商业银行智能网络工程咨询项目方案建议书

1、商业银行智能网络工程咨询项目方案建议书目 录 TOC o 1-4 h z u HYPERLINK l _Toc492332015 1前言 PAGEREF _Toc492332015 h 5 HYPERLINK l _Toc492332016 2网络整体架构 PAGEREF _Toc492332016 h 6 HYPERLINK l _Toc492332017 2.1网络整体设计原则 PAGEREF _Toc492332017 h 6 HYPERLINK l _Toc492332018 2.2网络架构设计 PAGEREF _Toc492332018 h 6 HYPERLINK l _Toc492

2、332019 2.3杭州双中心网络架构 PAGEREF _Toc492332019 h 8 HYPERLINK l _Toc492332020 2.4西安数据中心网络架构 PAGEREF _Toc492332020 h 9 HYPERLINK l _Toc492332021 2.5分支机构网络架构 PAGEREF _Toc492332021 h 9 HYPERLINK l _Toc492332022 2.6数据中心互连核心骨干网架构 PAGEREF _Toc492332022 h 10 HYPERLINK l _Toc492332023 3网络基础设计 PAGEREF _Toc49233202

3、3 h 11 HYPERLINK l _Toc492332024 3.1网络设备命名设计 PAGEREF _Toc492332024 h 11 HYPERLINK l _Toc492332025 3.2交换网络设计 PAGEREF _Toc492332025 h 14 HYPERLINK l _Toc492332026 3.2.1VLAN划分 PAGEREF _Toc492332026 h 14 HYPERLINK l _Toc492332027 数据中心VLAN划分 PAGEREF _Toc492332027 h 15 HYPERLINK l _Toc492332028 3.2.2二层无环设

4、计 PAGEREF _Toc492332028 h 15 HYPERLINK l _Toc492332029 各个功能分区的区域汇聚交换机和接入交换机 PAGEREF _Toc492332029 h 16 HYPERLINK l _Toc492332030 各个功能分区的防火墙和区域汇聚交换机、区域核心交换机 PAGEREF _Toc492332030 h 16 HYPERLINK l _Toc492332031 3.2.3Spanning-Tree设计 PAGEREF _Toc492332031 h 17 HYPERLINK l _Toc492332032 3.2.4Trunk设计 PAGE

5、REF _Toc492332032 h 18 HYPERLINK l _Toc492332033 3.2.5链路聚合设计 PAGEREF _Toc492332033 h 19 HYPERLINK l _Toc492332034 3.3路由设计 PAGEREF _Toc492332034 h 20 HYPERLINK l _Toc492332035 3.3.1路由协议选择 PAGEREF _Toc492332035 h 20 HYPERLINK l _Toc492332036 3.4QoS设计 PAGEREF _Toc492332036 h 20 HYPERLINK l _Toc49233203

6、7 3.4.1QoS模型和机制 PAGEREF _Toc492332037 h 20 HYPERLINK l _Toc492332038 3.4.2分类和标记 PAGEREF _Toc492332038 h 22 HYPERLINK l _Toc492332039 3.4.3拥塞管理 PAGEREF _Toc492332039 h 25 HYPERLINK l _Toc492332040 3.4.4拥塞避免 PAGEREF _Toc492332040 h 25 HYPERLINK l _Toc492332041 3.4.5QoS实现 PAGEREF _Toc492332041 h 26 HYP

7、ERLINK l _Toc492332042 3.5IP地址规划 PAGEREF _Toc492332042 h 27 HYPERLINK l _Toc492332043 3.5.1地址空间定义 PAGEREF _Toc492332043 h 27 HYPERLINK l _Toc492332044 3.5.2Bit位定义 PAGEREF _Toc492332044 h 27 HYPERLINK l _Toc492332045 3.5.3地址分配规范 PAGEREF _Toc492332045 h 27 HYPERLINK l _Toc492332046 数据中心Bit位分配规范 PAGERE

8、F _Toc492332046 h 27 HYPERLINK l _Toc492332047 功能区Bit位分配规范 PAGEREF _Toc492332047 h 28 HYPERLINK l _Toc492332048 用户定义区Bit位分配规范 PAGEREF _Toc492332048 h 28 HYPERLINK l _Toc492332049 用户地址分配规范 PAGEREF _Toc492332049 h 29 HYPERLINK l _Toc492332050 3.6其他规范设计 PAGEREF _Toc492332050 h 29 HYPERLINK l _Toc492332

9、051 3.6.1端口描述规则 PAGEREF _Toc492332051 h 29 HYPERLINK l _Toc492332052 3.6.2静态路由命名规则 PAGEREF _Toc492332052 h 29 HYPERLINK l _Toc492332053 3.6.3路由条目Tag值定义 PAGEREF _Toc492332053 h 30 HYPERLINK l _Toc492332054 3.6.4HSRP/VRRP分组号分配规则 PAGEREF _Toc492332054 h 30 HYPERLINK l _Toc492332055 3.6.5网络端口速率及双工模式确定 P

10、AGEREF _Toc492332055 h 30 HYPERLINK l _Toc492332056 4DNS设计 PAGEREF _Toc492332056 h 32 HYPERLINK l _Toc492332057 4.1DNS设计原则 PAGEREF _Toc492332057 h 32 HYPERLINK l _Toc492332058 4.2DNS总体设计 PAGEREF _Toc492332058 h 33 HYPERLINK l _Toc492332059 4.3对内DNS设计 PAGEREF _Toc492332059 h 34 HYPERLINK l _Toc492332

11、060 5负载均衡网络设计 PAGEREF _Toc492332060 h 36 HYPERLINK l _Toc492332061 5.1服务器负载均衡设计 PAGEREF _Toc492332061 h 36 HYPERLINK l _Toc492332062 5.2多链路负载均衡设计 PAGEREF _Toc492332062 h 38 HYPERLINK l _Toc492332063 5.2.1入口负载均衡设计 PAGEREF _Toc492332063 h 38 HYPERLINK l _Toc492332064 5.2.2出口负载均衡设计 PAGEREF _Toc49233206

12、4 h 40 HYPERLINK l _Toc492332065 5.2.3应用多点接入全局负载均衡 PAGEREF _Toc492332065 h 40 HYPERLINK l _Toc492332066 6网络安全设计 PAGEREF _Toc492332066 h 41 HYPERLINK l _Toc492332067 6.1网络安全概述 PAGEREF _Toc492332067 h 41 HYPERLINK l _Toc492332068 6.2网络架构安全设计 PAGEREF _Toc492332068 h 41 HYPERLINK l _Toc492332069 6.2.1网络

13、安全等级定义 PAGEREF _Toc492332069 h 42 HYPERLINK l _Toc492332070 6.2.2网络安全域划分 PAGEREF _Toc492332070 h 43 HYPERLINK l _Toc492332071 安全域定义 PAGEREF _Toc492332071 h 43 HYPERLINK l _Toc492332072 6.2.3安全域划分及访问规则 PAGEREF _Toc492332072 h 44 HYPERLINK l _Toc492332073 非安全域 PAGEREF _Toc492332073 h 44 HYPERLINK l _T

14、oc492332074 半安全域 PAGEREF _Toc492332074 h 45 HYPERLINK l _Toc492332075 安全域和核心安全域 PAGEREF _Toc492332075 h 45 HYPERLINK l _Toc492332076 安全域间访问规则 PAGEREF _Toc492332076 h 45 HYPERLINK l _Toc492332077 6.2.4网络安全域边界 PAGEREF _Toc492332077 h 46 HYPERLINK l _Toc492332078 数据中心安全域划分 PAGEREF _Toc492332078 h 47 HY

15、PERLINK l _Toc492332079 7网络架构详细设计 PAGEREF _Toc492332079 h 49 HYPERLINK l _Toc492332080 7.1数据中心核心区 PAGEREF _Toc492332080 h 49 HYPERLINK l _Toc492332081 7.1.1拓扑设计 PAGEREF _Toc492332081 h 49 HYPERLINK l _Toc492332082 7.2业务服务器区 PAGEREF _Toc492332082 h 49 HYPERLINK l _Toc492332083 7.2.1物理架构 PAGEREF _Toc4

16、92332083 h 49 HYPERLINK l _Toc492332084 7.2.2逻辑结构 PAGEREF _Toc492332084 h 50 HYPERLINK l _Toc492332085 7.3网银与外联区 PAGEREF _Toc492332085 h 51 HYPERLINK l _Toc492332086 7.3.1逻辑架构 PAGEREF _Toc492332086 h 51 HYPERLINK l _Toc492332087 7.3.2物理架构 PAGEREF _Toc492332087 h 52 HYPERLINK l _Toc492332088 7.4运维管理区

17、 PAGEREF _Toc492332088 h 52 HYPERLINK l _Toc492332089 7.4.1物理架构 PAGEREF _Toc492332089 h 53 HYPERLINK l _Toc492332090 7.4.2被管设备接入 PAGEREF _Toc492332090 h 53 HYPERLINK l _Toc492332091 7.5广域网接入区 PAGEREF _Toc492332091 h 56 HYPERLINK l _Toc492332092 7.5.1拓扑设计 PAGEREF _Toc492332092 h 56 HYPERLINK l _Toc49

18、2332093 8BGP-EVPN模式SDN设计 PAGEREF _Toc492332093 h 57 HYPERLINK l _Toc492332094 8.1BGP-EVPN简介 PAGEREF _Toc492332094 h 57 HYPERLINK l _Toc492332095 8.2MP-BGP EVPN控制平面概述 PAGEREF _Toc492332095 h 57 HYPERLINK l _Toc492332096 8.2.1MP-BGP EVPN 控制平面的软件和硬件支持 PAGEREF _Toc492332096 h 58 HYPERLINK l _Toc49233209

19、7 8.2.2MP-BGP EVPN中的多租户 PAGEREF _Toc492332097 h 59 HYPERLINK l _Toc492332098 8.2.3MP-BGP EVPN NLRI和L2VPN EVPN地址族 PAGEREF _Toc492332098 h 60 HYPERLINK l _Toc492332099 8.2.4通过MP-BGP EVPN 控制平面提供集成路由和桥接功能 PAGEREF _Toc492332099 h 61 HYPERLINK l _Toc492332100 8.2.5本地主机学习 PAGEREF _Toc492332100 h 62 HYPERLI

20、NK l _Toc492332101 8.2.6EVPN 路由广播和远程主机学习 PAGEREF _Toc492332101 h 62 HYPERLINK l _Toc492332102 8.2.7对称 IRB与不对称 IRB PAGEREF _Toc492332102 h 63 HYPERLINK l _Toc492332103 8.2.8用于桥接域和IP VRF的VNI PAGEREF _Toc492332103 h 66 HYPERLINK l _Toc492332104 8.2.9MP-BGP EVPN中的VXLAN VTEP对等设备发现和身份验证 PAGEREF _Toc492332

21、104 h 68 HYPERLINK l _Toc492332105 8.2.10MP-BGP EVPN中的分布式任意播网关 PAGEREF _Toc492332105 h 70 HYPERLINK l _Toc492332106 8.2.11MP-BGP EVPN中的ARP抑制 PAGEREF _Toc492332106 h 70 HYPERLINK l _Toc492332107 8.3MP-BGP EVPN VXLAN VTEP配置 PAGEREF _Toc492332107 h 71 HYPERLINK l _Toc492332108 8.4MP-BGP EVPN VXLAN中的vPC

22、 VTEP PAGEREF _Toc492332108 h 81 HYPERLINK l _Toc492332109 8.4.1EVPN vPC VTEP概述 PAGEREF _Toc492332109 h 81 HYPERLINK l _Toc492332110 8.4.2EVPN vPC VTEP配置 PAGEREF _Toc492332110 h 81 HYPERLINK l _Toc492332111 8.4.3vPC VTEP MP-BGP 状态和 EVPN 路由更新 PAGEREF _Toc492332111 h 86 HYPERLINK l _Toc492332112 8.5MP

23、-BGP EVPN VXLAN 架构设计 PAGEREF _Toc492332112 h 91 HYPERLINK l _Toc492332113 8.5.1采用MP-iBGP EVPN的VXLAN架构 PAGEREF _Toc492332113 h 91 HYPERLINK l _Toc492332114 网脊层上的MP-iBGP 路由反射器 PAGEREF _Toc492332114 h 92 HYPERLINK l _Toc492332115 叶层上的MP-iBGP 路由反射器 PAGEREF _Toc492332115 h 95 HYPERLINK l _Toc492332116 带专

24、用路由反射器的MP-iBGP PAGEREF _Toc492332116 h 95 HYPERLINK l _Toc492332117 采用MP-eBGP EVPN 的VXLAN 架构 PAGEREF _Toc492332117 h 96 HYPERLINK l _Toc492332118 8.5.2MP-BGP EVPN VXLAN外部路由 PAGEREF _Toc492332118 h 100 HYPERLINK l _Toc492332119 8.5.3通过MP-BGP EVPN VXLAN进行数据中心互联 PAGEREF _Toc492332119 h 110前言银行新数据中心网络项目

25、包括杭州、西安两地三个数据中心网络建设，以统一架构，连接20多个分行及200多个网点，能够稳定可靠安全地满足银行业务所需的各类应用，同时支持不同安全等级，不同访问方式的用户组接入，业务合作伙伴接入。新数据中心网络项目的建设，将从基础设施、系统网络架构、数据架构、应用架构、运维管理、安全管理等方面全面提升银行的IT核心竞争力。作为重要的IT基础服务要素的网络，将建设稳定、安全和高效的网络运行环境，为银行系统的建设保驾护航。网络整体架构网络整体设计原则安全性原则针对各种网络访问需求，构建安全的网络架构，设置统一的安全策略，确保网络承载的业务的运行安全性。设计通过设备异构、安全区划分、规范设备安全配

26、置、部署多种安全防护技术组合等措施，保证网络系统的安全性。高可用性原则根据应用系统的安全生产运维要求，合理规划生产服务器网络区域，减少网络架构中存在的全局故障点分布数量，减低全行信息系统整体运维风险。通过多层次的冗余连接考虑，以及设备自身的冗余支持，使得整个架构在任意部分都能够满足业务系统不间断的连接需求，加强网络可用性。可扩展性原则遵循模块化和层次化设计思路，使网络架构在功能、容量、覆盖能力、性能等各方面具有易扩展能力，以适应快速的业务发展对基础架构的要求。灵活性原则网络规划遵循业界公认的标准，需要制定一个高兼容性网络架构，确保设备、技术的互通和互操作性，方便快速灵活部署新的产品和技术，以适

27、应银行快速、灵活的业务发展对基础架构的要求。易管理性原则网络的规划需要满足充分考虑目前网络运维管理工作中的各种需求，同时也需要满足未来多数据中心统一运营管理的需求。设计层次化、模块化的网络架构，建立独立的运维管理网络，考虑各类运维管理要求，方便未来网络进行管理、故障隔离和日常运维。网络架构设计银行新数据中心网络项目包括杭州双数据中心和西安异地中心，以及通过广域网连接的各个分支机构。杭州双数据中心采用光纤线路互联，形成一个逻辑数据中心。西安数据中心分别与杭州两数据中心互联，形成一个广域网骨干环网。三个中心对外连接Internet，并通过外联网连接外部单位。各数据中心内部包括各类功能组件，满足各类

28、的应用需求：服务器区（生产、信息管理系统、办公）、准生产测试区、网银业务区、外联业务区、办公网络区、广域网互联区以及运维管理区等。杭州双中心网络架构 根据网络需求功能性需求，网络整体架构需要满足应用接入服务、用户接入服务、IP存储服务和管理服务；各功能组件通过网络服务总线连接成一个统一的架构。服务器区：包括生产服务器、生产前置服务器、管理信息服务器和办公服务器等，该服务器区采用一套Fabric组网，通过多租户模式实现各服务器区的安全隔离。准生产测试区：包括准生产服务器、前置服务器等外联区：与第三方外联网络进行互联的区域，包括与外联单位信息交互的前置服务器及必要的安全、网络设备运维管理区：运维管

29、理类应用及运维管理ECC终端，部署在运维管理服务器区；运维管理区包括带外管理网络，满足服务器、网络设备的各类带外运维管理需求，同时满足NAS及备份网络的需求网银业务区：为来自Internet的业务访问提供服务的应用办公网络区：负责接入园区网的各类用户广域网区：银行的各级机构的广域网接入区域，包括数据中心之间的互联网络交换核心区：数据中心的服务总线，负责对各个组件区域的流量进行高速转发杭州双数据中心之间单功能区采用SDN扩展技术进行拓展，实现一套策略，独立控制平面的模式实现。西安数据中心网络架构 西安数据中心架构与杭州数据中心基本一致。功能区采用独立的控制器，策略需人工保持一致。分支机构网络架构

30、分支机构网络包括异地分支机构以及本地分支机构两部分网络。本地所有分支行将统一连接到位于同城两个数据中心的同城广域网汇聚路由器，然后接入数据中心广域网接入路由器。异地分支行将通过统一通过广域网连接杭州西安两个数据中心。异地分支行会有第三方外联单位的外联网络连接，将通过防火墙实现外联单位的安全隔离。数据中心互连核心骨干网架构数据中心间互联骨干网络除承载数据中心间正常的系统运维通信外，还需要考虑存储、备份网络连接，以及双中心运行及中心互备模式下对核心骨干网连接的需求。线路选型设计杭州双数据中心互联线路主要有两种合理选择：租用运营商专线，建立数据中心之间的IP通信网络。租用运营商裸光纤，利用DWDM设

31、备进行光的波分复用，建立数据中心之间的光通信网络。根据银行的数据中心互联网络需求，互联线路既需要支持IP三层，二层以太网通信，又需要支持FC光纤通信，使用DWDM技术的裸光纤线路比较适合现有需求。网络连接、逻辑通道设计为了保证冗余性，杭州双数据中心采用两条裸光纤进行互联，两个数据中心各部署两台DWDM设备提供裸光纤接入。杭州双数据中心的逻辑通道主要有三种类型：FC通道提供两数据中心存储复制和备份；三层以太网通道：数据中心广域网路由器之间的三层互通，满足数据中心骨干网的建立；各Fabric扩展需要的1G/10G链路；IP存储复制通道：满足数据中心间IP NAS及VTL的IP通信及数据复制要求；网

32、络基础设计网络基础服务设计是网络详细设计的重要组成部分，包括网络设备命名设计、交换网络设计、路由设计、QoS设计、IP地址设计、DNS设计、负载均衡网络设计和高可用性设计等。合理的网络基础服务设计，将满足银行对网络环境的需要；并可以兼容现有网络基础服务部署，实现平滑迁移。同时，网络基础服务设计，也将为后续的网络功能区详细设计提供重要指导。网络设备命名设计网络设备的命名规则设计如下：命名采用AAA-BBB-CCCnn 13个字符的命名规则。AAA：3个字位代表一级机构，比如杭州数据中心，西安灾备中心，总行，一级分行，省级管理机构等。BBB：3个字位代表二级机构，二级机构及网点采用各个二级机构现有

33、五位编码的后三位，一级机构内部采用网络功能区域代码。CCC：3个字符代表网络设备所属的网络层次及设备类型。nn：2个字位代表同一种网络类型的设备编号。AAA一级机构标识如下：分行域名简称的命名原则上是使用分行名称拼音的第一个声母组合作为简称，总长度为三个字母。如果名称为两个字，原则上使用第一个字拼音的第一个声母加上第二个字拼音第一个声母加最后一个拼音。四个字以上的分行命名采用第一个、第二个字拼音的第一个声母，加上最后一个字拼音的第一个声母组成。如遇到重名的分行，第二个分行名称的拼音排序可以进行适当调整，总长度保持三个拼音字母，便于区别，无重名为原则。标识用途标识用途DCA杭州A数据中心DCB杭

34、州B数据中心DCC西安C数据中心HZU杭州支行NBO宁波支行WZU温州支行表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 1BBB二级机构或一级机构网络功能区标识如下：用途标识说明网络核心CORCore业务一区BZ1Business Zone1业务二区BZ2Business Zone2业务三区BZ3Business Zone3托管区HSTHosting Zone运维管理区OPMOperation and Management Zone带外管理网OOBOut Of Band network业务互联网区PINProduction Internet Zone办公互联网区OIN

35、Office Internet Zone外联区EXTExtranet Zone业务DMZPDZProduction DMZ办公DMZODZOffice DMZ外联DMZEDZExtranet DMZ广域网区WANWAN Zone园区用户接入区CCACampus Client Access Zone开发测试区TSTDevelopment and Testing Zone透传区LTTLayer Two Transmition Zone分支行业务网PDZProduction Zone分支行办公网OAZOA Zone分支行广域网WANWAN分支行外联区EXTExtranet Zone分支行服务器区SR

36、VServer Zone分支行上网区OINOffice Internet Zone表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 2CCC网络设备所属的网络层次和设备类型标识：用途标识说明核心交换机CSWCore Switch虚拟化下的物理交换机RSWReal Switch区域核心交换机ZCSZone Core Switch区域汇聚交换机ZDSZone Distribution Switch接入交换机ASWAccess Switch广域网接入路由器WRTWAN Router同城汇聚路由器ARTAggregation Router防火墙FWLFirewall全局负载均衡设

37、备GLBGlobal Load Balance本地负载均衡设备LLBLocal Load BalanceVPN网关VPNVirtual Private Network无线控制器WLCWireless Controller无线接入点WAPWireless AP入侵检测设备IDSIntrusion Detection SystemVoice网关VGWVoice GatewayVoice关守VGKVoice Gatekeeper防DDoSDSPDistributed Denial of Service Prevention带宽管理BWMBandwidth Management3A认证设备AAAAut

38、hentication， Authorization， Accounting管理设备（如Cisco管理VDC）MGTManagementDWDM设备WDMWavelength Division Multiplexing接入交换机外置接口模块（Cisco N2K交换机命名）FEXFabric Extenders表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 3设备命名举例：杭州A数据中心核心交换机：DCA-COR-CSW01杭州支行广域网路由器：HZU-WAN-WRT01业务一区设备命名：区域设备类型设备命名业务一区区域核心交换机一DCA-BZ1-ZCS01区域核心交换机

39、二DCA-BZ1-ZCS02防火墙一DCA-BZ1-FWL01防火墙二DCA-BZ1-FWL02区域汇聚交换机一DCA-BZ1-ZDS01区域汇聚交换机二DCA-BZ1-ZDS02负载均衡一DCA-BZ1-LLB01负载均衡二DCA-BZ1-LLB02区域接入交换机一DCA-BZ1-ASW01区域接入交换机二DCA-BZ1-ASW02区域接入交换机三DCA-BZ1-ASW03区域接入交换机四DCA-BZ1-ASW04区域接入交换机五DCA-BZ1-ASW05区域接入交换机六DCA-BZ1-ASW06区域外置接口模块一DCA-BZ1-FEX01（对应该区Fex101）区域外置接口模块二DCA-B

40、Z1-FEX02（对应该区Fex102）交换网络设计VLAN划分VLAN的统一规划，有利于未来VLAN的统一管理和维护。基于银行数据的网络架构，我们将给出相应的VLAN划分建议。VLAN划分，需遵循以下原则：避免使用VLAN 1基于网络的功能分区划分VLAN范围，各个功能分区VLAN ID允许复用对于每个功能区内部，再基于不同的用途进一步划分VLAN不使用VLAN动态注册协议，便于对VLAN定义进行控制；比如，对于Cisco网络设备，VTP使用透明模式网络设备上只定义需要使用的VLAN尽可能避免使用VLAN ID为1000以后的VLAN数据中心VLAN划分VLAN ID说明1保留2-299业务

41、服务区（三个业务区复用）2-299托管区（和业务区复用）2-299开发测试区（和业务区复用）300-599运维管理区600-899外联区600-899业务互联网区（和外联区复用）600-899办公互联网区（和外联区复用）600-899园区网接入（和外联区复用）900-999数据中心核心和各个区域互联1100以上保留表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 4二层无环设计在数据中心各个分区的交换域中，多台物理分布层交换机都可通过虚拟化技术便简化成一台逻辑设备，同时同一交换域中的接入层交换机到不同汇聚层交换机之间的多条链路连接可以采用链路捆绑的方式，将多条物理链路进行

42、跨设备的链路聚合(DLA)，从而变成了一条逻辑链路，增加带宽的同时也提高了可靠性。如下图，采用虚拟化技术后，分布层的两个设备成为了一个单一的逻辑设备，接入设备直接连接到虚拟设备。这个简化后的组网可以不再需要使用二层生成树协议（建议作为备份方式），简化了网络配置。同时依靠跨设备的链路聚合，在成员出现故障时不再依赖二层生成树协议（建议作为备份方式）的收敛，提高了网络性能和可靠性。无二层环路网络在银行数据中心做如下部署：各个功能分区的区域汇聚交换机和接入交换机接入交换机两个上行链路采用链路聚合接入交换机两个上行链路同时传输数据整个架构没有生成树环路可以采用MSTP生成树协议做备份，如果DLA失效，仍

43、然可以采用传统的二层生成树保证架构稳定各个功能分区的防火墙和区域汇聚交换机、区域核心交换机防火墙采用端口绑定模式：防火墙的两个上联及下联端口采用端口捆绑时，区域核心交换机/区域汇聚交换机采用冗余网关VRRP实现“无环”高可用。防火墙Active端口在VRRP Active所在的区域核心交换机上/区域汇聚交换机上。区域核心交换机/区域汇聚交换机连接防火墙的端口为access端口防火墙采用链路聚合方式（跨机箱的链路聚合DLA）防火墙的两个上联及下联端口采用链路聚合时，区域核心交换机/区域汇聚交换机采用跨机箱的链路聚合DLA实现“无环”高可用。Active防火墙两个上联及下联端口“双活”区域核心交换

44、机/区域汇聚交换机连接防火墙的端口链路聚合Spanning-Tree设计生成树协议是二层管理协议，通过有选择性地阻塞网络冗余链路来消除二层环路，同时具备链路的备份功能。生成树协议和其他协议一样，是随着网络的不断发展而不断更新换代。IEEE 802.1D：STP协议IEEE802.1w：快速生成树（RSTP）IEEE802.1S：多生成树MSTP（多实例STP）考虑设备兼容性的因素，建议银行的生成树使用IEEE802.1S，多生成树MSTP协议，满足多厂商设备互联需求。在搭建数据中心间二层透传网络时，可以根据具体的透传互联架构，选取适当的生成树协议，保证二层架构无环路出现。各功能区的区域汇聚层交

45、换机，为接入VLAN的设备提供缺省网关，作为二层交换网络的边界，需要控制每个VLAN生成树协议的根，确保生成树的根位于区域汇聚交换机，而不是接入交换机动态网关协议（VRRP/HSRP）的主/备地址的分布，与生成树协议根桥的部署相一致，MST主根优先级定义为4096，MST备根优先级定义为8192对服务器、客户端直接接入的端口，定义Portfast、BPDU Guard、BPDU Filter，优化接入端口的配置建议在所有光纤端口上启用单向链路检测(UDLD)，应对网络设备互连的单向链路故障，Loop guard在RP(designated port)接口启用，不启用Root Guard特性Tr

46、unk设计Trunk设计，需遵循以下原则：Trunk统一采用dot1q协议Trunk两端的native-vlan一致Trunk中只允许需要的VLAN被Trunking网络设备之间的trunking允许本区域内规划内VLAN被trunking网络设备与服务器之间如果需要设置trunk，必须精确按需进行裁剪，不允许按范围裁剪。Trunk两端接口的Speed和Duplex设为一致Trunk在数据中心各个功能分区的部署位置区域汇聚交换机和接入交换机之间的链路区域汇聚交换机和本地负载均衡设备之间的链路区域汇聚交换机之间链路区域核心交换机之间链路链路聚合设计链路聚合设计，需遵循以下原则：链路聚合内的所有端

47、口都使用相同协议LACP，并使用Active模式链路聚合内的所有端口都必须配置到相同的接入Vlan中，或者配置到具有相同Vlan许可列表和相同native Vlan的Trunk中链路聚合中所有端口的速率和Duplex设为一致链路聚合连接端口上启用EtherChannel Guard功能，防止链路聚合的误配置链路聚合在数据中心各个功能分区的部署位置区域汇聚交换机和接入交换机之间的链路区域汇聚交换机和本地负载均衡设备之间的链路区域汇聚交换机和防火墙设备之间的链路区域汇聚交换机之间链路区域核心交换机之间链路区域核心交换机和防火墙之间链路路由设计路由协议选择对路由协议的选择，需要从以下几个方面进行考虑

48、：可扩展性：需考虑数据中心和灾备中心内部，各数据中心和灾备中心之间，以及中与分支机构的广域网连接的路由扩展性。支持路由隔离：为防止路由局部振荡导致对全网的影响，选择的广域网路由协议要能够隔离不同的路由层次协议开放性：路由协议选择需要遵循协议标准开放的原则，避免使用私有路由协议，满足兼容性和扩展性要求可平滑迁移性：对路由协议的选择必须考虑能够平滑过渡，减少设备投资下表对各个路由协议做了简要的比较分析：路由协议优点需要注意的问题OSPF开放的路由协议支持中等规模的网络路由收敛较快对数据路径的控制手段较弱路由负载均衡能力弱EIGRP支持较大规模的网络路由收敛路由收敛较快私有路由协议BGP开放的路由协

49、议支持大规模的网络对数据路径的控制手段强需要较高的维护技能静态路由配置简单不适合大规模网络容易形成路由环路表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 5QoS设计QoS模型和机制传统IP网络的尽力服务，不可能识别和区分网络中的各种通信类别；Quality of Service （服务质量）机制，是用来保证应用数据流对网络带宽、传输时延、时延抖动和丢包率要求的技术；应用QoS技术，能够保证重要应用在网络中的传输性能；通常有以下两种服务模型。Integrated Service（综合服务体系）这种服务模型在发送报文前，需要向网络申请特定的服务。这个请求是通过信令来完成的

50、。应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、时延等，应用程序一般在收到网络的确认信息，即确认网络已经为这个应用程序的报文预留了资源后，才开始发送报文。同时应用程序发出的报文应该控制在流量参数描述的范围以内。Differentiated Service（区分服务体系）与Integrated Service模型不同，这种服务模型在发出报文前，它不需要通知网络设备为其预留资源，不需要为每个数据流维护状态。通常在网络设备上根据某一业务的服务质量要求，将该业务映射到一定的业务类别之中，随后利用IP分组中的字段唯一地标志这一业务所需的服务类别；网络中的各个节点将依据该字段对各

51、种业务类别采取预先设定好的服务策略，保证相应的吞吐量、传输时延、时延抖动和丢包率等服务质量参数。考虑Differentiated Service模型实现的可扩展性，建议银行采用这种服务模型，并通过分类（Classification）、标记（Marking）、拥塞管理（Queuing）、拥塞避免（Dropping）等机制实现QoS。图 STYLEREF 1 s 3 SEQ 图 * ARABIC s 1 1其中：分类（Classification）：网络中的不同控制点对数据包进行分类，可以根据输入端口、MAC地址、源/目的IP地址、IP协议或应用端口号等对数据流进行分类标记（Marking）：分类

52、后的数据流，需要进行相应的标记，然后通过对数据包标记的匹配，完成相应的QoS控制策略。通常对数据包进行标记的方式有DSCP，IP Precedence和MPLS EXP等流量监管（Traffic Policing）：典型作用是限制进入某一网络的某一连接的流量与突发。在报文满足一定的条件时，如某个连接的报文流量过大，流量监管就可以对该报文采取不同的处理动作，例如丢弃报文，或重新设置报文的优先级等流量整形（Traffic Shaping）的典型作用是限制流出某一网络的某一连接的流量与突发，使这类报文以比较均匀的速度向外发送拥塞管理：将报文进行分类，送入不同的队列（Queue），通过队列调度对不同优

53、先级的报文进行分别处理，通常使用的队列技术包括FIFO、PQ、CQ、CBWFQ、LLQ等拥塞避免：丢弃（Dropping）是实现拥塞避免的技术。通过监视网络流量负荷，可预测和避免网络瓶颈处发生的拥塞。通常有尾部丢弃（Tail Dropping）和加权随机早期侦测（Weighted Random Early Detection）等方式分类和标记应用分类是QoS实现的基础，根据我们对银行应用系统的理解，建议将应用系统分为如下七类：关键应用：银行核心的柜面业务，自助终端等应用，业务对带宽需求量稳定，需要保证数据的优先传输应用体系应用系统名称英文简称核心账务体系核心账务系统BaNCS核心应用前置系统B

54、AFE综合业务系统（老核心）CBSB核心应用辅助系统BASS服务支撑体系支付密码系统PPS加密平台ESSC指纹认证系统IFPA渠道体系网点平台（综合前端）系统IFES语音应用：VoIP类应用，对延时和抖动要求较高视频应用：视频会议类应用，对延时和抖动要求较高交互应用：需要双向交换信息，对实时性要求较高，数据流量变化不大的非办公业务；例如各种非办公的http和https应用等应用体系应用系统名称英文简称业务处理体系外汇资金中/后台系统外汇资金管理系统FFMS国际结算系统ISS外汇支付清算系统FPSS代客外汇买卖系统VFTS个人信贷业务系统PLS对公信贷管理系统CMIS理财产品管理系统FPMS企业

55、集团现金管理系统CMSEG商业汇票系统ECDS中间业务系统MBS储蓄国债业务系统SBBS电子商务系统EPAY外汇牌价服务系统FQE操作型客户关系管理系统OCRM基金销售系统FSS综合理财平台CWMP国库单一账户系统TSAS服务支撑体系企业级客户信息系统ECIF对账单系统ASS验印系统CCS短信平台SMSP流程处理平台FPP影像平台系统VSP渠道体系ATMP系统ATMP自助设备平台系统CPCM电子回单自助打印系统ERB客服系统CSS基础平台体系企业服务总线ESB管理决策类：与交互类业务相独立的，对实时性要求不高，单向数据传输量大且数据流量变化很大的非办公业务应用体系应用系统名称英文简称业务处理体

56、系管理客户端MCS理财资产管理系统FAMS服务支撑体系制卡系统CARDMS管理信息体系SAP财务系统SAP风险预警系统EORWS审计系统AUDIT人力资源系统HR基础平台体系数据交换平台CD数据仓库及其应用体系反洗钱系统AMLS企业级数据仓库EDW操作型数据存储系统ODS历史数据存储系统HDS分析型客户关系管理系统ACRM报表系统RPS企业征信系统CCISPOS监控系统POSMS资产负债管理系统ALM办公应用：所有办公类的应用，例如邮件、Internet浏览等其他应用：除上述应用外的其他所有应用应用类别重要性实时性时延敏感性流量优先级关键应用高高 高 中 高语音应用中高 高 中 高视频应用中高

57、 高 高 高交互应用 中高 中 中 高办公应用中中 低 高 中批量应用中低 低 高 中其他应用低低 低 高 低表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 6建议采用DSCP对数据包进行标记，DSCP采用IPv4报头中的6个Bit来定义服务水平，其中：EF：表示Expedited Forwarding，为最高服务级别AF：表示Assured Forwarding，可以根据不同服务要求，定义不同的服务级别BE：表示Best Effort，一般用于缺省的服务级别基于上述对银行应用应用的分类和分析，我们建议的数据包标记如下：应用类别优先级DSCP定义关键应用高EF语音应用高

58、AF41视频应用高AF42交互应用 高AF31办公应用中AF21批量应用中AF11其他应用低BE表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 7拥塞管理对于拥塞的管理，一般采用队列技术，使得报文在路由器中按一定的策略暂时缓存到队列中，然后再按一定的调度策略把报文从队列中，取出在接口上发送出去。在对银行的应用数据流进行了分类和标记之后，我们将采用LLQ（低延迟排队）队列技术，为不同的应用类别分配不同的网络带宽。应用类别DSCP定义队列关键应用EFCBWFQ语音应用AF41PQ视频应用AF42交互应用AF31CBWFQ办公应用AF21CBWFQ批量应用AF11CBWFQ其

59、他应用BEDefault表 STYLEREF 1 s 3 SEQ 表 * ARABIC s 1 8LLQ队列技术，是在CBWFQ（加权公平排队）基础上，增加一个PQ（严格优先级队列）；针对银行的应用分类，我们对语音和视频应用这类时延敏感性应用，采用严格优先级队列，保证其在所给定的带宽限额内优先发送；而对其他类应用，分别采用加权公平排队，保证不同的网络带宽。拥塞避免丢弃（Dropping）是实现拥塞避免的技术。通过监视网络流量负荷，可预测和避免网络瓶颈处发生的拥塞。按照传统的Tail Dropping（尾部丢弃）的处理方法，当队列的长度达到规定的最大长度时，所有到来的报文都被丢弃。对于TCP报文

60、，如果大量的报文被丢弃，将造成TCP超时，从而引发TCP的慢启动，使TCP减少报文的发送。当队列同时丢弃多个TCP连接的报文时，将造成多个TCP连接同时进入慢启动，形成TCP全局同步，从而造成TCP报文的流量总是忽大忽小。采用加权随机早期检测WRED（Weighted Random Early Detection）的报文丢弃策略，可以根据报文的IP优先级，设定队列的不同阈值（Threshold），当队列的长度小于低阈值时，不丢弃报文；当队列的长度在低阈值和高阈值之间时，WRED开始按照一定的概率随机丢弃报文；当队列的长度大于高阈值时，将丢弃此队列的所有报文。WRED策略的采用，将避免多个TCP