combab出品大型企业广域网项目详细设计方案v

combab出品大型企业广域网项目详细设计方Version2Combat-lab章项目概述支行的三级网，网络覆盖所有营业网点，从而形北京、上海之间核心骨干网的建设，将一级骨干网从基于ATM交换的传输网络广域网建设的总体目标是，在统筹考虑X行全行业务需求和发展的基础生产中心及北京备援中心建设需要，构建两阶段一(分行上连北京)物理连通，由于上海中心据中心的广域上连，所有生产业务从原有阶段二(分行上连北京上海)网为两个数据中心之间生产业务36家一级分行完成到上海数据中心的广域上连，生产业务(除开发测试以外)从分行到北京的广域链路切换至分行到上海的广域链路上，实现阶段三(业务整合和链路优化)心为生产运行中心，核心北京数据中心和上海数据中心的广域链路，使网络结构趋于完善，原先用于承载办公业务的MGX网技术及协议，确保网络的开放互连和设备自身的冗余支持使得整个架构在任意部生产系统和办公系统数据的完整和安全体系实施的能力，以确保用户、合作伙伴容量、覆盖能力等各方面具有易扩。高效网络管理，网络架构采用分层模块化设计，同时配合整体网络/系统管应用分析中间业务系统：支持各类代理业务(代缴费、代发工资等)，各类投资业务(保险、证券等)，各类地方性联行交换业务(同城交换等)。持各类代理业务(代缴费、代发工资等)，各类投资业务的前置应用 (保险、证券等)，各类地方性联行交换业务(同城交换等)。记卡受理、国际卡受理)、现金管理系统前置应用(CMF)、支付结算类应用(大额支付、跨中心汇兑、漫游汇款、银行汇票系统、西联汇款)。信贷管理系统(CMS)联机类指实时交互的应用，如ABIS、网上银行、交换系统等，这类应需要在短时间内完成数据的传递和确部分核心应用属于联机性质，部署QoS时需要给联机应用分配较高的优先级，并且通过相应的QoS机制保证，如FTP、报表传递等，这类应用的特点是时延，但需确保在一段时间内完成批量类应用的保障等级要求较高，一般是非核心的业务应用，部署QoS给批量应用分配较低的优先级，通过相应的QoS机制保证批量业务的带在短时间内完成数据部分核心应用属于联机性质，部署QoS时需要给联机应用分配较高的优先级，并且通过相应的QoS机制保证其对于视频、语音类应用，对时延和抖动非常，如FTP、报表传递等，这类应用的特点是时延，但需确保在一段时间内完成批量类应用的保障等级要求较高，一般是非核心的业务应用，部署QoS给批量应用分配较低的优先级，通过相应的QoS机制保证批量业务的带京、上海数据中心和一级分行所承担的职责中心将成为管理决策中心，上海成为生产运行中所有业务(生产、办公)的运行中心，也是一级骨干网的接入中心。各一，生产业务切换至分行到北京的广域链供任何服务，各一级分行至上海数各一级分行将生产业务切换至广域网，办公业务仍然运行在MGX网上。部策中心，生产业务的备数据中心迁移至上海数据中心，其他生产业务也业务。产业务的广域接入中心。上海数据据中心的主要生产业务会逐渐搬迁过来，随着上路切换至上连上海的广域链路仍然运行在MGX网上。尚未完成局域网改造的分行开始进行局域策中心，同时也是生产章设备配置规定，设备命名规则将采用字母与数字结城市+大楼+行级+楼层字段名称字段含义…F(110)，总带宽为30M。(111)，总带宽为28M。C：2M(126-129)，4M(117-118、120、122、)，6M(115)，总带D：2M(130、134、138-140)，4M(124、131、141)，6M(119)，数量器2器2网管工作站SunFireV490Server2DM2名称详细描述数量核心骨干路由QuidwayNE80路由器(4端口GBIC光接口线2C网管工作站SunFireV490Server2DM器2C器C器第四章网络结构之间的高速数据交换，一级骨广域网建设初期(阶段一、二)，拓扑设计以链路冗余可靠为主，一级分行双链路分别上连北京数据中心和上海数据中心，广域网建设后期(阶段三)，网络已经运行稳定，考虑到核心骨干链路的充分利用和一级骨干网的链。域网建设逐步深入，网络结构持续优化。网三个方面，每个阶段的网络结构都围绕这三和办公网两部分组成，由于上海中网络流量很大，需要使用高速网络流量中等，适合采用ATM链路技术。ATM是一种基于虚电路(VC)交换的在单个物理接口上配置多条VC，特别适用于中心、分支的网络在生产网中，核心骨干网2条POS链路的带宽为每条622M(STM-4)，一一级骨干网中，每家分行通过2条等值带宽的ATM链路上连北京数据中心，分别用于承载生产联机、生产批量(测试)数据。根据每个一级分行的实MM建、上海、河北、四川、天津、黑龙江、辽上海数据中心通过高速链路互连，形成完整据中心的互连，一级骨干网结构初投产，所有生产业务仍然位于北京数据中心，一级分行的生产联机和生产批量(测试)等业务通过广域网直接上连北京上海数据中心通过高速链路互连，用于两个和办公网两部分组成，上海中心正中心，一级骨干网中每家一级分行使用4条ATM链路上连北京和上海数据中据中心，上连上海数据中心的2条ATM链路用于承载生产联机、生产批量数据，上连北京数据中心的链路用于承载测试数据。每个一级分行ATM链路的带上海数据中心通过高速链路互连，形成核心上海数据中心的连接，实现同时与北京和上海数发生改变，一级分行的生产产批量通讯经上海数据中心到达北京数据上海数据中心通过高速链路互连，用于两个生产网，统一成一个广域网。广域京和上海数据中心的链路从一级骨干网中，每家分行通过3条(或2条)链路上连北京和上海数据中心，带宽总量不变，减少链路的带宽增加至同个数据中心(北京或上海)的剩一级骨干网将对链路进行优化，每个一级分行的上连链路从4条逐步精简。一级分行的局域网改造工作相对滞后，无法在的要求，因此在广域网建设的不同阶段制定生产核心区，通过生产核心区接入行数据中心建设规范要机同时与生产局域网核心交换机和冗余策略余能力，通过合理设计网络拓略的设计原则如应用运行在不同的广域链路上，以充分北京数据中心为管理决策中心，所有办公类业务(包括测试)运行在上连上海数据中心为生产业务中心，所有生产类业务运行在上连上海的广域链路上，与应用实际所在的位置(北京数据中心或上海数据中心)无关。故障链路上的应用能够迅速切换到其他内部的冗余和数据中心之间的内部查找备份链路，如果本中5.1.2拓扑冗余策略(阶段一)别承载生产联机和生产批量(测试)等业务，业务与链路的对应关系如下：12(测试)21在网络正常条件下，生产联机业务运行在一级骨干网链路一(一级分行到北京数据中心链路一)上，生产批量(测试)业务运行在一级骨干网链路二 (一级分行到北京数据中心的链路二)上。当一级骨干网链路二发生故障时，其上承载的生产批量(测试)业务切换5.1.3拓扑冗余策略(阶段二)试)等业务，业务与链路的对应关系如下：业业务类型生产联机生产批量北京数据中心到上12北京数据中心到上21业务运行在核心骨干网链路一上，生产批量业业务类型生产联机生产批量测试一级分行到北京342一级分行到北京43112一级分行到上海21在网络正常条件下，生产联机业务运行在一级骨干网链路三(一级分行到上海数据中心链路一)上，生产批量业务运行在一级骨干网链路四(一级分行到上海数据中心的链路二)上，测试业务运行在一级骨干网链路二(一级分行到北京数据中心链路二)上，一级骨干网链路一(一级分行到北京数据中心链路一)作为其他链路的备份。干网链路三发生故障时，其上承载的生产联四。当一级骨干网链路四发生故障时，其上承载干网链路三。如果两条链路均发生故障，则生产干网链路二发生故障时，其上承载的测试业链路均发生故障，不将测试业务切换至5.1.4拓扑冗余策略(阶段三)公(测试)等业务，业务与链路的对应关系如下：业务类型业务类型生产联机办公线路序号生产批量测试北京数据中心到上12北京数据中心到上21、生产批量业务运行在核心骨干网链路一上，办公(测试)业务运行在核心骨干网链路二上。当核心骨干网链路二发生故障时，其上承载的办公(测试)业务切换至核(3条链路)(2条链路)注：阶段三中，一级骨干网链路可能经历两次调整，广域网链路从3条减一级骨干网中每个一级分行由3条(或2条)ATM链路构成，分别承载生产联机、生产批量和办公、测试等业务，在3条链路情况下，业务与链路的对业业务类型生产联机生产批量办公(测一级分行到北京数据331一级分行到上海数据122业业务类型生产联机办公(测一级分行到北京数据21一级分行到上海数据12、生产批量业务运行在上连上海数据中心的广域链路上，办公(测试)业务运行在上连北京数据中心的广域链路上。上连上海数据中心的广域链路发生故障时(如果本中心内没有冗余链路)，其上承载的生产联机、生产批量业务切换至上连北京数据中心的广域链上连北京数据中心的广域链路发生故障时(如果本中心内没有冗余链路)，其上承载的办公(测试)业务切换至上连上海数据中心的广域链路上。策略的重要组成部分，它们的设计原则分行与北京数据中心(上海数据中心)的两条链路必须由2家运营商提5.2.2运营商、设备、板卡冗余策略阶段一、二、三(核心骨干网)核心骨干网所使用的设备为4台NE80路由器，关键部件都提供了冗余备链路)，另一块为备用板卡，当主用板卡出现故障时，可以人工将POS链5.2.3运营商、设备、板卡冗余策略阶段一、二(一级骨干网)某个数据中心的一级骨干网链路全部中一级骨干网所使用的设备包括NE80(北京和上海数据中心、一级分行)和NE40(一级分行)路由器，关键部件都提供了冗余备份。每块接入18家一级分行。单块板卡故障只影响一半分行单条链路的连通性，5.2.4运营商、设备、板卡冗余策略阶段三(一级骨干网)(3条链路)(2条链路)一级骨干网中每家一级分行使用3条(或2条)ATM链路上连北京和上海和SP2提供。单个运营商链路的故障(如SP2)不会导致一级骨干网链路一级骨干网所使用的设备包括NE80(北京和上海数据中心、一级分行)和NE40(一级分行)路由器，关键部件都提供了冗余备份。，否则会出现其中一台路由器没有任何ATM接入的情况。北京数据中心一级调整后布局如下(与北京数据中心的板卡布局完全相同)：北京数据中心(上海数据中心)一级骨干路由器板卡布局经过调整后，布下，通过主板卡上连，主板卡故障时，可以将ATM链路人工迁移到备用板路由策略通讯提供最佳路径，路由协议选择放性，支持不同厂商设备的能力，能够支持网络规模的持续增过调整路由策略，可以实现数据分基于以上三点选择原则，广域网建设宜采用BGP+OSPF的双层路由体系，BGP、OSPF都是IETF制定的通用路由协议，具备良好的扩展能力，而且结合支持丰富的路由属性，能够实现灵活的路由策6.1.2路由协议部署(阶段一、二)由器与上海中心的核心骨干路器与一级分行的一级骨干路F广域区的BGP用于交换实际的业务路由(生产联机、批量、测试等)，广括广域区的所有设备(路由器和交换机)。6.1.3路由协议部署(阶段三)由器与上海中心的核心骨干路器与一级分行的一级骨干路eBGP邻居关系，相互交换生产联机、生产批量、办公、测试路F广域区的BGP用于交换实际的业务路由(生产联机、批量、办公、测试由边界包括广域区的所有设备(路由器和交换机)。公使用OSPF200进程。广域区交换机为局域网与广域网的路由边界点，负责(测试)路由，包括本中心和分行的路由。级骨干路由器之间相互发布行之间不会互相学到生产路由，分行也分行一级骨干路由器之间相互发布不会互相学到生产路由，分行也不会成PP业务业务类型生产联机生产批量测试(LP3)400(LP4)中心链路一(LP5)中心链路二(LP6)500中心链路一(LP1)600中心链路二(LP2)广域区在发布本地路由时会使用Community标识路由的类别，通过Community可以简化路由的识别过程，路由策略可以直接调用Community属针对实际的路由分布情况，我们采用两级Community结构，第一级为行级二级为业务类型Community，前两个字节表示路由类别(生产、办公、广域tymmunity业务类型业务类型二级Community201:2202:1tyommunity和办公(测试)路由，包括本中心和分行的路由。级骨干路由器之间相互发布生产联机、生产批量、办公(测试)路由，北京数据中心发布北京和上海数据行只发布本行的生产和办公路由，保证以学到所有的办公路由，分行也不会成分行一级骨干路由器之间相互发布只发布本行的生产和办公路由，保证分行之间不学到所有的办公路由，分行也不会成为中转区测试(LP3) (LP4)北京数据200100500600中心链路二(LP6)海数据600500100中心链路一(LP1)0600200中心链路二(LP2) (LP4) 北京数据200100500600中心链路二(LP6)海数据600500100中心链路一(中心链路一(LP1)(2条链路)针对实际的路由分布情况，我们采用两级Community结构，第一级为行级二级为业务类型Community，前两个字节表示路由类别(生产、办公、广域tymmunity业务类型二级CommunitytytyAreaAreaIDwork(北京、上海数据中心)AreaAreaID广域区交换机一到10P2P广域区交换机一到10P2P(一级分行)考虑到安全因素，OSPF邻居间使用MD5(MessageDigest)认证，以保证iBGP务路广域区主要设备(包括广域区交换机和核心、一级骨干路由器)之间建立域网区，可以将广域区交换机设置为路由反射端，通过路由反射器与核心或一级骨干路由在广域区交换机上需要将局域网路由导入iBGP，并设置相应的Community业务类型业务类型网段Community交换机一LP交换机二LP生产联机65000:0800700生产批量65000:0800700测试65000:0800700(北京数据中心)业务类型网段业务类型网段测试65000:0800700网管网段65000:0800700生产其他65000:0800700(上海数据中心)业务业务类型网段Community交换机一交换机二LPLP65002:199(一级分行)AreaAreaIDworkP2PP2PP2PP2PP2PP2P一级骨干路由器二P2P(北京、上海数据中心)AreaAreaIDwork(一级分行)考虑到安全因素，OSPF邻居间使用MD5(MessageDigest)认证，以保证iBGP务路广域区主要设备(包括广域区交换机和核心、一级骨干路由器)之间建立网区，可以将广域区交换机设置为路由反射端，通过路由反射器与核心或一级骨干路由在广域区交换机上需要将局域网路由导入iBGP，并设置相应的Community业务类型业务类型网段Community交换机一LP交换机二LP生产联机65000:0800700生产批量65000:080070065002:200065000:0700800(北京数据中心)业务类型网段业务类型网段(上海数据中心)065002:2990业务类型网段Community交换机一交换机二LPLP生产联机65000:1800700生产批量65000:1800700测试65000:1800700运行管理65000:180070065002:29900(一级分行)再发布。在广域网交换机上将iBGP中生产联机、生产批量、测试路由导入交换机二生产其他65001:1交换机二Cost00/100办公其他65001:1流量工程、生产批量、测试等，各应用的流量分中心的广域链路一，生产批量、测据中心的广域链路二，在链路故障情况下，两条、生产批量、测试等，各应用的流量分中心的广域链路一，生产批量经过域链路二，再经过核心骨干链路二到达北京数据到北京数据中心的广域链路二，一级分行到北京机、生产批量、办公、测试等，各应用的(3条链路流量分布图)况下，生产联机流量经过一级分行到上海数据中心海数据中心的广域链路二，再经过测试流量经过一级分行到北京数据况下，生产联机、生产批量流量经过一级分行到上生产批量再经过核心骨干链路二到达北京数据中级分行到北京数据中心的广域链路二，在链路故障据，根据这些应用的重要性和带宽消优先级Class运行管理数据流高EF101110高FF011-010F010-010F001-010其他低BE000000、生产批量、办公、测试等业务运行在各自上，多种业务之间便可能形成带宽竞争。为了确，某些业务切换到备份链路上后，依然能够得到内部使用1000M以太网互连，通常情况下不会产生拥塞，因此可以在核心骨干和一级骨干路由器的广域接口上使用CBQ和WRED技术，通过广域链路用于QoS分配的带宽比例设置为物理带宽的90%，核心骨干网2例622M链路型制MM机务量型制机务量(分行到上海数据中心的线路一、二带宽分配)型制机务量(分行到北京数据中心的线路一、二带宽分配)内部使用1000M以太网互连，通常情况下不会产生拥塞，因此可以在核心骨干和一级骨干路由器的广域接口上使用CBQ和WRED技术，通过广域链路用于QoS分配的带宽比例设置为物理带宽的90%，核心骨干网2例622M链路型制机务量测试型路网络控5%180K360K540K制制机4320K务量2700K2160K60KK(分行到上海数据中心的线路一带宽分配)型路网络控5%180K360K540K制机4320K务量2700K2160K测试60KK(分行到北京数据中心的线路二带宽分配)第八章网络安全设备，防止非授权用户对网络设备的恶意ACL的方式实现网络层面的安全防护，防止不信任应用之间的安全防护，还需要通过安全专用设备(防火墙、IDS等)结合的方式，集中认证为主要认证在集中认证服务器无法访问的情况下使用本设备的统一管理。同时在设备上建立本地用户数eTELNET理的主要手段，可以对设备进行最为有效的操(1)设置最大会话连接数；(3)尽量用SSH代替TELNET，采用SSH的好处是所有信息以加密的形式(1)避免使用缺省的snmpcommunity，设置高质量的口令；(2)不同区域的网络设备采用不同的snmpcommunity；(4)配置ACL来限制能够通过SNMP访问网络设备的网管服务器的IP地记录，需要记录网络设备的运(1)收集网络设备的SYSLOG；(2)设置SYSLOGServer(通常位于网管工作站上)用于收集所有网络设(3)所有的SYSLOG可以送到专门的事件管理服务器上，进行事件的压。(4)收集SNMPTrap，通过网管工作站收集网络设备的SNMPTrap信息，(5)收集用户操作记录，通过AAA服务器，对用户进行认证、授权和行为建立和路由信息的安全交换，广域(1)BGP路由验证(必要)(2)OSPF路由验证(必要)在广域区交换机与局域网相连上应用入方向的ACL访问控制，只允许运行管理区的特定主机可以访问广域区设备运行在OSPF300中，缺省情况下，局域网是无法学到OSPF无从访问广域网设备。但是运行管理区可能需要访问广域区设备，如果将OSPF300再发布至局域网，应该确保除运行管理区通过路由保证各