二级分行网络实施方案.docx

1、二级分行网络实施方案二级分行网络实施方案1. 前言1.1. 文档目的本文档是中国农业银行新疆分行二级分行数据中心两网融合及UTM部署的详细技术方案，对本次项目的总体设计方向、详细设计思路进行了阐述。编写本文档的主要目的，旨在明确本次项目所要达成的总体目标，并针对现有的网络状况和需求，提供切实可行的解决方案，为日后网络改造项目的实施奠定技术基础。此文档以试点行昌吉分行为参考进行编写，后续各分行均以此方案为标准进行实施。1.2. 适用对象本文档适用的对象主要是负责此次新一代网络融合及UTM部署实施的网络设计工程师、项目实施工程师，以及新疆区分行及各二级分行网络维护人员。1.3. 参考文档中国农业银

2、行全国网络IP地址规划中国农业银行新一代网络规划落地实施项目广域网概要设计方案20130314A中国农业银行一级分行数据中心网络建设管理规范3.4.1中国农业银行新一代网络规划落地实施项目分行数据中心详细设计方案-20130411A中国农业银行网络架构规划汇报v2.32. 项目概述1 2 2.1 项目背景随着农行业务的不断发展，现已存在很多既面向办公又面向生产的类业务，如BOEing系统等。同时大量的服务器已经实现资源池化，资源池对网络的动态需求导致目前的网络结构很难满足系统部署的要求。所以在总行的统一规划和指导下，新疆分行整合多方资源对二级分行现有网络进行改造，以满足业务发展的需求。2.2

3、总体目标本次改造任务总体目标旨在构建安全、可靠、高效、灵活的二级分行网络系统，保障全行业务的安全、稳定运行。根据区行的相关要求，改造后的网络系统，应符合以下要求： 二级分行生产办公网络融合为一张网络，为新业务上线提供基础平台； 广域分布上部署UTM设备用来控制二级分行用户域与服务域之间的数据流量； 二级行两台广域上联路由器上部署2条不同运营商的线路，分别用来承载不同的业务数据并实现互为备份； 网点的两条MSTP链路分别承载不同的业务流量并实现互为备份； 规范二级分行机房服务器及楼层交换机的接入方式；2.3 实施原则为了确保我行网络施工的顺利实施，必须遵循如下原则：1. 充分做好准备工作，施工条

4、件全部满足；2. 实施过程简单，可复制操作性强；3. 安装过程可逆，能够快速回退；4. 整个实施过程对现网运行业务影响可控；3 设备安装3. 3.1. 设备板卡安装位置3.1.1. 广域分布交换机槽位板卡型号板卡类型备注slot0LSQM1SRPA0交换路由引擎slot1LSQM1SRPA0交换路由引擎slot2空闲预留slot3LSQM1GP48SC048端口千兆/百兆以太网光接口板slot4空闲预留slot5空闲预留slot6LSQM1GV48SA048端口千兆以太网电接口板slot7LSQM1NSMSC0NetStream业务板3.1.2. 局域网生产核心交换机槽位板卡型号板卡类型备注s

5、lot0LSQM1SRPA0交换路由引擎slot1LSQM1SRPA0交换路由引擎slot2空闲预留slot3LSQM1GP48SC048端口千兆/百兆以太网光接口板slot4空闲预留slot5空闲预留slot6LSQM1GV48SA048端口千兆以太网电接口板slot7LSQM1NSMSC0NetStream业务板3.1.3. 局域网办公核心交换机槽位板卡型号板卡类型备注slot0LSQM1SRPA0交换路由引擎slot1LSQM1SRPA0交换路由引擎slot2空闲预留slot3LSQM1GP48SC048端口千兆/百兆以太网光接口板slot4空闲预留slot5空闲预留slot6LSQM1

6、GV48SA048端口千兆以太网电接口板slot7LSQM1NSMSC0NetStream业务板3.2. 软件开局版本序号设备型号VRP软件版本BOOTROM版本1S7506E-SH3C_S7500E-CMW520-R6708P05系统缺省4 网络总体设计1. 2. 3. 4. 4.1. 网络现状目前新疆各地州分行广域上联采用两台H3C SR6608路由器，广域分布、生产核心、办公核心均为两台锐捷 S8600交换机，下联网点采用两台H3C S7506E交换机、部分地州有1-2台H3C SR6608路由器连接地州ATM。各地州二级分行现网整体拓扑结构及路由拓扑如下图： 上图以昌吉分行为例。上图以

7、昌吉分行为例。4.2. 改造后网络整体结构本次网络改造将各地州二级分行生产办公进行融合，局域网保留生产、办公各两台核心设备；下联网点交换机及连接ATM路由器连接WN_DS为全互联；每个网点以双线路的方式上联到二级分行；ATM以单线连接到二级分行。二级分行改造后整体网络结构如下图：上图以昌吉分行为例。此次改造后，两网融合后与两网融合前的网络物理架构保持不变。局域网设备之间，与广域WN_DS之间，WN_DS之间由原来单线连接，更改为使用聚合端口进行连接。改造后二级分行局域网运行路由协议OSPF，进程号为500；取消原局域网生产核心、办公核心OSPF 100和OSPF 200的相关配置；下联汇聚交换

8、机与网点设备运行OSPF 400；下联ATM路由器与ATM设备运行OSPF 400；改造后整体路由规划如下图： 此次改造对二级分行的物理结构不作变动，在路由结构中，按照总行对两网融合的要求，对路由进行变更。具体路由更改下面章节进行详细描述。5 网络基础参数规划5. 5.1. 设备命名根据总行相关规范，设备命名规范为：字段1_字段2_字段3nn。字段1=二级分行缩写+行级；（行级 一级分行：1 二级分行：2 三级支行：3 分理处：5）字段2=用于标识功能区(WN、CO、OS、OM等)；字段3=用于标识设备功能(CS、DS、AS、AR、UTM、FW等)；nn=用于标识网络设备编号(01 99)；

9、二级分行核心设备命名如下表（以昌吉分行行为例）：设备功能用途原设备命名新设备命名规则分行广域上联路由一XJCJ2_WN_AR01XJCJ2_WN_AR01分行广域上联路由二XJCJ2_WN_AR02XJCJ2_WN_AR02分行广域分布交换机一XJCJ2_WN_DS01XJCJ2_WN_DS01分行广域分布交换机二XJCJ2_WN_DS02XJCJ2_WN_DS02分行局域网生产核心交换一XJCJ2_CO_CS01XJCJ2_CO_CS01分行局域网生产核心交换二XJCJ2_CO_CS02XJCJ2_CO_CS02分行局域网办公核心交换一XJCJ2_OA_CS01XJCJ2_OC_CS01分行

10、局域网办公核心交换二XJCJ2_OA_CS02XJCJ2_OC_CS02分行网点汇聚交换一XJCJ2_WN_AS01XJCJ2_WN_AS01分行网点汇聚交换二XJCJ2_WN_AS02XJCJ2_WN_AS02分行ATM汇聚路由器一XJCJ2_WN_AR03XJCJ2_WN_AR03分行ATM汇聚路由器二XJCJ2_WN_AR04XJCJ2_WN_AR045.2. VLAN规划根据总行规范中国农业银行新一代网络规划落地实施项目分行数据中心概要设计方案20130314A，二级行VLAN使用规划参照一级分行VLAN划分原则，具体规划如下表：功能分区子区域VLAN范围网络设备互联VLAN800-8

11、49本地服务器接入VLAN生产服务200-229办公服务230-249本地用户接入VLAN生产用户850-899办公用户900-949运管接入VLAN500-5995.3. IP地址使用规划5.3.1. 地址使用原则1. 网络设备互连和网络设备的Loopback地址使用原则： 考虑临时加入网络监控工具的可能性，使用29位掩码，地址从低到高分配； 同类设备互连，编号小的设备取奇地址，编号大的设备取偶地址； 不同层次的设备互连，靠近网络核心的设备取奇地址，远离的设备取偶地址； 网络设备的Loopback管理地址：使用32位掩码，地址从高到低分配。 新疆分行各地州二级分行数据中心网络设备互联现在使用

12、30互联地址，此次网络实施时不对互联IP地址进行更改。2. 下联网点MSTP广域网链路地址： 广域网各节点的分布层、接入层网络设备互联使用的地址； 互联地址使用30位掩码的地址，地址分配的顺序是从总行向外，按照从低到高的顺序分配； 同层设备互连时：编号小的设备取奇地址，编号大的设备取偶地址； 不同层次的设备互连：靠近省行的设备取奇地址，远离省行的设备取偶地址。3. 网关地址的使用原则 参照农行网络原有习惯，取每个网段的末地址为网段网关地址 如采用VRRP，主从地址向前顺延2个地址，编号小的设备取奇地址，编号大的设备取偶地址。5.3.2. IP地址整体规划 以昌吉分行为例:单位原用途地址范围地址

13、空间昌吉分行生产10.144.160.0-175.016个C办公10.146.64.0-79.016个C视频监控10.147.91.0-96.05个C广域10.250.100.0-103.04个C5.4. 端口、VLAN描述1、端口描述(1) 连接端口命名TO-对端设备名-对端端口号例如：昌吉分行广域分布交换机01的G1/0/1口连接局域网生产核心交换机01端口G1/0/1，则WN_DS01的G1/0/1的端口描述为“TO-XJCJ2_CO_CS01-G0/0/1”。（2）环回端口命名设备名称-用途例如：昌吉分行生产核心交换机LO端口描述为：XJCJ2_CO_CS01-O500-RID2、VL

14、AN及SVI接口描述功能区/VLAN用途-VLAN号例如：昌吉分行生产核心交换机生产服务 VLAN的VLAN号为100，描述VLAN和SVI接口为“XJCJ2_CO/SCFW-V100”。3、核心设备线缆标签描述：本端设备逻辑名称_端口编号 TO 对端设备逻辑名称_端口编号5.5. IP、VLAN、端口具体分配表详细的IP地址、VLAN信息、端口规划等信息见昌吉分行信息规划表。6 生产办公融合网络设计6. 6.1. 网络物理连接本次新疆分行各地州二级分行生产办公融合后，二级分行中心局域网对生产、办公业务不再进行隔离，路由层面进行互通。最终实现总行统一要求的两网融合需求。原生产外联区外墙直接连接到新的核心交换机上。改造后具体网络结构如下图：6.2. 网络逻辑连接各二级行网络设备IP、VLAN连接信息如下图所示：6.3. 路由系统设计