成都农商行网点实施培训文档

HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedInternal项目实施培训成都农商行二类网改造项目网点&支行实施操作手册HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage1实施培训的目标规范实施人员标准进行实施技术交底实施过程中组织协调培训适用人员支行&网点华为实施工程师支行&网点现场维护工程师总行科技部中心维护工程师HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage2第一章网络整体结构简介第二章支行网络结构简介第三章支行实施简介第四章网点&部分支行结构简介第五章网点&部分支行实施简介第六章支行&网点测试简介第七章网管系统eSight使用简介HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage3网络整体结构简介一类网服务器二类网服务器6509-S16509-S26509-S36509-S4N7K-S1N7K-S2N5K-S1N5K-S2C76_R1C76_R3NE20_R1NE20_R2NE20_R3NE20_R4AC1AV1电信MSTPMP2816AR2201网点&部分支行AR2201AR2201支行千兆万兆总行科技部C76_R2HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage4网络整体结构简介在本次项目中新增一类网汇聚与二类网核心的互联和二类网汇聚与一类网核心的互联。使用新购的三台华为NE20-X6路由器替换现网中的二类网汇聚交换机Cisco3750，使用一台NE20-X6作为总行科技部的接入路由器。在部署新设备的基础上，取消现网的静态路由，采用RIP与网点和支行互联。为减轻汇聚路由器因RIP更新造成的设备运行压力，需要passive广域网线路接口。目标网络的QOS一类网业务分类沿用现网的分类；二类网业务分为视频会议、准生产、OA和其他业务，由于涉及到一类网和二类网的线路备份，QOS部署需要在每条线路上考虑两种业务的服务保障，两条线路均优先保障一类网业务即优先保证生产业务。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage5第一章网络整体结构简介第二章支行网络结构简介第三章支行实施简介第四章网点&部分支行结构简介第五章网点&部分支行实施简介第六章支行&网点测试简介第七章网管系统eSight使用简介HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage6支行网络结构简介二类网汇聚冷备接入路由器AR2201交换机1交换机2交换机3PC1PC...接入路由器DHCP服务器网络打印机HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage7支行网络结构简介——整体设计支行办公网新增接入路由器用于广域网连接，部署DHCP服务器来分配办公网终端的IP地址，启用安全特性保护DHCP服务器不被攻击，防止网内ARP攻击，除必要设备（如网络打印机）需要手工分配IP地址外，其他终端禁止手工更改IP地址。目标网络的QOS一类网业务分类沿用现网的分类；二类网业务分为视频会议、准生产、OA和其他业务，由于涉及到一类网和二类网的线路备份，QOS部署需要在每条线路上考虑两种业务的服务保障，两条线路均优先保障一类网业务即优先保证生产业务。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage8支行网络结构简介——DHCP安全防护（一）DHCPSNOOPING保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系，防止网络上针对DHCP攻击。动态ARP检测防御中间人攻击，避免合法用户的数据被中间人窃取，使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage9支行网络结构简介——DHCP安全防护（二）IP源防护防止局域网内的IP地址欺骗攻击。IPSG能够确保第2层网络中终端设备的IP地址不会被劫持，而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。DHCP服务器防护防止DHCPServer仿冒者攻击，配置设备接口的“信任（Trusted）/非信任（Untrusted）”工作模式。将与合法DHCP服务器直接或间接连接的接口设置为信任接口，其他接口设置为非信任接口。此后，从“非信任（Untrusted）”接口上收到的DHCP回应报文将被直接丢弃，这样可以有效防止DHCPServer仿冒者的攻击。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage10支行网络结构简介——办公网终端安全防止某端口下的二层环路由于办公网交换机用于接入终端设备的端口已经规划关闭了STP协议，如果此端口出现违规接入而造成二层环路，将会形成广播风暴影响到其他设备和用户的正常使用，因此在接入端口开启广播抑制功能，避免广播风暴的影响。禁止HUB的接入通常情况下，接入交换机端口只允许接入终端（非网络设备），为了避免用户私自接入HUB而对网络造成不必要的风险，需要开启交换机端口的MAC地址学习的限制，并配置接口最大学习mac地址的数量为1，以避免擅自接入HUB的事件发生。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage11第一章网络整体结构简介第二章支行网络结构简介第三章支行实施简介第四章网点&部分支行结构简介第五章网点&部分支行实施简介第六章支行&网点测试简介第七章网管系统eSight使用简介HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage12HuaweiAR2201简介AR2201描述：转发性能：1Mpps固定接口：2*GE（1*Combo），48*FE插槽：1*扣卡扩展槽外形尺寸（HxWxD）：44.5mmx442mmx310mmHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage13HuaweiS5700-28P-LI简介S5700-28P-LI描述：固定接口：4*GE，24*FE外形尺寸（HxWxD）：44.5mmx442mmx310mmHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage14支行实施准备工作确保广域网线路测试通过确认现场安装环境十字改锥、一字改锥、斜口钳、网线钳、网线测试仪网络线缆（2根以上），机架安装固定螺母（杆）配置工具（笔记本电脑、console线缆）HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage15支行实施步骤（一）——设备安装确认设备安装位置，按照华为硬件质量标准进行设备上架安装、加电确认设备加电正常加电完成后，查看设备运行状态，确保正常后进行设备调试参考命令：displaydevice//查看设备单板状态displayinterfacebrief//查看设备端口状态displayversion//查看设备版本信息displayhealth//设备健康检查displayelabel//查看设备电子标签displayalarmall//查看设备告警信息HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage16支行实施步骤（二）——调测AR２２０１配置与总行科技部NE20E对接端口数据配置完成后查看此接口状态，确保物理、协议链路均为up状态ping测与NE20E上接口地址参考命令：[Huawei]interfaceGigabitEthernet0/0/0//进入接口视图[Huawei-GigabitEthernet0/0/0]ipaddress10.12.0.1330//配置接口IP地址[Huawei-GigabitEthernet0/0/0]description//端口描述[Huawei]displayinterfaceGigabitEthernet0/0/0//查看接口状态HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage17支行实施步骤（三）——调测S5700配置与支行AR2201对接端口数据配置完成后查看此接口状态，确保物理、协议链路均为up状态ping测与AR2201上管理地址参考命令：[Huawei]interfaceGigabitEthernet0/0/0//进入接口视图[Huawei-GigabitEthernet0/0/0]ipaddress10.12.0.1330//配置接口IP地址[Huawei-GigabitEthernet0/0/0]description//端口描述[Huawei]displayinterfaceGigabitEthernet0/0/0//查看接口状态HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage18支行实施步骤（三）——调测S5700配置与支行AR2201对接端口数据配置完成后查看此接口状态，确保物理、协议链路均为up状态ping测与AR2201上管理地址参考命令：HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage19支行实施步骤（四）——S5700接入终端HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage20支行实施步骤（五）——终端接入测试在交换机上接入移动PC办公网端口能够获取到办公网段IP地址，能够ping通DNS，并且能够上互联网准生产网端口能获取到准生产网段IP地址，访问准生产业务。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage21支行实施步骤（六）——终端接入切换支行接入终端线路支行维护人员进行终端IP地址修改为自动获取打印机提供MAC地址给总行科技部，进行MAC地址绑定华为工程师协助处理在切换过程中的网络故障HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage22第一章网络整体结构简介第二章支行网络结构简介第三章支行实施简介第四章网点&部分支行结构简介第五章网点&部分支行实施简介第六章支行&网点测试简介第七章网管系统eSight使用简介HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage23网点&部分支行网络拓扑HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage24网点&部分支行结构简介使用新采购接入路由器替换网点接入交换机，并将二类网接入方式改造为接入路由器直接连接二类网汇聚路由器的方式。作为一类生产网备份链路。部署DHCP服务器来分配办公网终端的IP地址，启用安全特性保护DHCP服务器不被攻击，防止网内ARP攻击，除必要设备（如网络打印机）需要手工分配IP地址外，其他终端禁止手工更改IP地址。目标网络的QOS一类网业务分类沿用现网的分类；二类网业务分为视频会议、准生产、OA和其他业务，由于涉及到一类网和二类网的线路备份，QOS部署需要在每条线路上考虑两种业务的服务保障，两条线路均优先保障一类网业务即优先保证生产业务。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage2