【文章內(nèi)容簡介】 生產(chǎn)用戶接入：? 生產(chǎn)用戶所在 VLAN 按照上述原則進行拆分，生產(chǎn)用戶均勻分組，放入相應網(wǎng)段。這樣分組的好處一是可以提高生產(chǎn)用戶的可用性，二是可以在交換機故障時便于利用生產(chǎn)用戶機器排查故障。 網(wǎng)點接入要求網(wǎng)點接入互相備份的服務器（如 cite 前置） ，要以網(wǎng)點為單位進行訪問配置，不要以二級分行為單位進行，避免造成整個二級分行的故障。. 分行 SNA 網(wǎng)絡部署? 通用網(wǎng)關 SNA LLC2 的部署? 內(nèi)網(wǎng)交換機 A 必須連接 snasw1，內(nèi)網(wǎng)交換機 B 必須連接 snasw2? 2 臺交換機上的 LLC2 端口通過 trunk 劃分到同一 VLAN。? 連接在內(nèi)網(wǎng)交換機 A 上的通用網(wǎng)關的目標 mac 指向 snasw1，連接在內(nèi)網(wǎng)交換機 B 上的通用網(wǎng)關的目標 mac 指向 snasw2。? 通用網(wǎng)關 ip 端口和 llc2 端口必須連接在同一臺交換機上。? 上聯(lián)路由器 LLCIP 端口調整? 目前各行上聯(lián)（snasw）路由器連接骨干交換機的端口使用同一板卡，這種情況下，這塊板卡的故障會導致上聯(lián)路由器脫網(wǎng)，會造成連接在本路由器上的通用網(wǎng)關無法連通數(shù)據(jù)中心主機。snasw 根據(jù)〈〈一級分行轄內(nèi)網(wǎng)絡結構可用性調整項目標準實施方案 的網(wǎng)間網(wǎng)地址規(guī)劃，分行的@@65RT0AC1 連接上聯(lián)路由器 1 的 LLC2 端口 F0/0/1（中小規(guī)模行），分行的@@65RT0AC1 連接 SNASW 路由器 1 的 LLC2 端口 F0/0/0（大規(guī)模行）；分行的@@65RT0BC1 連接上聯(lián)路由器 2 的 LLC2 端口 F0/0/1（中小規(guī)模行），分行的@@65RT0BC1 連接 SNASW 路由器 2 的 LLC2 端口 F0/0/0（大規(guī)模行）。? 各分行的@@45RT0AA1 連上連路由器 1 和上連路由器 2 的 F0/0/0 端口, @@45RT0BA1 連上連路由器 1 和上連路由器 2 的 F0/1/0 端口。對上連路由銀行分行核心網(wǎng)絡系統(tǒng)結構優(yōu)化調整項目實施方案器１而言，其連接@@45RT0AA1 和@@45RT0BA1 的兩個端口 F0/0/0 和F0/1/0 位于不同的板卡上，這種設計保證了上連路由器對下的兩條鏈路不會因為一塊板卡的故障而導致兩條對下鏈路的中斷，有效的利用了方案中對鏈路冗余的設計。（對上連路由器 2 同理）。? 但在一級分行轄內(nèi)網(wǎng)絡結構優(yōu)化調整項目的具體實施過程中，發(fā)現(xiàn)大多數(shù)分行并未嚴格按照方案執(zhí)行，大多數(shù)分行將@@45RT0AA1 和@@45RT0BA1連接上連路由器 1 或上連路由器 2 的端口部署在了同一塊板卡上（目前大部分分行 4@@45RT0AA1 和@@45RT0BA1 分別連接上連（snasw）路由器 1的 F0/0/0 和 F0/0/1 端口）。這種部署方法增大了安全隱患，為提高一級骨干網(wǎng)絡的高可用性，各一級分行應嚴格按照標準方案實施對上述問題進行整改。? 大規(guī)模分行 snasw 路由器和骨干交換機的路徑調整大規(guī)模分行 snasw 路由器的骨干交換機之間采用的動態(tài)等價路由，數(shù)據(jù)流出入不一致，任何一臺骨干交換機的不穩(wěn)定都有可能影響 sna 數(shù)據(jù)，造成全轄故障，需要調整為不等價路由保證 2 臺 snasw 路由器來回路徑一致并各住走一臺骨干交換機。. 部署防火墻之前高可用性調整方案. 結構描述骨干交換機和內(nèi)網(wǎng)交換機采口字型連接方式，保持兩臺內(nèi)網(wǎng)交換機之間的二層 trunk 連接，對于應用上冗余熱備份的重要服務器部署到兩臺內(nèi)網(wǎng)交換機上，并使用單獨的三層 vlan 地址，確保正常情況下重要服務器的出入數(shù)據(jù)流在內(nèi)網(wǎng)交換機和骨干交換機之間保持一致，但對于其他服務器仍然保持現(xiàn)狀。骨干交換機和內(nèi)網(wǎng)交換機之間采用口字型連接方式時的結構如下：銀行分行核心網(wǎng)絡系統(tǒng)結構優(yōu)化調整項目實施方案c2@45RT0AA1 @45RT0BA1@65RT0AC1 @65RT0BC1@75WA01A1 @75WA02A1@75WA03A1 @75WA04A1第 一 類 Vlan 第 三 類 Vlan 第 二 類 Vlanc1a b注 入 匯 總 cost 20 公 告 第 二 類 vlan明 細注 入 匯 總 cost 25匯 總 注 入 eigrp delay 1 第 二 類 vlan明 細 注 入 eigrp匯 總 注 入 eigrp delay20eigrp注 入 ospf83,84默 認 cost=20 eigrp注 入 ospf83,84匯 總 cost=25ip ospf cost 12注 ： 將 所 有 思 科 交 換 機 計 算 ospfcost的 參 考 帶 寬 改 為 100M經(jīng)過對內(nèi)網(wǎng)交換機的優(yōu)化調整，內(nèi)網(wǎng)交換機上的 vlan 被分成了三類：（1） 第一類 vlan：該 vlan 中的所有服務器都必須物理連接到內(nèi)網(wǎng)交換機 A 上，該 vlan 的 vrrp 或 hsrp 主活在內(nèi)網(wǎng)交換機 A 上（2） 第二類 vlan：該 vlan 中的所有服務器都必須物理連接到內(nèi)網(wǎng)交換機 B 上，該 vlan 的 vrrp 或 hsrp 主活在內(nèi)網(wǎng)交換機 B 上（3） 第三類 vlan：該 vlan 中的服務器可以物理均衡連接到兩臺內(nèi)網(wǎng)交換機上，該 vlan 的 vrrp 或 hsrp 主活在內(nèi)網(wǎng)交換機 A 上如圖所示：服務器 a 屬于第一類 vlan，物理連接到內(nèi)網(wǎng)交換機 A 上；服務器b 屬于第二類 vlan，物理連接到內(nèi)網(wǎng)交換機 B 上；服務器 c1 屬于第三類 vlan，物理連接到內(nèi)網(wǎng)交換機 A 上；服務器 c2 屬于第三類 vlan，物理連接到內(nèi)網(wǎng)交換機 B 上。. 方案調整要點（1） 骨干交換機和內(nèi)網(wǎng)交換機之間采用口字型連接方式：骨干交換機 A 連接內(nèi)網(wǎng)交換機 A 的端口屬于 vlan 286，該 vlan 只建立在骨干交換機 A 上；骨干交換機 B 連接內(nèi)網(wǎng)交換機 B 的端口屬于 vlan 289，該 vlan 只建立在骨干交換機 B 上。內(nèi)網(wǎng)交換機 A 連接骨干交換機 A 的端口屬于 vlan 銀行分行核心網(wǎng)絡系統(tǒng)結構優(yōu)化調整項目實施方案380，該 vlan 只建立在內(nèi)網(wǎng)交換機 A 上；內(nèi)網(wǎng)交換機 B 連接骨干交換機B 的端口屬于 vlan 383，該 vlan 只建立在內(nèi)網(wǎng)交換機 B 上。（2） 兩臺骨干交換機之間保留 trunk 連接。（3） 兩臺內(nèi)網(wǎng)交換機之間保留 trunk 連接。（4） 兩臺骨干交換機之間通過 vlan 270 建立 ospf neighbor。（5） 兩臺內(nèi)網(wǎng)交換機之間通過 vlan 389 建立 ospf neighbor。. 路由調整要點通過調整某些 vlan 的 cost 值以及路由重分發(fā)時的參數(shù)來影響路由的選路，保證正常情況下第一類 vlan 和第三類 vlan 的數(shù)據(jù)流通過左邊的設備傳輸，第二類 vlan 的數(shù)據(jù)流通過右邊的設備傳輸，而且來回路徑一致，以避免當同一層雙機熱備中的一臺出現(xiàn)“半死不活”的狀態(tài)時對另外一臺造成影響。（1） 將思科交換機上 ospf 65XXX 中的 autocost referencebandwidth 調整為10000M，以保證整個 ospf 域的 cost 計算的一致性和準確性，這樣無論是思科交換機還是華為交換機，所有三層 vlan 的 ospf 默認 cost 都為10。（2） 總行、數(shù)據(jù)中心及其他分行的路由調整? 在骨干交換機 A 上向 ospf 65XXX 中分發(fā) eigrp 65000 中的 83 和 84 匯總路由（cost 值為 20） ，向 ospf 65XXX 中分發(fā) Extra 網(wǎng)、總行和其他分行的靜態(tài)路由（cost 值為 20） ；在骨干交換機 B 上向 ospf 65XXX中分發(fā) eigrp 65000 中的 83 和 84 匯總路由（cost 值為 25） ，向 ospf 65XXX 中分發(fā) Extra 網(wǎng)、總行和其他分行的靜態(tài)路由（cost 值為 25） 。正常情況下，一級分行除第二類 vlan 外( 第一、三類 vlan 及二級分行)訪問總行、數(shù)據(jù)中心及其他分行的數(shù)據(jù)包都會到達骨干交換機 A，最終訪問數(shù)據(jù)中心（上海）和上海分行的數(shù)據(jù)包都會發(fā)送給@@75WA02A1，訪問總行、數(shù)據(jù)中心（北京）和其他分行的數(shù)據(jù)包都會發(fā)送給@@75WA01A1；第二類 vlan 內(nèi)的服務器訪問總行、數(shù)據(jù)中心及其他分行的數(shù)據(jù)包都會到達骨干交換機 B，最終訪問數(shù)據(jù)中心（上海）和上海分行的數(shù)據(jù)包都會發(fā)送給@@75WA02A1，訪問總行、數(shù)據(jù)中心（北京）和其他分行的數(shù)據(jù)包都會發(fā)送給@@75WA01A1。銀行分行核心網(wǎng)絡系統(tǒng)結構優(yōu)化調整項目實施方案（3） 本一級分行內(nèi)網(wǎng)路由的調整? 在骨干交換機 A 上使用靜態(tài) null0 路由匯總本行的 A 類路由，并分發(fā)到eigrp 65000 中（ delay 為 1） ；在骨干交換機 B 上使用靜態(tài) null0 路由匯總本行的 A 類路由，并分發(fā)到 eigrp 65000 中（delay 為 20） ，同時在骨干交換機 B 上向 eigrp 65000 中分發(fā) ospf 65XXX 中第二類 vlan 的明細路由（delay 為 20） 。正常情況下，總行、數(shù)據(jù)中心和其他分行訪問一級分行內(nèi)網(wǎng)第一類 vlan 數(shù)據(jù)包都會到達骨干交換機 A 上，最終到達內(nèi)網(wǎng)交換機 A 上的第一類 vlan 服務器；總行、數(shù)據(jù)中心和其他分行訪問一級分行內(nèi)網(wǎng)第二類 vlan 服務器的數(shù)據(jù)包都會到達骨干交換機 B，最終到達內(nèi)網(wǎng)交換機 B 上的第二類 vlan 服務器；總行、數(shù)據(jù)中心和其他分行訪問訪問一級分行內(nèi)網(wǎng)第三類 vlan 服務器的數(shù)據(jù)包都會到達骨干交換機 A，或者最終到達內(nèi)網(wǎng)交換機 A 上的第三類 vlan 服務器，或者到達內(nèi)網(wǎng)交換機A 后，經(jīng)過 trunk 到達內(nèi)網(wǎng)交換機 B 上的第三類 vlan 服務器。? 在內(nèi)網(wǎng)交換機 A 上使用靜態(tài) null0 路由匯總內(nèi)網(wǎng)交換機的路由，并分發(fā)到 ospf 65XXX 中（cost 值為 20） ；在內(nèi)網(wǎng)交換機 B 上使用靜態(tài) null0 路由匯總內(nèi)網(wǎng)交換機的路由，并分發(fā)到 ospf 65XXX 中（cost 值為 25） ，同時在內(nèi)網(wǎng)交換機 B 上將第二類 vlan 加入 ospf 65XXX 的 area 0 中。正常情況下，二級分行和網(wǎng)點訪問一級分行內(nèi)網(wǎng)第一類 vlan 服務器的數(shù)據(jù)包都會到達骨干交換機 A，最終到達內(nèi)網(wǎng)交換機 A 上的第一類 vlan 服務器；二級分行和網(wǎng)點訪問一級分行內(nèi)網(wǎng)第二類 vlan 服務器的數(shù)據(jù)包都會到達骨干交換機 B，最終到達內(nèi)網(wǎng)交換機 B 上的第二類 vlan 服務器；二級分行和網(wǎng)點訪問一級分行內(nèi)網(wǎng)第三類 vlan 服務器的數(shù)據(jù)包都會到達骨干交換機 A，或者最終到達內(nèi)網(wǎng)交換機 A 上的第三類 vlan 服務器，或者到達內(nèi)網(wǎng)交換機 A 后，經(jīng)過 trunk 到達內(nèi)網(wǎng)交換機 B 上的第三類 vlan服務器。? 在骨干交換機 A 上使用靜態(tài) null0 路由匯總本行計算中心的路由，并分發(fā)到 ospf 65XXX 中（cost 值為 20） ；在骨干交換機 B 上使用靜態(tài) null0路由匯總本行計算中心的路由，并分發(fā)到 ospf 65XXX 中（cost 值為25） 。? 把兩臺內(nèi)網(wǎng)交換機之間互聯(lián) vlan 的 ospf cost 值加大為 12，以盡量避免銀行分行核心網(wǎng)絡系統(tǒng)結構優(yōu)化調整項目實施方案正常情況下數(shù)據(jù)流量通過 trunk 發(fā)送。? 對于內(nèi)網(wǎng)交換機 A，從 ospf 來看，到數(shù)據(jù)中心的路由從骨干 A 會優(yōu)先學到，對于內(nèi)網(wǎng)交換機 B，從骨干 B 學到，數(shù)據(jù)包到達骨干 B 后，由于eigrp 路由 distance（90 ）小于 ospf（110） ，數(shù)據(jù)包優(yōu)先發(fā)送到上聯(lián)wan。? 對于內(nèi)網(wǎng)交換機 A，從 ospf 來看，到二級分行的路由從骨干 A 會優(yōu)先學到，對于內(nèi)網(wǎng)交換機 B，從骨干 B 學到，數(shù)據(jù)包到達骨干 B 后，優(yōu)先選擇明細路由發(fā)送到下聯(lián) wan。? 大規(guī)模分行 snasw 1 路由器連接交換機 2 的端口 delay 調整為 11，使snasw1 的 sna 數(shù)據(jù)流優(yōu)先發(fā)送到骨干交換機 A。 Snasw 2 路由器連接交換機 1 的端口 delay 調整為 11，使 snasw2 的 sna 數(shù)據(jù)流優(yōu)先發(fā)送到骨干交換機 B? 大規(guī)模分行骨干交換機 A 連接 snasw2 路由器的 vlan 的 delay 調整為2，使上聯(lián) wan 的 sna 數(shù)據(jù)流優(yōu)先發(fā)送到骨干交換機 A；骨干交換機 B連接 snasw1 路由器的 vlan 的 delay 調整為 2，使上聯(lián) wan 的 sna 數(shù)據(jù)流優(yōu)先發(fā)送到骨干交換機 B；. 剩余風險分析 根據(jù)最新的《信息系統(tǒng)管理制度》 ，任何一臺內(nèi)網(wǎng)交換機的故障仍然會導致全轄 3級事件。第 2 章 實施規(guī)劃. Vlan 規(guī)劃表邏輯安全區(qū)域 Vlan 號 用 途后的新vlan應用位 地址范圍 服務器銀行分行核心網(wǎng)絡系統(tǒng)結構優(yōu)化調整項目實施方案300 300 柜面業(yè)務 313/3400001 通用網(wǎng)關、CITE 服務器301 341 0001 呼叫中心、網(wǎng)銀MQ、ATM 監(jiān)控302 302 批量數(shù)據(jù)3420001報表反傳、批量代理后臺、后督后臺、縮微后臺303 外圍系統(tǒng)3430001資金調撥、大額支付、國際結算、清算中心、B 股開戶、計財、牌價、大屏320 320營業(yè)部所有生產(chǎn)服務器 360