银行网络的建设方案设计

网络建设方案

参考国内外同行业的组网模型，按照标准化、模块化、结构的原则进行生产中心的升级，改变现状生产中心过于扁平化、安全性低的现状，可以将生产中心规划为：

核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。

在各分区边界部署防火墙，确保访问的安全，实现生产中心的高性能、高安全、高扩展和易管理。

➢核心交换区：为生产网络的各功能子区提供核心路由交换。

➢生产核心区：部署天津商行生产服务和生产小机。

➢前置机服务器区：连接各种业务前置机专用区域

➢楼层接入区（迁移）：负责本地办公用户的接入。

➢网银区（迁移）：部署网上银行业务的服务器。

➢DWDM区：连接生产中心和灾备中心的广域传输系统区域。

➢广域网接入区：部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。

➢中间业务外联区：通过专线连接监管单位、合作伙伴，为第三方机构提供外联服务。

➢运行维护区：部署网络和系统管理及维护的业务系统。

4.1设计概述

4.1.1东丽数据中心整体结构

东丽数据中心主要需要建立IP网络和存储网络。在IP网络中，按业务功能和安全需要分

为不同的网络区域，各个网络区域有独立的网络设备（如交换机、防火墙等）连接相应的主机、服务器、pc机等设备，每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上；每个网络区域内部可以根据需要再分为不同的控制区域。

IP网络主要分为以下网络区域：核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、网银区、DWDM区、广域网接入区、中间业务外联区、运行维护区，如图：

4.1.2 VLAN规划

在模块化网络架构中可以看到，数据中心首先是被划分为网络分区，然后基于每个应用对各自架构的QOS需求，再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构，需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上，都需要创建VLAN。

4.1.3路由设计

在数据内部，交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0，其他区域内部分别运行OSPF和静态路由。

4.2核心交换区设计

4.2.1具体设计

在东丽数据中心中，核心交换区连接了其他不同的分区。它也作为数据中心连接灾备中心和广域网络的连接点。核心区在数据中心架构中的作用是，尽可能快速地在网络之间实现数据传输的路由和数据交换。

核心区主要部署两台高端交换机S12508交换机连接其他功能分区，提供10G和GE 链路的双归属连接。两台核心交换器之间采取Trunk链路连接，启用IRF技术，将两条核心交换机虚拟成一台。核心区交换机连接到所有其他区的边缘设备，有两类连接连接到核心，一类是来自核心生产业务（比如生产核心区, 前置机区）的连接，对该类应用提供高速访问服务，采用万兆接口这两个区域的汇聚交换机。另一类是其它业务。每个区汇聚交换机/接入交换机都上行连接到Core-SW1和Core-SW2。每个区交换机将使用单独的VLAN，VLAN跨越两个交换机，上行链接到核心。

4.2.2 VLAN划分

与每个子区域的互联接口可划分为同一VLAN，将核心交换区域与各子域的互联链路进行链路聚合。如下图所示：

4.2.3路由规划

在2台Core-SW1和Core-SW2核心交换机和各区域的汇聚交换机连接端口上运行OSPF动态路由协议，所属的区域为Area 0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。

采用IRF技术后，可以大大简化网络中的路由设置，减少需要的互联路由网段，其中，除网银与中间业务外联区外，其它区域的汇聚/接入交换机与核心之间的互联链路都进行聚合，生产核心区和前置机区在各自区域的核心/接入交换机上启用三层功能，采用OSPF和核心交换区之间进行互通，如下图所示意：

4.3生产核心区规划

4.3.1拓扑

生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机；在该区域采用三层架构，采用全千兆智能接入交换机S5500EI系列交换机提供小机及服务器的光口、电口接入，每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S9508E交换机上，两条S9508E交换机互相之间采用双万兆链路聚合捆绑，启用IRF功能，将两台汇聚交换机虚拟成一台交换机，每个S9508E各出一个万兆接口上联到数据中心核心交换机S12508上，上行的两条万兆链路启用链路捆绑功能，聚合成一条20G的物理链路。

4.3.2 VLAN规划

上联到核心交换区的VLAN采用链路聚合，合并为一个VLAN,在分区内部根据不同级别的应用再进一步分配。VLAN分配主要考虑互联VLAN和主机。

4.3.3 路由规划

汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时，建议将汇聚层95的相关接口划分在一个OSPF－STUB区域中，以免数据中心中收到过多的LSA。

各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同，并且可预知。生产核心区外连核心区的2条链路的进行链路捆绑，在路由计算上，只有一条路径，但是该路径包含2个万兆端口，提供物理层面的冗余。

4.4前置机区规划

4.4.1 拓扑

前置机区连接生产类系统的前置机等；该区使用4台千兆智能交换机S5500-52C-EI交换机。4台S5500-52C-EI交换机采用IRF虚拟化技术将4台交换机虚拟成一台交换机。

4.4.2 VLAN规划

上联到核心区的链路进行链路捆绑，采用同一个VLAN进行互联。在分区内部根据不同级别的应用再进一步分配。VLAN分配主要考虑互联VLAN和主机。

4.4.3 路由规划

接入交换机启用三层功能，前置机网关设置在接入交换机上，接入交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时，建议将接入交换机的相关接口划分在一个OSPF－STUB区域中，以免数据中心中收到过多的LSA。