商业银行数据中心网络建设方案

商业银行数据中心网络建设方案目 录1、数据中心建设分析31.1 背景31.2 建设重点32、数据中心网络系统设计原则42.1可靠性和可用性42.2可扩展性52.3灵活性52.4高性能53、数据中心分区设计思想53.1 区域划分53.2分区设计的优点64、数据中心架构设计64.1设计概述64.1.1 VLAN规划84.1.2 路由设计84.2核心交换区设计84.2.1 具体设计84.2.2 VLAN划分84.2.3 路由规划94.3生产前置区规划104.3.1拓扑104.3.2 VLAN规划104.3.3 路由规划104.4 广域网接入区规划（分行接入）114.5.1 路由规划134.6 QoS设计134.6.1 QoS设计原则134.6.2 QoS服务模型选择144.6.3 QoS规划154.7 ARP攻击防御174.7.1 ARP攻击原理174.7.2 ARP攻击的类型174.7.3 ARP攻击解决方案204.7.4 其他技术275、数据中心管理285.1数据中心管理设计原则285.2网络管理295.3网络监控316、产品与关键技术336.1 万兆以太网与100G平台技术的考虑336.1.1以太网发展进入100G时代336.1.2服务器万兆互联成为主流趋势346.1.3核心交换机的价格升级至100G356.2 IRF虚拟化技术366.2.1技术优点366.2.2典型组网应用371 、数据中心建设分析1.1 背景当前，国内四大国有商业银行、城市商业银行、邮政储蓄银行、农村信用社、证券等金融机构都在进行数据大集中之后的IT建设，而数据中心和灾备中心的建设是其中建设的重点。在这轮如火如荼的建设热潮中，主流的数据中心建设模型为“两地三中心”或“同城/异地双中心”。这两种模型一方面可以保证银行业务的可靠性、安全性、扩展性，另一方面可以对区域性自然灾害（地震、海啸等极端天气）或电力、火灾等突发性风险进行很好的防御，提高对风险、故障的抵御能力，并确保故障、灾害带来的数据、业务的损失降到最低，还可以在故障、灾害发生后数据、业务能够在最快的时间内迅速恢复。城市商业银行由于业务辐射范围集中，通常是建设标准的“同城异地双中心”。即通过新建灾难备份中心，实现对现有总行数据中心的备份，并逐步将主要生产业务和相关的IT软硬件环境迁移到新建中心，现有总行数据中心过渡为未来的灾备中心，通过这种循序渐进、稳扎稳打的方式，使得IT建设的发展呈现螺旋式上升的姿态。目标是建设一个专业的、先进的、模块化设计、可扩展的的数据中心IT基础设施架构，使得IT建设成为银行发展的重要承载平台和推动剂。在银行的数据中心与IT建设中，将根据自身现状，参考国内外大型商业银行的成功案例和最佳实践，最终建成数据集中存放、集中处理、面向客户、面向业务交易、面向管理的，先进高效、安全稳定、易扩充、易维护的智能化综合业务网络系统。1.2 建设重点基于银行的网络现状和前期的分析，银行的数据中心和整个IT建设是一个长期投入、逐步细化深入的过程，从整体框架、内部结构优化、骨干网络升级、安全防护、运行管理等几个方面入手，进行重点投入：1、数据中心建设：依照国家和行业的相关标准与法律法规，借鉴国内外同行业经验，从银行的自身现状出发，完善数据中心，以应用级灾备为当前目标。在数据中心部署业务与服务器系统，实现对现有中心的数据、业务备份，确保现有中心故障情况下实现业务承接；并将主要生产业务逐步迁移到数据中心，实现生产中心与灾备中心的角色转变。此外，建立完备的灾难备份与恢复计划、灾备演练与恢复机制，将灾难备份与IT建设提升到新的高度。2、新建数据中心优化：参考国内外同行业的组网模型，按照标准化、模块化、结构的原则进行生产中心的升级，改变现状生产中心过于扁平化、安全性低的现状，可以将生产中心规划为：核心交换区、DB服务器区、生产前置区、运行管理区、互联网接入区、广域网接入区、第三方接入区、测试区等功能模块。在各分区边界部署防火墙，确保访问的安全，实现生产中心的高性能、高安全、高扩展和易管理。2 、数据中心网络系统设计原则银行数据中心网络系统设计将模块化的、分层的、分级的现代数据中心设计理念，构建一个满足可扩展性、灵活性和高可用性方面需求的网络基础架构，实现对银行各业务系统提供统一的基础设施服务支持的目标。具体设计原则如下：2.1可靠性和可用性数据中心基础设施架构中应采用高可靠的产品和技术，充分考虑系统的应变能力、容错能力和纠错能力，确保整个基础设施系统运行稳定、可靠。当今，关键业务应用的可用性与性能要求对于银行交易来说，比任何时候都更为重要。如果客户与员工不能访问关键性应用，业务将遭受无法挽回的利润损失，并使生产力下降甚至是市场份额丢失。系统的可用性指业务应用系统每天能有多少小时，每周有多少天，每年有多少周可以为用户提供服务，以及这些应用在发生故障时可以多快恢复工作的时间。在中，应保证所有应用每天24小时，每周7天，每年52周的可用性是非常重要的。数据中心的设施架构设计必须能够满足和达到这个目标。2.2可扩展性可扩展性是指当将来应用系统的业务量增加时，基础设施架构能够扩展以适应更多用户、交易与更多数据处理的能力。可扩展性应该通过尽可能扩展已有的系统来实现，而不是必须替换已有系统。可扩展性通过硬件、软件与应用等方面提供。2.3灵活性架构必须能够满足新的服务需求，而不需要对架构进行完全重新设计或进行超出正常维护时间之外的重大修改。获得灵活性的方法是依靠模块化的设计架构。2.4高性能“性能”指的是为所有应用最终用户提供要求的响应时间的能力。项目群基础设施架构要具备高性能，能够为用户提供可接受的响应时间。通常，诸如响应时间等性能特征应该根据真实的业务需求而设定。3 、数据中心分区设计思想基于城市商业银行业务系统的需求，以及网络建设的基本原则，本案采用分区模块化设计思想构建数据中心网络。3.1 区域划分采用模块化的分区设计方法，将数据中心划分为以下若干各功能区域。3.2分区设计的优点数据中心的各种业务系统根据其访问特征和功能特点被部署到不同的区域中，模块化分区设计的优点如下： 扩展性好，每个分区按照需求可以独立的进行扩展。 安全架构也是可以扩展的，每个分区都赋予特定的优先权，网络的重要区域都可以被定位。 未来对新应用的部署更容易。 每个分区可以再就网络进行分层、分级规划，由此使得网络结构更清晰、更易扩展、问题和故障定位更容易.。4 、数据中心架构设计4.1设计概述u 数据中心整体结构数据中心主要需要建立IP网络和存储网络。在IP网络中，按业务功能和安全需要分为不同的网络区域，各个网络区域有独立的网络设备（如交换机、防火墙等）连接相应的主机、服务器、pc机等设备，每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上；每个网络区域内部可以根据需要再分为不同的控制区域。IP网络主要分为以下网络区域：核心交换区、运维管理区、互联网区、测试区网、生产前置区、DB服务器区、广域网接入区、第三方介入区，如图： 核心交换区：为生产网络的各功能子区提供核心路由交换。 生产前置区：部署银行生产服务和生产小机。 DB服务器区：连接各种业务前置机专用区域 互联网区：提供各种互联网服务。 测试区：提供各种业务开发测试服务。 广域网接入区：部署下联各省市分行、台州支行、分理处的骨干网路由器。 第三方接入区：通过专线连接监管单位、合作伙伴，为第三方机构提供外联服务。 运行管理区：部署网络和系统管理及维护的业务系统。4.1.1 VLAN规划在模块化网络架构中可以看到，数据中心首先是被划分为网络分区，然后基于每个应用对各自架构的QOS需求，再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构，需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上，都需要创建VLAN。4.1.2 路由设计在数据内部，交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0，其他区域内部分别运行OSPF和静态路由。4.2核心交换区设计4.2.1 具体设计在数据中心中，核心交换区连接了其他不同的分区。它也作为数据中心连接灾备中心和广域网络的连接点。核心区在数据中心架构中的作用是，尽可能快速地在网络之间实现数据传输的路由和数据交换。核心区主要部署两台高端交换机S12508交换机连接其他功能分区，提供10G和GE链路的双归属连接。两台核心交换器之间采取Trunk链路连接，启用IRF技术，将两条核心交换机虚拟成一台。核心区交换机连接到所有其他区的边缘设备，有两类连接连接到核心，一类是来自核心生产业务（比如生产核心区, 前置机区）的连接，对该类应用提供高速访问服务，采用万兆接口这两个区域的汇聚交换机。另一类是其它业务。每个区汇聚交换机/接入交换机都上行连接到Core-SW1和Core-SW2。每个区交换机将使用单独的VLAN，VLAN跨越两个交换机，上行链接到核心。4.2.2 VLAN划分与每个子区域的互联接口可划分为同一VLAN，将核心交换区域与各子域的互联链路进行链路聚合。如下图所示：4.2.3 路由规划在2台Core-SW1和Core-SW2核心交换机和各区域的汇聚交换机连接端口上运行OSPF动态路由协议，所属的区域为Area 0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。采用IRF技术后，可以大大简化网络中的路由设置，减少需要的互联路由网段，其中，除网银与中间业务外联区外，其它区域的汇聚/接入交换机与核心之间的互联链路都进行聚合，生产核心区和前置机区在各自区域的核心/接入交换机上启用三层功能，采用OSPF和核心交换区之间进行互通；4.3生产前置区规划4.3.1拓扑生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机；在该区域采用三层架构，采用全千兆智能接入交换机S5120EI系列交换机提供小机及服务器的光口、电口接入，每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S7503E交换机上，两条S7503E交换机互相之间采用双万兆链路聚合捆绑，启用IRF功能，将两台汇聚交换机虚拟成一台交换机，每个S7503E各出一个万兆接口上联到数据中心核心交换机S12508上，上行的两条万兆链路启用链路捆绑功能，聚合成一条20G的物理链路。4.3.2 VLAN规划上联到核心交换区的VLAN采用链路聚合，合并为一个VLAN,在分区内部根据不同级别的应用再进一步分配。VLAN分配主要考虑互联VLAN和主机。4.3.3 路由规划汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时，建议将汇聚层75的相关接口划分在一个OSPFSTUB区域中，以免数据中心中收到过多的LSA。各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同，并且可预知。生产核心区外连核心区的2条链路的进行链路捆绑，在路由计算上，只有一条路径，但是该路径包含2个万兆端口，提供物理层面的冗余。4.4 广域网接入区规划（分行接入）广域网接入区主要连接与各省市分行，市内各区县支行，分理处等的上联网络设备，该区使用两台SR6608核心路由器作为广域网的接