网工方案怎么写？

时间：2023-06-17 17:03:02 | 来源：网站运营

时间：2023-06-17 17:03:02 来源：网站运营

网工方案怎么写？：

一、什么是方案？

很多小白，以为写方案就是写配置脚本，但真正做项目之后发现配置只是一小块内容。

网络改造实施的背景、拓扑、技术分析、实施步骤、然后才是脚本。

方案提供的是网络项目的整体指导思想，问自己几个问题：为何需要改造？为何需要使用这种技术？与原来的网络结构有什么区别？实施难点在哪？

二、为何需要方案？

做工程师时候，割接改造前都得审核方案，就有一个新手工程师让他写一个简单的设备替换方案，写了两天，直接丢一个配置脚本过来，整个脚本3页（包含封面）。这是我故意刁难新手工程师？下面我讲讲为何需要这些方案。

方案需要进行论述技术的实现，中间的风险点，以及配置技术的优缺点，里面包含的思想。1）就算现在的这一波工程师懂了，以后呢？换人之后完全不知道怎么设计的缘由是什么？方案就是提供思想，之后入场的工程师的指导思想（IT行业跳槽频繁是很正常的一件事）；

2）包含了风险点，以及设计技术原理，审核的工程师、甲方、上级领导是要背锅的，网络割接改造难免出现一些意料之外的风险，共通审核可以降低责任；

3）下端工程师，拿到方案，可以根据方案设计指导编写对应的配置脚本，因为存在理论设计原理；

三、方案几种类型

设计方案、割接方案（实施方案）、操作步骤（脚本）、

1.设计方案

设计方案在大型的网络整体设计中比较常见，提供整体网络流量、冗余、安全、负载分析和研究，提供整体大型网络的指导思想。

比如接口突发峰值流量用怎样的QOS进行线路保障？要用多大的带宽比较适合？

比如双机热备怎样应对设备故障？堆叠？VRRP？路由负载均衡？线路捆绑？

比如内外网不同的安全等级如何进行路由控制分离？MPLS VPN？物理隔离？网闸？防火墙策略控制

比如多节点使用如何设计ospf区域？如何汇总路由？静态重分布tag标记哪里做？

......

设计方案更多体现的是技术理论上的论证，思想规范。

2.割接方案（实施方案）

割接方案在现网中也叫做实施方案，具体讲的是如何实现，具体配置的作用，实施的难度，以及过渡的方式等等，如果是新技术还得可行性验证，最好提供售前测试。

比如堆叠使用可能遇到双活问题怎么操作？

比如割接的时候如何进行平滑切换？

比如思科换成华为的设备如何进行配置命令转换？

比如无线AC+AP部署如何搞定自动注册上线？

......

这些都是具体又详细的问题，以及解决方式。

然后在搭配具体的操作步骤，准备工作该做什么？割接时需要如何操作？割接、验证、回退、验证具体配合人员有哪些？

四、如何写方案？

写方案不是工程师一顿配置猛如狗，需要的是文字表达、拓扑呈现、表格清晰。

1.背景

一个正常的方案在20~200页左右，开头简述下项目的背景，比如现在网络年久失修，担心哪天嗝屁了，所以换换换。

2.改造前拓扑

然后就是拓扑了，现在网络整体拓扑呈现出来，顺带分析下要改造的部分有什么问题？有多重要？连接区域运行什么协议？防火墙策略怎么开放的？比如老设备运行hsrp，流量负载分担不均衡，一台累死，一台闲死，ospf运行没规划好骨干和非骨干，造成ospf路由汇总做不了。ospf的点对点的线路还选个屁的dr，直接p2p类型就行了。比如防火墙策略有很多无效策略，留着过年？

3.改造后拓扑

改造后的拓扑，拿出来遛一遛，就像整容前，整容后对比图，解决所有现在网络的问题，能够再造10年之类的。接下来就按照连接的各个区域分析改造后的优势，比如思科改成华为的，国货之光....。比如hsrp改成堆叠，放心大胆的捆绑起来线路流量负载均衡，两台一起干，花两份钱干两份事。ospf改成多个进程重分布啥的，asbr路由汇总也干净。点对点的全改成p2p结构加快收敛效率。防火墙策略一个个去核对过去，有用的明确哪个业务，哪个接口人，没人要的策略全部清除。

4.改造中拓扑

改造要平滑，震荡要最小，那就得设计改造中的临时网络，额外拉线去对接其他设备的接口，改造的时候如何切换流量到新设备上去，业务震荡会怎样？比如核心骨干的，一抖动就是几万人的影响，能做到毫秒级的？（钱到位当然可以了）

5.路由设计

ospf多好啊，骨干、非骨干，多进程隔离，又是共有协议，静态注入打上标识区分下等等，比如A设备上静态打上tag 10的重分布修改cost 100，静态打上tag 20的重分布修改cost 200；B设备上静态打上tag 10的重分布修改cost 200，静态打上tag 20的重分布修改cost 100；做好路由的负载啥的。

bgp多牛逼啊，几万条路由不在话下，还能未来升级mpls，还能打上communit、本地优先级选路，加上bfd+frr毫秒级切换不在话下.....，那么怎么设计的？bgp的rr节点、路由汇总节点、重分布到ospf的节点设计啥的。

6.冗余设计

双机设备容易，有备无患，双线路捆绑带宽加倍还能备份。

堆叠怎样？HA怎样？VRRP如何？ospf协议设计路由冗余如何？

堆叠有千般好，设备不浪费，维护又简单，bfd干起来双活也不怕。

ospf多线路路由备份，断了一条还有一条......

7.安全设计

防火墙策略控制如何？MPLS VPN路由隔离如何？IPS防病毒如何？IDS检测点扫描如何？堡垒机安全审计如何？WAF出口防护如何？

防火墙策略做数据层面的控制，对流量进行过滤，类似ACL的功能，但多了zone的控制，zone可以关联到接口，正常情况zone分为trust、untrust、dmz，还能自定义区域，默认情况下各个区域都是没有策略的。

trust区域为信任区域，正常情况内网连接的接口划分到这个区域。

untrust区域为不信任区域，正常情况外网或者第三方连接的接口划分到这个区域。

dmz区域为非交火区域，主要是服务器或服务端存放的位置。

防火墙的策略开通具有方向性，比如trust→untrsut，动作允许，源ip、源端口、目的ip、目的端口、协议，默认会生成session（类似nat的session）主要返程的流量，流量主动发起从trust发起，untrust主动发起不会允许。

8.线路设计

综合布线机构立体图，几u的大设备摆上去，6类屏蔽线走起来。

运营商的专线多局点设计加进来。

强电走地，弱电走天，跳线架跳线，强电要考虑到ups、市电，双电源冗余。

弱电cat6屏蔽线还是cat5e，成品线还是非成品。

9.ip地址设计

物理地址、逻辑地址、业务地址规划好，新设备新物理地址，业务地址不用动。

物理地址主要是负责网络设备间的通信，作为底层通信，点对点设计时候多数使用/30掩码的IP地址（只有两个可用的IP）。

逻辑地址（loop）主要是作为远程telnet，snmp，作为管理地址，bgp环境中设计作为bgp建立邻居的ip地址，使用/32掩码作为逻辑地址。

业务地址主要是作为终端、服务端使用，按照数量和需求进行掩码规划。

所有设计的IP地址要做好路由汇总，按照业务，比如金融、监控、生产、办公。按照地域，比如全国、省级、地市、网点。按照功能，比如物理、逻辑、业务。做好汇总可以有效减少网络设备中运行的路由数量，降低设备负载压力。

五、实施配置方案

实施配置主要分为时间、人员、割接配置、验证、回退。

1.时间

割接时间点，多数在夜间业务低谷期进行操作，需要与甲方进行沟通确认，多数情况甲方需要申请业务部门调度通知。

2.人员

甲方、集成商、厂家。

甲方网络管理员负责设备登入权限，机房门禁权限，远程登录堡垒机、ssh或者console等操作。

甲方业务人员负责验证业务是否正常。

集成商负责割接操刀，集中协调甲方、厂家、集成商，割接主力军。

厂家人员遇到技术问题，或者bug解决技术疑难杂症。

3.割接配置

配置在割接前都验证过，需要经过审批核验，现场只需要按照配置进行刷入脚本，但在割接时有很多不确定因素需要现场调整脚本配置，需要对配置非常熟练，理论具有一定深度。

4.验证

开始割接前、割接后都需要进行业务验证，主要是甲方业务人员进行，割接执行工程师可以通过长ping，telnet端口号，tracert进行基本验证。

5.回退

在割接配置失败，技术排障手段、厂家技术支持失败，短期解决不了问题，只能回退到原来的配置和设备状态，回退需要有甲方决策人员确认，回退后需要甲方业务部门再进行验证业务是否正常。（作为网工最不希望看到回退）

ps：回退如果验证还是失败，那就.........................