銀行網(wǎng)絡建設實施方案

...wd......wd......wd...網(wǎng)絡建設方案參考國內(nèi)外同行業(yè)的組網(wǎng)模型，按照標準化、模塊化、構造的原那么進展生產(chǎn)中心的升級，改變現(xiàn)狀生產(chǎn)中心過于扁平化、安全性低的現(xiàn)狀，可以將生產(chǎn)中心規(guī)劃為：核心交換區(qū)、生產(chǎn)服務器區(qū)、前置機區(qū)、網(wǎng)銀區(qū)、運行管理區(qū)、樓層接入?yún)^(qū)、辦公服務器區(qū)、廣域網(wǎng)接入?yún)^(qū)、災備中心互聯(lián)區(qū)、中間業(yè)務外聯(lián)區(qū)等功能模塊。在各分區(qū)邊界部署防火墻，確保訪問的安全，實現(xiàn)生產(chǎn)中心的高性能、高安全、高擴展和易管理。核心交換區(qū)：為生產(chǎn)網(wǎng)絡的各功能子區(qū)提供核心路由交換。生產(chǎn)核心區(qū)：部署天津商行生產(chǎn)服務和生產(chǎn)小機。前置機服務器區(qū)：連接各種業(yè)務前置機專用區(qū)域樓層接入?yún)^(qū)〔遷移〕：負責本地辦公用戶的接入。網(wǎng)銀區(qū)〔遷移〕：部署網(wǎng)上銀行業(yè)務的服務器。DWDM區(qū)：連接生產(chǎn)中心和災備中心的廣域傳輸系統(tǒng)區(qū)域。廣域網(wǎng)接入?yún)^(qū)：部署下聯(lián)各省市分行、天津各區(qū)縣支行、分理處的骨干網(wǎng)路由器。中間業(yè)務外聯(lián)區(qū)：通過專線連接監(jiān)管單位、合作伙伴，為第三方機構提供外聯(lián)服務。運行維護區(qū)：部署網(wǎng)絡和系統(tǒng)管理及維護的業(yè)務系統(tǒng)。4.1設計概述4.1.1東麗數(shù)據(jù)中心整體構造東麗數(shù)據(jù)中心主要需要建設IP網(wǎng)絡和存儲網(wǎng)絡。在IP網(wǎng)絡中，按業(yè)務功能和安全需要分為不同的網(wǎng)絡區(qū)域，各個網(wǎng)絡區(qū)域有獨立的網(wǎng)絡設備〔如交換機、防火墻等〕連接相應的主機、服務器、pc機等設備，每個網(wǎng)絡區(qū)域的會聚/接入交換機再連接到IP網(wǎng)的核心交換機上；每個網(wǎng)絡區(qū)域內(nèi)部可以根據(jù)需要再分為不同的控制區(qū)域。IP網(wǎng)絡主要分為以下網(wǎng)絡區(qū)域：核心交換區(qū)、生產(chǎn)核心區(qū)、前置機服務器區(qū)、樓層接入?yún)^(qū)、開發(fā)測試區(qū)、網(wǎng)銀區(qū)、DWDM區(qū)、廣域網(wǎng)接入?yún)^(qū)、中間業(yè)務外聯(lián)區(qū)、運行維護區(qū)，如圖：4.1.2VLAN規(guī)劃在模塊化網(wǎng)絡架構中可以看到，數(shù)據(jù)中心首先是被劃分為網(wǎng)絡分區(qū)，然后基于每個應用對各自架構的QOS需求，再進一步將網(wǎng)絡分區(qū)劃分為邏輯組。為了完成以上闡述的模塊化架構，需要在網(wǎng)絡的第2層創(chuàng)立VLAN。在不同分區(qū)之間互聯(lián)點和分區(qū)內(nèi)部上行連接點上，都需要創(chuàng)立VLAN。4.1.3路由設計在數(shù)據(jù)內(nèi)部，交換核心區(qū)域和其他功能區(qū)域的會聚交換機之間運行OSPF骨干區(qū)域AREA0，其他區(qū)域內(nèi)局部別運行OSPF和靜態(tài)路由。4.2核心交換區(qū)設計4.2.1具體設計在東麗數(shù)據(jù)中心中，核心交換區(qū)連接了其他不同的分區(qū)。它也作為數(shù)據(jù)中心連接災備中心和廣域網(wǎng)絡的連接點。核心區(qū)在數(shù)據(jù)中心架構中的作用是，盡可能快速地在網(wǎng)絡之間實現(xiàn)數(shù)據(jù)傳輸?shù)穆酚珊蛿?shù)據(jù)交換。核心區(qū)主要部署兩臺高端交換機S12508交換機連接其他功能分區(qū)，提供10G和GE鏈路的雙歸屬連接。兩臺核心交換器之間采取Trunk鏈路連接，啟用IRF技術，將兩條核心交換機虛擬成一臺。核心區(qū)交換機連接到所有其他區(qū)的邊緣設備，有兩類連接連接到核心，一類是來自核心生產(chǎn)業(yè)務〔比方生產(chǎn)核心區(qū),前置機區(qū)〕的連接，對該類應用提供高速訪問服務，采用萬兆接口這兩個區(qū)域的會聚交換機。另一類是其它業(yè)務。每個區(qū)會聚交換機/接入交換機都上行連接到Core-SW1和Core-SW2。每個區(qū)交換機將使用單獨的VLAN，VLAN跨越兩個交換機，上行鏈接到核心。4.2.2VLAN劃分與每個子區(qū)域的互聯(lián)接口可劃分為同一VLAN，將核心交換區(qū)域與各子域的互聯(lián)鏈路進展鏈路聚合。如以以下圖所示：4.2.3路由規(guī)劃在2臺Core-SW1和Core-SW2核心交換機和各區(qū)域的會聚交換機連接端口上運行OSPF動態(tài)路由協(xié)議，所屬的區(qū)域為Area0,這樣各個網(wǎng)絡分區(qū)系統(tǒng)都可以通過核心區(qū)域知道整個網(wǎng)絡系統(tǒng)的路由。采用IRF技術后，可以大大簡化網(wǎng)絡中的路由設置，減少需要的互聯(lián)路由網(wǎng)段，其中，除網(wǎng)銀與中間業(yè)務外聯(lián)區(qū)外，其它區(qū)域的會聚/接入交換機與核心之間的互聯(lián)鏈路都進展聚合，生產(chǎn)核心區(qū)和前置機區(qū)在各自區(qū)域的核心/接入交換機上啟用三層功能，采用OSPF和核心交換區(qū)之間進展互通，如以以下圖所示意：4.3生產(chǎn)核心區(qū)規(guī)劃4.3.1拓撲生產(chǎn)核心區(qū)用于連接核心的生產(chǎn)業(yè)務系統(tǒng)的小機、服務器等生產(chǎn)主機；在該區(qū)域采用三層架構，采用全千兆智能接入交換機S5500EI系列交換機提供小機及服務器的光口、電口接入，每個接入交換機采用雙千兆光口分別上行到生產(chǎn)核心區(qū)的兩條會聚交換機S9508E交換機上，兩條S9508E交換機互相之間采用雙萬兆鏈路聚合捆綁，啟用IRF功能，將兩臺會聚交換機虛擬成一臺交換機，每個S9508E各出一個萬兆接口上聯(lián)到數(shù)據(jù)中心核心交換機S12508上，上行的兩條萬兆鏈路啟用鏈路捆綁功能，聚合成一條20G的物理鏈路。4.3.2VLAN規(guī)劃上聯(lián)到核心交換區(qū)的VLAN采用鏈路聚合，合并為一個VLAN,在分區(qū)內(nèi)部根據(jù)不同級別的應用再進一步分配。VLAN分配主要考慮互聯(lián)VLAN和主機。4.3.3路由規(guī)劃會聚層交換機與核心交換機間運行OSPF路由協(xié)議。在設備間運行OSPF時，建議將會聚層95的相關接口劃分在一個OSPF－STUB區(qū)域中，以免數(shù)據(jù)中心中收到過多的LSA。各個功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均一樣，并且可預知。生產(chǎn)核心區(qū)外連核心區(qū)的2條鏈路的進展鏈路捆綁，在路由計算上，只有一條路徑，但是該路徑包含2個萬兆端口，提供物理層面的冗余。4.4前置機區(qū)規(guī)劃4.4.1拓撲前置機區(qū)連接生產(chǎn)類系統(tǒng)的前置機等；該區(qū)使用4臺千兆智能交換機S5500-52C-EI交換機。4臺S5500-52C-EI交換機采用IRF虛擬化技術將4臺交換機虛擬成一臺交換機。4.4.2VLAN規(guī)劃上聯(lián)到核心區(qū)的鏈路進展鏈路捆綁，采用同一個VLAN進展互聯(lián)。在分區(qū)內(nèi)部根據(jù)不同級別的應用再進一步分配。VLAN分配主要考慮互聯(lián)VLAN和主機。4.4.3路由規(guī)劃接入交換機啟用三層功能，前置機網(wǎng)關設置在接入交換機上，接入交換機與核心交換機間運行OSPF路由協(xié)議。在設備間運行OSPF時，建議將接入交換機的相關接口劃分在一個OSPF－STUB區(qū)域中，以免數(shù)據(jù)中心中收到過多的LSA。各個功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均一樣，并且可預知。前置區(qū)外連核心區(qū)的2條萬兆鏈路的進展鏈路捆綁，在路由計算上，只有一條路徑，但是該路徑包含2個萬兆端口，提供物理層面的冗余。4.5廣域網(wǎng)接入?yún)^(qū)規(guī)劃廣域網(wǎng)接入?yún)^(qū)主要連接與各省市分行，天津市內(nèi)各區(qū)縣支行，分理處等的上聯(lián)網(wǎng)絡設備，該區(qū)使用兩臺SR6608核心路由器作為各分支機構的上聯(lián)設備，每個SR6608配置3個CPOS廣域接口，2個主用，一個備用。4.5.1路由規(guī)劃廣域網(wǎng)接入?yún)^(qū)與整個數(shù)據(jù)中心采用統(tǒng)一的策略和部署方案，在核心區(qū)作為OSPF骨干區(qū)的前提下，廣域網(wǎng)接入?yún)^(qū)內(nèi)部路由協(xié)議采用OSPF，在區(qū)域內(nèi)路由詳細規(guī)劃上，建議如下：廣域網(wǎng)路由器與核心交換機互聯(lián)的端口，劃分為OSPF骨干域0域廣域網(wǎng)路由器下聯(lián)接口，按照原有的路由規(guī)劃，劃分為1、2、3、4和10、20、30、40等幾個路由子域。路由器到核心交換機上的鏈路采用Trunk鏈路進展連接。6.2IRF虛擬化技術IRF2交換機虛擬化實現(xiàn)多臺設備虛擬化成一臺設備，即多臺設備當做一臺設備來運行、管理。大大簡化數(shù)據(jù)中心日益復雜的組網(wǎng)和管理維護，相比于傳統(tǒng)的MSTP、VRRP和多路徑的路由協(xié)議，IRF可以免除這些協(xié)議的部署，簡化設備并成倍的提升網(wǎng)絡性能與可靠性。6.2.1技術優(yōu)點IRF堆疊具有以下主要優(yōu)點：簡化管理。IRF堆疊形成之后，用戶連接到任何一臺成員設備的任何一個端口可以登錄IRF堆疊系統(tǒng)，這相當于直接登錄IRF系統(tǒng)中的Master設備，通過對Master設備的配置到達管理整個IRF堆疊以及堆疊內(nèi)所有成員設備的效果，而不用物理連接到每臺成員設備上分別對它們進展配置和管理。簡化網(wǎng)絡運行。IRF形成的虛擬設備中運行的各種控制協(xié)議也是作為單一設備統(tǒng)一運行的，例如路由協(xié)議會作為單一設備統(tǒng)一計算。這樣省去了設備間大量協(xié)議報文的交互，簡化了網(wǎng)絡運行，縮短了網(wǎng)絡動亂時的收斂時間。IRF技術的這一特性是常見的集群技術所不具備的，后者僅僅能完成設備管理上的統(tǒng)一，而集群中的設備在網(wǎng)絡中仍然分別作為獨立節(jié)點運行。低成本：IRF技術是將一些較低端的設備虛擬成為一個相對高端的設備使用，從而具有高端設備的端口密度和帶寬，以及低端設備的成本。比直接使用高端設備具有成本優(yōu)勢。強大的網(wǎng)絡擴展能力。通過增加成員設備，可以輕松自如的擴展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。保護用戶投資。由于具有強大的擴展能力，當用戶進展網(wǎng)絡升級時，不需要替換掉原有設備，只需要增加新設備既可。很好的保護了用戶投資。高可靠性。堆疊的高可靠性表達在多個方面，比方：成員設備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺成員設備組成，Master設備負責堆疊的運行、管理和維護，Slave設備在作為備份的同時也可以處理業(yè)務，一旦Master設備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過堆疊的業(yè)務不中斷，從而實現(xiàn)了設備級的1:N備份。IRF是網(wǎng)絡可靠性保障的最優(yōu)解決方案。高性能。由于IRF設備是由多個支持IRF特性的單機設備堆疊而成的，IRF設備的交換容量和端口數(shù)量就是IRF內(nèi)部所有單機設備交換容量和端口數(shù)量的總和。因此，IRF技術能夠通過多個單機設備的堆疊，輕易的將設備的核心交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設備的性能。豐富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交換機特性，并且能夠高效穩(wěn)定地運行這些功能，大大擴展了IRF設備的應用范圍。廣泛的產(chǎn)品支持。IRF技術作為一種通用的虛擬技術，對不同形態(tài)產(chǎn)品的堆疊一體化的實現(xiàn)，使用同一技術，同時支持盒式設備的堆疊，以及框式分布式設備的堆疊。6.2.2典型組網(wǎng)應用使用IRF擴展端口數(shù)量使用IRF擴展端口數(shù)量如以以下圖所示。當接入的用戶數(shù)增加到原交換機端口密度不能滿足接入需求時，可以通過在原有的堆疊系統(tǒng)中增加新的交換機而得到滿足。使用IRF擴展端口組網(wǎng)圖使用IRF擴展系統(tǒng)處理能力使用IRF擴展系統(tǒng)處理能力如以以下圖所示。當中心的交換機轉發(fā)能力不能滿足需求時，可以增加新交換機與原交換機組成堆疊系統(tǒng)來實現(xiàn)。假設一臺交換機轉發(fā)能力為64MPPS，那么通過增加一臺交換機進展擴展后，整個堆疊設備的轉發(fā)能力為128MPPS。需要強調(diào)的是，是整個堆疊設備的轉發(fā)能力整體提高，而不是單個交換機的轉發(fā)能力提高。使用IRF擴展系統(tǒng)處理能力組網(wǎng)圖使用IRF擴展帶寬使用IRF擴展帶寬如以以下圖所示，當邊緣交換機上行帶寬增加時，可以增加新交換機與原交換機組成堆疊系統(tǒng)來實現(xiàn)。將成員設備的多條物理鏈路配置成一個聚合組，可以增加到中心交換機的帶寬。而對中心交換機的而言，邊緣交換機的數(shù)量并沒有變化，物理上的兩臺交換機看起來就是一臺交換機，原有交換時機將當前的配置批量備份到新參加的交換機。因此，這種變化對網(wǎng)絡規(guī)劃和配置影響很小。使用IRF擴展帶寬組網(wǎng)圖跨越空間使用IRFIRF2.0可以通過光纖將相距遙遠的設備連接形成堆疊設備，如以以下圖所示，每個樓層的用戶通過樓道交換機接入外部網(wǎng)絡，現(xiàn)使用堆疊光纖將各樓道交換機連接起來形成一個堆疊設備，這樣，相當于每個樓只有一個接入設備，網(wǎng)絡構造變得更加簡單；每個樓層有多條鏈路到達核心網(wǎng)絡，網(wǎng)絡變得更加強健、可靠；對多臺樓道交