农行二级分行网络改造设计方案.docx
- 文档编号:16619365
- 上传时间:2023-07-15
- 格式:DOCX
- 页数:12
- 大小:1.19MB
农行二级分行网络改造设计方案.docx
《农行二级分行网络改造设计方案.docx》由会员分享,可在线阅读,更多相关《农行二级分行网络改造设计方案.docx(12页珍藏版)》请在冰点文库上搜索。
农行二级分行网络改造设计方案
农行二级分行网络改造设计方案
2013年3月
1二级分行目标网络架构设计
建设目标:
为了统一二级分行网络架构,实现清晰的路由部署、建立清晰流量模型,实现统一的安全策略。
结构描述:
二级分行用两台XX_WN_AR01/AR02作为二级分行上联路由器,分别和二级分行两台WN_DS交叉相连,XX_WN_AR03/04作为网点汇聚路由,也分别和二级分行两台WN_DS交叉相连,同时两台网点下联路由器之间进行相互连接。
两台WN_DS分别和办公网核心交换机、生产网核心交换机口字型互联。
2二级分行路由部署目标
2.1二级分行广域网区IBGP+OSPF300方案
2.1.1路由部署方案
路由部署:
⏹二级分行两台上联路由器通过广域网链路和一级分行下联路由器建立EBGPpeer。
⏹两台上联路由器、两台下联路由器分别和两台WN_DS建立IBGPPEER关系,交互省分行、二级分行及网点路由信息。
广域网各设备内部需要运行OSPF300,以保证各设备建立IBGPpeer路由信息的可达性。
⏹两台WN_DS和两台办公网、生产网核心交换机汇聚交换机建立OSPF500AREA0.
⏹两台下联路由器广域口、及各网点设备广域网口及局域网口中运行OSPF400,建议每20个网点规划到OSPFareaxx中。
技术要点:
⏹为了使两台下联路由器及两台上联路由器能相互学到对方的路由信息,需要将两台WN_DS设为路由反射器,客户端为两台下联路器。
⏹为了防止网点到二级分行一条广域线路中断,而产生回程数据出现次优路径问题,需要将下联两台路由器的互联端口规划到相应的AREAXX中,对于好几个非骨干AREA的情况,需要将两台下联路由器的互联端口启用子接口的方式,划分到不同的AREA中。
2.2.2路由策略部署目标
路由策略:
⏹在两台WN_DS上,将BGP路由引入到OSPF中,外部路由TPYE2COST值默认。
在正常情况下为了确保流量从DS_01上行,需要将核心交换机连DS_01端口的OSPFCOST值设为10,连DS_02上端口的OSPFCOST值为1000。
⏹在两台WN_DS上,通过手动配置生产、办公网黑洞静态路由,Network到BGP中,在WN_DS_01上通过路由策略将办公网及生产网的LP值设为800,在WN_DS_02上将生产网及办公网的LP值设为700。
保证从网点或从省分行回程路由优选WN_DS_01。
⏹在两台WN_DS上发布BGP路由器时,针对生产网段及办公网段设置COmmUNITY属性值,并通告给上联路由器及下联路由器,用和区分不同的业务的路由。
⏹在两台下联路由器上,将BGP重分进OSPF400中,在重分发中,匹配不同的community属性值,在AR03上将办公网路由的COST设为100,生产网设为10,AR04反之。
⏹在两台下联路由器配置到网点的静态汇总黑洞路由,network到BGP中,在AR03利用路由策略匹配生产的路由LP设为800,办公的设为700,AR04上反之。
保证生产网从AR03上回程,办公网从AR04上回程。
⏹在两台上联汇聚路由器上,在和省分行建设EBGPPEER上,利用BGP路由策略,在AR01匹配省分行生产网段的COMMUNITY属性值,将LP设为800,办公网设为700,AR02反之。
技术要点:
⏹团体属性是任选可传递属性,要让该团体属性能沿各网络设备传寄到省分行,需要配置send命令。
⏹在二级分行广域内部、需要将和DS_01互联的广域接口OSPF的COST设为10,和DS_02互联广域接口的OSPF的COST设为1000。
⏹为了避免IBGP路由迭代,需要在广域网区将和DS_01/02互连接口的OSPFCOST交叉线路设为150,直接设为100.
⏹在OSPF进程中将ASE路由的优先级设为190,BGP路由的管理距离设为170.
2.2网点汇聚路由器和WN_DS运行OSPF400,上联路由器和WN_DS运行OSPF300+IBGP方案
2.2.1路由部署方案
路由部署:
⏹二级分行两台上联路由器通过广域网链路和一级分行下联路由器建立EBGPpeer。
⏹两台上联路由器分别和两台WN_DS建立IBGPPEER关系,内部运行OSPF300,以保证各设备建立IBGPpeer路由信息的可达性。
DS_01/02和下连网点汇聚交换机运行OSPF400AREA0,下联路由器和各网点设备运行OSPF400AREAXX中(建议:
20个网点规划为一个非AREA。
)
⏹两台DS_01/02和两台办公网、生产网核心交换机、汇聚交换机建立OSPF500AREA0.
技术要点:
⏹为了防止网点到二级分行一条广域线路中断,而产生回程数据出现次优路径问题,需要将下联两台路由器的互联端口规划到相应的AREAXX中,对于好几个非骨干AREA的情况,需要将两台下联路由器的互联端口启用子接口的方式,划分到不同的AREA中。
2.2.2路由策略部署目标
路由策略:
⏹在WN_DS_01/02上,将BGP路由重分发进OSPF500及OSPF400中,外部路由为TPYE2型将COST值为默认。
⏹在两台WN_DS上,通过手动配置二级分行及网点生产、办公网黑洞静态路由,network到BGP中,在WN_DS_01上通过路由策略将办公网及生产网的LP值设为800,在WN_DS_02上将生产网及办公网的LP值设为700。
保证从网点或从省分行回程路由优选WN_DS_01。
⏹在两台WN_DS上发布BGP路由器时,针对生产网段及办公网段课路由设置不同COMMUNITY属性值,并通告给上联路由器,用于区分不同的业务的路由。
⏹在DS_01/02上将OSPF500的路由重发到OSPF400中,并设置TAG500,将OSPF400引入到OSPF500中,设置TAG400。
利用路由策略,在OSPF500中将TAG400进行过滤,在OSPF400中将TAG500进行过滤,确保路由信息无环。
⏹为了避免IBGP路由迭代及到网点进出流量从DS_01进出,需要在广域网区将和DS_01/02互连接口的OSPFCOST交叉线路设为150,直接设为100
⏹在OSPF进程中将ASE路由的优先级设为190,BGP路由的管理距离设为170.
技术要点:
⏹在网点两台汇聚路由器分别对网点路由作基于生产和办公的汇总,在AR03上将生产的汇总路由COST值设为10,办公设为100,在AR04上将生产汇总路由COST值设为100,办公汇总路由设为10,确保正常情况下,生产流量优选AR03进出,办公流量优选AR04进出。
当网点广域链路故障及任务一台设备故障后,流量可以迂回到另一条链路和另一台设备上。
3二级分行网络数据流向模型
流量流向分析
二级分行—>省分行生产数据:
CO_DS01->CO_CS01->WN_DS01->XX_WN_AR01->WN_AR01
二级分行—>省分行办公数据:
OC_DS01->OC_CS01->WN_DS01->XX_WN_AR02->WN_AR02
二级分行—>网点的生产数据:
CO_DS01->CO_CS01->WN_DS01->XX_WN_AR03->网点主线路
二级分行—>网点办公数据:
OC_DS01->OC_CS01->WN_DS01->XX_WN_AR04->网点备线路
网点—>二级分行生产数据:
网点主线路->XX_WN_AR_03->WN_DS01->co_cs01->CO_DS01
网点—>二级分行办公数据:
网点备线路->XX_WN_AR_04->WN_DS01->OC_cs01->OC_DS01
网点—>省分行生产数据:
网点主线路->XX_WN_AR_03->WN_DS01->XX_WN_AR01->WN_AR01
网点—>省分行办公数据:
网点备线路->XX_WN_AR_04->WN_DS01->XX_WN_AR02->WN_AR02
省分行—>二级分行生产数据:
WN_AR01->XX_WN_AR01->WN_DS01->CO_CS01->CO_DS01
省分行—>二级分行办公数据:
WN_AR2->XX_WN_AR02->WN_DS01->OC_CS01->OC_DS01
省分行—>网点生产数据:
WN_AR1->XX_WN_AR01->WN_DS01->XX_DS_AR03->网点主线路
省分行—>网点办公数据:
WN_AR2->XX_WN_AR02->WN_DS01->XX_DS_AR04->网点备线路
4安全策略部置
4.1二级分行网络UTM部署
详见省分行详细设计方案
4.2ACL部署
通过部署ACL来控制生产和办公的互访
⏹在生产的DS设备连CS设备接口的出方向调用ACL,控制生产网访问办公网。
⏹在办公的DS设备连CS设备接口的出方向调用ACL,控制办公网段访问生产网,并且拒绝常见的病毒端口。
4.3其它安全策略
设备安全、管理安全、路由安全等策略参考现网的安全规范
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 农行 二级 分行 网络 改造 设计方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)