全渠道銀行金融敏捷網絡解決方案

華為全渠道銀行解決方案－數據中心網絡Description文檔名稱華為全渠道銀行解決方案V100R002C00技術主打膠片(數據中心篇)目標華為銀行數據中心網絡解決方案介紹目標客戶銀行客戶關鍵信息項目需求分析數據中心網絡架構規(guī)劃數據中心網絡詳細設計修訂記錄版本/日期修改描述作者/工號審核/工號部門V2.0按新版本刷新孫化剛金融解決方案部宣講前請刪除此頁1Content數據中心網絡詳細設計數據中心網絡建設目標23數據中心網絡架構規(guī)劃4成功案例穩(wěn)定可靠提升效率立足現狀適度領先高效服務統(tǒng)一管理出發(fā)點原則發(fā)展方向面向客戶的敏捷銀行滿足“高可用、高可靠、易管理”的整體要求銀行愿景網絡規(guī)劃的指導思想網絡規(guī)劃考慮的主要因素業(yè)務發(fā)展網絡演進趨勢現網問題應用架構ABCD網絡建設驅動因素業(yè)務發(fā)展對網絡的驅動因素全渠道的建設及整合遠程視頻銀行對網絡帶寬和質量要求更高網銀大量應用對網絡安全提出更高挑戰(zhàn)網點分支要求扁平化接入和管理流程銀行建設多業(yè)務中心建設，前中后分離、渠道整合的建設，增加了橫向網絡流量發(fā)展新產品發(fā)展中間業(yè)務、貨幣市場、個人理財等新產品需要網絡支撐應用快速上線BI、ODS等分析性數據的快速增長，區(qū)域間大數據傳輸增多網絡規(guī)劃需要考慮未來5～10年的業(yè)務發(fā)展完善的風險管理體系落實巴塞爾協議的災難防范要求，逐步建立兩地三中心災備體系業(yè)務安全需要網絡安全提供強大支撐粗放向集約經營轉變需要一個規(guī)劃清晰成本明確的網絡：服務器、網絡資源虛擬化生產、辦公網絡融合統(tǒng)一通信與協助，富媒體渠道面向客戶的未來銀行業(yè)務發(fā)展對網絡建設的驅動目標應用架構導致：數據中心各業(yè)務互訪增多，需要更高的網絡訪問效率

數據集中到總行，對網絡架構和傳輸有更高要求分析型數據等大數據的大規(guī)模傳輸，數據中心網絡需要更高的吞吐量和可靠性非結構化數據（如票據影像）的傳輸增加了廣域網傳輸的流量互聯網業(yè)務在未來將大幅增長，對安全性及吞吐量提出了更高的要求營銷類、經營類業(yè)務與生產業(yè)務越來越緊密，互訪流量增加基礎應用層管理決策層渠道門戶層電子渠道自助渠道柜面渠道數據交換總線業(yè)務操作層共享作業(yè)專業(yè)作業(yè)企業(yè)服務總線產品服務層基礎金融服務專業(yè)產品服務理財貸款支付信用卡存款托管現金資金創(chuàng)新產品服務區(qū)域業(yè)務：新興金融業(yè)務對公業(yè)務：企業(yè)客戶業(yè)務定制個人業(yè)務：私人銀行市場營銷風險管控績效考核企業(yè)級數據倉庫決策信息服務/展現決策支持運營管理同業(yè)監(jiān)管機構合作企業(yè)外聯服務總線客戶信息服務產品公共服務應用架構對網絡建設的驅動問題1：生產、辦公隔離，效率較低問題2：數據倉庫、ODS大量橫行訪問，網絡瓶頸問題3：對資源池的部署和服務器虛擬化支持不靈活很多新上線應用難以區(qū)分屬于生產服務還是辦公服務，部署位置難以確定用戶端對服務端的交叉訪問越來越多，生產和辦公用戶都有訪問同一類型服務的需求生產、辦公業(yè)務互通需做復雜配置，維護成本高理財業(yè)務和風險管理業(yè)務上線，大量的數據倉庫和ODS訪問數據量大大增加業(yè)務種類和容量快速增長，對資源池和服務器虛擬機的靈活部署和遷移提出了訴求，現有傳統(tǒng)網絡不能靈活支持核心交換區(qū)辦公服務區(qū)功能互聯區(qū)運維管理區(qū)網銀區(qū)外聯區(qū)內聯區(qū)Web區(qū)域應用服務區(qū)ATM&POS廣域接入第三方接入城域接入DMZ區(qū)VMVM不支持網絡遷移生產服務區(qū)VMVM1213現有網絡三大問題需要解決網絡架構演進趨勢核心承載網多業(yè)務中心局域為主全行聯網廣域互聯一級骨干網絡架構演進業(yè)務架構演進信息煙囪獨立業(yè)務網絡互通業(yè)務互防數據大集中業(yè)務集中中心為根層次網絡業(yè)務多中心多業(yè)務處理下一代金融骨干網：數據、多媒體、存儲等多業(yè)務承載；支撐業(yè)務中心、分支扁平化接入下一代數據中心：生產辦公網絡融合；大容量、高性能、資源池化；內外聯接入整合優(yōu)化兩地三中心容災：重要業(yè)務災備+地市DC災備，災備中心雙活或多活新技術融合：新架構融合移動化、視頻化、SDN、虛擬化、大二層、云計算、大數據、FCOE等新技術安全可靠的網絡業(yè)務快速部署的網絡成本清晰的網絡面向未來的網絡1支持渠道的快速擴張支持新業(yè)務快速投產上線支持業(yè)務靈活轉型保證業(yè)務連續(xù)性立體網絡安全防護網絡層次分明、成本清晰網絡架構易于擴展面向未來5～10年的業(yè)務發(fā)展符合業(yè)界網絡發(fā)展趨勢234數據中心網絡建設目標32142221111141114423344411Content數據中心網絡詳細設計數據中心網絡建設目標23數據中心網絡架構規(guī)劃4成功案例內網服務外網服務行內本地用戶維護用戶辦公終端業(yè)務中心終端行內遠端用戶ATM、POS、柜員終端維護用戶、辦公終端、業(yè)務中心終端等服務域Internet用戶網銀用戶（公、私）小企業(yè)用戶（銀企、現金管理等）專網用戶合作伙伴、境外機構離行設備（3G/2G/PSTN)電話銀行、客服中心用戶核心業(yè)務國際業(yè)務呼叫中心業(yè)務管理信息系統(tǒng)……門戶網站網銀第三方外聯辦公互聯網……服務域用戶域通道域銀行網絡設計模型主中心同城災備異地災備匯聚節(jié)點異地分行作業(yè)中心內環(huán)外環(huán)匯聚節(jié)點匯聚節(jié)點DC節(jié)點DC節(jié)點DC節(jié)點異地分行異地分行本地網點核心節(jié)點核心承載網：3個核心節(jié)點和多個匯聚節(jié)點組成核心骨干網，適應兩地三中心發(fā)展布局核心節(jié)點采用雙平面架構，增加網絡的穩(wěn)定性，降低全網平均時延統(tǒng)一承載生產、辦公、視頻、ECC等業(yè)務，實現廣域、外聯鏈路多活兩地三中心：同城構建低延遲、大二層網絡，形成DC互聯內環(huán)DC和廣域支撐業(yè)務靈活部署、業(yè)務雙活扁平網絡接入：數據中心接入和匯聚節(jié)點解耦本地網點匯聚和分行匯聚分離異地分行就近扁平化接入精細化管理：容量規(guī)劃SLA監(jiān)測流量流向分析整體網絡規(guī)劃思路：兩地三中心+環(huán)形承載網資源部署：模塊化分區(qū)、資源池化、虛擬化等實現數據中心的安全和彈性安全策略：針對外部連接、和內網用戶分別采用嚴格安全控制，內部服務器群之間松散控制生產和辦公融合，通過細化分區(qū)和防火墻橫向隔離保證安全虛擬化：采用虛擬大二層網絡和安全服務集中部署實現物理和邏輯分區(qū)分離，提供數據中心雙活的網絡基礎高效運維：數據中心集中運維管理，網絡、IT、安全的可視化運維，提高運維效率核心交換服務器外聯單位本地用戶業(yè)務中心服務區(qū)核心核心交換服務器服務區(qū)核心主機主機運維管理區(qū)測試開發(fā)區(qū)服務區(qū)服務區(qū)互聯網互聯網外聯單位本地用戶業(yè)務中心主數據中心同城災備中心L2互聯FC互聯FW/LB集群FW/LB集群網銀區(qū)外聯區(qū)網銀區(qū)外聯區(qū)防火墻負載均衡L2互聯FC互聯光傳輸核心承載網運維管理區(qū)測試開發(fā)區(qū)數據中心網絡目標架構成本清晰安全可靠業(yè)務快速部署數據中心大二層方便新應用部署和遷移支持虛擬機快速遷移滿足業(yè)務橫向流量需求融合的網絡高質量統(tǒng)一承載多類業(yè)務支持多業(yè)務中心快速部署雙活數據中心保證災難恢復等級5級以上保證高業(yè)務連續(xù)性安全域劃分分層分域實施精細管控完善立體安全管理體系虛擬化網絡提高資源利用率，減少管理維護層級，降低CAPEX和OPEX統(tǒng)一可視化運維統(tǒng)一網管，遠程運維，減少人員配置和維護成本綠色環(huán)保低碳減少能源消耗，塑造品牌面向未來的網絡面向未來的目標網絡優(yōu)勢生產、辦公網絡融合虛擬化大二層網絡雙活數據中心建設全行數據大集中生產、辦公網絡隔離兩地三中心建設虛擬化云計算大集中云計算DC資源池虛擬化分布式計算智能化、自動化管理生產辦公測試生產辦公測試生產辦公測試面向未來數據中心網絡演進1Content數據中心網絡詳細設計數據中心網絡建設目標23數據中心網絡架構規(guī)劃4成功案例整體設計分區(qū)設計關鍵特性設計

安全、可靠、易管理、易擴展遵循客戶基本要求如IT業(yè)務、規(guī)模、投資等的基本要求遵循行業(yè)標準和規(guī)范如《商業(yè)銀行數據中心監(jiān)管指引2010》等支撐業(yè)務彈性部署網絡適應業(yè)務規(guī)模擴大和部署方式變化降低總體擁有成本投資降低短期成本CAPEX和長期成本OPEX綠色節(jié)能降低網絡整體能耗，提高能耗比高性能保證業(yè)務流量和發(fā)性能要求，適應未來增長高可靠消除單點故障，縮短路由收斂時間，業(yè)務連續(xù)高安全保證服務器、網絡通道、接入終端安全合規(guī)易管理可視化統(tǒng)一管理，一體化高效運維網絡扁平化，減少管理層次復雜的管理盡量集中在中心可擴展分層分區(qū)設計，結構與功能清晰容量和結構彈性設計，易于未來擴展支持向虛擬化和云計算技術演進設計目標設計原則數據中心網絡設計原則安全性原則按照安全等級不同，劃分為不同分區(qū)（例如，為網銀用戶，第三方服務的服務器單獨分區(qū)）生產服務器單獨分區(qū)容量適度原則根據運維管理經驗，控制單個區(qū)域內的服務數量，例如500臺以內未來服務器數量增加、區(qū)域間流量增長后可考慮進一步拆分高可用布局原則業(yè)務關聯高的服務器部署同一個區(qū)域業(yè)務關聯度低的服務器拆分多個區(qū)域可用性要求高的業(yè)務拆分成兩個集群對等域獨立運維管理原則業(yè)務流量、安全控制、組網協議方面有特殊要求的服務器單獨分區(qū)可按照服務器類型、業(yè)務應用層次、業(yè)務應用類型等方式分區(qū)數據中心網絡分區(qū)原則數據中心網絡邏輯分區(qū)－模塊化管理控制區(qū)網絡管理同城數據中心數據中心互聯區(qū)系統(tǒng)管理廣域網區(qū)網銀區(qū)接入區(qū)監(jiān)管、合作機構、離行設備外部用戶DWDM專線數據管理安全管理支行、網點異地數據中心Internet核心網業(yè)務區(qū)管理服務區(qū)開發(fā)測試區(qū)生產核心區(qū)

生產服務區(qū)前置服務區(qū)

核心網互聯網隔離區(qū)（移動辦公）Internet內外用戶外聯區(qū)3G接入自助終端接入第三方交

換

核

心區(qū)存儲區(qū)根據用戶域、服務域、管理域的不同劃分為接入區(qū)、交換區(qū)、業(yè)務區(qū)、存儲區(qū)和管理區(qū)根據不同用戶的安全等級，劃分為不同的接入子區(qū)根據業(yè)務重要性和安全性要求，劃分為不同的服務子區(qū)數據中心網絡邏輯分區(qū)－融合架構管理控制區(qū)網絡管理同城數據中心數據中心互聯區(qū)系統(tǒng)管理廣域網區(qū)網銀區(qū)接入區(qū)監(jiān)管、合作機構、離行設備外部用戶DWDM專線數據管理安全管理支行、網點異地數據中心Internet核心網業(yè)務區(qū)管理服務區(qū)開發(fā)測試區(qū)生產核心區(qū)

生產服務區(qū)生產系統(tǒng)區(qū)核心網互聯網隔離區(qū)（移動辦公）Internet內外用戶外聯區(qū)3G接入自助終端接入第三方交

換

核

心區(qū)存儲區(qū)根據用戶域、服務域、管理域的不同劃分為接入區(qū)、交換區(qū)、業(yè)務區(qū)、存儲區(qū)和管理區(qū)根據不同用戶的安全等級，劃分為不同的接入子區(qū)根據業(yè)務重要性和安全性要求，劃分為不同的服務子區(qū)開放平臺區(qū)數據中心邏輯分區(qū)描述編號分區(qū)說明1交換核心區(qū)整個數據中心的數據總線，負責各個分區(qū)之間的三層轉發(fā)。2生產核心區(qū)生產核心區(qū)用于放置核心的生產業(yè)務系統(tǒng)的小機、服務器等生產主機。3生產服務區(qū)開放平臺區(qū)提供各生產業(yè)務系統(tǒng)服務器接入,當前該區(qū)部署總賬系統(tǒng)DB服務器，歷史/報表服務器等。4管理服務區(qū)提供各管理、決策等業(yè)務系統(tǒng)服務器接入。5前置服務區(qū)ESB系統(tǒng)、柜面系統(tǒng)、中間業(yè)務平臺、支付平臺、渠道/安全服務平臺、備份管理系統(tǒng)。6網銀區(qū)整個銀行的網上銀行業(yè)務系統(tǒng)，包括手機銀行、網上用戶。7管理控制區(qū)負責整個數據中心的運維管理，包括各類監(jiān)控軟件平臺及服務器，通過帶內、帶外和KVM等實現。8開發(fā)測試區(qū)用于開發(fā)測試、準生產驗證。9廣域網區(qū)數據中心與災備中心、地市分支等廣域網互聯互通接口。10外聯區(qū)連接第三方單位和離行設備，如人行、銀監(jiān)會、農信聯、合作伙伴等。11互聯網隔離區(qū)互聯隔離區(qū)是移動辦公、第三方支付、互聯網金融等用戶通過互聯網訪問行內業(yè)務系統(tǒng)的隔離區(qū)。數據中心網絡邏輯架構對比擴展性資源利用率互訪效率安全性可靠性易運維性成熟度模塊化架構接入區(qū)、業(yè)務區(qū)都是模塊化設計。繼承性、擴展性較好。業(yè)務系統(tǒng)部署在固定的物理分區(qū)，資源利用率低。業(yè)務之間互訪經過多道防火墻，延時大、效率低。在各個模塊化分區(qū)進行安全控制。安全性非常好?？煞謩e保證各個功能分區(qū)的可靠性?？煽啃院谩８鱾€功能分區(qū)獨立管理，運維效率低。技術非常成熟。在業(yè)內有大量應用。融合架構接入區(qū)模塊化設計，業(yè)務區(qū)中獨立出核心系統(tǒng)區(qū)、模塊化部署，其他資源池化設計開發(fā)平臺區(qū)。擴展性好。★★開放平臺區(qū)可以部署任意的非核心業(yè)務系統(tǒng)，資源利用率高?！铩飿I(yè)務之間互訪經過的防火墻較少，延時較小、效率高?！铩锖诵南到y(tǒng)區(qū)獨立部署，開放平臺區(qū)通過多組防火墻進行安全控制，安全性好?！铩锖诵南到y(tǒng)區(qū)采用最高的可靠性設計，開發(fā)平臺區(qū)采用TRILL保證可靠性?？煽啃苑浅：谩！铩锖诵南到y(tǒng)區(qū)、開發(fā)平臺區(qū)分別管理，易于運維?！铩锛夹g成熟，在全國性大行有較多的案例。★★推薦數據中心網絡物理拓撲－模塊化各分區(qū)根據安全性、可靠性要求和服務器數量等，劃分為接入層、匯聚層、核心層，并合理部署防火墻數據

及安全

管理系統(tǒng)

管理管理控制區(qū)管理外網匯聚業(yè)務層接入層接入層InternetExtranet核心網廣域網區(qū)存儲區(qū)交換核心DMZ區(qū)網銀區(qū)DMZ區(qū)外聯區(qū)LB生產核心區(qū)LBLB生產服務區(qū)LBLB管理服務區(qū)LBLB開發(fā)測試區(qū)LBLB前置服務區(qū)LBDMZ區(qū)互聯網隔離區(qū)InternetDWDM數據中心互聯區(qū)CE12800S9700CE12800S9700S9700CE12800CE12800CE12800CE12800S9700S5700S5700S5700CE6800CE6800CE6800CE6800CE6800NE40E-X8OSN6800USG9500USG6600USG6600USG9500USG9500USG9500USG6600USG6600USG9500S5700數據中心網絡物理拓撲－融合架構各分區(qū)根據安全性、可靠性要求和服務器數量等，劃分為接入層、匯聚層、核心層，并合理部署防火墻數據

及安全

管理系統(tǒng)

管理管理控制區(qū)管理外網匯聚業(yè)務層接入層接入層InternetExtranet核心網廣域網區(qū)存儲區(qū)交換核心DMZ區(qū)網銀區(qū)DMZ區(qū)外聯區(qū)LB開放平臺區(qū)LBLB開發(fā)測試區(qū)LBLB生產核心區(qū)LBDMZ區(qū)互聯網隔離區(qū)InternetDWDM數據中心互聯區(qū)CE12800S9700CE12800CE12800CE6800CE6800NE40E-X8OSN6800CE6800CE12800USG9500USG9500USG6600USG6600S9700S5700USG6600USG6600USG9500S9700S9700S5700S5700S57001Content數據中心網絡詳細設計數據中心網絡建設目標23數據中心網絡架構規(guī)劃4成功案例整體設計分區(qū)設計關鍵特性設計

安全、可靠、易管理、易擴展分區(qū)架構設計選擇分區(qū)匯聚數據中心核心分區(qū)防火墻心跳線分區(qū)匯聚分區(qū)核心分區(qū)防火墻心跳線數據中心核心方式一：核心交換機OSPF需要引入分區(qū)防火墻的靜態(tài)路由，并部署指向防火墻的靜態(tài)路由。子分區(qū)擴展時需要修改核心交換機的配置。方式二：當每個分區(qū)增加新的子分區(qū)時，核心交換機不用改動，核心交換機不用關注交換、路由穩(wěn)定、簡單，效率高、擴展性好。方式二方式一分區(qū)核心與分區(qū)匯聚可以是獨立的物理設備，也可以將一臺框式設備虛擬化成兩臺邏輯設備。推薦分區(qū)設計方式選擇分區(qū)匯聚分區(qū)接入堆疊堆疊LAGLAGVS1VS2集群分區(qū)核心分區(qū)防火墻方式一堆疊…分區(qū)匯聚分區(qū)接入堆疊LAGLAGVS1-1VS1-2集群分區(qū)核心分區(qū)防火墻VS2-1VS2-2方式二:方式二：兩臺框式設備分別虛擬化成兩臺邏輯交換機，上面兩臺作為分區(qū)核心交換機，下面兩臺作為匯聚交換機，分別部署VRRRP，與防火墻串聯。分區(qū)匯聚分區(qū)接入堆疊LAGLAG集群分區(qū)核心分區(qū)防火墻IPS方式三方式一方式二方式三部署方法先CSS，再VS，防火墻串聯在分區(qū)核心域分區(qū)匯聚之間每臺設備VS，起VRRP。分區(qū)核心、分區(qū)匯聚是獨立的物理設備。可靠性分區(qū)核心是一臺邏輯設備，可靠性高分區(qū)核心是兩臺邏輯設備，可靠性高很高分區(qū)核心是獨立的物理設備，可靠性非常高建設成本中中高協議私有虛擬化技術VRRP+*STP集群或堆疊私有技術（核心獨立方式，防火墻透明與路由）管理非常簡單復雜簡單適用分區(qū)管理控制區(qū)、開發(fā)測試區(qū)、管理服務區(qū)核心生產區(qū)、生產服務區(qū)、前置服務區(qū)、外聯區(qū)方式三：部署兩臺框式設備集群或盒式設備堆疊虛擬化成一臺設備作為分區(qū)核心，獨立部署兩臺盒式設備堆疊作為分區(qū)匯聚，與防火墻串聯。方式一：兩臺框式設備先集群，再虛擬化成兩臺邏輯交換機，分別作為分區(qū)核心交換機和分區(qū)匯聚交換機，與防火墻串聯。交換核心區(qū)設計分區(qū)特點交換核心區(qū)是整個數據中心的中心，連接數據中心內部各個功能分區(qū)，如各類用戶接入區(qū)，核心系統(tǒng)區(qū)，開放平臺區(qū)，準生產測試區(qū)等。核心層是數據中心內部總線，在滿足功能情況下，高可靠性是首要因素。部署方案建議核心由兩臺高性能交換機CE12800獨立部署組成。核心設備之間可部署B(yǎng)FDforOSPF，加速路由收斂檢測。交換核心區(qū)生產服務區(qū)設計分區(qū)功能：生產服務區(qū)提供各生產業(yè)務系統(tǒng)服務器接入,當前該區(qū)部署總賬系統(tǒng)DB服務器，歷史/報表服務器等。部署方案：部署獨立分區(qū)核心交換機，兩臺CE12800使用CSS集群技術虛擬化為一臺，簡化運維分區(qū)匯聚與接入合一，網關部署在分區(qū)匯聚防火墻串聯在分區(qū)核心與分區(qū)匯聚之間，運行靜態(tài)路由分區(qū)核心域數據中心核心之間運行OSPF路由。分區(qū)匯聚接入使用兩條10G鏈路捆綁，分區(qū)核心到數據中心核心之間使用兩條40G鏈路捆綁。方案特色

分區(qū)核心是路由與交換的分界點，確保數據中心路由簡單、穩(wěn)定，專注流量轉發(fā)。分區(qū)匯聚/接入系統(tǒng)堆疊集群分區(qū)核心分區(qū)防火墻IPS數據中心核心ODS總賬系統(tǒng)DB報表APP與DB密碼校驗機管理服務區(qū)設計分區(qū)功能：本區(qū)主要功能是用于連接各種管理業(yè)務系統(tǒng)的小型機、服務器等設備。部署方案：分區(qū)部署兩臺CE12800交換機，CSS虛擬化為一臺，再VS成兩臺邏輯交換機，分別為分區(qū)核心交換機和分區(qū)匯聚交換機。分區(qū)防火墻串聯在分區(qū)核心與分區(qū)匯聚之間，中間跑靜態(tài)路由。分區(qū)核心與數據中心核心之間運行OSPF路由。分區(qū)接入使用兩條10G鏈路捆綁，分區(qū)接入到分區(qū)匯聚、分區(qū)核心到數據中心核心之間使用兩條40G鏈路捆綁。網關設置在分區(qū)匯聚交換機。SLB設備也旁掛在V分區(qū)匯聚。接入交換機CE6800兩兩堆疊，構成無環(huán)以太網。方案特色：無環(huán)，簡化運維。分區(qū)核心與分區(qū)匯聚邏輯獨立，使得交換終結在分區(qū)核心、數據中心核心專注路由。系統(tǒng)綜合管理系統(tǒng)1104數據抽取服務器OAMQ服務器、經營決策人力資源管理分區(qū)匯聚分區(qū)接入堆疊堆疊LAGLAG集群分區(qū)核心分區(qū)防火墻數據中心核心前置服務區(qū)設計分區(qū)功能：前置服務區(qū)用于連接放置各類業(yè)務前置機、WEB服務器等。包括新一代銀行核心業(yè)務系統(tǒng)ESB前置，ECIFWEB，報表系統(tǒng)WEB，報表定制服務器等。部署方案：分區(qū)部署兩臺CE12800交換機，

通過集群技術功能將兩臺虛擬化為一臺，再VS成兩臺邏輯交換機，分別為分區(qū)核心交換機和分區(qū)匯聚交換機。分區(qū)防火墻串聯在分區(qū)核心與分區(qū)匯聚之間，中間跑靜態(tài)路由。分區(qū)核心與數據中心核心之間運行OSPF路由。分區(qū)接入使用兩條10G鏈路捆綁，分區(qū)接入到分區(qū)匯聚、分區(qū)核心到數據中心核心之間使用兩條40G鏈路捆綁。網關設置在分區(qū)匯聚交換機。SLB設備也旁掛在V分區(qū)匯聚。接入交換機CE6800兩兩堆疊，構成無環(huán)以太網。系統(tǒng)ESB報表WEBETL前端服務器分區(qū)匯聚分區(qū)接入堆疊堆疊LAGLAG集群分區(qū)核心分區(qū)防火墻數據中心核心開放平臺區(qū)設計分區(qū)描述：部署除核心賬務系統(tǒng)之外的其他系統(tǒng)，包括前置管理區(qū)、生產系統(tǒng)、管理系統(tǒng)等構成資源池，通過邏輯方式隔離。方案描述：開發(fā)平臺區(qū)的拓撲、路由、網關、安全等設計需充分考慮對服務資源的池化的支持分區(qū)匯聚分區(qū)接入LAGLAG數據中心核心LAGLAG分區(qū)核心、分區(qū)防火墻IPS網銀區(qū)設計：扁平化方案Internet企業(yè)網銀客戶個人網銀客戶AntiDDoS全局負載均衡流量監(jiān)管FW鏈路接入區(qū)網銀核心區(qū)系統(tǒng)互聯區(qū)核心交換網銀內部前置機數據中心內網F5F5Web服務器SSL安全網關SSL安全網關網銀Web區(qū)F5F5小機加密機網銀應用服務器網銀應用區(qū)網銀數據服務器FC交換機磁盤陣列小機網銀數據庫區(qū)帶外管理區(qū)UMA堡壘機F5F5Web服務器互聯網新業(yè)務前置區(qū)FWAntiDDoS方案：分鏈路接入區(qū)，網銀DMZ區(qū)，網銀應用區(qū)，網銀數據庫區(qū)。每個分區(qū)部署對應的安全設備，包括Anti-DDoS、IPS、異構防火墻、SSLVPN。網銀Web、第三方支付新業(yè)務前置，與網銀應用區(qū)、網銀數據庫區(qū)直接與網銀核心區(qū)連接。分區(qū)描述：包含安全管理平臺、終端管理平臺、病毒防護服務、IT運維服務（如網絡管理、IT運維平臺等）。方案：兩臺框式設備CSS虛擬化成一臺，然后VS虛擬化成兩臺邏輯設備：分區(qū)核心和分區(qū)匯聚。防火墻串聯在分區(qū)匯聚和分區(qū)核心之間，防火墻運行靜態(tài)路由，分區(qū)核心與數據中心核心之間運行OSPF。部署堡壘機，實現對運維人員的操作權限進行控制和操作行為進行審計。部署認證服務平臺、終端安全管理平臺、病毒防護管理平臺、IT運維管理平臺（含網絡管理、無線網絡管理、主機監(jiān)控管理以及運維系統(tǒng)平臺等）等。實現數據中心設備帶外及帶內雙重管理。管理控制區(qū)設計KVMKVM網管系統(tǒng)設備管理網絡終端接入區(qū)帶外網管設備KVMoverIP設備堡壘機KVM授權服務器運維管理終端分區(qū)匯聚集群分區(qū)核心分區(qū)防火墻數據中心核心開發(fā)測試區(qū)設計業(yè)務：包括準生產環(huán)境、開發(fā)環(huán)境和測試環(huán)境。方案：兩對框式交換機CE12800分別先CSS、再VS，虛擬化成兩對分區(qū)核心和分區(qū)匯聚交換機，防火墻串聯在分區(qū)匯聚與分區(qū)核心之間。網關在分區(qū)匯聚。接入交換機用于連接開發(fā)終端、測試終端等。接入交換機用于連接內部培訓終端。部署終端安全管理，實現終端接入的安全管控，開發(fā)測試的子分區(qū)共用此服務器。接入設備兩條10G鏈路捆綁，分區(qū)匯聚到分區(qū)核心、分區(qū)核心到數據中心核心2條40G鏈路捆綁。代碼文檔管理分區(qū)匯聚分區(qū)核心分區(qū)防火墻集群數據中心核心集群開發(fā)分區(qū)測試分區(qū)準生產分區(qū)廣域網接入區(qū)設計分區(qū)描述連接于家堡數據中心、薊縣災備中心、分行、支行、分理處等。方案取消匯聚層，廣域路由器直接作為廣域承載網核心節(jié)點組成雙平面環(huán)網。使用波分傳輸設備與于家堡數據中心建立容量高速鏈路。分支通過廣域核心節(jié)點接入數據中心。核心層廣域路由器廣域網DWDM同城數據中心災備中心存儲光交換機支行/分理處外聯區(qū)設計分區(qū)描述外聯區(qū)一般通過Extranet兩第三方提供連接，滿足訪問和管理交互的需要。部署方案部署獨立分區(qū)核心交換機，兩臺CE12800使用CSS集群技術虛擬化為一臺，簡化運維。內網防火墻串聯在分區(qū)核心與分區(qū)匯聚之間，運行靜態(tài)路由。分區(qū)核心域數據中心核心之間運行OSPF路由。分區(qū)匯聚接入使用兩條10G鏈路捆綁，分區(qū)核心到數據中心核心之間使用兩條40G鏈路捆綁。接入層交換機采用兩臺高性能數據中心交換機，可冗余備份。并可旁掛IPS/IDS設備。接入層路由器采用兩臺高性能路由器，可冗余備份。外網防火墻作NAT地址轉換，運行靜態(tài)路由。兩層防火墻采用異構的架構。數據中心核心交換外聯區(qū)DMZ區(qū)DMZ區(qū)第三方服務區(qū)第三方測試區(qū)IDS防病毒AAARAIDS防病毒銀聯ATM/POS有線接入ATM/POS/外派3G接入合作伙伴企業(yè)DDN/PSTN/SDH/ATMLNSATM&POS&3G接入區(qū)第三方接入區(qū)銀行遠端用戶第三方用戶互聯網隔離區(qū)設計設備連接：在線幫助、移動安全、互聯網金融統(tǒng)一接入：DMZ區(qū)部署Web前置、移動營銷類系統(tǒng)的代理，以及SSLVPN和AnyOffice網關。部署獨立分區(qū)核心交換機，兩臺框式交換機CSS虛擬化為一臺。分區(qū)匯聚接入使用兩條10G鏈路捆綁，分區(qū)核心到數據中心核心之間使用兩條40G鏈路捆綁。安全設備：采用兩層防火墻異構架構，在內網防火墻和外網防火墻上做兩次地址轉換，對內屏蔽外部地址。IPS設備接到防火墻內側，既進行入侵檢測，又可以避免誤報。路由設計：內網防火墻串聯在分區(qū)核心與分區(qū)匯聚之間，運行靜態(tài)路由。分區(qū)核心域數據中心核心之間運行OSPF路由。接入路由器配置靜態(tài)路由與外部網絡連接，并把外部路由引入到OSPF進程中，與接入交換機之間運行OSPF協議。兩臺接入交換機運行VRRP，與外網防火墻之間運行靜態(tài)路由。Anti-DDoSSSLVPNAnyOfficeGatewayIPS/IDSISP1ISP2Internet移動辦公、互聯網金融等Web前置DMZ區(qū)外網接口GSLBSLB外網防火墻內網防火墻Internet用戶/移動營銷用戶/網銀求助用戶數據中心

核心LLB分區(qū)核心分區(qū)匯聚OSPFOSPF靜態(tài)路由Anyoffice

ManagerVTC服務器區(qū)數據中心UTM移動辦公接入區(qū)運營商VPDNLNSLAC3G接入L4VPNIP網絡AAA途中/營銷外場Switch明文數據3G/WIFI途中/營銷外場UTML4VPN運營商采用VPDN專有網絡，隔離互聯網IMSI號與專有域名綁定，非授權卡無法撥入專網需到運營商辦理3G專線業(yè)務，需專用SIM卡方案1：3G專線接入靈活接入，無須特殊辦理業(yè)務L4VPN隧道保障端到端業(yè)務安全方案2：Internet接入核心影像資產配置審批短信CRM服務器區(qū)數據中心UTMRouterIP網絡Switch明文數據UTM辦公/營銷APP核心影像資產配置審批短信CRM安全網關手機/Pad手機/Pad辦公/營銷APP安全網關移動辦公接入區(qū)移動辦公接入設計存儲區(qū)設計服務器分區(qū)核心層…存儲區(qū)封閉式存儲區(qū)開放式存儲區(qū)FCSANIPSANNAS

小型機目標數據中心普遍采用集中式存儲管理模式。存儲設備和服務器之間通過直接的高速網絡聯結，實現存儲共享，備份，容災。部署要點存儲區(qū)依據服務器和操作系統(tǒng)的不同劃分為封閉存儲區(qū)和開放式存儲區(qū)。開放式存儲區(qū)依據網絡傳輸協議分為NAS和SAN.開放式存儲區(qū)的集中存儲池可以按服務等級分類。IP存儲區(qū)，可以通過目前運營商的MPLSVPN或者VPLS虛擬專線，實現主備兩個數據中心之間的互通。SAN存儲區(qū)，可以采用裸光纖甚至DWDM，提供主備數據中心之間高速、低時延的互聯互通，以滿足存儲數據的準實時備份需求。1Content數據中心網絡詳細設計數據中心網絡建設目標23數據中心網絡架構規(guī)劃4成功案例整體設計分區(qū)設計關鍵特性設計

安全、可靠、易管理、易擴展控制策略：3個水平安全域服務域：按系統(tǒng)及數據安全級別劃分子域通道域：按接入區(qū)不同分別實施控制用戶域：針對不同的用戶終端類型實施控制防護措施服務域：按系統(tǒng)及數據安全級別劃分子域通道域：按接入區(qū)不同分別實施控制用戶域：針對不同的用戶終端類型實施控制防護措施數據中心分區(qū)隔離廣域鏈路傳輸加密終端用戶準入控制外部用戶在通道域進行嚴格控制強控制力度中弱Internet公網通道專網通道開發(fā)測試區(qū)數據中心核心層管理控制區(qū)分行/網點接入局域、城域通道服務域通道域用戶域Internet用戶網銀用戶（公、私）小企業(yè)用戶專網用戶合作伙伴第三方機構行內本地用戶維護用戶辦公終端業(yè)務中心終端行內遠端用戶ATM、POS柜員終端維護用戶業(yè)務中心終端辦公終端服務區(qū)培訓區(qū)行外用戶不可控服務器小型機刀片PCServer服務器服務器數據中心廣域接入網絡安全架構規(guī)劃：端到端安全數據中心安全防護策略安全域對應安全主體網絡安全威脅分析安全防護要求（控制力度）目的/作用網絡安全措施安全服務域服務器區(qū)生產核心區(qū)1、通過未授權訪問篡改竊取數據信息2、網絡攻擊導致服務中斷3、感染病毒造成異常網絡行為4、系統(tǒng)漏洞造成的入侵行為強包含核心應用及其相關數據訪問控制入侵檢測防病毒、惡意代碼系統(tǒng)漏洞掃描基礎架構安全加固生產服務區(qū)強準生產區(qū)強管理控制區(qū)強防止為授權用戶訪問運維區(qū)內的各種運維管理系統(tǒng)，給網絡帶來威脅安全通道域網絡通道接入區(qū)廣域網局域網城域網1、未授權訪問篡改竊取數據信息；2、網絡攻擊導致服務中斷3、感染病毒造成異常網絡行為中防止網絡異常行為、病毒、攻擊、蔓延到全網訪問控制入侵檢測邏輯通道隔離基礎架構安全加固層次化QoS路由邊界控制網銀區(qū)Internet接入1、通過未授權訪問竊取數據信息；2、網絡攻擊導致服務中斷；3、網絡設備漏洞造成的入侵行為強包含網絡邊界部署的網銀、第三方合作等應用的安全，抵御外來的各種網絡攻擊，提高應用可用性。訪問控制入侵檢測防病毒、惡意代碼異常流量檢測VPN加密隧道第三方專線接入物理鏈路廣域鏈路城域鏈路1、鏈路中斷造成的網絡故障；2、數據傳輸中被竊聽，泄密，篡改弱確保數據傳輸的安全性防偵聽、傳輸加密Internet專線第三方專線中確保數據傳輸的安全性防火墻部署設計心跳線心跳線邏輯連接方式管理維護擴展性可靠性對設備要求設備利用率使用案例VRF方式物理旁掛，邏輯串聯，通過VRF把設備分為邏輯的兩臺配置麻煩好一般，屬于軟件隔離技術一般，通常三層設備均支持VRF通常為主備方式一般VS方式物理旁掛，邏輯串聯，通過VS把設備分為兩臺配置一般好高，VS互相不影響高，需要支持一虛多功能通常為主備方式一般普通旁掛物理旁掛，邏輯上仍然為一臺配置一般好高一般通常為主備較少心跳線VRF-AVRF-BVS1VS2VS1’VS2’192.168.1.10192.168.1.11192.168.2.11192.168.2.12192.168.1.10192.168.1.11192.168.2.11192.168.2.12OSPFArea0OSPFArea0192.168.1.10192.168.1.11192.168.2.11192.168.2.12192.168.2.10192.168.2.13192.168.1.9192.168.1.12192.168.1.9192.168.1.12192.168.2.10192.168.2.13推薦推薦可靠性設計：分段按需部署可靠性策略三層可靠性設計層次包括：物理冗余設計：設備級冗余(關鍵部件冗余及熱插拔)、物理鏈路冗余(雙歸及Trunk)路由收斂設計：OSPF路徑設計、ECMP/UCMP設計三層可靠技術部署：IPFRR，NSF/GR故障檢測與感知設計：BFD設計物理鏈路冗余：匯聚層-核心層間：三角形組網，雙歸連接核心層-防火墻-出口路由器間：推薦FullMesh連接，多鏈路Trunk鏈路聚合：減少鏈路故障引起的路由收斂CSS與iStack：匯聚層部署CSS設備集群或iStack堆疊，天然避免環(huán)路、增強可靠性和提高帶寬利用率；分區(qū)互聯交換機與各分區(qū)防火墻之間跑靜態(tài)路由，保證了核心區(qū)域路由的穩(wěn)定。三層

可靠性技術設備級

冗余路由

收斂設計故障檢測與感知物理鏈路

冗余物理冗余檢測手段協議冗余單點可靠性鏈路可靠性核心可靠性設計層次圖例出口

(接入分區(qū))數據中心

核心層匯聚層業(yè)務分區(qū)B業(yè)務分區(qū)ABFDforIPFRRBFDforOSPFBFDforVRRP采用EBGP把數據中心和同城災備中心隔離為2個OSPF自治域，利于分區(qū)管理核心交換路由器+公共接入網絡設備組成骨干區(qū)域Area0，每個服務分區(qū)為不同的OSPF區(qū)域AreaN每個Area采用OSPFNSSA或者STUB區(qū)域，限制LSA在Area間的泛洪范圍路由設計：按區(qū)域劃分Area，減小LSA泛洪范圍OSPFArea300開放平臺區(qū)開放平臺區(qū)交換核心區(qū)網銀區(qū)外聯區(qū)內聯區(qū)DC互聯區(qū)Web區(qū)域應用服務區(qū)ATM&POS廣域接入第三方接入城域接入DMZ區(qū)SVN互聯網隔離區(qū)管理控制區(qū)生產核心區(qū)開發(fā)測試區(qū)SVNInternet訪問移動辦公接入DWDM數據中心同城災備中心交換核心區(qū)DC互聯區(qū)EBGPASOSPFArea0OSPFArea301OSPFArea302OSPFArea303OSPFArea100OSPFArea101OSPFArea200OSPFArea201ASOSPFArea0OSPFArea300OSPFArea300生產服務前置服務管理服務業(yè)務連續(xù)性要求不同，則RPO/RTO不同時間敏感度災難恢復能力等級災難恢復指標應用系統(tǒng)（典型舉例）災備模式差異第一類>=5RTO<6h，RPO<15min核心業(yè)務系統(tǒng)網上銀行兩地三中心雙活（本地）高可用+（同城）復制+（異地）復制復制（同城）+復制（異地）復制（同城）+備份（異地）第一類>=5RTO<6h，RPO<15min證券業(yè)務系統(tǒng)國際結算業(yè)務主備模式復制；復制（同城）+備份（異地）第二類>=4RTO<24h，RPO<120min人行相關所有業(yè)務ATM、POS前置主備模式復制；復制（同城）+備份（異地）第二類>=4RTO<24h，RPO<120min商業(yè)匯票系統(tǒng)主備模式復制；復制（同城）+備份（異地）第二類>=4RTO<24h，RPO<120min信貸類業(yè)務主備模式復制；復制（同城）+備份（異地）第二類>=4RTO<24h，RPO<120min保險箱業(yè)務數據備份+離場保存第三類>=3RTO<7d信用卡進件業(yè)務數據備份+離場保存第三類>=2RTO<7d人力資源系統(tǒng)數據備份+離場保存網銀業(yè)務雙活：按域名訪問主中心同城中心DMZWeb/app業(yè)務區(qū)DWDM業(yè)務區(qū)DMZWeb/appinternet網銀客戶GLSBSLBSLBVIP1VIP2雙入口：負載分擔/引流的2個DC12本地APP集群，APP-APP、APP-DB交叉訪問3DC二層/三層互聯，數據通過共享存儲同步當采用域名訪問方式，可用全局負載均衡器GSLB將域名解析成不同的VIP，實現用戶分流到不同DC的SLB。前置APP：本地集群（SLB/HA），2個DC都Active，2個VIP。核心APP：本地集群（SLB/HA），2個DC都Active，2個VIP。前置APP同時連接2個DC的核心APP，并保障本地訪問優(yōu)先。核心APP同時連接2個DC的DB，并保障本地訪問優(yōu)先。網關都部署在本地。DC二層互聯：DB的HA心跳連接DC三層互聯：本地前置APP到異地核心APP的訪問流量。共享存儲主備、雙活模式，通過存儲網實現數據同步。4災難切換鏈路故障時，由剩余正常鏈路接入原DC。前置APP故障時，GLSB通過健康檢查檢測故障，更新DNS引流到另一個DC。核心APP故障時，前置APP切換到另一個DC的核心APP。DB故障時，由剩余正常DB接管。二三層互聯外聯業(yè)務雙活：DC級雙活主中心同城中心本地外聯單位DMZWeb/app業(yè)務區(qū)業(yè)務區(qū)DMZWeb/app業(yè)務A主業(yè)務B備業(yè)務A備業(yè)務B主專線專線訪問業(yè)務A訪問業(yè)務BDWDM單入口：流量僅到1個DC12APP主備，APP-APP、APP-DB交叉訪問3DC二層/三層互聯，數據通過共享存儲同步業(yè)務系統(tǒng)：分布在2個DC。實現對用戶的分流。單個業(yè)務：同一時間只連接一個DC，鏈路故障才切換到另一個DC；主DC發(fā)布長掩碼路由，同城中心發(fā)布短掩碼路由。優(yōu)先到主DC。前置APP：跨DC主備（HA），1個VIP。網關VRRP主備。二層互聯：前置APP的HA心跳、VRRP心跳、DB的HA心跳連接三層互聯：本地前置APP到異地核心APP的訪問流量。共享存儲主備、雙活模式，通過存儲網實現數據同步。4災難切換鏈路故障時，由剩余正常鏈路迂回接入原DC。網關故障時，前置APP切換異地，引流到短掩碼路由。前置APP故障時，切換到異地APP，觸發(fā)switch發(fā)布主機路由。HAVRRP網絡虛擬化：CSS多虛一客戶價值簡化運維管理,降低OPEX：配置同步，減少網絡節(jié)點構造高可靠無環(huán)網絡：無單點故障，無環(huán)網絡部署方案采用業(yè)務口集群方案支持2臺組成CSS集群。（CE12800未來可支持4臺）集群帶寬高CE12800最高達640Gbps。（未來可達1600Gbps）轉發(fā)及管理通道通用的業(yè)務接口(10GE/40GE/未來支持100GE)連接。管理通道可采用帶內或帶外方式部署，管理平面承載華為私有堆疊協議，以及管理，配置，協議上送CPU等流量。DAD檢測鏈路(Dual-ActiveDetect)帶外部署DAD檢測鏈路，集群心跳在堆疊管理通道中斷后，關閉低優(yōu)先級設備業(yè)務端口，避免出現雙主。支持長距離CSS靈活部署(二層跨機房、樓宇場景)支持本地優(yōu)先轉發(fā)，優(yōu)化流量模型匯聚層核心層接入層…接入設備CSSL3L2轉發(fā)及管理通道DAD檢測鏈路Eth-Trunk網絡虛擬化：VS一虛多園區(qū)和DC核心合一匯聚和核心合一多區(qū)域/多租戶分割辦公DMZ生產交換機物理復用，節(jié)省設備成本按需靈活分配資源，提高設備利用率網絡業(yè)務劃分與隔離，提高網絡安全性及可靠性各個VS故障隔離物理設備共用，降低功耗減少占用的物理空間降低維護的網絡物理節(jié)點EdgeVS3VS2數據中心園區(qū)核心匯聚1to8降低Capex降低Opex安全可靠資源池設計：TRILL方式設備連接：兩臺框式設備分別虛擬化出兩臺設備VS1、VS2，VS2作為TRILL域中的DRB；分區(qū)接入、分區(qū)匯接作為TRILL域中的RB，與分區(qū)匯聚VS2，組成一個TRILL域。建議部署四臺匯聚設備，以提高資源池的可靠性。路由設計：VS1與數據中心核心交換機之間運行OSPF路由。網關與防火墻：通過兩條萬兆鏈路旁掛在分區(qū)VS1旁邊，網關在VS1（推薦）；通過兩條萬兆鏈路串聯在VS1和VS2中間，透明方式部署，網關在VS1;通過兩條萬兆鏈路串聯在VS1和VS2中間，靜態(tài)路由方式部署，網關在防火墻。分區(qū)匯接：RB分區(qū)接入：RB數據中心核心分區(qū)匯聚、分區(qū)防火墻TRILL域VS1VS2方案分析：1）多個路由控制平面，在系統(tǒng)層面提供可靠性。2）等價多路徑，滿足未來數據中心東西向流量占比多的需求。3）TRILL域內無環(huán)，可以向四匯聚演進，構成大二層環(huán)境。4）易擴展，運維簡單。5）技術標準，但金融業(yè)案例少。資源池設計：SVF方式設備連接：兩臺框式設備CSS集群虛擬化成一臺設備作為分區(qū)匯聚。兩臺框式設備CSS集群虛擬化成一臺設備作為分區(qū)匯接設備（多組）。分區(qū)防火墻通過兩臺萬兆鏈路與分區(qū)匯聚設備串聯。分區(qū)匯接（父節(jié)點）與分區(qū)接入（子節(jié)點）部署縱向堆疊SVF技術，簡化運維管理。分區(qū)接入獨立部署。路由設計：分區(qū)匯聚與數據中心核心之間運行OSPF路由。分區(qū)防火墻主備方式、靜態(tài)路由方式部署。網關：設置在分區(qū)匯聚。分區(qū)匯接（SVF父節(jié)點）分區(qū)接入（SVF子節(jié)點）數據中心核心集群分區(qū)匯聚、分區(qū)防火墻方案分析：1）設備級可靠性。2）運維簡便。3）大二層，整網無環(huán)。4）技術私有，成熟，但金融業(yè)案例少。SVFSVF資源池設計：堆疊方式設備連接：兩臺框式設備CSS集群虛擬化成一臺設備作為分區(qū)匯聚；兩臺框式設備CSS集群虛擬化成一臺設備作為分區(qū)匯接設備（多組）；兩臺盒式設備iStack堆疊虛擬化成一臺設備作為分區(qū)接入設備（多組）；分區(qū)防火墻通過兩條萬兆鏈路與分區(qū)匯聚設備串聯。網關：設置在分區(qū)匯聚；路由：分區(qū)匯聚與數據中心核心之間運行OSPF路由；分區(qū)防火墻主備方式、靜態(tài)路由方式部署。分區(qū)匯接分區(qū)接入LAGLAG數據中心核心LAGLAG分區(qū)匯聚、分區(qū)防火墻方案分析：1）私有協議。2）設備級可靠。3）整網無環(huán)。4）技術成熟、有廣泛的應用。資源池流量模型方案描述：分區(qū)接入、分區(qū)匯接設備上透傳業(yè)務VLAN。匯聚設備上部署VRF隔離不同的業(yè)務。VRF內部不同VLAN之間、同一VLAN內部的流量通過服務器內部的vSwitch、接入交換機或匯接交換機進行交換。GW和FW之間，使用2個子網互聯：subnet1用于GW引流到FW；Subnet2用于FW回注流量到GW；通過靜態(tài)路由方式引流。隸屬VRF1的VLAN100和隸屬VRF2的VLAN200業(yè)務之間的通信時的路徑如下：VLAN100→VRF1網關→VLAN101→FW→VLAN201→VRF2網關→VLAN200。LAGLAGLAGLAG南北向流量VRF內部流量VRF之間流量VLAN100VRF1V