XX銀行數(shù)據(jù)中心網(wǎng)絡詳細設計方案

XX數(shù)據(jù)中心詳細規(guī)劃設計方案XX數(shù)據(jù)中心詳細規(guī)劃設計方案XX銀行數(shù)據(jù)中心網(wǎng)絡詳細設計方案XX銀行數(shù)據(jù)中心詳細規(guī)劃設計方案XX銀行數(shù)據(jù)中心詳細規(guī)劃設計方案TOC\o"1-5"\h\zXX銀行數(shù)據(jù)中心詳細設計方案 1.前言 5\o"CurrentDocument"文檔目的 5\o"CurrentDocument"文檔范圍 5\o"CurrentDocument"目標讀者 5\o"CurrentDocument"編寫背景 6\o"CurrentDocument".工程設計概述 6\o"CurrentDocument"工程設計范圍 7全轄新建網(wǎng)絡： 7新建數(shù)據(jù)中心： 7擴展現(xiàn)有網(wǎng)絡： 7\o"CurrentDocument"工程設計原則 7滿足應用需求 7高可用性及穩(wěn)定性 8統(tǒng)一性和易于管理 8良好的擴展性 8最佳實踐 8\o"CurrentDocument"工程設計方法 9PPDIOO方法論 9工作流程及路線圖 10\o"CurrentDocument".數(shù)據(jù)中心網(wǎng)絡架構(gòu) 10\o"CurrentDocument"拓撲設計 11整體拓撲架構(gòu) 11生產(chǎn)中心網(wǎng)絡拓撲 12生產(chǎn)中心區(qū)域拓撲 12核心交換區(qū) 12網(wǎng)銀區(qū) 12核心前置區(qū) 13核心業(yè)務區(qū) 13準生產(chǎn)區(qū) 14開發(fā)測試區(qū) 14ECC區(qū) 15聯(lián)區(qū) 15廣域網(wǎng)區(qū) 16同城災備中心網(wǎng)絡拓撲 17核心交換區(qū) 17核心前置區(qū)&核心業(yè)務區(qū) 18ECC區(qū) 18開發(fā)測試區(qū) 18外聯(lián)區(qū) 19廣域網(wǎng)區(qū) 20異地災備中心網(wǎng)絡拓撲 21IP地址規(guī)劃 21規(guī)劃原則 21IP地址規(guī)劃方案 22總體分配方案 23數(shù)據(jù)中心業(yè)務IP地址總體分配方案 23數(shù)據(jù)中心辦公IP地址總體分配方案 23分支行以及網(wǎng)點業(yè)務IP地址總體分配方案 23分支行以及網(wǎng)點辦公IP地址總體分配方案 23具體分配方案 24生產(chǎn)中心業(yè)務IP地址具體分配方案 24生產(chǎn)中心辦公IP地址具體分配方案 29同城災備中心業(yè)務IP地址具體分配方案 29同城災備中心辦公IP地址具體分配方案 29分行生產(chǎn)網(wǎng)IP地址具體分配方案 31分行辦公網(wǎng)IP地址具體分配方案 32支行生產(chǎn)網(wǎng)IP地址具體分配方案 33支行辦公網(wǎng)IP地址具體分配方案 33\o"CurrentDocument"路由設計 34路由協(xié)議選擇 34數(shù)據(jù)中心網(wǎng)骨干網(wǎng)路由設計 35骨干網(wǎng)描述 35BGP自治系統(tǒng)編號設計 36BGP路由策略 36BGP通用設計原則 38分行通訊策略 38數(shù)據(jù)中心路由設計 38OSPF區(qū)域劃分 39OSPF路由/交換邊界 39OSPF通用設計 39OSPF帶寬設計 40數(shù)據(jù)中心網(wǎng)分行路由設計 40OSPF區(qū)域和邊界劃分 40分行OSPFAREA編號設計 41分行OSPF通用設計 41分行網(wǎng)絡OSPF帶寬設計 42數(shù)據(jù)中心網(wǎng)接入網(wǎng)路由設計 42整體路由拓撲設計 43\o"CurrentDocument"3.4災備網(wǎng)絡規(guī)劃 44災難備份的定義 44備份中心建設 45將來的多中心建設 46災備網(wǎng)絡建設目標 46應急預案 47災備環(huán)境中服務器IP地址問題 47\o"CurrentDocument"3.6交換設計 48交換域設計 48交換接口設計 48VLAN設計 50VLAN1設計 50EC設計 50TRUNK設計 51VTP設計 513.4.2生成樹設計 52生成樹協(xié)議 52數(shù)據(jù)中心STP設計 52關(guān)于生成樹計時器和直徑 52UplinkFast 52BackboneFast 53PortFast 53BPDUGuard 53QoS規(guī)戈I 53規(guī)劃原則 53銀行網(wǎng)絡采用的QoS模型 53分類和標記技術(shù) 54網(wǎng)點和分行間QoS規(guī)劃 55分行和數(shù)據(jù)中心間QoS規(guī)劃 55網(wǎng)絡設備安全 55關(guān)閉不必要的網(wǎng)絡服務 56啟用關(guān)鍵服務 56TCPKeepalives 56網(wǎng)絡時間協(xié)議-NTP 57核心信息轉(zhuǎn)儲-CoreDumps 57登陸提示 57系統(tǒng)日志 57調(diào)整系統(tǒng)默認配置 58密碼設置 58SNMP網(wǎng)管協(xié)議 58遠程登陸空閑時間 58設備的訪問控制 59Console/Aux控制端口 59VT64虛擬終端遠程訪問 59SNMP網(wǎng)管協(xié)議訪問 59設備的登陸認證、授權(quán)和審計 60簡單的登陸密碼和特權(quán)密碼 60設備本地存放的用戶數(shù)據(jù)庫中存放用戶名密碼 60AAA認證 603.6.6進一步建議 61防火墻設計 62防火墻概述 62防火墻模式 62防火墻模式選擇 62高可用性（HA）設計 62設備冗余 62引擎冗余 63電源冗余 63模塊和端口的冗余和分布 63拓撲冗余 63網(wǎng)關(guān)冗余 63鏈路冗余 63交換冗余 63路由冗余 63網(wǎng)絡資源命名和描述 65設備命名規(guī)則 65接口描述部分 66設備標簽 66物理跳線的描述 661.刖百文檔目的本文檔通過XX銀行業(yè)務發(fā)展需求和網(wǎng)絡現(xiàn)狀的全面分析，對滿足XX銀行未來三至五年發(fā)展要求的網(wǎng)絡基礎架構(gòu)進行整體規(guī)劃，范圍涵蓋數(shù)據(jù)中心網(wǎng)絡、備份中心網(wǎng)絡、分行網(wǎng)絡、網(wǎng)點網(wǎng)絡、骨干網(wǎng)絡等各個網(wǎng)絡類型做了相應規(guī)劃。編寫本文檔旨在為XX銀行未來網(wǎng)絡建設和發(fā)展提供重要參考依據(jù)和決策依據(jù)，為今后XX銀行網(wǎng)絡建設的標準化工作起到指導作用。文檔范圍本文檔作為XX銀行網(wǎng)絡規(guī)劃咨詢項目網(wǎng)絡整體規(guī)劃總體方案，涵蓋了如下內(nèi)容:數(shù)據(jù)中心網(wǎng)絡網(wǎng)絡架構(gòu)網(wǎng)絡安全規(guī)劃目標讀者本文檔的閱讀對象包括但不限于：XX銀行信息技術(shù)部和各級其它部門的網(wǎng)絡規(guī)劃、管理、運營和維護人員、領導，以及其他網(wǎng)絡、應用相關(guān)的工作人員和有需求的第三方人員。編寫背景珠海XX銀行成立于1996年12月，是珠海市唯一一家具有法人資格的銀行機構(gòu)。2009年4月，珠海市政府、XX股份有限公司與珠海市商業(yè)銀行重組成功， XX股份成為珠海商行第一大控股股東。重組成功給珠海XX銀行注入了新的活力，各項經(jīng)營和風控指標均達到歷史最好水平。截止2010年末，珠海XX銀行總資產(chǎn)達到166億元，各項存款、各項貸款均有較快增長。目前，擁有49家支行和1家總部營業(yè)部。主要業(yè)務有：公司業(yè)務、零售業(yè)務和金融市場業(yè)務等。2010年，珠海XX銀行通過制定戰(zhàn)略，進一步清晰了未來五年發(fā)展規(guī)劃，在打造核心能力的基礎上，逐步建立差異化競爭優(yōu)勢和可持續(xù)發(fā)展的商業(yè)模式。隨著戰(zhàn)略落地、流程銀行再造、核心系統(tǒng)建設和品牌建設，珠海 XX銀行將不斷提升綜合競爭力，不斷提升資產(chǎn)質(zhì)量，提高風險管理水平，將借助XX集團的品牌和產(chǎn)業(yè)優(yōu)勢，堅持創(chuàng)新發(fā)展，建立專業(yè)專長，走差異化發(fā)展之路，為客戶提供高品質(zhì)金融服務，成為客戶首選成長伙伴，成為一流特色銀行。目前的XX銀行網(wǎng)絡是從珠海商業(yè)銀行原有的網(wǎng)絡過渡過來的，隨著XX銀行業(yè)務應用的快速發(fā)展，XX銀行網(wǎng)絡也急需在原有網(wǎng)絡基礎上進一步進行規(guī)劃、發(fā)展、建設。在這個過程中，需要對目前的網(wǎng)絡進行調(diào)研分析，對XX銀行將來3-5年的網(wǎng)絡進行規(guī)劃，以適應XX銀行發(fā)展的需要。.工程設計概述XX銀行數(shù)據(jù)中心網(wǎng)絡建設是XX銀行整體發(fā)展藍圖的重要組成部分，華訊在XX銀行數(shù)據(jù)中心網(wǎng)絡設計中得到了XX銀行數(shù)據(jù)中心相關(guān)部門的明確指導和大力支持，目的是在統(tǒng)籌考慮XX銀行全行業(yè)務需求和發(fā)展的基礎上，兼顧遠期發(fā)展目標，支持XX銀行數(shù)據(jù)集中工程的要求，建設XX銀行全國信息中心的核心網(wǎng)絡，作為XX銀行核心業(yè)務穩(wěn)定、安全和高效運行的基礎平臺。工程設計范圍根據(jù)XX銀行數(shù)據(jù)中心建設的要求，本工程設計主要涵蓋以下內(nèi)容：全轄新建網(wǎng)絡：網(wǎng)絡整體架構(gòu)設計，IP地址設計，路由規(guī)劃設計；新建數(shù)據(jù)中心：生產(chǎn)中心、同城災備中心、異地災備中心3個數(shù)據(jù)中心規(guī)劃生產(chǎn)中心園區(qū)網(wǎng)規(guī)劃同城災備中心園區(qū)網(wǎng)規(guī)劃骨干網(wǎng)絡總體規(guī)劃網(wǎng)絡管理網(wǎng)絡安全QoS設計擴展現(xiàn)有網(wǎng)絡：數(shù)據(jù)中心現(xiàn)有網(wǎng)絡擴展和骨干網(wǎng)擴展工程設計原則結(jié)合華訊在全國豐富的大型數(shù)據(jù)中心網(wǎng)絡的設計經(jīng)驗， 努力了解并充分理解XX銀行數(shù)據(jù)中心業(yè)務的需求，在設計XX銀行數(shù)據(jù)中心網(wǎng)絡基礎架構(gòu)時，強調(diào)方案的整體性，考慮網(wǎng)絡的高性能、高可靠性、可管理性和可擴充性等諸多方面，以滿足XX銀行未來數(shù)據(jù)集中和業(yè)務發(fā)展。在方案設計中強調(diào)并認真遵循以下設計原則：滿足應用需求XX銀行數(shù)據(jù)中心網(wǎng)絡服務于全行應用業(yè)務系統(tǒng)和用戶。本設計在充分理解 XX銀行數(shù)據(jù)中心應用系統(tǒng)、業(yè)務數(shù)據(jù)流以及用戶訪問模式的前提下，綜合考慮業(yè)務永續(xù)性、安全控制策略、網(wǎng)絡層負載均衡等應用需求，進行細致的網(wǎng)絡設計與規(guī)劃。高可用性及穩(wěn)定性網(wǎng)絡的穩(wěn)定可靠是業(yè)務系統(tǒng)健康運行的重要條件之一，所以對網(wǎng)絡整體架構(gòu)的高可用性和高可靠性設計必須考慮全面。網(wǎng)絡架構(gòu)必須能夠達到業(yè)務系統(tǒng)對服務級別的要求，并且通過多層次的冗余考慮，使得整個網(wǎng)絡架構(gòu)能夠滿足業(yè)務系統(tǒng)不間斷穩(wěn)定運行的需求，同時實現(xiàn)網(wǎng)絡層面的災難恢復。統(tǒng)一性和易于管理XX銀行網(wǎng)絡的架構(gòu)、規(guī)劃和管理（包括生產(chǎn)數(shù)據(jù)中心、同城備份中心、異地災備中心的網(wǎng)絡）都建立在"個整體”的基礎之上。整體設計過程中需充分考慮網(wǎng)絡架構(gòu)的易于管理性，網(wǎng)絡設計的簡單化直接關(guān)系到網(wǎng)絡的運行和維護成本，也是網(wǎng)絡穩(wěn)定運行的保障，并提供及時迅速發(fā)現(xiàn)和排除網(wǎng)絡故障的能力。良好的擴展性網(wǎng)絡良好的擴展性來自于良好的設計。在XX銀行數(shù)據(jù)中心網(wǎng)絡設計中，采用業(yè)務功能模塊化和網(wǎng)絡拓撲層次化的設計方法，使得網(wǎng)絡架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴展能力，以適應快速發(fā)展的業(yè)務對網(wǎng)絡基礎架構(gòu)的要求，為XX銀行數(shù)據(jù)中心向更大規(guī)模擴展奠定堅實的基礎：?業(yè)務功能模塊化設計：充分考慮各個功能模塊的特點和要求，最大化每個功能模塊的接入能力，并能夠有效保證網(wǎng)絡的穩(wěn)定性、安全性和擴展性。?網(wǎng)絡拓撲結(jié)構(gòu)層次化把整個數(shù)據(jù)中心網(wǎng)絡分為三個層：核心層、分布層和接入層，各個層次完成各自的功能和任務并相互協(xié)同工作，最大化地保證了網(wǎng)絡的穩(wěn)定和良好的擴展性。?遵循業(yè)界公認的標準制定一個高兼容性網(wǎng)絡架構(gòu)，確保設備、技術(shù)的互通和互操作性，支持網(wǎng)絡、節(jié)點的擴展，方便快速部署新的產(chǎn)品和技術(shù)，以適應業(yè)務的快速增長。最佳實踐參考目前國內(nèi)外數(shù)據(jù)中心網(wǎng)絡建設中普遍采用的網(wǎng)絡架構(gòu)，設計 XX銀行數(shù)據(jù)中心網(wǎng)絡時，保持技術(shù)上具有總體先進性和開放性；同時，必須考慮成熟性、穩(wěn)定性與先進性相結(jié)合，保證XX銀行數(shù)據(jù)中心網(wǎng)絡穩(wěn)定有效的前提下具有一定的前瞻性。設計中將有效的把思科網(wǎng)絡的各種最佳實踐靈活地應用到 XX銀行數(shù)據(jù)中心中

來，從而有效保證了XX銀行數(shù)據(jù)中心整個網(wǎng)絡的高可靠性、高性能、高安全性和靈活的擴展性。工程設計方法PPDIOO方法論在企業(yè)的IT建設及未來的運營管理階段，PPDIOO方法論應彳為企業(yè)IT建設特別是基礎架構(gòu)建設的核心思路和工作方法。專業(yè)服務模型(PPDIOO提供了一整套端到端的和主動的咨詢與技術(shù)服務，分別與企業(yè)IT運營生命周期的每個階段相對應：準備(Preparation)、規(guī)劃(Planning)、設計(Design)、實施(Implementation)、運行(Operation)和優(yōu)化(Optimization),如下圖所示：業(yè)需分析、管理報范與璜目疑劃講曰設計運營現(xiàn)狀分析舌律期專求送學管理古甘運千方案賓梅耳趾染何的運營與霍努管捶碣林司京陽學估廷mu若項日曰理隨宮培涌信昌安皇警理熨至皿￡砰骸安量瘦術(shù)現(xiàn)狀件估設蚌安全買提計助安韭片號業(yè)需分析、管理報范與璜目疑劃講曰設計運營現(xiàn)狀分析舌律期專求送學管理古甘運千方案賓梅耳趾染何的運營與霍努管捶碣林司京陽學估廷mu若項日曰理隨宮培涌信昌安皇警理熨至皿￡砰骸安量瘦術(shù)現(xiàn)狀件估設蚌安全買提計助安韭片號?準備(Preparation)：提供符合未來業(yè)務和技術(shù)展望的企業(yè)網(wǎng)絡規(guī)劃咨詢服務?規(guī)劃(Planning)：提供當前架構(gòu)性能的評估和測試、未來架構(gòu)規(guī)劃和評估服務?設計(Design)：提供解決相互矛盾的設計指標、發(fā)現(xiàn)并緩解潛在網(wǎng)絡瓶頸?實施(Implementation)：提供確保設計和部署能夠?qū)崿F(xiàn)網(wǎng)絡價值和功能的服務?運行(Operation)：提供投資保護服務，使每臺設備正常運行?優(yōu)化(Optimization)：提供發(fā)揮網(wǎng)絡最高性能的服務IT生命周期服務模型把各種服務方案結(jié)合到一個實際程序中以幫助企業(yè)實現(xiàn)他們的業(yè)務目標。根據(jù)公司特有的運行、維護和網(wǎng)絡級別要求，每個企業(yè)都將有自己的專用生命周期模式程序。工作流程及路線圖在PPDIOO方法論框架的指引下，從IT建設各個項目的實際出發(fā)，應采用行之有效的網(wǎng)絡資源整合的方法論來開展，如下圖所示:項目實施具體工作流程如下：（網(wǎng)絡實施）1）和IT部門的領導以及高級網(wǎng)絡設計工程師訪談;2）收集技術(shù)、流程、工具和架構(gòu)文檔及模板；3）評估及記錄當前狀態(tài)，形成網(wǎng)絡評估報告；4）概述來實現(xiàn)業(yè)務和可用性目標的推薦計劃；5）準備一個可實現(xiàn)的愿景及相關(guān)的路線圖。.數(shù)據(jù)中心網(wǎng)絡架構(gòu)拓撲設計XX銀行數(shù)據(jù)中心網(wǎng)絡整體架構(gòu)按照核心層、分布層、接入層進行層次化設計，根據(jù)不同層次功能定位，按照功能區(qū)劃分應用，模塊化部署。各層次功能定位如下:?接入層：設備接入，最終用戶入口；?分布層：接入層匯聚、路由匯聚、策略控制和可能的廣域網(wǎng)接入;?核心層：分布層匯聚、核心路由、全速轉(zhuǎn)發(fā)數(shù)據(jù)；整體拓撲架構(gòu)華潤銀行兩地三中心網(wǎng)絡架構(gòu)圖在設計網(wǎng)絡架構(gòu)中，珠海電信托管的IDC將作為主的生產(chǎn)中心承擔主要的數(shù)據(jù)轉(zhuǎn)發(fā)以及應用承載；九州大道同城備份中心提供生產(chǎn)中心的應用級數(shù)據(jù)備份，兩個中心DWDM裸光纖進行互通，異地災備中心在目前的規(guī)劃中只作為數(shù)據(jù)轉(zhuǎn)發(fā)冗余路徑使用，將來該中心會建設成數(shù)據(jù)級的備份中心。生廣中心網(wǎng)絡拓撲N7KJ N7K-2[DC核心交換區(qū)同城宓務中心核心業(yè)務區(qū)核心前置區(qū)測試開發(fā)區(qū)管理ECC區(qū)N7KJ N7K-2[DC核心交換區(qū)同城宓務中心核心業(yè)務區(qū)核心前置區(qū)測試開發(fā)區(qū)管理ECC區(qū)生產(chǎn)中心為XX銀行的主數(shù)據(jù)中心，負責提供XX銀行所有對內(nèi)對外的業(yè)務數(shù)據(jù)交互生產(chǎn)中心區(qū)域拓撲核心交換區(qū)核心區(qū)由一組高性能交換機組成，用于各區(qū)域數(shù)據(jù)的高速交換和轉(zhuǎn)發(fā)。本次生產(chǎn)中心的核心交換通過兩臺N7K承擔。網(wǎng)銀區(qū)網(wǎng)銀區(qū)業(yè)務主要訪問業(yè)務區(qū)服務器，規(guī)劃中網(wǎng)銀區(qū)通過一組防火墻連接到業(yè)務區(qū)核心交換機。

電信聯(lián)通核心前置區(qū)核心前置區(qū)是數(shù)據(jù)中心核心區(qū)域。業(yè)務區(qū)部署兩臺高性能交換機做該功能區(qū)域核心層/分布層交換機，部署接入層交換機用于業(yè)務服務器接入。 核心層和匯聚層合并由一組交換機實現(xiàn)。生產(chǎn)區(qū)安全級別最高，部署一組 HA防火墻進行安全控制核心業(yè)務區(qū)業(yè)務區(qū)運行核心業(yè)務系統(tǒng)以及其他關(guān)鍵應用系統(tǒng)，是數(shù)據(jù)中心核心區(qū)域。業(yè)務區(qū)部署兩臺高性能交換機做該功能區(qū)域核心層/分布層交換機，部署接入層交換機用于業(yè)務服務器接入。核心層和匯聚層合并由一組交換機實現(xiàn)。生產(chǎn)區(qū)安全級別最高,部署一組HA防火墻進行安全控制

準生產(chǎn)區(qū)業(yè)務系統(tǒng)試運行后，將進入到準生產(chǎn)階段。準生產(chǎn)階段能有效的保證業(yè)務的順利上線，準生產(chǎn)區(qū)部署兩臺中性能交換機做該功能區(qū)域核心層/分布層交換機，部署接入層交換機用于業(yè)務服務器接入。核心層和匯聚層合并由一組交換機實現(xiàn)，部署一組HA防火墻進行安全控制LS-512C-24P-ET-H3LS-5I2D2”EIH3LS-512O-24P-EI*H3 LS-5120-24PEI開發(fā)測試區(qū)測試區(qū)用于各種應用開發(fā)測試。由于測試目的的不同，有可能開發(fā)人員需要進入到生產(chǎn)區(qū)設備，獲取相關(guān)權(quán)限后進行相關(guān)測試工作。測試區(qū)部署一組中等性能交換機，用于各種測試終端接入。測試區(qū)通過防火墻和核心區(qū)連接，該組防火墻可以控制測試人員對數(shù)據(jù)中心核心區(qū)域的訪問，并具有審計功能

LS51202LPEI113LS512021PEI1I3LS512024T￡1】13LS51202LPE1那3.1.3.9ECCM通過ECC區(qū)對數(shù)據(jù)中心應用系統(tǒng)進行監(jiān)控，主要是業(yè)務操作終端接入。業(yè)務操作終端通常在銀行數(shù)據(jù)中心ECC（企業(yè)總控中心）。業(yè)務操作區(qū)考慮為一組中端交換機，部署一組HA防火墻進行安全控制LS51202LTEIU3LS512021PEIJI3LS512024P￡1J]3LS512024TElI培3.1.3.9外聯(lián)區(qū)外聯(lián)區(qū)為數(shù)據(jù)中心統(tǒng)一外聯(lián)平臺，第三方單位（包括金融機構(gòu)和企業(yè)）都通過外聯(lián)區(qū)和XX銀行數(shù)據(jù)中心連接。外聯(lián)區(qū)規(guī)劃一個外聯(lián)前置區(qū)（也稱外聯(lián)DMZ區(qū)），所有外聯(lián)前置服務器都部署在外聯(lián)前置區(qū)。不同類型外聯(lián)前置可以通過VLAN進行隔離。設置外聯(lián)前置區(qū)是

為了避免外聯(lián)單位直接訪問數(shù)據(jù)中心內(nèi)網(wǎng)服務器，防止可能引發(fā)的攻擊和病毒的擴散，保證核心系統(tǒng)不受影響。外聯(lián)前置區(qū)直接和內(nèi)部網(wǎng)通訊，因此必須進行嚴格的安全訪問控制，并采取入侵檢測、安全審計等技術(shù)手段對外聯(lián)前置區(qū)進行整體、綜合的安全防護，提高整個系統(tǒng)的安全性。外聯(lián)前置區(qū)部署兩臺中端性能交換機。在這道防火墻上，配置IP地址轉(zhuǎn)換（NAT/PAT）,隱藏XX銀行內(nèi)部地址，在外聯(lián)區(qū)限制外聯(lián)單位的地址和路由進入XX銀行內(nèi)部網(wǎng)絡，達到安全防護的作用。外聯(lián)區(qū)部署外聯(lián)路由器和第三方單位連接，同時外聯(lián)路由器統(tǒng)一匯接到外網(wǎng)交換機上，外聯(lián)路由器和外網(wǎng)交換機之間為三層路由連接，可配置動態(tài)路由協(xié)議，實現(xiàn)外聯(lián)線路的冗余備份。后期可根據(jù)預算等情況部署異構(gòu)防火墻優(yōu)化其數(shù)據(jù)流以及增加其安全性。小中5尸口匚,"HT-KSR3040-AC-H3RT-KSit3O40-AC-H3外聯(lián)路由器區(qū)外聯(lián)ATP區(qū)域小中5尸口匚,"HT-KSR3040-AC-H3RT-KSit3O40-AC-H3外聯(lián)路由器區(qū)外聯(lián)ATP區(qū)域3.1.3.10廣域網(wǎng)區(qū)3.1廣域網(wǎng)接入?yún)^(qū)分為三個子區(qū)域，分別為珠海網(wǎng)點接入?yún)^(qū)、分行接入?yún)^(qū)、數(shù)據(jù)中心互聯(lián)區(qū)。廣域網(wǎng)區(qū)雖然接入的是內(nèi)部機構(gòu)，但為了控制進入數(shù)據(jù)中心核心區(qū)域的數(shù)據(jù)，規(guī)劃中部署一組HA防火墻，骨干網(wǎng)區(qū)通過防火墻接入核心區(qū)將來隨著XX銀行銀行海外服務網(wǎng)絡拓展，在境外設立海外分行，此時海外分行也存在接入到數(shù)據(jù)中心的需求。在骨干網(wǎng)接入?yún)^(qū)規(guī)劃出海外分行接入?yún)^(qū)，以滿足將來海外分支機構(gòu)的接入需求。RT-Sfi66C4 RI-MSR3020ftTMSR302CRI5RJW1RT-Sfi66C4 RI-MSR3020ftTMSR302CRI5RJW1同城災備中心網(wǎng)絡拓撲核心前置區(qū)管理ECC區(qū)測試開發(fā)區(qū)準牛：產(chǎn)區(qū)核心前置區(qū)管理ECC區(qū)測試開發(fā)區(qū)準牛：產(chǎn)區(qū)同城災備中心為生產(chǎn)中心的應用級備份中心，在同城災備中心部署的區(qū)域架構(gòu)和生產(chǎn)中心類似核心交換區(qū)核心區(qū)由一組高性能交換機組成，用于各區(qū)域數(shù)據(jù)的高速交換和轉(zhuǎn)發(fā)。本次同城備份中心的核心交換通過兩臺N5K承擔。

核心前置區(qū)&核心業(yè)務區(qū)業(yè)務區(qū)運行核心業(yè)務系統(tǒng)以及其他關(guān)鍵前置系統(tǒng)，是數(shù)據(jù)中心核心區(qū)域。為生產(chǎn)中心的備份，業(yè)務區(qū)部署兩臺高性能交換機做該功能區(qū)域核心層 /分布層交換機,部署接入層交換機用于業(yè)務服務器接入。核心層和匯聚層合并由一組交換機實現(xiàn)。生產(chǎn)區(qū)安全級別最高，部署一組HA防火墻進行安全控制小#1IL-*1ECCM通過ECC區(qū)對數(shù)據(jù)中心應用系統(tǒng)進行監(jiān)控，主要是業(yè)務操作終端接入。業(yè)務操作終端通常在銀行數(shù)據(jù)中心ECC（企業(yè)總控中心）。業(yè)務操作區(qū)考慮為一組中端交換機，部署一組HA防火墻進行安全控制LS51202LPEILI3LS512021TEI-113LS512024P￡1H3LS512021PEI蹌開發(fā)測試區(qū)測試區(qū)用于各種應用開發(fā)測試。由于測試目的的不同，有可能開發(fā)人員需要進入到生產(chǎn)區(qū)設備，獲取相關(guān)權(quán)限后進行相關(guān)測試工作。測試區(qū)部署一組中等性能交換機，用于各種測試終端接入。測試區(qū)通過防火墻和核心區(qū)連接，該組防火墻可以控制測試人員對數(shù)據(jù)中心核心區(qū)域的訪問，并具有審計功能LS5120airEI113LS512021?EI113LS24PEIJ]9LS512021PEIM外聯(lián)區(qū)外聯(lián)區(qū)為數(shù)據(jù)中心統(tǒng)一外聯(lián)平臺，第三方單位（包括金融機構(gòu)和企業(yè)）都通過外聯(lián)區(qū)和XX銀行數(shù)據(jù)中心連接。外聯(lián)區(qū)規(guī)劃一個外聯(lián)前置區(qū)（也稱外聯(lián)DMZ區(qū)），所有外聯(lián)前置服務器都部署在外聯(lián)前置區(qū)。不同類型外聯(lián)前置可以通過VLAN進行隔離。設置外聯(lián)前置區(qū)是為了避免外聯(lián)單位直接訪問數(shù)據(jù)中心內(nèi)網(wǎng)服務器，防止可能引發(fā)的攻擊和病毒的擴散，保證核心系統(tǒng)不受影響。外聯(lián)前置區(qū)直接和內(nèi)部網(wǎng)通訊，因此必須進行嚴格的安全訪問控制，并采取入侵檢測、安全審計等技術(shù)手段對外聯(lián)前置區(qū)進行整體、綜合的安全防護，提高整個系統(tǒng)的安全性。外聯(lián)前置區(qū)部署兩臺中端性能交換機。在這道防火墻上，配置IP地址轉(zhuǎn)換（NAT/PAT）,隱藏XX銀行內(nèi)部地址，在外聯(lián)區(qū)限制外聯(lián)單位的地址和路由進入XX銀行內(nèi)部網(wǎng)絡，達到安全防護的作用。外聯(lián)區(qū)部署外聯(lián)路由器和第三方單位連接，同時外聯(lián)路由器統(tǒng)一匯接到外網(wǎng)交換機上，外聯(lián)路由器和外網(wǎng)交換機之間為三層路由連接，可配置動態(tài)路由協(xié)議，實現(xiàn)外聯(lián)線路的冗余備份。后期可根據(jù)預算等情況部署異構(gòu)防火墻優(yōu)化其數(shù)據(jù)流以及增加其安全性。

RT-MSR3(M0-AC-H3RT-KSR3O40-AC-H3廣域網(wǎng)區(qū)廣域網(wǎng)接入?yún)^(qū)分為三個子區(qū)域，分別為珠海網(wǎng)點接入?yún)^(qū)、分行接入?yún)^(qū)、數(shù)據(jù)中心互聯(lián)區(qū)。廣域網(wǎng)區(qū)雖然接入的是內(nèi)部機構(gòu)，但為了控制進入數(shù)據(jù)中心核心區(qū)域的數(shù)據(jù)，規(guī)劃中部署一組HA防火墻，骨干網(wǎng)區(qū)通過防火墻接入核心區(qū)。將來隨著XX銀行銀行海外服務網(wǎng)絡拓展，在境外設立海外分行，此時海外分行也存在接入到數(shù)據(jù)中心的需求。在骨干網(wǎng)接入?yún)^(qū)規(guī)劃出海外分行接入?yún)^(qū)，以滿足將來海外分支機構(gòu)的接入需求。異地災備中心網(wǎng)絡拓撲由于異地災備規(guī)劃暫不在本次網(wǎng)絡擴容計劃內(nèi)，異地災備中心網(wǎng)絡較為簡單，主要作為數(shù)據(jù)轉(zhuǎn)發(fā)用IP地址規(guī)劃規(guī)劃原則IP地址規(guī)劃原則：考慮長遠：IP地址規(guī)劃一定要考慮長遠，一定不能滿足于當下，需要在對未來業(yè)務發(fā)展做充分考慮的情況下，進行IP地址規(guī)劃。盡量避免今后需要修改地址，甚至啟動相關(guān)工程項目來進行IP地址調(diào)整。好的地址規(guī)劃將為將來銀行網(wǎng)絡發(fā)展帶來極大地便利。IP地址資源以地域劃分、行政隸屬關(guān)系和業(yè)務種類為層次，分割為大小不同、用途各異的地址塊單元；唯一性：一個IP網(wǎng)絡中不能有幾臺主機采用相同的IP地址；按需分配：充分利用網(wǎng)絡地址資源和信息資源，可根據(jù)實際需要分配地址，避免不必要的地址空間的浪費；簡單性：地址分配應簡單、易于管理，降低網(wǎng)絡擴展的復雜性，減少路由表的路由條數(shù)；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡中易于進行路由匯總，大大縮減了路由表，提高路由算法的效率?？蓴U展性：地址分配在每一個層次都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性；靈活性：地址分配應具有靈活性，以滿足各種路由策略的優(yōu)化，充分利用地址空問；可管理性：便于制定統(tǒng)一的網(wǎng)絡管理策略，實現(xiàn)統(tǒng)一的網(wǎng)絡管理；便于網(wǎng)絡安全策略的實現(xiàn)；總行、數(shù)據(jù)中心、分行局域網(wǎng)內(nèi)不同類型的應用使用不同子網(wǎng)的IP地址，以便于不同的應用使用不同的路由策略和安全策略。IP地址規(guī)劃方案XX銀行全網(wǎng)分成4個大的A類地址網(wǎng)段：數(shù)據(jù)中心業(yè)務類地址——采用10.0.0.0/8,所有的業(yè)務類區(qū)域使用這類地址；數(shù)據(jù)中心辦公類地址一一采用30.0.0.0/8,所有的辦公類區(qū)域使用這類地址；分支行業(yè)務類地址一一采用20.0.0.0/8,所有的業(yè)務類區(qū)域使用這類地址；分支行辦公類地址一一采用21.0.0.0/8,所有的業(yè)務類區(qū)域使用這類地址；每個網(wǎng)絡節(jié)點分配連續(xù)可匯總地址塊，分配業(yè)務類地址和辦公類地址。需進行地址分配的網(wǎng)絡節(jié)點有：數(shù)據(jù)中心、同城備份中心、異地備份中心、分行、網(wǎng)點，總行辦公大樓。在網(wǎng)絡層面：一級分行和二級分行看做分行一級支行和二級支行看成網(wǎng)點附行式自助銀行從所在網(wǎng)點分配的業(yè)務類地址段中獲取地址， 包括ATM、存取款機、非現(xiàn)金自助服務終端等設備；離行式自助銀行當做普通網(wǎng)點看每個分行分配一個業(yè)務B類地址和辦公B類地址；每個支行分配一個/24掩碼長度的業(yè)務類地址段和辦公類地址段每個ATM網(wǎng)點分配一個/28掩碼長度的地址段網(wǎng)絡節(jié)點之間互聯(lián)地址分配：數(shù)據(jù)中心、同城備份中心、異地備份中心之間三層互聯(lián)地址從預留地址塊(10.193.8.0/21)中獲取地址分行和生產(chǎn)中心之間互聯(lián)地址、分行和同城備份中心之間的三層互聯(lián)地址從預留地址塊(10.193.240.0/20)中獲取地址網(wǎng)點和分行之間三層互聯(lián)地址，從分行地址塊中獲取地址網(wǎng)絡設備之間互聯(lián)地址分配:數(shù)據(jù)中心核心區(qū)和其它區(qū)域互聯(lián)地址，從數(shù)據(jù)中心地址塊中獲取地址，該地址不歸屬數(shù)據(jù)中心任何區(qū)域；同城/異地備份中心類似。區(qū)域內(nèi)網(wǎng)絡設備互聯(lián)地址，從該區(qū)域地址塊中獲取地址總體分配方案數(shù)據(jù)中心業(yè)務IP地址總體分配方案分配位置IP地址備注生產(chǎn)中心10.192.0.0/8---10.223.0.0/8共32個B網(wǎng)段，用于數(shù)據(jù)中心同城備份中心10.224.0.0/8---10.239.0.0/8共16個B網(wǎng)段，用于同城災備中心異地備份中心10.241.0.0/8---10.247.0.0/8共8個B網(wǎng)段，用于異地災備中心〈預留〉10.0.0.0/8---10.191.0.0/8閑置網(wǎng)段，防止與并購機構(gòu) IP沖突數(shù)據(jù)中心辦公IP地址總體分配方案分配位置IP地址備注生產(chǎn)中心30.0.0.0/8---30.31.0.0/8共32個B網(wǎng)段，用于數(shù)據(jù)中心同城備份中心30.32.0.0/8---30.63.0.0/8共32個B網(wǎng)段，用于同城災備中心異地備份中心30.64.0.0/8---30.96.0.0/8共32個B網(wǎng)段，用于異地災備中心〈預留〉30.97.0.0/8---30.255.0.0/8閑置網(wǎng)段分支行以及網(wǎng)點業(yè)務IP地址總體分配方案分配位置IP地址備注分行20.X.0.0/16---20.X.63.0/16共64個C網(wǎng)段，用于分行，每個分行采用64個C網(wǎng)段支行20.X.128.0/16---20.X.255.0/16共128個C網(wǎng)段，用于支行，每個支行1個C網(wǎng)段離行ATM網(wǎng)點20.X.64.0/16---20.X.127.0/16共1024個28位地址段，用于離行ATM網(wǎng)點分支行以及網(wǎng)點辦公IP地址總體分配方案分配位置IP地址備注分行20.X.0.0/16---20.X.63.0/16共64個C網(wǎng)段，用于分行局域網(wǎng)支行20.X.128.0/16---20.X.255.0/16共128個C網(wǎng)段，用于支行預留20.X.64.0/16---20.X.127.0/16共64個C網(wǎng)段，預留

具體分配方案生產(chǎn)中心業(yè)務IP地址具體分配方案生產(chǎn)中心IP規(guī)劃用途VLAN號使用IP網(wǎng)段使用IP網(wǎng)段備注網(wǎng)絡設備IPVLAN10010.193.0.010.193.0.254網(wǎng)絡設備管理（loopback）地址網(wǎng)絡設備IPVLAN10110.193.1.010.193.0.254網(wǎng)絡設備管理（loopback）地址同區(qū)生產(chǎn)網(wǎng)絡設備互聯(lián)（主）10.193.4.1/3010.193.4.254/30按30位掩碼劃分，可接64臺設備同區(qū)生產(chǎn)網(wǎng)絡設備互聯(lián)（備）10.193.6.1/3010.193.6.254/30按30位掩碼劃分，可接64臺設備生產(chǎn)中心與同城災備中心互聯(lián)（主）10.193.8.1/3010.193.8.254/30按30位掩碼劃分生產(chǎn)中心與同城災備中心互聯(lián)（備）10.193.9.1/3010.193.9.254/30按30位掩碼劃分生產(chǎn)中心與異地災備中心互聯(lián)（主）10.193.10.1/3010.193.10.254/30按30位掩碼劃分生產(chǎn)中心與異地災備中心互聯(lián)（備）10.193.11.1/3010.193.11.254/30按30位掩碼劃分同城災備中心與異地災備中心互聯(lián)（主）10.193.12.1/3010.193.12.254/30按30位掩碼劃分同城災備中心與異地災備中心互聯(lián)（備）10.193.13.1/3010.193.13.254/30按30位掩碼劃分跨區(qū)生產(chǎn)網(wǎng)絡設備互聯(lián)（主）10.193.102.1/3010.193.119.254/30跨網(wǎng)段設備互聯(lián)網(wǎng)段， 106表示從1區(qū)到6區(qū)的互聯(lián)，最多口J接18個分區(qū)1---核心生產(chǎn)2---核心前置3---,112—外聯(lián),113---網(wǎng)銀

114—管理,115---ECC116---開發(fā)跨區(qū)生產(chǎn)網(wǎng)絡設備互聯(lián)（備）10.193.202.1/3010.193.1.254/30跨網(wǎng)段設備互聯(lián)網(wǎng)段， 206表示從1區(qū)到6區(qū)的互聯(lián)，最多口J接18個分區(qū)WAN分行主線路接入10.193.240.110.193.247.254按30位掩碼劃分，可接510個分行WAN分行備份線路接入10.193.248.110.193.255.254按30位掩碼劃分，可接510個分行外聯(lián)網(wǎng)段10.194.0.010.196.254.254外聯(lián)網(wǎng)段-外聯(lián)業(yè)務10.194.0.010.194.63.254外聯(lián)網(wǎng)段-外聯(lián)業(yè)務-設備連接10.194.0.010.194.63.254外聯(lián)網(wǎng)段-外聯(lián)業(yè)務-主鏈路10.194.8.010.194.11.254按30位掩碼劃分，可連接256條線路外聯(lián)網(wǎng)段-外聯(lián)業(yè)務-備鏈路10.194.12.010.194.5.254按30位掩碼劃分，可連接256條線路外聯(lián)網(wǎng)段-外聯(lián)業(yè)務-對外NAT10.194.90.010.194.99.254叫可外映射2560個IP外聯(lián)網(wǎng)段-外聯(lián)業(yè)務-對內(nèi)NAT10.194.100.010.194.109.254叫司內(nèi)映射2560個IP外聯(lián)網(wǎng)段-網(wǎng)銀區(qū)10.194.128.010.194.191.254預留網(wǎng)段10.195.0.010.196.254.254主機10.197.1.010.197.3.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問存儲10.197.4.010.197.7.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問核心前置10.197.8.010.197.15.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問一般前置機10.197.16.010.197.23.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問外圍存儲10.197.24.010.197.31.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問

APP服務器10.197.32.010.197.39.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問WEB服務器10.197.40.010.197.47.254規(guī)劃多個網(wǎng)段，通過ACL控制訪問WEB服務器-應用管理類VLAN4010.197.40.010.197.41.254監(jiān)控系統(tǒng)運行情況WEB服務器-后臺管理類VLAN4210.197.42.010.197.43.254由業(yè)務部門、后臺管理人員使用WEB服務器-前臺業(yè)務類VLAN4410.197.44.010.197.45.254由柜臺人員、一線客戶經(jīng)理預留網(wǎng)段10.197.46.010.197.47.254預留網(wǎng)段10.197.48.010.197.63.254其他生產(chǎn)設備10.198.64.010.198.127.254共64個C網(wǎng)段，用于其他核心生產(chǎn)機業(yè)務生產(chǎn)區(qū)-重要系統(tǒng)-ABSVLAN16410.198.64.010.198.64.25410.198.64.0-67.0支付系統(tǒng)已分配使用業(yè)務生產(chǎn)區(qū)-重要系統(tǒng)-WEBVLAN16510.198.65.010.198.65.254已分配使用業(yè)務生產(chǎn)區(qū)-支付系統(tǒng)-APPVLAN16610.198.66.010.198.66.254已分配使用業(yè)務生產(chǎn)區(qū)-支付系統(tǒng)-DBVLAN16710.198.67.010.198.67.254已分配使用業(yè)務生產(chǎn)區(qū)-客戶通知平臺-APP-WEB-DB-WLvlan10510.198.68.010.198.68.254已分配使用業(yè)務生產(chǎn)區(qū)-電子匯票vlan10610.198.69.010.198.69.254已分配使用業(yè)務生產(chǎn)區(qū)-國際結(jié)算vlan10710.198.70.010.198.70.254已分配使用業(yè)務生產(chǎn)區(qū)-多媒體信息發(fā)布-APP-DBvlan10810.198.71.010.198.71.254已分配使用預留網(wǎng)段10.198.72.010.198.79.254預留網(wǎng)段業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)信用卡系統(tǒng)-前置VLAN18010.198.80.010.198.80.25410.198.80.0-83.0信用卡系統(tǒng)已分配使用

業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)信用卡系統(tǒng)-服務器VLAN18110.198.81.010.198.81.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)信用卡系統(tǒng)-客服前置VLAN18210.198.82.010.198.82.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)積分系統(tǒng)-WEBVLAN18410.198.84.010.198.84.25410.198.84.0-85.0積分系統(tǒng)已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)積分系統(tǒng)-DBVLAN18510.198.85.010.198.85.254已分配使用預留網(wǎng)段10.198.86.010.198.87.254h業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)CRM系統(tǒng)-WEBVLAN18810.198.88.010.198.88.25410.198.88.0-91.0積分系統(tǒng)已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)CRM系統(tǒng)-T-SERVERVLAN18910.198.89.010.198.89.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)CRM系統(tǒng)-DBVLAN19010.198.90.010.198.90.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)-個貸系統(tǒng)VLAN19110.198.91.010.198.91.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)-理財系統(tǒng)VLAN19210.198.92.010.198.92.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)-財管系統(tǒng)-WEBVLAN19310.198.93.010.198.93.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)-財管系統(tǒng)-DBVLAN19410.198.94.010.198.94.254已分配使用業(yè)務生產(chǎn)區(qū)-外圍業(yè)務區(qū)-預留10.199.1.010.199.127.254共255個C網(wǎng)段，根據(jù)業(yè)務區(qū)分網(wǎng)段，整個B類網(wǎng)按業(yè)務類型分為4個子網(wǎng)業(yè)務生產(chǎn)區(qū)-核心前置區(qū)10.199.128.010.199.254.254業(yè)務生產(chǎn)區(qū)-核心前置區(qū)-ESB次件傳輸平臺VLAN42810.199.128.010.199.128.254共255個C網(wǎng)段，根據(jù)業(yè)務區(qū)分網(wǎng)段，整個B類網(wǎng)按業(yè)務類型分為4個子網(wǎng)業(yè)務生產(chǎn)區(qū)-核心前VLAN42910.199.129.010.199.129.254共255個C網(wǎng)段，根據(jù)業(yè)務

置區(qū)-ATMP區(qū)分網(wǎng)段，整個B類網(wǎng)按業(yè)務類型分為4個子網(wǎng)業(yè)務生產(chǎn)區(qū)-核心前置區(qū)-柜面Teller10.199.130.010.199.130.254共255個C網(wǎng)段，根據(jù)業(yè)務區(qū)分網(wǎng)段，整個B類網(wǎng)按業(yè)務類型分為4個子網(wǎng)業(yè)務生產(chǎn)區(qū)-核心前置區(qū)-電子渠道整合10.199.131.010.199.132.254共255個C網(wǎng)段，根據(jù)業(yè)務區(qū)分網(wǎng)段，整個B類網(wǎng)按業(yè)務類型分為4個子網(wǎng)業(yè)務生產(chǎn)區(qū)-核心前置區(qū)-預留10.199.128.010.199.254.254共255個C網(wǎng)段，根據(jù)業(yè)務區(qū)分網(wǎng)段，整個B類網(wǎng)按業(yè)務類型分為4個子網(wǎng)日常生產(chǎn)管理10.200.1.010.200.63.254通過ACL控制訪問日常生產(chǎn)管理-存儲管理端口VLAN30810.200.8.010.200.8.254通過ACL控制訪問日常生產(chǎn)管理-服務器管理端口VLAN31610.200.16.010.200.16.254通過ACL控制訪問日常生產(chǎn)管理-服務器管理端口VLAN31710.200.17.010.200.17.254通過ACL控制訪問日常生產(chǎn)管理-服務器管理端口VLAN31810.200.18.010.200.18.254備用IP段日常生產(chǎn)管理-服務器管理端口VLAN31910.200.19.010.200.19.254備用IP段生產(chǎn)終端10.200.64.110.200.127.254由業(yè)務部門使用，每一類應用為一個C網(wǎng)段生產(chǎn)終端-信用卡系統(tǒng)終端VLAN36510.200.65.110.200.65.254理財部信用卡系統(tǒng)業(yè)務終端生產(chǎn)終端-信用卡系統(tǒng)終端VLAN36610.200.66.110.200.66.254中小企業(yè)部業(yè)務終端ECC10.200.128.110.200.191.254通過ACL控制訪問網(wǎng)絡應用服務器10.200.192.010.200.207.254防病毒、補丁分發(fā)區(qū)、 AD、DNS網(wǎng)絡安全管理10.200.208.010.200.211.254網(wǎng)絡管理、LOG服務器網(wǎng)絡安全管理-網(wǎng)管、監(jiān)控平臺10.200.208.010.200.208.254網(wǎng)管、監(jiān)控平臺預留網(wǎng)段10.221.0.010.222.254.254

預留網(wǎng)段10.224.0.010.224.254.254生產(chǎn)中心辦公IP地址具體分配方案同城災備中心業(yè)務IP地址具體分配方案同城災備中心辦公IP地址具體分配方案同城災備機房辦公IP規(guī)劃用途VLAN號使用IP網(wǎng)段使用IP網(wǎng)段備注網(wǎng)絡設備IP30.0.0.030.0.0.254網(wǎng)絡設備管理（loopback）地址同區(qū)OA網(wǎng)絡設備互聯(lián)（主）30.0.1.130.0.31.254按30位掩碼劃分同區(qū)OA網(wǎng)絡設備互聯(lián)（備）30.0.33.130.0.63.254按30位掩碼劃分邊界防火墻互聯(lián)VLAN30030.0.100.130.0.100.254跨區(qū)OA網(wǎng)絡設備互聯(lián)（主）30.0.102.130.0.116.254跨網(wǎng)段設備互聯(lián)網(wǎng)段，106表示從1區(qū)到6區(qū)的互聯(lián)，最多口J接15個分區(qū)跨區(qū)OA網(wǎng)絡設備互聯(lián)（備）30.0.202.130.0.216.254WAN支行主線路接入30.0.240.130.0.247.254按30位掩碼劃分，可接510個分行WAN支行主線路接入30.0.240.130.0.240.2深圳分行WAN支行備份線路接入30.0.248.130.0.255.254按30位掩碼劃分，可接510個分行WAN支行備份線路接入30.0.248.130.0.248.2深圳分行郵件EMAILWEB服務器30.1.1.030.1.15.254OA、其他WEB服務器WEB服務器-OA服務器30.1.1.030.1.1.254OA

WEB服務器-OA服務器30.1.2.030.1.2.254戰(zhàn)略規(guī)劃管理系統(tǒng)特殊網(wǎng)段30.1.32.030.1.63.254HR、財務、稽核視頻監(jiān)控30.1.32.030.1.32.254保衛(wèi)部視頻監(jiān)控服務器各部門辦公網(wǎng)段VLAN6430.1.64.030.1.127.254共64個C網(wǎng)，每個部門一個網(wǎng)段各部門辦公網(wǎng)段30.1.64.030.1.67.254科技部各部門辦公網(wǎng)段30.1.68.030.1.68.254中小企業(yè)部各部門辦公網(wǎng)段30.1.69.030.1.69.254保衛(wèi)部網(wǎng)絡應用服務希30.1.192.030.1.207.254防病毒、補丁分發(fā)區(qū)、AD、DNS網(wǎng)絡應用服務希VLAN19230.1.192.030.1.192.254AD網(wǎng)絡安全管理30.1.208.030.1.211.254網(wǎng)絡管理、LOG服務器網(wǎng)絡安全管理---帶外管理網(wǎng)段30.1.208.030.1.208.254網(wǎng)絡管理、LOG服務器互聯(lián)網(wǎng)區(qū)域30.1.224.030.1.231.254OA區(qū)互聯(lián)網(wǎng)防火墻互聯(lián)網(wǎng)區(qū)域30.1.225.030.1.225.254OA區(qū)互聯(lián)網(wǎng)防火墻-DMZ1用于互聯(lián)網(wǎng)VPN網(wǎng)關(guān)互聯(lián)網(wǎng)區(qū)域30.1.226.030.1.226.254OA區(qū)互聯(lián)網(wǎng)防火墻-DMZ2用于電信VPN網(wǎng)關(guān)互聯(lián)網(wǎng)區(qū)域30.1.227.030.1.267.254OA區(qū)互聯(lián)網(wǎng)防火墻-DMZ3用于遠程交付WEB互聯(lián)網(wǎng)區(qū)域30.1.231.030.1.232.254上網(wǎng)行為互聯(lián)網(wǎng)區(qū)域30.1.233.030.1.233.254PROX64互聯(lián)網(wǎng)區(qū)域VLAN23430.1.234.030.1.234.254VPN網(wǎng)關(guān)公共服務30.1.240.030.1.240.254文件服務器、網(wǎng)絡打印機、網(wǎng)絡掃描儀、一體機

VOIP、視頻會議30.1.241.0/2430.1.241.254/24安防視頻監(jiān)控30.1.242.0/2430.1.242.254/24安防視頻監(jiān)控30.1.242.0/2430.1.242.254/24分行生產(chǎn)網(wǎng)IP地址具體分配方案VLAN名稱VLANID使用IP網(wǎng)段子網(wǎng)掩碼用途備注20.1.0.0255.255.255.255三層網(wǎng)絡設備管理（loopback）地址SZPD-DEV-L2-MGMT10020.1.1.0255.255.255.0二層網(wǎng)絡設備管理帶外管理網(wǎng)段255.255.255.252上聯(lián)路由器與總部互聯(lián)（主）255.255.255.252上聯(lián)路由器與總部互聯(lián)（備）20.1.4.0255.255.255.252上聯(lián)路由器與核心互聯(lián)網(wǎng)段（主）20.1.5.0255.255.255.252上聯(lián)路由器與核心互聯(lián)網(wǎng)段（備）20.1.6.0255.255.255.252下聯(lián)路由器與核心互聯(lián)網(wǎng)段（主）20.1.7.0255.255.255.252下聯(lián)路由器與核心互聯(lián)網(wǎng)段（備）SZPD-MSTP-120.1.8.0255.255.255.128下聯(lián)路由器與支行互聯(lián)網(wǎng)段（主）使用MSTP匯聚端口SZPD-MSTP-220.1.8.128255.255.255.128下聯(lián)路由器與支行互聯(lián)網(wǎng)段（主）使用MSTP匯聚端口SZPD-MSTP-320.1.9.0255.255.255.128下聯(lián)路由器與支行互聯(lián)網(wǎng)段（備）使用MSTP匯聚端口SZPD-MSTP-420.1.9.128255.255.255.128下聯(lián)路由器與支行互聯(lián)網(wǎng)段（備）使用MSTP匯聚端口SZPD-MSTP-520.1.10.0255.255.255.0下聯(lián)路由器與支行互聯(lián)網(wǎng)段（主）使用MSTP匯聚端口（備用）SZPD-MSTP-620.1.11.0255.255.255.0下聯(lián)路由器與支行互聯(lián)網(wǎng)段（備）使用MSTP匯聚端口（備用）SZPD-DEV-EXTRA11220.1.16.0255.255.255.0連接外聯(lián)區(qū)防火墻將外聯(lián)IPNAT成此網(wǎng)段IP,讓內(nèi)網(wǎng)IP路由更簡單SZPD-Public13120.1.31.0255.255.255.0生產(chǎn)打印機網(wǎng)段打印機、一體機、掃描儀、文件服務器SZPD-6464B10820.1.33.0255.255.255.0運營部生產(chǎn)PCSZPD-CWB10920.1.34.0255.255.255.0財務部生產(chǎn)PC11020.1.35.0255.255.255.0其他生產(chǎn)PC11120.1.36.0255.255.255.0其他生產(chǎn)PC11220.1.37.0255.255.255.0其他生產(chǎn)PC11320.1.38.0255.255.255.0其他生產(chǎn)PC

分行辦公網(wǎng)IP地址具體分配方案VLAN名稱VLANID使用IP網(wǎng)段子網(wǎng)掩碼服務器IP地址備注21.1.0.0255.255.255.255三層網(wǎng)絡設備管理（loopback）地址SZOA-DEV-L2-MGMT20121.1.1.0255.255.255.0二層網(wǎng)絡設備管理255.255.255.252上聯(lián)路由器與總部互聯(lián)（主）255.255.255.252上聯(lián)路由器與總部互聯(lián)（備）20.1.4.0255.255.255.0上聯(lián)路由器與核心互聯(lián)網(wǎng)段（主）20.1.5.0255.255.255.0上聯(lián)路由器與核心互聯(lián)網(wǎng)段（備）21.1.6.0255.255.255.0下聯(lián)路由器與核心互聯(lián)網(wǎng)段（主）21.1.7.0255.255.255.0下聯(lián)路由器與核心互聯(lián)網(wǎng)段（主）SZPD-MSTP-121.1.8.0255.255.255.0下聯(lián)路由器與支行互聯(lián)網(wǎng)段（主）使用MSTP匯聚端口SZPD-MSTP-221.1.9.0255.255.255.0下聯(lián)路由器與支行互聯(lián)網(wǎng)段（備）使用MSTP匯聚端口SZPD-MSTP-321.1.10.0255.255.255.0下聯(lián)路由器與支行互聯(lián)網(wǎng)段（主）使用MSTP匯聚端口（備用）SZPD-MSTP-421.1.11.0255.255.255.0下聯(lián)路由器與支行互聯(lián)網(wǎng)段（備）使用MSTP匯聚端口（備用）SZPD-Information22321.1.23.0255.255.255.0多媒體信息平臺SZOA-Monitor22421.1.24.0255.255.255.0安防視頻監(jiān)控SZOA-VC22521.1.25.0255.255.255.0視頻會議（預留）SZOA-VOIP22621.1.26.0255.255.255.0VOIP（預留）SZOA-WiFi22721.1.27.0255.255.255.0內(nèi)部員工無線接入SZOA-Guest22821.1.28.0255.255.255.0外單位人員臨時接入（預留）滿足未來監(jiān)管單位、外審進駐時的網(wǎng)絡訪問需求SZOA-Secure22921.1.29.0255.255.255.0安全設備IPS補丁分發(fā)、防病毒、桌面控制SZOA-IT23021.1.30.0255.255.255.0分行IT部門SZOA-Public23121.1.31.0255.255.255.0公用設備打印機、一體機、掃描儀、文件服務希SZOA-Master23221.1.32.0255.255.255.0分行行長室SZOA-OFFICE23321.1.33.0255.255.255.0分行辦公室SZOA-23421.1.34.0255.255.255.0其他部門一共可劃分32個部門SZOA-23521.1.35.0255.255.255.0其他部門SZOA-23621.1.36.0255.255.255.0其他部門SZOA-26321.1.63.0255.255.255.0其他部門

支行生產(chǎn)網(wǎng)IP地址具體分配方案支行IP地址分配（以萬象城支行為例）網(wǎng)段名稱VLAN名稱VLAN號用途使用IP地址子網(wǎng)掩碼虛擬網(wǎng)關(guān)PD20.X.128.0/24PD10自助設備（2?11,共10臺）ATM120.X.128.2255.255.255.020.X.64.254ATM220.X.128.3CDM20.X.128.4CDM20.X.128.5CDM(預留)20.X.128.6-11打印機、一體機網(wǎng)絡打印、一體機20.X.128.12-15自助查詢機等20.X.128.16-23電子回單箱20.X.128.24驗印系統(tǒng)支票影像系統(tǒng)（預留）個性卡制卡機（預留）核心前置服務器20.X.128.28柜臺終端（64-95，共32臺）柜員終端20.X.128.64-95其他生產(chǎn)PC機（96-111，共16臺）20.X.128.96-111NET互聯(lián)網(wǎng)段支行PD交換機與路由器互聯(lián)IP段20.X.128.208255.255.255.240MGMT100管理地址LOOPBACK(R)VLAN100(S)地址20.X.128.241-248255.255.255.255支行辦公網(wǎng)IP地址具體分配方案支行辦公網(wǎng)IP地址分配網(wǎng)段名稱VLANVLAN號用途使用IP地址子網(wǎng)掩碼虛擬網(wǎng)關(guān)

名稱OA21.X.128.0/24辦公20打印機打印機21.X.128.2-7255.255.255.12821.X.128.126VOIP21.X.128.8辦公PC21.X.128.64-125Monitor30安防監(jiān)控主機21.X.128.129-157255.255.255.22421.X.128.158VIDEO40多媒體信息終端21.X.128.193-197255.255.255.24821.X.128.198UNTRUST50基金、證券代銷PC（預留）讓客戶自行操作進行股票行情、財經(jīng)信息查詢21.X.128.209-213255.255.255.24821.X.128.214VPN60VPN備份線路（預留）支行OA通過3G或VPDN等方式實現(xiàn)線路備份21.X.128.217-221255.255.255.24821.X.128.222WiFi70無線VIP接入（預留）讓VIP客戶通過無線進行上網(wǎng)21.X.128.225-229255.255.255.24821.X.128.230MGMT100管理地址LOOPBACK(R)VLAN100(S)地址20.X.128.241-248255.255.255.255路由設計路由協(xié)議選擇路由協(xié)議主要分為內(nèi)部路由協(xié)議及外部路由協(xié)議：?外部路由協(xié)議：以BGP為代表，早期主要用于Internet網(wǎng)及電信運營商,但由于其靈活的路由策略和高擴展性，BGP已經(jīng)被許多大型企業(yè)用戶所采用。?內(nèi)部路由協(xié)議：主要包括EIGRPOSPFRIPv2這些路由協(xié)議在算法、適用性、靈活性；通用性以及擴展性上各有特點。上述四種路由協(xié)議比較如下：路由協(xié)議比較EIGRPOSPFBGPRIPv2標準化思科專利國際標準國際標準國際標準協(xié)議種類混合模式鏈路狀態(tài)路徑矢量距離矢量協(xié)議算法DUALSPFPVDV適用性IP及其他協(xié)議IPIPIP靈活性高高高中通用性低高高中擴展性中中高低簡易度高中低高路由協(xié)議的部署須考慮管理邊界。例如：數(shù)據(jù)中心的科技人員管理維護數(shù)據(jù)中心本部網(wǎng)絡；對于所轄分行及以下的網(wǎng)絡，只擔負指導和監(jiān)督職責。管理邊界對于路由域的劃分具有重要的參考意義。數(shù)據(jù)中心網(wǎng)骨干網(wǎng)路由設計骨干網(wǎng)描述骨干網(wǎng)是指數(shù)據(jù)中心與各分行、以及數(shù)據(jù)中心互聯(lián)的網(wǎng)絡，由數(shù)據(jù)中心統(tǒng)一管理和維護。根據(jù)XX銀行未來發(fā)展的要求，穩(wěn)定、可靠的網(wǎng)絡是實現(xiàn)數(shù)據(jù)集中、跨地區(qū)應用正常運轉(zhuǎn)的前提和基礎，骨干網(wǎng)路由協(xié)議在選擇時，要求：?必須具備良好的擴展性；?必須經(jīng)過成熟的應用；?必須可以通過靈活的策略實現(xiàn)流量分擔；?必須能夠靈活的進行路由匯總；?必須是開放協(xié)議；根據(jù)上述特點，XX銀行選擇BGP做為骨干網(wǎng)路由協(xié)議。BGP作為外部網(wǎng)關(guān)路由協(xié)議，運行在三個數(shù)據(jù)中心、分行之間。數(shù)據(jù)中心網(wǎng)每個數(shù)據(jù)中心和每個分行都作為一個獨立的自治系統(tǒng)。每個非數(shù)據(jù)中心的自治系統(tǒng)通過其網(wǎng)絡中心的廣域網(wǎng)區(qū)的兩臺或者多臺路由器，分別接入到生產(chǎn)中心、同城備份中心的廣域網(wǎng)功能區(qū)的廣域網(wǎng)路由器。這種連接方式可以起到物理拓撲鏈路冗余和路由冗余的目的。在上述冗余環(huán)境中，為加快 BGP路由協(xié)議探測失效、完成路由自愈收斂的速度，本方案使用Hello間隔為10秒，Holdtime為30秒。.2BGP自治系統(tǒng)編號設計數(shù)據(jù)中心、分行自治系統(tǒng)編號將采用國際私有自治系統(tǒng)編號，即采用AS64512到AS65535范圍內(nèi)的編號。BGP自治系統(tǒng)編號分配從65000起開始分配，參見下表：BGP自治系統(tǒng)編號1生產(chǎn)中心65000同城災備中心65001異地災備中心65002總行65003分行651xx國家行政編碼預留652xx其他互聯(lián)需求3.3.2.3BGP路由策略EBGMB居關(guān)系的建立：?各分行分別與珠海同城的兩個數(shù)據(jù)中心建立EBGXB居關(guān)系；?生產(chǎn)中心的分布層交換機與同城備中心的廣域網(wǎng)區(qū)路由器通過 DWDM的千兆連接建立EBGXB居關(guān)系；?異地災中心的接入層路由器與生產(chǎn)中心以及同備份中心的廣域網(wǎng)接入層路由器建立EBGXB居關(guān)系；舊GP鄰居關(guān)系的建立：?各分行在兩臺廣域網(wǎng)邊界路由器之間建立舊GP鄰居關(guān)系；?生產(chǎn)中心：目前設計2臺設備運行BGP,啟用廣域網(wǎng)區(qū)分布層的兩臺交換機作為BGP的RR（路由反射器）；?同城備份中心：目前設計4臺設備運行BGP,啟用廣域網(wǎng)區(qū)分布層的兩臺交換機作為BGP的RR（路由反射器）；?建議異地災備中心：目前設計2臺廣域網(wǎng)設備運行BGRRR（路由反射器）的設計將保證在生產(chǎn)中心，同城備份中心增加新的廣域網(wǎng)邊界路由器時，可以非常容易的實現(xiàn)BGP功能，具有很強的擴展性。同時，雙RR的設計可以為BGP提供冗余能力，提高系統(tǒng)的可靠性。設計BGP路由策略時，應確保各個AS自治系統(tǒng)之間交換最優(yōu)匯總路由，以及少量為了調(diào)節(jié)流量負載分擔的匯總路由。各個 AS自治系統(tǒng)之間的其它精細路由將不會出現(xiàn)在全局路由表中，從而減少路由表的尺寸，達到增加網(wǎng)絡的高可用性以及穩(wěn)定性的目的。每個分行的AS自治系統(tǒng)通過其網(wǎng)絡中心的兩臺路由器，分別接入到生產(chǎn)中心、同城備份中心的廣域網(wǎng)路由器。這種連接方式可以起到物理拓撲鏈路冗余和路由冗余的目的。正常的生產(chǎn)狀態(tài)下，下屬單位會主要通過上連到生產(chǎn)中心的主鏈路來通訊；為了達到充分利用線路資源的目的，要求連接到同城備份中心的備份線路也要求承載正常的業(yè)務流量，不能空閑。設計BGP的路由時，采用以下策略：?每個一分行的自治系統(tǒng)分別同生產(chǎn)中心和同城備份中心交換各自的最大的匯總聚合路由；?同城備份中心和其它的AS交換BGP路由時，除了相互交換各自的最大的匯總聚合路由外，還要求交換部分精細的匯總聚合路由；?每個自治系統(tǒng)中部分精細的匯總聚合路由集合的選取，用來調(diào)整主備鏈路間的數(shù)據(jù)流量的分布狀態(tài)。?選取部分精細的匯總聚合路由，需要根據(jù)生產(chǎn)中心的各功能區(qū)與下屬單位的業(yè)務數(shù)據(jù)通信流模型調(diào)整。3.3.2.4BGP通用設計原則通用設計原則BGP設計目的使用設備loopback地址作為舊GPPeer地址增加協(xié)議穩(wěn)定性、便于故障診斷使用互連的直連端口作為 EBGPPeer地址增加協(xié)議穩(wěn)定性、便于故障診斷使用Route-refresh,不使用soft-reconfiguration減少內(nèi)存利用，無需配置BGPhelloholddowntimer改為1030提高協(xié)議收斂速度記錄鄰居變更便于故障診斷使用Communit64標識路由便于策略實施使用communit64newformat增力口communit64的可識別性BGP路由的公告：?數(shù)據(jù)中心問：Network和路由策略在BGP!程中公告；?數(shù)據(jù)中心與分行：Network模式和路由策略（檢測關(guān)鍵功能區(qū)路由狀態(tài)）在BGP進程中公告；3.3.2.5分行通訊策略只支持分行與數(shù)據(jù)中心的通訊，不支持分行之間通訊。分發(fā)到的分行上連路由器的路由只有數(shù)據(jù)中心的路由。數(shù)據(jù)中心路由設計BGP用于連通數(shù)據(jù)中心與各個分行的外部路由協(xié)議，從技術(shù)角度看，各個分行可運行完全不同的內(nèi)部路由協(xié)議，從而大大提高了網(wǎng)絡的靈活性以及擴展性。鑒于XX銀行網(wǎng)絡的通用性策略，采用OSPF乍為三個數(shù)據(jù)中心的內(nèi)部路由協(xié)議。通過前面的表格可以看出OSPF具有更高的通用性和層次性，更加便于日后的網(wǎng)絡擴展與維護。OSPF＜以實現(xiàn)兩級的層次化：骨干域（backbonearea）與非骨干域（non-backbonearea）。OSPF的骨干域area0只有一個，非骨干域可以有多個。根據(jù)數(shù)據(jù)中心不同功能區(qū)的特點，按照以下方式來設計生產(chǎn)中心和同城備份中心的 OSPM域與邊界。3.3.3.1OSPF區(qū)域劃分數(shù)據(jù)中心網(wǎng)的生產(chǎn)中心和同城備份中心的網(wǎng)絡 OSPFK域劃分如下：?生產(chǎn)中心以及同城備份中心的四臺核心交換機?生產(chǎn)中心核心交換機和廣域網(wǎng)路由器組成 OSPF非骨干區(qū)域（area101）；?備份中心核心交換機和廣域網(wǎng)路由器組成 OSPF非骨干區(qū)域（area102）；3.3.3.2OSPF路由/交換邊界生產(chǎn)中心和同城備份中心網(wǎng)絡的路由/交換邊界：?核心層設備全部為路由區(qū)域；?廣域網(wǎng)功能區(qū)，分布層設備作為OSPFarea0和area101柞同城備份中心為Area102）的邊界；3.3.3.3OSPF通用設計OSPF路由協(xié)議進程包含許多全局屬性，通過對這些屬性的設計，可以增加協(xié)議的穩(wěn)定、安全等性能。數(shù)據(jù)中心OSPF?用設計原則OSPF設計目的使用設備loopback地址作為OSPF：增加協(xié)議穩(wěn)定性、便于故障診斷使用passive模式（除設備互連接口外）提高協(xié)議安全性，降低協(xié)議開銷設備互連接口均使用點到點模式提高協(xié)議效率，提高協(xié)議安全性使用端口地址標識協(xié)議網(wǎng)段減少配置錯誤除NBMA鄰居Hello/Dead時間間隔外，不改變 簡化配置，降低復雜度OSPF默認timer不調(diào)整OSPF端口,默認cost 簡化配置，降低復雜度3.3.3.4OSPF帶寬設計隨著網(wǎng)絡技術(shù)的發(fā)展，鏈路帶寬迅速增加， OSPF路由協(xié)議原有的默認配置已經(jīng)不能滿足XX銀行的網(wǎng)絡要求。思科提供自動計算OSPF各由協(xié)議cost功能，公式如下：cost=參考帶寬/鏈路帶寬設計OSP啰考帶寬為100,000[Mbps],對應類型接口cost值列表如下：Table1數(shù)據(jù)中心OSPF＞寬設計鏈路類型Cost2x10GE510GE104xGEChannel25GE100VlaninterfRadware100Loopback1數(shù)據(jù)中心網(wǎng)分行路由設計XX銀行各分行的上連路由器、分行的核心交換機、分行的下連路由器，構(gòu)建成了XX銀行的數(shù)據(jù)中心網(wǎng)的分行。建議采用OSPF乍為數(shù)據(jù)中心網(wǎng)分行骨干網(wǎng)絡的內(nèi)部路由協(xié)議。OSPF具有更高的通用性，層次性，更加便于日后的網(wǎng)絡擴展與維護。OSPF區(qū)域和邊界劃分對于分行，OSPF區(qū)域劃分的通用原則是：?OSPF勺骨干域area0只有一個，非骨干域可以有多個；?每個OSPFM中的路由器數(shù)量根據(jù)實際設備負載確定；?每個OSPFABR&由器所服務的區(qū)域數(shù)量根據(jù)實際設備負載確定。數(shù)據(jù)中心網(wǎng)二級骨干網(wǎng)絡的OSPFE域與邊界劃分：（對于三層結(jié)構(gòu)分行）?骨干域area0中包含：分行的上連路由器非上連端口；分行的核心交換機；分行下連路由器的非廣域端口；?非骨干域areaX中包含：分行下連支行路由器的廣域接口；支行上連路由器的廣域端口；XX銀行數(shù)據(jù)中心網(wǎng)分行的二級骨干網(wǎng)絡連接拓撲與 OSPF區(qū)域示意圖如下:分行OSPFAREAS號設計分行ospfarea編號參見下表：BGP自治系統(tǒng)編號機構(gòu)名稱自治系統(tǒng)編號備注支行15500155為深圳國家行政編碼支行25500255為深圳國家行政編碼分行OSPR!用設計OSPFE各由協(xié)議進程包含許多全局屬性，通過對這些屬性的設計，可以增加協(xié)議的穩(wěn)定、安全等性能。數(shù)據(jù)中心網(wǎng)二級骨干網(wǎng)OSPF通用設計原則OSPF通用設計原則 設計目的使用設備loopback地址作為OSPF標識 增加協(xié)議穩(wěn)定性、便于故障診斷ABR將非骨干域路由進行匯總 提高協(xié)議效率，提高網(wǎng)絡的穩(wěn)定性。使用passive模式（除設備互連接口外） 提高協(xié)議安全性，降低協(xié)議開銷

使用端口地址標識協(xié)議網(wǎng)段減少配置錯誤不改變OSPF默認timer簡化配置，降低復雜度不調(diào)整OSPF端口默認cost簡化配置，降低復雜度不調(diào)整OSPF端口默認cost簡化配置，降低復雜度分行網(wǎng)絡OSPFt寬設計隨著網(wǎng)絡技術(shù)的發(fā)展，鏈路帶寬迅速增加， OSPF路由協(xié)議原有的默認配置已經(jīng)不能滿足XX銀行的網(wǎng)絡要求。思科提供自動計算OSPF各由協(xié)議cost功能，公式如下：cost=參考帶寬/鏈路帶寬設計OSP啰考帶寬為100,000[Mbps],對應不同類型接口cost值列表如下:分行網(wǎng)絡帶寬設計鏈路類型Cost10GE104GEChannel252GEChannel50GE100VlaninterfRadware100Loopback13.3.6數(shù)據(jù)中心網(wǎng)接入網(wǎng)路由設計XX銀行離行ATM的接入網(wǎng)點路由器，相對來說一般是處理能力較低的低端路由器，路由功能的支持能力也比較簡單。建議在離行ATM網(wǎng)點路由器和分行的接入路由器之間運行RIP路由協(xié)議，RIPV2支持變長子網(wǎng)掩碼，RIPV2非常簡單，易于配置維護與管理，是開放的標準路由協(xié)議，在低端路由器上能夠獲得眾多廠家的支持。由于網(wǎng)點路由器需要接收全部路由表項，設計通常只獲得缺省路由。缺省路由可以通過人工配置或動態(tài)通過RIPV2從上連路由器學習。分行上連路由器上同時運行OSP橋口RIPV2的情況下，可以將RIPV2路由重分布到OSPN;再對重分布的路由進行匯總，讓OSPF^量只接收RIPV2的匯總路由。RIPV2路由匯總的效果取決于該下連地址段的匯總能力。地址段的匯總能力影響OSPFB勺路由表項數(shù)量，從而影響網(wǎng)絡穩(wěn)定性。3.3.9整體路由拓撲設計生三史 . 同城災備中心踣由路由03K哆異地災備中心支付 如踣由路由03K哆異地災備中心支付 如在整體的設計中，共采用了OSPF,BGP,RIP靜態(tài)四種路由協(xié)議，使用情況如下:數(shù)據(jù)中心數(shù)據(jù)中心內(nèi)部路由協(xié)議.生產(chǎn)中心和備份中心通過OSPF路由協(xié)議進行互通，其中生產(chǎn)中心和備份中心的四臺core運行OSPF區(qū)域0,生產(chǎn)中心廣域網(wǎng)區(qū)以及同城備份中心的廣域網(wǎng)區(qū)分別以area101和area102接入到骨干區(qū)域area0..生產(chǎn)中心和備份中心與各個功能區(qū)域之間通過靜態(tài)路由進行通訊數(shù)據(jù)中心外部路由協(xié)議.生產(chǎn)中心，同城備份中心和異地災備中心之間通過 EBGP的方式進行互聯(lián).生產(chǎn)中心，同城備份中心下聯(lián)分行時采用BGP的方式來控制路由的策略分行分行內(nèi)部路由協(xié)議.生產(chǎn)中心和備份中心通過OSPF路由協(xié)議進行互通，其中生產(chǎn)中心和備份中心的四臺core運行OSPF區(qū)域0,生產(chǎn)中心廣域網(wǎng)區(qū)以及同城備份中心的廣域網(wǎng)區(qū)分別以area101和area102接入到骨干區(qū)域area0..生產(chǎn)中心和備份中心與各個功能區(qū)域之間通過靜態(tài)路由進行通訊分行外部路由協(xié)議.為便于以后業(yè)務數(shù)據(jù)的控制以及策略，分行上聯(lián)生產(chǎn)中心和備份中心時采用BGP的方式.分行內(nèi)部通過OSPF1行通訊，每個支行以OSPFt骨干區(qū)域方式接入。.考慮到MSTP線路的特征以及離行ATM區(qū)路由器的性能，在分行與離行ATM互聯(lián)時采用RIPV潞由協(xié)議3.4災備網(wǎng)絡規(guī)劃災難備份的定義根據(jù)2005年中華人民共和國國務院頒布的《重要信息系統(tǒng)災難恢復指南》中的定義，災難是指由于人為或自然的原因，造成系統(tǒng)運行嚴重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受、達到特定的時間的突發(fā)事件。災難恢復定義為：將信息系統(tǒng)從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)， 而設計的活動和流程”。災難備份定義為： 為了災難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎事實、技術(shù)支持能力和運行管理能力進行備份的過程。 ”真正的災難備份必須滿足三個要素：一是系統(tǒng)中的部件、數(shù)據(jù)都具有冗余性，即一個系統(tǒng)發(fā)生故障，另一個系統(tǒng)能夠保持數(shù)據(jù)傳送的順暢；二是具有長距離性，因為災害總是在一定范圍內(nèi)發(fā)生，因而保證足夠長的距離才能保證數(shù)據(jù)不會被同一個災害全部破壞；災是災難備份系統(tǒng)追求全方位的數(shù)據(jù)復制，上述三要素也稱為“3R'(RedundancyRemote、Replication)。一個完整的災難備份系統(tǒng)主要由數(shù)據(jù)備份系統(tǒng)、備份數(shù)據(jù)處理系統(tǒng)、備份通信網(wǎng)絡系統(tǒng)和完整的災難恢復計劃組成。在災難備份系統(tǒng)建設中，如何將數(shù)據(jù)(包括系統(tǒng)、應用和業(yè)務數(shù)據(jù))完整、實時地復制到災難備份中心，是災難備份系統(tǒng)中首先需要考慮的重點。備份中心建設備份中心按照功能分兩種建設模式：應用級備份中心和數(shù)據(jù)級備份中心。前者在數(shù)據(jù)中心發(fā)生災難時，由于該中心數(shù)據(jù)是與數(shù)據(jù)中心實時同步，并有主機、網(wǎng)絡、存儲等設備，所以可以迅速接管數(shù)據(jù)中心。后者只有數(shù)據(jù)中心所有數(shù)據(jù)的副本，當數(shù)據(jù)中心數(shù)據(jù)發(fā)生災難時，可啟用數(shù)據(jù)副本作為生產(chǎn)數(shù)據(jù)；當整個數(shù)據(jù)中心發(fā)生災難時，該中心沒有主機設備，不能接管數(shù)據(jù)中心。備份中心按照地址分：同城備份中心和異地備份中心。備份中心的建設方式非常靈活，銀行往往根據(jù)自己制定的災難備份方案和業(yè)務連續(xù)性計劃進行選擇和建設。當然，前提是都必須滿足行業(yè)規(guī)范和監(jiān)管要求。比如在初期的備份中心建設過程中，并非對數(shù)據(jù)中心應用系統(tǒng)的完全備份，而只是選擇關(guān)鍵應用系統(tǒng)進行應用級備份，其他只做數(shù)據(jù)級備份，以節(jié)約投資。但不管是何種備份中心建設方式