商业银行网络架构规划方案.pptx

1、商业银行 网络架构规划方案技术创新，变革未来智慧金融议题1.网络系统现状分析2.网络技术发展趋势3.网络架构需求分析 4.新数据中心网络架构规划5.两地三中心一体化网络架构规划 6.网络架构蓝图演进路线议题1数据中心分布及定位网络基础服务网络扩展服务网络安全服务网络管理服务网络架构优化建议1.网络系统现状分析现状调研分析思路网络安全服务网络管理服务AAA服务应用负载均衡DNS/NTP服务 网络扩展服务 网络基础服务 数据中心分布及定位总行数据中心数据中心B数据中心数据中心A全局负载均衡数据中心网络互联网络功能域划分Intranet网络互联Extranet网络互联Internet互联网接入IP地

2、址规划路由协议规划网络系统现状调研分析思路：数据中心分布及定位吉林省长春市北京市数据中心A生产环境q位于总行5楼机房，目前为生产中心q约80个机柜，已基本用满q单路市电，可用性较低总行数据中心办公环境运维管理环境生产环境q位于智控机房（公司2楼IDC），目前为生产中心和研发中心q约100个机柜，已基本用满q存在危楼安全隐患问题数据中心B开发测试环境生产环境q位于软件园D栋，包括1-1机房和1-2机房q1-1机房：约130个机柜，部分使用，目前为同城灾备中心q1-2机房：约135个机柜，待规划使用（新生产中心）数据中心开发测试环境同城灾备环境1-1机房1-2机房q位于酒仙桥数据中心C10栋q目前

3、为异地灾备中心异地灾备环境两地四中心：运维管理环境运维管理环境数据中心网络互联同城数据中心异地数据中心总行数据中心DWDM密集波分技术数据中心B数据中心（1-1机房）数据中心A电信155Mbps SDH*3联通155Mbps SDH*3电信155Mbps SDH联通155Mbps SDH移动裸光纤广电裸光纤电信裸光纤电信裸光纤电信裸光纤联通裸光纤未启用q同城数据中心两两之间，分别采用不同运营商的冗余裸光纤+DWDM技术，实现IP网和FC-SAN网的互联互通q异地数据中心之间，分别通过不同运营商的冗余高速SDH链路，实现IP网络和FC-SAN网络的互联互通数据中心网络互联裸光纤+DWDM技术应用

4、：qIP网络高速互联：三层网络互联，二层网络互联qSAN网络高速互联：SAN网络互联，数据同步复制电信裸光纤联通裸光纤总行数据中心数据中心B电信裸光纤广电裸光纤数据中心B数据中心G1-1 DX-DC G1-2 DX-XHXG1-3 DX-DCG1-4 DX-XHXG1-5 未启用G1-6 未启用G1-7 DX-DCG1-8 DX-CSG2-1 DX-DC G2-2 未启用G2-3 DX-DCG2-4 DX-XHXG2-5 未启用G2-6 未启用G2-7 DX-DCG2-8 未启用G1-1 ZH-DCG1-2？G1-3 未使用G1-4 镜像口G1-5 未启用G1-6 未启用G1-7 ZH-DCG

5、1-8？G2-1 ZH-DCG2-2 未启用G2-3 未使用G2-4 镜像口G2-5 未启用G2-6 未启用G2-7 ZH-DCG2-8 未启用G1-1 TC-WANG1-2 TC-WANG1-3 TC-YWG1-4 监控？G1-5 TC-YWG1-6 QM-SCG1-7 TC-NMSG1-8 TC-NMSG2-1 TC-WANG2-2 TC-WANG2-3 TC-YWG2-4 Server？G2-5 TC-YWG2-6 QM-SCG2-7 TC-EXG2-8 未启用G1-1 DX-WANG1-2 DX-WANG1-3 DX-XHXG1-4 DX-CSG1-5 DX-XHXG1-6 DX-DC

6、G1-7 DX-DCG1-8 DX-DCG2-1 DX-WANG2-2 DX-WANG2-3 DX-XHXG2-4 DX-DCG2-5 DX-XHXG2-6 DX-DCG2-7 DX-CSG2-8 未启用IP网IP网电信裸光纤移动裸光纤总行数据中心数据中心4x8千兆以太网口未启用4x8千兆以太网口未启用（2x8个千兆以太网口）（2x8个千兆以太网口）（2x8个千兆以太网口）（2x8个千兆以太网口）G1-2-1/2/3 汽车金融G2-2-1/3 汽车金融G1-2-1/2/3 汽车金融G2-2-1/3 汽车金融待规划分配网络功能域划分-总行DC总行数据中心网络功能域划分：q总行数据中心主要包括业务

7、网、办公网、运维管理网，以及物理隔离的办公外网q采用模块化和层次化结构设计q采用千兆以太网技术，利用双机热备、堆叠技术和冗余链路实现网络架构高可用q安全域主要通过防火墙实现安全隔离，可能影响网络传输性能q网络负载较低（CPU利用率0-24%），其中核心交换区和第三方外联区负载较高业务网核心交换区11个分行同城数据中心（智控、）人行、银联第三方（共100条专线）办公网Internet网银区DWDM区生产区新核心区WOA区OA区NMS区内联区外联区SolarwindsSolarwinds网管系统网管系统北塔北塔网管系统网管系统运维管理网安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控

8、制安全控制安全控制办公外网安全控制网络功能域划分-智控DC数据中心B网络功能域划分：业务网开发测试网呼叫中心区DWDM区手机银行区金融网区新核心区卡区开发测试区同城数据中心（总行、）注：金融网区目前通过DWDM，经总行数据中心WOA区的互联网出口接入Internet！异地数据中心（）深圳街培训中心内联区Internet安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制核心交换区q数据中心B主要包括业务网和开发测试网q采用模块化和层次化结构设计q采用千兆以太网技术，利用双机热备、堆叠技术和冗余链路实现网络架构高可用q安全域主要通过防火墙实现安全隔离，可能影响网络传输性能q网络负载较

9、低（CPU利用率0-15%），其中新核心区负载较高网络功能域划分-DC数据中心（1-1机房）网络功能域划分：q同城数据中心主要包括灾备网、业务网、测试网、运维管理网，以及物理隔离的办公外网和考试系统q缺乏统一的网络规划，有待进一步整合优化灾备业务网2F总控室灾备核心交换区手机银行区网银区灾备区生产区同城数据中心（总行、智控）异地数据中心11个分行（有待接入）NMS区生产核心交换区开发测试区运维管理区生产业务网开发测试网Internet安全控制安全控制安全控制安全控制安全控制共享互联网出口考试系统办公外网安全控制ITSM监控系统DWDM区内联区网络功能域划分-A数据中心A数据中心网络功能域划分：

10、q异地灾备数据中心主要提供灾备服务和运维管理服务q平时资源处于灾备状态，资源闲置，资源利用率有待提高灾备业务网核心交换区内联区灾备区NMS区外联区人行异地数据中心（智控、）11个分行运维管理网安全控制安全控制安全控制安全控制Intranet网络互联q采用点对点专线星型互联架构，无法灵活满足未来新数据中心或分公司的快速接入需求q内联链路缺乏同城灾备冗余各分行缺乏至同城灾备中心（）的灾备链路，无法满足未来同城应用级灾备切换需要总行数据中心电信专线联通/电信专线广域网骨干网数据中心数据中心B数据中心Axx分行xx分行xx分行四平分行通化分行xx分行xx分行松原分行白山分行xx分行xx分行Extran

11、et网络互联q人行外联链路具备异地灾备冗余，可满足目前异地容灾系统的灾备切换需要q外联链路缺乏同城灾备冗余外联机构缺乏至同城灾备中心（）的灾备链路，无法满足未来同城应用级灾备切换需要q部分外联链路缺乏异地灾备冗余银联数据和银联交易缺乏至异地灾备中心的灾备链路，无法满足未来容灾系统异地灾备切换需要第三方缺乏至异地灾备中心的灾备链路，无法满足未来容灾系统异地灾备切换需要人行银联数据第三方总行数据中心电信专线联通专线广域网骨干网数据中心数据中心B数据中心A第三方银联交易 中间业务专线（共计100条）Internet互联网接入q同城灾备中心缺乏金融网区和WOA区互联网出口灾备链路，无法满足未来同城应用

12、级灾备切换需要q异地灾备中心缺乏互联网出口灾备链路，无法满足未来异地应用级灾备切换需要网银区WOA区手机银行区金融网区网银区手机银行区总行数据中心广域网骨干网数据中心A数据中心B数据中心Internet目前通过DWDM，经总行数据中心WOA区的互联网出口接入InternetIP地址规划分配数据中心功能区IP地址段IP子网段生产数据中心（总行5楼）核心交换区、新核心区、生产区、网银区、外联区、OA区、WOA区8个B类地址段：10.168.0.0/1610.169.0.0/1610.170.0.0/1610.171.0.0/1610.172.0.0/1610.173.0.0/1610.174.0.

13、0/1610.175.0.0/16不同数据中心的不同安全域，按每个应用系统一个C类子地址段进行分配使用研发数据中心（智控2楼）新核心区、手机银行区、卡区、核心交换区、金融网区同城灾备数据中心（1-1机房）生产区灾备区研发数据中心（智控2楼）手机银行区10.152.0.0/16研发数据中心（智控2楼）呼叫中心区10.155.0.0/16异地灾备中心（数据中心A）灾备区10.164.0.0/1610.165.0.0/16规划分配的IP地址段：10.147.0.0/16 10.219.0.0/16q目前同城三个数据中心共用多个B类IP地址段，不便于路由收敛和维护管理，建议按不同数据中心和功能域进行规

14、划分配；q外联网区发布了部分第三方的路由信息到内网，容易产生IP地址冲突，并存在安全隐患，建议采用NAT技术实现外部地址转换；q部分应用系统部署在不同数据中心不同功能域的不同网段中，导致IP资源浪费，不利于系统的维护管理；q部分应用系统复用物理服务器和IP地址，不利于系统的监控维护或故障处理。路由协议规划OSPF Area 0OSPF Area 8静态路由核心路由器（分行）数据中心互联数据中心互联总行生产核心智控研发中心同城核心新核心业务区同城服务器区总行、B与同城数据中心之间动态路由协议规划现状：路由协议规划生产中心、同城灾备中心、异地灾备中心、及分行之间的动态路由协议规划现状：AS6543

15、0数据中心互联核心路由器（分行）分行路由器AS65100 生产中心 研发中心 同城灾备中心异地灾备中心数据中心互联EBGPEBGPEBGPEBGPiBGPiBGPiBGPAS65431AS6544211个分行路由协议规划总行与分行之间的动态路由协议规划现状：网络扩展服务lDNS域名解析服务缺乏DNS域名解析系统；应用系统主要采用IP地址访问方式。lNTP时钟服务提供统一的NTP服务，保证全网网设系统时间的一致性。l负载均衡服务应用负载均衡服务：主要包括总行数据中心核心区、OA区、WOA区，数据中心B新核心区、手机银行区、金融网区等；链路负载均衡服务：主要包括总行数据中心网银区、WOA区，数据中

16、心B手机银行区、金融网区等；全局负载均衡服务：数据中心部署GTM设备，可用于容灾切换，暂未启用。lAAA服务目前网络系统通过本地账号口令实现访问控制，缺乏统一的AAA服务（认证授权审计）。网络安全服务l 遵循信息系统安全策略网络安全策略包括：网络结构安全：重要网络设备和通讯链路采取冗余备份措施，防止单点故障；网络带宽满足业务高峰需要；重要业务提供QoS保障；网络边界控制：网络安全域划分，边界安全访问控制策略制定，遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”原则；网络安全审计：监控网络设备相关性能指标，网络设备日志采集转储，全面日志分析；网络入侵防范：重要边界部署网络入侵检测设备，重

17、要或敏感业务数据采取相应加密技术，防止DDOS攻击；恶意代码防范：双向过滤常见病毒蠕虫传播端口；网络设备防护：实现账号口令的身份认证管理，远程网络管理访问控制和加密，及时进行软件升级或补丁。l 网络安全技术和产品网络安全技术及产品主要包括：VLAN，ACL，防火墙技术，密码安全，DDOS系统，防毒墙，WAF（WEB应用防火墙），应用安全网关，验签服务器，IDS入侵检测设备，网闸，VPN设备，TDA威胁发现设备，防病毒软件系统，WAF日志服务器，网络漏洞扫描系统，负载均衡安全，桌面管理系统，运维审计平台，上网行为管理等；安全区域划分满足业务系统安全隔离要求，不同功能域之间主要通过防火墙实现安全隔

18、离，可能影响性能传输和限制资源共享；安全域内、外层采用异构防火墙，大大增强了网络的安全稳固程度。网络管理服务l 网络管理能力网络管理方式：采用带内网管，支持远程带内运维，远程带外管理能力有待完善；网络管理服务：由总行生产中心提供统一的网络管理服务，主要包括Solarwinds网络性能监控系统和北塔网络运维管理系统，实现集中网络管理，同城灾备中心和异地灾备中心暂无灾备网管能力；网络管理协议：包括SSH、Telnet、SNMP、NTP、Syslog等；口令认证方式：目前主要采用Local认证方式，缺乏统一的AAA服务，不利于集中管控。网络架构优化建议网络服务关注点现状分析优化建议网络基础服务网络架

19、构q模块化和层次化结构，有利于网络系统扩展或升级；q重要设备采用双机热备、堆叠技术，实现网络高可用；q网络设备负载较低，冗余网络设备利用率较低；q管理网、心跳网与生产网复用，缺乏独立的管理网；q采用网络虚拟化技术和大二层技术，满足服务器虚拟化对网络资源的弹性扩展需求，提高网络带宽利用率，优化网络架构，提高网络性能；q部署独立的生产网和管理网，提升管理的安全性和可用性；数据交换q核心采用千兆网络交换，无法满足未来云计算环境下横向、纵向的高速交换需要；q采用新一代核心设备，支持高性能快速转发，支持高密度10GE能力等；内联网互联q点对点专线星型互联架构，满足各分行的访问接入；q各分行缺乏至同城灾备

20、中心的灾备链路，无法满足同城灾备切换需要；q采用扁平化广域网架构，可灵活满足未来新数据中心或分支机构的网络接入，并满足灾备环境对内联链路的接入需要；外联网互联q满足人行、银联、第三方等机构的接入需要；q外联链路缺乏同城灾备和异地灾备冗余；q配备同城灾备中心和异地灾备中心灾难恢复所需的外联链路；互联网接入q部署不同运营商的链路，实现链路冗余互备；q同城灾备中心和异地灾备中心缺乏部分灾备切换所需的互联网出口链路，无法快速满足未来灾备切换需要；q配备同城灾备中心和异地灾备中心灾难恢复所需的互联网出口链路；IP地址规划q同城三个数据中心共用多个B类IP地址段，不利于路由收敛和资源维护管理；q外联网区发

21、布了部分第三方的路由信息到内网，容易产生IP地址冲突，并存在安全隐患；q按不同数据中心不同功能域统一进行规划，便于路由收敛和维护管理；q对外部第三方路由，建议采用NAT技术实现外部地址转换；网络架构优化建议网络服务关注点现状分析优化建议网络扩展服务DNS服务q未部署DNS域名解析系统，应用系统主要通过IP地址方式进行互访；q不利于应用系统灾备切换后的快速访问，用户无法实现透明访问；q为生产-灾备中心建立全局智能DNS系统，包括内网DNS服务和外网DNS服务；q满足应用系统灾备快速切换需要，实现透明访问；AAA服务q未提供AAA服务，缺乏安全管控能力q建立AAA服务平台，提高网络访问控制能力；网

22、络安全服务安全域划分q安全域划分满足不同业务的安全访问控制需要；q安全域之间主要通过防火墙技术实现安全隔离，安全设备可能存在性能瓶颈；q传统网络安全域的划分不利于未来云环境下资源的灵活共享；q进行网络安全域整合优化，通过资源池建设提高资源利用率；q利用逻辑安全隔离技术，实现资源池内部的安全访问控制，提高安全访问控制的灵活性；网络管理服务带外网管q远程带外网络管理能力有待完善，不利于远程快速维护需要；q部署串口设备远程管理解决方案，为网络设备（Console口）提供远程带外网络管理服务；网络管理q目前由生产中心集中进行网络管理，灾备中心缺乏独立的网络管理能力（网管平台）；q为灾备中心部署独立或分

23、布式网络管理系统，使灾备中心具备独立网络管理能力。议题2网络技术发展趋势网络虚拟化技术网络虚拟化架构软件定义网络网络技术关注点2.网络技术发展趋势网络技术发展趋势云化云化DCSDDC大集中大集中DC分散分散DC网络架构发展区域集中区域集中DC虚拟化虚拟化DC异地容灾架构同城容灾架构两地三中心容灾架构扁平化架构融合/虚拟化架构互备/双活架构模块化/层次化架构高可用结构网络互联互通分布式多活架构CLOS胖树架构SDN架构架构缺乏灵活性资源利用率低分散网络运维管理灾难恢复能力不足资源虚拟化/池化高资源利用率全局负载均衡双活/多活架构两地三中心一体化网络架构网络架构高可用统一运维管理技术标准化/能力服

24、务化服务快速化/资源弹性化管控集中化，部署及管理自动化高效节能，绿色环保下一代云数据中心传统的数据中心q 网络是数据中心IT基础设施的核心网络架构特征数据中心演进数据中心演进网络技术发展趋势私有云 混合云 公有云管控集中化 部署管理自动化 绿色环保技术标准化能力服务化提供快速化云数据中心网络网络技术演进资源弹性化q 网络技术向融合化、虚拟化、标准化、服务化、快速化、弹性化、自动化等方向演进q SDN软件定义网络，将是未来网络技术演进方向，目前SDN的推广主要受到技术成熟度和应用服务等限制网络服务能力网络虚拟化技术MDC/VDC/VLAN/VPN/VRF技术vFW/vIPS/vLD技术满足不同应

25、用、不同用户的需要提高设备利用率实现资源复用与逻辑隔离实现资源的灵活调度IRF2/VSS/vPC技术简化网络结构和路由管理，减少环路问题提高带宽利用率提高可靠性降低运维难度q N:1/1:N 虚拟化技术，私有技术，比较成熟，存在异构兼容问题，适用于中小规模虚拟化或云计算环境VCF技术减少网络管理节点数提升网络带宽利用率，简化布线提高业务部署灵活性横向虚拟化纵向虚拟化网络虚拟化架构三层网络架构(VRRP+STP)大二层网络扩展能力虚拟化/扁平化网络架构(N:1虚拟化，增强型二层)虚拟交换矩阵架构(TRILL/SPB/ClOS)跨数据中心大二层互联(VPLS/EVI/OTV/VXLAN)MPLS

26、核心网PWPWPWPWPWPW存在复杂生成树环路网络结构复杂带宽利用率低私有技术，如IRF/vPC应用成熟组网简单，简化网络结构减少环路问题提高带宽利用率Non-blocking架构L2 or L3技术实现较低收敛比高性能，高可扩展性CLOS网络级高可靠性VPLS为标准技术，兼容性好私有二层Overlay技术（EVI/OTV）,部署简单，扩展方便基于主机的Overlay技术（VXLAN），支持任意网络透传q 大二层网络可很好地满足云数据中心内部或云间的计算集群、虚机动态迁移、资源池灵活扩展等需求q 主流网络厂商均有各自改进增强的大二层网络技术，存在异构无法兼容问题软件定义网络行业IT应用方案

27、控制平台控制平台控制平台控制平台 数据数据数据数据平台平台平台平台 应用服务应用服务应用服务应用服务 第三方SDN控制平台APP虚拟网络环境标准协议第三方SDN应用IntegratedIntegratedIntegrated控制平台 API虚拟平台 APIq SDN通过控制平面、数据转发平面的分离，可极大提升网络的管控效率及虚拟化能力，更好地实现网络资源的自动化编排、自动化配置管理。q 通过基于SDN技术的对外开放的API进行软件编程，实现整个网络集中的管理能力。q SDN需要提供丰富的API接口：l 支持OpenFlow等标准协议l 支持不同厂商的Open APIl 支持OpenStack协

28、议l 提供控制平台API接口q SDN软件定义网络架构实现：数据平台+控制平台+应用服务，目前SDN应用还不够成熟完善，可关注及试点应用网络技术关注点H H3 3CCH H3 3CCIntranet/Extranet/InternetIP网互联网互联DC-1DC-2Client存储网互联存储网互联l 网络架构的扁平化、虚拟化及大二层互通l 网络设备的高带宽低时延、高性能 l 虚机的虚拟化感知和策略跟随l 数据中心间大二层网络互连l 多数据中心的灵活接入l 虚机间的安全访问控制l 数据中心的出口安全l 网络资源弹性化（资源池化）l 网络能力服务化l 网络技术标准化l 网络部署和管理自动化l 绿色

29、环保q 计算资源虚拟化带来的性能/迁移/安全/管理变化、服务能力的云化、网络的监管控等议题3网络面临的挑战网络架构规划设计关注点3.网络架构需求分析网络面临的挑战目前网络面临的一些问题云计算环境下网络面临的挑战冗余网络结构复杂冗余链路利用率较低网络收敛比低网络资源无法复用网络部署配置复杂网络运维难度较大网络建设周期较长存在复杂的STP环路结构的局限性网络异构环境兼容性差管理的局限性纵向突发大流量的应对虚机的动态漂移虚机流量监控管理虚机迁移的策略跟随虚机的高密度部署随需扩展网络资源多数据中心灵活接入VLAN和IP的扩展网络性能问题资源扩展问题管理能力问题网络的快速配置部署多租户之间的安全网络安全

30、问题横向流量的增长应对跨数据中心的虚机漂移虚机间的安全访问控制云数据中心的安全访问虚机迁移问题网络资源的统一管控q 网络面临的挑战：网络性能、带宽利用率、虚机动态迁移、资源弹性化、虚拟网络安全、网络管理等方面网络架构规划设计关注点网络服务规划目标关注点两地三中心一体化网络架构建设数据中心网络基础架构规划q核心交换区、生产区、准生产区、内联区、外联区、DWDM区、电子商务区、互联网金融区、呼叫中心区，OA区，运维管理区等；q网络架构的虚拟化、扁平化和大二层互通；q网络资源弹性化和能力服务化；q网络设备的高性能和低时延；q能充分满足未来3-5年新业务或新技术的发展需要；两地四中心之间的互联互通q同

31、城数据中心间DWDM密集波分复用技术的应用（生产网、备份网、管理网、FC-SAN网等互联）；q异地数据中心间的灵活接入（链路冗余高可用、链路容灾切换）；两地四中心的WAN链路部署q分公司上联WAN链路的冗余部署和灵活接入；q人行/银联/第三方上联WAN链路的冗余部署；q人行/银联/第三方上联路由优化（NAT与主备路由切换）；智能DNS解析q两地三中心全局智能DNS解析服务，满足容灾切换或应用双活需要网络系统管理q远程带外管理服务，集中与分布式网络管理生产系统的搬迁考虑生产系统搬迁可能面临问题qIP地址变更规划对应用系统迁移带来的影响q内联线路或外联线路迁移对业务的中断影响议题4数据中心网络系统

32、总体构成安全域与风险级别划分新数据中心网络功能域划分IP地址规划路由协议规划4.新数据中心网络架构规划数据中心网络系统总体构成网络资源池（网络设备）接入层网络管理平台网络安全内容服务(DNS/LB/SSL/WAS/CDN）虚拟网络层网络基础服务DMZ服务带外网络管理数据中心网络功能架构汇聚层核心层Internet接入Intranet互联DC互联Extranet互联安全域与风险级别划分网络区域安全域划分安全风险级别安全域类别内部网络运维管理区，数据存储区VIII 内部安全域生产区，呼叫中心区VII OA区，电子商务区，互联网金融区VI 准生产区V Intranet 内联区，DWDM区IV 内部风

33、险域Extranet 外联区III Internet 电子商务、互联网金融和OA区的DMZ区II 外部中立区电子商务、互联网金融和OA区的互联网接入I 外部风险域低风险高风险网络功能域划分原则网络功能域划分原则：q 根据新数据中心的定位和现有应用系统的不同用途分类，将网络划分为业务网、办公网、运维管理网、备份网、数据存储网等；q 根据两地三中心容灾网络架构的建设和容灾应用系统的部署要求，进行网络功能域的整合优化；q 根据信息系统安全规范要求，划分不同的网络安全域，对不同安全层次实现安全分层控制；Internet接入区：针对电子商务区、互联网金融区、OA区Extranet互联区：针对人行、银联、

34、第三方等外联区Intranet互联区：针对11个分行和异地数据中心A等内联区，同城数据中心间互联的DWDM区内部网络互联区：涉及准生产区、OA区、呼叫中心区、生产区，以及运维管理区q 根据不同安全域对计算资源类型、规模和网络接入要求的不同，进行网络规划和设备选型物理小型机资源：涉及生产网、设备管理网、心跳网、及备份网的接入物理X86资源：涉及生产网、设备管理网、心跳网、及备份网的接入虚拟化X86资源：涉及生产网、设备管理网、宿主机管理、vMotion管理、心跳网、及备份网的接入NAS资源：涉及生产网、设备管理网和备份网的接入FC-SAN存储资源：涉及设备管理网的接入新数据中心网络功能域划分生产

35、网11个分行同城数据中心人行、银联第三方OA网DWDM区运维管理网外联区安全控制安全控制运维管理区安全控制生产区安全控制设备管理网/宿主机管理/vMotion网/心跳网/备份网/网络带外管理网异地数据中心内联区安全控制PSTN电子商务区安全控制安全控制准生产区安全控制InternetFC-SAN网小型机资源池物理x86资源池虚拟x86资源池NAS资源池在线存储资源池离线存储资源池呼叫中心区安全控制OA-DMZ安全控制安全控制OA区安全控制核心交换区DC外部网络DC内部网络互联网金融区安全控制安全控制备份网虚拟化网络架构q 网络架构建议采用虚拟化和扁平化技术，简化网络架构，实现功能域内大二层的互

36、联互通；q 随着计算资源节点需求的增长，可通过扩展板卡或增加接入层交换机方式实现网络资源的弹性扩展。功能实现：虚拟化技术：增强型二层，私有技术（IRF/vPC），技术应用成熟，网络架构简单，实现跨交换机链路捆绑；汇聚设备支持CLOS无阻塞交换与VOQ接口大缓存，实现高性能低时延；万兆服务器建议直接上联汇聚层交换机；服务器采用双网卡接入双交换机节点，实现冗余高可用；支持功能域内虚机的动态漂移和策略跟随；虚拟化技术提高网络资源的利用率；满足网络资源池的弹性扩展。汇聚交换机汇聚交换机接入交换机接入交换机功能域千兆服务器万兆服务器10GE1GEDWDM区拓扑架构DWDM区数据中心B（研发中心）数据中心

37、（生产中心）总行数据中心（同城灾备中心）核心交换区L3互联生产区L2互联运维管理区L3互联FC-SAN区互联核心交换区L3互联生产区L2互联运维管理区L3互联FC-SAN区L2互联核心交换区L3互联运维管理区L3互联DWDM区DWDM区备份网L3互联备份网L3互联1GE1GE1GE裸光纤裸光纤内联区拓扑架构分行数据中心A防火墙路由器核心交换区10GE10GE专线专线外联区拓扑架构前置服务器人民银行银联第三方防火墙交换机防火墙路由器核心交换区外联区计算资源池10GE10GE中间业务平台系统批量业务平台系统信用卡系统境内外币支付支票影像系统反洗钱系统二代支付系统法院前置系统网上支付跨行清算系统短信

38、平台身份证联网核查手机银行系统IC卡系统1.0金融IC卡系统2.0监管报送系统国际结算系统（含金宏工程和ABOQ）财税库行银联数据前置系统中国银联前置系统专线专线专线q 外联区共计19个应用系统(52个节点)：其中中间业务5个,存取款业务4个,电子渠道业务8个,管理信息系统2个电子商务区拓扑架构WEB服务器防火墙交换机防火墙InternetWAF交换机防火墙核心交换区APP服务器DMZ区计算资源池电子商务区计算资源池应用负载均衡IDS/IPS链路负载均衡DDOSVirus应用负载均衡不同运营商互联网接入链路10GE10GE1GE支付宝卡通系统个人网银系统企业网银系统网银管理端系统手机银行系统q

39、 电子商务区共计5个电子渠道业务系统(25个节点)支付宝卡通系统个人网银系统手机银行系统DB服务器全局负载均衡互联网金融区拓扑架构WEB服务器防火墙交换机防火墙InternetWAF交换机防火墙核心交换区APP/DB服务器DMZ区计算资源池互联网金融区计算资源池应用负载均衡IDS/IPS链路负载均衡DDOSVirus应用负载均衡不同运营商互联网接入链路10GE10GE1GE其它互联网金融业务金融网信息管理系统银企对账系统财付通系统磐石农民钱包系统q 互联网金融区共计4个应用系统(16个节点)：其中贷款业务1个，管理信息系统1个，电子渠道业务2个金融网信息管理系统银企对账系统财付通系统全局负载均

40、衡呼叫中心区拓扑架构呼叫中心区计算资源池防火墙交换机核心交换区应用服务器PSTN10GE10GE呼叫中心系统银联数据前置系统q 呼叫中心区主要包括1个电子渠道业务(38个节点)生产区拓扑架构汇聚交换机核心交换机核心交换区虚拟化X86资源池（DB）虚拟化X86资源池(WEB/APP)小型机资源池（WEB/APP/DB）物理X86资源池（WEB/APP/DB）防火墙应用负载均衡生产区接入交换机万兆服务器、NAS存储建议直接上联汇聚交换机，千兆服务器上联接入层交换机；服务器采用双网卡接入双交换机节点实现冗余高可用，通过跨交换机链路捆绑方式实现链路负载均衡，提高带宽利用率。IPS/IDS10GE10G

41、E10GE10GE10GE1GE1GE1GE1GE10GE10GE10GE生产区拓扑架构ATMPATM远程分发ATM远程监控EAST系统EBP业务平台ESB企业服务总线系统SWIFT系统中间业务平台系统事后监督系统二代支付前置PMTS二代支付系统人民币利率报备系统保证金系统信用卡进件系统信贷系统借记卡系统债券系统公共信息平台系统内容管理平台冠字号采集系统利率屏系统历史数据查询系统反假币系统反洗钱系统国库集中支付系统国际结算系统（含金宏工程和ABOQ）大总帐系统大额存单系统实时报表系统客户风险统计报送系统密码服务平台系统对公客户信用风险评级小企业绩效系统应用监控系统影像管理平台征信系统2.1总行

42、对公绩效考核系统批处理作业统一调度平台指纹系统支付信息报送统计（新增系统）支付网关系统支票影像系统收单系统POSP数据仓库系统新准则系统机构绩效查询系统柜员绩效考核系统标准化存贷款综合抽样统计监测系统核心系统理财资产管理系统理财销售系统电子验印系统2.0电视银行系统监管报送系统短信平台磐石信贷新准则系统磐石征信系统2.1票据系统管理会计系统统一报表系统综合柜面系统股权信息管理系统西联汇款系统财务经费系统财务网上报销系统财务预算管理系统资产保全系统资本项目数据采集系统身份证联网核查金融网信息管理系统银企对账系统银监动态监测系统非现场审计稽核系统境外人民币信息报送系统q 生产区共计74个电子渠道业

43、务(261个节点)：中间业务9个,存取款业务11个,电子渠道业务12个,管理信息系统30个,财务类系统4个,贷款业务8个准生产区拓扑架构汇聚交换机核心交换机核心交换区虚拟化X86资源池（WEB/APP/DB）小型机资源池（WEB/APP/DB）防火墙应用负载均衡准生产区接入交换机10GE10GE1GE1GE10GE10GE10GE10GEOA区拓扑架构WEB服务器防火墙交换机防火墙InternetWAF交换机防火墙核心交换区APP/DB服务器DMZ区计算资源池OA区计算资源池应用负载均衡IDS链路负载均衡DDOSVirus应用负载均衡不同运营商互联网接入链路10GE1GE10GE400客服系统

44、公司业务发展论坛电子邮件系统(内网)电子邮件系统(外网)运维审计系统人力资源管理系统内部审计平台系统IT运营管理系统在线考试系统学习园地IT服务管理平台系统移动官网系统新版考试系统？办公自动化系统门户网站系统腾讯通系统考勤系统虚拟桌面系统q OA区共计18个办公业务系统(67个节点)运维管理区拓扑架构小型机资源池物理x86资源池虚拟x86资源池(DB)NAS资源池在线存储资源池离线存储资源池SolarwindsSolarwinds网管系统网管系统北塔北塔网管系统网管系统AAAAAA系统系统vCentervCenter系统系统性能监控性能监控系统系统日志管理日志管理系统系统NTPNTP服务器服务

45、器网络设备虚拟x86资源池(APP)核心交换机核心交换机防火墙串口管理接入交换机设备管理接入交换机宿主机管理接入交换机vMotion网接入交换机心跳网接入交换机备份网（万兆交换机）维护终端接入交换机防火墙10GE10GE10GE10GE10GE10GE1GE1GE10GE10GE1GEIT运营管理系统IT服务管理平台系统应用监控系统带外管理系统q 运维管理区共计4个应用系统(20个节点)远程带外网络管理l 通过串口设备远程管理解决方案（Serial-to-IP)，为灾备中心网络设备（Console口）提供远程带外网络管理服务。RS232RS232RS232RS232RS232路由器交换机负载均

46、衡器防火墙IPS串 口管理交换机LANWANInternetVPN远程管理员远程管理员本地管理员ConsoleConsoleConsoleConsoleConsole设备接口类型及带宽需求服务器和存储设备接口类型及带宽需求：生产网设备管理网vMotion网集群心跳网物理x86服务器(DB)212虚拟化X86服务器(DB)虚拟化x86服务器(WEB/APP)物理x86服务器(分布式计算)物理x86服务器(利旧)小型机服务器(每个分区)2*10GE/2*1GEFC-SAN存储设备2324NAS存储设备数据备份网FC-SAN网宿主机管理网121GE电10GE光21GE电1GE电1GE电1GE电10G

47、E光8GB光22121221212221121112124*10GE注：小型机第一个分区：生产网和心跳网采用万兆网2FC-SANIP序号方案主要考虑因素优势存在问题1全新IP地址规划数据中心的全新规划；考虑计算资源虚拟化，应用系统需要重新部署调试；q 保证新数据中心IP地址段的连续性、可管理性和路由收敛；q 可提前进行网络联调及路由测试；q、总行和数据中心B可同时在线提供生产服务，有利于分批次进行搬迁，更好地降低生产服务中断时间；q 可考虑采用DNS域名解析服务，解决IP地址变更对业务带来的影响；q 迁移应用系统需要更改IP地址及关联系统接口配置，可能影响迁移时间和；q 需要重新发布新的IP地

48、址信息，无法满足终端用户的透明访问，影响用户范围较大；q 部分与IP绑定的应用系统需要重装，增加应用系统的调试时间；q 可能延长整体搬迁时间；2利旧IP地址（沿用现有生产IP地址段）总行、数据中心B生产系统直接搬迁到数据中心；降低IP地址变更带来的影响；q 应用系统IP地址保持不变，不需要更新应用系统的接口配置，方便物理搬迁后的系统联调及上线；q 有利于加快生产环境的整体搬迁时间；q 部分应用系统部署在不同数据中心不同功能域的不同网段中，导致IP资源浪费，不利于系统的维护管理；q 部分应用系统复用物理服务器和IP地址，不利于系统监控维护或故障处理；q 相同IP地址段无法在不同数据中心同时在线使

49、用，不利于分批次进行搬迁，生产服务中断时间将延长；q 生产服务中断（开始搬迁）后，才能进行网络联调及路由测试，以避免地址段冲突；q 影响旧IP地址段的连续性，不利于数据中心内部路由收敛。IP地址规划方案选择建议方案IP地址划分遵循原则：l 唯一性：IP地址必须唯一，一个IP地址对应一个数据通讯设备；l 连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由寻径效率；l 可扩充性：分配地址应预留一定量的备用地址块，以便网络节点增加后能保持地址的连续性；l 可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其它部分；l 高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码

50、技术的TCP/IP协议族；l 考虑应用系统类型的不同，为业务网、办公网和运维管理网划分不同的IP地址段，便于维护管理；l 结合网络功能域的划分，同时考虑业务系统类型、部署规模、及未来业务发展等需求，进行IP子地址段的规划，同时预留一定的IP子网段满足未来扩容需要；l 对不同类型应用系统，建议规划不同的IP地址段，便于安全访问控制和维护管理；l 对同类型规模较小的应用系统，建议可共用相同IP地址段，避免IP资源的浪费，或采用变长子网掩码技术划分子网段；l 对目前存在资源复用的应用系统，建议按不同应用系统和不同应用节点进行拆分部署，为每个应用节点分配独立的IP地址。IP地址规划原则IP地址规划数据