温馨提示
割接背景
湖北江汉联盟武汉分公司作为省会的规模最大,业务最全,门店最多的分公司,一直作为着湖北省内其他地州市分公司的标杆存在。由于该分公司业务量大,现有的外联区、同城汇聚区相关设备(路由器、交换机、防火墙)已经比较老旧,现拟将武汉分公司的外联区、同城汇聚区的网络设备进行更换,并针对网络架构进行升级改造。
所以,总部为武汉分公司提供如下设备:
1、两台迪普FW1000A防火墙;
2、两台H3C S5560交换机;
3、两台H3C MSR 5660路由器;
4、两台华为NE20E-S4路由器;
用于重建该二级分行的同城汇聚区和外联业务区
割接过程
通过上面的现网结构和割接后的预期目标可以知道
同城汇聚区的汇聚路由器由单机更换为双机,
外联区原本只有一台防火墙和一台路由器,现在要更换成两台防火墙、两台路由器,中间还串入一组堆叠的交换机
并且,在做割接的时候,要求网络中断时间不能超过5分钟
这个割接看起来比较困难,但实际上做好下面几点,这个割接其实是很容易的。
1、因外联防火墙、路由器、交换机都不是大型设备,所以可以将其提前上架,并做好内部连接。在核心交换机上重新规划一组与外联防火墙互联的接口,重新规划互联地址。待割接时间一到,就断开核心交换机与老外联防火墙的连线,开启核心交换机与新防火墙的连线即可完成外联区的整体改造;
2、同城汇聚路由器也可以提前上架,配置好同城汇聚路由器与核心之间的互联IP地址与OSPF邻居,再将MSTP专线从老路由器转移到新路由器即可
这个我们可以画一个割接过程图来帮助大家理解:
上图中,新的同城汇聚路由器与核心之间的互联链路,互联IP地址重新规划,不利旧老路由器与核心的互联地址了。这样,新的路由器可以提前与核心做好连接。不仅可以有充足的时间检查H3C路由器与Cisco交换机之间的链路双工、速率协商,也有足够的时间检查同城汇聚路由器与核心之间OSPF邻居的建立,从而规避了不同厂商设备之间链路对接双工、速率协商的风险。
外联区业务改动很大,但新的防火墙、路由器、交换机都不是大型设备,在机柜资源充足的情况下可以提前上架,做好内部连接。
在这里需要注意的点是Cisco ASA5520到DPTech FW1000GA-E的配置翻译,主要是防火墙的NAT、安全策略和业务路由。地址呢?这个是重新规划的互联地址,倒是不算在配置翻译里面。
外联区做好内部连接并测试通过后,规划两条连线到核心交换机。
在核心交换机上写好对外联防火墙的配置(互联地址VRRP和静态路由)
外联路由器的NAT、接口及路由配置必须提前做好并且确保无误
在割接开始前,必须保证核心交换机上到防火墙的接口关闭!
割接开始后,关闭核心到老防火墙的接口
开启核心到新防火墙的接口,并转移外联单位的线缆到新路由器上
如果此时防火墙和核心之间的链路畅通,且业务正常
经过测试正常后,视为割接完成
此时需要保证新的外联区稳定运行一周后再下架老设备
如果出现问题需要回退,则直接在核心上拆除到新防火墙的接口,开启核心到老防火墙的接口,将外联下行线路转移回到路由器,即可完成回退操作。
再说一下同城汇聚区的割接
先上架两台新的同城汇聚区路由器,与核心交换机之间重新规划接口和IP地址
建立好OSPF邻居
割接开始后,转移下行线缆到新的同城汇聚路由器上即可
但要注意,同城汇聚路由器必须提前写好到下联的配置
回退时,直接把线缆转移回去即可
在这里需要注意的问题是:
1、同城汇聚路由器连接分支单位使用的是单模光纤,此时需要注意该接口需要关闭速率自协商;
2、根据工勘的结果,MSTP专线的单模光纤是从机柜顶部延伸下来,到达20U位置的MSTP汇聚光电协转。因老设备Cisco 2811只有电口,所以从MSTP光电协转到Cisco 2811还有一段双绞线连接,这一段的长度是可控的。但是,新的同城汇聚路由器(华为NE20E-S4)只有光口。那么从柜顶光纤配线架下来的这条单模光纤的长度是否能拉倒17U以下的位置并且能顺利连接到路由器上,就需要提前查看了。如果不能确定这条单模光纤长度足够,则需要重新布放一条。
下面请看完整方案
第一章:前言
1.1、项目背景
湖北江汉联盟武汉分公司作为位省会的规模最大,业务最全,门店最多的分公司,一直作为着湖北省内其他地州市分公司的标杆存在。由于该分公司业务量大,现有的外联区、同城汇聚区相关设备(路由器、交换机、防火墙)已经比较老旧,现拟将武汉分公司的外联区、同城汇聚区的网络设备进行更换,并针对网络架构进行升级改造。
1.2、文档目的
本文档用于湖北江汉联盟武汉分公司外联区,同城汇聚区网络升级改造实施指导性方案文档。用于该项目的详细规划和设计之用,为实施工艺的编写提供理论支撑,并作为该项目工程实施的指导性文件之一。
1.3、实施范围
1.4、实施目标
顺利完成湖北江汉联盟武汉分公司外联区,同城汇聚区网络升级改造,业务上线,网络稳定运行。
第二章:网络架构
2.1、割接前拓扑
网络割接现状:
- 同城汇聚区,单台路由器(主机名HBWH-MAN-DR,型号Cisco 2811)上联两台核心交换机,下联一条联通MSTP专线与各个分支站点互联;
- 同城汇聚路由器与核心交换机运行OSPF,进程ID为100,区域为Area 0,同城汇聚路由器与所有分支行站点运行OSPF,进程ID为100,区域为Area 1;
- 外联区防火墙(主机名HBWH-EXT-AF)只与核心-2互联,核心-1为该区域的温备,配置单点接口与防火墙互联,核心与防火墙之间配置静态路由,核心上做静态路由重分发进OSPF内;
- 外联区路由器(主机名HBWH-EXT-DR)与防火墙互联,配置静态路由。
2.2、割接后拓扑(预期目标)
改造后的预期目标
- 同城汇聚区路由器更换为两台华为NE20E-S4,与核心交换机配置FullMesh全互联接口,并运行OSPF路由协议,OSPF进程ID为100,区域为Area 0;
- 在没有第二条MSTP专线的情况下,同城汇聚路由器-1为在线机,与分支站点上联接入路由器互联,同城汇聚路由器-2为温备机,配置与路由器-1相同的下联配置。当路由器-1出现故障时,可以将MSTP专线转移到路由器-2上。
- 外联区防火墙更换为两台迪普DPTECH-FW1000GE-E防火墙,配置静默双机,与核心-1和核心-2互联,核心交换机上配置VRRP协商的互联地址与防火墙互联;
- 新增两台外联区交换机(HBWH-EXT-CS01/02,型号H3C s5560)交换机配置为IRF堆叠,与外联区路由器(HBWH-EXT-DR01/02,型号H3C MSR5660)交叉互联并运行OSPF Area 0;
-
外联区防火墙与核心交换机之间为静态路由,外联区交换机与防火墙之间为静态路由,在核心交换机、外联交换机上配置静态路由重分发进OSPF内。
第三章:实施规划
3.1、设备安装规划
| 设备类型 | 设备名称 | 设备型号 | 机柜 | U位 |
| 同城汇聚路由器-1 | HBWH-MAN-DR01 | 华为NE20E-S4 | 1# | 14-17 |
| 同城汇聚路由器-2 | HBWH-MAN-DR02 | 华为NE20E-S4 | 2# | 14-17 |
| 外联区防火墙-1 | HBWH-EXT-AF1 | DP FW1000GA-E | 3# | 22 |
| 外联区防火墙-2 | HBWH-EXT-AF2 | DP FW1000GA-E | 4# | 22 |
| 外联区交换机-1 | HBWH-EXT-CS01 | H3C S5560 | 3# | 24 |
| 外联区交换机-2 | HBWH-EXT-CS02 | H3C S5560 | 4# | 24 |
| 外联区路由器-1 | HBWH-EXT-DR01 | H3C MSR 5660 | 3# | 18-21 |
| 外联区路由器-2 | HBWH-EXT-DR02 | H3C MSR 5660 | 4# | 18-21 |
3.2、设备命名及软件版本
3.3、设备连接规划
3.4、IP地址规划
3.4.1、Loopback地址
3.4.2、设备互联地址
3.4.3、业务地址
利旧
3.5、路由规划
- 核心交换机(HBWH-COR-CS01/02)与同城汇聚路由器(HBWH-MAN-DR01/02)之间运行OSPF路由协议,OSPF进程ID为100,区域为Area 0
- 同城汇聚路由器(HBWH-MAN-DR01/02)与分支站点上联接入路由器之间运行OSPF路由协议,OSPF进程ID为100,区域为Area 1,Area 1设置为完全NSSA;
- 在同城汇聚路由器(HBWH-MAN-DR01/02)上配置区域间路由聚合,将Area 1的路由聚合为/19的大段发布到Area 0内;
- 核心交换机与外联区防火墙使用静态路由;静态路由需聚合为掩码长度不超过/24的网段;
- 外联区交换机对外联区防火墙上写静态路由10.0.0.0/8与21.0.0.0/8;
- 核心交换机和外联交换机上把静态路由重分发进OSPF内;
- 核心交换机-2重分发静态到OSPF内时,加大Cost值为1000;
- 外联交换机与外联路由器之间运行OSPF路由协议,进程ID为200,区域为Area 0;
- 外联路由器上重分发静态路由,直连路由(外联区转换后地址)到OSPF内;
- 所有OSPF的网络类型均为P2P,使用Loopback 0的地址作为Router-ID,且接口Cost值均保持默认值,参考带宽为默认值。
3.6、管理服务及冗余规划
电源冗余:本次项目实施中使用的防火墙设备都使用了冗余电源的设备,电源模块支持双路供电和不同的工作模式,电源工作模式采用全冗余模式。在设备电源连接时应保证同一设备的冗余电源连接到不同的供电回路上。
风扇冗余:
本次项目实施中使用的设备基本都采用了风扇冗余设计,主要实现以下冗余功能:
一组风扇中的其中一个风扇故障时,其他组风扇的转速不会增加;
一组风扇中的多个风扇故障时,其他组风扇的转速会迅速增加到100%;
当一组风扇被拔出时,系统一旦检测到,其他组风扇的转速会增加到100%;
当多组风扇被拔出,并且在2分钟内没有被插回或替换,系统将会自动重启,故当更换风扇(支持热插拔)时,请在2分钟内完成。
3.7、设备初始化规划
SNMP规划:
SNMP版本:v2c、v3
SNMP团体名:hbjhlmAdmin(读/写)
SNMP源地址:10.134.113.0/24,ACL白名单,ACL 2103
NTP主地址:
NTP副地址:
设备访问NTP源地址:交换机/路由器,Loopback 0,防火墙:Inside/Trust接口地址
Syslog地址:
设备访问SysLog源地址:交换机/路由器,Loopback 0,防火墙:Inside/Trust接口地址
AAA服务器地址:10.113.134.18/19
设备访问AAA源地址:交换机/路由器,Loopback 0,防火墙:Inside/Trust接口地址
其他说明:
1、设备的远程管理方式使用带内管理的方式,管理地址用Loopback 0地址;
2、远程管理的协议,使用SSH Version 2;
3、设备初始化的登录用户名为:jiege,密码为jiege@2020,该用户名和密码仅用于网络建设阶段和调试阶段,网络即将交付时,该登录用户禁用;
4、SNMP权限:读写(RW),团体名:xxxx,版本v2c和v3共存,trap接收地址x.x.x.x,端口UDP162
5、Syslog服务器的地址是x.x.x.x
6、NTP服务器的地址是x.x.x.x
7、网络设备开启LLDP,开启Tracert
8、关闭不必要的服务器(FTP、Http、Telnet)
9、配置白名单的ACL,对VTY接口设置登录源地址限制(具体ACL见脚本)
10、关闭交换机上未使用的接口。
3.8、人员组织
|
单位 |
姓名 |
电话 |
职责 |
|
湖北江汉联盟总部 |
邓军 |
总负责人 |
|
|
湖北江汉联盟 武汉分公司 |
黄振奋 |
资源协调,测试 |
|
|
向小飞 |
资源协调,测试 |
||
|
嘉铭科技 |
吴雄飞 |
集成商负责人 |
|
|
李宏伟 |
实施负责人 |
||
|
华为 |
厂商保障 |
||
|
新华三集团 |
厂商保障 |
||
|
迪普科技 |
厂商保障 |
第四章:实施方案
4.1、实施原则
- 1)在不影响现有网络系统正常运行的情况下,进行新设备的上架、调试、测试工作。安装和切换工作中,尽量不修改除外联区防火墙、交换机、路由器及同城汇聚路由器以外设备的配置,方便回退。
- 2)在切换过程中采用平滑切换的原则,尽量将业务中断的时间降到最低,同时保障回退的可操作性
4.2、时间安排
割接时间暂定于2013年11月18日,20:00开始
4.3、实施准备
工具准备:笔记本电脑,Console线,CRT软件(仅限SecureCRT或Xshell),螺丝刀,上架卡扣和上架螺丝,机架托盘
耗材准备:单模光纤及多模光纤(长度以工勘为准),扎带若干
4.4、实施步骤
原文始发于微信公众号(释然IT杂谈):实战干货:某金融单位外联区,同城汇聚区割接方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论