浦發銀行青島-支行網絡系統規劃方案

指導信息

50. 總行有關網絡建設實施的指導意見 相關內容索引：“分行網絡中心的城域網路由器不得與連接總行的廣域網接入路由器合用；網絡中心應設置兩臺中心路由器，分別連接主線路和備份線路。兩臺中心路由器應做到互為熱備、負載均衡。”
50. 青島分行業務城域網設計原則 相關索引：“根據經濟適用，設想我行將來5年內不超過18個網點（包括離行式自助銀行）。不建造豪華城域網絡，滿足目前應用，同時考慮適用性、可靠性。”
50. 《浦東發展銀行-青島分行網絡建設方案》中有關支行建的相關信息。

一、技術說明

此次項目建設，支行采用一臺2621XM路由器作為接入網關，同時配備串口模塊作為2M線路的承載端口，同時為了保證主干線路中斷后業務不中斷，另行配備一塊ISDN模塊，只做備份使用，當主線路失效后，立即采用預先配置好的撥號線路（ISDN），在不超過2秒鐘的時間內提供備份路徑。

分行配置兩臺城域網接入路由器型號為CISCO3745，路由器本身帶有兩個10/100M的以太網口，無需另行增加局域網口。同時，該設備帶有4個模塊化的插槽，通過配置一定數量的模塊可以滿足我們不斷的增長的城域網接入需求。

1、支行到分行的路由

支行路由器擔負著關鍵數據的傳送，同時還要能夠提供備份選路功能。因此設計網絡路由時，必須綜合考慮，使用缺省路由、按需撥號、浮動靜態路由等技術來最大可能保證網絡的正常使用同時，還要使得備份線路的費用支出最少。

我們建議在支行路由器中添加如下路由信息：

Ip route 0.0.0.0 0.0.0.0 x.x.x.x   //x.x.x.x 地址指的是配備串口模塊的分行路由器的廣域網地址

Ip route 0.0.0.0 0.0.0.0 y.y.y.y 10  //y.y.y.y 地址指的是配備ISDN模塊的分行路由器的廣域網地址

這樣，我們的路由器就會就有兩條路由可以到達分行的網絡，同時，因為我們的撥號線路具有更高的優先級數量，這樣，使用2M主干線路的路由優先裝入路由表，支行的所有的數據通過固定的租用線路流入分行。一旦我們的2M專線中斷，我們設置的浮動靜態路由就會生效：

第一條路由

ip route 0.0.0.0 0.0.0.0 x.x.x.x 

就會自動從路由表中刪除，同時，第二條路由

ip route 0.0.0.0 0.0.0.0 y.y.y.y 10

成為路由器優選路由，裝載入路由器的路由表。整個過程從發現主端口宕掉到新的路由表裝入，只需要3秒鐘的時間，甚至更短，從而滿足了備份線路的利用和我們業務不中斷的要求。

ISDN備份線路具有128K的可用帶寬，理想情況下只能滿足我們部分業務數據的傳輸，因此。假設我們的主干線失效，備份線路起作用。但是需要傳送的數據遠遠的超過了備份線路的負荷，這樣我們也不能保證正常的業務數據通過線路到達分行（由于數據包的丟棄、延遲等造成得數據不一致，數據重發會使情況更加嚴重）。允許任何數據流激發ISDN的撥號，也將會使得線路備份的根本目的不能實現，不僅如此，有可能還會造成備份線路費用的急劇上升。

因此，有必要限制激發撥號的流量，僅僅將寶貴的生命帶寬留給最為核心的業務。這需要通過使用按需撥號來實現。通過某些條件，我們限制通過撥號列表的數據流，只有我們規定感興趣的IP包才能激發備份線路的呼叫，同時，備份線路狀態成為UP狀態后，還要限制流入線路的流量（按需呼叫完成后，任何流量都可以保持線路的狀態始終在UP狀態，這樣不利于QoS，同時還會造成備份線路長時間的在線，使得撥號費用的激增）。

2、分行到支行的路由

支行到分行的路由比較容易設置，關鍵在于選擇感興趣的流量策略；分行到支行的路由則需要聯動支行一側的設置才可以完美的解決設備和線路的使用問題。

此次建設目標是使一個支行數據網絡接入分行網絡中心，隨著我行業務的開展，今后會有更多的支行將網絡接入分行，這就要考慮諸來自各個支行的多線路共存情況，以及出現某條線路不能正常運轉，冗余鏈路的切換問題等等。

這時候我們可以采用HSRP技術解決主從鏈路共存、實效切換的問題。

3、HSRP技術

HSRP技術又名為熱備份路由協議

熱備分路由協議HSRP被看作是在網絡中提供一個容錯層的一種方法。HSRP是Cisco的一個專有協議，現已收錄RFC2281。HSRP協議保護第一跳路由器（first-hop router）不出現故障。HSRP在系統設定路由器（default router,既默認路由器）出現故障的地方予以恢復。因此，開發了HSRP來改變這種情況。HSRP利用監視功能來確定路由器接口的狀態。如果我們在網絡中配置了多個HSRP組，則我們既有一個備分組，也可以跨異種網絡實現負載均衡。

現在網絡中的交換平臺非常流行，為了在任何時候都能使用網絡，必須建立一個冗余層。冗余只是HSRP起作用的地方?，F在的大型網絡模型都是一個具有層次性的模型，如果在交換機上配置HSRP，它不僅能提供一條至匯聚層的活動路徑，而且還能提供一條備分路徑。此外，HSRP不僅允許冗余層的存在，而且也能提供負載共享的能力。

當網絡出現故障時，傳統的處理方法包括默認網關（default gateway）,地址解析協議代理（proxy ARP），路由選擇信息協議（RIP）和路由發現協議（IRDP）。但是因為種種原因，它們在處理故障時都不是很有效。

當網絡中出現故障的時候，熱備分路由協議HSRP認為在這個問題往往是由于第一個中繼路由器出現故障所致，因為它在主機上配置的常常是靜態的默認網關地址。以前，由于默認網關地址的失敗，使得主機不能與本子網之外的設備進行通信?，F在因為有了熱備分路由協議，默認網關可以是一個虛擬路由器地址。如果活動路由器出現故障，主機將切換到備分路由器，繼續轉發分組。

二、一個支行接入

從分行到各個支行路由需要的下一跳，都在一個子網內實現。利用HSRP來跟蹤連接某個支行的鏈路信息，例如：設置兩臺3745采用HSRP，保證對分行主機提供到達該支行的唯一的下一跳網關，同時，設置活動的HSRP路由器跟蹤該支行的2M線路，如果這條線路失效，則活動的3745路由器主動的將主控權交給備用路由器，這樣和支行的路由器一起聯動，實現網絡的自動路由。

如果支行和分行兩側的路由器設置參數不統一，則會出現支行主線路失效，數據包已經通過備份線路流向分行，但是分行的路由器沒有及時地更換路由，造成殘缺的路由回路，使得從分行返回的相應數據包無法到達支行，這樣我們的備份機制是不完整的。

三、多個支行接入

我們的業務城域網達到一定規模，會有若干的支行接入到分行數據網絡。我們不可能為每個支行購買成對的接入路由器，這樣做的成本過于昂貴。但是，每個支行都需要主線路接入和備份線路共存。這樣需要分行的核心同時具有到每個支行的不中斷通路，同時，每個支行也要備份線路保證核心業務不中斷。

我們仍舊采用HSRP來實現多個熱備組的共存。如下圖所示：

亦即我們為每個支行設立一個HSRP組，每個熱備組內的活動路由器追蹤到達該熱備組對應的支行的主線路。這樣，就能保證分行的路由器針對因為任何一個支行的主線路失效而造成該行備份線路的更新信息得到及時得響應，就是說我們分行的城域網路由器相應的那個熱備組就會將路由器切換至ISDN線路。

四、撥號發起限制

從分行去往支行A的數據流是不能向支行B的線路發起呼叫的，反之亦然。因此我們在具體實施過程中還要考慮分行是否通過備份線路向支行發起呼叫，如果允許的話，還要考慮是否允許到支行A的數據激發到支行B的線路。這一些和按需呼叫、訪問控制都有密切的聯系，詳細設置必須做出實際調查方能得出。