【正文】 營業(yè)類數(shù)據(jù)和部分管理類數(shù)據(jù)將迂回到撥號備份鏈路上傳輸；新增的備份電路（ 2M）備份一 級分行與數(shù)據(jù)中心間的上收營業(yè)類數(shù)據(jù)。 最終階段均衡負載以及數(shù)據(jù)分流設(shè)計 根據(jù)建行的業(yè)務(wù)需求，在網(wǎng)絡(luò)的最終階段一級骨干網(wǎng)上需有以下幾種業(yè)務(wù)流向： 業(yè)務(wù)流一 Figure 4 業(yè)務(wù)流向 1 說明：主電路正常時，南北各一級分行利用各自的主電路傳送實時生產(chǎn)業(yè)務(wù)。當主電路不正常時才切換到輔電路。 業(yè)務(wù)流二 Figure 5 業(yè)務(wù)流向二 說明：有些實時業(yè)務(wù)，如國際卡中心設(shè)在 南方中心，業(yè)務(wù)要求在網(wǎng)絡(luò)正常時利用主電路。即對于北方一級分行，要求往返業(yè)務(wù)通過主電路經(jīng)過北方中心到達南方中心。 業(yè)務(wù)流三 說明：某些業(yè)務(wù)，如 OA 要求利用輔電路傳輸，對于北方一級分行，要求該業(yè)務(wù)通過輔電路經(jīng)南方中心到達北方中心。當輔電路失效后，除了必要的管理信息，其他信息不應(yīng)切換到主電路。 業(yè)務(wù)流四 說明：一級分行之間的某些信息流需通過輔電路進行通訊。如北方一級分行和南方一級分行之間的 OA通信需通過北方中心和南方中心轉(zhuǎn)發(fā)。并且在輔電路失效后會切換到主電路。 總結(jié)以上各種 類型的數(shù)據(jù)流分流需求，數(shù)據(jù)分流具體描述如下： 對于上收業(yè)務(wù)北方一級分行可直接通達北京中心，南方一級分行可直接通達上海中心。 北方一級分行的國際卡業(yè)務(wù)需要通過北京中心到達上海中心的業(yè)務(wù)網(wǎng)段，反之亦然。 北方一級分行至北京中心的管理數(shù)據(jù)通過上海中心到達北京中心管理網(wǎng)段，反之亦然。 北方一級分行至上海中心的管理數(shù)據(jù)直接到達上海中心管理網(wǎng)段，反之亦然。 南方一級分行至北京中心的管理數(shù)據(jù)直接到達北京中心管理網(wǎng)段，反之亦然。 南方一級分行至上海中心的管理數(shù)據(jù)通過北京中心到達上海中心管理網(wǎng)段，反之亦然。 北方一級分行至南 方一級分行的管理數(shù)據(jù)通過上海中心和北京中心到達南方一級分行的管理網(wǎng)段，反之亦然。 廣域網(wǎng)數(shù)據(jù)分流的實現(xiàn) ? 設(shè)計原則： 在一級網(wǎng)實現(xiàn)上述數(shù)據(jù)分流，同時盡量遵循現(xiàn)有的網(wǎng)絡(luò)分流方法：在一級分行局域網(wǎng)保持現(xiàn)有的利用調(diào)整 OSPF cost 和 HSRP 實現(xiàn)一定的分流。 由于此次數(shù)據(jù)中心廣域網(wǎng)建設(shè)采用跨不同 AS 域的交叉連接，采用調(diào)整 BGP 的選擇路由的屬性和數(shù)據(jù)中心分發(fā)明細路由實現(xiàn)分流。 北方一級分行遼寧AS 65022D C B J_ R AD C B J_ R BD C B J_ R 1D C B J_ R 2LN _R ALN _R BD C SH_ R AD C SH_ R BD C SH_ R 1 D C SH_ R 2至總行上海分行AS 65030SH_ R A SH_ R B至總行北京中心AS 65001上海中心AS 65002LN _R CD C B J_ R 3IBGP PeersIBGP Peersset weight @南方一級分行set weight @北方一級分行set weight @北方一級分行set weight @南方一級分行 ? 設(shè)計說明： 1. 上海、北京中心之間采用兩條 155M ATM 作為互為備份電路，路由 器 DCBJ_RA 和DCSH_RA 之間的電路主要承載實時生產(chǎn)業(yè)務(wù)， DCBJ_RB、 DCSH_RB 之間主要承載OA 和管理信息。 2. 北京、上海中利用 EBGP 分發(fā)自身的匯總路由，同時分發(fā)明細路由。分發(fā)策略是：兩中心之間的 EBGP Peer 分發(fā)自身的匯總路由，同時分發(fā)各自的明細路由；兩中心的 DCBJ_R DCSH_R1 向各自連接的一級分行的主路由器分發(fā)各自的匯總路由和實時生產(chǎn)的主營業(yè)務(wù)明細路由；兩中心的 DCBJ_R DCSH_R2 向各級連接的一級分行輔路由器分發(fā)各自的匯總路由和管理信息、視頻、語音等明細路由。 3. 采用 BGP 的 weight 屬性進行路由策略控制， BGP 選擇路由時除 next_hop 可達外 weight 屬性為首要考慮因素，路由器可以設(shè)置 weight 值來選擇從指定的BGP neighbor 傳來的路由最為優(yōu)先（ weight 值越大越優(yōu)先），由于 weight 只在路由器本身啟主用，符合建行以往的路由選擇策略。 4. 在 DCBJ_RA 上將從 DCSH_RA 來的南方一級分行路由設(shè)置為較高的 Weight 值。 5. 在 DCSH_RA 上將從 DCBJ_RA 來的北方一級分行路由設(shè)置為較高的 Weight 值。 6. 在 DCBJ_RB 上將從 DCSH_RB 來的北方 一級分行路由設(shè)置為較高的 Weight 值。 7. 在 DCSH_RB 上將從 DCBJ_RB 來的南方一級分行路由設(shè)置為較高的 Weight 值。 參見以下配置命令： router bgp 1 no sync bgp logneighborchanges neighbor remoteas 1 neighbor routemap setweight in //set weight to the routes received from no autosummary ! routemap setweight permit 10 match ip address SOUTHBRANCH //only set weight to the SOUTHBRANCH routes // set weight 100 ! routemap setweight permit 20 //other routes not change// 局域網(wǎng)分流設(shè)計 ? 中心局域網(wǎng)設(shè)計 數(shù)據(jù)中心的路由器與三層交 換機運行 OSPF， Area 號為 0。同時為了方便控制數(shù)據(jù)流量， R R RA、 RB 之間運行 IBGP，所有三層設(shè)備運行 OSPF，重分發(fā) EBGP 到IGP。 為了實現(xiàn)數(shù)據(jù)分流，在交換機與路由器之間建立的某些電路上調(diào)整 cost 值。 ? 一級分行局域網(wǎng)設(shè)計 由于本次網(wǎng)絡(luò)工程基本上不改動一級分行局域網(wǎng)的結(jié)構(gòu)與設(shè)計，沿用原有的metric/HSRP 方案。 QoS 設(shè)計 IP 優(yōu)先級 針對建行的應(yīng)用情況 ，可以把需要使用 QOS 的各種應(yīng)用劃分為 5 類： SNA： 這是對延時非常敏感的一種應(yīng)用，實時性要求高，應(yīng)該定義為最高級 別的優(yōu)先級； 視頻 /語音 ： 這類數(shù)據(jù)對 延時也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為次優(yōu)先級； 營業(yè)類業(yè)務(wù) ： 這類數(shù)據(jù)的特點是交易包長度固定，交易時限要求實時，上下行數(shù)據(jù)流量基本對等，因為是網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為比較高的優(yōu)先級； 管理類業(yè)務(wù) ： 這類數(shù)據(jù)通常對網(wǎng)絡(luò)實時性要求不高，可定義為一般優(yōu)先級業(yè)務(wù)； 其它應(yīng)用 ： 其它應(yīng)用包括大部分 Inter 訪問，典型的應(yīng)用是 FTP 或 HTTP等，可以把這類應(yīng)用定義為最低的優(yōu)先級。 IP Precedence 規(guī)劃表： 業(yè)務(wù)應(yīng)用類型 IP Precedence 值 其它應(yīng)用 （ 如 FTP 和 HTTP） 0 管理類業(yè)務(wù) 2 營業(yè)類業(yè)務(wù) 3 視頻 /語音 4 SNA 5 QoS 策略 根據(jù)建行數(shù)據(jù)中心以及與一級分行互聯(lián)的網(wǎng)絡(luò)結(jié)構(gòu)，同時考慮應(yīng)用業(yè)務(wù)類型及特點，在整個網(wǎng)絡(luò)服務(wù)質(zhì)量保證方面可以使用下面的策略： 優(yōu)先級分類 —— 通過在分布層的交換機對接入端口設(shè)置 COS實現(xiàn)； 擁塞避免機制 —— 采用 WRED Weighted Random Early Detection實現(xiàn)； 擁塞管理機制 —— 采用 CBWFQ Class Based Weighted Fair Queuing實現(xiàn)。 QoS 數(shù)據(jù)分類 營業(yè)業(yè)務(wù)類 在數(shù)據(jù)中心內(nèi)部， SNA 數(shù)據(jù)和營業(yè)類數(shù)據(jù)主要在業(yè)務(wù)交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在 YWS1 至 YWS4 上根據(jù)連接主機的端口上完成。具體的做法是將連接主機的交換機端口設(shè)置為 untrust， 并根據(jù)上表對進入該端口的數(shù)據(jù)包打上相應(yīng)的 Cos 值。 OA 業(yè)務(wù)及視頻類 在數(shù)據(jù)中心內(nèi)部， OA 類管理數(shù)據(jù)和視頻數(shù)據(jù)主要在 OA 交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在 OAS OAS2 等交換機上根據(jù)應(yīng)用類型或連接相應(yīng)網(wǎng)段的交換端口上完成。具體的做法是將連接主機的交換機端口設(shè)置為 untrust， 并根據(jù)上表對進入該端口的數(shù)據(jù)包打上相應(yīng)的 Cos 值。 QoS 擁塞管理與擁塞避免 由于數(shù)據(jù)中心局域網(wǎng)采用千兆或捆綁的多千兆端口互聯(lián)，應(yīng)該不會存在網(wǎng)絡(luò)擁塞的情況。所以在交換機上無需考慮擁塞管理。 數(shù)據(jù)中心之間的廣域網(wǎng)鏈路，數(shù)據(jù)中心與一級分行之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用 QoS 的擁塞管理機制， CBWFQ。 QoS 的擁塞管理機制可以在數(shù)據(jù)中心之間以及數(shù)據(jù)中心與各一級分行的廣域網(wǎng)電路上實現(xiàn)。同時 QoS 的擁塞避免機制，如數(shù)據(jù)包丟棄 WRED 也可以同時在相應(yīng)的廣域網(wǎng)端口上實施，以保證高優(yōu) 先級業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。 CCB Data Center 35 網(wǎng)絡(luò)安全與管理設(shè)計 數(shù)據(jù)中心安全設(shè)計 根據(jù)建行的業(yè)務(wù)需求，首先要求實現(xiàn)營業(yè)業(yè)務(wù)與管理業(yè)務(wù)的分離，充分保證業(yè)務(wù)系統(tǒng)的高安全性。 由于管理網(wǎng)和生產(chǎn)網(wǎng)在網(wǎng)絡(luò)的部分地方有融合，因此我們必須控制管理網(wǎng)和生產(chǎn)網(wǎng)的互訪，在需要的地方，采用防火墻實現(xiàn)訪問控制列表，以達到安全的控制。 在數(shù)據(jù)中心，可在業(yè)務(wù)服務(wù)器接入前采用高性能防火墻對服務(wù)器進行保護，這種對主機、服務(wù)器進行的安全隔離、保護容易實現(xiàn)，安全性高，便于管理。 由于在本次工程中， 6500 交換機采用的 IOS 版本不支持防火墻模塊和 IDS 模塊，因此不能考慮防火墻和 IDS 設(shè)計。但是在本次工程中仍然可以使用訪問安全策略，主要實現(xiàn)營業(yè)類網(wǎng)段和管理類網(wǎng)段之間的訪問控制，并對路由器自身的訪問進行控制，保證網(wǎng)絡(luò)的可靠運行。 設(shè)計原則：為了減少對網(wǎng)絡(luò)性能的影響，訪問控制應(yīng)當盡量不要設(shè)置在網(wǎng)絡(luò)交換核心，服務(wù)器區(qū)的安全策略應(yīng)當盡量靠近服務(wù)器。 CCB Data Center 36 網(wǎng)絡(luò)管理 此次數(shù)據(jù)中心的網(wǎng)絡(luò)管理主要分為以下幾個方面： ? 網(wǎng)絡(luò)管理網(wǎng)段 本次工程采用 Ciscoworks 作為網(wǎng)絡(luò)管理軟件， CIC 作為故障管理軟件。Ciscoworks 利用 CDP 和 SNMP 發(fā)現(xiàn)和管理網(wǎng)絡(luò)； CIC 分析各種網(wǎng)絡(luò)設(shè)備的日志信息來進行故障管理。 網(wǎng)管工作站應(yīng)位于專用的網(wǎng)管網(wǎng)段 。網(wǎng)絡(luò)管理網(wǎng)段應(yīng) 通過接入交換機 連接 OA核心交換機 DCBJ_S2。 ? 6500 交換機管理 北京中心D C B J _ Y W S 1D C B J _ O A S 1D C B J _ S 1D C B J _ S 3四樓主機D C B J _ S 2D C B J _ S 4D C B J _ R AD C B J _ R BD C B J _ R 1D C B J _ R 2D C B J _ Y W S 2I B M主機D C B J _ O A S 2OAD C B J _ R 3六樓主機D C B J _ Y W S 3D C B J _ Y W S 4D C B J _ S N A R 1 D C B J _ S N A R 2CiscoworksCIC網(wǎng)管系統(tǒng) CCB Data Center 37 由于本次工程中的 6500 交換機使用 CatOS 操作系統(tǒng)，為了實現(xiàn)對不住6500 交換機的管理，需要將其管理端口 SC0 劃分到相應(yīng)的網(wǎng)段，參加OSPF 路由。單獨為 6500 交換機 SC0 端口分配的地址是 ，使用 28 位掩碼將該地址段分為 16 個子網(wǎng)，提供給各個 VLAN中的 6500 交換機。 ? 路由器及交換機管理 對于數(shù)據(jù)中心的三層設(shè)備，路由器和使用 Native IOS 的 交換機，只要網(wǎng)管主機能夠通過 IP和 CDP 訪問網(wǎng)絡(luò)設(shè)備，即可實現(xiàn)網(wǎng)絡(luò)管理。因此應(yīng)當 將 網(wǎng)管網(wǎng)段應(yīng)當放入數(shù)據(jù)中心的 OSPF 中，保證三層互聯(lián)。 CCB Data Center 38 網(wǎng)絡(luò)設(shè)備安全與管理配置 協(xié)議的安全性 在網(wǎng)絡(luò)中運行著很多網(wǎng)絡(luò)協(xié)議，包括路由協(xié)議和各種為上層應(yīng)用服務(wù)的廣域網(wǎng)，局域網(wǎng)絡(luò)協(xié)議等，路由器上也存在著很多服務(wù)，有些服務(wù)是網(wǎng)絡(luò)運行所必需的，必須打開它，而有些服務(wù)是對網(wǎng)絡(luò)運行無關(guān)緊要或無用的，