商业银行网络架构规划方案

商业银行网络架构规划方案商业银行网络架构规划方案1网络系统现状分析第一章目录Contents网络技术技术发展趋势第二章网络架构需求分析第三章新数据中心网络架构规划第四章两地三中心一体化网络架构规划第五章网络架构蓝图演进路线第六章网络系统现状分析第一章目录Contents网络技术技术发展趋2网络系统现状分析1数据中心分布及定位网络基础服务网络扩展服务网络安全服务网络管理服务网络架构优化建议网络系统现状分析1数据中心分布及定位3现状调研分析思路④网络安全服务⑤网络管理服务AAA服务应用负载均衡DNS/NTP服务③

网络扩展服务②

网络基础服务①

数据中心分布及定位总行数据中心数据中心B数据中心数据中心A全局负载均衡数据中心网络互联网络功能域划分Intranet网络互联Extranet网络互联Internet互联网接入IP地址规划路由协议规划网络系统现状调研分析思路：现状调研分析思路④⑤网AAA服务应用负载均衡DNS/NTP服4数据中心分布及定位吉林省长春市北京市数据中心A生产环境位于总行5楼机房，目前为生产中心约80个机柜，已基本用满单路市电，可用性较低总行数据中心办公环境运维管理环境生产环境位于智控机房（公司2楼IDC），目前为生产中心和研发中心约100个机柜，已基本用满存在危楼安全隐患问题数据中心B开发测试环境生产环境位于软件园D栋，包括1-1机房和1-2机房1-1机房：约130个机柜，部分使用，目前为同城灾备中心1-2机房：约135个机柜，待规划使用（新生产中心）数据中心开发测试环境同城灾备环境1-1机房1-2机房位于酒仙桥数据中心C10栋目前为异地灾备中心异地灾备环境两地四中心：运维管理环境运维管理环境数据中心分布及定位吉林省长春市北京市数据中心A生产环境位于总5数据中心网络互联同城数据中心异地数据中心总行数据中心DWDM密集波分技术数据中心B数据中心（1-1机房）数据中心A电信155MbpsSDH*3联通155MbpsSDH*3电信155MbpsSDH联通155MbpsSDH移动裸光纤广电裸光纤电信裸光纤电信裸光纤电信裸光纤联通裸光纤未启用同城数据中心两两之间，分别采用不同运营商的冗余裸光纤+DWDM技术，实现IP网和FC-SAN网的互联互通异地数据中心之间，分别通过不同运营商的冗余高速SDH链路，实现IP网络和FC-SAN网络的互联互通数据中心网络互联同城数据中心异地数据中心总行数据中心DWDM6数据中心网络互联裸光纤+DWDM技术应用：IP网络高速互联：三层网络互联，二层网络互联SAN网络高速互联：SAN网络互联，数据同步复制电信裸光纤联通裸光纤总行数据中心数据中心B电信裸光纤广电裸光纤数据中心B数据中心G1-1DX-DCG1-2DX-XHXG1-3DX-DCG1-4DX-XHXG1-5未启用G1-6未启用G1-7DX-DCG1-8DX-CSG2-1DX-DCG2-2未启用G2-3DX-DCG2-4DX-XHXG2-5未启用G2-6未启用G2-7DX-DCG2-8未启用G1-1ZH-DCG1-2？G1-3未使用G1-4镜像口G1-5未启用G1-6未启用G1-7ZH-DCG1-8？G2-1ZH-DCG2-2未启用G2-3未使用G2-4镜像口G2-5未启用G2-6未启用G2-7ZH-DCG2-8未启用G1-1TC-WANG1-2TC-WANG1-3TC-YWG1-4监控？G1-5TC-YWG1-6QM-SCG1-7TC-NMSG1-8TC-NMSG2-1TC-WANG2-2TC-WANG2-3TC-YWG2-4Server？G2-5TC-YWG2-6QM-SCG2-7TC-EXG2-8未启用G1-1DX-WANG1-2DX-WANG1-3DX-XHXG1-4DX-CSG1-5DX-XHXG1-6DX-DCG1-7DX-DCG1-8DX-DCG2-1DX-WANG2-2DX-WANG2-3DX-XHXG2-4DX-DCG2-5DX-XHXG2-6DX-DCG2-7DX-CSG2-8未启用IP网IP网电信裸光纤移动裸光纤总行数据中心数据中心4x8千兆以太网口未启用4x8千兆以太网口未启用（2x8个千兆以太网口）（2x8个千兆以太网口）（2x8个千兆以太网口）（2x8个千兆以太网口）G1-2-1/2/3汽车金融G2-2-1/3汽车金融G1-2-1/2/3汽车金融G2-2-1/3汽车金融待规划分配数据中心网络互联裸光纤+DWDM技术应用：电信裸光纤联通裸光7网络功能域划分-总行DC总行数据中心网络功能域划分：总行数据中心主要包括业务网、办公网、运维管理网，以及物理隔离的办公外网采用模块化和层次化结构设计采用千兆以太网技术，利用双机热备、堆叠技术和冗余链路实现网络架构高可用安全域主要通过防火墙实现安全隔离，可能影响网络传输性能网络负载较低（CPU利用率0-24%），其中核心交换区和第三方外联区负载较高业务网核心交换区11个分行同城数据中心（智控、）人行、银联第三方（共100条专线）办公网Internet网银区DWDM区生产区新核心区WOA区OA区NMS区内联区外联区Solarwinds网管系统北塔网管系统运维管理网安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制办公外网安全控制网络功能域划分-总行DC总行数据中心网络功能域划分：总行数据8网络功能域划分-智控DC数据中心B网络功能域划分：业务网开发测试网呼叫中心区DWDM区手机银行区金融网区新核心区卡区开发测试区同城数据中心（总行、）注：金融网区目前通过DWDM，经总行数据中心WOA区的互联网出口接入Internet！异地数据中心（）深圳街培训中心内联区Internet安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制核心交换区数据中心B主要包括业务网和开发测试网采用模块化和层次化结构设计采用千兆以太网技术，利用双机热备、堆叠技术和冗余链路实现网络架构高可用安全域主要通过防火墙实现安全隔离，可能影响网络传输性能网络负载较低（CPU利用率0-15%），其中新核心区负载较高网络功能域划分-智控DC数据中心B网络功能域划分：业务网开发9网络功能域划分-DC数据中心（1-1机房）网络功能域划分：同城数据中心主要包括灾备网、业务网、测试网、运维管理网，以及物理隔离的办公外网和考试系统缺乏统一的网络规划，有待进一步整合优化灾备业务网2F总控室灾备核心交换区手机银行区网银区灾备区生产区同城数据中心（总行、智控）异地数据中心11个分行（有待接入）NMS区生产核心交换区开发测试区运维管理区生产业务网开发测试网Internet安全控制安全控制安全控制安全控制安全控制共享互联网出口考试系统办公外网安全控制ITSM监控系统DWDM区内联区网络功能域划分-DC数据中心（1-1机房）网络功能域划分：同10网络功能域划分-A数据中心A数据中心网络功能域划分：异地灾备数据中心主要提供灾备服务和运维管理服务平时资源处于灾备状态，资源闲置，资源利用率有待提高灾备业务网核心交换区内联区灾备区NMS区外联区人行异地数据中心（智控、）11个分行运维管理网安全控制安全控制安全控制安全控制网络功能域划分-A数据中心A数据中心网络功能域划分：异地灾备11Intranet网络互联采用点对点专线星型互联架构，无法灵活满足未来新数据中心或分公司的快速接入需求内联链路缺乏同城灾备冗余各分行缺乏至同城灾备中心（）的灾备链路，无法满足未来同城应用级灾备切换需要总行数据中心电信专线联通/电信专线广域网骨干网数据中心数据中心B数据中心Axx分行xx分行xx分行四平分行通化分行xx分行xx分行松原分行白山分行xx分行xx分行Intranet网络互联采用点对点专线星型互联架构，无法灵活12Extranet网络互联人行外联链路具备异地灾备冗余，可满足目前异地容灾系统的灾备切换需要外联链路缺乏同城灾备冗余外联机构缺乏至同城灾备中心（）的灾备链路，无法满足未来同城应用级灾备切换需要部分外联链路缺乏异地灾备冗余银联数据和银联交易缺乏至异地灾备中心的灾备链路，无法满足未来容灾系统异地灾备切换需要第三方缺乏至异地灾备中心的灾备链路，无法满足未来容灾系统异地灾备切换需要人行银联数据第三方…总行数据中心电信专线联通专线广域网骨干网数据中心数据中心B数据中心A第三方银联交易

中间业务专线（共计100条）Extranet网络互联人行外联链路具备异地灾备冗余，可满足13Internet互联网接入同城灾备中心缺乏金融网区和WOA区互联网出口灾备链路，无法满足未来同城应用级灾备切换需要异地灾备中心缺乏互联网出口灾备链路，无法满足未来异地应用级灾备切换需要网银区WOA区手机银行区金融网区网银区手机银行区总行数据中心广域网骨干网数据中心A数据中心B数据中心Internet目前通过DWDM，经总行数据中心WOA区的互联网出口接入InternetInternet互联网接入同城灾备中心缺乏金融网区和WOA区14IP地址规划分配数据中心功能区IP地址段IP子网段生产数据中心（总行5楼）核心交换区、新核心区、生产区、网银区、外联区、OA区、WOA区8个B类地址段：10.168.0.0/1610.169.0.0/1610.170.0.0/1610.171.0.0/1610.172.0.0/1610.173.0.0/1610.174.0.0/1610.175.0.0/16不同数据中心的不同安全域，按每个应用系统一个C类子地址段进行分配使用研发数据中心（智控2楼）新核心区、手机银行区、卡区、核心交换区、金融网区同城灾备数据中心（1-1机房）生产区灾备区研发数据中心（智控2楼）手机银行区10.152.0.0/16研发数据中心（智控2楼）呼叫中心区10.155.0.0/16异地灾备中心（数据中心A）灾备区10.164.0.0/1610.165.0.0/16规划分配的IP地址段：10.147.0.0/16~10.219.0.0/16目前同城三个数据中心共用多个B类IP地址段，不便于路由收敛和维护管理，建议按不同数据中心和功能域进行规划分配；外联网区发布了部分第三方的路由信息到内网，容易产生IP地址冲突，并存在安全隐患，建议采用NAT技术实现外部地址转换；部分应用系统部署在不同数据中心不同功能域的不同网段中，导致IP资源浪费，不利于系统的维护管理；部分应用系统复用物理服务器和IP地址，不利于系统的监控维护或故障处理。IP地址规划分配数据中心功能区IP地址段IP子网段生产数据中15路由协议规划OSPFArea0OSPFArea8静态路由核心路由器（分行）数据中心互联数据中心互联总行生产核心智控研发中心同城核心新核心业务区同城服务器区总行、B与同城数据中心之间动态路由协议规划现状：路由协议规划OSPFArea0OSPFArea8静态16路由协议规划生产中心、同城灾备中心、异地灾备中心、及分行之间的动态路由协议规划现状：AS65430数据中心互联核心路由器（分行）分行路由器AS65100生产中心研发中心同城灾备中心异地灾备中心数据中心互联EBGPEBGPEBGPEBGPiBGPiBGPiBGPAS65431~AS6544211个分行路由协议规划生产中心、同城灾备中心、异地灾备中心、及分行之间17路由协议规划总行与分行之间的动态路由协议规划现状：路由协议规划总行与分行之间的动态路由协议规划现状：18网络扩展服务DNS域名解析服务缺乏DNS域名解析系统；应用系统主要采用IP地址访问方式。NTP时钟服务提供统一的NTP服务，保证全网网设系统时间的一致性。负载均衡服务应用负载均衡服务：主要包括总行数据中心核心区、OA区、WOA区，数据中心B新核心区、手机银行区、金融网区等；链路负载均衡服务：主要包括总行数据中心网银区、WOA区，数据中心B手机银行区、金融网区等；全局负载均衡服务：数据中心部署GTM设备，可用于容灾切换，暂未启用。AAA服务目前网络系统通过本地账号口令实现访问控制，缺乏统一的AAA服务（认证授权审计）。网络扩展服务DNS域名解析服务19网络安全服务遵循《信息系统安全策略》网络安全策略包括：网络结构安全：重要网络设备和通讯链路采取冗余备份措施，防止单点故障；网络带宽满足业务高峰需要；重要业务提供QoS保障；网络边界控制：网络安全域划分，边界安全访问控制策略制定，遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”原则；网络安全审计：监控网络设备相关性能指标，网络设备日志采集转储，全面日志分析；网络入侵防范：重要边界部署网络入侵检测设备，重要或敏感业务数据采取相应加密技术，防止DDOS攻击；恶意代码防范：双向过滤常见病毒蠕虫传播端口；网络设备防护：实现账号口令的身份认证管理，远程网络管理访问控制和加密，及时进行软件升级或补丁。

网络安全技术和产品网络安全技术及产品主要包括：VLAN，ACL，防火墙技术，密码安全，DDOS系统，防毒墙，WAF（WEB应用防火墙），应用安全网关，验签服务器，IDS入侵检测设备，网闸，VPN设备，TDA威胁发现设备，防病毒软件系统，WAF日志服务器，网络漏洞扫描系统，负载均衡安全，桌面管理系统，运维审计平台，上网行为管理等；安全区域划分满足业务系统安全隔离要求，不同功能域之间主要通过防火墙实现安全隔离，可能影响性能传输和限制资源共享；安全域内、外层采用异构防火墙，大大增强了网络的安全稳固程度。网络安全服务遵循《信息系统安全策略》20网络管理服务网络管理能力网络管理方式：采用带内网管，支持远程带内运维，远程带外管理能力有待完善；网络管理服务：由总行生产中心提供统一的网络管理服务，主要包括Solarwinds网络性能监控系统和北塔网络运维管理系统，实现集中网络管理，同城灾备中心和异地灾备中心暂无灾备网管能力；网络管理协议：包括SSH、Telnet、SNMP、NTP、Syslog等；口令认证方式：目前主要采用Local认证方式，缺乏统一的AAA服务，不利于集中管控。网络管理服务网络管理能力21网络架构优化建议网络服务关注点现状分析优化建议网络基础服务网络架构模块化和层次化结构，有利于网络系统扩展或升级；重要设备采用双机热备、堆叠技术，实现网络高可用；网络设备负载较低，冗余网络设备利用率较低；管理网、心跳网与生产网复用，缺乏独立的管理网；采用网络虚拟化技术和大二层技术，满足服务器虚拟化对网络资源的弹性扩展需求，提高网络带宽利用率，优化网络架构，提高网络性能；部署独立的生产网和管理网，提升管理的安全性和可用性；数据交换核心采用千兆网络交换，无法满足未来云计算环境下横向、纵向的高速交换需要；采用新一代核心设备，支持高性能快速转发，支持高密度10GE能力等；内联网互联点对点专线星型互联架构，满足各分行的访问接入；各分行缺乏至同城灾备中心的灾备链路，无法满足同城灾备切换需要；采用扁平化广域网架构，可灵活满足未来新数据中心或分支机构的网络接入，并满足灾备环境对内联链路的接入需要；外联网互联满足人行、银联、第三方等机构的接入需要；外联链路缺乏同城灾备和异地灾备冗余；配备同城灾备中心和异地灾备中心灾难恢复所需的外联链路；互联网接入部署不同运营商的链路，实现链路冗余互备；同城灾备中心和异地灾备中心缺乏部分灾备切换所需的互联网出口链路，无法快速满足未来灾备切换需要；配备同城灾备中心和异地灾备中心灾难恢复所需的互联网出口链路；IP地址规划同城三个数据中心共用多个B类IP地址段，不利于路由收敛和资源维护管理；外联网区发布了部分第三方的路由信息到内网，容易产生IP地址冲突，并存在安全隐患；按不同数据中心不同功能域统一进行规划，便于路由收敛和维护管理；对外部第三方路由，建议采用NAT技术实现外部地址转换；网络架构优化建议网络服务关注点现状分析优化建议网络网络架构模22网络架构优化建议网络服务关注点现状分析优化建议网络扩展服务DNS服务未部署DNS域名解析系统，应用系统主要通过IP地址方式进行互访；不利于应用系统灾备切换后的快速访问，用户无法实现透明访问；为生产-灾备中心建立全局智能DNS系统，包括内网DNS服务和外网DNS服务；满足应用系统灾备快速切换需要，实现透明访问；AAA服务未提供AAA服务，缺乏安全管控能力建立AAA服务平台，提高网络访问控制能力；网络安全服务安全域划分安全域划分满足不同业务的安全访问控制需要；安全域之间主要通过防火墙技术实现安全隔离，安全设备可能存在性能瓶颈；传统网络安全域的划分不利于未来云环境下资源的灵活共享；进行网络安全域整合优化，通过资源池建设提高资源利用率；利用逻辑安全隔离技术，实现资源池内部的安全访问控制，提高安全访问控制的灵活性；网络管理服务带外网管远程带外网络管理能力有待完善，不利于远程快速维护需要；部署串口设备远程管理解决方案，为网络设备（Console口）提供远程带外网络管理服务；网络管理目前由生产中心集中进行网络管理，灾备中心缺乏独立的网络管理能力（网管平台）；为灾备中心部署独立或分布式网络管理系统，使灾备中心具备独立网络管理能力。网络架构优化建议网络服务关注点现状分析优化建议网络DNS服务23网络技术发展趋势2网络技术发展趋势网络虚拟化技术网络虚拟化架构软件定义网络网络技术关注点网络技术发展趋势2网络技术发展趋势24网络技术发展趋势云化DCSDDC大集中DC分散DC网络架构发展区域集中DC虚拟化DC异地容灾架构同城容灾架构两地三中心容灾架构扁平化架构融合/虚拟化架构互备/双活架构模块化/层次化架构高可用结构网络互联互通分布式多活架构CLOS胖树架构SDN架构架构缺乏灵活性资源利用率低分散网络运维管理灾难恢复能力不足资源虚拟化/池化高资源利用率全局负载均衡双活/多活架构两地三中心一体化网络架构网络架构高可用统一运维管理技术标准化/能力服务化服务快速化/资源弹性化管控集中化，部署及管理自动化高效节能，绿色环保下一代云数据中心传统的数据中心网络是数据中心IT基础设施的核心网络架构特征数据中心演进网络技术发展趋势云化DCSDDC大集中DC分散DC网络架构区25网络技术发展趋势私有云混合云公有云管控集中化部署管理自动化绿色环保技术标准化能力服务化提供快速化云数据中心网络网络技术演进资源弹性化

网络技术向融合化、虚拟化、标准化、服务化、快速化、弹性化、自动化等方向演进SDN软件定义网络，将是未来网络技术演进方向，目前SDN的推广主要受到技术成熟度和应用服务等限制网络服务能力网络技术发展趋势私有云26网络虚拟化技术MDC/VDC/VLAN/VPN/VRF技术vFW/vIPS/vLD技术满足不同应用、不同用户的需要提高设备利用率实现资源复用与逻辑隔离实现资源的灵活调度IRF2/VSS/vPC技术简化网络结构和路由管理，减少环路问题提高带宽利用率提高可靠性降低运维难度N:1/1:N虚拟化技术，私有技术，比较成熟，存在异构兼容问题，适用于中小规模虚拟化或云计算环境VCF技术减少网络管理节点数提升网络带宽利用率，简化布线提高业务部署灵活性横向虚拟化纵向虚拟化网络虚拟化技术MDC/VDC/VLAN/VPN/VRF技术I27网络虚拟化架构三层网络架构(VRRP+STP)大二层网络扩展能力虚拟化/扁平化网络架构(N:1虚拟化，增强型二层)虚拟交换矩阵架构(TRILL/SPB/ClOS)跨数据中心大二层互联(VPLS/EVI/OTV/VXLAN)MPLS核心网PWPWPWPWPWPW存在复杂生成树环路网络结构复杂带宽利用率低私有技术，如IRF/vPC应用成熟组网简单，简化网络结构减少环路问题提高带宽利用率Non-blocking架构L2orL3技术实现较低收敛比高性能，高可扩展性CLOS网络级高可靠性VPLS为标准技术，兼容性好私有二层Overlay技术（EVI/OTV）,部署简单，扩展方便基于主机的Overlay技术（VXLAN），支持任意网络透传大二层网络可很好地满足云数据中心内部或云间的计算集群、虚机动态迁移、资源池灵活扩展等需求主流网络厂商均有各自改进增强的大二层网络技术，存在异构无法兼容问题网络虚拟化架构三层网络架构大二层网络扩展能力虚拟化/扁平化网28软件定义网络行业IT应用方案

控制平台

数据平台

应用服务

第三方SDN控制平台APP虚拟网络环境标准协议第三方SDN应用IntegratedIntegratedIntegrated控制平台

API虚拟平台APISDN通过控制平面、数据转发平面的分离，可极大提升网络的管控效率及虚拟化能力，更好地实现网络资源的自动化编排、自动化配置管理。通过基于SDN技术的对外开放的API进行软件编程，实现整个网络集中的管理能力。SDN需要提供丰富的API接口：支持OpenFlow等标准协议

支持不同厂商的OpenAPI支持OpenStack协议

提供控制平台API接口SDN软件定义网络架构实现：数据平台+控制平台+应用服务，目前SDN应用还不够成熟完善，可关注及试点应用软件定义网络行业IT应用方案控制平台29网络技术关注点H3CH3CIntranet/Extranet/InternetIP网互联DC-1DC-2Client存储网互联网络架构的扁平化、虚拟化及大二层互通

网络设备的高带宽低时延、高性能

虚机的虚拟化感知和策略跟随

数据中心间大二层网络互连

多数据中心的灵活接入虚机间的安全访问控制数据中心的出口安全网络资源弹性化（资源池化）

网络能力服务化

网络技术标准化网络部署和管理自动化

绿色环保计算资源虚拟化带来的性能/迁移/安全/管理变化、服务能力的云化、网络的监管控等网络技术关注点H3CH3CIntranet/Extranet30网络架构需求分析3网络面临的挑战网络架构规划设计关注点网络架构需求分析3网络面临的挑战31网络面临的挑战目前网络面临的一些问题云计算环境下网络面临的挑战冗余网络结构复杂冗余链路利用率较低网络收敛比低网络资源无法复用网络部署配置复杂网络运维难度较大网络建设周期较长存在复杂的STP环路结构的局限性网络异构环境兼容性差管理的局限性纵向突发大流量的应对虚机的动态漂移虚机流量监控管理虚机迁移的策略跟随虚机的高密度部署随需扩展网络资源多数据中心灵活接入VLAN和IP的扩展网络性能问题资源扩展问题管理能力问题网络的快速配置部署多租户之间的安全网络安全问题横向流量的增长应对跨数据中心的虚机漂移虚机间的安全访问控制云数据中心的安全访问虚机迁移问题网络资源的统一管控

网络面临的挑战：网络性能、带宽利用率、虚机动态迁移、资源弹性化、虚拟网络安全、网络管理等方面网络面临的挑战目前网络面临的一些问题云计算环境下网络面临的挑32网络架构规划设计关注点网络服务规划目标关注点两地三中心一体化网络架构建设数据中心网络基础架构规划核心交换区、生产区、准生产区、内联区、外联区、DWDM区、电子商务区、互联网金融区、呼叫中心区，OA区，运维管理区等；网络架构的虚拟化、扁平化和大二层互通；网络资源弹性化和能力服务化；网络设备的高性能和低时延；能充分满足未来3-5年新业务或新技术的发展需要；两地四中心之间的互联互通同城数据中心间DWDM密集波分复用技术的应用（生产网、备份网、管理网、FC-SAN网等互联）；异地数据中心间的灵活接入（链路冗余高可用、链路容灾切换）；两地四中心的WAN链路部署分公司上联WAN链路的冗余部署和灵活接入；人行/银联/第三方上联WAN链路的冗余部署；人行/银联/第三方上联路由优化（NAT与主备路由切换）；智能DNS解析两地三中心全局智能DNS解析服务，满足容灾切换或应用双活需要网络系统管理远程带外管理服务，集中与分布式网络管理生产系统的搬迁考虑生产系统搬迁可能面临问题IP地址变更规划对应用系统迁移带来的影响内联线路或外联线路迁移对业务的中断影响网络架构规划设计关注点网络服务规划目标关注点两地三中心一体化33新数据中心网络架构规划4数据中心网络系统总体构成安全域与风险级别划分新数据中心网络功能域划分IP地址规划路由协议规划新数据中心网络架构规划4数据中心网络系统总体构成34数据中心网络系统总体构成网络资源池（网络设备）接入层网络管理平台网络安全内容服务(DNS/LB/SSL/WAS/CDN）虚拟网络层网络基础服务DMZ服务带外网络管理数据中心网络功能架构汇聚层核心层Internet接入Intranet互联DC互联Extranet互联数据中心网络系统总体构成网络资源池（网络设备）接入层网网内容35安全域与风险级别划分网络区域安全域划分安全风险级别安全域类别内部网络运维管理区，数据存储区VIII内部安全域生产区，呼叫中心区VIIOA区，电子商务区，互联网金融区VI准生产区VIntranet内联区，DWDM区IV内部风险域Extranet外联区IIIInternet电子商务、互联网金融和OA区的DMZ区II外部中立区电子商务、互联网金融和OA区的互联网接入I外部风险域低风险高风险安全域与风险级别划分网络区域安全域划分安全风险级别安全域类别36网络功能域划分原则网络功能域划分原则：根据新数据中心的定位和现有应用系统的不同用途分类，将网络划分为业务网、办公网、运维管理网、备份网、数据存储网等；

根据两地三中心容灾网络架构的建设和容灾应用系统的部署要求，进行网络功能域的整合优化；

根据信息系统安全规范要求，划分不同的网络安全域，对不同安全层次实现安全分层控制；Internet接入区：针对电子商务区、互联网金融区、OA区Extranet互联区：针对人行、银联、第三方等外联区Intranet互联区：针对11个分行和异地数据中心A等内联区，同城数据中心间互联的DWDM区内部网络互联区：涉及准生产区、OA区、呼叫中心区、生产区，以及运维管理区

根据不同安全域对计算资源类型、规模和网络接入要求的不同，进行网络规划和设备选型物理小型机资源：涉及生产网、设备管理网、心跳网、及备份网的接入物理X86资源：涉及生产网、设备管理网、心跳网、及备份网的接入虚拟化X86资源：涉及生产网、设备管理网、宿主机管理、vMotion管理、心跳网、及备份网的接入NAS资源：涉及生产网、设备管理网和备份网的接入FC-SAN存储资源：涉及设备管理网的接入网络功能域划分原则网络功能域划分原则：37新数据中心网络功能域划分生产网11个分行同城数据中心人行、银联第三方OA网DWDM区运维管理网外联区安全控制安全控制运维管理区安全控制生产区安全控制设备管理网/宿主机管理/vMotion网/心跳网/备份网/网络带外管理网异地数据中心内联区安全控制PSTN电子商务区安全控制安全控制准生产区安全控制InternetFC-SAN网小型机资源池物理x86资源池虚拟x86资源池NAS资源池在线存储资源池离线存储资源池呼叫中心区安全控制OA-DMZ安全控制安全控制OA区安全控制核心交换区DC外部网络DC内部网络互联网金融区安全控制安全控制备份网新数据中心网络功能域划分生产网11个分行同城数据中心人行、银38虚拟化网络架构网络架构建议采用虚拟化和扁平化技术，简化网络架构，实现功能域内大二层的互联互通；

随着计算资源节点需求的增长，可通过扩展板卡或增加接入层交换机方式实现网络资源的弹性扩展。功能实现：虚拟化技术：增强型二层，私有技术（IRF/vPC），技术应用成熟，网络架构简单，实现跨交换机链路捆绑；汇聚设备支持CLOS无阻塞交换与VOQ接口大缓存，实现高性能低时延；万兆服务器建议直接上联汇聚层交换机；服务器采用双网卡接入双交换机节点，实现冗余高可用；支持功能域内虚机的动态漂移和策略跟随；虚拟化技术提高网络资源的利用率；满足网络资源池的弹性扩展。汇聚交换机汇聚交换机接入交换机接入交换机功能域千兆服务器万兆服务器10GE1GE虚拟化网络架构网络架构建议采用虚拟化和扁平化技术，简化网络39DWDM区拓扑架构DWDM区数据中心B（研发中心）数据中心（生产中心）总行数据中心（同城灾备中心）核心交换区L3互联生产区L2互联运维管理区L3互联FC-SAN区互联核心交换区L3互联生产区L2互联运维管理区L3互联FC-SAN区L2互联核心交换区L3互联运维管理区L3互联DWDM区DWDM区备份网L3互联备份网L3互联1GE1GE1GE裸光纤裸光纤DWDM区拓扑架构DWDM区数据中心B数据中心总行数据中心核40内联区拓扑架构分行数据中心A防火墙路由器核心交换区10GE10GE专线专线内联区拓扑架构分行数据中心A防火墙路由器核心交换区10GE141外联区拓扑架构前置服务器人民银行银联第三方…防火墙交换机防火墙路由器核心交换区外联区计算资源池10GE10GE中间业务平台系统批量业务平台系统信用卡系统境内外币支付支票影像系统反洗钱系统二代支付系统法院前置系统网上支付跨行清算系统短信平台身份证联网核查手机银行系统IC卡系统1.0金融IC卡系统2.0监管报送系统国际结算系统（含金宏工程和ABOQ）财税库行银联数据前置系统中国银联前置系统专线专线专线

外联区共计19个应用系统(52个节点)：其中中间业务5个,存取款业务4个,电子渠道业务8个,管理信息系统2个外联区拓扑架构前置服务器人民银行银联第三方…防火墙交换机防火42电子商务区拓扑架构WEB服务器…防火墙交换机防火墙InternetWAF交换机防火墙核心交换区APP服务器…DMZ区计算资源池电子商务区计算资源池应用负载均衡IDS/IPS链路负载均衡DDOSVirus应用负载均衡不同运营商互联网接入链路10GE10GE1GE支付宝卡通系统个人网银系统企业网银系统网银管理端系统手机银行系统

电子商务区共计5个电子渠道业务系统(25个节点)支付宝卡通系统个人网银系统手机银行系统DB服务器…全局负载均衡电子商务区拓扑架构WEB服务器…防火墙交换机防火墙Inter43互联网金融区拓扑架构WEB服务器…防火墙交换机防火墙InternetWAF交换机防火墙核心交换区APP/DB服务器…DMZ区计算资源池互联网金融区计算资源池应用负载均衡IDS/IPS链路负载均衡DDOSVirus应用负载均衡不同运营商互联网接入链路10GE10GE1GE其它互联网金融业务金融网信息管理系统银企对账系统财付通系统磐石农民钱包系统

互联网金融区共计4个应用系统(16个节点)：其中贷款业务1个，管理信息系统1个，电子渠道业务2个金融网信息管理系统银企对账系统财付通系统全局负载均衡互联网金融区拓扑架构WEB服务器…防火墙交换机防火墙Inte44呼叫中心区拓扑架构呼叫中心区计算资源池…防火墙交换机核心交换区应用服务器PSTN10GE10GE呼叫中心系统银联数据前置系统

呼叫中心区主要包括1个电子渠道业务(38个节点)呼叫中心区拓扑架构呼叫中心区计算资源池…防火墙交换机核心交换45生产区拓扑架构汇聚交换机核心交换机核心交换区…虚拟化X86资源池（DB）…虚拟化X86资源池(WEB/APP)…小型机资源池（WEB/APP/DB）…物理X86资源池（WEB/APP/DB）防火墙应用负载均衡生产区接入交换机万兆服务器、NAS存储建议直接上联汇聚交换机，千兆服务器上联接入层交换机；服务器采用双网卡接入双交换机节点实现冗余高可用，通过跨交换机链路捆绑方式实现链路负载均衡，提高带宽利用率。IPS/IDS10GE10GE10GE10GE10GE1GE1GE1GE1GE10GE10GE10GE生产区拓扑架构汇聚交换机核心交换机核心交换区…虚拟化X86资46生产区拓扑架构ATMPATM远程分发ATM远程监控EAST系统EBP业务平台ESB企业服务总线系统SWIFT系统中间业务平台系统事后监督系统二代支付前置PMTS二代支付系统人民币利率报备系统保证金系统信用卡进件系统信贷系统借记卡系统债券系统公共信息平台系统内容管理平台冠字号采集系统利率屏系统历史数据查询系统反假币系统反洗钱系统国库集中支付系统国际结算系统（含金宏工程和ABOQ）大总帐系统大额存单系统实时报表系统客户风险统计报送系统密码服务平台系统对公客户信用风险评级小企业绩效系统应用监控系统影像管理平台征信系统2.1总行对公绩效考核系统批处理作业统一调度平台指纹系统支付信息报送统计（新增系统）支付网关系统支票影像系统收单系统POSP数据仓库系统新准则系统机构绩效查询系统柜员绩效考核系统标准化存贷款综合抽样统计监测系统核心系统理财资产管理系统理财销售系统电子验印系统2.0电视银行系统监管报送系统短信平台磐石信贷新准则系统磐石征信系统2.1票据系统管理会计系统统一报表系统综合柜面系统股权信息管理系统西联汇款系统财务经费系统财务网上报销系统财务预算管理系统资产保全系统资本项目数据采集系统身份证联网核查金融网信息管理系统银企对账系统银监动态监测系统非现场审计稽核系统境外人民币信息报送系统

生产区共计74个电子渠道业务(261个节点)：中间业务9个,存取款业务11个,电子渠道业务12个,管理信息系统30个,财务类系统4个,贷款业务8个生产区拓扑架构ATMPATM远程分发ATM远程监控EAST系47准生产区拓扑架构汇聚交换机核心交换机核心交换区…虚拟化X86资源池（WEB/APP/DB）…小型机资源池（WEB/APP/DB）防火墙应用负载均衡准生产区接入交换机10GE10GE1GE1GE10GE10GE10GE10GE准生产区拓扑架构汇聚交换机核心交换机核心交换区…虚拟化X8648OA区拓扑架构WEB服务器…防火墙交换机防火墙InternetWAF交换机防火墙核心交换区APP/DB服务器…DMZ区计算资源池OA区计算资源池应用负载均衡IDS链路负载均衡DDOSVirus应用负载均衡不同运营商互联网接入链路10GE1GE10GE400客服系统公司业务发展论坛电子邮件系统(内网)电子邮件系统(外网)运维审计系统人力资源管理系统内部审计平台系统IT运营管理系统在线考试系统学习园地IT服务管理平台系统移动官网系统新版考试系统？办公自动化系统门户网站系统腾讯通系统考勤系统虚拟桌面系统OA区共计18个办公业务系统(67个节点)OA区拓扑架构WEB服务器…防火墙交换机防火墙Interne49运维管理区拓扑架构小型机资源池物理x86资源池虚拟x86资源池(DB)NAS资源池在线存储资源池离线存储资源池Solarwinds网管系统北塔网管系统AAA系统vCenter系统性能监控系统日志管理系统NTP服务器网络设备虚拟x86资源池(APP)核心交换机核心交换机防火墙串口管理接入交换机设备管理接入交换机宿主机管理接入交换机vMotion网接入交换机心跳网接入交换机备份网（万兆交换机）维护终端接入交换机防火墙10GE10GE10GE10GE10GE10GE1GE1GE10GE10GE1GEIT运营管理系统IT服务管理平台系统应用监控系统带外管理系统

运维管理区共计4个应用系统(20个节点)运维管理区拓扑架构小型机资源池物理x86资源池虚拟x86资源50远程带外网络管理通过串口设备远程管理解决方案（Serial-to-IP)，为灾备中心网络设备（Console口）提供远程带外网络管理服务。RS232RS232RS232RS232RS232路由器交换机负载均衡器防火墙IPS串口管理交换机LANWANInternetVPN远程管理员远程管理员本地管理员ConsoleConsoleConsoleConsoleConsole远程带外网络管理通过串口设备远程管理解决方案（Serial51设备接口类型及带宽需求服务器和存储设备接口类型及带宽需求：生产网设备管理网vMotion网集群心跳网物理x86服务器(DB)212虚拟化X86服务器(DB)虚拟化x86服务器(WEB/APP)物理x86服务器(分布式计算)物理x86服务器(利旧)小型机服务器(每个分区)2*10GE/2*1GEFC-SAN存储设备2324NAS存储设备数据备份网FC-SAN网宿主机管理网121GE电10GE光21GE电1GE电1GE电1GE电10GE光8GB光22121221212221121112124*10GE注：小型机第一个分区：生产网和心跳网采用万兆网2FC-SANIP设备接口类型及带宽需求服务器和存储设备接口类型及带宽需求：生52序号方案主要考虑因素优势存在问题1全新IP地址规划数据中心的全新规划；考虑计算资源虚拟化，应用系统需要重新部署调试；保证新数据中心IP地址段的连续性、可管理性和路由收敛；可提前进行网络联调及路由测试；、总行和数据中心B可同时在线提供生产服务，有利于分批次进行搬迁，更好地降低生产服务中断时间；

可考虑采用DNS域名解析服务，解决IP地址变更对业务带来的影响；迁移应用系统需要更改IP地址及关联系统接口配置，可能影响迁移时间和；

需要重新发布新的IP地址信息，无法满足终端用户的透明访问，影响用户范围较大；部分与IP绑定的应用系统需要重装，增加应用系统的调试时间；可能延长整体搬迁时间；2利旧IP地址（沿用现有生产IP地址段）总行、数据中心B生产系统直接搬迁到数据中心；降低IP地址变更带来的影响；应用系统IP地址保持不变，不需要更新应用系统的接口配置，方便物理搬迁后的系统联调及上线；有利于加快生产环境的整体搬迁时间；部分应用系统部署在不同数据中心不同功能域的不同网段中，导致IP资源浪费，不利于系统的维护管理；

部分应用系统复用物理服务器和IP地址，不利于系统监控维护或故障处理；

相同IP地址段无法在不同数据中心同时在线使用，不利于分批次进行搬迁，生产服务中断时间将延长；生产服务中断（开始搬迁）后，才能进行网络联调及路由测试，以避免地址段冲突；影响旧IP地址段的连续性，不利于数据中心内部路由收敛。IP地址规划方案选择建议方案序号方案主要考虑因素优势存在问题1全新IP地址规划数据中心的53IP地址划分遵循原则：

唯一性：IP地址必须唯一，一个IP地址对应一个数据通讯设备；

连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由寻径效率；

可扩充性：分配地址应预留一定量的备用地址块，以便网络节点增加后能保持地址的连续性；

可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其它部分；

高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码技术的TCP/IP协议族；

考虑应用系统类型的不同，为业务网、办公网和运维管理网划分不同的IP地址段，便于维护管理；

结合网络功能域的划分，同时考虑业务系统类型、部署规模、及未来业务发展等需求，进行IP子地址段的规划，同时预留一定的IP子网段满足未来扩容需要；

对不同类型应用系统，建议规划不同的IP地址段，便于安全访问控制和维护管理；

对同类型规模较小的应用系统，建议可共用相同IP地址段，避免IP资源的浪费，或采用变长子网掩码技术划分子网段；

对目前存在资源复用的应用系统，建议按不同应用系统和不同应用节点进行拆分部署，为每个应用节点分配独立的IP地址。IP地址规划原则IP地址划分遵循原则：IP地址规划原则54IP地址规划数据中心B类IP地址段功能域IP地址段规划部署的应用类型及规模生产网1个B类地址段（10.A.0.0/16，预分配190个C）生产区128个C类地址段中间业务9个存取款业务11个电子渠道业务12个管理信息系统30个财务类系统4个贷款业务8个准生产区4个C类地址段呼叫中心区2个C类地址段电子渠道业务1个外联区32个C类地址段中间业务5个存取款业务4个电子渠道业务8个管理信息系统2个电子商务区电子商务-DMZ区8个C类地址段电子渠道业务5个互联网金融区互联网金融-DMZ区8个C类地址段贷款业务1个管理信息系统1个电子渠道业务2个网络设备互联8个C类地址段满足交换机、路由器、防火墙、安全设备等设备的互联互通需要IP地址规划数据中心B类IP地址段功能域IP地址段规划部署的55IP地址规划数据中心B类IP地址段功能域IP地址段规划部署的应用类型及规模办公网1个B类地址段（10.B.0.0/16，预分配32个C）OA区OA-DMZ区32个C类地址段办公业务18个运维管理网1个B类地址段（172.C.0.0/16，预分配56个C）设备管理8个C类地址段宿主机管理8个C类地址段vMotion网8个C类地址段心跳网4个C类地址段备份网8个C类地址段运维管理服务器8个C类地址段办公系统2个管理信息系统2个维护终端4个C类地址段IP地址规划数据中心B类IP地址段功能域IP地址段规划部署的56路由协议规划总行、数据中心B与同城数据中心之间动态路由协议规划：OSPFArea0核心路由器（分行）数据中心互联数据中心互联总行同城灾备核心研发中心核心生产核心核心路由器（分行）OSPFArea1OSPFArea8…生产区、准生产区、呼叫中心区、外联区、电子商务区、互联网金融区、OA区、运维管理区路由协议规划总行、数据中心B与同城数据中心之间动态路由协议规57路由协议规划生产中心、同城灾备中心、异地灾备中心、及分行之间的动态路由协议规划：AS65430总行路由器分行路由器AS65100总行同城灾备中心异地灾备中心数据中心互联EBGPEBGPEBGPEBGPiBGPiBGPiBGPAS65431~AS65442生产中心路由器分行路由协议规划生产中心、同城灾备中心、异地灾备中心、及分行之间58两地三中心一体化网络架构规划5两地三中心一体化网络架构规划559两地三中心一体化网络架构两地三中心容灾网络架构规划：

同城数据中心DWDM互联

数据中心-分行冗余MPLSVPN互联外联机构冗余专线互联

互联网冗余出口

容灾网络切换实现

动态路由切换

静态路由切换

智能DNS解析应用负载均衡灾备网络管理系统建设分支机构…分行分行…各营业点广域网CTCMPLSVPNCUCMPLSVPN数据中心DWDM数据中心总行数据中心数据中心A人行互联网金融出口电子商务出口Internet银联第三方分支机构外联机构互联网用户专线数据中心B两地三中心一体化网络架构两地三中心容灾网络架构规划：分支机构60总行同城灾备中心网络架构Internet业务网OA网运维管理网外联区安全控制安全控制运维管理区安全控制生产区安全控制内联区安全控制电子商务区安全控制安全控制InternetOA区安全控制安全控制核心交换区互联网金融区安全控制安全控制备份网FC-SAN网FC-SAN存储网生产网运维管理区安全控制灾备/生产区安全控制核心交换区备份网FC-SAN网呼叫中心区安全控制外联区安全控制安全控制内联区安全控制电子商务区安全控制安全控制OA区安全控制安全控制互联网金融区安全控制安全控制DWDM区DWDM区生产中心总行灾备中心运维管理网FC-SAN存储网灾备网呼叫中心区安全控制人行/银联/第三方分行/数据中心业务网OA网总行同城灾备中心网络架构Internet业务网OA网运维管理61研发中心网络架构研发中心网络架构规划：

同城数据中心DWDM互联开发测试网规划

运维管理网规划

FC-SAN网规划

培训中心测试系统接入研发中心DWDM区培训中心开发测试区生产中心总行同城灾备中心裸光纤裸光纤裸光纤OSPF三层路由互通光纤内联区安全控制安全控制运维管理区安全控制FC-SAN网核心交换区DWDM区DWDM区核心交换区运维管理区安全控制FC-SAN网核心交换区运维管理区安全控制FC-SAN网研发中心网络架构研发中心网络架构规划：研发中心DWDM区培训62异地灾备中心网络架构异地灾备中心网络架构规划：灾备/生产网规划

运维管理网规划

FC-SAN网规划Intranet互联规划

Extranet互联规划

Internet接入规划业务网OA网运维管理网外联区安全控制安全控制运维管理区安全控制灾备/生产区安全控制内联区安全控制电子商务区安全控制安全控制InternetOA区安全控制安全控制核心交换区互联网金融区安全控制安全控制备份网FC-SAN网FC-SAN存储网灾备网呼叫中心区安全控制人行/银联/第三方分行/数据中心异地灾备中心网络架构异地灾备中心网络架构规划：业务网OA网运63Intranet扁平化广域网架构

实现与分公司之间Intranet的高速互联互通，满足全集团用户的灵活业务访问；支持两地三中心的容灾需要；MPLSVPN支持上联带宽的灵活扩容，更好地满足未来云数据中心的业务访问；简化广域网的运维管理工作（由运营商负责运维）；不同运营商MPLSVPN实现互备，可根据实际需要实现路由负载分担；方便未来新数据中心、分支机构、或海外节点的灵活扩展及带宽平滑升级，对现有分支节点的链路或路由无任何影响。广域网架构，建议迁移到性能更优的MPLSVPN上，实现架构的扁平化和基于协议/内容的QOS管理；

灵活满足未来新数据中心或分公司的快速接入，以及带宽的平滑升级等需求。CTCMPLSVPN数据中心（两地四中心）数据中心分公司分公司分公司分公司分公司……总行数据中心数据中心B数据中心A…CUCMPLSVPNIntranet扁平化广域网架构实现与分公司之间Intra64应用访问方式适用范围建议灾备网络建设关注点DNS域名解析访问：通过DNS服务器可集中、快速实现域名-IP地址的灾备切换，实现灾备切换后用户的透明访问更好地支持未来应用系统双活/多活建设适用内部应用系统，面向互联网的应用系统应用系统域名解析规划；内网全局智能DNS服务建设；外网全局智能DNS服务建设；应用负载均衡服务；应用系统访问方式和软件更新（IP地址DNS域名）；IP地址访问：应用系统搬迁或灾备部署，需要更改应用IP和相关接口配置，增加部署维护难度灾备切换后，需要通知相关用户更改应用系统的访问IP，影响灾备切换效率不利于未来应用系统双活建设适用于与人行/银行/第三方等互联应用系统灾备线路可为生产线路提供备份服务；生产-灾备环境之间的路由访问控制；为第三方提供NAT地址转换服务；*应用系统支持主备IP地址切换访问，支持灾难恢复（可选）。应用系统访问方式建议应用访问方式适用范围建议灾备网络建设关注点DNS域名解析访问65全局智能DNS解析服务Internet/Intranet智能终端移动用户客户端App服务器Web服务器应用负载均衡DB服务器智能DNS解析App服务器Web服务器应用负载均衡DB服务器智能DNS解析DNS解析DNS解析联动App服务器Web服务器应用负载均衡DB服务器智能DNS解析DNS解析生产数据中心同城灾备数据中心异地灾备数据中心联动为两地三中心建立全局智能DNS系统，以满足多数据中心之间的主备或双活/多活应用部署要求内网全局智能DNS服务外网全局智能DNS服务全局智能DNS解析服务Internet/Intranet智能66全局的流量负载均衡智能DNS支持的全局流量分配方式：数据中心间的自动容灾切换手动故障切换动态数据中心负载均衡基于拓扑的分配全局连续性应用负载均衡智能DNSWeb/App服务器Web/App服务器DB服务器生产数据中心灾备数据中心DB服务器Internet/Intranet客户端应用负载均衡智能DNS联动流量分配DNS解析健康检查全局的流量负载均衡智能DNS支持的全局流量分配方式：应用负载67生产-灾备网络管理系统部署方案一：生产-灾备独立网管部署生产-灾备数据中心分别部署独立网管系统，满足灾备网络管理需要；方案二：生产-灾备分布式网管部署灾备数据中心可单独网管本地网设，并可通过生产数据中心集中进行网管。注：已部署的网络管理系统Solarwinds网络性能监控北塔网管系统数据中心总行/数据中心A网管系统集中管理两地三中心单独管理本地数据中心网管系统分布式部署AAA服务AAA服务生产-灾备网络管理系统部署方案一：生产-灾备独立网管部署注：68网络架构蓝图演进路线6网络架构蓝图演进路线网络架构演进建设项目卡网络架构蓝图演进路线6网络架构蓝图演进路线69网络架构蓝图演进路线Q4Q3Q2Q12019年Q4Q3Q2Q12018年Q4Q3Q2Q12017年Q4Q3Q22016年Q4Q3Q2Q12020年NW4.1智控/数据中心网络架构优化NW4.2异地灾备中心网络架构优化NW2.2数据中心网络系统建设NW5.1同城准双活网络架构优化NW4.4两地三中心容灾网络架构优化NW2.1数据中心综合布线系统建设图标：NW1.0网络架构规划设计Q1NW1.0整体规划阶段NW5.2网络云管理平台建设NW3.1生产系统搬迁实施方案准备NW3.2生产系统搬迁网络配合实施NW2.3应用系统DNS域名服务建设NW3.3内联网链路迁移及路由优化NW3.4外联网链路迁移及路由优化NW4.3总行同城灾备中心网络架构建设NW5.3网络定义网络应用试点NW2.0建设阶段NW3.0生产搬迁阶段NW4.0容灾完善阶段NW5.0双活/云建设阶段网络架构蓝图演进路线Q4Q3Q2Q12019年Q4Q3Q2Q70项目卡_NW2.1项目编号NW2.1项目名称数据中心综合布线系统建设目负责部门责任部门信息科技部开始时间2016.04完成时间2016.06项目目标完成1-2机房综合布线系统的建设，为数据中心网络架构的建设提供支撑；完成1-2机房与1-1机房之间的综合布线，满足两个机房之间网络的互联互通需要。项目范围

1-2机房综合布线方案设计

1-2机房IP网络光纤、铜缆布线

1-2机房FC-SAN光纤布线1-2机房带外网络管理布线

1-2与1-1机房之间IP网、FC-SAN网的互联布线风险控制综合布线性能测试符合规范要求综合布线具有规范完善的标识依赖条件

1-2机房机柜用途规划分配

1-2机房基础设施环境就绪项目卡_NW2.1项目编号NW2.1项目名称数据中心综合布线71项目卡_NW2.2项目编号NW2.2项目名称数据中心网络系统建设目负责部门责任部门信息科技部开始时间2016.05完成时间2016.08项目目标完成1-2机房网络系统建设，包括核心交换机、汇聚交换机、接入交换机、路由器、防火墙、应用负载均衡、安全设备等，为新生产数据中心提供网络支撑。项目范围

1-2机房网络、安全设备上架加电1-2机房网络及安全设备安装调试，包括设备连线、设备配置、VLAN/IP地址段分配、路由协议、安全策略等配置调试1-2机房网络系统联调1-2与总行、数据中心B之间DWDM的互联互通网络系统全局路由联调测试风险控制制定网络系统实施及配置规范制定网络系统测试验收标准依赖条件数据中心网络架构及网络安全实施方案1-2机房综合布线系统建设完成

1-2机房基础设施环境就绪项目卡_NW2.2项目编号NW2.2项目名称数据中心网络系统72项目卡_NW2.3项目编号NW2.3项目名称应用系统DNS域名服务建设责任部门信息科技部开始时间2016.06完成时间2016.08项目目标应用系统DNS域名服务建设，在系统迁移或未来灾备切换时，能够快速实现应用系统访问切换，保障业务的连续运行。项目范围应用系统内网DNS域名规划

DNS系统部署建设

对应用系统之间的互访或接口配置，需将相应的IP地址更改为域名

为相关应用服务器和用户终端等更新DNS信息风险控制制定DNS部署规范

应用系统之间的接口配置变更需要开发商的支持依赖条件应用系统统一采用DNS访问方式

应用系统规范命名项目卡_NW2.3项目编号NW2.3项目名称应用系统DNS域73项目卡_NW3.1项目编号NW3.1项目名称生产系统搬迁实施方案准备责任部门信息科技部开始时间2016.04完成时间2016.08项目目标根据生产系统搬迁规划方案，制定网络详细迁移实施方案，更好地为应用系统的迁移实施提供网络支撑。项目范围

明确各应用系统节点对应部署的网络功能域

明确各应用系统迁移对关联链路的互联互通要求

明确各应用系统迁移对关联业务和用户的中断影响

明确各应用系统新IP地址和域名的规划分配梳理各应用系统对负载均衡和安全访问控制策略要求

梳理各应用系统迁移对互联网出口、外联网机构NAT地址转换和安全访问控制策略要求

配合应用系统迁移计划制定相应网络实施方案及脚本制定网络链路迁移割接、路由优化、测试验证方案风险控制网络中断对应用系统的影响分析

业务允许中断时间窗口分析制定详细的应急回退方案依赖条件

数据中心网络架构规划设计

生产系统搬迁规划方案项目卡_NW3.1项目编号NW3.1项目名称生产系统搬迁实施74项目卡_NW3.2项目编号NW3.2项目名称生产系统搬迁网络配合实施责任部门信息科技部开始时间2016.08完成时间2017.08项目目标根据生产系统的搬迁计划和批次，同步配合完成相关网络资源的分配测试工作。项目范围

涵盖总行、智控、1-1数据中心所有生产应用系统

根据生产系统搬迁实施方案和应用系统搬迁安排，同步完成网络环境的搭建、部署和实施

网络实施工作主要包括VLAN和IP地址分配、应用负载均衡、安全访问控制策略、网络高可用、系统测试联调、信息发布等内容风险控制

应用系统网络安全策略梳理

线路迁移割接的平滑过渡制定详细的应急回退方案依赖条件

数据中心网络系统建设完成

同城数据中心之间网络实现互联互通生产系统搬迁实施方案项目卡_NW3.2项目编号NW3.2项目名称生产系统搬迁网络75项目卡_NW3.3项目编号NW3.3项目名称内联网链路迁移及路由优化责任部门信息科技部开始时间2016.08完成时间2016.12项目目标根据应用系统的搬迁规划，逐步将总行数据中心现有内联网链路进行迁移。项目范围各分行内联链路申请敷设各分行备内联链路割接迁移和路由优化各分行主内联链路割接迁移和路由优化风险控制先迁移内联网备链路，再迁移内联网主链路线路割接允许中断时间窗口制定应急回退方案依赖条件

数据中心网络系统建设完成-总行数据中心之间路由互联互通项目卡_NW3.3项目编号NW3.3项目名称内联网链路迁移及76项目卡_NW3.4项目编号NW3.4项目名称外联网链路迁移及路由优化责任部门信息科技部开始时间2017.01完成时间2017.08项目目标根据应用系统的搬迁规划，逐步将总行数据中心现有外联链路进行迁移。项目范围人行、银联、第三方等外联链路申请敷设人行、银联、第三方等外联链路割接迁移外联链路的NAT地址转换及路由优化开通数据中心外联区与总行数据中心外联区之间的路由风险控制明确第三方前置应用的访问控制策略线路割接允许中断时间窗口制定应急回退方案依赖条件外联链路与各应用系统关联关系

外联链路相关联应用系统迁移完成

数据中心网络系统建设完成-总行数据中心之间路由互联互通项目卡_NW3.4项目编号NW3.4项目名称外联网链路迁移及77项目卡_NW4.1项目编号NW4.1项目名称智控/数据中心网络架构优化责任部门信息科技部开始时间2017.08完成时间2017.12项目目标数据中心B（研发中心）网络架构优化；数据中心（1-1机房）网络架构优化。项目范围

根据智控研发中心的定位，重新优化现有网络架构，整合开发测试环境资源

根据1-1机房的定位，重新优化网络架构和布线，整合同城灾备环境资源风险控制制定网络系统实施及配置规范制定网络系统测试验收标准依赖条件

智控生产系统搬迁完成1-1机房生产系统搬迁完成

总行生产系统搬迁完成项目卡_NW4.1项目编号NW4.1项目名称智控/数据中心网78项目卡_NW4.2项目编号NW4.2项目名称异地灾备中心网络架构优化责任部门信息科技部开始时间