【文章內容簡介】 ........................................................74 生產(chǎn)外聯(lián)區(qū) ..................................................................................................................................................75 統(tǒng)一的安全聯(lián)動設計 ...........................................................................................................................................76 其他安全防護考慮 ...............................................................................................................................................78 網(wǎng)絡病毒控制 .......................................................................................................................................................79第 12 章 網(wǎng)絡管理 ............................................................................................................................................................81第 13 章 數(shù)據(jù)中心切換 ....................................................................................................................................................894 / 895 / 89第 1 章 前言上海數(shù)據(jù)中心工程是XX銀行數(shù)據(jù)大集中項目的重要組成部分，將作為全國生產(chǎn)中心投入運行。生產(chǎn)數(shù)據(jù)中心的建成將為提高XX銀行的經(jīng)營管理決策水平和風險控制能力打下堅實的基礎，并支持提升中國XX銀行整體的服務水平和信息化服務質量。華為 3Com 公司深刻認識到數(shù)據(jù)中心建設對于大集中項目以及中國 XX 銀行發(fā)展的重要性，針對數(shù)據(jù)中心承載多種業(yè)務應用的特點，按照高可靠、高安全和先進性的原則對網(wǎng)絡整體結構和各個功能分區(qū)進行了詳細的網(wǎng)絡方案設計。為用戶提供最完善的服務是華為 3Com 技術有限公司的一貫宗旨，有關本方案的一切問題，歡迎用戶在隨時垂詢。6 / 89第 2 章 概述針對上海數(shù)據(jù)生產(chǎn)中心穩(wěn)定、可靠、高效運行的要求，本方案以高可靠性，高安全性和先進性為原則進行了重點設計。整體結構上，根據(jù)上海數(shù)據(jù)中心承載多種業(yè)務功能的特點，依據(jù)統(tǒng)一性，開放性，易擴展和可管理的特性要求，通過模塊化層次化的構筑方法，以高可靠、高速率的交換結構為中心，連接生產(chǎn)區(qū)，外聯(lián)區(qū)，接入?yún)^(qū)和 MIS 區(qū)等功能分區(qū)，并針對各個功能不同的業(yè)務應用需求和安全要求進行了針對性設計。在本項目設備建議中，我們推薦了先進的 Quidway S8500 系列萬兆核心路由交換機作為平臺構架的主要設備，通過高效的萬兆交換技術實現(xiàn)骨干網(wǎng)絡的高性能互聯(lián)，同時，其安全聯(lián)動、全面的業(yè)務支持以及電信級的高可靠特性，更保障本網(wǎng)絡具備了有強大的業(yè)務支撐和性能擴展能力，可以滿足上海數(shù)據(jù)中心未來 3－5 年的發(fā)展需要。7 / 89第 3 章 網(wǎng)絡設計原則高可用性網(wǎng)絡架構和設備均支持業(yè)務系統(tǒng)對服務級別高可靠性的要求，在網(wǎng)絡分層部署的架構和設備體系選擇以及相關配置上均充分按照高可用的系統(tǒng)設計。高安全性按照立體的安全體系進行設計，分布式部署，使網(wǎng)絡具有統(tǒng)一的安全，支持全網(wǎng)的安全聯(lián)動。先進性網(wǎng)絡設備支持先進的高性能體系架構，支持高帶寬的數(shù)據(jù)傳輸。統(tǒng)一性數(shù)據(jù)中心局域網(wǎng)是基于大集中“一個整體”基礎上考慮。全網(wǎng)采用統(tǒng)一的架構、策略部署，QoS 分類和設備形態(tài)，保證全網(wǎng)的可維護性。開放性本方案網(wǎng)絡建設全面遵循業(yè)界標準，所推薦采用的設備、技術在互通性和互操作性上，可以支持本網(wǎng)絡系統(tǒng)的快速布署。8 / 89第 4 章 總體架構設計 結構設計 結構設計策略按照數(shù)據(jù)中心的結構，本方案采用以下策略設計高可靠的設計思想融合在結構設計、路由設計、應用服務設計的各個層面；針對業(yè)務網(wǎng)絡應用需求實施全模塊化分區(qū)設計；依照工作重點和結構分工的整網(wǎng)三層體系結構； 分區(qū)模塊設計網(wǎng)絡按照業(yè)務應用需求，劃分以下主要功能區(qū)：? 生產(chǎn)區(qū)? MIS 區(qū)? 生產(chǎn)外聯(lián)區(qū)? 廣域接入?yún)^(qū)? 運行管理區(qū)? OA 接入控制區(qū)各個區(qū)以擴展模塊的形式分別連接到數(shù)據(jù)中心高可靠的核心交換網(wǎng)絡。9 / 89數(shù) 據(jù) 中 心 核 心 網(wǎng) 絡生 產(chǎn) 區(qū) 測 試 區(qū) MIS區(qū) 生 產(chǎn)外 聯(lián) 區(qū) 廣 域接 入 區(qū) 運 行管 理 區(qū) 分層設計按照網(wǎng)絡核心，匯聚和接入的模型對數(shù)據(jù)中心以及之內的每一個功能區(qū)域按照層次化結構模型進行劃分：核心層構成整個數(shù)據(jù)中心生產(chǎn)局域網(wǎng)的高速交換核心，為各個功能分區(qū)提供高可靠高穩(wěn)定和支持快速愈合的第三層接入服務。在核心層設計以高可靠，高速交換為主要原則；匯聚層各個功能分區(qū)的交換核心是組成整個生產(chǎn)中心局域網(wǎng)的匯聚層。匯聚層提供各個分區(qū)內部接入層的匯聚，作為各個分區(qū)的對外接入，集中實現(xiàn)接入控制和安全控制；接入層在各個分區(qū)主機和服務器的接入，具有高密度的接入能力。支持基于主機端口的訪問控制，并針對接入的數(shù)據(jù)流進行標記工作，便于傳輸過程中逐級實現(xiàn)針對流量的 QoS 控制策略。10 / 89 物理部署設計上海數(shù)據(jù)中心的核心網(wǎng)絡主要分布在上海園區(qū)的 E2 樓的各層，因此網(wǎng)絡將按照就近接入的原則將各個功能區(qū)網(wǎng)絡設備與應用主機就近放置分布在各個樓層。網(wǎng)絡的交換核心、廣域接入?yún)^(qū)等沒有主機接入的功能區(qū)域放置于網(wǎng)絡機房。 上海全國數(shù)據(jù)中心局域網(wǎng)拓樸在數(shù)據(jù)中心的實際部署中，針對數(shù)據(jù)中心模型進一步細分各個功能分區(qū)。生產(chǎn)區(qū)涉及到的應用系統(tǒng)較多包括核心業(yè)務以及各種總行級的業(yè)務系統(tǒng)。核心業(yè)務系統(tǒng)放置于 IBM S/390 上，通過在 S/390 上劃分多個分區(qū)來實現(xiàn)核心業(yè)務相關的不同功能?？紤]到核心業(yè)務系統(tǒng)屬于銀行全部業(yè)務核心，屬于數(shù)據(jù)中心的重中之重，同時 S/390 的操作方式與其他開放平臺不一致，因此物理上將生產(chǎn)區(qū)設置為核心業(yè)務生產(chǎn)區(qū)和開放平臺生產(chǎn)區(qū) 2 個分區(qū)接入到核心層。測試區(qū)根據(jù)測試需要盡量與生產(chǎn)網(wǎng)絡實現(xiàn)完全分離，根據(jù)實際需求確定是否需接入到核11 / 89心層。生產(chǎn)外聯(lián)區(qū)包括網(wǎng)上銀行的 Inter 外聯(lián)以及和合作伙伴的 Extra 外聯(lián)兩種方式，在網(wǎng)絡結構上和安全部署上有很大不同，因此在實際部署中分別設置 2 個接入?yún)^(qū)域連接到核心交換區(qū)。廣域接入?yún)^(qū)設置一個單獨的物理分區(qū)，提供各個一級分行的流量接入和匯聚。災備接入?yún)^(qū)設置一個單獨的物理分區(qū)，部署與北京災備中心的連接和災備策略的部署。MIS 服務區(qū)設置一個單獨的物理分區(qū)，提供 MIS 業(yè)務應用的服務。運行管理區(qū)設置一個單獨的物理分區(qū)，提供數(shù)據(jù)中心和全網(wǎng)的管理和監(jiān)控。 網(wǎng)絡核心層網(wǎng)絡核心層由 4 臺萬兆交換機構成，通過萬兆實現(xiàn)各個功能分區(qū)的接入，同時 4 臺交換機之間采用雙萬兆捆綁的方式實現(xiàn)高速互聯(lián)。為了保證通過核心網(wǎng)絡的流量和路徑可控，并提高故障切換的效率，對各個功能分區(qū)實現(xiàn)三層接入的方式。為了保證各個功能分區(qū)的高可靠性，與各個功能分區(qū)的匯聚交換機采用雙星型的結構連接。12 / 89 生產(chǎn)區(qū)生 產(chǎn) 區(qū) 網(wǎng) 絡 結 構核 心 交 換 區(qū)核 心 交 換 層匯 聚 層接 入 層 核 心 業(yè) 務 生 產(chǎn) 環(huán) 境 開 放 系 統(tǒng) 生 產(chǎn) 環(huán) 境生產(chǎn)區(qū)將接入數(shù)據(jù)中心核心生產(chǎn)系統(tǒng)和部分生產(chǎn)系統(tǒng)前置 ；生產(chǎn)區(qū)核心業(yè)務平臺：由 2 臺匯聚層交換機和 2 臺接入層交換機構成，接入層交接機連接 S/390 主機系統(tǒng)平臺。生產(chǎn)區(qū)開放平臺：由 2 臺匯聚層交換機和 4 臺接入層交換機構成，接入層交接機連接開放平臺。連接方式：四臺接入層交換設備通過四條千兆線路上聯(lián)到匯聚層，兩臺匯聚層設備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機。13 / 89 運行管理區(qū)運 行 管 理 區(qū) 網(wǎng) 絡 結 構核 心 交 換 區(qū)核 心 交 換 層匯 聚 層接 入 層運 行 管 理 區(qū) 環(huán) 境運行管理區(qū)是生產(chǎn)中心主要的人員操作區(qū)，主要以各種管理配置平臺為主。運行管理區(qū)：由 2 臺匯聚層交換機和 2 臺接入層交換機構成，接入層交接機連接各類業(yè)務、網(wǎng)絡、配置管理系統(tǒng)；連接方式：兩臺接入層交換設備通過雙千兆線路上聯(lián)到匯聚層，兩臺匯聚層設備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機。14 / 89 MIS 區(qū)MIS 區(qū)將接入數(shù)據(jù)中心 MIS 處理主機系統(tǒng)，主要以開放平臺為主。MIS 系統(tǒng)平臺：由 2 臺匯聚層交換機和 4 臺接入層交換機（兩層結構、分為外聯(lián)接入交換機與內聯(lián)接入交換機）構成，接入層交接機連接各 MIS 系統(tǒng)平臺；連接方式：兩臺接入層交換設備通過雙萬兆線路上聯(lián)到匯聚層，兩臺匯聚層設備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機。15 / 89 廣域接入?yún)^(qū)廣 域 接 入 區(qū)核 心 交 換 區(qū)核 心 交 換 層匯 聚 層接 入 層 一 級 分 行 下 聯(lián) 接 入IDS廣域接入提供各個下聯(lián)一級分行的接入，同時支持在接入邊界部署安全控制策略。廣域接入平臺：由 2 臺匯聚層交換機構成，直接接入路由設備。連接方式：匯聚層設備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機。在匯聚交換機側支持部署防火墻和入侵檢測設備，采用訪問控制和安全聯(lián)動相結合的方式對接入流量進行安全防護。 （ 關于安全聯(lián)動的詳細介紹請參閱第十一章：網(wǎng)絡安全相關內容） OA 接入控制區(qū)OA 接入控制區(qū)是生產(chǎn)區(qū)和 OA 用戶及 OA 服務器所在功能區(qū)的隔離區(qū)，OA 用戶通過此區(qū)訪問生產(chǎn)的相關資源。OA 接入控制區(qū)：由 2 臺匯聚層交換機構成。在匯聚交換機對外互連處部署防火墻和入侵檢測設備，采用訪問控制和安全聯(lián)動相結合的方式對流量進行安全防護。連接方式：匯聚層設備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機。16 / 89 生產(chǎn)外聯(lián)17 / 89生產(chǎn)外聯(lián)區(qū)主要分為兩大部分：網(wǎng)銀 Inter 接入?yún)^(qū)域、合作伙伴接入?yún)^(qū)域，兩大區(qū)域建立統(tǒng)一的匯聚層交換機，按照兩大區(qū)域對安全級別的要求的不同，分別設置多層 DMZ 區(qū)域。在合作伙伴接入?yún)^(qū)域提供和各個金融服務機構，金融監(jiān)管機構和金融市場的接入，會部署大量的外聯(lián)前置系統(tǒng)，采用防火墻實現(xiàn)隔離，在 DMZ 區(qū)部署外聯(lián)前置服務器。合作伙伴接入?yún)^(qū)域接入平臺：由 2 臺 DMZ 區(qū)接入交換機構成。在外聯(lián)網(wǎng)接入和 DMZ 與匯聚層連接處部署高可用防火墻，并部署 IDS 設備實現(xiàn)安全聯(lián)動。連接方式：匯聚層設備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機。網(wǎng)銀互聯(lián)網(wǎng)接入部分主要面向互聯(lián)網(wǎng)的客戶提供服務以及部分數(shù)據(jù)交換，網(wǎng)上銀行作為主要特色應用會部署在此區(qū)域。此區(qū)域會有大量的互聯(lián)網(wǎng)服務器如 Web 應用，DNS 服務器等，同時還有大量的客戶服務和應用處理服務器?？紤]到 Inter 接入需要更高的安全因此將服務器分別部署在 DMZ 區(qū)和擴展 DMZ 區(qū)，并采用三層防火墻進行隔離，同時部署相應的 IDS設備。網(wǎng)銀互聯(lián)網(wǎng)接入平臺：由 2 臺匯聚層交換機和 4 臺 DMZ 接入交換機構成。并配置 6 臺防火墻實現(xiàn)各個區(qū)之間的安全隔離。 設備選型推薦針對數(shù)據(jù)中心建設的統(tǒng)一性原則，針對數(shù)據(jù)中心盡量采用相同的設備進行配置，從而保證數(shù)據(jù)中心整體的易維護和易擴展。針對數(shù)據(jù)中心大量服務器采用千兆接入，要求高效傳輸?shù)奶攸c，在骨干層和匯聚層間，以及部分匯聚和接入層間采用萬兆連接，減少千兆捆綁帶來的復雜配置，同時支持業(yè)務未來3－5 年的快速增長。對于生產(chǎn)外聯(lián)區(qū)，考慮到需要有大量的防火墻隔離，受制于外聯(lián)廣域網(wǎng)的限制，接入層和匯聚層之間采用千兆連接。針對上述分析數(shù)據(jù)中心在設備級的要求如下：? 電信級可靠性網(wǎng)絡設備 %，支持熱切換，熱補丁? 采用萬兆技術，支持高密度萬兆連接? 支持安全聯(lián)動18 / 89? 有效抵御網(wǎng)絡資源消耗型病毒攻擊（例如 DOS/REDCODE 等）? 全分布式線速處理? 支持多業(yè)務的深度感知? 支持 MPLS VPN 和 IP V6 功能擴展? 支持外置冗余電源? 大容量冗余交換背板結構? 單機具有高擴展能力針對上述分析本項目的設備選型推薦列表如下：數(shù)據(jù)中心核心交換機 Quidway S8512數(shù)據(jù)中心匯聚層交換機 Quidway S8512運維管理區(qū)接入交換機 Quidway S8512其他功能區(qū)的接入交換機