银行网络数据中心设计方案.docx
《银行网络数据中心设计方案.docx》由会员分享,可在线阅读,更多相关《银行网络数据中心设计方案.docx(92页珍藏版)》请在冰豆网上搜索。
银行网络数据中心设计方案
银行网络数据中心设计方案
XX银行全国数据集中工程
第1章前言
上海数据中心工程是XX银行数据大集中项目的重要组成局部,将作为全国消费中心投入运转。
消费数据中心的建成将为提高XX银行的运营管理决策水平和风险控制才干打下坚实的基础,并支持提升中国XX银行全体的效劳水平和信息化效劳质量。
华为3Com公司深入看法到数据中心树立关于大集中项目以及中国XX银行开展的重要性,针对数据中心承载多种业务运用的特点,依照高牢靠、高平安和先进性的原那么对网络全体结构和各个功用分区停止了详细的网络方案设计。
为用户提供最完善的效劳是华为3Com技术的一向宗旨,有关本方案的一切效果,欢迎用户在随时垂询。
第2章
概述
针对上海数据消费中心动摇、牢靠、高效运转的要求,本方案以高牢靠性,高平安性和先进性为原那么停止了重点设计。
全体结构上,依据上海数据中心承载多种业务功用的特点,依据一致性,开放性,易扩展和可管理的特性要求,经过模块化层次化的构筑方法,以高牢靠、高速率的交流结构为中心,衔接消费区,外联区,接入区和MIS区等功用分区,并针对各个功用不同的业务运用需求和平安要求停止了针对性设计。
在本项目设备建议中,我们引荐了先进的QuidwayS8500系列万兆中心路由交流机作为平台构架的主要设备,经过高效的万兆交流技术完成主干网络的高功用互联,同时,其平安联动、片面的业务支持以及电信级的高牢靠特性,更保证本网络具有了有弱小的业务支撑和功用扩展才干,可以满足上海数据中心未来3-5年的开展需求。
第3章
网络设计原那么
高可用性
网络架构和设备均支持业务系统对效劳级别高牢靠性的要求,在网络分层部署的架构和设备体系选择以及相关配置上均充沛依照高可用的系统设计。
高平安性
依照平面的平安体系停止设计,散布式部署,使网络具有一致的平安,支持全网的平安联动。
先进性
网络设备支持先进的高功用体系架构,支持高带宽的数据传输。
一致性
数据中心局域网是基于大集中〝一个全体〞基础上思索。
全网采用一致的架构、战略部署,QoS分类和设备形状,保证全网的可维护性。
开放性
本方案网络树立片面遵照业界规范,所引荐采用的设备、技术在互通性和互操作性上,可以支持本网络系统的快速布署。
第4章总体架构设计
4.1结构设计
4.1.1结构设计谋略
依照数据中心的结构,本方案采用以下战略设计
1、高牢靠的设计思想融合在结构设计、路由设计、运用效劳设计的各个层面;
2、针对业务网络运用需务实施全模块化分区设计;
3、依照任务重点和结构分工的整网三层体系结构;
4.1.2分区模块设计
网络依照业务运用需求,划分以下主要功用区:
●消费区
●MIS区
●消费外联区
●广域接入区
●运转管理区
●OA接入控制区
各个区以扩展模块的方式区分衔接到数据中心高牢靠的中心交流网络。
4.1.3分层设计
依照网络中心,会聚和接入的模型对数据中心以及之内的每一个功用区域依照层次化结构模型停止划分:
中心层
构成整个数据中心消费局域网的高速交流中心,为各个功用分区提供高牢靠高动摇和支持快速愈合的第三层接入效劳。
在中心层设计以高牢靠,高速交流为主要原那么;
会聚层
各个功用分区的交流中心是组成整个消费中心局域网的会聚层。
会聚层提供各个分区外部接入层的会聚,作为各个分区的对外接入,集中完成接入控制和平安控制;
接入层
在各个分区主机和效劳器的接入,具有高密度的接入才干。
支持基于主机端口的访问控制,并针对接入的数据流停止标志任务,便于传输进程中逐级完成针对流量的QoS控制战略。
4.1.4物理部署设计
上海数据中心的中心网络主要散布在上海园区的E2楼的各层,因此网络将依照就近接入的原那么将各个功用区网络设备与运用主机就近放置散布在各个楼层。
网络的交流中心、广域接入区等没有主机接入的功用区域放置于网络机房。
4.2上海全国数据中心局域网拓朴
在数据中心的实践部署中,针对数据中心模型进一步细分各个功用分区。
消费区触及到的运用系统较多包括中心业务以及各种总行级的业务系统。
中心业务系统放置于IBMS/390上,经过在S/390上划分多个分区来完成中心业务相关的不同功用。
思索到中心业务系统属于银行全部业务中心,属于数据中心的重中之重,同时S/390的操作方式与其他开放平台不分歧,因此物理上将消费区设置为中心业务消费区和开放平台消费区2个分区接入到中心层。
测试区依据测试需求尽量与消费网络完成完全分别,依据实践需求确定能否需接入到中心层。
消费外联区包括网上银行的Internet外联以及和协作同伴的Extranet外联两种方式,在网络结构上和平安部署上有很大不同,因此在实践部署中区分设置2个接入区域衔接到中心交流区。
广域接入区
设置一个独自的物理分区,提供各个一级分行的流量接入和会聚。
灾备接入区
设置一个独自的物理分区,部署与北京灾备中心的衔接和灾备战略的部署。
MIS效劳区
设置一个独自的物理分区,提供MIS业务运用的效劳。
运转管理区
设置一个独自的物理分区,提供数据中心和全网的管理和监控。
4.3网络中心层
网络中心层由4台万兆交流机构成,经过万兆完成各个功用分区的接入,同时4台交流机之间采用双万兆捆绑的方式完成高速互联。
为了保证经过中心网络的流量和途径可控,并提高缺点切换的效率,对各个功用分区完成三层接入的方式。
为了保证各个功用分区的高牢靠性,与各个功用分区的会聚交流机采用双星型的结构衔接。
4.4消费区
消费区将接入数据中心中心消费系统和局部消费系统前置;
消费区中心业务平台:
由2台会聚层交流机和2台接入层交流机构成,接入层交接机衔接S/390主机系统平台。
消费区开放平台:
由2台会聚层交流机和4台接入层交流机构成,接入层交接机衔接开放平台。
衔接方式:
四台接入层交流设备经过四条千兆线路上联到会聚层,两台会聚层设备之间经过两条冗余的千兆线路完成互连,同时,各自经过两条千兆冗余线路区分下行到两台中心交流层交流机。
4.5
运转管理区
运转管理区是消费中心主要的人员操作区,主要以各种管理配置平台为主。
运转管理区:
由2台会聚层交流机和2台接入层交流机构成,接入层交接机衔接各类业务、网络、配置管理系统;
衔接方式:
两台接入层交流设备经过双千兆线路上联到会聚层,两台会聚层设备之间经过两条冗余的千兆线路完成互连,同时,各自经过两条千兆冗余线路区分下行到两台中心交流层交流机。
4.6MIS区
MIS区将接入数据中心MIS处置主机系统,主要以开放平台为主。
MIS系统平台:
由2台会聚层交流机和4台接入层交流机〔两层结构、分为外联接入交流机与内联接入交流机〕构成,接入层交接机衔接各MIS系统平台;
衔接方式:
两台接入层交流设备经过双万兆线路上联到会聚层,两台会聚层设备之间经过两条冗余的千兆线路完成互连,同时,各自经过两条千兆冗余线路区分下行到两台中心交流层交流机。
4.7广域接入区
广域接入提供各个下联一级分行的接入,同时支持在接入边界部署平安控制战略。
广域接入平台:
由2台会聚层交流机构成,直接接入路由设备。
衔接方式:
会聚层设备之间经过两条冗余的千兆线路完成互连,同时,各自经过两条千兆冗余线路区分下行到两台中心交流层交流机。
在会聚交流机侧支持部署防火墙和入侵检测设备,采用访问控制和平安联动相结合的方式对接入流量停止平安防护。
〔关于平安联动的详细引见请参阅第十一章:
网络平安相关内容〕
4.8OA接入控制区
OA接入控制区是消费区和OA用户及OA效劳器所在功用区的隔离区,OA用户经过此区访问消费的相关资源。
OA接入控制区:
由2台会聚层交流机构成。
在会聚交流机对外互连处部署防火墙和入侵检测设备,采用访问控制和平安联动相结合的方式对流量停止平安防护。
衔接方式:
会聚层设备之间经过两条冗余的千兆线路完成互连,同时,各自经过两条千兆冗余线路区分下行到两台中心交流层交流机。
4.9消费外联
消费外联区主要分为两大局部:
网银Internet接入区域、协作同伴接入区域,两大区域树立一致的会聚层交流机,依照两大区域对平安级别的要求的不同,区分设置多层DMZ区域。
在协作同伴接入区域提供和各个金融效劳机构,金融监管机构和金融市场的接入,会部署少量的外联前置系统,采用防火墙完成隔离,在DMZ区部署外联前置效劳器。
协作同伴接入区域接入平台:
由2台DMZ区接入交流机构成。
在外联网接入和DMZ与会聚层衔接处部署高可用防火墙,并部署IDS设备完成平安联动。
衔接方式:
会聚层设备之间经过两条冗余的千兆线路完成互连,同时,各自经过两条千兆冗余线路区分下行到两台中心交流层交流机。
网银互联网接入局部主要面向互联网的客户提供效劳以及局部数据交流,网上银行作为主要特征运用会部署在此区域。
此区域会有少量的互联网效劳器如Web运用,DNS效劳器等,同时还有少量的客户效劳和运用途理效劳器。
思索到Internet接入需求更高的平安因此将效劳器区分部署在DMZ区和扩展DMZ区,并采用三层防火墙停止隔离,同时部署相应的IDS设备。
网银互联网接入平台:
由2台会聚层交流机和4台DMZ接入交流机构成。
并配置6台防火墙完成各个区之间的平安隔离。
4.10设备选型引荐
针对数据中心树立的一致性原那么,针对数据中心尽量采用相反的设备停止配置,从而保证数据中心全体的易维护和易扩展。
针对数据中心少量效劳器采用千兆接入,要求高效传输的特点,在主干层和会聚层间,以及局部会聚和接入层间采用万兆衔接,增加千兆捆绑带来的复杂配置,同时支持业务未来3-5年的快速增长。
关于消费外联区,思索到需求有少量的防火墙隔离,受制于外联广域网的限制,接入层和会聚层之间采用千兆衔接。
针对上述剖析数据中心在设备级的要求如下:
●电信级牢靠性网络设备99.999%,支持热切换,热补丁
●采用万兆技术,支持高密度万兆衔接
●支持平安联动
●有效抵御网络资源消耗型病毒攻击〔例如DOS/REDCODE等〕
●全散布式线速处置
●支持多业务的深度感知
●支持MPLSVPN和IPV6功用扩展
●支持外置冗余电源
●大容量冗余交流背板结构
●单机具有高扩展才干
针对上述剖析本项目的设备选型引荐列表如下:
数据中心中心交流机
QuidwayS8512
数据中心会聚层交流机
QuidwayS8512
运维管理区接入交流机
QuidwayS8512
其他功用区的接入交流机
QuidwayS8512
中端路由器
QuidwayAR28-80
网元管理系统
QuidviewDMG,CAMS(AAA),SUN/NT效劳器
设备数量配置如下:
称号
设备配置状况
1、中心交流区
中心层:
4台S8512
2、主机消费区
会聚:
2台S8512,接入:
2台S8512
3、开放消费区
会聚:
2台S8512,接入:
4台S8512
4、MIS效劳区
会聚:
2台S8512,接入:
2台S8512
5、运维管理区
会聚:
2台S8512,接入:
10台S8512
6、外联区(仅协作同伴接入区)
会聚:
2台S8512,接入:
2台S8512
7、广域网接入区
会聚:
2台S8512,接入:
4台S8512
8、OA接入控制区
会聚:
2台S8512
9、网元管理
QuidviewDMG,CAMS(AAA),SUN/NT效劳器
10、基金国债业务接入路由器
两台AR46-80
4.10.1S8500简介
Quidway®S8500系列万兆中心路由交流机
Quidway®S8500系列万兆中心交流机是由华为3Com公司自主开发的新一代高功用万兆中心路由交流机产品,可普遍运用于电子政务网中心层、校园网及教育城域网中心层、园区网和企业网中心层以及运营商IP城域网中心层、会聚层。
Quidway®S8500系列基于新一代中心交流机的设计理念,具有大容量高功用、可扩展才干强和业务与功用兼具的特点。
Quidway®S8500系列支持新一代高功用万兆接口,可以为城域网、园区网、数据中心提供超高速链路,构建端到端以太网络,打造低本钱、高功用、具有丰厚业务支持才干的高功用网络。
Quidway®S8500提供大容量、高密度、模块化的二、三层线速转发功用,内置微弱的全散布式业务处置引擎,以全线速处置二层、三层、MPLSVPN、组播等各种业务流量,提供完善的QoS保证、平安管理机制和电信级的高牢靠设计,满足大型IP网络对多业务、高牢靠、大容量、模块化的需求。
产品特点
1)先进的体系结构
Quidway®S8500系列产品采用全散布式体系结构设计,采用功用弱小的ASIC芯片停止高速路由查找,并经过Crossbar技术停止高速报文交流,从而大大提升了路由交流机的转发功用和扩大才干。
Crossbar交流网芯片内置于主控板,不独自占用设备槽位,可提供高达720Gbps的交流容量,并可平滑晋级到1.44Tbps的交流容量。
接口板经过多条高速总线区分连到两块主控板上的Crossbar交流网,从而完成真正的双主控、双交流网的热备份,极大的提高了系统的牢靠性。
Quidway®S8500系列产品采用高功用的最长婚配、逐包转发的方式,在坚持线速功用和低本钱的基础上,革命性的处置了传统交流机流Cache准确婚配转发的致命缺陷,可以有效的抗击网络〝白色代码〞、〝冲击波〞等病毒的攻击,愈加适宜大规模、多业务,复杂流量访问的网络。
2)大容量、高密度线速交流
Quidway®S8500系列产品目前最高可以提供720Gbps交流容量/428Mpps包转发才干,并可平滑晋级到1.44Tbps交流容量、857Mpps转发才干。
支持各种高密度业务板和组合业务板,零件可支持高达576个千兆端口的同时线速转发,满足中心层设备大容量、高密度的要求。
3)弱小的业务支撑才干
Quidway®S8500支持MPLSVPN业务;支持丰厚的组播协议〔IGMP、IGMPSNOOPING,PIM-SM、PIM-DM和MSDP/MBGP等〕;支持WebSwitch〔硬件支持〕、NAT〔硬件支持〕,内置防火墙〔硬件支持〕、IDS;支持POS/ATM、RPR等接口。
4)新一代万兆接口支持
Quidway®S8500系列产品提供的新一代万兆以太网克制了早期万兆以太网的诸多局限,在线速转发的基础上可以提供弱小的QoS保证,并支持丰厚的ACL、战略路由、平安等特性。
Quidway®S8500的新一代万兆以太网不只在接口密度上到达2端口/线卡〔后续可扩展至4端口/线卡〕,并且可以支持线速的MPLS转发,可以提供更好的IPVPN业务和透明的LAN效劳,真正完成功用与功用的完美一致。
Quidway®S8500系列产品除了提供规范的LAN接口,还可以提供运用波分复用技术的10GBASE-LX4接口,从而大大提高了用户组网的灵敏性。
5)MPLS/IPv6散布式线速支持
Quidway®S8500系列产品遵照业务与功用偏重的设计理念。
一方面带宽和网络规模的增长推进中心路由交流机的功用容量不时提升,另一方面业务的开展要求中心交流机愈加智能化并具有更强的业务提供才干。
Quidway®S8500系列产品采用功用弱小的ASIC芯片完成MPLS、IPv6的散布式线速转发,并可以基于高功用NP完成线速NAT、WebSwitch等增值业务,在为用户提供片面的有保证业务的同时,也做到依据需求业务可扩充。
6)完善的QoS机制
Quidway®S8500系列产品提供了灵敏的队列调度算法,可以同时基于端口和队列停止设置,支持SP、WRR、SP+WRR三种形式;支持8个优先级队列,3个丢弃优先级;支持WRED拥塞防止算法和端口流量整形。
支持带宽控制功用,流量限速的粒度为8Kbit/s,满足精品宽带网络的要求。
7)电信级牢靠性设计:
Quidway®S8500系列产品系统采用散布式结构,支持双主控交流板,无源背板设计,一切单板支持热插拔;电源系统交流/直流可选,采用1+1冗余热备份,并支持双路电源输入;支持STP/RSTP/MSTP协议和VRRP协议,可以满足苛刻的电信级网络牢靠性要求,系统牢靠性到达:
99.999%。
8)完善的平安机制:
Quidway®S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备平安,支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证;支持URPF〔单播反向途径反省〕;采用802.1x方式对接入用户停止认证,支持平安的SNMPv3的网管协议、支持配置平安,对登录用户停止认证,不同级别的用户有不同的配置权限,并提供两种用户认证方式:
本地认证和RADIUS认证。
Quidway®S8500系列产品经过灵敏的MAC、IP、VLAN、PORT恣意组合绑定,有效的防止合法用户访问网络。
支持多种ACL访问控制战略,可以对用户访问网络资源的权限停止设置,保证网络的受控访问。
Quidway®S8500系列产品还支持规范Radius协议,同时提供Radius+功用,以及HCBM™〔华为可控组播管理协议〕功用支持。
基于硬件支持的内置防火墙/IDS功用为中心交流设备平安组网提供了多样化的选择,简化了网络层次,提高了整网功用。
产品规格
属性
S8505
S8508
S8512
体系结构
一体化机箱,可装置于19英寸机架内
外形尺寸〔MM〕
宽×深×高
436x450x486
436x450x619
436x450x753
满配置重量〔Kg〕
65
80
100
交流容量
XRCoreEngine™I300G
XRCoreEngine™II600G
XRCoreEngine™I480G
XRCoreEngine™II960G
XRCoreEngine™I720G
XRCoreEngine™II1.44T
背板容量
750Gbps〔可扩展至1.5T〕
1.2Tbps〔可扩展至2.4T〕
1.8Tbps〔可扩展至3.6T〕
包转发率
XRCoreEngine™I178Mpps
XRCoreEngine™II357Mpps
XRCoreEngine™I285Mpps
XRCoreEngine™II571Mpps
XRCoreEngine™I428Mpps
XRCoreEngine™II857Mpps
槽位数量
7
10
14
业务单板槽位数量
5
8
12
二层功用
4KVLAN
支持802.1q优先级
生成树协议:
STP/RSTP/MSTP
支持静态VLAN注册协议〔GVRP〕
支持端口捆绑
支持端口镜像
支持广播风暴抑制
支持Jumbo帧
兼容Ethernet_II/Ethernet_SNAP/IEEE802.2/IEEE802.3
MDI/MDI-X自顺应
三层功用
ARPProxy〔SuperVLAN〕
提供丰厚的路由协议:
RIP、OSPF、IS-IS、BGP4
支持256K最长婚配路由转宣布
支持路由负载分担
支持散布式战略路由
支持URPF〔单播反向途径反省〕
支持VRRP
支持DHCP-RELAY
组播
二层组播协议:
GMRP、IGMPSnooping
三层组播协议:
IGMP、PIM-DM、PIM-SM、MSDP/MBGP
支持可控组播业务
NAT
支持NAT中NAPT形式
支持私有地址和私有地址的混合组网NAT转换
支持ICMP、FTP的等ALG
平安功用,防止DOS攻击对NAT模块资源的过度运用
支持NAT板间的负荷分担和备份功用
WebSwitch
具有L3/L4层的线速交流
基于L4层的PBR及其他功用:
如效劳器负载平衡、防火墙负载平衡、WebCache高速缓存重定向等功用
MPLSVPN
支持二层MPLSVPN
支持三层MPLSVPN
支持QinQ
支持PE和P功用
MPLS标签空间:
128K
MPLS标签栈深度:
4级
QoS
可基于物理端口、VLAN、源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP端口、协议号等停止报文分类和过滤
支持带宽控制,带宽控制粒度为1Kbit/s
优先级队列调度:
每端口支持8个优先级队列,3个丢弃优先级,支持SP、WRR、SP+WRR三种队列调度算法
支持WRED拥塞防止算法
支持流量整形
支持802.1P,DSCP/TOS优先级和重新标志才干
支持基于时间段的流分类和QoS控制才干
网络平安特性
支持IP+MAC+PORT恣意组合的绑定
支持合法帧报文过滤
支持IEEE802.1X认证
用户分级管理和口令维护
支持端口隔离
支持SSH
支持SNMPv3网管
牢靠性
MTBF:
>128,400小时
MTTR:
<0.5小时
双主控
支持双路电源供电
支持热插拔
环境要求
温度范围:
0℃~40℃
相对湿度:
10%~90%〔非凝结〕
电源要求
DC:
输入电压:
-48V~-60V
AC:
输入电压:
100V~240V
最大输入功率:
1200W〔S8505〕、2000W〔S8508/S8512〕
4.10.2AR28-80简介
Quidway®AR28-40、AR28-80模块化中心路由器是华为3Com公司Quidway®AR系列路由器中面向企业用户的网络产品,采用32位的微处置器技术,运用VRP〔通用路由平台〕,提供了极端丰厚的软件特性,支持哑终端接入效劳器和金融POS接入功用,支持SNA/DLSw、VoIP特性等,提供丰厚的备份方案及QoS特性;硬件采用模块化结构,具有更高的处置才干和更大的接入密度,具有MPLSVPN功用、DVPN功用、可平滑晋级支持IPv6契合未来IP技术的开展潮流。
Quidway®AR28-40、AR28-80既适宜于在中小型企业网中担当中心路由器,也可以在大型网络中担当会聚层路由器。
Quidway®AR28-40路由器外观图
Quidway®AR28-80路由器外观图
产品功用特性:
◆VRP操作平台:
华为3Com在成熟的VRP软件平台的基础上,结合AR28系列的硬件体系结构和软件业务要求,度身定做的的AR28系列的软件体系,完全承袭了VRP平台的动摇性、成熟性和牢靠性,所提供的软件业务均为VRP平台的成熟特性,同时可以随着VRP平台的不时开展同步提供新的特性。
◆VPN处置方案:
支持L2TPVPN、GREVPN、IPSecVPN、SSLVPN、MPLSL3VPN,MPLSL2VPN、华为静态VPN等多种VPN业务。
◆网络平安:
登录用户认证、RADIUS/HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持〔对接口/时间段/MAC地址的过滤〕、CA认证〔数字证书〕、高功用NAT。
◆互连协议:
以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头紧缩、MP、ISDN、PPPoEClient、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP树立二层隧道、GRE树立三层隧道、IPSEC树立三层隧道、xDSL宽带接入。
◆网络协议:
DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、战略路由、组播、路由负载分担、