XX銀行網(wǎng)絡機房搬遷方案

XX銀行網(wǎng)絡機房搬遷方案第3頁XX銀行網(wǎng)絡機房搬遷方案XX銀行網(wǎng)絡機房搬遷方案全文共1頁，當前為第1頁。XX銀行網(wǎng)絡機房搬遷方案全文共1頁，當前為第1頁。目錄一、需求分析 31.1當前拓撲分析 31.2新拓撲設計 51.3搬遷方案核心思想 6二、實施方案及應急預案 72.1搬遷總原則 72.2整體搬遷方案 72.2.1第一階段：線路準備 72.2.2第二階段：新機房設備上架 92.2.3第三階段：裸光纖二層透傳 102.2.4第四階段：服務器搬遷及線路割接 112.2.5第五階段：主線路割接 132.2.6第六階段：核心遷移 142.2.7第七階段：網(wǎng)絡整體調(diào)整 14XX銀行網(wǎng)絡機房搬遷方案全文共2頁，當前為第2頁。XX銀行網(wǎng)絡機房搬遷方案全文共2頁，當前為第2頁。一、需求分析1.1當前拓撲分析XX銀行網(wǎng)絡拓撲（改造前）XX銀行網(wǎng)絡機房搬遷方案全文共3頁，當前為第3頁。目前，XX銀行的網(wǎng)絡包括兩臺華為S8505交換機作為分行核心交換機，所有的VLAN的網(wǎng)關都設置在這兩臺交換機上。S8505之間使用千兆以太網(wǎng)通道互聯(lián)。下掛8臺樓層交換機，分別作為分行營業(yè)廳、分行前置服務器群、分行辦公生產(chǎn)網(wǎng)的接入交換機，每臺接入交換機只有單條上行線路。在上聯(lián)區(qū)，通過一臺思科3745與華為NE16路由器上聯(lián)總行，上聯(lián)線路包括兩條電信2MSDH線路。在上聯(lián)路由器與核心交換機之間還串聯(lián)了兩臺防火墻，該防火墻與核心交換機交叉連接，運行在透明模式下，總行網(wǎng)絡處在INSIDE范圍內(nèi)，分行及支行網(wǎng)絡處在OUTSIDE范圍內(nèi)。在下聯(lián)區(qū)，使用兩臺華為NE16路由器作為下聯(lián)路由器與分行核心交換機交叉連接，共使用兩條線路，分別為電信的2MSDH和64KDDN線路。在支行網(wǎng)絡中，使用一臺華為AR2831與分行兩臺下聯(lián)路由器相連，下掛兩臺辦公及業(yè)務交換機。在外聯(lián)區(qū)，使用一臺AR2831與外聯(lián)單位連接，在外聯(lián)路由器與核心交換機之間還串聯(lián)了兩臺防火墻，在兩臺防火墻上做NAT地址轉(zhuǎn)換。XX銀行網(wǎng)絡機房搬遷方案全文共3頁，當前為第3頁。XX銀行路由示意圖XX銀行網(wǎng)絡機房搬遷方案全文共4頁，當前為第4頁。目前，XX銀行范圍內(nèi)全部使用OSPF路由協(xié)議，分行作為OSPF區(qū)域0，各支行作為區(qū)域N，并且在上聯(lián)總行的兩臺路由器上運行BGP與OSPF路由協(xié)議并進行重分布。在外聯(lián)區(qū)，使用靜態(tài)路由與外聯(lián)單位連接。XX銀行網(wǎng)絡機房搬遷方案全文共4頁，當前為第4頁。1.2新拓撲設計新拓撲設計示意圖根據(jù)XX銀行的具體需求與總行下發(fā)的網(wǎng)絡建設指導規(guī)范，我司對的網(wǎng)絡做了如下更改：1、在分行核心交換區(qū)使用兩臺H3CS7506E交換機取代現(xiàn)有的華為S8505交換機，兩臺S7506E配備有防火墻模塊，使用虛擬防火墻技術，能對每個功能分區(qū)提供有效的保護。并且在兩臺S7506E之間使用H3C獨有的IRF2智能彈性架構(gòu)技術，將兩臺核心交換機虛擬成一臺核心交換機，簡化網(wǎng)絡拓撲結(jié)構(gòu)與配置，提高網(wǎng)絡的冗余度與高可用性。2、原核心交換機S8505作為分行辦公生產(chǎn)網(wǎng)的匯聚層交換機，與新核心交換機之間呈口字型結(jié)構(gòu)，下掛各樓層交換機。各樓層交換機使用雙上行鏈路與匯聚層交換機S8505連接。使用H3CS3600系列交換機取代原有的樓層交換機。XX銀行網(wǎng)絡機房搬遷方案全文共5頁，當前為第5頁。3、在服務器區(qū)使用H3CS5500系列交換機取代原有的交換機。S5500交換機支持H3C獨有的IRF2智能彈性架構(gòu)技術，可以將兩臺交換機虛擬成一臺交換機，簡化網(wǎng)絡拓撲結(jié)構(gòu)與配置，提高網(wǎng)絡的冗余度與高可用性。這樣，在服務器區(qū)匯聚層交換機與核心交換機之間就沒有形成2層環(huán)路，不存在生成樹問題了。XX銀行網(wǎng)絡機房搬遷方案全文共5頁，當前為第5頁。4、在上聯(lián)區(qū)，取消兩臺防火墻，直接使用核心交換機的防火墻模塊。使用思科3845取代原有的上聯(lián)NE16路由器。兩臺上聯(lián)路由器與核心交換機之間使用交叉連接，提高網(wǎng)絡冗余度。5、在下聯(lián)區(qū)，使用兩臺H3CMSR5060取代原有的兩臺NE16，并且將下聯(lián)線路全部更換為2MMSTP線路。6、在支行網(wǎng)絡新增一臺MSR3020路由器，按的需求，辦公與業(yè)務同等重要，因此將辦公與業(yè)務交換機設計兩個網(wǎng)絡出口，以提高線路冗余性和利用率。7、在外聯(lián)區(qū)，使用下聯(lián)區(qū)淘汰下來的NE16作為新的外聯(lián)路由器，新增一臺外聯(lián)交換機用于連接兩臺外聯(lián)路由器和防火墻。8、整體路由設計不變，依然維持舊路由設計。1.3搬遷方案核心思想此次搬遷采用租用裸光纖的形式，在新大樓與舊大樓之間建立起2層透傳的通道。新大樓與舊大樓同屬一個局域網(wǎng)，因此可以使用原有的IP地址。在搬遷過程中，新大樓的網(wǎng)關依然在舊大樓的兩臺核心交換機上。等所有服務器及各條線路都遷移完成后，再斷開裸光纖，啟用新大樓的三層地址，至此整個網(wǎng)絡平滑過渡到新大樓內(nèi)。同時為了確保整個實施過程萬無一失，在搬遷過程中，舊大樓的網(wǎng)絡設備都不下架。在新大樓新增新的一套網(wǎng)絡設備，通過在舊大樓關閉一個區(qū)域，同時在新大樓啟用該區(qū)域來實現(xiàn)平滑過渡。在新機房順利運行一段時間后，再將舊機房原有的核心交換機搬遷至新機房作為樓層匯聚層交換機，舊機房下聯(lián)路由器作為新機房外聯(lián)路由器。XX銀行網(wǎng)絡機房搬遷方案全文共6頁，當前為第6頁。XX銀行網(wǎng)絡機房搬遷方案全文共6頁，當前為第6頁。二、實施方案及應急預案2.1搬遷總原則平滑過渡、停機時間短，風險可控在最短的時間內(nèi)完成，不超過兩天方案實施簡單，具備可操作性在新舊機房都有設備作為相互硬件備份2.2整體搬遷方案2.2.1第一階段：線路準備第一階段：XX銀行網(wǎng)絡機房搬遷方案全文共7頁，當前為第7頁。1、在新機房準備好兩條上聯(lián)總行的線路、下聯(lián)支行的電信2MSDH線路及聯(lián)通2MMSTP線路以及到達各外聯(lián)單位的6條線路，線路類型及接口規(guī)劃如下：XX銀行網(wǎng)絡機房搬遷方案全文共7頁，當前為第7頁。序號線路類型接口類型運營商備注1上聯(lián)總行線路1ATM/LC電信2上聯(lián)總行線路2ATM/LC聯(lián)通3下聯(lián)閩都支行線路1SDH/BNC電信4下聯(lián)閩都支行線路2MSTP/以太網(wǎng)聯(lián)通5下聯(lián)鼓樓支行線路1SDH/BNC電信6下聯(lián)鼓樓支行線路2MSTP/以太網(wǎng)聯(lián)通7下聯(lián)華林支行線路1SDH/BNC電信8下聯(lián)華林支行線路2MSTP/以太網(wǎng)聯(lián)通9下聯(lián)閩江支行線路1SDH/BNC電信10下聯(lián)閩江支行線路2MSTP/以太網(wǎng)聯(lián)通11下聯(lián)晉安支行線路1SDH/BNC電信12下聯(lián)晉安支行線路2MSTP/以太網(wǎng)聯(lián)通13下聯(lián)福清支行線路1SDH/BNC電信14下聯(lián)福清支行線路2MSTP/以太網(wǎng)聯(lián)通15下聯(lián)離行阿波羅離行atm線路MSTP/以太網(wǎng)口聯(lián)通16下聯(lián)離行景城酒店atm線路MSTP/以太網(wǎng)聯(lián)通17外聯(lián)銀監(jiān)局線路SDH/BNC電信18外聯(lián)人行主線SDH/BNC電信19外聯(lián)POLICESDH/BNC電信20外聯(lián)銀聯(lián)主線SDH/BNC電信21外聯(lián)銀聯(lián)備線SDH/BNC聯(lián)通XX銀行網(wǎng)絡機房搬遷方案全文共8頁，當前為第8頁。22XX銀行網(wǎng)絡機房搬遷方案全文共8頁，當前為第8頁。外聯(lián)人行備線SDH/BNC聯(lián)通23下聯(lián)廈門辦事處SDH/BNC24下聯(lián)泉州辦事處SDH/BNC2、在新、舊機房準備好裸光纖線路，使用雙運營商預防單線路風險。風險時間：無。應急預案：無需。2.2.2第二階段：新機房設備上架第二階段：新大樓核心上架。包括兩臺核心交換機、兩臺上聯(lián)路由器、6臺服務器區(qū)交換機、15臺樓層交換機、2臺下聯(lián)路由器。由于按原規(guī)劃設計，在樓層交換機與核心交換機之間還是用匯聚交換機，該匯聚交換機由舊機房核心交換機S8505來充當。由于S8505需等到新機房平穩(wěn)運行一段時間后再搬遷，因此在過渡期間將兩臺樓層交換機替代S8505作為匯聚層交換機，其他樓層交換機與這兩臺交換機互聯(lián)。XX銀行網(wǎng)絡機房搬遷方案全文共9頁，當前為第9頁。另外在新大樓外聯(lián)區(qū)，由于此次XX并未采購外聯(lián)區(qū)路由器，設計上是使用舊機房的下聯(lián)路由器NE16來作為新機房的外聯(lián)路由器，因此在過渡期間，將借用集成商的7206路由器和8E1卡。XX銀行網(wǎng)絡機房搬遷方案全文共9頁，當前為第9頁。此外，業(yè)務測試區(qū)將直接采用新采購的S3600交換機作為業(yè)務測試區(qū)的接入設備，通過該交換機直接與核心交換機相連。在上聯(lián)路由器及下聯(lián)路由器上配置好路由，核心交換機配置好IRF2智能彈性架構(gòu)技術及互聯(lián)VLAN，匯聚交換機配置好二層及三層服務區(qū)VLAN。啟用核心交換機互聯(lián)三層VLAN，IP使用和舊機房一樣的IP。驗證完路由沒有問題后，SHUTDOWN互聯(lián)三層VLAN以及服務器區(qū)三層VLAN、兩臺下聯(lián)路由器內(nèi)聯(lián)口、上聯(lián)路由器C3845內(nèi)聯(lián)口。核心交換/匯聚交換機之間的鏈路改成TRUNK。風險時間：無。應急預案：無需。2.2.3第三階段：裸光纖二層透傳XX銀行網(wǎng)絡機房搬遷方案全文共10頁，當前為第10頁。第三階段：在新舊機房間拉兩條裸光纖分別連接S7506E和S8505，捆綁成PORT-CHANNEL并配置成TRUNK。裸光纖采用兩個運營商的線路，并且捆綁起來使用，提高網(wǎng)絡的高可用性。這樣在新舊機房之間就建立起了純2層的連接。XX銀行網(wǎng)絡機房搬遷方案全文共10頁，當前為第10頁。風險時間：無。應急預案：無需。2.2.4第四階段：服務器搬遷及線路割接第四階段：1、遷移所有服務器。由于當前業(yè)務及辦公客戶端與服務器在同一個VLAN并使用同一個網(wǎng)段，與未來分區(qū)化管理相沖突，因此在此次搬遷中，將服務器臨時接入到樓層交換機中。調(diào)整完服務器IP及網(wǎng)關后再重新連接至相對應的服務分區(qū)。2、遷移上聯(lián)總行備線至新機房。當線路遷移測試成功后，關閉舊機房上聯(lián)NE16以太網(wǎng)口，啟用新機房3845以太網(wǎng)口。舊機房上聯(lián)NE16不下架，作為備機使用。3、遷移泉州分行及支行備線至新機房MSR5060。如果泉州分行在福州機房搬遷后實施，那么就可以直接接入新機房。如果泉州分行在福州機房搬遷前實施，那么泉州分行的線路就必須接入到舊機房，然后在搬遷中和支行線路一起搬遷。XX銀行網(wǎng)絡機房搬遷方案全文共11頁，當前為第11頁。此次支行線路將新增一條聯(lián)通2MMSTP線路及電信2MMSTP線路。電信線路可能由于運營商線路資源不足，無法同時保留原有SDH并新增MSTP。因此在搬遷中將先使用電信原有SDH線路并新增聯(lián)通2MMSTP線路。XX銀行網(wǎng)絡機房搬遷方案全文共11頁，當前為第11頁。聯(lián)通2MMSTP線路由于是新增線路，可以事先在新機房和各支行調(diào)通。調(diào)試IP使用臨時ip，并且將MSTP網(wǎng)線接入到支行路由器上。在機房搬遷中，通過SDH線路登陸到支行路由器，關閉DDN線路并同時啟用聯(lián)通MSTP線路，IP沿用DDN線路使用的IP。將來電信線路升級時，電信2MMSTP將接入到新采購的MSR3020路由器上。當所有支行DDN線路割接成聯(lián)通2MMSTP后，關閉下聯(lián)區(qū)NE16-Q2以太網(wǎng)口。同時啟用新機房下聯(lián)MSR5060以太網(wǎng)口。遷移四條外聯(lián)主線路至新機房外聯(lián)區(qū)。舊機房外聯(lián)區(qū)設備不動，關閉以太網(wǎng)接口，作為硬件備份。新機房外聯(lián)區(qū)交換機與防火墻都使用新設備。路由驗證：在舊機房核心交換機上查看當前的路由是否與預期的一致。具體操作內(nèi)容將在測試文檔中體現(xiàn)。XX銀行網(wǎng)絡機房搬遷方案全文共12頁，當前為第12頁。風險及應急預案：這個階段的風險主要包括下聯(lián)線路、上聯(lián)線路、外聯(lián)線路的割接風險。如果哪個分區(qū)的線路割接出現(xiàn)問題，由于在舊機房相應分區(qū)的硬件依然保留，將可以直接通過割接線路回退至舊機房。XX銀行網(wǎng)絡機房搬遷方案全文共12頁，當前為第12頁。2.2.5第五階段：主線路割接第五階段：1、割接舊機房上聯(lián)主線路至新機房。當上聯(lián)線路割接完畢后，立即關閉舊機房上聯(lián)路由器3745以太網(wǎng)口，同時啟用新機房上聯(lián)路由器3845Q1以太網(wǎng)口。2、遷移舊機房下聯(lián)泉州分行及支行主線路至新機房。線路依然使用電信SDH線路，支行電信SDH線路改MSTP線路并且網(wǎng)絡架構(gòu)做相應調(diào)整等到機房搬遷完畢后再實施。風險提示：此時所有流量會先到舊核心S8505再返回至新核心。路由驗證：在舊機房核心交換機上查看當前的路由是否與預期的一致。具體操作內(nèi)容將在測試文檔中體現(xiàn)。XX銀行網(wǎng)絡機房搬遷方案全文共13頁，當前為第13頁。風險及應急預案：此時新機房所有VLAN的網(wǎng)關依然在舊機房兩臺核心交換機上。新機房的所有流量都會經(jīng)過裸光纖到達舊機房核心交換機上，由于裸光纖采用了雙運營商雙線路，因此這樣的線路風險可以忽略，并且將在下一階段將整個網(wǎng)絡的核心移至新機房中。XX銀行網(wǎng)絡機房搬遷方案全文共13頁，當前為第13頁。2.2.6第六階段：核心遷移第六階段：1、所有服務器都搬遷完畢后，關閉裸光纖接口。2、在新核心S7506E和匯聚層交換機上啟用三層接口。此時整個網(wǎng)絡的核心從舊機房遷移至新機房。路由驗證：在新