銀行核心路由平臺(tái)建設(shè)方案

1、銀行核心路由平臺(tái)建設(shè)方案 鄭州數(shù)據(jù)中心作為主中心啟用之后，所有業(yè)務(wù)系統(tǒng)將在鄭州中心運(yùn)行，在做骨干網(wǎng)設(shè)計(jì)時(shí)，首先考慮的是數(shù)據(jù)中心、分行再到支行整體網(wǎng)絡(luò)結(jié)構(gòu)的層次化，目前國(guó)內(nèi)銀行骨干網(wǎng)都延續(xù)采用數(shù)據(jù)中心、省市分行、支行、網(wǎng)點(diǎn)等多級(jí)架構(gòu)，因此在新中心落地使用之后，我們將采用標(biāo)準(zhǔn)化的分層骨干網(wǎng)結(jié)構(gòu)： 如上示意圖，中心骨干網(wǎng)路由器采用兩臺(tái)思科ASR1002-X，一共配置2塊8口千兆業(yè)務(wù)板卡（配置8個(gè)千兆電口模塊，8個(gè)千兆光口模塊），16個(gè)路由端口通過(guò)子端口劃分，用于做5個(gè)地市分行的MSTP線路匯聚。 同時(shí)，ASR1002-X未來(lái)仍具備2個(gè)擴(kuò)展槽位，可以通過(guò)添加SPA業(yè)務(wù)板卡的形式進(jìn)行骨干網(wǎng)連接擴(kuò)容。骨干

2、網(wǎng)層次化建設(shè)之后，主要優(yōu)勢(shì)在于：管理邊界清晰線路資費(fèi)合理層次化設(shè)計(jì)將故障域、安全域分離便于變更管理具備良好的擴(kuò)容能力，滿足未來(lái)5年左右業(yè)務(wù)發(fā)展需求IOS XE(Linux Kernel)IOSActiveIOSStandby 分行外聯(lián)采用思科3925路由器，負(fù)責(zé)分行上聯(lián)至數(shù)據(jù)中心以及下屬支行上聯(lián)至分行的骨干網(wǎng)互聯(lián)需求。從管理角度來(lái)說(shuō)，分行負(fù)責(zé)管理下屬支行的日常運(yùn)行維護(hù)和故障處理。由于一般分行的匯聚路由器都安裝在一個(gè)機(jī)房，這種模式下網(wǎng)點(diǎn)層面沒(méi)有災(zāi)備，一旦分行路由器或鏈路故障,下轄所屬的網(wǎng)點(diǎn)將停止運(yùn)業(yè)，網(wǎng)點(diǎn)到分行屬于市內(nèi)或省內(nèi)傳輸，從營(yíng)運(yùn)商的標(biāo)準(zhǔn)資費(fèi)來(lái)看, 成本較低。此次平頂山銀行網(wǎng)絡(luò)從成熟度及可

3、靠性將采用這樣的層次化設(shè)計(jì)。 每臺(tái)3925路由器配置安全license，滿足行內(nèi)對(duì)業(yè)務(wù)流量加密傳輸?shù)男枨?；并配?4個(gè)千兆POE+交換板卡，交換板卡配置IP BASE license，提供入門級(jí)3層，完整2層、安全、QoS特性，可作為分行內(nèi)部網(wǎng)路設(shè)備互聯(lián)、POE攝像頭、IP電話接入等功能靈活使用。且3925路由器支持8個(gè)擴(kuò)展插槽，包含3個(gè)EHWIC，3個(gè)DSP，2個(gè)SM插槽，具備良好的物理接口擴(kuò)展能力，滿足未來(lái)幾年分行的業(yè)務(wù)發(fā)展需求。一期廣域網(wǎng)架構(gòu)P 5 鄭州數(shù)據(jù)中心啟用，并將現(xiàn)有分行與平頂山中心的互聯(lián)方式進(jìn)行徹底改造，分行使用上聯(lián)路由器的方式與鄭州數(shù)據(jù)中心間采用三層動(dòng)態(tài)路由方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，

4、從而實(shí)現(xiàn)分行出現(xiàn)問(wèn)題僅影響自身，不會(huì)對(duì)全網(wǎng)造成影響的安全方式。P 6二期廣域網(wǎng)主備架構(gòu)建設(shè)同城災(zāi)備中心，改造分行與支行間互聯(lián)方式，將分行上聯(lián)線路分別接入鄭州數(shù)據(jù)中心和同城災(zāi)備中心，同城中心之間用DWDM設(shè)備互聯(lián)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的完全備份，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)備份，從而實(shí)現(xiàn)異地災(zāi)備的容災(zāi)模式，初步符合四級(jí)容災(zāi)標(biāo)準(zhǔn)。推薦雙活業(yè)務(wù)：網(wǎng)銀、綜合前置Cisco Unified Access (UA)Connected Mobile Experiences (CMX)Cisco Intelligent WAN (IWAN)Voice/Video and Compute/StorageCloudUSERSDat

5、a CentersLANWAN更好的應(yīng)用體驗(yàn)簡(jiǎn)化運(yùn)維控制成本BranchCisco ONEonePK, 3rd Party Management, Programmability下一代銀行網(wǎng)絡(luò)架構(gòu)應(yīng)用體驗(yàn),應(yīng)用安全：用戶最關(guān)注的問(wèn)題 提供最佳的多服務(wù)平臺(tái)，讓用戶能從任何地方順暢的使用應(yīng)用服務(wù) 應(yīng)用層級(jí)的可視化、可控化、優(yōu)化和安全性 讓應(yīng)用也能做到網(wǎng)絡(luò)感知,并提供端到端的應(yīng)用服務(wù)保障分支機(jī)構(gòu)以應(yīng)用為中心的網(wǎng)絡(luò)數(shù)據(jù)中心視頻語(yǔ)音關(guān)鍵生產(chǎn)應(yīng)用辦公應(yīng)用互聯(lián)網(wǎng)業(yè)務(wù)其它流量下一代企業(yè)智能廣域網(wǎng)絡(luò)的能力面向云資源調(diào)度平臺(tái)廣域網(wǎng)企業(yè)廣域網(wǎng)架構(gòu)的轉(zhuǎn)變和需求應(yīng)用部署正在改變應(yīng)用集中和正在向數(shù)據(jù)中心和云端移動(dòng)網(wǎng)絡(luò)邊緣

6、正在向分支移動(dòng)分支云50云端預(yù)計(jì)到2015年CIOs的50%將會(huì)通過(guò)云端操作%遷移率2015年將有更多的移動(dòng)數(shù)據(jù)流量大型應(yīng)用將有2/3的移動(dòng)流量是視頻6X2/3 WAN上的壓力業(yè)務(wù)敏捷性,簡(jiǎn)單與可視化管理 數(shù)據(jù)中心高可用和高可靠HA設(shè)計(jì)、單引擎軟件HA、全業(yè)務(wù)接口 云計(jì)算智能資源調(diào)度OTV&LISP&PFR CSR應(yīng)用可視化感知和監(jiān)控能力-AVC(FlexNeflow,NBAR/DPI,PFR)多業(yè)務(wù)并發(fā)的處理能力-256線程QFP技術(shù)多業(yè)務(wù)集成能力- FW,VPN,SBC 思科作為路由器之鼻祖，2008年推出了新一代企業(yè)骨干網(wǎng)路由器 ASR系列，ASR路由器在08年5月發(fā)布到今天，已經(jīng)實(shí)現(xiàn)

7、$5 Billion 驕人業(yè)績(jī)，超過(guò)15,000+臺(tái)和20,000+ 全球客戶采用,2600+服務(wù)FeaturesISR G2 ISR4000CSR1000VASR1000銀行骨干路由器 ASR1000系列 ASR 1001-XASR1002-XASR 1006ASR 1013ASR 1004ASR1000統(tǒng)一網(wǎng)絡(luò)業(yè)務(wù)處理架構(gòu)Cisco統(tǒng)一網(wǎng)絡(luò)處理架構(gòu)Unified Network Processing單臺(tái)機(jī)器聚合多種業(yè)務(wù)統(tǒng)一的網(wǎng)絡(luò)處理資源集中式轉(zhuǎn)發(fā)，升級(jí)僅需在線更換一塊ESP轉(zhuǎn)發(fā)引擎即可支持ONE-PK/SDN 的開放式架構(gòu)傳統(tǒng)廣域網(wǎng)架構(gòu)占用大量機(jī)架及供電資源多個(gè)獨(dú)立的設(shè)備串聯(lián)， 出現(xiàn)故障后

8、，排錯(cuò)難升級(jí)擴(kuò)容難： 整個(gè)廣域網(wǎng)受單個(gè)設(shè)備性能限制， 而當(dāng)廣域網(wǎng)帶寬升級(jí)后，用戶面臨將整個(gè)鏈路上的設(shè)備進(jìn)行擴(kuò)容。 ASR：Aggregation（聚合）+ Services（業(yè)務(wù)）+ Router（路由器）思科ASR1K/ISR 技術(shù)創(chuàng)新20142015PfROTV、LISPWAASBFDGRE/GET VPNNAT/FWISG基于性能的負(fù)載均衡(PfR)云計(jì)算數(shù)據(jù)中心互聯(lián)-Workload Mobility廣域網(wǎng)優(yōu)化MSTP線路快速探測(cè)GRE/鏈路安全保護(hù) 安全防火墻 智能服務(wù)網(wǎng)關(guān)應(yīng)用識(shí)別和控制AVCVisibilitySCALEINTELLIGENCE快速收斂-高可靠性HA+IP FRRN

9、ew!ASR1000 OTV 數(shù)據(jù)中心互聯(lián) 虛擬化數(shù)據(jù)中心的互聯(lián)技術(shù) OTV-全新數(shù)據(jù)中心互聯(lián)技術(shù)數(shù)據(jù)中心間的以太網(wǎng)流量封裝在IP包中 “MAC in IP”Control plane和data plane分離基于ISIS協(xié)議形成 MAC 路由表基于包交換OTV (Overlay Transport Virtualization) 一瞥Communication between MAC1 (site 1) and MAC2 (site 2)Server 1MAC 1Server 2MAC 2OTVOTVMACIFMAC1Eth1MAC2IP BMAC3IP BIP AIP BEncapDeca

10、pMAC1 MAC2IP A IP BMAC1 MAC2MAC1 MAC2ASR1000災(zāi)備數(shù)據(jù)中心互聯(lián) (OTV)基于IP網(wǎng)絡(luò)的2層VPN互聯(lián)，數(shù)據(jù)封裝在IP網(wǎng)絡(luò)中傳輸（MAC in IP）免除了基于MPLS的各種復(fù)雜技術(shù)(VPLS/EoMPLS)控制層與轉(zhuǎn)發(fā)層面分離基于ISIS協(xié)議形成 MAC 路由表Server 1MAC 1Server 2MAC 2OTVOTVMACIFMAC1Eth1MAC2IP BMAC3IP BIP AIP BEncapDecapMAC1 MAC2IP A IP BMAC1 MAC2MAC1 MAC2GETVPN+OTV可以實(shí)現(xiàn)生產(chǎn)數(shù)據(jù)的安全傳輸和異地災(zāi)備功能L2

11、 Links (GE or 10GE)L3 Links (GE or 10GE)VM= 10.10.10.1Default GW = 10.10.10.100LISP-多數(shù)據(jù)中心的虛擬化技術(shù)實(shí)現(xiàn) Ingress Routing Optimization with LISPLayer 3 CoreIntranetISP AISP BAccessAggAccessAggDC ADC BVLAN APublic NetworkPrefixRoute Locator10.10.10.1A, B10.10.10.2A, B10.10.10.5C, D10.10.10.6C, DIngress Tunne

12、l IP_DA= AIP_DA = 10.10.10.1C, D A BDecap 3 D CEncap 2IP_DA = 10.10.10.1IP_DA 10.10.10.1 1IP_DA= DIP_DA = 10.10.10.1Decap 3IP_DA = 10.10.10.1LISP-思科虛擬化環(huán)境下網(wǎng)絡(luò)創(chuàng)新 Location ID/Separation Protocol (LISP) Enabling Global Workload Mobility for the Cloud優(yōu)勢(shì):滿足虛擬機(jī)遷移額負(fù)載分擔(dān) 滿足網(wǎng)絡(luò)擴(kuò)展和多租戶的虛擬化要求 Cisco NX-OS: Deliverin

13、g Location Independence with OTV and LISPAvailableNOW特點(diǎn):IP 地址的靈活自動(dòng)部署和發(fā)現(xiàn)IPv4/ IPv6 支持和封裝IP address and session move with VMLISP 技術(shù)可以精確定位虛機(jī)在遷移過(guò)程中的準(zhǔn)確位置 IP address AIP address A關(guān)鍵業(yè)務(wù)安全保護(hù)ASR1000 Integrated PE FirewallDual Stack (IPv4/v6) Firewall and Crypto SolutionsSecure Access and Thread Defense End to

14、 End Solution with ISRG2 and ASR1KProblem Statement / Customer NeedsScale and Key Functions Cisco Proof PointsIPv4 address depletionTransport DiversityPE integrated FirewallResiliency and AvailabilityIPv6 NAT to address IPv4 address run outSupport Firewall for IP to MPLS and MPLS to IP8K VRFs and 16

15、K Pseudo-WiresSupport Firewall HA (Intra/Inter Chassis), ISSU and Asymmetric RoutingHigh-speed Flexible Netflow (version 9) loggingESP100: 100G BW, 58 Mpps, 29G Crypto, Support 6 M Sessions (3M FW + 3M NAT). Support NAT44 & NAT64Supports VRF Inter & Intra-chassis and VASI within Chassis (IPv4 and IP

16、v6 FW) IP/MPLS CoreMP-BGPMP-BGPMP-BGPEIGRPOSPFRIPeBGPFEGESTM1/STM4T1/E1ASR1000 Integrated Secure WAN ConnectivityLarge Scale Hub-Spoke with dynamic spoke-to-spokeProven Technology deployed worldwideAbility to apply customized routing, ACL, QoS on a group of SpokesLatest IKEv2 ProtocolScale up to 400

17、0 SitesSuite-B SupportPublic Internet TransportHub-Spoke, Spoke-SpokeDMVPNFlexible for site-to-site and remote-access VPNsCentralized Policy Management with AAAFlexibility to define routing, ACL, QoS per branchLatest IKEv2 Protocol3rd Party CompatibleScale up to 4000 SitesSuite-B SupportConverged Si

18、te to Site and Remote AccessFlexVPNMost scalable site to site solution Tunneless Any-to-Any EncryptionNo overlay routingNative Multicast Support4000 Group Members per Key ServerKey Server high availability using COOPPrivate IP TransportAny-to-Any ConnectivityGETVPNMPLSVPNInternetISRISR/ASRASRHQDMVPN

19、, FlexVPN, GETVPNDMVPN, FlexVPNGET VPNSuite-B is supported on ASR1002-X, ESP100 and ESP200高可靠性IOS XE 平臺(tái)抽象層IOS模塊化結(jié)構(gòu),相對(duì)于原有的IOS操作系統(tǒng), 提高了整機(jī)的可靠性使得IOS可以運(yùn)行在多種平臺(tái)上， 中間件結(jié)構(gòu)使轉(zhuǎn)發(fā)平面可以選擇多種功能的芯片(交換機(jī)和路由器共享架構(gòu))平臺(tái)抽象層可以使得新平臺(tái)的開發(fā)速度加快并保證全系列產(chǎn)品功能和行為一致操作一致性： 用戶使用IOS-XE和傳統(tǒng)的IOS平臺(tái)沒(méi)有區(qū)別， 用戶接口完全一致ASR1000 IOS XE硬件轉(zhuǎn)發(fā)使用QFPIOS XE 平臺(tái)抽象層I

20、OSCAT4500/3850 IOS XE硬件轉(zhuǎn)發(fā)使用交換芯片IOS XE 平臺(tái)抽象層IOSISR4400系列 IOS XE硬件轉(zhuǎn)發(fā)使用商用網(wǎng)絡(luò)處理器IOS XE 平臺(tái)抽象層IOSCSR1000V IOS XEIntel X86和虛擬化技術(shù)IOS-XE-Cisco針對(duì)下一代企業(yè)網(wǎng)基礎(chǔ)設(shè)施的核心操作系統(tǒng)ASR1000高可靠性靈活的系統(tǒng)冗余機(jī)制IOS XE(Linux Kernel)IOSActiveIOSStandby分支機(jī)構(gòu)路由器(ASR1002-X)采用單物理引擎使用虛擬化技術(shù)軟件實(shí)現(xiàn)雙引擎冗余還可以在分支機(jī)構(gòu)雙出口環(huán)境實(shí)現(xiàn)雙機(jī)冗余降低了用戶在分支機(jī)構(gòu)側(cè)冗余部署成本, 并提高了可靠性核心路由

21、器(ASR1006/ASR1013)采用雙路由控制引擎和雙轉(zhuǎn)發(fā)引擎的完全硬件冗余 應(yīng)用識(shí)別及可視化管控Use QoS or PfR to control application network usage to improve application performanceASR1KISR G2流量控制ControlHighMedLowAdvanced reporting tool aggregates and reports application performanceApp Visibility & User Experience Report管理工具M(jìn)anagement ToolISR

22、 G2 & ASR collect application bandwidth and response time metrics, and export to management toolASR1KISR G2FNFIOS PAReporting Tool 性能收集和報(bào)表Perf. Collection & ExportingReporting ToolsNetflow v93AppBWTransaction TimeWebEx3 Mb150 msCitrix10 Mb500 msIdentify applications using L7 signatures (NBAR2) or me

23、tadataASR1KISR G2應(yīng)用識(shí)別ApplicationRecognition新一代企業(yè)網(wǎng)絡(luò)的可視化感知和管理 AVC :應(yīng)用層報(bào)文識(shí)別、呈現(xiàn)、控制、路徑優(yōu)化通過(guò)Netflow可以導(dǎo)出詳細(xì)的用戶訪問(wèn)及網(wǎng)絡(luò)質(zhì)量統(tǒng)計(jì)ASR1000應(yīng)用識(shí)別網(wǎng)絡(luò)性能可視化應(yīng)用服務(wù)器總延遲客戶機(jī)客戶端延遲服務(wù)器端延遲服務(wù)器響應(yīng)延遲網(wǎng)絡(luò)延遲廣域網(wǎng)鏈路RequestResponseNetflow導(dǎo)出URL和統(tǒng)計(jì)數(shù)據(jù)客戶端鏈路TTClientServerXSYNSYN-ACKACK 6 Request 1ACKDATA 4DATA 3DATA 5DATA 3Request 1 (Cont)XDATA 4DATA 1R

24、equest 2DATA 6DATA 2ACK 3 ACK SNDCNDRequestRetransmissionRTReponse基于應(yīng)用性能的負(fù)載均衡SP1 (MPLS)ISP (Internet)保護(hù)語(yǔ)音和視頻質(zhì)量低于150 ms延遲; 低于20 ms抖動(dòng)保護(hù)VDI 應(yīng)用在限電的情況下低于5%的隨時(shí)率語(yǔ)音和視頻首選路徑SP-AVDI手續(xù)按路徑SP-B增加負(fù)載分配的利用率多媒體和關(guān)鍵數(shù)據(jù)策略云服務(wù)混合IWAN最優(yōu)化傳輸檢測(cè)丟包率多于 10%ISP-1 (Cable)ISP-2 (DSL)語(yǔ)音和視頻雙因特網(wǎng)WAN檢測(cè)高抖動(dòng)VDI最優(yōu)化傳輸ASR1000基于性能的負(fù)載均衡（PfR）PfR性能路由可以做什么？保護(hù)關(guān)鍵應(yīng)用，增加帶寬利用率保護(hù)云應(yīng)用的限電損失率不到5%關(guān)鍵應(yīng)用的首選路徑: SP1 (MPLS)通過(guò)跨全WAN網(wǎng)路徑，MPLS和因特網(wǎng)的負(fù)載分配流量，來(lái)增加WAN網(wǎng)帶寬效率云服務(wù)和負(fù)載均衡策略解決線路不穩(wěn)問(wèn)題！服務(wù)模塊服務(wù)模塊性能提高 3 至 7 倍通過(guò)適