网络设备割接方案模板.docx

1、网络设备割接方案模板文档名称XXX割接方案文档类别设计文档口实施文档口测试文档口变更文档问题处理口问题管理口验收方案口应用案例其他口当前版本2.0创建日期2023/10/17文档主送部门文档作者XXX联系方式XXXXXX修改记录日期修改人审阅人摘要VI.O2023/10/17XXXXXX建立文档V2.O2023/10/17XXXXXX文档优化目录第1章项目背景31.1 背景31.2 实施范围31.3 实施内容3第2章设备清单3第3章施工组织计划43.1 人员组织规划43.2 网络结构设计53.2.1变更前网络拓扑如下：53.2.2变更后网络拓扑如下：53.3设备名参数规划53.3.1设备名命名

2、规划53.3.2接口标签描述63.4设备接口规划63. 5割接时间安排表73.6业务割接影响范围7第4章实施步骤84. 1割接前准备工作84. 1.1现场环境场勘84.1. 2现网信息收集84.1.3提前完成设备的脚本配置84.1.4搭建模拟测试环境84.1.5标记线缆标签登记及准备91.1 .6现网设备配置备份91.2 .7割接前业务访问情况检查与验证94. 2新设备配置91. 2.1防火墙配置步骤92. 2.3路由器配置步骤104. 2.4核心交换机配置步骤105. 2.5汇聚交换机配置步骤106. 2.6接入交换机配置步骤104.3时间安排107. 3.1核对方案信息、规划信息105.

3、3.2设备上线106. 3.3观察值守11第5章测试116.1 网络连通性测试115.2业务测试12第6章应急（回退）保障措施126.1 常见故障规避措施（回退流程）121 .1.1将新设备下架，旧设备恢复126 .1.2线路回退12121212136.1.3配置回退6.1.4测试端口连通性6.1.5验证业务可用性6.1.6收集割接失败原因第1章项目背景1.1 背景XXX前核心性能不足无法满足当前业务需求，需要进行替换旧设备以满足新业务需求。当前旧核心因console口密码丢失无法对设备进行管理和操作。此次割接不涉及网络架构调整。1.2 实施范围1.3 实施内容本次实施内容主要包括如下方面：1

4、新增XX机构1号网办公OA区、运维管理区、数据资源共享区和核心交换区之间的防火墙；2、提前完成XXX防火墙软件版本的升级操作；3、对该防火墙的配置及策略写入；4、保证该防火墙相关接口处于交换模式下，从而使得上下游交换机无需更改任何配置；5、提前搭建模拟环境，对各项业务进行模拟测试；6、迁移之前提前对现网中的各项业务进行测试，并做好测试结果的记录工作，为迁移之后的测试结果比对做准备；7、网络连通性、业务验证第2章设备清单本次割接所涉及的设备清单如下:序号设备型号数量版本规格备注1N/AN/AN/AN/A2N/AN/AN/AN/A3N/AN/AN/AN/A4N/AN/AN/AN/A5N/AN/A

5、N/AN/A本次割接所需新增设备清单如下:序号设备型号数量版本规格备注1234N/A5N/A第3章施工组织计划在全面实施前，对整个项目的实施进行统一的总体规划，作为项目实施的设计标准和规范。这部分工作的完成情况将直接影响到整个项目的实施可靠性、安全性和有效性。3.1人员组织规划人员需求：XX机构负责人，XX集成商技术人员人员分工：总协调，安装调试，割接验收。1、目领导小组为XX机构相关领导；2、目成员联系方式为：单位姓名电话角色备注XX机构XX集成商2、各小组详细分配情况序号小组名称负责人任务1领导小组XX机构项目负责人负责整个项目的领导、协调和指挥2实施小组集成商：XX、XX负责项目实施的安

6、装、调试、业务测试、现场培训、验收等工作343.2网络结构设计3.2.1变更前网络拓扑如下:XX机构相关区域中的服务器均接入相关的接入交换机,这些交换机的型号均为H3C-S5560-SI,在原有规划中，这些交换机的1号接口均通过一个TrUnk链路与H3C-S7506E核心交换机相连，核心交换机上配置有相关区域的vlanif接口作为网关。3.2.2变更后网络拓扑如下：该架构在变更之后，原有的办公OA区、运维管理区、资源共享区与核心交换机之间将新增一台防火墙，用于区域和核心、区域和区域之间做访问控制，从而体现出区域边界，由于原有的链路是二层链路，所以该防火墙运行的模式为交换模式，并根据后续的业务需

7、求配置相应的安全策略。3.3设备名参数规划为更好规划3.3.1设备名命名规划序号设备描述设备型号标准命名备注3. 3.2接口标签描述1、防火墙与核心交换机互联：To:A-XX-Core-Switch2、防火墙与办公OA区接入交换机互联：To:A-XX-OA-access-SWitCh3、防火墙与运维管理区接入交换机互联：To:A-XX-YunGua11-access-Switch4、防火墙与资源共享区接入交换机互联：To:A-XX-Ziyua11-access-Switch3.4设备接口规划NGFW4000-UF（TG-5128）XXX防火墙与1号网核心交换机通过4号光口连接，办公OA区接入交

8、换机通过5号网口连接、运维管理区接入交换机、资源共享区接入交换机，则通过1、2号电口相连接，其接口互联如下：防火墙和交换机互联端口规划表:本端设备对端设备端口类型备注设备名称端口设备名称端口/路由器和交换机互联端口规划表:本端设备对端设备端口类型备注设备名称端口设备名称端口/3.5割接时间安排表本次割接时间安排从2023年10月18日01：452023年10月18日03：45,预计2小时，最终时间根据现场情况而定。序号割接项预计时间准备时间备注1核心交换机调试Ih可以提前做配置234563. 6业务割接影响范围在割接期间无法访问互联网和业务。第4章实施步骤3.1 割接前准备工作3.1.1 现场

9、环境场勘勘察机房环境，确定将设备部署在何处的机柜上，确定后进行相关电缆的铺设;附1新设备安装位置信息登记表4. 1.2现网信息收集1、割接前对现有网络通信信息进行全面收集2、将操作设备的现有端口状态、流量、协议状态记录下。4.1 3提前完成设备的脚本配置1、核实各项前期准备工作；2、开箱完成设备组装、升级版本并加电拷机。3、在网络割接前，为保证割接过程顺利实施，实施工程师需提前熟悉设备配置信息及网络设备配置命令，做出初步割接脚本。4. 1.4搭建模拟测试环境安排运营人员相关业务进行割接前测试与检查，测试项目包括：1、搭建模拟环境2、进行相应的网络配置；3、在模拟环境中进行初步测试4、进行深入测

10、试。4.1.5标记线缆标签登记及准备1、割接前对线缆进行铺设2、在线路及设备正式割接前，为保障割接完成后设备及配置可辨识、可维护、可回退，割接前应提前将设备将已经连接和要连接的线路都需打上标签。（标签统一格式为：From_XX设备标识-XX端口号；To_XX设备标识-XX端口号）；3、提前制作并准备好标签4. 1.6现网设备配置备份1、在网络割接前，提前备份设备配置2、3、4.1. 7割接前业务访问情况检查与验证安排运营人员相关业务进行割接前测试与检查，测试项目包括：1 .相关业务是否可以访问；2 .相关业务访问地址是否可以Ping通；3 .相关业务各项功能是否异常；4 .相关业务访问延时是否

11、明显增大。5 .割接前对链路连通性进行测试与检查4.2新设备配置4.2.1防火墙配置步骤针对于该防火墙的配置，主要是通过Web界面配置进行，步骤如下：1、将相应的端口配置为交换模式一一点击网络管理接口物理接口,然后选择相应接口点击编辑，根据提示配置接口交换模式，并将相应接口配置为TrUrlk接口，现阶段在TrUrlk接口下允许所有Vlarl-tag通过；（以下为示例图片，并非真实配置）2、创建和划分安全区域一一点击资源管理区域，然后在弹出的添加窗口配置,其中fethl5fethllfethl2为TrllSt区域,fethl4为untrust区域；（以下为示例图片，并非真实配置）3、配置安全策略

12、一一点击安全策略访问控制，在访问控制界面中点击添加即可配置相应安全策略，其中TrUSt到UntrUSt为放行，用户接入区的所有终端都可以和办公OA区、运维管理区和资源共享区的网络通信配置为放行，最后配置一个临时性安全策略anyany。（以下是示例图片，并非真实配置）4、4.2.3路由器配置步骤4.2.4核心交换机配置步骤4.2.5汇聚交换机配置步骤4. 2.6接入交换机配置步骤4. 3时间安排5. 3.1核对方案信息、规划信息现场请参照方案和地址规划信息，对现场环境、步骤、实施流程进行演练,如有流程/实施问题请及时提出，以便提前做出相应的调整工作。5. 3.2设备上线序号工作任务实施行为备注对

13、核心交换机、各区域接入交换机备份配置如下配置，尤其是接口配置进行备份displayvlandisplayconfigurationdisplayinterfacebriefdisplayiprouting-table（仅在核心交换机上进行）displaymac-addressStatiC（仅在各区域接入交换机上进行）标记线缆标签复核1、将前期布放的网络线缆打标签并再次复核。防火墙上架1、将核心交换机上的线缆全部拔出，并接入防火墙的相应接口上；2、使用一根光纤跳线将防火墙通往核心交换机的接口于核心交换机相连。业务测试及相关互联地址测试1、在用户接入区交换机上接入一台终端，对各个区域的业务系统进行

14、联通性测试；网管验证1、通过网管平台防火墙进行登录测试；1、确保SNMP能够网管，确保SecureCRT能远程登录。5. 3.3观察值守在割接完之后，应安排相关技术人员进行值班或电话值守，发现问题及时通报和处理解决。第5章测试业务割接完成后，需要进行业务测试及确认。5.1 网络连通性测试1、测试终端与相关业务服务器进行Ping测试；核心交换机与相关业务服务器进行ping测试;序号工作任务实施行为测试结果1连通性测试Pass5. 2业务测试1、测试终端与办公OA区内的业务系统进行浏览器登录测试；第6章应急（回退）保障措施如果在更换过程中遇到暂时不能解决的问题，或者在预期时间内不能完成变更，必须按照以下步骤进行1退。具体回退流程如下：6.1 常见故障规避措施（回退流程）6.1.1 将新设备下架，旧设备恢复1、将新上架防火墙关闭电源，拔除防火墙上连接的线缆；6. 1.2线路回退2、按照原网络拓扑状态图进行设备连接，将原有线路原样插同6. 1.3配置回退3、恢复原设备配置，将安全设备配置进行同退，并检查设备配置正确性6.1.4测试端口连通性4、检查、测试接口、线路运行情况6.1.5验证业务可用性5、回退之后，检查网络可用性，以及用户业务可用性6.1.6收集割接失败原因6、收集、分析升级不能按时完成割接的各种因素，并撰写报告，为下一次割接做准备