銀行網(wǎng)絡(luò)數(shù)據(jù)中心設(shè)計(jì)方案

銀行網(wǎng)絡(luò)數(shù)據(jù)中心設(shè)計(jì)方案2、系統(tǒng)設(shè)計(jì)總體方案XX銀行全國(guó)數(shù)據(jù)集中工程 目錄第1章前言 5第2章概述 6第3章網(wǎng)絡(luò)設(shè)計(jì)原則 7第4章總體架構(gòu)設(shè)計(jì) 84.1結(jié)構(gòu)設(shè)計(jì) 8結(jié)構(gòu)設(shè)計(jì)策略 8分區(qū)模塊設(shè)計(jì) 8分層設(shè)計(jì) 9物理部署設(shè)計(jì) 104.2上海全國(guó)數(shù)據(jù)中心局域網(wǎng)拓樸 104.3網(wǎng)絡(luò)核心層 114.4生產(chǎn)區(qū) 124.5運(yùn)行管理區(qū) 134.6MIS區(qū) 144.7廣域接入?yún)^(qū) 154.8OA接入控制區(qū) 154.9生產(chǎn)外聯(lián) 164.10設(shè)備選型推薦 17S8500簡(jiǎn)介 19AR28-80簡(jiǎn)介 24第5章服務(wù)器接入設(shè)計(jì) 28第6章VLAN和SpanningTree設(shè)計(jì) 296.1VLAN簡(jiǎn)述 296.2VLAN注冊(cè)協(xié)議（GVRP） 296.3VLAN設(shè)計(jì) 316.4STP設(shè)計(jì) 316.5VRRP 33第7章IP地址設(shè)計(jì) 34第8章路由選擇和設(shè)計(jì) 358.1路由協(xié)議選擇 358.2路由邊界 358.3路由協(xié)議設(shè)計(jì)（OSPF） 36OSPFArea設(shè)計(jì) 36OSPFProcessID 37OSPFRouterID 38OSPF鏈路Metric 38OSPFMD5認(rèn)證 38選路規(guī)劃 388.4靜態(tài)路由 39第9章QoS設(shè)計(jì) 399.1QoS服務(wù)模型 40Best-Effortservice 40Integratedservice 40Differentiatedservice 41服務(wù)模型選擇 419.2QoS實(shí)現(xiàn)技術(shù) 42報(bào)文分類 42擁塞管理 42擁塞避免 43流量監(jiān)管和整形 449.3農(nóng)行數(shù)據(jù)中心QoS設(shè)計(jì) 44第10章可靠性設(shè)計(jì) 4610.1可靠性概述 4610.2設(shè)備級(jí)可靠性設(shè)計(jì) 48引擎（含主控及交換網(wǎng)） 48電源 50模塊和端口 51系統(tǒng)軟件 5410.3鏈路級(jí)可靠性設(shè)計(jì) 5510.4網(wǎng)絡(luò)級(jí)可靠性設(shè)計(jì) 56拓?fù)淙哂?56網(wǎng)關(guān)冗余 59路由冗余 6010.5應(yīng)用級(jí)可靠性設(shè)計(jì) 61第11章網(wǎng)絡(luò)安全 6111.1安全設(shè)計(jì)概述 6111.2安全管理中心設(shè)計(jì) 6211.3安全認(rèn)證中心設(shè)計(jì) 6511.4模塊化的安全構(gòu)架設(shè)計(jì) 67核心交換區(qū) 69生產(chǎn)區(qū) 69OA接入控制區(qū) 70運(yùn)維管理區(qū) 73MIS服務(wù)區(qū) 74生產(chǎn)外聯(lián)區(qū) 7511.5統(tǒng)一的安全聯(lián)動(dòng)設(shè)計(jì) 7611.6其他安全防護(hù)考慮 7811.7網(wǎng)絡(luò)病毒控制 79第12章網(wǎng)絡(luò)管理 81第13章數(shù)據(jù)中心切換 89前言上海數(shù)據(jù)中心工程是XX銀行數(shù)據(jù)大集中項(xiàng)目的重要組成部分，將作為全國(guó)生產(chǎn)中心投入運(yùn)行。生產(chǎn)數(shù)據(jù)中心的建成將為提高XX銀行的經(jīng)營(yíng)管理決策水平和風(fēng)險(xiǎn)控制能力打下堅(jiān)實(shí)的基礎(chǔ)，并支持提升中國(guó)XX銀行整體的服務(wù)水平和信息化服務(wù)質(zhì)量。 華為3Com公司深刻認(rèn)識(shí)到數(shù)據(jù)中心建設(shè)對(duì)于大集中項(xiàng)目以及中國(guó)XX銀行發(fā)展的重要性，針對(duì)數(shù)據(jù)中心承載多種業(yè)務(wù)應(yīng)用的特點(diǎn)，按照高可靠、高安全和先進(jìn)性的原則對(duì)網(wǎng)絡(luò)整體結(jié)構(gòu)和各個(gè)功能分區(qū)進(jìn)行了詳細(xì)的網(wǎng)絡(luò)方案設(shè)計(jì)。 為用戶提供最完善的服務(wù)是華為3Com技術(shù)的一貫宗旨，有關(guān)本方案的一切問(wèn)題，歡迎用戶在隨時(shí)垂詢。

概述 針對(duì)上海數(shù)據(jù)生產(chǎn)中心穩(wěn)定、可靠、高效運(yùn)行的要求，本方案以高可靠性，高安全性和先進(jìn)性為原則進(jìn)行了重點(diǎn)設(shè)計(jì)。整體結(jié)構(gòu)上，根據(jù)上海數(shù)據(jù)中心承載多種業(yè)務(wù)功能的特點(diǎn)，依據(jù)統(tǒng)一性，開(kāi)放性，易擴(kuò)展和可管理的特性要求，通過(guò)模塊化層次化的構(gòu)筑方法，以高可靠、高速率的交換結(jié)構(gòu)為中心，連接生產(chǎn)區(qū)，外聯(lián)區(qū)，接入?yún)^(qū)和MIS區(qū)等功能分區(qū)，并針對(duì)各個(gè)功能不同的業(yè)務(wù)應(yīng)用需求和安全要求進(jìn)行了針對(duì)性設(shè)計(jì)。在本項(xiàng)目設(shè)備建議中，我們推薦了先進(jìn)的QuidwayS8500系列萬(wàn)兆核心路由交換機(jī)作為平臺(tái)構(gòu)架的主要設(shè)備，通過(guò)高效的萬(wàn)兆交換技術(shù)實(shí)現(xiàn)骨干網(wǎng)絡(luò)的高性能互聯(lián)，同時(shí)，其安全聯(lián)動(dòng)、全面的業(yè)務(wù)支持以及電信級(jí)的高可靠特性，更保障本網(wǎng)絡(luò)具備了有強(qiáng)大的業(yè)務(wù)支撐和性能擴(kuò)展能力，可以滿足上海數(shù)據(jù)中心未來(lái)3－5年的發(fā)展需要。

網(wǎng)絡(luò)設(shè)計(jì)原則高可用性網(wǎng)絡(luò)架構(gòu)和設(shè)備均支持業(yè)務(wù)系統(tǒng)對(duì)服務(wù)級(jí)別高可靠性的要求，在網(wǎng)絡(luò)分層部署的架構(gòu)和設(shè)備體系選擇以及相關(guān)配置上均充分按照高可用的系統(tǒng)設(shè)計(jì)。高安全性按照立體的安全體系進(jìn)行設(shè)計(jì)，分布式部署，使網(wǎng)絡(luò)具有統(tǒng)一的安全，支持全網(wǎng)的安全聯(lián)動(dòng)。先進(jìn)性 網(wǎng)絡(luò)設(shè)備支持先進(jìn)的高性能體系架構(gòu)，支持高帶寬的數(shù)據(jù)傳輸。統(tǒng)一性數(shù)據(jù)中心局域網(wǎng)是基于大集中“一個(gè)整體”基礎(chǔ)上考慮。全網(wǎng)采用統(tǒng)一的架構(gòu)、策略部署，QoS分類和設(shè)備形態(tài)，保證全網(wǎng)的可維護(hù)性。開(kāi)放性本方案網(wǎng)絡(luò)建設(shè)全面遵循業(yè)界標(biāo)準(zhǔn)，所推薦采用的設(shè)備、技術(shù)在互通性和互操作性上，可以支持本網(wǎng)絡(luò)系統(tǒng)的快速布署?？傮w架構(gòu)設(shè)計(jì) 結(jié)構(gòu)設(shè)計(jì)結(jié)構(gòu)設(shè)計(jì)策略按照數(shù)據(jù)中心的結(jié)構(gòu)，本方案采用以下策略設(shè)計(jì)高可靠的設(shè)計(jì)思想融合在結(jié)構(gòu)設(shè)計(jì)、路由設(shè)計(jì)、應(yīng)用服務(wù)設(shè)計(jì)的各個(gè)層面；針對(duì)業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用需求實(shí)施全模塊化分區(qū)設(shè)計(jì)；依照工作重點(diǎn)和結(jié)構(gòu)分工的整網(wǎng)三層體系結(jié)構(gòu)；分區(qū)模塊設(shè)計(jì)網(wǎng)絡(luò)按照業(yè)務(wù)應(yīng)用需求，劃分以下主要功能區(qū)：生產(chǎn)區(qū)MIS區(qū)生產(chǎn)外聯(lián)區(qū)廣域接入?yún)^(qū)運(yùn)行管理區(qū)OA接入控制區(qū)各個(gè)區(qū)以擴(kuò)展模塊的形式分別連接到數(shù)據(jù)中心高可靠的核心交換網(wǎng)絡(luò)。分層設(shè)計(jì)按照網(wǎng)絡(luò)核心，匯聚和接入的模型對(duì)數(shù)據(jù)中心以及之內(nèi)的每一個(gè)功能區(qū)域按照層次化結(jié)構(gòu)模型進(jìn)行劃分：核心層構(gòu)成整個(gè)數(shù)據(jù)中心生產(chǎn)局域網(wǎng)的高速交換核心，為各個(gè)功能分區(qū)提供高可靠高穩(wěn)定和支持快速愈合的第三層接入服務(wù)。在核心層設(shè)計(jì)以高可靠，高速交換為主要原則；匯聚層各個(gè)功能分區(qū)的交換核心是組成整個(gè)生產(chǎn)中心局域網(wǎng)的匯聚層。匯聚層提供各個(gè)分區(qū)內(nèi)部接入層的匯聚，作為各個(gè)分區(qū)的對(duì)外接入，集中實(shí)現(xiàn)接入控制和安全控制；接入層在各個(gè)分區(qū)主機(jī)和服務(wù)器的接入，具有高密度的接入能力。支持基于主機(jī)端口的訪問(wèn)控制，并針對(duì)接入的數(shù)據(jù)流進(jìn)行標(biāo)記工作，便于傳輸過(guò)程中逐級(jí)實(shí)現(xiàn)針對(duì)流量的QoS控制策略。物理部署設(shè)計(jì)上海數(shù)據(jù)中心的核心網(wǎng)絡(luò)主要分布在上海園區(qū)的E2樓的各層，因此網(wǎng)絡(luò)將按照就近接入的原則將各個(gè)功能區(qū)網(wǎng)絡(luò)設(shè)備與應(yīng)用主機(jī)就近放置分布在各個(gè)樓層。網(wǎng)絡(luò)的交換核心、廣域接入?yún)^(qū)等沒(méi)有主機(jī)接入的功能區(qū)域放置于網(wǎng)絡(luò)機(jī)房。上海全國(guó)數(shù)據(jù)中心局域網(wǎng)拓樸在數(shù)據(jù)中心的實(shí)際部署中，針對(duì)數(shù)據(jù)中心模型進(jìn)一步細(xì)分各個(gè)功能分區(qū)。生產(chǎn)區(qū)涉及到的應(yīng)用系統(tǒng)較多包括核心業(yè)務(wù)以及各種總行級(jí)的業(yè)務(wù)系統(tǒng)。核心業(yè)務(wù)系統(tǒng)放置于IBMS/390上，通過(guò)在S/390上劃分多個(gè)分區(qū)來(lái)實(shí)現(xiàn)核心業(yè)務(wù)相關(guān)的不同功能。考慮到核心業(yè)務(wù)系統(tǒng)屬于銀行全部業(yè)務(wù)核心，屬于數(shù)據(jù)中心的重中之重，同時(shí)S/390的操作方式與其他開(kāi)放平臺(tái)不一致，因此物理上將生產(chǎn)區(qū)設(shè)置為核心業(yè)務(wù)生產(chǎn)區(qū)和開(kāi)放平臺(tái)生產(chǎn)區(qū)2個(gè)分區(qū)接入到核心層。測(cè)試區(qū)根據(jù)測(cè)試需要盡量與生產(chǎn)網(wǎng)絡(luò)實(shí)現(xiàn)完全分離，根據(jù)實(shí)際需求確定是否需接入到核心層。生產(chǎn)外聯(lián)區(qū)包括網(wǎng)上銀行的Internet外聯(lián)以及和合作伙伴的Extranet外聯(lián)兩種方式，在網(wǎng)絡(luò)結(jié)構(gòu)上和安全部署上有很大不同，因此在實(shí)際部署中分別設(shè)置2個(gè)接入?yún)^(qū)域連接到核心交換區(qū)。廣域接入?yún)^(qū)設(shè)置一個(gè)單獨(dú)的物理分區(qū)，提供各個(gè)一級(jí)分行的流量接入和匯聚。災(zāi)備接入?yún)^(qū)設(shè)置一個(gè)單獨(dú)的物理分區(qū)，部署與北京災(zāi)備中心的連接和災(zāi)備策略的部署。MIS服務(wù)區(qū)設(shè)置一個(gè)單獨(dú)的物理分區(qū)，提供MIS業(yè)務(wù)應(yīng)用的服務(wù)。運(yùn)行管理區(qū)設(shè)置一個(gè)單獨(dú)的物理分區(qū)，提供數(shù)據(jù)中心和全網(wǎng)的管理和監(jiān)控。網(wǎng)絡(luò)核心層網(wǎng)絡(luò)核心層由4臺(tái)萬(wàn)兆交換機(jī)構(gòu)成，通過(guò)萬(wàn)兆實(shí)現(xiàn)各個(gè)功能分區(qū)的接入，同時(shí)4臺(tái)交換機(jī)之間采用雙萬(wàn)兆捆綁的方式實(shí)現(xiàn)高速互聯(lián)。為了保證通過(guò)核心網(wǎng)絡(luò)的流量和路徑可控，并提高故障切換的效率，對(duì)各個(gè)功能分區(qū)實(shí)現(xiàn)三層接入的方式。為了保證各個(gè)功能分區(qū)的高可靠性，與各個(gè)功能分區(qū)的匯聚交換機(jī)采用雙星型的結(jié)構(gòu)連接。生產(chǎn)區(qū)生產(chǎn)區(qū)將接入數(shù)據(jù)中心核心生產(chǎn)系統(tǒng)和部分生產(chǎn)系統(tǒng)前置生產(chǎn)區(qū)由2臺(tái)匯聚層交換機(jī)和臺(tái)接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接系統(tǒng)。生產(chǎn)區(qū)開(kāi)放平臺(tái)：由2臺(tái)匯聚層交換機(jī)和臺(tái)接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接開(kāi)放平臺(tái)。

運(yùn)行管理區(qū)運(yùn)行管理區(qū)由2臺(tái)層交換機(jī)和2臺(tái)接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接

MIS區(qū)MIS區(qū)將接入數(shù)據(jù)中心由2臺(tái)層交換機(jī)和臺(tái)接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接廣域接入提供各個(gè)下聯(lián)一級(jí)分行的接入，同時(shí)支持在接入邊界部署安全控制策略。廣域接入平臺(tái)：由2臺(tái)匯聚層交換機(jī)構(gòu)成，。由2臺(tái)匯聚層交換機(jī)構(gòu)成。采用萬(wàn)兆技術(shù)，支持高密度萬(wàn)兆連接支持安全聯(lián)動(dòng)有效抵御網(wǎng)絡(luò)資源消耗型病毒攻擊（例如DOS/REDCODE等） 設(shè)備配置情況 1、核心交換區(qū) 核心層：4臺(tái)S8512 2、主機(jī)生產(chǎn)區(qū) 匯聚：2臺(tái)S8512，接入：2臺(tái)S8512 3、開(kāi)放生產(chǎn)區(qū) 匯聚：2臺(tái)S8512，接入：4臺(tái)S8512 4、MIS服務(wù)區(qū) 匯聚：2臺(tái)S8512，接入：2臺(tái)S8512 5、運(yùn)維管理區(qū) 匯聚：2臺(tái)S8512，接入：10臺(tái)S8512 6、外聯(lián)區(qū)僅合作伙伴接入?yún)^(qū) 匯聚：2臺(tái)S8512，接入：2臺(tái)S8512 7、廣域網(wǎng)接入?yún)^(qū) 匯聚：2臺(tái)S8512，接入：4臺(tái)S8512 8、OA接入控制區(qū) 匯聚：2臺(tái)S8512 9、網(wǎng)元管理 QuidviewDMG，CAMSAAA，SUN/NT服務(wù)器 10、基金國(guó)債業(yè)務(wù)接入路由器 兩臺(tái)AR46-80 S8500簡(jiǎn)介Quidway?S8500系列萬(wàn)兆核心路由交換機(jī)Quidway?S8500系列萬(wàn)兆核心交換機(jī)是由華為3Com公司自主開(kāi)發(fā)的新一代高性能萬(wàn)兆核心路由交換機(jī)產(chǎn)品，可廣泛應(yīng)用于運(yùn)營(yíng)商IP城域網(wǎng)核心層、匯聚層。Quidway?S8500系列基于Quidway?S8500系列支持新一代高性能萬(wàn)兆接口，能夠?yàn)槌怯蚓W(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，構(gòu)建端到端以太網(wǎng)，打造低成本、高性能、具有豐富業(yè)務(wù)支持能力的高性能網(wǎng)絡(luò)。Quidway?S8500提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，，的QoS保障安全管理機(jī)制，滿足對(duì)多業(yè)務(wù)、高可靠、大容量、模塊化的需求。產(chǎn)品特點(diǎn)Quidway?S8500系列產(chǎn)品采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找，并通過(guò)Crossbar技術(shù)進(jìn)行高速報(bào)文交換，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力。Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不單獨(dú)占用設(shè)備槽位，可提供高達(dá)720Gbps的交換容量，并可平滑升級(jí)到1.44Tbps的交換容量。接口板通過(guò)多條高速總線分別連到兩塊主控板上的Crossbar交換網(wǎng)，從而實(shí)現(xiàn)真正的雙主控、雙交換網(wǎng)的熱備份，極大的提高了系統(tǒng)的可靠性。Quidway?S8500系列產(chǎn)品采用高性能的最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的方式，在保持線速性能和低成本的基礎(chǔ)上，革命性的解決了傳統(tǒng)交換機(jī)流Cache精確匹配轉(zhuǎn)發(fā)的致命缺陷，能夠有效的抗擊網(wǎng)絡(luò)“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務(wù)，復(fù)雜流量訪問(wèn)的網(wǎng)絡(luò)。大容量、高密度線速交換Quidway?S8500系列產(chǎn)品目前最高可以提供720Gbps交換容量/428Mpps包轉(zhuǎn)發(fā)能力，并可平滑升級(jí)到1.44Tbps交換容量、857Mpps轉(zhuǎn)發(fā)能力。支持各種高密度業(yè)務(wù)板和組合業(yè)務(wù)板，整機(jī)可支持高達(dá)576個(gè)千兆端口的同時(shí)線速轉(zhuǎn)發(fā)，滿足核心層設(shè)備大容量、高密度的要求。強(qiáng)大的業(yè)務(wù)支撐能力Quidway?S8500支持MPLSVPN業(yè)務(wù)；支持豐富的組播協(xié)議（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），內(nèi)置防火墻（硬件支持）、IDS；支持POS/ATM、RPR等接口。新一代萬(wàn)兆接口支持Quidway?S8500系列產(chǎn)品提供的新一代萬(wàn)兆以太網(wǎng)克服了早期萬(wàn)兆以太網(wǎng)的諸多局限，在線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強(qiáng)大的QoS保障，并支持豐富的ACL、策略路由、安全等特性。Quidway?S8500的新一代萬(wàn)兆以太網(wǎng)不僅在接口密度上達(dá)到2端口/線卡（后續(xù)可擴(kuò)展至4端口/線卡），并且可以支持線速的MPLS轉(zhuǎn)發(fā)，可以提供更好的IPVPN業(yè)務(wù)和透明的LAN服務(wù)，真正實(shí)現(xiàn)性能與功能的完美統(tǒng)一。Quidway?S8500系列產(chǎn)品除了提供標(biāo)準(zhǔn)的LAN接口，還可以提供使用波分復(fù)用技術(shù)的10GBASE-LX4接口，從而大大提高了用戶組網(wǎng)的靈活性。MPLS/IPv6分布式線速支持Quidway?S8500系列產(chǎn)品遵循業(yè)務(wù)與性能并重的設(shè)計(jì)理念。一方面帶寬和網(wǎng)絡(luò)規(guī)模的增長(zhǎng)推動(dòng)核心路由交換機(jī)的性能容量不斷提升，另一方面業(yè)務(wù)的發(fā)展要求核心交換機(jī)更加智能化并具備更強(qiáng)的業(yè)務(wù)提供能力。Quidway?S8500系列產(chǎn)品采用功能強(qiáng)大的ASIC芯片實(shí)現(xiàn)MPLS、IPv6的分布式線速轉(zhuǎn)發(fā)，并能夠基于高性能NP實(shí)現(xiàn)線速NAT、WebSwitch等增值業(yè)務(wù)，在為用戶提供全面的有保障業(yè)務(wù)的同時(shí)，也做到根據(jù)需求業(yè)務(wù)可裁減。完善的QoS機(jī)制Quidway?S8500系列產(chǎn)品提供了靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR三種模式；支持8個(gè)優(yōu)先級(jí)隊(duì)列，3個(gè)丟棄優(yōu)先級(jí)；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網(wǎng)絡(luò)的要求。電信級(jí)可靠性設(shè)計(jì)：Quidway?S8500系列產(chǎn)品系統(tǒng)采用分布式結(jié)構(gòu)，支持雙主控交換板，無(wú)源背板設(shè)計(jì)，所有單板支持熱插拔；電源系統(tǒng)交流/直流可選，采用1+1冗余熱備份，并支持雙路電源輸入；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級(jí)網(wǎng)絡(luò)可靠性要求，系統(tǒng)可靠性達(dá)到：99.999％。完善的安全機(jī)制：Quidway?S8500系列產(chǎn)品的先進(jìn)的逐包轉(zhuǎn)發(fā)機(jī)制確保其在各種數(shù)據(jù)流狀況下的設(shè)備安全，支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證；支持URPF（單播反向路徑檢查）；采用802.1x方式對(duì)接入用戶進(jìn)行認(rèn)證，支持安全的SNMPv3的網(wǎng)管協(xié)議、支持配置安全，對(duì)登錄用戶進(jìn)行認(rèn)證，不同級(jí)別的用戶有不同的配置權(quán)限，并提供兩種用戶認(rèn)證方式：本地認(rèn)證和RADIUS認(rèn)證。Quidway?S8500系列產(chǎn)品通過(guò)靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問(wèn)網(wǎng)絡(luò)。支持多種ACL訪問(wèn)控制策略，能夠?qū)τ脩粼L問(wèn)網(wǎng)絡(luò)資源的權(quán)限進(jìn)行設(shè)置，保證網(wǎng)絡(luò)的受控訪問(wèn)。Quidway?S8500系列產(chǎn)品還支持標(biāo)準(zhǔn)Radius協(xié)議，同時(shí)提供Radius+功能，以及HCBM?（華為可控組播管理協(xié)議）功能支持。基于硬件支持的內(nèi)置防火墻/IDS功能為核心交換設(shè)備安全組網(wǎng)提供了多樣化的選擇，簡(jiǎn)化了網(wǎng)絡(luò)層次，提高了整網(wǎng)性能。產(chǎn)品規(guī)格屬性 S8505 S85S8512 體系結(jié)構(gòu) 一體化機(jī)箱，可安裝于19英寸機(jī)架內(nèi) 外形尺寸（MM）寬×深×高 436x40x486 436x450x619 436x450x753 滿配置重量 65 80 100 交換容量 XRCoreEngine?I300GXRCoreEngine?II600G XRCoreEngine?I480GXRCoreEngine?II960GXRCoreEngine?I720GXRCoreEngine?II1.44T 背板容量 750Gbps.5T） 1.2Tbps（可擴(kuò)展至2.4T） 1.8Tbps（可擴(kuò)展至3.6T） 包轉(zhuǎn)發(fā)XRCoreEngine?I178MppsXRCoreEngine?II357Mpps XRCoreEngine?I285MppsXRCoreEngine?II571Mpps XRCoreEngine?I428MppsXRCoreEngine?II857Mpps 槽位數(shù)量 7 114 業(yè)務(wù)單板槽位數(shù)量 5 12 二層功能 4KVLANSTP/RSTP/MSTP支持動(dòng)態(tài)VLAN注冊(cè)協(xié)議（GVRP）MDI/MDI-X自適應(yīng) 三層功能 提供豐富的路由協(xié)議：RIP、OSPF、IS-IS、BGP4K最長(zhǎng)匹配路由轉(zhuǎn)發(fā)表路由負(fù)載分擔(dān)策略路由支持VRRP支持DHCP-RELAY 組播 GMRP、IGMPSnooping三層組播協(xié)議：IGMP、PIM-DM、PIM-SM、MSDP/MBGP支持可控組播業(yè)務(wù) NAT NAT中NAPT模式支持公有地址和私有地址的混合組網(wǎng)NAT轉(zhuǎn)換支持ICMP、FTP的等ALG安全功能，防止DOS攻擊對(duì)NAT模塊資源的過(guò)度使用支持NAT板間的負(fù)荷分擔(dān)和備份功能 WebSwitch 具有L3/L4層的線速交換基于L4層的PBR及其他功能：如服務(wù)器負(fù)載均衡、防火墻負(fù)載均衡、WebCache高速緩存重定向等功能 MPLSVPN 支持二層MPLSVPN支持三層MPLSVPN支持QinQ支持PE和P功能MPLS標(biāo)簽空間：KMPLS標(biāo)簽棧深度：4級(jí) QoS 可基于物理端口、VLAN、源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP端口、協(xié)議號(hào)等進(jìn)行報(bào)文分類和過(guò)濾支持帶寬控制，帶寬控制粒度為1Kbit/s優(yōu)先級(jí)隊(duì)列調(diào)度：每端口支持8個(gè)優(yōu)先級(jí)隊(duì)列，3個(gè)丟棄優(yōu)先級(jí)，支持SP、WRR、SP+WRR三種隊(duì)列調(diào)度算法支持WRED擁塞避免算法支持流量整形支持802.1P，DSCP/TOS優(yōu)先級(jí)和重新標(biāo)記能力支持基于時(shí)間段的流分類和QoS控制能力 網(wǎng)絡(luò)安全特性 支持IP+MAC+PORT任意組合的綁定支持非法幀報(bào)文過(guò)濾用戶分級(jí)管理和口令保護(hù)支持端口隔離支持SSH支持SNMPv3網(wǎng)管 可靠性 MTBF:小時(shí)雙主控雙路供電熱插拔 環(huán)境要求 溫度范圍：040℃相對(duì)濕度：10%%（非凝結(jié)） 電源要求 DC：輸入電壓：V～－60VAC：輸入電壓：240V最大功率：W（S8505）、2000W（S8508/S8512） AR28-80簡(jiǎn)介Quidway?AR28-40、AR28-80模塊化中心路由器是華為3Com公司Quidway?AR系列路由器中面向企業(yè)用戶的網(wǎng)絡(luò)產(chǎn)品，采用32位的微處理器技術(shù)，使用VRP（通用路由平臺(tái)），提供了極其豐富的軟件特性，支持啞終端接入服務(wù)器和金融POS接入功能，支持SNA/DLSw、VoIP特性等，提供豐富的備份方案及QoS特性；硬件采用模塊化結(jié)構(gòu)，具有更高的處理能力和更大的接入密度，具備MPLSVPN功能、DVPN功能、可平滑升級(jí)支持IPv6符合未來(lái)IP技術(shù)的發(fā)展潮流。Quidway?AR28-40、AR28-80既適合于在中小型企業(yè)網(wǎng)中擔(dān)當(dāng)核心路由器，也可以在大型網(wǎng)絡(luò)中擔(dān)當(dāng)匯聚層路由器。Quidway?AR28-40路由器外觀圖Quidway?AR28-80路由器外觀圖產(chǎn)品功能特性：VRP操作平臺(tái)：華為3Com在成熟的VRP軟件平臺(tái)的基礎(chǔ)上，結(jié)合AR28系列的硬件體系結(jié)構(gòu)和軟件業(yè)務(wù)要求，度身定做的的AR28系列的軟件體系，完全繼承了VRP平臺(tái)的穩(wěn)定性、成熟性和可靠性，所提供的軟件業(yè)務(wù)均為VRP平臺(tái)的成熟特性，同時(shí)可以隨著VRP平臺(tái)的不斷發(fā)展同步提供新的特性。VPN解決方案：支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN、MPLSL3VPN，MPLSL2VPNHTACACS認(rèn)證/計(jì)費(fèi)、IPSEC、IKE、硬件加密卡、防火墻支持（對(duì)接口/時(shí)間段/MAC地址的過(guò)濾）、CA認(rèn)證（數(shù)字證書）、高性能NAT。互連協(xié)議：以太網(wǎng)、橋、幀中繼、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP頭壓縮、MP、ISDN、PPPoEClient、按需撥號(hào)、撥號(hào)串循環(huán)備份、PPP/ISDN回呼、L2TP建立二層隧道、GRE建立三層隧道、IPSEC建立三層隧道、xDSL寬帶接入。網(wǎng)絡(luò)協(xié)議：DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、組播、路由負(fù)載分擔(dān)、地址借用、TCP報(bào)文頭壓縮、路由策略。應(yīng)用層協(xié)議及業(yè)務(wù)特性：Telnet、SSH、Rlogin、dumbterminal、增強(qiáng)安全特性的終端接入服務(wù)器、金融POS接入服務(wù)，RTC、LPD、FTP、Ping及NTP應(yīng)用層協(xié)議或業(yè)務(wù)特性。QOS：流量分類和流量監(jiān)管CAR/LR、流量整形GTS、擁塞管理PQ/CQ/WFQ/CBQ、擁塞避免WRED。網(wǎng)絡(luò)可靠性：接口/子接口間的物理層備份，虛鏈路/虛模板/撥號(hào)接口/邏輯接口間的鏈路層備份，動(dòng)態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)層備份、VRRP實(shí)現(xiàn)設(shè)備層備份。系統(tǒng)可靠性：支持dualimage，能對(duì)image文件進(jìn)行合法性判別，支持啟動(dòng)成功性自探測(cè)，支持裝載image文件引導(dǎo)系統(tǒng)，支持從主image文件啟動(dòng)，支持從備份image文件啟動(dòng)。語(yǔ)音特性：靜音壓縮、舒適噪音、語(yǔ)音防抖動(dòng)、音量調(diào)節(jié)、PBX交換機(jī)功能模擬、主叫號(hào)碼識(shí)別、自動(dòng)忙音檢測(cè)、靈活VOIP選路與備份策略、IP、語(yǔ)音RADIUS、GKClient、IPHC、語(yǔ)音QoS。IPV6：從目前的硬件體系結(jié)構(gòu)和軟件平臺(tái)的基礎(chǔ)上能夠平滑升級(jí)到IPV6的軟件版本,全面支持IPv4和IPv6雙協(xié)議棧，提供豐富的IPV6協(xié)議，支持多種IPv4向IPv6的過(guò)渡技術(shù)：手工配置隧道、自動(dòng)配置隧道、6to4隧道、GRE隧道、實(shí)現(xiàn)NAT-PT等；支持IPv6靜態(tài)路由，支持BGP4/BGP4+、RIPng、OSPF3、ISISv6等動(dòng)態(tài)路由協(xié)議；支持ICMPv6MIB、UDP6MIB、TCP6MIB、IPv6MIB等。配置管理：中英文雙語(yǔ)、命令分級(jí)保護(hù)、tracert/ping/debugging故障診斷功能、RMON、SNMPv1/v2c/v3、系統(tǒng)日志、可通過(guò)FTP或TFTP進(jìn)行系統(tǒng)升級(jí)、可通過(guò)Console/AUX/X.25PAD/Telnet/反向Telnet等方式進(jìn)行配置。通過(guò)Quidview網(wǎng)管軟件，能夠?qū)β酚善鬟M(jìn)行遠(yuǎn)程配置，并且能夠?qū)χ鳈C(jī)程序通過(guò)Quidview進(jìn)行在線升級(jí)。產(chǎn)品規(guī)格項(xiàng)目 AR28-40描述 AR28-80描述 插槽 4 8 功能模塊 LAN接口模塊 1FE/2FE（10/100Base-TX快速以太網(wǎng)接口模塊）1SFX（100Base-FX以太網(wǎng)單模光接口模塊）1MFX（100Base-FX以太網(wǎng)多模光接口模塊）1GBE（1000Base-T千兆以太網(wǎng)模塊）1GEF（1000Base-SFP千兆以太網(wǎng)光模塊） WAN接口模塊 2/4SA（高速同異步串口模塊）8/16AS（異步串口模塊）1/2/4E1（通道化cE1/PRI模塊）1/2/4E1-F（非通道化E1模塊）1/2/4T1（通道化的cT1/PRI模塊）1/2/4T1F（非通道化T1模塊）E3（通道化E3模塊）T3（通道化T3模塊）6/12AM（模擬調(diào)制解調(diào)器模塊）4BSISDNBRIS/T接口模塊）155M1ATM（ASM/AMM/ASL，155M單模/多模/單模長(zhǎng)距離光接口模塊）ATME3/T3（ATME3/T3傳輸模塊）1/2ADSL（ADSL通信模塊）1/2ADSL-I（ADSL通信模塊） 語(yǔ)音模塊 2FXS/4FXS（FXS接口語(yǔ)音模塊）2FXO/4FXO（FXO接口語(yǔ)音模塊）2E&M/4E&M（E&M接口語(yǔ)音模塊）E1VI（E1語(yǔ)音模塊）T1VI（T1語(yǔ)音模塊） POS接入模塊 2/4/6FCM（快速連接MODEM模塊） 其他模塊 NDEC（網(wǎng)絡(luò)數(shù)據(jù)加密模塊） 處理器 MPC8245300MHz MPC8245300MHz 轉(zhuǎn)發(fā)性能 110-120KPPS 110-120KPPS/130-150KPPS NVRAM 128KB FLASH 32MB SDRAM 缺?。?28MB，最大：256MB 外型尺寸（mm）寬×深×高 440×400×43 440×400×86 重量 8kg 14kg 輸入電壓 AC 額定電壓范圍：100-240V；50/60Hz最大電壓范圍：90-264V；50/60Hz DC 額定電壓范圍：-48--60V最大電壓范圍：-36--72V 最大功率 67W 114W 工作環(huán)境溫度 0～40℃ 環(huán)境濕度 5～90%不結(jié)露 服務(wù)器接入設(shè)計(jì)數(shù)據(jù)中心的服務(wù)器對(duì)可靠性要求較高，會(huì)有多種高可靠的接入方式，根據(jù)對(duì)主機(jī)接入的分類，主要分為三類：多主機(jī)群集，雙機(jī)HA應(yīng)用，單機(jī)多網(wǎng)卡。這三種方式均涉及到多網(wǎng)卡與交換機(jī)連接。因此針對(duì)群集和HA應(yīng)用還有多VLAN的方式和同一VLAN的方式。針對(duì)多主機(jī)多VLAN的方式這類主機(jī)部署的應(yīng)用屬于重要應(yīng)用，以核心業(yè)務(wù)應(yīng)用為主。為保證可靠性至少選擇在2臺(tái)接入交換機(jī)上均做相同的VLAN和端口配置，實(shí)現(xiàn)端口1+1冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)并將多主機(jī)同一業(yè)務(wù)對(duì)應(yīng)端口接入相同VLAN中（根據(jù)切換方式不同可選擇同一交換機(jī)或不同交換機(jī)）。針對(duì)多主機(jī)共享VLAN的方式，為保證可靠性至少選擇在2臺(tái)接入交換機(jī)上均做相同的VLAN和端口配置，實(shí)現(xiàn)端口1+1冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)并將多主機(jī)對(duì)應(yīng)業(yè)務(wù)端口分布到2臺(tái)交換機(jī)。針對(duì)HA主機(jī)多VLAN的方式這類應(yīng)用也屬于重要應(yīng)用，以各類基于開(kāi)放平臺(tái)的業(yè)務(wù)為主。為保證可靠性選擇在2臺(tái)接入交換機(jī)上做相同的VLAN和端口配置，實(shí)現(xiàn)端口1+1冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)將雙機(jī)對(duì)應(yīng)端口部接入到不同交換機(jī)的對(duì)應(yīng)VLAN中。針對(duì)HA主機(jī)單VLAN的方式這類應(yīng)用也屬于重要應(yīng)用，以各類基于開(kāi)放平臺(tái)的業(yè)務(wù)為主。為保證可靠性選擇在2臺(tái)接入交換機(jī)上做相同的VLAN和端口配置，實(shí)現(xiàn)端口1+1冗余，即保證單一接入設(shè)備可以承載全部主機(jī)連接，在工作時(shí)將雙機(jī)對(duì)應(yīng)端口部接入到不同交換機(jī)的同一VLAN端口中。針對(duì)單機(jī)多VLAN方式單機(jī)應(yīng)用一般數(shù)據(jù)次關(guān)鍵應(yīng)用，以部分業(yè)務(wù)的前置服務(wù)器為主。針對(duì)單機(jī)多網(wǎng)卡多VLAN方式，也考慮將多VLAN在2臺(tái)接入交換機(jī)上部署，實(shí)現(xiàn)VLAN端口1+1冗余。工作時(shí)將主機(jī)不同端口分別連接到不同交換機(jī)的對(duì)應(yīng)VLAN端口。針對(duì)單機(jī)單VLAN方式這種方式是實(shí)現(xiàn)單機(jī)的網(wǎng)卡和鏈路備份，以部分業(yè)務(wù)的前置服務(wù)器為主。此種方式本身即是端口和鏈路備份，在2個(gè)交換機(jī)上均部署相同VLAN和對(duì)應(yīng)端口，將這單機(jī)的2個(gè)端口分別連接到2個(gè)交換機(jī)的對(duì)應(yīng)端口。VLAN和SpanningTree設(shè)計(jì)VLAN簡(jiǎn)述VLAN（VirtualLocalAreaNetwork－虛擬局域網(wǎng)）邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個(gè)物理上實(shí)際的網(wǎng)絡(luò)劃分成多個(gè)小的邏輯的網(wǎng)絡(luò)。這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)VLAN。VLAN在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。IEEE802.1Q是虛擬局域網(wǎng)的正式標(biāo)準(zhǔn)，定義了同一個(gè)物理鏈路上承載多個(gè)子網(wǎng)的數(shù)據(jù)流的方法。IEEE802.1Q定義了VLAN幀格式，為識(shí)別幀屬于哪個(gè)VLAN提供了一個(gè)標(biāo)準(zhǔn)的方法。這個(gè)格式是統(tǒng)一標(biāo)識(shí)VLAN的方法，有利于保證不同廠家設(shè)備配置的VLAN可以互通。VLAN注冊(cè)協(xié)議（GVRP）GVRP（GARPVLANRegistrationProtocol）是VLAN注冊(cè)協(xié)議。GVRP基于GARP的工作機(jī)制，是GARP的一種應(yīng)用，維護(hù)交換機(jī)中的VLAN動(dòng)態(tài)注冊(cè)信息并傳播該信息到其它的交換機(jī)中。所有支持GVRP特性的交換機(jī)能夠接收來(lái)自其它交換機(jī)的VLAN注冊(cè)信息，并動(dòng)態(tài)更新本地的VLAN注冊(cè)信息，包括當(dāng)前的VLAN成員，這些VLAN成員可以通過(guò)哪個(gè)端口到達(dá)等。而且所有支持GVRP特性的交換機(jī)能夠?qū)⒈镜豓LAN注冊(cè)信息向其它交換機(jī)傳播，以便使同一交換網(wǎng)內(nèi)所有支持GVRP特性的設(shè)備的VLAN信息達(dá)成一致。GVRP傳播的VLAN注冊(cè)信息包括本地手工配置的靜態(tài)注冊(cè)信息和來(lái)自其它交換機(jī)的動(dòng)態(tài)注冊(cè)信息。對(duì)GVRP特性的支持使得不同交換機(jī)上的VLAN信息可以由協(xié)議動(dòng)態(tài)維護(hù)和更新，只需要對(duì)少數(shù)交換機(jī)進(jìn)行VLAN配置，就可以應(yīng)用到整個(gè)交換網(wǎng)絡(luò)，無(wú)需耗費(fèi)大量時(shí)間進(jìn)行拓?fù)浞治龊团渲霉芾?，協(xié)議會(huì)自動(dòng)根據(jù)網(wǎng)絡(luò)中VLAN的配置情況，動(dòng)態(tài)地傳播VLAN信息并配置在相應(yīng)的端口上。根據(jù)VLAN注冊(cè)信息，交換機(jī)了解到干道鏈路對(duì)端有哪些VLAN，自動(dòng)配置干道鏈路，只允許對(duì)端交換機(jī)需要的VLAN在干道鏈路上傳輸。GVRP注冊(cè)類型 功能 Normal 允許在該端口手工或動(dòng)態(tài)創(chuàng)建、注冊(cè)和注銷VLAN； Fixed 允許手工創(chuàng)建和注冊(cè)VLAN，并且防止VLAN的注銷和在其它Trunk端口注冊(cè)此端口所知的動(dòng)態(tài)VLAN。這種情況下，GVRP就不會(huì)自動(dòng)配置Trunk端口允許哪些VLAN報(bào)文可以通過(guò)； Forbidden 將注銷VLAN1以外的所有VLAN，并且禁止在該端口上創(chuàng)建和注銷任何其它VLAN； 注：VLAN1的注冊(cè)類型必須是Fixed，且不可以更改。 為了減少交換機(jī)之間的相互影響，中國(guó)XX銀行上海數(shù)據(jù)中心的GVRP類型設(shè)計(jì)為Fixed。根據(jù)前文所述，農(nóng)行上海數(shù)據(jù)中心網(wǎng)絡(luò)分為多個(gè)功能分區(qū)，每個(gè)網(wǎng)絡(luò)功能分區(qū)的接入層交換機(jī)將定義為L(zhǎng)ayer2交換機(jī)，Layer2和Layer3的邊界位于每個(gè)網(wǎng)絡(luò)功能分區(qū)的匯聚層交換機(jī)上。接入層交換機(jī)通過(guò)VLAN連接接入設(shè)備；接入層和匯聚層交換機(jī)之間通過(guò)Trunk連接；匯聚層交換機(jī)之間通過(guò)Trunk連接。如下圖：VLAN根據(jù)，數(shù)據(jù)中心生產(chǎn)相關(guān)VLAN定義：辦公相關(guān)VLAN的VLANID可以復(fù)用生產(chǎn)相關(guān)VLAN的VLANID數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備互連VLAN不包括生產(chǎn)外聯(lián)區(qū)內(nèi)部設(shè)備互連VLAN從低到高分配從高到低分配上海數(shù)據(jù)中心通過(guò)在匯聚層交換機(jī)上手工配置根網(wǎng)橋的主、備策略，確保生成樹在二層鏈路形成最佳的樹型拓?fù)洹８W(wǎng)橋設(shè)置還可以通過(guò)調(diào)節(jié)路徑開(kāi)銷、端口優(yōu)先級(jí)、端口ID等方式實(shí)現(xiàn)。根據(jù)經(jīng)驗(yàn)，推薦將匯聚層交換機(jī)設(shè)置成根網(wǎng)橋，圖示如下：VRRPVRRP（VirtualRouterRedundancyProtocol）是一種容錯(cuò)協(xié)議，其目的是利用備份機(jī)制來(lái)提高路由器與外界連接的可靠性。VRRP確保當(dāng)主機(jī)的下一跳三層設(shè)備壞掉時(shí)可以及時(shí)的由另一臺(tái)三層設(shè)備來(lái)代替，從而保持通訊的連續(xù)性和可靠性。VRRP中只定義了一種報(bào)文――VRRP報(bào)文，這是一種多播報(bào)文，由主設(shè)備定時(shí)發(fā)出來(lái)通告它的存在，使用這些報(bào)文可以檢測(cè)虛擬設(shè)備各種參數(shù)，還可以用于主設(shè)備的選舉。VRRP中定義了三種狀態(tài)模型初始狀態(tài)Initialize，活動(dòng)狀態(tài)Master，備份狀態(tài)Backup，其中只有活動(dòng)狀態(tài)可以發(fā)送報(bào)文，而且報(bào)文也只有一種。VRRP報(bào)文是封裝在IP報(bào)文上的，支持各種上層協(xié)議。同時(shí)VRRP還支持將真實(shí)接口IP地址設(shè)置為虛擬IP地址的做法。1. 匯聚層設(shè)備在連接普通接入時(shí)采用VRRP；2. VRRP優(yōu)先級(jí)策略與STP的根網(wǎng)橋主備設(shè)置一致；下圖是VRRP拓?fù)湓O(shè)置的示意圖：IP地址設(shè)計(jì)IP地址的合理設(shè)計(jì)是數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址采用RFC1918規(guī)定的地址段（不包括外聯(lián)區(qū)域IP地址）。根據(jù)選擇的IP地址段和數(shù)據(jù)中心的業(yè)務(wù)功能模塊進(jìn)行映射，建議如下：網(wǎng)段分配功能分區(qū)類型 IP地址范圍 生產(chǎn)區(qū)主機(jī)、開(kāi)放平臺(tái) 備用 測(cè)試區(qū)主機(jī)、開(kāi)放平臺(tái) 備用 運(yùn)行管理區(qū) 備用 生產(chǎn)外聯(lián)區(qū) 擴(kuò)展DMZ和DMZ區(qū)域 外連區(qū)域 另一個(gè)RFC1918網(wǎng)段地址 使用公有地址 備用 MIS管理區(qū) 備用 上海中心網(wǎng)絡(luò)設(shè)備互連不包括生產(chǎn)外聯(lián)區(qū)內(nèi)部設(shè)備互連 備用 設(shè)備和網(wǎng)關(guān)地址分配原則在單個(gè)子網(wǎng)地址范圍內(nèi)，為了減少干擾，網(wǎng)關(guān)通常使用最高位地址，用戶地址由低到高依次分配。設(shè)備地址 子網(wǎng)位置 分配順序 網(wǎng)關(guān) 最高位 / VRRP地址 次高位 由高到低 … / 預(yù)留 … / 預(yù)留 普通接入設(shè)備 最低位 由低到高 路由選擇和設(shè)計(jì)路由協(xié)議選擇以下是對(duì)兩種適合大型網(wǎng)絡(luò)路由協(xié)議的比較： OSPF IS-IS 標(biāo)準(zhǔn)化 國(guó)際標(biāo)準(zhǔn)（IETF） 國(guó)際標(biāo)準(zhǔn)ISO、IETF 協(xié)議種類 鏈路狀態(tài) 鏈路狀態(tài) 協(xié)議算法 SPF SPF 適用性 專為IP設(shè)計(jì) 用于CLNS或CLNS+IP環(huán)境 靈活性 高 高 通用性 高 中 擴(kuò)展性 中 高 建議上海數(shù)據(jù)中心內(nèi)部將采用OSPF路由協(xié)議，生產(chǎn)外聯(lián)區(qū)將采用靜態(tài)路由協(xié)議。按照，網(wǎng)絡(luò)核心和各功能分區(qū)的匯聚層交換機(jī)之間將構(gòu)成數(shù)據(jù)中心的路由區(qū)域；而接入層交換機(jī)將定義為L(zhǎng)ayer2交換機(jī)，通過(guò)Trunk或VLAN連接匯聚層交換機(jī)；路由和交換的邊界位于每個(gè)功能分區(qū)的匯聚層交換機(jī)。路由協(xié)議設(shè)計(jì)（OSPF）OSPFArea設(shè)計(jì)根據(jù)上海數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)設(shè)備數(shù)量和連接方式，為在可預(yù)見(jiàn)的時(shí)間內(nèi)，單獨(dú)一個(gè)OSPFArea可以滿足需要。因此，對(duì)于上海數(shù)據(jù)中心，所有核心層交換機(jī)和各功能分區(qū)的匯聚層交換機(jī)機(jī)都運(yùn)行在OSPFArea0中。根據(jù)業(yè)務(wù)需要，農(nóng)行將構(gòu)造個(gè)主機(jī)Sysplex環(huán)境：以上各主機(jī)Sysplex環(huán)境和所在功能分區(qū)的匯聚層交換機(jī)之間將運(yùn)行OSPF路由協(xié)議，采用單獨(dú)的OSPFArea。匯聚層設(shè)備作為路由域和交換域的邊界；路由區(qū)域?yàn)镺SPFArea0；OSPF在匯聚層交換機(jī)連接核心交換機(jī)的鏈路上通過(guò)Vlan建立點(diǎn)-點(diǎn)鄰居關(guān)系；OSPF在匯聚層交換機(jī)互連Trunk上通過(guò)Vlan建立點(diǎn)-點(diǎn)鄰居關(guān)系；匯聚層交換機(jī)連接服務(wù)器的端口配置為OSPF的PassiveInterface，沒(méi)有鄰居關(guān)系。OSPFSTUB接入設(shè)計(jì)如下：匯聚層設(shè)備作為OSPFArea0和STUB的邊界，是ABR；OSPF在匯聚層交換機(jī)和核心交換機(jī)的鏈路上通過(guò)Vlan建立點(diǎn)-點(diǎn)鄰居關(guān)系；匯聚層交換機(jī)互連Trunk的Vlan分別屬于OSPFArea0和STUB；OSPF在匯聚層交換機(jī)互連鏈路上通過(guò)Trunk建立點(diǎn)-點(diǎn)鄰居關(guān)系；OSPF在匯聚層交換機(jī)連接Sysplex的鏈路上通過(guò)Vlan與Sysplex建立BMA鄰居關(guān)系，匯聚層交換機(jī)分別定義為DR和BDR；OSPF的DR和BDR分別向STUB區(qū)域發(fā)送默認(rèn)路由，為實(shí)現(xiàn)“單邊路由”的設(shè)計(jì)，需手工設(shè)置DefaultCost。OSPFProcessIDOSPFProcessID對(duì)網(wǎng)絡(luò)設(shè)備而言，只具有本地的意義，兩個(gè)建立鄰接關(guān)系的網(wǎng)絡(luò)設(shè)備可以使用不同的OSPFProcessID。出于統(tǒng)一管理考慮，建議農(nóng)行上海數(shù)據(jù)中心運(yùn)行OSPF路由協(xié)議的網(wǎng)絡(luò)設(shè)備使用相同的OSPFProcessID：10。OSPFRouterIDOSPF需要使用唯一的RouterID標(biāo)識(shí)每一臺(tái)路由器，建議相關(guān)網(wǎng)絡(luò)設(shè)備的Loopback地址作為其OSPFRouterID。OSPF鏈路Metric對(duì)OSPF協(xié)議，Interface的Metric為：108/InterfaceBandwidth，其中108為缺省的“OSPFAuto-costReferenceBandwidth”。對(duì)于農(nóng)行上海數(shù)據(jù)中心，可能的網(wǎng)絡(luò)鏈路的速度范圍可從100Mbps到4Gbps（4PortsGEChannel），對(duì)于OSPF的鏈路的Metric設(shè)置必須能夠區(qū)分鏈路速度和吞吐能力。對(duì)農(nóng)行上海數(shù)據(jù)中心OSPF鏈路Metric規(guī)劃如下：鏈路類型 鏈路帶寬Mbps Metric值 GigabitEthernet 10,000 10 4portsGEChannel 4,000 25 2portsGEChannel 2,000 50 GigabitEthernet 1,000 100 VLANInterface 1,000 100 OSPFMD5認(rèn)證考慮安全的因素，建議農(nóng)行上海數(shù)據(jù)中心運(yùn)行OSPF路由協(xié)議的網(wǎng)絡(luò)設(shè)備采用MessageDigestMD5認(rèn)證，以保證OSPFUpdate的可靠性。靜態(tài)路由生產(chǎn)外聯(lián)區(qū)的被多層防火墻隔離成不同安全級(jí)別的區(qū)域，其內(nèi)部將采用靜態(tài)路由協(xié)議，并通過(guò)匯聚層交換機(jī)重分發(fā)到OSPF路由協(xié)議中。QoS功能，目前有以下三種QoS服務(wù)模型：Best-Effortservice――盡力服務(wù)Integratedservice（Intserv）――綜合服務(wù)Differentiatedservice（Diffserv）――區(qū)分服務(wù) Best-Effortservice盡力服務(wù)是最簡(jiǎn)單的服務(wù)模型。應(yīng)用程序可以在任何時(shí)候，發(fā)出任意數(shù)量的報(bào)文，而且不需要事先獲得批準(zhǔn)，也不需要通知網(wǎng)絡(luò)。網(wǎng)絡(luò)則盡最大的可能性來(lái)發(fā)送報(bào)文，但對(duì)時(shí)延、可靠性等不提供任何保證。盡力服務(wù)是互聯(lián)網(wǎng)的缺省傳輸模式，由于它不區(qū)分具體的業(yè)務(wù)類型，采用先入先出的策略（FIFO）處理，對(duì)所有報(bào)文都無(wú)區(qū)別的等同對(duì)待，實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單，但由于無(wú)法為高優(yōu)先級(jí)的實(shí)時(shí)業(yè)務(wù)和關(guān)鍵業(yè)務(wù)提供額外保障，盡力服務(wù)模型并不適合用于農(nóng)行上海數(shù)據(jù)中心的建網(wǎng)需求。IntegratedserviceIntserv是一個(gè)綜合服務(wù)模型，它可以滿足多種QoS需求。這種服務(wù)模型在發(fā)送報(bào)文前，需要向網(wǎng)絡(luò)申請(qǐng)?zhí)囟ǖ姆?wù)。這個(gè)請(qǐng)求是通過(guò)信令（signal）來(lái)完成的，應(yīng)用程序首先通知網(wǎng)絡(luò)它自己的流量參數(shù)和需要的特定服務(wù)質(zhì)量請(qǐng)求，包括帶寬、時(shí)延等，應(yīng)用程序一般在收到網(wǎng)絡(luò)的確認(rèn)信息，即網(wǎng)絡(luò)已經(jīng)為這個(gè)應(yīng)用程序的報(bào)文預(yù)留了資源后，發(fā)送報(bào)文。而應(yīng)用程序發(fā)出的報(bào)文應(yīng)該控制在流量參數(shù)描述的范圍內(nèi)。網(wǎng)絡(luò)在收到應(yīng)用程序的資源請(qǐng)求后，執(zhí)行資源分配檢查（Admissioncontrol），即基于應(yīng)用程序的資源申請(qǐng)和網(wǎng)絡(luò)現(xiàn)有的資源情況，判斷是否為應(yīng)用程序分配資源。一旦網(wǎng)絡(luò)確認(rèn)為應(yīng)用程序的報(bào)文分配了資源，則只要應(yīng)用程序的報(bào)文控制在流量參數(shù)描述的范圍內(nèi)，網(wǎng)絡(luò)將承諾滿足應(yīng)用程序的QoS需求。而網(wǎng)絡(luò)將為每個(gè)流（flow，由兩端的IP地址、端口號(hào)、協(xié)議號(hào)確定）維護(hù)一個(gè)狀態(tài)，并基于這個(gè)狀態(tài)執(zhí)行報(bào)文的分類、流量監(jiān)管（policing）、排隊(duì)及其調(diào)度，來(lái)滿足對(duì)應(yīng)用程序的承諾，具有面向連接的特性。因此對(duì)網(wǎng)絡(luò)設(shè)備的處理能力有較高要求。傳送QoS請(qǐng)求的信令是RSVP（資源預(yù)留協(xié)議），它通知路由器應(yīng)用程序的QoS需求。DifferentiatedserviceDiffserv即區(qū)別服務(wù)模型，它可以滿足不同的QoS需求。與Integratedservice不同，它不需要信令，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由器。網(wǎng)絡(luò)不需要為每個(gè)流維護(hù)狀態(tài)，它根據(jù)每個(gè)報(bào)文指定的QoS，來(lái)提供特定的服務(wù)?？梢杂貌煌姆椒▉?lái)指定報(bào)文的QoS，如IP包的優(yōu)先級(jí)位（IPPrecedence、報(bào)文的源地址和目的地址等。網(wǎng)絡(luò)通過(guò)這些信息來(lái)進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和排隊(duì)。通常在配置Differentiatedservice時(shí)，在網(wǎng)絡(luò)邊界的路由器通過(guò)報(bào)文的源地址和目的地址等對(duì)報(bào)文進(jìn)行分類，對(duì)不同的報(bào)文設(shè)置不同的IP優(yōu)先級(jí)，而其他路由器只需要用IP優(yōu)先級(jí)來(lái)進(jìn)行報(bào)文的分類。服務(wù)模型選擇這三種服務(wù)模型中，只有Intserv與Diffserv這兩種能提供多服務(wù)的QoS保障。從技術(shù)上看，Intserv需要網(wǎng)絡(luò)對(duì)每個(gè)流均維持一個(gè)軟狀態(tài)，因此會(huì)導(dǎo)致設(shè)備性能的下降，或?qū)崿F(xiàn)相同的功能需要更高性能的設(shè)備，另外，還需要全網(wǎng)設(shè)備都能提供一致的技術(shù)才能實(shí)現(xiàn)QoS。而Diffserv則沒(méi)有這方面的缺陷，且處理效率高，部署及實(shí)施可以分布進(jìn)行，它只是在構(gòu)建網(wǎng)絡(luò)時(shí)，需要對(duì)網(wǎng)絡(luò)中的路由器設(shè)置相應(yīng)的規(guī)則，會(huì)使配置管理比較復(fù)雜。由于農(nóng)行網(wǎng)絡(luò)規(guī)模龐大，覆蓋了省到市、市到縣的全部區(qū)域，同時(shí)農(nóng)行網(wǎng)絡(luò)要承載IP、IP會(huì)議電視、銀行傳統(tǒng)業(yè)務(wù)、銀行新業(yè)務(wù)、OA等多種流量，這對(duì)網(wǎng)絡(luò)設(shè)備（路由器）是一個(gè)很大的考驗(yàn)。考慮到Diffserv模式具有處理效率高，部署和實(shí)時(shí)方便的特點(diǎn)，建議在農(nóng)行網(wǎng)絡(luò)中，選用Diffserv模式。不論是Diffserv，還是Intserv，在最終對(duì)服務(wù)進(jìn)行保障時(shí)，都是通過(guò)以下一些成熟技術(shù)來(lái)實(shí)現(xiàn)的：CAR。它根據(jù)IP包的優(yōu)先級(jí)或QoS組，來(lái)進(jìn)行報(bào)文的分類、以及報(bào)文的度量和流量監(jiān)管。隊(duì)列技術(shù)。WRED、PQ、CQ、WFQ等隊(duì)列技術(shù)進(jìn)行擁塞避免及擁塞管理。QoS實(shí)現(xiàn)技術(shù)網(wǎng)絡(luò)設(shè)備對(duì)轉(zhuǎn)發(fā)報(bào)文進(jìn)行QoS保障的處理，發(fā)生在報(bào)文從設(shè)備的一個(gè)接口進(jìn)入，到從另一個(gè)接口出去的整個(gè)過(guò)程中。從技術(shù)上，這個(gè)過(guò)程按照處理順序分為報(bào)文分類、擁塞管理、擁塞避免、流量監(jiān)管與整形等部分。報(bào)文分類報(bào)文分類是QoS的基礎(chǔ)，只有區(qū)分了不同的報(bào)文業(yè)務(wù)，才能進(jìn)行分別處理及保障相應(yīng)業(yè)務(wù)的服務(wù)質(zhì)量。一般在網(wǎng)絡(luò)邊界，利用ACL等技術(shù)，根據(jù)物理接口、源地址、目的地址、MAC地址、IP協(xié)議或應(yīng)用程序的端口號(hào)等依據(jù)對(duì)報(bào)文進(jìn)行分類，并同時(shí)設(shè)置報(bào)文IP頭的TOS字段作為報(bào)文的IP優(yōu)先級(jí)；在網(wǎng)絡(luò)的內(nèi)部則可使用邊緣設(shè)置好的IP優(yōu)先級(jí)作為分類的標(biāo)準(zhǔn)，以提高網(wǎng)絡(luò)的處理效率。擁塞管理網(wǎng)絡(luò)資源總是有限的，當(dāng)網(wǎng)上業(yè)務(wù)流量超過(guò)網(wǎng)絡(luò)提供的能力時(shí)，即發(fā)生了擁塞。在發(fā)生擁塞時(shí)，如何進(jìn)行管理和控制呢？處理的方法是使用隊(duì)列技術(shù)。在一個(gè)接口沒(méi)有發(fā)生擁塞的時(shí)候，報(bào)文在到達(dá)接口后立即就被發(fā)送出去；在報(bào)文到達(dá)的速度超過(guò)接口發(fā)送報(bào)文的速度時(shí)，接口就發(fā)生了擁塞。擁塞管理就會(huì)將這些報(bào)文進(jìn)行分類，送入不同的隊(duì)列；而隊(duì)列調(diào)度對(duì)不同優(yōu)先級(jí)的報(bào)文進(jìn)行分別處理，優(yōu)先級(jí)高的報(bào)文會(huì)得到優(yōu)先處理。不同的隊(duì)列算法用來(lái)解決不同的問(wèn)題，并產(chǎn)生不同的效果。常用的隊(duì)列有FIFO、PQ，CQ，WFQ等，下面簡(jiǎn)單介紹各種隊(duì)列技術(shù)的特性。1）先進(jìn)先出隊(duì)列（FIFO）顧名思義，先進(jìn)先出隊(duì)列（簡(jiǎn)稱FIFO）不對(duì)報(bào)文進(jìn)行分類，按報(bào)文到達(dá)接口的先后順序讓報(bào)文進(jìn)入隊(duì)列，在隊(duì)列的出口讓報(bào)文按進(jìn)隊(duì)的順序出隊(duì)，先進(jìn)的報(bào)文將先出隊(duì)，后進(jìn)的報(bào)文將后出隊(duì)。2）優(yōu)先隊(duì)列（PQ）優(yōu)先隊(duì)列（簡(jiǎn)稱PQ）對(duì)報(bào)文進(jìn)行分類，將所有報(bào)文依據(jù)預(yù)先配置分成最多4類，按照先進(jìn)先出的策略分別進(jìn)入4個(gè)優(yōu)先級(jí)不同的隊(duì)列。在報(bào)文出隊(duì)的時(shí)候，高優(yōu)先級(jí)的隊(duì)列相對(duì)于低優(yōu)先級(jí)的隊(duì)列具有絕對(duì)的優(yōu)先權(quán)，只有高優(yōu)先級(jí)隊(duì)列報(bào)文發(fā)送完畢，較低優(yōu)先級(jí)才得到發(fā)送，而且較低優(yōu)先級(jí)的報(bào)文會(huì)在發(fā)生擁塞時(shí)被較高優(yōu)先級(jí)的報(bào)文搶斷。因此采用這種隊(duì)列機(jī)制可以保證在網(wǎng)絡(luò)發(fā)生擁塞的情況下，重要業(yè)務(wù)（高優(yōu)先級(jí)）的數(shù)據(jù)傳輸?shù)玫浇^對(duì)的優(yōu)先傳送。但在較高優(yōu)先級(jí)的報(bào)文的速度總是大于接口的速度時(shí)，會(huì)使較低優(yōu)先級(jí)的報(bào)文始終得不到發(fā)送的機(jī)會(huì)。3）定制隊(duì)列（CQ）定制隊(duì)列（簡(jiǎn)稱CQ）根據(jù)設(shè)置將所有報(bào)文分成最多至17類，按照先進(jìn)先出的策略分別進(jìn)入1個(gè)系統(tǒng)隊(duì)列和16個(gè)用戶隊(duì)列。在出隊(duì)調(diào)度上，系統(tǒng)隊(duì)列具有絕對(duì)的優(yōu)先權(quán)，系統(tǒng)總是先處理完該隊(duì)列后再用處理用戶隊(duì)列；16個(gè)用戶隊(duì)列占用出口帶寬的比例可以設(shè)置，CQ按定義的比例使各隊(duì)列之間在占用的接口帶寬上滿足管理員預(yù)先配置的比例關(guān)系。采用這種隊(duì)列機(jī)制，當(dāng)擁塞發(fā)生時(shí)，能保證不同業(yè)務(wù)根據(jù)比例獲得相應(yīng)的帶寬占用，從而既保證關(guān)鍵業(yè)務(wù)能獲得較多的帶寬，又不至于使非關(guān)鍵業(yè)務(wù)得不到帶寬，避免PQ的一些缺點(diǎn)。另外，沒(méi)有擁塞時(shí)，各業(yè)務(wù)可以根據(jù)流量中業(yè)務(wù)的相對(duì)比例充分使用接口帶寬，提高資源利用率。4）加權(quán)公平隊(duì)列（WFQ）加權(quán)公平隊(duì)列（簡(jiǎn)稱WFQ）對(duì)報(bào)文按流進(jìn)行分類（相同源IP地址，目的IP地址，源端口號(hào)，目的端口號(hào)，協(xié)議號(hào)，TOS相同的報(bào)文屬于同一個(gè)流），每一個(gè)流被分配到一個(gè)隊(duì)列。在出隊(duì)發(fā)送的時(shí)候，WFQ根據(jù)報(bào)文分類時(shí)設(shè)置的流的優(yōu)先級(jí)（precedence）來(lái)分配每個(gè)流應(yīng)占有出口的帶寬。優(yōu)先級(jí)的數(shù)值越小，所得的帶寬越少。優(yōu)先級(jí)的數(shù)值越大，所得的帶寬越多。在擁塞發(fā)生時(shí)，它能保證任何流量的流（業(yè)務(wù)），都能公平地得到一定的帶寬占用，減少這個(gè)網(wǎng)絡(luò)的時(shí)延，并當(dāng)流（業(yè)務(wù)個(gè)數(shù)）的數(shù)目減少時(shí)，能自動(dòng)增加現(xiàn)存流可占的帶寬。5）RTP（Real-timeTransportProtocol）優(yōu)先隊(duì)列對(duì)實(shí)時(shí)要求高的數(shù)據(jù)流，例如語(yǔ)音，提供較高的優(yōu)先級(jí)和預(yù)留帶寬。擁塞避免據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)上發(fā)生70％的報(bào)文丟棄原因是由于擁塞造成的，對(duì)造成擁塞的原因進(jìn)行分析，并制定避免擁塞的策略，將大大提高網(wǎng)絡(luò)的可用性。當(dāng)擁塞發(fā)生時(shí)，如果按照傳統(tǒng)的隊(duì)列尾丟棄處理方式，對(duì)于TCP報(bào)文，會(huì)引發(fā)TCP的慢啟動(dòng)和擁塞避免機(jī)制，使TCP減少報(bào)文的發(fā)送。當(dāng)同時(shí)丟棄多個(gè)TCP連接的報(bào)文時(shí)，將造成多個(gè)TCP連接同時(shí)進(jìn)入慢啟動(dòng)和擁塞避免，稱之為：TCP全局同步。這使得發(fā)向網(wǎng)絡(luò)的報(bào)文流量總是忽大忽小，線路上的流量總在極少和飽滿之間波動(dòng)，造成網(wǎng)絡(luò)利用率降低。為了避免這種擁塞情況的發(fā)生，可以采用隨機(jī)早期檢測(cè)（RED）或加權(quán)隨機(jī)早期檢測(cè)（WRED）的丟棄策略?？杀苊馐苟鄠€(gè)TCP連接同時(shí)降低發(fā)送速度，避免TCP的全局同步現(xiàn)象。這樣，無(wú)論什么時(shí)候，總有TCP連接在進(jìn)行較快的發(fā)送，提高了線路帶寬的利用率，降低擁塞的發(fā)生。丟棄策略對(duì)網(wǎng)絡(luò)中TCP方式的應(yīng)用有比較好的效果，但對(duì)網(wǎng)絡(luò)中UDP數(shù)據(jù)產(chǎn)生的擁塞則不會(huì)有很大的改善。流量監(jiān)管和整形流量監(jiān)管的作用是限制進(jìn)入網(wǎng)絡(luò)的某一連接流量與突發(fā)，在報(bào)文滿足一定的條件下，如某個(gè)連接的報(bào)文流量過(guò)大，流量監(jiān)管就可以選擇丟棄報(bào)文，或重新設(shè)置報(bào)文的優(yōu)先級(jí)。通常是使用CAR來(lái)限制某類報(bào)文的流量，如限制FTP報(bào)文不能占用超過(guò)50%的網(wǎng)絡(luò)帶寬。如果需要限制流出網(wǎng)絡(luò)的某一連接流量報(bào)文，以比較均勻的速度向外發(fā)送，則使用流量整形。約定訪問(wèn)速率（CAR）――是一種帶寬管理機(jī)制，利用令牌桶技術(shù)來(lái)實(shí)現(xiàn)帶寬的分配和測(cè)量。網(wǎng)絡(luò)管理員可以為不同的業(yè)務(wù)分配不同的帶寬，定義業(yè)務(wù)占用的帶寬超過(guò)分配額度時(shí)的處理策略，通過(guò)限制通過(guò)路由器某一端口的流量，很好地保證整個(gè)網(wǎng)絡(luò)的QOS。CAR既可用于網(wǎng)絡(luò)的入口也可用于網(wǎng)絡(luò)的出口，可以報(bào)文分類完成的結(jié)果區(qū)分不同的業(yè)務(wù)流。另外，它還可以對(duì)報(bào)文的IP優(yōu)先級(jí)根據(jù)需要加以重新標(biāo)記。CAR技術(shù)是農(nóng)行網(wǎng)絡(luò)進(jìn)行QoS管理的核心技術(shù)之一，通過(guò)CAR，我們可以保證在網(wǎng)絡(luò)發(fā)生擁塞時(shí)，確保優(yōu)先業(yè)務(wù)正常運(yùn)行所需帶寬，華為全系列NE路由器均支持CAR技術(shù)。通常的CAR技術(shù)由軟件來(lái)實(shí)現(xiàn)，需要花費(fèi)路由器較多的處理能力，由于集中式轉(zhuǎn)發(fā)路由器處理能力有限，采用CAR將嚴(yán)重的影響整個(gè)路由器的轉(zhuǎn)發(fā)效率。QuidWay系列高端路由交換機(jī)全部采用了分布式轉(zhuǎn)發(fā)體系，每塊業(yè)務(wù)板均有CPU負(fù)責(zé)本板的CAR功能，分布式CAR不會(huì)為路由交換機(jī)造成性能瓶頸。農(nóng)行數(shù)據(jù)中心QoS設(shè)計(jì)目前，農(nóng)行上海數(shù)據(jù)中心網(wǎng)絡(luò)相關(guān)業(yè)務(wù)可分為以下幾個(gè)類別：業(yè)務(wù)類別 具體業(yè)務(wù) 實(shí)時(shí)業(yè)務(wù) 生產(chǎn)實(shí)時(shí)、OA實(shí)時(shí)、用戶認(rèn)證、網(wǎng)絡(luò)管理、設(shè)備管理、空調(diào)信號(hào)、語(yǔ)音、視頻會(huì)議…… 普通交互業(yè)務(wù) 其他視頻、OA非實(shí)時(shí)、生產(chǎn)非實(shí)時(shí)…… 批量業(yè)務(wù) 代理業(yè)務(wù)、FTP…… 其他業(yè)務(wù) 等不包含在以上分類的其他業(yè)務(wù) 業(yè)務(wù)對(duì)網(wǎng)絡(luò)的QoS需求主要表現(xiàn)在對(duì)網(wǎng)絡(luò)帶寬、延遲、延遲抖動(dòng)、包丟失等方面的要求。根據(jù)以上業(yè)務(wù)類別，可知農(nóng)行上海數(shù)據(jù)中心的QoS需求列表如下：業(yè)務(wù)類別 帶寬要求 延遲 延遲抖動(dòng) 包丟失 實(shí)時(shí)業(yè)務(wù) 按需確保 低 低 低 普通交互業(yè)務(wù) 適量帶寬 適量 適量 適量 批量業(yè)務(wù) 適量帶寬 適量 適量 適量 其他業(yè)務(wù) 盡量服務(wù) 盡量服務(wù) 盡量服務(wù) 盡量服務(wù) 由于上海數(shù)據(jù)中心的局域網(wǎng)采用萬(wàn)兆端口互聯(lián)，應(yīng)該不會(huì)出現(xiàn)網(wǎng)絡(luò)擁塞，所以在上海數(shù)據(jù)中心的局域網(wǎng)中將主要實(shí)現(xiàn)對(duì)不同數(shù)據(jù)流的分類和標(biāo)記。即在接入層對(duì)不同業(yè)務(wù)的數(shù)據(jù)流進(jìn)行分類，并采用DSCP進(jìn)行標(biāo)記。根據(jù)以上表格，把需要使用QOS的各種應(yīng)用劃分為5類：網(wǎng)絡(luò)控制信令：關(guān)鍵的設(shè)備管理和控制信令傳輸。定義為最高優(yōu)先級(jí)視頻/語(yǔ)音：這類數(shù)據(jù)對(duì)延時(shí)也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為最高優(yōu)先級(jí)；業(yè)務(wù)類實(shí)時(shí)業(yè)務(wù)：這類數(shù)據(jù)的特點(diǎn)是交易包長(zhǎng)度固定，交易時(shí)限要求實(shí)時(shí)，上下行數(shù)據(jù)流量基本對(duì)等，因?yàn)槭蔷W(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為次優(yōu)先級(jí)；業(yè)務(wù)類非實(shí)時(shí)業(yè)務(wù)：這類數(shù)據(jù)的特點(diǎn)是數(shù)據(jù)流量大，網(wǎng)絡(luò)要求實(shí)時(shí)性不高，定時(shí)傳輸。所以應(yīng)定義為比較高的優(yōu)先級(jí)；管理類實(shí)時(shí)業(yè)務(wù)：這類業(yè)務(wù)對(duì)實(shí)時(shí)性要求高。定義為比較高的優(yōu)先級(jí)。管理類非實(shí)時(shí)業(yè)務(wù)：這類數(shù)據(jù)通常對(duì)網(wǎng)絡(luò)實(shí)時(shí)性要求不高，可定義為一般優(yōu)先級(jí)業(yè)務(wù)；其它應(yīng)用：其它應(yīng)用包括大部分Internet訪問(wèn)，典型的應(yīng)用是FTP或HTTP等，可以把這類應(yīng)用定義為最低的優(yōu)先級(jí)。由于DSCP向下兼容IPPrecedence，而DSCP提供了進(jìn)一步細(xì)分不同類型數(shù)據(jù)流的能力，可以滿足未來(lái)中國(guó)XX銀行上海數(shù)據(jù)中心網(wǎng)絡(luò)擴(kuò)展的需求，因而在數(shù)據(jù)中心采用DSCP進(jìn)行數(shù)據(jù)流分類、而在一級(jí)分行采用IPPrecedence進(jìn)行數(shù)據(jù)流分類。DSCP與IPPrecedence值進(jìn)行相互轉(zhuǎn)換時(shí)有如下的對(duì)應(yīng)關(guān)系：IPPrecedence DSCP 0000--- 0000000 1001--- 8001000 2010--- 16010000 3011--- 24011000 4100--- 32100000 5101--- 40101000 具體數(shù)據(jù)流分類如下：業(yè)務(wù)應(yīng)用類型 DSCP/IPPrecedence值 其它應(yīng)用（如FTP和HTTP） 0/0 非FTP/HTTP的OA應(yīng)用 8/1 業(yè)務(wù)非實(shí)時(shí)，辦公實(shí)時(shí) 16/2 業(yè)務(wù)類實(shí)時(shí)業(yè)務(wù) 24/3 視頻/語(yǔ)音 32/4 網(wǎng)管,控制信令傳輸 40/5 可靠性設(shè)計(jì)可靠性概述網(wǎng)絡(luò)的可靠性是一個(gè)從端到端的全程概念，單純提高某一層面的可靠性并不能對(duì)網(wǎng)絡(luò)整體的可靠性有很大改善。網(wǎng)絡(luò)的可靠性最終要從設(shè)備級(jí)、鏈路級(jí)、網(wǎng)絡(luò)級(jí)、業(yè)務(wù)級(jí)等各層次保證。設(shè)備級(jí)的可靠性：包括設(shè)備本身的健壯性及對(duì)周圍環(huán)境的適應(yīng)能力，可靠的設(shè)備應(yīng)該對(duì)關(guān)鍵部件（如主控板，交換網(wǎng)板，電源等）進(jìn)行冗余備份，并且可以在惡劣的環(huán)境下長(zhǎng)時(shí)間穩(wěn)定運(yùn)行。設(shè)備級(jí)可靠性的另外一個(gè)重要方面就是設(shè)備在線升級(jí)能力及容錯(cuò)能力，容錯(cuò)能力體現(xiàn)在如設(shè)備發(fā)生故障時(shí)，可自動(dòng)平滑的啟動(dòng)備份部件，不對(duì)業(yè)務(wù)造成影響。鏈路級(jí)的可靠性：包括鏈路本身的可靠性，包括良好的線路質(zhì)量，及鏈路的備份技術(shù)，如采用一些物理線路捆綁技術(shù)提供線路的可靠性，也可以采用其它鏈路/線路保護(hù)技術(shù)，如環(huán)網(wǎng)技術(shù)。網(wǎng)絡(luò)級(jí)的可靠性：設(shè)計(jì)合適的拓?fù)?，如避免采用單星型結(jié)構(gòu)以避免單點(diǎn)故障；網(wǎng)絡(luò)設(shè)計(jì)模塊化，各功能區(qū)域相獨(dú)立，任一區(qū)域的故障不會(huì)擴(kuò)散到其它區(qū)域；設(shè)備間的備份，如采用VRRP進(jìn)行備份，當(dāng)主用設(shè)備發(fā)生故障時(shí)，流量自動(dòng)切換到備份設(shè)備上，該過(guò)程對(duì)業(yè)務(wù)透明；路由可靠性：首先根據(jù)網(wǎng)絡(luò)特點(diǎn)選擇合理的路由協(xié)議，避免路由環(huán)路，減少路由振蕩，并且保護(hù)某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)失效后網(wǎng)絡(luò)快速自愈。業(yè)務(wù)可靠性：網(wǎng)絡(luò)只是業(yè)務(wù)的承載平臺(tái)，設(shè)備，鏈路及網(wǎng)絡(luò)的可靠性設(shè)計(jì)歸根到底都是為了保證業(yè)務(wù)的可靠性，從網(wǎng)絡(luò)角度考慮業(yè)務(wù)可靠性，主要是通過(guò)各種網(wǎng)絡(luò)技術(shù)時(shí)業(yè)務(wù)數(shù)據(jù)流滿足業(yè)務(wù)的要去，如流量分布是不均衡的，特別是突發(fā)流量會(huì)引起網(wǎng)絡(luò)的擁塞，導(dǎo)致業(yè)務(wù)的中斷，需流量管理的引入能夠使網(wǎng)絡(luò)流量均衡，提高網(wǎng)絡(luò)的利用率，進(jìn)而對(duì)控制網(wǎng)絡(luò)擁塞情況的發(fā)生。網(wǎng)絡(luò)的可靠性設(shè)計(jì)并不是一個(gè)孤立的問(wèn)題，受到網(wǎng)絡(luò)的地理分布，規(guī)模，可用線路等多方面原因限制，但作為數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)具備以下可靠性設(shè)計(jì)特點(diǎn)：業(yè)務(wù)網(wǎng)絡(luò)與后臺(tái)管理層網(wǎng)絡(luò)的分離網(wǎng)絡(luò)關(guān)鍵設(shè)備之間互相備份網(wǎng)絡(luò)關(guān)鍵設(shè)備重要部件備份業(yè)務(wù)網(wǎng)絡(luò)的關(guān)鍵層次設(shè)備之間的冗余連接后臺(tái)管理層的雙平面網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)模塊化優(yōu)化后的動(dòng)態(tài)路由保護(hù)防火墻的冗余設(shè)計(jì)VRRP的冗余設(shè)計(jì)二層流量范圍的控制在任何情況下，任何時(shí)間，任何地點(diǎn)的設(shè)備完全的管理維護(hù)手段下面從各層次詳細(xì)描述農(nóng)行上海數(shù)據(jù)中心網(wǎng)絡(luò)的可靠性設(shè)計(jì)。設(shè)備級(jí)可靠性設(shè)計(jì)農(nóng)行數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)備級(jí)可靠性主要從設(shè)備自身可靠性，設(shè)備間熱備份兩個(gè)方面考慮。作為網(wǎng)絡(luò)核心、匯聚層、高密度與關(guān)鍵業(yè)務(wù)接入層的關(guān)鍵設(shè)備必須具有電信級(jí)可靠性：可靠性指標(biāo)必須達(dá)到99.999%；網(wǎng)絡(luò)核心設(shè)備采用全分布式體系結(jié)構(gòu)，路由與轉(zhuǎn)發(fā)分離；所有關(guān)鍵器件，如主控板、交換網(wǎng)、電源等都采用冗余設(shè)計(jì)，業(yè)務(wù)模塊支持熱插拔；網(wǎng)絡(luò)核心設(shè)備支持不間斷轉(zhuǎn)發(fā)，主控板熱備份。主備倒換過(guò)程不影響業(yè)務(wù)轉(zhuǎn)發(fā)，不丟包。網(wǎng)絡(luò)核心設(shè)備支持軟件在線升級(jí)，升級(jí)過(guò)程中業(yè)務(wù)不中斷。網(wǎng)絡(luò)核心設(shè)備支持軟件熱補(bǔ)丁，打補(bǔ)丁過(guò)程中主控板和接口板都不需要重啟動(dòng)，業(yè)務(wù)不中斷。引擎（含主控及交換網(wǎng)）對(duì)高可靠性的支持必須是完備的，系統(tǒng)的。既要對(duì)硬件部件的備份，也需要對(duì)數(shù)據(jù)和系統(tǒng)的中間狀態(tài)信息備份。硬件的備份技術(shù)是由硬件邏輯或者底層軟件控制的，系統(tǒng)需要實(shí)時(shí)檢測(cè)硬件的狀態(tài)，如果發(fā)現(xiàn)異常，則啟動(dòng)倒換過(guò)程，將備用硬件升級(jí)為主用，而原主用部件相應(yīng)的轉(zhuǎn)換為備用，同時(shí)嘗試對(duì)硬件部件復(fù)位，并給系統(tǒng)發(fā)出告警。對(duì)數(shù)據(jù)和系統(tǒng)狀態(tài)的備份也需要相應(yīng)的硬件配合，通過(guò)部件冗余備份實(shí)現(xiàn)來(lái)增強(qiáng)設(shè)備的可靠性，如對(duì)路由器的主控板進(jìn)行冗余備份，備用板與主用板之間并不進(jìn)行運(yùn)行狀態(tài)和與運(yùn)行數(shù)據(jù)的同步。路由器啟動(dòng)時(shí)，主用板和備用板都要進(jìn)行程序加載，并且開(kāi)始相關(guān)模塊的初始化，主用板正常執(zhí)行啟動(dòng)過(guò)程，開(kāi)始軟件運(yùn)行，備用板并不完成所有的初始化（包括配置文件的執(zhí)行），而是在完成之前的最后一步暫時(shí)阻塞，保持等待運(yùn)行的狀態(tài)；一旦主用板出現(xiàn)故障，備用板重新啟動(dòng)所有的業(yè)務(wù)板并完成最后的初始化，接替主用板工作。這種備份方式稱為冷備份。冷備份節(jié)省了加載以及啟動(dòng)的時(shí)間、備用板配置恢復(fù)時(shí)間，減少了故障恢復(fù)時(shí)間，從而增加系統(tǒng)可靠性。不過(guò)在這種備份方式下，1）由于主備之間不進(jìn)行任何數(shù)據(jù)的備份，需要進(jìn)行數(shù)據(jù)的搜集或恢復(fù)處理，需要花費(fèi)一定的時(shí)間，2一些協(xié)議連接需要重新協(xié)商處理，如路由協(xié)議建立鄰居、路由聚合需要花費(fèi)一定的時(shí)間;3可能會(huì)導(dǎo)致業(yè)務(wù)板的重新啟動(dòng)，需要花費(fèi)一定的時(shí)間。所有這些，都可能導(dǎo)致業(yè)務(wù)的短時(shí)間中斷，但是，即使是瞬間的網(wǎng)絡(luò)中斷，也可能給用戶造成巨大的損失，對(duì)銀行系統(tǒng)這種敏感用戶尤其如此。為了將網(wǎng)絡(luò)中斷時(shí)間減少至最短時(shí)間，甚至做到業(yè)務(wù)不中斷，需要對(duì)系統(tǒng)運(yùn)行時(shí)的動(dòng)態(tài)數(shù)據(jù)或進(jìn)程狀態(tài)進(jìn)行備份，這時(shí)備用板處于一個(gè)特殊的運(yùn)行態(tài)，只接收和儲(chǔ)存由主用板發(fā)送來(lái)的數(shù)據(jù)和狀態(tài)，當(dāng)主用板發(fā)生故障時(shí)，系統(tǒng)平滑的切換到備用板，切換過(guò)程對(duì)網(wǎng)絡(luò)用戶透明，業(yè)務(wù)不會(huì)因?yàn)榫W(wǎng)絡(luò)的切換而中斷。我們稱這種備份方式為熱備份。當(dāng)系統(tǒng)的備用板啟動(dòng)之后，主用板和備用板之間的狀態(tài)差異可以非常大，這時(shí)需要將主用系統(tǒng)的數(shù)據(jù)批量的備份到備用板上，這個(gè)過(guò)程就是批量備份。當(dāng)批量備份結(jié)束后，隨著系統(tǒng)的運(yùn)行，主用系統(tǒng)的數(shù)據(jù)會(huì)發(fā)生變化，這些變化需要定時(shí)的備份到備用系統(tǒng)中，這個(gè)過(guò)程稱作定時(shí)備份。一旦主用系統(tǒng)出現(xiàn)故障，備用系統(tǒng)和主用系統(tǒng)的角色需要交換，將備用系統(tǒng)升格為主用系統(tǒng)的過(guò)程稱作主備倒換。備用系統(tǒng)升級(jí)為主用系統(tǒng)后，一些狀態(tài)信息沒(méi)有從原主用系統(tǒng)得到，或數(shù)據(jù)失效，新的主用系統(tǒng)需要與接口板對(duì)硬件狀態(tài)、鏈路層狀態(tài)和配置數(shù)據(jù)上確認(rèn)這些數(shù)據(jù)，這個(gè)確認(rèn)過(guò)程是數(shù)據(jù)平滑。熱備份保證主備系統(tǒng)板之間的數(shù)據(jù)和狀態(tài)始終一致，因而，業(yè)務(wù)板也感覺(jué)不到系統(tǒng)板發(fā)生倒換，再加上協(xié)議狀態(tài)的一致，因此可以保證業(yè)務(wù)不會(huì)丟失。華為的VRPVirsatileRoutingPlatform在QuidwayS8512萬(wàn)兆核心路由交換機(jī)產(chǎn)品的各個(gè)業(yè)務(wù)板上保存FIB表（轉(zhuǎn)發(fā)表），報(bào)文轉(zhuǎn)發(fā)不需要系統(tǒng)板的參與。主備倒換發(fā)生時(shí)，業(yè)務(wù)板不發(fā)生變化，允許保文繼續(xù)轉(zhuǎn)發(fā)，從而保證業(yè)務(wù)不損失。本次項(xiàng)目的配置建議中，我們推薦農(nóng)行上海數(shù)據(jù)中心的核心層、匯聚層和接入層網(wǎng)絡(luò)設(shè)備都采用冗余引擎。每臺(tái)核心層設(shè)備均采用HA特性實(shí)現(xiàn)系統(tǒng)的高可靠性，可以在主控板發(fā)生故障時(shí)，快速、準(zhǔn)確恢復(fù)系統(tǒng)的正常運(yùn)行，從而增強(qiáng)系統(tǒng)的MTBF（MeanTimeBetweenFailure），即平均故障間隔時(shí)間。HA特性是主控板單板的一個(gè)特性。交換機(jī)有兩塊主控板單板，工作在master-slave備份模式，即一塊工作在master模式，為主控板，一塊工作在slave模式，為備用板。當(dāng)主控板發(fā)生故障時(shí)，主備倒換將自動(dòng)進(jìn)行。備用板將自動(dòng)連接并控制系統(tǒng)的BUS，同時(shí)原來(lái)的主控板將斷開(kāi)和系統(tǒng)BUS的連接。主備倒換完成后，備用板將成為主控板，而原來(lái)的主控板將重新啟動(dòng)成為備用板。因此，即使主控板故障，備用板也能迅速取代它成為主控板，保證S8500系列路由交換機(jī)的正常運(yùn)行。此外，在網(wǎng)絡(luò)異常情況下（如CPU占用超過(guò)70％）華為設(shè)備可采取多種保護(hù)措施，提高整機(jī)可靠性：S8512設(shè)備設(shè)計(jì)特點(diǎn)之一是轉(zhuǎn)發(fā)與控制相分離：轉(zhuǎn)發(fā)層根據(jù)控制層下載的轉(zhuǎn)發(fā)信息（如：轉(zhuǎn)發(fā)表、STP狀態(tài)）線速轉(zhuǎn)發(fā)。控制層面繁忙不會(huì)影響已有流量/規(guī)則的線速轉(zhuǎn)發(fā)；S8512設(shè)備設(shè)計(jì)特點(diǎn)之二是控制層面采用全分布式體系架構(gòu)（轉(zhuǎn)發(fā)層也是全分布式結(jié)構(gòu)）：部分協(xié)議分布在接口板上實(shí)現(xiàn)（如：ARP）以減輕主控CPU負(fù)擔(dān)；同時(shí)接口板還過(guò)濾所有送往主控板的報(bào)文流量，在主控CPU占有率/接口板CPU占有率較高時(shí)根據(jù)策略發(fā)現(xiàn)攻擊、非法報(bào)文并切斷非法報(bào)文送往主控CPU，以保證主控CPU安全，將攻擊/危險(xiǎn)控制在有限范圍內(nèi)。同時(shí)主控板也根據(jù)自身策略做防護(hù)；S8512設(shè)備特點(diǎn)三采用高性能的最長(zhǎng)匹配、逐包轉(zhuǎn)發(fā)的方式：在保持線速性能和低成本的基礎(chǔ)上，革命性的解決了傳統(tǒng)交換機(jī)流Cache精確匹配轉(zhuǎn)發(fā)的致命缺陷，能夠有效的抗擊網(wǎng)絡(luò)“紅色代碼”、“沖擊波”等病毒的攻擊，更加適合大規(guī)模、多業(yè)務(wù)，復(fù)雜流量訪問(wèn)的網(wǎng)絡(luò)。另外，在QuidwayS8512設(shè)備發(fā)現(xiàn)自身CPU占用率異常情況下，比如超過(guò)70％，幾乎可判定為受到攻擊或網(wǎng)絡(luò)拓?fù)洳粩喟l(fā)生新的變化。QuidwayS8512設(shè)備系統(tǒng)通過(guò)主控板/接口板協(xié)調(diào)配合實(shí)現(xiàn)系統(tǒng)自愈，有效較低CPU占有率，保障整機(jī)系統(tǒng)的穩(wěn)定。電源本次為農(nóng)行上海數(shù)據(jù)中心網(wǎng)絡(luò)推薦的設(shè)備是全部采用QuidwayS8512萬(wàn)兆核心路由交換機(jī)。S8500系列路由交換機(jī)的電源系統(tǒng)支持交流和直流兩種供電方式。供電系統(tǒng)位于機(jī)箱底部，電源占3U高度。直流供電和交流供電方面從結(jié)構(gòu)設(shè)計(jì)上采取了空間復(fù)用方式，供電子系統(tǒng)可根據(jù)需求進(jìn)行靈活配置，供電框和主功能框之間采用線纜連接，所有線纜在機(jī)箱后部走線。電源供電設(shè)計(jì)和主功能框采用相對(duì)獨(dú)立腔體，電源散熱采用電源模塊內(nèi)部風(fēng)扇，為前后風(fēng)道，前進(jìn)風(fēng)，后出風(fēng)。S8500系列路由交換機(jī)只需1個(gè)電源模塊即可保證系統(tǒng)的正常工作，但路由交換機(jī)提供有2個(gè)電源模塊的槽位，實(shí)現(xiàn)了電源模塊的1+1冗余備份，并可以實(shí)現(xiàn)負(fù)載均衡。且S8500系列路由交換機(jī)的電源模塊均支持熱插拔。此外，外置POE電源系統(tǒng)也支持2+1冗余備份，并且支持熱插拔。建議在數(shù)據(jù)中心采用負(fù)載均衡方式工作。模塊和端口模塊和端口設(shè)計(jì)通用原則如下：區(qū)分上連、互連和下連鏈路，盡量保證彼此模塊相對(duì)獨(dú)立；同一機(jī)箱優(yōu)先使用高編號(hào)槽位；同一模塊優(yōu)先使用高編號(hào)端口；確保Channel的所有端口使用相同模塊；核心層QuidwayS8512核心層QuidwayS8512路由交換機(jī)槽位和端口使用策略：0槽和1槽配置主備用引擎模塊；12、13各自對(duì)應(yīng)一個(gè)2×10GE核心互連；從9槽開(kāi)始連接匯聚層設(shè)備。區(qū)分不同區(qū)域的接入端口，盡量保證彼此模塊相對(duì)獨(dú)立；匯聚層QuidwayS8512匯聚層QuidwayS8512路由交換機(jī)槽位和端口使用策略：13、12、11槽連接2×GE匯聚互連和2/4×GE核心上連；從7槽開(kāi)始連接接入層設(shè)備。接入層QuidwayS8512接入層QuidwayS8512交換機(jī)槽位和端口使用策略：13、12槽分別配置一個(gè)2×GE接入?yún)R聚設(shè)備；從11槽開(kāi)始連接接入設(shè)備。系統(tǒng)軟件所有的軟件系統(tǒng)均無(wú)盡善盡美，那么軟件的補(bǔ)丁技術(shù)可靠性也是數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)設(shè)備級(jí)可靠性設(shè)計(jì)考慮的重要環(huán)節(jié)。補(bǔ)丁技術(shù)主要目的是修正已經(jīng)發(fā)現(xiàn)并解決的BUG，防止相同的問(wèn)題在不同的網(wǎng)絡(luò)上發(fā)生。在兩種補(bǔ)丁技術(shù)中，冷補(bǔ)丁的軟件升級(jí)技術(shù)是傳統(tǒng)數(shù)據(jù)通信產(chǎn)品的主要方式，熱補(bǔ)丁技術(shù)則是現(xiàn)有電信網(wǎng)絡(luò)設(shè)備的常用方式，冷補(bǔ)丁技術(shù)能夠不中斷業(yè)務(wù)的轉(zhuǎn)發(fā)，但對(duì)設(shè)備的正常運(yùn)行有一定影響；熱補(bǔ)丁的執(zhí)行過(guò)程中業(yè)務(wù)處理流程可以正常進(jìn)行，對(duì)設(shè)備沒(méi)有任何影響。華為3Com公司本次項(xiàng)目推薦采用的是QuidwayS8512萬(wàn)兆核心路由器，該產(chǎn)品能夠執(zhí)行上述兩種補(bǔ)丁方式。冷補(bǔ)丁技術(shù)的主要原理是使用更新的軟件版本替換有問(wèn)題的版本，在這個(gè)過(guò)程中，如果是在無(wú)備份的機(jī)制下，會(huì)中斷轉(zhuǎn)發(fā)業(yè)務(wù)；在有備份板的情況下，打補(bǔ)丁操作需要在備板中進(jìn)行，通過(guò)手動(dòng)倒換操作，能實(shí)現(xiàn)無(wú)業(yè)務(wù)損失的升級(jí)工作，但在接口處理板上的補(bǔ)丁操作會(huì)影響業(yè)務(wù)的正常運(yùn)行。熱補(bǔ)丁技術(shù)需要有操作系統(tǒng)和相應(yīng)的編譯工具的支持，它的原理是將所需要升級(jí)的那部分代碼編譯后形成一個(gè)補(bǔ)丁文件，在打補(bǔ)丁過(guò)程中，將這個(gè)補(bǔ)丁文件加載到系統(tǒng)的補(bǔ)丁區(qū)域，并修改原有軟件的Bug區(qū)域，將新的特性跳轉(zhuǎn)到補(bǔ)丁區(qū)域執(zhí)行，整個(gè)過(guò)程不需要中斷業(yè)務(wù)，可以在主用板執(zhí)行，因此業(yè)務(wù)沒(méi)有絲毫損失。另外熱補(bǔ)丁技術(shù)并沒(méi)有修改原有軟件，因此在需要時(shí)可以回退，這也為補(bǔ)丁的更新提供了更便利的條件。建議在農(nóng)行數(shù)據(jù)中心今后網(wǎng)絡(luò)設(shè)備維護(hù)時(shí)采用熱補(bǔ)丁技術(shù)。鏈路級(jí)可靠性設(shè)計(jì)鏈路級(jí)可靠性設(shè)計(jì)主要考慮在網(wǎng)絡(luò)的關(guān)鍵處采用鏈路冗余備份設(shè)計(jì)，可適當(dāng)采用交叉連接方式、鏈路捆綁等。農(nóng)行上海數(shù)據(jù)中心的網(wǎng)絡(luò)鏈路連接方式建議如下：農(nóng)行上海數(shù)據(jù)中心的網(wǎng)絡(luò)核心、匯聚層與接入層之間都有冗余連接；而對(duì)于匯聚層與接入層兩個(gè)設(shè)備之間的連接采用了PortChannel的設(shè)計(jì)，如下：網(wǎng)絡(luò)連接 冗余鏈路設(shè)計(jì) 核心設(shè)備之間互連 2×10GE 核心與匯聚設(shè)備互連 2/4GE 分布設(shè)備之間互連 2/4GE 分布與接入設(shè)備互連 2/4GE 網(wǎng)絡(luò)級(jí)可靠性設(shè)計(jì)拓?fù)淙哂喔鶕?jù)前文所述，農(nóng)行數(shù)據(jù)中心網(wǎng)絡(luò)分為多個(gè)功能分區(qū)，每個(gè)網(wǎng)絡(luò)功能分區(qū)的接入層交換機(jī)將定義為L(zhǎng)ayer2交換機(jī)，Layer2和Layer3的邊界位于每個(gè)網(wǎng)絡(luò)功能分區(qū)的匯聚層交換機(jī)上。 命令 配置交換機(jī)的BPDU保護(hù) stpbpdu-protection 恢復(fù)配置交換機(jī)的BPDU保護(hù) undostpbpdu-protection 配置交換機(jī)的Root保護(hù)功能（系統(tǒng)視圖） stpinterfaceinterface-listroot-protection 恢復(fù)配置交換機(jī)的Root保護(hù)功能為缺省的關(guān)閉狀態(tài)（系統(tǒng)視圖） undostpinterfaceinterface-listroot-protection 配置交換機(jī)的Root保護(hù)功能（以太網(wǎng)端口視圖） stproot-protection 恢復(fù)配置交換機(jī)的Root保護(hù)功能為缺省的關(guān)閉狀態(tài)（以太網(wǎng)端口視圖） undostproot-protection 配置交換機(jī)的環(huán)路保護(hù)功能（以太網(wǎng)端口視圖） stploop-protection 恢復(fù)配置交換機(jī)的環(huán)路保護(hù)功能為缺省的關(guān)閉狀態(tài)（以太網(wǎng)端口視圖） undostploop-protection 啟動(dòng)防止TC-BPDU報(bào)文攻擊的保護(hù)功能（系統(tǒng)視圖） stptc-protectionenable 關(guān)閉防止TC-BPDU報(bào)文攻擊的保護(hù)功能（系統(tǒng)視圖） stptc-protectiondisable 缺省情況下，交換機(jī)只啟動(dòng)防止TC-BPDU報(bào)文攻擊的保護(hù)功能，不啟動(dòng)BPDU保護(hù)功能、Root保護(hù)功能和環(huán)路保護(hù)功能。交換機(jī)上啟動(dòng)了BPDU保護(hù)功能以后，如果邊緣端口收到了配置消息，系統(tǒng)就將這些端口關(guān)閉，同時(shí)通知網(wǎng)管這些端口被MSTP關(guān)閉。被關(guān)閉的端口只能由網(wǎng)絡(luò)管理人員恢復(fù)。對(duì)于設(shè)置了Root保護(hù)功能的端口，其在所有實(shí)例上的端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級(jí)高的配置消息，即其將被選擇為非指定端口時(shí)，這些端口的狀態(tài)將被設(shè)置為偵聽(tīng)狀態(tài)，不再轉(zhuǎn)發(fā)報(bào)文（相當(dāng)于將此端口相連的鏈路斷開(kāi)）。當(dāng)在足夠長(zhǎng)的時(shí)間內(nèi)沒(méi)有收到更優(yōu)的配置消息時(shí)，端口會(huì)恢復(fù)原來(lái)的正常狀態(tài)。在對(duì)一個(gè)端口進(jìn)行配置的時(shí)候，在Loop保護(hù)功能，Root保護(hù)功能或者邊緣端口設(shè)置三個(gè)配置中，同一時(shí)刻只能有一個(gè)配置生效。對(duì)于設(shè)置了loop保護(hù)功能的端口，其在所有實(shí)例上的端口狀態(tài)只能遷移成discarding狀態(tài)。一旦這種端口上長(zhǎng)時(shí)間收不到配置消息，即其將發(fā)生狀態(tài)角色遷移時(shí)，只發(fā)生角色的轉(zhuǎn)換，但是仍然會(huì)維持discarding狀態(tài)，不轉(zhuǎn)發(fā)報(bào)文。這是為了防止對(duì)端由于錯(cuò)誤操作導(dǎo)致BPDU報(bào)文發(fā)不出，而該端口由于長(zhǎng)時(shí)間收不到配置消息直接進(jìn)入forwarding轉(zhuǎn)發(fā)狀態(tài)所產(chǎn)生的環(huán)路。缺省情況下，交換機(jī)不啟動(dòng)BPDU保護(hù)功能、Root保護(hù)功能和環(huán)路保護(hù)功能。網(wǎng)關(guān)冗余VRRP（VirtualRouterRedundancyProtocol）是一種容錯(cuò)協(xié)議，其目的是利用備份機(jī)制來(lái)提高路由器與外界連接的可靠性。VRRP確保當(dāng)主機(jī)的下一跳三層設(shè)備（本次推薦的QuidwayS8512）壞掉時(shí)可以及時(shí)的由另一臺(tái)QuidwayS8512來(lái)代替，從而保持通訊的連續(xù)性和可靠性。為了使VRRP工作，要在設(shè)備上配置虛擬路由器號(hào)和虛擬IP地址，同時(shí)產(chǎn)生一個(gè)虛擬MAC地址，這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬QuidwayS8512。而網(wǎng)絡(luò)上的主機(jī)與虛擬QuidwayS8512通信無(wú)需了解這個(gè)網(wǎng)絡(luò)上物理QuidwayS8512的任何信息，一個(gè)虛擬QuidwayS8512由一個(gè)主QuidwayS8512和若干個(gè)備份QuidwayS8512組成，主QuidwayS8512實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主QuidwayS8512出現(xiàn)故障時(shí)一個(gè)備份QuidwayS8512將成為新的主QuidwayS8512接替它的工作。VRRP中只定義了一種報(bào)文――VRRP報(bào)文，這是一種多播報(bào)文，由主