农行二级分行网络改造设计方案

农行二级分行网络改造设计方案2013年3月1二级分行目标网络架构设计建设目标：为了统一二级分行网络架构，实现清晰的路由部署、建立清晰流量模型，实现统一的安全策略。结构描述：二级分行用两台XX_WN_AR01/AR02作为二级分行上联路由器，分别与二级分行两台WN_DS交叉相连，XX_WN_AR03/04作为网点汇聚路由，也分别与二级分行两台WN_DS交叉相连，同时两台网点下联路由器之间进行相互连接。两台WN_DS分别与办公网核心交换机、生产网核心交换机口字型互联。 2二级分行路由部署目标2.1二级分行广域网区IBGP+OSPF 300方案2.1.1路由部署方案路由部署：n 二级分行两台上联路由器通过广域网链路与一级分行下联路由器建立EBGP peer。n 两台上联路由器、两台下联路由器分别与两台WN_DS建立IBGP PEER关系，交互省分行、二级分行及网点路由信息。广域网各设备内部需要运行OSPF300，以保证各设备建立IBGP peer路由信息的可达性。n 两台WN_DS与两台办公网、生产网核心交换机汇聚交换机建立OSPF 500 AREA 0 .n 两台下联路由器广域口、及各网点设备广域网口及局域网口中运行OSPF 400,建议每20个网点规划到OSPF area xx中。技术要点：n 为了使两台下联路由器及两台上联路由器能相互学到对方的路由信息，需要将两台WN_DS设为路由反射器，客户端为两台下联路器。n 为了防止网点到二级分行一条广域线路中断，而产生回程数据出现次优路径问题，需要将下联两台路由器的互联端口规划到相应的AREA XX中，对于好几个非骨干AREA 的情况，需要将两台下联路由器的互联端口启用子接口的方式，划分到不同的AREA 中。2.2.2路由策略部署目标路由策略：n 在两台WN_DS上，将BGP路由引入到OSPF中，外部路由TPYE2 COST值默认。在正常情况下为了确保流量从DS_01上行，需要将核心交换机连DS_01端口的OSPF COST值设为10，连DS_02上端口的OSPF COST值为1000。n 在两台WN_DS上，通过手动配置生产、办公网黑洞静态路由，Network到BGP中，在WN_DS_01上通过路由策略将办公网及生产网的LP值设为800，在WN_DS_02上将生产网及办公网的LP值设为700。保证从网点或从省分行回程路由优选WN_DS_01。n 在两台WN_DS上发布BGP路由器时，针对生产网段及办公网段设置COmmUNITY属性值，并通告给上联路由器及下联路由器，用与区分不同的业务的路由。n 在两台下联路由器上，将BGP重分进OSPF400中，在重分发中，匹配不同的community属性值，在AR03上将办公网路由的COST设为100，生产网设为10,AR04反之。n 在两台下联路由器配置到网点的静态汇总黑洞路由，network到BGP中，在AR03利用路由策略匹配生产的路由LP设为800,办公的设为700,AR04上反之。保证生产网从AR03上回程，办公网从AR04上回程。n 在两台上联汇聚路由器上，在与省分行建设EBGP PEER上，利用BGP路由策略，在AR01匹配省分行生产网段的COMMUNITY属性值，将LP设为800，办公网设为700，AR02反之。技术要点：n 团体属性是任选可传递属性，要让该团体属性能沿各网络设备传寄到省分行，需要配置send命令。n 在二级分行广域内部、需要将与DS_01互联的广域接口OSPF 的COST设为10,与DS_02互联广域接口的OSPF的COST设为1000。n 为了避免IBGP路由迭代，需要在广域网区将与DS_01/02互连接口的OSPF COST交叉线路设为150,直接设为100.n 在OSPF 进程中将ASE 路由的优先级设为190,BGP路由的管理距离设为170.2.2网点汇聚路由器与WN_DS运行OSPF400，上联路由器与WN_DS运行OSPF300+IBGP方案2.2.1路由部署方案路由部署：n 二级分行两台上联路由器通过广域网链路与一级分行下联路由器建立EBGP peer。n 两台上联路由器分别与两台WN_DS建立IBGP PEER关系，内部运行OSPF 300,以保证各设备建立IBGP peer路由信息的可达性。DS_01/02与下连网点汇聚交换机运行OSPF 400 AREA 0,下联路由器与各网点设备运行OSPF 400 AREA XX中（建议：20个网点规划为一个非AREA 。）n 两台DS_01/02与两台办公网、生产网核心交换机、汇聚交换机建立OSPF 500 AREA 0 .技术要点：n 为了防止网点到二级分行一条广域线路中断，而产生回程数据出现次优路径问题，需要将下联两台路由器的互联端口规划到相应的AREA XX中，对于好几个非骨干AREA 的情况，需要将两台下联路由器的互联端口启用子接口的方式，划分到不同的AREA 中。2.2.2路由策略部署目标路由策略：n 在WN_DS_01/02上，将BGP路由重分发进OSPF500及OSPF400中，外部路由为TPYE2型将COST值为默认。n 在两台WN_DS上，通过手动配置二级分行及网点生产、办公网黑洞静态路由，network到BGP中，在WN_DS_01上通过路由策略将办公网及生产网的LP值设为800，在WN_DS_02上将生产网及办公网的LP值设为700。保证从网点或从省分行回程路由优选WN_DS_01。n 在两台WN_DS上发布BGP路由器时，针对生产网段及办公网段课路由设置不同COMMUNITY属性值，并通告给上联路由器，用于区分不同的业务的路由。n 在DS_01/02上将OSPF500的路由重发到OSPF400中，并设置TAG500，将OSPF400引入到OSPF 500中，设置TAG400。利用路由策略，在OSPF 500中将TAG400进行过滤，在OSPF400中将TAG500进行过滤，确保路由信息无环。n 为了避免IBGP路由迭代及到网点进出流量从DS_01进出，需要在广域网区将与DS_01/02互连接口的OSPF COST交叉线路设为150,直接设为100n 在OSPF 进程中将ASE 路由的优先级设为190,BGP路由的管理距离设为170.技术要点：n 在网点两台汇聚路由器分别对网点路由作基于生产与办公的汇总，在AR03上将生产的汇总路由COST值设为10，办公设为100，在AR04上将生产汇总路由COST值设为100，办公汇总路由设为10，确保正常情况下，生产流量优选AR03进出，办公流量优选AR04进出。当网点广域链路故障及任务一台设备故障后，流量可以迂回到另一条链路与另一台设备上。3二级分行网络数据流向模型流量流向分析二级分行省分行生产数据：CO_DS01-CO_CS01-WN_DS01-XX_WN_AR01-WN_AR01二级分行省分行办公数据：OC_DS01-OC_CS01-WN_DS01-XX_WN_AR02-WN_AR02二级分行网点的生产数据：CO_DS01-CO_CS01-WN_DS01-XX_WN_AR03-网点主线路二级分行网点办公数据：OC_DS01-OC_CS01-WN_DS01-XX_WN_AR04-网点备线路网点二级分行生产数据：网点主线路-XX_WN_AR_03-WN_DS01-co_cs01-CO_DS01网点二级分行办公数据：网点备线路-XX_WN_AR_04-WN_DS01-OC_cs01-OC_DS01网点省分行生产数据：网点主线路-XX_WN_AR_03-WN_DS01-XX_WN_AR01-WN_AR01网点省分行办公数据：网点备线路-XX_WN_AR_04-WN_DS01-XX_WN_AR02-WN_AR02省分行二级分行生产数据：WN_AR01-XX_WN_AR01-WN_DS01-CO_CS01-CO_DS01省分行二级分行办公数据：WN_AR2-XX_WN_AR02-WN_DS01-OC_CS01-OC_DS01省分行网点生产数据：WN_AR1-XX_WN_AR01-WN_DS01-XX_DS_AR03-网点主线路省分行网点办公数据：WN_AR2-XX_WN_AR02-WN_DS01-XX_DS_AR04-网点备线路4安全策略部置4.1二级分行网络UTM部署详见省分行详细设计方案4.2ACL部署通过部署ACL来控制生产和办公的互访n 在生产的DS设备连CS设备接口的出方向调用ACL，控制生产网访问办公网。n 在办公的DS设备连CS设备接口的出方向调用ACL，控制办公网段访问生产网，并且拒绝常见的病毒端口。4.3其它安全策略设备安全、管理安全、路由安全等策略参考现网的安全规范maintenance measures, there is a big security risk, management has had a