二级网详细设计方案.doc

目目 录录 1.前言前言1 1.1.编写目的1 1.2.背景1 1.3.定义1 1.4.参考资料2 2.网络改造目标网络改造目标3 3.需求分析需求分析4 3.1.数据集中的需求4 3.2.业务隔离需求4 3.3.灵活的接入能力4 3.4.可管理性要求4 3.5.安全性要求5 3.6.网络带宽需求5 4.网络系统设计网络系统设计6 4.1.二级骨干网结构设计6 4.1.1.与一级骨干网的连接7 4.1.2.与内部局域网的连接7 4.1.3.与接入网的连接9 4.2.通信线路的选择和规划11 4.3.非 ip 网络协议的过渡11 4.3.1.sna.11 4.3.2.bna16 5.路由设计路由设计17 5.1.路由协议概述17 5.2.骨干路由17 5.2.1.模式一18 5.2.2.模式二19 5.3.接入路由19 6.ip 规划规划.20 6.1.一级地域互联 ip 地址规划：20 6.2.二级地域互联 ip 地址规划21 6.3.二级骨干网络各种应用系统 ip 地址的规划21 6.4.二级分行路由器 loopback 地址21 6.5.二级分行路由器直联网段的地址22 7.可靠性设计可靠性设计23 7.1.设备备份23 7.2.线路备份23 7.2.1.情况一：正常情况24 7.2.2.情况二：主链路故障25 7.2.3.情况三：主、副链路故障26 7.2.4.情况四：路由器1以太网（业务）故障27 7.2.5.情况五：两台路由器以太网（业务）故障27 7.2.6.情况六：一台交换机故障29 8.qos 设计设计 30 8.1.业务分类及特点30 8.2.qos 实施策略 .31 8.2.1.ip优先级.31 8.2.2.拥塞避免机制wred.33 8.2.3.队列管理机制cbwfq和wfq .33 8.2.4.带宽控制机制car34 8.2.5.sna的qos34 9.网络安全设计网络安全设计35 9.1.对网络设备和服务的保护35 9.2.对应用系统的保护35 中国建设银行二级骨干网络改造 详细设计方案 第 1 页，共 37 页 1. 前言前言 1.1. 编写目的编写目的 编写本方案的目的是为二级骨干网络改造项目的实施提供指导性的方案和 规划，主要包括路由设计、不同协议接入的设计、接入设计、ip 规划、网络安 全等内容。 1.2. 背景背景 本方案是在总体设计方案的基础之上，根据二级网调研、测试和试点的结 果编写的。 1.3. 定义定义 为了便于理解避免混淆，对本方案中的关键词语解释如下： 网络结构按网络的组建、运营、管理和维护的责任地理区域，可分为一级 骨干网、二级骨干网和接入网。 一级骨干网一级骨干网：由设置在总行和一级分行的节点组成，它提供省间的通讯业 务，由总行至各一级分行的网络组成。 二级骨干网二级骨干网：由设置在省内的节点组成，它提供本省内长途通讯业务，由 各一级行至下属二级分行的网络构成。 接入网接入网：地区范围内的节点组成。由地区所辖各类业务网络接入组成。 中国建设银行二级骨干网络改造 详细设计方案 第 2 页，共 37 页 骨干传输部分骨干传输部分：整个网络的广域网骨干结构部分，负责实现高性能、高可 靠性、高速数据交换和转发功能；本文是指一级骨干、二级骨干。 接入服务部分：接入服务部分：为最终用户提供对网络的接入，完成用户入网接口。由各 层节点处的本地局域网接入、我行网络最末端的各营业网点和分支机构广域网 接入、外部网络和internet接入等组成，完成业务系统之间的隔离、互通、安 全性控制等。 1.4. 参考资料参考资料 中国建设银行骨干网络优化建设总体设计方案 中国建设银行一级骨干网网络设备招标：附件 3 项目技术方案和实施 计划 中国建设银行网络系统 ip 地址和域名分类编码规范 中国建设银行骨干网络改造项目二级网调研报告 中国建设银行骨干网络改造项目二级网测试报告 各分行 ip 地址的调查报告 “全行网络状况的通知”各行上报统计 企业内部网物理网络技术手册 中国建设银行一级骨干网络改造详细设计方案 中国建设银行二级骨干网络改造 详细设计方案 第 3 页，共 37 页 2. 网络改造目标网络改造目标 按照中国建设银行骨干网络优化建设总体设计方案的设计要求，本次 二级骨干网络改造的目标为： 完成各一级分行城市综合业务系统、清算系统、企业网系统以及其它相 关应用系统在二级骨干网的切换上线；为在各行综合业务系统数据集中 过程中提供网络技术保障。 完成二级骨干网络路由器设备及通讯链路的整合。 完成二级骨干网络的路由策略、设备和链路的备份策略、qos 机制、 安全策略等，与一级骨干网和各行接入网融为一体，实现整个网络的互 通与控制。 为我行数据、语音、视频三网合一打好技术基础。 建立全行统一策略的网络管理系统。 按照总行新制定的 ip 地址标准，完成 ip 地址的统一。 中国建设银行二级骨干网络改造 详细设计方案 第 4 页，共 37 页 3. 需求分析需求分析 3.1. 数据集中的需求数据集中的需求 应满足一级分行数据集中的需要，并在三年后能够满足全行数据集中的需 要。因此，网络骨干需具有高通信效率、高稳定性、高可靠性和可伸缩性，适 应拓扑结构的变化。 3.2. 业务隔离需求业务隔离需求 根据业务特点和重要级别，不同业务之间会有相互隔离的要求，可以为不 同的业务或应用系统分配不同的 ip 网段，并在各网段之间实现业务的隔离。如 我行业务系统可划分为清算网段、龙卡网段、网上银行网段、办公自动化网段、 外接业务网段、internet 服务网段、语音网段、视频网段等，明确各类业务的 优先级，从而在逻辑上将各类业务分开，并保证其可靠传输。 3.3. 灵活的接入能力灵活的接入能力 未来银行将成为个人、企业的结算机构，保险公司、证券交易机构等都将 同银行互联。银行的变革实质是从千家万户进入银行向银行进入千家万户的转 变，为此需要我行网络为客户提供灵活的接入方式，提供多样化、个性化的金 融服务。 3.4. 可管理性要求可管理性要求 网络的安全稳定运行离不开有效的管理，在设计时就要求充分考虑网络的 可管理性，要求能实现对所有骨干设备的管理。为便于管理，采用两级网管模 式，集中监控、分权管理，即总行建立网管中心，统一调度一级网资源，一级 分行建立网管分中心，管理所属机构网络，形成覆盖全行的分布式网络管理系 统。 采用先进的网络管理平台，将来可以平滑地实现从网络层到应用层的管理。 中国建设银行二级骨干网络改造 详细设计方案 第 5 页，共 37 页 3.5. 安全性要求安全性要求 要制定全网统一的安全策略，确保各类业务在网络上的安全。 3.6. 网络带宽需求网络带宽需求 二级骨干网的带宽需求，以日均交易量 5 万笔的二级分行为例计算，二级 分行到一级分行的带宽趋势如下（单位为 kbps）： 二二级级分分行行（日日均均交交易易量量5 5万万笔笔）网网络络带带宽宽趋趋势势 1 10 00 0 3 30 00 0 5 50 00 0 7 70 00 0 9 90 00 0 1 11 10 00 0 1 13 30 00 0 1 15 50 00 0 1 17 70 00 0 2001 2002 2003 2004 2005 2006 年年份份 带带宽宽（k kb bp ps s) ) 总总峰峰值值带带宽宽 总总平平均均带带宽宽 数数据据业业务务平平均均带带宽宽 数数据据业业务务峰峰值值带带宽宽 中国建设银行二级骨干网络改造 详细设计方案 第 6 页，共 37 页 4. 网络系统设计网络系统设计 4.1. 二级骨干网结构设计二级骨干网结构设计 二级骨干网以树型结构为主，遵循骨干和接入逻辑分离的原则，确保网络 上下能够完全贯通，为数据大集中做好准备，并具有较高的可靠性。 二级骨干网从结构上看如下图所示： 二级分行 pstn/isdn 运营商a 运营商b 一级分行 总行 二级网 主路由器1主路由器2备份路由器 主路由器1主路由器2 备份路由器 二级骨干网络结构同样遵循一级骨干网的原则，即一级分行和二级分行之 间使用两条广域网主链路传输数据，其中一条为业务主链路，另一条为管理主 链路，两条链路互为备份，分别采用不同电信运营商的线路，另外还有一条拨 号链路作为备份链路。 中国建设银行二级骨干网络改造 详细设计方案 第 7 页，共 37 页 .1.1.与一级骨干网的连接与一级骨干网的连接 原则上应在一级网的路由器上增加连接二级网的端口模块，使分行一级骨 干路由器既连接一级网，又连接二级网。 .1.2.与内部局域网的连接与内部局域网的连接 二级网与内部局域网的连接从物理上来说，如下图所示： 二级分行 pstn/isdn 运营商a 运营商b 一级分行 主路由器1主路由器2备份路由器 主路由器1主路由器2备份路由器 三层交换机1三层交换机2 二层交换机2 二层交换机1 在一级分行配置了（或者已有）两台三层交换机，每台路由器同时与两台 交换机连接（除拨号备份路由器外）; 在二级分行配置两台二层交换机，这两 中国建设银行二级骨干网络改造 详细设计方案 第 8 页，共 37 页 台交换机支持 802.1q 或者 isl vlan trunk 协议，每台路由器同时与两台交换 机以 trunk 连接（除拨号备份路由器外） 。 一级分行路由器与交换机的逻辑设计参见中国建设银行一级骨干网络改 造详细设计方案 。 二级分行路由器与交换机的逻辑设计如下图所示： f0.1 f0.10 f1.10 f1.2 f0.11 f0.1 f0.10 f1.2 f0.1 f1.11 f0.11 trunk trunk trunk trunk trunk trunk 主路由器1 主路由器2 备份路由器 二层交换机2 二层交换机1 路由器和交换机之间所有连接采用 trunk，图中的 f0.1 代表路由器上第一 个快速以太网物理端口上的 1 号子端口，f1.10 代表路由器上第二个快速以太网 物理端口上的 10 号子端口，在配置时需要将物理端口根据实际情况定义。 图中，所有的 f0.1 和 f1.2 分别定义为路由器之间传递路由的网段 1 （lan_a）和网段 2（lan_b） ，二者路由优先级相等，并比其它网段的路由 优先级高。 定义主路由器 1 的 f0 为营业类数据的主用网卡，f1 为管理类数据的备用 网卡；定义主路由器 2 的 f0 为管理类数据的主用网卡，f1 为营业类数据的备 中国建设银行二级骨干网络改造 详细设计方案 第 9 页，共 37 页 用网卡；定义备份路由器的 f0 为业务类数据的备用网卡和管理类数据的备用网 卡。 主路由器 1 的 f0.10、主路由器 2 的 f1.10 和备份路由器的 f0.10 都定义为 总行所属的营业网段 1，配置 hsrp，优先级依次为 150、120、90。 主路由器 1 的 f1.11、主路由器 2 的 f0.11 和备份路由器的 f0.11 都定义为 总行所属的管理网段 1，配置 hsrp，优先级依次为 120、150、90。 如上图所示，骨干路由器和骨干交换机之间定义了专门用于数据转发的网 段、总行推广的营业系统网段、总行推广的管理系统网段，在二级网上还应定 义各分行城综网应用网段，各分行应根据实际情况定义相应的子接口、 hsrp、ip 地址等参数，例如子接口为：f0.20、f0.21 等。 .1.3.与接入网的连接与接入网的连接 接入网指三级网，包括县（区）级支行、储蓄网点以及相应的局域网络。 中国建设银行二级骨干网络改造 详细设计方案 第 10 页，共 37 页 s 卐 乔 * * s s u u s 剆 /* * * 卐 乔 / * 卉 乄 * d s 剆 /* * * 卐 乔 / * 卉 乄 * d s 剆 * * * 卐 乔 / * 卉 乄 * d 如图所示，对于省分行接入网，采用分离模式，即在省分行局域网用单独 的路由器负责同城网点的接入。 在二级分行设计中，根据接入网点数量、业务量大小、原有设备情况等条 件，接入方式主要可以参照两种模式： 模式一：共用模式，即在二级分行骨干路由器在上连一级分行同时，还负 责连接接入网，充分发挥骨干网络设备的接入能力，保护设备投资； 模式二：分离模式，即二级分行骨干路由器和二级分行的接入路由器分离， 采用专用设备负责连接接入网，该设备再通过局域网（或广域网）连接二级分 行的骨干路由器。 在技术上能够实现、可满足应用需求的前提下，要充分考虑原有设备的利 中国建设银行二级骨干网络改造 详细设计方案 第 11 页，共 37 页 用，本着降低成本的原则选择接入网的模式。 4.2. 通信线路的选择和规划通信线路的选择和规划 原则上一级分行和二级分行之间应具有三条链路：主链路、副链路和拨号 备份链路。主、副链路应以 framerelay、ddn 或 e1 为主。拨号备份链路采用 pstn 或者 isdn。依据骨干网络改造总体设计方案的原则，主链路和副链路要 求采用不同的物理路由接入，可选择不同电信运营商的线路，一般情况下，不 建议采用无线或卫星线路。 主链路主要用于清算、龙卡、网银、债券等营业类数据的传输；当副链路 出现故障时，可以有限制地用于管理数据的传输。 副链路主要用于 ip 电话、www 浏览、办公自动化、信贷、人力资源、 notes、电子邮件等管理系统数据的传输，当主链路出现故障时，可以用于营 业类数据的传输。 备份链路当主链路和副链路都出现故障时，用于营业类数据和部分管理信 息的传输。 4.3. 非非 ip 网络协议的过渡网络协议的过渡 在总体设计方案中已经明确规定网络改造的目标是要建设以 ip 为基础的骨 干网络，因此对于现存的具有 ibm 大机、as/400 以及 unisys a 机的分行，现 有的 sna、bna 等协议要过渡到以 ip 为传输协议，与总体目标保持一致，对 于不具备过渡条件的分行要逐步进行改造。 .3.1.snasna 在 sna 网络环境中，利用 dlsw 等技术完成主机与网点之间的 sna 通讯。 sna 数据可封装在 ip 包内，通过 ip 网络在路由器之间传输， 再通过 sdlc、qllc 等技术与 sna 的终端系统连接，原来的应用系统不需要做改变。 中国建设银行二级骨干网络改造 详细设计方案 第 12 页，共 37 页 采用 dlsw+的 sna 接入方案设计如下图所示： token ring sna接入示意图 省行 地市行 前置机 ethernet 前置机前置机 sdlc 前置机 qllc primary peer primary peer backup peer backup peer t tc cp p/ /i ip p d dl ls sw w+ + s sn na a s sn na a 中国建设银行二级骨干网络改造 详细设计方案 第 13 页，共 37 页 如上图所示，业务网点终端首先连接到本地市行的骨干路由器上，然后再 通过市分行和省分行之间 ip 网络上的 dlsw+技术和省分行的主机进行通信。 主机的接入建议采用以太网。 网点的接入主要有四种类型：以太网、令牌环、sdlc 和 qllc。 dlsw+的对等关系（peer）在骨干网的四台主路由器之间建立，省行的主 路由器作为被动方（promiscuous） ，地市行的每台主路由器和省行的两台主路 由器建立两个对等关系，其中直联的路由器作为 primary peer，另一台路由器作 为 backup peer。 当直联的路由器之间的 tcp 连接（primary peer）发生故障，backup peer 将 启用，在 primary peer 恢复后，将切换回来。下面举例说明： 情况一：链路故障情况一：链路故障 primary peer primary peer backup peer backup peer t tc cp p/ /i ip p d dl ls sw w+ + 1如果发生链路故障，比如主、副链路同时故障，在这种情况下，通过路由迂 回仍然可以保持 peer 之间的连接。 情况二：主链路间主对等体故障情况二：主链路间主对等体故障 中国建设银行二级骨干网络改造 详细设计方案 第 14 页，共 37 页 primary peer primary peer backup peer backup peer t tc cp p/ /i ip p d dl ls sw w+ + 地市行 省行 2可能因为路由和物理链路原因，导致省行主路由器和地市行主路由器各自的 loopback 端口之间的 tcp 连接失效，primary peer 关系中断； 3省行主路由器和地市行副路由器之间的 backup peer 准备启用，即从 disconn 状态变为 wait_rd，等待打开读端口 2065。然后进入 cap_exg 状态，电路建立之后，进入 connect 状态； 4backup peer 启用，sna 数据走在省行主路由器和地市行副路由器之间。 情况三：副链路间主对等体故障情况三：副链路间主对等体故障 primary peer primary peer backup peer backup peer t tc cp p/ /i ip p d dl ls sw w+ + 地市行 省行 1可能因为路由和物理链路原因，导致省行副路由器和地市行副路由器各自的 loopback 端口之间的 tcp 连接失效，primary peer 关系中断； 2省行主路由器和地市行副路由器之间的 backup peer 准备启用，即从 disconn 状态变为 wait_rd，等待打开读端口 2065。然后进入 cap_exg 状态，电路建立之后，进入 connect 状态； 中国建设银行二级骨干网络改造 详细设计方案 第 15 页，共 37 页 3backup peer 启用，sna 数据走在省行副路由器和地市行主路由器之间。 情况四：主、副链路间主对等体均故障情况四：主、副链路间主对等体均故障 primary peer primary peer backup peer backup peer t tc cp p/ /i ip p d dl ls sw w+ + 地市行 省行 1这种情况是以上两种的汇总，primary peer 均失效； 2backup peer 启用，sna 数据走在省行副路由器和地市行主路由器之间。 中国建设银行二级骨干网络改造 详细设计方案 第 16 页，共 37 页 情况五：主路由器两个以太网端口均发生故障时情况五：主路由器两个以太网端口均发生故障时 牐 浩 牡 y2 2 敐 牥 2 牐 浩 牡 y2 2 敐 牥 2 慂 正 灵 翿 2 敐 牥 2 慂 正 灵 翿 2 敐 牥 2 偉偉 4 4 睓睓 缫缫 翿翿 4 4 翿 1这种情况时 primary peer 正常，但此时路由器和局域网之间的连接完全丢失； 2此时需要通过手工操作才能完成切换，具体过程如下： 将省行主路由器的 loopback 端口 shutdown，地市行主路由器 backup peer 会自动启用； sna 数据走在省行副路由器和地市行主路由器之间。 作为 peer 的 ip 地址采用路由器的 loopback 地址，这是为了确保当广域网链 路或者以太网链路出现故障时，dlsw+ peer 仍然可以保持连接，当然，前提是 两个 loopback 地址之间路由的连通性。 为了实现到主机的 sna 接入，需要对一级网详细设计方案中省行的局域网 接入模式进行修改，主要包括： 1.在交换机上建立一个 sna vlan； 2.交换机和路由器连接采用 trunk（由于 ios 的原因，目前和 sna 连接 只能采用 isl trunk） ，在省行两台主路由器和交换机之间的 trunk 中要 包含 sna vlan， 但在地市行交换机之间的 trunk 上不要包含 sna vlan； 3.将主路由器上原来在物理端口上的配置修改为逻辑子端口配置； 4.在省行主路由器上每个以太网物理端口上再建立一个子端口用于 sna 接入，该子端口属于 sna vlan，在该子端口上配置 transparent 中国建设银行二级骨干网络改造 详细设计方案 第 17 页，共 37 页 bridge，采用 ieee spanning tree 协议， 所有 sna 子端口属于同一个 bridge group； 5.在地市行每个主路由器的某个以太网物理端口上建立一个子端口用于 sna 接入，该子端口属于 sna vlan，两个主路由器上的 sna 子接口 分别连接到不同的交换机上，这时为了确保在任一时刻，任何前置机和 sna 主机之间都只有一条路径，避免产生回路。当以太网前置机和一 个路由器之间的连接出现问题时，需要手动将以太网前置机连接到另一 个交换机上。 地市行的两台主路由器都可以提供 sna 的接入，实现负载平衡。 根据二级网测试的情况，个别采用令牌环连接的前置机，通过 dlsw+无法 正确连接到主机，如果出现这种情况，可以启用主机的令牌环网卡，在省行和 地市行的主路由器上配置 rsrb 进行连接。 还需要注意的是，采用 dlsw+时，由于 dlsw+会自动根据连接的方式修改 mac 地址（bit wrap） ，但是修改后可能导致前置机无法连接到主机，此时需要 管理员对 mac 地址进行调整。详见中国建设银行二级骨干网络改造实施工 艺 （示范稿） 。 .3.2.bnabna 对于 bna 协议，目前尚没有较好的 bna over ip 的解决方案，因此采用 bna 协议的分行应根据自己的网络实际情况和数据集中的模式，对网络进行改 造，保证数据集中的需要，并为其他应用系统提供良好的网络环境，具体方案 报总行审批。 中国建设银行二级骨干网络改造 详细设计方案 第 18 页，共 37 页 5. 路由设计路由设计 5.1. 路由协议概述路由协议概述 5.2. 骨干路由骨干路由 考虑到路由协议的能力和扩展性的要求，二级网骨干部分应选择 ospf 或 者 eigrp 路由协议。这两种路由协议都可以满足二级骨干网的需求，但由于从 标准化方面来看，ospf 优于 eigrp，因此在此次二级骨干网中我们推荐采用 ospf 作为骨干网路由协议。 拨号备份路由器之间采用浮动静态路由。 n c c d d 有两个问题需要注意： 路由汇总：在骨干路由器上要进行路由汇总，减少路由表的规模 路由重分布：在拨号备份路由器上需要进行静态路由到骨干路由协议的 重分布；在其他骨干路由器上当运行多种动态路由协议时，需要进行骨 干路由到其他动态路由协议的重分布。 中国建设银行二级骨干网络改造 详细设计方案 第 19 页，共 37 页 下面是两种推荐模式，当然在实施时需要根据实际情况而定。 .2.1.模式一模式一 采用 ospf，如下图所示： u u n c n c 8 n c 8 n c 8 n c 8 s s s s 如上图模式一中，整个二级网运行 ospf，一级分行到二级分行广域网是 ospf 的骨干 area0，一级分行局域网和每个二级分行局域网分别属于一个 subarea，一级分行和二级分行的两台骨干路由器是边界路由器，并且在每个骨 干路由器（subarea 边缘）上做路由汇总。 需要注意的是，为尽量减少发到 area0 的路由信息条目，应在 ospf 的边 界路由器（骨干路由器）上做路由汇总，当对外部重分布的路由进行汇总时， 要注意各个外部路由汇总相互之间不能有重复或冲突。例如：当各网点的采用 静态路由分别接入两台二级骨干路由器时，如网点 ip 地址不规范会造成两台骨 干路由器的外部路由汇总的冲突，此时还需在二级分行的骨干路由器上运行一 个 rip 或者 eigrp 进程（只在用于路由器间直连的网段上运行） ，参与静态路 由的重分布，详细设计见中国建设银行二级骨干网络改造实施工艺（示范稿） 。 中国建设银行二级骨干网络改造 详细设计方案 第 20 页，共 37 页 .2.2.模式二模式二 如下图模式二中，整个二级骨干网运行 eigrp，并属于一个 eigrp 的 as，一级分行局域网和每个二级分行局域网也运行 eigrp 路由协议，在每个 骨干路由器的广域网端口上做 eigrp 的路由汇总。 u u pc p c p c p c p c s s s s d 5.3. 接入路由接入路由 接入部分的路由并不做统一规定，但是要满足下列要求： 1.在边界路由器上进行路由汇总； 2.满足可靠性的要求； 3.方便实施和维护。 基于这些要求，我们推荐： 连接网点采用静态路由； 连接规模较大的支行可以采用 eigrp 或者 ospf subarea； 局域网应采用收敛速度快的动态路由协议，可与骨干路由相同； 中国建设银行二级骨干网络改造 详细设计方案 第 21 页，共 37 页 如果局域网现有路由比较稳定，可沿用现有路由协议； 中国建设银行二级骨干网络改造 详细设计方案 第 22 页，共 37 页 6. ip 规划规划 本方案以中国建设银行网络系统 ip 地址与域名分类编码规范为依据， 对 ip 地址进一步细化。 编码结构如下： 8bits 5bits 3bits 3bits 13bits 一级地域标识二级地域标识000(扩展位)类型标识用户网络地址 类型标识： 类别标识位取值类别标识位取值相应相应 ipip 地址的类别地址的类别 000 网络设备管理 001 营业类 010 备用 011 备用 100 语音、视频类 101 管理类 110 备用 111 网络互连地址 6.1. 一级地域互联一级地域互联 ip 地址规划地址规划： 建设银行一级地域互联ip地址用于一级分行与二级行之间的互联。该地址 从一级地域用户地址中分配，类型标识为“111”，该地址由省分行统一分配使用， 其编码方式为： 8bits 5bits 3bits 3bits 13bits 一级地域标识 00000 000(扩展位)类型标识 111用户网络地址 为了便于标识，我们沿用一级骨干网中的用法，即二级骨干网主线路使用 x.0.241.x，备份线路使用 x.0.242.x，拨号线路使用 x.0.243.x。 中国建设银行二级骨干网络改造 详细设计方案 第 23 页，共 37 页 6.2. 二级地域互联二级地域互联 ip 地址规划地址规划 建设银行二级地域互联ip地址用于二级分行与所辖机构之间的互联。该地 址从二级地域用户地址中分配，类型标识为“111”，该地址由二级行统一分配使 用，其编码方式为： 8bits 5bits 3bits 3bits 13bits 一级地域标识二级地域标识000(扩展位)类型标识 111用户网络地址 6.3. 二级骨干网络各种应用系统二级骨干网络各种应用系统 ip 地址的规划地址的规划 各二级分行不同应用的网段主要根据 ip 地址中第 17.19 三位类别标识来 区分，其编码规则为： 8bits 5bits 3bits 3bits 13bits 一级地域标识二级地域标识 000 类别标识用户网络地址 根据此规则，总行推广的各应用系统的具体 ip 地址做如下规定： 网段编号应用项目地址类型ip 地址/掩码 24 位 hsrp 网关 x.x.32.98 网络设备局域口 x.x.32.91x.x.32.100 应用主机、应用服务器 x.x.32.150 网段 1营业类 网络内用户其他 hsrp 网关 x.x.191.98 网络设备局域口 x.x.191.91x.x.191.100 应用主机、应用服务器 x.x.191.150 网段 2管理类 (企业网) 网络内用户其他 6.4. 二级分行路由器二级分行路由器 loopback 地址地址 路由器需设置 interface loopback 地址，占用各二级分行网管网段 地址 x.x.31.x，掩码为 32 位，地址从大向小取值，即从 x.x.31.254/32 x.x.31.200/32，如省行路由器的 loopback 地址为 x.0.31.254/32 x.0.31.200/32，某地市分行路由器的 loopback 地址为 x.32.31.254/32 x.32.31.200/32。 中国建设银行二级骨干网络改造 详细设计方案 第 24 页，共 37 页 6.5. 二级分行路由器直联网段的地址二级分行路由器直联网段的地址 二级分行的本地局域网内，路由器之间需要占用两个 ip 网段互连，规划占 用网络地址 x.x.31.x/28，占用网段从 x.x.31.0/28x.x.31.31/28， ip 地址从以 下空间中分配： 网段编号ip 地址范围备注 1x.x.31.0x.x.31.15lan_a 2x.x.31.16x.x.31.31lan_b 主路由器 1、主路由器 2 和备份路由器分别占用该网段中的第 1、第 2 和第 3 个地址。 中国建设银行二级骨干网络改造 详细设计方案 第 25 页，共 37 页 7. 可靠性设可靠性设计计 网络可靠性包括网络设备的备份和线路备份。 7.1. 设备备份设备备份 所有骨干设备，包括省分行、二级分行的骨干路由器都配置了 2 台高可靠 的设备，具有双路由引擎、双总线、双电源等部件，所有模块支持热插拔，个 别关键部件还购买了备件。 7.2. 线路备份线路备份 在设计中，针对广域网提供三种线路：主链路、副链路和备份链路（通过 拨号备份路由器） ，针对局域网提供双交换机双连接到每个主路由器。这种设计 保证了很高的可靠性。 线路备份应遵循下列原则： 正常情况下营业类数据主要在主链路上传输，管理类数据主要 在副链路上传输； 主链路故障时，营业类数据迂回到副链路上传输，主链路恢复 正常后，营业类数据恢复到主链路传输； 副链路故障时，部分重要的管理类数据迂回到主链路上传输 （但是要保证营业类数据的带宽） ，副链路恢复正常后，管理类数据恢 复到副链路传输； 主链路和副链路同时故障时，营业类数据将迂回到拨号备份链 中国建设银行二级骨干网络改造 详细设计方案 第 26 页，共 37 页 路上传输； 局域网部分故障时，依据路由策略，营业类数据和管理类数据 可能在同一条链路上传输。 线路备份的具体实现采用了多种技术，比如 hsrp、动态路由协议。在本 部分我们论述线路备份实现的效果。举例说明如下： 采用二层交换机实现。 以清算为应用，某二级行清算访问省行清算 不说明数据返回的流程 .2.1.情况一：正常情况情况一：正常情况 数据流程如下图所示： lan 交 换 机 1 路 由 器 1 清算 交 换 机 2 路 由 器 2 拨 号 路 由 器 主链路副链路拨号链路 情情况况1 1 中国建设银行二级骨干网络改造 详细设计方案 第 27 页，共 37 页 1) 发送到路由器 1，这是因为路由器 1 是清算的主网关（hsrp） ； 2) 发送到主链路，这是因为路由器 1 到省行的路由指向主链路。 .2.2.情况二：主链路故障情况二：主链路故障 数据流程如下图所示： . 彎彎 4 4 彎彎 4 4 彎彎 4 4 彎彎 4 4 1 1 2 d 2 s 彎彎 4 4 2 2 1) 发送到路由器 1，这是因为路由器 1 是清算的主网关（hsrp） ； 2) 通过直联网段 lan_a 或 lan_b 发送到路由器 2，这是因为路 由器 1 通过动态路由从 lan_a 或 lan_b 得到了去省行的路由信息， 下一跳为路由器 2（如前所述，lan_a, lan_b 的优先级较高） ； 3) 发送到副链路，这是因为路由器 2 的到省行的路由指向副链路。 中国建设银行二级骨干网络改造 详细设计方案 第 28 页，共 37 页 .2.3.情况三：主、副链路故障情况三：主、副链路故障 数据流程如下图所示： . 彎彎 4 4 彎彎 4 4 彎彎 4 4 彎彎 4 4 獐 s 彎彎 4 4 3 3 1) 发送到路由器 1，这是因为路由器 1 是清算的主网关（hsrp） ； 2) 路由器 1、2 和拨号路由器之间运行动态路由，主副链路均失效， 清算网段只有拨号链路这一出口； 3) 数据在路由器 1 通过 lan_a 发送到路由器 3，这是因为路由 器 1 通过动态路由得到了路由器 3 上重分布进来的路由，且路由器 1 与路由器 3 连接的链路中 lan_a 的优先级最高； 4) 发送到拨号链路，这是因为路由器 3 的静态路由指向拨号链路。 中国建设银行二级骨干网络改造 详细设计方案 第 29 页，共 37 页 .2.4.情况四：路由器情况四：路由器 1 1 以太网（业务）故障以太网（业务）故障 数据流程如下图所示： . 彎彎 4 4 彎彎 4 4 彎彎 4 4 彎彎 b b 4 4 2 臷 臷 s 彎彎 a a 4 4 1) 路由器 1 以太网故障，hsrp 促使清算网段的网关切换到路由 器 2； 2) 发送到路由器 2，这是因为路由器 2 成为清算网段 hsrp 的 active 网关； 3) 发送到副链路，这是因为路由器 2 上的到省行的路由指向副链 路。 .2.5.情况五：两台路由器以太网（业务）故障情况五：两台路由器以太网（业务）故障 数据流程如下图所示： 中国建设银行二级骨干网络改造 详细设计方案 第 30 页，共 37 页 . 彎彎 4 4 彎彎 4 4 彎彎 4 4 彎彎 b b. .4 4 猄 1 d 1 臷 2 2 s 彎彎 4 4 1) 路由器 1、2 以太网故障，hsrp 协议促使清算的网关 切换到拨号路由器（网关的逻辑地址不变） ； 2) 数据发送到拨号路由器，这是因为拨号路由器成为清算 的 active 网关（hsrp） ； 3) lan_a、lan_b 用于传送路由，因为拨号路由器上只 有 lan_a，所以拨号路由器与路由器 2 之间通过 lan_a 学习 路由，所以此时拨号路由器通过 lan_a 得到当前的路由信息， 而下一跳指向路由器 2； 4) 数据发送到副链路，这是因为路由器 2 的路由指向副链 路。 中国建设银行二级骨干网络改造 详细设计方案 第 31 页，共 37 页 .2.6.情况六：一台交换机故障情况六：一台交换机故障 数据流程如下图所示： lan 交 换 机 1 路 由 器 1 清算 交 换 机 2 路 由 器 2 拨 号 路 由 器 主链路副链路拨号链路 情情况况6 6 1) 交换机 1 故障，清算 hsrp 主网关切换到路由器 2； 2) 发送到路由器 2，这是因为路由器 2 切换为清算的主网关 （hsrp） ； 3) 发送到副链路，这是因为路由器 2 上的到省行的路由指向副链 路。 中国建设银行二级骨干网络改造 详细设计方案 第 32 页，共 37 页 8. qos 设计设计 8.1. 业务分类及特点业务分类及特点 我行的业务主要有营业类业务、管理类业务、语音类业务和视频类业务。 营业类业务指与柜面业务密切相关的业务，如储蓄、会计业务、外接在线业务 和 internet 在线服务等。管理类业务指与银行管理有关的业务，如行内的 mis/oa、internet 信息服务、外部管理信息交换等。语音类业务有行内的 ip 电 话等，视频类业务有视频会议系统、远程教育系统等。其中营业类业务、管理 类业务属于数据信息，语音和视频类业务属于多媒体信息。各类应用对网络的 需求体现在实时性、带宽需求、多种接入方式、安全性、数据分布特征转化等 方面。 营业类业务的特点是交易包长度固定，交易时限要求实时，上下行数据流 量基本对等。其中柜面业务数据分布在总行、一级分行、二级分行，是逐级上 传，总行是交换中心，均属于在线业务。外接在线业务和 internet 在线服务在 进入我行内部网后与传统的柜面业务的特点一致。 管理类业务的特点是数据包不定长，突发性强，大部分业务为批量上传， 上传数据量较大，下传数据量较少，对实时性要求不高。其中行内管理信息业 务在管理上为逐级管理，数据分布在总行、一级分行和二级分行。internet 信息 服务（即通过内部网对 internet 的访问）和内部 web 浏览的时效性要求较高， 上传数据量小，下传数据量大。外部管理信息交换以文件传输为主，对实时性 要求不高。 语音类、视频类业务的特点是数据量大，对时延敏感，对实时性和带宽要 求高。 中国建设银行二级骨干网络改造 详细设计方案 第 33 页，共 37 页 8.2. qos 实施策略实施策略 根据这些业务类型及特点，为建立统一的 qos 策略，简化 qos 配置，二级 骨干网采用的 qos 策略与一级骨干网的基本一致，具体如下： ip precedence的设置通过policy-based routing实现； 拥塞避免机制采用wred- weighted random early detection实现； 队列输出管理机制采用cbwfq- class based weighted fair queuing或者wfq实现。 带宽控制机制采用car- committed access rate实现 .2.1.ipip 优先级优先级 所谓的 ip precedence 指的是在 ip 包头中预留的 type of service3 位比 特，3 位比特从 000 到 111 共可设置 8 个有效值，权值越低，优先级越低。我 们一般可以使用其中从 000 到 101 六个级别，110 和 111 用来保留给网络内部 其它信令等通讯使用。在 rfc791 中，给每个 ip precedence 值定义了一个名字。 在具体配置中，我们经常会应用这些名字来标识相应的 ip precedence 值。每 个 ip precedence 值的相应名字在下表中列出。 ipip precedenceprecedence valuesvalues numbernumbernamename 0 0routineroutine 1 1prioritypriority 中国建设银行二级骨干网络改造 详细设计方案 第 34 页，共 37 页 2 2immediateimmediate 3 3flashflash 4 4flash-overrideflash-override 5 5criticalcritical 6 6internetinternet 7 7networknetwork ip 优先级可以控制 ip 包在路由器中被处理的优先程度，可以和各种队列技 术结合起来使用，比如 wred 在发生阻塞时，先丢弃优先级低的 ip 包。 针对我行的应用情况，我们建议使用以下的优先级划分方法： 业务应用类型ip precedence 值 name 其它应用（如 ftp 和 http） 0routineroutine 管理信息系统 2immediateimmediate 营业业务 3flashflash 视频/语音 4flash-overrideflash-override 注：由于语音和视频所能承受的时延远小于营业系统的要求（营业时延 3-5 秒，语音视频小于 150 毫秒） ，在设置 ip precedence 时，设置语音视频优先级 比营业稍高，为保证营业类数据的可靠传输，利用 cbwfq 技术为营业数据设置 最小带宽保证。 中国建设银行二级骨干网络改造 详细设计方案 第 35 页，共 37 页 数据包的分级最好在一进入局域网交换机时就实现，也就是在网络