华夏银行济南分行数据中心项目工程实施方案.docx

华夏银行济南分行数据中心项目工程实施方案.docx

《华夏银行济南分行数据中心项目工程实施方案.docx》由会员分享，可在线阅读，更多相关《华夏银行济南分行数据中心项目工程实施方案.docx（61页珍藏版）》请在冰豆网上搜索。

华夏银行济南分行数据中心项目工程实施方案

华夏银行济南分行数据中心项目

工程实施方案

V1.0

杭州华三通信技术有限公司

2010年7月

第1章项目概况

1.1项目背景

华夏银行济南分行为满足业务需求，将根据模块化的、分层的、分级的现代数据中心设计理念，构建一个满足可扩展性、灵活性和高可用性的网络基础架构，实现对分行各业务系统提供统一的基础设施服务支持的目标。

1.2项目目标

随着数据大集中的完成，分行业务处理模式将发生根本性变化，由先前的业务处理发生在分行本地演变成所有核心业务均上送总行统一处理。

另一方面全行各类信息业务平台、管理平台的不断投入使用，带来明显的网络交易压力，对网络带宽、稳定性和安全性提出了更高要求。

同时，由于网络设备持续运行，年久老化，面临较重的运行压力。

今后拟对分行网络系统进行一次升级改造，确保网络处理能力满足未来发展需要，真正实现业务处理和信息管理的高速运行。

根据当前成熟的网络技术并结合网络技术将来的发展趋势，分行网络系统改造目标是建成一个高性能、高可靠性、安全冗余、可扩展的网络安全通信平台。

网络改造具体涉及到以下几点：

1.网络设备更换或升级

分行网络自建成运行以来，已经连续运转八年，网络设备已出现不同程度的老化，部分设备性能已严重落后于现有同等网络产品，甚至部分产品已停产或淘汰，为保证分行网络的安全运转，优化分行网络性能，预防网络故障的发生，对分行老旧网络设备进行更换或升级。

同时，网络改造必须采用国际通用的标准，在网络模式、设备的选择、线路的选择、实施和管理等各个环节上都采用现行国际标准和行业标准，以方便以后对网络的升级、更新和维护；充分考虑各个网络产品（软件、硬件）的兼容性，网络设备的冗余性；所有网络设备必须支持IPV6，满足下一代数据通信网络的需要。

2.千兆网络建设

随着数据大集中项目的实施，以及各种新业务系统的上线，网络系统资源的占用越来越大，提高业务处理的速度和质量，成为分行网络建设的重点。

鉴于分行现有的百兆网络面临的业务压力，必须提升网络带宽，对分行核心网络设备实现千兆光纤互联，保证网络的快速处理能力，并实现核心应用服务器的千兆连接。

3.网络区域划分

目前分行网络划分为外网、内网、DMZ区三个大的区域。

为了增加网络的安全性、可管理性，对网络按不同的功用，进行更细致的区域划分，共划分为十一个区域，通过区域的划分使分行网络结构更加合理，各部分的功能一目了然，便于管理和安全规则的设置。

为了保证网络的安全，在各区域间架设防火墙，对网络的访问进行过滤和限制。

第2章网络总体规划

2.1网络现状

原组网图如下：

目前华夏银行济南分行（以下简称分行）网络系统分为内网、外网、DMZ区三部分，各区之间通过防火墙进行了有效隔离。

内网由核心、汇聚、接入三层结构组成，严格按照网络的三层结构设计建设，是分行内部网络业务系统；外网是第三方接入网络；DMZ区是部分公用系统和无线网络接入区。

分行网络经过总行大集中网络改造后，已实现了核心冗余，汇聚冗余、接入冗余，实现了设备和线路的冗余。

内网核心网络设备采用两台思科6509高端设备，处理速度快，稳定性高。

两台设备互为备份，实现核心冗余；汇聚设备由两台思科75系列设备构成，并互为备份，一台设备出现故障，另一台可立即接管；接入层为思科2621XM路由器，通过网通和广电两条2MSDH接入核心网络，两条线路一主一备，保证业务连续性。

在内部网络的基础上分行又建设了终端网，各支行终端可通过10M光纤接入核心终端服务器，从而访问分行生产网络，大大提高了网络访问速度。

外联网是第三方接入分行网络区域，第三方用户通过一台思科75系列路由器和两台思科28系列路由器接入分行生产网络。

另外，为保证接入银联网络的稳定性，分行把银联业务网络单独隔离，与核心网络直接联接，并通过防火墙进行了有效隔离。

DMZ区是部分公用系统区和联通无线网络接入区，分行利用联通网络建设了无线vpn网络，通过无线vpn网络分行单点ATM和移动办公终端可在联通无线信号覆盖的任何区域接入分行网络。

为保证网络安全，通过防火墙与联通网络进行了隔离，单点ATM和移动办公终端在数据传输时均采取了严格的加密措施。

内部网络三个区域之间通过防火墙（pix520）进行隔离，并设置了相应的访问策略，同时利用思科的内容交换机（cisco11051）和防火墙相结合，实现了防火墙的负载均衡和冗余备份。

分行网络通过cisco7606和华为NE16接入总行网络，两台设备互为备份，通过防火墙与总行网络隔离。

在网络监控和预防非法入侵方面，分行采用联想N820入侵检测设备，实时监测网络运行状况。

目前的网络存在以下问题：

1、设备的老化，故障频发：

分行网络从建设运行至今已有八年，大部分设备已出现不同程度的老化现象，网络设备运行故障升高，断电后再启动、死机，重启后无法启动等现象频繁发生。

6台内容交换机和1台PIX防火墙都出现过硬件故障；两台汇聚路由器cisco7567和cisco7507引擎故障，自动重启；各支行网络由路由器cisco2621陆续出现了故障。

设备的老化已经严重影响了网络的正常运行。

2、系统陈旧，功能匮乏：

现有两台核心交换设备cisco6509操作系统为CATOS，而现在CATOS已淘汰，目前市场流行的路由和交换设备都使用IOS，因此导致不能兼容多数新型的网络设备和各种新的功能特性，致使许多安全措施无法应用，影响核心网络的安全性。

3、架构落后，安全风险大：

随着业务系统的扩展，现有网络虽采用了分层的设计思想，但没有对各功能区域进行划分，各业务系统及功能区域之间没有指定清洗的安全等级，不利于安全策略的制定。

2.2新建网络设计

新网络拓扑如下：

新建网络有如下优点：

1.结构整齐，层次清晰，便于管理。

2.采用动态路由协议，维护简单，扩展性好；

第3章设备部署

3.1设备命名规则

为便于进行网络故障诊断和远程监测，参照总行《网络设备命名规范》分行将统一全辖网络设备的命名。

网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。

设备名称的字母全部采用大写表示。

主要网络设备的ID命名规则如下：

A_B_C_D_E：

A：

分行名称（如上海分行、等）

B：

区域名称（如核心区、服务器区、办公区、管理区、等，也可表示支行名称）

C：

区域层次（如汇聚层或接入层）

D：

设备类型（如核心交换机、路由器、防火墙、入侵检测、等）

E：

设备序列号（如第一台、第二台、等）

根据上述描述，每个字段做如下进一步的明确：

A：

分行名称

分行名称

标识

北京

BJ

上海

SH

…

…

B：

区域名称

序号

名称

描述

1

CORE

核心区（CoreZone）

2

ADMIN

管理区（AdminZone）

3

APPSVR

业务服务器区（App_ServerZone）

4

OASVR

办公服务器区（OA_ServerZone）

5

HQCONN

上联区（HQ_ConnZone）

6

BRANCONN

下联区（Bran_ConnZone）

7

APPUSR

业务用户接入区（App_UserZone）

8

OAUSR

办公用户接入区（OA_UserZone）

9

EXTCONN

外联区（Ext_ConnZone）

10

DMZ

DMZ区

11

DT

开发测试区（DevelopingTestingZone）

12

TA

终端接入区（TerminalAccessZone）

C：

区域层次

序号

名称

区域

1

DL

汇聚层（DistributionLayer）

2

AL

接入区（AccessLayer）

D：

设备类型

序号

名称

描述

1

SW

交换机

2

RT

路由器

3

FW

防火墙

4

IDS

入侵检测系统

E：

设备序列号

序号

名称

描述

1

1

同区同层第１台设备

2

2

同区同层第2台设备

3

…

…

例如：

BJ_CORE_SW_1：

表示北京分行（BJ）核心区（CORE）核心交换机（SW）第一台

（1）；

SH_ADMIN_DL_SW_1：

表示上海分行（SH）管理区（ADMIN）汇聚层（DL）交换机（SW）第一台

（1）；

SH_APPSVR_AL_SW_1（或_2）：

表示上海分行（SH）业务服务区（APPSVR）接入层（AL）交换机（SW）第一/二台（1或2）；

SH_EXTCONN_FW_1：

表示上海分行（SH）外联区（EXTCONN）防火墙（FW）第一台

（1）；

TJ_YYB_RT_1：

表示天津分行（TJ）分行营业部（YYB）路由器（RT）第一台

（1）；

下表是本次项目全网设备的命名

序号

名称

描述

1

JN_CORE_SW_1

生产网核心8508-1交换机

2

JN_CORE_SW_2

生产网核心8508-2交换机

3

JN_BRANCONN_DL_RT_1

分行广域网接入区汇聚路由器1

4

JN_BRANCONN_DL_RT_2

分行广域网接入区汇聚路由器2

5

JN_EXTCONN_IPS_1

分行外联接入区IPS-1

6

JN_EXTCONN_IPS_2

分行外联接入区IPS-2

7

JN_EXTCONN_FW_1

分行外联接入区防火墙-1

8

JN_EXTCONN_FW_2

分行外联接入区防火墙-2

11

JN_EXTCONN_AL_SW_1

分行外联接入区交换机-1

12

JN_EXTCONN_AL_SW_2

分行外联接入区交换机-2

13

JN_EXTCONN_AL_RT_1

分行外联接入区路由器-1

14

JN_EXTCONN_AL_RT_2

分行外联接入区路由器-2

15

JN_EXTCONN_3G_1

分行外联接入区3G路由器

16

JN_EXTCONN_CDMA_1

分行外联接入区CDMA路由器

17

JN_DMZ_DL_SW_1

分行DMZ区汇聚交换机-1

18

JN_DMZ_DL_SW_2

分行DMZ区汇聚交换机-2

19

JN_ADMIN_DL_SW_1

分行管理控制区汇聚交换机-1

20

JN_APPUSR_DL_SW_1

分行用户接入区汇聚交换机-1

21

JN_APPUSR_DL_SW_2

分行用户接入区汇聚交换机-2

22

JN_APPUSR_AL_SW_1

分行用户接入区接入交换机-1

23

JN_APPUSR_AL_SW_2

分行用户接入区接入交换机-2

24

JN_APPUSR_AL_SW_3

分行用户接入区接入交换机-3

25

JN_TA_DL_SW_1

分行终端接入区汇聚交换机-1

26

JN_DT_DL_SW_1

分行开发测试区汇聚交换机-1

27

JN_OASVR_DL_SW_1

分行办公服务器区汇聚交换机-1

28

JN_OASVR_DL_SW_2

分行办公服务器区汇聚交换机-2

29

JN_APPSVR_DL_SW_1

分行业务服务器区汇聚交换机-1

30

JN_APPSVR_DL_SW_2

分行业务服务器区汇聚交换机-2

31

JN-DY-H1

分行下联东营路由器-1

32

JN-DY-H2

分行下联东营路由器-2

3.2网络设备的链路描述（Description）规则

为了便于网络设备的维护，应在网络设备中用到的接口中配置相应的描述（Description）命令，对链路的走向进行描述，具体格式为：

行内线路描述：

description

其中，设备ID请参照《网络设备ID命名规范》，设备接口ID请参照设备厂商的端口命名规范。

外联线路描述：

description

3.3VLAN命名规则

为便于管理，VLAN名称应使用统一的命名规则

网络互联VLAN主要以英文缩写命名：

本方案涉及的VLAN名称如下:

3.3.1核心区

VlanID

VLAN名

VLAN划分描述

用途

801

LINK801

To-JN-PE-C1-G5/2

分行核心1与上联总行路由器1互联

821

LINK821

TO-JN_PE_C1-G6/2

分行核心2与上联总行路由器1互联

802

LINK802

TO-JN-PE-C2-G1/2

分行核心1与上联总行路由器2互联

822

LINK822

TO-JN_PE_C2-G1/1

分行核心2与上联总行路由器2互联

803

LINK803

TO-JN_BRANCONN_DL_RT_1_G3/0/0

分行核心1与下联路由器1互联

823

LINK823

TO-JN_BRANCONN_DL_RT_1-G3/0/1

分行核心2与下联路由器1互联

804

LINK804

TO-JN_BRANCONN_DL_RT_2_G3/0/0

分行核心1与下联路由器2互联

824

LINK824

TO-JN_BRANCONN_DL_RT_2-G3/0/1

分行核心2与下联路由器2互联

805

LINK805

TO-JN_APPSVR_DL_SW_1_G1/0/49

分行核心1与业务服务器区汇聚交换机1互联

825

LINK825

TO-JN_APPSVR_DL_SW_2-G1/0/49

分行核心2与业务服务器区汇聚交换机2互联

806

LINK806

TO-JN_OASVR_DL_SW_1_G1/0/49

分行核心1与办公服务器区汇聚交换机1互联

826

LINK826

TO-JN_OASVR_DL_SW_2-G1/0/49

分行核心2与办公服务器区汇聚交换机2互联

807

LINK807

TO-JN_DT_DL_SW_1_G1/0/49

分行核心1与开发测试区汇聚交换机1互联

827

LINK827

TO-JN_DT_DL_SW_1-G1/0/50

分行核心2与开发测试区汇聚交换机1互联

808

LINK808

TO-JN_TA_DL_SW_1_G1/0/49

分行核心1与终端接入区汇聚交换机1互联

828

LINK828

TO-JN_TA_DL_SW_1-G1/0/50

分行核心2与终端接入区汇聚交换机1互联

809

LINK809

To-JN_OAUSR_DL_SW_1

分行核心1与分行用户区汇聚交换机1互联

829

LINK829

TO-JN_OAUSR_DL_SW_2

分行核心2与分行用户区汇聚交换机2互联

810

LINK810

To-JN_ADMIN_DL_SW_1-G1/0/49

分行核心1与管理控制区汇聚交换机1互联

830

LINK830

TO-JN_ADMIN_DL_SW_1-G1/0/50

分行核心2与管理控制区汇聚交换机2互联

811

LINK811

To-JN-DY-H1-G0/0

分行核心1与分行核心2互联

841

LINK841

TO-JN_EXTCONN_IPS_1-Eth1

分行核心与外联接入区IPS互联

3.3.2业务服务器区

VlanID

VLAN名

VLAN划分描述

用途

805

LINK805

TO-JN_CORE_SW_1-G5/0/3

业务服务器区汇聚交换机1与分行核心1互联

851

LINK851

TO-JN_APPSVR_DL_SW_2-G1/0/50-51

业务服务器区汇聚交换机1与业务服务器区汇聚交换机2互联

120

YEWU

YeWu

分行业务服务器

103

CESHI

CESHI

用于测试使用

3.3.3办公服务器区

VlanID

VLAN名

VLAN划分描述

用途

806

LINK806

To-JN_CORE_SW_1_G5/0/4

办公服务器汇聚交换机1与分行核心1互联

826

LINK826

To-JN_CORE_SW_2_G5/0/4

办公服务器汇聚交换机2与分行核心2互联

852

LINK852

To-JN_OASVR_DL_SW_2

办公服务器汇聚交换机1与办公服务器汇聚交换机2互联

601

OA

OA

OA服务器

128

ShuZiGongWen

ShuZiGongWen

数字公文系统

3.3.4开发测试区

VlanID

VLAN名

VLAN划分描述

用途

160

CeShi

CeShi

测试网

3.3.5终端接入区

VlanID

VLAN名

VLAN划分描述

用途

808

LINK808

To-JN_CORE_SW_1

终端汇聚交换机1与分行核心1互联

828

LINK828

To-JN_CORE_SW_1

终端汇聚交换机1与分行核心2互联

100

JN-GX

JN-GX

高新支行

101

JN-SB

JN-SB

市北支行

102

JN-YYB

JN-YYB

营业部

103

JN-CD

JN-CD

城东支行

104

JN-HPL

JN-HPL

和平路支行

105

JN-HY

JN-HY

槐荫支行

106

JN-JFL

JN-JFL

解放路支行

107

JN-WEL

JN-WEL

纬二路支行

108

JN-JSL

JN-JSL

经十路支行

109

JN-SN

JN-SN

市南支行

110

JN-JG

JN-JG

分行机关

111

JN-ZQ

JN-ZQ

章丘支行

112

JN-WF

JN-WF

潍坊支行

120

JN-ZD

JN-ZD

终端服务器

148

JN-XXFB

JN-XXFB

信息发布系统

149

JN-SPHY

JN-SPHY

视频会议

150

JN-JZJK

JN-JZJK

集中监控

151

PEIXUN

PEIXUN

用于培训

3.3.6分行用户接入区

VlanID

VLAN名

VLAN划分描述

用途

809

LINK809

TO-JN_CORE_SW_1-G5/0/7

办公用户接入交换机1与分行核心1互联

829

LINK829

TO-JN_CORE_SW_2-G5/0/7

办公用户接入交换机2与分行核心2互联

853

LINK853

TO-JN_OAUSR_DL_SW_2-Bridge1

办公用户交换机1与办公用户交换机2互联

861

KuaiJiBu

KAIJIBU

会计部

862

LINK862

FHJG-Temp

分行机关临时

870

XinXiJiShuBu

XXJSB

信息技术部

3.3.7管理控制区

VlanID

VLAN名

VLAN划分描述

用途

810

LINK810

TO-JN_CORE_SW_1-G5/0/8

管理汇聚交换机与分行核心交换机1互联

830

LINK830

TO-JN_CORE_SW_2-G5/0/8

管理汇聚交换机与分行核心交换机2互联

192

WangGuan

WangGuan

网管服务器和IDS管理机

102

FangBingDu

FangBingDu

防病毒服务器

3.3.8外联接入区及DMZ区

VlanID

VLAN名

VLAN划分描述

用途

842

LINK842

WLSW1/2TOWLSW2/1

外联接入区互联VLAN

843

LINK843

JN_EXTCONN_FW-TO-JN_DMZ_DL_SW

DMZ区互联VLAN

139

LINK139

BAOBIAO

报表

140

LINK140

ZHIFU

支付

3.4软件版本

序号

设备名称

软件版本

1

BHCore-H3C-S9512-01

CMW3.10-R1648

2

3

3.5槽位部署

S7606E交换机：

S7506E

0

S7506E交换路由处理板

1

S7506E交换路由处理板

2

3

24端口千兆以太网光接口业务板

4

24端口千兆以太网电接口模块

5

6

防火墙业务板

7

第4章VLAN及IP地址规划

4.1VLAN规划

4.1.1核心区

根据分行新网络建设的统一规划核心区设备VLAN的划分见下表：

区域

VLANID

本端设备

对端设备

VLAN用途

核心区

801

JN_CORE_SW_1

JN-PE-C1

分行核心1与上联总行路由器1互联

821

JN_CORE_SW_2

JN-PE-C1

分行核心2与上联总行路由器1互联

802

JN_CORE_SW_1

JN-PE-C2

分行核心1与上联总行路由器2互联

822

JN_CORE_SW_2

JN-PE-C2

分行核心2与上联总行路由器2互联

803

JN_CORE_SW_1

JN_BRANCONN_DL_RT_1

分行核心1与下联路由器1互联

823

JN_CORE_SW_2

N_BRANCONN_DL_RT_1

分行核心2与下联路由器1互联

804

JN_CORE_SW_1

TO-JN_BRANCONN_DL_RT_2

分行核心1与下联路由器1互联

824

JN_CORE_SW_2

TO-JN_BRANCONN_DL_RT_2

分行核心2与下联路由器2互联

805

JN_CORE_SW_1

JN_APPSVR_DL_SW_1

分行核心1与业务服务器区汇聚交换机1互联

825

JN_CORE_SW_2

JN_APPSVR_DL_SW_2

分行核心2与业务服务器区汇聚交换机2互联

806

JN_CORE_SW_1

JN_OASVR_DL_SW_1

分行核心1与办公服务器区汇聚交换机1互联

826

JN_CORE_SW_2

JN_OASVR_DL_SW_2

分行核心2与办公服务器区汇聚交换机2互联

807

JN_CORE_SW_1

JN_DT_DL_SW_1

分行核心1与开发测试区汇聚交换机1互联

827

JN_CORE_SW_2

JN_DT_DL_SW_1

分行核心2与开发测试区汇聚交换机1互联

808

JN_CORE_SW_1

JN_TA_DL_SW_1

分行核心1与终端接入区汇聚交换机1互联

828

JN_CORE_SW_2

JN_TA_DL_SW_1

分行核心2与终端接入区汇聚交换机1互联

809

JN_CORE_SW_1

JN_OAUSR_DL_SW_1

分行核心1与分行用户区汇聚交换机1互联

829

JN_CORE_SW_2

JN_OAUSR_DL_SW_2

分行核心2与分行用户区汇聚交换机2互联

810

JN_CORE_SW_1

JN_ADMIN_DL_SW_1

分行核心1与管理控制区汇聚交换机1互联

830

JN_CORE_SW_2

JN_ADMIN_DL_SW_1

分行核心2与管理控制区汇聚交换机2