银行网络建设方案详细.docx
- 文档编号:15892273
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:21
- 大小:835.20KB
银行网络建设方案详细.docx
《银行网络建设方案详细.docx》由会员分享,可在线阅读,更多相关《银行网络建设方案详细.docx(21页珍藏版)》请在冰点文库上搜索。
银行网络建设方案详细
网络建设方案
参考国外同行业的组网模型,按照标准化、模块化、结构的原则进行生产
中心的升级,改变现状生产中心过于扁平化、安全性低的现状,可以将生产中心
规划为:
核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、
办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。
在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安
全、高扩展和易管理。
Ø核心交换区:
为生产网络的各功能子区提供核心路由交换。
Ø生产核心区:
部署商行生产服务和生产小机。
Ø前置机服务器区:
连接各种业务前置机专用区域
Ø楼层接入区(迁移):
负责本地办公用户的接入。
Ø网银区(迁移):
部署网上银行业务的服务器。
ØDWDM 区:
连接生产中心和灾备中心的广域传输系统区域。
Ø广域网接入区:
部署下联各省市分行、各区县支行、分理处的骨干网路由器。
Ø中间业务外联区:
通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
Ø运行维护区:
部署网络和系统管理与维护的业务系统。
4.1 设计概述
4.1.1 东丽数据中心整体结构
东丽数据中心主要需要建立IP网络和存储网络。
在IP网络中,按业务功能和安全需要分
为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等)连接相应的主
机、服务器、pc机等设备,每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上;
每个网络区域部可以根据需要再分为不同的控制区域。
IP网络主要分为以下网络区域:
核心交换区、生产核心区、前置机服务器区、楼层接入
区、开发测试区、网银区、DWDM区、广域网接入区、中间业务外联区、运行维护区,如图:
4.1.2 VLAN 规划
在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用
对各自架构的QOS需求,再进一步将网络分区划分为逻辑组。
为了完成以上阐述的模块化架
构,需要在网络的第2层创建VLAN。
在不同分区之间互联点和分区部上行连接点上,都需
要创建VLAN。
4.1.3 路由设计
在数据部,交换核心区域和其他功能区域的汇聚交换机之间运行 OSPF 骨干区域 AREA
0,其他区域部分别运行 OSPF 和静态路由。
4.2 核心交换区设计
4.2.1 具体设计
在东丽数据中心中,核心交换区连接了其他不同的分区。
它也作为数据中心连接灾备
中心和广域网络的连接点。
核心区在数据中心架构中的作用是,尽可能快速地在网络之间实
现数据传输的路由和数据交换。
核心区主要部署两台高端交换机 S12508 交换机连接其他功能分区,提供 10G 和 GE 链
路的双归属连接。
两台核心交换器之间采取 Trunk 链路连接,启用 IRF 技术,将两条核心交
换机虚拟成一台。
核心区交换机连接到所有其他区的边缘设备,有两类连接连接到核心,一
类是来自核心生产业务(比如生产核心区, 前置机区)的连接,对该类应用提供高速访问服
务,采用万兆接口这两个区域的汇聚交换机。
另一类是其它业务。
每个区汇聚交换机/接入
交换机都上行连接到 Core-SW1 和 Core-SW2。
每个区交换机将使用单独的 VLAN,VLAN 跨越
两个交换机,上行到核心。
4.2.2 VLAN 划分
与每个子区域的互联接口可划分为同一 VLAN,将核心交换区域与各子域的互联链路进
行链路聚合。
如以下图所示:
4.2.3 路由规划
在 2 台 Core-SW1 和 Core-SW2 核心交换机和各区域的汇聚交换机连接端口上运行 OSPF
动态路由协议,所属的区域为 Area 0,这样各个网络分区系统都可以通过核心区域知道整个
网络系统的路由。
采用 IRF 技术后,可以大大简化网络中的路由设置,减少需要的互联路由网段,其中,
除网银与中间业务外联区外,其它区域的汇聚/接入交换机与核心之间的互联链路都进行聚
合,生产核心区和前置机区在各自区域的核心/接入交换机上启用三层功能,采用 OSPF 和核
心交换区之间进行互通,如以下图所示意:
4.3 生产核心区规划
4.3.1 拓扑
生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机;在该区域采用三
层架构,采用全千兆智能接入交换机 S5500EI 系列交换机提供小机与服务器的光口、电口接
入,每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机 S9508E 交换
机上,两条 S9508E 交换机互相之间采用双万兆链路聚合捆绑,启用 IRF 功能,将两台汇聚
交换机虚拟成一台交换机,每个 S9508E 各出一个万兆接口上联到数据中心核心交换机
S12508 上,上行的两条万兆链路启用链路捆绑功能,聚合成一条 20G 的物理链路。
4.3.2 VLAN 规划
上联到核心交换区的 VLAN 采用链路聚合,合并为一个 VLAN,在分区部根据不同级别
的应用再进一步分配。
VLAN 分配主要考虑互联 VLAN 和主机。
4.3.3 路由规划
汇聚层交换机与核心交换机间运行 OSPF 路由协议。
在设备间运行 OSPF 时,建议将汇
聚层 95 的相关接口划分在一个 OSPF-STUB 区域中,以免数据中心中收到过多的 LSA。
各个功能区与核心区通讯路径要保证双向一致性和确定性。
在任何链路状况下,通讯双
方的往返路径均相同,并且可预知。
生产核心区外连核心区的 2 条链路的进行链路捆绑,在
路由计算上,只有一条路径,但是该路径包含 2 个万兆端口,提供物理层面的冗余。
4.4 前置机区规划
4.4.1 拓扑
前置机区连接生产类系统的前置机等;该区使用 4 台千兆智能交换机 S5500-52C-EI 交换
机。
4 台 S5500-52C-EI 交换机采用 IRF 虚拟化技术将 4 台交换机虚拟成一台交换机。
4.4.2 VLAN 规划
上联到核心区的链路进行链路捆绑,采用同一个 VLAN 进行互联。
在分区部根据不同
级别的应用再进一步分配。
VLAN 分配主要考虑互联 VLAN 和主机。
4.4.3 路由规划
接入交换机启用三层功能,前置机网关设置在接入交换机上,接入交换机与核心交换
机间运行 OSPF 路由协议。
在设备间运行 OSPF 时,建议将接入交换机的相关接口划分在一
个 OSPF-STUB 区域中,以免数据中心中收到过多的 LSA。
各个功能区与核心区通讯路径要保证双向一致性和确定性。
在任何链路状况下,通讯
双方的往返路径均相同,并且可预知。
前置区外连核心区的 2 条万兆链路的进行链路捆绑,
在路由计算上,只有一条路径,但是该路径包含 2 个万兆端口,提供物理层面的冗余。
4.5 广域网接入区规划
广域网接入区主要连接与各省市分行,市各区县支行,分理处等的上联网络设
备,该区使用两台 SR6608 核心路由器作为各分支机构的上联设备,每个 SR6608 配置 3 个
CPOS 广域接口,2 个主用,一个备用。
4.5.1 路由规划
广域网接入区与整个数据中心采用统一的策略和部署方案,在核心区作为 OSPF 骨干区
的前提下,广域网接入区部路由协议采用 OSPF,在区域路由详细规划上,建议如下:
●广域网路由器与核心交换机互联的端口,划分为 OSPF 骨干域 0 域
●广域网路由器下联接口,按照原有的路由规划,划分为 1、2、3、4 和 10、20、
30、40 等几个路由子域。
●路由器到核心交换机上的链路采用 Trunk 链路进行连接。
6.2 IRF 虚拟化技术
IRF 2 交换机虚拟化实现多台设备虚拟化成一台设备,即多台设备当做一台设备来运行、
管理。
大大简化数据中心日益复杂的组网和管理维护,相比于传统的 MSTP、VRRP 和多路径
的路由协议,IRF 可以免除这些协议的部署,简化设备并成倍的提升网络性能与可靠性。
6.2.1 技术优点
IRF 堆叠具有以下主要优点:
简化管理。
IRF 堆叠形成之后,用户连接到任何一台成员设备的任何一个端口可以登录 IRF
堆叠系统,这相当于直接登录 IRF 系统中的 Master 设备,通过对 Master 设备的配置达到管
理整个 IRF 堆叠以与堆叠所有成员设备的效果,而不用物理连接到每台成员设备上分别对
它们进行配置和管理。
简化网络运行。
IRF 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行
的,例如路由协议会作为单一设备统一计算。
这样省去了设备间大量协议报文的交互,简化
了网络运行,缩短了网络动荡时的收敛时间。
IRF 技术的这一特性是常见的集群技术所不具
备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点
运行。
低成本:
IRF 技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有
高端设备的端口密度和带宽,以与低端设备的成本。
比直接使用高端设备具有成本优势。
强大的网络扩展能力。
通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带
宽和处理能力。
保护用户投资。
由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有
设备,只需要增加新设备既可。
很好的保护了用户投资。
高可靠性。
堆叠的高可靠性表达在多个方面,比如:
成员设备之间堆叠物理端口支持聚
合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提
高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master 设备负责堆叠的运行、管
理和维护,Slave 设备在作为备份的同时也可以处理业务,一旦 Master 设备故障,系统会迅
速自动选举新的 Master,以保证通过堆叠的业务不中断,从而实现了设备级的 1:
N 备份。
IRF
是网络可靠性保障的最优解决方案。
高性能。
由于 IRF 设备是由多个支持 IRF 特性的单机设备堆叠而成的,IRF 设备的交换容
量和端口数量就是 IRF 部所有单机设备交换容量和端口数量的总和。
因此,IRF 技术能够
通过多个单机设备的堆叠,轻易的将设备的核心交换能力、用户端口的密度扩大数倍,从而
大幅度提高了设备的性能。
丰富的功能。
IRF 支持包括 IPv4、IPv6、MPLS、安全特性、OAA 插卡、高可用性等全部
交换机特性,并且能够高效稳定地运行这些功能,大大扩展了 IRF 设备的应用围。
广泛的产品支持。
IRF 技术作为一种通用的虚拟技术,对不同形态产品的堆叠一体化的
实现,使用同一技术,同时支持盒式设备的堆叠,以与框式分布式设备的堆叠。
6.2.2 典型组网应用
使用 IRF 扩展端口数量
使用 IRF 扩展端口数量如以下图所示。
当接入的用户数增加到原交换机端口密度不能满足
接入需求时,可以通过在原有的堆叠系统中增加新的交换机而得到满足。
IRF
使用IRF扩展端口组网图
使用 IRF 扩展系统处理能力
使用 IRF 扩展系统处理能力如以下图所示。
当中心的交换机转发能力不能满足需求时,可
以增加新交换机与原交换机组成堆叠系统来实现。
若一台交换机转发能力为 64M PPS,则通
过增加一台交换机进行扩展后,整个堆叠设备的转发能力为 128M PPS。
需要强调的是,是
整个堆叠设备的转发能力整体提高,而不是单个交换机的转发能力提高。
IRF
……
……
使用IRF扩展系统处理能力组网图
……
使用 IRF 扩展带宽
使用 IRF 扩展带宽如以下图所示,当边缘交换机上行带宽增加时,可以增加新交换机与原
交换机组成堆叠系统来实现。
将成员设备的多条物理链路配置成一个聚合组,可以增加到中
心交换机的带宽。
而对中心交换机的而言,边缘交换机的数量并没有变化,物理上的两台交
换机看起来就是一台交换机,原有交换机会将当前的配置批量备份到新加入的交换机。
因此,
这种变化对网络规划和配置影响很小。
IRF
使用IRF扩展带宽组网图
跨越空间使用 IRF
IRF2.0 可以通过光纤将相距遥远的设备连接形成堆叠设备,如以下图所示,每个楼层的用
户通过楼道交换机接入外部网络,现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设
备,这样,相当于每个楼只有一个接入设备,网络结构变得更加简单;每个楼层有多条链路
到达核心网络,网络变得更加健壮、可靠;对多台楼道交换机的配置简化成对对堆叠系统的
配置,降低了管理和维护的成本。
A座
3楼
堆叠线缆
2楼
1楼
上行聚合链路
B座
3楼
堆叠线缆
2楼
1楼
上行聚合链路
跨越空间使用IRF组网图
使用 IRF 简化组网
常见的网络组网使用 MSTP、VRRP 等协议来支持链路冗余、网关备份。
这种组网在各种
场合均会使用,这里仅以汇聚层与接入层之间的组网为例。
使用 IRF2.0 后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚
拟设备。
这个简化后的组网不再需要使用 MSTP、VRRP 协议,简化了网络配置。
同时依靠跨
设备的链路聚合,在成员出现故障时不再依赖 MSTP、VRRP 等协议的收敛,提高了可靠性。
MSTP+VRRPMSTP+VRRP
汇聚层
接入层
IRF
堆叠线缆
汇聚层
接入层
使用IRF简化组网示意图
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 网络 建设 方案 详细