商業(yè)銀行數(shù)據(jù)中心新一代網(wǎng)絡(luò)解決方案

1、商業(yè)銀行數(shù)據(jù)中心新一代網(wǎng)絡(luò)解決方案銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引 中華人民共和國銀行業(yè)監(jiān)督管理法 中華人民共和國商業(yè)銀行法 中華人民共和國外資銀行管理條例 2009年中國開始針對上市公司強制執(zhí)行企業(yè)內(nèi)控規(guī)范-業(yè)界稱之為中國的“塞班斯法案”網(wǎng)上銀行系統(tǒng)信息安全保障評估準則人民銀行發(fā)布的網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）商業(yè)銀行信息科技安全管理規(guī)劃依據(jù)1. 金融安全是關(guān)系到國計民生的大事2. 安全性，可靠性以及合規(guī)是銀行規(guī)劃系統(tǒng)架構(gòu)及功能的首要考慮因素人民銀行發(fā)布的網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）業(yè)務(wù)部署的靈活性受到相應(yīng)限制商業(yè)銀行業(yè)務(wù)系統(tǒng)的概述商業(yè)銀行業(yè)務(wù)系統(tǒng)博大精深，在當前業(yè)務(wù)創(chuàng)新、

2、管理創(chuàng)新、機制創(chuàng)大背景下，銀行領(lǐng)域IT建設(shè)日新月異。安全性和靈活性的平衡保證安全性的同時，快速部署新業(yè)務(wù)銀行數(shù)據(jù)中心網(wǎng)絡(luò)變革的驅(qū)動力是什么?異地三數(shù)據(jù)中心互聯(lián)提供彈性的網(wǎng)絡(luò)服務(wù)，更短的自愈時間數(shù)據(jù)災備到業(yè)務(wù)災備雙活業(yè)務(wù)中心架構(gòu)需要二層三層混合互聯(lián) FabricConnectNetwork雙活數(shù)據(jù)中心整體架構(gòu)-大二層概念，業(yè)務(wù)持續(xù)性保證在架構(gòu)層面，多個數(shù)據(jù)中心通過內(nèi)部私有網(wǎng)絡(luò)互聯(lián)，統(tǒng)一對外提供服務(wù)。在多個數(shù)據(jù)中心內(nèi)，應(yīng)用在每個數(shù)據(jù)中心都是處于活動狀態(tài)兩個數(shù)據(jù)中心間Web、App及DB層次上必須分別提供二層通道或者裸光纖GTM + DNS Web TierApp TierDB Tier(Activ

3、e)GTM + DNS Web TierApp TierDB Tier(Standby)External NetworksISP 1ISP 2ISP 2ISP 1 Primary Data CenterSecondary Data CenterL2 Extensionsor Dark Fiber智能流量管理互聯(lián)網(wǎng)業(yè)務(wù)移動終端業(yè)務(wù)突發(fā)業(yè)務(wù)流量處理數(shù)據(jù)庫整合動態(tài)數(shù)據(jù)中心自動化運維服務(wù)動態(tài)調(diào)整災備管理集成數(shù)據(jù)中心快速切換應(yīng)用優(yōu)化和安全ClientsL2 Extensionsor Dark Fiber雙活數(shù)據(jù)中心設(shè)計需要底層網(wǎng)絡(luò)支持二層通道，或者裸光纖連接Fabric Connect網(wǎng)絡(luò)設(shè)備云矩陣網(wǎng)絡(luò)

4、 Fabric ConnetServer AccessDistribution (optional)Campus CoreData Center Core EdgeServers 矩陣網(wǎng)絡(luò)技術(shù)將網(wǎng)絡(luò)配置時間減少了第三方認證 恢復時間25times1sFabricConnect DASAPayloadVLAN IDI-SID = 24 Bit Service IDInstance Service IdentifiersCustomerVLANsDASAPayloadCustomerwithNo VLAN Tagsor骨干網(wǎng)絡(luò)傳輸層網(wǎng)絡(luò)即服務(wù)（Network As A Service) -由IEE

5、E 802.1aq(SPB) 標準協(xié)議定義ISISISISISISISISISISISISISISISISISISISISISISUnified ManagementDASAPayloadC-VIDB-DAB-SAB-VID802.1ahProvider BackboneBridgesI-SID用戶網(wǎng)絡(luò)數(shù)據(jù)骨干網(wǎng)絡(luò)不再以IP/MAC作為標識符，而是以Service ID來標識 技術(shù)革新：優(yōu)化傳統(tǒng)協(xié)議棧結(jié)構(gòu)e.g. PIMProtocol Infrastructuree.g. RIP/OSPFProtocol Infrastructuree.g. RFC4364Protocol Infrastr

6、ucturee.g. Draft RosenProtocol Infrastructuree.g. 802.1q/DProtocol Infrastructure802.1Q (VLAN)802.1D (STP)UC IGP (IS-IS or OSPF)Layer 3 Unicast ServiceLayer 3 Multicast Service Layer 3 Virtualized Multicast ServiceSONET, SDH, Ethernet, etcPhysical Infrastructure 由上至下的依存關(guān)系Layer 3 Virtualized Unicast

7、ServiceIP/SPB, SPBm/SPBmProtocol InfrastructureEthernetPhysical InfrastructureLayer 3 Virtualized Multicast ServiceLayer 3 Virtualized Unicast ServiceLayer 3 Multicast ServiceLayer 3 Unicast ServiceLayer 2 Virtualized Service平行不依存關(guān)系e.g. VPLSProtocol InfrastructureLayer 2 Virtualized Unicast ServiceM

8、PLS Fabric Connect二層互聯(lián)說明ISISISISISISISISISISISISISISISISISISISISISIS網(wǎng)絡(luò)管理員Vlan 20Vlan 30Assign VLAN20 I-SID 100Assign VLAN30 I-SID 100Virtual Service Network I-SID 100100100100100100100任意拓撲任意節(jié)點間,安全便捷的開通二層通道ISISISISISISISISISISISISISISISISISISISISISIS Fabric Connect 傳統(tǒng)路由互聯(lián)網(wǎng)絡(luò)管理員Assign VRF-2 IPVPN I-SID

9、 200VRF2VRF2Virtual Service Network I-SID 200Vlan / IP net1Vlan / IP net2Vlan / IP net3Vlan / IP net41、配置僅僅發(fā)生在邊界節(jié)點2、用戶能更關(guān)注自身的業(yè)務(wù)，而不會將時間、金錢浪費在設(shè)備、網(wǎng)絡(luò)的維護上分中心分支站點矩陣網(wǎng)絡(luò)辦公監(jiān)控等計費數(shù)據(jù)視頻監(jiān)控網(wǎng)上銀行手機銀行辦公監(jiān)控等計費數(shù)據(jù)視頻監(jiān)控網(wǎng)上銀行手機銀行典型的需要配置的節(jié)點解決多數(shù)據(jù)中心挑戰(zhàn) : 業(yè)務(wù)快速的移動、增加和變更 解決多數(shù)據(jù)中心挑戰(zhàn) : 多業(yè)務(wù)的便捷隔離矩陣網(wǎng)絡(luò)支撐多業(yè)務(wù)的靈捷部署傳統(tǒng)網(wǎng)絡(luò)極度復雜很難擴容容易出錯靜態(tài)模型 矩陣網(wǎng)絡(luò)良好可

10、擴展性業(yè)務(wù)靈捷部署易于排查動態(tài)模型PCI合規(guī)從雙活數(shù)據(jù)中心平滑升級到兩地三中心拓撲，業(yè)務(wù)流量通過獨立虛擬網(wǎng)絡(luò)隔離傳輸，安全性與靈活性的最佳平衡業(yè)務(wù)系統(tǒng)的安全隔離及互通不再需要將Firewalls / IDS / IPS等安全設(shè)備部署在網(wǎng)絡(luò)中心節(jié)點上可以在任何需要的地方部署Firewalls / IDS / IPS利用VSNs強制將流量經(jīng)由 Firewall / IDS /IPS來處理Network Design FlexibilityData Center Private CloudServersIDS/IPSFirewall/L2 VSNUsersIDS/IPSFirewallL3 VSN在

11、安全管理區(qū)域，集中管控不同業(yè)務(wù)之間的互訪操作 RSMLTVRRP安全管理區(qū)域設(shè)計示例：內(nèi)外系統(tǒng)獨立的安全設(shè)備Internet(RT)AdminPDC CoreERS 8800VRRP SPBm CoreVSP9000 RSMLTExternal FWWeb ProxyAdminVenue CoreERS 8800InternalFWPDC ToR stacksERS 5650 16DHCP, DNS, AD, NMSWLAN 8100ManagementDMZ16InternalDMZEmail, FTP, DNSExternalDMZ16VoiceDMZSMCMSYSMGRG450 Stor

12、ageOlympic AppsAdmin AppsLogical separationID EnginesPSTN(RT)PRI10 GigE1 GigESPBm Core Utility Server人民銀行發(fā)布的網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）1. 簡潔：業(yè)務(wù)的變更或部署在邊界設(shè)備上完成，零配置核心3. 彈性：任意設(shè)備或者鏈路的故障網(wǎng)絡(luò)將在200ms內(nèi)自愈4. 健壯：網(wǎng)絡(luò)拓撲由設(shè)備自主維護人為操作失誤不會影響網(wǎng)絡(luò)正常運轉(zhuǎn)ISISISISISISISISISISISISISISISISISISISISISISUnified Management2. 高效：自動尋找最佳路徑傳輸，支持多路徑

13、負載均衡Virtual Service NetworkXFabric Connect構(gòu)建數(shù)據(jù)中心網(wǎng)絡(luò)的好處ISTData Center Core數(shù)據(jù)中心內(nèi)傳統(tǒng)機架間互聯(lián)方式在機架間，快速共享計算和存儲資源Pods間5.12T的背板速率閃電般的vMotion遷移速度; 數(shù)據(jù)無需經(jīng)過核心設(shè)備架構(gòu)更加先進 多個機架間的背板直聯(lián)VSP 7000 Distributed Top of Rack （DToR）架構(gòu)更加先進 按需“連接”的數(shù)據(jù)中心架構(gòu)211、以較低成本，在任意的柜頂服務(wù)器交換機之間提供高達640Gbps的高速、低延時通道2、柜頂交換機按需連接到核心交換機上3、將傳統(tǒng)數(shù)據(jù)中心的二維連接，更新為

14、新型數(shù)據(jù)中心的立體結(jié)構(gòu) Westpac Bank案例分享1.平滑升級：業(yè)務(wù)系統(tǒng)的遷移可在1s內(nèi)完成，遷移過程中不影響用戶的使用2. 彈性互聯(lián)：任何鏈路或設(shè)備故障，網(wǎng)絡(luò)平臺均能在1s內(nèi)自愈3.智能高效：數(shù)據(jù)由最優(yōu)的鏈路和設(shè)備完成轉(zhuǎn)發(fā)；三地網(wǎng)關(guān)設(shè)備均處于并發(fā)處理狀態(tài)案例：Sochi冬奧會七種相互隔離的安全虛擬子網(wǎng)絡(luò)比賽場館數(shù)據(jù)中心(備份)數(shù)據(jù)中心(主要)奧運村媒體中心慶典中心IPTV 服務(wù)比賽網(wǎng)絡(luò)服務(wù)統(tǒng)一通訊服務(wù)組委會服務(wù)無線WiFi 服務(wù)透明媒體專用網(wǎng)絡(luò)服務(wù)安全管理系統(tǒng)容量堆疊模塊化ERS 8800ERS 4000 & VSP 4KVSP 9000ERS 350010/100, GE, POE+1