某銀行網(wǎng)絡(luò)機房搬遷方案說明

1、WORD 完美格式XX 銀行網(wǎng)絡(luò)機房搬遷方案.整理分享 .WORD 完美格式目錄一、需求分析.31.1當前拓撲分析 .31.2新拓撲設(shè)計 .51.3搬遷方案核心思想 .6二、實施方案及應(yīng)急預(yù)案 .72.1搬遷總原則 .72.2整體搬遷方案 .82.2.1第一階段：線路準備 .82.2.2第二階段：新機房設(shè)備上架.112.2.3第三階段：裸光纖二層透傳.132.2.4第四階段：服務(wù)器搬遷及線路割接.142.2.5第五階段：主線路割接 .162.2.6第六階段：核心遷移 .172.2.7第七階段：網(wǎng)絡(luò)整體調(diào)整 .18.整理分享 .WORD 完美格式一、需求分析1.1 當前拓撲分析XX 銀行網(wǎng)絡(luò)拓撲

2、（改造前）目前， XX 銀行的網(wǎng)絡(luò)包括兩臺華為S8505 交換機作為分行核心交換機，所有的 VLAN 的網(wǎng)關(guān)都設(shè)置在這兩臺交換機上。 S8505 之間使用千兆以太網(wǎng)通道互聯(lián)。下掛 8 臺樓層交換機，分別作為分行營業(yè)廳、分行前置服務(wù)器群、分行辦公生產(chǎn)網(wǎng)的接入交換機， 每臺接入交換機只有單條上行線路。在上聯(lián)區(qū)，通過一臺思科 3745 與華為 NE16 路由器上聯(lián)總行，上聯(lián)線路包括兩條電信2M SDH 線路。在上聯(lián)路由器與核心交換機之間還串聯(lián)了兩臺防火墻，該防火墻與核心交換機交叉連接，運行在透明模式下，總行網(wǎng)絡(luò)處在INSIDE 范圍內(nèi)，分行及支行網(wǎng)絡(luò)處在 OUTSIDE 范圍內(nèi)。在下聯(lián)區(qū)，使用兩臺華

3、為NE16 路由器作為下聯(lián)路由器與.整理分享 .WORD 完美格式分行核心交換機交叉連接， 共使用兩條線路，分別為電信的 2M SDH 和 64K DDN線路。在支行網(wǎng)絡(luò)中， 使用一臺華為 AR2831 與分行兩臺下聯(lián)路由器相連，下掛兩臺辦公及業(yè)務(wù)交換機。 在外聯(lián)區(qū)，使用一臺 AR2831 與外聯(lián)單位連接， 在外聯(lián)路由器與核心交換機之間還串聯(lián)了兩臺防火墻，在兩臺防火墻上做NAT 地址轉(zhuǎn)換。XX 銀行路由示意圖目前， XX 銀行范圍內(nèi)全部使用OSPF 路由協(xié)議，分行作為OSPF 區(qū)域 0，各支行作為區(qū)域N，并且在上聯(lián)總行的兩臺路由器上運行BGP 與 OSPF 路由協(xié)議并進行重分布。在外聯(lián)區(qū)，使用

4、靜態(tài)路由與外聯(lián)單位連接。.整理分享 .WORD 完美格式1.2 新拓撲設(shè)計新拓撲設(shè)計示意圖根據(jù) XX 銀行的具體需求與總行下發(fā)的網(wǎng)絡(luò)建設(shè)指導(dǎo)規(guī)范，我司對的網(wǎng)絡(luò)做了如下更改：1、在分行核心交換區(qū)使用兩臺H3C S7506E 交換機取代現(xiàn)有的華為S8505交換機，兩臺 S7506E 配備有防火墻模塊，使用虛擬防火墻技術(shù)，能對每個功能分區(qū)提供有效的保護。并且在兩臺S7506E 之間使用 H3C 獨有的 IRF2 智能彈性架構(gòu)技術(shù)，將兩臺核心交換機虛擬成一臺核心交換機，簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)與配置，提高網(wǎng)絡(luò)的冗余度與高可用性。2、原核心交換機 S8505 作為分行辦公生產(chǎn)網(wǎng)的匯聚層交換機，與新核心交換機之間

5、呈口字型結(jié)構(gòu)， 下掛各樓層交換機。 各樓層交換機使用雙上行鏈路與匯聚層交換機 S8505 連接。使用 H3C S3600 系列交換機取代原有的樓層交換機。.整理分享 .WORD 完美格式3、在服務(wù)器區(qū)使用 H3C S5500 系列交換機取代原有的交換機。S5500 交換機支持 H3C 獨有的 IRF2 智能彈性架構(gòu)技術(shù)， 可以將兩臺交換機虛擬成一臺交換機，簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)與配置，提高網(wǎng)絡(luò)的冗余度與高可用性。這樣，在服務(wù)器區(qū)匯聚層交換機與核心交換機之間就沒有形成2 層環(huán)路，不存在生成樹問題了。4、在上聯(lián)區(qū)，取消兩臺防火墻，直接使用核心交換機的防火墻模塊。使用思科 3845 取代原有的上聯(lián)NE16

6、 路由器。兩臺上聯(lián)路由器與核心交換機之間使用交叉連接，提高網(wǎng)絡(luò)冗余度。5、在下聯(lián)區(qū)，使用兩臺H3C MSR5060 取代原有的兩臺NE16，并且將下聯(lián)線路全部更換為2M MSTP 線路。6、在支行網(wǎng)絡(luò)新增一臺MSR3020 路由器，按的需求，辦公與業(yè)務(wù)同等重要，因此將辦公與業(yè)務(wù)交換機設(shè)計兩個網(wǎng)絡(luò)出口，以提高線路冗余性和利用率。7、在外聯(lián)區(qū)，使用下聯(lián)區(qū)淘汰下來的NE16 作為新的外聯(lián)路由器，新增一臺外聯(lián)交換機用于連接兩臺外聯(lián)路由器和防火墻。8、整體路由設(shè)計不變，依然維持舊路由設(shè)計。1.3 搬遷方案核心思想此次搬遷采用租用裸光纖的形式， 在新大樓與舊大樓之間建立起2 層透傳的通道。新大樓與舊大樓同

7、屬一個局域網(wǎng)，因此可以使用原有的IP 地址。在搬遷過程中，新大樓的網(wǎng)關(guān)依然在舊大樓的兩臺核心交換機上。等所有服務(wù)器及各條線路都遷移完成后， 再斷開裸光纖， 啟用新大樓的三層地址， 至此整個網(wǎng)絡(luò)平滑過渡到新大樓內(nèi)。同時為了確保整個實施過程萬無一失，在搬遷過程中， 舊大樓的網(wǎng)絡(luò)設(shè)備都.整理分享 .WORD 完美格式不下架。在新大樓新增新的一套網(wǎng)絡(luò)設(shè)備，通過在舊大樓關(guān)閉一個區(qū)域，同時在新大樓啟用該區(qū)域來實現(xiàn)平滑過渡。在新機房順利運行一段時間后， 再將舊機房原有的核心交換機搬遷至新機房作為樓層匯聚層交換機，舊機房下聯(lián)路由器作為新機房外聯(lián)路由器。二、實施方案及應(yīng)急預(yù)案2.1 搬遷總原則平滑過渡、停機時間

8、短，風險可控在最短的時間內(nèi)完成，不超過兩天方案實施簡單，具備可操作性在新舊機房都有設(shè)備作為相互硬件備份.整理分享 .WORD 完美格式2.2 整體搬遷方案第一階段：線路準備第一階段：1、在新機房準備好兩條上聯(lián)總行的線路、下聯(lián)支行的電信2M SDH 線路及聯(lián)通2M MSTP 線路以及到達各外聯(lián)單位的6 條線路，線路類型及接口規(guī)劃如下：序號線路類型接口類型運營商備注1上聯(lián)總行線ATM/LC電信路 12上聯(lián)總行線ATM/LC聯(lián)通路 23下聯(lián)閩都支SDH/BNC電信.整理分享 .WORD 完美格式行線路 14下聯(lián)閩都支MSTP/ 以太聯(lián)通行線路 2網(wǎng)5下聯(lián)鼓樓支SDH/BNC電信行線路 16下聯(lián)鼓樓支

9、MSTP/ 以太聯(lián)通行線路 2網(wǎng)7下聯(lián)華林支SDH/BNC電信行線路 18下聯(lián)華林支MSTP/ 以太聯(lián)通行線路 2網(wǎng)9下聯(lián)閩江支SDH/BNC電信行線路 110下聯(lián)閩江支MSTP/ 以太聯(lián)通行線路 2網(wǎng)11下聯(lián)晉安支SDH/BNC電信行線路 112下聯(lián)晉安支MSTP/ 以太聯(lián)通行線路 2網(wǎng)13下聯(lián)福清支SDH/BNC電信行線路 114下聯(lián)福清支MSTP/ 以太聯(lián)通.整理分享 .WORD 完美格式行線路 2網(wǎng)15下聯(lián)離行阿MSTP/ 以太聯(lián)通波羅離行網(wǎng)口atm線路16下聯(lián)離行景MSTP/ 以太聯(lián)通城酒 店網(wǎng)atm線路17外聯(lián)銀監(jiān)局SDH/BNC電信線路18外聯(lián)人行主SDH/BNC電信線19外聯(lián)S

10、DH/BNC電信POLICE20外聯(lián)銀聯(lián)主SDH/BNC電信線21外聯(lián)銀聯(lián)備SDH/BNC聯(lián)通線22外聯(lián)人行備SDH/BNC聯(lián)通線23下聯(lián)廈門辦SDH/BNC事處24下聯(lián)泉州辦SDH/BNC.整理分享 .WORD 完美格式事處2、在新、舊機房準備好裸光纖線路，使用雙運營商預(yù)防單線路風險。風險時間：無。應(yīng)急預(yù)案：無需。第二階段：新機房設(shè)備上架第二階段：1、 新大樓核心上架。包括兩臺核心交換機、兩臺上聯(lián)路由器、6 臺服務(wù)器區(qū)交換機、 15 臺樓層交換機、 2 臺下聯(lián)路由器。由于按原規(guī)劃設(shè)計，在樓層交換機與核心交換機之間還是用匯聚交換機，該匯聚交換機由舊機房核心交換機S8505 來充當。由于 S85

11、05 需等到新機房平穩(wěn)運行一段時間后再搬遷，因此在過渡期間將兩臺樓層交換機替代S8505 作為匯聚層交換機，其他樓層交換.整理分享 .WORD 完美格式機與這兩臺交換機互聯(lián)。另外在新大樓外聯(lián)區(qū)，由于此次XX 并未采購?fù)饴?lián)區(qū)路由器，設(shè)計上是使用舊機房的下聯(lián)路由器NE16 來作為新機房的外聯(lián)路由器，因此在過渡期間，將借用集成商的7206 路由器和 8E1 卡。此外，業(yè)務(wù)測試區(qū)將直接采用新采購的S3600 交換機作為業(yè)務(wù)測試區(qū)的接入設(shè)備，通過該交換機直接與核心交換機相連。2、 在上聯(lián)路由器及下聯(lián)路由器上配置好路由，核心交換機配置好IRF2 智能彈性架構(gòu)技術(shù)及互聯(lián)VLAN ，匯聚交換機配置好二層及三層

12、服務(wù)區(qū)VLAN 。3、 啟用核心交換機互聯(lián)三層VLAN ，IP 使用和舊機房一樣的IP。驗證完路由沒有問題后， SHUTDOWN 互聯(lián)三層 VLAN 以及服務(wù)器區(qū)三層VLAN 、兩臺下聯(lián)路由器內(nèi)聯(lián)口、上聯(lián)路由器C3845 內(nèi)聯(lián)口。核心交換 / 匯聚交換機之間的鏈路改成 TRUNK。風險時間：無。應(yīng)急預(yù)案：無需。.整理分享 .WORD 完美格式第三階段：裸光纖二層透傳第三階段：在新舊機房間拉兩條裸光纖分別連接S7506E 和 S8505，捆綁成PORT-CHANNEL 并配置成 TRUNK。裸光纖采用兩個運營商的線路，并且捆綁起來使用，提高網(wǎng)絡(luò)的高可用性。這樣在新舊機房之間就建立起了純2 層的連

13、接。風險時間：無。應(yīng)急預(yù)案：無需。.整理分享 .WORD 完美格式第四階段：服務(wù)器搬遷及線路割接第四階段：1、遷移所有服務(wù)器。由于當前業(yè)務(wù)及辦公客戶端與服務(wù)器在同一個VLAN 并使用同一個網(wǎng)段， 與未來分區(qū)化管理相沖突，因此在此次搬遷中， 將服務(wù)器臨時接入到樓層交換機中。 調(diào)整完服務(wù)器 IP 及網(wǎng)關(guān)后再重新連接至相對應(yīng)的服務(wù)分區(qū)。2、遷移上聯(lián)總行備線至新機房。當線路遷移測試成功后， 關(guān)閉舊機房上聯(lián)NE16以太網(wǎng)口，啟用新機房3845 以太網(wǎng)口。舊機房上聯(lián)NE16 不下架，作為備機使用。3、遷移泉州分行及支行備線至新機房MSR5060 。如果泉州分行在福州機房搬遷后實施，那么就可以直接接入新機房

14、。如果泉州分行在福州機房搬遷前實施，那么泉州分行的線路就必須接入到舊機房，然后在搬遷中和支行線路一起搬遷。此次支行線路將新增一條聯(lián)通2M MSTP線路及電信 2M MSTP 線路。電信.整理分享 .WORD 完美格式線路可能由于運營商線路資源不足，無法同時保留原有SDH 并新增 MSTP。因此在搬遷中將先使用電信原有SDH 線路并新增聯(lián)通2M MSTP 線路。聯(lián)通 2M MSTP 線路由于是新增線路，可以事先在新機房和各支行調(diào)通。調(diào)試 IP 使用臨時 ip ，并且將 MSTP 網(wǎng)線接入到支行路由器上。在機房搬遷中，通過 SDH 線路登陸到支行路由器， 關(guān)閉 DDN 線路并同時啟用聯(lián)通 MSTP

15、 線路，IP沿用 DDN 線路使用的 IP。將來電信線路升級時，電信2M MSTP 將接入到新采購的 MSR3020 路由器上。當所有支行 DDN 線路割接成聯(lián)通2M MSTP 后，關(guān)閉下聯(lián)區(qū) NE16-Q2 以太網(wǎng)口。同時啟用新機房下聯(lián)MSR5060 以太網(wǎng)口。4、 遷移四條外聯(lián)主線路至新機房外聯(lián)區(qū)。舊機房外聯(lián)區(qū)設(shè)備不動，關(guān)閉以太網(wǎng)接口，作為硬件備份。新機房外聯(lián)區(qū)交換機與防火墻都使用新設(shè)備。路由驗證 ：在舊機房核心交換機上查看當前的路由是否與預(yù)期的一致。具體操作內(nèi)容將在測試文檔中體現(xiàn)。風險及應(yīng)急預(yù)案 ：這個階段的風險主要包括下聯(lián)線路、上聯(lián)線路、 外聯(lián)線路的割接風險。如果哪個分區(qū)的線路割接出現(xiàn)

16、問題，由于在舊機房相應(yīng)分區(qū)的硬件依然保留，將可以直接通過割接線路回退至舊機房。.整理分享 .WORD 完美格式第五階段：主線路割接第五階段：1、割接舊機房上聯(lián)主線路至新機房。當上聯(lián)線路割接完畢后，立即關(guān)閉舊機房上聯(lián)路由器 3745 以太網(wǎng)口，同時啟用新機房上聯(lián)路由器3845Q1 以太網(wǎng)口。2、遷移舊機房下聯(lián)泉州分行及支行主線路至新機房。線路依然使用電信SDH 線路，支行電信SDH 線路改 MSTP 線路并且網(wǎng)絡(luò)架構(gòu)做相應(yīng)調(diào)整等到機房搬遷完畢后再實施。風險提示：此時所有流量會先到舊核心S8505 再返回至新核心。路由驗證 ：在舊機房核心交換機上查看當前的路由是否與預(yù)期的一致。具體操作內(nèi)容將在測試文檔中體現(xiàn)。風險及應(yīng)急預(yù)案 ：此時新機房所有VLAN的網(wǎng)關(guān)依然在舊機房兩臺核心交換機上。新機房的所有流量都會經(jīng)過裸光纖到達舊機房核心交換機上，由于裸光纖采.整理分享 .WORD 完美格式用了雙運營商雙線路， 因此這樣的線路風險可以忽略，并且將在下一階段將整個網(wǎng)絡(luò)的核心移至新機房中。第六階段：核心遷移第六階段：1、所有服務(wù)器都搬遷完畢后，關(guān)閉裸光纖接口。2、在新核心S7506E 和匯聚層交換機上啟用三層接口。此時整個網(wǎng)絡(luò)的核心從舊