应收账款局域移动系统数据中心设计方案.doc

应收账款局域移动系统应收账款局域移动系统 数据中心设计方案数据中心设计方案 2 51 目目 录录 第第 1 章章 前言前言 4 第第 2 章章 概述概述 5 第第 3 章章 网络设计原则网络设计原则 6 第第 4 章章 总体架构设计总体架构设计 7 4 1 结构设计 7 4 1 1 结构设计策略 7 4 1 2 分区模块设计 7 4 1 3 分层设计 8 4 2 数据中心局域网拓朴 10 4 3 网络核心层 11 4 4 核心业务区 11 4 5 运行管理区 12 4 6 广域接入区 13 4 7 办公接入控制区 13 4 8 外联 网上业务区 14 4 9 设备选型推荐 15 4 9 1 H3C S7500E简介 16 4 9 2 AR28 80简介 20 第第 5 章章 服务器接入设计服务器接入设计 23 第第 6 章章 VLAN 和和 SPANNING TREE 设计设计 24 6 1 VLAN 简述 24 6 2 VLAN 注册协议 GVRP 24 6 3 VLAN 设计 26 6 4 STP 设计 26 6 5 VRRP 27 第第 7 章章 IP 地址设计地址设计 28 第第 8 章章 路由选择和设计路由选择和设计 29 8 1 路由协议选择 29 8 2 路由边界 30 8 3 路由协议设计 OSPF 31 8 3 1 OSPF Area设计 31 8 3 2 OSPF Process ID 32 8 3 3 OSPF Router ID 32 8 3 4 OSPF链路Metric 32 8 3 5 OSPF MD5认证 32 8 3 6 选路规划 33 8 4 静态路由 33 3 51 第第 9 章章 可靠性设计可靠性设计 33 9 1 可靠性概述 33 9 2 设备级可靠性设计 34 9 3 链路级可靠性设计 36 9 4 网络级可靠性设计 37 9 4 1 拓扑冗余 37 9 4 2 网关冗余 40 9 4 3 路由冗余 40 9 5 应用级可靠性设计 41 第第 10 章章 网络安全网络安全 41 10 1 安全设计概述 41 10 2 安全管理中心设计 42 10 3 其他安全防护考虑 44 10 4 网络病毒控制 45 第第 11 章章 网络管理网络管理 47 第第 12 章章 数据中心存储数据中心存储 47 4 51 第第 1 章章 前言前言 随着社会生产力的不断发展 用户需求不断发展提高 市场也不断发展变化 谁能真正 掌握市场迎合用户 谁就能够占领先机提高自己的核心竞争力 企业运营中关键资讯传递的 畅通可以帮助企业充分利用关键资源 供应链 渠道管理 了解市场抓住商机 从而帮助企 业维持甚至提高其竞争地位 作为网络上数据存储和流通中心的企业数据中心很显然拥有企 业资讯流通最核心的地位 其越来越受到企业的重视 数据中心建设已经成为行业内的一个 主要发展趋势 利用数据中心 企业不但能集中资源 和信息加强资讯的流通以及新技术的 采用 还可以改善对外服务水平提高企业的市场竞争力 一个好的数据中心在具有上述好处 之外甚至还可以降低拥有成本 5 51 第第 2 章章 概述概述 随着企业对信息访问依赖性的增加 数据中心对企业日常业务影响也越来越大 一旦 企业数据中心出现故障 将对企业日常业务的正常运作造成极大的冲击 给企业带来巨大的 损失 数据中心的可靠性直接关系企业利益 处于非常重要的地位 一个高可靠的数据中心 可以帮助企业在集中资源 提高业务服务水平的同时降低运行成本 可靠性已经成为衡量一 个数据中心优劣的重要方面 针对数据生产中心稳定 可靠 高效运行的要求 本方案以高可靠性 高安全性和先进 性为原则进行了重点设计 整体结构上 根据数据中心承载业务功能的特点 依据统一性 开放性 易扩展和可管理的特性要求 通过模块化层次化的构筑方法 以高可靠 高速率的 交换结构为中心 连接生产区 外联区 接入区和 MIS 区等功能分区 并针对各个功能不 同的业务应用需求和安全要求进行了针对性设计 在本项目设备万兆核心路由交换机作为平 台构架的主要设备 通过高效的万兆交换技术实现骨干网络的高性能互联 同时 其安全联 动 全面的业务支持以及电信级的高可靠特性 更保障本网络具备了有强大的业务支撑和性 能扩展能力 可以满足数据中心未来的发展需要 6 51 第第 3 章章 网络设计原则网络设计原则 高可用性高可用性 网络架构和设备均支持业务系统对服务级别高可靠性的要求 在网络分层部署的架 构和设备体系选择以及相关配置上均充分按照高可用的系统设计 高安全性高安全性 按照立体的安全体系进行设计 分布式部署 使网络具有统一的安全 支持全网的 安全联动 先进性先进性 网络设备支持先进的高性能体系架构 支持高带宽的数据传输 统一性统一性 数据中心局域网是基于大集中 一个整体 基础上考虑 全网采用统一的架构 策 略部署 QoS 分类和设备形态 保证全网的可维护性 开放性开放性 本方案网络建设全面遵循业界标准 所推荐采用的设备 技术在互通性和互操作性 上 可以支持本网络系统的快速布署 数据中心解决方案高可用技术总图数据中心解决方案高可用技术总图 7 51 第第 4 章章 总体架构设计总体架构设计 4 1 结构设计 4 1 1 结构设计策略 按照数据中心的结构 本方案采用以下策略设计 1 高可靠的设计思想融合在结构设计 路由设计 应用服务设计的各个层面 2 针对业务网络应用需求实施全模块化分区设计 3 依照工作重点和结构分工的整网三层体系结构 4 1 2 分区模块设计 网络按照业务应用需求 划分以下主要功能区 核心业务区 测试区 外联区 网上业务 广域接入区 运行管理区 办公接入控制区 各个区以扩展模块的形式分别连接到数据中心高可靠的核心交换网络 8 51 管管理理区区 业业务务服服务务器器区区测测试试区区 办办公公接接入入模模 块块 外外联联区区 网网 上上业业务务 安安全全控控制制安安全全控控制制安安全全控控制制安安全全控控制制 安安 全全 控控 制制 交交换换中中心心 I In nt te er rn ne et t E Ex xt tr ra an ne et t I In nt te er rn ne et t办办 公公区区 安安全全控控制制 I In nt te er rn ne et t 安安全全控控制制 数据中心分区架构示意图数据中心分区架构示意图 4 1 3 分层设计 按照网络核心 汇聚和接入的模型对数据中心以及之内的每一个功能区域按照层次化结 构模型进行划分 核心层 构成整个数据中心生产局域网的高速交换核心 为各个功能分区提供高可靠高稳定和支 持快速愈合的第三层接入服务 在核心层设计以高可靠 高速交换为主要原则 汇聚层 各个功能分区的交换核心是组成整个生产中心局域网的汇聚层 汇聚层提供各个分区内 部接入层的汇聚 作为各个分区的对外接入 集中实现接入控制和安全控制 接入层 在各个分区主机和服务器的接入 具有高密度的接入能力 支持基于主机端口的访问控 制 并针对接入的数据流进行标记工作 便于传输过程中逐级实现针对流量的 QoS 控制策略 9 51 核核心心层层 汇汇聚聚层层 接接入入层层 接接入入设设备备 数据中心分层设计示意图数据中心分层设计示意图 10 51 4 2 数据中心局域网拓朴 核核心心业业务务区区 测测试试区区网网上上业业务务 外外联联区区 广广域域接接入入区区办办公公接接入入控控制制区区运运行行管管理理区区灾灾备备区区 核核 心心 区区 在数据中心的实际部署中 针对数据中心模型进一步细分各个功能分区 核心业务系统放置于 IBM Power 740 上 通过在 IBM Power 740 上划分多个分区来实现 核心业务相关的不同功能 考虑到应收帐款居于移动系统是核心业务系统 属于数据中心的 重中之重 因此物理上将核心业务生产区接入到核心层 测试区根据测试需要尽量与生产网络实现完全分离 根据实际需求确定是否需接入到核 心层 生产外联区包括网上业务外联以及和合作伙伴的 Extranet 外联两种方式 在网络结构 上和安全部署上有很大不同 因此在实际部署中分别设置 2 个接入区域连接到核心交换区 广域接入区 设置一个单独的物理分区 提供各个一级分行的流量接入和汇聚 灾备接入区 设置一个单独的物理分区 部署与北京灾备中心的连接和灾备策略的部署 办公服务区 11 51 设置一个单独的物理分区 提供办公业务应用的服务 运行管理区 设置一个单独的物理分区 提供数据中心和全网的管理和监控 4 3 网络核心层 网络核心层由 2 台万兆交换机构成 通过万兆实现各个功能分区的接入 同时 2 台交换 机之间采用双万兆捆绑的方式实现高速互联 为了保证通过核心网络的流量和路径可控 并提高故障切换的效率 对各个功能分区实 现三层接入的方式 为了保证各个功能分区的高可靠性 与各个功能分区的汇聚交换机采用双星型的结构连 接 4 4 核心业务区 核核心心层层 汇汇聚聚层层 接接入入层层 接接入入设设备备 核核心心业业务务区区网网络络结结构构图图 核心业务平台 由 2 台汇聚层交换机和 2 台接入层交换机构成 接入层交接机连 接 IBM POWER 740 主机系统平台 连接方式 两台接入层交换设备通过两条千兆线路上联到汇聚层 两台汇聚层设备之间 12 51 通过两条冗余的千兆线路实现互连 同时 各自通过两条千兆冗余线路分别上行到两台核心 交换层交换机 4 5 运行管理区 核核心心层层 汇汇聚聚层层 接接入入层层 接接入入设设备备 运运行行管管理理区区网网络络结结构构图图 运运行行管管理理环环境境 运行管理区是生产中心主要的人员操作区 主要以各种管理配置平台为主 运行管理区 由 2 台汇聚层交换机和 1 台接入层交换机构成 接入层交接机连接各类业 务 网络 配置管理系统 连接方式 一台接入层交换设备通过双千兆线路上联到汇聚层 两台汇聚层设备之间通 过两条冗余的千兆线路实现互连 同时 各自通过两条千兆冗余线路分别上行到两台核心交 换层交换机 13 51 4 6 广域接入区 核核心心层层 汇汇聚聚层层 接接入入层层 广广域域接接入入区区网网络络结结构构图图 I ID DS S 广域接入提供各个下联的接入 同时支持在接入边界部署安全控制策略 广域接入平台 由 2 台汇聚层交换机构成 直接接入路由设备 连接方式 汇聚层设备之间通过两条冗余的千兆线路实现互连 同时 各自通过两条千 兆冗余线路分别上行到两台核心交换层交换机 在汇聚交换机侧支持部署防火墙和入侵检测设备 采用访问控制和安全联动相结合的方 式对接入流量进行安全防护 4 7 办公接入控制区 办公接入控制区是生产区和办公用户及办公服务器所在功能区的隔离区 办公用户通过 此区访问生产的相关资源 办公接入控制区 由 2 台汇聚层交换机构成 在汇聚交换机对外互连处部署防火墙和入侵检测设备 采用访问控制和安全联动相结合 的方式对流量进行安全防护 连接方式 汇聚层设备之间通过两条冗余的千兆线路实现互连 同时 各自通过两条千 14 51 兆冗余线路分别上行到两台核心交换层交换机 汇汇聚聚层层 D DM MZ Z层层 接接入入层层 办办公公控控制制区区网网络络结结构构图图 I ID DS S 4 8 外联 网上业务区 外联区主要分为两大部分 Internet 接入区域 合作伙伴接入区域 两大区域建立统 一的汇聚层交换机 按照两大区域对安全级别的要求的不同 分别设置多层 DMZ 区域 在合 作伙伴接入区域提供和各个金融服务机构的接入 会部署大量的外联前置系统 采用防火墙 实现隔离 在 DMZ 区部署外联前置服务器 合作伙伴接入区域接入平台 由 2 台 DMZ 区接入交换机构成 在外联网接入和 DMZ 与汇聚层连接处部署高可用防火墙 并部署 IDS 设备实现安全联动 连接方式 汇聚层设备之间通过两条冗余的千兆线路实现互连 同时 各自通过两条千 兆冗余线路分别上行到两台核心交换层交换机 互联网接入部分主要面向互联网的客户提供服务以及部分数据交换 此区域会有大量的 互联网服务器如 Web 应用 DNS 服务器等 同时还有大量的客户服务和应用处理服务器 考 虑到 Internet 接入需要更高的安全因此将服务器分别部署在 DMZ 区和扩展 DMZ 区 并采用 两层防火墙进行隔离 同时部署相应的 IDS 设备 15 51 4 9 设备选型推荐 针对数据中心建设的统一性原则 针对数据中心尽量采用相同的设备进行配置 从而保 证数据中心整体的易维护和易扩展 针对数据中心大量服务器采用千兆接入 要求高效传输的特点 在骨干层和汇聚层间 以及部分汇聚和接入层间采用万兆连接 减少千兆捆绑带来的复杂配置 同时支持业务的快 速增长 对于外联区 考虑到需要有大量的防火墙隔离 受制于外联广域网的限制 接入层和汇 聚层之间采用千兆连接 针对上述分析数据中心在设备级的要求如下 电信级可靠性网络设备 99 999 支持热切换 热补丁 采用万兆技术 支持高密度万兆连接 支持安全联动 有效抵御网络资源消耗型病毒攻击 例如 DOS REDCODE 等 全分布式线速处理 支持多业务的深度感知 支持 MPLS VPN 和 IP V6 功能扩展 支持外置冗余电源 大容量冗余交换背板结构 单机具有高扩展能力 针对上述分析本项目的设备选型推荐列表如下 针对上述分析本项目的设备选型推荐列表如下 数据中心核心交换机 H3C S7503E 数据中心汇聚层交换机 H3C S5120 52C EI 运维管理区接入交换机 H3C S5120 52C EI 其他功能区的接入交换机 H3C S5120 52C EI 中端路由器 Quidway AR28 80 网络管理系统 H3C IMC 数据服务器 IBM Power 740 应用服务器 IBM System x3650 M3 16 51 设备数量配置如下 名称名称设备配置情况设备配置情况 1 核心交换区核心层 2 台 H3C S7503E 2 核心业务区汇聚 2 台 H3C S5120 接入 2 台 H3C S5120 3 运维管理区 4 广域网接入区 5 办公接入控制区 6 外联区 网上业务区 汇聚 2 台 H3C S5120 接入 2 台 H3C S5120 7 数据库服务器 IBM Power 740 2 台 8 应用服务器IBM System x3650 M3 6 台 9 网元管理 Quidview DMG 4 9 1 H3C S7500E 简介 H3CH3C S7500ES7500E 核心路由交换机核心路由交换机 H3C S7500E 系列产品是杭州华三通信技术有限公司 以下简称 H3C 公司 面 向融合业务网络推出的新一代高端多业务路由交换机 该产品基于 H3C 自主知识产权 的 Comware V5 操作系统 融合了 MPLS IPv6 网络安全 无线 无源光网络等多种 业务 提供不间断转发 优雅重启 环网保护等多种高可靠技术 在提高用户生产效率 的同时 保证了网络最大正常运行时间 从而降低了客户的总拥有成本 TCO H3C S7500E 符合 限制电子设备有害物质标准 RoHS 是绿色环保的路由交换机 H3C S7500E 系列产品 所有产品均支持冗余主控 H3C S7500E 可广泛应用于城 域网汇聚和边缘 园区网核心和汇聚以及配线间等多种网络环境 为用户提供了有线无 线一体化 有源无源一体化的行业解决方案 17 51 产品特点产品特点 丰富的业务 适应融合业务网络发展趋势丰富的业务 适应融合业务网络发展趋势 全面的全面的 MPLS 业务能力业务能力 H3C S7500E 所有产品均支持 Multi VRF 特性 可以作为 MCE 设备使用 支持三层 的 MPLS VPN 和二层的 MPLS VPN Martini Kompella 可扩展支持 VPLS 技术 支 持 MPLS OAM 特性 方便用户的管理和维护 与 H3C MPLS VPN Manager 配合 实现 图形化的 MPLS 部署与维护 线速的线速的 IPv4 IPv6 业务能力业务能力 H3C S7500E 支持 IPv4 IPv6 双协议栈 支持多种隧道技术 支持 IPv4 IPv6 的组播 技术 为用户提供完善的 IPv4 IPv6 解决方案 H3C S7500E 采用分布式体系架构 实现 IPv4 IPv6 业务的线速无阻塞转发 H3C S7500E 已经通过了信息产业部的 IPv6 入网认 证和 IPv6 Ready 第二阶段金色认证 是成熟商用的 IPv6 产品 有线无线一体化 有源无源一体化有线无线一体化 有源无源一体化 H3C S7500E 集成的无线控制模块提供丰富的业务能力 包括精细的用户控制管理 完善的 RF 管理及安全机制 快速漫游 超强的 QoS 和对 IPv6 的支持等 无线控制模块通 过与安全策略服务器的联动 实现对无线接入用户的端点准入防御 提高了整网的安全性 H3C S7500E 是业界最高密度的以太网无源光网络 EPON 设备 单台最大可接入 10240 个 FTTH 用户 H3C S7500E 是高可靠的 EPON 系统 采用分布式体系结构 模 块化设计 主控板冗余热备份 无源背板 冗余电源支持双路供电 具有电信级可靠性 支持支持 Portal 认证认证 H3C S7500E 支持大容量的 Portal 认证功能 可以在数千用户的局域网中做为 EAD 网关设备 为全网用户提供 EAD 安全认证功能 可以在大中型的校园网中担任汇聚 核心设 备的同时 为学生宿舍区的认证计费提供 Portal 认证功能 灵活的配置 适应各种应用场景灵活的配置 适应各种应用场景 配线间融合业务网络的最佳选择配线间融合业务网络的最佳选择 H3C S7500E 针对配线间的需求定制开发了 SA 板卡 单台设备可以提供 480 个千兆 线速接口和 4 个万兆线速接口 H3C S7500E 支持端点准入防御解决方案 解决终端安全 问题 内置 2800W 电源直接提供 PoE 功能 对 IP 语音和无线接入提供良好的支持 政府电力城域网边缘和汇聚的最佳选择政府电力城域网边缘和汇聚的最佳选择 18 51 H3C S7500E 支持 Multi VRF 特性 为用户提供高可靠高性能的 MCE 设备 通过配 置 Salience VI Turbo 引擎 可以提供集中式 MPLS 业务功能 适合在城域网边缘作为高 性价 PE 设备使用 通过配置 EA 类板卡 可以提供分布式线速的 MPLS 业务功能 适合在 城域网汇聚层作为高性能的 PE 使用 IPv6 网络的最佳选择网络的最佳选择 H3C S7500E 所有 Salience VI 引擎都可以提供集中式 IPv6 功能 H3C S7500E 针 对 IPv4 IPv6 高性能的要求还开发了分布式 IPv4 IPv6 转发的 SC 板卡 在整机满配置状 态下实现线速无收敛 为高校用户提供了高性能低成本的双栈汇聚核心设备 同时也满足其 他行业用户 IPv6 Ready 的需求 全方位的安全保障 抵御多种网络安全威胁全方位的安全保障 抵御多种网络安全威胁 三平面安全保障机制三平面安全保障机制 H3C S7500E 提供完善的安全防护机制 可从控制 管理 转发三平面全面保障网络 的安全 在控制平面 内置协议报文攻击识别模块 防止 TCN ARP 等协议报文攻击 OSPF BGP IS IS 路由协议采用 MD5 验证 防止非法路由更新报文导致的网络瘫痪 在 管理平面 SNMPv3 网管协议 SSH V2 基于 802 1x AAA Radius 的用户身份认证以 及分级的用户权限管理保证了设备管理的安全性 在转发平面 支持 IP VLAN MAC 和 端口等多种组合精细绑定 支持 uRPF 单播反向路径转发 防止非法流量访问网络 采用最 长匹配逐包转发机制 有效抵御病毒的攻击 H3C S7500E 还支持内置的高性能防火墙 异常流量清洗等模块 将专业的安全融入到交换机之中 有线无线全面支持有线无线全面支持 EAD H3C S7500E 是 EAD 端点准入防御解决方案的重要组成部分 S7500E 可以动态的 接收来自安全策略服务器的控制策略 根据终端的安全状态给予下发相应的访问权限 H3C S7500E 既支持有线终端用户的 EAD 也支持无线终端用户的 EAD 能够做到终端安全防 范无漏洞 增强的增强的 ACL 特性特性 H3C S7500E 系列产品支持强大的 ACL 能力 支持标准和扩展 ACL 支持基于 VLAN 的 ACL 方便用户配置 节省 ACL 资源 支持出方向和入方向的 ACL 每板最大可支持 9K 条 ACL 满足金融等行业访问权限严格控制的需求 电信级的高可靠性 保障用户业务长期稳定运行 电信级高可靠性设计电信级高可靠性设计 19 51 H3C S7500E 采用无单点故障设计 所有关键部件 如主控板 交换网 电源和风扇 等采用冗余设计 无源背板避免了机箱出现单点故障 所有单板和电源模块支持热插拔功能 H3C S7500E 系列可以在恶劣的环境下长时间稳定运行 达到 99 999 的电信级可靠性 多业务高可靠性运行多业务高可靠性运行 H3C S7500E 支持不间断转发和优雅重启 提供毫秒级的切换时间 支持等价路由 可帮助用户建立多条等值路径 实现流量的负载均衡及冗余备份 支持 RRPP 快速环网保护 协议 提供小于 200ms 的环网故障保护 支持 Smart Link 协议 保证双上行网络拓扑的 业务毫秒级快速切换 通过上述技术 H3C S7500E 可以在承载多业务的情况下不间断运 行 实现业务的永续 支持热补丁技术支持热补丁技术 H3C S7500E 能够在不重启设备的前提下 通过热补丁技术 在线修改软件 BUG 增 加新的业务特性 H3C S7500E 提供控制补丁单元状态切换的用户命令 使用户能够方便 的加载 激活 去激活 运行或删除补丁单元 通过热补丁技术 降低了设备需要重启的次 数 为客户提供更长的网络正常工作时间 基本规格基本规格 交换机类型 路由交换机 传输速率 10 100 1000 10000 应用层级 三层 交换方式存储 转发 背板带宽 Gbps 1000Gbps 包转发率 274Mpps VLAN 功能 支持 系统内存 Flash 64MB SDRAM 512MB CF 卡 256MB 512MB 1GB 可选 MAC 地址表 128K 网管功能 支持 20 51 4 9 2 AR28 80 简介 Quidway AR 28 80 模块化中心路由器是华为 3Com 公司 Quidway AR 系列路由器中面 向企业用户的网络产品 采用 32 位的微处理器技术 使用 VRP 通用路由平台 提供了 极其丰富的软件特性 支持哑终端接入服务器和金融 POS 接入功能 支持 SNA DLSw VoIP 特性等 提供丰富的备份方案及 QoS 特性 硬件采用模块化结构 具有 更高的处理能力和更大的接入密度 具备 MPLS VPN 功能 DVPN 功能 可平滑升级支持 IPv6 符合未来 IP 技术的发展潮流 Quidway AR 28 80 既适合于在中小型企业网中担当核心 路由器 也可以在大型网络中担当汇聚层路由器 Quidway AR 28 80 路由器外观图 产品功能特性 产品功能特性 VRPVRP操作平台 操作平台 华为 3Com 在成熟的 VRP 软件平台的基础上 结合 AR28 系列的硬件体系结构和软件业务 要求 度身定做的的 AR28 系列的软件体系 完全继承了 VRP 平台的稳定性 成熟性和可 靠性 所提供的软件业务均为 VRP 平台的成熟特性 同时可以随着 VRP 平台的不断发展同 步提供新的特性 VPNVPN解决方案 解决方案 支持 L2TP VPN GRE VPN IPSec VPN SSL VPN MPLS L3VPN MPLS L2VPN 华为动态 VPN 等多种 VPN 业务 网络安全 网络安全 登录用户认证 RADIUS HTACACS 认证 计费 IPSEC IKE 硬件加密卡 防火墙支持 对接口 时间段 MAC 地址的过滤 CA 认证 数字证书 高性能 NAT 互连协议 互连协议 以太网 桥 帧中继 X 25 HDLC SDLC LAPB SLIP PPP PPP 头压缩 MP ISDN PPPoE Client 按需拨号 拨号串循环备份 PPP ISDN 回呼 L2TP 建立二层 隧道 GRE 建立三层隧道 IPSEC 建立三层隧道 xDSL 宽带接入 21 51 网络协议 网络协议 DHCP VLAN IPX DLSw RIP 1 RIP 2 OSPF BGP 策略路由 组播 路由负载分担 地址借用 TCP 报文头压缩 路由策略 应用层协议及业务特性 应用层协议及业务特性 Telnet SSH Rlogin dumb terminal 增强安全特性的终端接入服务器 金融 POS 接入服 务 RTC LPD FTP Ping 及 NTP 应用层协议或业务特性 QOS 流量分类和流量监管 CAR LR 流量整形 GTS 拥塞管理 PQ CQ WFQ CBQ 拥塞避免 WRED 网络可靠性 网络可靠性 接口 子接口间的物理层备份 虚链路 虚模板 拨号接口 逻辑接口间的链路层备份 动态路由 实现网络层备份 VRRP 实现设备层备份 系统可靠性 系统可靠性 支持 dual image 能对 image 文件进行合法性判别 支持启动成功性自探测 支持装载 image 文件引导系统 支持从主 image 文件启动 支持从备份 image 文件启动 语音特性 语音特性 静音压缩 舒适噪音 语音防抖动 音量调节 PBX 交换机功能模拟 主叫号码识别 自 动忙音检测 灵活 VOIP 选路与备份策略 IP 传真 语音 RADIUS GK Client IPHC 语 音 QoS IPV6 从目前的硬件体系结构和软件平台的基础上能够平滑升级到IPV6的软件版本 全面支持IPv4 和IPv6双协议栈 提供丰富的IPV6协议 支持多种IPv4向IPv6的过渡技术 手工配置隧道 自动配置隧道 6to4隧道 GRE隧道 实现NAT PT等 支持IPv6静态路由 支持 BGP4 BGP4 RIPng OSPF3 ISISv6等动态路由协议 支持ICMPv6 MIB UDP6 MIB TCP6 MIB IPv6 MIB等 配置管理 配置管理 中英文双语 命令分级保护 tracert ping debugging 故障诊断功能 RMON SNMPv1 v2c v3 系统日志 可通过 FTP 或 TFTP 进行系统升级 可通过 Console AUX X 25 PAD Telnet 反向 Telnet 等方式进行配置 通过Quidview网管软件 能够对路由器进行远程配置 并且能够对主机程序通过Quidview进 行在线升级 产品规格产品规格 22 51 项目AR 28 40 描 述AR 28 80 描述 插槽48 LAN 接口模块1FE 2FE 10 100Base TX 快速以太网接口模块 1SFX 100Base FX 以太网单模光接口模块 1MFX 100Base FX 以太网多模光接口模块 1GBE 1000Base T 千兆以太网模块 1GEF 1000Base SFP 千兆以太网光模块 WAN 接口模块2 4SA 高速同异步串口模块 8 16AS 异步串口模块 2 4 8SAE 增强型同异步串口模块 1 2 4E1 通道化 cE1 PRI 模块 1 2 4E1 F 非通道化 E1 模块 1 2 4T1 通道化的 cT1 PRI 模块 1 2 4T1 F 非通道化 T1 模块 1CE3 通道化 E3 模块 1CT3 通道化 T3 模块 6 12AM 模拟调制解调器模块 4BS ISDN BRI S T 接口模块 155M 1ATM ASM AMM ASL 155M 单模 多模 单模长 距离光接口模块 ATM E3 T3 ATM E3 T3 传输模块 1 2ADSL ADSL over POTS 通信模块 1 2ADSL I ADSL over ISDN 通信模块 POS 155M 非通道化 POS 传输模块 CPOS 155M 通道化 POS 传输模块 4 8 端口 E1 ATM IMA 高密度 ATM E1 IMA E1 制式传输 模块 4 8 端口 T1 ATM IMA 高密度 ATM E1 IMA T1 制式传输 模块 语音模块2FXS 4FXS FXS 接口语音模块 2FXO 4FXO FXO 接口语音模块 2E 3 可能会导致业务板的重新启动 需 要花费一定的时间 所有这些 都可能导致业务的短时间中断 但是 即使是瞬间的网络中 断 也可能给用户造成巨大的损失 对银行系统这种敏感用户尤其如此 为了将网络中断时间减少至最短时间 甚至做到业务不中断 需要对系统运行时的动态 36 51 数据或进程状态进行备份 这时备用板处于一个特殊的运行态 只接收和储存由主用板发送 来的数据和状态 当主用板发生故障时 系统平滑的切换到备用板 切换过程对网络用户透 明 业务不会因为网络的切换而中断 我们称这种备份方式为热备份 当系统的备用板启动之后 主用板和备用板之间的状态差异可以非常大 这时需要将主 用系统的数据批量的备份到备用板上 这个过程就是批量备份 当批量备份结束后 随着系 统的运行 主用系统的数据会发生变化 这些变化需要定时的备份到备用系统中 这个过程 称作定时备份 一旦主用系统出现故障 备用系统和主用系统的角色需要交换 将备用系统 升格为主用系统的过程称作主备倒换 备用系统升级为主用系统后 一些状态信息没有从原 主用系统得到 或数据失效 新的主用系统需要与接口板对硬件状态 链路层状态和配置数 据上确认这些数据 这个确认过程是数据平滑 热备份保证主备系统板之间的数据和状态始终一致 因而 业务板也感觉不到系统板发 生倒换 再加上协议状态的一致 因此可以保证业务不会丢失 华为 3com 的 VRP Virsatile Routing Platform 在 H3C S7500E 万兆核心路由交换机产 品的各个业务板上保存 FIB 表 转发表 报文转发不需要系统板的参与 主备倒换发生时 业务板不发生变化 允许保文继续转发 从而保证业务不损失 本次项目的配置建议中 数据中心的核心层 汇聚层和接入层网络设备都采用冗余引擎 每台核心层设备均采用 HA 特性实现系统的高可靠性 可以在主控板发生故障时 快速 准 确恢复系统的正常运行 从而增强系统的 MTBF Mean Time Between Failure 即平均故 障间隔时间 HA 特性是主控板单板的一个特性 交换机有两块主控板单板 工作在 master slave 备 份模式 即一块工作在 master 模式 为主控板 一块工作在 slave 模式 为备用板 当主 控板发生故障时 主备倒换将自动进行 备用板将自动连接并控制系统的 BUS 同时原来的 主控板将断开和系统 BUS 的连接 主备倒换完成后 备用板将成为主控板 而原来的主控板 将重新启动成为备用板 因此 即使主控板故障 备用板也能迅速取代它成为主控板 保证 S8500 系列路由交换机的正常运行 此外 在网络异常情况下 如 CPU 占用超过 70 华为 3com 设备可采取多种保护措施 提高整机可靠性 37 51 9 3 链路级可靠性设计 链路级可靠性设计主要考虑在网络的关键处采用链路冗余备份设计 可适当采用交叉连 接方式 链路捆绑等 数据中心的网络核心 汇聚层与接入层之间都有冗余连接 而对于汇聚层与接入层两个 设备之间的连接采用了 Port Channel 的设计 如下 网络连接网络连接冗余链路设计冗余链路设计 核心设备之间互连 2 10GE 核心与汇聚设备互连2 4GE 分布设备之间互连2 4GE 分布与接入设备互连2 4GE 9 4 网络级可靠性设计 9 4 1 拓扑冗余 数据中心网络分为多个功能分区 每个网络功能分区的接入层交换机将定义为 Layer2 交换机 Layer2 和 Layer3 的边界位于每个网络功能分区的汇聚层交换机上 交换区域的可靠性通过 STP 实现 被 STP 阻断的逻辑链路在线路或设备出现故障的情况 下可以自动释放 形成新的拓扑结构 保证网络数据的正常传输 同时本次项目所推荐的 Quidway S8512 除了支持基本的 STP RSTP MSTP 等 还从数据中心网络可靠性的角度出发 提供了许多便于管理的特殊功能 根桥保持 根桥备份 ROOT 保护功能 BPDU 保护功能 环路保护等功能 1 BPDU 保护功能 对于接入层设备 接入端口一般直接与用户终端 如 PC 机 或文件服务器相连 此时 接入端口被设置为边缘端口以实现这些端口的快速迁移 当这些端口接收到配置消息 BPDU 报文 时系统会自动将这些端口设置为非边缘端口 重新计算生成树 引起网络拓扑的震荡 这些端口正常情况下应该不会收到生成树协议的配置消息 如果有人伪造配置消息恶意攻击 38 51 交换机 就会引起网络震荡 BPDU 保护功能可以防止这种网络攻击 2 Root 保护功能 生成树的根桥及备份交换机应该处于同一个域内 特别是对于 CIST 的根桥和备份交换 机 由于网络设计时一般会把 CIST 的根桥和备份交换机放在一个高带宽的核心域内 但是 由于维护人员的错误配置或网络中的恶意攻击 网络中的合法根桥有可能会收到优先级更高 的配置消息 这样当前根桥会失去根桥的地位 引起网络拓扑结构的错误变动 这种不合法 的变动 会导致原来应该通过高速链路的流量被牵引到低速链路上 导致网络拥塞 Root 保护功能可以防止这种情况的发生 3 环路保护功能 依靠不断接收上游交换机发送的 BPDU 交换机可以维持根端口和其他阻塞端口的状态 但是由于链路拥塞或者单向链路故障 这些端口会收不到上游交换机的 BPDU 此时交换机 会重新选择根端口 根端口会转变为指定端口 而阻塞端口会迁移到转发状态 从而交换网 络中会产生环路 环路保护功能会抑制这种环路的产生 在启动了环路保护功能后 根端口的角色不会迁移但是状态会转变 阻塞端口角色会发 生迁移但是仍然会一直保持在 Discarding 状态 不转发报文 从而不会在网络中形成环路 对于配置了环路的端口 如果该端口参与了 STP 计算 则不论其角色如何 该端口上 的所有实例将一直被设置为 Discarding 状态 4 防止 TC BPDU 报文攻击的保护功能 交换机在接收到 TC BPDU 报文后 会执行 MAC 地址表项和 ARP 表项的删除操作 在有人 伪造 TC BPDU 报文恶意攻击交换机时 交换机短时间内会收到很多的 TC BPDU 报文 频繁的 删除操作给交换机带来很大负担 给网络的稳定带来很大隐患 防止 TC BPDU 报文攻击的保护功能使能后 交换机在收到 TC BPDU 报文后的一定时间内 一般为 15 秒 只进行一次删除操作 同时监控该时间段内是否收到 TC BPDU 报文 如果 在该时间段内收到了 TC BPDU 报文 则交换机在该时间超时后再进行一次删除操作 这样可 以避免频繁的删除 MAC 地址表项和 ARP 表项 可以通过下面的命令来配置交换机的保护功能 39 51 操作命令 配置交换机的 BPDU 保护功能 系统视 图 stp bpdu protection 恢复配置交换机的 BPDU 保护功能为缺 省的关闭状态 系统视图 undo stp bpdu protection 配置交换机的 Root 保护功能 系统视图 stp interface interface list root protection 恢复配置交换机的 Root 保护功能为缺省 的关闭状态 系统视图 undo stp interface interface list root protection 配置交换机的 Root 保护功能 以太网端 口视图 stp root protection 恢复配置交换机的 Root 保护功能为缺省 的关闭状态 以太网端口视图 undo stp root protection 配置交换机的环路保护功能 以太网端口 视图 stp loop protection 恢复配置交换机的环路保护功能为缺省的 关闭状态 以太网端口视图 undo stp loop protection 启动防止 TC BPDU 报文攻击的保护功能 系统视图 stp tc protection enable 关闭防止 TC BPDU 报文攻击的保护功能 系统视图 stp tc protection disable 缺省情况下 交换机只启动防止 TC BPDU 报文攻击的保护功能 不启动 BPDU 保护功能 Root 保护功能和环路保护功能 交换机上启动了 BPDU 保护功能以后 如果边缘端口收到了配置消息 系统就将这些端 口关闭 同时通知网管这些端口被 MSTP 关闭 被关闭的端口只能由网络管理人员恢复 对于设置了 Root 保护功能的端口 其在所有实例上的端口角色只能保持为指定端口 一旦这种端口上收到了优先级高的配置消息 即其将被选择为非指定端口时 这些端口的状 态将被设置为侦听状态 不再转发报文 相当于将此端口相连的链路断开 当在足够长的 时间内没有收到更优的配置消息时 端口会恢复原来的正常状态 40 51 在对一个端口进行配置的时候 在 Loop 保护功能 Root 保护功能或者边缘端口设置三 个配置中 同一时刻只能有一个配置生效 对于设置了 loop 保护功能的端口 其在所有实例上的端口状态只能迁移成 discarding 状态 一旦这种端口上长时间收不到配置消息 即其将发生状态角色迁移时 只发生角色的 转换 但是仍然会维持 discarding 状态 不转发报文 这是为了防止对端由于错误操作导 致 BPDU 报文发不出 而该端口由于长时间收不到配置消息直接进入 forwarding 转发状态所 产生的环路 缺省情况下 交换机不启动 BPDU 保护功能 Root 保护功能和环路保护功能 9 4 2 网关冗余 VRRP Virtual Router Redundancy Protocol 是一种容错协议 其目的是利用备份机 制来提高路由器与外界连接的可靠性 VRRP 确保当主机的下一跳三层设备 本次推荐的 Quidway S8512 坏掉时可以及时的由另一台 Quidway S8512 来代替 从而保持通讯的连续 性和可靠性 为了使 VRRP 工作 要在设备上配置虚拟路由器号和虚拟 IP 地址 同时产生一 个虚拟 MAC 地址 这样在这个网络中就加入了一个虚拟 Quidway S8512 而网络上的主机与 虚拟 Quidway S8512 通信无需了解这个网络上物理 Quidway S8512 的任何信息 一个虚拟 Quidway S8512 由一个主 Quidway S8512 和若干个备份 Quidway S8512 组成 主 Quidway S8512 实现真正的转发功能 当主 Quidway S8512 出现故障时一个备份 Quidway S8512 将成 为新的主 Quidway S8512 接替它的工作 VRRP 中只定义了一种报文 VRRP 报文 这是一 种多播报文 由主 Quidway S8512 定时发出来通告它的存在 使用这些报文可以检测虚拟 Quidway S8512 各种参数 还可以用于主 Quidway S8512 的选举 VRRP 中定义了三种状态模 型初始状态 Initialize 活动状态 Master 备份状态 Backup 其中只有活动状态可以发 送报文 而且报文也只有一种 HSRP 报文是封装在 UDP 报文上的 而 VRRP 报文是封装在 IP 报文上的 支持各种上层协议 同时 VRRP 还支持将真实接口 IP 地址设置为虚拟 IP 地址的 做法 1 汇聚层设备在连接普通接入时采用 VRRP 2 VRRP 优先级策略与 STP 的根网桥主备设置一致 41 51 9 4 3 路由冗余 网络物理链路的冗余设计为路由协议选择备份连接提供了基础 北京数据中心网络使用 OSPF 路由协议根据网络链路的 cost 计算最短路径 考虑运行维护的简单性 配合 STP 和 VRRP 在网络设计上 将通过 cost 的调整 在汇 聚层和核心层将数据流引导到冗余网络结构的一侧 而当设备或连接因故障中断时 OSPF 会自动重新计算网络路径 并使用正常的连接保障数据通讯 此外 对负载分担链路 还可采用 IP 快速重路由技术 实现 50ms 级的路由收敛 现有 重路由技术的缺陷在于 下一跳失效的消息是通过路由收敛的过程得到的 当路由器的某一 端口失效时 必须要等待一个较长的路由收敛过程才能将以此端口为出端口的路由下一跳从 转发表中删除掉 在这段时间内报文仍然会选择这些路由下一跳转发 而不能及时的重路由 到其它可能的负载分担项上 即转发表中其它的下一跳 此缺陷造成重路由生效时间较长 重路由生效过程中的丢包率较高 采用 MPLS 流量工程可以支持 MPLS 快速重新路由 MPLS 快速重新路由是一种对需要备份 的 LSP 的每隔一跳建立局部备份路由进行备份的一种机制 由于 MPLS 快速重新路由在发现 链路或路由器故障以后 是通过硬件直接进行切换的 可以做到从链路故障到快速重新路由 切换成功的延时小于 50ms 在没有 SDH 环路备份的链路上 MPLS 快速重新路由是一种更加 灵活的备份机制 9 5 应用级可靠性设计 对于 IP 网络 流量分布是不均衡的 特别是突发流量会引起网络的拥塞 由于很多业 务都对网络拥塞敏感 如一些核心业务及实时联机业务 严重的网络拥塞将导致业务的中断 所以需要使用流量管理技术使网络流量均衡 提高网络的利用率 进而对控制网络拥塞情况 的发生 目前流量管理主要通过 QOS 设计实现 业务可靠性还体现在不同业务流相互隔离 互不影响 如采用 VLAN ACL VPN 等技术将不同业务相互隔离 42 51 第第 10 章章 网络安全网络安全 10 1 安全设计概述 目前常见的金融网络安全隐患主要来自以下一些方面 1 网络级攻击 窃听报文 攻击者使用报文获取设备 从传输的数据流中获取数据并进行分析 以获 取用户名 口令或者是敏感的数据信息 特别是通过 Internet 的数据传输 存在时间上的延 迟 更存在地理位置上的跨越 要避免数据不受窃听 基本是不可能的 IP 地址欺骗 攻击者通过改变自己的 IP 地址来伪装成内部网用户或可信任的外部网 络用户 发送特定的报文以扰乱正常的网络数据传输 或者是伪造一些可接受的路由报文 如发送 ICMP 的特定报文 来更改路由信息 以窃取信息 源路由攻击 报文发送方通过在 IP 报文的 Option 域中指定该报文的路由 使报文有 可能被发往一些受保护的网络 端口扫描 通过探测防火墙在侦听的端口 来发现系统的漏洞 或者事先知道网络设 备操作系统软件的某个版本存在漏洞 通过查询特定端口