XX银行数据中心网络实施方案.docx
《XX银行数据中心网络实施方案.docx》由会员分享,可在线阅读,更多相关《XX银行数据中心网络实施方案.docx(37页珍藏版)》请在冰豆网上搜索。
XX银行数据中心网络实施方案
XX银行
新建数据中心和迁移方案
1概述
1.1文档目的
本实施方案的主要目的是结合XX银行的网络现状,对核心网络、路由协议进行改造,同时对网络设备配置进行优化,指导后期针对这几部分网络实施工作。
1.2适应范围及背景
本文档的适用地域是XX银行科技部门。
适用人员包括XX银行的网络管理、运行维护人员,系统集成商网络工程师等。
由于实施工作是直接在现有生产系统上实施,涉及到对现有的核心设备等较大规模的调整。
因此,迁移前充分作好技术分析、软硬件资源、规范流程、应急处理方案准备工作,为了便于参与迁移的各方面人员分工协作,保证迁移工作的优质高效的完成,我们编写了这本《XX银行网络项目实施方案》。
1.3项目概述
随着XX银行信息化建设的发展,更多的业务在网上的开展,关键数据也越来越多,各类业务系统对网络的依赖程度也越来越大,一旦网络系统出现故障,将造成很大的影响。
为了确保XX银行内联网系统的稳定,XX银行拟对目前XX银行核心内联网进行相应的改造,提高网络的可用性和容错性,更好的满足业务的发展和需求。
此次改造项目主要是针对XX银行的核心局域网、同城备份中心、现有分支行等进行改造。
2搬迁前的准备
2.1现有数据中心规划和变更
2.1.1地址现状和规划
2.1.1.1业务IP地址现状表
功能区域
IP地址
说明
服务器
166.10.4.0/24
32.74.128.0/24
32.74.7.0/24
32.74.135.0/24
166.10.17.0/24
XX同城网点
32.74.64~85.0/25
支行生产
32.74.120.0~122.176/28
支行公用
32.74.96.0~102.128/27
分理处生产
32.74.124.0~127.64/28
分理处公用
已建异地网点
132.74~80.32.0/26
132.74~80.160.0/26
132.174.7.0/24
132.174.32.0/24
132.174.135.0/24
其它
2.1.1.2业务IP地址规划表
数据中心业务系统地址规划如下所示:
功能区域
VLAN规划
业务整体规划地址段
主备中心分配地址范围
说明
生产业务区-第三方
VLAN2
保持不变
生产业务区-核心生产
生产业务区-管理区
VLAN8
boot地址分配164.10.8.0/22
standby地址分配165.10.8.0/22
带外管理地址段:
163.10.8.0/22
与Service地址一一对应
Gateway:
166.10.8.1
(166.10.8.2作为主中心GW,166.10.8.3作为备中心GW,VRRPVIP为166.10.8.1,预留到166.10.8.15)
前置业务区
VLAN17
保持不变
外围业务区(中间业务)
NA
boot地址分配164.11.0.0/22
standby地址分配165.11.0.0/22
带外管理地址段:
163.11.0.0/22
与Service地址一一对应
Gateway:
166.11.0.1
(166.11.0.2作为主中心GW,166.11.0.3作为备中心GW,VRRPVIP为166.11.0.1,预留到166.11.0.15)
网银区(预留,一期不改变)
手机银行/电话银行区
NA
boot地址分配164.11.4.0/22
standby地址分配165.11.4.0/22
带外管理地址段:
163.11.4.0/22
与Service地址一一对应
Gateway:
166.11.4.1
(166.11.4.2作为主中心GW,166.11.4.3作为备中心GW,VRRPVIP为166.11.4.1,预留到166.11.4.15)
OA办公区
VLAN20
boot地址分配164.11.8.0/22
standby地址分配165.11.8.0/22
带外管理地址段:
163.11.8.0/22
与Service地址一一对应
Gateway:
166.11.8.1
(166.11.8.2作为主中心GW,166.11.8.3作为备中心GW,VRRPVIP为166.11.8.1,预留到166.11.8.15)
运行管理区
VLAN21
boot地址分配164.11.12.0/22
standby地址分配165.11.12.0/22
带外管理地址段:
163.11.12.0/22
与Service地址一一对应
Gateway:
166.11.12.1
(166.11.12.2作为主中心GW,166.11.12.3作为备中心GW,VRRPVIP为166.11.12.1,预留到166.11.12.15)
开发测试上线准备区--开发
VLAN22
boot地址分配164.11.16.0/22
standby地址分配165.11.16.0/22
带外管理地址段:
163.11.16.0/22
与Service地址一一对应
Gateway:
166.11.16.1
(166.11.16.2作为主中心GW,166.11.16.3作为备中心GW,VRRPVIP为166.11.16.1,预留到166.11.16.15)
开发测试上线准备区--测试
VLAN23
boot地址分配164.11.20.0/22
standby地址分配165.11.20.0/22
带外管理地址段:
163.11.20.0/22
与Service地址一一对应
Gateway:
166.11.20.1
(166.11.20.2作为主中心GW,166.11.20.3作为备中心GW,VRRPVIP为166.11.20.1,预留到166.11.20.15)
开发测试上线准备区--上线准备
VLAN24
boot地址分配164.11.24.0/22
standby地址分配165.11.24.0/22
带外管理地址段:
163.11.24.0/22
与Service地址一一对应
Gateway:
166.11.24.1
(166.11.24.2作为主中心GW,166.11.24.3作为备中心GW,VRRPVIP为166.11.24.1,预留到166.11.24.15)
数据中心备用区域
VLAN25
boot地址分配164.11.28.0/22
standby地址分配165.11.28.0/22
带外管理地址段:
163.11.28.0/22
与Service地址一一对应
Gateway:
166.11.28.1
(166.11.28.2作为主中心GW,166.11.28.3作为备中心GW,VRRPVIP为166.11.28.1,预留到166.11.28.15)
主备数据中心互联和loopback、广域网互联地址段
NA
主备容灾DC中心内部和广域网的互联地址段
2.1.1.3分支行IP地址规划示例
新增分支行的地址规划如下所示:
新增分支行
(n表示分行ID号,m表示支行ID号)
最多支持256家分行,每家分行支持251家支行
33.n.0.0/16
33.n.255.0/24作为分行内部互联地址;
33.n.254.0/24作为分支行广域网互联地址;
各个支行内部互联地址为33.n.m.0/24(m从1-251)
每个分行预留1个B作为互联地址段
每个下属支行占用/24作为互联
34.n.0.0/16
34.n.252.0/22作为分行内部生产业务地址;
各个支行内部生产业务地址为34.n.m.0/24(m从1-251)
每个分行预留1个B作为生产地址段
每个下属支行占用/24作为生产(最多251家支行)
35.n.0.0/16
35.n.252.0/22作为分行内部公用业务地址;
各个支行内部公用业务地址为35.n.m.0/24(m从1-251)
每个分行预留1个B作为公用地址段
每个下属支行占用/24作为公用(最多251家支行)
36.n.0.0/16
36.n.252.0/22作为分行内部新增业务1地址;
各个支行内部新增业务1地址为36.n.m.0/24(m从1-251)
分行新增业务1
37.n.0.0/16
37.n.252.0/22作为分行内部新增业务2地址;
各个支行内部新增业务2地址为37.n.m.0/24(m从1-251)
分行新增业务2
采用这种分配方案的优势:
1,通过地址段的首位即可识别业务类型;
2,地址段的第二位与分行ID号一致,第三位与支行ID号一致,便于识别;
3,可以实现以分行为单位的地址汇总,每个支行最多4条路由,在分行实现路由汇总后,每个分行发往数据中心最多也只有4条路由;
4,为今后的分支行扩展留有足够的余地,按照每个分行每种业务1个B计算,可建设256家分行;每个分行可支持251家支行;
5,为今后的业务扩展留有足够的余地,新增业务可以随时启用新的地址段首位,对现有地址规划没有任何影响。
假设山东分行尚未建设,而山东省已经开始建设青岛支行,则仍然按照青岛支行的规划为其分配地址,确保今后划归到山东分行后,地址无需做变更。
2.2新建主备数据中心搭建
2.2.1整体结构
新建数据中心将按照以下的模型进行区域划分,整体结构如下所示:
区域划分如下:
●数据中心核心交换区,通过两台EX8208作为整个数据中心的核心交换设备,提供高密度千兆/万兆接口,提供各个分区之间的高速交换通道;
●前置业务区
●生产业务区,包括:
⏹核心生产和第三方业务
⏹生产管理
●运维管理区
●开发测试上线区,包括:
⏹业务开发
⏹业务测试
⏹上线测试准备
●OA办公区
●中间业务区(外联业务)
●广域网区
●网银接入区
●办公大楼接入区,包括:
⏹办公内网
⏹办公外网
各个区域均通过防火墙连接到核心交换区,实现相互之间基于防火墙安全策略的受控互访。
2.2.2数据中心核心设计
新建数据中心包括同城的主备两个数据中心,在目前备份数据中心机房还没有具备的情况下,我们建议在新大楼数据中心机房中按照以下的方式规划主备数据中心网络架构,为今后构建准备数据中心做准备。
1.在主数据中心,建议部署两台EX8208核心交换机,通过VirtualChassis技术虚拟化成一台逻辑交换机,作为整个主用数据中心各个区域的核心交换设备,通过GE或者10GE链路连接至数据中心各个功能区域;
2.在主数据中心,部署两台M10i核心路由器,作为下联分支行的骨干路由器,通过CPOS接口提供E1线路连接;每台M10i路由器分别通过2*GE链路连接到EX8208核心交换机;
3.为备份数据中心部署两台EX4500核心交换机,通过VirtualChassis技术虚拟化成一台逻辑交换机,作为整个备用数据中心各个区域的核心交换设备,通过GE或者10GE链路连接至数据中心各个功能区域;
4.为备数据中心部署一台M10i核心路由器,作为下联分支行的骨干路由器,通过GE接口提供MSTP线路连接;M10i路由器通过2*GE链路连接到EX4500核心交换机;
5.主备数据中心核心设备之间建议通过交换机或者DWDM设备,并租用两条不同运营商裸光纤实现互联。
在部署初期,可以考虑采用交换机实现数据中心之间的互联,构建数据中心之间的传输通道,两条互联的裸光纤可以通过portchannl实现线路捆绑,这样在满足主备数据中心之间二层互通需求的前提下,不会产生二层环路的问题。
2.2.3核心业务区详细设计
核心业务部分包括了前置业务区和生产业务区,而生产业务区中还分为核心生产区、第三方区和生产管理区。
建议按照以下架构部署:
●网络核心的两台EX8208高性能数据中心交换机通过XRE引擎构建VirtualChassis,实现双机虚拟化一台独立的逻辑设备。
EX8208之间通过2条10GE线路LAG实现相互之间的互联;
●为核心业务区部署两台SRX3400防火墙,通过JSRP协议构建成一个Cluster,形成高可靠的双机HA架构。
SRX3400通过2条10GE链路实现与核心EX8208之间的高带宽互联;
●为不同的业务区域分别部署EX4200交换机,并通过VirtualChassis技术实现虚拟化:
⏹前置业务区,部署两台EX4200构成一个VC;
⏹核心生产区和第三方区,部署四台EX4200构成一个VC;
⏹生产管理区,部署两台EX4200构成一个VC;
⏹同一个VC内部的服务器之间的数据流量通过交换机间128G的高速背板转发;
⏹由于VC可以支持跨交换机的端口捆绑功能,因此一个VC内部的服务器可通过双网卡主/备或者port-channel的方式连接到不同交换模块的端口,从而有效提高服务器接入部分的可靠性;
●每个区域的EX4200VC分别通过2条10GE线路连接到SRX3400防火墙上,通过防火墙实现各个业务区域之间、业务区域到核心交换机之间的基于安全策略的受控互访功能;
2.2.4运营管理/上线测试区部署模式
●为运营管理/上线测试业务区部署两台SRX650防火墙,通过JSRP协议构建成一个Cluster,形成高可靠的双机HA架构。
SRX650通过2条10GE链路实现与核心EX8208之间的高带宽互联;
●为不同的业务区域分别部署EX4200交换机,并通过VirtualChassis技术实现虚拟化:
⏹运营管理区,部署两台EX4200构成一个VC;
⏹业务开发区,部署四台EX4200构成一个VC;
⏹业务测试区,部署两台EX4200构成一个VC;
⏹上线准备去,部署两台EX4200构成一个VC;
⏹同一个VC内部的服务器之间的数据流量通过交换机间128G的高速背板转发;
●每个区域的EX4200VC分别通过2条1GE线路连接到SRX650防火墙上,通过防火墙实现各个业务区域之间、业务区域到核心交换机之间的基于安全策略的受控互访功能;
2.2.5OA办公区部署模式
●为OA办公区部署两台SRX3400防火墙,通过JSRP协议构建成一个Cluster,形成高可靠的双机HA架构。
SRX3400通过2条10GE链路实现与核心EX8208之间的高带宽互联;
●为OA办公区域部署两台EX4200交换机,并通过VirtualChassis技术实现虚拟化:
VC内部的服务器之间的数据流量通过交换机间128G的高速背板转发;
●EX4200VC分别通过2条10GE线路连接到SRX3400防火墙上,通过防火墙实现OA办公区域到核心交换机之间的基于安全策略的受控互访功能;
2.2.6办公大楼接入区部署模式
●为办公大楼接入区部署两台SRX650防火墙,通过JSRP协议构建成一个Cluster,形成高可靠的双机HA架构。
SRX6500通过2条10GE链路实现与核心EX8208之间的高带宽互联;
●为办公大楼内网核心部署两台EX4500交换机,并通过VirtualChassis技术实现虚拟化:
VC内部的服务器之间的数据流量通过交换机间128G的高速背板转发;在各个楼层分别部署EX2200接入层交换机,分别通过双千兆链路上行到核心的EX4500VC上;
●办公大楼内网EX4500VC分别通过2条10GE线路连接到SRX650防火墙上,通过防火墙实现办公大楼区域到核心交换机之间的基于安全策略的受控互访功能;
2.2.7中间业务区部署模式
中间业务区将利旧现有的外联路由器和防火墙,将现有的一台PIX防火墙和两台SSG550M防火墙分别通过1GE链路上联到核心EX8208交换机上。
与核心交换机之间通过静态路由实现相互之间的指向。
这里需要注意的是现有中间业务采用的166.10.4.0网段地址需要修改为新地址段166.11.0.0/22。
2.2.8网银接入区部署模式
网银接入区将利旧现有的外联交换机、IPS和两层防火墙设备,在新构建网络核心后,需要将内网的两台SSG550M防火墙分别通过1GE链路上联到核心EX8208交换机上。
与核心交换机之间通过静态路由实现相互之间的指向。
这里需要注意的是现有部分网银业务采用的166.10.4.0网段地址需要修改为新地址段166.11.4.0/22。
2.2.9广域网区部署模式
现有数据中心中采用了以下的广域网路由器:
●两台C7206,通过CPOS接口提供本地支行/分理处的E1线路接入;
●两台ASR1002,通过GE接口提供本地支行/分理处的MSTP线路接入;
●两台C3845和两台C2811,提供异地分支行的接入;
在新建数据中心,部署两台M10i路由器作为新的广域网汇聚路由器。
M10i路由器分别通过GE链路连接到核心的EX8208交换机上。
建议部署两台EX4200构成VC,用以扩展核心路由器上的端口,实现现有8台路由器汇聚后连接到M10i路由器。
而新增分支行,则分别通过E1和MSTP线路上联到核心的M10i路由器上。
2.2.10主数据中心设备地址规划
数据中心设备loopback地址规划如下:
数据中心设备
Loopback地址分配
掩码
主数据中心EX8208VC
166.254.254.1
/32
前置业务区EX4200VC
166.254.254.2
/32
核心生产EX4200VC
166.254.254.3
/32
第三方业务EX4200VC
166.254.254.4
/32
运维管理区EX4200VC
166.254.254.5
/32
开发EX4200VC
166.254.254.6
/32
测试EX4200VC
166.254.254.7
/32
上线准备EX4200VC
166.254.254.8
/32
OA办公EX4200VC
166.254.254.9
/32
广域网区M10i-01
166.254.254.10
/32
广域网区M10i-02
166.254.254.11
/32
广域网区EX4200VC
166.254.254.12
/32
核心业务防火墙SRX3400
166.254.254.13
/32
运维业务防火墙SRX650
166.254.254.14
/32
OA办公区防火墙SRX3400
166.254.254.15
/32
办公内网防火墙SRX650
166.254.254.16
/32
备数据中心
从166.254.254.128向后顺序分配
/32
主数据中心设备间互联地址规划如下:
数据中心互联地址
互联地址规划
主数据中心EX8208VC
核心业务防火墙SRX3400
166.254.1.0/29
运维业务防火墙SRX650
166.254.1.8/29
OA办公区防火墙SRX3400
166.254.1.16/29
中间业务区防火墙SSG550M
166.254.1.24/29
中间业务区防火墙PIX
166.254.1.32/29
广域网区M10i-01
166.254.1.40/29
广域网区M10i-02
166.254.1.48/29
办公内网防火墙SRX650
166.254.1.56/29
网银接入区防火墙SSG550M
166.254.1.64/29
前置业务区EX4200VC
核心业务防火墙SRX3400
166.254.1.72/29
核心生产EX4200VC
核心业务防火墙SRX3400
166.254.1.80/29
第三方业务EX4200VC
核心业务防火墙SRX3400
166.254.1.88/29
运维管理区EX4200VC
运维业务防火墙SRX650
166.254.1.96/29
开发EX4200VC
运维业务防火墙SRX650
166.254.1.104/29
测试EX4200VC
运维业务防火墙SRX650
166.254.1.112/29
上线准备EX4200VC
运维业务防火墙SRX650
166.254.1.120/29
OA办公EX4200VC
OA办公区防火墙SRX3400
166.254.1.128/29
广域网区M10i-01
主数据中心EX8208VC
166.254.1.144/29
广域网区M10i-02
166.254.1.152/29
各个新增分行
166.254.3.0,按照/30划分
广域网区M10i-02
主数据中心EX8208VC
166.254.1.136/29
广域网区M10i-01
166.254.1.152/29
各个新增分行
166.254.4.0,按照/30划分
广域网区EX4200VC
广域网区M10i-01
166.254.1.160/29
广域网区M10i-02
166.254.1.168/29
C7206-01
166.254.1.176/30
166.254.1.180/30
C7206-02
166.254.1.184/30
166.254.1.188/30
C1002-01
166.254.1.192/30
166.254.1.196/30
C1002-02
166.254.1.200/30
166.254.1.204/30
C3845-01
166.254.1.208/30
166.254.1.212/30
C3845-02
166.254.1.216/30
166.254.1.220/30
C2811-01
166.254.1.224/30
166.254.1.228/30
C2811-02
166.254.1.232/30
166.254.1.226/30
主备数据中心之间互联
166.254.1.240/29
主数据中心与现有数据中心之间互联(迁移时临时使用)
166.254.1.248/30
主数据中心与现有数据中心互联用EX4200与EX8200的互联网段(迁移时临时使用)
166.254.1.252/30
备数据中心
内部互联地址
166.254.2.0,按照/29顺序分配
到分支行互联地址
166.254.5.0,按照/30顺序分配
2.2.11路由规划设计
原有的数据中心和分支行均采用了EIGRP路由协议,考虑到今后的扩展性和兼容性,我们建议此次新建的主备数据中心、新大楼和今后新增分支行网点,均采用标准的OSPF路由协议。
全网的路由协议规划如下:
1.核心的主备数据中心均划分到OSPFArea0中,作为OSPF路由协议的骨干域;
2.以分行为单位,每个分行划分为一个独立的OSPFArea;新大楼也为其划分一个单独的Area;(可将area号与分行ID号进行关联);建议新增分行从ID10开始分配。
ID1-9预留给现有分行。
3.对于新增的托管支行,我们建议直接通过E1和MSTP线路连接到核心的M10i路由器上,分配的Area取决于其今后所归属的分行。
4.对于现有的XX本地支行,通过C7206和C1002接入的,均划分到OSPFArea1中;异地支行,通过C2811和C3845接入
升级会员 