银行网络建设方案

1、网络建设方案鱼参考国内外同行业的组网模型按照标准化、模块化、结构的原那么进行生产 中心的升级， 改变现状生产中心过于扁平化、平安性低的现状， 可以将生产中心规划为：曹核心交换区、生产效劳器区、前置机区、网银区、运行管理区、楼层接入区、办公效劳器区、广域网接入区、灾备中心互联区、中间业务外联区等功能 模块。节在各分区边界部署防火墙，确保访问的平安，实现生产中心的高性能、高 平安、高扩展和易管理。袁核心交换区：为生产网络的各功能子区提供核心路由交换蘊生产核心区：部署天津商行生产效劳和生产小机烬前置机效劳器区：连接各种业务前置机专用区域蕿网银区迁移 ：部署网上银行业务的效劳器DWDM 区：连接生产中

2、心和灾备中心的广域传输系统区域羅广域网接入区：部署下联各省市分行、 天津各区县支行、 分理处的骨干网路由器。中间业务外联区：通过专线连接监管单位、合作伙伴，为第三方机构提供外联服务。 蚂运行维护区：部署网络和系统管理及维护的业务系统螀 4.1 设计概述膄东丽数据中心主要需要建立 IP 网络和存储网络。在 IP 网络中，按业务功能和平安需要分 为 不同的网络区域， 各个网络区域有独立的网络设备如交换机、 防火墙等 连接相应的主 机、 效劳器、 pc 机等设备， 每个网络区域的会聚 / 接入交换机再连接到 IP 网的核心交换机上； 每 个网络区域内部可以根据需要再分为不同的控制区域。蒁 IP 网络

3、主要分为以下网络区域：核心交换区、生产核心区、前置机效劳器区、楼层接入u 1亡厂DPC03jsn中阿咖儼区螇4.1.2 VLAN规戈卩对各构，薂在模块化网络架构中可以看到，数据中心首先是被划分为网络分区，然后基于每个应用自架构的QOS需求，再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架需要在网络的第 2层创立VLAN。在不同分区之间互联点和分区内部上行连接点上，都需要创立VLAN。量在数据内部，交换核心区域和其他功能区域的会聚交换机之间运行OSPF骨干区域AREA 0 ,其他区域内局部别运行 OSPF和静态路由。袄 4.2 核心交换区设计罿 在东丽数据中心中， 核心交换区连接了其他

4、不同的分区。 它也作为数据中心连接灾备中 心 和广域网络的连接点。 核心区在数据中心架构中的作用是， 尽可能快速地在网络之间实现 数据 传输的路由和数据交换。罿核心区主要部署两台高端交换机S12508 交换机连接其他功能分区，提供 10G 和 GE 链路的双归属连接。两台核心交换器之间采取 Trunk 链路连接，启用 IRF 技术，将两条核心交 换机 虚拟成一台。 核心区交换机连接到所有其他区的边缘设备， 有两类连接连接到核心， 一 类是来 自核心生产业务比方生产核心区 , 前置机区的连接，对该类应用提供高速访问服 务，采用万 兆接口这两个区域的会聚交换机。另一类是其它业务。每个区会聚交换机

5、/ 接入 交换机都上行连接到 Core-SW1 和 Core-SW2 。每个区交换机将使用单独的 VLAN ，VLAN 跨越 两个交换机，上行链接到核心莅4.2.2 VLAN戈卩分螂与每个子区域的互联接口可划分为同一VLAN，将核心交换区域与各子域的互联链路进行链路聚合。如下列图所示：楼层接入区n VLAN300曲迦核M换区前詈机区VLAN 500V；VLAN400广姻接入区螆在2台 Core-SW1和Core-SW2核心交换机和各区域的会聚交换机连接端口上运行OSPF动态路由协议，所属的区域为 网络系统的路由。Area 0,这样各个网络分区系统都可以通过核心区域知道整个/接入交换机与核心之间

6、的互联链路都进行聚/接入交换机上启用三层功能，采用OSPF和核蒄采用IRF技术后，可以大大简化网络中的路由设置，减少需要的互联路由网段，其中，除网银与中间业务外联区外，其它区域的会聚 合，生产核心区和前置机区在各自区域的核心 心交换区之间进行互通，如下列图所示意：互联网段五S12S08S12508核心交换区井互联网段云联网腔前詈机区608己购腿4.3生产核心区规划层架薀生产核心区用于连接核心的生产业务系统的小机、效劳器等生产主机；在该区域采用三构，采用全千兆智能接入交换机S5500EI系列交换机提供小机及效劳器的光口、电口接入，每个接入交换机采用双千兆光口分别上行到生产核心区的两条会聚交换机S

7、9508E交换机上，两条 S9508E交换机互相之间采用双万兆链路聚合捆绑，启用IRF功能，将两台会聚交换机虚拟成一台交换机，每个S9508E各出一个万兆接口上联到数据中心核心交换机20G的物理链路S12508上，上行的两条万兆链路启用链路捆绑功能，聚合成一条艿 4.3.2 VLAN 规划薈上联到核心交换区的 VLAN 采用链路聚合，合并为一个 VLAN, 在分区内部根据不同级别 的应 用再进一步分配。 VLAN 分配主要考虑互联 VLAN 和主机。蚃 4.3.3 路由规划薂会聚层交换机与核心交换机间运行 OSPF 路由协议。 在设备间运行 OSPF 时，建议将会聚 层 95 的相关接口划分在

8、一个 OSPF STUB 区域中，以免数据中心中收到过多的LSA。荿各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同， 并且可预知。 生产核心区外连核心区的 2 条链路的进行链路捆绑， 在 路由 计算上，只有一条路径，但是该路径包含2 个万兆端口，提供物理层面的冗余。蚄4.4前置机区规划莅拓扌卜葿前置机区连接生产类系统的前置机等；该区使用4台千兆智能交换机 S5500-52C-EI交换机。4台S5500-52C-EI交换机采用IRF虚拟化技术将 4台交换机虚拟成一台交换机。肅4.4.2 VLAN规戈卩袃上联到核心区的链路进行链路捆绑，采用同一VLA

9、N 进行互联。在分区内部根据不级另个的应用再进一步分配。VLAN分配主要考虑互联 VL同N和主机。肀 4.4.3 路由规划蕿接入交换机启用三层功能， 前置机网关设置在接入交换机上， 接入交换机与核心交换机 间 运行 OSPF 路由协议。在设备间运行 OSPF 时，建议将接入交换机的相关接口划分在一个 OSPF STUB 区域中，以免数据中心中收到过多的 LSA 。蒆各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下， 通讯双方的往返路径均相同， 并且可预知。 前置区外连核心区的 2 条万兆链路的进行链路捆绑， 在 路 由计算上，只有一条路径，但是该路径包含 2 个万兆端口，提

10、供物理层面的冗余。薅 4.5 广域网接入区规划衿广域网接入区主要连接与各省市分行，天津市内各区县支行， 分理处等的上联网络设备，该区使用两台 SR6608 核心路由器作为各分支机构的上联设备，每个 SR6608 配置 3 个 CPOS 广域接口， 2 个主用，一个备用。袇路由规戈I羃广域网接入区与整个数据中心采用统一的策略和部署方案，在核心区作为OSPF骨干区的前提下，广域网接入区内部路由协议采用OSPF，在区域内路由详细规划上，建议如下：袂广域网路由器与核心交换机互联的端口，划分为OSPF骨干域0域蚈广域网路由器下联接口，按照原有的路由规划，划分为1、2、3、4和10、20、30、40等几个

11、路由子域蚁6.2 IRF 虚拟化技术螈 IRF 2 交换机虚拟化实现多台设备虚拟化成一台设备，即多台设备当做一台设备来运行、管理。 大大简化数据中心日益复杂的组网和管理维护， 相比于传统的 MSTP 、 VRRP 和多路径 的路由协议， IRF 可以免除这些协议的部署，简化设备并成倍的提升网络性能与可靠性。膃 IRF 堆叠具有以下主要优点：蒀简化管理。 IRF 堆叠形成之后，用户连接到任何一台成员设备的任何一个端口可以登录IRF堆叠系统， 这相当于直接登录 IRF 系统中的 Master 设备， 通过对 Master 设备的配置到达 管 理整个 IRF 堆叠以及堆叠内所有成员设备的效果， 而不

12、用物理连接到每台成员设备上分别 对它 们进行配置和管理。袈简化网络运行。 IRF 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行 简化 的，例如路由协议会作为单一设备统一计算。了网络运行， 缩短了网络动乱时的收敛时间备的，后者仅仅能完成设备管理上的统一，这样省去了设备间大量协议报文的交互，IRF 技术的这一特性是常见的集群技术所不具而集群中的设备在网络中仍然分别作为独立节点运行。螆低本钱：IRF技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而 高端设备的端口密度和带宽，以及低端设备的本钱。比直接使用高端设备具有本钱优势。袅强大的网络扩展能力。通过增加成员设备，可以轻松自

13、如的扩展堆叠系统的端口数、带宽和 处理能力。蒃保护用户投资。由于具有强大的扩展能力，当用户进行网络升级时，不需要替换掉原有 设备，只需要增加新设备既可。很好的保护了用户投资。羈高可靠性。堆叠的高可靠性表达在多个方面，比方：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、 下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提 高了堆叠系统的可靠性；堆叠系统由多台成员设备组成，Master设备负责堆叠的运行、管 理和维护，Slave设备在作为备份的同时也可以处理业务，一旦Master设备故障，系统会迅 速自动选举新的Master，以保证通过堆叠的业务不中断，从而实现了设备级的 1：N备份

14、。IRF是网络可靠性保障的最优解决方案。腿高性能。由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的， IRF设备的交换容 量 和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此，IRF技术能够 通过多个单机设备的堆叠， 轻易的将设备的核心交换能力、用户端口的密度扩大数倍， 从而 大幅度提高了设备的性能。莂丰富的功能。IRF支持包括IPv4、IPv6、MPLS、平安特性、OAA插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了IRF设备的应用范围。芁广泛的产品支持。IRF技术作为一种通用的虚拟技术，对不同形态产品的堆叠一体化的实现，使用同一技术，同

15、时支持盒式设备的堆叠，以及框式分布式设备的堆叠薇使用IRF扩展端口数量接入肄使用IRF扩展端口数量如下列图所示。当接入的用户数增加到原交换机端口密度不能满足 需求时，可以通过在原有的堆叠系统中增加新的交换机而得到满足。IRF膈使用IRF扩展端口组网图螄使用IRF扩展系统处理能力蒂使用IRF扩展系统处理能力如下列图所示。当中心的交换机转发能力不能满足需求时，可以增加新交换机与原交换机组成堆叠系统来实假设一台交换机转发能力为64M PPS，贝y通过增加一台交换机进行扩展后，整个堆叠设备的转发能力为128M PPS。需要强调的是，是 整个堆叠设备的转发能力整体提高，而不是单个交换机的转发能力提高。膈

16、使用IRF扩展系统处理能力组网图膅使用IRF扩展带宽芄使用IRF扩展带宽如下列图所示，当边缘交换机上行带宽增加时，可以增加新交换机与原 交换 机组成堆叠系统来实现。 将成员设备的多条物理链路配置成一个聚合组， 可以增加到中心交换 机的带宽。 而对中心交换机的而言， 边缘交换机的数量并没有变化， 物理上的两台交 换机看 起来就是一台交换机， 原有交换时机将当前的配置批量备份到新参加的交换机。 因此，这种变 化对网络规划和配置影响很小 i芇使用IRF扩展带宽组 网图薆跨越空间使用IRF蚂IRF2.0可以通过光纤将相距遥远的设备连接形成堆叠设备，如下列图所示，每个楼层的用 过楼道交换机接入外部网络，现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设样，相当于每个楼只有一个接入设备，网络结构变得更加简单；每个楼层有多条链路户通备，这到达核配置，心网络， 网络变得更加健壮、可靠； 对多台楼道交换机的配置