二级分行网络实施方案.docx

二级分行网络实施方案.docx

《二级分行网络实施方案.docx》由会员分享，可在线阅读，更多相关《二级分行网络实施方案.docx（42页珍藏版）》请在冰豆网上搜索。

二级分行网络实施方案

二级分行网络实施方案

1.前言

1.1.文档目的

本文档是中国农业银行新疆分行二级分行数据中心两网融合及UTM部署的详细技术方案，对本次项目的总体设计方向、详细设计思路进行了阐述。

编写本文档的主要目的，旨在明确本次项目所要达成的总体目标，并针对现有的网络状况和需求，提供切实可行的解决方案，为日后网络改造项目的实施奠定技术基础。

此文档以试点行昌吉分行为参考进行编写，后续各分行均以此方案为标准进行实施。

1.2.适用对象

本文档适用的对象主要是负责此次新一代网络融合及UTM部署实施的网络设计工程师、项目实施工程师，以及新疆区分行及各二级分行网络维护人员。

1.3.参考文档

《中国农业银行全国网络IP地址规划》

《中国农业银行新一代网络规划落地实施项目广域网概要设计方案20130314A》

《中国农业银行一级分行数据中心网络建设管理规范3.4.1》

《中国农业银行新一代网络规划落地实施项目分行数据中心详细设计方案-20130411A》

《中国农业银行网络架构规划汇报v2.3》

2.项目概述

1

2

2.1项目背景

随着农行业务的不断发展，现已存在很多既面向办公又面向生产的类业务，如BOEing系统等。

同时大量的服务器已经实现资源池化，资源池对网络的动态需求导致目前的网络结构很难满足系统部署的要求。

所以在总行的统一规划和指导下，新疆分行整合多方资源对二级分行现有网络进行改造，以满足业务发展的需求。

2.2总体目标

本次改造任务总体目标旨在构建安全、可靠、高效、灵活的二级分行网络系统，保障全行业务的安全、稳定运行。

根据区行的相关要求，改造后的网络系统，应符合以下要求：

✓二级分行生产办公网络融合为一张网络，为新业务上线提供基础平台；

✓广域分布上部署UTM设备用来控制二级分行用户域与服务域之间的数据流量；

✓二级行两台广域上联路由器上部署2条不同运营商的线路，分别用来承载不同的业务数据并实现互为备份；

✓网点的两条MSTP链路分别承载不同的业务流量并实现互为备份；

✓规范二级分行机房服务器及楼层交换机的接入方式；

2.3实施原则

为了确保我行网络施工的顺利实施，必须遵循如下原则：

1.充分做好准备工作，施工条件全部满足；

2.实施过程简单，可复制操作性强；

3.安装过程可逆，能够快速回退；

4.整个实施过程对现网运行业务影响可控；

3设备安装

3.

3.1.设备板卡安装位置

3.1.1.广域分布交换机

槽位

板卡型号

板卡类型

备注

slot0

LSQM1SRPA0

交换路由引擎

slot1

LSQM1SRPA0

交换路由引擎

slot2

空闲

预留

slot3

LSQM1GP48SC0

48端口千兆/百兆以太网光接口板

slot4

空闲

预留

slot5

空闲

预留

slot6

LSQM1GV48SA0

48端口千兆以太网电接口板

slot7

LSQM1NSMSC0

NetStream业务板

3.1.2.局域网生产核心交换机

槽位

板卡型号

板卡类型

备注

slot0

LSQM1SRPA0

交换路由引擎

slot1

LSQM1SRPA0

交换路由引擎

slot2

空闲

预留

slot3

LSQM1GP48SC0

48端口千兆/百兆以太网光接口板

slot4

空闲

预留

slot5

空闲

预留

slot6

LSQM1GV48SA0

48端口千兆以太网电接口板

slot7

LSQM1NSMSC0

NetStream业务板

3.1.3.局域网办公核心交换机

槽位

板卡型号

板卡类型

备注

slot0

LSQM1SRPA0

交换路由引擎

slot1

LSQM1SRPA0

交换路由引擎

slot2

空闲

预留

slot3

LSQM1GP48SC0

48端口千兆/百兆以太网光接口板

slot4

空闲

预留

slot5

空闲

预留

slot6

LSQM1GV48SA0

48端口千兆以太网电接口板

slot7

LSQM1NSMSC0

NetStream业务板

3.2.软件开局版本

序号

设备型号

VRP软件版本

BOOTROM版本

1

S7506E-S

H3C_S7500E-CMW520-R6708P05

系统缺省

4网络总体设计

1.

2.

3.

4.

4.1.网络现状

目前新疆各地州分行广域上联采用两台H3CSR6608路由器，广域分布、生产核心、办公核心均为两台锐捷S8600交换机，下联网点采用两台H3CS7506E交换机、部分地州有1-2台H3CSR6608路由器连接地州ATM。

各地州二级分行现网整体拓扑结构及路由拓扑如下图：

上图以昌吉分行为例。

上图以昌吉分行为例。

4.2.改造后网络整体结构

本次网络改造将各地州二级分行生产办公进行融合，局域网保留生产、办公各两台核心设备；下联网点交换机及连接ATM路由器连接WN_DS为全互联；每个网点以双线路的方式上联到二级分行；ATM以单线连接到二级分行。

二级分行改造后整体网络结构如下图：

上图以昌吉分行为例。

此次改造后，两网融合后与两网融合前的网络物理架构保持不变。

局域网设备之间，与广域WN_DS之间，WN_DS之间由原来单线连接，更改为使用聚合端口进行连接。

改造后二级分行局域网运行路由协议OSPF，进程号为500；取消原局域网生产核心、办公核心OSPF100和OSPF200的相关配置；下联汇聚交换机与网点设备运行OSPF400；下联ATM路由器与ATM设备运行OSPF400；改造后整体路由规划如下图：

此次改造对二级分行的物理结构不作变动，在路由结构中，按照总行对两网融合的要求，对路由进行变更。

具体路由更改下面章节进行详细描述。

5网络基础参数规划

5.

5.1.设备命名

根据总行相关规范，设备命名规范为：

字段1_字段2_字段3nn。

字段1=二级分行缩写+行级；

（行级一级分行：

1二级分行：

2三级支行：

3分理处：

5）

字段2=用于标识功能区（WN、CO、OS、OM等）；

字段3=用于标识设备功能（CS、DS、AS、AR、UTM、FW等）；

nn=用于标识网络设备编号（01–99）；

二级分行核心设备命名如下表（以昌吉分行行为例）：

设备功能用途

原设备命名

新设备命名规则

分行广域上联路由一

XJCJ2_WN_AR01

XJCJ2_WN_AR01

分行广域上联路由二

XJCJ2_WN_AR02

XJCJ2_WN_AR02

分行广域分布交换机一

XJCJ2_WN_DS01

XJCJ2_WN_DS01

分行广域分布交换机二

XJCJ2_WN_DS02

XJCJ2_WN_DS02

分行局域网生产核心交换一

XJCJ2_CO_CS01

XJCJ2_CO_CS01

分行局域网生产核心交换二

XJCJ2_CO_CS02

XJCJ2_CO_CS02

分行局域网办公核心交换一

XJCJ2_OA_CS01

XJCJ2_OC_CS01

分行局域网办公核心交换二

XJCJ2_OA_CS02

XJCJ2_OC_CS02

分行网点汇聚交换一

XJCJ2_WN_AS01

XJCJ2_WN_AS01

分行网点汇聚交换二

XJCJ2_WN_AS02

XJCJ2_WN_AS02

分行ATM汇聚路由器一

XJCJ2_WN_AR03

XJCJ2_WN_AR03

分行ATM汇聚路由器二

XJCJ2_WN_AR04

XJCJ2_WN_AR04

5.2.VLAN规划

根据总行规范《中国农业银行新一代网络规划落地实施项目分行数据中心概要设计方案20130314A》，二级行VLAN使用规划参照一级分行VLAN划分原则，具体规划如下表：

功能分区

子区域

VLAN范围

网络设备互联VLAN

800-849

本地服务器接入VLAN

生产服务

200-229

办公服务

230-249

本地用户接入VLAN

生产用户

850-899

办公用户

900-949

运管接入VLAN

500-599

5.3.IP地址使用规划

5.3.1.地址使用原则

1.网络设备互连和网络设备的Loopback地址使用原则：

●考虑临时加入网络监控工具的可能性，使用29位掩码，地址从低到高分配；

●同类设备互连，编号小的设备取奇地址，编号大的设备取偶地址；

●不同层次的设备互连，靠近网络核心的设备取奇地址，远离的设备取偶地址；

●网络设备的Loopback管理地址：

使用32位掩码，地址从高到低分配。

●新疆分行各地州二级分行数据中心网络设备互联现在使用30互联地址，此次网络实施时不对互联IP地址进行更改。

2.下联网点MSTP广域网链路地址：

●广域网各节点的分布层、接入层网络设备互联使用的地址；

●互联地址使用30位掩码的地址，地址分配的顺序是从总行向外，按照从低到高的顺序分配；

●同层设备互连时：

编号小的设备取奇地址，编号大的设备取偶地址；

●不同层次的设备互连：

靠近省行的设备取奇地址，远离省行的设备取偶地址。

3.网关地址的使用原则

●参照农行网络原有习惯，取每个网段的末地址为网段网关地址

●如采用VRRP，主从地址向前顺延2个地址，编号小的设备取奇地址，编号大的设备取偶地址。

5.3.2.IP地址整体规划

以昌吉分行为例:

单位

原用途

地址范围

地址空间

昌吉分行

生产

10.144.160.0-175.0

16个C

办公

10.146.64.0-79.0

16个C

视频监控

10.147.91.0-96.0

5个C

广域

10.250.100.0-103.0

4个C

5.4.端口、VLAN描述

1、端口描述

（1）连接端口命名

TO-对端设备名-对端端口号

例如：

昌吉分行广域分布交换机01的G1/0/1口连接局域网生产核心交换机01端口G1/0/1，则WN_DS01的G1/0/1的端口描述为“TO-XJCJ2_CO_CS01-G0/0/1”。

（2）环回端口命名

设备名称-用途

例如：

昌吉分行生产核心交换机LO端口描述为：

XJCJ2_CO_CS01-O500-RID

2、VLAN及SVI接口描述

功能区/VLAN用途-VLAN号

例如：

昌吉分行生产核心交换机生产服务VLAN的VLAN号为100，描述VLAN和SVI接口为“XJCJ2_CO/SCFW-V100”。

3、核心设备线缆标签描述：

本端设备逻辑名称_端口编号TO对端设备逻辑名称_端口编号

5.5.IP、VLAN、端口具体分配表

详细的IP地址、VLAN信息、端口规划等信息见《昌吉分行信息规划表》。

6生产办公融合网络设计

6.

6.1.网络物理连接

本次新疆分行各地州二级分行生产办公融合后，二级分行中心局域网对生产、办公业务不再进行隔离，路由层面进行互通。

最终实现总行统一要求的两网融合需求。

原生产外联区外墙直接连接到新的核心交换机上。

改造后具体网络结构如下图：

6.2.网络逻辑连接

各二级行网络设备IP、VLAN连接信息如下图所示：

6.3.路由系统设计