网络改造设计方案.docVIP

网络改造设计方案 PAGE 3 网络改造 设计方案 凯达信息有限责任公司 2021．1 目录 TOC \o 1-3 \h \z \u 1.背景 4 1.1现状描述 4 1.2存在问题 4 1.3改造后拓扑 4 2.工程实施内容 5 2.1 工程实施主要内容 5 3.工程实施组织 6 4.工程实施 6 4.1.资源准备 6 4.1.1 IP地址规划 6 4.1.2 设备命名 11 4.2 网络改造前准备 13 4.2.1 项目协调会 13 4.2.2 机房现场勘查和准备 14 4.2.3 设备配置备份 14 4.3 工程实施步骤 14 4.3.1 Internet访问配置 14 4.3.2 凯达内网访问配置： 15 4.3.3服务器及终端地址更换 15 4.3.4连通性测试 16 4.4 配置实例 16 4.4.1 定义路由器名称 16 4.4.2 配置接口地址 16 4.4.3 Trunk部分 16 4.4.4 VTP部分 16 4.4.5 Vlan部分 17 4.5 存在问题 18 4.6实施保障 19 5 实施安排 19 5.1第一阶段改造 19 5.2第二阶段改造 20 5.3第三阶段改造 21 1.背景 凯达武威项目网络建设现在已经完成。由于海外网络接入需求，要对通信及IP地址进行下一步的改造。考虑到要对整个通讯系统IP地址全面的改造，整个项目公司启用凯达海外IP地址，从而对拉克项目提供网络改造解决方案。 1.1现状描述 经调研，武威项目局域网由于建设时期投产工期紧张，IP地址资源有限，致使最终网络建设完成后，使用IP地址为华泰国内10网段IP地址段和非凯达内网私有地址段（192.168.X.X）。改造后武威项目卫星回国将直接接入凯达广域网，需要将现有IP地址更换为凯达海外IP地址，否则将无法访问凯达内网。 1.2存在问题 原武威项目网络建设过程中，由于各种原因导致IP地址没有进行过全局的统一规划。存在问题主要有以下几个方面： IP地址未经完整规划。 局域网中存在大量非凯达许可IP地址 1.3改造后拓扑 本次网络改造以对网络结构和用户使用感受影响最小为原则，改造后的网路结构中二层网络部分不做任何变动，仅在核心交换和路由之间做出调整： 将原网络结构中承接核心交换Cisco 4503和深信服、Bluecoat的Cisco 3560移除； Cisco 4503A启用三层IP接口连接CiscoASA5520，原深信服设备仍部署为二层模式； Cisco 4503B启用三层IP接口连接Cisco3825设备，原Bluecoat设备仍部署为二层模式； Internet出口移至防火墙设备，由防火墙设备提供Internet访问和NAT地址转换。 网络改造后可以根据访问的目的地址不同将访问Internet和凯达内网数据进行分流，访问凯达内网数据走拓扑图左边路径通过Bluecoat设备进行访问加速；访问Internet数据走拓扑图右边路径通过深信服设备的上网行为认证和防火墙设备的安全管理。两台核心交换之间启用三层SVI口互联，分别向对方写一条访问凯达内网和Internet的浮动静态路由实现三层路由冗余功能。 2.工程实施内容 2.1 工程实施主要内容 网络改造与路由策略 按照新的网络拓扑进行网络改造，对武威项目网络IP地址进行重新规划，对全网路由进行调整优化。 NAT 在Cisco3825路由器上启用NAT配置作为过渡方式，将原网络中的地址转换为172.16.X.X网段，以确保最短时间内恢复用户对凯达内网的访问。在防火墙Internet接口配置NAT将内网服务器发布并提供用户对Internet的访问。 VPN 将原路由器上IPsec VPN配置移至防火墙设备。 DHCP 全网终端用户IP地址采用DHCP自动分发机制，替换原有网络中大量手动指定的IP地址。 核心网络建设 全网采用静态路由； 汇聚交换机（Trunk+STP）上连至核心； 可以远程管理的设备需配置Interface vlan接口地址进行统一管理。 IP地址规划 将整个网络的IP地址进行重新的整体规划。根据不同区域的用户数量和以后业务发展情况分配不同数量且连续的IP地址段。在核心路由上将IP地址条目数做到最少，方便管理及运维人员维护操作。 网络割接 本次割接所有准备工作包括路由配置需在割接前完成，如果割接失败将按照回退步骤将网络还