智慧银行IT网络规划设计

1、智慧银行 IT网络规划设计技术创新 变革未来网络安全域详细规划010203网络架构需求分析网络架构总体规划两地三中心一体化网络规划04路由、IP地址和QOS规划05银监会银监75商业银行数据中心监管指引银监53银行业重要信息系统突发事件应急管理规范（试行）银行业金融机构信息系统风险管理指引电子银行业务管理办法和电子银行安全评估指引人民银行中华人民共和国金融行业标准JR/T 0011-2004银行集中式数据中心规范公安部 计算机信息系统安全等级保护网络技术要求（公安部，07年）工信部TIA-942数据中心分级标准国家标准GB/T 20988-2007信息安全技术 信息系统灾难恢复规范金融行业网络

2、建设参照规范 网络技术向虚拟化、服务化、自动化方向演进 SDN软件定义网络，将是未来网络技术演进方向，目前SDN的推广主要受到技术成熟度和应用服务等限制私有云 混合云 公有云管控集中化 部署管理自动化技术标准化能力服务化提供快速化云数据中心网络网络技术演进资源弹性化网络服务能力网络技术发展趋势MDC/VDC/VLAN/VPN/VRF技术vFW/vIPS/vLB技术满足不同应用、不同用户的需要提高设备利用率实现资源复用与逻辑隔离实现资源的灵活调度IRF2/VSS/vPC技术简化网络结构和路由管理，减少环路问题提高带宽利用率提高可靠性降低运维难度 N:1/1:N 虚拟化技术，私有技术，比较成熟，存

3、在异构兼容问题，适用于中小规模虚拟化或云计算环境VCF技术减少网络管理节点数提升网络带宽利用率，简化布线提高业务部署灵活性横向虚拟化纵向虚拟化网络技术发展趋势-网络虚拟化技术三层网络架构(VRRP+STP)大二层网络扩展能力虚拟化/扁平化网络架构(N:1虚拟化，增强型二层)虚拟交换矩阵架构(TRILL/SPB/CLOS)跨数据中心大二层互联(VPLS/EVI/OTV/VXLAN)MPLS 核心网PWPWPWPWPWPW存在复杂生成树环路网络结构复杂带宽利用率低私有技术，如IRF/vPC应用成熟组网简单，简化网络结构减少环路问题提高带宽利用率Non-blocking架构L2 or L3技术实现较

4、低收敛比高性能，高可扩展性VPLS为标准技术，兼容性好私有二层Overlay技术（EVI/ OTV）,部署简单，扩展方便基于主机的Overlay技术（VXLAN），支持任意网络透传 大二层网络可很好地满足云数据中心内部或云间的计算集群、虚机动态迁移、资源池灵活扩展等需求 主流网络厂商均有各自改进增强的大二层网络技术，存在异构兼容问题网络技术发展趋势-大二层网络技术行业IT应用方案 控制平台 数据平台 应用服务 第三方SDN控制平台APP虚拟网络环境标准协议第三方SDN应用IntegratedIntegratedIntegrated控制平台 API虚拟平台 API SDN通过控制平面、数据转发平

5、面的分离，可极大提升网络的管控效率及虚拟化能力，更好地实现网络资源的自动化编排、自动化配置管理。 通过基于SDN技术的对外开放的API进行软件编程，实现整个网络集中的管理能力。 SDN需要提供丰富的API接口： 支持OpenFlow等标准协议 支持不同厂商的Open API 支持OpenStack协议 提供控制平台API接口 SDN软件定义网络架构实现：数据平台+控制平台+应用服务， 目前SDN应用还不够成熟完善，可关注及试点应用网络技术发展趋势-软件定义网络网络面临的挑战：网络性能、带宽利用率、虚机动态迁移、资源弹性化、虚拟网络安全、网络管理等方面满足各类业务、实现全功能性网络所面临的挑战网

6、络性能问题虚拟机的高密度部署纵向突发大流量的应对横向流量增长的应对虚机迁移问题虚拟机的动态漂移跨数据中心的虚机漂移虚机迁移的策略跟随网络安全问题虚拟机的安全访问控制多租户之间的安全云数据中心的安全访问管理能力问题虚拟机流量监控管理网络的快速配置部署网络资源的统一管控资源扩展问题随需扩展网络资源多数据中心灵活接入VLAN和IP的扩展新兴业务问题大数据等新技术的发展互联网金融等业务的发展传统银行网络面临的挑战H3CH3CIntranet/Extranet/InternetIP网互联DC-1DC-2Client存储网互联 网络架构的扁平化、虚拟化及大二层互通 网络设备的高带宽低时延、高性能 虚机的虚

7、拟化感知和策略跟随 数据中心间大二层网络互连 多数据中心的灵活接入 虚机间的安全访问控制 数据中心的出口安全 网络资源弹性化（资源池化） 网络能力服务化 网络技术标准化 网络部署和管理自动化 计算资源虚拟化带来的性能/迁移/安全/管理变化、服务能力的云化、网络的监管控等新一代银行网络规划技术关注点规划内容规划子内容关注点两地三中心网络一体化规划数据中心网络基础架构规划功能区域划分，即安全域划分；网络架构的虚拟化、扁平化；满足两地三中心的大二层互通网络；网络资源弹性化和能力服务化；网络设备的高性能和低时延；充分考虑未来35年新业务和新技术的发展需要；两地三中心之间的互联互通DWDM密集波分复用；

8、多数据中心的灵活接入；通讯链路的部署（数据复制、业务应用、链路冗余等）；两地三中心全局智能DNS解析，满足容灾或双活服务需要；基于两地三中心的WAN互联架构基于全国的WAN互联架构，实现分行、分公司上联链路的冗余部署和灵活接入；第三方WAN互联的冗余部署；管理网络带外管理网络；带内网络管理；银行网络规划技术关注点网络安全域详细规划010203网络架构需求分析网络架构总体规划两地三中心一体化网络规划04路由、IP地址和QOS规划05异地灾备中心主数据中心同城灾备中心生产办公运维管理开发测试异地灾备运维管理数据中心分布及定位生产办公运维管理开发测试三数据中心构成两地三中心灾备模式；数据中心A为主中

9、心；数据中心B为同城灾备中心；数据中心C为异地灾备中心；业务接入运维入口(Management)Non-Ethernet LinkEthernet LinkInternet广域网连接层(WAN Connectivity Layer)互联核心层(DCI: Data Center Interconnection Layer)分布层(Distribution Layer)接入层 (Access Layer)分布层(Distribution Layer)接入层 (Access Layer)服务器层 (Server Layer)服务器层 (Server Layer)存储层 (Storage Layer)

10、存储层 (Storage Layer)业务接入运维入口(Management)Non-Ethernet LinkEthernet LinkInternet广域网连接层(WAN Connectivity Layer)分布层(Distribution Layer)接入层 (Access Layer)分布层(Distribution Layer)接入层 (Access Layer)服务器层 (Server Layer)服务器层 (Server Layer)存储层 (Storage Layer)存储层 (Storage Layer)业务接入运维入口(Management)Non-Ethernet Li

11、nkEthernet LinkInternet广域网连接层(WAN Connectivity Layer)分布层(Distribution Layer)接入层 (Access Layer)分布层(Distribution Layer)接入层 (Access Layer)服务器层 (Server Layer)服务器层 (Server Layer)存储层 (Storage Layer)存储层 (Storage Layer)用户层面广域网互联层面数据中心互联层面共享网络资源数据处理存储资源主数据中心同城灾备中心异地灾备中心互联核心层(DCI: Data Center Interconnection

12、Layer)互联核心层(DCI: Data Center Interconnection Layer)两地三中心总体体系架构主数据中心网络功能域划分网银区外联区村镇银行区内联区开发测试区生产区移动业务区运维管理区备份网络（可选）核心交换区安全边界安全边界安全边界安全边界安全边界安全边界安全边界安全边界安全边界安全边界InternetCall Center、第三方、人行、国际结算分支行村镇分支行接入移动、电信、联通DCI区具有容灾需求的业务区需要与DCI连接数据中心B准生产区OA业务区安全边界网络功能域划分分区说明应用描述生产区生产区是总行业务生产系统服务器集中放置的区域，例如柜员业务系统、支付

13、系统、卡业务等；准生产区准生产区是提供准生产环境的功能区域。提供准生产环境的满足条件，不仅测试被测系统本身的各项指标，还将量化新系统对其他系统的影响。开发测试区用于部署开发、测试及虚拟桌面等相关应用的服务器OA业务区办公区是办公系统服务器集中放置的区域，例如OA系统（办公自动化、内部邮件部分）、财务系统、人力资源系统等管理类应用；网银区是网银、手机银行等互联网业务服务器集中放置的区域，有独立的互联网出口；村镇银行区村镇银行服务器区域，以及村镇银行分支行接入区域外联区人行、银联、支付宝、国际结算等第三方外联业务内联区分支行广域网接入移动业务区3G/4G移动业务接入DCI区两地三中心互联相关设备所

14、在区域核心交换区数据中心内部各区域之间高速交换区域。由于强调高速交换，核心交换区自身不设安全控制隔离层；运维管理区是服务中心运维管理系统服务器集中放置的区域，例如网管监控系统、备份管理系统，vCenter管理系统等；针对网络设备MGMT、服务器IPMI等带外管理端口，专门设置的安全区域两地三中心容灾网络架构规划： 同城数据中心DWDM互联 数据中心-分行冗余广域网互联 外联机构冗余专线互联 互联网冗余出口 容灾网络切换实现 动态路由切换 静态路由切换 智能DNS解析 应用负载均衡分支机构分行分行各营业点广域网数据中心DWDM同城灾备中心主数据中心异地灾备中心人行互联网出口Internet银联第

15、三方分支机构外联机构互联网用户专线两地三中心一体化网络架构网络功能域详细规划010203网络架构需求分析网络架构总体规划两地三中心一体化网络规划0405路由、IP地址和QOS规划核心交换区为整个数据中心的网络交换核心，采用两台高端交换机组成，双机热备，40G互联并采用横向虚拟化技术，减少管理节点与部署复杂度。核心交换区网络架构规划网银区外联区村镇银行区内联区开发测试区生产区移动业务区带外、带内运维管理区安全边界安全边界安全边界安全边界安全边界安全边界安全边界安全边界准生产区OA业务区10G40G40G10G10G10G10G10G10G10G安全边界同城两个双活数据中心都有自己的互联网区，且拓

16、扑结构相同。两个数据中心的互联网区之间，通过数据中心互联区实现大二层互联。网银区与核心交换区之间，通过防火墙互联。网银（互联网）区网络架构规划WEB服务器防火墙交换机防火墙InternetWAF交换机核心交换区APP服务器DMZ区计算资源池应用负载均衡IPS全局负载均衡DDOS应用负载均衡不同运营商互联网接入链路DB服务器数据中心互联区10GESSL卸载10GE防火墙村镇储蓄所的主/备线路分别连接同城两个数据中心。专线路由器通过数据中心互联区互联，实现路由迂回。两个双活数据中心都有自己的村镇银行区，且拓扑结构相同。两个数据中心的互联网区之间，通过数据中心互联区实现大二层互联。村镇银行区网络架构

17、规划村镇11GE村镇2村镇n防火墙路由器WEB服务器APP服务器DB服务器主中心核心交换区10GE10GE防火墙WEB服务器APP服务器DB服务器同城灾备中心核心交换区10GE数据中心互联区10GE10GE数据中心互联区前置服务器人民银行银联第三方防火墙汇聚交换机防火墙路由器主中心核心交换区外联区计算资源池专线专线POS/ Call Center外联业务的主/备线路分别连接同城两个数据中心。专线路由器通过数据中心互联区互联，实现路由迂回。两个数据中心的汇聚交换机通过数据中心互联区实现大二层互联。同城灾备中心核心交换区外联区计算资源池汇聚交换机数据中心互联区防火墙10GE10GE外联区网络架构规

18、划数据中心互联区1GE10GE10GE1GE1GE 主中心 同城灾备中心本地分支行路由器浙江省干路由器防火墙防火墙核心交换区核心交换区10GE10GE10GE本地分支行内联区网络架构规划浙江省干路由器核心路由器核心路由器本地分支行交换机省分行路由器省级分行支行路由器省分行交换机支行交换机同城两个数据中心，各有一台路由器负责各省分行接入（国干）、一台路由器负责浙江本省分行和ATM接入（省干）。同城两个中心的核心、省干路由器间分别通过DWDM线路互联。异地灾备中心通过专线连接主/备中心，并利用3G/4G线路为下级分支行提供备用线路访问。每个数据中心的核心路由器上，部署全局负载均衡设备。3G/4G接

19、入路由器 异地灾备中心防火墙核心交换区联通VPDN移动业务区网络架构规划防火墙交换机核心交换区10GE认证服务器DMZ区3G无线基站移动终端路由器路由器IPSLAC运营商移动业务区承载的具体业务包括移动柜面、移动终端开卡等DMZ区主要放置3G/4G接入的认证、证书服务器汇聚交换机虚拟化X86资源池（WEB/APP/DB）防火墙应用负载均衡接入交换机10GE40GE核心交换区汇聚交换机和接入交换机都使用多虚一技术，简化管理。汇聚交换机40GE到核心交换区，10GE到数据中心互联区。服务器采用双网卡接入双交换机节点实现冗余高可用，通过跨交换机链路捆绑方式实现链路负载均衡，提高带宽利用率。办公区网络

20、架构规划数据中心互联区防火墙应用负载均衡10GE物理服务器10GE汇聚交换机虚拟化X86资源池（APP）小型机资源池虚拟化X86资源池（DB）防火墙应用负载均衡接入交换机10GE10GE核心交换区40GE服务器划分为APP、DB等多个安全子域（每个子域多个VLAN），通过汇聚交换机上旁挂的防火墙隔离。汇聚交换机通过数据中心互联区与同城灾备中心实现大二层互联。服务器采用双网卡接入双交换机节点实现冗余高可用，通过跨交换机链路捆绑方式实现链路负载均衡，提高带宽利用率。生产区网络架构规划防火墙应用负载均衡数据中心互联区10GE物理服务器网络架构与生产区基本一致。准生产区网络架构规划汇聚交换机小型机资源

21、池（APP/DB）虚拟化X86资源池（WEB/APP/DB）防火墙应用负载均衡10GE10GE10GE核心交换区10GE数据中心互联区开发测试区网络架构规划服务器划分为开发、测试等多个安全子域，通过汇聚交换机上旁挂的防火墙隔离不同子域。汇聚交换机通过数据中心互联区与同城灾备中心实现大二层互联。服务器采用双网卡接入双交换机节点实现冗余高可用，通过跨交换机链路捆绑方式实现链路负载均衡，提高带宽利用率。汇聚交换机虚拟化X86资源池（开发测试）小型机资源池（开发测试）防火墙应用负载均衡接入交换机10GE10GE10GE10GE核心交换区数据中心互联区DWDM设备主中心同城灾备中心FC-SANDWDM设

22、备运营商1裸光纤核心交换机各安全区汇聚交换机10GE10GE*48G核心交换机10GE*4各安全区汇聚交换机FC-SAN8G运营商2裸光纤二层互联交换机二层互联交换机双活数据中心间的FC存储网络通过DWDM 8G线路互联。 同城双活数据中心的核心交换区，利用DWDM，实现三层互联。同城两个DC间需要大二层互通的VLAN，由各安全区的汇聚交换机用二层trunk透传到数据中心互联区的二层互联交换机，然后利用MACinIP技术，实现大二层互通。外联区、内联区路由器利用DWDM传输线路实现三层互联。数据中心互联区网络架构规划外联区路由器10GE*41GE10GE10GE*4外联区路由器内联区路由器1G

23、E内联区路由器不同安全区的服务器带内管理被划分到不同的安全子域（如利用交换机一虚多技术或vlan），不同安全子域间不能互相访问。NMS、vCenter、堡垒机等在一个单独的安全子域，能访问所有其它服务器安全子域，安全子域间的访问控制策略由防火墙控制。每个数据中心都有自己的运维管理区，之间通过数据中心互联区实现二、三层互联。运维人员必须通过堡垒主机才能登陆管理设备。小型机资源池物理x86资源池虚拟x86资源池NAS资源池存储资源池Solarwinds网管系统堡垒机vCenter系统日志管理系统NTP服务器网络设备汇聚交换机防火墙生产区接入交换机准生产区接入交换机开发测试区接入交换机网银区接入交换

24、机外联区接入交换机10GE10GE设备带内管理网/宿主机管理/vMotion网/心跳网核心交换区运维管理区带内管理网络架构办公区接入交换机数据中心互联区村镇银行区接入交换机10GE存储备份网包括NAS系统和备份系统。存储备份虽然与带内管理虽共用交换机，但之间逻辑隔离。不同安全区的服务器存储备份网卡在不同的VLAN里，VLAN间互相不通。NAS和备份系统分别通过网卡TRUNK，连接到每个安全区的VLAN，提供存储和备份服务。不同数据中心的NAS和备份系统，通过核心交换区实现三层互联。运维管理区存储备份网络架构规划汇聚交换机生产区接入交换机准生产区接入交换机开发测试区接入交换机网银区接入交换机10

25、GE外联区接入交换机NBU系统生产服务器资源池准生产服务器资源池开发测试服务器资源池互联网服务器资源池外联服务器资源池办公区接入交换机办公服务器资源池10GE村镇银行服务器资源池村镇银行去区接入交换机NAS系统路由器交换机负载均衡器防火墙IPSMGMT管理交换机MGMTMGMTMGMTMGMTMGMT汇聚交换机带外管理区分别连接网络设备的MGMT口，和服务器的IPMI口。带外管理区连接到运维管理区。网络带外管理区架构规划IPMI管理交换机小型机X86服务器存储设备IPMIIPMIBMC服务器和存储设备接口类型及带宽需求：生产网运维管理网虚拟化桌面x86服务器(VDI)222虚拟化X86服务器(

26、DB)虚拟化x86服务器(WEB/APP)物理x86服务器(OA)物理x86服务器( 利旧)小型机服务器(每个分区)2FC-SAN存储设备2321 NAS存储设备FC-SAN网备份/vMotion210GE光1GE电10GE光16GB光2222222222222222244FC-SAN8/16GB光2注：运维管理网包括宿主机管理，心跳等；不包括带外管理。设备接口类型及带宽需求生产、准生产、OA办公、开发测试区物理布局网络安全域规划010203网络架构需求分析网络架构总体规划两地三中心一体化网络规划0405路由、IP地址和QOS规划Internet运维管理网外联区安全控制运维管理区安全控制内联区

27、安全控制网银区安全控制Internet办公区安全控制核心交换区开发测试区安全控制备份网FC-SAN网FC-SAN存储网生产网运维管理区安全控制备份网FC-SAN网外联区安全控制内联区安全控制网银区安全控制办公区安全控制数据中心互联区数据中心互联区主中心同城灾备中心运维管理网FC-SAN存储网生产网人行/银联/第三方分支行核心交换区DWDM双活数据中心网络架构生产区安全控制生产区安全控制安全控制开发测试区准生产区安全控制移动业务区安全控制安全控制准生产试区安全控制移动业务区村镇银行业务区安全控制安全控制村镇银行区数据中心 ASANDCI业务 A全局负载均衡路由器交换机服务器路由器交换机核心核心汇

28、聚汇聚接入接入全局负载均衡服务器负载均衡ISP AISP B内网外网数据中心 BSANDCI业务 A全局负载均衡路由器交换机服务器路由器交换机核心核心汇聚汇聚接入接入全局负载均衡服务器负载均衡ISP AISP B内网外网SAN扩展LAN扩展入口选择二层互联健康探测三层可达探测探测存储扩展负载均衡负载均衡双活数据中心技术架构负载均衡负载均衡服务器负载均衡负载均衡数据中心A数据中心BRoot DNS全局负载均衡客户端服务器全局负载均衡Local DNS心跳信息心跳信息1、客户端向LOCAL DNS请求某域名2、Local DNS向全局负载均衡发出域名解析请求3、全局负载均衡响应Local DNS域

29、名解析请求，为其返回最佳站点1.利用全局负载均衡 实现广域网流量的负载均衡，实现双活数据中心的入口选择2.当A中心业务异常，将广域网流量负载到中心B，实现无缝切换入口选择层-基于域名数据中心A数据中心B扩展的存储网络Storage networkRW信息同步VIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLANServer VLAN VIP-A 基于域名的业务切换-负载均衡故障数据中心A数据中心B

30、扩展的存储网络Storage networkRW信息同步VIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLANServer VLAN VIP-A 基于域名的业务切换-负载均衡故障负载均衡器A发生故障时，负载均衡器B接管VIP-A地址数据中心A数据中心B扩展的存储网络Storage networkRW信息同步VIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Gro

31、up-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLANServer VLAN VIP-B 基于域名的业务切换-负载均衡故障全局负载均衡器将域名解析至VIP-B地址数据中心A数据中心B扩展的存储网络Storage networkRW信息同步VIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLAN

32、Server VLAN VIP-A 基于域名的业务切换-服务器故障负载均衡器A检测到服务器故障后，通知负载均衡器B接管VIP-A地址负载均衡负载均衡服务器负载均衡负载均衡数据中心A数据中心B客户端A服务器心跳信息业务A业务BIP-ARHI发布主机路由客户端AIP-BRHI发布主机路由分业务主备模式1、负载均衡 通过路由健康注入功能向外发布一条IP-A地址的路由2、客户端直接请求该IP地址3、当业务异常时，负载均衡 发生流量组倒换，使得业务IP-A在备中心的负载均衡上激活，同时通过路由健康注入功能，将IP-A从备中心发布出去1.利用负载均衡 路由健康注入功能实现入口选择2.根据业务状态，实现分业

33、务自动切换入口选择层-基于IP发布的业务数据中心A数据中心B扩展的存储网络Storage networkRWVIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLANServer VLAN8/32 9/32 RHIRHI发布主机路由发布主机路由基于IP的业务切换-负载均衡故障数据中心A数据中心B扩展的存储网络Storage networkRWVIP-AVIP-BVIP-BVIP-AProduction

34、 VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLANServer VLAN8/32 9/32 RHI发布主机路由基于IP的业务切换-负载均衡故障负载均衡器A发生故障时，负载均衡器B接管VIP-A地址，并发布主机路由数据中心A数据中心B扩展的存储网络Storage networkRWVIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺

35、省设备Sync-FailoverDevice GroupServer VLANServer VLAN8/32 RHI发布主机路由9/32 RHI发布主机路由基于IP的业务切换-服务器故障数据中心A数据中心B扩展的存储网络Storage networkRWVIP-AVIP-BVIP-BVIP-AProduction VLANTraffic Group-1Traffic Group-2RWHeartbeatHA VLAN缺省设备缺省设备Sync-FailoverDevice GroupServer VLANServer VLAN8/32 9/32 RHI发布主机路由基于IP的业务切换-服务器故障负

36、载均衡器A检测到服务器故障时，通知负载均衡器B接管VIP-A地址，发布主机路由，将流量导向数据中心B应用访问方式适用范围建议灾备网络建设关注点DNS域名解析访问：通过DNS服务器可集中、快速实现域名-IP地址的灾备切换，实现灾备切换后用户的透明访问更好地支持未来应用系统双活/多活建设适用内部应用系统，面向互联网的应用系统应用系统域名解析规划；内网全局智能DNS服务建设；外网全局智能DNS服务建设；应用负载均衡服务；应用系统访问方式和软件更新（IP地址DNS域名）；IP地址访问：应用系统搬迁或灾备部署，需要更改应用IP和相关接口配置，增加部署维护难度灾备切换后，需要通知相关用户更改应用系统的访问

37、IP，影响灾备切换效率不利于未来应用系统双活建设适用于与人行/银行/第三方等互联应用系统灾备线路可为生产线路提供备份服务；生产-灾备环境之间的路由访问控制；为第三方提供NAT地址转换服务；*应用系统支持主备IP地址切换访问，支持灾难恢复（可选）。应用系统访问方式建议ARP广播泛滥未知单播和未知组播泛滥STP域扩大ARP广播报文会扩散到整个二层网络中，占用网络资源浪费网络带宽未知单播和组播报文会扩散到整个二层网络中，占用网络资源，浪费网络带宽STP域扩展到整个二层网络中，使管理复杂，收敛速度变慢解决方案ARP代答未知报文抑制协议报文过滤二层互联扩展问题业务高可用服务器集群负载均衡集群虚机动态迁移

38、二层互通要求节约成本故障隔离部署方便最优解决之道-MACinIP传输链路无关站点完全独立配置简单且旁挂部署MACinIP技术在双活数据中心的意义入口选择二层互联切换探测DNSIP 路由安全隔离业务集群虚机迁移服务器故障业务异常虚机变化全局负载均衡（GSLB）与服务器负载均衡（SLB）联动以太网虚拟化互联优化二层互联网络服务器负载均衡模拟业务报文实现业务可用性探测双活数据中心方案总结Internet/Intranet智能终端移动用户客户端App服务器Web服务器应用负载均衡DB服务器智能DNS解析App服务器Web服务器应用负载均衡DB服务器智能DNS解析DNS解析DNS解析联动App服务器We

39、b服务器应用负载均衡DB服务器智能DNS解析DNS解析生产数据中心同城灾备数据中心异地灾备数据中心联动 为两地三中心建立全局智能DNS系统，以满足多数据中心之间的主备或双活应用部署要求两地三中心一体化DNS服务网络安全域规划010203网络架构需求分析网络架构总体规划两地三中心一体化网络规划04路由、IP地址和QOS规划05广域网路由协议选择路由协议用于学习和维护路由，为网络通讯提供最佳路径，路由协议选择原则如下：开放性和标准化：必须使用国际标准的路由协议，保证网络的开放性，支持不同厂商设备的路由互连；可扩展性：使用的路由协议必须具备良好的扩展能力，能够支持网络规模的持续增长；支持数据分流：路

40、由协议应该支持灵活的路由策略，通过调整路由策略，可以实现数据分流；基于以上原则，加上目前网络现状，广域网建设采用OSPF+BGP的双层路由体系；OSPF与BGP都是IETF制定的通用路由协议，具备良好的扩展能力，而且结合BGP和OSPF各自的优势，非常容易实现数据分流；OSPF是一种内部网关路由协议，用于自治系统内部的路由交换。OSPF是目前最为流行的IGP路由协议，支持层次化路由体系，具备良好的扩展能力；BGP是一种外部网关路由协议，主要用于大型网络之间的路由交换。BGP能够处理超大容量的路由信息，支持丰富的路由属性，能够实现灵活的路由策略；考虑防火墙对静态路由的支持更加稳定，在企业边界部分

41、，可以选用静态路由。本地汇聚路由器 主中心EBGPEBGP 同城灾备中心分支行省分行路由器iBGP省分行省分行路由器iBGP省分行广域网核心路由器全国广域网路由协议架构： 总行的两地三中心在一个AS里。 省分行各分配单独的一个AS号。 AS编号从私有编号范围（64512-65535）中分配 各省分行与总行AS间使用EBGP路由协议。 一个AS内的多台边界路由器之间使用iBGP路由协议。各AS的BGP边界路由器将本AS内的路由汇聚后发布给其它AS。对3G/4G备份地址段，使用静态路由。路由架构规划-国网iBGPEBGPiBGP总行数据中心 异地灾备中心AS65430AS65431AS65432A

42、S65433DWDM设备主中心同城灾备中心DWDM设备运营商1裸光纤核心区交换机运营商2裸光纤二层互联交换机二层互联交换机总行的三个数据中心内使用OSPF路由协议。其中同城两个数据中心都在OSPF 的area 0，异地灾备中心放在area 1。路由架构规划-数据中心核心区交换机异地灾备中心OSPF Area 0OSPF Area 1分支行路由器省分行交换机分支行路由架构规划-省网省分行路由器分支行交换机在各省网络中，省分行内部网络属于OSPF area 0。下属每个支行单独分配一个area编号。ABR设置在省级分行广域网汇聚路由器上。OSPF Area 1分支行路由器分支行分支行交换机OSPF

43、 Area 2OSPF Area 0办公应用A办公应用B生产应用B主数据中心同城灾备中心生产应用A生产终端本地应用路由发布本地应用路由发布办公终端流量分担策略规划同城两个数据中心提高本地路由发布的优先级，使分支行访问流量可以利用最佳路径。同城两各数据中心同时发布到对方数据中心的备用路由。分支行IP地址规划方案IP地址规划将在两地三中心整体架构确定后，结合现有的全面IP地址规划，重新进行规划。业务需求视频会议、IP语音、个人通信、票据影像系统等新业务系统需要高带宽、低延迟和低抖动的保证，采用QoS(服务质量保证)是保证业务发展的必经之路；功能定位IP QoS是用来保证应用数据流对网络吞吐量、传输

44、时延、时延抖动和丢包率的要求的技术；QoS能够防止重要应用的数据包在网络中的传输性能；模型分类及比较IP QoS功能模型分为Int-Serv集成服务和Diff-Serv差分服务：IntServ模型：将RSVP资源预留协议作为主要信令协议，要求网络沿途的每个节点都要为需要QoS的数据流预留资源，扩展性不好； DiffServ模型：当网络出现拥塞时，根据业务的不同服务等级约定，有差别地进行流量控制和转发来解决拥塞问题，按需分配，扩展性好；模型选择金融业网络中，带宽成本高，通常都是选择按需分配模式，选择Diff-Serv机制，实施IP QoS ；QOS规划-模型流量分类PHB(DSCP)业务说明Ne

45、twork ControlCS6(48)网络控制平面的业务VoIP TelephonyEF(46)IP电话业务，包括G.711、g.729语音流Broadcast VideoCS5(40)广播电视、视频监控业务Real-Time InteractiveCS4(32)交互视频应用，具有语音和视频能力。Multimedia ConferenceAF41(34)桌面多媒体协同应用，包含语音和视频。Meltimedia StreamingAF31(26)VoD流媒体业务Call-SignalingCS3(24)IP语音和视频业务的信令流OAMCS2(16)网络运营、维护和管理类的业务Low-Laten

46、cy DataAF21(18)指交互性的重要数据业务，要求响应时间短High-Throughput DataAF11(10)指非交互性的业务，不要求响应时间Low-Priority DataCS1(8)与企业业务无关的，如娱乐性业务Best EffortDF(0)不进行优先级标记的缺省业务这是IETF组织RFC 4594标准中业务优先级分类标准，基本涵盖了目前大部分行业的应用系统，具有普适性；优先级从高到低的类别依次为：网络控制协议语音、视频服务其他媒体流交互性业务非交互性的“背景”业务与业务无关的娱乐性业务按照业务实际需求，参考RFC的分类模型，划分优先级。QOS规划-应用分类序号所属类别所包含的业务特征和类型带宽要求延迟要求抖动要求包丢失要求1生产业务