时间点提前完成，比如跳纤，设备IP 分配，新建链路协议建立等等，确保割接检修时间充足，留有处理问题和验证业务时间。

四、分工协作标准
此次割接难度大，任务重，风险高，需要各单位组亲密配合，共同完成。

2、企业网络现实状况
2.1XX企业网络建设改造方案
图1.1XX企业网络建设网络架构
建成后XX企业网络建设采取MPLS VPN组网技术，依据VPN 划分方案，以后XX省内信息内网业务、视频业务、语音业务、IMS 业务将逐步过渡到网络建设。

2.2 网络现实状况
现有网络采取分层拓扑结构，分为2个关键节点、15个骨干节点。

企业配置2台XX设备作为关键设备，XX节点配置1台XX设备作为关键设备，每个骨干层节点上配置2台XX设备作为骨干设备。

XX节点骨干设备分别采取1条622M链路+1条155M链路和企业关键PE设备互联，采取1条155M链路和节点XX关键PE设备互联，链路之间保持冗余和独立。

企业配置2台XX关键交换机、2台XX硬件防火墙和2台关键PE设备之间采取口字形方法连接实现服务器区业务接入。

节点配置2台XX硬件防火墙和2台骨干PE设备之间采取口字形方法连接，实现节点和上级企业之间业务交互。

信息广域现况以下图：
2.2.1 XXXX业务现实状况
现在，各节点和上级企业直属单位信息内网业务、营销业务等多个业务均经过上级企业XXXX上联至企业。

图2.2-2 上级企业XXXX业务拓扑图
2.2.2 XXXX业务现实状况
现有各节点XXXX业务情况以下：
表2.2-1 XXXX业务情况表
以XXXX企业为例，节点信息内网业务拓扑图以下：
图2.2-3XXXX企业信息内网业务拓扑图
总而言之，各节点2台XXXX设备作为各节点信息内网、XXXX 业务、XXXX工单业务至上级企业出口。

本期工程若进行信息内网割接，需要考虑XXXX上承载XXXX业务和XXXX工单业务割接方案。

2.3XXXX现实状况
2.3.1上级企业XXXX系统拓扑图
XXXX业务各节点经过信息内网和传输专线上联至上级企业，据
了解，上级企业至节点业务使用信息内网通道，传输通道作为备用通道。

图2.3-1XX省XXXX系统网络拓扑图
2.3.2节点XXXX系统拓扑图
各节点XXXX业务经过信息内网和传输专线上联至上级企业，据了解，仅传输专线通道承载XXXX会议业务（少数节点采取信息内网）。

图2.3-2XXXX市企业XXXX系统网络拓扑图
2.4 XXXX工单业务现实状况
XXXX工单业务仅覆盖在各个节点。

现在XXXX工单业务无独立通道，包含在信息内网业务中。

3、网络割接方案
因为现有网络上节点XXXX包含地域信息内网业务、XXXX工单业务和XXXX业务。

此次信息内网割接后各节点放置XXXX路由器将不再使用，为了不影响XXXX业务，此次割接方案需考虑XXXX 业务、XXXX工单业务割接方案。

XXXX工单业务属于内网业务，需将XXXX工单业务IP地址调整至各节点内网中。

3.1信息内网割接方案
3.1.1上级企业割接方案
上级企业原有XXXXA和XXXXB和企业信息CE1和CE2已含有链路，在现有信息CE1和CE2上对信息内网业务进行配置能够实现信息内网业务，在割接过程中如需回退，则在信息CE上调整路由优先级，并在PE上修改MED使原信息内网业务仍流经原企业链路。

割接前拓扑图以下所表示：
图3.1-1XX上级企业信息内网割接前示意图
3.1.2上级企业割接步骤
第一步：根据上级企业信息内网割接拓扑进行设备连接，并打上临时标签，同时保持上级企业信息CE和企业PE设备互联链路不动，上级企业信息内网割接拓扑以下所表示：（工程中心）
图3.1-2XX上级企业信息内网割接示意图
第二步：参考搜资内容（割接相关设备新增互联端口信息），在上级企业相关设备（、XXXX）信息VPN业务所使用端口，做出对应配置，绑定到信息VPN实例，并经过路由当地优先级控制使信息内网业务流仍经过原企业链路，当地优先级越高越优，企业链路当地优先级CE1 500、CE2 100，修改新增链路学到路由当地优先级为CE1 80 CE2 50；企业回程路由经过AS-PATH控制，越少越优，企业链路公布路由AS-PATH 54676 54676，修改新增链路公布路由AS-PATH 54676 54676。

在省调PE及备调PE上做路由汇总和路由过滤，只发
送被许可汇总路由至企业；（工程中心、信息内网割接组）上级企业PE1-RR设备()配置：
1.配置互联端口地址，并绑定对应VPN实例：
interface GigabitEthernet 3/2/1
ip binding vpn-instance spi
ip address 10.228.240.13 255.255.255.252
2.bgp协议配置：
bgp 64600
ip vpn-instance spi
address-family ipv4 unicast
peer 10.228.240.13 as-number 54676
peer 10.228.240.13 allow-as-loop
peer 10.228.240.13 substitute-as
peer 10.228.240.13 soo 54676:54918
上级企业CE设备(XXXX)配置：
1.配置互联端口地址，并绑定对应VPN实例：
interface GigabitEthernet 2/0/6
ip binding vpn-instance spi
ip address 10.228.240.14 255.255.255.252
2.bgp协议配置：
bgp 54676
peer 10.228.240.14 as-number 64600
#
ipv4-family unicast
undo synchronization
network 10.8.251.146 255.255.255.255 network 10.42.0.0 255.255.252.0
network 10.227.128.0 255.255.128.0 network 10.228.0.0 255.254.0.0
network 10.240.0.0 255.255.0.0
import-route direct
peer 10.228.240.14 route-policy local import peer 10.228.240.14 route-policy as-path export route-policy as-path permit node 10
apply as-path 54676 54676
route-policy local permit node 10
apply local-preference 80
3.ospf协议配置：
ospf 100 router-id 10.8.251.145
filter-policy ip-prefix spi-deny import
import-route bgp permit-ibgp cost 10 type 1 route-policy spi-gw
area 0.0.0.0
network 10.8.232.88 0.0.0.3
network 10.6.21.112 0.0.0.7
route-policy spi-gw permit node 10
if-match ip-prefix spi-ip
#
ip ip-prefix spi-ip index 10 permit 10.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 20 permit 20.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 21 permit 21.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 22 permit 22.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 23 permit 23.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 24 permit 24.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 25 permit 25.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-ip index 26 permit 26.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-deny index 10 deny 10.0.0.0 8 greater-equal 8 less-equal 8 ip ip-prefix spi-deny index 20 permit 0.0.0.0 0 less-equal 32
4.黑洞路由：
ip route-static 10.227.128.0 255.255.128.0 NULL0 preference 200 ip route-static 10.228.0.0 255.254.0.0 NULL0 preference 200
ip route-static 10.240.0.0 255.255.0.0 NULL0 preference 200
省调RRXXXXRR路由过滤配置：
acl number
description spi acl
rule 1 permit source 10.6.22.116 0.0.0.3
rule 2 permit source 10.8.17.24 0.0.0.3
rule 3 permit source 10.42.0.0 0.0.3.255
rule 4 permit source 10.227.128.0 0.0.127.255
rule 5 permit source 10.228.0.0 0.1.255.255
rule 6 permit source 10.8.222.88 0.0.0.3
rule 7 permit source 10.8.251.145 0
rule 8 permit source 10.8.251.146 0
rule 9 permit source 10.240.0.0 0.0.255.255
rule 10 permit source 10.8.232.88 0.0.0.3
rule 100 deny
bgp 64600
address-family vpnv4
peer 10.8.252.12 route-policy spi export
peer 10.8.252.14 route-policy spi export
第三步：在上级企业CE上查看VPNv4路由表，确保能看到节点信息VPN路由，修改新增链路路由优先级为CE1 700 CE2 600、不增加AS-PATH使信息业务流量经过新增链路，同时测试信息内网业务功效是否正常，如正常，则进行下一步，如不正常，则断开上级企业PE和信息CE之间链路并检验相关设备配置，反复第三步直到业务内网功效正常；（工程中心、信息内网割接组）
1.bgp协议配置：
bgp 54676
ipv4-family unicast
undo synchronization
peer 10.228.240.14 route-policy local import
route-policy local permit node 10
apply local-preference 700
图3.1-3XX上级企业信息内网割接后示意图
第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。

（工程中心）
3.1.3节点割接方案
依据企业要求，此次割接后网络建设节点出口将不再保留防火墙。

节点信息内网割接方案采取将两台XXX 9508（XXXX企业为Cisco 6500）上联至F3016通道割接至两台市企业新增CE1和CE2，
使用信息内网VPN，以XXXX企业信息内网为例，割接示意图以下：(依据科信部意见，本期割接后，防火墙若需保留可自行安排)
图3.1-4XXXX企业信息内网割接后方案一示意图
在割接过程中如需回退，则在shutdown掉S9508至新增CE之间链路，删除S9508上ospf进程中Area0区域，使原信息内网业务仍经过原节点XXXX。

3.1.4节点信息内网割接步骤
图3.1-6XXXX企业信息内网割接前示意图
第一步：根据节点割接拓扑准备跳线，并打上临时标签，同时保持节点信息内网设备(S9508)和原节点XXXX设备互联链路不动，新增链路测试端口up以后，shutdown掉新增链路连接端口；（各节点现场工作组）
图3.1-7XXXX企业信息内网割接示意图
第二步：参考搜资内容（割接相关设备新增互联端口信息），找到各节点相关设备信息VPN业务所使用端口，做出对应配置，绑定到信息VPN实例；（工程中心、信息内网割接组、各节点现场工作组）
各节点IP地址在节点CE上做路由汇总，对于准入系统使用1.228等地址段，超出企业要求范围，有两种种处理方案：一在全部节点布署准入服务器，确保1.228等地址段只需要在节点内通信，二，更改1.228等节点21地址段，符合企业最新IP地址规范。

推荐是用方案二。

（信息内网割接组）
节点PE（）设备配置：
1.配置互联端口地址，并绑定对应VPN实例：
interface GigabitEthernet x/x/x
ip binding vpn-instance spi
ip address x.x.x.x x.x.x.x
2.bgp协议配置：
bgp 54916
ip vpn-instance spi
address-family ipv4 unicast
peer x.x..x.x as-number 54676
peer x.x..x.x allow-as-loop
peer x.x.x.x substitute-as
peer x.x.x.x soo 54916:54916
节点CE（）设备配置：
1.配置互联端口地址，并绑定对应vpn实例：interface GigabitEthernet x/x/x
ip binding vpn-instance spi
ip address x.x.x.x x.x.x.x
2.bgp协议配置：
bgp 54676
ip vpn-instance spi
address-family ipv4 unicast
peer x.x.x.x as-number 54676
peer x.x.x.x route-policy local import
peer x.x.x.x route-policy med export
route-policy med permit node 10
apply cost 100
route-policy local permit node 10
apply local-preference 500
3.ospf协议配置：
ospf 100
import-route bgp permit-ibgp cost 10 type 1
area 0.0.0.0
network x.x.x.x x.x.x.x
4.黑洞路由：
ip route-static x.x.x.x x.x.x.x NULL0 preference 200
节点现网设备（S9508）配置：
1.配置互联端口地址：
interface Vlan-interface xxx
ip address x.x.x.x x.x.x.x
2.ospf协议配置：
ospf 100
area 0.0.0.0
network x.x.x.x x.x.x.x
第三步：断开原有S9508至XXXX之间链路，开启shutdown掉新增链路连接接口，同时测试信息内网业务功效是否正常，如正常，则进行下一步，如不正常，则还原原有S9508至XXXX之间链路shutdown新增链路连接接口，并检验相关设备配置，反复第三步直到业务内网功效正常；（工程中心、各节点现场工作组、信息内网业务组）
节点现网设备（S9508）配置：
1.OSPF协议配置：
ospf 100 router-id 10.228.249.57
import-route bgp permit-ibgp cost 10 type 1
图3.1-8XXXX企业信息内网割接后示意图
第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。

（各节点现场工作组）
3.2 XXXX系统割接方案
3.2.1上级企业割接方案
将企业网络建设放置在XX两台视频CE1和视频CE2上联至上级企业本部PE1和PE2，实现XXXX业务整体割接，对应至视频VPN。

在割接过程中如需回退，则在信息CE上调整路由优先级，并在PE 上修改MED使原视频指挥业务仍流经原企业链路。

割接前示意图以下所表示：
图3.2-1上级企业应急指挥割接前示意图
3.2.2上级企业割接方案步骤
第一步：根据上级企业应急指挥割接拓扑进行设备连接，并打上临时标签，同时保持上级企业视频CE和企业PE设备互联链路不动，上级企业应急指挥割接拓扑以下所表示；（工程中心、会议电视割接组）
图3.2-2上级企业应急指挥割接示意图
第二步：参考搜资内容（割接相关设备新增互联端口信息），在上级企业相关设备（、NE20E）视频VPN业务所使用端口，做出对应配置，绑定到信息VPN实例，并经过路由当地优先级控制使应急指挥业务流仍经过原企业链路，优先级越高越优，企业链路当地优先级CE1 300、CE2 100，修改新增链路学到路由当地优先级为CE1 80 CE2 50；企业回程路由经过as-path控制，越少越优，企业链路公布路由AS-PATH 54673 54673，修改新增链路公布路由AS-PATH 54673 54673。

在CE上做路由汇总，在省调和备调RR上做路由过滤，只发送被许可汇总路由至企业；（工程中心、会议电视割接组）
第三步：在上级企业CE上查看VPNv4路由表，确保能看到节点应急指挥VPN路由，修改路由优先级为CE1 700 CE2 600、不增加AS-PATH使应急指挥业务流量经过新增链路，同时测试应急指挥业务功效是否正常，如正常，则进行下一步，如不正常，则断开上级企业PE和视频CE之间链路并检验相关设备配置，反复第三步直到视频应急指挥业务功效正常；（工程中心、视频会议割接组）
图3.2-3上级企业应急指挥割接后示意图
第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。

（工程中心）
3.2.3节点割接方案
将市企业应急S5700上联到XXXX通道割接至市企业新增CE1和CE2，使用视频VPN。

以XXXX企业为例，在割接过程中如需回退，则在shutdown掉S5700至新增CE之间链路，使原信息内网业务仍经过原节点XXXX。

割接示意图以下：
图3.2-4XXXX企业应急指挥割接示意图
各节点XXXX系统现有通道采取信息内网通道或传输专线方法，拓扑结构大致相近，在本期XXXX系统割接实施之前，各节点需将现有信息内网XXX 9508（XXXX企业为Cisco 6500）连接至应急NE20，同时需确保该地域内现有XXXX业务已汇总至S5700，才能确保应急业务割接顺利进行。

3.2.4节点割接步骤
图3.2-5XXXX企业应急指挥割接前示意图
第一步：根据节点应急指挥割接拓扑准备跳线，并打上临时标签，同时保持节点应急指挥设备(S5700)和传输主干网链路不动，新增链路测试端口up以后，shutdown掉新增链路连接端口，节点应急指挥割接拓扑以下所表示；（各节点现场工作组、会议电视割接组）
图3.2-6XXXX企业应急指挥割接示意图
第二步：参考搜资内容（割接相关设备新增互联端口信息），找到各节点相关设备视频VPN业务所使用端口，做出对应配置，绑定到信息VPN实例；（工程中心、各节点现场工作组、会议电视割接组）
节点PE（）设备配置：
3.配置互联端口地址，并绑定对应VPN实例：
interface GigabitEthernet x/x/x
ip binding vpn-instance spi
ip address x.x.x.x x.x.x.x
4.bgp协议配置：
bgp 54914
ip vpn-instance spi
address-family ipv4 unicast
peer x.x..x.x as-number 54673
peer x.x..x.x allow-as-loop
peer x.x.x.x substitute-as
peer x.x.x.x soo 54673:54914
节点CE（）设备配置：
1.配置互联端口地址，并绑定对应vpn实例：interface GigabitEthernet x/x/x
ip binding vpn-instance spvv
ip address x.x.x.x x.x.x.x
2.bgp协议配置：
bgp 54673
ip vpn-instance spi
address-family ipv4 unicast
peer x.x.x.x as-number 54673
peer x.x.x.x route-policy local import
peer x.x.x.x route-policy med export
route-policy med permit node 10
apply cost 100
route-policy local permit node 10
apply local-preference 500
3.ospf协议配置：
ospf 100
import-route bgp permit-ibgp cost 10 type 1
area 0.0.0.0
network x.x.x.x x.x.x.x
4.黑洞路由：
ip route-static x.x.x.x x.x.x.x NULL0 preference 200
节点现网设备（S5700）配置：1.配置互联端口地址：
interface Vlan-interface xxx
ip address x.x.x.x x.x.x.x
2.ospf协议配置：
ospf 10
area 0.0.0.0
network x.x.x.x x.x.x.x
第三步：断开原有S5700至传输主干网链路，开启shutdown掉新增链路连接接口，同时测试XXXX指挥业务功效是否正常，如正常，则进行下一步，如不正常，则还原原有S5700至传输主干网链路、shutdown新增链路连接接口，并检验相关设备配置，反复第三步直到应急指挥业务功效正常；（视频业务割接组、各节点现场工作组）
图3.2-7XXXX企业应急指挥割接后示意图
第四步：割接完成，将临时标签换成正式标签，并规范整理新增链路。

（各节点现场工作组）
4、监控割接方案
监控割接示意图以下：
将原接于XXXXIMS监控（全部网络间链路监控）割接上联至XXX 9508（信息内网割接组）。

5、网络双平面改造
待割接完成后，试运行30天稳定后，将原有XXXX至XXXX 三条通道中两条（622M至上级企业，155M至XXXX）增加到网络，作为逃生通道，以预防在完全失效后确保网络运行。