XX银行网络机房搬迁方案.doc

1、第 1 页 XX 银行网络机房搬迁方案 第 2 页 目录 一、需求分析 3 1.1 当前拓扑分析 .3 1.2 新拓扑设计 .5 1.3 搬迁方案核心思想 .6 二、实施方案及应急预案 7 2.1 搬迁总原则 .7 2.2 整体搬迁方案 .7 2.2.1 第一阶段：线路准备 7 2.2.2 第二阶段：新机房设备上架 9 2.2.3 第三阶段：裸光纤二层透传 10 2.2.4 第四阶段：服务器搬迁及线路割接 11 2.2.5 第五阶段：主线路割接 13 2.2.6 第六阶段：核心迁移 14 2.2.7 第七阶段：网络整体调整 14 第 3 页 一、需求分析 1.1 当前拓扑分析 XX 银行网络拓

2、扑（改造前） 目前，XX 银行的网络包括两台华为 S8505 交换机作为分行核心交换机， 所有的 VLAN 的网关都设置在这两台交换机上。S8505 之间使用千兆以太网通 道互联。下挂 8 台楼层交换机，分别作为分行营业厅、分行前置服务器群、分 行办公生产网的接入交换机，每台接入交换机只有单条上行线路。在上联区， 通过一台思科 3745 与华为 NE16 路由器上联总行，上联线路包括两条电信 2M SDH 线路。在上联路由器与核心交换机之间还串联了两台防火墙，该防火墙与 核心交换机交叉连接，运行在透明模式下，总行网络处在 INSIDE 范围内，分 行及支行网络处在 OUTSIDE 范围内。在下

3、联区，使用两台华为 NE16 路由器 作为下联路由器与分行核心交换机交叉连接，共使用两条线路，分别为电信的 2M SDH 和 64K DDN 线路。在支行网络中，使用一台华为 AR2831 与分行两台 下联路由器相连，下挂两台办公及业务交换机。在外联区，使用一台 AR2831 第 4 页 与外联单位连接，在外联路由器与核心交换机之间还串联了两台防火墙，在两 台防火墙上做 NAT 地址转换。 XX 银行路由示意图 目前，XX 银行范围内全部使用 OSPF 路由协议，分行作为 OSPF 区域 0， 各支行作为区域 N，并且在上联总行的两台路由器上运行 BGP 与 OSPF 路由协 议并进行重分布。

4、在外联区，使用静态路由与外联单位连接。 第 5 页 1.2 新拓扑设计 新拓扑设计示意图 根据 XX 银行的具体需求与总行下发的网络建设指导规范，我司对的网络 做了如下更改： 1、在分行核心交换区使用两台 H3C S7506E 交换机取代现有的华为 S8505 交换机，两台 S7506E 配备有防火墙模块，使用虚拟防火墙技术，能对每个功 能分区提供有效的保护。并且在两台 S7506E 之间使用 H3C 独有的 IRF2 智能 弹性架构技术，将两台核心交换机虚拟成一台核心交换机，简化网络拓扑结构 与配置，提高网络的冗余度与高可用性。 2、原核心交换机 S8505 作为分行办公生产网的汇聚层交换机

5、，与新核心交 换机之间呈口字型结构，下挂各楼层交换机。各楼层交换机使用双上行链路与 汇聚层交换机 S8505 连接。使用 H3C S3600 系列交换机取代原有的楼层交换机。 3、在服务器区使用 H3C S5500 系列交换机取代原有的交换机。S5500 交换 机支持 H3C 独有的 IRF2 智能弹性架构技术，可以将两台交换机虚拟成一台交 第 6 页 换机，简化网络拓扑结构与配置，提高网络的冗余度与高可用性。这样，在服 务器区汇聚层交换机与核心交换机之间就没有形成 2 层环路，不存在生成树问 题了。 4、在上联区，取消两台防火墙，直接使用核心交换机的防火墙模块。使用 思科 3845 取代原有

6、的上联 NE16 路由器。两台上联路由器与核心交换机之间使 用交叉连接，提高网络冗余度。 5、在下联区，使用两台 H3C MSR5060 取代原有的两台 NE16，并且将下 联线路全部更换为 2M MSTP 线路。 6、在支行网络新增一台 MSR3020 路由器，按的需求，办公与业务同等重 要，因此将办公与业务交换机设计两个网络出口，以提高线路冗余性和利用率。 7、在外联区，使用下联区淘汰下来的 NE16 作为新的外联路由器， 新增 一台外联交换机用于连接两台外联路由器和防火墙。 8、整体路由设计不变，依然维持旧路由设计。 1.3 搬迁方案核心思想 此次搬迁采用租用裸光纤的形式，在新大楼与旧大

7、楼之间建立起 2 层透传 的通道。新大楼与旧大楼同属一个局域网，因此可以使用原有的 IP 地址。在搬 迁过程中，新大楼的网关依然在旧大楼的两台核心交换机上。等所有服务器及 各条线路都迁移完成后，再断开裸光纤，启用新大楼的三层地址，至此整个网 络平滑过渡到新大楼内。 同时为了确保整个实施过程万无一失，在搬迁过程中，旧大楼的网络设备 都不下架。在新大楼新增新的一套网络设备，通过在旧大楼关闭一个区域，同 时在新大楼启用该区域来实现平滑过渡。 在新机房顺利运行一段时间后，再将旧机房原有的核心交换机搬迁至新机 房作为楼层汇聚层交换机，旧机房下联路由器作为新机房外联路由器。 第 7 页 二、实施方案及应急

8、预案 2.1 搬迁总原则 平滑过渡、停机时间短，风险可控 在最短的时间内完成，不超过两天 方案实施简单，具备可操作性 在新旧机房都有设备作为相互硬件备份 2.2 整体搬迁方案 2.2.1 第一阶段：线路准备 第一阶段： 1、在新机房准备好两条上联总行的线路、下联支行的电信 2M SDH 线路及联 通 2M MSTP 线路以及到达各外联单位的 6 条线路，线路类型及接口规划如下： 序号 线路类型 接口类型 运营商 备注 第 8 页 1 上联总行线 路 1 ATM/LC 电信 2 上联总行线 路 2 ATM/LC 联通 3 下联闽都支 行线路 1 SDH/BNC 电信 4 下联闽都支 行线路 2

9、MSTP/以太 网 联通 5 下联鼓楼支 行线路 1 SDH/BNC 电信 6 下联鼓楼支 行线路 2 MSTP/以太 网 联通 7 下联华林支 行线路 1 SDH/BNC 电信 8 下联华林支 行线路 2 MSTP/以太 网 联通 9 下联闽江支 行线路 1 SDH/BNC 电信 10 下联闽江支 行线路 2 MSTP/以太 网 联通 11 下联晋安支 行线路 1 SDH/BNC 电信 12 下联晋安支 行线路 2 MSTP/以太 网 联通 13 下联福清支 行线路 1 SDH/BNC 电信 14 下联福清支 行线路 2 MSTP/以太 网 联通 15 下联离行阿 波罗离行 atm 线路 M

10、STP/以太 网口 联通 16 下联离行景 城酒店 atm 线路 MSTP/以太 网 联通 17 外联银监局 线路 SDH/BNC 电信 18 外联人行主 线 SDH/BNC 电信 19 外联 POLICE SDH/BNC 电信 20 外联银联主 线 SDH/BNC 电信 21 外联银联备 线 SDH/BNC 联通 第 9 页 22 外联人行备 线 SDH/BNC 联通 23 下联厦门办 事处 SDH/BNC 24 下联泉州办 事处 SDH/BNC 2、在新、旧机房准备好裸光纤线路，使用双运营商预防单线路风险。 风险时间：无。 应急预案：无需。 2.2.2 第二阶段：新机房设备上架 第二阶段：

11、 1、新大楼核心上架。包括两台核心交换机、两台上联路由器、6 台服务器区交 换机、15 台楼层交换机、2 台下联路由器。由于按原规划设计，在楼层交换 机与核心交换机之间还是用汇聚交换机，该汇聚交换机由旧机房核心交换机 S8505 来充当。由于 S8505 需等到新机房平稳运行一段时间后再搬迁，因此 在过渡期间将两台楼层交换机替代 S8505 作为汇聚层交换机，其他楼层交换 机与这两台交换机互联。 第 10 页 另外在新大楼外联区，由于此次 XX 并未采购外联区路由器，设计上是使用 旧机房的下联路由器 NE16 来作为新机房的外联路由器，因此在过渡期间， 将借用集成商的 7206 路由器和 8E

12、1 卡。 此外，业务测试区将直接采用新采购的 S3600 交换机作为业务测试区的接入 设备，通过该交换机直接与核心交换机相连。 2、在上联路由器及下联路由器上配置好路由，核心交换机配置好 IRF2 智能弹 性架构技术及互联 VLAN，汇聚交换机配置好二层及三层服务区 VLAN。 3、启用核心交换机互联三层 VLAN，IP 使用和旧机房一样的 IP。验证完路由 没有问题后，SHUTDOWN 互联三层 VLAN 以及服务器区三层 VLAN、两 台下联路由器内联口、上联路由器 C3845 内联口。核心交换/汇聚交换机之 间的链路改成 TRUNK。 风险时间：无。 应急预案：无需。 2.2.3 第三阶

13、段：裸光纤二层透传 第三阶段：在新旧机房间拉两条裸光纤分别连接 S7506E 和 S8505，捆绑成 第 11 页 PORT-CHANNEL 并配置成 TRUNK。裸光纤采用两个运营商的线路，并且捆 绑起来使用，提高网络的高可用性。这样在新旧机房之间就建立起了纯 2 层的 连接。 风险时间：无。 应急预案：无需。 2.2.4 第四阶段：服务器搬迁及线路割接 第四阶段： 1、迁移所有服务器。由于当前业务及办公客户端与服务器在同一个 VLAN 并 使用同一个网段，与未来分区化管理相冲突，因此在此次搬迁中，将服务器临 时接入到楼层交换机中。调整完服务器 IP 及网关后再重新连接至相对应的服务 分区。

14、 2、迁移上联总行备线至新机房。当线路迁移测试成功后，关闭旧机房上联 NE16 以太网口，启用新机房 3845 以太网口。旧机房上联 NE16 不下架，作为 备机使用。 3、迁移泉州分行及支行备线至新机房 MSR5060。如果泉州分行在福州机房搬 第 12 页 迁后实施，那么就可以直接接入新机房。如果泉州分行在福州机房搬迁前实施， 那么泉州分行的线路就必须接入到旧机房，然后在搬迁中和支行线路一起搬迁。 此次支行线路将新增一条联通 2M MSTP 线路及电信 2M MSTP 线路。电信 线路可能由于运营商线路资源不足，无法同时保留原有 SDH 并新增 MSTP。因 此在搬迁中将先使用电信原有 S

15、DH 线路并新增联通 2M MSTP 线路。 联通 2M MSTP 线路由于是新增线路，可以事先在新机房和各支行调通。 调试 IP 使用临时 ip，并且将 MSTP 网线接入到支行路由器上。在机房搬迁中， 通过 SDH 线路登陆到支行路由器，关闭 DDN 线路并同时启用联通 MSTP 线路， IP 沿用 DDN 线路使用的 IP。将来电信线路升级时，电信 2M MSTP 将接入到 新采购的 MSR3020 路由器上。 当所有支行 DDN 线路割接成联通 2M MSTP 后，关闭下联区 NE16-Q2 以 太网口。同时启用新机房下联 MSR5060 以太网口。 4、迁移四条外联主线路至新机房外联

16、区。旧机房外联区设备不动，关闭以太网 接口，作为硬件备份。新机房外联区交换机与防火墙都使用新设备。 路由验证：在旧机房核心交换机上查看当前的路由是否与预期的一致。具体操 作内容将在测试文档中体现。 风险及应急预案：这个阶段的风险主要包括下联线路、上联线路、外联线路的 割接风险。如果哪个分区的线路割接出现问题，由于在旧机房相应分区的硬件 依然保留，将可以直接通过割接线路回退至旧机房。 第 13 页 2.2.5 第五阶段：主线路割接 第五阶段： 1、割接旧机房上联主线路至新机房。当上联线路割接完毕后，立即关闭旧机房 上联路由器 3745 以太网口，同时启用新机房上联路由器 3845Q1 以太网口。

17、 2、迁移旧机房下联泉州分行及支行主线路至新机房。线路依然使用电信 SDH 线路，支行电信 SDH 线路改 MSTP 线路并且网络架构做相应调整等到机房搬 迁完毕后再实施。 风险提示：此时所有流量会先到旧核心 S8505 再返回至新核心。 路由验证：在旧机房核心交换机上查看当前的路由是否与预期的一致。具体操 作内容将在测试文档中体现。 风险及应急预案：此时新机房所有 VLAN 的网关依然在旧机房两台核心交换机 上。新机房的所有流量都会经过裸光纤到达旧机房核心交换机上，由于裸光纤 采用了双运营商双线路，因此这样的线路风险可以忽略，并且将在下一阶段将 整个网络的核心移至新机房中。 第 14 页 2

18、.2.6 第六阶段：核心迁移 第六阶段： 1、所有服务器都搬迁完毕后，关闭裸光纤接口。 2、在新核心 S7506E 和汇聚层交换机上启用三层接口。此时整个网络的核心从 旧机房迁移至新机房。 路由验证：在新机房核心交换机上查看当前的路由是否与预期的一致。具体操 作内容将在测试文档中体现。 风险及应急预案：如果此时发生了不可预料的问题，此步骤可顺利回退至第五 步骤。重新将旧机房两台核心交换机作为网络的核心。 2.2.7 第七阶段：网络整体调整 当络搬迁后顺利运行一段时间后，再对新大楼网做整体调整，具体内容包 括： 1、将旧机房核心交换机 S8505 搬迁至新机房作为楼层业务和办公汇聚层交 换机。 2、将旧机房下联 NE16 搬迁至新机房作为外联路由器。 第 15 页 3、配置核心防火墙规则。