銀行網(wǎng)絡(luò)建設(shè)方案

1、參考國(guó)內(nèi)外同行業(yè)的組網(wǎng)模型，按照標(biāo)準(zhǔn)化、模塊化、結(jié)構(gòu)的原則進(jìn)行生產(chǎn)中心的升級(jí)，改變現(xiàn)狀生產(chǎn)中心過于扁平化、安全性低的現(xiàn)狀，可以將生產(chǎn)中心規(guī)劃為：核心交換區(qū)、生產(chǎn)服務(wù)器區(qū)、前置機(jī)區(qū)、網(wǎng)銀區(qū)、運(yùn)行管理區(qū)、樓層接入?yún)^(qū)、辦公服務(wù)器區(qū)、廣域網(wǎng)接入?yún)^(qū)、災(zāi)備中心互聯(lián)區(qū)、中間業(yè)務(wù)外聯(lián)區(qū)等功能模塊。在各分區(qū)邊界部署防火墻，確保訪問的安全，實(shí)現(xiàn)生產(chǎn)中心的高性能、高安全、高擴(kuò)展和易管理。Ø 核心交換區(qū)：為生產(chǎn)網(wǎng)絡(luò)的各功能子區(qū)提供核心路由交換。Ø 生產(chǎn)核心區(qū)：部署天津商行生產(chǎn)服務(wù)和生產(chǎn)小機(jī)。Ø 前置機(jī)服務(wù)器區(qū)：連接各種業(yè)務(wù)前置機(jī)專用區(qū)域Ø 樓層接入?yún)^(qū)（遷移）：負(fù)責(zé)本地辦公用戶的

2、接入。Ø 網(wǎng)銀區(qū)（遷移）：部署網(wǎng)上銀行業(yè)務(wù)的服務(wù)器。Ø DWDM區(qū)：連接生產(chǎn)中心和災(zāi)備中心的廣域傳輸系統(tǒng)區(qū)域。Ø 廣域網(wǎng)接入?yún)^(qū)：部署下聯(lián)各省市分行、天津各區(qū)縣支行、分理處的骨干網(wǎng)路由器。Ø 中間業(yè)務(wù)外聯(lián)區(qū)：通過專線連接監(jiān)管單位、合作伙伴，為第三方機(jī)構(gòu)提供外聯(lián)服務(wù)。Ø 運(yùn)行維護(hù)區(qū)：部署網(wǎng)絡(luò)和系統(tǒng)管理及維護(hù)的業(yè)務(wù)系統(tǒng)。東麗數(shù)據(jù)中心主要需要建立IP網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)。在IP網(wǎng)絡(luò)中，按業(yè)務(wù)功能和安全需要分為不同的網(wǎng)絡(luò)區(qū)域，各個(gè)網(wǎng)絡(luò)區(qū)域有獨(dú)立的網(wǎng)絡(luò)設(shè)備（如交換機(jī)、防火墻等）連接相應(yīng)的主機(jī)、服務(wù)器、pc機(jī)等設(shè)備，每個(gè)網(wǎng)絡(luò)區(qū)域的匯聚/接入交換機(jī)再連接到IP網(wǎng)的核

3、心交換機(jī)上；每個(gè)網(wǎng)絡(luò)區(qū)域內(nèi)部可以根據(jù)需要再分為不同的控制區(qū)域。IP網(wǎng)絡(luò)主要分為以下網(wǎng)絡(luò)區(qū)域：核心交換區(qū)、生產(chǎn)核心區(qū)、前置機(jī)服務(wù)器區(qū)、樓層接入?yún)^(qū)、開發(fā)測(cè)試區(qū)、網(wǎng)銀區(qū)、DWDM區(qū)、廣域網(wǎng)接入?yún)^(qū)、中間業(yè)務(wù)外聯(lián)區(qū)、運(yùn)行維護(hù)區(qū)，如圖：4.1.2 VLAN規(guī)劃在模塊化網(wǎng)絡(luò)架構(gòu)中可以看到，數(shù)據(jù)中心首先是被劃分為網(wǎng)絡(luò)分區(qū)，然后基于每個(gè)應(yīng)用對(duì)各自架構(gòu)的QOS需求，再進(jìn)一步將網(wǎng)絡(luò)分區(qū)劃分為邏輯組。為了完成以上闡述的模塊化架構(gòu)，需要在網(wǎng)絡(luò)的第2層創(chuàng)建VLAN。在不同分區(qū)之間互聯(lián)點(diǎn)和分區(qū)內(nèi)部上行連接點(diǎn)上，都需要?jiǎng)?chuàng)建VLAN。在數(shù)據(jù)內(nèi)部，交換核心區(qū)域和其他功能區(qū)域的匯聚交換機(jī)之間運(yùn)行OSPF骨干區(qū)域AREA 0，其他區(qū)

4、域內(nèi)部分別運(yùn)行OSPF和靜態(tài)路由。在東麗數(shù)據(jù)中心中，核心交換區(qū)連接了其他不同的分區(qū)。它也作為數(shù)據(jù)中心連接災(zāi)備中心和廣域網(wǎng)絡(luò)的連接點(diǎn)。核心區(qū)在數(shù)據(jù)中心架構(gòu)中的作用是，盡可能快速地在網(wǎng)絡(luò)之間實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)穆酚珊蛿?shù)據(jù)交換。核心區(qū)主要部署兩臺(tái)高端交換機(jī)S12508交換機(jī)連接其他功能分區(qū)，提供10G和GE鏈路的雙歸屬連接。兩臺(tái)核心交換器之間采取Trunk鏈路連接，啟用IRF技術(shù)，將兩條核心交換機(jī)虛擬成一臺(tái)。核心區(qū)交換機(jī)連接到所有其他區(qū)的邊緣設(shè)備，有兩類連接連接到核心，一類是來自核心生產(chǎn)業(yè)務(wù)（比如生產(chǎn)核心區(qū), 前置機(jī)區(qū)）的連接，對(duì)該類應(yīng)用提供高速訪問服務(wù)，采用萬兆接口這兩個(gè)區(qū)域的匯聚交換機(jī)。另一類是其它業(yè)

5、務(wù)。每個(gè)區(qū)匯聚交換機(jī)/接入交換機(jī)都上行連接到Core-SW1和Core-SW2。每個(gè)區(qū)交換機(jī)將使用單獨(dú)的VLAN，VLAN跨越兩個(gè)交換機(jī)，上行鏈接到核心。4.2.2 VLAN劃分與每個(gè)子區(qū)域的互聯(lián)接口可劃分為同一VLAN，將核心交換區(qū)域與各子域的互聯(lián)鏈路進(jìn)行鏈路聚合。如下圖所示：在2臺(tái)Core-SW1和Core-SW2核心交換機(jī)和各區(qū)域的匯聚交換機(jī)連接端口上運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議，所屬的區(qū)域?yàn)锳rea 0,這樣各個(gè)網(wǎng)絡(luò)分區(qū)系統(tǒng)都可以通過核心區(qū)域知道整個(gè)網(wǎng)絡(luò)系統(tǒng)的路由。采用IRF技術(shù)后，可以大大簡(jiǎn)化網(wǎng)絡(luò)中的路由設(shè)置，減少需要的互聯(lián)路由網(wǎng)段，其中，除網(wǎng)銀與中間業(yè)務(wù)外聯(lián)區(qū)外，其它區(qū)域的匯聚/接入交

6、換機(jī)與核心之間的互聯(lián)鏈路都進(jìn)行聚合，生產(chǎn)核心區(qū)和前置機(jī)區(qū)在各自區(qū)域的核心/接入交換機(jī)上啟用三層功能，采用OSPF和核心交換區(qū)之間進(jìn)行互通，如下圖所示意：生產(chǎn)核心區(qū)用于連接核心的生產(chǎn)業(yè)務(wù)系統(tǒng)的小機(jī)、服務(wù)器等生產(chǎn)主機(jī)；在該區(qū)域采用三層架構(gòu)，采用全千兆智能接入交換機(jī)S5500EI系列交換機(jī)提供小機(jī)及服務(wù)器的光口、電口接入，每個(gè)接入交換機(jī)采用雙千兆光口分別上行到生產(chǎn)核心區(qū)的兩條匯聚交換機(jī)S9508E交換機(jī)上，兩條S9508E交換機(jī)互相之間采用雙萬兆鏈路聚合捆綁，啟用IRF功能，將兩臺(tái)匯聚交換機(jī)虛擬成一臺(tái)交換機(jī)，每個(gè)S9508E各出一個(gè)萬兆接口上聯(lián)到數(shù)據(jù)中心核心交換機(jī)S12508上，上行的兩條萬兆鏈路啟

7、用鏈路捆綁功能，聚合成一條20G的物理鏈路。4.3.2 VLAN規(guī)劃上聯(lián)到核心交換區(qū)的VLAN采用鏈路聚合，合并為一個(gè)VLAN,在分區(qū)內(nèi)部根據(jù)不同級(jí)別的應(yīng)用再進(jìn)一步分配。VLAN分配主要考慮互聯(lián)VLAN和主機(jī)。4.3.3 路由規(guī)劃匯聚層交換機(jī)與核心交換機(jī)間運(yùn)行OSPF路由協(xié)議。在設(shè)備間運(yùn)行OSPF時(shí)，建議將匯聚層95的相關(guān)接口劃分在一個(gè)OSPFSTUB區(qū)域中，以免數(shù)據(jù)中心中收到過多的LSA。各個(gè)功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均相同，并且可預(yù)知。生產(chǎn)核心區(qū)外連核心區(qū)的2條鏈路的進(jìn)行鏈路捆綁，在路由計(jì)算上，只有一條路徑，但是該路徑包含2個(gè)萬兆端

8、口，提供物理層面的冗余。4.4.1 拓?fù)淝爸脵C(jī)區(qū)連接生產(chǎn)類系統(tǒng)的前置機(jī)等；該區(qū)使用4臺(tái)千兆智能交換機(jī)S5500-52C-EI交換機(jī)。4臺(tái)S5500-52C-EI交換機(jī)采用IRF虛擬化技術(shù)將4臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)。4.4.2 VLAN規(guī)劃上聯(lián)到核心區(qū)的鏈路進(jìn)行鏈路捆綁，采用同一個(gè)VLAN進(jìn)行互聯(lián)。在分區(qū)內(nèi)部根據(jù)不同級(jí)別的應(yīng)用再進(jìn)一步分配。VLAN分配主要考慮互聯(lián)VLAN和主機(jī)。4.4.3 路由規(guī)劃接入交換機(jī)啟用三層功能，前置機(jī)網(wǎng)關(guān)設(shè)置在接入交換機(jī)上，接入交換機(jī)與核心交換機(jī)間運(yùn)行OSPF路由協(xié)議。在設(shè)備間運(yùn)行OSPF時(shí)，建議將接入交換機(jī)的相關(guān)接口劃分在一個(gè)OSPFSTUB區(qū)域中，以免數(shù)據(jù)中心中

9、收到過多的LSA。各個(gè)功能區(qū)與核心區(qū)通訊路徑要保證雙向一致性和確定性。在任何鏈路狀況下，通訊雙方的往返路徑均相同，并且可預(yù)知。前置區(qū)外連核心區(qū)的2條萬兆鏈路的進(jìn)行鏈路捆綁，在路由計(jì)算上，只有一條路徑，但是該路徑包含2個(gè)萬兆端口，提供物理層面的冗余。廣域網(wǎng)接入?yún)^(qū)主要連接與各省市分行，天津市內(nèi)各區(qū)縣支行，分理處等的上聯(lián)網(wǎng)絡(luò)設(shè)備，該區(qū)使用兩臺(tái)SR6608核心路由器作為各分支機(jī)構(gòu)的上聯(lián)設(shè)備，每個(gè)SR6608配置3個(gè)CPOS廣域接口，2個(gè)主用，一個(gè)備用。4.5.1 路由規(guī)劃廣域網(wǎng)接入?yún)^(qū)與整個(gè)數(shù)據(jù)中心采用統(tǒng)一的策略和部署方案，在核心區(qū)作為OSPF骨干區(qū)的前提下，廣域網(wǎng)接入?yún)^(qū)內(nèi)部路由協(xié)議采用OSPF，在區(qū)域

10、內(nèi)路由詳細(xì)規(guī)劃上，建議如下：l 廣域網(wǎng)路由器與核心交換機(jī)互聯(lián)的端口，劃分為OSPF骨干域0域l 廣域網(wǎng)路由器下聯(lián)接口，按照原有的路由規(guī)劃，劃分為1、2、3、4和10、20、30、40等幾個(gè)路由子域。l 路由器到核心交換機(jī)上的鏈路采用Trunk鏈路進(jìn)行連接。6.2 IRF虛擬化技術(shù)IRF 2交換機(jī)虛擬化實(shí)現(xiàn)多臺(tái)設(shè)備虛擬化成一臺(tái)設(shè)備，即多臺(tái)設(shè)備當(dāng)做一臺(tái)設(shè)備來運(yùn)行、管理。大大簡(jiǎn)化數(shù)據(jù)中心日益復(fù)雜的組網(wǎng)和管理維護(hù)，相比于傳統(tǒng)的MSTP、VRRP和多路徑的路由協(xié)議，IRF可以免除這些協(xié)議的部署，簡(jiǎn)化設(shè)備并成倍的提升網(wǎng)絡(luò)性能與可靠性。IRF堆疊具有以下主要優(yōu)點(diǎn)：簡(jiǎn)化管理。IRF堆疊形成之后，用戶連接到任何

11、一臺(tái)成員設(shè)備的任何一個(gè)端口可以登錄IRF堆疊系統(tǒng)，這相當(dāng)于直接登錄IRF系統(tǒng)中的Master設(shè)備，通過對(duì)Master設(shè)備的配置達(dá)到管理整個(gè)IRF堆疊以及堆疊內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺(tái)成員設(shè)備上分別對(duì)它們進(jìn)行配置和管理。簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行。IRF形成的虛擬設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的，例如路由協(xié)議會(huì)作為單一設(shè)備統(tǒng)一計(jì)算。這樣省去了設(shè)備間大量協(xié)議報(bào)文的交互，簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動(dòng)蕩時(shí)的收斂時(shí)間。IRF技術(shù)的這一特性是常見的集群技術(shù)所不具備的，后者僅僅能完成設(shè)備管理上的統(tǒng)一，而集群中的設(shè)備在網(wǎng)絡(luò)中仍然分別作為獨(dú)立節(jié)點(diǎn)運(yùn)行。低成本：IRF技術(shù)是將一些較低端的設(shè)備虛

12、擬成為一個(gè)相對(duì)高端的設(shè)備使用，從而具有高端設(shè)備的端口密度和帶寬，以及低端設(shè)備的成本。比直接使用高端設(shè)備具有成本優(yōu)勢(shì)。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過增加成員設(shè)備，可以輕松自如的擴(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。保護(hù)用戶投資。由于具有強(qiáng)大的擴(kuò)展能力，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，不需要替換掉原有設(shè)備，只需要增加新設(shè)備既可。很好的保護(hù)了用戶投資。高可靠性。堆疊的高可靠性體現(xiàn)在多個(gè)方面，比如：成員設(shè)備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺(tái)成員設(shè)備組成，Master設(shè)備負(fù)責(zé)堆疊的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作

13、為備份的同時(shí)也可以處理業(yè)務(wù)，一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過堆疊的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的1:N備份。IRF是網(wǎng)絡(luò)可靠性保障的最優(yōu)解決方案。高性能。由于IRF設(shè)備是由多個(gè)支持IRF特性的單機(jī)設(shè)備堆疊而成的，IRF設(shè)備的交換容量和端口數(shù)量就是IRF內(nèi)部所有單機(jī)設(shè)備交換容量和端口數(shù)量的總和。因此，IRF技術(shù)能夠通過多個(gè)單機(jī)設(shè)備的堆疊，輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。豐富的功能。IRF支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交換機(jī)特性，并且能夠高效穩(wěn)定地運(yùn)行這些功能，大大擴(kuò)

14、展了IRF設(shè)備的應(yīng)用范圍。廣泛的產(chǎn)品支持。IRF技術(shù)作為一種通用的虛擬技術(shù)，對(duì)不同形態(tài)產(chǎn)品的堆疊一體化的實(shí)現(xiàn)，使用同一技術(shù)，同時(shí)支持盒式設(shè)備的堆疊，以及框式分布式設(shè)備的堆疊。使用IRF擴(kuò)展端口數(shù)量使用IRF擴(kuò)展端口數(shù)量如下圖所示。當(dāng)接入的用戶數(shù)增加到原交換機(jī)端口密度不能滿足接入需求時(shí)，可以通過在原有的堆疊系統(tǒng)中增加新的交換機(jī)而得到滿足。使用IRF擴(kuò)展端口組網(wǎng)圖使用IRF擴(kuò)展系統(tǒng)處理能力使用IRF擴(kuò)展系統(tǒng)處理能力如下圖所示。當(dāng)中心的交換機(jī)轉(zhuǎn)發(fā)能力不能滿足需求時(shí)，可以增加新交換機(jī)與原交換機(jī)組成堆疊系統(tǒng)來實(shí)現(xiàn)。若一臺(tái)交換機(jī)轉(zhuǎn)發(fā)能力為64M PPS，則通過增加一臺(tái)交換機(jī)進(jìn)行擴(kuò)展后，整個(gè)堆疊設(shè)備的轉(zhuǎn)發(fā)能

15、力為128M PPS。需要強(qiáng)調(diào)的是，是整個(gè)堆疊設(shè)備的轉(zhuǎn)發(fā)能力整體提高，而不是單個(gè)交換機(jī)的轉(zhuǎn)發(fā)能力提高。使用IRF擴(kuò)展系統(tǒng)處理能力組網(wǎng)圖使用IRF擴(kuò)展帶寬使用IRF擴(kuò)展帶寬如下圖所示，當(dāng)邊緣交換機(jī)上行帶寬增加時(shí)，可以增加新交換機(jī)與原交換機(jī)組成堆疊系統(tǒng)來實(shí)現(xiàn)。將成員設(shè)備的多條物理鏈路配置成一個(gè)聚合組，可以增加到中心交換機(jī)的帶寬。而對(duì)中心交換機(jī)的而言，邊緣交換機(jī)的數(shù)量并沒有變化，物理上的兩臺(tái)交換機(jī)看起來就是一臺(tái)交換機(jī)，原有交換機(jī)會(huì)將當(dāng)前的配置批量備份到新加入的交換機(jī)。因此，這種變化對(duì)網(wǎng)絡(luò)規(guī)劃和配置影響很小。使用IRF擴(kuò)展帶寬組網(wǎng)圖跨越空間使用IRFIRF2.0可以通過光纖將相距遙遠(yuǎn)的設(shè)備連接形成堆疊設(shè)備，如下圖所示，每個(gè)樓層的用戶通過樓道交換機(jī)接入外部網(wǎng)絡(luò)，現(xiàn)使用堆疊光纖將各樓道交換機(jī)連接起來形成一個(gè)堆疊設(shè)備，這樣，相當(dāng)于每個(gè)樓只有一個(gè)接入設(shè)備，網(wǎng)絡(luò)結(jié)構(gòu)變得更加簡(jiǎn)單；每個(gè)樓層有多條鏈路到達(dá)核心網(wǎng)絡(luò)，網(wǎng)絡(luò)變得更加健壯、可靠；對(duì)多臺(tái)樓道交換機(jī)的配置簡(jiǎn)化成對(duì)對(duì)堆疊系統(tǒng)