XX银行数据中心网络实施方案

1、XX银行新建数据中心和迁移方案目 录1概述21.1文档目的21.2适应范围及背景21.3项目概述22搬迁前的准备32.1现有数据中心规划和变更32.1.1地址现状和规划32.1.1.1业务IP地址现状表32.1.1.2业务IP地址规划表32.1.1.3分支行IP地址规划示例52.2新建主备数据中心搭建62.2.1整体结构62.2.2数据中心核心设计82.2.3核心业务区详细设计92.2.4运营管理/上线测试区部署模式102.2.5OA办公区部署模式122.2.6办公大楼接入区部署模式132.2.7中间业务区部署模式142.2.8网银接入区部署模式152.2.9广域网区部署模式162.2.10主

2、数据中心设备地址规划162.2.11路由规划设计182.3新老数据中心的互联202.3.1互联规划设计202.3.2路由/VLAN规划设计213业务平滑迁移243.1外联中间业务的迁移243.1.1现有中间业务设备迁移243.1.2现有外联设备替换（今后逐步替换）253.2网银的迁移273.2.1网银设备替换273.2.2网银IPS设备更换（今后逐步替换）283.3分支行的迁移293.3.1本地分支行迁移313.3.2异地分支行迁移363.4服务器的迁移403.4.1设备迁移403.4.2服务器网关和路由调整414备份机房建设和迁移424.1备用数据中心迁移424.2XX分行设备迁移42 1

3、概述1.1 文档目的本实施方案的主要目的是结合XX银行的网络现状，对核心网络、路由协议进行改造，同时对网络设备配置进行优化，指导后期针对这几部分网络实施工作。1.2 适应范围及背景本文档的适用地域是XX银行科技部门。适用人员包括XX银行的网络管理、运行维护人员，系统集成商网络工程师等。由于实施工作是直接在现有生产系统上实施，涉及到对现有的核心设备等较大规模的调整。因此，迁移前充分作好技术分析、软硬件资源、规范流程、应急处理方案准备工作，为了便于参与迁移的各方面人员分工协作，保证迁移工作的优质高效的完成，我们编写了这本XX银行网络项目实施方案。1.3 项目概述随着XX银行信息化建设的发展，更多的

4、业务在网上的开展，关键数据也越来越多，各类业务系统对网络的依赖程度也越来越大，一旦网络系统出现故障，将造成很大的影响。为了确保XX银行内联网系统的稳定，XX银行拟对目前XX银行核心内联网进行相应的改造，提高网络的可用性和容错性，更好的满足业务的发展和需求。此次改造项目主要是针对XX银行的核心局域网、同城备份中心、现有分支行等进行改造。2 搬迁前的准备2.1 现有数据中心规划和变更2.1.1 地址现状和规划2.1.1.1 业务IP地址现状表功能区域IP地址说明服务器166.10.4.0/2432.74.128.0/2432.74.7.0/2432.74.135.0/24166.10.17.0/2

5、4XX同城网点32.74.6485.0/25支行生产32.74.120.0122.176/28支行公用32.74.96.0102.128/27分理处生产32.74.124.0127.64/28分理处公用已建异地网点132.7480.32.0/26132.7480.160.0/26132.174.7.0/24132.174.32.0/24132.174.135.0/24其它2.1.1.2 业务IP地址规划表数据中心业务系统地址规划如下所示：功能区域VLAN规划业务整体规划地址段主备中心分配地址范围说明生产业务区-第三方VLAN2保持不变生产业务区-核心生产生产业务区-管理区VLAN8boot地址

6、分配164.10.8.0/22standby地址分配165.10.8.0/22带外管理地址段：163.10.8.0/22与Service地址一一对应Gateway: 166.10.8.1 (166.10.8.2作为主中心GW，166.10.8.3作为备中心GW，VRRP VIP为166.10.8.1，预留到166.10.8.15)前置业务区VLAN17保持不变外围业务区（中间业务）NAboot地址分配164.11.0.0/22standby地址分配165.11.0.0/22带外管理地址段：163.11.0.0/22与Service地址一一对应Gateway: 166.11.0.1(166.11

7、.0.2作为主中心GW，166.11.0.3作为备中心GW，VRRP VIP为166.11.0.1，预留到166.11.0.15)网银区(预留，一期不改变)手机银行/电话银行区NAboot地址分配164.11.4.0/22standby地址分配165.11.4.0/22带外管理地址段：163.11.4.0/22与Service地址一一对应Gateway: 166.11.4.1(166.11.4.2作为主中心GW，166.11.4.3作为备中心GW，VRRP VIP为166.11.4.1，预留到166.11.4.15)OA办公区VLAN20boot地址分配164.11.8.0/22standby

8、地址分配165.11.8.0/22带外管理地址段：163.11.8.0/22与Service地址一一对应Gateway: 166.11.8.1(166.11.8.2作为主中心GW，166.11.8.3作为备中心GW，VRRP VIP为166.11.8.1，预留到166.11.8.15)运行管理区VLAN21boot地址分配164.11.12.0/22standby地址分配165.11.12.0/22带外管理地址段：163.11.12.0/22与Service地址一一对应Gateway: 166.11.12.1(166.11.12.2作为主中心GW，166.11.12.3作为备中心GW，VRRP

9、 VIP为166.11.12.1，预留到166.11.12.15)开发测试上线准备区-开发VLAN22boot地址分配164.11.16.0/22standby地址分配165.11.16.0/22带外管理地址段：163.11.16.0/22与Service地址一一对应Gateway: 166.11.16.1(166.11.16.2作为主中心GW，166.11.16.3作为备中心GW，VRRP VIP为166.11.16.1，预留到166.11.16.15)开发测试上线准备区-测试VLAN23boot地址分配164.11.20.0/22standby地址分配165.11.20.0/22带外管理地

10、址段：163.11.20.0/22与Service地址一一对应Gateway: 166.11.20.1(166.11.20.2作为主中心GW，166.11.20.3作为备中心GW，VRRP VIP为166.11.20.1，预留到166.11.20.15)开发测试上线准备区-上线准备VLAN24boot地址分配164.11.24.0/22standby地址分配165.11.24.0/22带外管理地址段：163.11.24.0/22与Service地址一一对应Gateway: 166.11.24.1(166.11.24.2作为主中心GW，166.11.24.3作为备中心GW，VRRP VIP为16

11、6.11.24.1，预留到166.11.24.15)数据中心备用区域VLAN25boot地址分配164.11.28.0/22standby地址分配165.11.28.0/22带外管理地址段：163.11.28.0/22与Service地址一一对应Gateway: 166.11.28.1(166.11.28.2作为主中心GW，166.11.28.3作为备中心GW，VRRP VIP为166.11.28.1，预留到166.11.28.15)主备数据中心互联和loopback、广域网互联地址段NA主备容灾DC中心内部和广域网的互联地址段2.1.1.3 分支行IP地址规划示例新增分支行的地址规划如下所示

12、：新增分支行(n表示分行ID号，m表示支行ID号)最多支持256家分行，每家分行支持251家支行33.n.0.0/1633.n.255.0/24作为分行内部互联地址；33.n.254.0/24作为分支行广域网互联地址；各个支行内部互联地址为33.n.m.0/24 (m从1-251)每个分行预留1个B作为互联地址段每个下属支行占用/24作为互联34.n.0.0/1634.n.252.0/22作为分行内部生产业务地址；各个支行内部生产业务地址为34.n.m.0/24 (m从1-251)每个分行预留1个B作为生产地址段每个下属支行占用/24作为生产（最多251家支行）35.n.0.0/1635.n.

13、252.0/22作为分行内部公用业务地址；各个支行内部公用业务地址为35.n.m.0/24 (m从1-251)每个分行预留1个B作为公用地址段每个下属支行占用/24作为公用（最多251家支行）36.n.0.0/1636.n.252.0/22作为分行内部新增业务1地址；各个支行内部新增业务1地址为36.n.m.0/24 (m从1-251)分行新增业务137.n.0.0/1637.n.252.0/22作为分行内部新增业务2地址；各个支行内部新增业务2地址为37.n.m.0/24 (m从1-251)分行新增业务2采用这种分配方案的优势：1， 通过地址段的首位即可识别业务类型；2， 地址段的第二位与分

14、行ID号一致，第三位与支行ID号一致，便于识别；3， 可以实现以分行为单位的地址汇总，每个支行最多4条路由，在分行实现路由汇总后，每个分行发往数据中心最多也只有4条路由；4， 为今后的分支行扩展留有足够的余地，按照每个分行每种业务1个B计算，可建设256家分行；每个分行可支持251家支行；5， 为今后的业务扩展留有足够的余地，新增业务可以随时启用新的地址段首位，对现有地址规划没有任何影响。假设山东分行尚未建设，而山东省已经开始建设青岛支行，则仍然按照青岛支行的规划为其分配地址，确保今后划归到山东分行后，地址无需做变更。2.2 新建主备数据中心搭建2.2.1 整体结构新建数据中心将按照以下的模型

15、进行区域划分，整体结构如下所示：区域划分如下：l 数据中心核心交换区，通过两台EX8208作为整个数据中心的核心交换设备，提供高密度千兆/万兆接口，提供各个分区之间的高速交换通道；l 前置业务区l 生产业务区，包括：n 核心生产和第三方业务n 生产管理l 运维管理区l 开发测试上线区，包括：n 业务开发n 业务测试n 上线测试准备l OA办公区l 中间业务区（外联业务）l 广域网区l 网银接入区l 办公大楼接入区，包括：n 办公内网n 办公外网各个区域均通过防火墙连接到核心交换区，实现相互之间基于防火墙安全策略的受控互访。2.2.2 数据中心核心设计新建数据中心包括同城的主备两个数据中心，在目

16、前备份数据中心机房还没有具备的情况下，我们建议在新大楼数据中心机房中按照以下的方式规划主备数据中心网络架构，为今后构建准备数据中心做准备。1. 在主数据中心，建议部署两台EX8208核心交换机，通过Virtual Chassis技术虚拟化成一台逻辑交换机，作为整个主用数据中心各个区域的核心交换设备，通过GE或者10GE链路连接至数据中心各个功能区域；2. 在主数据中心，部署两台M10i核心路由器，作为下联分支行的骨干路由器，通过CPOS接口提供E1线路连接；每台M10i路由器分别通过2*GE链路连接到EX8208核心交换机；3. 为备份数据中心部署两台EX4500核心交换机，通过Virtual

17、 Chassis技术虚拟化成一台逻辑交换机，作为整个备用数据中心各个区域的核心交换设备，通过GE或者10GE链路连接至数据中心各个功能区域；4. 为备数据中心部署一台M10i核心路由器，作为下联分支行的骨干路由器，通过GE接口提供MSTP线路连接；M10i路由器通过2*GE链路连接到EX4500核心交换机；5. 主备数据中心核心设备之间建议通过交换机或者DWDM设备，并租用两条不同运营商裸光纤实现互联。在部署初期，可以考虑采用交换机实现数据中心之间的互联，构建数据中心之间的传输通道，两条互联的裸光纤可以通过port channl实现线路捆绑，这样在满足主备数据中心之间二层互通需求的前提下，不会

18、产生二层环路的问题。2.2.3 核心业务区详细设计核心业务部分包括了前置业务区和生产业务区，而生产业务区中还分为核心生产区、第三方区和生产管理区。建议按照以下架构部署：l 网络核心的两台EX8208高性能数据中心交换机通过XRE引擎构建Virtual Chassis，实现双机虚拟化一台独立的逻辑设备。EX8208之间通过2条10GE线路LAG实现相互之间的互联；l 为核心业务区部署两台SRX3400防火墙，通过JSRP协议构建成一个Cluster，形成高可靠的双机HA架构。SRX3400通过2条10GE链路实现与核心EX8208之间的高带宽互联；l 为不同的业务区域分别部署EX4200交换机，

19、并通过Virtual Chassis技术实现虚拟化：n 前置业务区，部署两台EX4200构成一个VC；n 核心生产区和第三方区，部署四台EX4200构成一个VC；n 生产管理区，部署两台EX4200构成一个VC；n 同一个VC内部的服务器之间的数据流量通过交换机间128G的高速背板转发；n 由于VC可以支持跨交换机的端口捆绑功能，因此一个VC内部的服务器可通过双网卡主/备或者port-channel的方式连接到不同交换模块的端口，从而有效提高服务器接入部分的可靠性；l 每个区域的EX4200 VC分别通过2条10GE线路连接到SRX3400防火墙上，通过防火墙实现各个业务区域之间、业务区域到核

20、心交换机之间的基于安全策略的受控互访功能；2.2.4 运营管理/上线测试区部署模式l 为运营管理/上线测试业务区部署两台SRX650防火墙，通过JSRP协议构建成一个Cluster，形成高可靠的双机HA架构。SRX650通过2条10GE链路实现与核心EX8208之间的高带宽互联；l 为不同的业务区域分别部署EX4200交换机，并通过Virtual Chassis技术实现虚拟化：n 运营管理区，部署两台EX4200构成一个VC；n 业务开发区，部署四台EX4200构成一个VC；n 业务测试区，部署两台EX4200构成一个VC；n 上线准备去，部署两台EX4200构成一个VC；n 同一个VC内部的

21、服务器之间的数据流量通过交换机间128G的高速背板转发；l 每个区域的EX4200 VC分别通过2条1GE线路连接到SRX650防火墙上，通过防火墙实现各个业务区域之间、业务区域到核心交换机之间的基于安全策略的受控互访功能；2.2.5 OA办公区部署模式l 为OA办公区部署两台SRX3400防火墙，通过JSRP协议构建成一个Cluster，形成高可靠的双机HA架构。SRX3400通过2条10GE链路实现与核心EX8208之间的高带宽互联；l 为OA办公区域部署两台EX4200交换机，并通过Virtual Chassis技术实现虚拟化：VC内部的服务器之间的数据流量通过交换机间128G的高速背板

22、转发；l EX4200 VC分别通过2条10GE线路连接到SRX3400防火墙上，通过防火墙实现OA办公区域到核心交换机之间的基于安全策略的受控互访功能；2.2.6 办公大楼接入区部署模式l 为办公大楼接入区部署两台SRX650防火墙，通过JSRP协议构建成一个Cluster，形成高可靠的双机HA架构。SRX6500通过2条10GE链路实现与核心EX8208之间的高带宽互联；l 为办公大楼内网核心部署两台EX4500交换机，并通过Virtual Chassis技术实现虚拟化：VC内部的服务器之间的数据流量通过交换机间128G的高速背板转发；在各个楼层分别部署EX2200接入层交换机，分别通过双

23、千兆链路上行到核心的EX4500 VC上；l 办公大楼内网EX4500 VC分别通过2条10GE线路连接到SRX650防火墙上，通过防火墙实现办公大楼区域到核心交换机之间的基于安全策略的受控互访功能；2.2.7 中间业务区部署模式中间业务区将利旧现有的外联路由器和防火墙，将现有的一台PIX防火墙和两台SSG550M防火墙分别通过1GE链路上联到核心EX8208交换机上。与核心交换机之间通过静态路由实现相互之间的指向。这里需要注意的是现有中间业务采用的166.10.4.0网段地址需要修改为新地址段166.11.0.0/22。2.2.8 网银接入区部署模式网银接入区将利旧现有的外联交换机、IPS和

24、两层防火墙设备，在新构建网络核心后，需要将内网的两台SSG550M防火墙分别通过1GE链路上联到核心EX8208交换机上。与核心交换机之间通过静态路由实现相互之间的指向。这里需要注意的是现有部分网银业务采用的166.10.4.0网段地址需要修改为新地址段166.11.4.0/22。2.2.9 广域网区部署模式现有数据中心中采用了以下的广域网路由器：l 两台C7206，通过CPOS接口提供本地支行/分理处的E1线路接入；l 两台ASR1002，通过GE接口提供本地支行/分理处的MSTP线路接入；l 两台C3845和两台C2811，提供异地分支行的接入；在新建数据中心，部署两台M10i路由器作为新

25、的广域网汇聚路由器。M10i路由器分别通过GE链路连接到核心的EX8208交换机上。建议部署两台EX4200构成VC，用以扩展核心路由器上的端口，实现现有8台路由器汇聚后连接到M10i路由器。而新增分支行，则分别通过E1和MSTP线路上联到核心的M10i路由器上。2.2.10 主数据中心设备地址规划数据中心设备loopback地址规划如下：数据中心设备Loopback地址分配掩码主数据中心EX8208 VC166.254.254.1/32前置业务区EX4200 VC166.254.254.2/32核心生产EX4200 VC166.254.254.3/32第三方业务EX4200 VC166.25

26、4.254.4/32运维管理区EX4200 VC166.254.254.5/32开发EX4200 VC166.254.254.6/32测试EX4200 VC166.254.254.7/32上线准备EX4200 VC166.254.254.8/32OA办公EX4200 VC166.254.254.9/32广域网区M10i-01166.254.254.10/32广域网区M10i-02166.254.254.11/32广域网区EX4200 VC166.254.254.12/32核心业务防火墙SRX3400166.254.254.13/32运维业务防火墙SRX650166.254.254.14/32O

27、A办公区防火墙SRX3400166.254.254.15/32办公内网防火墙SRX650166.254.254.16/32备数据中心从166.254.254.128向后顺序分配/32主数据中心设备间互联地址规划如下：数据中心互联地址互联地址规划主数据中心EX8208 VC核心业务防火墙SRX3400166.254.1.0/29运维业务防火墙SRX650166.254.1.8/29OA办公区防火墙SRX3400166.254.1.16/29中间业务区防火墙SSG550M166.254.1.24/29中间业务区防火墙PIX166.254.1.32/29广域网区M10i-01166.254.1.40

28、/29广域网区M10i-02166.254.1.48/29办公内网防火墙SRX650166.254.1.56/29网银接入区防火墙SSG550M166.254.1.64/29前置业务区EX4200 VC核心业务防火墙SRX3400166.254.1.72/29核心生产EX4200 VC核心业务防火墙SRX3400166.254.1.80/29第三方业务EX4200 VC核心业务防火墙SRX3400166.254.1.88/29运维管理区EX4200 VC运维业务防火墙SRX650166.254.1.96/29开发EX4200 VC运维业务防火墙SRX650166.254.1.104/29测试E

29、X4200 VC运维业务防火墙SRX650166.254.1.112/29上线准备EX4200 VC运维业务防火墙SRX650166.254.1.120/29OA办公EX4200 VCOA办公区防火墙SRX3400166.254.1.128/29广域网区M10i-01主数据中心EX8208 VC166.254.1.144/29广域网区M10i-02166.254.1.152/29各个新增分行166.254.3.0，按照/30划分广域网区M10i-02主数据中心EX8208 VC166.254.1.136/29广域网区M10i-01166.254.1.152/29各个新增分行166.254.4.

30、0，按照/30划分广域网区EX4200 VC广域网区M10i-01166.254.1.160/29广域网区M10i-02166.254.1.168/29C7206-01166.254.1.176/30166.254.1.180/30C7206-02166.254.1.184/30166.254.1.188/30C1002-01166.254.1.192/30166.254.1.196/30C1002-02166.254.1.200/30166.254.1.204/30C3845-01166.254.1.208/30166.254.1.212/30C3845-02166.254.1.216/30

31、166.254.1.220/30C2811-01166.254.1.224/30166.254.1.228/30C2811-02166.254.1.232/30166.254.1.226/30主备数据中心之间互联166.254.1.240/29主数据中心与现有数据中心之间互联（迁移时临时使用）166.254.1.248/30主数据中心与现有数据中心互联用EX4200与EX8200的互联网段（迁移时临时使用）166.254.1.252/30备数据中心内部互联地址166.254.2.0，按照/29顺序分配到分支行互联地址166.254.5.0，按照/30顺序分配2.2.11 路由规划设计原有的数据

32、中心和分支行均采用了EIGRP路由协议，考虑到今后的扩展性和兼容性，我们建议此次新建的主备数据中心、新大楼和今后新增分支行网点，均采用标准的OSPF路由协议。全网的路由协议规划如下：1. 核心的主备数据中心均划分到OSPF Area0中，作为OSPF路由协议的骨干域；2. 以分行为单位，每个分行划分为一个独立的OSPF Area；新大楼也为其划分一个单独的Area；（可将area号与分行ID号进行关联）；建议新增分行从ID 10开始分配。ID 1-9预留给现有分行。3. 对于新增的托管支行，我们建议直接通过E1和MSTP线路连接到核心的M10i路由器上，分配的Area取决于其今后所归属的分行。

33、4. 对于现有的XX本地支行，通过C7206和C1002接入的，均划分到OSPF Area1中；异地支行，通过C2811和C3845接入的，均划分到OSPF Area2中。5. 骨干路由器M10i作为区域边界路由器ABR，通过ABR路由器，实现对每个分行路由的汇总，从而有效减少全网的路由条目，降低路由震荡和抖动，加速路由收敛时间；6. 如有需要，可将各个area设置为NSSA域，并限制summary路由扩散到各个area中，有效减少每个area中的路由条目。2.3 新老数据中心的互联2.3.1 互联规划设计在新建数据中心设备部署完成后，为了实现原有数据中心的平滑迁移，需要将新建数据中心和现有数

34、据中心之间互联，实现新老数据中心之间网络的二三层互通。为了确保可靠性，建议在新老数据中心之间提供两条裸光纤，实现相互之间互联的线路冗余。由于老数据中心的路由均集中在一台4507上，因此我们建议按照如下的结构实现相互之间的互联，即在新数据中心部署两台临时互联交换机，采用EX4200构成VC，裸光纤分别连接新数据中心的两台EX4200 VC和老数据中心的一台主用的4507交换机。考虑到新老数据中心之间需要实现二层的互通，为了避免二层环路的问题，我们建议将这两条裸光纤进行端口捆绑，即构成逻辑上一条线路，能够提供线路上的负载均衡和相互备份。而EX4200 VC可以和新数据中心核心的EX8200 VC之

35、间通过2条GE链路port-channel实现互联。2.3.2 路由/VLAN规划设计在现有的数据中心里，涉及到以下的VLAN和地址信息，其中有部分VLAN的服务器需要平滑迁移，即在迁移过程中IP地址不变、网关不变，已迁移和未迁移服务器均需要正常通信：VLAN ID地址现状是否平滑迁移说明2166.10.4.0/24需要平滑迁移服务器核心生产服务器网段332.74.128.0/24在新数据中心该网段需要改变地址，将变更到VLAN20，无需在线迁移OA办公等业务网段8166.10.8.0/22需要平滑迁移服务器生产管理新增VLAN1032.74.7.0/24随广域网路由器一起迁移下联分支行网段1

36、132.74.135.0/24随广域网路由器一起迁移下联分支行网段17166.10.17.0/24需要平滑迁移服务器前置服务器VLAN20166.11.8.0/22无迁移新规划VLAN21166.11.12.0/22无迁移新规划VLAN22166.11.16.0/22无迁移新规划VLAN23166.11.20.0/22无迁移新规划VLAN24166.11.24.0/22无迁移新规划VLAN25166.11.28.0/22无迁移新规划VLAN为了确保这些VLAN的服务器能够实现平滑的迁移，我们建议新老数据中心之间的互联链路上提供这些VLAN 的二层透传，如下所示：将新老数据中心之间互联的双裸光纤

37、port channel设置为Trunk端口，并将VLAN2，8，17这些业务VLAN透传该Trunk端口，以便于今后服务器的平滑迁移。同时，设置一个新的VLAN99，用于实现新老数据中心之间的临时三层互联，便于在割接过程之中的路由指向。该VLAN99是临时设置的VLAN，在数据中心迁移完成后即可取消。另外，设定一个VLAN100，用于EX4200与核心EX8200之间的互联，在今后迁移完成后也同样删除。VLAN ID地址现状说明99（临时三层互联VLAN）166.254.1.248/30EX4200到4507临时互联地址100（临时三层互联VLAN）166.254.1.252/30EX420

38、0到EX8208临时互联地址在线路连接完成后：1， 新老数据中心之间通过静态路由相互指向，实现新老数据中心之间的网络互通。2， 在新数据中心中，将临时互联EX4200上指向老数据中心的静态路由指向发布到OSPF中；3， 在老数据中心中，将C4507上指向新数据中心的静态路由发布到EIGRP 512中；4， 测试新建数据中心网络和现有网络之间的互联互通。3 业务平滑迁移3.1 外联中间业务的迁移3.1.1 现有中间业务设备迁移外联业务的迁移计划按照以下步骤进行：1， 按照地址规划，改变中间业务相关的IP地址；2， 断开现有数据中心的外联线路，将外联设备搬迁至新数据中心外联业务区；并按照新数据中心

39、的区域规划和地址规划，部署这些外联设备；连接完成后测试设备的互联互通；连接结构如下图所示：3， 将外联的广域网线路迁移至新数据中心外联区设备上，确保到外联单位的广域网线路通信正常；4， 将老数据中心4507上原指向外联路由器的静态路由删除；5， 在老数据中心4507上增加外联路由器的静态路由（新规划的166.11.0.0/22），下一跳指向新数据中心核心设备（通过VLAN99），并将该静态路由重分发到EIGRP中；6， 在新数据中心增加指向外联区域的静态路由，并重分发到OSPF中；7， 删除新数据中心原先的指向老数据中心的外联业务路由；最终网络架构如下所示：迁移完成后，测试外联中间业务是否正常

40、。3.1.2 现有外联设备替换（今后逐步替换）迁移完成后，需要进行外联设备的替换，目前的外联网络设备数量众多，网络架构负载，管理维护工作量大。当前外联设备情况如下所示：替换的方案是，在外联区增加新的SRX650防火墙设备，并在SRX650上提供高密度GE以太网接口卡和E1广域网接口卡，用于实现与外部单位线路互联。设备变更后，由两台SRX650取代目前的多台路由器，同时提供广域网路由器功能和防火墙的安全功能，有效简化网络架构。并更后的网络架构如下所示：新增防火墙的部署建议：1， 所有的外联互联地址和路由策略均移植自原有的外联路由器；2， 所有的安全策略均移植自原有的Netscreen SSG14

41、0防火墙和PIX防火墙。3.2 网银的迁移3.2.1 网银设备替换网银业务的迁移计划按照以下步骤进行：1， 按照地址规划，改变网银接入区域相关的IP地址；2， 断开现有数据中心的网银线路，将网银设备搬迁至新数据中心外联业务区；并按照新数据中心的区域规划和地址规划，部署这些外联设备；连接完成后测试设备的互联互通；连接结构如下图所示：3， 将网银的广域网线路迁移至新数据中心网银区设备上，确保到Internet的广域网线路通信正常；4， 将老数据中心4507上原指向网银出口路由器的静态路由删除；5， 在老数据中心4507上增加网银业务的静态路由，指向新数据中心核心设备（通过VLAN99），并将该静态

42、路由重分发到EIGRP中；6， 在新数据中心增加指向网银业务的静态路由，并重分发到OSPF中；7， 删除新数据中心原先的指向老数据中心的网银业务路由；3.2.2 网银IPS设备更换（今后逐步替换）网银设备调整完成后，需对业务进行相应的测试，确保业务系统的正常。随后可进行网银系统中IPS设备的替换。我们建议采用IDP800替换现有的IPS设备。如图所示：IPS的安全策略定义如下所示：1， 确认采用带有Bypass功能的接口实现网络连接，保证网银系统可靠性；2， 开启系统推荐安全策略；3， 先期设定默认action行为为只log，不阻断，避免对业务产生影响；随后根据日志分析情况，对安全策略进行优化

43、调整。3.3 分支行的迁移按照规划，现有的所有分支行的广域网线路都需要迁移到新数据中心。现有本地分支行的广域网连接结构如下所示。两台Cisco7206提供了CPOS接口，通过电信提供到本地支行的E1线路连接；另有两台ASR1002提供GE接口，通过移动提供到本地支行的MSTP线路连接。异地分支行目前是通过2台C3845和2台C2811提供汇聚，如图所示：由于大部分的分支行支行都是双上行链路，因此可以实现在不中断业务的情况下进行广域网线路和设备的迁移。考虑到现有的共8台广域网设备需要迁移到新数据中心，并与新数据中心新增的广域网核心路由器互联，我们建议在主数据中心增加2台EX4200交换机，通过V

44、irtual Chassis特性虚拟化为一台逻辑设备，上联新增核心路由器M10i，下联现有广域网路由器C7206和ASR1002，以及异地支行托管的ISR2811和3811，连接线路均采用1GE。整体架构如下图所示：3.3.1 本地分支行迁移在实际搬迁时，我们建议按照以下步骤进行：1， 现有的本地支行网络架构如下，现有数据中心的4台广域网路由器提供了到各个支行的E1和MSTP线路的互联：2， 将现有数据中心的两台ASR1002停机，并搬迁至新建主数据中心的广域网路由器下，此时所有网点均通过电信的E1线路上联到核心4507。此时，每个本地支行仍通过现有的E1链路连接到现有数据中心的C7206，并

45、通过此链路访问生产业务服务器，即支行的生产业务不中断。3， 将移动的MSTP线路割接到新数据中心，如下所示：4， 此时每个支行的MSTP链路均上联至新数据中心。此时需要在C1002上启用OSPF协议，并实现OSPF与EIGRP的路由汇总后相互注入。此时，现有数据中心服务器的路由信息将通过OSPF发布给EIGRP512，即支行能够学习到来自于新数据中心的服务器路由。5， 将现有数据中心的C7206断开，并搬迁至新数据中心，7206通过GE链路连接到广域网区的EX4200上，并按照地址规划配置地址和路由，如图所示：6， 同时在4507上回指所有本地支行的路由到新数据中心（通过VLAN99）。此时所

46、有本地支行访问现有数据中心服务器的流量均通过MSTP线路到达新数据中心后，再通过新老数据中心之间的互联链路路由。7， 将C7206上的CPOS线路割接到新数据中心：8， 在C7206上启用OSPF协议，实现OSPF与EIGRP的路由汇总后相互注入。网络架构如下所示：9， 至此，分行的双上联线路均割接到新数据中心，原有的EIGRP 512的路由和路由控制策略均不发生任何变化：10， 唯一需要变更的是原广域网路由器C7206和ASR1002需要增加OSPF协议，以实现与新数据中心的互通，同时需要实现OSPF协议与EIGRP协议的相互注入。具体的注入策略如下所示：OSPF Area1 - EIGRP

47、 512EIGRP 512 - OSPF Area1C7206将OSPF AREA1中的所有路由，均汇总后注入到EIGRP中这些路由包括现有数据中心服务器地址的路由，新数据中心各个区域业务地址的路由和设备互联、管理地址路由将C7206学习到的各个支行的业务地址路由汇总后发布到OSPF中，采用External E1，不增加额外的COST值，确保C7206的线路为优先线路。ASR1002将OSPF AREA1中的所有路由，均汇总后注入到EIGRP中这些路由包括现有数据中心服务器地址的路由，新数据中心各个区域业务地址的路由和设备互联、管理地址路由将ASR1002学习到的各个支行的业务+OA地址路由汇

48、总后发布到OSPF中，采用External E1，并额外增加COST值，确保ASR1002 的MSTP线路为次优先线路。3.3.2 异地分支行迁移目前异地支行均采用托管的方式，连接到核心的两台ISR2811和两台ISR3845上，现有结构如下所示：两台2811下联的都是单线路支行，因此在割接过程中会有业务中断。我们建议尽可能申请双线路，保证割接过程中业务不中断。在目前单线路情况下，可以按照以下的割接步骤进行。1， 将现有数据中心两台C2811断开，并迁移至新数据中心，下联在核心路由器下的互联交换机上。将对应异地支行的广域网线路割接到新数据中心，结构如下所示：2， 此时需要在C2811上开启OSPF路由协议，设定为Area2；其中一台2811上已经运行EIGRP，需要实现OSPF与EIGRP的相互路由注入；另外一台2811上运行静态路由协议，因此需要实现静态路由导入到OSPF中；并在4507上将这些异地支行的路由指