泰康人寿广域网网络改造项目
实施方案
(山东)
神州数码系统集成服务有限公司
2011年1月8日
文档信息
文档修订记录
目录
第1章实施概述 (5)
第2章路由规划 (6)
2.1 全网路由规划 (6)
2.1.1广域网域间路由设计 (7)
2.1.2 省分公司路由改造设计 (8)
2.1.3 省分公司路由选路设计 (9)
2.1.4 全网BGP -AS规划 (9)
第3章IP地址规划 (11)
3.1 设备互联IP地址 (11)
3.2设备LOOPBACK地址 (11)
第4章实施步骤 (14)
4.1 北京数据中心 (14)
4.1.1 BGP配置 (14)
4.1.1.2 BJ-R7609-1 (14)
4.1.1.3 BJ-R7609-2 (14)
4.1.2 策略路由配置 (15)
4.2 山东省分公司 (16)
4.2.1 现在网络情况 (16)
4.2.2 改造后网络情况 (16)
4.2.3 实施步骤 (17)
4.2.3.1配置2911路由器 (17)
4.2.3.2配置HN-CR2811-01 (19)
4.2.3.3配置3750-01交换机 (20)
4.2.3.4配置3750-02交换机 (21)
4.2.3.5配置HN-CR7200 (21)
4.3 系统测试 (22)
4.3.1 网络连通性测试 (22)
4.3.2 网络路由测试 (22)
4.3.3 业务测试 (23)
第5章回退方案 (23)
第1章实施概述
根据本次泰康人寿广域网改造项目要求,山东省分公司网络改造需要进行以下步骤实施:
1)完成29路由器接入运营商MPLS VPN网络,实现与北京数据中心互通。
2)完成广域网路由协议有OSPF更改为BGP路由协议。并部署策略路由。
3)完成山东省分公司核心网络OSPF协议区域的改造
网络改造后的网络拓扑图如下所示:
BJ-ZB-S6509-01 BJ-ZB-S6509-02 BJ-7609-1
第2章路由规划
2.1 全网路由规划
为了全网网络的整体性,加上未来的发展的规划,省分公司、北京数据中心、同城灾备中心、使用BGP路由协议。未来数据中心内部的广域网路由器也形成BGP连接,有利于数据流向的控制和导入。这样做最大的好处是利于路由分发,路由控制,路由收敛。基于这种考虑,同时也建议省分公司到两中心的路由协议为BGP,将目前本地Area更改为0区域,这样,既能保证省分公司的扩展性,也符合到各个数据中心的路由灵活性。各个省分公司虽然同样存在OSPF Area 0,各自独立,但互相之间不受影响。
区域间本次规划推荐使用EBGP,原因是只有EBGP才能将各个区域的业务在不同链路上进行流量分离。
基于路由选择、分析,设计如下:在同城灾备中心业务具有全托管能力前,北京核心数据中心、同城灾备中心仍旧使用OSPF,且不用更改Area。各个分公
司内部同样使用OSPF路由协议,原有ABR角色路由器需要进行相关调整。北京数据中心及各个省分公司之间通过与联通AS9929网络启用EBGP进行通信。原有分公司与灾备间OSPF更改为静态路由。
ASBR需要对每个区域内部路由协议OSPF和外部路由协议BGP进行路由双向重分发,路由汇总,路由过滤等工作。
2.1.1广域网域间路由设计
省分公司在广域网边界路由器上,同时存在几种形式的路由协议:
1.做为IGP的OSPF路由协议。
2.省分公司广域网路由器内部的IBGP路由协议,承载明细路由条目。
3.与CNC MPLS VPN网连接的EBGP路由协议。
4.与北京数据中心连接的EBGP路由协议。
根据现有规划,北京数据中心、各个省分公司全部拥有独立的BGP AS号,之间均为EBGP邻居关系。
北京数据中心的广域网路由器,把通过OSPF学习到的路由信息重注入IBGP,再由EBGP发布到各个省分公司,由OSPF连接省分公司逐步改为BGP 连接。
北京数据中心广域网路由器在向各个省分公司分发BGP路由时,应该加以
过滤,去除无用路由条目。比如网络设备管理地址,北京分支地址、其他省分公司地址等,只保留实际业务使用的相关路由条目。在数据中心学习省分公司路由时,也应该加以过滤,只允许省分公司合法路由进入大网,避免发布重复地址段所带来的网络问题。
2.1.2省分公司路由改造设计
目前省分公司的路由结构是作为北京OSPF的子域分支,各分公司拥有自己的OSPF域。
为了符合日后发展规划,同时增加省分公司的可扩展性,需要进行部分改造。每个省分公司目前所存在的OSPF将更改为Area 0 区域,两个上联路由器连接北京核心广域网路由器,并配置EBGP,有利于流量和路由的控制。两台路由器之间为IBGP邻居关系,与向下连接的三层交换机形成OSPF邻居,并将从北京数据中心学习到的BGP路由和内部OSPF路由进行双向重发布。
省分公司MPLS VPN线路增加后,需要考虑流量的负载分担问题,由于正常情况下主要业务均在北京数据中心,如果不加以流量调整,就会出现所有流量均通过SDH线路去往数据核心,而通过MPLS VPN的业务流量几乎不存在。为了解决这个问题,增强链路的利用率,控制向省分公司网段发布的路由条目,灵活分配各类业务数据较为平均的传输在两条线路上,并且当任意一条线路出现问题时,可以互相备份,达到线路冗余的目的。
2.1.3省分公司路由选路设计
1)电销业务到北京数据中心优先走SDH 4M链路,当该接入路由器出现故障时,电销业务走MPLS VPN 10M链路
2)除电销业务之外的业务优先走MPLS VPN 10M链路,当该接入路由器出现故障时,走SDH 4M链路
2.1.4全网BGP -AS规划
根据路由规划原则,使用私有BGP自治系统号码,范围为64152-65535。其中数据中心使用65530-65535自治系统号,其中65530-65532未分配,预留给未来其他数据中心;各个分行使用64152-65529自治系统号,其中64159-65529作
为未来新开业省分公司及同网络规模或级别的机构使用,目前为预留。
第3章IP地址规划
联通MPLS VPN建设完成后,原有2条E1线路做端口聚合。各个分公司广域网IP地址规划沿用原规划,使用10.2.9.0/30地址段,未来升级至双PE双CE 时,扩展使用10.2.10.0/30地址段。
3.1 设备互联IP地址
3.2 设备之间互联地址
3.3设备loopback地址
第4章路由实施
4.1 BGP路由实施
4.1.1AS号划分
根据路由规划原则,使用私有BGP自治系统号码,范围为64159-65535。其中数据中心使用65530-65535自治系统号,其中65530-65532未分配,预留给未来其他数据中心;各个分行使用64159-65529自治系统号,其中64159-65529作为未来新开业省分公司及同网络规模或级别的机构使用,目前为预留。根据规划山东省分公司AS号为64152,其划分区域图如下所示;
4.1.2BGP路由汇总原则
使用BGP协议来控制和转发省分公司和总公司之间的路由信息,所以为了减少设备的路由条目优化网络,必须在BGP中发布汇总路由,使用原则:1)每个省分公司发布一个B类的地址段,例如河北分公司地址段是
10.18.0.0/16的地址段
2)外协单位通过省分公司接入泰康网络,需要和总部数据中心互通的地址段,在bgp中需要发布出去,根据地址段能做汇总的可以做,对与这部分地址段尽量在BGP中发布明细的路由,防止与其他省分公司产生冲突。
4.2 省分OSPF路由实
4.2.1OSPF router id规划
本次项目实施设备的router id设置与该设备的loopback地址相同。
4.2.2OSPF区域规划
1.在边界路由器上去掉和北京总部建立的OSPF AREA 0的区域协议关系
2. 省分公司核心设备建立一个独立的OSPF骨干区域AREA 0
3. 省分公司7204路由器和下联的中支公司等建立OSPF的标准区域关系
山东省分公司OSPF路由规划图如下所示:
第5章实施步骤
5.1 北京数据中心
5.1.1BGP配置
4.1.1.2 BJ-R7609-1
因该链路属于点到多点的链路,所以BGP协议配置已经配置完成,无需再配置4.1.1.3 BJ-R7609-2
1)配置静态路由实现7609-2与山东2811-1的loopback地址互通
ip route 10.18.254.248 255.255.255.255 10.2.6.90
ip route 10.18.254.248 255.255.255.255 10.2.7.90
2)配置BGP协议
router bgp 65535
neighbor 10.18.254.248 remote-as 64152
neighbor 10.18.254.248 ebgp-multihop 2
neighbor 10.18.254.248 update-source Loopback0
!
address-family ipv4
neighbor 10.18.254.248 activate
no auto-summary
no synchronization
exit-address-family
5.1.2策略路由配置
1)BJ-R7609-1
ip access-list extended BGP_DianXiao
permit ip 10.18.30.0 0.0.0.255 any
permit ip 10.18.31.0 0.0.0.255 any
permit ip 10.18.32.0 0.0.0.255 any
2)BJ-R7609-2
ip access-list extended SD_DianXiao
permit ip 10.18.30.0 0.0.0.255 any
permit ip 10.18.31.0 0.0.0.255 any
permit ip 10.18.32.0 0.0.0.255 any
!
route-map SD_DianXiao permit 10
match ip address SD_DianXiao
set local-preference 300
!
route-map SD_DianXiao permit 20
set local-preference 200
3)策略应用
router bgp 65535
address-family ipv4
neighbor 10.18.254.248 route-map SD_DianXiao in
5.2 山东省分公司
5.2.1现在网络情况
泰康人寿山东省分公司目前网络两台2811作为广域网接入路由器,与北京数据中心采用两条2M SDH线路,与灾备中心采用一条2M SDH链路。
BJ-ZB-S6509-01 BJ-ZB-S6509-02 BJ-7609-1
5.2.2改造后网络情况
泰康人寿山省分公司网络改造后,将增加一台Cisco2911路由器为广域网接入路由器,共计三台广域网接入路由器
一台2911通过联通MPLS VPN链路至北京数据中心7609-1;
一台2811通过2X2M SDH连接至北京数据中心7609-2路由器。
一台2811通过2M SDH链路连接至北京灾备中心。割接后的网络拓扑如下所示:
BJ-ZB-S6509-01 BJ-ZB-S6509-02 BJ-7609-1
SD-CR7204
5.2.3实施步骤
4.2.3.1配置2911路由器
1)配置与联通互联地址
interface GigabitEthernet0/0
ip address 10.2.9.89 255.255.255.252
2)配置与SD-CS3750-01互联
interface GigabitEthernet0/1
ip address 10.18.253.249 255.255.255.252
3)配置与SD-CS3750-02互联
interface GigabitEthernet0/2
ip address 10.18.253.253 255.255.255.252
4)配置loopback地址
interface loopback 0
ip address 10.18.254.250 255.255.255.255
5) OSPF协议配置
router ospf 531
router-id 10.18.254.250
redistribute static subnets
redistribute bgp 64152 subnets
network 10.18.253.0 0.0.0.255 area 0
network 10.18.254.250 0.0.0.0 area 0
6)BGP协议配置
router bgp 64152
bgp router-id 10.18.254.250
neighbor 10.2.9.90 remote-as 9929
neighbor 10.18.254.248 remote-as 64152
neighbor 10.18.254.248 update-source Loopback0
!
address-family ipv4
no synchronization
network 10.2.9.88 mask 255.255.255.252
neighbor 10.2.9.90 activate
neighbor 10.18.254.248 activate
neighbor 10.18.254.248 next-hop-self
network 10.18.30.0 mask 255.255.0.0
network 10.18.32.0 mask 255.255.0.0
network 10.18.33.0 mask 255.255.0.0
network 10.18.0.0 mask 255.255.0.0
还有一写银行的地址需要network,需要和用户确认,即需要和北京互除了10.18.0.0/16之外的地址段
no auto-summary
exit-address-family
7)发布汇总路由
ip route 10.18.0.0 255.255.0.0 Null0
8)配置路由选路策略
ip access-list extended Core_DianXiao
permit ip 10.1.30.0 0.0.0.255 any
permit ip 10.1.31.0 0.0.0.255 any
route-map DianXiao permit 10
match ip address Core_DianXiao
set local-preference 200
!
route-map DianXiao permit 20
set local-preference 300
!
router bgp 64152
address-family ipv4
neighbor 10.2.9.90 route-map DianXiao in
4.2.3.2配置HN-CR2811-01
1)配置loopback地址
interface loopback 0
ip address 10.18.254.248 255.255.255.255
2)配置与BJ-R7609-2路由器loopback地址互通
ip route 10.254.254.253 255.255.255.255 10.2.6.89
ip route 10.254.254.253 255.255.255.255 10.2.7.89
3) OSPF协议配置
A 将AREA 531改成AREA 0
network 10.18.253.0 0.0.0.3 area 531
network 10.18.253.8 0.0.0.3 area 531
B 正确配置
router ospf 531
router-id 10.18.254.248
redistribute static subnets
redistribute bgp 64152 subnets
network 10.18.254.248 0.0.0.0 area 0
network 10.18.253.0 0.0.0.255 area 0
4)发布汇总路由
ip route 10.18.0.0 255.255.0.0 Null0
5)配置静态路由实现7609-2与山东2811-1的loopback地址互通ip route 10.254.254.253 255.255.255.255 10.2.6.89
ip route 10.254.254.253 255.255.255.255 10.2.7.89
6)BGP协议配置
router bgp 64152
bgp router-id 10.18.254.248
bgp log-neighbor-changes
neighbor 10.18.254.250 remote-as 64152
neighbor 10.18.254.250 update-source Loopback0
neighbor 10.254.254.253 remote-as 65535
neighbor 10.254.254.253 ebgp-multihop 2
neighbor 10.254.254.253 update-source Loopback0
!
address-family ipv4
neighbor 10.18.254.250 activate
neighbor 10.18.254.250 next-hop-self
neighbor 10.254.254.253 activate
no auto-summary
no synchronization
network 10.18.0.0 mask 255.255.0.0
network 10.18.30.0 mask 255.255.0.0
network 10.18.32.0 mask 255.255.0.0
network 10.18.33.0 mask 255.255.0.0
还有一些银行的地址需要network,需要和用户确认,即需要和北京互通除10.18.0.0/16之外的地址段
exit-address-family
9)配置路由选路策略
ip access-list extended Core_DianXiao
permit ip 10.1.30.0 0.0.0.255 any
permit ip 10.1.31.0 0.0.0.255 any
!
route-map DianXiao permit 10
match ip address Core_DianXiao
set local-preference 300
!
route-map DianXiao permit 20
set local-preference 200
!
router bgp 64152
address-family ipv4
neighbor 10.254.254.253 route-map DianXiao in
4.2.3.3配置3750-01交换机
1)配置与2911互联地址
interface GigabitEthernet1/0/X
ip address 10.18.253.253 255.255.255.252
2)配置loopback地址
interface loopback 0