银行网络建设实施方案

1、.网络建设方案参考国内外同行业的组网模型，按照标准化、模块化、结构的原则进行生产中心的升级，改变现状生产中心过于扁平化、安全性低的现状，可以将生产中心规划为：核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。在各分区边界部署防火墙，确保访问的安全，实现生产中心的高性能、高安全、高扩展和易管理。核心交换区：为生产网络的各功能子区提供核心路由交换。生产核心区：部署天津商行生产服务和生产小机。前置机服务器区：连接各种业务前置机专用区域楼层接入区（迁移）：负责本地办公用户的接入。网银区（迁移）：部署网上银行业务的服

2、务器。dwdm区：连接生产中心和灾备中心的广域传输系统区域。广域网接入区：部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。中间业务外联区：通过专线连接监管单位、合作伙伴，为第三方机构提供外联服务。运行维护区：部署网络和系统管理及维护的业务系统。4.1设计概述4.1.1东丽数据中心整体结构东丽数据中心主要需要建立ip网络和存储网络。在ip网络中，按业务功能和安全需要分教育资料.为不同的网络区域，各个网络区域有独立的网络设备（如交换机、防火墙等）连接相应的主机、服务器、pc机等设备，每个网络区域的汇聚/接入交换机再连接到ip网的核心交换机上；每个网络区域内部可以根据需要再分为不同的控制区

3、域。ip网络主要分为以下网络区域：核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、网银区、dwdm区、广域网接入区、中间业务外联区、运行维护区，如图：4.1.2vlan规划在模块化网络架构中可以看到，数据中心首先是被划分为网络分区，然后基于每个应用对各自架构的qos需求，再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构，需要在网络的第2层创建vlan。在不同分区之间互联点和分区内部上行连接点上，都需要创建vlan。教育资料.4.1.3路由设计在数据内部，交换核心区域和其他功能区域的汇聚交换机之间运行ospf骨干区域area0，其他区域内部分别运行ospf和静态路由。

4、4.2核心交换区设计4.2.1具体设计在东丽数据中心中，核心交换区连接了其他不同的分区。它也作为数据中心连接灾备中心和广域网络的连接点。核心区在数据中心架构中的作用是，尽可能快速地在网络之间实现数据传输的路由和数据交换。核心区主要部署两台高端交换机s12508交换机连接其他功能分区，提供10g和ge链路的双归属连接。两台核心交换器之间采取trunk链路连接，启用irf技术，将两条核心交换机虚拟成一台。核心区交换机连接到所有其他区的边缘设备，有两类连接连接到核心，,一类是来自核心生产业务（比如生产核心区前置机区）的连接，对该类应用提供高速访问服务，采用万兆接口这两个区域的汇聚交换机。另一类是其它

5、业务。每个区汇聚交换机/接入交换机都上行连接到core-sw1和core-sw2。每个区交换机将使用单独的vlan，vlan跨越两个交换机，上行链接到核心。4.2.2vlan划分与每个子区域的互联接口可划分为同一vlan，将核心交换区域与各子域的互联链路进行链路聚合。如下图所示：教育资料.4.2.3路由规划在2台core-sw1和core-sw2核心交换机和各区域的汇聚交换机连接端口上运行ospf动态路由协议，所属的区域为area0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。采用irf技术后，可以大大简化网络中的路由设置，减少需要的互联路由网段，其中，除网银与中间业务外联区

6、外，其它区域的汇聚/接入交换机与核心之间的互联链路都进行聚合，生产核心区和前置机区在各自区域的核心/接入交换机上启用三层功能，采用ospf和核心交换区之间进行互通，如下图所示意：教育资料.教育资料.4.3生产核心区规划4.3.1拓扑生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机；在该区域采用三层架构，采用全千兆智能接入交换机s5500ei系列交换机提供小机及服务器的光口、电口接入，每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机s9508e交换机上，两条s9508e交换机互相之间采用双万兆链路聚合捆绑，启用irf功能，将两台汇聚交换机虚拟成一台交换机，每个s950

7、8e各出一个万兆接口上联到数据中心核心交换机s12508上，上行的两条万兆链路启用链路捆绑功能，聚合成一条20g的物理链路。教育资料.4.3.2vlan规划上联到核心交换区的vlan采用链路聚合，合并为一个vlan,在分区内部根据不同级别的应用再进一步分配。vlan分配主要考虑互联vlan和主机。4.3.3路由规划汇聚层交换机与核心交换机间运行ospf路由协议。在设备间运行ospf时，建议将汇聚层95的相关接口划分在一个ospfstub区域中，以免数据中心中收到过多的lsa。各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同，并且可预知。生产核心区外

8、连核心区的2条链路的进行链路捆绑，在路由计算上，只有一条路径，但是该路径包含2个万兆端口，提供物理层面的冗余。教育资料.4.4前置机区规划4.4.1拓扑前置机区连接生产类系统的前置机等；该区使用4台千兆智能交换机s5500-52c-ei交换机。4台s5500-52c-ei交换机采用irf虚拟化技术将4台交换机虚拟成一台交换机。4.4.2vlan规划上联到核心区的链路进行链路捆绑，采用同一个vlan进行互联。在分区内部根据不同级别的应用再进一步分配。vlan分配主要考虑互联vlan和主机。4.4.3路由规划接入交换机启用三层功能，前置机网关设置在接入交换机上，接入交换机与核心交换机间运行ospf

9、路由协议。在设备间运行ospf时，建议将接入交换机的相关接口划分在一个ospfstub区域中，以免数据中心中收到过多的lsa。教育资料.各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同，并且可预知。前置区外连核心区的2条万兆链路的进行链路捆绑，在路由计算上，只有一条路径，但是该路径包含2个万兆端口，提供物理层面的冗余。4.5广域网接入区规划广域网接入区主要连接与各省市分行，天津市内各区县支行，分理处等的上联网络设备，该区使用两台sr6608核心路由器作为各分支机构的上联设备，每个sr6608配置3个cpos广域接口，2个主用，一个备用。4.5.1路

10、由规划广域网接入区与整个数据中心采用统一的策略和部署方案，在核心区作为ospf骨干区的前提下，广域网接入区内部路由协议采用ospf，在区域内路由详细规划上，建议如下：l广域网路由器与核心交换机互联的端口，划分为ospf骨干域0域l广域网路由器下联接口，按照原有的路由规划，划分为1、2、3、4和10、20、教育资料.30、40等几个路由子域。路由器到核心交换机上的链路采用trunk链路进行连接。6.2irf虚拟化技术即irf2交换机虚拟化实现多台设备虚拟化成一台设备，多台设备当做一台设备来运行、管理。大大简化数据中心日益复杂的组网和管理维护，相比于传统的mstp、vrrp和多路径的路由协议，ir

11、f可以免除这些协议的部署，简化设备并成倍的提升网络性能与可靠性。6.2.1技术优点irf堆叠具有以下主要优点：简化管理。irf堆叠形成之后，用户连接到任何一台成员设备的任何一个端口可以登录irf堆叠系统，这相当于直接登录irf系统中的master设备，通过对master设备的配置达到管理整个irf堆叠以及堆叠内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。简化网络运行。irf形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。irf技术的这

12、一特性是常见的集群技术所不具备的，后者仅仅能完成设备管理上的统一，而集群中的设备在网络中仍然分别作为独立节点运行。低成本：irf技术是将一些较低端的设备虚拟成为一个相对高端的设备使用，从而具有高端设备的端口密度和带宽，以及低端设备的成本。比直接使用高端设备具有成本优势。教育资料.强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。保护用户投资。由于具有强大的扩展能力，当用户进行网络升级时，不需要替换掉原有设备，只需要增加新设备既可。很好的保护了用户投资。高可靠性。堆叠的高可靠性体现在多个方面，比如：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、下层设

13、备之间的物理连接也支持聚合功能，这样通过多链路备份提高了堆叠系统的可靠性；堆叠系统由多台成员设备组成，master设备负责堆叠的运行、管理和维护，slave设备在作为备份的同时也可以处理业务，一旦master设备故障，系统会迅速自动选举新的master，以保证通过堆叠的业务不中断，从而实现了设备级的1:n备份。irf是网络可靠性保障的最优解决方案。高性能。由于irf设备是由多个支持irf特性的单机设备堆叠而成的，irf设备的交换容量和端口数量就是irf内部所有单机设备交换容量和端口数量的总和。因此，irf技术能够通过多个单机设备的堆叠，轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大

14、幅度提高了设备的性能。丰富的功能。irf支持包括ipv4、ipv6、mpls、安全特性、oaa插卡、高可用性等全部交换机特性，并且能够高效稳定地运行这些功能，大大扩展了irf设备的应用范围。广泛的产品支持。irf技术作为一种通用的虚拟技术，对不同形态产品的堆叠一体化的实现，使用同一技术，同时支持盒式设备的堆叠，以及框式分布式设备的堆叠。6.2.2典型组网应用使用irf扩展端口数量使用irf扩展端口数量如下图所示。当接入的用户数增加到原交换机端口密度不能满教育资料.足接入需求时，可以通过在原有的堆叠系统中增加新的交换机而得到满足。irf使用irf扩展端口组网图使用irf扩展系统处理能力使用irf

15、扩展系统处理能力如下图所示。当中心的交换机转发能力不能满足需求时，可以增加新交换机与原交换机组成堆叠系统来实现。若一台交换机转发能力为64mpps，则通过增加一台交换机进行扩展后，整个堆叠设备的转发能力为128mpps。需要强调的是，是整个堆叠设备的转发能力整体提高，而不是单个交换机的转发能力提高。irf使用irf扩展系统处理能力组网图使用irf扩展带宽使用irf扩展带宽如下图所示，当边缘交换机上行带宽增加时，可以增加新交换机与原交换机组成堆叠系统来实现。将成员设备的多条物理链路配置成一个聚合组，可以增加到中心交换机的带宽。而对中心交换机的而言，边缘交换机的数量并没有变化，物理上的两台教育资料

16、.交换机看起来就是一台交换机，原有交换机会将当前的配置批量备份到新加入的交换机。因此，这种变化对网络规划和配置影响很小。irf使用irf扩展带宽组网图跨越空间使用irfirf2.0可以通过光纤将相距遥远的设备连接形成堆叠设备，如下图所示，每个楼层的用户通过楼道交换机接入外部网络，现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设备，这样，相当于每个楼只有一个接入设备，网络结构变得更加简单；每个楼层有多条链路到达核心网络，网络变得更加健壮、可靠；对多台楼道交换机的配置简化成对对堆叠系统的配置，降低了管理和维护的成本。教育资料.a座3楼堆叠线缆2楼上行聚合链路1楼b座3楼核心网堆叠线缆2楼上行聚合链路1楼跨越空间使用irf组网图使用irf简化组网常见的网络组网使用mstp、vrrp等协议来支持链路冗余、网关备份。这种组网在各种场合均会使用，这里仅以汇聚层与接入层之间的组