XX银行数据中心网络详细设计方案.docx
《XX银行数据中心网络详细设计方案.docx》由会员分享,可在线阅读,更多相关《XX银行数据中心网络详细设计方案.docx(76页珍藏版)》请在冰点文库上搜索。
XX银行数据中心网络详细设计方案
XX银行数据中心网络详细设计方案
1.前言
1.1文档目的
本文档通过XX银行业务发展需求和网络现状的全面分析,对满足XX银行未来三至五年发展要求的网络基础架构进行整体规划,范围涵盖数据中心网络、备份中心网络、分行网络、网点网络、骨干网络等各个网络类型做了相应规划。
编写本文档旨在为XX银行未来网络建设和发展提供重要参考依据和决策依据,为今后XX银行网络建设的标准化工作起到指导作用。
1.2文档范围
本文档作为XX银行网络规划咨询项目网络整体规划总体方案,涵盖了如下内容:
●数据中心网络网络架构
●网络安全规划
1.3目标读者
本文档的阅读对象包括但不限于:
XX银行信息技术部和各级其它部门的网络规划、管理、运营和维护人员、领导,以及其他网络、应用相关的工作人员和有需求的第三方人员。
1.4编写背景
珠海XX银行成立于1996年12月,是珠海市唯一一家具有法人资格的银行机构。
2009年4月,珠海市政府、XX股份有限公司与珠海市商业银行重组成功,XX股份成为珠海商行第一大控股股东。
重组成功给珠海XX银行注入了新的活力,各项经营和风控指标均达到历史最好水平。
截止2010年末,珠海XX银行总资产达到166亿元,各项存款、各项贷款均有较快增长。
目前,拥有49家支行和1家总部营业部。
主要业务有:
公司业务、零售业务和金融市场业务等。
2010年,珠海XX银行通过制定战略,进一步清晰了未来五年发展规划,在打造核心能力的基础上,逐步建立差异化竞争优势和可持续发展的商业模式。
随着战略落地、流程银行再造、核心系统建设和品牌建设,珠海XX银行将不断提升综合竞争力,不断提升资产质量,提高风险管理水平,将借助XX集团的品牌和产业优势,坚持创新发展,建立专业专长,走差异化发展之路,为客户提供高品质金融服务,成为客户首选成长伙伴,成为一流特色银行。
目前的XX银行网络是从珠海商业银行原有的网络过渡过来的,随着XX银行业务应用的快速发展,XX银行网络也急需在原有网络基础上进一步进行规划、发展、建设。
在这个过程中,需要对目前的网络进行调研分析,对XX银行将来3-5年的网络进行规划,以适应XX银行发展的需要。
2.工程设计概述
XX银行数据中心网络建设是XX银行整体发展蓝图的重要组成部分,华讯在XX银行数据中心网络设计中得到了XX银行数据中心相关部门的明确指导和大力支持,目的是在统筹考虑XX银行全行业务需求和发展的基础上,兼顾远期发展目标,支持XX银行数据集中工程的要求,建设XX银行全国信息中心的核心网络,作为XX银行核心业务稳定、安全和高效运行的基础平台。
2.1工程设计范围
根据XX银行数据中心建设的要求,本工程设计主要涵盖以下内容:
2.1.1全辖新建网络:
网络整体架构设计,IP地址设计,路由规划设计;
2.1.2新建数据中心:
生产中心、同城灾备中心、异地灾备中心3个数据中心规划
生产中心园区网规划
同城灾备中心园区网规划
骨干网络总体规划
网络管理
网络安全
QoS设计
2.1.3扩展现有网络:
数据中心现有网络扩展和骨干网扩展
2.2工程设计原则
结合华讯在全国丰富的大型数据中心网络的设计经验,努力了解并充分理解XX银行数据中心业务的需求,在设计XX银行数据中心网络基础架构时,强调方案的整体性,考虑网络的高性能、高可靠性、可管理性和可扩充性等诸多方面,以满足XX银行未来数据集中和业务发展。
在方案设计中强调并认真遵循以下设计原则:
2.2.1满足应用需求
XX银行数据中心网络服务于全行应用业务系统和用户。
本设计在充分理解XX银行数据中心应用系统、业务数据流以及用户访问模式的前提下,综合考虑业务永续性、安全控制策略、网络层负载均衡等应用需求,进行细致的网络设计与规划。
2.2.2高可用性及稳定性
网络的稳定可靠是业务系统健康运行的重要条件之一,所以对网络整体架构的高可用性和高可靠性设计必须考虑全面。
网络架构必须能够达到业务系统对服务级别的要求,并且通过多层次的冗余考虑,使得整个网络架构能够满足业务系统不间断稳定运行的需求,同时实现网络层面的灾难恢复。
2.2.3统一性和易于管理
XX银行网络的架构、规划和管理(包括生产数据中心、同城备份中心、异地灾备中心的网络)都建立在“一个整体”的基础之上。
整体设计过程中需充分考虑网络架构的易于管理性,网络设计的简单化直接关系到网络的运行和维护成本,也是网络稳定运行的保障,并提供及时迅速发现和排除网络故障的能力。
2.2.4良好的扩展性
网络良好的扩展性来自于良好的设计。
在XX银行数据中心网络设计中,采用业务功能模块化和网络拓扑层次化的设计方法,使得网络架构在功能、容量、覆盖能力等各方面具有易扩展能力,以适应快速发展的业务对网络基础架构的要求,为XX银行数据中心向更大规模扩展奠定坚实的基础:
Ø业务功能模块化设计:
充分考虑各个功能模块的特点和要求,最大化每个功能模块的接入能力,并能够有效保证网络的稳定性、安全性和扩展性。
Ø网络拓扑结构层次化把整个数据中心网络分为三个层:
核心层、分布层和接入层,各个层次完成各自的功能和任务并相互协同工作,最大化地保证了网络的稳定和良好的扩展性。
Ø遵循业界公认的标准制定一个高兼容性网络架构,确保设备、技术的互通和互操作性,支持网络、节点的扩展,方便快速部署新的产品和技术,以适应业务的快速增长。
2.2.5最佳实践
参考目前国内外数据中心网络建设中普遍采用的网络架构,设计XX银行数据中心网络时,保持技术上具有总体先进性和开放性;同时,必须考虑成熟性、稳定性与先进性相结合,保证XX银行数据中心网络稳定有效的前提下具有一定的前瞻性。
设计中将有效的把思科网络的各种最佳实践灵活地应用到XX银行数据中心中来,从而有效保证了XX银行数据中心整个网络的高可靠性、高性能、高安全性和灵活的扩展性。
2.3工程设计方法
2.3.1PPDIOO方法论
在企业的IT建设及未来的运营管理阶段,PPDIOO方法论应作为企业IT建设特别是基础架构建设的核心思路和工作方法。
专业服务模型(PPDIOO)提供了一整套端到端的和主动的咨询与技术服务,分别与企业IT运营生命周期的每个阶段相对应:
准备(Preparation)、规划(Planning)、设计(Design)、实施(Implementation)、运行(Operation)和优化(Optimization),如下图所示:
Ø准备(Preparation):
提供符合未来业务和技术展望的企业网络规划咨询服务
Ø规划(Planning):
提供当前架构性能的评估和测试、未来架构规划和评估服务
Ø设计(Design):
提供解决相互矛盾的设计指标、发现并缓解潜在网络瓶颈
Ø实施(Implementation):
提供确保设计和部署能够实现网络价值和功能的服务
Ø运行(Operation):
提供投资保护服务,使每台设备正常运行
Ø优化(Optimization):
提供发挥网络最高性能的服务
IT生命周期服务模型把各种服务方案结合到一个实际程序中以帮助企业实现他们的业务目标。
根据公司特有的运行、维护和网络级别要求,每个企业都将有自己的专用生命周期模式程序。
2.3.2工作流程及路线图
在PPDIOO方法论框架的指引下,从IT建设各个项目的实际出发,应采用行之有效的网络资源整合的方法论来开展,如下图所示:
项目实施具体工作流程如下:
(网络实施)
1)和IT部门的领导以及高级网络设计工程师访谈;
2)收集技术、流程、工具和架构文档及模板;
3)评估及记录当前状态,形成网络评估报告;
4)概述来实现业务和可用性目标的推荐计划;
5)准备一个可实现的愿景及相关的路线图。
3.数据中心网络架构
3.1拓扑设计
XX银行数据中心网络整体架构按照核心层、分布层、接入层进行层次化设计,根据不同层次功能定位,按照功能区划分应用,模块化部署。
各层次功能定位如下:
Ø接入层:
设备接入,最终用户入口;
Ø分布层:
接入层汇聚、路由汇聚、策略控制和可能的广域网接入;
Ø核心层:
分布层汇聚、核心路由、全速转发数据;
3.1.1整体拓扑架构
在设计网络架构中,珠海电信托管的IDC将作为主的生产中心承担主要的数据转发以及应用承载;九州大道同城备份中心提供生产中心的应用级数据备份,两个中心DWDM裸光纤进行互通,异地灾备中心在目前的规划中只作为数据转发冗余路径使用,将来该中心会建设成数据级的备份中心。
3.1.2生产中心网络拓扑
生产中心为XX银行的主数据中心,负责提供XX银行所有对内对外的业务数据交互。
3.1.3生产中心区域拓扑
3.1.3.1核心交换区
核心区由一组高性能交换机组成,用于各区域数据的高速交换和转发。
本次生产中心的核心交换通过两台N7K承担。
3.1.3.2网银区
网银区业务主要访问业务区服务器,规划中网银区通过一组防火墙连接到业务区核心交换机。
3.1.3.2核心前置区
核心前置区是数据中心核心区域。
业务区部署两台高性能交换机做该功能区域核心层/分布层交换机,部署接入层交换机用于业务服务器接入。
核心层和汇聚层合并由一组交换机实现。
生产区安全级别最高,部署一组HA防火墙进行安全控制
3.1.3.4核心业务区
业务区运行核心业务系统以及其他关键应用系统,是数据中心核心区域。
业务区部署两台高性能交换机做该功能区域核心层/分布层交换机,部署接入层交换机用于业务服务器接入。
核心层和汇聚层合并由一组交换机实现。
生产区安全级别最高,部署一组HA防火墙进行安全控制
3.1.3.5准生产区
业务系统试运行后,将进入到准生产阶段。
准生产阶段能有效的保证业务的顺利上线,准生产区部署两台中性能交换机做该功能区域核心层/分布层交换机,部署接入层交换机用于业务服务器接入。
核心层和汇聚层合并由一组交换机实现,部署一组HA防火墙进行安全控制
3.1.3.6开发测试区
测试区用于各种应用开发测试。
由于测试目的的不同,有可能开发人员需要进入到生产区设备,获取相关权限后进行相关测试工作。
测试区部署一组中等性能交换机,用于各种测试终端接入。
测试区通过防火墙和核心区连接,该组防火墙可以控制测试人员对数据中心核心区域的访问,并具有审计功能
3.1.3.9ECC区
通过ECC区对数据中心应用系统进行监控,主要是业务操作终端接入。
业务操作终端通常在银行数据中心ECC(企业总控中心)。
业务操作区考虑为一组中端交换机,部署一组HA防火墙进行安全控制
3.1.3.9外联区
外联区为数据中心统一外联平台,第三方单位(包括金融机构和企业)都通过外联区和XX银行数据中心连接。
外联区规划一个外联前置区(也称外联DMZ区),所有外联前置服务器都部署在外联前置区。
不同类型外联前置可以通过VLAN进行隔离。
设置外联前置区是为了避免外联单位直接访问数据中心内网服务器,防止可能引发的攻击和病毒的扩散,保证核心系统不受影响。
外联前置区直接和内部网通讯,因此必须进行严格的安全访问控制,并采取入侵检测、安全审计等技术手段对外联前置区进行整体、综合的安全防护,提高整个系统的安全性。
外联前置区部署两台中端性能交换机。
在这道防火墙上,配置IP地址转换(NAT/PAT),隐藏XX银行内部地址,在外联区限制外联单位的地址和路由进入XX银行内部网络,达到安全防护的作用。
外联区部署外联路由器和第三方单位连接,同时外联路由器统一汇接到外网交换机上,外联路由器和外网交换机之间为三层路由连接,可配置动态路由协议,实现外联线路的冗余备份。
后期可根据预算等情况部署异构防火墙优化其数据流以及增加其安全性。
3.1.3.10广域网区
广域网接入区分为三个子区域,分别为珠海网点接入区、分行接入区、数据中心互联区。
广域网区虽然接入的是内部机构,但为了控制进入数据中心核心区域的数据,规划中部署一组HA防火墙,骨干网区通过防火墙接入核心区。
将来随着XX银行银行海外服务网络拓展,在境外设立海外分行,此时海外分行也存在接入到数据中心的需求。
在骨干网接入区规划出海外分行接入区,以满足将来海外分支机构的接入需求。
3.1.4同城灾备中心网络拓扑
同城灾备中心为生产中心的应用级备份中心,在同城灾备中心部署的区域架构和生产中心类似
3.1.4.1核心交换区
核心区由一组高性能交换机组成,用于各区域数据的高速交换和转发。
本次同城备份中心的核心交换通过两台N5K承担。
3.1.4.2核心前置区&核心业务区
业务区运行核心业务系统以及其他关键前置系统,是数据中心核心区域。
为生产中心的备份,业务区部署两台高性能交换机做该功能区域核心层/分布层交换机,部署接入层交换机用于业务服务器接入。
核心层和汇聚层合并由一组交换机实现。
生产区安全级别最高,部署一组HA防火墙进行安全控制
3.1.4.3ECC区
通过ECC区对数据中心应用系统进行监控,主要是业务操作终端接入。
业务操作终端通常在银行数据中心ECC(企业总控中心)。
业务操作区考虑为一组中端交换机,部署一组HA防火墙进行安全控制
3.1.4.4开发测试区
测试区用于各种应用开发测试。
由于测试目的的不同,有可能开发人员需要进入到生产区设备,获取相关权限后进行相关测试工作。
测试区部署一组中等性能交换机,用于各种测试终端接入。
测试区通过防火墙和核心区连接,该组防火墙可以控制测试人员对数据中心核心区域的访问,并具有审计功能
3.1.4.5外联区
外联区为数据中心统一外联平台,第三方单位(包括金融机构和企业)都通过外联区和XX银行数据中心连接。
外联区规划一个外联前置区(也称外联DMZ区),所有外联前置服务器都部署在外联前置区。
不同类型外联前置可以通过VLAN进行隔离。
设置外联前置区是为了避免外联单位直接访问数据中心内网服务器,防止可能引发的攻击和病毒的扩散,保证核心系统不受影响。
外联前置区直接和内部网通讯,因此必须进行严格的安全访问控制,并采取入侵检测、安全审计等技术手段对外联前置区进行整体、综合的安全防护,提高整个系统的安全性。
外联前置区部署两台中端性能交换机。
在这道防火墙上,配置IP地址转换(NAT/PAT),隐藏XX银行内部地址,在外联区限制外联单位的地址和路由进入XX银行内部网络,达到安全防护的作用。
外联区部署外联路由器和第三方单位连接,同时外联路由器统一汇接到外网交换机上,外联路由器和外网交换机之间为三层路由连接,可配置动态路由协议,实现外联线路的冗余备份。
后期可根据预算等情况部署异构防火墙优化其数据流以及增加其安全性。
3.1.4.6广域网区
广域网接入区分为三个子区域,分别为珠海网点接入区、分行接入区、数据中心互联区。
广域网区虽然接入的是内部机构,但为了控制进入数据中心核心区域的数据,规划中部署一组HA防火墙,骨干网区通过防火墙接入核心区。
将来随着XX银行银行海外服务网络拓展,在境外设立海外分行,此时海外分行也存在接入到数据中心的需求。
在骨干网接入区规划出海外分行接入区,以满足将来海外分支机构的接入需求。
3.1.5异地灾备中心网络拓扑
由于异地灾备规划暂不在本次网络扩容计划内,异地灾备中心网络较为简单,主要作为数据转发用
3.2IP地址规划
3.2.1规划原则
IP地址规划原则:
•考虑长远:
IP地址规划一定要考虑长远,一定不能满足于当下,需要在对未来业务发展做充分考虑的情况下,进行IP地址规划。
尽量避免今后需要修改地址,甚至启动相关工程项目来进行IP地址调整。
好的地址规划将为将来银行网络发展带来极大地便利。
•IP地址资源以地域划分、行政隶属关系和业务种类为层次,分割为大小不同、用途各异的地址块单元;
•唯一性:
一个IP网络中不能有几台主机采用相同的IP地址;
•按需分配:
充分利用网络地址资源和信息资源,可根据实际需要分配地址,避免不必要的地址空间的浪费;
•简单性:
地址分配应简单、易于管理,降低网络扩展的复杂性,减少路由表的路由条数;
•连续性:
连续地址在层次结构网络中易于进行路由汇总,大大缩减了路由表,提高路由算法的效率。
•可扩展性:
地址分配在每一个层次都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性;
•灵活性:
地址分配应具有灵活性,以满足各种路由策略的优化,充分利用地址空间;
•可管理性:
便于制定统一的网络管理策略,实现统一的网络管理;
•便于网络安全策略的实现;
•总行、数据中心、分行局域网内不同类型的应用使用不同子网的IP地址,以便于不同的应用使用不同的路由策略和安全策略。
3.2.2IP地址规划方案
•XX银行全网分成4个大的A类地址网段:
-数据中心业务类地址——采用10.0.0.0/8,所有的业务类区域使用这类地址;
-数据中心办公类地址——采用30.0.0.0/8,所有的办公类区域使用这类地址;
-分支行业务类地址——采用20.0.0.0/8,所有的业务类区域使用这类地址;
-分支行办公类地址——采用21.0.0.0/8,所有的业务类区域使用这类地址;
•每个网络节点分配连续可汇总地址块,分配业务类地址和办公类地址。
需进行地址分配的网络节点有:
数据中心、同城备份中心、异地备份中心、分行、网点,总行办公大楼。
在网络层面:
-一级分行和二级分行看做分行
-一级支行和二级支行看成网点
-附行式自助银行从所在网点分配的业务类地址段中获取地址,包括ATM、存取款机、非现金自助服务终端等设备;
-离行式自助银行当做普通网点看
•每个分行分配一个业务B类地址和办公B类地址;
•每个支行分配一个/24掩码长度的业务类地址段和办公类地址段
•每个ATM网点分配一个/28掩码长度的地址段
•网络节点之间互联地址分配:
-数据中心、同城备份中心、异地备份中心之间三层互联地址从预留地址块(10.193.8.0/21)中获取地址
-分行和生产中心之间互联地址、分行和同城备份中心之间的三层互联地址从预留地址块(10.193.240.0/20)中获取地址
-网点和分行之间三层互联地址,从分行地址块中获取地址
•网络设备之间互联地址分配:
-数据中心核心区和其它区域互联地址,从数据中心地址块中获取地址,该地址不归属数据中心任何区域;同城/异地备份中心类似。
-区域内网络设备互联地址,从该区域地址块中获取地址
3.2.3总体分配方案
3.2.3.1数据中心业务IP地址总体分配方案
分配位置
IP地址
备注
生产中心
10.192.0.0/8---10.223.0.0/8
共32个B网段,用于数据中心
同城备份中心
10.224.0.0/8---10.239.0.0/8
共16个B网段,用于同城灾备中心
异地备份中心
10.241.0.0/8---10.247.0.0/8
共8个B网段,用于异地灾备中心
<预留>
10.0.0.0/8---10.191.0.0/8
闲置网段,防止与并购机构IP冲突
3.2.3.2数据中心办公IP地址总体分配方案
分配位置
IP地址
备注
生产中心
30.0.0.0/8---30.31.0.0/8
共32个B网段,用于数据中心
同城备份中心
30.32.0.0/8---30.63.0.0/8
共32个B网段,用于同城灾备中心
异地备份中心
30.64.0.0/8---30.96.0.0/8
共32个B网段,用于异地灾备中心
<预留>
30.97.0.0/8---30.255.0.0/8
闲置网段
3.2.3.3分支行以及网点业务IP地址总体分配方案
分配位置
IP地址
备注
分行
20.X.0.0/16---20.X.63.0/16
共64个C网段,用于分行,每个分行采用64个C网段
支行
20.X.128.0/16---20.X.255.0/16
共128个C网段,用于支行,每个支行1个C网段
离行ATM网点
20.X.64.0/16---20.X.127.0/16
共1024个28位地址段,用于离行ATM网点
3.2.3.4分支行以及网点办公IP地址总体分配方案
分配位置
IP地址
备注
分行
20.X.0.0/16---20.X.63.0/16
共64个C网段,用于分行局域网
支行
20.X.128.0/16---20.X.255.0/16
共128个C网段,用于支行
预留
20.X.64.0/16---20.X.127.0/16
共64个C网段,预留
3.2.4具体分配方案
3.2.4.1生产中心业务IP地址具体分配方案
生产中心IP规划
用途
VLAN号
使用IP网段
使用IP网段
备注
网络设备IP
VLAN100
10.193.0.0
10.193.0.254
网络设备管理(loopback)地址
网络设备IP
VLAN101
10.193.1.0
10.193.0.254
网络设备管理(loopback)地址
同区生产网络设备互联(主)
10.193.4.1/30
10.193.4.254/30
按30位掩码划分,可接64台设备
同区生产网络设备互联(备)
10.193.6.1/30
10.193.6.254/30
按30位掩码划分,可接64台设备
生产中心与同城灾备中心互联(主)
10.193.8.1/30
10.193.8.254/30
按30位掩码划分
生产中心与同城灾备中心互联(备)
10.193.9.1/30
10.193.9.254/30
按30位掩码划分
生产中心与异地灾备中心互联(主)
10.193.10.1/30
10.193.10.254/30
按30位掩码划分
生产中心与异地灾备中心互联(备)
10.193.11.1/30
10.193.11.254/30
按30位掩码划分
同城灾备中心与异地灾备中心互联(主)
10.193.12.1/30
10.193.12.254/30
按30位掩码划分
同城灾备中心与异地灾备中心互联(备)
10.193.13.1/30
10.193.13.254/30
按30位掩码划分
跨区生产网络设备互联(主)
10.193.102.1/30
10.193.119.254/30
跨网段设备互联网段,106表示从1区到6区的互联,最多可接18个分区
1---核心生产
2---核心前置
3---,
112---外联,113---网银
114---管理,115---ECC
116---开发
跨区生产网络设备互联(备)
10.193.202.1/30
10.193.1.254/30
跨网段设备互联网段,206表示从1区到6区的互联,最多可接18个分区
WAN分行主线路接入
10.193.240.1
10.193.247.254
按30位掩码划分,可接510个分行
WAN分行备份线路接入
10.193.248.1
10.193.255.254
按30位掩码划分,可接510个分行
外联网段
10.194.0.0
10.196.254.254
外联网段-外联业务
10.194.0.0
10.194.63.254
外联网段-外联业务-设备连接
10.194.0.0
10.194.63.254
外联网段-外联业务-主链路
10.194.8.0
10.194.11
升级会员 