某銀行分行網(wǎng)絡(luò)設(shè)計方案

XXX分行網(wǎng)絡(luò)設(shè)計方案書目XXX分行網(wǎng)絡(luò)設(shè)計方案 1前言 1第1章MPLSVPN簡介 1第2章MPLS-VPN的客戶解決方案 22.1網(wǎng)絡(luò)設(shè)計框架圖 22.2廣域網(wǎng)骨干區(qū) 22.3本地生產(chǎn)辦公服務(wù)器區(qū) 32.4大樓樓層匯聚區(qū) 42.5廣域網(wǎng)接入?yún)^(qū) 52.6外聯(lián)區(qū)域 5第3章ip地址規(guī)劃 6第4章路由協(xié)議 6第5章MPLSVPN規(guī)劃 7第6章網(wǎng)絡(luò)備份及平安 76.1網(wǎng)絡(luò)備份 76.2網(wǎng)絡(luò)平安 7前言利用統(tǒng)一的計算機(jī)網(wǎng)絡(luò)同時開展多種增值業(yè)務(wù)，是各大銀行應(yīng)用系統(tǒng)的最新發(fā)展趨勢。將各種傳統(tǒng)業(yè)務(wù)從專有系統(tǒng)環(huán)境移植到計算機(jī)網(wǎng)絡(luò)上來，不僅可通過計算機(jī)網(wǎng)絡(luò)帶來更佳的敏捷性、兼容性，而且還可以大大擴(kuò)展服務(wù)范圍，提高服務(wù)質(zhì)量，降低運(yùn)營成本。然而同時，網(wǎng)絡(luò)資源的集中也帶來了一系列新的問題，如不同業(yè)務(wù)系統(tǒng)在同一個網(wǎng)絡(luò)上承載，如何有效的實現(xiàn)邏輯上的隔離、實現(xiàn)不同類別業(yè)務(wù)的區(qū)分服務(wù)等等都是須要細(xì)致設(shè)計的環(huán)節(jié)。隨著中國金融系統(tǒng)網(wǎng)絡(luò)大集中的逐步實施，網(wǎng)絡(luò)業(yè)務(wù)橫向集中，網(wǎng)絡(luò)架構(gòu)縱向集中的趨勢日趨深刻，而業(yè)務(wù)網(wǎng)絡(luò)物理統(tǒng)一，邏輯上要求平安隔離的呼聲也越來越高，如何在統(tǒng)一的網(wǎng)絡(luò)平臺上高效、平安而經(jīng)濟(jì)的實現(xiàn)新一代金融網(wǎng)絡(luò)的需求，成為金融用戶、網(wǎng)絡(luò)方案供應(yīng)商、網(wǎng)絡(luò)設(shè)備供應(yīng)商面臨的共同問題。思科技術(shù)有限公司致力于供應(yīng)面對用戶的，可裁剪、可擴(kuò)展、高效、實施簡便的專業(yè)化金融網(wǎng)絡(luò)解決方案，面對上述需求，思科公司推出了基于IOS系統(tǒng)網(wǎng)絡(luò)產(chǎn)品平臺MPLS和IPSEC技術(shù)的一體化VPN解決方案。第1章MPLSVPN簡介隨著社會的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種狀況也使傳統(tǒng)網(wǎng)絡(luò)的功能缺陷越來越凸現(xiàn)：傳統(tǒng)網(wǎng)絡(luò)基于固定物理地點的專線連接方式已難以適應(yīng)現(xiàn)代金融企業(yè)的需求。于是金融企業(yè)對于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的敏捷性、平安性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，基于MPLS技術(shù)平臺實現(xiàn)的虛擬私有網(wǎng)（簡稱為MPLS-VPN），以其獨(dú)具特色的優(yōu)勢贏得了越來越多的金融企業(yè)的青睞。MPLS是多協(xié)議標(biāo)簽交換協(xié)議的簡稱，多協(xié)議是指它能夠支持多種三層協(xié)議；標(biāo)簽是一種短的，易于處理的，不包含拓?fù)湫畔?，只具有局部意義的信息內(nèi)容；MPLS的報文轉(zhuǎn)發(fā)是基于標(biāo)簽的，在MPLS網(wǎng)絡(luò)中，IP包在進(jìn)入第一個MPLS設(shè)備時，MPLS邊緣路由器分析IP包的內(nèi)容并且為這些IP包分協(xié)作適的標(biāo)簽。以后全部MPLS網(wǎng)絡(luò)中節(jié)點都是依據(jù)這個標(biāo)簽作為轉(zhuǎn)發(fā)依據(jù)。當(dāng)IP包最終離開MPLS網(wǎng)絡(luò)時，標(biāo)簽被邊緣路由器分別。MPLS可以在IP網(wǎng)中的實現(xiàn)的一種面對連接的特性。通過MPLS可以在IP網(wǎng)中供應(yīng)一些原來只有ATM/FrameRelay才能供應(yīng)的業(yè)務(wù)，使得IP網(wǎng)絡(luò)可以依據(jù)用戶需求，供應(yīng)形式多樣、便利快捷的增值服務(wù)：VPN（包括二層和三層VPN）、流量工程和QoS、虛擬專線、電路交叉連接（CCC）等等，其中的MPLSVPN就是其中一項重要的應(yīng)用。MPLSVPN可以分為BGP擴(kuò)展實現(xiàn)的VPN和LDP擴(kuò)展實現(xiàn)的VPN。依據(jù)PE（ProviderEdge）設(shè)備是否參加VPN路由又細(xì)分為二層VPN和三層VPN。本次工程中，采納BGP擴(kuò)展實現(xiàn)的三層MPLSVPN。采納MPLSVPN技術(shù)可以把物理上單一的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)，并且每個VPN單獨(dú)構(gòu)成一個獨(dú)立的地址空間，即VPN之間可以重用地址，在安排地址時不必考慮是否會與其他的VPN發(fā)生沖突，只須要考慮在本VPN之內(nèi)不沖突即可，這樣可以解決IP網(wǎng)絡(luò)地址不足的問題，也便利與網(wǎng)絡(luò)的擴(kuò)展和變更。MPLSVPN網(wǎng)絡(luò)中，由三種設(shè)備：CE、PE和P路由器，CE（CustomEdge）是用戶干脆與服務(wù)供應(yīng)商相連的邊緣設(shè)備，一般也是路由器設(shè)備；PE（ProviderEdge）是骨干網(wǎng)中的邊緣設(shè)備，它干脆與用戶的CE相連；P路由器（ProviderRouter）是骨干網(wǎng)中不與CE干脆相連的設(shè)備，P路由器并也不知道有VPN的存在，僅僅負(fù)責(zé)骨干網(wǎng)內(nèi)部的數(shù)據(jù)傳輸。但其必需能夠支持MPLS協(xié)議，并使能該協(xié)議。PE位于服務(wù)供應(yīng)商網(wǎng)絡(luò)的邊緣，全部的VPN的構(gòu)建、連接和管理工作都是在PE上進(jìn)行的。第2章MPLS-VPN的客戶解決方案2.1網(wǎng)絡(luò)設(shè)計框架圖說明：全網(wǎng)采納雙線路熱備星型拓?fù)溥M(jìn)行物理連接。內(nèi)部IGP啟用OSPF協(xié)議，使其路由可達(dá)。內(nèi)部PE-TO-PE端運(yùn)用MPBGP，數(shù)據(jù)區(qū)域2臺核心分別為P設(shè)備2.2廣域網(wǎng)骨干區(qū)說明：廣域網(wǎng)骨干區(qū)域簡稱上聯(lián)總行區(qū)，上聯(lián)區(qū)中的主備路由器為PE路由器，內(nèi)部接口運(yùn)行OSPF外部接口因連接總行的PE設(shè)備，所以采納PE-PE的連接方式運(yùn)行了MPBGP。2臺主備路由器運(yùn)用口字型連接方式連接到生產(chǎn)數(shù)據(jù)核心P設(shè)備上，此連接方式優(yōu)勢在于實現(xiàn)網(wǎng)絡(luò)主備熱備份，避開單點失效。2.3本地生產(chǎn)辦公服務(wù)器區(qū)說明：本地服務(wù)器區(qū)域運(yùn)用2臺服務(wù)器匯聚交換機(jī)星型拓?fù)溥B接方式連接全部本地生產(chǎn)辦公服務(wù)器群，2臺服務(wù)器匯聚交換機(jī)上聯(lián)2臺透亮模塊虛擬防火墻使其本地生產(chǎn)辦公服務(wù)器邏輯隔離，2臺透亮防火墻分別連接生產(chǎn)上聯(lián)核心和辦公核心。2臺分別為生產(chǎn)PE設(shè)備和辦公PE設(shè)備，其目的可以運(yùn)用VPN邏輯隔離。2.4大樓樓層匯聚區(qū)說明：辦公大樓匯聚核心區(qū)與樓層辦公交換機(jī)，大樓營業(yè)廳交換機(jī)以星型拓?fù)溥B接，辦公大樓匯聚核心區(qū)通過口字型方式連接生產(chǎn)核心，辦公數(shù)據(jù)核心。所連接樓層核心交換機(jī)后重分發(fā)分別進(jìn)入辦公，生產(chǎn)VPN，管理區(qū)域路由重分發(fā)進(jìn)MPLSVPN管理全部VPN。2.5廣域網(wǎng)接入?yún)^(qū)說明：廣域網(wǎng)區(qū)域是用于連接分行一下的其余支行以及網(wǎng)點，連接網(wǎng)點運(yùn)用PE-CE連接方式連接。路由協(xié)議可以選擇RIPBGPOSPF靜態(tài)浮動路由2.6外聯(lián)區(qū)域說明：外聯(lián)區(qū)域2臺邊疆PE路由器內(nèi)部接口運(yùn)行MPLSVPN,連接到生產(chǎn)核心區(qū)域.在防火墻上做地址映射，隱藏內(nèi)部地址，以及其他平安策略。第3章ip地址規(guī)劃IP地址安排主要包括P/PE設(shè)備互聯(lián)地址、各設(shè)備Loopback接口地址均為32位掩碼。對于設(shè)備互聯(lián)地址沒有特別的要求，一般是整個地址空間在同一個“大”的網(wǎng)段中獲得，并且要為今后網(wǎng)絡(luò)的擴(kuò)充留有余地。互聯(lián)地址盡量采納30位掩碼的格式，假如互聯(lián)采納Ethernet接口，可以采納29位掩碼的網(wǎng)段，這樣在今后應(yīng)用HSRP或者VRRP的時候有足夠的地址可以運(yùn)用。全部Loopback地址從今loopback地址可以用于OSPFROUTE-ID運(yùn)用，全部的互聯(lián)地址規(guī)劃例如：（）（—.）本地PE端連接總行PE端，遵循總行地址規(guī)劃。外聯(lián)單位地址規(guī)劃遵循地址30位掩碼例如：（）。生產(chǎn)業(yè)務(wù)生產(chǎn)地址規(guī)劃地址掩碼為24位例如：（）辦公業(yè)務(wù)地址規(guī)劃地址掩碼為24位例如：（）視頻會議業(yè)務(wù)地址規(guī)劃地址掩碼為24位例如：（）開發(fā)測試地址規(guī)劃地址掩碼為24位例如：（）監(jiān)控業(yè)務(wù)地址規(guī)劃24位例如：（）第4章路由協(xié)議對于骨干層MPLS域，須要某種IGP協(xié)議與MBGP結(jié)合應(yīng)用，其中MBGP主要完成私網(wǎng)路由標(biāo)簽安排、各私網(wǎng)路由在“公網(wǎng)”傳遞等作用，他的地位是不行替代的，沒有其他的協(xié)議可以替代；對于IGP協(xié)議，他的主要作用就是保證MBGP鄰居之間的TCP可達(dá)性，建議采納OSPF，因為OSPF的適應(yīng)性好，功能完善，當(dāng)核心層設(shè)備在20臺以內(nèi)的時候，我們建議只運(yùn)行一個骨干域“0”，這樣網(wǎng)絡(luò)規(guī)劃簡潔、維護(hù)便利，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對于PE與CE互聯(lián)，可以采納的路由協(xié)議有靜態(tài)路由、RIP和BGP等多種路由協(xié)議。詳細(xì)運(yùn)用那種路由協(xié)議要依據(jù)狀況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較困難，路由條目較多的時候，PE和CE之間須要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對CE的要求也是比較高的。對于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要準(zhǔn)循上面提到的IP地址安排原則，各地的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時應(yīng)用靜態(tài)路由是最簡潔、最便利的，而且網(wǎng)絡(luò)的維護(hù)特別便利。對于XXX分行內(nèi)部運(yùn)行OSPF網(wǎng)絡(luò)實現(xiàn)主備可以運(yùn)用OSPFcost值來設(shè)置綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采納靜態(tài)路由。這樣對整個網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且可以很好的實現(xiàn)MPLS-VPN。留意：為避開路由環(huán)路，在PE上不通過OSPF發(fā)布缺省路由。第5章MPLSVPN規(guī)劃通過配置VRF（路由轉(zhuǎn)發(fā)實例）的target屬性，可以實現(xiàn)不同業(yè)務(wù)的VPN。不同路由器通過target相關(guān)聯(lián)而組成可以相互訪問的集合，由于只有他們內(nèi)部可以互訪，所以我們稱之為VPN，配置里并沒有特地的VPN的定義。也就是說，VPN的成員關(guān)系是通過路由所攜帶的routetarget屬性來獲得的。不同CE通過PE配置的VRF里的Target實現(xiàn)互訪與隔離，從而組成不同的VPN。詳細(xì)的各業(yè)務(wù)的RD和route-target依據(jù)實際狀況規(guī)劃第6章網(wǎng)絡(luò)備份及平安6.1網(wǎng)絡(luò)備份網(wǎng)絡(luò)備份可以同時通過兩種方式實現(xiàn)：1、通過合理的網(wǎng)絡(luò)方案設(shè)計，實現(xiàn)物理鏈路與物理設(shè)備的備份。本次工程中，全部的匯聚節(jié)點是主備和負(fù)荷分擔(dān)的，在正常工作的狀況下，共同分擔(dān)整個網(wǎng)絡(luò)的流量，當(dāng)其中一個失效后，另外一臺設(shè)備能夠擔(dān)當(dāng)起全部的流量，保證業(yè)務(wù)的正常運(yùn)行；各支行到分行節(jié)點的兩條廣域網(wǎng)鏈路也是主備雙營運(yùn)商，在主用鏈路中斷的狀況下，全部業(yè)務(wù)可以通過備用鏈路傳輸。2、應(yīng)用動態(tài)路由協(xié)議，做到網(wǎng)絡(luò)的自動備份。OSPF和BGP協(xié)議，均可以自動地發(fā)覺兩個網(wǎng)絡(luò)節(jié)點之間的迂回路由，并在主用路由不行用時而自動運(yùn)用備份鏈路。并且可以通過在路由器上加入策略，限制數(shù)據(jù)的流向。6.2網(wǎng)絡(luò)平安可以采納如下的措施，保證網(wǎng)絡(luò)的平安性：1、MPLSBGP