XX银行数据中心网络详细设计方案

XX数据中心详细规划设计方案XX数据中心详细规划设计方案XX银行数据中心网络详细设计方案XX银行数据中心详细规划设计方案XX银行数据中心详细规划设计方案TOC\o"1-5"\h\zXX银行数据中心详细设计方案 1.前言 5\o"CurrentDocument"文档目的 5\o"CurrentDocument"文档范围 5\o"CurrentDocument"目标读者 5\o"CurrentDocument"编写背景 6\o"CurrentDocument".工程设计概述 6\o"CurrentDocument"工程设计范围 7全辖新建网络： 7新建数据中心： 7扩展现有网络： 7\o"CurrentDocument"工程设计原则 7满足应用需求 7高可用性及稳定性 8统一性和易于管理 8良好的扩展性 8最佳实践 8\o"CurrentDocument"工程设计方法 9PPDIOO方法论 9工作流程及路线图 10\o"CurrentDocument".数据中心网络架构 10\o"CurrentDocument"拓扑设计 11整体拓扑架构 11生产中心网络拓扑 12生产中心区域拓扑 12核心交换区 12网银区 12核心前置区 13核心业务区 13准生产区 14开发测试区 14ECC区 15联区 15广域网区 16同城灾备中心网络拓扑 17核心交换区 17核心前置区&核心业务区 18ECC区 18开发测试区 18外联区 19广域网区 20异地灾备中心网络拓扑 21IP地址规划 21规划原则 21IP地址规划方案 22总体分配方案 23数据中心业务IP地址总体分配方案 23数据中心办公IP地址总体分配方案 23分支行以及网点业务IP地址总体分配方案 23分支行以及网点办公IP地址总体分配方案 23具体分配方案 24生产中心业务IP地址具体分配方案 24生产中心办公IP地址具体分配方案 29同城灾备中心业务IP地址具体分配方案 29同城灾备中心办公IP地址具体分配方案 29分行生产网IP地址具体分配方案 31分行办公网IP地址具体分配方案 32支行生产网IP地址具体分配方案 33支行办公网IP地址具体分配方案 33\o"CurrentDocument"路由设计 34路由协议选择 34数据中心网骨干网路由设计 35骨干网描述 35BGP自治系统编号设计 36BGP路由策略 36BGP通用设计原则 38分行通讯策略 38数据中心路由设计 38OSPF区域划分 39OSPF路由/交换边界 39OSPF通用设计 39OSPF带宽设计 40数据中心网分行路由设计 40OSPF区域和边界划分 40分行OSPFAREA编号设计 41分行OSPF通用设计 41分行网络OSPF带宽设计 42数据中心网接入网路由设计 42整体路由拓扑设计 43\o"CurrentDocument"3.4灾备网络规划 44灾难备份的定义 44备份中心建设 45将来的多中心建设 46灾备网络建设目标 46应急预案 47灾备环境中服务器IP地址问题 47\o"CurrentDocument"3.6交换设计 48交换域设计 48交换接口设计 48VLAN设计 50VLAN1设计 50EC设计 50TRUNK设计 51VTP设计 513.4.2生成树设计 52生成树协议 52数据中心STP设计 52关于生成树计时器和直径 52UplinkFast 52BackboneFast 53PortFast 53BPDUGuard 53QoS规戈I 53规划原则 53银行网络采用的QoS模型 53分类和标记技术 54网点和分行间QoS规划 55分行和数据中心间QoS规划 55网络设备安全 55关闭不必要的网络服务 56启用关键服务 56TCPKeepalives 56网络时间协议-NTP 57核心信息转储-CoreDumps 57登陆提示 57系统日志 57调整系统默认配置 58密码设置 58SNMP网管协议 58远程登陆空闲时间 58设备的访问控制 59Console/Aux控制端口 59VT64虚拟终端远程访问 59SNMP网管协议访问 59设备的登陆认证、授权和审计 60简单的登陆密码和特权密码 60设备本地存放的用户数据库中存放用户名密码 60AAA认证 603.6.6进一步建议 61防火墙设计 62防火墙概述 62防火墙模式 62防火墙模式选择 62高可用性（HA）设计 62设备冗余 62引擎冗余 63电源冗余 63模块和端口的冗余和分布 63拓扑冗余 63网关冗余 63链路冗余 63交换冗余 63路由冗余 63网络资源命名和描述 65设备命名规则 65接口描述部分 66设备标签 66物理跳线的描述 661.刖百文档目的本文档通过XX银行业务发展需求和网络现状的全面分析，对满足XX银行未来三至五年发展要求的网络基础架构进行整体规划，范围涵盖数据中心网络、备份中心网络、分行网络、网点网络、骨干网络等各个网络类型做了相应规划。编写本文档旨在为XX银行未来网络建设和发展提供重要参考依据和决策依据，为今后XX银行网络建设的标准化工作起到指导作用。文档范围本文档作为XX银行网络规划咨询项目网络整体规划总体方案，涵盖了如下内容:数据中心网络网络架构网络安全规划目标读者本文档的阅读对象包括但不限于：XX银行信息技术部和各级其它部门的网络规划、管理、运营和维护人员、领导，以及其他网络、应用相关的工作人员和有需求的第三方人员。编写背景珠海XX银行成立于1996年12月，是珠海市唯一一家具有法人资格的银行机构。2009年4月，珠海市政府、XX股份有限公司与珠海市商业银行重组成功， XX股份成为珠海商行第一大控股股东。重组成功给珠海XX银行注入了新的活力，各项经营和风控指标均达到历史最好水平。截止2010年末，珠海XX银行总资产达到166亿元，各项存款、各项贷款均有较快增长。目前，拥有49家支行和1家总部营业部。主要业务有：公司业务、零售业务和金融市场业务等。2010年，珠海XX银行通过制定战略，进一步清晰了未来五年发展规划，在打造核心能力的基础上，逐步建立差异化竞争优势和可持续发展的商业模式。随着战略落地、流程银行再造、核心系统建设和品牌建设，珠海 XX银行将不断提升综合竞争力，不断提升资产质量，提高风险管理水平，将借助XX集团的品牌和产业优势，坚持创新发展，建立专业专长，走差异化发展之路，为客户提供高品质金融服务，成为客户首选成长伙伴，成为一流特色银行。目前的XX银行网络是从珠海商业银行原有的网络过渡过来的，随着XX银行业务应用的快速发展，XX银行网络也急需在原有网络基础上进一步进行规划、发展、建设。在这个过程中，需要对目前的网络进行调研分析，对XX银行将来3-5年的网络进行规划，以适应XX银行发展的需要。.工程设计概述XX银行数据中心网络建设是XX银行整体发展蓝图的重要组成部分，华讯在XX银行数据中心网络设计中得到了XX银行数据中心相关部门的明确指导和大力支持，目的是在统筹考虑XX银行全行业务需求和发展的基础上，兼顾远期发展目标，支持XX银行数据集中工程的要求，建设XX银行全国信息中心的核心网络，作为XX银行核心业务稳定、安全和高效运行的基础平台。工程设计范围根据XX银行数据中心建设的要求，本工程设计主要涵盖以下内容：全辖新建网络：网络整体架构设计，IP地址设计，路由规划设计；新建数据中心：生产中心、同城灾备中心、异地灾备中心3个数据中心规划生产中心园区网规划同城灾备中心园区网规划骨干网络总体规划网络管理网络安全QoS设计扩展现有网络：数据中心现有网络扩展和骨干网扩展工程设计原则结合华讯在全国丰富的大型数据中心网络的设计经验， 努力了解并充分理解XX银行数据中心业务的需求，在设计XX银行数据中心网络基础架构时，强调方案的整体性，考虑网络的高性能、高可靠性、可管理性和可扩充性等诸多方面，以满足XX银行未来数据集中和业务发展。在方案设计中强调并认真遵循以下设计原则：满足应用需求XX银行数据中心网络服务于全行应用业务系统和用户。本设计在充分理解 XX银行数据中心应用系统、业务数据流以及用户访问模式的前提下，综合考虑业务永续性、安全控制策略、网络层负载均衡等应用需求，进行细致的网络设计与规划。高可用性及稳定性网络的稳定可靠是业务系统健康运行的重要条件之一，所以对网络整体架构的高可用性和高可靠性设计必须考虑全面。网络架构必须能够达到业务系统对服务级别的要求，并且通过多层次的冗余考虑，使得整个网络架构能够满足业务系统不间断稳定运行的需求，同时实现网络层面的灾难恢复。统一性和易于管理XX银行网络的架构、规划和管理（包括生产数据中心、同城备份中心、异地灾备中心的网络）都建立在"个整体”的基础之上。整体设计过程中需充分考虑网络架构的易于管理性，网络设计的简单化直接关系到网络的运行和维护成本，也是网络稳定运行的保障，并提供及时迅速发现和排除网络故障的能力。良好的扩展性网络良好的扩展性来自于良好的设计。在XX银行数据中心网络设计中，采用业务功能模块化和网络拓扑层次化的设计方法，使得网络架构在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速发展的业务对网络基础架构的要求，为XX银行数据中心向更大规模扩展奠定坚实的基础：?业务功能模块化设计：充分考虑各个功能模块的特点和要求，最大化每个功能模块的接入能力，并能够有效保证网络的稳定性、安全性和扩展性。?网络拓扑结构层次化把整个数据中心网络分为三个层：核心层、分布层和接入层，各个层次完成各自的功能和任务并相互协同工作，最大化地保证了网络的稳定和良好的扩展性。?遵循业界公认的标准制定一个高兼容性网络架构，确保设备、技术的互通和互操作性，支持网络、节点的扩展，方便快速部署新的产品和技术，以适应业务的快速增长。最佳实践参考目前国内外数据中心网络建设中普遍采用的网络架构，设计 XX银行数据中心网络时，保持技术上具有总体先进性和开放性；同时，必须考虑成熟性、稳定性与先进性相结合，保证XX银行数据中心网络稳定有效的前提下具有一定的前瞻性。设计中将有效的把思科网络的各种最佳实践灵活地应用到 XX银行数据中心中

来，从而有效保证了XX银行数据中心整个网络的高可靠性、高性能、高安全性和灵活的扩展性。工程设计方法PPDIOO方法论在企业的IT建设及未来的运营管理阶段，PPDIOO方法论应彳为企业IT建设特别是基础架构建设的核心思路和工作方法。专业服务模型(PPDIOO提供了一整套端到端的和主动的咨询与技术服务，分别与企业IT运营生命周期的每个阶段相对应：准备(Preparation)、规划(Planning)、设计(Design)、实施(Implementation)、运行(Operation)和优化(Optimization),如下图所示：业需分析、管理报范与璜目疑划讲曰设计运营现状分析舌律期专求送学管理古甘运千方案宾梅耳趾染何的运营与霍努管捶碣林司京阳学估廷mu若项日曰理随宫培涌信昌安皇警理熨至皿£砰骸安量瘦术现状件估设蚌安全买提计助安韭片号业需分析、管理报范与璜目疑划讲曰设计运营现状分析舌律期专求送学管理古甘运千方案宾梅耳趾染何的运营与霍努管捶碣林司京阳学估廷mu若项日曰理随宫培涌信昌安皇警理熨至皿£砰骸安量瘦术现状件估设蚌安全买提计助安韭片号?准备(Preparation)：提供符合未来业务和技术展望的企业网络规划咨询服务?规划(Planning)：提供当前架构性能的评估和测试、未来架构规划和评估服务?设计(Design)：提供解决相互矛盾的设计指标、发现并缓解潜在网络瓶颈?实施(Implementation)：提供确保设计和部署能够实现网络价值和功能的服务?运行(Operation)：提供投资保护服务，使每台设备正常运行?优化(Optimization)：提供发挥网络最高性能的服务IT生命周期服务模型把各种服务方案结合到一个实际程序中以帮助企业实现他们的业务目标。根据公司特有的运行、维护和网络级别要求，每个企业都将有自己的专用生命周期模式程序。工作流程及路线图在PPDIOO方法论框架的指引下，从IT建设各个项目的实际出发，应采用行之有效的网络资源整合的方法论来开展，如下图所示:项目实施具体工作流程如下：（网络实施）1）和IT部门的领导以及高级网络设计工程师访谈;2）收集技术、流程、工具和架构文档及模板；3）评估及记录当前状态，形成网络评估报告；4）概述来实现业务和可用性目标的推荐计划；5）准备一个可实现的愿景及相关的路线图。.数据中心网络架构拓扑设计XX银行数据中心网络整体架构按照核心层、分布层、接入层进行层次化设计，根据不同层次功能定位，按照功能区划分应用，模块化部署。各层次功能定位如下:?接入层：设备接入，最终用户入口；?分布层：接入层汇聚、路由汇聚、策略控制和可能的广域网接入;?核心层：分布层汇聚、核心路由、全速转发数据；整体拓扑架构华润银行两地三中心网络架构图在设计网络架构中，珠海电信托管的IDC将作为主的生产中心承担主要的数据转发以及应用承载；九州大道同城备份中心提供生产中心的应用级数据备份，两个中心DWDM裸光纤进行互通，异地灾备中心在目前的规划中只作为数据转发冗余路径使用，将来该中心会建设成数据级的备份中心。生广中心网络拓扑N7KJ N7K-2[DC核心交换区同城宓务中心核心业务区核心前置区测试开发区管理ECC区N7KJ N7K-2[DC核心交换区同城宓务中心核心业务区核心前置区测试开发区管理ECC区生产中心为XX银行的主数据中心，负责提供XX银行所有对内对外的业务数据交互生产中心区域拓扑核心交换区核心区由一组高性能交换机组成，用于各区域数据的高速交换和转发。本次生产中心的核心交换通过两台N7K承担。网银区网银区业务主要访问业务区服务器，规划中网银区通过一组防火墙连接到业务区核心交换机。

电信联通核心前置区核心前置区是数据中心核心区域。业务区部署两台高性能交换机做该功能区域核心层/分布层交换机，部署接入层交换机用于业务服务器接入。 核心层和汇聚层合并由一组交换机实现。生产区安全级别最高，部署一组 HA防火墙进行安全控制核心业务区业务区运行核心业务系统以及其他关键应用系统，是数据中心核心区域。业务区部署两台高性能交换机做该功能区域核心层/分布层交换机，部署接入层交换机用于业务服务器接入。核心层和汇聚层合并由一组交换机实现。生产区安全级别最高,部署一组HA防火墙进行安全控制

准生产区业务系统试运行后，将进入到准生产阶段。准生产阶段能有效的保证业务的顺利上线，准生产区部署两台中性能交换机做该功能区域核心层/分布层交换机，部署接入层交换机用于业务服务器接入。核心层和汇聚层合并由一组交换机实现，部署一组HA防火墙进行安全控制LS-512C-24P-ET-H3LS-5I2D2”EIH3LS-512O-24P-EI*H3 LS-5120-24PEI开发测试区测试区用于各种应用开发测试。由于测试目的的不同，有可能开发人员需要进入到生产区设备，获取相关权限后进行相关测试工作。测试区部署一组中等性能交换机，用于各种测试终端接入。测试区通过防火墙和核心区连接，该组防火墙可以控制测试人员对数据中心核心区域的访问，并具有审计功能

LS51202LPEI113LS512021PEI1I3LS512024T£1】13LS51202LPE1那3.1.3.9ECCM通过ECC区对数据中心应用系统进行监控，主要是业务操作终端接入。业务操作终端通常在银行数据中心ECC（企业总控中心）。业务操作区考虑为一组中端交换机，部署一组HA防火墙进行安全控制LS51202LTEIU3LS512021PEIJI3LS512024P£1J]3LS512024TElI培3.1.3.9外联区外联区为数据中心统一外联平台，第三方单位（包括金融机构和企业）都通过外联区和XX银行数据中心连接。外联区规划一个外联前置区（也称外联DMZ区），所有外联前置服务器都部署在外联前置区。不同类型外联前置可以通过VLAN进行隔离。设置外联前置区是

为了避免外联单位直接访问数据中心内网服务器，防止可能引发的攻击和病毒的扩散，保证核心系统不受影响。外联前置区直接和内部网通讯，因此必须进行严格的安全访问控制，并采取入侵检测、安全审计等技术手段对外联前置区进行整体、综合的安全防护，提高整个系统的安全性。外联前置区部署两台中端性能交换机。在这道防火墙上，配置IP地址转换（NAT/PAT）,隐藏XX银行内部地址，在外联区限制外联单位的地址和路由进入XX银行内部网络，达到安全防护的作用。外联区部署外联路由器和第三方单位连接，同时外联路由器统一汇接到外网交换机上，外联路由器和外网交换机之间为三层路由连接，可配置动态路由协议，实现外联线路的冗余备份。后期可根据预算等情况部署异构防火墙优化其数据流以及增加其安全性。小中5尸口匚,"HT-KSR3040-AC-H3RT-KSit3O40-AC-H3外联路由器区外联ATP区域小中5尸口匚,"HT-KSR3040-AC-H3RT-KSit3O40-AC-H3外联路由器区外联ATP区域3.1.3.10广域网区3.1广域网接入区分为三个子区域，分别为珠海网点接入区、分行接入区、数据中心互联区。广域网区虽然接入的是内部机构，但为了控制进入数据中心核心区域的数据，规划中部署一组HA防火墙，骨干网区通过防火墙接入核心区将来随着XX银行银行海外服务网络拓展，在境外设立海外分行，此时海外分行也存在接入到数据中心的需求。在骨干网接入区规划出海外分行接入区，以满足将来海外分支机构的接入需求。RT-Sfi66C4 RI-MSR3020ftTMSR302CRI5RJW1RT-Sfi66C4 RI-MSR3020ftTMSR302CRI5RJW1同城灾备中心网络拓扑核心前置区管理ECC区测试开发区准牛：产区核心前置区管理ECC区测试开发区准牛：产区同城灾备中心为生产中心的应用级备份中心，在同城灾备中心部署的区域架构和生产中心类似核心交换区核心区由一组高性能交换机组成，用于各区域数据的高速交换和转发。本次同城备份中心的核心交换通过两台N5K承担。

核心前置区&核心业务区业务区运行核心业务系统以及其他关键前置系统，是数据中心核心区域。为生产中心的备份，业务区部署两台高性能交换机做该功能区域核心层 /分布层交换机,部署接入层交换机用于业务服务器接入。核心层和汇聚层合并由一组交换机实现。生产区安全级别最高，部署一组HA防火墙进行安全控制小#1IL-*1ECCM通过ECC区对数据中心应用系统进行监控，主要是业务操作终端接入。业务操作终端通常在银行数据中心ECC（企业总控中心）。业务操作区考虑为一组中端交换机，部署一组HA防火墙进行安全控制LS51202LPEILI3LS512021TEI-113LS512024P£1H3LS512021PEI跄开发测试区测试区用于各种应用开发测试。由于测试目的的不同，有可能开发人员需要进入到生产区设备，获取相关权限后进行相关测试工作。测试区部署一组中等性能交换机，用于各种测试终端接入。测试区通过防火墙和核心区连接，该组防火墙可以控制测试人员对数据中心核心区域的访问，并具有审计功能LS5120airEI113LS512021?EI113LS24PEIJ]9LS512021PEIM外联区外联区为数据中心统一外联平台，第三方单位（包括金融机构和企业）都通过外联区和XX银行数据中心连接。外联区规划一个外联前置区（也称外联DMZ区），所有外联前置服务器都部署在外联前置区。不同类型外联前置可以通过VLAN进行隔离。设置外联前置区是为了避免外联单位直接访问数据中心内网服务器，防止可能引发的攻击和病毒的扩散，保证核心系统不受影响。外联前置区直接和内部网通讯，因此必须进行严格的安全访问控制，并采取入侵检测、安全审计等技术手段对外联前置区进行整体、综合的安全防护，提高整个系统的安全性。外联前置区部署两台中端性能交换机。在这道防火墙上，配置IP地址转换（NAT/PAT）,隐藏XX银行内部地址，在外联区限制外联单位的地址和路由进入XX银行内部网络，达到安全防护的作用。外联区部署外联路由器和第三方单位连接，同时外联路由器统一汇接到外网交换机上，外联路由器和外网交换机之间为三层路由连接，可配置动态路由协议，实现外联线路的冗余备份。后期可根据预算等情况部署异构防火墙优化其数据流以及增加其安全性。

RT-MSR3(M0-AC-H3RT-KSR3O40-AC-H3广域网区广域网接入区分为三个子区域，分别为珠海网点接入区、分行接入区、数据中心互联区。广域网区虽然接入的是内部机构，但为了控制进入数据中心核心区域的数据，规划中部署一组HA防火墙，骨干网区通过防火墙接入核心区。将来随着XX银行银行海外服务网络拓展，在境外设立海外分行，此时海外分行也存在接入到数据中心的需求。在骨干网接入区规划出海外分行接入区，以满足将来海外分支机构的接入需求。异地灾备中心网络拓扑由于异地灾备规划暂不在本次网络扩容计划内，异地灾备中心网络较为简单，主要作为数据转发用IP地址规划规划原则IP地址规划原则：考虑长远：IP地址规划一定要考虑长远，一定不能满足于当下，需要在对未来业务发展做充分考虑的情况下，进行IP地址规划。尽量避免今后需要修改地址，甚至启动相关工程项目来进行IP地址调整。好的地址规划将为将来银行网络发展带来极大地便利。IP地址资源以地域划分、行政隶属关系和业务种类为层次，分割为大小不同、用途各异的地址块单元；唯一性：一个IP网络中不能有几台主机采用相同的IP地址；按需分配：充分利用网络地址资源和信息资源，可根据实际需要分配地址，避免不必要的地址空间的浪费；简单性：地址分配应简单、易于管理，降低网络扩展的复杂性，减少路由表的路由条数；连续性：连续地址在层次结构网络中易于进行路由汇总，大大缩减了路由表，提高路由算法的效率。可扩展性：地址分配在每一个层次都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性；灵活性：地址分配应具有灵活性，以满足各种路由策略的优化，充分利用地址空问；可管理性：便于制定统一的网络管理策略，实现统一的网络管理；便于网络安全策略的实现；总行、数据中心、分行局域网内不同类型的应用使用不同子网的IP地址，以便于不同的应用使用不同的路由策略和安全策略。IP地址规划方案XX银行全网分成4个大的A类地址网段：数据中心业务类地址——采用10.0.0.0/8,所有的业务类区域使用这类地址；数据中心办公类地址一一采用30.0.0.0/8,所有的办公类区域使用这类地址；分支行业务类地址一一采用20.0.0.0/8,所有的业务类区域使用这类地址；分支行办公类地址一一采用21.0.0.0/8,所有的业务类区域使用这类地址；每个网络节点分配连续可汇总地址块，分配业务类地址和办公类地址。需进行地址分配的网络节点有：数据中心、同城备份中心、异地备份中心、分行、网点，总行办公大楼。在网络层面：一级分行和二级分行看做分行一级支行和二级支行看成网点附行式自助银行从所在网点分配的业务类地址段中获取地址， 包括ATM、存取款机、非现金自助服务终端等设备；离行式自助银行当做普通网点看每个分行分配一个业务B类地址和办公B类地址；每个支行分配一个/24掩码长度的业务类地址段和办公类地址段每个ATM网点分配一个/28掩码长度的地址段网络节点之间互联地址分配：数据中心、同城备份中心、异地备份中心之间三层互联地址从预留地址块(10.193.8.0/21)中获取地址分行和生产中心之间互联地址、分行和同城备份中心之间的三层互联地址从预留地址块(10.193.240.0/20)中获取地址网点和分行之间三层互联地址，从分行地址块中获取地址网络设备之间互联地址分配:数据中心核心区和其它区域互联地址，从数据中心地址块中获取地址，该地址不归属数据中心任何区域；同城/异地备份中心类似。区域内网络设备互联地址，从该区域地址块中获取地址总体分配方案数据中心业务IP地址总体分配方案分配位置IP地址备注生产中心10.192.0.0/8---10.223.0.0/8共32个B网段，用于数据中心同城备份中心10.224.0.0/8---10.239.0.0/8共16个B网段，用于同城灾备中心异地备份中心10.241.0.0/8---10.247.0.0/8共8个B网段，用于异地灾备中心〈预留〉10.0.0.0/8---10.191.0.0/8闲置网段，防止与并购机构 IP冲突数据中心办公IP地址总体分配方案分配位置IP地址备注生产中心30.0.0.0/8---30.31.0.0/8共32个B网段，用于数据中心同城备份中心30.32.0.0/8---30.63.0.0/8共32个B网段，用于同城灾备中心异地备份中心30.64.0.0/8---30.96.0.0/8共32个B网段，用于异地灾备中心〈预留〉30.97.0.0/8---30.255.0.0/8闲置网段分支行以及网点业务IP地址总体分配方案分配位置IP地址备注分行20.X.0.0/16---20.X.63.0/16共64个C网段，用于分行，每个分行采用64个C网段支行20.X.128.0/16---20.X.255.0/16共128个C网段，用于支行，每个支行1个C网段离行ATM网点20.X.64.0/16---20.X.127.0/16共1024个28位地址段，用于离行ATM网点分支行以及网点办公IP地址总体分配方案分配位置IP地址备注分行20.X.0.0/16---20.X.63.0/16共64个C网段，用于分行局域网支行20.X.128.0/16---20.X.255.0/16共128个C网段，用于支行预留20.X.64.0/16---20.X.127.0/16共64个C网段，预留

具体分配方案生产中心业务IP地址具体分配方案生产中心IP规划用途VLAN号使用IP网段使用IP网段备注网络设备IPVLAN10010.193.0.010.193.0.254网络设备管理（loopback）地址网络设备IPVLAN10110.193.1.010.193.0.254网络设备管理（loopback）地址同区生产网络设备互联（主）10.193.4.1/3010.193.4.254/30按30位掩码划分，可接64台设备同区生产网络设备互联（备）10.193.6.1/3010.193.6.254/30按30位掩码划分，可接64台设备生产中心与同城灾备中心互联（主）10.193.8.1/3010.193.8.254/30按30位掩码划分生产中心与同城灾备中心互联（备）10.193.9.1/3010.193.9.254/30按30位掩码划分生产中心与异地灾备中心互联（主）10.193.10.1/3010.193.10.254/30按30位掩码划分生产中心与异地灾备中心互联（备）10.193.11.1/3010.193.11.254/30按30位掩码划分同城灾备中心与异地灾备中心互联（主）10.193.12.1/3010.193.12.254/30按30位掩码划分同城灾备中心与异地灾备中心互联（备）10.193.13.1/3010.193.13.254/30按30位掩码划分跨区生产网络设备互联（主）10.193.102.1/3010.193.119.254/30跨网段设备互联网段， 106表示从1区到6区的互联，最多口J接18个分区1---核心生产2---核心前置3---,112—外联,113---网银

114—管理,115---ECC116---开发跨区生产网络设备互联（备）10.193.202.1/3010.193.1.254/30跨网段设备互联网段， 206表示从1区到6区的互联，最多口J接18个分区WAN分行主线路接入10.193.240.110.193.247.254按30位掩码划分，可接510个分行WAN分行备份线路接入10.193.248.110.193.255.254按30位掩码划分，可接510个分行外联网段10.194.0.010.196.254.254外联网段-外联业务10.194.0.010.194.63.254外联网段-外联业务-设备连接10.194.0.010.194.63.254外联网段-外联业务-主链路10.194.8.010.194.11.254按30位掩码划分，可连接256条线路外联网段-外联业务-备链路10.194.12.010.194.5.254按30位掩码划分，可连接256条线路外联网段-外联业务-对外NAT10.194.90.010.194.99.254叫可外映射2560个IP外联网段-外联业务-对内NAT10.194.100.010.194.109.254叫司内映射2560个IP外联网段-网银区10.194.128.010.194.191.254预留网段10.195.0.010.196.254.254主机10.197.1.010.197.3.254规划多个网段，通过ACL控制访问存储10.197.4.010.197.7.254规划多个网段，通过ACL控制访问核心前置10.197.8.010.197.15.254规划多个网段，通过ACL控制访问一般前置机10.197.16.010.197.23.254规划多个网段，通过ACL控制访问外围存储10.197.24.010.197.31.254规划多个网段，通过ACL控制访问

APP服务器10.197.32.010.197.39.254规划多个网段，通过ACL控制访问WEB服务器10.197.40.010.197.47.254规划多个网段，通过ACL控制访问WEB服务器-应用管理类VLAN4010.197.40.010.197.41.254监控系统运行情况WEB服务器-后台管理类VLAN4210.197.42.010.197.43.254由业务部门、后台管理人员使用WEB服务器-前台业务类VLAN4410.197.44.010.197.45.254由柜台人员、一线客户经理预留网段10.197.46.010.197.47.254预留网段10.197.48.010.197.63.254其他生产设备10.198.64.010.198.127.254共64个C网段，用于其他核心生产机业务生产区-重要系统-ABSVLAN16410.198.64.010.198.64.25410.198.64.0-67.0支付系统已分配使用业务生产区-重要系统-WEBVLAN16510.198.65.010.198.65.254已分配使用业务生产区-支付系统-APPVLAN16610.198.66.010.198.66.254已分配使用业务生产区-支付系统-DBVLAN16710.198.67.010.198.67.254已分配使用业务生产区-客户通知平台-APP-WEB-DB-WLvlan10510.198.68.010.198.68.254已分配使用业务生产区-电子汇票vlan10610.198.69.010.198.69.254已分配使用业务生产区-国际结算vlan10710.198.70.010.198.70.254已分配使用业务生产区-多媒体信息发布-APP-DBvlan10810.198.71.010.198.71.254已分配使用预留网段10.198.72.010.198.79.254预留网段业务生产区-外围业务区信用卡系统-前置VLAN18010.198.80.010.198.80.25410.198.80.0-83.0信用卡系统已分配使用

业务生产区-外围业务区信用卡系统-服务器VLAN18110.198.81.010.198.81.254已分配使用业务生产区-外围业务区信用卡系统-客服前置VLAN18210.198.82.010.198.82.254已分配使用业务生产区-外围业务区积分系统-WEBVLAN18410.198.84.010.198.84.25410.198.84.0-85.0积分系统已分配使用业务生产区-外围业务区积分系统-DBVLAN18510.198.85.010.198.85.254已分配使用预留网段10.198.86.010.198.87.254h业务生产区-外围业务区CRM系统-WEBVLAN18810.198.88.010.198.88.25410.198.88.0-91.0积分系统已分配使用业务生产区-外围业务区CRM系统-T-SERVERVLAN18910.198.89.010.198.89.254已分配使用业务生产区-外围业务区CRM系统-DBVLAN19010.198.90.010.198.90.254已分配使用业务生产区-外围业务区-个贷系统VLAN19110.198.91.010.198.91.254已分配使用业务生产区-外围业务区-理财系统VLAN19210.198.92.010.198.92.254已分配使用业务生产区-外围业务区-财管系统-WEBVLAN19310.198.93.010.198.93.254已分配使用业务生产区-外围业务区-财管系统-DBVLAN19410.198.94.010.198.94.254已分配使用业务生产区-外围业务区-预留10.199.1.010.199.127.254共255个C网段，根据业务区分网段，整个B类网按业务类型分为4个子网业务生产区-核心前置区10.199.128.010.199.254.254业务生产区-核心前置区-ESB次件传输平台VLAN42810.199.128.010.199.128.254共255个C网段，根据业务区分网段，整个B类网按业务类型分为4个子网业务生产区-核心前VLAN42910.199.129.010.199.129.254共255个C网段，根据业务

置区-ATMP区分网段，整个B类网按业务类型分为4个子网业务生产区-核心前置区-柜面Teller10.199.130.010.199.130.254共255个C网段，根据业务区分网段，整个B类网按业务类型分为4个子网业务生产区-核心前置区-电子渠道整合10.199.131.010.199.132.254共255个C网段，根据业务区分网段，整个B类网按业务类型分为4个子网业务生产区-核心前置区-预留10.199.128.010.199.254.254共255个C网段，根据业务区分网段，整个B类网按业务类型分为4个子网日常生产管理10.200.1.010.200.63.254通过ACL控制访问日常生产管理-存储管理端口VLAN30810.200.8.010.200.8.254通过ACL控制访问日常生产管理-服务器管理端口VLAN31610.200.16.010.200.16.254通过ACL控制访问日常生产管理-服务器管理端口VLAN31710.200.17.010.200.17.254通过ACL控制访问日常生产管理-服务器管理端口VLAN31810.200.18.010.200.18.254备用IP段日常生产管理-服务器管理端口VLAN31910.200.19.010.200.19.254备用IP段生产终端10.200.64.110.200.127.254由业务部门使用，每一类应用为一个C网段生产终端-信用卡系统终端VLAN36510.200.65.110.200.65.254理财部信用卡系统业务终端生产终端-信用卡系统终端VLAN36610.200.66.110.200.66.254中小企业部业务终端ECC10.200.128.110.200.191.254通过ACL控制访问网络应用服务器10.200.192.010.200.207.254防病毒、补丁分发区、 AD、DNS网络安全管理10.200.208.010.200.211.254网络管理、LOG服务器网络安全管理-网管、监控平台10.200.208.010.200.208.254网管、监控平台预留网段10.221.0.010.222.254.254

预留网段10.224.0.010.224.254.254生产中心办公IP地址具体分配方案同城灾备中心业务IP地址具体分配方案同城灾备中心办公IP地址具体分配方案同城灾备机房办公IP规划用途VLAN号使用IP网段使用IP网段备注网络设备IP30.0.0.030.0.0.254网络设备管理（loopback）地址同区OA网络设备互联（主）30.0.1.130.0.31.254按30位掩码划分同区OA网络设备互联（备）30.0.33.130.0.63.254按30位掩码划分边界防火墙互联VLAN30030.0.100.130.0.100.254跨区OA网络设备互联（主）30.0.102.130.0.116.254跨网段设备互联网段，106表示从1区到6区的互联，最多口J接15个分区跨区OA网络设备互联（备）30.0.202.130.0.216.254WAN支行主线路接入30.0.240.130.0.247.254按30位掩码划分，可接510个分行WAN支行主线路接入30.0.240.130.0.240.2深圳分行WAN支行备份线路接入30.0.248.130.0.255.254按30位掩码划分，可接510个分行WAN支行备份线路接入30.0.248.130.0.248.2深圳分行邮件EMAILWEB服务器30.1.1.030.1.15.254OA、其他WEB服务器WEB服务器-OA服务器30.1.1.030.1.1.254OA

WEB服务器-OA服务器30.1.2.030.1.2.254战略规划管理系统特殊网段30.1.32.030.1.63.254HR、财务、稽核视频监控30.1.32.030.1.32.254保卫部视频监控服务器各部门办公网段VLAN6430.1.64.030.1.127.254共64个C网，每个部门一个网段各部门办公网段30.1.64.030.1.67.254科技部各部门办公网段30.1.68.030.1.68.254中小企业部各部门办公网段30.1.69.030.1.69.254保卫部网络应用服务希30.1.192.030.1.207.254防病毒、补丁分发区、AD、DNS网络应用服务希VLAN19230.1.192.030.1.192.254AD网络安全管理30.1.208.030.1.211.254网络管理、LOG服务器网络安全管理---带外管理网段30.1.208.030.1.208.254网络管理、LOG服务器互联网区域30.1.224.030.1.231.254OA区互联网防火墙互联网区域30.1.225.030.1.225.254OA区互联网防火墙-DMZ1用于互联网VPN网关互联网区域30.1.226.030.1.226.254OA区互联网防火墙-DMZ2用于电信VPN网关互联网区域30.1.227.030.1.267.254OA区互联网防火墙-DMZ3用于远程交付WEB互联网区域30.1.231.030.1.232.254上网行为互联网区域30.1.233.030.1.233.254PROX64互联网区域VLAN23430.1.234.030.1.234.254VPN网关公共服务30.1.240.030.1.240.254文件服务器、网络打印机、网络扫描仪、一体机

VOIP、视频会议30.1.241.0/2430.1.241.254/24安防视频监控30.1.242.0/2430.1.242.254/24安防视频监控30.1.242.0/2430.1.242.254/24分行生产网IP地址具体分配方案VLAN名称VLANID使用IP网段子网掩码用途备注20.1.0.0255.255.255.255三层网络设备管理（loopback）地址SZPD-DEV-L2-MGMT10020.1.1.0255.255.255.0二层网络设备管理带外管理网段255.255.255.252上联路由器与总部互联（主）255.255.255.252上联路由器与总部互联（备）20.1.4.0255.255.255.252上联路由器与核心互联网段（主）20.1.5.0255.255.255.252上联路由器与核心互联网段（备）20.1.6.0255.255.255.252下联路由器与核心互联网段（主）20.1.7.0255.255.255.252下联路由器与核心互联网段（备）SZPD-MSTP-120.1.8.0255.255.255.128下联路由器与支行互联网段（主）使用MSTP汇聚端口SZPD-MSTP-220.1.8.128255.255.255.128下联路由器与支行互联网段（主）使用MSTP汇聚端口SZPD-MSTP-320.1.9.0255.255.255.128下联路由器与支行互联网段（备）使用MSTP汇聚端口SZPD-MSTP-420.1.9.128255.255.255.128下联路由器与支行互联网段（备）使用MSTP汇聚端口SZPD-MSTP-520.1.10.0255.255.255.0下联路由器与支行互联网段（主）使用MSTP汇聚端口（备用）SZPD-MSTP-620.1.11.0255.255.255.0下联路由器与支行互联网段（备）使用MSTP汇聚端口（备用）SZPD-DEV-EXTRA11220.1.16.0255.255.255.0连接外联区防火墙将外联IPNAT成此网段IP,让内网IP路由更简单SZPD-Public13120.1.31.0255.255.255.0生产打印机网段打印机、一体机、扫描仪、文件服务器SZPD-6464B10820.1.33.0255.255.255.0运营部生产PCSZPD-CWB10920.1.34.0255.255.255.0财务部生产PC11020.1.35.0255.255.255.0其他生产PC11120.1.36.0255.255.255.0其他生产PC11220.1.37.0255.255.255.0其他生产PC11320.1.38.0255.255.255.0其他生产PC

分行办公网IP地址具体分配方案VLAN名称VLANID使用IP网段子网掩码服务器IP地址备注21.1.0.0255.255.255.255三层网络设备管理（loopback）地址SZOA-DEV-L2-MGMT20121.1.1.0255.255.255.0二层网络设备管理255.255.255.252上联路由器与总部互联（主）255.255.255.252上联路由器与总部互联（备）20.1.4.0255.255.255.0上联路由器与核心互联网段（主）20.1.5.0255.255.255.0上联路由器与核心互联网段（备）21.1.6.0255.255.255.0下联路由器与核心互联网段（主）21.1.7.0255.255.255.0下联路由器与核心互联网段（主）SZPD-MSTP-121.1.8.0255.255.255.0下联路由器与支行互联网段（主）使用MSTP汇聚端口SZPD-MSTP-221.1.9.0255.255.255.0下联路由器与支行互联网段（备）使用MSTP汇聚端口SZPD-MSTP-321.1.10.0255.255.255.0下联路由器与支行互联网段（主）使用MSTP汇聚端口（备用）SZPD-MSTP-421.1.11.0255.255.255.0下联路由器与支行互联网段（备）使用MSTP汇聚端口（备用）SZPD-Information22321.1.23.0255.255.255.0多媒体信息平台SZOA-Monitor22421.1.24.0255.255.255.0安防视频监控SZOA-VC22521.1.25.0255.255.255.0视频会议（预留）SZOA-VOIP22621.1.26.0255.255.255.0VOIP（预留）SZOA-WiFi22721.1.27.0255.255.255.0内部员工无线接入SZOA-Guest22821.1.28.0255.255.255.0外单位人员临时接入（预留）满足未来监管单位、外审进驻时的网络访问需求SZOA-Secure22921.1.29.0255.255.255.0安全设备IPS补丁分发、防病毒、桌面控制SZOA-IT23021.1.30.0255.255.255.0分行IT部门SZOA-Public23121.1.31.0255.255.255.0公用设备打印机、一体机、扫描仪、文件服务希SZOA-Master23221.1.32.0255.255.255.0分行行长室SZOA-OFFICE23321.1.33.0255.255.255.0分行办公室SZOA-23421.1.34.0255.255.255.0其他部门一共可划分32个部门SZOA-23521.1.35.0255.255.255.0其他部门SZOA-23621.1.36.0255.255.255.0其他部门SZOA-26321.1.63.0255.255.255.0其他部门

支行生产网IP地址具体分配方案支行IP地址分配（以万象城支行为例）网段名称VLAN名称VLAN号用途使用IP地址子网掩码虚拟网关PD20.X.128.0/24PD10自助设备（2〜11,共10台）ATM120.X.128.2255.255.255.020.X.64.254ATM220.X.128.3CDM20.X.128.4CDM20.X.128.5CDM(预留)20.X.128.6-11打印机、一体机网络打印、一体机20.X.128.12-15自助查询机等20.X.128.16-23电子回单箱20.X.128.24验印系统支票影像系统（预留）个性卡制卡机（预留）核心前置服务器20.X.128.28柜台终端（64-95，共32台）柜员终端20.X.128.64-95其他生产PC机（96-111，共16台）20.X.128.96-111NET互联网段支行PD交换机与路由器互联IP段20.X.128.208255.255.255.240MGMT100管理地址LOOPBACK(R)VLAN100(S)地址20.X.128.241-248255.255.255.255支行办公网IP地址具体分配方案支行办公网IP地址分配网段名称VLANVLAN号用途使用IP地址子网掩码虚拟网关

名称OA21.X.128.0/24办公20打印机打印机21.X.128.2-7255.255.255.12821.X.128.126VOIP21.X.128.8办公PC21.X.128.64-125Monitor30安防监控主机21.X.128.129-157255.255.255.22421.X.128.158VIDEO40多媒体信息终端21.X.128.193-197255.255.255.24821.X.128.198UNTRUST50基金、证券代销PC（预留）让客户自行操作进行股票行情、财经信息查询21.X.128.209-213255.255.255.24821.X.128.214VPN60VPN备份线路（预留）支行OA通过3G或VPDN等方式实现线路备份21.X.128.217-221255.255.255.24821.X.128.222WiFi70无线VIP接入（预留）让VIP客户通过无线进行上网21.X.128.225-229255.255.255.24821.X.128.230MGMT100管理地址LOOPBACK(R)VLAN100(S)地址20.X.128.241-248255.255.255.255路由设计路由协议选择路由协议主要分为内部路由协议及外部路由协议：?外部路由协议：以BGP为代表，早期主要用于Internet网及电信运营商,但由于其灵活的路由策略和高扩展性，BGP已经被许多大型企业用户所采用。?内部路由协议：主要包括EIGRPOSPFRIPv2这些路由协议在算法、适用性、灵活性；通用性以及扩展性上各有特点。上述四种路由协议比较如下：路由协议比较EIGRPOSPFBGPRIPv2标准化思科专利国际标准国际标准国际标准协议种类混合模式链路状态路径矢量距离矢量协议算法DUALSPFPVDV适用性IP及其他协议IPIPIP灵活性高高高中通用性低高高中扩展性中中高低简易度高中低高路由协议的部署须考虑管理边界。例如：数据中心的科技人员管理维护数据中心本部网络；对于所辖分行及以下的网络，只担负指导和监督职责。管理边界对于路由域的划分具有重要的参考意义。数据中心网骨干网路由设计骨干网描述骨干网是指数据中心与各分行、以及数据中心互联的网络，由数据中心统一管理和维护。根据XX银行未来发展的要求，稳定、可靠的网络是实现数据集中、跨地区应用正常运转的前提和基础，骨干网路由协议在选择时，要求：?必须具备良好的扩展性；?必须经过成熟的应用；?必须可以通过灵活的策略实现流量分担；?必须能够灵活的进行路由汇总；?必须是开放协议；根据上述特点，XX银行选择BGP做为骨干网路由协议。BGP作为外部网关路由协议，运行在三个数据中心、分行之间。数据中心网每个数据中心和每个分行都作为一个独立的自治系统。每个非数据中心的自治系统通过其网络中心的广域网区的两台或者多台路由器，分别接入到生产中心、同城备份中心的广域网功能区的广域网路由器。这种连接方式可以起到物理拓扑链路冗余和路由冗余的目的。在上述冗余环境中，为加快 BGP路由协议探测失效、完成路由自愈收敛的速度，本方案使用Hello间隔为10秒，Holdtime为30秒。.2BGP自治系统编号设计数据中心、分行自治系统编号将采用国际私有自治系统编号，即采用AS64512到AS65535范围内的编号。BGP自治系统编号分配从65000起开始分配，参见下表：BGP自治系统编号1生产中心65000同城灾备中心65001异地灾备中心65002总行65003分行651xx国家行政编码预留652xx其他互联需求3.3.2.3BGP路由策略EBGMB居关系的建立：?各分行分别与珠海同城的两个数据中心建立EBGXB居关系；?生产中心的分布层交换机与同城备中心的广域网区路由器通过 DWDM的千兆连接建立EBGXB居关系；?异地灾中心的接入层路由器与生产中心以及同备份中心的广域网接入层路由器建立EBGXB居关系；旧GP邻居关系的建立：?各分行在两台广域网边界路由器之间建立旧GP邻居关系；?生产中心：目前设计2台设备运行BGP,启用广域网区分布层的两台交换机作为BGP的RR（路由反射器）；?同城备份中心：目前设计4台设备运行BGP,启用广域网区分布层的两台交换机作为BGP的RR（路由反射器）；?建议异地灾备中心：目前设计2台广域网设备运行BGRRR（路由反射器）的设计将保证在生产中心，同城备份中心增加新的广域网边界路由器时，可以非常容易的实现BGP功能，具有很强的扩展性。同时，双RR的设计可以为BGP提供冗余能力，提高系统的可靠性。设计BGP路由策略时，应确保各个AS自治系统之间交换最优汇总路由，以及少量为了调节流量负载分担的汇总路由。各个 AS自治系统之间的其它精细路由将不会出现在全局路由表中，从而减少路由表的尺寸，达到增加网络的高可用性以及稳定性的目的。每个分行的AS自治系统通过其网络中心的两台路由器，分别接入到生产中心、同城备份中心的广域网路由器。这种连接方式可以起到物理拓扑链路冗余和路由冗余的目的。正常的生产状态下，下属单位会主要通过上连到生产中心的主链路来通讯；为了达到充分利用线路资源的目的，要求连接到同城备份中心的备份线路也要求承载正常的业务流量，不能空闲。设计BGP的路由时，采用以下策略：?每个一分行的自治系统分别同生产中心和同城备份中心交换各自的最大的汇总聚合路由；?同城备份中心和其它的AS交换BGP路由时，除了相互交换各自的最大的汇总聚合路由外，还要求交换部分精细的汇总聚合路由；?每个自治系统中部分精细的汇总聚合路由集合的选取，用来调整主备链路间的数据流量的分布状态。?选取部分精细的汇总聚合路由，需要根据生产中心的各功能区与下属单位的业务数据通信流模型调整。3.3.2.4BGP通用设计原则通用设计原则BGP设计目的使用设备loopback地址作为旧GPPeer地址增加协议稳定性、便于故障诊断使用互连的直连端口作为 EBGPPeer地址增加协议稳定性、便于故障诊断使用Route-refresh,不使用soft-reconfiguration减少内存利用，无需配置BGPhelloholddowntimer改为1030提高协议收敛速度记录邻居变更便于故障诊断使用Communit64标识路由便于策略实施使用communit64newformat增力口communit64的可识别性BGP路由的公告：?数据中心问：Network和路由策略在BGP!程中公告；?数据中心与分行：Network模式和路由策略（检测关键功能区路由状态）在BGP进程中公告；3.3.2.5分行通讯策略只支持分行与数据中心的通讯，不支持分行之间通讯。分发到的分行上连路由器的路由只有数据中心的路由。数据中心路由设计BGP用于连通数据中心与各个分行的外部路由协议，从技术角度看，各个分行可运行完全不同的内部路由协议，从而大大提高了网络的灵活性以及扩展性。鉴于XX银行网络的通用性策略，采用OSPF乍为三个数据中心的内部路由协议。通过前面的表格可以看出OSPF具有更高的通用性和层次性，更加便于日后的网络扩展与维护。OSPF＜以实现两级的层次化：骨干域（backbonearea）与非骨干域（non-backbonearea）。OSPF的骨干域area0只有一个，非骨干域可以有多个。根据数据中心不同功能区的特点，按照以下方式来设计生产中心和同城备份中心的 OSPM域与边界。3.3.3.1OSPF区域划分数据中心网的生产中心和同城备份中心的网络 OSPFK域划分如下：?生产中心以及同城备份中心的四台核心交换机?生产中心核心交换机和广域网路由器组成 OSPF非骨干区域（area101）；?备份中心核心交换机和广域网路由器组成 OSPF非骨干区域（area102）；3.3.3.2OSPF路由/交换边界生产中心和同城备份中心网络的路由/交换边界：?核心层设备全部为路由区域；?广域网功能区，分布层设备作为OSPFarea0和area101柞同城备份中心为Area102）的边界；3.3.3.3OSPF通用设计OSPF路由协议进程包含许多全局属性，通过对这些属性的设计，可以增加协议的稳定、安全等性能。数据中心OSPF®用设计原则OSPF设计目的使用设备loopback地址作为OSPF：增加协议稳定性、便于故障诊断使用passive模式（除设备互连接口外）提高协议安全性，降低协议开销设备互连接口均使用点到点模式提高协议效率，提高协议安全性使用端口地址标识协议网段减少配置错误除NBMA邻居Hello/Dead时间间隔外，不改变 简化配置，降低复杂度OSPF默认timer不调整OSPF端口,默认cost 简化配置，降低复杂度3.3.3.4OSPF带宽设计随着网络技术的发展，链路带宽迅速增加， OSPF路由协议原有的默认配置已经不能满足XX银行的网络要求。思科提供自动计算OSPF各由协议cost功能，公式如下：cost=参考带宽/链路带宽设计OSP啰考带宽为100,000[Mbps],对应类型接口cost值列表如下：Table1数据中心OSPF＞宽设计链路类型Cost2x10GE510GE104xGEChannel25GE100VlaninterfRadware100Loopback1数据中心网分行路由设计XX银行各分行的上连路由器、分行的核心交换机、分行的下连路由器，构建成了XX银行的数据中心网的分行。建议采用OSPF乍为数据中心网分行骨干网络的内部路由协议。OSPF具有更高的通用性，层次性，更加便于日后的网络扩展与维护。OSPF区域和边界划分对于分行，OSPF区域划分的通用原则是：?OSPF勺骨干域area0只有一个，非骨干域可以有多个；?每个OSPFM中的路由器数量根据实际设备负载确定；?每个OSPFABR&由器所服务的区域数量根据实际设备负载确定。数据中心网二级骨干网络的OSPFE域与边界划分：（对于三层结构分行）?骨干域area0中包含：分行的上连路由器非上连端口；分行的核心交换机；分行下连路由器的非广域端口；?非骨干域areaX中包含：分行下连支行路由器的广域接口；支行上连路由器的广域端口；XX银行数据中心网分行的二级骨干网络连接拓扑与 OSPF区域示意图如下:分行OSPFAREAS号设计分行ospfarea编号参见下表：BGP自治系统编号机构名称自治系统编号备注支行15500155为深圳国家行政编码支行25500255为深圳国家行政编码分行OSPR!用设计OSPFE各由协议进程包含许多全局属性，通过对这些属性的设计，可以增加协议的稳定、安全等性能。数据中心网二级骨干网OSPF通用设计原则OSPF通用设计原则 设计目的使用设备loopback地址作为OSPF标识 增加协议稳定性、便于故障诊断ABR将非骨干域路由进行汇总 提高协议效率，提高网络的稳定性。使用passive模式（除设备互连接口外） 提高协议安全性，降低协议开销

使用端口地址标识协议网段减少配置错误不改变OSPF默认timer简化配置，降低复杂度不调整OSPF端口默认cost简化配置，降低复杂度不调整OSPF端口默认cost简化配置，降低复杂度分行网络OSPFt宽设计随着网络技术的发展，链路带宽迅速增加， OSPF路由协议原有的默认配置已经不能满足XX银行的网络要求。思科提供自动计算OSPF各由协议cost功能，公式如下：cost=参考带宽/链路带宽设计OSP啰考带宽为100,000[Mbps],对应不同类型接口cost值列表如下:分行网络带宽设计链路类型Cost10GE104GEChannel252GEChannel50GE100VlaninterfRadware100Loopback13.3.6数据中心网接入网路由设计XX银行离行ATM的接入网点路由器，相对来说一般是处理能力较低的低端路由器，路由功能的支持能力也比较简单。建议在离行ATM网点路由器和分行的接入路由器之间运行RIP路由协议，RIPV2支持变长子网掩码，RIPV2非常简单，易于配置维护与管理，是开放的标准路由协议，在低端路由器上能够获得众多厂家的支持。由于网点路由器需要接收全部路由表项，设计通常只获得缺省路由。缺省路由可以通过人工配置或动态通过RIPV2从上连路由器学习。分行上连路由器上同时运行OSP桥口RIPV2的情况下，可以将RIPV2路由重分布到OSPN;再对重分布的路由进行汇总，让OSPF^量只接收RIPV2的汇总路由。RIPV2路由汇总的效果取决于该下连地址段的汇总能力。地址段的汇总能力影响OSPFB勺路由表项数量，从而影响网络稳定性。3.3.9整体路由拓扑设计生三史 . 同城灾备中心踣由路由03K哆异地灾备中心支付 如踣由路由03K哆异地灾备中心支付 如在整体的设计中，共采用了OSPF,BGP,RIP静态四种路由协议，使用情况如下:数据中心数据中心内部路由协议.生产中心和备份中心通过OSPF路由协议进行互通，其中生产中心和备份中心的四台core运行OSPF区域0,生产中心广域网区以及同城备份中心的广域网区分别以area101和area102接入到骨干区域area0..生产中心和备份中心与各个功能区域之间通过静态路由进行通讯数据中心外部路由协议.生产中心，同城备份中心和异地灾备中心之间通过 EBGP的方式进行互联.生产中心，同城备份中心下联分行时采用BGP的方式来控制路由的策略分行分行内部路由协议.生产中心和备份中心通过OSPF路由协议进行互通，其中生产中心和备份中心的四台core运行OSPF区域0,生产中心广域网区以及同城备份中心的广域网区分别以area101和area102接入到骨干区域area0..生产中心和备份中心与各个功能区域之间通过静态路由进行通讯分行外部路由协议.为便于以后业务数据的控制以及策略，分行上联生产中心和备份中心时采用BGP的方式.分行内部通过OSPF1行通讯，每个支行以OSPFt骨干区域方式接入。.考虑到MSTP线路的特征以及离行ATM区路由器的性能，在分行与离行ATM互联时采用RIPV潞由协议3.4灾备网络规划灾难备份的定义根据2005年中华人民共和国国务院颁布的《重要信息系统灾难恢复指南》中的定义，灾难是指由于人为或自然的原因，造成系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发事件。灾难恢复定义为：将信息系统从灾难造成的不正常状态恢复到可接受状态， 而设计的活动和流程”。灾难备份定义为： 为了灾难恢复而对数据、数据处理系统、网络系统、基础事实、技术支持能力和运行管理能力进行备份的过程。 ”真正的灾难备份必须满足三个要素：一是系统中的部件、数据都具有冗余性，即一个系统发生故障，另一个系统能够保持数据传送的顺畅；二是具有长距离性，因为灾害总是在一定范围内发生，因而保证足够长的距离才能保证数据不会被同一个灾害全部破坏；灾是灾难备份系统追求全方位的数据复制，上述三要素也称为“3R'(RedundancyRemote、Replication)。一个完整的灾难备份系统主要由数据备份系统、备份数据处理系统、备份通信网络系统和完整的灾难恢复计划组成。在灾难备份系统建设中，如何将数据(包括系统、应用和业务数据)完整、实时地复制到灾难备份中心，是灾难备份系统中首先需要考虑的重点。备份中心建设备份中心按照功能分两种建设模式：应用级备份中心和数据级备份中心。前者在数据中心发生灾难时，由于该中心数据是与数据中心实时同步，并有主机、网络、存储等设备，所以可以迅速接管数据中心。后者只有数据中心所有数据的副本，当数据中心数据发生灾难时，可启用数据副本作为生产数据；当整个数据中心发生灾难时，该中心没有主机设备，不能接管数据中心。备份中心按照地址分：同城备份中心和异地备份中心。备份中心的建设方式非常灵活，银行往往根据自己制定的灾难备份方案和业务连续性计划进行选择和建设。当然，前提是都必须满足行业规范和监管要求。比如在初期的备份中心建设过程中，并非对数据中心应用系统的完全备份，而只是选择关键应用系统进行应用级备份，其他只做数据级备份，以节约投资。但不管是何种备份中心建设方式