1、XX銀行網絡機房搬遷方案第 15 頁目錄一、需求分析31.1 當前拓撲分析31.2 新拓撲設計51.3 搬遷方案核心思想6二、實施方案及應急預案72.1 搬遷總原則72.2 整體搬遷方案72.2.1 第一階段：線路準備72.2.2 第二階段：新機房設備上架92.2.3 第三階段：裸光纖二層透傳102.2.4 第四階段：服務器搬遷及線路割接112.2.5 第五階段：主線路割接132.2.6 第六階段：核心遷移142.2.7 第七階段：網絡整體調整14一、需求分析1.1 當前拓撲分析XX銀行網絡拓撲（改造前）目前，XX銀行的網絡包括兩臺華為S8505交換機作為分行核心交換機，所有的VLAN的網關都

2、設置在這兩臺交換機上。S8505之間使用千兆以太網通道互聯。下掛8臺樓層交換機，分別作為分行營業廳、分行前置服務器群、分行辦公生產網的接入交換機，每臺接入交換機只有單條上行線路。在上聯區，通過一臺思科3745與華為NE16路由器上聯總行，上聯線路包括兩條電信2M SDH線路。在上聯路由器與核心交換機之間還串聯了兩臺防火墻，該防火墻與核心交換機交叉連接，運行在透明模式下，總行網絡處在INSIDE范圍內，分行及支行網絡處在OUTSIDE范圍內。在下聯區，使用兩臺華為NE16路由器作為下聯路由器與分行核心交換機交叉連接，共使用兩條線路，分別為電信的2M SDH和64K DDN線路。在支行網絡中，使用

3、一臺華為AR2831與分行兩臺下聯路由器相連，下掛兩臺辦公及業務交換機。在外聯區，使用一臺AR2831與外聯單位連接，在外聯路由器與核心交換機之間還串聯了兩臺防火墻，在兩臺防火墻上做NAT地址轉換。XX銀行路由示意圖目前，XX銀行范圍內全部使用OSPF路由協議，分行作為OSPF區域0，各支行作為區域N，并且在上聯總行的兩臺路由器上運行BGP與OSPF路由協議并進行重分布。在外聯區，使用靜態路由與外聯單位連接。1.2 新拓撲設計新拓撲設計示意圖根據XX銀行的具體需求與總行下發的網絡建設指導規范，我司對的網絡做了如下更改：1、在分行核心交換區使用兩臺H3C S7506E交換機取代現有的華為S850

4、5交換機，兩臺S7506E配備有防火墻模塊，使用虛擬防火墻技術，能對每個功能分區提供有效的保護。并且在兩臺S7506E之間使用H3C獨有的IRF2智能彈性架構技術，將兩臺核心交換機虛擬成一臺核心交換機，簡化網絡拓撲結構與配置，提高網絡的冗余度與高可用性。2、原核心交換機S8505作為分行辦公生產網的匯聚層交換機，與新核心交換機之間呈口字型結構，下掛各樓層交換機。各樓層交換機使用雙上行鏈路與匯聚層交換機S8505連接。使用H3C S3600系列交換機取代原有的樓層交換機。3、在服務器區使用H3C S5500系列交換機取代原有的交換機。S5500交換機支持H3C獨有的IRF2智能彈性架構技術，可以

5、將兩臺交換機虛擬成一臺交換機，簡化網絡拓撲結構與配置，提高網絡的冗余度與高可用性。這樣，在服務器區匯聚層交換機與核心交換機之間就沒有形成2層環路，不存在生成樹問題了。4、在上聯區，取消兩臺防火墻，直接使用核心交換機的防火墻模塊。使用思科3845取代原有的上聯NE16路由器。兩臺上聯路由器與核心交換機之間使用交叉連接，提高網絡冗余度。5、在下聯區，使用兩臺H3C MSR5060取代原有的兩臺NE16，并且將下聯線路全部更換為2M MSTP線路。6、在支行網絡新增一臺MSR3020路由器，按的需求，辦公與業務同等重要，因此將辦公與業務交換機設計兩個網絡出口，以提高線路冗余性和利用率。7、在外聯區，

6、使用下聯區淘汰下來的NE16作為新的外聯路由器， 新增一臺外聯交換機用于連接兩臺外聯路由器和防火墻。8、整體路由設計不變，依然維持舊路由設計。1.3 搬遷方案核心思想此次搬遷采用租用裸光纖的形式，在新大樓與舊大樓之間建立起2層透傳的通道。新大樓與舊大樓同屬一個局域網，因此可以使用原有的IP地址。在搬遷過程中，新大樓的網關依然在舊大樓的兩臺核心交換機上。等所有服務器及各條線路都遷移完成后，再斷開裸光纖，啟用新大樓的三層地址，至此整個網絡平滑過渡到新大樓內。同時為了確保整個實施過程萬無一失，在搬遷過程中，舊大樓的網絡設備都不下架。在新大樓新增新的一套網絡設備，通過在舊大樓關閉一個區域，同時在新大樓

7、啟用該區域來實現平滑過渡。在新機房順利運行一段時間后，再將舊機房原有的核心交換機搬遷至新機房作為樓層匯聚層交換機，舊機房下聯路由器作為新機房外聯路由器。二、實施方案及應急預案2.1 搬遷總原則l 平滑過渡、停機時間短，風險可控l 在最短的時間內完成，不超過兩天l 方案實施簡單，具備可操作性l 在新舊機房都有設備作為相互硬件備份2.2 整體搬遷方案2.2.1 第一階段：線路準備第一階段：1、在新機房準備好兩條上聯總行的線路、下聯支行的電信2M SDH線路及聯通2M MSTP線路以及到達各外聯單位的6條線路，線路類型及接口規劃如下：序號線路類型接口類型運營商備注1上聯總行線路1ATM/LC電信2上

8、聯總行線路2ATM/LC聯通3下聯閩都支行線路1SDH/BNC電信4下聯閩都支行線路2MSTP/以太網聯通5下聯鼓樓支行線路1SDH/BNC電信6下聯鼓樓支行線路2MSTP/以太網聯通7下聯華林支行線路1SDH/BNC電信8下聯華林支行線路2MSTP/以太網聯通9下聯閩江支行線路1SDH/BNC電信10下聯閩江支行線路2MSTP/以太網聯通11下聯晉安支行線路1SDH/BNC電信12下聯晉安支行線路2MSTP/以太網聯通13下聯福清支行線路1SDH/BNC電信14下聯福清支行線路2MSTP/以太網聯通15下聯離行阿波羅離行atm線路MSTP/以太網口聯通16下聯離行景城酒店atm線路MSTP/

9、以太網聯通17外聯銀監局線路SDH/BNC電信18外聯人行主線SDH/BNC電信19外聯POLICESDH/BNC電信20外聯銀聯主線SDH/BNC電信21外聯銀聯備線SDH/BNC聯通22外聯人行備線SDH/BNC聯通23下聯廈門辦事處SDH/BNC24下聯泉州辦事處SDH/BNC2、在新、舊機房準備好裸光纖線路，使用雙運營商預防單線路風險。風險時間：無。應急預案：無需。2.2.2 第二階段：新機房設備上架第二階段：1、 新大樓核心上架。包括兩臺核心交換機、兩臺上聯路由器、6臺服務器區交換機、15臺樓層交換機、2臺下聯路由器。由于按原規劃設計，在樓層交換機與核心交換機之間還是用匯聚交換機，該

10、匯聚交換機由舊機房核心交換機S8505來充當。由于S8505需等到新機房平穩運行一段時間后再搬遷，因此在過渡期間將兩臺樓層交換機替代S8505作為匯聚層交換機，其他樓層交換機與這兩臺交換機互聯。另外在新大樓外聯區，由于此次XX并未采購外聯區路由器，設計上是使用舊機房的下聯路由器NE16來作為新機房的外聯路由器，因此在過渡期間，將借用集成商的7206路由器和8E1卡。此外，業務測試區將直接采用新采購的S3600交換機作為業務測試區的接入設備，通過該交換機直接與核心交換機相連。2、 在上聯路由器及下聯路由器上配置好路由，核心交換機配置好IRF2智能彈性架構技術及互聯VLAN，匯聚交換機配置好二層及

11、三層服務區VLAN。3、 啟用核心交換機互聯三層VLAN，IP使用和舊機房一樣的IP。驗證完路由沒有問題后，SHUTDOWN互聯三層VLAN以及服務器區三層VLAN、兩臺下聯路由器內聯口、上聯路由器C3845內聯口。核心交換/匯聚交換機之間的鏈路改成TRUNK。風險時間：無。應急預案：無需。2.2.3 第三階段：裸光纖二層透傳第三階段：在新舊機房間拉兩條裸光纖分別連接S7506E和S8505，捆綁成PORT-CHANNEL并配置成TRUNK。裸光纖采用兩個運營商的線路，并且捆綁起來使用，提高網絡的高可用性。這樣在新舊機房之間就建立起了純2層的連接。風險時間：無。應急預案：無需。2.2.4 第四

12、階段：服務器搬遷及線路割接第四階段：1、遷移所有服務器。由于當前業務及辦公客戶端與服務器在同一個VLAN并使用同一個網段，與未來分區化管理相沖突，因此在此次搬遷中，將服務器臨時接入到樓層交換機中。調整完服務器IP及網關后再重新連接至相對應的服務分區。2、遷移上聯總行備線至新機房。當線路遷移測試成功后，關閉舊機房上聯NE16以太網口，啟用新機房3845以太網口。舊機房上聯NE16不下架，作為備機使用。3、遷移泉州分行及支行備線至新機房MSR5060。如果泉州分行在福州機房搬遷后實施，那么就可以直接接入新機房。如果泉州分行在福州機房搬遷前實施，那么泉州分行的線路就必須接入到舊機房，然后在搬遷中和支

13、行線路一起搬遷。此次支行線路將新增一條聯通2M MSTP線路及電信2M MSTP線路。電信線路可能由于運營商線路資源不足，無法同時保留原有SDH并新增MSTP。因此在搬遷中將先使用電信原有SDH線路并新增聯通2M MSTP線路。聯通2M MSTP線路由于是新增線路，可以事先在新機房和各支行調通。調試IP使用臨時ip，并且將MSTP網線接入到支行路由器上。在機房搬遷中，通過SDH線路登陸到支行路由器，關閉DDN線路并同時啟用聯通MSTP線路，IP沿用DDN線路使用的IP。將來電信線路升級時，電信2M MSTP將接入到新采購的MSR3020路由器上。當所有支行DDN線路割接成聯通2M MSTP后，

14、關閉下聯區NE16-Q2以太網口。同時啟用新機房下聯MSR5060以太網口。4、 遷移四條外聯主線路至新機房外聯區。舊機房外聯區設備不動，關閉以太網接口，作為硬件備份。新機房外聯區交換機與防火墻都使用新設備。路由驗證：在舊機房核心交換機上查看當前的路由是否與預期的一致。具體操作內容將在測試文檔中體現。風險及應急預案：這個階段的風險主要包括下聯線路、上聯線路、外聯線路的割接風險。如果哪個分區的線路割接出現問題，由于在舊機房相應分區的硬件依然保留，將可以直接通過割接線路回退至舊機房。2.2.5 第五階段：主線路割接第五階段：1、割接舊機房上聯主線路至新機房。當上聯線路割接完畢后，立即關閉舊機房上聯

15、路由器3745以太網口，同時啟用新機房上聯路由器3845Q1以太網口。2、遷移舊機房下聯泉州分行及支行主線路至新機房。線路依然使用電信SDH線路，支行電信SDH線路改MSTP線路并且網絡架構做相應調整等到機房搬遷完畢后再實施。風險提示：此時所有流量會先到舊核心S8505再返回至新核心。路由驗證：在舊機房核心交換機上查看當前的路由是否與預期的一致。具體操作內容將在測試文檔中體現。風險及應急預案：此時新機房所有VLAN的網關依然在舊機房兩臺核心交換機上。新機房的所有流量都會經過裸光纖到達舊機房核心交換機上，由于裸光纖采用了雙運營商雙線路，因此這樣的線路風險可以忽略，并且將在下一階段將整個網絡的核心移至新機房中。2.2.6 第六階段：核心遷移第六階段： 1、所有服務器都搬遷完畢后，關閉裸光纖接口。2、在新核心S7506E和匯聚層交換機上啟用三層接口。此時整個網絡的核心從舊