银行网络架构调研报告

1、银行网络架构调研报告技术创新，变革未来现状调研分析思路网络安全服务网络管理服务AAA服务应用负载均衡DNS/NTP服务 网络扩展服务 网络基础服务 数据中心分布及定位主数据中心同城灾备数据中心异地灾备数据中心全局负载均衡数据中心网络互联网络功能域划分Intranet网络互联Extranet网络互联Internet互联网接入IP地址规划路由协议规划银行网络系统现状调研分析思路：网络基础服务：数据中心网络互联同城数据中心异地数据中心DWDM密集波分技术同城数据中心主数据中心异地数据中心电信10Mbps联通10Mbps广电裸光纤电信裸光纤同城数据中心之间，分别采用不同运营商的冗余裸光纤+DWDM技术

2、，实现IP网和FC-SAN网的互联互通异地灾备数据中心，通过不同运营商的冗余广域网专线，实现与主数据中心的IP网络互通网络基础服务：网络功能域划分（主中心）主数据中心网络功能域划分：数据中心主要包括生产网、办公网、开发测试网，之间通过防火墙互联采用模块化和层次化结构设计采用千兆以太网技术，利用双机热备、堆叠技术和冗余链路实现网络架构高可用各安全域边界主要通过防火墙实现安全隔离业务网核心交换区总行分支行同城灾备数据中心人行、银联ATM办公网InternetDMZ区DWDM区生产区OA区网管区内联区外联区Solarwinds网管系统安全控制安全控制安全控制安全控制安全控制安全控制开发测试网开发测试

3、区安全控制网络基础服务：网络功能域划分（同城灾备）同城灾备数据中心网络功能域划分：同城数据中心主要包括生产网和办公网，之间通过防火墙互联采用模块化和层次化结构设计采用千兆以太网技术，利用双机热备、堆叠技术和冗余链路实现网络架构高可用各安全域主要通过防火墙实现安全隔离业务网核心交换区总行分支行同城灾备数据中心人行、银联办公网Internet互联网区DWDM区生产区OA区网管区内联区外联区北塔网管系统安全控制安全控制安全控制安全控制安全控制安全控制网络基础服务：网络功能域划分（异地灾备）异地灾备数据中心网络功能域划分：异地灾备数据中心只有授信、核心等少量系统区域边界缺少防火墙保护网络未采用冗余设计

4、灾备业务网核心交换区内联区灾备生产区分支行DC(核心交换区)网络架构优化建议网络服务关注点现状分析优化建议网络基础服务功能域划分生产区交换机与核心交换区交换机复用，不利于安全控制和故障隔离增加独立的核心交换区交换机，负责连接各功能域数据中心互联异地灾备中心只有到主中心的链路，一旦主中心网络中断，无法为同城灾备中心提供备份服务增加异地灾备中心到同城灾备数据中心的专线，满足灾备要求同城灾备互联，使用的是交换机trunk口通过DWDM直连方式，这样2个数据中心交换机都在一个STP域中，不利于故障隔离同城灾备中心互联使用MACinIP技术，隔离STP和广播外联区网络架构ATM只有到数据中心的链路，缺乏

5、冗余链接建议将ATM放在内联区，并增加到同城灾备数据中心的备份链路前置机放在生产区，不利于管理及安全控制将前置机放在外联区，前置机内外均有防火墙保护并且防火墙要异构部分第三方线路只到数据中心，缺乏冗余有条件的话，配备同城灾备中心灾难恢复所需的外联链路互联网区网络架构主中心的DMZ区域和同城灾备中心的互联网区域不能互相提供灾备服务将同城灾备中心的互联网区扩建为与主中心相同网络架构的DMZ区，两个区域互为灾备网络扩展服务DNS服务未部署DNS域名解析系统，应用系统主要通过IP地址方式进行互访，不利于应用系统灾备切换后的快速访问，用户无法实现透明访问；为生产-灾备中心建立智能DNS系统，包括内网DNS服务和外网DNS服务，满足应用系统灾备快速切换需要，实现透明访问；全局负载均衡没有全局负载均衡服务，不能将用户访问智能调度到不同的数据中心在互联网区边界增加全局负载均衡服务网络安全服务VPN间互访目前除核心交换机旁挂防火墙可以联