XX銀行新建數(shù)據(jù)中心和遷移方案PAGEPAGE36XX銀行新建數(shù)據(jù)中心和遷移方案

目錄1 概述 2 文檔目的 2 適應范圍及背景 2 項目概述 22 搬遷前的準備 3 現(xiàn)有數(shù)據(jù)中心規(guī)劃和變更 3 地址現(xiàn)狀和規(guī)劃 3 業(yè)務IP地址現(xiàn)狀表 3 業(yè)務IP地址規(guī)劃表 3 分支行IP地址規(guī)劃示例 5 新建主備數(shù)據(jù)中心搭建 6 整體結(jié)構(gòu) 6 數(shù)據(jù)中心核心設計 8 核心業(yè)務區(qū)詳細設計 9 運營管理/上線測試區(qū)部署模式 10 OA辦公區(qū)部署模式 12 辦公大樓接入?yún)^(qū)部署模式 13 中間業(yè)務區(qū)部署模式 14 網(wǎng)銀接入?yún)^(qū)部署模式 15 廣域網(wǎng)區(qū)部署模式 16 主數(shù)據(jù)中心設備地址規(guī)劃 16 路由規(guī)劃設計 18 新老數(shù)據(jù)中心的互聯(lián) 20 互聯(lián)規(guī)劃設計 20 路由/VLAN規(guī)劃設計 213 業(yè)務平滑遷移 24 外聯(lián)中間業(yè)務的遷移 24 現(xiàn)有中間業(yè)務設備遷移 24 現(xiàn)有外聯(lián)設備替換（今后逐步替換） 25 網(wǎng)銀的遷移 27 網(wǎng)銀設備替換 27 網(wǎng)銀IPS設備更換（今后逐步替換） 28 分支行的遷移 29 本地分支行遷移 31 異地分支行遷移 36 服務器的遷移 40 設備遷移 40 服務器網(wǎng)關和路由調(diào)整 414 備份機房建設和遷移 42 備用數(shù)據(jù)中心遷移 42 XX分行設備遷移 42

概述文檔目的本實施方案的主要目的是結(jié)合XX銀行的網(wǎng)絡現(xiàn)狀，對核心網(wǎng)絡、路由協(xié)議進行改造，同時對網(wǎng)絡設備配置進行優(yōu)化，指導后期針對這幾部分網(wǎng)絡實施工作。適應范圍及背景本文檔的適用地域是XX銀行科技部門。適用人員包括XX銀行的網(wǎng)絡管理、運行維護人員，系統(tǒng)集成商網(wǎng)絡工程師等。由于實施工作是直接在現(xiàn)有生產(chǎn)系統(tǒng)上實施，涉及到對現(xiàn)有的核心設備等較大規(guī)模的調(diào)整。因此，遷移前充分作好技術(shù)分析、軟硬件資源、規(guī)范流程、應急處理方案準備工作，為了便于參與遷移的各方面人員分工協(xié)作，保證遷移工作的優(yōu)質(zhì)高效的完成，我們編寫了這本《XX銀行網(wǎng)絡項目實施方案》。項目概述隨著XX銀行信息化建設的發(fā)展，更多的業(yè)務在網(wǎng)上的開展，關鍵數(shù)據(jù)也越來越多，各類業(yè)務系統(tǒng)對網(wǎng)絡的依賴程度也越來越大，一旦網(wǎng)絡系統(tǒng)出現(xiàn)故障，將造成很大的影響。為了確保XX銀行內(nèi)聯(lián)網(wǎng)系統(tǒng)的穩(wěn)定，XX銀行擬對目前XX銀行核心內(nèi)聯(lián)網(wǎng)進行相應的改造，提高網(wǎng)絡的可用性和容錯性，更好的滿足業(yè)務的發(fā)展和需求。此次改造項目主要是針對XX銀行的核心局域網(wǎng)、同城備份中心、現(xiàn)有分支行等進行改造。搬遷前的準備現(xiàn)有數(shù)據(jù)中心規(guī)劃和變更地址現(xiàn)狀和規(guī)劃業(yè)務IP地址現(xiàn)狀表功能區(qū)域IP地址說明服務器XX同城網(wǎng)點支行生產(chǎn)支行公用分理處生產(chǎn)分理處公用已建異地網(wǎng)點其它業(yè)務IP地址規(guī)劃表數(shù)據(jù)中心業(yè)務系統(tǒng)地址規(guī)劃如下所示：功能區(qū)域VLAN規(guī)劃業(yè)務整體規(guī)劃地址段主備中心分配地址范圍說明生產(chǎn)業(yè)務區(qū)-第三方VLAN2保持不變生產(chǎn)業(yè)務區(qū)-核心生產(chǎn)生產(chǎn)業(yè)務區(qū)-管理區(qū)VLAN8boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應Gateway:166.10.8.1作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.10.8.15)前置業(yè)務區(qū)VLAN17保持不變外圍業(yè)務區(qū)（中間業(yè)務）NAboot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.0.15)網(wǎng)銀區(qū)(預留，一期不改變)

銀行/銀行區(qū)NAboot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.4.15)OA辦公區(qū)VLAN20boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.8.15)運行管理區(qū)VLAN21boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.12.15)開發(fā)測試上線準備區(qū)--開發(fā)VLAN22boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.16.15)開發(fā)測試上線準備區(qū)--測試VLAN23boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.20.15)開發(fā)測試上線準備區(qū)--上線準備VLAN24boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.24.15)數(shù)據(jù)中心備用區(qū)域VLAN25boot地址分配

standby地址分配

帶外管理地址段：

與Service地址一一對應作為主中心GW，作為備中心GW，VRRPVIP為，預留到166.11.28.15)主備數(shù)據(jù)中心互聯(lián)和loopback、廣域網(wǎng)互聯(lián)地址段NA主備容災DC中心內(nèi)部和廣域網(wǎng)的互聯(lián)地址段分支行IP地址規(guī)劃示例新增分支行的地址規(guī)劃如下所示：新增分支行

(n表示分行ID號，m表示支行ID號)

最多支持256家分行，每家分行支持251家支行作為分行內(nèi)部互聯(lián)地址；

作為分支行廣域網(wǎng)互聯(lián)地址；

各個支行內(nèi)部互聯(lián)地址為33.n.m.0/24(m從1-251)每個分行預留1個B作為互聯(lián)地址段

每個下屬支行占用/24作為互聯(lián)作為分行內(nèi)部生產(chǎn)業(yè)務地址；

各個支行內(nèi)部生產(chǎn)業(yè)務地址為34.n.m.0/24(m從1-251)每個分行預留1個B作為生產(chǎn)地址段

每個下屬支行占用/24作為生產(chǎn)（最多251家支行）作為分行內(nèi)部公用業(yè)務地址；

各個支行內(nèi)部公用業(yè)務地址為35.n.m.0/24(m從1-251)每個分行預留1個B作為公用地址段

每個下屬支行占用/24作為公用（最多251家支行）作為分行內(nèi)部新增業(yè)務1地址；

各個支行內(nèi)部新增業(yè)務1地址為36.n.m.0/24(m從1-251)分行新增業(yè)務1作為分行內(nèi)部新增業(yè)務2地址；

各個支行內(nèi)部新增業(yè)務2地址為37.n.m.0/24(m從1-251)分行新增業(yè)務2采用這種分配方案的優(yōu)勢：通過地址段的首位即可識別業(yè)務類型；地址段的第二位與分行ID號一致，第三位與支行ID號一致，便于識別；可以實現(xiàn)以分行為單位的地址匯總，每個支行最多4條路由，在分行實現(xiàn)路由匯總后，每個分行發(fā)往數(shù)據(jù)中心最多也只有4條路由；為今后的分支行擴展留有足夠的余地，按照每個分行每種業(yè)務1個B計算，可建設256家分行；每個分行可支持251家支行；為今后的業(yè)務擴展留有足夠的余地，新增業(yè)務可以隨時啟用新的地址段首位，對現(xiàn)有地址規(guī)劃沒有任何影響。假設山東分行尚未建設，而山東省已經(jīng)開始建設青島支行，則仍然按照青島支行的規(guī)劃為其分配地址，確保今后劃歸到山東分行后，地址無需做變更。新建主備數(shù)據(jù)中心搭建整體結(jié)構(gòu)新建數(shù)據(jù)中心將按照以下的模型進行區(qū)域劃分，整體結(jié)構(gòu)如下所示：區(qū)域劃分如下：數(shù)據(jù)中心核心交換區(qū)，通過兩臺EX8208作為整個數(shù)據(jù)中心的核心交換設備，提供高密度千兆/萬兆接口，提供各個分區(qū)之間的高速交換通道；前置業(yè)務區(qū)生產(chǎn)業(yè)務區(qū)，包括：核心生產(chǎn)和第三方業(yè)務生產(chǎn)管理運維管理區(qū)開發(fā)測試上線區(qū)，包括：業(yè)務開發(fā)業(yè)務測試上線測試準備OA辦公區(qū)中間業(yè)務區(qū)（外聯(lián)業(yè)務）廣域網(wǎng)區(qū)網(wǎng)銀接入?yún)^(qū)辦公大樓接入?yún)^(qū)，包括：辦公內(nèi)網(wǎng)辦公外網(wǎng)各個區(qū)域均通過防火墻連接到核心交換區(qū)，實現(xiàn)相互之間基于防火墻安全策略的受控互訪。數(shù)據(jù)中心核心設計新建數(shù)據(jù)中心包括同城的主備兩個數(shù)據(jù)中心，在目前備份數(shù)據(jù)中心機房還沒有具備的情況下，我們建議在新大樓數(shù)據(jù)中心機房中按照以下的方式規(guī)劃主備數(shù)據(jù)中心網(wǎng)絡架構(gòu)，為今后構(gòu)建準備數(shù)據(jù)中心做準備。在主數(shù)據(jù)中心，建議部署兩臺EX8208核心交換機，通過VirtualChassis技術(shù)虛擬化成一臺邏輯交換機，作為整個主用數(shù)據(jù)中心各個區(qū)域的核心交換設備，通過GE或者10GE鏈路連接至數(shù)據(jù)中心各個功能區(qū)域；在主數(shù)據(jù)中心，部署兩臺M10i核心路由器，作為下聯(lián)分支行的骨干路由器，通過CPOS接口提供E1線路連接；每臺M10i路由器分別通過2*GE鏈路連接到EX8208核心交換機；為備份數(shù)據(jù)中心部署兩臺EX4500核心交換機，通過VirtualChassis技術(shù)虛擬化成一臺邏輯交換機，作為整個備用數(shù)據(jù)中心各個區(qū)域的核心交換設備，通過GE或者10GE鏈路連接至數(shù)據(jù)中心各個功能區(qū)域；為備數(shù)據(jù)中心部署一臺M10i核心路由器，作為下聯(lián)分支行的骨干路由器，通過GE接口提供MSTP線路連接；M10i路由器通過2*GE鏈路連接到EX4500核心交換機；主備數(shù)據(jù)中心核心設備之間建議通過交換機或者DWDM設備，并租用兩條不同運營商裸光纖實現(xiàn)互聯(lián)。在部署初期，可以考慮采用交換機實現(xiàn)數(shù)據(jù)中心之間的互聯(lián)，構(gòu)建數(shù)據(jù)中心之間的傳輸通道，兩條互聯(lián)的裸光纖可以通過portchannl實現(xiàn)線路捆綁，這樣在滿足主備數(shù)據(jù)中心之間二層互通需求的前提下，不會產(chǎn)生二層環(huán)路的問題。核心業(yè)務區(qū)詳細設計核心業(yè)務部分包括了前置業(yè)務區(qū)和生產(chǎn)業(yè)務區(qū)，而生產(chǎn)業(yè)務區(qū)中還分為核心生產(chǎn)區(qū)、第三方區(qū)和生產(chǎn)管理區(qū)。建議按照以下架構(gòu)部署：網(wǎng)絡核心的兩臺EX8208高性能數(shù)據(jù)中心交換機通過XRE引擎構(gòu)建VirtualChassis，實現(xiàn)雙機虛擬化一臺獨立的邏輯設備。EX8208之間通過2條10GE線路LAG實現(xiàn)相互之間的互聯(lián)；為核心業(yè)務區(qū)部署兩臺SRX3400防火墻，通過JSRP協(xié)議構(gòu)建成一個Cluster，形成高可靠的雙機HA架構(gòu)。SRX3400通過2條10GE鏈路實現(xiàn)與核心EX8208之間的高帶寬互聯(lián)；為不同的業(yè)務區(qū)域分別部署EX4200交換機，并通過VirtualChassis技術(shù)實現(xiàn)虛擬化：前置業(yè)務區(qū)，部署兩臺EX4200構(gòu)成一個VC；核心生產(chǎn)區(qū)和第三方區(qū)，部署四臺EX4200構(gòu)成一個VC；生產(chǎn)管理區(qū)，部署兩臺EX4200構(gòu)成一個VC；同一個VC內(nèi)部的服務器之間的數(shù)據(jù)流量通過交換機間128G的高速背板轉(zhuǎn)發(fā)；由于VC可以支持跨交換機的端口捆綁功能，因此一個VC內(nèi)部的服務器可通過雙網(wǎng)卡主/備或者port-channel的方式連接到不同交換模塊的端口，從而有效提高服務器接入部分的可靠性；每個區(qū)域的EX4200VC分別通過2條10GE線路連接到SRX3400防火墻上，通過防火墻實現(xiàn)各個業(yè)務區(qū)域之間、業(yè)務區(qū)域到核心交換機之間的基于安全策略的受控互訪功能；運營管理/上線測試區(qū)部署模式為運營管理/上線測試業(yè)務區(qū)部署兩臺SRX650防火墻，通過JSRP協(xié)議構(gòu)建成一個Cluster，形成高可靠的雙機HA架構(gòu)。SRX650通過2條10GE鏈路實現(xiàn)與核心EX8208之間的高帶寬互聯(lián)；為不同的業(yè)務區(qū)域分別部署EX4200交換機，并通過VirtualChassis技術(shù)實現(xiàn)虛擬化：運營管理區(qū)，部署兩臺EX4200構(gòu)成一個VC；業(yè)務開發(fā)區(qū)，部署四臺EX4200構(gòu)成一個VC；業(yè)務測試區(qū)，部署兩臺EX4200構(gòu)成一個VC；上線準備去，部署兩臺EX4200構(gòu)成一個VC；同一個VC內(nèi)部的服務器之間的數(shù)據(jù)流量通過交換機間128G的高速背板轉(zhuǎn)發(fā)；每個區(qū)域的EX4200VC分別通過2條1GE線路連接到SRX650防火墻上，通過防火墻實現(xiàn)各個業(yè)務區(qū)域之間、業(yè)務區(qū)域到核心交換機之間的基于安全策略的受控互訪功能；OA辦公區(qū)部署模式為OA辦公區(qū)部署兩臺SRX3400防火墻，通過JSRP協(xié)議構(gòu)建成一個Cluster，形成高可靠的雙機HA架構(gòu)。SRX3400通過2條10GE鏈路實現(xiàn)與核心EX8208之間的高帶寬互聯(lián)；為OA辦公區(qū)域部署兩臺EX4200交換機，并通過VirtualChassis技術(shù)實現(xiàn)虛擬化：VC內(nèi)部的服務器之間的數(shù)據(jù)流量通過交換機間128G的高速背板轉(zhuǎn)發(fā)；EX4200VC分別通過2條10GE線路連接到SRX3400防火墻上，通過防火墻實現(xiàn)OA辦公區(qū)域到核心交換機之間的基于安全策略的受控互訪功能；辦公大樓接入?yún)^(qū)部署模式為辦公大樓接入?yún)^(qū)部署兩臺SRX650防火墻，通過JSRP協(xié)議構(gòu)建成一個Cluster，形成高可靠的雙機HA架構(gòu)。SRX6500通過2條10GE鏈路實現(xiàn)與核心EX8208之間的高帶寬互聯(lián)；為辦公大樓內(nèi)網(wǎng)核心部署兩臺EX4500交換機，并通過VirtualChassis技術(shù)實現(xiàn)虛擬化：VC內(nèi)部的服務器之間的數(shù)據(jù)流量通過交換機間128G的高速背板轉(zhuǎn)發(fā)；在各個樓層分別部署EX2200接入層交換機，分別通過雙千兆鏈路上行到核心的EX4500VC上；辦公大樓內(nèi)網(wǎng)EX4500VC分別通過2條10GE線路連接到SRX650防火墻上，通過防火墻實現(xiàn)辦公大樓區(qū)域到核心交換機之間的基于安全策略的受控互訪功能；中間業(yè)務區(qū)部署模式 中間業(yè)務區(qū)將利舊現(xiàn)有的外聯(lián)路由器和防火墻，將現(xiàn)有的一臺PIX防火墻和兩臺SSG550M防火墻分別通過1GE鏈路上聯(lián)到核心EX8208交換機上。與核心交換機之間通過靜態(tài)路由實現(xiàn)相互之間的指向。這里需要注意的是現(xiàn)有中間業(yè)務采用的網(wǎng)段地址需要修改為新地址段。網(wǎng)銀接入?yún)^(qū)部署模式網(wǎng)銀接入?yún)^(qū)將利舊現(xiàn)有的外聯(lián)交換機、IPS和兩層防火墻設備，在新構(gòu)建網(wǎng)絡核心后，需要將內(nèi)網(wǎng)的兩臺SSG550M防火墻分別通過1GE鏈路上聯(lián)到核心EX8208交換機上。與核心交換機之間通過靜態(tài)路由實現(xiàn)相互之間的指向。這里需要注意的是現(xiàn)有部分網(wǎng)銀業(yè)務采用的網(wǎng)段地址需要修改為新地址段166.11.4.0/22。廣域網(wǎng)區(qū)部署模式現(xiàn)有數(shù)據(jù)中心中采用了以下的廣域網(wǎng)路由器：兩臺C7206，通過CPOS接口提供本地支行/分理處的E1線路接入；兩臺ASR1002，通過GE接口提供本地支行/分理處的MSTP線路接入；兩臺C3845和兩臺C2811，提供異地分支行的接入；在新建數(shù)據(jù)中心，部署兩臺M10i路由器作為新的廣域網(wǎng)匯聚路由器。M10i路由器分別通過GE鏈路連接到核心的EX8208交換機上。建議部署兩臺EX4200構(gòu)成VC，用以擴展核心路由器上的端口，實現(xiàn)現(xiàn)有8臺路由器匯聚后連接到M10i路由器。而新增分支行，則分別通過E1和MSTP線路上聯(lián)到核心的M10i路由器上。主數(shù)據(jù)中心設備地址規(guī)劃數(shù)據(jù)中心設備loopback地址規(guī)劃如下：數(shù)據(jù)中心設備Loopback地址分配掩碼主數(shù)據(jù)中心EX8208VC/32前置業(yè)務區(qū)EX4200VC/32核心生產(chǎn)EX4200VC/32第三方業(yè)務EX4200VC/32運維管理區(qū)EX4200VC/32開發(fā)EX4200VC/32測試EX4200VC/32上線準備EX4200VC/32OA辦公EX4200VC/32廣域網(wǎng)區(qū)M10i-01/32廣域網(wǎng)區(qū)M10i-02/32廣域網(wǎng)區(qū)EX4200VC/32核心業(yè)務防火墻SRX3400/32運維業(yè)務防火墻SRX650/32OA辦公區(qū)防火墻SRX3400/32辦公內(nèi)網(wǎng)防火墻SRX650/32備數(shù)據(jù)中心/32 主數(shù)據(jù)中心設備間互聯(lián)地址規(guī)劃如下：數(shù)據(jù)中心互聯(lián)地址互聯(lián)地址規(guī)劃主數(shù)據(jù)中心EX8208VC核心業(yè)務防火墻SRX3400運維業(yè)務防火墻SRX650OA辦公區(qū)防火墻SRX3400中間業(yè)務區(qū)防火墻SSG550M中間業(yè)務區(qū)防火墻PIX廣域網(wǎng)區(qū)M10i-01廣域網(wǎng)區(qū)M10i-02辦公內(nèi)網(wǎng)防火墻SRX650網(wǎng)銀接入?yún)^(qū)防火墻SSG550M前置業(yè)務區(qū)EX4200VC核心業(yè)務防火墻SRX3400核心生產(chǎn)EX4200VC核心業(yè)務防火墻SRX3400第三方業(yè)務EX4200VC核心業(yè)務防火墻SRX3400運維管理區(qū)EX4200VC運維業(yè)務防火墻SRX650開發(fā)EX4200VC運維業(yè)務防火墻SRX650測試EX4200VC運維業(yè)務防火墻SRX650上線準備EX4200VC運維業(yè)務防火墻SRX650OA辦公EX4200VCOA辦公區(qū)防火墻SRX3400廣域網(wǎng)區(qū)M10i-01主數(shù)據(jù)中心EX8208VC廣域網(wǎng)區(qū)M10i-02各個新增分行166.254.3.0，按照/30劃分廣域網(wǎng)區(qū)M10i-02主數(shù)據(jù)中心EX8208VC廣域網(wǎng)區(qū)M10i-01各個新增分行166.254.4.0，按照/30劃分廣域網(wǎng)區(qū)EX4200VC廣域網(wǎng)區(qū)M10i-01廣域網(wǎng)區(qū)M10i-02C7206-01C7206-02C1002-01C1002-02C3845-01C3845-02C2811-01C2811-02主備數(shù)據(jù)中心之間互聯(lián)主數(shù)據(jù)中心與現(xiàn)有數(shù)據(jù)中心之間互聯(lián)（遷移時臨時使用）30主數(shù)據(jù)中心與現(xiàn)有數(shù)據(jù)中心互聯(lián)用EX4200與EX8200的互聯(lián)網(wǎng)段（遷移時臨時使用）備數(shù)據(jù)中心內(nèi)部互聯(lián)地址166.254.2.0，按照/29順序分配到分支行互聯(lián)地址166.254.5.0，按照/30順序分配路由規(guī)劃設計原有的數(shù)據(jù)中心和分支行均采用了EIGRP路由協(xié)議，考慮到今后的擴展性和兼容性，我們建議此次新建的主備數(shù)據(jù)中心、新大樓和今后新增分支行網(wǎng)點，均采用標準的OSPF路由協(xié)議。全網(wǎng)的路由協(xié)議規(guī)劃如下：核心的主備數(shù)據(jù)中心均劃分到OSPFArea0中，作為OSPF路由協(xié)議的骨干域；以分行為單位，每個分行劃分為一個獨立的OSPFArea；新大樓也為其劃分一個單獨的Area；（可將area號與分行ID號進行關聯(lián)）；建議新增分行從ID10開始分配。ID1-9預留給現(xiàn)有分行。對于新增的托管支行，我們建議直接通過E1和MSTP線路連接到核心的M10i路由器上，分配的Area取決于其今后所歸屬的分行。對于現(xiàn)有的XX本地支行，通過C7206和C1002接入的，均劃分到OSPFArea1中；異地支行，通過C2811和C3845接入的，均劃分到OSPFArea2中。骨干路由器M10i作為區(qū)域邊界路由器ABR，通過ABR路由器，實現(xiàn)對每個分行路由的匯總，從而有效減少全網(wǎng)的路由條目，降低路由震蕩和抖動，加速路由收斂時間；如有需要，可將各個area設置為NSSA域，并限制summary路由擴散到各個area中，有效減少每個area中的路由條目。新老數(shù)據(jù)中心的互聯(lián)互聯(lián)規(guī)劃設計在新建數(shù)據(jù)中心設備部署完成后，為了實現(xiàn)原有數(shù)據(jù)中心的平滑遷移，需要將新建數(shù)據(jù)中心和現(xiàn)有數(shù)據(jù)中心之間互聯(lián)，實現(xiàn)新老數(shù)據(jù)中心之間網(wǎng)絡的二三層互通。為了確保可靠性，建議在新老數(shù)據(jù)中心之間提供兩條裸光纖，實現(xiàn)相互之間互聯(lián)的線路冗余。由于老數(shù)據(jù)中心的路由均集中在一臺4507上，因此我們建議按照如下的結(jié)構(gòu)實現(xiàn)相互之間的互聯(lián)，即在新數(shù)據(jù)中心部署兩臺臨時互聯(lián)交換機，采用EX4200構(gòu)成VC，裸光纖分別連接新數(shù)據(jù)中心的兩臺EX4200VC和老數(shù)據(jù)中心的一臺主用的4507交換機?？紤]到新老數(shù)據(jù)中心之間需要實現(xiàn)二層的互通，為了避免二層環(huán)路的問題，我們建議將這兩條裸光纖進行端口捆綁，即構(gòu)成邏輯上一條線路，能夠提供線路上的負載均衡和相互備份。而EX4200VC可以和新數(shù)據(jù)中心核心的EX8200VC之間通過2條GE鏈路port-channel實現(xiàn)互聯(lián)。路由/VLAN規(guī)劃設計在現(xiàn)有的數(shù)據(jù)中心里，涉及到以下的VLAN和地址信息，其中有部分VLAN的服務器需要平滑遷移，即在遷移過程中IP地址不變、網(wǎng)關不變，已遷移和未遷移服務器均需要正常通信：VLANID地址現(xiàn)狀是否平滑遷移說明2需要平滑遷移服務器核心生產(chǎn)服務器網(wǎng)段3在新數(shù)據(jù)中心該網(wǎng)段需要改變地址，將變更到VLAN20，無需在線遷移OA辦公等業(yè)務網(wǎng)段8需要平滑遷移服務器生產(chǎn)管理新增VLAN10隨廣域網(wǎng)路由器一起遷移下聯(lián)分支行網(wǎng)段11隨廣域網(wǎng)路由器一起遷移下聯(lián)分支行網(wǎng)段17需要平滑遷移服務器前置服務器VLAN20無遷移新規(guī)劃VLAN21無遷移新規(guī)劃VLAN22無遷移新規(guī)劃VLAN23無遷移新規(guī)劃VLAN24無遷移新規(guī)劃VLAN25無遷移新規(guī)劃VLAN為了確保這些VLAN的服務器能夠?qū)崿F(xiàn)平滑的遷移，我們建議新老數(shù)據(jù)中心之間的互聯(lián)鏈路上提供這些VLAN的二層透傳，如下所示：將新老數(shù)據(jù)中心之間互聯(lián)的雙裸光纖portchannel設置為Trunk端口，并將VLAN2，8，17這些業(yè)務VLAN透傳該Trunk端口，以便于今后服務器的平滑遷移。同時，設置一個新的VLAN99，用于實現(xiàn)新老數(shù)據(jù)中心之間的臨時三層互聯(lián)，便于在割接過程之中的路由指向。該VLAN99是臨時設置的VLAN，在數(shù)據(jù)中心遷移完成后即可取消。另外，設定一個VLAN100，用于EX4200與核心EX8200之間的互聯(lián)，在今后遷移完成后也同樣刪除。VLANID地址現(xiàn)狀說明99（臨時三層互聯(lián)VLAN）30EX4200到4507臨時互聯(lián)地址100（臨時三層互聯(lián)VLAN）166.254.1.252/30EX4200到EX8208臨時互聯(lián)地址在線路連接完成后：新老數(shù)據(jù)中心之間通過靜態(tài)路由相互指向，實現(xiàn)新老數(shù)據(jù)中心之間的網(wǎng)絡互通。在新數(shù)據(jù)中心中，將臨時互聯(lián)EX4200上指向老數(shù)據(jù)中心的靜態(tài)路由指向發(fā)布到OSPF中；在老數(shù)據(jù)中心中，將C4507上指向新數(shù)據(jù)中心的靜態(tài)路由發(fā)布到EIGRP512中；測試新建數(shù)據(jù)中心網(wǎng)絡和現(xiàn)有網(wǎng)絡之間的互聯(lián)互通。

業(yè)務平滑遷移外聯(lián)中間業(yè)務的遷移現(xiàn)有中間業(yè)務設備遷移外聯(lián)業(yè)務的遷移計劃按照以下步驟進行：按照地址規(guī)劃，改變中間業(yè)務相關的IP地址；斷開現(xiàn)有數(shù)據(jù)中心的外聯(lián)線路，將外聯(lián)設備搬遷至新數(shù)據(jù)中心外聯(lián)業(yè)務區(qū)；并按照新數(shù)據(jù)中心的區(qū)域規(guī)劃和地址規(guī)劃，部署這些外聯(lián)設備；連接完成后測試設備的互聯(lián)互通；連接結(jié)構(gòu)如下圖所示：將外聯(lián)的廣域網(wǎng)線路遷移至新數(shù)據(jù)中心外聯(lián)區(qū)設備上，確保到外聯(lián)單位的廣域網(wǎng)線路通信正常；將老數(shù)據(jù)中心4507上原指向外聯(lián)路由器的靜態(tài)路由刪除；在老數(shù)據(jù)中心4507上增加外聯(lián)路由器的靜態(tài)路由（新規(guī)劃的），下一跳指向新數(shù)據(jù)中心核心設備（通過VLAN99），并將該靜態(tài)路由重分發(fā)到EIGRP中；在新數(shù)據(jù)中心增加指向外聯(lián)區(qū)域的靜態(tài)路由，并重分發(fā)到OSPF中；刪除新數(shù)據(jù)中心原先的指向老數(shù)據(jù)中心的外聯(lián)業(yè)務路由；最終網(wǎng)絡架構(gòu)如下所示：遷移完成后，測試外聯(lián)中間業(yè)務是否正?！，F(xiàn)有外聯(lián)設備替換（今后逐步替換）遷移完成后，需要進行外聯(lián)設備的替換，目前的外聯(lián)網(wǎng)絡設備數(shù)量眾多，網(wǎng)絡架構(gòu)負載，管理維護工作量大。當前外聯(lián)設備情況如下所示：替換的方案是，在外聯(lián)區(qū)增加新的SRX650防火墻設備，并在SRX650上提供高密度GE以太網(wǎng)接口卡和E1廣域網(wǎng)接口卡，用于實現(xiàn)與外部單位線路互聯(lián)。設備變更后，由兩臺SRX650取代目前的多臺路由器，同時提供廣域網(wǎng)路由器功能和防火墻的安全功能，有效簡化網(wǎng)絡架構(gòu)。并更后的網(wǎng)絡架構(gòu)如下所示：新增防火墻的部署建議：所有的外聯(lián)互聯(lián)地址和路由策略均移植自原有的外聯(lián)路由器；所有的安全策略均移植自原有的NetscreenSSG140防火墻和PIX防火墻。網(wǎng)銀的遷移網(wǎng)銀設備替換網(wǎng)銀業(yè)務的遷移計劃按照以下步驟進行：按照地址規(guī)劃，改變網(wǎng)銀接入?yún)^(qū)域相關的IP地址；斷開現(xiàn)有數(shù)據(jù)中心的網(wǎng)銀線路，將網(wǎng)銀設備搬遷至新數(shù)據(jù)中心外聯(lián)業(yè)務區(qū)；并按照新數(shù)據(jù)中心的區(qū)域規(guī)劃和地址規(guī)劃，部署這些外聯(lián)設備；連接完成后測試設備的互聯(lián)互通；連接結(jié)構(gòu)如下圖所示：將網(wǎng)銀的廣域網(wǎng)線路遷移至新數(shù)據(jù)中心網(wǎng)銀區(qū)設備上，確保到Internet的廣域網(wǎng)線路通信正常；將老數(shù)據(jù)中心4507上原指向網(wǎng)銀出口路由器的靜態(tài)路由刪除；在老數(shù)據(jù)中心4507上增加網(wǎng)銀業(yè)務的靜態(tài)路由，指向新數(shù)據(jù)中心核心設備（通過VLAN99），并將該靜態(tài)路由重分發(fā)到EIGRP中；在新數(shù)據(jù)中心增加指向網(wǎng)銀業(yè)務的靜態(tài)路由，并重分發(fā)到OSPF中；刪除新數(shù)據(jù)中心原先的指向老數(shù)據(jù)中心的網(wǎng)銀業(yè)務路由；網(wǎng)銀IPS設備更換（今后逐步替換）網(wǎng)銀設備調(diào)整完成后，需對業(yè)務進行相應的測試，確保業(yè)務系統(tǒng)的正常。隨后可進行網(wǎng)銀系統(tǒng)中IPS設備的替換。我們建議采用IDP800替換現(xiàn)有的IPS設備。如圖所示：IPS的安全策略定義如下所示：確認采用帶有Bypass功能的接口實現(xiàn)網(wǎng)絡連接，保證網(wǎng)銀系統(tǒng)可靠性；開啟系統(tǒng)推薦安全策略；先期設定默認action行為為只log，不阻斷，避免對業(yè)務產(chǎn)生影響；隨后根據(jù)日志分析情況，對安全策略進行優(yōu)化調(diào)整。分支行的遷移按照規(guī)劃，現(xiàn)有的所有分支行的廣域網(wǎng)線路都需要遷移到新數(shù)據(jù)中心。現(xiàn)有本地分支行的廣域網(wǎng)連接結(jié)構(gòu)如下所示。兩臺Cisco7206提供了CPOS接口，通過電信提供到本地支行的E1線路連接；另有兩臺ASR1002提供GE接口，通過移動提供到本地支行的MSTP線路連接。異地分支行目前是通過2臺C3845和2臺C2811提供匯聚，如圖所示：由于大部分的分支行支行都是雙上行鏈路，因此可以實現(xiàn)在不中斷業(yè)務的情況下進行廣域網(wǎng)線路和設備的遷移。考慮到現(xiàn)有的共8臺廣域網(wǎng)設備需要遷移到新數(shù)據(jù)中心，并與新數(shù)據(jù)中心新增的廣域網(wǎng)核心路由器互聯(lián)，我們建議在主數(shù)據(jù)中心增加2臺EX4200交換機，通過VirtualChassis特性虛擬化為一臺邏輯設備，上聯(lián)新增核心路由器M10i，下聯(lián)現(xiàn)有廣域網(wǎng)路由器C7206和ASR1002，以及異地支行托管的ISR2811和3811，連接線路均采用1GE。整體架構(gòu)如下圖所示：本地分支行遷移在實際搬遷時，我們建議按照以下步驟進行：現(xiàn)有的本地支行網(wǎng)絡架構(gòu)如下，現(xiàn)有數(shù)據(jù)中心的4臺廣域網(wǎng)路由器提供了到各個支行的E1和MSTP線路的互聯(lián)：將現(xiàn)有數(shù)據(jù)中心的兩臺ASR1002停機，并搬遷至新建主數(shù)據(jù)中心的廣域網(wǎng)路由器下，此時所有網(wǎng)點均通過電信的E1線路上聯(lián)到核心4507。此時，每個本地支行仍通過現(xiàn)有的E1鏈路連接到現(xiàn)有數(shù)據(jù)中心的C7206，并通過此鏈路訪問生產(chǎn)業(yè)務服務器，即支行的生產(chǎn)業(yè)務不中斷。將移動的MSTP線路割接到新數(shù)據(jù)中心，如下所示：此時每個支行的MSTP鏈路均上聯(lián)至新數(shù)據(jù)中心。此時需要在C1002上啟用OSPF協(xié)議，并實現(xiàn)OSPF與EIGRP的路由匯總后相互注入。此時，現(xiàn)有數(shù)據(jù)中心服務器的路由信息將通過OSPF發(fā)布給EIGRP512，即支行能夠?qū)W習到來自于新數(shù)據(jù)中心的服務器路由。將現(xiàn)有數(shù)據(jù)中心的C7206斷開，并搬遷至新數(shù)據(jù)中心，7206通過GE鏈路連接到廣域網(wǎng)區(qū)的EX4200上，并按照地址規(guī)劃配置地址和路由，如圖所示：同時在4507上回指所有本地支行的路由到新數(shù)據(jù)中心（通過VLAN99）。此時所有本地支行訪問現(xiàn)有數(shù)據(jù)中心服務器的流量均通過MSTP線路到達新數(shù)據(jù)中心后，再通過新老數(shù)據(jù)中心之間的互聯(lián)鏈路路由。將C7206上的CPOS線路割接到新數(shù)據(jù)中心：在C7206上啟用OSPF協(xié)議，實現(xiàn)OSPF與EIGRP的路由匯總后相互注入。網(wǎng)絡架構(gòu)如下所示：至此，分行的雙上聯(lián)線路均割接到新數(shù)據(jù)中心，原有的EIGRP512的路由和路由控制策略均不發(fā)生任何變化：唯一需要變更的是原廣域網(wǎng)路由器C7206和ASR1002需要增加OSPF協(xié)議，以實現(xiàn)與新數(shù)據(jù)中心的互通，同時需要實現(xiàn)OSPF協(xié)議與EIGRP協(xié)議的相互注入。具體的注入策略如下所示：OSPFArea1>EIGRP512EIGRP512>OSPFArea1C7206將OSPFAREA1中的所有路由，均匯總后注入到EIGRP中這些路由包括現(xiàn)有數(shù)據(jù)中心服務器地址的路由，新數(shù)據(jù)中心各個區(qū)域業(yè)務地址的路由和設備互聯(lián)、管理地址路由將C7206學習到的各個支行的業(yè)務地址路由匯總后發(fā)布到OSPF中，采用ExternalE1，不增加額外的COST值，確保C7206的線路為優(yōu)先線路。ASR1002將OSPFAREA1中的所有路由，均匯總后注入到EIGRP中這些路由包括現(xiàn)有數(shù)據(jù)中心服務器地址的路由，新數(shù)據(jù)中心各個區(qū)域業(yè)務地址的路由和設備互聯(lián)、管理地址路由將ASR1002學習到的各個支行的業(yè)務+OA地址路由匯總后發(fā)布到OSPF中，采用ExternalE1，并額外增加COST值，確保ASR1002的MSTP線路為次優(yōu)先線路。異地分支行遷移目前異地支行均采用托管的方式，連接到核心的兩臺ISR2811和兩臺ISR3845上，現(xiàn)有結(jié)構(gòu)如下所示：兩臺2811下聯(lián)的都是單線路支行，因此在割接過程中會有業(yè)務中斷。我們建議盡可能申請雙線路，保證割接過程中業(yè)務不中斷。在目前單線路情況下，可以按照以下的割接步驟進行。將現(xiàn)有數(shù)據(jù)中心兩臺C2811斷開，并遷移至新數(shù)據(jù)中心，下聯(lián)在核心路由器下的互聯(lián)交換機上。將對應異地支行的廣域網(wǎng)線路割接到新數(shù)據(jù)中心，結(jié)構(gòu)如下所示：此時需要在C2811上開啟OSPF路由協(xié)議，設定為Area2；其中一臺2811上已經(jīng)運行EIGRP，需要實現(xiàn)OSPF與EIGRP的相互路由注入；另外一臺2811上運行靜態(tài)路由協(xié)議，因此需要實現(xiàn)靜態(tài)路由導入到OSPF中；并在45