商业银行网络架构规划方案.pptx
《商业银行网络架构规划方案.pptx》由会员分享,可在线阅读,更多相关《商业银行网络架构规划方案.pptx(85页珍藏版)》请在咨信网上搜索。
1、商业银行 网络架构规划方案技术创新,变革未来智慧金融议题1.网络系统现状分析2.网络技术发展趋势3.网络架构需求分析 4.新数据中心网络架构规划5.两地三中心一体化网络架构规划 6.网络架构蓝图演进路线议题1数据中心分布及定位网络基础服务网络扩展服务网络安全服务网络管理服务网络架构优化建议1.网络系统现状分析现状调研分析思路网络安全服务网络管理服务AAA服务应用负载均衡DNS/NTP服务 网络扩展服务 网络基础服务 数据中心分布及定位总行数据中心数据中心B数据中心数据中心A全局负载均衡数据中心网络互联网络功能域划分Intranet网络互联Extranet网络互联Internet互联网接入IP地
2、址规划路由协议规划网络系统现状调研分析思路:数据中心分布及定位吉林省长春市北京市数据中心A生产环境q位于总行5楼机房,目前为生产中心q约80个机柜,已基本用满q单路市电,可用性较低总行数据中心办公环境运维管理环境生产环境q位于智控机房(公司2楼IDC),目前为生产中心和研发中心q约100个机柜,已基本用满q存在危楼安全隐患问题数据中心B开发测试环境生产环境q位于软件园D栋,包括1-1机房和1-2机房q1-1机房:约130个机柜,部分使用,目前为同城灾备中心q1-2机房:约135个机柜,待规划使用(新生产中心)数据中心开发测试环境同城灾备环境1-1机房1-2机房q位于酒仙桥数据中心C10栋q目前
3、为异地灾备中心异地灾备环境两地四中心:运维管理环境运维管理环境数据中心网络互联同城数据中心异地数据中心总行数据中心DWDM密集波分技术数据中心B数据中心(1-1机房)数据中心A电信155Mbps SDH*3联通155Mbps SDH*3电信155Mbps SDH联通155Mbps SDH移动裸光纤广电裸光纤电信裸光纤电信裸光纤电信裸光纤联通裸光纤未启用q同城数据中心两两之间,分别采用不同运营商的冗余裸光纤+DWDM技术,实现IP网和FC-SAN网的互联互通q异地数据中心之间,分别通过不同运营商的冗余高速SDH链路,实现IP网络和FC-SAN网络的互联互通数据中心网络互联裸光纤+DWDM技术应用
4、:qIP网络高速互联:三层网络互联,二层网络互联qSAN网络高速互联:SAN网络互联,数据同步复制电信裸光纤联通裸光纤总行数据中心数据中心B电信裸光纤广电裸光纤数据中心B数据中心G1-1 DX-DC G1-2 DX-XHXG1-3 DX-DCG1-4 DX-XHXG1-5 未启用G1-6 未启用G1-7 DX-DCG1-8 DX-CSG2-1 DX-DC G2-2 未启用G2-3 DX-DCG2-4 DX-XHXG2-5 未启用G2-6 未启用G2-7 DX-DCG2-8 未启用G1-1 ZH-DCG1-2?G1-3 未使用G1-4 镜像口G1-5 未启用G1-6 未启用G1-7 ZH-DCG
5、1-8?G2-1 ZH-DCG2-2 未启用G2-3 未使用G2-4 镜像口G2-5 未启用G2-6 未启用G2-7 ZH-DCG2-8 未启用G1-1 TC-WANG1-2 TC-WANG1-3 TC-YWG1-4 监控?G1-5 TC-YWG1-6 QM-SCG1-7 TC-NMSG1-8 TC-NMSG2-1 TC-WANG2-2 TC-WANG2-3 TC-YWG2-4 Server?G2-5 TC-YWG2-6 QM-SCG2-7 TC-EXG2-8 未启用G1-1 DX-WANG1-2 DX-WANG1-3 DX-XHXG1-4 DX-CSG1-5 DX-XHXG1-6 DX-DC
6、G1-7 DX-DCG1-8 DX-DCG2-1 DX-WANG2-2 DX-WANG2-3 DX-XHXG2-4 DX-DCG2-5 DX-XHXG2-6 DX-DCG2-7 DX-CSG2-8 未启用IP网IP网电信裸光纤移动裸光纤总行数据中心数据中心4x8千兆以太网口未启用4x8千兆以太网口未启用(2x8个千兆以太网口)(2x8个千兆以太网口)(2x8个千兆以太网口)(2x8个千兆以太网口)G1-2-1/2/3 汽车金融G2-2-1/3 汽车金融G1-2-1/2/3 汽车金融G2-2-1/3 汽车金融待规划分配网络功能域划分-总行DC总行数据中心网络功能域划分:q总行数据中心主要包括业务
7、网、办公网、运维管理网,以及物理隔离的办公外网q采用模块化和层次化结构设计q采用千兆以太网技术,利用双机热备、堆叠技术和冗余链路实现网络架构高可用q安全域主要通过防火墙实现安全隔离,可能影响网络传输性能q网络负载较低(CPU利用率0-24%),其中核心交换区和第三方外联区负载较高业务网核心交换区11个分行同城数据中心(智控、)人行、银联第三方(共100条专线)办公网Internet网银区DWDM区生产区新核心区WOA区OA区NMS区内联区外联区SolarwindsSolarwinds网管系统网管系统北塔北塔网管系统网管系统运维管理网安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控
8、制安全控制安全控制办公外网安全控制网络功能域划分-智控DC数据中心B网络功能域划分:业务网开发测试网呼叫中心区DWDM区手机银行区金融网区新核心区卡区开发测试区同城数据中心(总行、)注:金融网区目前通过DWDM,经总行数据中心WOA区的互联网出口接入Internet!异地数据中心()深圳街培训中心内联区Internet安全控制安全控制安全控制安全控制安全控制安全控制安全控制安全控制核心交换区q数据中心B主要包括业务网和开发测试网q采用模块化和层次化结构设计q采用千兆以太网技术,利用双机热备、堆叠技术和冗余链路实现网络架构高可用q安全域主要通过防火墙实现安全隔离,可能影响网络传输性能q网络负载较
9、低(CPU利用率0-15%),其中新核心区负载较高网络功能域划分-DC数据中心(1-1机房)网络功能域划分:q同城数据中心主要包括灾备网、业务网、测试网、运维管理网,以及物理隔离的办公外网和考试系统q缺乏统一的网络规划,有待进一步整合优化灾备业务网2F总控室灾备核心交换区手机银行区网银区灾备区生产区同城数据中心(总行、智控)异地数据中心11个分行(有待接入)NMS区生产核心交换区开发测试区运维管理区生产业务网开发测试网Internet安全控制安全控制安全控制安全控制安全控制共享互联网出口考试系统办公外网安全控制ITSM监控系统DWDM区内联区网络功能域划分-A数据中心A数据中心网络功能域划分:
10、q异地灾备数据中心主要提供灾备服务和运维管理服务q平时资源处于灾备状态,资源闲置,资源利用率有待提高灾备业务网核心交换区内联区灾备区NMS区外联区人行异地数据中心(智控、)11个分行运维管理网安全控制安全控制安全控制安全控制Intranet网络互联q采用点对点专线星型互联架构,无法灵活满足未来新数据中心或分公司的快速接入需求q内联链路缺乏同城灾备冗余各分行缺乏至同城灾备中心()的灾备链路,无法满足未来同城应用级灾备切换需要总行数据中心电信专线联通/电信专线广域网骨干网数据中心数据中心B数据中心Axx分行xx分行xx分行四平分行通化分行xx分行xx分行松原分行白山分行xx分行xx分行Extran
11、et网络互联q人行外联链路具备异地灾备冗余,可满足目前异地容灾系统的灾备切换需要q外联链路缺乏同城灾备冗余外联机构缺乏至同城灾备中心()的灾备链路,无法满足未来同城应用级灾备切换需要q部分外联链路缺乏异地灾备冗余银联数据和银联交易缺乏至异地灾备中心的灾备链路,无法满足未来容灾系统异地灾备切换需要第三方缺乏至异地灾备中心的灾备链路,无法满足未来容灾系统异地灾备切换需要人行银联数据第三方总行数据中心电信专线联通专线广域网骨干网数据中心数据中心B数据中心A第三方银联交易 中间业务专线(共计100条)Internet互联网接入q同城灾备中心缺乏金融网区和WOA区互联网出口灾备链路,无法满足未来同城应用
12、级灾备切换需要q异地灾备中心缺乏互联网出口灾备链路,无法满足未来异地应用级灾备切换需要网银区WOA区手机银行区金融网区网银区手机银行区总行数据中心广域网骨干网数据中心A数据中心B数据中心Internet目前通过DWDM,经总行数据中心WOA区的互联网出口接入InternetIP地址规划分配数据中心功能区IP地址段IP子网段生产数据中心(总行5楼)核心交换区、新核心区、生产区、网银区、外联区、OA区、WOA区8个B类地址段:10.168.0.0/1610.169.0.0/1610.170.0.0/1610.171.0.0/1610.172.0.0/1610.173.0.0/1610.174.0.
13、0/1610.175.0.0/16不同数据中心的不同安全域,按每个应用系统一个C类子地址段进行分配使用研发数据中心(智控2楼)新核心区、手机银行区、卡区、核心交换区、金融网区同城灾备数据中心(1-1机房)生产区灾备区研发数据中心(智控2楼)手机银行区10.152.0.0/16研发数据中心(智控2楼)呼叫中心区10.155.0.0/16异地灾备中心(数据中心A)灾备区10.164.0.0/1610.165.0.0/16规划分配的IP地址段:10.147.0.0/16 10.219.0.0/16q目前同城三个数据中心共用多个B类IP地址段,不便于路由收敛和维护管理,建议按不同数据中心和功能域进行规
14、划分配;q外联网区发布了部分第三方的路由信息到内网,容易产生IP地址冲突,并存在安全隐患,建议采用NAT技术实现外部地址转换;q部分应用系统部署在不同数据中心不同功能域的不同网段中,导致IP资源浪费,不利于系统的维护管理;q部分应用系统复用物理服务器和IP地址,不利于系统的监控维护或故障处理。路由协议规划OSPF Area 0OSPF Area 8静态路由核心路由器(分行)数据中心互联数据中心互联总行生产核心智控研发中心同城核心新核心业务区同城服务器区总行、B与同城数据中心之间动态路由协议规划现状:路由协议规划生产中心、同城灾备中心、异地灾备中心、及分行之间的动态路由协议规划现状:AS6543
15、0数据中心互联核心路由器(分行)分行路由器AS65100 生产中心 研发中心 同城灾备中心异地灾备中心数据中心互联EBGPEBGPEBGPEBGPiBGPiBGPiBGPAS65431AS6544211个分行路由协议规划总行与分行之间的动态路由协议规划现状:网络扩展服务lDNS域名解析服务缺乏DNS域名解析系统;应用系统主要采用IP地址访问方式。lNTP时钟服务提供统一的NTP服务,保证全网网设系统时间的一致性。l负载均衡服务应用负载均衡服务:主要包括总行数据中心核心区、OA区、WOA区,数据中心B新核心区、手机银行区、金融网区等;链路负载均衡服务:主要包括总行数据中心网银区、WOA区,数据中
16、心B手机银行区、金融网区等;全局负载均衡服务:数据中心部署GTM设备,可用于容灾切换,暂未启用。lAAA服务目前网络系统通过本地账号口令实现访问控制,缺乏统一的AAA服务(认证授权审计)。网络安全服务l 遵循信息系统安全策略网络安全策略包括:网络结构安全:重要网络设备和通讯链路采取冗余备份措施,防止单点故障;网络带宽满足业务高峰需要;重要业务提供QoS保障;网络边界控制:网络安全域划分,边界安全访问控制策略制定,遵循“默认拒绝,特殊规则靠前,普通规则靠后,规则不重复”原则;网络安全审计:监控网络设备相关性能指标,网络设备日志采集转储,全面日志分析;网络入侵防范:重要边界部署网络入侵检测设备,重
17、要或敏感业务数据采取相应加密技术,防止DDOS攻击;恶意代码防范:双向过滤常见病毒蠕虫传播端口;网络设备防护:实现账号口令的身份认证管理,远程网络管理访问控制和加密,及时进行软件升级或补丁。l 网络安全技术和产品网络安全技术及产品主要包括:VLAN,ACL,防火墙技术,密码安全,DDOS系统,防毒墙,WAF(WEB应用防火墙),应用安全网关,验签服务器,IDS入侵检测设备,网闸,VPN设备,TDA威胁发现设备,防病毒软件系统,WAF日志服务器,网络漏洞扫描系统,负载均衡安全,桌面管理系统,运维审计平台,上网行为管理等;安全区域划分满足业务系统安全隔离要求,不同功能域之间主要通过防火墙实现安全隔
18、离,可能影响性能传输和限制资源共享;安全域内、外层采用异构防火墙,大大增强了网络的安全稳固程度。网络管理服务l 网络管理能力网络管理方式:采用带内网管,支持远程带内运维,远程带外管理能力有待完善;网络管理服务:由总行生产中心提供统一的网络管理服务,主要包括Solarwinds网络性能监控系统和北塔网络运维管理系统,实现集中网络管理,同城灾备中心和异地灾备中心暂无灾备网管能力;网络管理协议:包括SSH、Telnet、SNMP、NTP、Syslog等;口令认证方式:目前主要采用Local认证方式,缺乏统一的AAA服务,不利于集中管控。网络架构优化建议网络服务关注点现状分析优化建议网络基础服务网络架
19、构q模块化和层次化结构,有利于网络系统扩展或升级;q重要设备采用双机热备、堆叠技术,实现网络高可用;q网络设备负载较低,冗余网络设备利用率较低;q管理网、心跳网与生产网复用,缺乏独立的管理网;q采用网络虚拟化技术和大二层技术,满足服务器虚拟化对网络资源的弹性扩展需求,提高网络带宽利用率,优化网络架构,提高网络性能;q部署独立的生产网和管理网,提升管理的安全性和可用性;数据交换q核心采用千兆网络交换,无法满足未来云计算环境下横向、纵向的高速交换需要;q采用新一代核心设备,支持高性能快速转发,支持高密度10GE能力等;内联网互联q点对点专线星型互联架构,满足各分行的访问接入;q各分行缺乏至同城灾备
20、中心的灾备链路,无法满足同城灾备切换需要;q采用扁平化广域网架构,可灵活满足未来新数据中心或分支机构的网络接入,并满足灾备环境对内联链路的接入需要;外联网互联q满足人行、银联、第三方等机构的接入需要;q外联链路缺乏同城灾备和异地灾备冗余;q配备同城灾备中心和异地灾备中心灾难恢复所需的外联链路;互联网接入q部署不同运营商的链路,实现链路冗余互备;q同城灾备中心和异地灾备中心缺乏部分灾备切换所需的互联网出口链路,无法快速满足未来灾备切换需要;q配备同城灾备中心和异地灾备中心灾难恢复所需的互联网出口链路;IP地址规划q同城三个数据中心共用多个B类IP地址段,不利于路由收敛和资源维护管理;q外联网区发
21、布了部分第三方的路由信息到内网,容易产生IP地址冲突,并存在安全隐患;q按不同数据中心不同功能域统一进行规划,便于路由收敛和维护管理;q对外部第三方路由,建议采用NAT技术实现外部地址转换;网络架构优化建议网络服务关注点现状分析优化建议网络扩展服务DNS服务q未部署DNS域名解析系统,应用系统主要通过IP地址方式进行互访;q不利于应用系统灾备切换后的快速访问,用户无法实现透明访问;q为生产-灾备中心建立全局智能DNS系统,包括内网DNS服务和外网DNS服务;q满足应用系统灾备快速切换需要,实现透明访问;AAA服务q未提供AAA服务,缺乏安全管控能力q建立AAA服务平台,提高网络访问控制能力;网
22、络安全服务安全域划分q安全域划分满足不同业务的安全访问控制需要;q安全域之间主要通过防火墙技术实现安全隔离,安全设备可能存在性能瓶颈;q传统网络安全域的划分不利于未来云环境下资源的灵活共享;q进行网络安全域整合优化,通过资源池建设提高资源利用率;q利用逻辑安全隔离技术,实现资源池内部的安全访问控制,提高安全访问控制的灵活性;网络管理服务带外网管q远程带外网络管理能力有待完善,不利于远程快速维护需要;q部署串口设备远程管理解决方案,为网络设备(Console口)提供远程带外网络管理服务;网络管理q目前由生产中心集中进行网络管理,灾备中心缺乏独立的网络管理能力(网管平台);q为灾备中心部署独立或分
23、布式网络管理系统,使灾备中心具备独立网络管理能力。议题2网络技术发展趋势网络虚拟化技术网络虚拟化架构软件定义网络网络技术关注点2.网络技术发展趋势网络技术发展趋势云化云化DCSDDC大集中大集中DC分散分散DC网络架构发展区域集中区域集中DC虚拟化虚拟化DC异地容灾架构同城容灾架构两地三中心容灾架构扁平化架构融合/虚拟化架构互备/双活架构模块化/层次化架构高可用结构网络互联互通分布式多活架构CLOS胖树架构SDN架构架构缺乏灵活性资源利用率低分散网络运维管理灾难恢复能力不足资源虚拟化/池化高资源利用率全局负载均衡双活/多活架构两地三中心一体化网络架构网络架构高可用统一运维管理技术标准化/能力服
24、务化服务快速化/资源弹性化管控集中化,部署及管理自动化高效节能,绿色环保下一代云数据中心传统的数据中心q 网络是数据中心IT基础设施的核心网络架构特征数据中心演进数据中心演进网络技术发展趋势私有云 混合云 公有云管控集中化 部署管理自动化 绿色环保技术标准化能力服务化提供快速化云数据中心网络网络技术演进资源弹性化q 网络技术向融合化、虚拟化、标准化、服务化、快速化、弹性化、自动化等方向演进q SDN软件定义网络,将是未来网络技术演进方向,目前SDN的推广主要受到技术成熟度和应用服务等限制网络服务能力网络虚拟化技术MDC/VDC/VLAN/VPN/VRF技术vFW/vIPS/vLD技术满足不同应
25、用、不同用户的需要提高设备利用率实现资源复用与逻辑隔离实现资源的灵活调度IRF2/VSS/vPC技术简化网络结构和路由管理,减少环路问题提高带宽利用率提高可靠性降低运维难度q N:1/1:N 虚拟化技术,私有技术,比较成熟,存在异构兼容问题,适用于中小规模虚拟化或云计算环境VCF技术减少网络管理节点数提升网络带宽利用率,简化布线提高业务部署灵活性横向虚拟化纵向虚拟化网络虚拟化架构三层网络架构(VRRP+STP)大二层网络扩展能力虚拟化/扁平化网络架构(N:1虚拟化,增强型二层)虚拟交换矩阵架构(TRILL/SPB/ClOS)跨数据中心大二层互联(VPLS/EVI/OTV/VXLAN)MPLS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商业银行 网络 架构 规划 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。