combab出品大型企業(yè)廣域網(wǎng)項(xiàng)目詳細(xì)設(shè)計(jì)方Version2Combat-lab章項(xiàng)目概述支行的三級網(wǎng)，網(wǎng)絡(luò)覆蓋所有營業(yè)網(wǎng)點(diǎn)，從而形北京、上海之間核心骨干網(wǎng)的建設(shè)，將一級骨干網(wǎng)從基于ATM交換的傳輸網(wǎng)絡(luò)廣域網(wǎng)建設(shè)的總體目標(biāo)是，在統(tǒng)籌考慮X行全行業(yè)務(wù)需求和發(fā)展的基礎(chǔ)生產(chǎn)中心及北京備援中心建設(shè)需要，構(gòu)建兩階段一(分行上連北京)物理連通，由于上海中心據(jù)中心的廣域上連，所有生產(chǎn)業(yè)務(wù)從原有階段二(分行上連北京上海)網(wǎng)為兩個(gè)數(shù)據(jù)中心之間生產(chǎn)業(yè)務(wù)36家一級分行完成到上海數(shù)據(jù)中心的廣域上連，生產(chǎn)業(yè)務(wù)(除開發(fā)測試以外)從分行到北京的廣域鏈路切換至分行到上海的廣域鏈路上，實(shí)現(xiàn)階段三(業(yè)務(wù)整合和鏈路優(yōu)化)心為生產(chǎn)運(yùn)行中心，核心北京數(shù)據(jù)中心和上海數(shù)據(jù)中心的廣域鏈路，使網(wǎng)絡(luò)結(jié)構(gòu)趨于完善，原先用于承載辦公業(yè)務(wù)的MGX網(wǎng)技術(shù)及協(xié)議，確保網(wǎng)絡(luò)的開放互連和設(shè)備自身的冗余支持使得整個(gè)架構(gòu)在任意部生產(chǎn)系統(tǒng)和辦公系統(tǒng)數(shù)據(jù)的完整和安全體系實(shí)施的能力，以確保用戶、合作伙伴容量、覆蓋能力等各方面具有易擴(kuò)。高效網(wǎng)絡(luò)管理，網(wǎng)絡(luò)架構(gòu)采用分層模塊化設(shè)計(jì)，同時(shí)配合整體網(wǎng)絡(luò)/系統(tǒng)管應(yīng)用分析中間業(yè)務(wù)系統(tǒng)：支持各類代理業(yè)務(wù)(代繳費(fèi)、代發(fā)工資等)，各類投資業(yè)務(wù)(保險(xiǎn)、證券等)，各類地方性聯(lián)行交換業(yè)務(wù)(同城交換等)。持各類代理業(yè)務(wù)(代繳費(fèi)、代發(fā)工資等)，各類投資業(yè)務(wù)的前置應(yīng)用 (保險(xiǎn)、證券等)，各類地方性聯(lián)行交換業(yè)務(wù)(同城交換等)。記卡受理、國際卡受理)、現(xiàn)金管理系統(tǒng)前置應(yīng)用(CMF)、支付結(jié)算類應(yīng)用(大額支付、跨中心匯兌、漫游匯款、銀行匯票系統(tǒng)、西聯(lián)匯款)。信貸管理系統(tǒng)(CMS)聯(lián)機(jī)類指實(shí)時(shí)交互的應(yīng)用，如ABIS、網(wǎng)上銀行、交換系統(tǒng)等，這類應(yīng)需要在短時(shí)間內(nèi)完成數(shù)據(jù)的傳遞和確部分核心應(yīng)用屬于聯(lián)機(jī)性質(zhì)，部署QoS時(shí)需要給聯(lián)機(jī)應(yīng)用分配較高的優(yōu)先級，并且通過相應(yīng)的QoS機(jī)制保證，如FTP、報(bào)表傳遞等，這類應(yīng)用的特點(diǎn)是時(shí)延，但需確保在一段時(shí)間內(nèi)完成批量類應(yīng)用的保障等級要求較高，一般是非核心的業(yè)務(wù)應(yīng)用，部署QoS給批量應(yīng)用分配較低的優(yōu)先級，通過相應(yīng)的QoS機(jī)制保證批量業(yè)務(wù)的帶在短時(shí)間內(nèi)完成數(shù)據(jù)部分核心應(yīng)用屬于聯(lián)機(jī)性質(zhì)，部署QoS時(shí)需要給聯(lián)機(jī)應(yīng)用分配較高的優(yōu)先級，并且通過相應(yīng)的QoS機(jī)制保證其對于視頻、語音類應(yīng)用，對時(shí)延和抖動非常，如FTP、報(bào)表傳遞等，這類應(yīng)用的特點(diǎn)是時(shí)延，但需確保在一段時(shí)間內(nèi)完成批量類應(yīng)用的保障等級要求較高，一般是非核心的業(yè)務(wù)應(yīng)用，部署QoS給批量應(yīng)用分配較低的優(yōu)先級，通過相應(yīng)的QoS機(jī)制保證批量業(yè)務(wù)的帶京、上海數(shù)據(jù)中心和一級分行所承擔(dān)的職責(zé)中心將成為管理決策中心，上海成為生產(chǎn)運(yùn)行中所有業(yè)務(wù)(生產(chǎn)、辦公)的運(yùn)行中心，也是一級骨干網(wǎng)的接入中心。各一，生產(chǎn)業(yè)務(wù)切換至分行到北京的廣域鏈供任何服務(wù)，各一級分行至上海數(shù)各一級分行將生產(chǎn)業(yè)務(wù)切換至廣域網(wǎng)，辦公業(yè)務(wù)仍然運(yùn)行在MGX網(wǎng)上。部策中心，生產(chǎn)業(yè)務(wù)的備數(shù)據(jù)中心遷移至上海數(shù)據(jù)中心，其他生產(chǎn)業(yè)務(wù)也業(yè)務(wù)。產(chǎn)業(yè)務(wù)的廣域接入中心。上海數(shù)據(jù)據(jù)中心的主要生產(chǎn)業(yè)務(wù)會逐漸搬遷過來，隨著上路切換至上連上海的廣域鏈路仍然運(yùn)行在MGX網(wǎng)上。尚未完成局域網(wǎng)改造的分行開始進(jìn)行局域策中心，同時(shí)也是生產(chǎn)章設(shè)備配置規(guī)定，設(shè)備命名規(guī)則將采用字母與數(shù)字結(jié)城市+大樓+行級+樓層字段名稱字段含義…F(110)，總帶寬為30M。(111)，總帶寬為28M。C：2M(126-129)，4M(117-118、120、122、)，6M(115)，總帶D：2M(130、134、138-140)，4M(124、131、141)，6M(119)，數(shù)量器2器2網(wǎng)管工作站SunFireV490Server2DM2名稱詳細(xì)描述數(shù)量核心骨干路由QuidwayNE80路由器(4端口GBIC光接口線2C網(wǎng)管工作站SunFireV490Server2DM器2C器C器第四章網(wǎng)絡(luò)結(jié)構(gòu)之間的高速數(shù)據(jù)交換，一級骨廣域網(wǎng)建設(shè)初期(階段一、二)，拓?fù)湓O(shè)計(jì)以鏈路冗余可靠為主，一級分行雙鏈路分別上連北京數(shù)據(jù)中心和上海數(shù)據(jù)中心，廣域網(wǎng)建設(shè)后期(階段三)，網(wǎng)絡(luò)已經(jīng)運(yùn)行穩(wěn)定，考慮到核心骨干鏈路的充分利用和一級骨干網(wǎng)的鏈。域網(wǎng)建設(shè)逐步深入，網(wǎng)絡(luò)結(jié)構(gòu)持續(xù)優(yōu)化。網(wǎng)三個(gè)方面，每個(gè)階段的網(wǎng)絡(luò)結(jié)構(gòu)都圍繞這三和辦公網(wǎng)兩部分組成，由于上海中網(wǎng)絡(luò)流量很大，需要使用高速網(wǎng)絡(luò)流量中等，適合采用ATM鏈路技術(shù)。ATM是一種基于虛電路(VC)交換的在單個(gè)物理接口上配置多條VC，特別適用于中心、分支的網(wǎng)絡(luò)在生產(chǎn)網(wǎng)中，核心骨干網(wǎng)2條POS鏈路的帶寬為每條622M(STM-4)，一一級骨干網(wǎng)中，每家分行通過2條等值帶寬的ATM鏈路上連北京數(shù)據(jù)中心，分別用于承載生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量(測試)數(shù)據(jù)。根據(jù)每個(gè)一級分行的實(shí)MM建、上海、河北、四川、天津、黑龍江、遼上海數(shù)據(jù)中心通過高速鏈路互連，形成完整據(jù)中心的互連，一級骨干網(wǎng)結(jié)構(gòu)初投產(chǎn)，所有生產(chǎn)業(yè)務(wù)仍然位于北京數(shù)據(jù)中心，一級分行的生產(chǎn)聯(lián)機(jī)和生產(chǎn)批量(測試)等業(yè)務(wù)通過廣域網(wǎng)直接上連北京上海數(shù)據(jù)中心通過高速鏈路互連，用于兩個(gè)和辦公網(wǎng)兩部分組成，上海中心正中心，一級骨干網(wǎng)中每家一級分行使用4條ATM鏈路上連北京和上海數(shù)據(jù)中據(jù)中心，上連上海數(shù)據(jù)中心的2條ATM鏈路用于承載生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量數(shù)據(jù)，上連北京數(shù)據(jù)中心的鏈路用于承載測試數(shù)據(jù)。每個(gè)一級分行ATM鏈路的帶上海數(shù)據(jù)中心通過高速鏈路互連，形成核心上海數(shù)據(jù)中心的連接，實(shí)現(xiàn)同時(shí)與北京和上海數(shù)發(fā)生改變，一級分行的生產(chǎn)產(chǎn)批量通訊經(jīng)上海數(shù)據(jù)中心到達(dá)北京數(shù)據(jù)上海數(shù)據(jù)中心通過高速鏈路互連，用于兩個(gè)生產(chǎn)網(wǎng)，統(tǒng)一成一個(gè)廣域網(wǎng)。廣域京和上海數(shù)據(jù)中心的鏈路從一級骨干網(wǎng)中，每家分行通過3條(或2條)鏈路上連北京和上海數(shù)據(jù)中心，帶寬總量不變，減少鏈路的帶寬增加至同個(gè)數(shù)據(jù)中心(北京或上海)的剩一級骨干網(wǎng)將對鏈路進(jìn)行優(yōu)化，每個(gè)一級分行的上連鏈路從4條逐步精簡。一級分行的局域網(wǎng)改造工作相對滯后，無法在的要求，因此在廣域網(wǎng)建設(shè)的不同階段制定生產(chǎn)核心區(qū)，通過生產(chǎn)核心區(qū)接入行數(shù)據(jù)中心建設(shè)規(guī)范要機(jī)同時(shí)與生產(chǎn)局域網(wǎng)核心交換機(jī)和冗余策略余能力，通過合理設(shè)計(jì)網(wǎng)絡(luò)拓略的設(shè)計(jì)原則如應(yīng)用運(yùn)行在不同的廣域鏈路上，以充分北京數(shù)據(jù)中心為管理決策中心，所有辦公類業(yè)務(wù)(包括測試)運(yùn)行在上連上海數(shù)據(jù)中心為生產(chǎn)業(yè)務(wù)中心，所有生產(chǎn)類業(yè)務(wù)運(yùn)行在上連上海的廣域鏈路上，與應(yīng)用實(shí)際所在的位置(北京數(shù)據(jù)中心或上海數(shù)據(jù)中心)無關(guān)。故障鏈路上的應(yīng)用能夠迅速切換到其他內(nèi)部的冗余和數(shù)據(jù)中心之間的內(nèi)部查找備份鏈路，如果本中5.1.2拓?fù)淙哂嗖呗?階段一)別承載生產(chǎn)聯(lián)機(jī)和生產(chǎn)批量(測試)等業(yè)務(wù)，業(yè)務(wù)與鏈路的對應(yīng)關(guān)系如下：12(測試)21在網(wǎng)絡(luò)正常條件下，生產(chǎn)聯(lián)機(jī)業(yè)務(wù)運(yùn)行在一級骨干網(wǎng)鏈路一(一級分行到北京數(shù)據(jù)中心鏈路一)上，生產(chǎn)批量(測試)業(yè)務(wù)運(yùn)行在一級骨干網(wǎng)鏈路二 (一級分行到北京數(shù)據(jù)中心的鏈路二)上。當(dāng)一級骨干網(wǎng)鏈路二發(fā)生故障時(shí)，其上承載的生產(chǎn)批量(測試)業(yè)務(wù)切換5.1.3拓?fù)淙哂嗖呗?階段二)試)等業(yè)務(wù)，業(yè)務(wù)與鏈路的對應(yīng)關(guān)系如下：業(yè)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量北京數(shù)據(jù)中心到上12北京數(shù)據(jù)中心到上21業(yè)務(wù)運(yùn)行在核心骨干網(wǎng)鏈路一上，生產(chǎn)批量業(yè)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量測試一級分行到北京342一級分行到北京43112一級分行到上海21在網(wǎng)絡(luò)正常條件下，生產(chǎn)聯(lián)機(jī)業(yè)務(wù)運(yùn)行在一級骨干網(wǎng)鏈路三(一級分行到上海數(shù)據(jù)中心鏈路一)上，生產(chǎn)批量業(yè)務(wù)運(yùn)行在一級骨干網(wǎng)鏈路四(一級分行到上海數(shù)據(jù)中心的鏈路二)上，測試業(yè)務(wù)運(yùn)行在一級骨干網(wǎng)鏈路二(一級分行到北京數(shù)據(jù)中心鏈路二)上，一級骨干網(wǎng)鏈路一(一級分行到北京數(shù)據(jù)中心鏈路一)作為其他鏈路的備份。干網(wǎng)鏈路三發(fā)生故障時(shí)，其上承載的生產(chǎn)聯(lián)四。當(dāng)一級骨干網(wǎng)鏈路四發(fā)生故障時(shí)，其上承載干網(wǎng)鏈路三。如果兩條鏈路均發(fā)生故障，則生產(chǎn)干網(wǎng)鏈路二發(fā)生故障時(shí)，其上承載的測試業(yè)鏈路均發(fā)生故障，不將測試業(yè)務(wù)切換至5.1.4拓?fù)淙哂嗖呗?階段三)公(測試)等業(yè)務(wù)，業(yè)務(wù)與鏈路的對應(yīng)關(guān)系如下：業(yè)務(wù)類型業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)辦公線路序號生產(chǎn)批量測試北京數(shù)據(jù)中心到上12北京數(shù)據(jù)中心到上21、生產(chǎn)批量業(yè)務(wù)運(yùn)行在核心骨干網(wǎng)鏈路一上，辦公(測試)業(yè)務(wù)運(yùn)行在核心骨干網(wǎng)鏈路二上。當(dāng)核心骨干網(wǎng)鏈路二發(fā)生故障時(shí)，其上承載的辦公(測試)業(yè)務(wù)切換至核(3條鏈路)(2條鏈路)注：階段三中，一級骨干網(wǎng)鏈路可能經(jīng)歷兩次調(diào)整，廣域網(wǎng)鏈路從3條減一級骨干網(wǎng)中每個(gè)一級分行由3條(或2條)ATM鏈路構(gòu)成，分別承載生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量和辦公、測試等業(yè)務(wù)，在3條鏈路情況下，業(yè)務(wù)與鏈路的對業(yè)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量辦公(測一級分行到北京數(shù)據(jù)331一級分行到上海數(shù)據(jù)122業(yè)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)辦公(測一級分行到北京數(shù)據(jù)21一級分行到上海數(shù)據(jù)12、生產(chǎn)批量業(yè)務(wù)運(yùn)行在上連上海數(shù)據(jù)中心的廣域鏈路上，辦公(測試)業(yè)務(wù)運(yùn)行在上連北京數(shù)據(jù)中心的廣域鏈路上。上連上海數(shù)據(jù)中心的廣域鏈路發(fā)生故障時(shí)(如果本中心內(nèi)沒有冗余鏈路)，其上承載的生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量業(yè)務(wù)切換至上連北京數(shù)據(jù)中心的廣域鏈上連北京數(shù)據(jù)中心的廣域鏈路發(fā)生故障時(shí)(如果本中心內(nèi)沒有冗余鏈路)，其上承載的辦公(測試)業(yè)務(wù)切換至上連上海數(shù)據(jù)中心的廣域鏈路上。策略的重要組成部分，它們的設(shè)計(jì)原則分行與北京數(shù)據(jù)中心(上海數(shù)據(jù)中心)的兩條鏈路必須由2家運(yùn)營商提5.2.2運(yùn)營商、設(shè)備、板卡冗余策略階段一、二、三(核心骨干網(wǎng))核心骨干網(wǎng)所使用的設(shè)備為4臺NE80路由器，關(guān)鍵部件都提供了冗余備鏈路)，另一塊為備用板卡，當(dāng)主用板卡出現(xiàn)故障時(shí)，可以人工將POS鏈5.2.3運(yùn)營商、設(shè)備、板卡冗余策略階段一、二(一級骨干網(wǎng))某個(gè)數(shù)據(jù)中心的一級骨干網(wǎng)鏈路全部中一級骨干網(wǎng)所使用的設(shè)備包括NE80(北京和上海數(shù)據(jù)中心、一級分行)和NE40(一級分行)路由器，關(guān)鍵部件都提供了冗余備份。每塊接入18家一級分行。單塊板卡故障只影響一半分行單條鏈路的連通性，5.2.4運(yùn)營商、設(shè)備、板卡冗余策略階段三(一級骨干網(wǎng))(3條鏈路)(2條鏈路)一級骨干網(wǎng)中每家一級分行使用3條(或2條)ATM鏈路上連北京和上海和SP2提供。單個(gè)運(yùn)營商鏈路的故障(如SP2)不會導(dǎo)致一級骨干網(wǎng)鏈路一級骨干網(wǎng)所使用的設(shè)備包括NE80(北京和上海數(shù)據(jù)中心、一級分行)和NE40(一級分行)路由器，關(guān)鍵部件都提供了冗余備份。，否則會出現(xiàn)其中一臺路由器沒有任何ATM接入的情況。北京數(shù)據(jù)中心一級調(diào)整后布局如下(與北京數(shù)據(jù)中心的板卡布局完全相同)：北京數(shù)據(jù)中心(上海數(shù)據(jù)中心)一級骨干路由器板卡布局經(jīng)過調(diào)整后，布下，通過主板卡上連，主板卡故障時(shí)，可以將ATM鏈路人工遷移到備用板路由策略通訊提供最佳路徑，路由協(xié)議選擇放性，支持不同廠商設(shè)備的能力，能夠支持網(wǎng)絡(luò)規(guī)模的持續(xù)增過調(diào)整路由策略，可以實(shí)現(xiàn)數(shù)據(jù)分基于以上三點(diǎn)選擇原則，廣域網(wǎng)建設(shè)宜采用BGP+OSPF的雙層路由體系，BGP、OSPF都是IETF制定的通用路由協(xié)議，具備良好的擴(kuò)展能力，而且結(jié)合支持豐富的路由屬性，能夠?qū)崿F(xiàn)靈活的路由策6.1.2路由協(xié)議部署(階段一、二)由器與上海中心的核心骨干路器與一級分行的一級骨干路F廣域區(qū)的BGP用于交換實(shí)際的業(yè)務(wù)路由(生產(chǎn)聯(lián)機(jī)、批量、測試等)，廣括廣域區(qū)的所有設(shè)備(路由器和交換機(jī))。6.1.3路由協(xié)議部署(階段三)由器與上海中心的核心骨干路器與一級分行的一級骨干路eBGP鄰居關(guān)系，相互交換生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、辦公、測試路F廣域區(qū)的BGP用于交換實(shí)際的業(yè)務(wù)路由(生產(chǎn)聯(lián)機(jī)、批量、辦公、測試由邊界包括廣域區(qū)的所有設(shè)備(路由器和交換機(jī))。公使用OSPF200進(jìn)程。廣域區(qū)交換機(jī)為局域網(wǎng)與廣域網(wǎng)的路由邊界點(diǎn)，負(fù)責(zé)(測試)路由，包括本中心和分行的路由。級骨干路由器之間相互發(fā)布行之間不會互相學(xué)到生產(chǎn)路由，分行也分行一級骨干路由器之間相互發(fā)布不會互相學(xué)到生產(chǎn)路由，分行也不會成PP業(yè)務(wù)業(yè)務(wù)類型生產(chǎn)聯(lián)機(jī)生產(chǎn)批量測試(LP3)400(LP4)中心鏈路一(LP5)中心鏈路二(LP6)500中心鏈路一(LP1)600中心鏈路二(LP2)廣域區(qū)在發(fā)布本地路由時(shí)會使用Community標(biāo)識路由的類別，通過Community可以簡化路由的識別過程，路由策略可以直接調(diào)用Community屬針對實(shí)際的路由分布情況，我們采用兩級Community結(jié)構(gòu)，第一級為行級二級為業(yè)務(wù)類型Community，前兩個(gè)字節(jié)表示路由類別(生產(chǎn)、辦公、廣域tymmunity業(yè)務(wù)類型業(yè)務(wù)類型二級Community201:2202:1tyommunity和辦公(測試)路由，包括本中心和分行的路由。級骨干路由器之間相互發(fā)布生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、辦公(測試)路由，北京數(shù)據(jù)中心發(fā)布北京和上海數(shù)據(jù)行只發(fā)布本行的生產(chǎn)和辦公路由，保證以學(xué)到所有的辦公路由，分行也不會成分行一級骨干路由器之間相互發(fā)布只發(fā)布本行的生產(chǎn)和辦公路由，保證分行之間不學(xué)到所有的辦公路由，分行也不會成為中轉(zhuǎn)區(qū)測試(LP3) (LP4)北京數(shù)據(jù)200100500600中心鏈路二(LP6)海數(shù)據(jù)600500100中心鏈路一(LP1)0600200中心鏈路二(LP2) (LP4) 北京數(shù)據(jù)200100500600中心鏈路二(LP6)海數(shù)據(jù)600500100中心鏈路一(中心鏈路一(LP1)(2條鏈路)針對實(shí)際的路由分布情況，我們采用兩級Community結(jié)構(gòu)，第一級為行級二級為業(yè)務(wù)類型Community，前兩個(gè)字節(jié)表示路由類別(生產(chǎn)、辦公、廣域tymmunity業(yè)務(wù)類型二級CommunitytytyAreaAreaIDwork(北京、上海數(shù)據(jù)中心)AreaAreaID廣域區(qū)交換機(jī)一到10P2P廣域區(qū)交換機(jī)一到10P2P(一級分行)考慮到安全因素，OSPF鄰居間使用MD5(MessageDigest)認(rèn)證，以保證iBGP務(wù)路廣域區(qū)主要設(shè)備(包括廣域區(qū)交換機(jī)和核心、一級骨干路由器)之間建立域網(wǎng)區(qū)，可以將廣域區(qū)交換機(jī)設(shè)置為路由反射端，通過路由反射器與核心或一級骨干路由在廣域區(qū)交換機(jī)上需要將局域網(wǎng)路由導(dǎo)入iBGP，并設(shè)置相應(yīng)的Community業(yè)務(wù)類型業(yè)務(wù)類型網(wǎng)段Community交換機(jī)一LP交換機(jī)二LP生產(chǎn)聯(lián)機(jī)65000:0800700生產(chǎn)批量65000:0800700測試65000:0800700(北京數(shù)據(jù)中心)業(yè)務(wù)類型網(wǎng)段業(yè)務(wù)類型網(wǎng)段測試65000:0800700網(wǎng)管網(wǎng)段65000:0800700生產(chǎn)其他65000:0800700(上海數(shù)據(jù)中心)業(yè)務(wù)業(yè)務(wù)類型網(wǎng)段Community交換機(jī)一交換機(jī)二LPLP65002:199(一級分行)AreaAreaIDworkP2PP2PP2PP2PP2PP2P一級骨干路由器二P2P(北京、上海數(shù)據(jù)中心)AreaAreaIDwork(一級分行)考慮到安全因素，OSPF鄰居間使用MD5(MessageDigest)認(rèn)證，以保證iBGP務(wù)路廣域區(qū)主要設(shè)備(包括廣域區(qū)交換機(jī)和核心、一級骨干路由器)之間建立網(wǎng)區(qū)，可以將廣域區(qū)交換機(jī)設(shè)置為路由反射端，通過路由反射器與核心或一級骨干路由在廣域區(qū)交換機(jī)上需要將局域網(wǎng)路由導(dǎo)入iBGP，并設(shè)置相應(yīng)的Community業(yè)務(wù)類型業(yè)務(wù)類型網(wǎng)段Community交換機(jī)一LP交換機(jī)二LP生產(chǎn)聯(lián)機(jī)65000:0800700生產(chǎn)批量65000:080070065002:200065000:0700800(北京數(shù)據(jù)中心)業(yè)務(wù)類型網(wǎng)段業(yè)務(wù)類型網(wǎng)段(上海數(shù)據(jù)中心)065002:2990業(yè)務(wù)類型網(wǎng)段Community交換機(jī)一交換機(jī)二LPLP生產(chǎn)聯(lián)機(jī)65000:1800700生產(chǎn)批量65000:1800700測試65000:1800700運(yùn)行管理65000:180070065002:29900(一級分行)再發(fā)布。在廣域網(wǎng)交換機(jī)上將iBGP中生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量、測試路由導(dǎo)入交換機(jī)二生產(chǎn)其他65001:1交換機(jī)二Cost00/100辦公其他65001:1流量工程、生產(chǎn)批量、測試等，各應(yīng)用的流量分中心的廣域鏈路一，生產(chǎn)批量、測據(jù)中心的廣域鏈路二，在鏈路故障情況下，兩條、生產(chǎn)批量、測試等，各應(yīng)用的流量分中心的廣域鏈路一，生產(chǎn)批量經(jīng)過域鏈路二，再經(jīng)過核心骨干鏈路二到達(dá)北京數(shù)據(jù)到北京數(shù)據(jù)中心的廣域鏈路二，一級分行到北京機(jī)、生產(chǎn)批量、辦公、測試等，各應(yīng)用的(3條鏈路流量分布圖)況下，生產(chǎn)聯(lián)機(jī)流量經(jīng)過一級分行到上海數(shù)據(jù)中心海數(shù)據(jù)中心的廣域鏈路二，再經(jīng)過測試流量經(jīng)過一級分行到北京數(shù)據(jù)況下，生產(chǎn)聯(lián)機(jī)、生產(chǎn)批量流量經(jīng)過一級分行到上生產(chǎn)批量再經(jīng)過核心骨干鏈路二到達(dá)北京數(shù)據(jù)中級分行到北京數(shù)據(jù)中心的廣域鏈路二，在鏈路故障據(jù)，根據(jù)這些應(yīng)用的重要性和帶寬消優(yōu)先級Class運(yùn)行管理數(shù)據(jù)流高EF101110高FF011-010F010-010F001-010其他低BE000000、生產(chǎn)批量、辦公、測試等業(yè)務(wù)運(yùn)行在各自上，多種業(yè)務(wù)之間便可能形成帶寬競爭。為了確，某些業(yè)務(wù)切換到備份鏈路上后，依然能夠得到內(nèi)部使用1000M以太網(wǎng)互連，通常情況下不會產(chǎn)生擁塞，因此可以在核心骨干和一級骨干路由器的廣域接口上使用CBQ和WRED技術(shù)，通過廣域鏈路用于QoS分配的帶寬比例設(shè)置為物理帶寬的90%，核心骨干網(wǎng)2例622M鏈路型制MM機(jī)務(wù)量型制機(jī)務(wù)量(分行到上海數(shù)據(jù)中心的線路一、二帶寬分配)型制機(jī)務(wù)量(分行到北京數(shù)據(jù)中心的線路一、二帶寬分配)內(nèi)部使用1000M以太網(wǎng)互連，通常情況下不會產(chǎn)生擁塞，因此可以在核心骨干和一級骨干路由器的廣域接口上使用CBQ和WRED技術(shù)，通過廣域鏈路用于QoS分配的帶寬比例設(shè)置為物理帶寬的90%，核心骨干網(wǎng)2例622M鏈路型制機(jī)務(wù)量測試型路網(wǎng)絡(luò)控5%180K360K540K制制機(jī)4320K務(wù)量2700K2160K60KK(分行到上海數(shù)據(jù)中心的線路一帶寬分配)型路網(wǎng)絡(luò)控5%180K360K540K制機(jī)4320K務(wù)量2700K2160K測試60KK(分行到北京數(shù)據(jù)中心的線路二帶寬分配)第八章網(wǎng)絡(luò)安全設(shè)備，防止非授權(quán)用戶對網(wǎng)絡(luò)設(shè)備的惡意ACL的方式實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全防護(hù)，防止不信任應(yīng)用之間的安全防護(hù)，還需要通過安全專用設(shè)備(防火墻、IDS等)結(jié)合的方式，集中認(rèn)證為主要認(rèn)證在集中認(rèn)證服務(wù)器無法訪問的情況下使用本設(shè)備的統(tǒng)一管理。同時(shí)在設(shè)備上建立本地用戶數(shù)eTELNET理的主要手段，可以對設(shè)備進(jìn)行最為有效的操(1)設(shè)置最大會話連接數(shù)；(3)盡量用SSH代替TELNET，采用SSH的好處是所有信息以加密的形式(1)避免使用缺省的snmpcommunity，設(shè)置高質(zhì)量的口令；(2)不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；(4)配置ACL來限制能夠通過SNMP訪問網(wǎng)絡(luò)設(shè)備的網(wǎng)管服務(wù)器的IP地記錄，需要記錄網(wǎng)絡(luò)設(shè)備的運(yùn)(1)收集網(wǎng)絡(luò)設(shè)備的SYSLOG；(2)設(shè)置SYSLOGServer(通常位于網(wǎng)管工作站上)用于收集所有網(wǎng)絡(luò)設(shè)(3)所有的SYSLOG可以送到專門的事件管理服務(wù)器上，進(jìn)行事件的壓。(4)收集SNMPTrap，通過網(wǎng)管工作站收集網(wǎng)絡(luò)設(shè)備的SNMPTrap信息，(5)收集用戶操作記錄，通過AAA服務(wù)器，對用戶進(jìn)行認(rèn)證、授權(quán)和行為建立和路由信息的安全交換，廣域(1)BGP路由驗(yàn)證(必要)(2)OSPF路由驗(yàn)證(必要)在廣域區(qū)交換機(jī)與局域網(wǎng)相連上應(yīng)用入方向的ACL訪問控制，只允許運(yùn)行管理區(qū)的特定主機(jī)可以訪問廣域區(qū)設(shè)備運(yùn)行在OSPF300中，缺省情況下，局域網(wǎng)是無法學(xué)到OSPF無從訪問廣域網(wǎng)設(shè)備。但是運(yùn)行管理區(qū)可能需要訪問廣域區(qū)設(shè)備，如果將OSPF300再發(fā)布至局域網(wǎng)，應(yīng)該確保除運(yùn)行管理區(qū)通過路由保證各