網(wǎng)絡(luò)實施方案

網(wǎng)絡(luò)實施方案公司機密，未經(jīng)許可，請勿傳播第ProjectManager起草日期:[DatePrepared]聲明：該文檔由杭州XX科技有限公司（以下簡稱“XX科技”）所提交。文檔相關(guān)的信息不應(yīng)被其它公司參考引用。文檔屬性屬性內(nèi)容客戶名稱XXXX項目名稱XXXX項目網(wǎng)絡(luò)實施方案項目編號文檔主題網(wǎng)絡(luò)實施配置規(guī)劃文檔版本1.0版本日期2014-05-20作者文檔變更版本修訂日期修訂人描述1.02014/5/17IP地址規(guī)化修改文檔送呈客戶名稱目的XXXX審閱、存檔目錄第1章項目實施計劃 51.1責(zé)任分工界面 51.2項目里程碑目標(biāo) 61.3項目實施計劃安排 6第2章網(wǎng)絡(luò)總體規(guī)劃 72.1網(wǎng)絡(luò)現(xiàn)狀 72.2新建網(wǎng)絡(luò)設(shè)計 7第3章設(shè)備部署 83.1設(shè)備命名 83.2端口描述 83.3軟件版本 83.4槽位部署 8第4章網(wǎng)絡(luò)連接 104.1端口分配原則 104.2端口分配列表 10第5章IP地址和VLAN分配 115.1IP地址分配原則 115.2IP地址整體分配 115.3管理地址 115.4互聯(lián)地址 115.5業(yè)務(wù)地址 125.6VLAN劃分 125.7端口劃分 12第6章路由協(xié)議部署 146.1OSPF設(shè)計 14第7章局域網(wǎng)部署 157.1設(shè)備接口聚合 157.2VRRP規(guī)劃 157.3MSTP規(guī)劃 167.4VRRP與MSTP 16第8章安全規(guī)劃 188.1網(wǎng)絡(luò)安全原則 188.2設(shè)備安全 188.3業(yè)務(wù)安全 20第9章項目驗收標(biāo)準(zhǔn) 219.1測試驗收表 219.2測試內(nèi)容 24第10章H3C工程安裝規(guī)范一覽表 30第11章設(shè)備配置腳本 31項目實施計劃責(zé)任分工界面項目實施主要參與者為各廠商、展望科技和客戶。具體責(zé)任分工界面為：工程進展客戶集成商廠商1.工程準(zhǔn)備階段工程準(zhǔn)備階段項目組籌備參與主要責(zé)任參與/工程規(guī)劃工程環(huán)境調(diào)查主要責(zé)任參與參與產(chǎn)品到貨參與主要責(zé)任參與簽收主要責(zé)任參與參與安裝環(huán)境準(zhǔn)備：網(wǎng)絡(luò)準(zhǔn)備/系統(tǒng)準(zhǔn)備主要責(zé)任參與參與2.工程實施階段所有產(chǎn)品網(wǎng)絡(luò)準(zhǔn)備主要責(zé)任參與參與應(yīng)急計劃準(zhǔn)備參與參與主要責(zé)任應(yīng)急及備份參與參與主要責(zé)任提起安裝申請參與主要責(zé)任參與安裝批準(zhǔn)主要責(zé)任參與參與安裝/調(diào)試參與（提供訪問控制關(guān)系）主要責(zé)任（具體實施、總體協(xié)調(diào)）主要責(zé)任（提供技術(shù)支持）工程文檔主要責(zé)任3.工程驗收階段工程驗收驗收文檔準(zhǔn)備參與主要責(zé)任驗收參與主要責(zé)任驗收文檔提交參與主要責(zé)任驗收簽署主要責(zé)任參與4.試運行～終驗初驗初驗完成主要責(zé)任（安全系統(tǒng)日常運營維護）主要責(zé)任（技術(shù)支持）主要責(zé)任（技術(shù)支持）～試運行終驗終驗后主要責(zé)任（系統(tǒng)運營維護）參與（技術(shù)支持）參與（技術(shù)支持）項目里程碑目標(biāo)2014年x月x日前完成項目建設(shè)各個階段及各項建設(shè)內(nèi)容的方案制定，完成硬件設(shè)備和軟件系統(tǒng)的供貨、安裝、配置、調(diào)試、測試、總體聯(lián)調(diào)、試運行、驗收，直至系統(tǒng)正式運行。制定明確的培訓(xùn)范圍、培訓(xùn)內(nèi)容和培訓(xùn)計劃。在用戶單位合適的時間內(nèi)完成對用戶現(xiàn)場管理培訓(xùn)、原廠商培訓(xùn)的范圍和內(nèi)容，并保證有足夠的人力和物力確保系統(tǒng)安全穩(wěn)定的運行。項目實施計劃安排根據(jù)整個工程的網(wǎng)絡(luò)覆蓋及網(wǎng)絡(luò)技術(shù)要求，我們擬出工程實施進度安排如下表：實施階段實施步驟實施內(nèi)容時間范圍一、項目準(zhǔn)備12345二、設(shè)備調(diào)試67891011三、試運行及調(diào)優(yōu)13四、驗收14項目成員單位名稱姓名職務(wù)電話E-mail信泰人壽信息部主管技術(shù)負責(zé)人技術(shù)負責(zé)人杭州展望項目經(jīng)理銷售負責(zé)人技術(shù)負責(zé)人實施人員實施人員網(wǎng)絡(luò)總體規(guī)劃網(wǎng)絡(luò)現(xiàn)狀原組網(wǎng)圖如下：（略）現(xiàn)網(wǎng)存在如下問題：結(jié)構(gòu)混亂，沒有層次，不利于統(tǒng)一管理；使用靜態(tài)路由，維護工作量大，網(wǎng)絡(luò)擴展性差；核心設(shè)備沒有冗余，存在單點故障風(fēng)險；廣域網(wǎng)帶寬不足，無法滿足日益增長的業(yè)務(wù)需求?！陆ňW(wǎng)絡(luò)設(shè)計新網(wǎng)絡(luò)拓撲如下：（略）新建網(wǎng)絡(luò)有如下優(yōu)點：結(jié)構(gòu)整齊，層次清晰，便于管理。采用動態(tài)路由協(xié)議，維護簡單，擴展性好；新增一臺核心設(shè)備，實現(xiàn)了設(shè)備級的冗余，網(wǎng)絡(luò)健壯性提高；每個節(jié)點新增1條廣域網(wǎng)線路，帶寬提高，實現(xiàn)了線路冗余；設(shè)備部署設(shè)備命名按下列規(guī)則正確設(shè)置主機名：設(shè)備局點和級別-設(shè)備廠商名稱-設(shè)備型號-設(shè)備序列號（1、2、3等）序號部署地點設(shè)備層次廠商設(shè)備型號設(shè)備序號設(shè)備命名1北海核心H3CS951201BHCore-H3C-S9512-01端口描述為便于識別和維護，定義VLAN和VLAN端口、物理端口描述的規(guī)則如下：交換機之間互聯(lián)用VLAN、VLAN接口的描述規(guī)則為：TO:設(shè)備名稱_端口編號_V+VLANID例如：本VLAN連接北海核心交換機01的GE1/1端口，VLAN號是100，描述為：TO:BHCore-H3C-S9512-01_GE1/1_V100。交換機連接服務(wù)器或者用戶的VLAN及VLAN接口的描述為：TO:服務(wù)器名或用戶組名例如：本VLAN連接工程部用戶，描述為：TO:Engine_user。軟件版本序號設(shè)備名稱軟件版本123槽位部署S9512E交換機：設(shè)備型號槽位號板卡名稱板卡型號S9512E0112端口千兆以太網(wǎng)光接口業(yè)務(wù)板2324端口千兆以太網(wǎng)光接口業(yè)務(wù)板456S9512E交換路由處理板7S9512E交換路由處理板89101148端口千兆以太網(wǎng)電接口業(yè)務(wù)板1213NAT業(yè)務(wù)處理卡網(wǎng)絡(luò)連接端口分配原則在XXXXX網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)連接中設(shè)備端口的分配遵循以下原則：在核心或者匯聚設(shè)備上，連接到核心的上行設(shè)備根據(jù)端口編號從高到低分配，主備互聯(lián)的平行設(shè)備也根據(jù)編號從高到低向前分配在核心或者匯聚設(shè)備上，從核心連接下行的匯聚或接入的設(shè)備，其端口的分配從低到高依次分配互聯(lián)的端口均采用光口，不采用電口端口分配列表序號主機名/槽位/子槽/端口Host/slot/sub-slot/interface對端設(shè)備(SideB)端口Interface對端Host/設(shè)備描述1左側(cè)slot0～32slot0預(yù)留3slot1預(yù)留4slot2預(yù)留5slot3～LSRM2GT24LEB16slot7～LSRM1GP48LEB1789101112slot8預(yù)留13slot9預(yù)留IP地址和VLAN分配IP地址分配原則IP地址的基本原則如下：掩碼選擇loopback地址使用32位掩碼，互連地址使用30位掩碼，業(yè)務(wù)IP地址采用24位掩碼地址分配順序每個業(yè)務(wù)網(wǎng)絡(luò)分配到的B類地址的最后5個C類地址可以用來做互聯(lián)地址和二層設(shè)備的管理VLAN地址同類設(shè)備互連，第一個C類地址作為Loopback地址的網(wǎng)段。IP地址整體分配區(qū)域地址段掩碼業(yè)務(wù)網(wǎng)16OA網(wǎng)16管理地址設(shè)備的管理地址（即loopback地址）使用/24網(wǎng)段。序號設(shè)備名稱管理地址掩碼1BHCore-H3C-S9512E-013223互聯(lián)地址廣域網(wǎng)互聯(lián)地址廣域網(wǎng)設(shè)備的互聯(lián)地址使用/16網(wǎng)段。序號本端設(shè)備本端地址對端設(shè)備對端地址掩碼1BHWAN-H3C-SR8812-01CKWAN-H3C-SR8812-01302局域網(wǎng)互聯(lián)地址局域網(wǎng)設(shè)備的互聯(lián)地址使用/16網(wǎng)段。序號本端設(shè)備本端地址對端設(shè)備對端地址掩碼1BHCore-H3C-S9512-01BHCore-H3C-S9512-023023業(yè)務(wù)地址業(yè)務(wù)地址使用/8網(wǎng)段。序號業(yè)務(wù)部門地址段掩碼1財務(wù)部242工程部243VLAN劃分保留VLAN:1-99互聯(lián)VLAN：100-199財務(wù)部VLAN:200-299工程部VLAN：300-399端口劃分本端設(shè)備對端設(shè)備說明設(shè)備名稱端口端口類型設(shè)備名稱端口端口類型編號編號1G（SFP,LC）1G（SFP,LC）VLAN1001G（SFP,LC）1G（SFP,LC）VLAN101路由協(xié)議部署本次網(wǎng)絡(luò)規(guī)劃建議全網(wǎng)采用OSPF，并與靜態(tài)路由相結(jié)合。OSPF設(shè)計OSPF區(qū)域劃分由于XX公司總部和各分公司每一個局域網(wǎng)設(shè)備數(shù)量不多（30臺以下），每個局域網(wǎng)只需劃分一個Area0便可以滿足需求，將相關(guān)接口全部加入OSPF區(qū)域0，OSPF的進程號統(tǒng)一設(shè)置為1。OSPFRouter-id設(shè)置OSPF需要使用唯一的RouterID標(biāo)識每一臺路由器，建議相關(guān)網(wǎng)絡(luò)設(shè)備的Loopback地址作為其OSPFRouterID。OSPFCost設(shè)置同層次設(shè)備名字段末位為01的交換機的上下行線路接口的COST值為默認值（10），設(shè)備名字字段末位為02的交換機的上下行線路接口的COST值為1000，以保證在正常情況下報文由設(shè)備名字字段末位為01的設(shè)備進行轉(zhuǎn)發(fā)，在主用路徑失效的情況下再走備份路徑。如下圖所示：（圖略）局域網(wǎng)部署XXXXX每個業(yè)務(wù)網(wǎng)段的接入交換機和核心交換機間為二層交換網(wǎng)絡(luò)，并有鏈路的冗余，出現(xiàn)了二層環(huán)路，所以在接入交換機和核心交換機間啟用MSTP協(xié)議。其中，作為VRRP主網(wǎng)關(guān)的核心交換機配置為首選根橋(Primary)，作為VRRP備份網(wǎng)關(guān)的核心交換機配置為備份根橋(Secondary)，所有負責(zé)終端接入的電接口啟用邊緣端口、BPDU保護。設(shè)備接口聚合鏈路聚合是將多個物理以太網(wǎng)端口聚合在一起形成一個邏輯上的聚合組，使用鏈路聚合服務(wù)的上層實體把同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路。在XXXX兩臺核心交換機啟用鏈路聚合功能，鏈路聚合可以實現(xiàn)出/入負荷在聚合組中各個成員端口之間分擔(dān)，以增加帶寬。同時，同一聚合組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性。采用動態(tài)聚合模式VRRP規(guī)劃為了保障業(yè)務(wù)網(wǎng)關(guān)的備份，在核心交換機上開啟VRRP協(xié)議。保證核心交換機上的業(yè)務(wù)負載均衡，對于不同的VLAN，由不同的核心交換機設(shè)置為主交換機。業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)配置在XXXX_Core_S7503E_FW1上，非業(yè)務(wù)網(wǎng)段配置在XXXX_Core_S7503E_FW2上。XXXX_Core_S7503E_FW1和XXXX_Core_S7503E_FW2之間建立VRRP主從關(guān)系。主設(shè)備的VRRP優(yōu)先級設(shè)置為120，從設(shè)備的VRRP優(yōu)先級設(shè)置為100。VRRP配置規(guī)劃表如下：VLANIDVLAN應(yīng)用XXXX_Core_S7503E_FW1XXXX_Core_S7503E_FW2VRRP虛地址MSTP規(guī)劃為防止網(wǎng)絡(luò)產(chǎn)生冗余鏈路，需配置STP協(xié)議來消除二層環(huán)路。考慮到

STP不能快速遷移，即使是在點對點鏈路或邊緣端口（邊緣端口指的是該端口直接與用戶終端相連，而沒有連接到其它設(shè)備或共享網(wǎng)段上），也必須等待2倍的ForwardDelay的時間延遲，端口才能遷移到轉(zhuǎn)發(fā)狀態(tài)。RSTP可以快速收斂，但是和STP一樣存在以下缺陷：局域網(wǎng)內(nèi)所有網(wǎng)橋共享一棵生成樹，不能按VLAN阻塞冗余鏈路，所有VLAN的報文都沿著一棵生成樹進行轉(zhuǎn)發(fā)。因此，本次STP配置推薦使用MSTP。MSTP由IEEE制定的802.1s標(biāo)準(zhǔn)定義，它可以彌補STP和RSTP的缺陷，既可以快速收斂，也能使不同VLAN的流量沿各自的路徑轉(zhuǎn)發(fā)，從而為冗余鏈路提供了更好的負載分擔(dān)機制。樓層所有設(shè)備屬于同一個MST域，根據(jù)VRRP的主備方式，MST域里分為兩個instance，分別為instance1（主要針對業(yè)務(wù)VLAN）instance2（主要針對非業(yè)務(wù)VLAN），XXXX-S7503E-S-1，XXXX-S7503E-S-1直接與接入交換機之間的MSTP規(guī)劃：共分2個Instance：Instance1：指定根交換機為XXXX-S7503E-S-1，備份根交換機為XXXX-S7503E-S-1，包含VLAN2、VLAN3、VLAN4、VLAN12、VLAN13Instance2：指定根交換機為XXXX-S7503E-S-2，備份根交換機為XXXX-S7503E-S-1，包含VLAN5、VLAN6、VLAN7、VLAN8、VLAN9、VLAN10、VLAN11、VLAN14、VLAN15、VLAN16、VLAN17、VLAN18、VLAN100、VLNA200；在接入交換機同樣需要進行相應(yīng)的mstpinstance映射。VRRP與MSTPVRRP與MSTP的規(guī)劃VRRP作為一種容錯協(xié)議，它保證當(dāng)主機的下一跳設(shè)備出現(xiàn)故障時，可以及時的由另一臺設(shè)備來代替，從而保持通訊的連續(xù)性和可靠性。兩臺設(shè)備配置VRRP，其中一臺為Master，一臺為Slave，兩臺設(shè)備對應(yīng)一個VirtualIP。生成樹協(xié)議用于防止數(shù)據(jù)鏈路層由于冗余鏈路的連接而產(chǎn)生的以太網(wǎng)環(huán)路，從而避免廣播風(fēng)暴的發(fā)生。在各個大網(wǎng)的網(wǎng)關(guān)處部署MSTP，可以MSTP中的根橋設(shè)備與VRRP中Master設(shè)備保持一致。同時一個MSTP的實例對應(yīng)一個或多個業(yè)務(wù)Vlan，實例一對應(yīng)設(shè)備的管理Vlan。每個業(yè)務(wù)網(wǎng)的接入交換機和匯聚交換機間為二層交換網(wǎng)絡(luò)，并有鏈路的冗余，出現(xiàn)了二層環(huán)路，所以在接入交換機和匯聚交換機間啟MSTP協(xié)議。其中，作為VRRP主網(wǎng)關(guān)的匯聚交換機配置為首選根橋(Primary)，并在相應(yīng)的端口上啟用根保護和TC攻擊保護功能，防止網(wǎng)絡(luò)震蕩的產(chǎn)生；作為VRRP備份網(wǎng)關(guān)的匯聚交換機配置為備份根橋(Secondary)，并在相應(yīng)的端口上啟用TC攻擊保護功能；接入層交換機上連匯聚交換機的端口啟用環(huán)路保護功能和TC攻擊防范功能，所有負責(zé)終端接入的電接口啟用邊緣端口、BPDU保護和TC攻擊保護功能。其配置和工作狀態(tài)如下圖所示：MSTP配置及工作狀態(tài)圖所啟用的各種保護功能的作用如下：根保護：防止網(wǎng)絡(luò)中惡意攻擊或誤用造成根橋改變而重新計算，引起網(wǎng)絡(luò)中斷；BPDU保護：有效防止了接入端口私自添加交換機或HUB對網(wǎng)絡(luò)造成的震蕩；環(huán)路保護：在網(wǎng)絡(luò)出現(xiàn)短暫擁塞無法正常接收BPDU時，防止Blocking端口狀態(tài)轉(zhuǎn)變?yōu)镕orwarding，形成環(huán)路；TC攻擊保護：針對網(wǎng)絡(luò)中惡意的TC攻擊報文，防止交換機頻繁刪除ARP表和MAC地址表。安全規(guī)劃網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)安全是XXXX網(wǎng)絡(luò)系統(tǒng)項目建設(shè)中非常重要的一環(huán)，網(wǎng)絡(luò)安全設(shè)計原則如下：設(shè)備安全主要指核心骨干交換機及各個業(yè)務(wù)網(wǎng)的設(shè)備安全。只有經(jīng)過認證的用戶才能訪問系統(tǒng)中的設(shè)備，以防止非授權(quán)用戶對網(wǎng)絡(luò)設(shè)備的惡意攻擊。業(yè)務(wù)安全通過路由加ACL的方式實現(xiàn)網(wǎng)絡(luò)層面的安全防護，防止不信任應(yīng)用之間的互訪。要實現(xiàn)全面的安全防護，還需要通過安全專用設(shè)備（防火墻、IDS等）實現(xiàn)應(yīng)用層面的保護。設(shè)備安全只開放必要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對象。為了提供網(wǎng)絡(luò)設(shè)備的安全級別，盡可能關(guān)閉不必要的服務(wù)，降低網(wǎng)絡(luò)攻擊的風(fēng)險。用戶認證用戶認證應(yīng)采用集中認證和本地認證相結(jié)合的方式，集中認證為主要認證方式，本地認證為備份認證方式，在集中認證服務(wù)器無法訪問的情況下使用本地認證。集中認證采用Radius認證協(xié)議，在Radius服務(wù)器上建立設(shè)備管理用戶，通過單一用戶便可以實現(xiàn)全網(wǎng)設(shè)備的統(tǒng)一管理。同時在設(shè)備上建立本地用戶數(shù)據(jù)庫，可在Radius服務(wù)器不可用的情況下，使用本地數(shù)據(jù)庫進行驗證。在VTY和Console接口上啟用用戶認證，認證方式為集中認證和本地認證相結(jié)合。Telnet接入安全Telnet是對網(wǎng)絡(luò)設(shè)備進行管理的主要手段，可以對設(shè)備進行最為有效的操作，為了確保Telnet訪問的合法性和安全性，我們需要注意：（1）設(shè)置最大會話連接數(shù)；（2）設(shè)置訪問控制列表，限制Telnet的連接請求來自指定的源IP網(wǎng)段；（3）盡量用SSH代替Telnet，采用SSH的好處是所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。SNMP安全通過SNMP我們可以對設(shè)備進行全面的日常管理，為了提高SNMP管理的安全性，需要應(yīng)注意以下幾點：（1）避免使用缺省的snmpcommunity，設(shè)置高質(zhì)量的口令；（2）不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；（3）把只讀snmpcommunity和可讀寫snmpcommunity區(qū)分開來；（4）配置ACL來限制能夠通過SNMP訪問網(wǎng)絡(luò)設(shè)備的網(wǎng)管服務(wù)器的IP地址。日志記錄為了能夠?qū)φ麄€XX網(wǎng)絡(luò)系統(tǒng)設(shè)備進行監(jiān)控和故障信息記錄，需要記錄網(wǎng)絡(luò)設(shè)備的運行狀態(tài)。日志記錄主要包括以下內(nèi)容：（1）收集網(wǎng)絡(luò)設(shè)備的SYSLOG；（2）設(shè)置SYSLOGServer（通常位于網(wǎng)管工作站上）用于收集所有網(wǎng)絡(luò)設(shè)備的SYSLOG；（3）所有的SYSLOG可以送到專門的事件管理服務(wù)器上，進行事件的壓縮、關(guān)聯(lián)和分析，有利于更好的故障定位和處理。（4）收集SNMPTrap，通過網(wǎng)管工作站收集網(wǎng)絡(luò)設(shè)備的SNMPTrap信息，便于及時的故障處理；（5）收集用戶操作記錄，通過AAA服務(wù)器，對用戶進行認證、授權(quán)和行為跟蹤，并產(chǎn)生相應(yīng)的日志報告，以供安全審計。路由協(xié)議安全路由協(xié)議的安全主要指鄰居關(guān)系的可靠建立和路由信息的安全交換，此網(wǎng)絡(luò)項目中主要涉及BGP和OSPF兩種路由協(xié)議，通過啟用它們的安全驗證功能，可以提高網(wǎng)絡(luò)中路由協(xié)議的安全性。（1）BGP路由驗證（必要）核心骨干網(wǎng)與各個業(yè)務(wù)網(wǎng)核心的eBGP鄰居關(guān)系，應(yīng)該使用MD5密碼驗證，保證BGP鄰居關(guān)系的合法建立，提高BGP路由交換的安全性。（2）OSPF路由驗證（必要）在OSPF進程上都啟用基于Area的MD5驗證，保證OSPF鄰居關(guān)系的合法建立。OSPF路由驗證的配置方法為在OSPF區(qū)域視圖下authentication-modemd5。訪問控制為了防止局域網(wǎng)對廣域網(wǎng)設(shè)備的非法訪問，在廣域區(qū)交換機與局域網(wǎng)相連的端口上應(yīng)用入方向的ACL訪問控制，只允許運行管理區(qū)的特定主機可以訪問廣域網(wǎng)設(shè)備，其他的一概不能訪問。路由隔離由于各個業(yè)務(wù)網(wǎng)都能訪問到數(shù)據(jù)中心網(wǎng)，而各個業(yè)務(wù)網(wǎng)之間是相互隔離的，因此需要在各個業(yè)務(wù)網(wǎng)的核心設(shè)備上開啟路由隔離，防止各個業(yè)務(wù)網(wǎng)的設(shè)備間互相學(xué)習(xí)路由，從而禁止相互訪問。端口組播/廣播抑制當(dāng)網(wǎng)絡(luò)中因為某種因素出現(xiàn)廣播風(fēng)暴或者較多組播報文時，這些報文的泛濫會造成端口的阻塞，交換機會把大量的廣播幀轉(zhuǎn)發(fā)到每個端口上，這會極大地消耗鏈路帶寬和硬件資源。我們可以設(shè)置各個業(yè)務(wù)網(wǎng)交換機的端口或VLAN廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴，避免網(wǎng)絡(luò)擁塞。業(yè)務(wù)安全網(wǎng)絡(luò)層面ACL的缺省規(guī)則應(yīng)該為deny，開放的訪問需要通過手工添加permit規(guī)則，以防止可能產(chǎn)生的安全漏洞。應(yīng)用層面ACL控制只能實現(xiàn)網(wǎng)絡(luò)層面的防護，并不能識別應(yīng)用層的數(shù)據(jù)，要實現(xiàn)全面的安全防護，還需要借助于專用的安全設(shè)備。高級的業(yè)務(wù)安全控制端口安全：根據(jù)用戶的網(wǎng)絡(luò)安全特性，在可維護性和網(wǎng)絡(luò)安全性之間選擇平衡點；設(shè)備端口在接入用戶之前處于關(guān)閉狀態(tài)；端口使能Port-security功能，限定用戶接入位置網(wǎng)絡(luò)實施方案公司機密，未經(jīng)許可，請勿傳播第24頁,共SECTIONPAGES31頁文檔編號：xxx項目驗收標(biāo)準(zhǔn)測試驗收表測試項目設(shè)備驗收測試測試結(jié)果竣工驗收測試測試結(jié)果移交運行測試測試結(jié)果1.1網(wǎng)絡(luò)設(shè)備√OKPOKNGNT1.1.1啟動測試√OKPOKNGNT1.1.2狀態(tài)檢查√OKPOKNGNT√OKPOKNGNT1.1.3配置檢查√OKPOKNGNT√OKPOKNGNT1.1.4端口檢查√OKPOKNGNT1.1.5物理檢查√OKPOKNGNT3.2性能指標(biāo)√OKPOKNGNT√OKPOKNGNT1.2.1帶寬測試√OKPOKNGNT√OKPOKNGNT1.2.2利用率測試√OKPOKNGNT√OKPOKNGNT1.2.3吞吐量測試√OKPOKNGNT√OKPOKNGNT1.2.4延遲測試√OKPOKNGNT√OKPOKNGNT3.3網(wǎng)絡(luò)容錯性√OKPOKNGNT√OKPOKNGNT1.3.1設(shè)備單點故障測試√OKPOKNGNT√OKPOKNGNT1.3.2網(wǎng)絡(luò)單點故障測試√OKPOKNGNT√OKPOKNGNT1.4網(wǎng)絡(luò)連通性√OKPOKNGNT√OKPOKNGNT1.4.1鏈路連通性√OKPOKNGNT√OKPOKNGNT1.4.2鏈路冗余√OKPOKNGNT√OKPOKNGNT1.5網(wǎng)絡(luò)可用性和穩(wěn)定性O(shè)KPOKNGNT√OKPOKNGNT1.5.1網(wǎng)絡(luò)可用性測試OKPOKNGNT√OKPOKNGNT1.5.2網(wǎng)絡(luò)穩(wěn)定性測試√OKPOKNGNT√OKPOKNGNT1.6網(wǎng)絡(luò)安全性√OKPOKNGNT√OKPOKNGNT1.6.1訪問控制和過濾測試√OKPOKNGNT√OKPOKNGNT1.7設(shè)備可管理性√OKPOKNGNT√OKPOKNGNT1.7.1故障診斷√OKPOKNGNT√OKPOKNGNT1.7.2故障恢復(fù)√OKPOKNGNT√OKPOKNGNT1.8網(wǎng)絡(luò)功能√OKPOKNGNT√OKPOKNGNT1.8.1分行應(yīng)用測試√OKPOKNGNT√OKPOKNGNT1.8.2支行應(yīng)用測試√OKPOKNGNTOKPOKNGNT1.8.3VLAN功能測試√OKPOKNGNT√OKPOKNGNT1.8.4路由備份√OKPOKNGNTOKPOKNGNT1.9網(wǎng)管功能測試√OKPOKNGNT√OKPOKNGNT1.9.1可用性測試√OKPOKNGNT注：本測試項目中的編號為本標(biāo)準(zhǔn)相應(yīng)層次編號。結(jié)論表示方式：OK：測試結(jié)果全部正確POK：測試結(jié)果大部分正確NG：測試結(jié)果有較大的錯誤NT：由于各種原因本次無法測試網(wǎng)絡(luò)實施方案公司機密，未經(jīng)許可，請勿傳播第31頁,共31頁文檔編號：xxx測試內(nèi)容網(wǎng)絡(luò)設(shè)備測試目的是驗證設(shè)備質(zhì)量和配置是否合格。對每一臺網(wǎng)絡(luò)設(shè)備，均需進行如下所列的測試項目。啟動測試?yán)鋯訉蝹€設(shè)備兩次開關(guān)電源，觀察能否正常啟動。有冗余電源配置的設(shè)備，在切斷冗余電源的情況下，斷開和閉合主電源，觀察能否正常啟動；在切斷主電源的情況下，斷開和閉合冗余電源，觀察能否正常啟動。熱啟動單個設(shè)備正常啟動后，用該產(chǎn)品的熱啟動命令進行熱啟動測試，觀察能否正常啟動。狀態(tài)檢查一般設(shè)備都有電源和每個物理端口的指示燈，配合相應(yīng)產(chǎn)品的說明書，檢查設(shè)備的指示燈是否正常。一臺設(shè)備狀態(tài)正常必須是所有指示燈正常。配置檢查用被測產(chǎn)品的相應(yīng)命令檢查網(wǎng)絡(luò)設(shè)備的硬軟件配置，特別注意軟件版本。如顯示的信息符合設(shè)備合同的要求及與產(chǎn)品說明一致，即為正常。端口檢查用被測產(chǎn)品的相應(yīng)命令檢查網(wǎng)絡(luò)設(shè)備中端口配置，并用網(wǎng)絡(luò)測試設(shè)備對端口進行速率、校驗機制等進行測試。如測試結(jié)果符合設(shè)備合同的要求及與產(chǎn)品說明一致，即為正常。物理檢查對設(shè)備進行檢查，應(yīng)記錄網(wǎng)絡(luò)設(shè)備（對模塊結(jié)構(gòu)的設(shè)備，還包括獨立部件）出廠編號、產(chǎn)地、出廠日期等內(nèi)容，與合同和產(chǎn)品說明一致為正常。網(wǎng)絡(luò)性能指標(biāo)測試目的是獲取網(wǎng)絡(luò)運行基本指標(biāo)，以評判網(wǎng)絡(luò)性能指標(biāo)是否正常和達到設(shè)計要求。應(yīng)測試網(wǎng)絡(luò)帶寬、利用率、吞吐量、精確度、延遲等指標(biāo)。帶寬測試應(yīng)采用專用網(wǎng)絡(luò)測試設(shè)備對網(wǎng)絡(luò)的骨干層、匯聚層、接入層等進行可用帶寬測試。測試結(jié)果達到良好、一般為合格。與設(shè)計帶寬一致即為正常。以太網(wǎng)指標(biāo)如表1所示。在雙鏈路和負載均衡情況下，可用帶寬應(yīng)為單鏈路的1.8倍以上。表1以太網(wǎng)可用帶寬指標(biāo)單位（Mb）以太網(wǎng)類型良好一般差千兆端口間≥800500至800≤500百兆端口間≥8050至80≤50利用率測試網(wǎng)絡(luò)帶寬利用率測試應(yīng)采用專用網(wǎng)絡(luò)測試設(shè)備對網(wǎng)絡(luò)的骨干層、匯聚層、接入層等進行帶寬利用率測試。以24h為一個周期，分網(wǎng)段采用專用的網(wǎng)絡(luò)測試設(shè)備進行網(wǎng)絡(luò)帶寬利用率測試抽查，每隔1min為一個統(tǒng)計點，并作好記錄。要求測試最大利用率/流量、最小利用率/流量、平均利用率/流量；網(wǎng)絡(luò)帶寬利用率=實際占用帶寬/總設(shè)計帶寬。平均利用率指標(biāo)達到良好、一般為合格；以太網(wǎng)平均利用率指標(biāo)：0至20%范圍內(nèi)，網(wǎng)絡(luò)狀況良好；20%至40%范圍內(nèi)，網(wǎng)絡(luò)狀況一般；超過40%，網(wǎng)絡(luò)狀況較差。吞吐量測試在網(wǎng)絡(luò)利用率最低和最高的時間段，采用FTP工具從網(wǎng)絡(luò)中心的FTPSERVER下載和上傳文件方法進行測試。文件的腳本分兩類。一類為單個容量為100MB至1000MB的大文件，另一類為同等容量的一批1KB至10KB左右的小文件。在三種不同的環(huán)境下進行測試：第一種：在網(wǎng)絡(luò)中心的兩臺工作站上做點到點的FTP測試，測試同一網(wǎng)段內(nèi)的吞吐量，并記錄FTP的時間；第二種：在不同網(wǎng)段的工作站上做同樣的FTP測試，測試跨網(wǎng)段的吞吐量，并記錄FTP的時間；第三種：在支行上的工作站上做同樣的FTP測試，并記錄FTP的時間。分析三次的結(jié)果是否穩(wěn)定、正常。并作好記錄（著重記錄傳輸時間）；吞吐量=傳輸文件容量/傳輸時間。對于以太網(wǎng)，在網(wǎng)絡(luò)利用率低的情況下，上傳的吞吐量指標(biāo)大于等于總帶寬的60%為合格，下傳的吞吐量指標(biāo)大于等于總帶寬的40%為合格。對于IP廣域網(wǎng)，以專線（物理、虛擬）方式組網(wǎng)，吞吐量指標(biāo)大于等于專線帶寬的80%為合格。延遲測試主要測試數(shù)據(jù)包往返耗時，應(yīng)做三項測試。這三種測試，對于64Byte、和1518Byte、5000Byte每種大小的數(shù)據(jù)包，各發(fā)送100個，測試并記錄其平均延遲時間：第一種是跨骨干的交換機之間的PING測試；第二種是跨骨干的工作站間的PING測試；第三種是廣域網(wǎng)上的工作站間的PING測試；對于第一、二種測試，平均延遲時間正常值范圍為：對于64Byte的包，延遲時間小于2ms，網(wǎng)絡(luò)狀況良好，2ms至5ms之間，網(wǎng)絡(luò)狀況一般，大于5ms網(wǎng)絡(luò)狀況較差；對于1518Byte的包，延遲時間小于5ms，網(wǎng)絡(luò)狀況良好，5ms至10ms之間，網(wǎng)絡(luò)狀況一般，大于10ms網(wǎng)絡(luò)狀況較差。延遲值相對穩(wěn)定，波動??；對第三種測試，以2M帶寬為例，延遲時間在15ms以下，每跨過一個設(shè)備路由器，增加1.5ms。延遲時間值=15ms+n*1.5ms，其中n為跨過的廣域網(wǎng)設(shè)備的個數(shù)，不計傳輸時延?？傃舆t不得超過30ms。網(wǎng)絡(luò)容錯性設(shè)備單點故障測試模擬設(shè)備單點故障環(huán)境，檢測對網(wǎng)絡(luò)運行的影響。電源容錯對于冗余電源配置的設(shè)備，要測試電源的冗余情況。在測試時關(guān)掉主電源，看能否正常工作；之后，讓關(guān)掉的電源重新上電；再關(guān)掉另一個冗余電源，看能否正常工作。同時運行典型應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常持續(xù)提供服務(wù)。模塊容錯多種網(wǎng)絡(luò)設(shè)備的模塊有冗余功能，如交換機上可插兩塊引擎，平時只有一塊處于工作狀態(tài)，另一塊備用，處在監(jiān)視狀態(tài)。試用被測產(chǎn)品的相應(yīng)命令使工作模塊DISBALE（模擬故障），測試另一模塊是否立即開始啟動工作，記錄切換時間和網(wǎng)絡(luò)恢復(fù)時間。同時運行典型的原有應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常持續(xù)提供服務(wù)。同時采用專用網(wǎng)絡(luò)測試儀器檢測網(wǎng)絡(luò)能否正常提供服務(wù)。網(wǎng)絡(luò)單點故障測試模擬設(shè)備、鏈路等故障環(huán)境，檢測對網(wǎng)絡(luò)運行的影響。設(shè)備故障在有設(shè)備冗余并設(shè)置好設(shè)備熱備份的地方，人為使主設(shè)備產(chǎn)生模擬故障，用被測產(chǎn)品的相應(yīng)命令檢查備用設(shè)備是否啟動，并且記錄切換時間和網(wǎng)絡(luò)恢復(fù)時間；重新正常啟動原主設(shè)備，用被測產(chǎn)品的相應(yīng)命令檢查該設(shè)備是否啟動并切換回來，并且記錄切換時間和網(wǎng)絡(luò)恢復(fù)時間。同時運行原有典型的應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常持續(xù)提供服務(wù)，否則記錄服務(wù)中斷后到恢復(fù)正常的時間，分析中斷服務(wù)的原因。鏈路容錯在有鏈路冗余的網(wǎng)絡(luò)中，切斷當(dāng)前工作鏈路，用被測產(chǎn)品的相應(yīng)命令檢查備用線路是否啟動，并且記錄切換時間；重新連通被切斷的鏈路，用被測產(chǎn)品的相應(yīng)命令檢查工作線路是否啟動并切換回來，并且記錄切換時間和網(wǎng)絡(luò)恢復(fù)時間。同時運行原有典型的應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常提供服務(wù)，否則記錄服務(wù)中斷后到恢復(fù)正常的時間，分析中斷服務(wù)的原因。網(wǎng)絡(luò)連通性鏈路連通性應(yīng)做兩項測試，只有兩項測試都合格，鏈路連通性測試才合格：在測試用工作站上運行Telnet程序，連到待測試的設(shè)備上，用設(shè)備的相應(yīng)命令，查看各個實際上物理鏈路連接的端口是否正常。必須看到端口正常和協(xié)議正常才為鏈路連接正常；Ping對方端口的IP地址。分別PING1000次64、1518字節(jié)的包，對于以太局域網(wǎng)成功率應(yīng)在99.8%以上，對于廣域網(wǎng)成功率應(yīng)在99.5%以上，且無連續(xù)二次以上的“Timeout”信息為正常。鏈路冗余環(huán)形鏈路在存在環(huán)形鏈路的以太網(wǎng)中，對于采用生成樹保證鏈路冗余的網(wǎng)絡(luò)，在測試用工作站上運行Telnet程序登錄到相應(yīng)網(wǎng)絡(luò)設(shè)備上，通過該設(shè)備的相應(yīng)命令檢查生成樹連接是否準(zhǔn)確完整、是否有明確的斷點，檢查生成樹的重算次數(shù)以確定網(wǎng)絡(luò)是否穩(wěn)定；用切斷某條鏈路的方法斷開環(huán)，檢查生成樹的重算次數(shù)以確定網(wǎng)絡(luò)是否穩(wěn)定，待網(wǎng)絡(luò)達到穩(wěn)定后，測試網(wǎng)絡(luò)的連通性并記錄收斂時間；重新合上被切斷的鏈路，檢查生成樹的重算次數(shù)以確定網(wǎng)絡(luò)是否穩(wěn)定，測試網(wǎng)絡(luò)的連通性并記錄收斂時間。對每個環(huán)測一次。路由備份方式下的鏈路冗余在兩個網(wǎng)絡(luò)結(jié)點間切斷主鏈路，測試備份鏈路連接是否正常及收斂時間、丟包數(shù)。負載均衡方式下的鏈路冗余在兩個網(wǎng)絡(luò)結(jié)點間切斷任一條鏈路，測試連接是否正常及收斂時間、丟包數(shù)。允許PING包在短時間內(nèi)沒有回音，但在15s內(nèi)要求恢復(fù)。網(wǎng)絡(luò)可用性和穩(wěn)定性以試運行期間運行日志的數(shù)據(jù)為依據(jù)計算網(wǎng)絡(luò)運行可用率。設(shè)備可用率、網(wǎng)絡(luò)可用率應(yīng)達到設(shè)計指標(biāo)；網(wǎng)絡(luò)實際運行時間指網(wǎng)絡(luò)無故障運行時間（除去計劃檢修時間）。設(shè)備故障和鏈路故障均計入故障時間；當(dāng)分支系統(tǒng)出現(xiàn)故障時，系統(tǒng)的故障時間按1/（分支數(shù)+1）計；由于傳輸網(wǎng)絡(luò)而出現(xiàn)的故障時間不計入；網(wǎng)絡(luò)總運行時間指網(wǎng)絡(luò)試運行至測試時的自然時間。網(wǎng)絡(luò)穩(wěn)定性測試以試運行期間的運行數(shù)據(jù)進行評判。應(yīng)給出連續(xù)試運行無故障時間和故障時間及次數(shù)；在測試期間，網(wǎng)絡(luò)系統(tǒng)必須連續(xù)試運行（7*24）h以上無故障情況的發(fā)生，特別是不會出現(xiàn)網(wǎng)絡(luò)中斷的情況。在測試過程中，網(wǎng)絡(luò)系統(tǒng)上必須運行相應(yīng)的應(yīng)用或者模擬的應(yīng)用，必須有相當(dāng)?shù)呢摵闪?。網(wǎng)絡(luò)安全性從VLAN、設(shè)備配置保護、產(chǎn)品安全等方面進行測試。訪問控制和過濾測試訪問控制測試：根據(jù)產(chǎn)品說明書，檢查網(wǎng)絡(luò)產(chǎn)品是否支持訪問控制列表的使用。若支持，則測試若干訪問列表項，如該產(chǎn)品根據(jù)測試要求進行了訪問控制，則為正常；過濾測試：測試是否支持基于TCPport、UDPport、ICMP的過濾。設(shè)備可管理性該測試所指設(shè)備可管理性主要指設(shè)備的配置是否簡單，一般故障的診斷是否智能化，故障的恢復(fù)是否較為容易等。從設(shè)備配置簡單、故障恢復(fù)、故障診斷等方面進行測試。本地網(wǎng)絡(luò)管理、遠地網(wǎng)絡(luò)管理、通過串口管理或者其他維護接口的帶外管理，和通過網(wǎng)絡(luò)傳輸信道的帶內(nèi)管理。設(shè)備配置選用的網(wǎng)絡(luò)產(chǎn)品是否可用多種方式進行配置，如WEB方式、命令行方式、遠程配置等。故障診斷人為對設(shè)備進行故障設(shè)置，如拔去某一塊接口卡，觀察設(shè)備的指示燈、控制口輸出、揚聲器等是否有相應(yīng)的提示或說明，其提示或說明是否正確。故障恢復(fù)對硬件的故障一旦恢復(fù)（如修復(fù)接口卡后重新插入），觀察設(shè)備的指示燈、控制口輸出、揚聲器等是否有相應(yīng)的提示或說明，其提示或說明是否正確；網(wǎng)絡(luò)設(shè)備操作系統(tǒng)是否能方便地從異地備份（TXT文件、FLASH卡等）中恢復(fù)。網(wǎng)絡(luò)功能分行應(yīng)用測試通過分行的應(yīng)用程序訪問服務(wù)器。測試是否正常使用支行應(yīng)用測試通過支行的應(yīng)用程序訪問服務(wù)器。測試是否正常使用VLAN功能測試VLAN隔離功能采用兩種方法測試：在隔離的虛網(wǎng)間進行互相的訪問操作（如PING），如不能PING通，即為正常；在一個VLAN中發(fā)一組廣播數(shù)據(jù)，在非該VLAN的工作站中進行監(jiān)測，如未收到該數(shù)據(jù)，則VLAN功能正常；測試各VLAN內(nèi)網(wǎng)絡(luò)利用率、碰撞率、差錯率、廣播量、延遲等指標(biāo)。路由備份在設(shè)備與軟件到位的情況下，如已設(shè)置了局域網(wǎng)路由備份，則可將正常工作的設(shè)備/路由模塊關(guān)機或設(shè)置成故障，檢測備份設(shè)備/備份路由是否正常啟動并開始工作。記錄網(wǎng)絡(luò)恢復(fù)正常時間。網(wǎng)管功能測試配置管理通過測試明確網(wǎng)絡(luò)管理軟件能實現(xiàn)的網(wǎng)絡(luò)配置功能。測試應(yīng)針對不同的配置管理對象進行。系統(tǒng)拓撲自動發(fā)現(xiàn)，檢查拓撲能否自動生成；拓撲自動層次