《一级分行核心网络系统结构优化调整项目设计方案》由会员分享,可在线阅读,更多相关《一级分行核心网络系统结构优化调整项目设计方案(39页珍藏版)》请在金锄头文库上搜索。
1、 一级分行核心网络系统结构优化调整项目设计方案版本号:1.0 一级分行核心网络系统高可用性调整(安全方案实施之前)(项目编号: 2005091)实施方案 一级分行辖内网络结构优化调整及安全项目组二六年四月十八日 文档属性属性内容项目名称:中国工商银行一级分行辖内网络结构优化调整及安全项目项目编号:文档主标题:一级分行核心网络系统高可用性调整实施方案(安全项目实施之前)文档副标题:文档编号:文档版本号:1.0版本日期:2006-4-18文档状态:作者:中国工商银行一级分行辖内网络结构优化调整及安全项目组 文档变更过程版本修正日期修正人描述1.02006年4月18日中国工商银行一级分行辖内网络结构
2、优化调整及安全项目组初稿 本版本变更内容描述序号修改内容描述1修改服务器分拆ip地址为24位掩码,重新规划网段第 1 页 共 39 页 中国工商银行数据中心(北京)第1章方案概述51.1.内网交换机可用性调整51.1.1.服务器部署51.1.2.服务器IP地址调整71.1.3.综合布线81.1.4.内网交换机扩容81.1.5.服务器调整详细设计91.2.分行SNA网络部署131.3.部署防火墙之前高可用性调整方案141.3.1.结构描述141.3.2.方案调整要点151.3.3.路由调整要点151.3.4.剩余风险分析18第2章实施规划182.1.Vlan规划表182.2.服务器连接关系规划2
3、02.3.网络设备连接规划212.3.1.内网交换机与其他设备的连接关系及地址规划212.3.2.骨干交换机与其他设备的连接关系及地址规划222.3.3.中小规模分行上联路由器与其他设备的连接关系及地址规划222.3.4.大规模分行SNASW路由器与其他设备的连接关系及地址规划22第3章方案实施步骤233.1.内网服务器部分服务器物理连接布局调整233.1.1.实施条件233.1.2.实施目标233.1.3.实施前准备233.1.4.实施步骤233.1.5.验证与回退243.2.内网服务器部分服务器ip地址调整阶段243.2.1.实施条件243.2.2.实施目标243.2.3.实施前准备243
4、.2.4.实施步骤243.2.5.验证与回退273.2.6.垃圾清理273.3.网络结构调整阶段283.3.1.实施条件283.3.2.实施目标283.3.3.实施前准备283.3.4.实施步骤293.3.5.验证与回退343.4.上联路由器LLC2、IP端口调整343.4.1.实施条件343.4.2.实施目标343.4.3.实施前准备343.4.4.实施步骤353.4.5.验证与回退38第4章方案变更安排38第1章 方案概述1.1. 内网交换机可用性调整1.1.1. 服务器部署(1)服务器分类模型l 其中重要业务服务器参照生产管理办法中引起3级问题的部属在分行的应用服务器业务划分。l 有备份
5、服务器根据应用系统是否为热备份服务器进行区分,不包括冷备服务器。分为使用操作系统级HA技术热备份(目前不建议使用)服务器和应用级热备份服务器(如通用网关/cite前置),对于应用级热备份服务器,采用独立三层备份。l 其中对于单点服务器目前使用单接入,(可用的技术有NIC teamming等,目前不建议使用)(2)重要服务器部属原则制定内网服务器部署原则的指导思想是尽可能减少可能影响分行全辖业务的故障点和降低网络设备之间的关联度,一级分行因1台内网交换机工作异常(包括端口、板卡、整机down和处于“半死不活”异常状态)而不会导致分行全辖重要业务中断。 服务器部署的总体原则如下:l 原则一:对于具
6、有IP地址热备能力的服务器,必须将服务器均匀分为两组分别接入内网交换机A、B。两组各起一个VLAN,假设分别为VLAN v1和v2,则VLAN v1的VRRP/HSRP必须活在A上,v2的VRRP/HSRP活在B上。有两种情况需要说明:a) 多访问多:这种情况下,多台有IP地址热备能力的服务器集S1访问多台同样具有IP地址热备能力的服务器集S2,把S1和S2各自通过VLAN分割均匀分组,如S1分割为S11和S12,S2分割为S21和S22。在内网交换机A上部署S11、S21,S11和S21的HSRP活在A上(以下简称一类VLAN);B上部署S12、S22,S12和S22的HSRP活在B上(以下
7、简称二类VLAN);b) 多访问一或一访问多:如服务器S1和S2都需要访问服务器S3,由于存在S3的单点,则把S1、S2、S3均部署于同一台交换机(原因见原则二),不需要把S1和S2分组,但S1和S2必须接入在交换机的不同板卡。l 原则二:有访问关系的服务器必须接入同一台内网交换机,HSRP也必须活在同一台交换机上。有一种情况需要说明:如果一个VLAN内的两台功能不同的服务器S11、S21分别需要访问交换机A、B上的服务器S12、S22,则按照原则二的要求S11接入A,S21接入B。S11的HSRP活在A上,S21的HSRP活在B上。但S11、S21属于同一VLAN,不能满足HSRP分别活在两
8、台交换机的要求。这种情况下必须先对S12和S22进行VLAN拆分。l 原则三:有备份服务器(包括HA备份、一对一冷备)部署时主用服务器根据所在VLAN的布局要求接入在一台交换机上,备份服务器接入到另外一台交换机,HSRP活在主用服务器接入的交换机上。对于HA备份服务器,这种部署方式无法保证在出现类似河北故障模式下的网络传输,但可以保证服务器接入的板卡故障或者交换机整机故障情况下的正常切换。考虑到交换机板卡或者整机故障的概率远大于“半死不活”的概率,选择以上接入方法。对于1对1冷备服务器, 备份服务器也需要进行网络接入,可以接入在另外一台交换机的相同端口或不同端口。如果接入在相同端口(主要是可以
9、节省端口),主用服务器的网络接入出现故障时拔出另一台交换机相同端口的备份服务器网线,插入主用服务器网线,对于备份服务器的网线标签可以通过不同的颜色和主用服务器进行区分。主用服务器出现故障时直接启用备份服务器的端口即可。l 原则四:对于没有备份的单点服务器,可根据内网交换机连接的服务器的数量在两台交换机上均衡部署,以后可以考虑使用NIC Teaming技术实现到两台交换机的接入。l 原则五:对于没有备份的单点服务器及非重要服务器,仍然连接到2台交换机上的VLAN(以下简称第三类VLAN),保证hsrp活在内网交换机A上。l 原则六:在满足原则一至四的前提下分行根据具体情况尽量把服务器调整到两台交
10、换机上,可以通过调整为第一类或第二类VLAN,或者通过调整第三类VLAN内部的服务器分布达到两台交换机负载均衡。1.1.2. 服务器IP地址调整l 现有的ip地址分配不做原则性的改动,将现有的具备备份功能的重要服务器的VLAN拆分成为2个VLAN,新使用一个c类地址,每个VLAN使用24位的掩码。对于无备份的服务器VLAN、ip地址和服务器布局和VLAN仍然保留目前的布局,使用24位的掩码。l 对于有备份的重要服务器VLAN,两台交换机启动三层VLAN,配置VRRP(HSRP),采用虚地址做服务器default gateway,并将VRRP(HSRP)存活在服务器布局的一侧;1.1.3. 综合
11、布线l 由于保留了trunk进行2层VLAN跨交换机的设计,仍然可以使用目前一级分行辖内网络结构优化调整项目标准实施方案v1.4的基础布线资源。l 根据服务器连接交换机的布局调整进行相应的跳线调整。1.1.4. 内网交换机扩容 对于超过200台服务器的行,可选用2台CISCO 4507及以上的交换机、华为6506R以上的交换机进行扩展(图中的C,D交换机),原则上要求内网服务器接入交换机配备双引擎。为了避免交换机扩展引起大量的ip地址调整,内网交换机之间使用二层Trunk进行连接。l 交换机扩展采用二层无环连接方式,扩展交换机C/D分别单连接(可以2条捆绑为channel使用)交换机A/B;l
12、 同时在交换机C/D上部署一条冷备份链路分别连接交换机B/A,实施时做好软件连接配置,华为交换机在交换机A/B上手工软件shutdown连接交换机D/C的端口。CISCO交换机在C/D上配置backup interface自动进行链路切换。l 重要服务器相互备份VLAN必须部署在交换机A和交换机B上,跨交换机VLAN部署在交换机C和D上,也可以部署在交换机A和B上l 在这种布局方式下,serverfarm交换机由2台扩展为4台时路由不需要调整。尽量将重要备份服务器在A和B上部署,减少设备故障对重要服务器的影响。1.1.5. 服务器调整详细设计对于有备份的重要服务器VLAN,两台交换机启动三层V
13、LAN,配置HSRP/VRRP,采用虚地址做服务器的default gateway,并将HSRP/VRRP存活在服务器布局的一侧。服务器调整内容包括接入调整和IP地址调整,具体的IP地址调整的原则是:l 现有的IP地址分配不做原则性的改动,将需要分拆的关键业务服务器的VLAN拆分成为2个VLAN,新的VLAN ID为原有VLAN ID40,vlan IP地址为目前c类地址128(目前c类地址128),每个VLAN仍然使用24位的掩码。对于其它服务器的VLAN, IP地址和服务器布局仍然保持现状,使用24位的掩码。l VLAN分拆后的IP地址和网关分配如下:假设分拆前的IP地址网段为A.B.C.
14、0/24,分拆为2个网段: A.B.C(C128).0/24,HSRP/VRRP网关的实地址为A.B.C.251(交换机A)和A.B.C.252(交换机B),虚地址为A.B.C.254,设置交换机B的VRRP/HSRP为高优先级。根据各分行反馈信息,目前分行以下重要业务服务器需进行调整:l 柜面业务:B类网关、CITE前置、CTS前置等服务器l 自助业务:A类网关、综合前置、密押、金卡前置等服务器l 中间业务:中间业务平台通讯前置、中间业务平台、A类(或B类)网关等服务器l 电话银行:G700、语音网关、语音关守、IVR、95588服务器等相关服务器l 国际结算业务:国际结算应用服务器、国际结算数据库服务器。l 生产用户接入:操作员机器各一级分行对以上业务必须进行相关服务器部署调整,分行认为重要但没有包括在内的业务也可以进行调整。根据1.1.1的服务器调整原则,对分行的服务器调整规划如下:1、 柜面业务:
