【文章內(nèi)容簡介】 ........................................................74 生產(chǎn)外聯(lián)區(qū) ..................................................................................................................................................75 統(tǒng)一的安全聯(lián)動設(shè)計 ...........................................................................................................................................76 其他安全防護(hù)考慮 ...............................................................................................................................................78 網(wǎng)絡(luò)病毒控制 .......................................................................................................................................................79第 12 章 網(wǎng)絡(luò)管理 ............................................................................................................................................................81第 13 章 數(shù)據(jù)中心切換 ....................................................................................................................................................894 / 895 / 89第 1 章 前言上海數(shù)據(jù)中心工程是XX銀行數(shù)據(jù)大集中項目的重要組成部分，將作為全國生產(chǎn)中心投入運行。生產(chǎn)數(shù)據(jù)中心的建成將為提高XX銀行的經(jīng)營管理決策水平和風(fēng)險控制能力打下堅實的基礎(chǔ)，并支持提升中國XX銀行整體的服務(wù)水平和信息化服務(wù)質(zhì)量。華為 3Com 公司深刻認(rèn)識到數(shù)據(jù)中心建設(shè)對于大集中項目以及中國 XX 銀行發(fā)展的重要性，針對數(shù)據(jù)中心承載多種業(yè)務(wù)應(yīng)用的特點，按照高可靠、高安全和先進(jìn)性的原則對網(wǎng)絡(luò)整體結(jié)構(gòu)和各個功能分區(qū)進(jìn)行了詳細(xì)的網(wǎng)絡(luò)方案設(shè)計。為用戶提供最完善的服務(wù)是華為 3Com 技術(shù)有限公司的一貫宗旨，有關(guān)本方案的一切問題，歡迎用戶在隨時垂詢。6 / 89第 2 章 概述針對上海數(shù)據(jù)生產(chǎn)中心穩(wěn)定、可靠、高效運行的要求，本方案以高可靠性，高安全性和先進(jìn)性為原則進(jìn)行了重點設(shè)計。整體結(jié)構(gòu)上，根據(jù)上海數(shù)據(jù)中心承載多種業(yè)務(wù)功能的特點，依據(jù)統(tǒng)一性，開放性，易擴(kuò)展和可管理的特性要求，通過模塊化層次化的構(gòu)筑方法，以高可靠、高速率的交換結(jié)構(gòu)為中心，連接生產(chǎn)區(qū)，外聯(lián)區(qū)，接入?yún)^(qū)和 MIS 區(qū)等功能分區(qū)，并針對各個功能不同的業(yè)務(wù)應(yīng)用需求和安全要求進(jìn)行了針對性設(shè)計。在本項目設(shè)備建議中，我們推薦了先進(jìn)的 Quidway S8500 系列萬兆核心路由交換機(jī)作為平臺構(gòu)架的主要設(shè)備，通過高效的萬兆交換技術(shù)實現(xiàn)骨干網(wǎng)絡(luò)的高性能互聯(lián)，同時，其安全聯(lián)動、全面的業(yè)務(wù)支持以及電信級的高可靠特性，更保障本網(wǎng)絡(luò)具備了有強(qiáng)大的業(yè)務(wù)支撐和性能擴(kuò)展能力，可以滿足上海數(shù)據(jù)中心未來 3－5 年的發(fā)展需要。7 / 89第 3 章 網(wǎng)絡(luò)設(shè)計原則高可用性網(wǎng)絡(luò)架構(gòu)和設(shè)備均支持業(yè)務(wù)系統(tǒng)對服務(wù)級別高可靠性的要求，在網(wǎng)絡(luò)分層部署的架構(gòu)和設(shè)備體系選擇以及相關(guān)配置上均充分按照高可用的系統(tǒng)設(shè)計。高安全性按照立體的安全體系進(jìn)行設(shè)計，分布式部署，使網(wǎng)絡(luò)具有統(tǒng)一的安全，支持全網(wǎng)的安全聯(lián)動。先進(jìn)性網(wǎng)絡(luò)設(shè)備支持先進(jìn)的高性能體系架構(gòu)，支持高帶寬的數(shù)據(jù)傳輸。統(tǒng)一性數(shù)據(jù)中心局域網(wǎng)是基于大集中“一個整體”基礎(chǔ)上考慮。全網(wǎng)采用統(tǒng)一的架構(gòu)、策略部署，QoS 分類和設(shè)備形態(tài)，保證全網(wǎng)的可維護(hù)性。開放性本方案網(wǎng)絡(luò)建設(shè)全面遵循業(yè)界標(biāo)準(zhǔn)，所推薦采用的設(shè)備、技術(shù)在互通性和互操作性上，可以支持本網(wǎng)絡(luò)系統(tǒng)的快速布署。8 / 89第 4 章 總體架構(gòu)設(shè)計 結(jié)構(gòu)設(shè)計 結(jié)構(gòu)設(shè)計策略按照數(shù)據(jù)中心的結(jié)構(gòu)，本方案采用以下策略設(shè)計高可靠的設(shè)計思想融合在結(jié)構(gòu)設(shè)計、路由設(shè)計、應(yīng)用服務(wù)設(shè)計的各個層面；針對業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用需求實施全模塊化分區(qū)設(shè)計；依照工作重點和結(jié)構(gòu)分工的整網(wǎng)三層體系結(jié)構(gòu)； 分區(qū)模塊設(shè)計網(wǎng)絡(luò)按照業(yè)務(wù)應(yīng)用需求，劃分以下主要功能區(qū)：? 生產(chǎn)區(qū)? MIS 區(qū)? 生產(chǎn)外聯(lián)區(qū)? 廣域接入?yún)^(qū)? 運行管理區(qū)? OA 接入控制區(qū)各個區(qū)以擴(kuò)展模塊的形式分別連接到數(shù)據(jù)中心高可靠的核心交換網(wǎng)絡(luò)。9 / 89數(shù) 據(jù) 中 心 核 心 網(wǎng) 絡(luò)生 產(chǎn) 區(qū) 測 試 區(qū) MIS區(qū) 生 產(chǎn)外 聯(lián) 區(qū) 廣 域接 入 區(qū) 運 行管 理 區(qū) 分層設(shè)計按照網(wǎng)絡(luò)核心，匯聚和接入的模型對數(shù)據(jù)中心以及之內(nèi)的每一個功能區(qū)域按照層次化結(jié)構(gòu)模型進(jìn)行劃分：核心層構(gòu)成整個數(shù)據(jù)中心生產(chǎn)局域網(wǎng)的高速交換核心，為各個功能分區(qū)提供高可靠高穩(wěn)定和支持快速愈合的第三層接入服務(wù)。在核心層設(shè)計以高可靠，高速交換為主要原則；匯聚層各個功能分區(qū)的交換核心是組成整個生產(chǎn)中心局域網(wǎng)的匯聚層。匯聚層提供各個分區(qū)內(nèi)部接入層的匯聚，作為各個分區(qū)的對外接入，集中實現(xiàn)接入控制和安全控制；接入層在各個分區(qū)主機(jī)和服務(wù)器的接入，具有高密度的接入能力。支持基于主機(jī)端口的訪問控制，并針對接入的數(shù)據(jù)流進(jìn)行標(biāo)記工作，便于傳輸過程中逐級實現(xiàn)針對流量的 QoS 控制策略。10 / 89 物理部署設(shè)計上海數(shù)據(jù)中心的核心網(wǎng)絡(luò)主要分布在上海園區(qū)的 E2 樓的各層，因此網(wǎng)絡(luò)將按照就近接入的原則將各個功能區(qū)網(wǎng)絡(luò)設(shè)備與應(yīng)用主機(jī)就近放置分布在各個樓層。網(wǎng)絡(luò)的交換核心、廣域接入?yún)^(qū)等沒有主機(jī)接入的功能區(qū)域放置于網(wǎng)絡(luò)機(jī)房。 上海全國數(shù)據(jù)中心局域網(wǎng)拓樸在數(shù)據(jù)中心的實際部署中，針對數(shù)據(jù)中心模型進(jìn)一步細(xì)分各個功能分區(qū)。生產(chǎn)區(qū)涉及到的應(yīng)用系統(tǒng)較多包括核心業(yè)務(wù)以及各種總行級的業(yè)務(wù)系統(tǒng)。核心業(yè)務(wù)系統(tǒng)放置于 IBM S/390 上，通過在 S/390 上劃分多個分區(qū)來實現(xiàn)核心業(yè)務(wù)相關(guān)的不同功能?？紤]到核心業(yè)務(wù)系統(tǒng)屬于銀行全部業(yè)務(wù)核心，屬于數(shù)據(jù)中心的重中之重，同時 S/390 的操作方式與其他開放平臺不一致，因此物理上將生產(chǎn)區(qū)設(shè)置為核心業(yè)務(wù)生產(chǎn)區(qū)和開放平臺生產(chǎn)區(qū) 2 個分區(qū)接入到核心層。測試區(qū)根據(jù)測試需要盡量與生產(chǎn)網(wǎng)絡(luò)實現(xiàn)完全分離，根據(jù)實際需求確定是否需接入到核11 / 89心層。生產(chǎn)外聯(lián)區(qū)包括網(wǎng)上銀行的 Inter 外聯(lián)以及和合作伙伴的 Extra 外聯(lián)兩種方式，在網(wǎng)絡(luò)結(jié)構(gòu)上和安全部署上有很大不同，因此在實際部署中分別設(shè)置 2 個接入?yún)^(qū)域連接到核心交換區(qū)。廣域接入?yún)^(qū)設(shè)置一個單獨的物理分區(qū)，提供各個一級分行的流量接入和匯聚。災(zāi)備接入?yún)^(qū)設(shè)置一個單獨的物理分區(qū)，部署與北京災(zāi)備中心的連接和災(zāi)備策略的部署。MIS 服務(wù)區(qū)設(shè)置一個單獨的物理分區(qū)，提供 MIS 業(yè)務(wù)應(yīng)用的服務(wù)。運行管理區(qū)設(shè)置一個單獨的物理分區(qū)，提供數(shù)據(jù)中心和全網(wǎng)的管理和監(jiān)控。 網(wǎng)絡(luò)核心層網(wǎng)絡(luò)核心層由 4 臺萬兆交換機(jī)構(gòu)成，通過萬兆實現(xiàn)各個功能分區(qū)的接入，同時 4 臺交換機(jī)之間采用雙萬兆捆綁的方式實現(xiàn)高速互聯(lián)。為了保證通過核心網(wǎng)絡(luò)的流量和路徑可控，并提高故障切換的效率，對各個功能分區(qū)實現(xiàn)三層接入的方式。為了保證各個功能分區(qū)的高可靠性，與各個功能分區(qū)的匯聚交換機(jī)采用雙星型的結(jié)構(gòu)連接。12 / 89 生產(chǎn)區(qū)生 產(chǎn) 區(qū) 網(wǎng) 絡(luò) 結(jié) 構(gòu)核 心 交 換 區(qū)核 心 交 換 層匯 聚 層接 入 層 核 心 業(yè) 務(wù) 生 產(chǎn) 環(huán) 境 開 放 系 統(tǒng) 生 產(chǎn) 環(huán) 境生產(chǎn)區(qū)將接入數(shù)據(jù)中心核心生產(chǎn)系統(tǒng)和部分生產(chǎn)系統(tǒng)前置 ；生產(chǎn)區(qū)核心業(yè)務(wù)平臺：由 2 臺匯聚層交換機(jī)和 2 臺接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接 S/390 主機(jī)系統(tǒng)平臺。生產(chǎn)區(qū)開放平臺：由 2 臺匯聚層交換機(jī)和 4 臺接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接開放平臺。連接方式：四臺接入層交換設(shè)備通過四條千兆線路上聯(lián)到匯聚層，兩臺匯聚層設(shè)備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機(jī)。13 / 89 運行管理區(qū)運 行 管 理 區(qū) 網(wǎng) 絡(luò) 結(jié) 構(gòu)核 心 交 換 區(qū)核 心 交 換 層匯 聚 層接 入 層運 行 管 理 區(qū) 環(huán) 境運行管理區(qū)是生產(chǎn)中心主要的人員操作區(qū)，主要以各種管理配置平臺為主。運行管理區(qū)：由 2 臺匯聚層交換機(jī)和 2 臺接入層交換機(jī)構(gòu)成，接入層交接機(jī)連接各類業(yè)務(wù)、網(wǎng)絡(luò)、配置管理系統(tǒng)；連接方式：兩臺接入層交換設(shè)備通過雙千兆線路上聯(lián)到匯聚層，兩臺匯聚層設(shè)備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機(jī)。14 / 89 MIS 區(qū)MIS 區(qū)將接入數(shù)據(jù)中心 MIS 處理主機(jī)系統(tǒng)，主要以開放平臺為主。MIS 系統(tǒng)平臺：由 2 臺匯聚層交換機(jī)和 4 臺接入層交換機(jī)（兩層結(jié)構(gòu)、分為外聯(lián)接入交換機(jī)與內(nèi)聯(lián)接入交換機(jī)）構(gòu)成，接入層交接機(jī)連接各 MIS 系統(tǒng)平臺；連接方式：兩臺接入層交換設(shè)備通過雙萬兆線路上聯(lián)到匯聚層，兩臺匯聚層設(shè)備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機(jī)。15 / 89 廣域接入?yún)^(qū)廣 域 接 入 區(qū)核 心 交 換 區(qū)核 心 交 換 層匯 聚 層接 入 層 一 級 分 行 下 聯(lián) 接 入IDS廣域接入提供各個下聯(lián)一級分行的接入，同時支持在接入邊界部署安全控制策略。廣域接入平臺：由 2 臺匯聚層交換機(jī)構(gòu)成，直接接入路由設(shè)備。連接方式：匯聚層設(shè)備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機(jī)。在匯聚交換機(jī)側(cè)支持部署防火墻和入侵檢測設(shè)備，采用訪問控制和安全聯(lián)動相結(jié)合的方式對接入流量進(jìn)行安全防護(hù)。 （ 關(guān)于安全聯(lián)動的詳細(xì)介紹請參閱第十一章：網(wǎng)絡(luò)安全相關(guān)內(nèi)容） OA 接入控制區(qū)OA 接入控制區(qū)是生產(chǎn)區(qū)和 OA 用戶及 OA 服務(wù)器所在功能區(qū)的隔離區(qū)，OA 用戶通過此區(qū)訪問生產(chǎn)的相關(guān)資源。OA 接入控制區(qū)：由 2 臺匯聚層交換機(jī)構(gòu)成。在匯聚交換機(jī)對外互連處部署防火墻和入侵檢測設(shè)備，采用訪問控制和安全聯(lián)動相結(jié)合的方式對流量進(jìn)行安全防護(hù)。連接方式：匯聚層設(shè)備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機(jī)。16 / 89 生產(chǎn)外聯(lián)17 / 89生產(chǎn)外聯(lián)區(qū)主要分為兩大部分：網(wǎng)銀 Inter 接入?yún)^(qū)域、合作伙伴接入?yún)^(qū)域，兩大區(qū)域建立統(tǒng)一的匯聚層交換機(jī)，按照兩大區(qū)域?qū)Π踩墑e的要求的不同，分別設(shè)置多層 DMZ 區(qū)域。在合作伙伴接入?yún)^(qū)域提供和各個金融服務(wù)機(jī)構(gòu)，金融監(jiān)管機(jī)構(gòu)和金融市場的接入，會部署大量的外聯(lián)前置系統(tǒng)，采用防火墻實現(xiàn)隔離，在 DMZ 區(qū)部署外聯(lián)前置服務(wù)器。合作伙伴接入?yún)^(qū)域接入平臺：由 2 臺 DMZ 區(qū)接入交換機(jī)構(gòu)成。在外聯(lián)網(wǎng)接入和 DMZ 與匯聚層連接處部署高可用防火墻，并部署 IDS 設(shè)備實現(xiàn)安全聯(lián)動。連接方式：匯聚層設(shè)備之間通過兩條冗余的千兆線路實現(xiàn)互連，同時，各自通過兩條千兆冗余線路分別上行到兩臺核心交換層交換機(jī)。網(wǎng)銀互聯(lián)網(wǎng)接入部分主要面向互聯(lián)網(wǎng)的客戶提供服務(wù)以及部分?jǐn)?shù)據(jù)交換，網(wǎng)上銀行作為主要特色應(yīng)用會部署在此區(qū)域。此區(qū)域會有大量的互聯(lián)網(wǎng)服務(wù)器如 Web 應(yīng)用，DNS 服務(wù)器等，同時還有大量的客戶服務(wù)和應(yīng)用處理服務(wù)器?？紤]到 Inter 接入需要更高的安全因此將服務(wù)器分別部署在 DMZ 區(qū)和擴(kuò)展 DMZ 區(qū)，并采用三層防火墻進(jìn)行隔離，同時部署相應(yīng)的 IDS設(shè)備。網(wǎng)銀互聯(lián)網(wǎng)接入平臺：由 2 臺匯聚層交換機(jī)和 4 臺 DMZ 接入交換機(jī)構(gòu)成。并配置 6 臺防火墻實現(xiàn)各個區(qū)之間的安全隔離。 設(shè)備選型推薦針對數(shù)據(jù)中心建設(shè)的統(tǒng)一性原則，針對數(shù)據(jù)中心盡量采用相同的設(shè)備進(jìn)行配置，從而保證數(shù)據(jù)中心整體的易維護(hù)和易擴(kuò)展。針對數(shù)據(jù)中心大量服務(wù)器采用千兆接入，要求高效傳輸?shù)奶攸c，在骨干層和匯聚層間，以及部分匯聚和接入層間采用萬兆連接，減少千兆捆綁帶來的復(fù)雜配置，同時支持業(yè)務(wù)未來3－5 年的快速增長。對于生產(chǎn)外聯(lián)區(qū)，考慮到需要有大量的防火墻隔離，受制于外聯(lián)廣域網(wǎng)的限制，接入層和匯聚層之間采用千兆連接。針對上述分析數(shù)據(jù)中心在設(shè)備級的要求如下：? 電信級可靠性網(wǎng)絡(luò)設(shè)備 %，支持熱切換，熱補丁? 采用萬兆技術(shù)，支持高密度萬兆連接? 支持安全聯(lián)動18 / 89? 有效抵御網(wǎng)絡(luò)資源消耗型病毒攻擊（例如 DOS/REDCODE 等）? 全分布式線速處理? 支持多業(yè)務(wù)的深度感知? 支持 MPLS VPN 和 IP V6 功能擴(kuò)展? 支持外置冗余電源? 大容量冗余交換背板結(jié)構(gòu)? 單機(jī)具有高擴(kuò)展能力針對上述分析本項目的設(shè)備選型推薦列表如下：數(shù)據(jù)中心核心交換機(jī) Quidway S8512數(shù)據(jù)中心匯聚層交換機(jī) Quidway S8512運維管理區(qū)接入交換機(jī) Quidway S8512其他功能區(qū)的接入交換機(jī)