【正文】 銀行分行數(shù)據(jù)中心項(xiàng)目工程實(shí)施方案銀行分行數(shù)據(jù)中心項(xiàng)目工程實(shí)施方案第1章 項(xiàng)目概況 項(xiàng)目背景某銀行某分行為滿足業(yè)務(wù)需求，將根據(jù)模塊化的、分層的、分級(jí)的現(xiàn)代數(shù)據(jù)中心設(shè)計(jì)理念，構(gòu)建一個(gè)滿足可擴(kuò)展性、靈活性和高可用性的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，實(shí)現(xiàn)對(duì)分行各業(yè)務(wù)系統(tǒng)提供統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)支持的目標(biāo)。 項(xiàng)目目標(biāo)隨著數(shù)據(jù)大集中的完成，分行業(yè)務(wù)處理模式將發(fā)生根本性變化，由先前的業(yè)務(wù)處理發(fā)生在分行本地演變成所有核心業(yè)務(wù)均上送總行統(tǒng)一處理。另一方面全行各類(lèi)信息業(yè)務(wù)平臺(tái)、管理平臺(tái)的不斷投入使用，帶來(lái)明顯的網(wǎng)絡(luò)交易壓力，對(duì)網(wǎng)絡(luò)帶寬、穩(wěn)定性和安全性提出了更高要求。同時(shí)，由于網(wǎng)絡(luò)設(shè)備持續(xù)運(yùn)行，年久老化，面臨較重的運(yùn)行壓力。今后擬對(duì)分行網(wǎng)絡(luò)系統(tǒng)進(jìn)行一次升級(jí)改造，確保網(wǎng)絡(luò)處理能力滿足未來(lái)發(fā)展需要，真正實(shí)現(xiàn)業(yè)務(wù)處理和信息管理的高速運(yùn)行。根據(jù)當(dāng)前成熟的網(wǎng)絡(luò)技術(shù)并結(jié)合網(wǎng)絡(luò)技術(shù)將來(lái)的發(fā)展趨勢(shì)，分行網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)是建成一個(gè)高性能、高可靠性、安全冗余、可擴(kuò)展的網(wǎng)絡(luò)安全通信平臺(tái)。網(wǎng)絡(luò)改造具體涉及到以下幾點(diǎn)：1. 網(wǎng)絡(luò)設(shè)備更換或升級(jí)分行網(wǎng)絡(luò)自建成運(yùn)行以來(lái)，已經(jīng)連續(xù)運(yùn)轉(zhuǎn)八年，網(wǎng)絡(luò)設(shè)備已出現(xiàn)不同程度的老化，部分設(shè)備性能已嚴(yán)重落后于現(xiàn)有同等網(wǎng)絡(luò)產(chǎn)品，甚至部分產(chǎn)品已停產(chǎn)或淘汰，為保證分行網(wǎng)絡(luò)的安全運(yùn)轉(zhuǎn)，優(yōu)化分行網(wǎng)絡(luò)性能，預(yù)防網(wǎng)絡(luò)故障的發(fā)生，對(duì)分行老舊網(wǎng)絡(luò)設(shè)備進(jìn)行更換或升級(jí)。同時(shí)，網(wǎng)絡(luò)改造必須采用國(guó)際通用的標(biāo)準(zhǔn)，在網(wǎng)絡(luò)模式、設(shè)備的選擇、線路的選擇、實(shí)施和管理等各個(gè)環(huán)節(jié)上都采用現(xiàn)行國(guó)際標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，以方便以后對(duì)網(wǎng)絡(luò)的升級(jí)、更新和維護(hù)；充分考慮各個(gè)網(wǎng)絡(luò)產(chǎn)品(軟件、硬件)的兼容性，網(wǎng)絡(luò)設(shè)備的冗余性；所有網(wǎng)絡(luò)設(shè)備必須支持IPV6，滿足下一代數(shù)據(jù)通信網(wǎng)絡(luò)的需要。2. 千兆網(wǎng)絡(luò)建設(shè)隨著數(shù)據(jù)大集中項(xiàng)目的實(shí)施，以及各種新業(yè)務(wù)系統(tǒng)的上線，網(wǎng)絡(luò)系統(tǒng)資源的占用越來(lái)越大，提高業(yè)務(wù)處理的速度和質(zhì)量，成為分行網(wǎng)絡(luò)建設(shè)的重點(diǎn)。鑒于分行現(xiàn)有的百兆網(wǎng)絡(luò)面臨的業(yè)務(wù)壓力，必須提升網(wǎng)絡(luò)帶寬，對(duì)分行核心網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)千兆光纖互聯(lián)，保證網(wǎng)絡(luò)的快速處理能力，并實(shí)現(xiàn)核心應(yīng)用服務(wù)器的千兆連接。3. 網(wǎng)絡(luò)區(qū)域劃分目前分行網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)三個(gè)大的區(qū)域。為了增加網(wǎng)絡(luò)的安全性、可管理性，對(duì)網(wǎng)絡(luò)按不同的功用，進(jìn)行更細(xì)致的區(qū)域劃分，共劃分為十一個(gè)區(qū)域，通過(guò)區(qū)域的劃分使分行網(wǎng)絡(luò)結(jié)構(gòu)更加合理，各部分的功能一目了然，便于管理和安全規(guī)則的設(shè)置。為了保證網(wǎng)絡(luò)的安全，在各區(qū)域間架設(shè)防火墻，對(duì)網(wǎng)絡(luò)的訪問(wèn)進(jìn)行過(guò)濾和限制。第2章 網(wǎng)絡(luò)總體規(guī)劃 網(wǎng)絡(luò)現(xiàn)狀原組網(wǎng)圖如下： 目前某銀行某分行（以下簡(jiǎn)稱分行）網(wǎng)絡(luò)系統(tǒng)分為內(nèi)網(wǎng)、外網(wǎng)、DMZ區(qū)三部分，各區(qū)之間通過(guò)防火墻進(jìn)行了有效隔離。內(nèi)網(wǎng)由核心、匯聚、接入三層結(jié)構(gòu)組成，嚴(yán)格按照網(wǎng)絡(luò)的三層結(jié)構(gòu)設(shè)計(jì)建設(shè)，是分行內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)；外網(wǎng)是第三方接入網(wǎng)絡(luò)；DMZ區(qū)是部分公用系統(tǒng)和無(wú)線網(wǎng)絡(luò)接入?yún)^(qū)。分行網(wǎng)絡(luò)經(jīng)過(guò)總行大集中網(wǎng)絡(luò)改造后，已實(shí)現(xiàn)了核心冗余，匯聚冗余、接入冗余，實(shí)現(xiàn)了設(shè)備和線路的冗余。內(nèi)網(wǎng)核心網(wǎng)絡(luò)設(shè)備采用兩臺(tái)思科6509高端設(shè)備，處理速度快，穩(wěn)定性高。兩臺(tái)設(shè)備互為備份，實(shí)現(xiàn)核心冗余；匯聚設(shè)備由兩臺(tái)思科75系列設(shè)備構(gòu)成，并互為備份，一臺(tái)設(shè)備出現(xiàn)故障，另一臺(tái)可立即接管；接入層為思科2621XM路由器，通過(guò)網(wǎng)通和廣電兩條2M SDH接入核心網(wǎng)絡(luò)，兩條線路一主一備，保證業(yè)務(wù)連續(xù)性。在內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上分行又建設(shè)了終端網(wǎng)，各支行終端可通過(guò)10M光纖接入核心終端服務(wù)器，從而訪問(wèn)分行生產(chǎn)網(wǎng)絡(luò)，大大提高了網(wǎng)絡(luò)訪問(wèn)速度。外聯(lián)網(wǎng)是第三方接入分行網(wǎng)絡(luò)區(qū)域，第三方用戶通過(guò)一臺(tái)思科75系列路由器和兩臺(tái)思科28系列路由器接入分行生產(chǎn)網(wǎng)絡(luò)。另外，為保證接入銀聯(lián)網(wǎng)絡(luò)的穩(wěn)定性，分行把銀聯(lián)業(yè)務(wù)網(wǎng)絡(luò)單獨(dú)隔離，與核心網(wǎng)絡(luò)直接聯(lián)接，并通過(guò)防火墻進(jìn)行了有效隔離。DMZ區(qū)是部分公用系統(tǒng)區(qū)和聯(lián)通無(wú)線網(wǎng)絡(luò)接入?yún)^(qū)，分行利用聯(lián)通網(wǎng)絡(luò)建設(shè)了無(wú)線vpn網(wǎng)絡(luò)，通過(guò)無(wú)線vpn網(wǎng)絡(luò)分行單點(diǎn)ATM和移動(dòng)辦公終端可在聯(lián)通無(wú)線信號(hào)覆蓋的任何區(qū)域接入分行網(wǎng)絡(luò)。為保證網(wǎng)絡(luò)安全，通過(guò)防火墻與聯(lián)通網(wǎng)絡(luò)進(jìn)行了隔離，單點(diǎn)ATM和移動(dòng)辦公終端在數(shù)據(jù)傳輸時(shí)均采取了嚴(yán)格的加密措施。內(nèi)部網(wǎng)絡(luò)三個(gè)區(qū)域之間通過(guò)防火墻（pix520）進(jìn)行隔離，并設(shè)置了相應(yīng)的訪問(wèn)策略，同時(shí)利用思科的內(nèi)容交換機(jī)（cisco11051）和防火墻相結(jié)合，實(shí)現(xiàn)了防火墻的負(fù)載均衡和冗余備份。分行網(wǎng)絡(luò)通過(guò)cisco7606和華為NE16接入總行網(wǎng)絡(luò)，兩臺(tái)設(shè)備互為備份，通過(guò)防火墻與總行網(wǎng)絡(luò)隔離。在網(wǎng)絡(luò)監(jiān)控和預(yù)防非法入侵方面，分行采用聯(lián)想N820入侵檢測(cè)設(shè)備，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀況。目前的網(wǎng)絡(luò)存在以下問(wèn)題： 設(shè)備的老化，故障頻發(fā)：分行網(wǎng)絡(luò)從建設(shè)運(yùn)行至今已有八年，大部分設(shè)備已出現(xiàn)不同程度的老化現(xiàn)象，網(wǎng)絡(luò)設(shè)備運(yùn)行故障升高，斷電后再啟動(dòng)、死機(jī)，重啟后無(wú)法啟動(dòng)等現(xiàn)象頻繁發(fā)生。6臺(tái)內(nèi)容交換機(jī)和1臺(tái)PIX防火墻都出現(xiàn)過(guò)硬件故障；兩臺(tái)匯聚路由器cisco7567和cisco7507引擎故障，自動(dòng)重啟；各支行網(wǎng)絡(luò)由路由器cisco2621陸續(xù)出現(xiàn)了故障。設(shè)備的老化已經(jīng)嚴(yán)重影響了網(wǎng)絡(luò)的正常運(yùn)行。 系統(tǒng)陳舊，功能匱乏：現(xiàn)有兩臺(tái)核心交換設(shè)備cisco6509操作系統(tǒng)為CATOS，而現(xiàn)在CATOS已淘汰，目前市場(chǎng)流行的路由和交換設(shè)備都使用IOS，因此導(dǎo)致不能兼容多數(shù)新型的網(wǎng)絡(luò)設(shè)備和各種新的功能特性，致使許多安全措施無(wú)法應(yīng)用，影響核心網(wǎng)絡(luò)的安全性。 架構(gòu)落后，安全風(fēng)險(xiǎn)大：隨著業(yè)務(wù)系統(tǒng)的擴(kuò)展，現(xiàn)有網(wǎng)絡(luò)雖采用了分層的設(shè)計(jì)思想，但沒(méi)有對(duì)各功能區(qū)域進(jìn)行劃分，各業(yè)務(wù)系統(tǒng)及功能區(qū)域之間沒(méi)有指定清洗的安全等級(jí)，不利于安全策略的制定。 新建網(wǎng)絡(luò)設(shè)計(jì)新網(wǎng)絡(luò)拓?fù)淙缦拢盒陆ňW(wǎng)絡(luò)有如下優(yōu)點(diǎn)：1. 結(jié)構(gòu)整齊，層次清晰，便于管理。2. 采用動(dòng)態(tài)路由協(xié)議，維護(hù)簡(jiǎn)單，擴(kuò)展性好；第3章 設(shè)備部署 設(shè)備命名規(guī)則為便于進(jìn)行網(wǎng)絡(luò)故障診斷和遠(yuǎn)程監(jiān)測(cè)，參照總行《網(wǎng)絡(luò)設(shè)備命名規(guī)范》分行將統(tǒng)一全轄網(wǎng)絡(luò)設(shè)備的命名。網(wǎng)絡(luò)系統(tǒng)中設(shè)備的命名使用五個(gè)字段組成，分別表示該設(shè)備所在區(qū)域，功能，層次，類(lèi)型等，便于設(shè)備維護(hù)管理。設(shè)備名稱的字母全部采用大寫(xiě)表示。主要網(wǎng)絡(luò)設(shè)備的ID命名規(guī)則如下：A_B_C_D_E：A：分行名稱（如上海分行、等）B：區(qū)域名稱（如核心區(qū)、服務(wù)器區(qū)、辦公區(qū)、管理區(qū)、等，也可表示支行名稱）C：區(qū)域?qū)哟危ㄈ鐓R聚層或接入層）D：設(shè)備類(lèi)型（如核心交換機(jī)、路由器、防火墻、入侵檢測(cè)、等）E：設(shè)備序列號(hào)（如第一臺(tái)、第二臺(tái)、等）根據(jù)上述描述，每個(gè)字段做如下進(jìn)一步的明確：A：分行名稱分行名稱標(biāo)識(shí)北京BJ上海SH……B：區(qū)域名稱序號(hào)名稱描述1CORE核心區(qū)（Core Zone）2ADMIN管理區(qū)（Admin Zone）3APPSVR業(yè)務(wù)服務(wù)器區(qū)（App_Server Zone）4OASVR辦公服務(wù)器區(qū)(OA_Server Zone)5HQCONN上聯(lián)區(qū)（HQ_Conn Zone）6BRANCONN下聯(lián)區(qū)（Bran_Conn Zone）7APPUSR業(yè)務(wù)用戶接入?yún)^(qū)（App_User Zone）8OAUSR辦公用戶接入?yún)^(qū)（OA_User Zone）9EXTCONN外聯(lián)區(qū)（Ext_Conn Zone）10DMZDMZ區(qū)11DT開(kāi)發(fā)測(cè)試區(qū)( Developing Testing Zone)12TA終端接入?yún)^(qū)(Terminal Access Zone) C：區(qū)域?qū)哟涡蛱?hào)名稱區(qū)域1DL匯聚層（Distribution Layer）2AL接入?yún)^(qū)（Access Layer）D：設(shè)備類(lèi)型序號(hào)名稱描述1SW交換機(jī)2RT路由器3FW防火墻4IDS入侵檢測(cè)系統(tǒng)E：設(shè)備序列號(hào)序號(hào)名稱描述11同區(qū)同層第１臺(tái)設(shè)備22同區(qū)同層第2臺(tái)設(shè)備3……例如：BJ_CORE_SW_1：表示北京分行（BJ）核心區(qū)(CORE)核心交換機(jī)（SW）第一臺(tái)（1）；SH_ADMIN_DL_SW_1：表示上海分行（SH）管理區(qū)（ADMIN）匯聚層（DL）交換機(jī)（SW）第一臺(tái)（1）；SH_APPSVR_AL_SW_1（或_2）：表示上海分行（SH）業(yè)務(wù)服務(wù)區(qū)（APPSVR）接入層（AL）交換機(jī)（SW）第一/二臺(tái)（1或2）；SH_EXTCONN_FW_1：表示上海分行（SH）外聯(lián)區(qū)（EXTCONN）防火墻（FW）第一臺(tái)（1）；TJ_YYB_RT_1：表示天津分行（TJ）分行營(yíng)業(yè)部（YYB）路由器（RT）第一臺(tái)（1）；下表是本次項(xiàng)目全網(wǎng)設(shè)備的命名序號(hào)名稱描述1JN_CORE_SW_1生產(chǎn)網(wǎng)核心85081交換機(jī)2JN_CORE_SW_2生產(chǎn)網(wǎng)核心85082交換機(jī)3JN_BRANCONN_DL_RT_1分行廣域網(wǎng)接入?yún)^(qū)匯聚路由器14JN_BRANCONN_DL_RT_2分行廣域網(wǎng)接入?yún)^(qū)匯聚路由器25JN_EXTCONN_IPS_1分行外聯(lián)接入?yún)^(qū)IPS16JN_EXTCONN_IPS_2分行外聯(lián)接入?yún)^(qū)IPS27JN_EXTCONN_FW_1分行外聯(lián)接入?yún)^(qū)防火墻18JN_EXTCONN_FW_2分行外聯(lián)接入?yún)^(qū)防火墻211JN_EXTCONN_AL_SW_1分行外聯(lián)接入?yún)^(qū)交換機(jī)112JN_EXTCONN_AL_SW_2分行外聯(lián)接入?yún)^(qū)交換機(jī)213JN_EXTCONN_AL_RT_1分行外聯(lián)接入?yún)^(qū)路由器114JN_EXTCONN_AL_RT_2分行外聯(lián)接入?yún)^(qū)路由器215JN_EXTCONN_3G_1分行外聯(lián)接入?yún)^(qū)3G路由器16JN_EXTCONN_CDMA_1分行外聯(lián)接入?yún)^(qū)CDMA路由器17JN_DMZ_DL_SW_1分行DMZ區(qū)匯聚交換機(jī)118JN_DMZ_DL_SW_2分行DMZ區(qū)匯聚交換機(jī)219JN_ADMIN_DL_SW_1分行管理控制區(qū)匯聚交換機(jī)120JN_APPUSR_DL_SW_1分行用戶接入?yún)^(qū)匯聚交換機(jī)121JN_APPUSR_DL_SW_2分行用戶接入?yún)^(qū)匯聚交換機(jī)222JN_APPUSR_AL_SW_1分行用戶接入?yún)^(qū)接入交換機(jī)123JN_APPUSR_AL_SW_2分行用戶接入?yún)^(qū)接入交換機(jī)224JN_APPUSR_AL_SW_3分行用戶接入?yún)^(qū)接入交換機(jī)325JN_TA_DL_SW_1分行終端接入?yún)^(qū)匯聚交換機(jī)126JN_DT_DL_SW_1分行開(kāi)發(fā)測(cè)試區(qū)匯聚交換機(jī)127JN_OASVR_DL_SW_1分行辦公服務(wù)器區(qū)匯聚交換機(jī)128JN_OASVR_DL_SW_2分行辦公服務(wù)器區(qū)匯聚交換機(jī)229JN_APPSVR_DL_SW_1分行業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)130JN_APPSVR_DL_SW_2分行業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)231JNDYH1分行下聯(lián)東營(yíng)路由器132JNDYH2分行下聯(lián)東營(yíng)路由器2 網(wǎng)絡(luò)設(shè)備的鏈路描述（Description）規(guī)則為了便于網(wǎng)絡(luò)設(shè)備的維護(hù)，應(yīng)在網(wǎng)絡(luò)設(shè)備中用到的接口中配置相應(yīng)的描述（Description）命令，對(duì)鏈路的走向進(jìn)行描述，具體格式為：行內(nèi)線路描述：description To 對(duì)端設(shè)備ID 對(duì)端設(shè)備接口ID其中，設(shè)備ID請(qǐng)參照《網(wǎng)絡(luò)設(shè)備ID命名規(guī)范》，設(shè)備接口ID請(qǐng)參照設(shè)備廠商的端口命名規(guī)范。外聯(lián)線路描述：description To 外聯(lián)單位名稱 VLAN命名規(guī)則為便于管理，VLAN名稱應(yīng)使用統(tǒng)一的命名規(guī)則網(wǎng)絡(luò)互聯(lián)VLAN主要以英文縮寫(xiě)命名：本方案涉及的VLAN名稱如下: 核心區(qū)Vlan IDVLAN名VLAN劃分描述用途801LINK801ToJNPEC1G5/2分行核心1與上聯(lián)總行路由器1互聯(lián)821LINK821TOJN_PE_C1G6/2分行核心2與上聯(lián)總行路由器1互聯(lián)802LINK802TOJNPEC2G1/2分行核心1與上聯(lián)總行路由器2互聯(lián)822LINK822TOJN_PE_C2G1/1分行核心2與上聯(lián)總行路由器2互聯(lián)803LINK803TOJN_BRANCONN_DL_RT_1_G3/0/0分行核心1與下聯(lián)路由器1互聯(lián)823LINK823TOJN_BRANCONN_DL_RT_1G3/0/1分行核心2與下聯(lián)路由器1互聯(lián)804LINK804TOJN_BRANCONN_DL_RT_2_G3/0/0分行核心1與下聯(lián)路由器2互聯(lián)824LINK824TOJN_BRANCONN_DL_RT_2G3/0/1分行核心2與下聯(lián)路由器2互聯(lián)805LINK805TOJN_APPSVR_DL_SW_1_G1/0/49分行核心1與業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)1互聯(lián)825LINK825TOJN_APPSVR_DL_SW_2G1/0/49分行核心2與業(yè)務(wù)服務(wù)器區(qū)匯聚交換機(jī)2互聯(lián)806LINK806TOJN_OASVR_DL_SW_1_G1/0/49分行核心1與辦公服務(wù)器區(qū)匯聚交換機(jī)1互聯(lián)826LINK826TOJN_OASVR_DL_SW_2G1/0/49分行核心2與辦公服務(wù)器區(qū)匯聚交換機(jī)2互聯(lián)807LINK807TOJN_DT_DL_SW_1_G1/0/49分行核心1與開(kāi)發(fā)測(cè)試區(qū)匯聚交換機(jī)1互聯(lián)827LINK827TOJN_DT_DL_SW_1G1