银行网络数据中心设计方案.docx

银行网络数据中心设计方案.docx

《银行网络数据中心设计方案.docx》由会员分享，可在线阅读，更多相关《银行网络数据中心设计方案.docx（92页珍藏版）》请在冰豆网上搜索。

银行网络数据中心设计方案

2、系统设计总体方案

XX银行全国数据集中工程

第1章前言

上海数据中心工程是XX银行数据大集中项目的重要组成部分，将作为全国生产中心投入运行。

生产数据中心的建成将为提高XX银行的经营管理决策水平和风险控制能力打下坚实的基础，并支持提升中国XX银行整体的服务水平和信息化服务质量。

华为3Com公司深刻认识到数据中心建设对于大集中项目以及中国XX银行发展的重要性，针对数据中心承载多种业务应用的特点，按照高可靠、高安全和先进性的原则对网络整体结构和各个功能分区进行了详细的网络方案设计。

为用户提供最完善的服务是华为3Com技术有限公司的一贯宗旨，有关本方案的一切问题，欢迎用户在随时垂询。

第2章

概述

针对上海数据生产中心稳定、可靠、高效运行的要求，本方案以高可靠性，高安全性和先进性为原则进行了重点设计。

整体结构上，根据上海数据中心承载多种业务功能的特点，依据统一性，开放性，易扩展和可管理的特性要求，通过模块化层次化的构筑方法，以高可靠、高速率的交换结构为中心，连接生产区，外联区，接入区和MIS区等功能分区，并针对各个功能不同的业务应用需求和安全要求进行了针对性设计。

在本项目设备建议中，我们推荐了先进的QuidwayS8500系列万兆核心路由交换机作为平台构架的主要设备，通过高效的万兆交换技术实现骨干网络的高性能互联，同时，其安全联动、全面的业务支持以及电信级的高可靠特性，更保障本网络具备了有强大的业务支撑和性能扩展能力，可以满足上海数据中心未来3－5年的发展需要。

第3章

网络设计原则

高可用性

网络架构和设备均支持业务系统对服务级别高可靠性的要求，在网络分层部署的架构和设备体系选择以及相关配置上均充分按照高可用的系统设计。

高安全性

按照立体的安全体系进行设计，分布式部署，使网络具有统一的安全，支持全网的安全联动。

先进性

网络设备支持先进的高性能体系架构，支持高带宽的数据传输。

统一性

数据中心局域网是基于大集中“一个整体”基础上考虑。

全网采用统一的架构、策略部署，QoS分类和设备形态，保证全网的可维护性。

开放性

本方案网络建设全面遵循业界标准，所推荐采用的设备、技术在互通性和互操作性上，可以支持本网络系统的快速布署。

第4章总体架构设计

4.1结构设计

4.1.1结构设计策略

按照数据中心的结构，本方案采用以下策略设计

1、高可靠的设计思想融合在结构设计、路由设计、应用服务设计的各个层面；

2、针对业务网络应用需求实施全模块化分区设计；

3、依照工作重点和结构分工的整网三层体系结构；

4.1.2分区模块设计

网络按照业务应用需求，划分以下主要功能区：

●生产区

●MIS区

●生产外联区

●广域接入区

●运行管理区

●OA接入控制区

各个区以扩展模块的形式分别连接到数据中心高可靠的核心交换网络。

4.1.3分层设计

按照网络核心，汇聚和接入的模型对数据中心以及之内的每一个功能区域按照层次化结构模型进行划分：

核心层

构成整个数据中心生产局域网的高速交换核心，为各个功能分区提供高可靠高稳定和支持快速愈合的第三层接入服务。

在核心层设计以高可靠，高速交换为主要原则；

汇聚层

各个功能分区的交换核心是组成整个生产中心局域网的汇聚层。

汇聚层提供各个分区内部接入层的汇聚，作为各个分区的对外接入，集中实现接入控制和安全控制；

接入层

在各个分区主机和服务器的接入，具有高密度的接入能力。

支持基于主机端口的访问控制，并针对接入的数据流进行标记工作，便于传输过程中逐级实现针对流量的QoS控制策略。

4.1.4物理部署设计

上海数据中心的核心网络主要分布在上海园区的E2楼的各层，因此网络将按照就近接入的原则将各个功能区网络设备与应用主机就近放置分布在各个楼层。

网络的交换核心、广域接入区等没有主机接入的功能区域放置于网络机房。

4.2上海全国数据中心局域网拓朴

在数据中心的实际部署中，针对数据中心模型进一步细分各个功能分区。

生产区涉及到的应用系统较多包括核心业务以及各种总行级的业务系统。

核心业务系统放置于IBMS/390上，通过在S/390上划分多个分区来实现核心业务相关的不同功能。

考虑到核心业务系统属于银行全部业务核心，属于数据中心的重中之重，同时S/390的操作方式与其他开放平台不一致，因此物理上将生产区设置为核心业务生产区和开放平台生产区2个分区接入到核心层。

测试区根据测试需要尽量与生产网络实现完全分离，根据实际需求确定是否需接入到核心层。

生产外联区包括网上银行的Internet外联以及和合作伙伴的Extranet外联两种方式，在网络结构上和安全部署上有很大不同，因此在实际部署中分别设置2个接入区域连接到核心交换区。

广域接入区

设置一个单独的物理分区，提供各个一级分行的流量接入和汇聚。

灾备接入区

设置一个单独的物理分区，部署与北京灾备中心的连接和灾备策略的部署。

MIS服务区

设置一个单独的物理分区，提供MIS业务应用的服务。

运行管理区

设置一个单独的物理分区，提供数据中心和全网的管理和监控。

4.3网络核心层

网络核心层由4台万兆交换机构成，通过万兆实现各个功能分区的接入，同时4台交换机之间采用双万兆捆绑的方式实现高速互联。

为了保证通过核心网络的流量和路径可控，并提高故障切换的效率，对各个功能分区实现三层接入的方式。

为了保证各个功能分区的高可靠性，与各个功能分区的汇聚交换机采用双星型的结构连接。

4.4生产区

生产区将接入数据中心核心生产系统和部分生产系统前置；

生产区核心业务平台：

由2台汇聚层交换机和2台接入层交换机构成，接入层交接机连接S/390主机系统平台。

生产区开放平台：

由2台汇聚层交换机和4台接入层交换机构成，接入层交接机连接开放平台。

连接方式：

四台接入层交换设备通过四条千兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.5

运行管理区

运行管理区是生产中心主要的人员操作区，主要以各种管理配置平台为主。

运行管理区：

由2台汇聚层交换机和2台接入层交换机构成，接入层交接机连接各类业务、网络、配置管理系统；

连接方式：

两台接入层交换设备通过双千兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.6MIS区

MIS区将接入数据中心MIS处理主机系统，主要以开放平台为主。

MIS系统平台：

由2台汇聚层交换机和4台接入层交换机（两层结构、分为外联接入交换机与内联接入交换机）构成，接入层交接机连接各MIS系统平台；

连接方式：

两台接入层交换设备通过双万兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.7广域接入区

广域接入提供各个下联一级分行的接入，同时支持在接入边界部署安全控制策略。

广域接入平台：

由2台汇聚层交换机构成，直接接入路由设备。

连接方式：

汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

在汇聚交换机侧支持部署防火墙和入侵检测设备，采用访问控制和安全联动相结合的方式对接入流量进行安全防护。

（关于安全联动的详细介绍请参阅第十一章：

网络安全相关内容）

4.8OA接入控制区

OA接入控制区是生产区和OA用户及OA服务器所在功能区的隔离区，OA用户通过此区访问生产的相关资源。

OA接入控制区：

由2台汇聚层交换机构成。

在汇聚交换机对外互连处部署防火墙和入侵检测设备，采用访问控制和安全联动相结合的方式对流量进行安全防护。

连接方式：

汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.9生产外联

生产外联区主要分为两大部分：

网银Internet接入区域、合作伙伴接入区域，两大区域建立统一的汇聚层交换机，按照两大区域对安全级别的要求的不同，分别设置多层DMZ区域。

在合作伙伴接入区域提供和各个金融服务机构，金融监管机构和金融市场的接入，会部署大量的外联前置系统，采用防火墙实现隔离，在DMZ区部署外联前置服务器。

合作伙伴接入区域接入平台：

由2台DMZ区接入交换机构成。

在外联网接入和DMZ与汇聚层连接处部署高可用防火墙，并部署IDS设备实现安全联动。

连接方式：

汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

网银互联网接入部分主要面向互联网的客户提供服务以及部分数据交换，网上银行作为主要特色应用会部署在此区域。

此区域会有大量的互联网服务器如Web应用，DNS服务器等，同时还有大量的客户服务和应用处理服务器。

考虑到Internet接入需要更高的安全因此将服务器分别部署在DMZ区和扩展DMZ区，并采用三层防火墙进行隔离，同时部署相应的IDS设备。

网银互联网接入平台：

由2台汇聚层交换机和4台DMZ接入交换机构成。

并配置6台防火墙实现各个区之间的安全隔离。

4.10设备选型推荐

针对数据中心建设的统一性原则，针对数据中心尽量采用相同的设备进行配置，从而保证数据中心整体的易维护和易扩展。

针对数据中心大量服务器采用千兆接入，要求高效传输的特点，在骨干层和汇聚层间，以及部分汇聚和接入层间采用万兆连接，减少千兆捆绑带来的复杂配置，同时支持业务未来3－5年的快速增长。

对于生产外联区，考虑到需要有大量的防火墙隔离，受制于外联广域网的限制，接入层和汇聚层之间采用千兆连接。

针对上述分析数据中心在设备级的要求如下：

●电信级可靠性网络设备99.999%，支持热切换，热补丁

●采用万兆技术，支持高密度万兆连接

●支持安全联动

●有效抵御网络资源消耗型病毒攻击（例如DOS/REDCODE等）

●全分布式线速处理

●支持多业务的深度感知

●支持MPLSVPN和IPV6功能扩展

●支持外置冗余电源

●大容量冗余交换背板结构

●单机具有高扩展能力

针对上述分析本项目的设备选型推荐列表如下：

数据中心核心交换机

QuidwayS8512

数据中心汇聚层交换机

QuidwayS8512

运维管理区接入交换机

QuidwayS8512

其他功能区的接入交换机

QuidwayS8512

中端路由器

QuidwayAR28-80

网元管理系统

QuidviewDMG，CAMS（AAA），SUN/NT服务器

设备数量配置如下：

名称

设备配置情况

1、核心交换区

核心层：

4台S8512

2、主机生产区

汇聚：

2台S8512，接入：

2台S8512

3、开放生产区

汇聚：

2台S8512，接入：

4台S8512

4、MIS服务区

汇聚：

2台S8512，接入：

2台S8512

5、运维管理区

汇聚：

2台S8512，接入：

10台S8512

6、外联区（仅合作伙伴接入区）

汇聚：

2台S8512，接入：

2台S8512

7、广域网接入区

汇聚：

2台S8512，接入：

4台S8512

8、OA接入控制区

汇聚：

2台S8512

9、网元管理

QuidviewDMG，CAMS（AAA），SUN/NT服务器

10、基金国债业务接入路由器

两台AR46-80

4.10.1S8500简介

Quidway®S8500系列万兆核心路由交换机

Quidway®S8500系列万兆核心交换机是由华为3Com公司自主开发的新一代高性能万兆核心路由交换机产品，可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层。

Quidway®S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。

Quidway®S8500系列支持新一代高性能万兆接口，能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。

Quidway®S8500提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLSVPN、组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。

产品特点

1）先进的体系结构

Quidway®S8500系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。

Crossbar交换网芯片内置于主控板，不单独占用设备槽位，可提供高达720Gbps的交换容量，并可平滑升级到1.44Tbps的交换容量。

接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网，从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。

Quidway®S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。

2）大容量、高密度线速交换

Quidway®S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力，并可平滑升级到1.44Tbps交换容量、857Mpps转发能力。

支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速转发，满足核心层设备大容量、高密度的要求。

3）强大的业务支撑能力

Quidway®S8500支持MPLSVPN业务；支持丰富的组播协议（IGMP、IGMPSNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），内置防火墙（硬件支持）、IDS；支持POS/ATM、RPR等接口。

4）新一代万兆接口支持

Quidway®S8500系列产品提供的新一代万兆以太网克服了早期万兆以太网的诸多局限，在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性。

Quidway®S8500的新一代万兆以太网不仅在接口密度上达到2端口/线卡（后续可扩展至4端口/线卡），并且可以支持线速的MPLS转发，可以提供更好的IPVPN业务和透明的LAN服务，真正实现性能与功能的完美统一。

Quidway®S8500系列产品除了提供标准的LAN接口，还可以提供使用波分复用技术的10GBASE-LX4接口，从而大大提高了用户组网的灵活性。

5）MPLS/IPv6分布式线速支持

Quidway®S8500系列产品遵循业务与性能并重的设计理念。

一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升，另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。

Quidway®S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。

6）完善的QoS机制

Quidway®S8500系列产品提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式；支持8个优先级队列，3个丢弃优先级；支持WRED拥塞避免算法和端口流量整形。

支持带宽控制功能，流量限速的粒度为8Kbit/s，满足精品宽带网络的要求。

7）电信级可靠性设计：

Quidway®S8500系列产品系统采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统交流/直流可选，采用1+1冗余热备份，并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求，系统可靠性达到：

99.999％。

8）完善的安全机制：

Quidway®S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全，支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持URPF（单播反向路径检查）；采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：

本地认证和RADIUS认证。

Quidway®S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。

支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。

Quidway®S8500系列产品还支持标准Radius协议，同时提供Radius+功能，以及HCBM™（华为可控组播管理协议）功能支持。

基于硬件支持的内置防火墙/IDS功能为核心交换设备安全组网提供了多样化的选择，简化了网络层次，提高了整网性能。

产品规格

属性

S8505

S8508

S8512

体系结构

一体化机箱，可安装于19英寸机架内

外形尺寸（MM）

宽×深×高

436x450x486

436x450x619

436x450x753

满配置重量（Kg）

65

80

100

交换容量

XRCoreEngine™I300G

XRCoreEngine™II600G

XRCoreEngine™I480G

XRCoreEngine™II960G

XRCoreEngine™I720G

XRCoreEngine™II1.44T

背板容量

750Gbps（可扩展至1.5T）

1.2Tbps（可扩展至2.4T）

1.8Tbps（可扩展至3.6T）

包转发率

XRCoreEngine™I178Mpps

XRCoreEngine™II357Mpps

XRCoreEngine™I285Mpps

XRCoreEngine™II571Mpps

XRCoreEngine™I428Mpps

XRCoreEngine™II857Mpps

槽位数量

7

10

14

业务单板槽位数量

5

8

12

二层功能

4KVLAN

支持802.1q优先级

生成树协议：

STP/RSTP/MSTP

支持动态VLAN注册协议（GVRP）

支持端口捆绑

支持端口镜像

支持广播风暴抑制

支持Jumbo帧

兼容Ethernet_II/Ethernet_SNAP/IEEE802.2/IEEE802.3

MDI/MDI-X自适应

三层功能

ARPProxy（SuperVLAN）

提供丰富的路由协议：

RIP、OSPF、IS-IS、BGP4

支持256K最长匹配路由转发表

支持路由负载分担

支持分布式策略路由

支持URPF（单播反向路径检查）

支持VRRP

支持DHCP-RELAY

组播

二层组播协议：

GMRP、IGMPSnooping

三层组播协议：

IGMP、PIM-DM、PIM-SM、MSDP/MBGP

支持可控组播业务

NAT

支持NAT中NAPT模式

支持公有地址和私有地址的混合组网NAT转换

支持ICMP、FTP的等ALG

安全功能，防止DOS攻击对NAT模块资源的过度使用

支持NAT板间的负荷分担和备份功能

WebSwitch

具有L3/L4层的线速交换

基于L4层的PBR及其他功能：

如服务器负载均衡、防火墙负载均衡、WebCache高速缓存重定向等功能

MPLSVPN

支持二层MPLSVPN

支持三层MPLSVPN

支持QinQ

支持PE和P功能

MPLS标签空间：

128K

MPLS标签栈深度：

4级

QoS

可基于物理端口、VLAN、源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP端口、协议号等进行报文分类和过滤

支持带宽控制，带宽控制粒度为1Kbit/s

优先级队列调度：

每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法

支持WRED拥塞避免算法

支持流量整形

支持802.1P，DSCP/TOS优先级和重新标记能力

支持基于时间段的流分类和QoS控制能力

网络安全特性

支持IP+MAC+PORT任意组合的绑定

支持非法帧报文过滤

支持IEEE802.1X认证

用户分级管理和口令保护

支持端口隔离

支持SSH

支持SNMPv3网管

可靠性

MTBF:

>128,400小时

MTTR:

<0.5小时

双主控

支持双路电源供电

支持热插拔

环境要求

温度范围：

0℃～40℃

相对湿度：

10%～90%（非凝结）

电源要求

DC：

输入电压：

－48V～－60V

AC：

输入电压：

100V～240V

最大输出功率：

1200W（S8505）、2000W（S8508/S8512）

4.10.2AR28-80简介

Quidway®AR28-40、AR28-80模块化中心路由器是华为3Com公司Quidway®AR系列路由器中面向企业用户的网络产品，采用32位的微处理器技术，使用VRP（通用路由平台），提供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功能，支持SNA/DLSw、VoIP特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度，具备MPLSVPN功能、DVPN功能、可平滑升级支持IPv6符合未来IP技术的发展潮流。

Quidway®AR28-40、AR28-80既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担当汇聚层路由器。

Quidway®AR28-40路由器外观图

Quidway®AR28-80路由器外观图

产品功能特性：

◆VRP操作平台：

华为3Com在成熟的VRP软件平台的基础上，结合AR28系列的硬件体系结构和软件业务要求，度身定做的的AR28系列的软件体系，完全继承了VRP平台的稳定性、成熟性和可靠性，所提供的软件业务均为VRP平台的成熟特性，同时可以随着VRP平台的不断发展同步提供新的特性。

◆VPN解决方案：

支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN、MPLSL3VPN，MPLSL2VPN、华为动态VPN等多种VPN业务。

◆网络安全：

登录用户认证、RADIUS/HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持（对接口/时间段/MAC地址的过滤）、CA认证（数字证书）、高性能NAT。

◆互连协议：

以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoEClient、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、IPSEC建立三层隧道、xDSL宽带接入。

◆网络协议：

DHCP、VLAN、IPX、DLSw、RIP-1/RI