交通银行改造方案

1、二级网络改造实施方案1改造前网络结构图 .22改造步骤简述 .33中心端局域网部分 .33.1方案一：双系统在线模式 .43.1.1改造前局域网结构 .43.1.2改造期间局域网结构 .53.1.2.1 结构模式 1.53.1.2.2 结构模式 2.73.1.2.3 结构模式 3.83.1.3改造后局域网结构 .93.2方案二：依次替换每台 Cisco7505 .103.2.1切换步骤 .103.2.2局域网端口连接表 .113.2.3局域网连线图 .123.2.4路由器 HSRP 组.133.3方案三：同时替换两台 Cisco7505 .144广域网部分 .144.1关于 SPA-2XOC3

2、-ATM 模块 .144.2中心端 ATM 模块的配置 .157606配置举例 .164.3二级网骨干路由器改造前后接口对应表 .185分行改造部分 .215.1改造步骤 .215.2 Cisco 3725路由器接口示意图 .235.3 Cisco 3825路由器接口示意图 .246分行改造结束后部分 .257回退步骤 .257.1省分行部分 .257.1.1情况 1：多于 2 个的分行无法完成切换 .257.1.2情况 2： 2 个以内的分行无法完成切换 .267.2辖属分行局域网部分 .268测试方案 .278.1中心局域网部分 .278.2中心广域网部分 .278.3辖属分行局域网部分

3、.27第1页共28页1改造前网络结构图CAT_6509YWCAT_6509BGport 7/2port 7/2port 7/1port 7/1Fa1/1/0:F1/0/0:Fa1/0/0:Fa1/1/0:Fa0/221.220.1.1022.220.1.1022.220.1.921.220.1.9Fa0/2Fa5/0/0:Fa5/0/0:21.220.120.821.220.120.9Fa0/14Fa0/14Fa5/0/1:RT_JXYW Fa5/1/1:RT_JXBGFa5/0/1:22.220.120.922.220.120.8Fa5/1/1:SWJX02SWJX01Fa5/1/0:22.

4、220.121.822.220.121.9Fa5/1/0:21.220.121.821.220.121.9G1/0/23G1/0/23G1/0/24G1/0/242M SDHSW3750_JXNC01SW3750_JXNC02网点改造前，江西XXX行二级骨干网络的中心端汇聚设备使用的是两台Cisco7507 路由器，分别使用 E1 或串行口通过 2M 的 SDH 网络连接到辖属的10个二级分行。每个辖属分行配备两台Cisco3725 路由器，并使用 E1 接口通过 2M的 SDH 线路分别连接到省行的两台Cisco7507 路由器。此次网络改造中，在省行中心端，将使用两台Cisco7606 路

5、由器替换原Cisco7507 路由器，并使用SPA-2XOC3-ATM 模块接口通过4M 的 ATM 线路连接 10 个辖属二级分行。在每个辖属分行端，将使用两台Cisco3825 路由器替换原 Cisco3725 路由器，并使用 NM-1A-OC3-POM 模块接口连接上行 4M 的 ATM线路。改造后，省行中心端和各辖属分行的局域网中除二级网路由器（中心端的Cisco7606 和分行端的 Cisco3825 路由器）外的所有其它网络设备的配置都不发生任何改变，只有二级网路由器广域网部分的网络接口类型和互联地址网段发生变化。即本次改造总体上只针对二级网络的物理层部分，不涉及对网络逻辑结构的变

6、动。第2页共28页2改造步骤简述（ 1） 连接、调试两台 Cisco7606 的局域网部分；（ 2） 连接、调试两台 Cisco7606 的广域网部分；（ 3） 逐步改造各个二级分行， 使广域网线路逐渐迁移到连接两台 Cisco7606 的 ATM 线路上；（ 4） 改造后对路由器配置的完善。3中心端局域网部分中心端局域网改造部分包括三个可选方案：方案一：双系统在线模式。即改造期间两套骨干路由器同时在线运行，在广域网线路完全切换到新骨干路由器 Cisco7606后才拆除原 Cisco7507 骨干路由器。方案二：替换单台Cisco7507 路由器。即改造期间保留一台原 Cisco7507 路由

7、器运行，而将另外一台替换为 Cisco7606 路由器。方案三：同时替换两台Cisco7507 路由器。即一次性将两台骨干路由器替换为Cisco7606 路由器。这三种可选方案中， 由于方案一是逐渐切换的过程， 所以实施风险最小， 但需要对网络设备的局域网部分进行额外的过渡性配置， 使得改造过程相对繁琐。 方案二中，不需要进行过渡性配置， 只是进行硬件替换， 改造切换过程比方案一快一些，但也需要分两次切换。另外，改造中可能造成部分辖属分行单线路运行，形成一定的安全隐患。方案三在中心端的切换可以做到一次到位， 是最简捷的方式，但改造风险也最高，改造期间无法保证到辖属分行的网络连接。第3页共28页

8、3.1 方案一：双系统在线模式3.1.1 改造前局域网结构HSRP设备名称接口IP 地址优先级HSRP 虚拟组号IP0RT_JXYWFa5/0/021.220.120.8/2511021.220.120.10RT_JXBGFa5/0/021.220.120.9/25900RT_JXYWFa5/0/122.220.120.8/259022.220.120.10RT_JXBGFa5/0/122.220.120.9/251100RT_JXYWFa5/1/021.220.121.8/2511021.220.121.10RT_JXBGFa5/1/021.220.121.9/2590122RT_JXYWF

9、a5/1/122.220.121.8/259022.220.121.10RT_JXBGFa5/1/122.220.121.9110第4页共28页3.1.2 改造期间局域网结构进行改造期间，将在不拆除、不移动其它网络设备及连接线路的情况下把新增的两台 Cisco7606 路由器添加到已有网络中， 形成两套二级网骨干路由器同时在线的状态。 Cisco7606 路由器局域网接口和广域网接口配置方法参考下文，其它配置内容如动态路由、静态路由、路由分发策略、安全控制ACL 策略等参考Cisco7507 配置。改造期间，“ RT_JXYW-1 ”指业务 Cisco7606 路由器，而“ RT_JXBG-1

10、”指办公 Cisco7606 路由器。3.1.2.1 结构模式 1在把 Cisco7606路由器连接到现有局域网时， 需要在 Cisco7507 已经连接的 6 个网段中分别为 Cisco7606 路由器分配 IP 地址，并在为 Cisco7507 接口（分别为接口 Fa5/0/0、Fa5/0/1、Fa5/1/0 和 Fa5/1/1）配置有 HSRP 热备份组的网段（分别为 21.220.120.0/25、22.220.120.0/25、 21.220.121.0/25和 22.220.121.0/25网段）中，将 Cisco7606 路由器的接口添加到已存在的 HSRP 组中，使其成为其中的

11、一台备份路由器。比如两台 Cisco7507 路由器的两个 Fa5/0/0 接口分别配置了 IP 地址 21.220.120.8/25和 21.220.120.9/25，并加入了 HSRP 组 0，虚拟 IP 地址为21.220.120.10。在将两台 Cisco7606 的接口添加到该网段时， 先为其两个接口（比如两个 Gig5/3，其它接口对应关系见下文 二级网骨干路由器改造前后接口对应表）分配 IP 地址（如 21.220.120.6/25和 21.220.120.7/25），并在这两个 Gig5/3 接口上配置 HSRP，使它们与两台 Cisco7507 的接口共同处于同一个 HSRP

12、 组中。对于 21.220.120.0/25、22.220.120.0/25、21.220.121.0/25和 22.220.121.0/25使用以下结构：第5页共28页这样，在改造期间对于各个局域网网段而言，从中心端到各辖属分行的数据流将仍然按照原有方式先发送到各 HSRP 组的虚拟 IP 地址，并由 Active 路由器根据自己的路由决定数据包的下一步流向。 改造结束后，所有的辖属分行将由连接到 Cisco7507 路由器的 SDH 网络迁移到连接 Cisco7606 路由器的 ATM 网络，此时可以将不再使用的 Cisco7507 路由器关闭，则各个 HSRP 组的 Active 路由器

13、将自动切换到 Cisco7606 路由器上，使得整个改造过程对中心端其它网络部分的影响降低到最小程度。HSRP设备名称接口IP 地址优先级HSRP 虚拟组号IP0RT_JXYWFa5/0/021.220.120.8/2511021.220.120.10RT_JXBGFa5/0/021.220.120.9/2590RT_JXYW-1Gig5/321.220.120.6/2580RT_JXBG-1Gig5/321.220.120.7/25700RT_JXYWFa5/0/122.220.120.8/259022.220.120.10RT_JXBGFa5/0/122.220.120.9/25110RT

14、_JXYW-1Gig5/422.220.120.6/2570RT_JXBG-1Gig5/422.220.120.7/25800RT_JXYWFa5/1/021.220.121.8/2511021.220.121.10RT_JXBGFa5/1/021.220.121.9/2590RT_JXYW-1Gig5/521.220.121.6/2580RT_JXBG-1Gig5/521.220.121.7/2570122RT_JXYWFa5/1/122.220.121.8/259022.220.121.10RT_JXBGFa5/1/122.220.121.9/25110RT_JXYW-1Gig5/622.

15、220.121.6/2570RT_JXBG-1Gig5/622.220.121.7/2580第6页共28页3.1.2.2 结构模式 2另外， Cisco7507 路由器与两台 6509 交换机连接的部分，存在21.220.0.0/21和 22.220.0.0/21 这两个网段。其中，对于 21.220.0.0/21 网段，由于在两台 6509交换机的静态路由中都使用了ip route 0.0.0.0 0.0.0.0 21.220.1.9ip route 0.0.0.0 0.0.0.0 21.220.1.10所以在添加Cisco7606 路由器接口到这个网段时，需要让新添加的接口与原Cisco7

16、507接口形成 HSRP组，使地址 21.220.1.9和 21.220.1.10在改造前后对 6509交换机而言具有一致性，以避免对6509 交换机配置的改动。第7页共28页3.1.2.3 结构模式 3而对于 22.220.0.0/21 网段，由于 6509 交换机中没有使用静态路由指向该网段的路由器接口地址， 所以在添加 Cisco7606 路由器接口到这个网段时只需要为相应接口配置 IP 地址即可。（注意：如果该网段中有其它设备如主机服务器等是以 Cisco7507 的接口地址 22.220.1.9 和 22.220.1.10 为静态网关，则需要参照21.220.0.0/21 网段做法进

17、行配置）第8页共28页3.1.3 改造后局域网结构改造结束后，可以将 Cisco7606 路由器各接口 IP 地址由改造期间使用的临时地址修改为改造前Cisco7507路由器使用的相应地址， 以保持前后配置的一贯性。第9页共28页3.2 方案二：依次替换每台Cisco7505在该方案中，可以先替换办公Cisco7507 骨干路由器。由于是一次性替换，所以用于替换的Cisco7606 路由器除广域网接口部分外其它配置如静态路由、动态路由、路由分发等都照Cisco7507 配置即可。其它网络设备配置都不要做任何改动。3.2.1 切换步骤切换步骤主要包括：广域网部分(1) 配置、调试 Cisco76

18、06 路由器的广域网接口；(2) 分别与各个辖属分行进行离线式广域网线路调试，即广域网调试期间中心端 Cisco7606 路由器和分行端 Cisco3825 路由器都不接入生产网，只是进行线路测试。中心局域网部分(3) 当连接各个分行的广域网线路都调试完成后，将中心端办公Cisco7507路由器切换为 Cisco7606 路由器，即将 7507 的局域网线路都连接到7606 路由器的相应接口上（建议不要关闭替换下的 Cisco7507 路由器，也不要拔除路由器上的连线，以便于出现故障时能及时恢复） ；（4）根据办公 Cisco7507 对进行替换的 Cisco7606 进行配置，包括各个局域网

19、接口 IP 地址、 HSRP 组、动态路由协议、访问控制等；（5）关闭办公 Cisco7507 路由器的所有局域网接口；（6）将新 Cisco7606 路由器的各局域网接口连接到生产网络；（7）测试 Cisco7606 路由器在局域网的运行状态，包括 IP 连通性、是否能与业务 Cisco7507 的 HSRP 组协调运行、是否正确学习到路由等；分行局域网部分(8) 各分行将办公线路切换到3825 路由器，即将原来插在办公3725 路由器第10页共28页上的连线都插到3825 路由器上（ 3825 路由器除广域网接口外的其它配置与原3725 路由器相同）。当切换后的办公线路稳定运行一段时间后，

20、根据相同的步骤切换业务线路路由器。3.2.2 局域网端口连接表设备名称接口属性IP 地址对端设备名称接口属性RT_JXBGFastEthernet1/0/010/100M22.220.1.9CAT_6509YWPORT 7/2FastEthernet1/1/010/100M21.220.1.9CAT_6509BGPORT 7/17507FastEthernet5/0/010/100M21.220.120.9SWJX02Fas 0/2FastEthernet5/0/110/100M22.220.120.9SWJX02Fas 0/14FastEthernet5/1/010/100M21.220.1

21、21.9SW3750_JXNC02Gig 1/0/23FastEthernet5/1/110/100M22.220.121.9SW3750_JXNC01Gig 1/0/24RT7606_JX02Gig6/9100M22.220.1.9CAT_6509YWPORT 7/2电口Gig5/9100M21.220.1.9CAT_6509BGPORT 7/1电口7606Gig5/11000M21.220.120.9SWJX02G0/1光口Gig6/11000M22.220.120.9SWJX02G0/2光口Gig5/81000M21.220.121.9SW3750_JXNC02G1/0/21电口Gig6

22、/81000M22.220.121.9SW3750_JXNC01G1/0/22电口RT_JXYWFastEthernet1/0/010/100M22.220.1.10CAT_6509BGPORT 7/2FastEthernet1/1/010/100M21.220.1.10CAT_6509YWPORT 7/17507FastEthernet5/0/010/100M21.220.120.8SWJX01Fas 0/2FastEthernet5/0/110/100M22.220.120.8SWJX01Fas 0/14FastEthernet5/1/010/100M21.220.121.8SW3750_

23、JXNC01Gig 1/0/23FastEthernet5/1/110/100M22.220.121.8SW3750_JXNC02Gig 1/0/24RT7606_JX01Gig6/9100M22.220.1.10CAT_6509BGPORT 7/2电口Gig5/9100M21.220.1.10CAT_6509YWPORT 7/1电口7606Gig5/11000M21.220.120.8SWJX01G0/1光口Gig6/11000M22.220.120.8SWJX01G0/2光口Gig5/81000M21.220.121.8SW3750_JXNC01G1/0/21电口Gig6/81000M22

24、.220.121.8SW3750_JXNC02G1/0/22电口第11页共28页3.2.3 局域网连线图3.2.3.1 同 6509 的连接切换前线路连接图切换后线路连接图CAT_6509YWCAT_6509BGCAT_6509YWCAT_6509BGport 7/1port 7/2port 7/2port 7/1port 7/2port 7/2port 7/1port 7/1Fa1/1/0:F1/0/0:Fa1/0/0:Fa1/1/0:Gig5/9:Gig6/9:Gig6/9:Gig5/9:21.220.1.1022.220.1.1022.220.1.921.220.1.921.220.1.

25、1022.220.1.1022.220.1.921.220.1.9RT_JXYWRT_JXBGRT7606_JX01RT7606_JX02Cisco7507Cisco7507Cisco7606Cisco76063.2.3.2 同 2950 的连接切换前线路连接图切换后线路连接图SWJX01SWJX02SWJX01SWJX02Fa0/14Fa0/2Fa0/2Fa0/14Gig0/2Gig0/1Gig0/1Gig0/2Fa5/0/1:Fa5/0/0:Fa5/0/0:Fa5/0/1:Gig6/1:Gig5/1:Gig5/1:Gig6/1:22.220.120.821.220.120.821.220.

26、120.922.220.120.922.220.120.821.220.120.821.220.120.922.220.120.9RT_JXYWRT_JXBGRT7606_JX01RT7606_JX02Cisco7507Cisco7507Cisco7606Cisco7606第12页共28页3.2.3.3 同 3750 的连接切换前线路连接图切换后线路连接图SW3750_JXNC01SW3750_JXNC02SW3750_JXNC01SW3750_JXNC02G1/0/24G1/0/24G1/0/22G1/0/22G1/0/23G1/0/23G1/0/21G1/0/21Fa5/1/0:Fa5/1

27、/1:Fa5/1/1:Fa5/1/0:Gig5/8:Gig6/8:Gig6/8:Gig5/8:21.220.121.822.220.121.822.220.121.921.220.121.921.220.121.822.220.121.822.220.121.921.220.121.9RT_JXYWRT_JXBGRT7606_JX01RT7606_JX02Cisco7507Cisco7507Cisco7606Cisco76063.2.4 路由器 HSRP 组HSRP设备名称接口IP 地址优先级HSRP 虚拟组号IP0RT_JXYWFa5/0/021.220.120.8/2511021.220.

28、120.10RT_JXBGFa5/0/021.220.120.9/25900RT_JXYWFa5/0/122.220.120.8/259022.220.120.10RT_JXBGFa5/0/122.220.120.9/251100RT_JXYWFa5/1/021.220.121.8/2511021.220.121.10RT_JXBGFa5/1/021.220.121.9/2590122RT_JXYWFa5/1/122.220.121.8/259022.220.121.10RT_JXBGFa5/1/122.220.121.9110路由器切换后，各个 HSRP 组保留不变，新添加的 7606 的各

29、个接口将替代并继承替换下的 7507 路由器的相应接口参与各个 HSRP 组的属性，如 HSRP 组号、虚拟 IP 地址、 HSRP 优先级等配置。第13页共28页3.3 方案三：同时替换两台Cisco7505该方案的实施步骤与方案二基本相同，包括：(1) 配置、调试 Cisco7606 路由器的广域网接口；(2) 分别与各个辖属分行进行离线式广域网线路调试，即广域网调试期间中心端 Cisco7606 路由器和分行端 Cisco3825 路由器都不接入生产网，只是进行线路测试。(3) 当连接各个分行的广域网线路都调试完成后，将中心端两台Cisco7507路由器切换为 Cisco7606 路由器

30、，即将 7507 的局域网线路都连接到7606 路由器上（建议不要关闭替换下的Cisco7507 路由器，也不要拔除路由器上的连线，以便于出现故障时能及时恢复） ；(4) 各分行将办公和业务线路切换到 3825 路由器，即将原来插在办公和业务3725 路由器上的连线都插到3825 路由器上（ 3825 路由器除广域网接口外的其它配置与原 3725 路由器相同）。4广域网部分广域网部分进行改造期间，两台Cisco7507 和两台 Cisco7606 路由器将同时在线运行。首先需要将中心端连接Cisco7606 的 ATM 广域网线路配置好，包括对路由器的 ATM 接口模块 SPA-2XOC3-A

31、TM 进行配置， 将运行商光纤线路连接到接口模块上， 并进行连通性调试。 然后分别到每个辖属二级分行进行改造，每改造好一个分行，其广域网线路也将随之迁移到Cisco7606 的 ATM 线路上。逐步改造各分行，则所有二级骨干网线路将逐渐平滑的迁移至新的骨干路由器。4.1 关于 SPA-2XOC3-ATM模块SPA-2XOC3-ATM 模块包含两个 155M（ OC-3c）的 ATM 接口，在每台路由器中，这两个接口的名称分别为interface ATM4/0/0 和 interface ATM4/0/1 。在两台 Cisco7606 路由器分别连接业务和办公线路的情况下，每台路由器只用到其中第

32、14页共28页的一个接口，而剩余的一个接口可以作为另一台路由器ATM 接口的备份。4.2 中心端 ATM 模块的配置在使用 ATM 模块接口下连 4M 二级行线路时，可以根据运营商提供的PVC编号通过划分子接口的方式，即每个子接口配置一个PVC，以此对应于一个二级行。比如有 3 个二级行，而运营商为连接到这 3 个二级行的 ATM 线路分别设置了 3 个 PVC 编号 9/101、9/102 和 9/103，则可以划分 3 个子接口 interface ATM4/0/0.1 、interface ATM4/0/0.2 和 interface ATM4/0/0.3，分别对应于这 3 个二级行。第

33、15页共28页7606 配置举例/ QoS 部分 / ! 定义数据流 configure terminalip access-list 101 permit *ip access-list 101 permit *!ip access-list 102 permit *!ip access-list 103 permit *! 定义数据类configure terminalclass-map match-any YWmatch access-group name 101class-map match-any Videomatch access-group name 102class-map m

34、atch-any Voicematch access-group name 103! 定义 QoS 带宽策略 configure terminalpolicy-map QOSclass YWbandwidth 500class Videobandwidth 550class Voicebandwidth 450class class-defaultfair-queue!/ ATM链路管理部分 /configure terminalvc-class atm 4M-PVC/ 类别名称为“ 4M-PVC ”vbr-nrt 4096 4096 36/ pvc 带宽策略（每个 PVC 限定 4M 带宽）

35、oam-pvc manage/ 打开 pvc 链路故障检测功能oam retry 3 3 1!第16页共28页/ ATM 接口配置部分 / !interface ATM4/0/0no ip addressclass-int 4M-PVC/ 将该策略应用到主接口后，所有子接口将继承该策略atm sonet stm-1/ 配置 ATM 模块帧形式no atm ilmi-keepalive! 到第一个二级支行的 ATM 子接口interface ATM4/0/0.1 point-to-pointip address 10.1.1.1 255.255.255.252/ 必须先配置 IP 地址才能进行其

36、它配置 no ip redirectsno ip unreachables / 这 3 条都需要配置no ip proxy-arppvc 9/101/ 将子接口与 PVC 编号对应protocol ip 10.1.1.2 broadcast / 对端 IP 地址encapsulation aal5snapservice-policy output QOS/ 应用 QoS 策略! 到第二个二级支行的 ATM 子接口 interface ATM4/0/0.2 point-to-pointip address 10.1.3.1 255.255.255.252 no ip redirectsno ip unreachables no ip proxy-arp pvc 9/102protocol ip 10.1.