XX銀行數(shù)據(jù)中心網(wǎng)路規(guī)劃方案_第1頁
XX銀行數(shù)據(jù)中心網(wǎng)路規(guī)劃方案_第2頁
XX銀行數(shù)據(jù)中心網(wǎng)路規(guī)劃方案_第3頁
XX銀行數(shù)據(jù)中心網(wǎng)路規(guī)劃方案_第4頁
XX銀行數(shù)據(jù)中心網(wǎng)路規(guī)劃方案_第5頁
已閱讀5頁,還剩23頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)2015年12月目 錄1建設(shè)背景42項(xiàng)目目標(biāo)43需求分析43.1業(yè)務(wù)需求分析43.2其他需求53.3網(wǎng)絡(luò)架構(gòu)支持新技術(shù)發(fā)展趨勢(shì)的考慮64網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)目標(biāo)和需求描述64.1網(wǎng)絡(luò)整體架構(gòu)設(shè)計(jì)64.2網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需求75網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計(jì)85.1總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)85.2數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)95.3廣域網(wǎng)架構(gòu)設(shè)計(jì)115.3.1數(shù)據(jù)中心互連核心骨干網(wǎng)架構(gòu)115.3.2數(shù)據(jù)中心和同城災(zāi)備中心互連115.3.3數(shù)據(jù)中心和異地災(zāi)備中心互連125.3.4廣域網(wǎng)鏈路容災(zāi)設(shè)計(jì)135.3.5分支機(jī)構(gòu)廣域網(wǎng)架構(gòu)155.3.6數(shù)據(jù)分流策略165.4數(shù)據(jù)中心網(wǎng)絡(luò)核心架構(gòu)設(shè)計(jì)165.4.1數(shù)據(jù)中心業(yè)務(wù)區(qū)架構(gòu)

2、設(shè)計(jì)175.4.2網(wǎng)銀區(qū)架構(gòu)設(shè)計(jì)185.4.3外聯(lián)區(qū)架構(gòu)設(shè)計(jì)205.4.4辦公互聯(lián)網(wǎng)區(qū)架構(gòu)設(shè)計(jì)225.4.5運(yùn)維管理區(qū)架構(gòu)設(shè)計(jì)245.4.6托管區(qū)架構(gòu)設(shè)計(jì)271 建設(shè)背景為了更好地為業(yè)務(wù)發(fā)展服務(wù),提供高效、安全和穩(wěn)定的生產(chǎn)環(huán)境,并能夠快速、靈活地響應(yīng)新環(huán)境下的金融業(yè)務(wù)的開展,需要對(duì)數(shù)據(jù)中心進(jìn)行重新規(guī)劃和建設(shè)。2 項(xiàng)目目標(biāo)本次網(wǎng)絡(luò)規(guī)劃主要在考慮XX銀行三到五年內(nèi)的業(yè)務(wù)發(fā)展需求,總體目標(biāo)是按照“兩地三中心”的業(yè)務(wù)發(fā)展指導(dǎo)建設(shè)一個(gè)能適應(yīng)未來業(yè)務(wù)發(fā)展的高性能、高擴(kuò)展性及智能化的網(wǎng)絡(luò)基礎(chǔ)架構(gòu),以支持業(yè)務(wù)長期、安全、穩(wěn)定、快速發(fā)展。3 需求分析3.1 業(yè)務(wù)需求分析目前主要業(yè)務(wù)分為生產(chǎn)和OA兩大類;生產(chǎn)業(yè)務(wù)

3、包括核心及相關(guān)外圍業(yè)務(wù),OA是核心業(yè)務(wù)之外的業(yè)務(wù),主要是辦公網(wǎng)業(yè)務(wù)、業(yè)務(wù)管控系統(tǒng)、視頻監(jiān)控系統(tǒng)等非核心業(yè)務(wù)。生產(chǎn)業(yè)務(wù)和OA業(yè)務(wù)部署在數(shù)據(jù)中心局域網(wǎng)不同的功能區(qū)域,物理隔離。由于未來業(yè)務(wù)環(huán)境的變化,主要的業(yè)務(wù)需求包括:業(yè)務(wù)變化的需求 新產(chǎn)品和服務(wù)的快速投產(chǎn)對(duì)網(wǎng)絡(luò)的靈活響應(yīng)、快速的部署響應(yīng)及支持能力都有新的和更高的要求,并需要降低對(duì)現(xiàn)有應(yīng)用帶來沖擊。業(yè)務(wù)快速發(fā)展帶來的大量數(shù)據(jù)和用戶 要求具有高擴(kuò)展性網(wǎng)絡(luò)架構(gòu),靈活支持不同類型的數(shù)據(jù),同時(shí)需要平衡功能和成本,以求能夠在成本有效的前提下,滿足突發(fā)業(yè)務(wù)的傳輸與用戶訪問的需求特殊應(yīng)用對(duì)網(wǎng)絡(luò)的要求 特殊應(yīng)用如多媒體應(yīng)用、集中提回、證券基金、Call Cent

4、er等,或?qū)W(wǎng)絡(luò)延遲、傳輸能力等有要求,必須予以考慮,以保證網(wǎng)絡(luò)服務(wù)質(zhì)量。網(wǎng)絡(luò)安全機(jī)制 需要進(jìn)行網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)分析,網(wǎng)絡(luò)安全需要同時(shí)考慮網(wǎng)絡(luò)能夠靈活和動(dòng)態(tài)的支持業(yè)務(wù)的開展,平衡網(wǎng)絡(luò)安全和業(yè)務(wù)需要的功能網(wǎng)絡(luò)管理體系 整體網(wǎng)絡(luò)管理體系必須要能夠基于業(yè)務(wù)的要求,有效地加強(qiáng)網(wǎng)絡(luò)管控、管理和審計(jì)能力,提升保證網(wǎng)絡(luò)服務(wù)指標(biāo)和總體運(yùn)行效率,達(dá)到可視、可管和可控3.2 其他需求對(duì)金融行業(yè)來說,客戶是生存的基礎(chǔ),隨著國際及國內(nèi)金融行業(yè)競(jìng)爭(zhēng)的加劇,目前國際金融行業(yè)已經(jīng)形成了以“客戶”為中心、以“服務(wù)”為導(dǎo)向的發(fā)展模式,在這一模式下,金融行業(yè)通過對(duì)內(nèi)部資源進(jìn)行更加全面的整合,為客戶提供更為精細(xì)的服務(wù),從而為客戶帶來

5、更佳的業(yè)務(wù)體驗(yàn)。因此如何整合內(nèi)部資源,特別是如何利用信息科技的手段使XX銀行已經(jīng)到來的激烈競(jìng)爭(zhēng)中立于不敗,已經(jīng)是一個(gè)迫在眉睫的任務(wù)。按照“服務(wù)中心”的理念對(duì)XX銀行整體IT基礎(chǔ)架構(gòu)進(jìn)行重新規(guī)劃布局實(shí)際上是從整個(gè)發(fā)展理念上對(duì)IT基礎(chǔ)架構(gòu)未來的建設(shè)規(guī)劃指明方向,并根據(jù)不同的功能需求以提供“服務(wù)”的視角來整合內(nèi)部IT資源,從而為未來“綜合化”的業(yè)務(wù)發(fā)展、“專業(yè)化”的服務(wù)能力打下堅(jiān)實(shí)的基礎(chǔ)。根據(jù)“服務(wù)中心”的理念,XX銀行未來整體IT基礎(chǔ)架構(gòu)將由多個(gè)服務(wù)中心以及為這些服務(wù)中心提供傳輸和接入服務(wù)的核心網(wǎng)絡(luò)構(gòu)成,這些服務(wù)中心包括數(shù)據(jù)中心、災(zāi)備中心、開發(fā)中心、呼叫中心等等,根據(jù)其業(yè)務(wù)功能和服務(wù)領(lǐng)域的不同為X

6、X銀行的所有業(yè)務(wù)部門提供其所需的業(yè)務(wù)和IT服務(wù)。這種多服務(wù)中心的架構(gòu)能夠靈活地為不同需求單位提供所需的業(yè)務(wù)和IT服務(wù),包括后臺(tái)業(yè)務(wù)處理、網(wǎng)絡(luò)接入、數(shù)據(jù)處理及交換等,并且能夠根據(jù)未來XX銀行業(yè)務(wù)的發(fā)展而進(jìn)行動(dòng)態(tài)的調(diào)整。這種多服務(wù)中心的架構(gòu)需要XX銀行未來新一代網(wǎng)絡(luò)架構(gòu)具備以下能力提供支持:Ø 靈活的接入要求 未來服務(wù)中心作為XX銀行所有業(yè)務(wù)部門的共享資源,能夠提供靈活的接入方式,為所需要的成員單位提供可靠的、靈活調(diào)整性強(qiáng)的接入要求,并且能夠根據(jù)所提供服務(wù)的不同,提供不同的接入方式與能力,如數(shù)據(jù)中心與呼叫中心,由于其業(yè)務(wù)需求不同,其要求的接入方式與能力也將有所不同。Ø 高可用的

7、架構(gòu) 服務(wù)中心將是XX銀行業(yè)務(wù)處理、信息處理、數(shù)據(jù)交換極其重要的部分,如數(shù)據(jù)中心、災(zāi)備中心等,這些服務(wù)中心作為XX銀行整個(gè)架構(gòu)中的重要節(jié)點(diǎn),需要具備高可用的架構(gòu)才能保證為業(yè)務(wù)發(fā)展提供連續(xù)的、有質(zhì)量保證的服務(wù)。需要強(qiáng)調(diào)的是,不僅需要考慮在服務(wù)中心內(nèi)部的高可用架構(gòu),更應(yīng)該從整體業(yè)務(wù)的高可用性進(jìn)行規(guī)劃。 Ø 滿足業(yè)務(wù)對(duì)性能的需求 未來服務(wù)中心將承載XX銀行所有業(yè)務(wù)的運(yùn)行,并且根據(jù)服務(wù)中心功能的不同,對(duì)性能的需求也不同,如集中提回等對(duì)實(shí)時(shí)性要求較高的業(yè)務(wù),視頻會(huì)議、呼叫中心等對(duì)網(wǎng)絡(luò)帶寬要求較高的應(yīng)用等,必須根據(jù)服務(wù)中心功能和所提供服務(wù)的不同,進(jìn)行不同的性能考慮和規(guī)劃。Ø 動(dòng)態(tài)的IT

8、資源調(diào)度和配置 多服務(wù)中心非常重要的一個(gè)需求就是能夠適時(shí)為不斷增加的業(yè)務(wù)提供所需要的服務(wù),這就要求未來的架構(gòu)具備對(duì)IT資源進(jìn)行動(dòng)態(tài)的調(diào)度和配置的能力,從而降低未來業(yè)務(wù)發(fā)展的成本,以及總體的IT運(yùn)營成本,提高IT對(duì)業(yè)務(wù)發(fā)展的支持能力。3.3 網(wǎng)絡(luò)架構(gòu)支持新技術(shù)發(fā)展趨勢(shì)的考慮網(wǎng)絡(luò)架構(gòu)規(guī)劃必須考慮新技術(shù)的發(fā)展趨勢(shì),近年新技術(shù)的討論主要是著重在虛擬化、云計(jì)算和動(dòng)態(tài)架構(gòu)等。這些新技術(shù)的引進(jìn),對(duì)IT管理帶來極大的壓力,在新技術(shù)的引進(jìn)時(shí),必須首先需要建設(shè)配套的管理機(jī)制,技術(shù)的實(shí)施在能達(dá)到預(yù)期的效果過。但對(duì)企業(yè)而言,網(wǎng)絡(luò)規(guī)劃對(duì)新技術(shù)的考慮必須基于業(yè)務(wù)的需求,網(wǎng)絡(luò)的前瞻性應(yīng)著重于網(wǎng)絡(luò)靈活、動(dòng)態(tài)及成本有效地支持業(yè)

9、務(wù)的力度,而不完全以新技術(shù)的引進(jìn)為衡量的唯一因素。虛擬化 打破傳統(tǒng)的資源獨(dú)享的概念,在物理資源中創(chuàng)造許多虛擬資源,基于用戶提出的請(qǐng)求,部署用戶需要的資源,達(dá)到資源共享,減低總體IT設(shè)備成本。4 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)目標(biāo)和需求描述4.1 網(wǎng)絡(luò)整體架構(gòu)設(shè)計(jì)根據(jù)對(duì)新業(yè)務(wù)環(huán)境和IT整體策略的理解,考慮新技術(shù)發(fā)展趨勢(shì),新一代整體網(wǎng)絡(luò)架構(gòu)將是面向服務(wù)的網(wǎng)絡(luò)架構(gòu),支持平等的多服務(wù)中心,提供一種有效和創(chuàng)新的服務(wù)交付模式,將共享資源分離出來,以提高它們的可移植性,并能夠充分利用更加優(yōu)化的系統(tǒng)和網(wǎng)絡(luò)資源以提高效率、適應(yīng)業(yè)務(wù)環(huán)境的變化,并降低整體成本。整體規(guī)劃體現(xiàn)以下重要的特點(diǎn):Ø 整合共享而安全獨(dú)立的網(wǎng)絡(luò)架構(gòu),

10、滿足綜合化業(yè)務(wù)環(huán)境并安全合規(guī)一個(gè)整合統(tǒng)一的網(wǎng)絡(luò)環(huán)境支持整個(gè)銀行業(yè)務(wù)部門?!罢稀睘榫C合化業(yè)務(wù),融合產(chǎn)品和融合渠道的開展提供了統(tǒng)一的通信服務(wù)平臺(tái)。同時(shí),網(wǎng)絡(luò)通過虛擬化及安全技術(shù)為各部門提供網(wǎng)絡(luò)的獨(dú)立性,滿足各部門安全合規(guī)性要求。Ø 建設(shè)核心網(wǎng),適應(yīng)多服務(wù)中心環(huán)境,并快速響應(yīng)業(yè)務(wù)環(huán)境的變化通過核心網(wǎng)的建設(shè),提供一個(gè)更靈活有彈性的網(wǎng)絡(luò)架構(gòu),支持多服務(wù)中心的環(huán)境,并快速響應(yīng)業(yè)務(wù)環(huán)境的變化。核心網(wǎng)改變傳統(tǒng)多星型的架構(gòu),利用新的組網(wǎng)技術(shù),支持任意的拓?fù)浣Y(jié)構(gòu),按需分配帶寬資源和服務(wù)等級(jí),從而使整體網(wǎng)絡(luò)架構(gòu)更具靈活性和彈性。4.2 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)需求網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計(jì)需求:Ø 提供兩地三中心架

11、構(gòu)設(shè)計(jì)Ø 優(yōu)化網(wǎng)絡(luò)功能分區(qū)和網(wǎng)絡(luò)核心架構(gòu),并提供各功能組件的詳細(xì)設(shè)計(jì),滿足以下需求: Ø 設(shè)計(jì)數(shù)據(jù)中心核心交換區(qū), 構(gòu)建一個(gè)SOA結(jié)構(gòu)的易擴(kuò)展,高可用的數(shù)據(jù)中心核心Ø 根據(jù)安全分區(qū),業(yè)務(wù)關(guān)鍵程度,應(yīng)用耦合度等因素,優(yōu)化服務(wù)器在網(wǎng)絡(luò)功能區(qū)的部署。Ø 用戶接入需求: 滿足廣域網(wǎng)用戶,數(shù)據(jù)中心本地用戶接入,遠(yuǎn)程用戶接入,外聯(lián)用戶接入,運(yùn)維管理用戶接入等用戶接入的要求。Ø 運(yùn)維管理需求:設(shè)計(jì)運(yùn)維管理區(qū), 提供運(yùn)維管理用服務(wù)器, 運(yùn)維管理用戶, 帶內(nèi)帶外網(wǎng)絡(luò)的接入。Ø 內(nèi)部用戶上網(wǎng)需求:為用戶上網(wǎng)提供互聯(lián)網(wǎng)接入,以及防DDOS, 入侵防御,防病

12、毒,上網(wǎng)行為審計(jì)等安全服務(wù)。Ø 數(shù)據(jù)中心間網(wǎng)絡(luò)需求:設(shè)計(jì)數(shù)據(jù)中心間網(wǎng)絡(luò),滿足主用數(shù)據(jù)中心、災(zāi)備中心和異地?cái)?shù)據(jù)中心存儲(chǔ)數(shù)據(jù)復(fù)制和備份的要求,以及災(zāi)備切換,災(zāi)備演練,網(wǎng)絡(luò)多點(diǎn)接入需要的網(wǎng)絡(luò)環(huán)境。Ø 提供NAS/備份網(wǎng)絡(luò)的設(shè)計(jì),滿足基于IP技術(shù)的存儲(chǔ)網(wǎng)絡(luò)服務(wù)的需求。Ø 提供帶外管理網(wǎng)絡(luò)架構(gòu)設(shè)計(jì),滿足主機(jī)和網(wǎng)絡(luò)設(shè)備帶外操作和管理的要求。網(wǎng)絡(luò)安全設(shè)計(jì)需求: Ø 規(guī)劃符合行業(yè)規(guī)范的安全區(qū)Ø 區(qū)別應(yīng)用的安全等級(jí),區(qū)分不同的用戶組和訪問特征,進(jìn)行有效的訪問安全控制Ø 設(shè)備安全:優(yōu)化設(shè)備的安全服務(wù), 提升設(shè)備本身的安全網(wǎng)絡(luò)管理設(shè)計(jì)需求:Ø 配

13、置管理:實(shí)現(xiàn)配置變更標(biāo)準(zhǔn)化, 加強(qiáng)配置審計(jì), 從而提高操作維護(hù)效率,降低人工操作失誤,提升網(wǎng)絡(luò)整體可用性Ø 性能和用量管理:提升網(wǎng)絡(luò)對(duì)性能的預(yù)防性管理能力, 提升對(duì)資源的合理分配和預(yù)測(cè)能力, 提供網(wǎng)絡(luò)和應(yīng)用服務(wù)水平5 網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計(jì)5.1 總體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)根據(jù)整體的網(wǎng)絡(luò)規(guī)劃,需要建設(shè)三個(gè)數(shù)據(jù)中心,形成同城主備、異地災(zāi)備數(shù)據(jù)中心的“兩地三中心”模式。圖 1 兩地三中心規(guī)劃主用數(shù)據(jù)中心在正常情況下支持XX銀行所有的IT業(yè)務(wù)和應(yīng)用,部署所有IT系統(tǒng)和數(shù)據(jù),是所有分支機(jī)構(gòu)和外聯(lián)單位的匯聚中心。同城雙活數(shù)據(jù)中心部署與主用數(shù)據(jù)中心相同的業(yè)務(wù)系統(tǒng),與主用數(shù)據(jù)中心構(gòu)成鏡像雙活。在主中心發(fā)生災(zāi)難的情

14、況下,業(yè)務(wù)切換到雙活數(shù)據(jù)中心,承載所有IT業(yè)務(wù)和應(yīng)用。異地災(zāi)備數(shù)據(jù)中心部署部分關(guān)鍵業(yè)務(wù)系統(tǒng),同時(shí)提供主用數(shù)據(jù)中心的所有數(shù)據(jù)業(yè)務(wù)的備份。5.2 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)根據(jù)網(wǎng)絡(luò)需求功能性需求,網(wǎng)絡(luò)整體架構(gòu)需要滿足應(yīng)用接入服務(wù)、用戶接入服務(wù)、IP存儲(chǔ)服務(wù)和管理服務(wù);各功能組件通過網(wǎng)絡(luò)服務(wù)總線連接成一個(gè)統(tǒng)一的架構(gòu)。圖 2 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)Ø 應(yīng)用服務(wù):為全行所有業(yè)務(wù)和管理服務(wù)器提供接入服務(wù),安全服務(wù),負(fù)載均衡服務(wù)等,結(jié)合應(yīng)用的關(guān)鍵程度、業(yè)務(wù)特性、及應(yīng)用之間的耦合度,應(yīng)用服務(wù)器模塊可細(xì)分為各類服務(wù)器接入?yún)^(qū)域。Ø 用戶接入服務(wù):根據(jù)不同類型和不同訪問方式的用戶,提供用戶接入,安全等服務(wù);

15、Ø 存儲(chǔ)服務(wù):滿足新數(shù)據(jù)中心存儲(chǔ)規(guī)劃,需要滿足IP和FC需要的存儲(chǔ)網(wǎng)絡(luò)和備份網(wǎng)絡(luò);Ø 核心區(qū):搭建網(wǎng)絡(luò)服務(wù)總線,將所有網(wǎng)絡(luò)功能模塊連接成一個(gè)統(tǒng)一架構(gòu);Ø 管理服務(wù):滿足日常操作運(yùn)維需要的運(yùn)維人員接入,運(yùn)維服務(wù)器接入,帶外帶內(nèi)網(wǎng)絡(luò)接入,運(yùn)維管理服務(wù)將在多中心運(yùn)行;Ø 數(shù)據(jù)中心互聯(lián):滿足多中心環(huán)境下,數(shù)據(jù)中心間網(wǎng)絡(luò)通信、存儲(chǔ)復(fù)制及備份的需求。結(jié)合網(wǎng)絡(luò)安全分區(qū)要求、系統(tǒng)架構(gòu)特征、應(yīng)用關(guān)鍵程度分類、應(yīng)用耦合度及運(yùn)維保障的需求,對(duì)主用數(shù)據(jù)中心和同城雙活數(shù)據(jù)中心的網(wǎng)絡(luò)分區(qū)設(shè)計(jì)如下:圖 3 數(shù)據(jù)中心內(nèi)部模塊架構(gòu)業(yè)務(wù)區(qū):提供銀行的核心應(yīng)用及支持柜面存取款業(yè)務(wù)功能的應(yīng)用系

16、統(tǒng),各種實(shí)時(shí)和非實(shí)時(shí)交易類業(yè)務(wù),管理信息系統(tǒng),辦公類及基礎(chǔ)服務(wù)類應(yīng)用,可以根據(jù)業(yè)務(wù)需求細(xì)分。外聯(lián)區(qū):與第三方外聯(lián)網(wǎng)絡(luò)進(jìn)行互聯(lián)的區(qū)域,包括與外聯(lián)單位信息交互的前置服務(wù)器及必要的安全、網(wǎng)絡(luò)設(shè)備運(yùn)維管理區(qū):運(yùn)維管理類應(yīng)用及運(yùn)維管理終端,部署在運(yùn)維管理服務(wù)器區(qū);運(yùn)維管理區(qū)包括帶外管理網(wǎng)絡(luò),滿足服務(wù)器、網(wǎng)絡(luò)設(shè)備的各類帶外運(yùn)維管理需求。業(yè)務(wù)互聯(lián)網(wǎng)區(qū):為來自Internet的業(yè)務(wù)訪問提供服務(wù)的應(yīng)用辦公互聯(lián)網(wǎng)區(qū):為內(nèi)部員工或應(yīng)用提供對(duì)外Internet訪問或接入服務(wù)托管區(qū):其它業(yè)務(wù)實(shí)體提供托管服務(wù)應(yīng)用園區(qū)網(wǎng):負(fù)責(zé)接入園區(qū)網(wǎng)(大樓局域網(wǎng))的各類用戶廣域網(wǎng)區(qū):銀行的各級(jí)機(jī)構(gòu)的廣域網(wǎng)接入?yún)^(qū)域,包括數(shù)據(jù)中心之間的互聯(lián)

17、網(wǎng)絡(luò)核心交換區(qū):數(shù)據(jù)中心的服務(wù)總線,負(fù)責(zé)對(duì)各個(gè)組件區(qū)域的流量進(jìn)行高速轉(zhuǎn)發(fā)5.3 廣域網(wǎng)架構(gòu)設(shè)計(jì)廣域網(wǎng)架構(gòu)中包括數(shù)據(jù)中心間核心骨干網(wǎng)絡(luò)連接以及分支行廣域網(wǎng)連接架構(gòu)。廣域網(wǎng)架構(gòu)的設(shè)計(jì)在滿足未來對(duì)網(wǎng)絡(luò)的需求基礎(chǔ)上,考慮兼容現(xiàn)有的廣域架構(gòu),避免對(duì)現(xiàn)有廣域網(wǎng)絡(luò)進(jìn)行較大的改動(dòng)。5.3.1 數(shù)據(jù)中心互連核心骨干網(wǎng)架構(gòu)數(shù)據(jù)中心間互聯(lián)骨干網(wǎng)絡(luò)除承載數(shù)據(jù)中心間正常的系統(tǒng)運(yùn)維通信外,還需要考慮存儲(chǔ)、備份網(wǎng)絡(luò)連接,以及雙中心運(yùn)行及中心互備模式下對(duì)核心骨干網(wǎng)的需求。5.3.2 數(shù)據(jù)中心和同城災(zāi)備中心互連根據(jù)數(shù)據(jù)中心互聯(lián)網(wǎng)絡(luò)需求,互聯(lián)線路既需要支持IP三層,二層以太網(wǎng)通信,又需要支持FC光纖通信,使用DWDM技術(shù)的裸光纖

18、線路能滿足現(xiàn)有需求。對(duì)于同城雙活數(shù)據(jù)中心采用光纖直連方式。由于XX銀行的網(wǎng)絡(luò)規(guī)模較小,二層廣播尚不會(huì)造成巨大問題,因此可以直接通過光纖直連方式將各個(gè)業(yè)務(wù)區(qū)對(duì)應(yīng)連接,即可實(shí)現(xiàn)業(yè)務(wù)區(qū)之間的二層連接。為了保證冗余性,在主用數(shù)據(jù)中心與同城災(zāi)備中心采用兩條裸光纖進(jìn)行互聯(lián),兩數(shù)據(jù)中心各部署兩臺(tái)DWDM設(shè)備提供裸光纖接入。對(duì)于異地災(zāi)備數(shù)據(jù)中心,則采用租用運(yùn)營商IP線路的方式連接。主數(shù)據(jù)中心與同城災(zāi)備中心的邏輯通道主要有三種類型:Ø FC通道:提供兩數(shù)據(jù)中心存儲(chǔ)復(fù)制和備份。Ø 三層以太網(wǎng)通道:提供兩數(shù)據(jù)中心之間的三層互通,滿足數(shù)據(jù)中心骨干網(wǎng)的建立。Ø 二層以太網(wǎng)通道:提供兩數(shù)據(jù)中

19、心各對(duì)應(yīng)網(wǎng)絡(luò)功能區(qū)域之間的二層互通,滿足單系統(tǒng)切換的需求。圖 4 數(shù)據(jù)中心互聯(lián)拓?fù)?.3.3 數(shù)據(jù)中心和異地災(zāi)備中心互連異地?cái)?shù)據(jù)中心的二層連接傳統(tǒng)上采用VPLS技術(shù),但是目前EVPN已經(jīng)開始替代VPLS來實(shí)現(xiàn)數(shù)據(jù)中心的二層連接。EVPN是一種“將MAC地址封裝在IP包里”的技術(shù),支持2層VLAN在任何傳輸鏈路上的擴(kuò)展。傳輸鏈路可以是基于包交換的、基于標(biāo)簽交換的或者任何支持IP數(shù)據(jù)包的其他類型的協(xié)議。通過使用MAC進(jìn)行路由的原則,EVPN提供了基于2層鏈路的覆蓋鏈接,同時(shí)保證了兩個(gè)互聯(lián)的2層域是隔離的,也就是保證了兩個(gè)互聯(lián)的數(shù)據(jù)中心2層域獨(dú)立從而確保了故障域的有效隔離、靈活自如的擴(kuò)展和負(fù)責(zé)均衡。

20、EVPN的核心工作原理是通過控制協(xié)議來通告MAC地址的可達(dá)信息(而不是通過數(shù)據(jù)平面學(xué)習(xí))并且使用IP封裝的包交換技術(shù)處理并轉(zhuǎn)發(fā)2層流量(而非使用電路交換)。這些是EVPN區(qū)別于其他傳統(tǒng)的2層VPN技術(shù)的重要特征。傳統(tǒng)的2層VPN技術(shù)不但嚴(yán)重限制了2層VPN網(wǎng)絡(luò)的擴(kuò)展,同時(shí),由于缺少控制平面的管控也制約的LAN在不同數(shù)據(jù)中心之間的延伸。EVPN采用控制協(xié)議定義了MAC地址和經(jīng)過網(wǎng)絡(luò)核心可達(dá)的下一跳IP地址之間的映射關(guān)系。EVPN就像是通過MAC進(jìn)行路由一樣:目的地址是MAC地址、下一跳是IP地址,業(yè)務(wù)流量被封裝進(jìn)了IP包,這樣業(yè)務(wù)流量就可以流過IP核心網(wǎng)絡(luò),通過MAC路由而到達(dá)下一跳。因此,介于

21、源主機(jī)MAC地址和目的主機(jī)MAC地址之間的流量通過覆蓋封裝就轉(zhuǎn)變成了相關(guān)邊界設(shè)備之間IP源地址和IP目的地址的IP流量。這些數(shù)據(jù)采用封裝處理的方式進(jìn)行傳輸而不是通過隧道的方式進(jìn)行傳輸,這是因?yàn)榉庋b是可以動(dòng)態(tài)變化的。由于這些業(yè)務(wù)流量借助IP轉(zhuǎn)發(fā),因此EVPN在IP核心網(wǎng)里就變得十分高效,不但可以優(yōu)化負(fù)載均衡流量、復(fù)制組播流量,而且還能夠快速地實(shí)現(xiàn)故障恢復(fù)。數(shù)據(jù)轉(zhuǎn)發(fā)表里的MAC地址與下一跳IP地址之間的映射關(guān)系由控制協(xié)議通告,故而消除了未知的單播數(shù)據(jù)包必須穿越數(shù)據(jù)中心間互聯(lián)鏈路的要求??刂茀f(xié)議具有可擴(kuò)展性,除了必要的具體MAC地址信息外,還包括VLAN、站點(diǎn)ID和關(guān)聯(lián)IP地址。這些豐富的信息,如果

22、僅靠數(shù)據(jù)泛洪學(xué)習(xí)方式其中大部分是無法獲得的,但是對(duì)于實(shí)現(xiàn)多宿主、負(fù)載均衡、抑制環(huán)路、本地FHRP及本地ARP轉(zhuǎn)發(fā)等EVPN必備功能來說,卻是至關(guān)重要的信息。EVPN主要的優(yōu)點(diǎn)體現(xiàn)在以下幾點(diǎn): 支持All-Active 多宿主鏈路連接 支持L2和L3相結(jié)合 通過MP-BGP學(xué)習(xí)MAC 支持自動(dòng)發(fā)現(xiàn)鏈路 靈活的數(shù)據(jù)層面(IP/MPLS) 有效控制BUM圖 5 異地?cái)?shù)據(jù)中心互聯(lián)拓?fù)?.3.4 廣域網(wǎng)鏈路容災(zāi)設(shè)計(jì)廣域網(wǎng)雙活的技術(shù)建議采用智能DNS技術(shù),通過DNS重定向(GSLB)在多個(gè)數(shù)據(jù)中心之間實(shí)現(xiàn)負(fù)載分擔(dān),要求應(yīng)用采用域名方式進(jìn)行訪問,可以實(shí)現(xiàn)數(shù)據(jù)中心雙活健康路由注入(RHI),這是一種路由機(jī)制,

23、它允許兩個(gè)數(shù)據(jù)中心使用同一個(gè)IP地址。這意味著同一個(gè)IP地址(主機(jī)路徑)被發(fā)布為不同的metric。上游路由器可以同時(shí)看到兩條路徑,并將metric更好的路徑插入到其路由表中。適用于通過IP訪問的應(yīng)用,實(shí)現(xiàn)應(yīng)用的災(zāi)備。每個(gè)數(shù)據(jù)中心分別部署一對(duì)GTM設(shè)備(本身HA,提供高可用性),在服務(wù)器區(qū)域部署動(dòng)態(tài)廣域網(wǎng)優(yōu)化設(shè)備(WOM)。GTM設(shè)備提供DNS服務(wù),在回復(fù)DNS請(qǐng)求時(shí),將服務(wù)器IP返回給LDNS(用戶使用的DNS服務(wù)器,一般由運(yùn)營商提供)。多臺(tái)GTM設(shè)備之間建立可信連接,同步數(shù)據(jù)和各個(gè)數(shù)據(jù)中心狀態(tài)。對(duì)于應(yīng)用內(nèi)部,兩個(gè)數(shù)據(jù)中心都有WEB、APP系統(tǒng),都將獨(dú)立地處理流量,當(dāng)訪問應(yīng)用層業(yè)務(wù)或核心數(shù)據(jù)

24、(如:數(shù)據(jù)庫信息)時(shí),雙數(shù)據(jù)中心需要通過內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換,采用WOM(廣域網(wǎng)優(yōu)化設(shè)備)加速數(shù)據(jù)層面的復(fù)制和同步。圖 6 數(shù)據(jù)中心廣域網(wǎng)雙活拓?fù)錈o論是GTM可以通過ping包、檢測(cè)端口、查看網(wǎng)頁內(nèi)容、交互式探測(cè)甚至自定義腳本的方式對(duì)物理服務(wù)器狀態(tài)進(jìn)行檢查。GTM會(huì)針對(duì)本數(shù)據(jù)中心內(nèi)的服務(wù)器狀態(tài)進(jìn)行檢測(cè),并將結(jié)果同步給廣域網(wǎng)上的其它GTM,從而在一定程度上減少由重復(fù)健康檢測(cè)給服務(wù)器和廣域網(wǎng)帶寬造成的壓力。兩個(gè)數(shù)據(jù)中心的GTM都可以對(duì)外提供DNS知能解析的功能,當(dāng)收到一個(gè)從LDNS發(fā)來的域名解析請(qǐng)求時(shí),GTM會(huì)根據(jù)各種規(guī)則(如運(yùn)營商IP列表、動(dòng)態(tài)探測(cè)包測(cè)試、幾個(gè)GTM之間共同維護(hù)的LDNS狀態(tài)庫)

25、來判斷從哪個(gè)鏈路、哪個(gè)中心回復(fù)用戶的請(qǐng)求會(huì)最快,然后選擇那個(gè)鏈路/中心所在的IP地址回復(fù)給用戶,達(dá)到智能選路的效果。當(dāng)對(duì)某套應(yīng)用中某臺(tái)服務(wù)器的健康檢查失敗時(shí),會(huì)對(duì)其標(biāo)記為down,而不把后續(xù)的任何流量再分配到該服務(wù)器上。如果某套應(yīng)用中在第一數(shù)據(jù)中心的服務(wù)器都不可用時(shí),GTM會(huì)通過DNS回應(yīng)方式把客戶的請(qǐng)求導(dǎo)向第二數(shù)據(jù)中心,對(duì)于其它無影響的應(yīng)用可以根據(jù)用戶要求繼續(xù)保留在第一數(shù)據(jù)中心處理。于是,就可以實(shí)現(xiàn)基于應(yīng)用的數(shù)據(jù)中心切換。多個(gè)數(shù)據(jù)中心,從技術(shù)上來說,其實(shí)并不區(qū)別,都可以提供應(yīng)用服務(wù),只是根據(jù)承載流量能力方面人為的分為主中心或備中心。在F5的解決方案中,通過DNS智能解析方式根據(jù)用戶實(shí)際需求把

26、流量導(dǎo)向各個(gè)數(shù)據(jù)中心,實(shí)現(xiàn)了多活數(shù)據(jù)中心共同承載業(yè)務(wù)流量的架構(gòu)。5.3.5 分支機(jī)構(gòu)廣域網(wǎng)架構(gòu)分支行廣域網(wǎng)是提供玉溪地區(qū)同城分支行,和異地分支行與數(shù)據(jù)中心,及災(zāi)備中心的廣域網(wǎng)連接。目前部署的同城廣域網(wǎng)鏈路主要是MSTP鏈路,異地主要是SDH鏈路,建議未來維持現(xiàn)有的鏈路選型。圖 7 分支機(jī)構(gòu)拓?fù)湓谥饔煤屯请p活數(shù)據(jù)中心均部署廣域網(wǎng)匯聚路由器和玉溪匯聚路由器。廣域網(wǎng)匯聚路由器通過DWDM設(shè)備連接,構(gòu)成主用和同城雙活數(shù)據(jù)中心之間的骨干網(wǎng)。玉溪本地的分支機(jī)構(gòu)直接上連到玉溪匯聚路由器。各異地分支機(jī)構(gòu)的鏈路經(jīng)異地分行匯聚后,上連到主用和同城雙活廣域網(wǎng)匯聚路由器。在上聯(lián)時(shí),可以選擇上聯(lián)路由器和匯聚路由器分離

27、的方式,也可以根據(jù)實(shí)際情況選擇上聯(lián)路由器和匯聚路由器復(fù)用的方式。在匯聚的網(wǎng)點(diǎn)較多時(shí),建議采用分離模式。5.3.6 數(shù)據(jù)分流策略為了提高帶寬利用率,并滿足業(yè)務(wù)數(shù)據(jù)流的可用性和帶寬需求,建議對(duì)于分支行的冗余廣域網(wǎng)鏈路,根據(jù)不同的應(yīng)用進(jìn)行數(shù)據(jù)分流。在分支行的兩條廣域網(wǎng)鏈路上,將業(yè)務(wù)與其他應(yīng)用進(jìn)行數(shù)據(jù)分流,保證在正常情況下,業(yè)務(wù)流量使用連接主數(shù)據(jù)中心的主鏈路,其他流量使用連接災(zāi)備中心的冗余鏈路。由于數(shù)據(jù)中心的業(yè)務(wù),辦公等應(yīng)用系統(tǒng)無法根據(jù)IP地址進(jìn)行明確區(qū)分;而在分支行和網(wǎng)點(diǎn),業(yè)務(wù)終端和辦公終端是采用隔離的方式,所以根據(jù)分支行的客戶端IP地址段,作為數(shù)據(jù)分流的區(qū)分條件。根據(jù)分支行不同應(yīng)用客戶端的IP地址

28、段不同,分別在分支行廣域網(wǎng)路由器及數(shù)據(jù)中心廣域網(wǎng)路由器上通過對(duì)動(dòng)態(tài)路由協(xié)議的控制,實(shí)現(xiàn)不同應(yīng)用在冗余廣域網(wǎng)鏈路上的數(shù)據(jù)分流。另外根據(jù)動(dòng)態(tài)路由協(xié)議自身的特性,兩條鏈路可以相互提供備份。同時(shí)需要在分支行上聯(lián)數(shù)據(jù)中心兩條鏈路上的兩端都運(yùn)用QoS技術(shù),保證在只有一條鏈路可用時(shí),優(yōu)先滿足業(yè)務(wù)流量的帶寬需求。5.4 數(shù)據(jù)中心網(wǎng)絡(luò)核心架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)核心區(qū)由兩臺(tái)交換機(jī)組成,負(fù)責(zé)數(shù)據(jù)中心各區(qū)域之間數(shù)據(jù)交互流量的高速轉(zhuǎn)發(fā)。采用冗余的核心交換機(jī),構(gòu)造數(shù)據(jù)中心網(wǎng)絡(luò)核心,連接各業(yè)務(wù)區(qū),實(shí)現(xiàn)各區(qū)域之間的高速數(shù)據(jù)交互。數(shù)據(jù)中心核心交換機(jī)與各區(qū)域的區(qū)域核心交換機(jī)之間通過不同板卡的端口進(jìn)行互聯(lián),實(shí)現(xiàn)高速冗余傳輸。網(wǎng)絡(luò)核心不運(yùn)行諸

29、如ACL、QoS等消耗內(nèi)存與CPU的協(xié)議,也不作為服務(wù)器的接入設(shè)備。為了改善核心區(qū)域的可管理性,同時(shí)提高可靠性,建議核心區(qū)域的兩臺(tái)交換機(jī)運(yùn)行虛擬化協(xié)議,將兩臺(tái)核心交換機(jī)虛擬化成一臺(tái)。從而連接到兩臺(tái)核心交換機(jī)的鏈路都可以啟用鏈路聚合,實(shí)現(xiàn)負(fù)載分擔(dān)方式運(yùn)行。圖 8 數(shù)據(jù)中心核心交換區(qū)拓?fù)?.4.1 數(shù)據(jù)中心業(yè)務(wù)區(qū)架構(gòu)設(shè)計(jì)業(yè)務(wù)服務(wù)器區(qū)提供業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)相關(guān)服務(wù)器的集中接入?yún)^(qū)。業(yè)務(wù)服務(wù)器區(qū)從邏輯架構(gòu)采用一層方式設(shè)計(jì),提高網(wǎng)絡(luò)的轉(zhuǎn)發(fā)效率,并且改善網(wǎng)絡(luò)的可維護(hù)和可管理性。另一方面,由于業(yè)務(wù)服務(wù)器區(qū)域需要考慮分布式部署TOR交換機(jī),因此需要將TOR交換機(jī)和核心交換機(jī)虛擬化成一臺(tái),在邏輯上形成一層架構(gòu)。核

30、心層與業(yè)務(wù)區(qū)域之間串聯(lián)防火墻,提供區(qū)域內(nèi)部與外部相互訪問的安全控制。防火墻采用主備的路由模式部署,Inside口與區(qū)域交換機(jī)集群三層互聯(lián),Outside口與核心交換機(jī)三層互聯(lián)。兩臺(tái)防火墻構(gòu)成集群,如單一設(shè)備管理。區(qū)域交換機(jī)集群與數(shù)據(jù)中心核心進(jìn)行三層的交叉互聯(lián),運(yùn)行動(dòng)態(tài)路由協(xié)議。圖 9 數(shù)據(jù)中心業(yè)務(wù)區(qū)拓?fù)?.4.2 網(wǎng)銀區(qū)架構(gòu)設(shè)計(jì)網(wǎng)銀區(qū)為主要為網(wǎng)上銀行業(yè)務(wù)的Web應(yīng)用提供互聯(lián)網(wǎng)接入和安全控制,以及與數(shù)據(jù)中心內(nèi)部服務(wù)器的數(shù)據(jù)交互。未來也可以按照需要增加其他互聯(lián)網(wǎng)業(yè)務(wù)。網(wǎng)銀區(qū)整體可分為三個(gè)層次:數(shù)據(jù)中心接入DMZ互聯(lián)網(wǎng)接入,兩層之間分別通過防火墻進(jìn)行隔離。圖 10 數(shù)據(jù)中心網(wǎng)銀區(qū)邏輯拓?fù)銲ntern

31、et接入:提供業(yè)務(wù)互聯(lián)網(wǎng)DMZ區(qū)服務(wù)器的Internet接入和安全控制,并為Internet用戶提供Web服務(wù)。內(nèi)網(wǎng)核心區(qū):提供業(yè)務(wù)互聯(lián)網(wǎng)區(qū)的DMZ與數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)交互和安全控制。DMZ:提供網(wǎng)銀和相關(guān)電子商務(wù)服務(wù)器的接入,服務(wù)器到內(nèi)網(wǎng)和外網(wǎng)的連接和安全控制。圖 11 數(shù)據(jù)中心網(wǎng)銀區(qū)物理拓?fù)銬MZ所有服務(wù)器的網(wǎng)關(guān)位于本地負(fù)載均衡設(shè)備。區(qū)域核心交換機(jī)采用集群模式部署,與內(nèi)部防火墻三層互聯(lián),與外網(wǎng)防火墻二層互聯(lián)。防火墻均采用主備的路由模式,主備設(shè)備之間使用HA接口相互同步配置和會(huì)話狀態(tài)信息。在互聯(lián)網(wǎng)出口防火墻上開啟IPS和防病毒許可。區(qū)域核心交換機(jī)與數(shù)據(jù)中心核心交換機(jī)采用交叉的三層全互聯(lián),運(yùn)行

32、動(dòng)態(tài)路由協(xié)議。本地負(fù)載均衡設(shè)備旁掛在區(qū)域核心交換機(jī),全部采用二層互聯(lián),一條作為Inside接口,提供DMZ區(qū)域內(nèi)部服務(wù)器的負(fù)載均衡,同時(shí)作為區(qū)域匯聚交換機(jī)默認(rèn)路由的網(wǎng)關(guān)。另外一條鏈路作為Outside接口,作為互聯(lián)網(wǎng)鏈路進(jìn)入業(yè)務(wù)互聯(lián)區(qū)DMZ的網(wǎng)關(guān)。區(qū)域匯聚交換機(jī)與Internet出口防火墻采用二層的VLAN互聯(lián),并將所有VLAN透?jìng)鞯竭B接本地負(fù)載均衡設(shè)備的Trunk接口上,本地負(fù)載均衡的默認(rèn)路由指向外網(wǎng)防火墻的Inside接口,為DMZ服務(wù)器到Internet的訪問提供多出口間的負(fù)載均衡。外網(wǎng)防火墻作為數(shù)據(jù)中心Internet接入點(diǎn),Outside接口使用ISP的公網(wǎng)地址,Inside接口與本

33、地負(fù)載均衡設(shè)備進(jìn)行三層互聯(lián),并提供數(shù)據(jù)中心內(nèi)部地址到Internet的地址轉(zhuǎn)換。廣域網(wǎng)負(fù)載均衡旁路在Internet線路的接入交換機(jī)上,使用每個(gè)ISP對(duì)應(yīng)的公網(wǎng)地址,為Internet用戶到業(yè)務(wù)互聯(lián)網(wǎng)區(qū)內(nèi)部的訪問提供多條鏈路間負(fù)載均衡。5.4.3 外聯(lián)區(qū)架構(gòu)設(shè)計(jì)外聯(lián)區(qū)提供數(shù)據(jù)中心到合作伙伴單位的線路接入,數(shù)據(jù)交互及安全控制。外聯(lián)區(qū)與網(wǎng)銀區(qū)域類似,邏輯上也分為三層:數(shù)據(jù)中心接入DMZ外聯(lián)接入,兩層之間分別通過防火墻進(jìn)行隔離。圖 12 數(shù)據(jù)中心外聯(lián)區(qū)邏輯拓?fù)鋽?shù)據(jù)中心接入:提供外聯(lián)區(qū)的DMZ服務(wù)器與數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)交互和安全控制。DMZ:提供外聯(lián)相關(guān)應(yīng)用的前置服務(wù)器接入,及服務(wù)器分別到數(shù)據(jù)中心內(nèi)部

34、和外聯(lián)單位的連接和安全控制。外聯(lián)接入:提供外聯(lián)單位的線路接入,并提供外聯(lián)區(qū)DMZ服務(wù)器與外聯(lián)單位服務(wù)器的數(shù)據(jù)交互。圖 13 是外聯(lián)區(qū)的物理部署。DMZ所有服務(wù)器的網(wǎng)關(guān)位于防火墻的DMZ口,服務(wù)器到數(shù)據(jù)中心內(nèi)部和到外聯(lián)單位的訪問,分別通過防火墻的安全策略進(jìn)行控制。區(qū)域核心交換機(jī)與防火墻Inside接口三層互聯(lián),與數(shù)據(jù)中心核心交換機(jī)通過數(shù)據(jù)中心接入?yún)^(qū)的防火墻采用交叉的三層全互聯(lián),運(yùn)行動(dòng)態(tài)路由協(xié)議。防火墻集群部署,采用路由模式,主備設(shè)備之間使用HA接口相互同步配置和會(huì)話狀態(tài)信息。外聯(lián)區(qū)防火墻與區(qū)域匯聚交換機(jī)三層互聯(lián),采用靜態(tài)路由。圖 13 數(shù)據(jù)中心外聯(lián)區(qū)物理拓?fù)湓谶M(jìn)行外聯(lián)時(shí),需要考慮進(jìn)行地址轉(zhuǎn)換,主

35、要是基于安全需要和避免地址沖突的原因考慮,以下三種情況需要進(jìn)行地址轉(zhuǎn)換:數(shù)據(jù)中心從內(nèi)到外訪問:a) 外聯(lián)單位主動(dòng)分配IP地址,在防火墻上轉(zhuǎn)成對(duì)方提供的IP。數(shù)據(jù)中心從內(nèi)到外訪問:b) 外聯(lián)單位提供的IP地址與數(shù)據(jù)中心內(nèi)部地址沖突,在外聯(lián)路由器上轉(zhuǎn)成行內(nèi)規(guī)劃的外聯(lián)地址。c) 外聯(lián)單位需要直接訪問數(shù)據(jù)中心業(yè)務(wù)區(qū)服務(wù)器,需要在外聯(lián)區(qū)防火墻,將外聯(lián)單位的源地址轉(zhuǎn)換成規(guī)劃好的內(nèi)部地址對(duì)于外聯(lián)單位需要同時(shí)接入到數(shù)據(jù)中心和災(zāi)備中心的情況下,需要將兩中心的外聯(lián)交換機(jī)進(jìn)行二層或三層互聯(lián),并運(yùn)行動(dòng)態(tài)路由協(xié)議,提供外聯(lián)單位冗余線路的動(dòng)態(tài)切換。對(duì)于外聯(lián)單位需要同時(shí)接入到數(shù)據(jù)中心和災(zāi)備中心的情況下,需要將兩中心的外聯(lián)交

36、換機(jī)進(jìn)行二層或三層互聯(lián),并運(yùn)行動(dòng)態(tài)路由協(xié)議,提供外聯(lián)單位冗余線路的動(dòng)態(tài)切換。將兩個(gè)中心的區(qū)域匯聚交換機(jī)與外聯(lián)路由器加入到OSPF進(jìn)程。將區(qū)域匯聚交換機(jī)到數(shù)據(jù)中心內(nèi)部的靜態(tài)路由重分布到OSPF。將外聯(lián)路由器到連接雙中心外聯(lián)單位的靜態(tài)路由重分布到OSPF。圖 14 數(shù)據(jù)中心外聯(lián)區(qū)容災(zāi)設(shè)計(jì)5.4.4 辦公互聯(lián)網(wǎng)區(qū)架構(gòu)設(shè)計(jì)辦公互聯(lián)網(wǎng)區(qū)提供災(zāi)備中心所在園區(qū)的辦公用戶互聯(lián)網(wǎng)接入,以及為員工在通過互聯(lián)網(wǎng)到內(nèi)網(wǎng)的VPN接入。區(qū)域整體可分為三個(gè)層次:數(shù)據(jù)中心接入DMZInternet接入,兩層之間分別通過防火墻進(jìn)行隔離。圖 15 數(shù)據(jù)中心辦公互聯(lián)網(wǎng)區(qū)邏輯拓?fù)鋼?jù)中心接入:提供辦公互聯(lián)網(wǎng)區(qū)的DMZ與數(shù)據(jù)中心內(nèi)部的數(shù)

37、據(jù)交互和安全控制。DMZ:提供上網(wǎng)代理服務(wù)器,網(wǎng)頁過濾服務(wù)器,郵件前置服務(wù)器,郵件過濾服務(wù)器,VPN網(wǎng)關(guān)等辦公上網(wǎng)前置服務(wù)器的接入,及服務(wù)器分別到內(nèi)網(wǎng)和外網(wǎng)的連接和安全控制。Internet接入:提供園區(qū)和分支行辦公用戶,及辦公互聯(lián)網(wǎng)DMZ區(qū)服務(wù)器的Internet訪問和安全控制,并為員工提供VPN接入。外部的防火墻設(shè)備啟用UTM功能,提供防病毒、IPS、垃圾郵件過濾等功能。兩套防火墻均采用主備集群的路由模式,主備設(shè)備之間使用HA接口相互同步配置和會(huì)話狀態(tài)信息。DMZ所有服務(wù)器的網(wǎng)關(guān)位于區(qū)域匯聚交換機(jī)。兩臺(tái)區(qū)域匯聚交換機(jī)啟用虛擬化功能,雙機(jī)虛擬成單臺(tái),與內(nèi)部防火墻三層互聯(lián)。區(qū)域核心交換機(jī)與數(shù)據(jù)

38、中心核心交換機(jī)采用交叉的三層全互聯(lián),運(yùn)行動(dòng)態(tài)路由協(xié)議。區(qū)域匯聚交換機(jī)與外部防火墻三層互聯(lián),外部防火墻作為區(qū)域匯聚交換機(jī)默認(rèn)路由的下一條網(wǎng)關(guān)。在外部防火墻和鏈路負(fù)載均衡之間串聯(lián)上網(wǎng)優(yōu)化網(wǎng)關(guān)作為行為管理和審計(jì)設(shè)備,提供數(shù)據(jù)中心訪問Internet的數(shù)據(jù)安全,信息記錄及帶寬管理。上網(wǎng)行為管理設(shè)備作為二層設(shè)備部署,在故障或斷電時(shí),提供自動(dòng)Bypass功能。圖 16 數(shù)據(jù)中心辦公互聯(lián)網(wǎng)區(qū)物理拓?fù)?.4.5 運(yùn)維管理區(qū)架構(gòu)設(shè)計(jì)運(yùn)維管理區(qū)提供數(shù)據(jù)中心運(yùn)維管理類服務(wù)器,ECC終端接入,及服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理接入。其中帶外管理網(wǎng)同時(shí)作為服務(wù)器NAS和備份的網(wǎng)絡(luò)接入。5.4.5.1 架構(gòu)設(shè)計(jì)運(yùn)維管理區(qū)從邏輯

39、架構(gòu)上可分為三層:區(qū)域核心區(qū)域匯聚區(qū)域核心。圖 17 數(shù)據(jù)中心運(yùn)維區(qū)邏輯拓?fù)鋮^(qū)域核心:提供區(qū)域內(nèi)部與數(shù)據(jù)中心核心的高速數(shù)據(jù)交互。區(qū)域匯聚:作為運(yùn)維服務(wù)器和ECC終端的網(wǎng)關(guān)。區(qū)域核心與區(qū)域匯聚之間串聯(lián)防火墻,提供區(qū)域內(nèi)部與外部相互訪問的安全控制。區(qū)域接入又分為三個(gè)部分:Ø 運(yùn)維服務(wù)器:提供數(shù)據(jù)中心運(yùn)維管理服務(wù)器的接入。Ø ECC:提供數(shù)據(jù)中心集中監(jiān)控和管理終端的接入。Ø 帶外網(wǎng)n 帶外管理:提供數(shù)據(jù)中心服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶外管理,包括服務(wù)器帶外管理網(wǎng)卡接入,服務(wù)器ILO網(wǎng)卡接入,網(wǎng)絡(luò)設(shè)備的帶外管理端口,網(wǎng)絡(luò)設(shè)備的IP Console接入等。n NAS:提供數(shù)據(jù)中心服

40、務(wù)器到NAS存儲(chǔ)的網(wǎng)絡(luò)接入。n 備份:提供數(shù)據(jù)中心服務(wù)器備份的網(wǎng)絡(luò)接入支持。帶外網(wǎng)與運(yùn)維管理服務(wù)器及ECC終端通過防火墻進(jìn)行訪問控制。在物理架構(gòu)設(shè)計(jì)中,帶外管理網(wǎng),NAS網(wǎng)和備份網(wǎng)共享一套網(wǎng)絡(luò)設(shè)備。圖 18 數(shù)據(jù)中心運(yùn)維區(qū)物理拓?fù)溥\(yùn)維管理服務(wù)器和ECC終端的網(wǎng)關(guān)位于區(qū)域匯聚交換機(jī)。帶外管理網(wǎng),NAS網(wǎng),備份網(wǎng)的網(wǎng)關(guān)位于帶外匯聚交換機(jī),帶外匯聚交換機(jī)連接到區(qū)域核心交換機(jī)。運(yùn)維服務(wù)器,ECC終端與帶外網(wǎng)絡(luò)的數(shù)據(jù)交互通過防火墻進(jìn)行安全控制。防火墻采用主備的路由模式部署,Inside口與區(qū)域匯聚交換機(jī)三層互聯(lián),Outside口與區(qū)域核心交換機(jī)三層互聯(lián)。區(qū)域核心交換機(jī)與數(shù)據(jù)中心核心進(jìn)行三層的交叉互聯(lián),運(yùn)行動(dòng)態(tài)路由協(xié)議。服務(wù)器的帶外管理網(wǎng),NAS網(wǎng),備份網(wǎng)共享同一張網(wǎng)卡,NAS服務(wù)器或存儲(chǔ)設(shè)備直接接入到帶外網(wǎng)絡(luò)。對(duì)于運(yùn)維管理區(qū)的防火墻和區(qū)域核心,采用單獨(dú)接入在區(qū)域匯聚的Console服務(wù)器進(jìn)行帶外管理,避免因區(qū)域防火墻故障,ECC無法進(jìn)行帶外管理。由于帶外管理網(wǎng)絡(luò),NAS網(wǎng)絡(luò),備份網(wǎng)絡(luò)共享同一套網(wǎng)絡(luò)設(shè)備,所以需要進(jìn)行一定的安全控制,提供各網(wǎng)絡(luò)之間的邏輯隔離,以及同一網(wǎng)絡(luò)內(nèi)部,不同區(qū)域之間的安全隔離。在帶外網(wǎng)中,對(duì)各個(gè)邏輯網(wǎng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論