某银行网络建设方案v1_0

某银行分行
远程授权网络建设方案
目录
1 前言.......................................................... - 1 -
1.1 文档目的................................................ - 1 -
1.2 适用围.................................................. - 1 -
2 项目背景和目标................................................ - 1 -
3 网络拓扑...................................................... - 2 -
4 设备名称规划.................................................. - 3 -
5 IP地址规划................................................... -
6 -
5.1 广域网互联地址规划...................................... - 6 -
5.2 网点局域网地址规划...................................... - 7 -
5.3 分行核心设备互联地址规划................................ - 8 -
5.4 网络设备loopback地址规划............................... - 8 -
5.5设备安装相关信息........................................ - 8 -
6 路由规划...................................................... - 8 -
7 项目实施..................................................... - 11 -
准备工作................................................... - 11 -实施具体步骤............................................... - 12 -8 测试验证..................................................... - 13 -
链路连通性测试............................................. - 13 -链路冗余性测试............................................. - 14 -设备冗余性测试............................................. - 15 -9 配置示例..................................................... - 15 -
1 前言
1.1 文档目的
此文档仅作为某银行分行远程授权网络建设方案，以保证远程授权网络建设顺利实施。

1.2 适用围
本文档适用于参与浦发远程授权网络建设实施人员，项目实施应该遵循本文档，本文档在项目实施过程中也将逐步调整和完善。

在实施结束后，也可作为浦发信息科技部网络运维管理的文档资料。

2 项目背景和目标
浦发银行针对用户账户安全以及安全交易考虑，对社区、小微支行特殊交易进行远程授权操作，以保障用户账户安全，该项目为独立组网，通过在每个网点安装一台网络设备，网络设备用单链路通过运营商的双链路连接至分行远程授权路由器设备，远程授权路由器和远程授权交换机进行互联，视频服务器通过双网卡分别接入远程授权交换机和分行服务器区交换机。

3 网络拓扑
运营商链路
网点路由交换一体机
远程授权汇聚路由器1
远程授权汇聚路由器2
远程授权核心交换机1
远程授权核心交换机2
远程授权服务器
服务器接入交换机
分行远程授权
网络支行网点远程授权网络
备注：部分网点运营商到分行汇聚路由器只有一条线路
如上图所示，网点路由交换一体机通过运营商链路连接至汇聚路由器，运营商通过双链路连接至两台汇聚路由器，或者有的网点是运营商到分行汇聚路由器只有一条线路。

分行汇聚路由器与核心交换机之间呈口字型互联，远程授权服务器通过双网卡分别连接至分行服务器交换机和远程授权交换机上。

4 设备名称规划
为规网络设备名称，统一和简化管理，要对网络设备进行规命名。

网络设备的命名由一级分行代码、二级区域、功能区域、设备型号、设备序号信息组成，字段间用“_”分隔。

一级分行代码：由3个大写字母组成，描述分行所在地区的标识，两个汉字组成的分行代码由第一、第二个汉字的拼音首字母加上第二个汉字拼音的尾字母组成；由三个或三个以上汉字组成的分行代码由前三个汉字的拼音首字母组成。

具体可参见《附件：一级分行命名代码及原IP网段分配》。

一级分行命名代码
及原IP网段分配.xlsx
二级区域：由3个大写字母组成，描述设备所在分行的具体区域。

分行本部设备二级区域代码统一为BBU，分行网络备份机房（如有）二级区域代码统一为ZBI，其他二级区域原则上可由分行自行命名，命名可参考一级分行代码的命名规则。

以下例举部分名称供参考：
设备功能：由2位大写字母组成，描述设备所在分行的具体功能区域。

以下例举部分名称供参考：
设备类型：由1或者2位大写字母组成，网络设备类型包含交换机、路由器。

具体的对应关系如下表所示：
设备型号：由4位字符组成，通常取设备型号的前4位数字，如数字型号不足4位数字，以型号字母从首字母开始补足。

设备序号：由2位数字组成，对设备分行代码、二级区域、设备类型、设备型号均一致的设备加以区分，由数字01开始计数。

2）网络设备命名例
分行远程授权核心交换机1：TYN-BBU-HX-S5720-1
分行远程授权核心交换机2：TYN-BBU-HX-S5720-2
分行远程授权汇聚路由器1：TYN-BBU-HJ-AR2240-1
南环支行远程授权路由器1：TYN-NNH-WD-AR2204-01
5 IP地址规划
本次浦发银行远程授权及集中监控项目需要对分行以及支行的IP地址进行重新规划，以避免IP地址冲突以及便于区分各分行。

根据浦发银行营业网点、分支机构的数量和规模，广域网互联地址，网点局域网地址、及设备互联IP地址格式为30.XX.YY.ZZ，第一段为30，第二段XX为各个分行的IP地址位，第三、四段各分行进行自行规划。

分行的IP地址位见原IP网段分配表。

例如：分行IP规划为：30.29.YY.ZZ。

5.1 广域网互联地址规划
广域网互联地址规划方案一
所有支行、营业网点、社区银行均通过运营商连接至两台分行汇聚路由器，互联地址使用/29位掩码，6个可用IP地址，两台分行汇聚路由器相应子接口使用不同IP地址。

30.X.255.1~23规划为分行网络设备互联地址，分行路由器与支行互联地址规划围为30.X.255.24~30.X.255.255，可分配29个/29掩码地址段，30.X.255.0/24段IP地址分配完后使用30.X.254.0/24、30.X.253.0/24…… 每个/24地址段可分配32个/29地址段。

广域网互联地址规划如下：
此方案优点，运营商双链路连接至分行，与支行分别建立OSPF邻居，主线路出现问题可以自动切换至备线路，不会造成ARP冲突。

缺点：会造成较多IP地址资源浪费。

适用情景：运营商可以提供双链路，并且可以实现自动切换
广域网互联地址地址规划方案二
所有支行、营业网点、社区银行均通过运营商连接至两台分行汇聚路由器，互联地址使用/30位掩码，有2个可用地址。

两台分行汇聚路由器相应子接口使用相同IP地址，30.X.255.1~23规划为分行网络设备互联地址，分行路由器与支行互联地址规划围为30.X.255.24~30.X.255.255，可分配58个/30掩码地址段。

30.X.255.0/24段IP地址分配完后使用30.X.254.0/24、30.X.253.0/24……每个/24地址段可分配64个/30地址段。

此方案优点：节省IP地址资源。

缺点：两台分行汇聚路由器相应子接口配置相同IP地址，可能会出现ARP 冲突，影响主用线路情况。

下文路由规划中也有相关说明。

适用场景：1、支行至运营商，然后运营商只有一条线路至分行汇聚路由器
2、支行至运营商，然后运营商两条线路至分行汇聚路由器
5.2 网点局域网地址规划
5.3 分行核心设备互联地址规划
分行两台远程授权汇聚路由器、两台远程授权核心交换机互联地址分别规划为/30位掩码IP地址。

5.4 网络设备loopback地址规划
分行loopback地址为30.X.64.1~30.X.64.4，30.X.64.5~30.X.64.10为分行远程授权备用IP地址，支行网络设备loopback地址从30.X.64.11开始依次递增。

loopback地址均使用32位掩码。

5.5设备安装相关信息
包括设备名称、设备型号、设备SN、设备安装详细位置。

分行信息收集模板.
xlsx
6 路由规划
分行核心交换机、汇聚路由器与各网点路由协议使用OSPF协议，分行中心端使用Area 0，每个地级城市的网点为一个Area，在分行汇聚路由器ABR上做
域间路由过滤，使每个网点只学习到省分行的路由，网点从Area1开始使用。

地级城市一个城市网点为一个OSPF区域，、等分行一个区为一个OSPF 区域。

两台远程授权汇聚路由器与网点路由交换一体机的互联时需要规划不同地址，分别与支行的路由器一体机建立OSPF邻居关系。

通过调整分行备用路由器的接口Cost值，路由选路时主线路走主用分行路由器1。

运营商与远程授权汇聚路由器1互联的线路出现问题或者远程授权汇聚路由器1设备本身出现故障时，会自动切换到运营商与远程授权汇聚路由器2的线路，从而不会造成业务的中断。

如果IP地址资源有限，需要将分行两台汇聚路由器配置相同IP地址（30位掩码），通过运营商与支行互联，分行路由器1与支行路由交换一体机建立OSPF 邻居，当主用链路故障自动或者手动切到备用链路，此时分行路由器2与支行路由交换一体机建立OSPF邻居。

此种场景当从备汇聚路由器ping支行路由交换一体机后，有可能造成ARP IP地址冲突进而影响主线路的情况。

分行两台远程授权核心交换机配置VRRP冗余协议，来实现远程授权服务器连接的远程授权核心交换机1故障时手动切换到远程授权核心交换机2，而不需要更改服务器网关地址。

7 项目实施
整体项目实施包括以下步骤：
➢设备到货
➢设备验收、上架
➢设备加电、拷机、测试
➢设备配置导入、互联线缆连接
➢网络测试、冗余性测试
实施过程需严格遵循上述步骤，实施结束后，应对前期规划的网络冗余性进行测试，确保项目顺利成功投产。

准备工作
实施具体步骤
8 测试验证
链路连通性测试
9 配置示例
分行路由器典型配
置.xlsx 分行5720配置示例.
xlsx
网点路由器AR2204
典型配置.xlsx。