【正文】 1 華夏銀行濟(jì)南分行數(shù)據(jù)中心項目 工程實施方案 杭州華三通信技術(shù)有限公司 2021年 7月 華夏銀行濟(jì)南分行數(shù)據(jù)中心項目工程實施方案 第 1章 項目概況 項目背景 華夏銀行濟(jì)南分行為滿足業(yè)務(wù)需求，將根據(jù)模塊化的、分層的、分級的現(xiàn)代數(shù)據(jù)中心設(shè)計理念，構(gòu)建一個滿足可擴(kuò)展性、靈活性和高可用性的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，實現(xiàn)對分行各業(yè)務(wù)系統(tǒng)提供統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)支持的目標(biāo)。 項目目標(biāo) 隨著數(shù)據(jù)大集中的完成，分行業(yè)務(wù)處理模式將發(fā)生根本性變化，由先前的業(yè)務(wù)處理發(fā)生在分行本地演變成所有核心業(yè)務(wù)均上送總行統(tǒng)一處理。另一方面全行各類 信息業(yè)務(wù)平臺、管理平臺的不斷投入使用，帶來明顯的網(wǎng)絡(luò)交易壓力，對網(wǎng)絡(luò)帶寬、穩(wěn)定性和安全性提出了更高要求。同時，由于網(wǎng)絡(luò)設(shè)備持續(xù)運行，年久老化，面臨較重的運行壓力。今后擬對分行網(wǎng)絡(luò)系統(tǒng)進(jìn)行一次升級改造，確保網(wǎng)絡(luò)處理能力滿足未來發(fā)展需要，真正實現(xiàn)業(yè)務(wù)處理和信息管理的高速運行。 根據(jù)當(dāng)前成熟的網(wǎng)絡(luò)技術(shù) 并 結(jié)合網(wǎng)絡(luò)技術(shù)將來的發(fā)展趨勢， 分行 網(wǎng)絡(luò)系統(tǒng) 改造 目標(biāo)是建成一個高性能 、 高可靠性、安全冗余、可擴(kuò)展的 網(wǎng)絡(luò) 安全 通信平臺。 網(wǎng)絡(luò) 改造具體涉及到 以下幾點 ： 1. 網(wǎng)絡(luò)設(shè)備更換或升級 分行網(wǎng)絡(luò)自建成運行以來，已經(jīng)連續(xù)運轉(zhuǎn)八年，網(wǎng)絡(luò)設(shè)備已 出現(xiàn)不同程度的老化，部分設(shè)備性能已嚴(yán)重落后于現(xiàn)有同等網(wǎng)絡(luò)產(chǎn)品，甚至部分產(chǎn)品已停產(chǎn)或淘汰，為保證分行網(wǎng)絡(luò)的安全運轉(zhuǎn)，優(yōu)化分行網(wǎng)絡(luò)性能，預(yù)防網(wǎng)絡(luò)故障的發(fā)生，對分行老舊網(wǎng)絡(luò)設(shè)備進(jìn)行更換或升級。 同時 ，網(wǎng)絡(luò)改造 必須 采用國際通用的標(biāo)準(zhǔn)，在網(wǎng)絡(luò)模式、設(shè)備的選擇、線路的選擇、實施和管理等各個環(huán)節(jié)上都采用現(xiàn)行國際標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，以方便以后對網(wǎng)絡(luò)的升級、更新和維護(hù)； 充分考慮 各個網(wǎng)絡(luò)產(chǎn)品 (軟件、硬件 )的兼容性 ，網(wǎng)絡(luò)設(shè)備的冗余性；所有網(wǎng)絡(luò)設(shè)備必須支持 IPV6，滿足下一代數(shù)據(jù)通信網(wǎng)絡(luò)的需要。 2. 千兆網(wǎng)絡(luò)建設(shè) 隨著數(shù)據(jù)大集中項目的實施 ，以及各種新業(yè)務(wù)系統(tǒng)的上線，網(wǎng)絡(luò)系統(tǒng)資源的占用越來越大，提高業(yè)務(wù)處理的速度和質(zhì)量，成為分行網(wǎng)絡(luò)建設(shè)的重點。鑒于分行現(xiàn)有的百兆網(wǎng)絡(luò)面臨的業(yè)務(wù)壓力，必須提升網(wǎng)絡(luò)帶寬，對分行核心網(wǎng)絡(luò)設(shè)備實現(xiàn)千兆光纖互聯(lián)，保證網(wǎng)絡(luò)的快速處理能力，并實現(xiàn)核心應(yīng)用服務(wù)器的千兆連接。 3. 網(wǎng)絡(luò)區(qū)域劃分 目前分行網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、 DMZ區(qū)三個大的區(qū)域。為了增加網(wǎng)絡(luò)的安全性、可管理性，對網(wǎng)絡(luò)按不同的功用，進(jìn)行更細(xì)致的區(qū)域劃分，共劃分為十一個區(qū)域，通過區(qū)域的劃分使分行網(wǎng)絡(luò)結(jié)構(gòu)更加合理，各部分的功能一目了然，便于管理和安全規(guī)則的設(shè)置。為了保證網(wǎng) 絡(luò)的安全，在各區(qū)域間架設(shè)防火墻，對網(wǎng)絡(luò)的訪問進(jìn)行過濾和限制。 第 2章 網(wǎng)絡(luò)總體規(guī)劃 網(wǎng)絡(luò)現(xiàn)狀 原組網(wǎng)圖如下： 華夏銀行濟(jì)南分行數(shù)據(jù)中心項目工程實施方案 1 0 M 光 纖z2M SDH2M SDH2M SDH2M SDH廣 電 聯(lián) 通聯(lián) 通J N X L P E C 1J N X L P E C 2J N F H C E C 2P i x U pP i x D o w nJ N G X 2 6 2 1 J N S B 2 6 2 1 J N Y Y B 2 6 2 1J N C D 2 6 2 1 J N H P L 2 6 2 1J N S N 2 6 2 1 J N H Y 2 6 2 1 J N J F L 2 6 2 1 J N W E L 2 6 2 1 J N J S L 2 6 2 11 2 個 支 行 路 由 器1 4 個 自 助 銀 行 路 由 器J N W D Z Z 1 8 4 1J N D G Z Z 1 8 4 1 J N J D Z Z 1 7 2 0 J N Q C L Z Z 1 8 4 1J N D G D J Z Z 1 8 4 1 J N G X Q Z Z 1 8 4 1 J N D L Z K Z Z 2 5 0 0J N S J Z Z 2 5 0 0J N Z D 3 5 6 03 5 6 0 A ( 冷 備 )1 2 個 支 行 終 端 交 換 機(jī)J N G X 2 9 6 0J N W E 2 9 6 0J N J S L 2 9 6 0J N H P L 2 9 6 0J N J F L 2 9 6 0J N H Y 2 9 6 0J N S N 2 9 6 0J N S B 2 9 6 0J N J G 2 9 6 0外 聯(lián) 銀 聯(lián)龍 馬 A龍 馬 BJ N Y L W T C 2J N Y L G D C 1J N P E C 1J N P E C 2上 聯(lián) 總 行J N H L C 2 9 2 4 AJ N H L C 2 9 2 4 BJ N R H W T C 1 J N R H L T C 2J N W L P E C 1到 外 聯(lián) 單 位 （ 證 券 公 司 、 人 行 、 電 信 代 收 費 等 ）J N C D 2 9 6 0J N T O F H J G 2 6 2 1J N L C 2 6 2 1K E Z X O A 2 9 5 0J N F H J G 2 6 2 1聊 城煙 臺DDN廣 電J N D X 2 6 2 1J N Y T 2 6 1 0D M Z 區(qū)華 夏 銀 行 濟(jì) 南 分 行 網(wǎng) 絡(luò) 邏 輯 拓 撲 圖i n s i d eo u t s i d eC S S I N AC S S I N BC S S O U T AC S S O U T BC S S D M Z A C S S D M Z BJ N Z Q 2 8 1 1J N Z Q 2 9 6 0龍 馬 C龍 馬 DJ N F H C E C 1 目前華夏銀行濟(jì)南分行（以下簡稱分行）網(wǎng)絡(luò)系統(tǒng)分為內(nèi)網(wǎng)、外網(wǎng)、 DMZ區(qū)三部分，各區(qū)之間通過防火墻進(jìn)行了有效隔離。內(nèi)網(wǎng)由核心、匯聚、接入三層結(jié)構(gòu)組成，嚴(yán)格按照網(wǎng)絡(luò)的三層結(jié)構(gòu)設(shè)計建設(shè)，是分行內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)；外網(wǎng)是第三方接入網(wǎng)絡(luò)； DMZ區(qū)是部分公用系統(tǒng)和無線網(wǎng)絡(luò)接入?yún)^(qū)。分行網(wǎng)絡(luò)經(jīng)過總行大集中網(wǎng)絡(luò)改造后，已實現(xiàn)了核心冗余，匯聚冗余、接入冗余，實現(xiàn)了設(shè)備 和線路的冗余。 內(nèi)網(wǎng)核心網(wǎng)絡(luò)設(shè)備采用兩臺思科 6509高端設(shè)備，處理速度快，穩(wěn)定性高。兩臺設(shè)備互為備份，實現(xiàn)核心冗余；匯聚設(shè)備由兩臺思科 75系列設(shè)備構(gòu)成，并互為備份，一臺設(shè)備出現(xiàn)故障，另一臺可立即接管；接入層為思科 2621XM路由器，通過網(wǎng)通和廣電兩條 2M SDH接入核心網(wǎng)絡(luò)，兩條線路一主一備，保證業(yè)務(wù)連續(xù)性。 華夏銀行濟(jì)南分行數(shù)據(jù)中心項目工程實施方案 在內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)上分行又建設(shè)了終端網(wǎng)，各支行終端可通過 10M光纖接入核心終端服務(wù)器，從而訪問分行生產(chǎn)網(wǎng)絡(luò)，大大提高了網(wǎng)絡(luò)訪問速度。 外聯(lián)網(wǎng)是第三方接入分行網(wǎng)絡(luò)區(qū)域，第三方用戶通過一臺思科 75系列路由器 和兩臺思科 28系列路由器接入分行生產(chǎn)網(wǎng)絡(luò)。另外，為保證接入銀聯(lián)網(wǎng)絡(luò)的穩(wěn)定性，分行把銀聯(lián)業(yè)務(wù)網(wǎng)絡(luò)單獨隔離，與核心網(wǎng)絡(luò)直接聯(lián)接，并通過防火墻進(jìn)行了有效隔離。 DMZ區(qū)是部分公用系統(tǒng)區(qū)和聯(lián)通無線網(wǎng)絡(luò)接入?yún)^(qū)，分行利用聯(lián)通網(wǎng)絡(luò)建設(shè)了無線 vpn網(wǎng)絡(luò)，通過無線 vpn網(wǎng)絡(luò)分行單點 ATM和移動辦公終端可在聯(lián)通無線信號覆蓋的任何區(qū)域接入分行網(wǎng)絡(luò)。為保證網(wǎng)絡(luò)安全，通過防火墻與聯(lián)通網(wǎng)絡(luò)進(jìn)行了隔離，單點 ATM和移動辦公終端在數(shù)據(jù)傳輸時均采取了嚴(yán)格的加密措施。 內(nèi)部網(wǎng)絡(luò)三個區(qū)域之間通過防火墻（ pix520）進(jìn)行隔離，并設(shè)置了相應(yīng)的訪問 策略，同時利用思科的內(nèi)容交換機(jī)（ cisco11051）和防火墻相結(jié)合，實現(xiàn)了防火墻的負(fù)載均衡和冗余備份。 分行網(wǎng)絡(luò)通過 cisco7606和華為 NE16接入總行網(wǎng)絡(luò)，兩臺設(shè)備互為備份，通過防火墻與總行網(wǎng)絡(luò)隔離。 在網(wǎng)絡(luò)監(jiān)控和預(yù)防非法入侵方面，分行采用聯(lián)想 N820入侵檢測設(shè)備，實時監(jiān)測網(wǎng)絡(luò)運行狀況。 目前的網(wǎng)絡(luò)存在以下問題： 設(shè)備的老化，故障頻發(fā)： 分行網(wǎng)絡(luò)從建設(shè)運行至今已有八年，大部分設(shè)備已出現(xiàn)不同程度的老化現(xiàn)象，網(wǎng)絡(luò)設(shè)備運行故障升高，斷電后再啟動、死機(jī)，重啟后無法啟動等現(xiàn)象頻繁發(fā)生。 6臺內(nèi)容交換機(jī)和 1臺 PIX防火墻都出現(xiàn)過硬件故障；兩臺匯聚路由器cisco7567 和 cisco7507 引擎故障，自動重啟；各支行網(wǎng)絡(luò)由路由器 cisco2621 陸續(xù)出現(xiàn)了故障。設(shè)備的老化已經(jīng)嚴(yán)重影響了網(wǎng)絡(luò)的正常運行。 系統(tǒng)陳舊，功能匱乏： 現(xiàn)有兩臺核心交換設(shè)備 cisco6509 操作系統(tǒng)為 CATOS，而現(xiàn)在CATOS已淘汰，目前市場流行的路由和交換設(shè)備都使用 IOS，因此導(dǎo)致不能兼容多數(shù)新型的網(wǎng)絡(luò)設(shè)備和各種新的功能特性，致使許多安全措施無法應(yīng)用，影響核心網(wǎng)絡(luò)的安全性。 架構(gòu)落后，安全風(fēng)險大： 隨著業(yè)務(wù)系統(tǒng)的擴(kuò)展，現(xiàn)有網(wǎng)絡(luò)雖采用了分層的設(shè)計思 想，但沒有對各功能區(qū)域進(jìn)行劃分，各業(yè)務(wù)系統(tǒng)及功能區(qū)域之間沒有指定清洗的安全等級，不利于安全策略的制定。 新建網(wǎng)絡(luò)設(shè)計 新網(wǎng)絡(luò)拓?fù)淙缦拢? 華夏銀行濟(jì)南分行數(shù)據(jù)中心項目工程實施方案 業(yè) 務(wù) 服 務(wù) 器 區(qū)分 行 用 戶 接 入 區(qū)開 發(fā) 測 試 區(qū)外 聯(lián) 接 入 區(qū)終 端 接 入 區(qū)V P N 主 機(jī)辦 公 服 務(wù) 器 區(qū)D M Z 區(qū)接 入 交 換 機(jī)S 5 5 0 0 5 2 C E I管 理 控 制 區(qū)總 行 接 入 區(qū)匯 聚 交 換 機(jī)S 5 5 0 0 5 2 C E I匯 聚 交 換 機(jī)S 5 5 0 0 5 2 C E I匯 聚 交 換 機(jī)S 5 5 0 0 2 8 C E I綠 盟 I P S5 0 8 P 0 2天 融 信T G 4 5 2 4外 聯(lián) 路 由 器C I S C O 3 8 4 5匯 聚 路 由 器S R 6 6 0 8總 行 接 入 路 由 器匯 聚 交 換 機(jī)S 5 5 0 0 5 2 C E I廣 域 接 入 區(qū)C D M A 接 入交 換 機(jī)S 5 5 0 0 5 2 C E I核 心 交 換 機(jī)S 7 5 0 6 E內(nèi) 置 防 火 墻 模 塊總 行 網(wǎng) 絡(luò)C D M A網(wǎng) 絡(luò)廣 電聯(lián) 通1 0 0 0 M b p s 單 模1 0 0 0 M b p s 多 模1 0 0 0 M b p s 雙 絞 線1 0 0 M b p s 雙 絞 線1 5 5 M b p s S D H2 M b p s S D H1 0 M b p s M S T P電 信同 城 支 行自 助 銀 行異 地 支 行城 域 網(wǎng)同 城 支 行銀 聯(lián)外 聯(lián) 單 位人 行 銀 監(jiān) 局匯 聚 交 換 機(jī)S 7 5 0 3 E接 入 交 換 機(jī) S 3 6 0 0 5 2 P E IS 3 6 0 0 5 2 P E IM S R 2 0 4 0M S R 3 0 2 0冷 備S 3 6 0 0 2 8 P E I華 夏 銀 行 濟(jì) 南 分 行 網(wǎng) 絡(luò) 拓 撲C o s t 1電 信代 收 費3 G東 營 路 由 器M S R 3 0 2 0 新建網(wǎng)絡(luò)有如下優(yōu)點： 1. 結(jié)構(gòu)整齊，層次清晰，便于管理。 2. 采用動態(tài)路由協(xié)議，維護(hù)簡單，擴(kuò)展性好； 第 3章 設(shè)備部署 設(shè)備命名規(guī)則 為便于進(jìn)行網(wǎng)絡(luò)故障診斷和遠(yuǎn)程監(jiān)測，參照總行《網(wǎng)絡(luò)設(shè)備命名規(guī)范》分行將統(tǒng)一全轄網(wǎng)絡(luò)設(shè)備的命名。 網(wǎng)絡(luò)系統(tǒng)中設(shè)備的命名使用五個字段組成，分別表示該設(shè)備所在區(qū)域，功能，層次，類型等，便于設(shè)備維護(hù)管理。設(shè)備 名稱的字母全部采用大寫表示。 主要網(wǎng)絡(luò)設(shè)備的 ID命名規(guī)則如下： A_B_C_D_E： A：分行名稱（如上海分行、等） B：區(qū)域名稱（如核心區(qū)、服務(wù)器區(qū)、辦公區(qū)、管理區(qū)、等，也可表示支行名稱） 華夏銀行濟(jì)南分行數(shù)據(jù)中心項目工程實施方案 C：區(qū)域?qū)哟危ㄈ鐓R聚層或接入層） D：設(shè)備類型（如核心交換機(jī)、路由器、防火墻、入侵檢測、等） E：設(shè)備序列號（如第一臺、第二臺、等） 根據(jù)上述描述，每個字段做如下進(jìn)一步的明確： A：分行名稱 分行名稱 標(biāo)識 北京 BJ 上海 SH … … B：區(qū)域名稱 序號 名稱 描述 1 CORE 核心區(qū)（ Core Zon