2023数据中心网络架构设计技术方案

数据中心网络架构设计技术方案培训内容数据中心总体架构设计数据中心功能区域划分网络优化建议未来网络发展规划2数据中心总体架构设计网络总体设计原则；安全策略规划；路由协议规划。3网络设计原则宁波数据中心是宁波通商银行IT整体发展的重要组成部分，它将作为全国生产中心投入运行。生产数据中心的建成将为提高宁波通商银行的经营管理决策水平和风险控制能力打下坚实的基础，并支持提升宁波通商银行整体的服务水平和信息化服务质量。同时也要满足宁波通商银行未来3～5年的信息系统建设需求，使该数据中心成为宁波通商银行核心业务稳定、安全和高效运行的基础平台；为宁波通商银行核心业务系统提供一个强有力的硬件支撑平台，网络设计不仅要体现当今网络多业务服务的发展趋势，同时具有最灵活扩展性。建立集广域网和局域网为一体的端到端、以IP为基础的统一的一体化网络平台，支持多协议、多业务层次化的网络结构；在进行网络方案设计时，重点考虑网络系统的可靠性、安全性、可扩展性和先进性。4可靠性我们将数据中心的网络系统划分为不同网络区域，各个区域负责各自的功能。这样当一个网络区域出现问题时，不会影响到其他区域，提高整个系统的可用性。5安全性按照行内业务功能和安全需求，可以设置不同的访问控制，对不同区域之间进行安全隔离；在关键点部署硬件防火墙、IPS等。通过使用硬件防火墙，我们可以控制各个区域之间的联通性，既可以严格控制各个区域之间完全隔离，又可以只允许部分网段之间的相互访问；通过使用IPS带有大量安全特性的功能，包括防止预防DDOS攻击、防止IP地址欺骗、防止中间人攻击、防止ARP泛滥、防止DHCP欺骗等许多安全特性，通能够有效的提升系统的安全。6扩展性核心交换机和路由器使用模块化配置，通过新增板卡可以方便进行扩充；每台设备预留一定数量的槽位，便于以后的扩充；网络系统所采用高性能的硬件平台，吞吐能力和包转发能力都是业界领先的，可以保证一定阶段内用户应用的发展需要；7先进性整体方案吸取了目前金融系统的集成经验，借鉴了金融系统的案例。设备采用目前世界领先水平生产商最先进的产品。8安全策略规划在安全域划分的基础上，将不同的网络资源部署在相应的安全域中，利用防火墙的安全控制机制和交换机自带的访问控制（ACL）功能，来实现各安全域之间的访问控制。原则上，只允许各安全域根据服务和应用的实际需求，开放相应的资源和访问端口，限制不必要的服务，提高本域的安全性；允许高安全级别用户访问低安全域中的资源。但不允许低安全域中的用户访问高安全域中的非授权资源。9路由协议规划10内容OSPFIS-IS标准化国际标准（IETF）国际标准(ISO、IETF)协议种类链路状态链路状态协议算法SPFSPF适用性专为IP设计用于CLNS或CLNS+IP环境灵活性高高通用性高中扩展性中高宁波数据中心内部采用OSPF+静态路由的方式实现全网路由。各个功能区域内部使用直连路由，功能区域间使用静态路由将内网路由指向交换核心，交换核心上启用OSPF路由协议，实现路由协议动态收敛。数据中心功能区域划分总体网络结构各功能区域详细设计11总体网络拓扑图12核心交换区13数据库及应用服务器区14综合前置区15第三方外联区16业务转换区域17分行接入区18办公服务器区19办公大楼接入区20开发测试区21网络管理区22ECC区域23网银区域24网络优化建议网络架构优化建议；网络性能优化建议；关键设备电源优化建议。25网络架构优化建议

连接分行与分支机构的广域网区域未部署防火墙，安全层面缺乏有效的控制手段，虽然相关设备的接口上已部署访问控制列表ACL，但防护较为单一，且较难满足监管要求。建议在广域网路由器与核心交换机之间部署1套防火墙设备，防火墙运行在透明模式，对已有网络影响较小。另外，目前广域网线路OSPF类型是广播模式，故障恢复收敛时间长，效率低，需要将接口模式改为P2P模式，加快收敛速度，提高网络稳定性。26网络架构优化建议庄市三楼接入在组织结构上属于总行分支机构或者总行大型职场，虽然目前与办公服务器共用防火墙，已有安全等级划分与隔离，但安全边界不清晰，建议不直连在两网隔离区办公侧防火墙上，而是将庄市三楼接入网络连接到广域网路由器上，统一从分支机构网络接入，使用统一的安全策略进行数据隔离。27网络架构优化建议

第三方外联区域目前NAT功能部署在外层防火墙上，根据我们的项目经验与行业参考案例，第三方外联区域建议部署外层负载均衡设备，负载均衡设备根据每个第三方应用建立NAT连接，并且可以对业务前置机做负载均衡，防火墙只需实现安全策略控制。28网络架构优化建议

办公服务器区域共用了两网隔离区的办公侧防火墙，建议办公服务器区域部署区域内防火墙，不与其它区域共享设备，降低区域关联度，增加网络的稳定性与安全性。29网络架构优化建议

两网隔离区业务侧防火墙建议直连在业务区域汇聚交换机上，而办公侧防火墙直连在办公服务器区的汇聚交换机上，两网隔离区不再与核心交换机连接，这样业务与办公之间的数据互访只需通过双层异构防火墙，减少了数据通路中的防火墙数量，降低安全策略部署的复杂度，也提高了数据传输的效率。30网络架构优化建议

网管区与ECC区汇聚交换机仅部署了单台设备，有单故障点隐患存在，建议各增加1台相同型号设备，实现冗余架构，提高网络的稳定性。31网络性能优化建议目前网络设备运行平稳，CPU与内存占用都在合理范围内，能够满足一定时期内业务发展的需要。经过前期的统计与分析，发现部分网络设备端口消耗量较大，在扩展性上受到限制。NBDC-DSFR-RT-2911接口已用满，连接19条线路，建议升级设备；NBDC-DBAPP-SW-C3750交换机剩余端口不足15%，建议考虑端口扩容；NBDC-GYHX-RT-C3945剩余1个千兆接口，需要做端口汇聚，或者做设备升级，NBDC-GYHX-RT-C3945-01少1个EHWIC-1GE-SFP-CU；网络管理3560端口剩余8%，建议增加设备，扩充端口；NBDC-ZHQZ-SW-C3750剩余端口33%，建议关注端口消耗速度；SHBR-JHHX-SW-C3750交换机剩余端口不足15%，建议考虑端口扩容；32关键设备电源冗余优化建议

在现有数据中心关键网络设备中，6509交换机与3750交换机都为双电源配置，而防火墙都为单电源配置，建议在未来的建设工作中逐步替换成双电源设备，尤其是DBAPP区域、网银区域和第三方区域等关键业务区域的防火墙设备。33优化后的网络总体结构图34未来网络发展规划网络结构发展趋势总体网络架构数据中心网络架构分行网络架构支行网络架构网络路由发展趋势数据中心新技术35总体网络架构发展趋势36数据中心网络架构37分行网络架构38支行网络架构39网络路由发展趋势40网络路由发展趋势41传统部署方式（一）TOR方式42Aggregation优势:线缆连接更有效不足:要管理的设备数量，

STP负载与Loop风险EnterpriseCore[…]..........................传统部署方式（二）EOR方式43Aggregation优势:较少的设备与STP负载及风险不足:线缆连接增多EnterpriseCore[…]....................row1rown新的设计思路44Nexus5000Virtualizedchassis+Nexus5000Nexus2000FabricExtender=思科Nexus5K/2K新的设计思路45VPC技术VirtualPortChannelL2IncreasedBWwithvPCNon-vPCvPCPhysicalTopologyLogicalTopologyvPC是端口捆绑协议的扩展，实现2个物理设备逻辑上形成1个设备网络结构简单灵活，大大降低STP的复杂度所有上联线路都能使用实现了跨机箱的多端口捆绑控制平面相对独立核心层设计46设计要点：设计目的：实现快速的数据交换，并且提供高可靠性和快速的路由收敛；性能可以扩展到15Tbps，每台当前支持的最大交换容量为4Tbps；所有配件冗余，完全支持热拔插；配置万兆接口与千兆接口；下行多个10G链路捆绑；汇聚层、接入