銀行網(wǎng)絡(luò)建設(shè)方案

1、參考國內(nèi)外同行業(yè)的組網(wǎng)模型，按照標(biāo)準(zhǔn)化、模塊化、結(jié)構(gòu)的原則進(jìn)行生產(chǎn)中心的升級，改變現(xiàn)狀生產(chǎn)中心過于扁平化、安全性低的現(xiàn)狀，可以將生產(chǎn)中心規(guī)劃為：核心交換區(qū)、生產(chǎn)服務(wù)器區(qū)、前置機(jī)區(qū)、網(wǎng)銀區(qū)、運行管理區(qū)、樓層接入?yún)^(qū)、辦公服務(wù)器區(qū)、廣域網(wǎng)接入?yún)^(qū)、災(zāi)備中心互聯(lián)區(qū)、中間業(yè)務(wù)外聯(lián)區(qū)等功能模塊。在各分區(qū)邊界部署防火墻，確保訪問的安全，實現(xiàn)生產(chǎn)中心的高性能、高安全、高擴(kuò)展和易管理。Ø 核心交換區(qū)：為生產(chǎn)網(wǎng)絡(luò)的各功能子區(qū)提供核心路由交換。Ø 生產(chǎn)核心區(qū)：部署天津商行生產(chǎn)服務(wù)和生產(chǎn)小機(jī)。Ø 前置機(jī)服務(wù)器區(qū)：連接各種業(yè)務(wù)前置機(jī)專用區(qū)域Ø 樓層接入?yún)^(qū)（遷移）：負(fù)責(zé)本地辦公用戶的

2、接入。Ø 網(wǎng)銀區(qū)（遷移）：部署網(wǎng)上銀行業(yè)務(wù)的服務(wù)器。Ø DWDM區(qū)：連接生產(chǎn)中心和災(zāi)備中心的廣域傳輸系統(tǒng)區(qū)域。Ø 廣域網(wǎng)接入?yún)^(qū)：部署下聯(lián)各省市分行、天津各區(qū)縣支行、分理處的骨干網(wǎng)路由器。Ø 中間業(yè)務(wù)外聯(lián)區(qū)：通過專線連接監(jiān)管單位、合作伙伴，為第三方機(jī)構(gòu)提供外聯(lián)服務(wù)。Ø 運行維護(hù)區(qū)：部署網(wǎng)絡(luò)和系統(tǒng)管理及維護(hù)的業(yè)務(wù)系統(tǒng)。東麗數(shù)據(jù)中心主要需要建立IP網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)。在IP網(wǎng)絡(luò)中，按業(yè)務(wù)功能和安全需要分為不同的網(wǎng)絡(luò)區(qū)域，各個網(wǎng)絡(luò)區(qū)域有獨立的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、防火墻等）連接相應(yīng)的主機(jī)、服務(wù)器、pc機(jī)等設(shè)備，每個網(wǎng)絡(luò)區(qū)域的匯聚/接入交換機(jī)再連接到IP網(wǎng)的核

3、心交換機(jī)上；每個網(wǎng)絡(luò)區(qū)域內(nèi)部可以根據(jù)需要再分為不同的控制區(qū)域。IP網(wǎng)絡(luò)主要分為以下網(wǎng)絡(luò)區(qū)域：核心交換區(qū)、生產(chǎn)核心區(qū)、前置機(jī)服務(wù)器區(qū)、樓層接入?yún)^(qū)、開發(fā)測試區(qū)、網(wǎng)銀區(qū)、DWDM區(qū)、廣域網(wǎng)接入?yún)^(qū)、中間業(yè)務(wù)外聯(lián)區(qū)、運行維護(hù)區(qū)，如圖：4.1.2 VLAN規(guī)劃在模塊化網(wǎng)絡(luò)架構(gòu)中可以看到，數(shù)據(jù)中心首先是被劃分為網(wǎng)絡(luò)分區(qū)，然后基于每個應(yīng)用對各自架構(gòu)的QOS需求，再進(jìn)一步將網(wǎng)絡(luò)分區(qū)劃分為邏輯組。為了完成以上闡述的模塊化架構(gòu)，需要在網(wǎng)絡(luò)的第2層創(chuàng)建VLAN。在不同分區(qū)之間互聯(lián)點和分區(qū)內(nèi)部上行連接點上，都需要創(chuàng)建VLAN。在數(shù)據(jù)內(nèi)部，交換核心區(qū)域和其他功能區(qū)域的匯聚交換機(jī)之間運行OSPF骨干區(qū)域AREA 0，其他區(qū)

4、域內(nèi)部分別運行OSPF和靜態(tài)路由。在東麗數(shù)據(jù)中心中，核心交換區(qū)連接了其他不同的分區(qū)。它也作為數(shù)據(jù)中心連接災(zāi)備中心和廣域網(wǎng)絡(luò)的連接點。核心區(qū)在數(shù)據(jù)中心架構(gòu)中的作用是，盡可能快速地在網(wǎng)絡(luò)之間實現(xiàn)數(shù)據(jù)傳輸?shù)穆酚珊蛿?shù)據(jù)交換。核心區(qū)主要部署兩臺高端交換機(jī)S12508交換機(jī)連接其他功能分區(qū)，提供10G和GE鏈路的雙歸屬連接。兩臺核心交換器之間采取Trunk鏈路連接，啟用IRF技術(shù)，將兩條核心交換機(jī)虛擬成一臺。核心區(qū)交換機(jī)連接到所有其他區(qū)的邊緣設(shè)備，有兩類連接連接到核心，一類是來自核心生產(chǎn)業(yè)務(wù)（比如生產(chǎn)核心區(qū), 前置機(jī)區(qū)）的連接，對該類應(yīng)用提供高速訪問服務(wù)，采用萬兆接口這兩個區(qū)域的匯聚交換機(jī)。另一類是其它業(yè)

5、務(wù)。每個區(qū)匯聚交換機(jī)/接入交換機(jī)都上行連接到Core-SW1和Core-SW2。每個區(qū)交換機(jī)將使用單獨的VLAN，VLAN跨越兩個交換機(jī)，上行鏈接到核心。4.2.2 VLAN劃分與每個子區(qū)域的互聯(lián)接口可劃分為同一VLAN，將核心交換區(qū)域與各子域的互聯(lián)鏈路進(jìn)行鏈路聚合。如下圖所示：在2臺Core-SW1和Core-SW2核心交換機(jī)和各區(qū)域的匯聚交換機(jī)連接端口上運行OSPF動態(tài)路由協(xié)議，所屬的區(qū)域為Area 0,這樣各個網(wǎng)絡(luò)分區(qū)系統(tǒng)都可以通過核心區(qū)域知道整個網(wǎng)絡(luò)系統(tǒng)的路由。采用IRF技術(shù)后，可以大大簡化網(wǎng)絡(luò)中的路由設(shè)置，減少需要的互聯(lián)路由網(wǎng)段，其中，除網(wǎng)銀與中間業(yè)務(wù)外聯(lián)區(qū)外，其它區(qū)域的匯聚/接入交

6、換機(jī)與核心之間的互聯(lián)鏈路都進(jìn)行聚合，生產(chǎn)核心區(qū)和前置機(jī)區(qū)在各自區(qū)域的核心/接入交換機(jī)上啟用三層功能，采用OSPF和核心交換區(qū)之間進(jìn)行互通，如下圖所示意：生產(chǎn)核心區(qū)用于連接核心的生產(chǎn)業(yè)務(wù)系統(tǒng)的小機(jī)、服務(wù)器等生產(chǎn)主機(jī)；在該區(qū)域采用三層架構(gòu)，采用全千兆智能接入交換機(jī)S5500EI系列交換機(jī)提供小機(jī)及服務(wù)器的光口、電口接入，每個接入交換機(jī)采用雙千兆光口分別上行到生產(chǎn)核心區(qū)的兩條匯聚交換機(jī)S9508E交換機(jī)上，兩條S9508E交換機(jī)互相之間采用雙萬兆鏈路聚合捆綁，啟用IRF功能，將兩臺匯聚交換機(jī)虛擬成一臺交換機(jī)，每個S9508E各出一個萬兆接口上聯(lián)到數(shù)據(jù)中心核心交換機(jī)S12508上，上行的兩條萬兆鏈路啟

7、用鏈路捆綁功能，聚合成一條20G的物理鏈路。4.3.2 VLAN規(guī)劃上聯(lián)到核心交換區(qū)的VLAN采用鏈路聚合，合并為一個VLAN,在分區(qū)內(nèi)部根據(jù)不同級別的應(yīng)用再進(jìn)一步分配。VLAN分配主要考慮互聯(lián)VLAN和主機(jī)。4.3.3 路由規(guī)劃匯聚層交換機(jī)與核心交換機(jī)間運行OSPF路由協(xié)議。在設(shè)備間運行OSPF時，建議將匯聚層95的相關(guān)接口劃分在一個OSPFSTUB區(qū)域中，以免數(shù)據(jù)中心中收到過多的LSA。各個功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均相同，并且可預(yù)知。生產(chǎn)核心區(qū)外連核心區(qū)的2條鏈路的進(jìn)行鏈路捆綁，在路由計算上，只有一條路徑，但是該路徑包含2個萬兆端

8、口，提供物理層面的冗余。4.4.1 拓?fù)淝爸脵C(jī)區(qū)連接生產(chǎn)類系統(tǒng)的前置機(jī)等；該區(qū)使用4臺千兆智能交換機(jī)S5500-52C-EI交換機(jī)。4臺S5500-52C-EI交換機(jī)采用IRF虛擬化技術(shù)將4臺交換機(jī)虛擬成一臺交換機(jī)。4.4.2 VLAN規(guī)劃上聯(lián)到核心區(qū)的鏈路進(jìn)行鏈路捆綁，采用同一個VLAN進(jìn)行互聯(lián)。在分區(qū)內(nèi)部根據(jù)不同級別的應(yīng)用再進(jìn)一步分配。VLAN分配主要考慮互聯(lián)VLAN和主機(jī)。4.4.3 路由規(guī)劃接入交換機(jī)啟用三層功能，前置機(jī)網(wǎng)關(guān)設(shè)置在接入交換機(jī)上，接入交換機(jī)與核心交換機(jī)間運行OSPF路由協(xié)議。在設(shè)備間運行OSPF時，建議將接入交換機(jī)的相關(guān)接口劃分在一個OSPFSTUB區(qū)域中，以免數(shù)據(jù)中心中

9、收到過多的LSA。各個功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均相同，并且可預(yù)知。前置區(qū)外連核心區(qū)的2條萬兆鏈路的進(jìn)行鏈路捆綁，在路由計算上，只有一條路徑，但是該路徑包含2個萬兆端口，提供物理層面的冗余。廣域網(wǎng)接入?yún)^(qū)主要連接與各省市分行，天津市內(nèi)各區(qū)縣支行，分理處等的上聯(lián)網(wǎng)絡(luò)設(shè)備，該區(qū)使用兩臺SR6608核心路由器作為各分支機(jī)構(gòu)的上聯(lián)設(shè)備，每個SR6608配置3個CPOS廣域接口，2個主用，一個備用。4.5.1 路由規(guī)劃廣域網(wǎng)接入?yún)^(qū)與整個數(shù)據(jù)中心采用統(tǒng)一的策略和部署方案，在核心區(qū)作為OSPF骨干區(qū)的前提下，廣域網(wǎng)接入?yún)^(qū)內(nèi)部路由協(xié)議采用OSPF，在區(qū)域

10、內(nèi)路由詳細(xì)規(guī)劃上，建議如下：l 廣域網(wǎng)路由器與核心交換機(jī)互聯(lián)的端口，劃分為OSPF骨干域0域l 廣域網(wǎng)路由器下聯(lián)接口，按照原有的路由規(guī)劃，劃分為1、2、3、4和10、20、30、40等幾個路由子域。l 路由器到核心交換機(jī)上的鏈路采用Trunk鏈路進(jìn)行連接。6.2 IRF虛擬化技術(shù)IRF 2交換機(jī)虛擬化實現(xiàn)多臺設(shè)備虛擬化成一臺設(shè)備，即多臺設(shè)備當(dāng)做一臺設(shè)備來運行、管理。大大簡化數(shù)據(jù)中心日益復(fù)雜的組網(wǎng)和管理維護(hù)，相比于傳統(tǒng)的MSTP、VRRP和多路徑的路由協(xié)議，IRF可以免除這些協(xié)議的部署，簡化設(shè)備并成倍的提升網(wǎng)絡(luò)性能與可靠性。IRF堆疊具有以下主要優(yōu)點：簡化管理。IRF堆疊形成之后，用戶連接到任何

11、一臺成員設(shè)備的任何一個端口可以登錄IRF堆疊系統(tǒng)，這相當(dāng)于直接登錄IRF系統(tǒng)中的Master設(shè)備，通過對Master設(shè)備的配置達(dá)到管理整個IRF堆疊以及堆疊內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺成員設(shè)備上分別對它們進(jìn)行配置和管理。簡化網(wǎng)絡(luò)運行。IRF形成的虛擬設(shè)備中運行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運行的，例如路由協(xié)議會作為單一設(shè)備統(tǒng)一計算。這樣省去了設(shè)備間大量協(xié)議報文的交互，簡化了網(wǎng)絡(luò)運行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。IRF技術(shù)的這一特性是常見的集群技術(shù)所不具備的，后者僅僅能完成設(shè)備管理上的統(tǒng)一，而集群中的設(shè)備在網(wǎng)絡(luò)中仍然分別作為獨立節(jié)點運行。低成本：IRF技術(shù)是將一些較低端的設(shè)備虛

12、擬成為一個相對高端的設(shè)備使用，從而具有高端設(shè)備的端口密度和帶寬，以及低端設(shè)備的成本。比直接使用高端設(shè)備具有成本優(yōu)勢。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過增加成員設(shè)備，可以輕松自如的擴(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。保護(hù)用戶投資。由于具有強(qiáng)大的擴(kuò)展能力，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級時，不需要替換掉原有設(shè)備，只需要增加新設(shè)備既可。很好的保護(hù)了用戶投資。高可靠性。堆疊的高可靠性體現(xiàn)在多個方面，比如：成員設(shè)備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺成員設(shè)備組成，Master設(shè)備負(fù)責(zé)堆疊的運行、管理和維護(hù)，Slave設(shè)備在作

13、為備份的同時也可以處理業(yè)務(wù)，一旦Master設(shè)備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過堆疊的業(yè)務(wù)不中斷，從而實現(xiàn)了設(shè)備級的1:N備份。IRF是網(wǎng)絡(luò)可靠性保障的最優(yōu)解決方案。高性能。由于IRF設(shè)備是由多個支持IRF特性的單機(jī)設(shè)備堆疊而成的，IRF設(shè)備的交換容量和端口數(shù)量就是IRF內(nèi)部所有單機(jī)設(shè)備交換容量和端口數(shù)量的總和。因此，IRF技術(shù)能夠通過多個單機(jī)設(shè)備的堆疊，輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。豐富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交換機(jī)特性，并且能夠高效穩(wěn)定地運行這些功能，大大擴(kuò)

14、展了IRF設(shè)備的應(yīng)用范圍。廣泛的產(chǎn)品支持。IRF技術(shù)作為一種通用的虛擬技術(shù)，對不同形態(tài)產(chǎn)品的堆疊一體化的實現(xiàn)，使用同一技術(shù)，同時支持盒式設(shè)備的堆疊，以及框式分布式設(shè)備的堆疊。使用IRF擴(kuò)展端口數(shù)量使用IRF擴(kuò)展端口數(shù)量如下圖所示。當(dāng)接入的用戶數(shù)增加到原交換機(jī)端口密度不能滿足接入需求時，可以通過在原有的堆疊系統(tǒng)中增加新的交換機(jī)而得到滿足。使用IRF擴(kuò)展端口組網(wǎng)圖使用IRF擴(kuò)展系統(tǒng)處理能力使用IRF擴(kuò)展系統(tǒng)處理能力如下圖所示。當(dāng)中心的交換機(jī)轉(zhuǎn)發(fā)能力不能滿足需求時，可以增加新交換機(jī)與原交換機(jī)組成堆疊系統(tǒng)來實現(xiàn)。若一臺交換機(jī)轉(zhuǎn)發(fā)能力為64M PPS，則通過增加一臺交換機(jī)進(jìn)行擴(kuò)展后，整個堆疊設(shè)備的轉(zhuǎn)發(fā)能

15、力為128M PPS。需要強(qiáng)調(diào)的是，是整個堆疊設(shè)備的轉(zhuǎn)發(fā)能力整體提高，而不是單個交換機(jī)的轉(zhuǎn)發(fā)能力提高。使用IRF擴(kuò)展系統(tǒng)處理能力組網(wǎng)圖使用IRF擴(kuò)展帶寬使用IRF擴(kuò)展帶寬如下圖所示，當(dāng)邊緣交換機(jī)上行帶寬增加時，可以增加新交換機(jī)與原交換機(jī)組成堆疊系統(tǒng)來實現(xiàn)。將成員設(shè)備的多條物理鏈路配置成一個聚合組，可以增加到中心交換機(jī)的帶寬。而對中心交換機(jī)的而言，邊緣交換機(jī)的數(shù)量并沒有變化，物理上的兩臺交換機(jī)看起來就是一臺交換機(jī)，原有交換機(jī)會將當(dāng)前的配置批量備份到新加入的交換機(jī)。因此，這種變化對網(wǎng)絡(luò)規(guī)劃和配置影響很小。使用IRF擴(kuò)展帶寬組網(wǎng)圖跨越空間使用IRFIRF2.0可以通過光纖將相距遙遠(yuǎn)的設(shè)備連接形成堆疊設(shè)備，如下圖所示，每個樓層的用戶通過樓道交換機(jī)接入外部網(wǎng)絡(luò)，現(xiàn)使用堆疊光纖將各樓道交換機(jī)連接起來形成一個堆疊設(shè)備，這樣，相當(dāng)于每個樓只有一個接入設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)變得更加簡單；每個樓層有多條鏈路到達(dá)核心網(wǎng)絡(luò)，網(wǎng)絡(luò)變得更加健壯、可靠；對多臺樓道交換機(jī)的配置簡化成對對堆疊系統(tǒng)