商业银行数据中心新一代网络解决方案

1、商业银行数据中心新一代网络解决方案银行业金融机构信息系统风险管理指引 中华人民共和国银行业监督管理法 中华人民共和国商业银行法 中华人民共和国外资银行管理条例 2009年中国开始针对上市公司强制执行企业内控规范-业界称之为中国的“塞班斯法案”网上银行系统信息安全保障评估准则人民银行发布的网上银行系统信息安全通用规范（试行）商业银行信息科技安全管理规划依据1. 金融安全是关系到国计民生的大事2. 安全性，可靠性以及合规是银行规划系统架构及功能的首要考虑因素人民银行发布的网上银行系统信息安全通用规范（试行）业务部署的灵活性受到相应限制商业银行业务系统的概述商业银行业务系统博大精深，在当前业务创新、

2、管理创新、机制创大背景下，银行领域IT建设日新月异。安全性和灵活性的平衡保证安全性的同时，快速部署新业务银行数据中心网络变革的驱动力是什么?异地三数据中心互联提供弹性的网络服务，更短的自愈时间数据灾备到业务灾备双活业务中心架构需要二层三层混合互联 FabricConnectNetwork双活数据中心整体架构-大二层概念，业务持续性保证在架构层面，多个数据中心通过内部私有网络互联，统一对外提供服务。在多个数据中心内，应用在每个数据中心都是处于活动状态两个数据中心间Web、App及DB层次上必须分别提供二层通道或者裸光纤GTM + DNS Web TierApp TierDB Tier(Activ

3、e)GTM + DNS Web TierApp TierDB Tier(Standby)External NetworksISP 1ISP 2ISP 2ISP 1 Primary Data CenterSecondary Data CenterL2 Extensionsor Dark Fiber智能流量管理互联网业务移动终端业务突发业务流量处理数据库整合动态数据中心自动化运维服务动态调整灾备管理集成数据中心快速切换应用优化和安全ClientsL2 Extensionsor Dark Fiber双活数据中心设计需要底层网络支持二层通道，或者裸光纤连接Fabric Connect网络设备云矩阵网络

4、 Fabric ConnetServer AccessDistribution (optional)Campus CoreData Center Core EdgeServers 矩阵网络技术将网络配置时间减少了第三方认证 恢复时间25times1sFabricConnect DASAPayloadVLAN IDI-SID = 24 Bit Service IDInstance Service IdentifiersCustomerVLANsDASAPayloadCustomerwithNo VLAN Tagsor骨干网络传输层网络即服务（Network As A Service) -由IEE

5、E 802.1aq(SPB) 标准协议定义ISISISISISISISISISISISISISISISISISISISISISISUnified ManagementDASAPayloadC-VIDB-DAB-SAB-VID802.1ahProvider BackboneBridgesI-SID用户网络数据骨干网络不再以IP/MAC作为标识符，而是以Service ID来标识 技术革新：优化传统协议栈结构e.g. PIMProtocol Infrastructuree.g. RIP/OSPFProtocol Infrastructuree.g. RFC4364Protocol Infrastr

6、ucturee.g. Draft RosenProtocol Infrastructuree.g. 802.1q/DProtocol Infrastructure802.1Q (VLAN)802.1D (STP)UC IGP (IS-IS or OSPF)Layer 3 Unicast ServiceLayer 3 Multicast Service Layer 3 Virtualized Multicast ServiceSONET, SDH, Ethernet, etcPhysical Infrastructure 由上至下的依存关系Layer 3 Virtualized Unicast

7、ServiceIP/SPB, SPBm/SPBmProtocol InfrastructureEthernetPhysical InfrastructureLayer 3 Virtualized Multicast ServiceLayer 3 Virtualized Unicast ServiceLayer 3 Multicast ServiceLayer 3 Unicast ServiceLayer 2 Virtualized Service平行不依存关系e.g. VPLSProtocol InfrastructureLayer 2 Virtualized Unicast ServiceM

8、PLS Fabric Connect二层互联说明ISISISISISISISISISISISISISISISISISISISISISIS网络管理员Vlan 20Vlan 30Assign VLAN20 I-SID 100Assign VLAN30 I-SID 100Virtual Service Network I-SID 100100100100100100100任意拓扑任意节点间,安全便捷的开通二层通道ISISISISISISISISISISISISISISISISISISISISISIS Fabric Connect 传统路由互联网络管理员Assign VRF-2 IPVPN I-SID

9、 200VRF2VRF2Virtual Service Network I-SID 200Vlan / IP net1Vlan / IP net2Vlan / IP net3Vlan / IP net41、配置仅仅发生在边界节点2、用户能更关注自身的业务，而不会将时间、金钱浪费在设备、网络的维护上分中心分支站点矩阵网络办公监控等计费数据视频监控网上银行手机银行办公监控等计费数据视频监控网上银行手机银行典型的需要配置的节点解决多数据中心挑战 : 业务快速的移动、增加和变更 解决多数据中心挑战 : 多业务的便捷隔离矩阵网络支撑多业务的灵捷部署传统网络极度复杂很难扩容容易出错静态模型 矩阵网络良好可

10、扩展性业务灵捷部署易于排查动态模型PCI合规从双活数据中心平滑升级到两地三中心拓扑，业务流量通过独立虚拟网络隔离传输，安全性与灵活性的最佳平衡业务系统的安全隔离及互通不再需要将Firewalls / IDS / IPS等安全设备部署在网络中心节点上可以在任何需要的地方部署Firewalls / IDS / IPS利用VSNs强制将流量经由 Firewall / IDS /IPS来处理Network Design FlexibilityData Center Private CloudServersIDS/IPSFirewall/L2 VSNUsersIDS/IPSFirewallL3 VSN在

11、安全管理区域，集中管控不同业务之间的互访操作 RSMLTVRRP安全管理区域设计示例：内外系统独立的安全设备Internet(RT)AdminPDC CoreERS 8800VRRP SPBm CoreVSP9000 RSMLTExternal FWWeb ProxyAdminVenue CoreERS 8800InternalFWPDC ToR stacksERS 5650 16DHCP, DNS, AD, NMSWLAN 8100ManagementDMZ16InternalDMZEmail, FTP, DNSExternalDMZ16VoiceDMZSMCMSYSMGRG450 Stor

12、ageOlympic AppsAdmin AppsLogical separationID EnginesPSTN(RT)PRI10 GigE1 GigESPBm Core Utility Server人民银行发布的网上银行系统信息安全通用规范（试行）1. 简洁：业务的变更或部署在边界设备上完成，零配置核心3. 弹性：任意设备或者链路的故障网络将在200ms内自愈4. 健壮：网络拓扑由设备自主维护人为操作失误不会影响网络正常运转ISISISISISISISISISISISISISISISISISISISISISISUnified Management2. 高效：自动寻找最佳路径传输，支持多路径

13、负载均衡Virtual Service NetworkXFabric Connect构建数据中心网络的好处ISTData Center Core数据中心内传统机架间互联方式在机架间，快速共享计算和存储资源Pods间5.12T的背板速率闪电般的vMotion迁移速度; 数据无需经过核心设备架构更加先进 多个机架间的背板直联VSP 7000 Distributed Top of Rack （DToR）架构更加先进 按需“连接”的数据中心架构211、以较低成本，在任意的柜顶服务器交换机之间提供高达640Gbps的高速、低延时通道2、柜顶交换机按需连接到核心交换机上3、将传统数据中心的二维连接，更新为

14、新型数据中心的立体结构 Westpac Bank案例分享1.平滑升级：业务系统的迁移可在1s内完成，迁移过程中不影响用户的使用2. 弹性互联：任何链路或设备故障，网络平台均能在1s内自愈3.智能高效：数据由最优的链路和设备完成转发；三地网关设备均处于并发处理状态案例：Sochi冬奥会七种相互隔离的安全虚拟子网络比赛场馆数据中心(备份)数据中心(主要)奥运村媒体中心庆典中心IPTV 服务比赛网络服务统一通讯服务组委会服务无线WiFi 服务透明媒体专用网络服务安全管理系统容量堆叠模块化ERS 8800ERS 4000 & VSP 4KVSP 9000ERS 350010/100, GE, POE+1