农行二级分行网络改造设计方案.docx

农行二级分行网络改造设计方案2013年3月1二级分行目标网络架构设计建设目标：为了统一二级分行网络架构，实现清晰的路由部署、建立清晰流量模 型，实现统一的安全策略。结构描述：二级分行用两台XX_WN_AR01/AR02作为二级分行上联路由器，分别 和二级分行两台WN_DS交叉相连，XX_WN_AR03/04作为网点汇聚路由，也分别 和二级分行两台WN_DS交叉相连，同时两台网点下联路由器之间进行相互连接。 两台WN_DS分别和办公网核心交换机、生产网核心交换机口字型互联。2二级分行路由部署目标2.1二级分行广域网区IBGP+OSPF 300方案2.1.1路由部署方案WN AR01OSPF 50。WN AR01AR02EBGP.一 XX WN AR02ARD3OSPF 300IBGP 65XXXW WN AR04OSPF 400OC CS02网点及ATM二级分行网络路由部署目标路由部署: 二级分行两台上联路由器通过广域网链路和一级分行下联路由器建立EBGPpeer。 两台上联路由器、两台下联路由器分别和两台WN_DS建立IBGP PEER关系，交互省分行、二级分行及网点路由信息。广域网各设备内部需要运行OSPF300，以保证各设备建立IBGP peer路由信息的可达性。 两台WN_DS和两台办公网、生产网核心交换机汇聚交换机建立OSPF 500 AREA 0 . 两台下联路由器广域口、及各网点设备广域网口及局域网口中运行OSPF 400, 建议每20个网点规划到OSPF area xx中。技术要点：为了使两台下联路由器及两台上联路由器能相互学到对方的路由信息，需要 将两台WN_DS设为路由反射器，客户端为两台下联路器。为了防止网点到二级分行一条广域线路中断，而产生回程数据出现次优路径 问题，需要将下联两台路由器的互联端口规划到相应的AREA XX中，对于好 几个非骨干AREA的情况，需要将两台下联路由器的互联端口启用子接口的 方式，划分到不同的AREA中。222路由策略部署目标路由策略： 在两台WN_DS上，将BGP路由引入到OSPF中，外部路由TPYE2 COST值默 认。在正常情况下为了确保流量从DS_01上行，需要将核心交换机连DS_01 端口的OSPF COST值设为10，连DS_02上端口的OSPF COST值为1000。 在两台WN_DS上，通过手动配置生产、办公网黑洞静态路由，Network到 BGP中，在WN_DS_01上通过路由策略将办公网及生产网的LP值设为800， 在WN_DS_02上将生产网及办公网的LP值设为700。保证从网点或从省分行 回程路由优选WN_DS_01。 在两台WN_DS上发布BGP路由器时，针对生产网段及办公网段设置COmmUNITY属性值，并通告给上联路由器及下联路由器，用和区分不同的 业务的路由。 在两台下联路由器上，将BGP重分进OSPF400中，在重分发中，匹配不同的 community属性值，在AR03上将办公网路由的COST设为100，生产网设为 10,AR04 反之。 在两台下联路由器配置到网点的静态汇总黑洞路由，network到BGP中，在 AR03利用路由策略匹配生产的路由LP设为800，办公的设为700,AR04上反之。 保证生产网从AR03上回程，办公网从AR04上回程。在两台上联汇聚路由器上，在和省分行建设EBGP PEER上，利用BGP路由策 略，在AR01匹配省分行生产网段的COMMUNITY属性值，将LP设为800， 办公网设为700，AR02反之。技术要点：团体属性是任选可传递属性，要让该团体属性能沿各网络设备传寄到省分行， 需要配置send命令。在二级分行广域内部、需要将和DS_01互联的广域接口 OSPF的COST设为 10,和DS_02互联广域接口的OSPF的COST设为1000。 为了避免旧GP路由迭代，需要在广域网区将和DS_01/02互连接口的OSPF COST交叉线路设为150，直接设为100. 在OSPF进程中将ASE路由的优先级设为190,BGP路由的管理距离设为170.2.2网点汇聚路由器和WN_DS运行OSPF400，上联路由器和 WN_DS 运行 OSPF300+IBGP 方案2.2.1路由部署方案路由部署：二级分行两台上联路由器通过广域网链路和一级分行下联路由器建立EBGP peer。 两台上联路由器分别和两台WN_DS建立IBGP PEER关系，内部运行OSPF 300, 以保证各设备建立IBGP peer路由信息的可达性。DS_01/02和下连网点汇聚交换机运行OSPF 400 AREA 0,下联路由器和各网点设备运行OSPF 400 AREAXX中（建议：20个网点规划为一个非AREA。） 两台DS_01/02和两台办公网、生产网核心交换机、汇聚交换机建立OSPF 500AREA 0 .技术要点：为了防止网点到二级分行一条广域线路中断，而产生回程数据出现次优路径 问题，需要将下联两台路由器的互联端口规划到相应的AREA XX中，对于好 几个非骨干AREA的情况，需要将两台下联路由器的互联端口启用子接口的 方式，划分到不同的AREA中。一级分行222路由策略部署目标二皱分行二皴骨干网 EBGP.WN_AR02Cost 150I一-母盐行广域网区技术要点： 在下联两台AR03/04(ABR )设备 上对网点路由 做汇总，以减 雀二皱分行路 由条目，_ 狂二 -嗣 荷编诡z出5反 整告到盹p知j1 NI-标识：将B<5P玲由电介发进。5PF 500/400中|路由策略: 在 WN_DS_01/02上，将BGP路由重分发进OSPF500及OSPF400中，外部路由为TPYE2型将COST值为默认。 在两台WN_DS上，通过手动配置二级分行及网点生产、办公网黑洞静态路 由，network到BGP中，在WN_DS_01上通过路由策略将办公网及生产网的 LP值设为800，在WN_DS_02上将生产网及办公网的LP值设为700。保证从 网点或从省分行回程路由优选WN_DS_01。 在两台WN_DS上发布BGP路由器时，针对生产网段及办公网段课路由设置 不同COMMUNITY属性值，并通告给上联路由器，用于区分不同的业务的路 由。 在DS_01/02上将OSPF500的路由重发到OSPF400中，并设置TAG500，将OSPF400引入至【OSPF 500中，设置TAG400O利用路由策略，在OSPF 500中 将TAG400进行过滤，在OSPF400中将TAG500进行过滤，确保路由信息无 环。 为了避免旧GP路由迭代及到网点进出流量从DS_01进出，需要在广域网区 将和DS_01/02互连接口的OSPF COST交叉线路设为150，直接设为100 在OSPF进程中将ASE路由的优先级设为190,BGP路由的管理距离设为170. 技术要点： 在网点两台汇聚路由器分别对网点路由作基于生产和办公的汇总，在AR03 上将生产的汇总路由COST值设为10，办公设为100，在AR04上将生产汇总 路由COST值设为100，办公汇总路由设为10，确保正常情况下，生产流量 优选AR03进出，办公流量优选AR04进出。当网点广域链路故障及任务一台 设备故障后，流量可以迂回到另一条链路和另一台设备上。CS01一级分行WN二级分行EBGP3二级分行网络数据流向模型OTPF300N AR04，KI I &SPF400*1 ' t / /；OC_CS02流量流向分析二级分行一> 省分行生产数据：CO_DS01->CO_CS01->WN_DS01->XX_WN_AR01->WN_AR01二级分行一> 省分行办公数据：OC_DS01->OC_CS01->WN_DS01->XX_WN_AR02->WN_AR02二级分行一>网点的生产数据：二级分行一> 网点办公数据：CO_DS01->CO_CS01->WN_DS01->XX_WN_AR03-> 网点主线路OC_DS01->OC_CS01->WN_DS01->XX_WN_AR04-> 网点备线路网点一 >二级分行生产数据：网点主线路->XX_WN_AR_03->WN_DS01->co_cs01->CO_DS01网点一 >二级分行办公数据：网点备线路->XX_WN_AR_04->WN_DS01->OC_cs01->OC_DS01网点一> 省分行生产数据：网点主线路->XX_WN_AR_03->WN_DS01->XX_WN_AR01->WN_AR01网点一> 省分行办公数据：网点备线路->XX_WN_AR_04->WN_DS01->XX_WN_AR02->WN_AR02省分行一 >二级分行生产数据：WN_AR01->XX_WN_AR01->WN_DS01->CO_CS01->CO_DS01省分行一 >二级分行办公数据：WN_AR2->XX_WN_AR02->WN_DS01->OC_CS01->OC_DS01省分行一> 网点生产数据：WN_AR1->XX_WN_AR01->WN_DS01->XX_DS_AR03-> 网点主线路省分行一> 网点办公数据：WN_AR2->XX_WN_AR02->WN_DS01->XX_DS_AR04-> 网点备线路4安全策略部置4.1二级分行网络UTM部署详见省分行详细设计方案4.2ACL部署通过部署ACL来控制生产和办公的互访 在生产的DS设备连CS设备接口的出方向调用ACL,控制生产网访问办公网。在办公的DS设备连CS设备接口的出方向调用ACL，控制办公网段访问生产网，并且拒绝常见的病毒端口。4.3其它安全策略设备安全、管理安全、路由安全等策略参考现网的安全规范