银行网络建设方案.docxVIP

网络建设方案

参考国内外同行业的组网模型，按照标准化、模块化、结构的原则进行生产中心的升级，改变现状生产中心过于扁平化、安全性低的现状，可以将生产中心规划为：

核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。

在各分区边界部署防火墙，确保访问的安全，实现生产中心的高性能、高安全、高扩展和易管理。

核心交换区：为生产网络的各功能子区提供核心路由交换。

生产核心区：部署天津商行生产服务和生产小机。

前置机服务器区：连接各种业务前置机专用区域

楼层接入区（迁移）：负责本地办公用户的接入。

网银区（迁移）：部署网上银行业务的服务器。

DWDM区：连接生产中心和灾备中心的广域传输系统区域。

广域网接入区：部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。

中间业务外联区：通过专线连接监管单位、合作伙伴，为第三方机构提供外联服务。

运行维护区：部署网络和系统管理及维护的业务系统。

4.1设计概述

4.1.1东丽数据中心整体结构

东丽数据中心主要需要建立IP网络和存储网络。在IP网络中，按业务功能和安全需要分为不同的网络区域，各个网络区域有独立的网络设备（如交换机、防火墙等）连接相应的主机、服务器、pc机等设备，每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上；每个网络区域内部可以根据需要再分为不同的控制区域。

IP网络主要分为以下网络区域：核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、网银区、DWDM区、广域网接入区、中间业务外联区、运行维护区，如图：

4.1.2VLAN规划

在模块化网络架构中可以看到，数据中心首先是被划分为网络分区，然后基于每个应用对各自架构的QOS需求，再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构，需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上，都需要创建VLAN。

4.1.3路由设计

在数据内部，交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA0，其他区域内部分别运行OSPF和静态路由。

4.3生产核心区规划

4.3.1拓扑

生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机；在该区域采用三层架构，采用全千兆智能接入交换机S5500EI系列交换机提供小机及服务器的光口、电口接入，每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S9508E交换机上，两条S9508E交换机互相之间采用双万兆链路聚合捆绑，启用IRF功能，将两台汇聚交换机虚拟成一台交换机，每个S9508E各出一个万兆接口上联到数据中心核心交换机S12508上，上行的两条万兆链路启用链路捆绑功能，聚合成一条20G的物理链路。

4.3.2VLAN规划

上联到核心交换区的VLAN采用链路聚合，合并为一个VLAN,在分区内部根据不同级别的应用再进一步分配。VLAN分配主要考虑互联VLAN和主机。

4.3.3路由规划

汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时，建议将汇聚层95的相关接口划分在一个OSPF－STUB区域中，以免数据中心中收到过多的LSA。

各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同，并且可预知。生产核心区外连核心区的2条链路的进行链路捆绑，在路由计算上，只有一条路径，但是该路径包含2个万兆端口，提供物理层面的冗余。

4.4前置机区规划

4.4.1拓扑

前置机区连接生产类系统的前置机等；该区使用4台千兆智能交换机S5500-52C-EI交换机。4台S5500-52C-EI交换机采用IRF虚拟化技术将4台交换机虚拟成一台交换机。

4.4.2VLAN规划

上联到核心区的链路进行链路捆绑，采用同一个VLAN进行互联。在分区内部根据不同级别的应用再进一步分配。VLAN分配主要考虑互联VLAN和主机。

4.4.3路由规划

接入交换机启用三层功能，前置机网关设置在接入交换机上，接入交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时，建议将接入交换机的相关接口划分在一个OSPF－STUB区域中，以免数据中心中收到过多的LSA。

各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下，通讯双方的往返路径均相同，并且可预知。前置区外连核心区的2条万兆链路的进行链路捆绑，在路由计算上，只有一条路径，但是该路径包含2个万兆端口，提供物理层面的冗余。

4.5广域网接入区规划

广域网接入区主要连接与各省市分行，天津市内各区县支行，分理处等的上联网络设备，该区使用两台SR6608核心路由器作为各分支机构的上联设备，每个SR6608配置