银行核心路由平台建设方案

1、银行核心路由平台建设方案 郑州数据中心作为主中心启用之后，所有业务系统将在郑州中心运行，在做骨干网设计时，首先考虑的是数据中心、分行再到支行整体网络结构的层次化，目前国内银行骨干网都延续采用数据中心、省市分行、支行、网点等多级架构，因此在新中心落地使用之后，我们将采用标准化的分层骨干网结构： 如上示意图，中心骨干网路由器采用两台思科ASR1002-X，一共配置2块8口千兆业务板卡（配置8个千兆电口模块，8个千兆光口模块），16个路由端口通过子端口划分，用于做5个地市分行的MSTP线路汇聚。 同时，ASR1002-X未来仍具备2个扩展槽位，可以通过添加SPA业务板卡的形式进行骨干网连接扩容。骨干

2、网层次化建设之后，主要优势在于：管理边界清晰线路资费合理层次化设计将故障域、安全域分离便于变更管理具备良好的扩容能力，满足未来5年左右业务发展需求IOS XE(Linux Kernel)IOSActiveIOSStandby 分行外联采用思科3925路由器，负责分行上联至数据中心以及下属支行上联至分行的骨干网互联需求。从管理角度来说，分行负责管理下属支行的日常运行维护和故障处理。由于一般分行的汇聚路由器都安装在一个机房，这种模式下网点层面没有灾备，一旦分行路由器或链路故障,下辖所属的网点将停止运业，网点到分行属于市内或省内传输，从营运商的标准资费来看, 成本较低。此次平顶山银行网络从成熟度及可

3、靠性将采用这样的层次化设计。 每台3925路由器配置安全license，满足行内对业务流量加密传输的需求；并配置24个千兆POE+交换板卡，交换板卡配置IP BASE license，提供入门级3层，完整2层、安全、QoS特性，可作为分行内部网路设备互联、POE摄像头、IP电话接入等功能灵活使用。且3925路由器支持8个扩展插槽，包含3个EHWIC，3个DSP，2个SM插槽，具备良好的物理接口扩展能力，满足未来几年分行的业务发展需求。一期广域网架构P 5 郑州数据中心启用，并将现有分行与平顶山中心的互联方式进行彻底改造，分行使用上联路由器的方式与郑州数据中心间采用三层动态路由方式进行数据转发，

4、从而实现分行出现问题仅影响自身，不会对全网造成影响的安全方式。P 6二期广域网主备架构建设同城灾备中心，改造分行与支行间互联方式，将分行上联线路分别接入郑州数据中心和同城灾备中心，同城中心之间用DWDM设备互联，实现业务系统的完全备份，实现业务数据的实时备份，从而实现异地灾备的容灾模式，初步符合四级容灾标准。推荐双活业务：网银、综合前置Cisco Unified Access (UA)Connected Mobile Experiences (CMX)Cisco Intelligent WAN (IWAN)Voice/Video and Compute/StorageCloudUSERSDat

5、a CentersLANWAN更好的应用体验简化运维控制成本BranchCisco ONEonePK, 3rd Party Management, Programmability下一代银行网络架构应用体验,应用安全：用户最关注的问题 提供最佳的多服务平台，让用户能从任何地方顺畅的使用应用服务 应用层级的可视化、可控化、优化和安全性 让应用也能做到网络感知,并提供端到端的应用服务保障分支机构以应用为中心的网络数据中心视频语音关键生产应用办公应用互联网业务其它流量下一代企业智能广域网络的能力面向云资源调度平台广域网企业广域网架构的转变和需求应用部署正在改变应用集中和正在向数据中心和云端移动网络边缘

6、正在向分支移动分支云50云端预计到2015年CIOs的50%将会通过云端操作%迁移率2015年将有更多的移动数据流量大型应用将有2/3的移动流量是视频6X2/3 WAN上的压力业务敏捷性,简单与可视化管理 数据中心高可用和高可靠HA设计、单引擎软件HA、全业务接口 云计算智能资源调度OTV&LISP&PFR CSR应用可视化感知和监控能力-AVC(FlexNeflow,NBAR/DPI,PFR)多业务并发的处理能力-256线程QFP技术多业务集成能力- FW,VPN,SBC 思科作为路由器之鼻祖，2008年推出了新一代企业骨干网路由器 ASR系列，ASR路由器在08年5月发布到今天，已经实现

7、$5 Billion 骄人业绩，超过15,000+台和20,000+ 全球客户采用,2600+服务FeaturesISR G2 ISR4000CSR1000VASR1000银行骨干路由器 ASR1000系列 ASR 1001-XASR1002-XASR 1006ASR 1013ASR 1004ASR1000统一网络业务处理架构Cisco统一网络处理架构Unified Network Processing单台机器聚合多种业务统一的网络处理资源集中式转发，升级仅需在线更换一块ESP转发引擎即可支持ONE-PK/SDN 的开放式架构传统广域网架构占用大量机架及供电资源多个独立的设备串联， 出现故障后

8、，排错难升级扩容难： 整个广域网受单个设备性能限制， 而当广域网带宽升级后，用户面临将整个链路上的设备进行扩容。 ASR：Aggregation（聚合）+ Services（业务）+ Router（路由器）思科ASR1K/ISR 技术创新20142015PfROTV、LISPWAASBFDGRE/GET VPNNAT/FWISG基于性能的负载均衡(PfR)云计算数据中心互联-Workload Mobility广域网优化MSTP线路快速探测GRE/链路安全保护 安全防火墙 智能服务网关应用识别和控制AVCVisibilitySCALEINTELLIGENCE快速收敛-高可靠性HA+IP FRRN

9、ew!ASR1000 OTV 数据中心互联 虚拟化数据中心的互联技术 OTV-全新数据中心互联技术数据中心间的以太网流量封装在IP包中 “MAC in IP”Control plane和data plane分离基于ISIS协议形成 MAC 路由表基于包交换OTV (Overlay Transport Virtualization) 一瞥Communication between MAC1 (site 1) and MAC2 (site 2)Server 1MAC 1Server 2MAC 2OTVOTVMACIFMAC1Eth1MAC2IP BMAC3IP BIP AIP BEncapDeca

10、pMAC1 MAC2IP A IP BMAC1 MAC2MAC1 MAC2ASR1000灾备数据中心互联 (OTV)基于IP网络的2层VPN互联，数据封装在IP网络中传输（MAC in IP）免除了基于MPLS的各种复杂技术(VPLS/EoMPLS)控制层与转发层面分离基于ISIS协议形成 MAC 路由表Server 1MAC 1Server 2MAC 2OTVOTVMACIFMAC1Eth1MAC2IP BMAC3IP BIP AIP BEncapDecapMAC1 MAC2IP A IP BMAC1 MAC2MAC1 MAC2GETVPN+OTV可以实现生产数据的安全传输和异地灾备功能L2

11、 Links (GE or 10GE)L3 Links (GE or 10GE)VM= 10.10.10.1Default GW = 10.10.10.100LISP-多数据中心的虚拟化技术实现 Ingress Routing Optimization with LISPLayer 3 CoreIntranetISP AISP BAccessAggAccessAggDC ADC BVLAN APublic NetworkPrefixRoute Locator10.10.10.1A, B10.10.10.2A, B10.10.10.5C, D10.10.10.6C, DIngress Tunne

12、l IP_DA= AIP_DA = 10.10.10.1C, D A BDecap 3 D CEncap 2IP_DA = 10.10.10.1IP_DA 10.10.10.1 1IP_DA= DIP_DA = 10.10.10.1Decap 3IP_DA = 10.10.10.1LISP-思科虚拟化环境下网络创新 Location ID/Separation Protocol (LISP) Enabling Global Workload Mobility for the Cloud优势:满足虚拟机迁移额负载分担 满足网络扩展和多租户的虚拟化要求 Cisco NX-OS: Deliverin

13、g Location Independence with OTV and LISPAvailableNOW特点:IP 地址的灵活自动部署和发现IPv4/ IPv6 支持和封装IP address and session move with VMLISP 技术可以精确定位虚机在迁移过程中的准确位置 IP address AIP address A关键业务安全保护ASR1000 Integrated PE FirewallDual Stack (IPv4/v6) Firewall and Crypto SolutionsSecure Access and Thread Defense End to

14、 End Solution with ISRG2 and ASR1KProblem Statement / Customer NeedsScale and Key Functions Cisco Proof PointsIPv4 address depletionTransport DiversityPE integrated FirewallResiliency and AvailabilityIPv6 NAT to address IPv4 address run outSupport Firewall for IP to MPLS and MPLS to IP8K VRFs and 16

15、K Pseudo-WiresSupport Firewall HA (Intra/Inter Chassis), ISSU and Asymmetric RoutingHigh-speed Flexible Netflow (version 9) loggingESP100: 100G BW, 58 Mpps, 29G Crypto, Support 6 M Sessions (3M FW + 3M NAT). Support NAT44 & NAT64Supports VRF Inter & Intra-chassis and VASI within Chassis (IPv4 and IP

16、v6 FW) IP/MPLS CoreMP-BGPMP-BGPMP-BGPEIGRPOSPFRIPeBGPFEGESTM1/STM4T1/E1ASR1000 Integrated Secure WAN ConnectivityLarge Scale Hub-Spoke with dynamic spoke-to-spokeProven Technology deployed worldwideAbility to apply customized routing, ACL, QoS on a group of SpokesLatest IKEv2 ProtocolScale up to 400

17、0 SitesSuite-B SupportPublic Internet TransportHub-Spoke, Spoke-SpokeDMVPNFlexible for site-to-site and remote-access VPNsCentralized Policy Management with AAAFlexibility to define routing, ACL, QoS per branchLatest IKEv2 Protocol3rd Party CompatibleScale up to 4000 SitesSuite-B SupportConverged Si

18、te to Site and Remote AccessFlexVPNMost scalable site to site solution Tunneless Any-to-Any EncryptionNo overlay routingNative Multicast Support4000 Group Members per Key ServerKey Server high availability using COOPPrivate IP TransportAny-to-Any ConnectivityGETVPNMPLSVPNInternetISRISR/ASRASRHQDMVPN

19、, FlexVPN, GETVPNDMVPN, FlexVPNGET VPNSuite-B is supported on ASR1002-X, ESP100 and ESP200高可靠性IOS XE 平台抽象层IOS模块化结构,相对于原有的IOS操作系统, 提高了整机的可靠性使得IOS可以运行在多种平台上， 中间件结构使转发平面可以选择多种功能的芯片(交换机和路由器共享架构)平台抽象层可以使得新平台的开发速度加快并保证全系列产品功能和行为一致操作一致性： 用户使用IOS-XE和传统的IOS平台没有区别， 用户接口完全一致ASR1000 IOS XE硬件转发使用QFPIOS XE 平台抽象层I

20、OSCAT4500/3850 IOS XE硬件转发使用交换芯片IOS XE 平台抽象层IOSISR4400系列 IOS XE硬件转发使用商用网络处理器IOS XE 平台抽象层IOSCSR1000V IOS XEIntel X86和虚拟化技术IOS-XE-Cisco针对下一代企业网基础设施的核心操作系统ASR1000高可靠性灵活的系统冗余机制IOS XE(Linux Kernel)IOSActiveIOSStandby分支机构路由器(ASR1002-X)采用单物理引擎使用虚拟化技术软件实现双引擎冗余还可以在分支机构双出口环境实现双机冗余降低了用户在分支机构侧冗余部署成本, 并提高了可靠性核心路由

21、器(ASR1006/ASR1013)采用双路由控制引擎和双转发引擎的完全硬件冗余 应用识别及可视化管控Use QoS or PfR to control application network usage to improve application performanceASR1KISR G2流量控制ControlHighMedLowAdvanced reporting tool aggregates and reports application performanceApp Visibility & User Experience Report管理工具Management ToolISR

22、 G2 & ASR collect application bandwidth and response time metrics, and export to management toolASR1KISR G2FNFIOS PAReporting Tool 性能收集和报表Perf. Collection & ExportingReporting ToolsNetflow v93AppBWTransaction TimeWebEx3 Mb150 msCitrix10 Mb500 msIdentify applications using L7 signatures (NBAR2) or me

23、tadataASR1KISR G2应用识别ApplicationRecognition新一代企业网络的可视化感知和管理 AVC :应用层报文识别、呈现、控制、路径优化通过Netflow可以导出详细的用户访问及网络质量统计ASR1000应用识别网络性能可视化应用服务器总延迟客户机客户端延迟服务器端延迟服务器响应延迟网络延迟广域网链路RequestResponseNetflow导出URL和统计数据客户端链路TTClientServerXSYNSYN-ACKACK 6 Request 1ACKDATA 4DATA 3DATA 5DATA 3Request 1 (Cont)XDATA 4DATA 1R

24、equest 2DATA 6DATA 2ACK 3 ACK SNDCNDRequestRetransmissionRTReponse基于应用性能的负载均衡SP1 (MPLS)ISP (Internet)保护语音和视频质量低于150 ms延迟; 低于20 ms抖动保护VDI 应用在限电的情况下低于5%的随时率语音和视频首选路径SP-AVDI手续按路径SP-B增加负载分配的利用率多媒体和关键数据策略云服务混合IWAN最优化传输检测丢包率多于 10%ISP-1 (Cable)ISP-2 (DSL)语音和视频双因特网WAN检测高抖动VDI最优化传输ASR1000基于性能的负载均衡（PfR）PfR性能路由可以做什么？保护关键应用，增加带宽利用率保护云应用的限电损失率不到5%关键应用的首选路径: SP1 (MPLS)通过跨全WAN网路径，MPLS和因特网的负载分配流量，来增加WAN网带宽效率云服务和负载均衡策略解决线路不稳问题！服务模块服务模块性能提高 3 至 7 倍通过适