金融行业数据中心网络解决方案

1、金融行业数据中心网络解决方案银行网络架构演变的 驱动力不同需求带动信息系统改变增加交易投资业务多元化盈利增长波动性的业务突发分行的自建业务业务系统繁多，难以实现信息交互、数据共享和统一风险管理集团体系信息系统的共用平台风险和服务质量难以保证应对大量新型业务造成的突发流量如何引入云计算平台实现信息系统池化保证自建业务的数据备份和迁移如何实现分行平台虚拟化 信息系统基础架构的演进开 始第一阶段第二阶段第三阶段爆发阶段P to VP to VP to VP to VAutomate ProcessesAutomate ProcessesAutomate ProcessesConvergedSyste

2、msConvergedSystemsSelfService IT虚 拟自动化融 合私有云混合云 职能中心 多大数据平台架构 中心架构互联优化 同城/异地数据中心多活研发中心海外中心呼叫中心同城备份中心主数据中心职能中心节点职能中心节点JUNIPER金融平台解决方案管理 变更自动化 平台集中监控 风险预估 主动故障处理分行节点分行节点网点支行节点一级骨干节点二级骨干节点核心骨干节点骨干网 SOA架构 多业务承载 骨干网扁平化外联节点互联网节点安全 各节点业务隔离 风控/合规 智能化攻击防范 云桌面/移动终端安全金融骨干网 解决方案金融行业两地三中心的形成满足金融行业信息系统业务连续性的要求RTO

3、，RPO，NPO，RAO同城高可靠双中心应能够支持关键应用的灵活切换。异地容灾中心作为主数据中心及同城中心的暖备份中心。 同城生产中心 1同城生产中心 2用户 异地容灾中心 金融两地三中心典型网络架构同城主数据中心同城备份数据中心异地灾备数据中心存储数据复制链路同城数据中心DWDM链路异地灾备数据传输链路广域网ATM链路一级分行二级分行或网点 金融多数据中心架构数据中心模块数据中心模块数据中心模块分行接入模块分行接入模块核心骨干网中心 C中心 A中心 B金融多数据中心整体架构MPLS 城市2功能性数据中心城市2分行城市3分行城市3灾备数据中心城市2同城数据中心城市1主数据中心城市1分行 城市1

4、城域网接入 城市城域网接入一级分行二级分行网点一级分行二级分行网点ATM链路ATM链路ATM链路ATM链路 BJ MANCECECECECECECECEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPPPPPP金融多数据中心架构的挑战资源的整合1. 同类业务部署在不同的数据中心2. 跨越广域网形成集群分布式部署3. 集群系统间的通讯需要在二层环境下进行1. 业务在各个数据中心间如何平滑迁移2. 迁移后的访问路径的是否能智能切换3. 虚拟机的迁移是否可以在现有网络环 境下进行4. 迁移后的业务系统的安全防护业务迁移后的连续性访问要求金融多数据中心架构下的集群业务访问需求 城市2功能性数

5、据中心城市3分行城市3灾备数据中心城市2同城数据中心城市1主数据中心一级分行二级分行网点一级分行二级分行网点ATM链路ATM链路ATM链路ATM链路CECECECECECECEPEPEPEPEPEPEPEPEPEPEPEPEPEPEPPPPPP 业务1（部署在DC1） 业务1（部署在DC1） 业务1（部署在DC2） 业务1（部署在DC3）用户访问业务1业务1多数据中心架构下的虚机迁移后的流量自动导引需求 城市2功能性数据中心城市3分行城市3灾备数据中心城市2同城数据中心城市1主数据中心一级分行二级分行网点一级分行二级分行网点ATM链路ATM链路ATM链路ATM链路CECECECECECECEP

6、EPEPEPEPEPEPEPEPEPEPEPEPEPEPPPPPP 业务2（部署在DC1） 业务3（部署在DC1） 业务4（部署在DC2） 业务4迁移到DC3用户访问业务1业务2迁移到DC1 业务5（部署在DC3）NATFWLBIPSecSRXSwitchNetworkMX SeriesMX SeriesNATFWLBIPSecSRXLAGLAGSwitchNetworkdetoursdetoursAll Active forwarding links on WAN and LAN (LAG)Traffic Engineering,HA, fast recovery (transport)Co

7、ntrol Plane based information exchange / control (policy based control)High scale multi-tenancy across common transport (service tag)MPLS or IP多数据中心互联EVPN解决方案JUNIPERMX SeriesMX SeriesdetoursdetoursBGP Control Plane based learning on WANDP learning over LANDP learning over LANLAGLAGMAC1.LAN PortsMAC1

8、1MPLS nexthopVLAN 1MAC1VLAN 2MAC2VLAN 1MAC11VLAN 2MAC22P2MP connections for multicast or unknown trafficMPLS transport label(s) including detour or IP transport labelService labelEthernet FrameP2P connections for unicast trafficHash based LB on Ethernet switchMPLS or IPMAC2.LAN PortsMAC22MPLS nextho

9、pMAC1.LAN PortsMAC11MPLS nexthopMAC2.LAN PortsMAC22MPLS nexthop多数据中心互联EVPN解决方案JUNIPER数据中心间虚拟机迁移解决方案(EVPN+NHRP)DCSite-2VPNDCSite-3Site-1VM moves to site-1BackboneMACVPN updateL3VPN updateVPN trafficsteers to new siteIngress Traffic to VM1VM 1多数据中心架构EVPN方案与传统方案的对比JUNIPERDesirable L2 extension attribut

10、esVM Mobility without renumbering L2 and L3 addressesAbility to span VLANs across racks in different locationsScale to few 100K hosts within and across multiple DCsPolicy-based flexible L2 topologies similar to L3 VPNsMultiple points of attachment with ability to load-balance VLANsacross themActive-

11、Active points of attachment with ability to load-balance flows within a single VLANMulti-tenant support (secure isolation, overlapping MAC, IP addresses)Control-Plane Based LearningMinimize or eliminate flooding of unknown unicastFast convergence from edge failures based on local repair VPLSE - VPN各

12、数据中心内的防火墙策略同步更新 Junos脚本实现ACTIVESTANDBYDATACENTER-ACTIVEACTIVESTANDBYDATACENTER-BACKUP两组防火墙共享相同的安全策略CLUSTER-ACOMMITScriptCLUSTER-BTIMER EXPERIEDTransfer configuration file “XML_CONFIG” to CLUSTER BLoad security and application hierarchyEvent log “sync success”Delete file “XML_CONFIG”Event log“no need

13、 sync”YESNOScriptFILE “XMLCONFIG” EXIST?1 MIN TIMER (tunable)架构JUNIPER MetaFabric Any Orchestration and App/SoftwareAny Server, Any Storage, Any Hypervisor Any Physical NetworkAny Virtual NetworkSDN, Contrail and OpencontrailSDN, Contrail and OpencontrailVirtual and Physical SecurityRoutingMX Series

14、QFX SeriesEX SeriesSwitchingSRX SeriesVirtual and Physical SecuritySRX SeriesSRX SeriesVirtual and Physical SecurityQFX SeriesEX SeriesSwitchingRoutingMX SeriesRoutingMX SeriesQFX SeriesEX SeriesSwitchingEVPNVPLSMPLSSecondaryData CenterPublic CloudPrimary Data Center -Public CloudSingle Pane of Glas

15、sManagementEVPNVMTOORE金融多数据中心架构解决方案的特点JUNIPEROpen, Programmable InterfacesSimple NetworkArchitectures & operation网络架构过渡平滑，投入少 只需PE路由器支持EVPN骨干网络可以是IP或MPLS，对用户网络改动小，减少数据中心间裸光纤或DWDM设备的投入流量导引及策略部署自动化EVPN+NHRP实现自动流量牵引Junos脚本实现防火墙策略自动同步金融数据中心解决方案Part1：数据中心分区架构设计数据中心网络架构设计重新规划数据中心的弹性架构加强安全部署模式和策略考虑成本及能耗业务逻

16、辑分区（按业务功能对应用系统进行划分）应用等级分类（ 关键、重要、一般 ）业务设备分区（ 同一类业务应用的所有IT设备放置在同一个物理分区内 ）主机区业务区1业务区2业务区3MIS/OA区外联区互联网接入区广域网接入区业务区N核心交换区运营区数据中心分区设计核心交换区核心交换区楼层接入区互联网接入区开放业务区主机业务区骨干网接入区OA业务服务区OA业务服务区网银网站区基础服务区网管区测试区外联区 数据中心核心交换区架构主要架构：网状互联方式交换核心互联方式（主流）分布式集群互联方式（趋势）方式1：网状互联方式2：交换核心互联交换核心 方式3：分布式集群互联交换矩阵交换板卡交换板卡交换板卡交换板

17、卡交换板卡交换板卡核心交换区设计交换核心采用四核心结构大容量、无阻塞高速交换矩阵：实现任意点到任意点之间的无阻塞交换高可用性：2个交换平面，任何一个交换平面故障，不影响流量转发高速交换中心由交换机集群组成，提供高可用性和冗余度分区通过4条通道与交换中心互联，万兆链路高速交换核心业务区1业务区2业务区3业务区NMIS/OA区外联区互联网接入区广域网接入区主要原则：应用架构：业务关联度高的服务器部署在同一个区域其他原则： 安全法规 业务共享需求 业务高可用性需求 技术和运维因素 （ 区域个数、区域服务器台数、核心/接入设备能力、防火墙性能等 ）方式1：按应用层次分区方式2：按应用类型分区数据中心开

18、发服务区架构Web1Web2Web3WebApp1App2App3AppDB1DB2DB3DB交换核心1交换核心DB1App1Web12DB2App2Web23DB3App3Web3开放服务区设计功能：负责开放服务系统的接入。采用模块化设计思路，各个子模块之间通过标准开放协议或接口互联互通。各个模块均采用虚拟化技术，实现子模块单点管理。多机箱集群虚拟化技术保证了汇聚模块的高可靠性和简化配置。单层Fabric系统提供服务器接入模块的最高性能和最低延迟，高可靠性灵活扩展的能力。单层Fabric系统提供简化运维和最大化程度易于管理能力。开放服务区设计QF/InterconnectQF/Node #1

19、QF/Node #16QF/Node #3QF/Node #2可提供768个万兆接口40G互联技术全网二层三层互联40G Fabric LinkLEGEND统一的低延迟传输统一管理开放服务区QFX应用场景Patch PanelEnd of Row Network Rack开放服务区物理连接开放服务区物理连接 支持TOR,MOR和EOR布线方式。 分为核心层和接入层。 3个单层Fabric分别覆盖每POD的所有机柜。 开放服务区的每层楼的网络设备作为单台设备统一维护和管理。High DensityServer RackLow Density Server Rack10GBASE-SR MMF C

20、ablespod3QF/NodeEnd of POD Network RackEnd of POD Network RackHigh DensityServer RackLow Density Server Rackpod2QF/NodeEnd of Row Network RackPatch PanelHigh DensityServer RackLow Density Server Rack10GBASE-SR MMF Cablespod1QF/Node交换矩阵业务板卡核心交换机核心交换机10GBASE-SR MMF CablesNetwork podEnd of Row Network

21、RackPatch Panel业务板卡10GBASE-SR MMF Cables金融数据中心解决方案Part 2：金融数据中心安全 / 自动化解决方案身份识别应用防护UserApp数据中心数据中心安全客户端DMZ业务2区业务1区VirtualizedSecurityServicesNAT Intrusion prevention Real-time visibility Traffic prioritization AppSecure: AppDoS, AppTrack FirewallAuthenticationEncryptionInternetSSL VPN外联Management &

22、Compliance管理平台日志系统ReportingPoliciesHypervisorVirtual MachinesVM4VM1VM2VM3vGW Virtual GatewayPurpose Built Virtual SecurityVM1VM2VM3VSESX/ESXi HostVirtual Security LayerTraditional Security AgentsVLANs & Physical SegmentationVM1VM2VM3VSESX/ESXi HostVM1VM2VM3VSESX/ESXi HostRegular Thick Agent for FW &

23、 AV HYPERVISORHYPERVISOR123虚拟主机安全防护的演变HYPERVISOR虚拟防火墙与区域防火墙联动ESX HOSTVM1VM2VM3VM4vGW VF“Change cycles which used to happen in days and weeks in the physical data center can now happen in minutes or seconds within the virtual data center.”ZONE APZONE DB1.1.1.1/242.2.2.2/2410.10.10.0/2420.20.20.0/24ZO

24、NE DB1.1.1.0/2410.10.10.0/24ZONE AP2.2.2.0/2420.20.20.0/241.1.1.110.10.10.12.2.2.220.20.20.1VM51.1.1.2ADDRESS BOOKZONE DBVM5 = 1.1.1.2Firewall DBFirewall APPHYSICAL NETWORK双向信息同步 物理与虚拟安全融合 简化虚拟层安全管理防火墙部署方式的改变 计算资源更加集中 业务伸缩性提高 物理位置松散化LSYS3业务一区业务三区业务二区LSYS2LSYS1PROFILE LSYS1SESSION:1000ALG: 200NAT POO

25、L: 500安全部署模型：高速交换核心和区域之间不放置防火墙，防火墙部署在区域内部防火墙部署位置：分区入口，物理上挂接在区域核心交换机区域核心防火墙区域核心FBF防火墙部署方式防火墙部署方式的改变路由/管理引擎INTEL CPUMEMORY 2G 业务接口卡NPU *4MEMORY 2G *4安全处理卡8CORE CPU *2MEMORY 4G *2AttackManagementBusiness业务处理平面防攻击平面管理平面Switch fabric 最大并发会话数每秒新建会话数吞吐量零配置性能升级零停机性能升级Dynamic service architecture适应云数据中心的部署特点

26、端到端的数据中心安全Juniper SRX with IPS and AppSecureFabricSwitching Policies vGW Virtual GatewayVMware vSphere Hypervisor高密度端口互联按需动态扩展分布式防御虚拟主机安全统一管理自动化运维VM 1VM 2VM 3VM 20Security Design 向数据中心转移数据中心自动化运维分行的特色业务网络自我诊断变更自我审核提高业务持续性增加交易投资业务多元化盈利增长网络层的增值开发业务触发型网络提高生产率波动性的业务突发设备间协同控制层面整合降低运维压力如何快速收集信息定位故障Softwar

27、e crashes, aborts, traps, terminations (i.e.,daemon, kernel, PIC, FPC, board)Memory allocation failuresIntra-chassis communication message errors (i.e., internal socket errors) Read-write errorsHardware errors such as chip, memory, temperature, fan, clock errors Device overload problemsInternal data

28、 structure consistency errorsOver 400 different conditions covered more added with new releases适应云数据中心的部署特点InternetJuniperSupportSystemsAI ScriptsInstalledService NowData CollectionData ManagementData InterpretationJuniperCustomer or Partner NOCCustomer NetworkJMBHardwareSoftwareResourcesConfigurati

29、onService Insight自动化运维平台可定制的软件自动化平台ConnectivitySecurityFutureServicesStandards interfaces (TCG, IEEE)OPPORTUNITY FORNETWORK END-POINT INNOVATIONUSER APP LAYEROPPORTUNITY FORON-DEVICE INNOVATION Control PlaneDevice APIPlatform SDKData PlaneServices PlaneNETWORK LAYEROPPORTUNITY FORCROSS-DEVICE INNOVA

30、TIONDevice APIPlatformPlatform & UI SDKNETWORK APP LAYERGREATERFLEXIBILITYLOWERTCOBREADTHSUPERIORSCALABILITYKEY BENEFITS简化业务变更：ICBC 每周都有频繁的防火墙变更，如何简化数据中心网络设备的维护？CHALLENGE1 多数据中心设备配置智能同步 下一步加入变更后自查功能SOLUTION3APPROACH2通过在Junos 平台上的脚本开发，为网络设备提供智能同步NETWORKNETWORKNETWORKNETWORK构建下一代数据中心数据中心安 全骨干网管 理虚拟化扁平

31、化分区架构重建灾备优化SOA架构多业务承载海外节点接入业务隔离认证/审核攻击防范移动安全自动化管理集中监控故障管理交易所案例纽约泛欧证券交易所THE CUSTOMERWhy JuniperTHE PROJECT在公司上市、现金股票、利率衍生品、债券和市场数据等方面处于世界领先地位； 运营着全球规模和流动性最大的证券交易集团。提供最多样化的金融产品和服务；截至2009年，是总市值世界第一的股票交易所。业务的成功与其完成交易的速度有着直接关系， 10毫秒的延迟可能会导致收入降低10% ；客户来自多个金融市场和地区，需要满足所有客户对交易的性能要求。需要最高水平的延迟和永续性能；客户一直在寻求新的数

32、据中心网络提供商，以支持下一代交易网络。瞻博网络的数据中心基础构架以及技术，将以前的150微妙的延迟缩短为50微秒。经过简化的平台只需要更少量的设备与网络连接，同时大幅减少了网络的复杂性以及总体拥有成本。“到那个时候纽约证交所将是这个星球上开展交易的最佳场所。我们的网络是速度最快的交易网络，据我们所知没有其他交易所能做到这点。” 纽交所CIO SteveRubinow东京证券交易所THE CUSTOMERWhy JuniperTHE PROJECT创立于1878，是日本的中央市场；提供股票、交易型指数基金 、房地产投资信托基金 、期货，以及日本政府债券和东京股指期权； 截至2010年1月，是总

33、市值世界第四的股票交易所。客户需要一种高度可靠、灵活、可互操作的网络，与国外证券交易所和国际金融机构相兼容；结果产生了“Arrownet”集成网络。网络要求：需要更低的网络延迟（系统间的数据传输时间应小于4毫秒）；1秒内故障容错和快速故障切换；降低总体拥有成本；易于扩展。采用MPLS技术的JUNOS带来的可靠性，是客户作出决定的关键因素。银行业案例中国邮储银行THE CUSTOMERWhy JuniperTHE PROJECT中国邮政储蓄银行有限责任公司与2007年成立，并在2012年整体变更为中国邮政储蓄银行股份有限公司。中国邮政储蓄银行拥有营业网点3.9万多个，客户总数近6亿人。资产总规模

34、突破4.7万亿元，居全国银行业第六位。在整体变更为股份制公司后，大力发展了多种新业务，对应的开始逻辑大集中改造，重建整体业务架构。为了满足新业务的发展需求，中国邮储银行建立了一个新的数据中心以满足未来5-10年的发展。同时对所有分行进行基础网络改造。EX8216通过VC技术，可以提供高密度的千兆及万兆接入，实现单层数据架构，可以更好的满足用户的扁平化需求。中国光大银行THE CUSTOMERWhy JuniperTHE PROJECT中国光大银行成立于1992年月, 总部设在北京，中国光大银行在全国25个省(自治区) 和直辖市的60多个主要经济中心城市设有34家一级分行，拥有各级分支机构超过6

35、00家，员工超过20000人。中国光大银行资产总额1.67万亿元， 排在中国金融公司前20强。由于分行业务不断的快速发展以及国内对于分行金融安全的要求越来越严格，光大银行开始对其一级骨干网进行优化和重构。由于银行的一级分行IT运维能力普遍较弱，光大银行计划借助此次的重构机会，搭建一个稳定的，便于远程维护的平台。Juniper的M系列路由器在测试前期很好的满足了客户的性能需求，并且简易的远程维护功能也契合了光大银行的需求。平安银行THE CUSTOMERWhy JuniperTHE PROJECT原深圳发展银行是中国内地第一家面向社会公众公开发行股票并上市的商业银行，于1987年12月成立，并在2012年与