銀行網絡建設方案

1、-作者xxxx-日期xxxx銀行網絡建設方案【精品文檔】 網絡建設方案參考國內外同行業(yè)的組網模型，按照標準化、模塊化、結構的原則進行生產中心的升級，改變現狀生產中心過于扁平化、安全性低的現狀，可以將生產中心規(guī)劃為：核心交換區(qū)、生產服務器區(qū)、前置機區(qū)、網銀區(qū)、運行管理區(qū)、樓層接入區(qū)、辦公服務器區(qū)、廣域網接入區(qū)、災備中心互聯區(qū)、中間業(yè)務外聯區(qū)等功能模塊。在各分區(qū)邊界部署防火墻，確保訪問的安全，實現生產中心的高性能、高安全、高擴展和易管理。Ø 核心交換區(qū)：為生產網絡的各功能子區(qū)提供核心路由交換。Ø 生產核心區(qū)：部署天津商行生產服務和生產小機。Ø 前置機服務器區(qū)：連接各種

2、業(yè)務前置機專用區(qū)域Ø 樓層接入區(qū)（遷移）：負責本地辦公用戶的接入。Ø 網銀區(qū)（遷移）：部署網上銀行業(yè)務的服務器。Ø DWDM區(qū)：連接生產中心和災備中心的廣域傳輸系統區(qū)域。Ø 廣域網接入區(qū)：部署下聯各省市分行、天津各區(qū)縣支行、分理處的骨干網路由器。Ø 中間業(yè)務外聯區(qū)：通過專線連接監(jiān)管單位、合作伙伴，為第三方機構提供外聯服務。Ø 運行維護區(qū)：部署網絡和系統管理及維護的業(yè)務系統。東麗數據中心主要需要建立IP網絡和存儲網絡。在IP網絡中，按業(yè)務功能和安全需要分為不同的網絡區(qū)域，各個網絡區(qū)域有獨立的網絡設備（如交換機、防火墻等）連接相應的主機、

3、服務器、pc機等設備，每個網絡區(qū)域的匯聚/接入交換機再連接到IP網的核心交換機上；每個網絡區(qū)域內部可以根據需要再分為不同的控制區(qū)域。IP網絡主要分為以下網絡區(qū)域：核心交換區(qū)、生產核心區(qū)、前置機服務器區(qū)、樓層接入區(qū)、開發(fā)測試區(qū)、網銀區(qū)、DWDM區(qū)、廣域網接入區(qū)、中間業(yè)務外聯區(qū)、運行維護區(qū)，如圖：4.1.2 VLAN規(guī)劃在模塊化網絡架構中可以看到，數據中心首先是被劃分為網絡分區(qū)，然后基于每個應用對各自架構的QOS需求，再進一步將網絡分區(qū)劃分為邏輯組。為了完成以上闡述的模塊化架構，需要在網絡的第2層創(chuàng)建VLAN。在不同分區(qū)之間互聯點和分區(qū)內部上行連接點上，都需要創(chuàng)建VLAN。在數據內部，交換核心區(qū)域

4、和其他功能區(qū)域的匯聚交換機之間運行OSPF骨干區(qū)域AREA 0，其他區(qū)域內部分別運行OSPF和靜態(tài)路由。在東麗數據中心中，核心交換區(qū)連接了其他不同的分區(qū)。它也作為數據中心連接災備中心和廣域網絡的連接點。核心區(qū)在數據中心架構中的作用是，盡可能快速地在網絡之間實現數據傳輸的路由和數據交換。核心區(qū)主要部署兩臺高端交換機S12508交換機連接其他功能分區(qū)，提供10G和GE鏈路的雙歸屬連接。兩臺核心交換器之間采取Trunk鏈路連接，啟用IRF技術，將兩條核心交換機虛擬成一臺。核心區(qū)交換機連接到所有其他區(qū)的邊緣設備，有兩類連接連接到核心，一類是來自核心生產業(yè)務（比如生產核心區(qū), 前置機區(qū)）的連接，對該類應

5、用提供高速訪問服務，采用萬兆接口這兩個區(qū)域的匯聚交換機。另一類是其它業(yè)務。每個區(qū)匯聚交換機/接入交換機都上行連接到Core-SW1和Core-SW2。每個區(qū)交換機將使用單獨的VLAN，VLAN跨越兩個交換機，上行鏈接到核心。4.2.2 VLAN劃分與每個子區(qū)域的互聯接口可劃分為同一VLAN，將核心交換區(qū)域與各子域的互聯鏈路進行鏈路聚合。如下圖所示：在2臺Core-SW1和Core-SW2核心交換機和各區(qū)域的匯聚交換機連接端口上運行OSPF動態(tài)路由協議，所屬的區(qū)域為Area 0,這樣各個網絡分區(qū)系統都可以通過核心區(qū)域知道整個網絡系統的路由。采用IRF技術后，可以大大簡化網絡中的路由設置，減少需要

6、的互聯路由網段，其中，除網銀與中間業(yè)務外聯區(qū)外，其它區(qū)域的匯聚/接入交換機與核心之間的互聯鏈路都進行聚合，生產核心區(qū)和前置機區(qū)在各自區(qū)域的核心/接入交換機上啟用三層功能，采用OSPF和核心交換區(qū)之間進行互通，如下圖所示意：生產核心區(qū)用于連接核心的生產業(yè)務系統的小機、服務器等生產主機；在該區(qū)域采用三層架構，采用全千兆智能接入交換機S5500EI系列交換機提供小機及服務器的光口、電口接入，每個接入交換機采用雙千兆光口分別上行到生產核心區(qū)的兩條匯聚交換機S9508E交換機上，兩條S9508E交換機互相之間采用雙萬兆鏈路聚合捆綁，啟用IRF功能，將兩臺匯聚交換機虛擬成一臺交換機，每個S9508E各出一

7、個萬兆接口上聯到數據中心核心交換機S12508上，上行的兩條萬兆鏈路啟用鏈路捆綁功能，聚合成一條20G的物理鏈路。4.3.2 VLAN規(guī)劃上聯到核心交換區(qū)的VLAN采用鏈路聚合，合并為一個VLAN,在分區(qū)內部根據不同級別的應用再進一步分配。VLAN分配主要考慮互聯VLAN和主機。4.3.3 路由規(guī)劃匯聚層交換機與核心交換機間運行OSPF路由協議。在設備間運行OSPF時，建議將匯聚層95的相關接口劃分在一個OSPFSTUB區(qū)域中，以免數據中心中收到過多的LSA。各個功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均相同，并且可預知。生產核心區(qū)外連核心區(qū)的2條鏈

8、路的進行鏈路捆綁，在路由計算上，只有一條路徑，但是該路徑包含2個萬兆端口，提供物理層面的冗余。4.4.1 拓撲前置機區(qū)連接生產類系統的前置機等；該區(qū)使用4臺千兆智能交換機S5500-52C-EI交換機。4臺S5500-52C-EI交換機采用IRF虛擬化技術將4臺交換機虛擬成一臺交換機。4.4.2 VLAN規(guī)劃上聯到核心區(qū)的鏈路進行鏈路捆綁，采用同一個VLAN進行互聯。在分區(qū)內部根據不同級別的應用再進一步分配。VLAN分配主要考慮互聯VLAN和主機。4.4.3 路由規(guī)劃接入交換機啟用三層功能，前置機網關設置在接入交換機上，接入交換機與核心交換機間運行OSPF路由協議。在設備間運行OSPF時，建議

9、將接入交換機的相關接口劃分在一個OSPFSTUB區(qū)域中，以免數據中心中收到過多的LSA。各個功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均相同，并且可預知。前置區(qū)外連核心區(qū)的2條萬兆鏈路的進行鏈路捆綁，在路由計算上，只有一條路徑，但是該路徑包含2個萬兆端口，提供物理層面的冗余。廣域網接入區(qū)主要連接與各省市分行，天津市內各區(qū)縣支行，分理處等的上聯網絡設備，該區(qū)使用兩臺SR6608核心路由器作為各分支機構的上聯設備，每個SR6608配置3個CPOS廣域接口，2個主用，一個備用。4.5.1 路由規(guī)劃廣域網接入區(qū)與整個數據中心采用統一的策略和部署方案，在核心區(qū)作

10、為OSPF骨干區(qū)的前提下，廣域網接入區(qū)內部路由協議采用OSPF，在區(qū)域內路由詳細規(guī)劃上，建議如下：l 廣域網路由器與核心交換機互聯的端口，劃分為OSPF骨干域0域l 廣域網路由器下聯接口，按照原有的路由規(guī)劃，劃分為1、2、3、4和10、20、30、40等幾個路由子域。l 路由器到核心交換機上的鏈路采用Trunk鏈路進行連接。6.2 IRF虛擬化技術IRF 2交換機虛擬化實現多臺設備虛擬化成一臺設備，即多臺設備當做一臺設備來運行、管理。大大簡化數據中心日益復雜的組網和管理維護，相比于傳統的MSTP、VRRP和多路徑的路由協議，IRF可以免除這些協議的部署，簡化設備并成倍的提升網絡性能與可靠性。I

11、RF堆疊具有以下主要優(yōu)點：簡化管理。IRF堆疊形成之后，用戶連接到任何一臺成員設備的任何一個端口可以登錄IRF堆疊系統，這相當于直接登錄IRF系統中的Master設備，通過對Master設備的配置達到管理整個IRF堆疊以及堆疊內所有成員設備的效果，而不用物理連接到每臺成員設備上分別對它們進行配置和管理。簡化網絡運行。IRF形成的虛擬設備中運行的各種控制協議也是作為單一設備統一運行的，例如路由協議會作為單一設備統一計算。這樣省去了設備間大量協議報文的交互，簡化了網絡運行，縮短了網絡動蕩時的收斂時間。IRF技術的這一特性是常見的集群技術所不具備的，后者僅僅能完成設備管理上的統一，而集群中的設備在網

12、絡中仍然分別作為獨立節(jié)點運行。低成本：IRF技術是將一些較低端的設備虛擬成為一個相對高端的設備使用，從而具有高端設備的端口密度和帶寬，以及低端設備的成本。比直接使用高端設備具有成本優(yōu)勢。強大的網絡擴展能力。通過增加成員設備，可以輕松自如的擴展堆疊系統的端口數、帶寬和處理能力。保護用戶投資。由于具有強大的擴展能力，當用戶進行網絡升級時，不需要替換掉原有設備，只需要增加新設備既可。很好的保護了用戶投資。高可靠性。堆疊的高可靠性體現在多個方面，比如：成員設備之間堆疊物理端口支持聚合功能，堆疊系統和上、下層設備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統的可靠性；堆疊系統由多臺成員設

13、備組成，Master設備負責堆疊的運行、管理和維護，Slave設備在作為備份的同時也可以處理業(yè)務，一旦Master設備故障，系統會迅速自動選舉新的Master，以保證通過堆疊的業(yè)務不中斷，從而實現了設備級的1:N備份。IRF是網絡可靠性保障的最優(yōu)解決方案。高性能。由于IRF設備是由多個支持IRF特性的單機設備堆疊而成的，IRF設備的交換容量和端口數量就是IRF內部所有單機設備交換容量和端口數量的總和。因此，IRF技術能夠通過多個單機設備的堆疊，輕易的將設備的核心交換能力、用戶端口的密度擴大數倍，從而大幅度提高了設備的性能。豐富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA

14、插卡、高可用性等全部交換機特性，并且能夠高效穩(wěn)定地運行這些功能，大大擴展了IRF設備的應用范圍。廣泛的產品支持。IRF技術作為一種通用的虛擬技術，對不同形態(tài)產品的堆疊一體化的實現，使用同一技術，同時支持盒式設備的堆疊，以及框式分布式設備的堆疊。使用IRF擴展端口數量使用IRF擴展端口數量如下圖所示。當接入的用戶數增加到原交換機端口密度不能滿足接入需求時，可以通過在原有的堆疊系統中增加新的交換機而得到滿足。使用IRF擴展端口組網圖使用IRF擴展系統處理能力使用IRF擴展系統處理能力如下圖所示。當中心的交換機轉發(fā)能力不能滿足需求時，可以增加新交換機與原交換機組成堆疊系統來實現。若一臺交換機轉發(fā)能力

15、為64M PPS，則通過增加一臺交換機進行擴展后，整個堆疊設備的轉發(fā)能力為128M PPS。需要強調的是，是整個堆疊設備的轉發(fā)能力整體提高，而不是單個交換機的轉發(fā)能力提高。使用IRF擴展系統處理能力組網圖使用IRF擴展帶寬使用IRF擴展帶寬如下圖所示，當邊緣交換機上行帶寬增加時，可以增加新交換機與原交換機組成堆疊系統來實現。將成員設備的多條物理鏈路配置成一個聚合組，可以增加到中心交換機的帶寬。而對中心交換機的而言，邊緣交換機的數量并沒有變化，物理上的兩臺交換機看起來就是一臺交換機，原有交換機會將當前的配置批量備份到新加入的交換機。因此，這種變化對網絡規(guī)劃和配置影響很小。使用IRF擴展帶寬組網圖跨越空間使用IRFIRF2.0可以通過光纖將相距遙遠的設備連接形成堆疊設備，如下圖所示，每個樓層的用戶通過樓道交換機接入外部網絡，現使用堆疊光纖將各樓道交換機連接起來形成一個堆疊設備，這樣，相當于每個樓只有一個接入設備，網絡結構變得更加簡單；每個樓層有多條鏈路到達核心網絡，網絡變得更加健壯、可靠；對多臺樓道交換機的配置簡化成對對堆疊系統的配置，