銀行網(wǎng)絡(luò)架構(gòu)調(diào)研報(bào)告

1、銀行網(wǎng)絡(luò)架構(gòu)調(diào)研報(bào)告技術(shù)創(chuàng)新，變革未來現(xiàn)狀調(diào)研分析思路網(wǎng)絡(luò)安全服務(wù)網(wǎng)絡(luò)管理服務(wù)AAA服務(wù)應(yīng)用負(fù)載均衡DNS/NTP服務(wù) 網(wǎng)絡(luò)擴(kuò)展服務(wù) 網(wǎng)絡(luò)基礎(chǔ)服務(wù) 數(shù)據(jù)中心分布及定位主數(shù)據(jù)中心同城災(zāi)備數(shù)據(jù)中心異地災(zāi)備數(shù)據(jù)中心全局負(fù)載均衡數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)功能域劃分Intranet網(wǎng)絡(luò)互聯(lián)Extranet網(wǎng)絡(luò)互聯(lián)Internet互聯(lián)網(wǎng)接入IP地址規(guī)劃路由協(xié)議規(guī)劃銀行網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀調(diào)研分析思路：網(wǎng)絡(luò)基礎(chǔ)服務(wù)：數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)同城數(shù)據(jù)中心異地?cái)?shù)據(jù)中心DWDM密集波分技術(shù)同城數(shù)據(jù)中心主數(shù)據(jù)中心異地?cái)?shù)據(jù)中心電信10Mbps聯(lián)通10Mbps廣電裸光纖電信裸光纖同城數(shù)據(jù)中心之間，分別采用不同運(yùn)營商的冗余裸光纖+DWDM技術(shù)

2、，實(shí)現(xiàn)IP網(wǎng)和FC-SAN網(wǎng)的互聯(lián)互通異地災(zāi)備數(shù)據(jù)中心，通過不同運(yùn)營商的冗余廣域網(wǎng)專線，實(shí)現(xiàn)與主數(shù)據(jù)中心的IP網(wǎng)絡(luò)互通網(wǎng)絡(luò)基礎(chǔ)服務(wù)：網(wǎng)絡(luò)功能域劃分（主中心）主數(shù)據(jù)中心網(wǎng)絡(luò)功能域劃分：數(shù)據(jù)中心主要包括生產(chǎn)網(wǎng)、辦公網(wǎng)、開發(fā)測(cè)試網(wǎng)，之間通過防火墻互聯(lián)采用模塊化和層次化結(jié)構(gòu)設(shè)計(jì)采用千兆以太網(wǎng)技術(shù)，利用雙機(jī)熱備、堆疊技術(shù)和冗余鏈路實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)高可用各安全域邊界主要通過防火墻實(shí)現(xiàn)安全隔離業(yè)務(wù)網(wǎng)核心交換區(qū)總行分支行同城災(zāi)備數(shù)據(jù)中心人行、銀聯(lián)ATM辦公網(wǎng)InternetDMZ區(qū)DWDM區(qū)生產(chǎn)區(qū)OA區(qū)網(wǎng)管區(qū)內(nèi)聯(lián)區(qū)外聯(lián)區(qū)Solarwinds網(wǎng)管系統(tǒng)安全控制安全控制安全控制安全控制安全控制安全控制開發(fā)測(cè)試網(wǎng)開發(fā)測(cè)試

3、區(qū)安全控制網(wǎng)絡(luò)基礎(chǔ)服務(wù)：網(wǎng)絡(luò)功能域劃分（同城災(zāi)備）同城災(zāi)備數(shù)據(jù)中心網(wǎng)絡(luò)功能域劃分：同城數(shù)據(jù)中心主要包括生產(chǎn)網(wǎng)和辦公網(wǎng)，之間通過防火墻互聯(lián)采用模塊化和層次化結(jié)構(gòu)設(shè)計(jì)采用千兆以太網(wǎng)技術(shù)，利用雙機(jī)熱備、堆疊技術(shù)和冗余鏈路實(shí)現(xiàn)網(wǎng)絡(luò)架構(gòu)高可用各安全域主要通過防火墻實(shí)現(xiàn)安全隔離業(yè)務(wù)網(wǎng)核心交換區(qū)總行分支行同城災(zāi)備數(shù)據(jù)中心人行、銀聯(lián)辦公網(wǎng)Internet互聯(lián)網(wǎng)區(qū)DWDM區(qū)生產(chǎn)區(qū)OA區(qū)網(wǎng)管區(qū)內(nèi)聯(lián)區(qū)外聯(lián)區(qū)北塔網(wǎng)管系統(tǒng)安全控制安全控制安全控制安全控制安全控制安全控制網(wǎng)絡(luò)基礎(chǔ)服務(wù)：網(wǎng)絡(luò)功能域劃分（異地災(zāi)備）異地災(zāi)備數(shù)據(jù)中心網(wǎng)絡(luò)功能域劃分：異地災(zāi)備數(shù)據(jù)中心只有授信、核心等少量系統(tǒng)區(qū)域邊界缺少防火墻保護(hù)網(wǎng)絡(luò)未采用冗余設(shè)計(jì)

4、災(zāi)備業(yè)務(wù)網(wǎng)核心交換區(qū)內(nèi)聯(lián)區(qū)災(zāi)備生產(chǎn)區(qū)分支行DC(核心交換區(qū))網(wǎng)絡(luò)架構(gòu)優(yōu)化建議網(wǎng)絡(luò)服務(wù)關(guān)注點(diǎn)現(xiàn)狀分析優(yōu)化建議網(wǎng)絡(luò)基礎(chǔ)服務(wù)功能域劃分生產(chǎn)區(qū)交換機(jī)與核心交換區(qū)交換機(jī)復(fù)用，不利于安全控制和故障隔離增加獨(dú)立的核心交換區(qū)交換機(jī)，負(fù)責(zé)連接各功能域數(shù)據(jù)中心互聯(lián)異地災(zāi)備中心只有到主中心的鏈路，一旦主中心網(wǎng)絡(luò)中斷，無法為同城災(zāi)備中心提供備份服務(wù)增加異地災(zāi)備中心到同城災(zāi)備數(shù)據(jù)中心的專線，滿足災(zāi)備要求同城災(zāi)備互聯(lián)，使用的是交換機(jī)trunk口通過DWDM直連方式，這樣2個(gè)數(shù)據(jù)中心交換機(jī)都在一個(gè)STP域中，不利于故障隔離同城災(zāi)備中心互聯(lián)使用MACinIP技術(shù)，隔離STP和廣播外聯(lián)區(qū)網(wǎng)絡(luò)架構(gòu)ATM只有到數(shù)據(jù)中心的鏈路，缺乏

5、冗余鏈接建議將ATM放在內(nèi)聯(lián)區(qū)，并增加到同城災(zāi)備數(shù)據(jù)中心的備份鏈路前置機(jī)放在生產(chǎn)區(qū)，不利于管理及安全控制將前置機(jī)放在外聯(lián)區(qū)，前置機(jī)內(nèi)外均有防火墻保護(hù)并且防火墻要異構(gòu)部分第三方線路只到數(shù)據(jù)中心，缺乏冗余有條件的話，配備同城災(zāi)備中心災(zāi)難恢復(fù)所需的外聯(lián)鏈路互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)架構(gòu)主中心的DMZ區(qū)域和同城災(zāi)備中心的互聯(lián)網(wǎng)區(qū)域不能互相提供災(zāi)備服務(wù)將同城災(zāi)備中心的互聯(lián)網(wǎng)區(qū)擴(kuò)建為與主中心相同網(wǎng)絡(luò)架構(gòu)的DMZ區(qū)，兩個(gè)區(qū)域互為災(zāi)備網(wǎng)絡(luò)擴(kuò)展服務(wù)DNS服務(wù)未部署DNS域名解析系統(tǒng)，應(yīng)用系統(tǒng)主要通過IP地址方式進(jìn)行互訪，不利于應(yīng)用系統(tǒng)災(zāi)備切換后的快速訪問，用戶無法實(shí)現(xiàn)透明訪問；為生產(chǎn)-災(zāi)備中心建立智能DNS系統(tǒng)，包括內(nèi)網(wǎng)DNS服務(wù)和外網(wǎng)DNS服務(wù)，滿足應(yīng)用系統(tǒng)災(zāi)備快速切換需要，實(shí)現(xiàn)透明訪問；全局負(fù)載均衡沒有全局負(fù)載均衡服務(wù)，不能將用戶訪問智能調(diào)度到不同的數(shù)據(jù)中心在互聯(lián)網(wǎng)區(qū)邊界增加全局負(fù)載均衡服務(wù)網(wǎng)絡(luò)安全服務(wù)VPN間互訪目前除核心交換機(jī)旁掛防火墻可以聯(lián)