银行数据中心网络项目设计方案

银行数据中心网络项目设计方案

目录

1、数据中心建设分析 (4)

1.1 背景 (4)

1.2 银行网络现状 (4)

1.3 建设重点 (5)

2、数据中心网络系统设计原则 (6)

2.1可靠性和可用性 (6)

2.2可扩展性 (7)

2.3灵活性 (7)

2.4高性能 (7)

3、数据中心分区设计思想 (7)

3.1 区域划分 (7)

3.2分区设计的优点 (8)

4、数据中心技术架构设计 (8)

4.1设计概述 (8)

4.1.1 VLAN规划 (11)

4.1.2 路由设计 (12)

4.2核心交换区设计 (12)

4.2.1 具体设计 (12)

4.2.2 VLAN划分 (12)

4.2.3 路由规划 (13)

4.3生产核心区规划 (15)

4.3.1拓扑 (15)

4.3.2 VLAN规划 (15)

4.3.3 路由规划 (16)

4.4前置机区规划 (16)

4.4.1 拓扑 (16)

4.4.2 VLAN规划 (16)

4.4.3 路由规划 (16)

4.5广域网接入区规划（分行接入） (17)

4.5.1 路由规划 (20)

4.6 QoS设计 (20)

4.6.1 QoS设计原则 (20)

4.6.2 QoS服务模型选择 (20)

4.6.3 QoS规划 (21)

4.7 ARP攻击防御 (23)

4.7.1 ARP攻击原理 (23)

4.7.2 ARP攻击的类型 (24)

4.7.3 ARP攻击解决方案 (27)

4.7.4 其他技术 (34)

5、数据中心管理 (35)

5.1数据中心管理设计原则 (35)

5.2网络管理 (36)

5.3网络监控 (38)

6、产品选型与关键技术 (40)

6.1 万兆以太网与100G平台技术的考虑 (40)

6.1.1以太网发展进入100G时代 (40)

6.1.2服务器万兆互联成为主流趋势 (41)

6.1.3核心交换机的价格升级至100G (42)

6.2 IRF虚拟化技术 (43)

6.2.1技术优点 (43)

6.2.2典型组网应用 (44)

1、数据中心建设分析

1.1 背景

当前，国内四大国有商业银行、城市商业银行、邮政储蓄银行、农村信用社、证券等金融机构都在进行数据大集中之后的IT建设，而数据中心和灾备中心的建设是其中建设的重点。在这轮如火如荼的建设热潮中，主流的数据中心建设模型为“两地三中心”或“同城/异地双中心”。这两种模型一方面可以保证银行业务的可靠性、安全性、扩展性，另一方面可以对区域性自然灾害（地震、海啸等极端天气）或电力、火灾等突发性风险进行很好的防御，提高对风险、故障的抵御能力，并确保故障、灾害带来的数据、业务的损失降到最低，还可以在故障、灾害发生后数据、业务能够在最快的时间内迅速恢复。

城市商业银行由于业务辐射范围集中，通常是建设标准的“同城异地双中心”。即通过新建灾难备份中心，实现对现有总行数据中心的备份，并逐步将主要生产业务和相关的IT软硬件环境迁移到新建中心，现有总行数据中心过渡为未来的灾备中心，通过这种循序渐进、稳扎稳打的方式，使得IT建设的发展呈现螺旋式上升的姿态。目标是建设一个专业的、先进的、模块化设计、可扩展的的数据中心IT基础设施架构，使得IT建设成为银行发展的重要承载平台和推动剂。

在银行的数据中心与IT建设中，将根据自身现状，参考国内外大型商业银行的成功案例和最佳实践，最终建成数据集中存放、集中处理、面向客户、面向业务交易、面向管理的，先进高效、安全稳定、易扩充、易维护的智能化综合业务网络系统。

1.2 银行网络现状

目前银行已经建设了以生产中心（温岭）和灾备中心（仙居）为核心的整体网络架构，实现与分行、网点的广域网互联，以及与银联等单位的第三方外联。

灾备中心主要为生产中心提供数据备份，另部署了银联备份路由器、分行备份路由器，确保在生产中心的广域网、外联网等路由器设备、链路出现故障的情况下，生产等业务不会

受到长时间的影响而导致中断，提升整个网络系统对风险和故障的防御能力。

图银行现网整体拓扑结构

随着IT建设水平的日益提升，参照国内大中型银行的数据中心，着眼于将来5～10年的银行的发展，目前数据中心网络建设中存在的主要问题如下：

1、目前的灾难备份为数据级灾备（参照相应国家标准——《信息系统灾难恢复规范》GB/T 20988－2007），为三级备份；而中国人民银行关于印发《中国银行业“十一五”信息化建设》的规定中明确要求建立灾备中心，实现关键业务系统的应用级灾难恢复能力，即五级备份能力。

2、目前生产中心网络结构过于简单，需要进行生产数据中心的升级建设。建议采用目前流行的模块化分区结构，将不同的服务器、前置机、办公环境、管理维护放在不同的功能分区内；此外开发测试区、办公服务器区需要独立建设。实现生产中心的高性能、高安全和高扩展性。

1.3 建设重点

基于银行的网络现状和前期的分析，银行的数据中心和整个IT建设是一个长期投入、逐

步细化深入的过程，从整体框架、内部结构优化、骨干网络升级、安全防护、运行管理等几个方面入手，进行重点投入：

1、数据中心建设：依照国家和行业的相关标准与法律法规，借鉴国内外同行业经验，从银行的自身现状出发，完善数据中心，以应用级灾备为当前目标。

在数据中心部署业务与服务器系统，实现对现有中心的数据、业务备份，确保现有中心故障情况下实现业务承接；并将主要生产业务逐步迁移到数据中心，实现生产中心与灾备中心的角色转变。

此外，建立完备的灾难备份与恢复计划、灾备演练与恢复机制，将灾难备份与IT建设提升到新的高度。

2、新建数据中心优化：参考国内外同行业的组网模型，按照标准化、模块化、结构的原则进行生产中心的升级，改变现状生产中心过于扁平化、安全性低的现状，可以将生产中心规划为：

核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。

在各分区边界部署防火墙，确保访问的安全，实现生产中心的高性能、高安全、高扩展和易管理。

2、数据中心网络系统设计原则

银行数据中心网络系统设计将模块化的、分层的、分级的现代数据中心设计理念，构建一个满足可扩展性、灵活性和高可用性方面需求的网络基础架构，实现对银行各业务系统提供统一的基础设施服务支持的目标。具体设计原则如下：

2.1可靠性和可用性

数据中心基础设施架构中应采用高可靠的产品和技术，充分考虑系统的应变能力、容错能力和纠错能力，确保整个基础设施系统运行稳定、可靠。

当今，关键业务应用的可用性与性能要求对于银行交易来说，比任何时候都更为重要。如果客户与员工不能访问关键性应用，业务将遭受无法挽回的利润损失，并使生产力下降甚