《银行分行数据中心项目工程实施方案》由会员分享,可在线阅读,更多相关《银行分行数据中心项目工程实施方案(44页珍藏版)》请在金锄头文库上搜索。
1、银行分行数据中心项目工程实施方案第1章项目概况1.1 项目背景某银行某分行为满足业务需求,将根据模块化的、分层的、分级的现代数据中心设计理念,构 建一个满足可扩展性、灵活性和高可用性的网络基础架构,实现对分行各业务系统提供统一的基础 设施服务支持的目标。1.2 项目目标随着数据大集中的完成,分行业务处理模式将发生根本性变化,由先前的业务处理发生在分行 本地演变成所有核心业务均上送总行统一处理。另一方面全行各类信息业务平台、管理平台的不断 投入使用,带来明显的网络交易压力,对网络带宽、稳定性和安全性提出了更高要求。同时,由于 网络设备持续运行,年久老化,面临较重的运行压力。今后拟对分行网络系统进
2、行一次升级改造, 确保网络处理能力满足未来发展需要,真正实现业务处理和信息管理的高速运行。根据当前成熟的网络技术并结合网络技术将来的发展趋势,分行网络系统改造目标是建成一个 高性能、高可靠性、安全冗余、可扩展的网络安全通信平台。网络改造具体涉及到以下几点:1. 网络设备更换或升级分行网络自建成运行以来,已经连续运转八年,网络设备已出现不同程度的老化,部分设备性 能已严重落后于现有同等网络产品,甚至部分产品已停产或淘汰,为保证分行网络的安全运转,优 化分行网络性能,预防网络故障的发生,对分行老旧网络设备进行更换或升级。同时,网络改造必须采用国际通用的标准,在网络模式、设备的选择、线路的选择、实施
3、和管 理等各个环节上都采用现行国际标准和行业标准,以方便以后对网络的升级、更新和维护;充分考 虑各个网络产品(软件、硬件)的兼容性,网络设备的冗余性;所有网络设备必须支持IPV6,满足下一代数据通信网络的需要。2. 千兆网络建设随着数据大集中项目的实施,以及各种新业务系统的上线,网络系统资源的占用越来越大,提 高业务处理的速度和质量,成为分行网络建设的重点。鉴于分行现有的百兆网络面临的业务压力, 必须提升网络带宽,对分行核心网络设备实现千兆光纤互联,保证网络的快速处理能力,并实现核 心应用服务器的千兆连接。3. 网络区域划分目前分行网络划分为外网、内网、DM区三个大的区域。为了增加网络的安全性
4、、可管理性,对网络按不同的功用,进行更细致的区域划分,共划分为十一个区域,通过区域的划分使分行网络 结构更加合理,各部分的功能一目了然,便于管理和安全规则的设置。为了保证网络的安全,在各 区域间架设防火墙,对网络的访问进行过滤和限制。第2章网络总体规划2.1网络现状原组网图如下:12个支行路由器14个自助银行路由器& i Z g G sJN-GX-2621JN-SB-2621 JN-YYB-2621 JN-CD-2621JN-HPL-2621 JN-FHJG-2621JN-WDZZ -1841JN-DGZZ-184E JN-JDZZ -1720 JN-QCLZZ -1841JDDN联通广电广电
5、联通N-XL-PE-C2JN-PE-C1龙马C龙马AJN-YL-GD-C1outsideCSS-DMZ -ACSS-DMZ -BDM区JN-RH-WT- C1JN-RH-LT-C2JN-WL -PE-C1JN-DX-2621到外联单位(证券公司、人行、电信代收费等):-2500JN-DGDJZZ-1841JN-SN-2621 JN-HY-2621JN-JFL-2621JN-WEL-2621 JN-JSL-2621JN-ZQ-2811JN-GXQZZ-1841 JN-DLZKZZ-2500 JN- cDh12Ms12个支行终端交换机JN-GX-2960JN-JFL-2960jJN-WE-2960
6、JN-HY-2960qJN-JSL-2960JN-SN-2960JN-HPL-2960JN-SB-2960JN-JG-2960JN-CD-2960KEZX-OA-2950 JN-ZQ-2960%_- .10M 光纤 JN-ZD-35602M2MJN-XL-PE-C13560A(冷备)CSS-IN-AJN-TOFHJG-2621 JN-LC-2621 JN-YT-261PixUpCSS-OUT-AN-FH-CE-N-FH-CE-C2CSS-IN-BPixDownCSS-OUT-B龙马D上联总行JN-PE-C2JN-YL-WT-C2龙马B外联银联in sideaF JN-HL-C2924BJN-H
7、L-C2924A华夏银行济南分行网络逻辑拓扑图目前某银行某分行(以下简称分行)网络系统分为内网、外网、DM区三部分,各区之间通过防火墙进行了有效隔离。内网由核心、汇聚、接入三层结构组成,严格按照网络的三层结构设计建 设,是分行内部网络业务系统;外网是第三方接入网络;DM区是部分公用系统和无线网络接入区。分行网络经过总行大集中网络改造后,已实现了核心冗余,汇聚冗余、接入冗余,实现了设备和线 路的冗余。内网核心网络设备采用两台思科 6509高端设备,处理速度快,稳定性高。两台设备互为备份, 实现核心冗余;汇聚设备由两台思科75系列设备构成,并互为备份,一台设备出现故障,另一台可立即接管;接入层为思
8、科 2621X備由器,通过网通和广电两条 2M SDH接入核心网络,两条线路一主 一备,保证业务连续性。在内部网络的基础上分行又建设了终端网,各支行终端可通过10M光纤接入核心终端服务器,从而访问分行生产网络,大大提高了网络访问速度。外联网是第三方接入分行网络区域,第三方用户通过一台思科75系列路由器和两台思科28系列路由器接入分行生产网络。另外,为保证接入银联网络的稳定性,分行把银联业务网络单独隔离, 与核心网络直接联接,并通过防火墙进行了有效隔离。DMZ区是部分公用系统区和联通无线网络接入区,分行利用联通网络建设了无线vpn网络,通过无线vpn网络分行单点ATM和移动办公终端可在联通无线信
9、号覆盖的任何区域接入分行网络。为保证 网络安全,通过防火墙与联通网络进行了隔离,单点ATM和移动办公终端在数据传输时均采取了严格的加密措施。内部网络三个区域之间通过防火墙(pix520 )进行隔离,并设置了相应的访问策略,同时利用思科的内容交换机(cisco11051 )和防火墙相结合,实现了防火墙的负载均衡和冗余备份。分行网络通过cisco7606和华为NE1(接入总行网络,两台设备互为备份,通过防火墙与总行网 络隔离。在网络监控和预防非法入侵方面,分行采用联想N820入侵检测设备,实时监测网络运行状况。目前的网络存在以下问题:1、设备的老化,故障频发:分行网络从建设运行至今已有八年,大部分
10、设备已出现不同程度的老化现象,网络设备运行故障升高,断电后再启动、死机,重启后无法启动等现象频繁发生。6台内容交换机和1台PIX防火墙都出现过硬件故障;两台汇聚路由器cisco7567和cisco7507引擎故障,自动重启;各支行网络由路由器 cisco2621陆续出 现了故障。设备的老化已经严重影响了网络的正常运行。2、系统陈旧,功能匮乏:现有两台核心交换设备cisco6509操作系统为CATOS而现在CATOSB淘汰,目前市场流行的路由和交换设备都使用IOS,因此导致不能兼容多数新型的网络设备和各种新的功能特性,致使许多安全措施无法应用,影响核心网络的安全性。3、架构落后,安全风险大:随着
11、业务系统的扩展,现有网络虽采用了分层的设计思想,但没有对各功能区域进行划分,各业务系统及功能区域之间没有指定清洗的安全等级, 不利于安全策略的制定。2.2新建网络设计新网络拓扑如下:外联接入区总行接入区总行网络总行接入路由汇聚交换机S5500-52C-EI业务服务器区同城支行 自助银行异地支行MSR30-20MSR20-40- /X !联通、广电胡电信汇聚路由器SR6608东营路由器MSR3020CDM接 入VPf主机天融信TG-4524 -绿盟IPS 508P-02外联路由器CISCO3845S3600-28P-EIDM区汇聚交换机S5500-28C-EI绿盟IPS 508P-02核心交换机
12、S7506E内置防火墙模块汇聚交换机S5500-52C-EI汇聚交换机S5500-52C-EI冷备才交换机5500-52C-EI汇聚交换机S7503E城域网办公服务器区开发测试区同:支行1000Mbps 单模 1000Mbps 多模1000Mbps双绞线 100Mbps双绞线 155Mbps SDH 2Mbps SDH 10Mbps MSTP接入交换机S5500-52C-EI管理控制区广域接入区S3600-52P-EI终端接入区接入交换机S3600-52P-EI分行用户接入区华夏银行济南分行网络拓扑新建网络有如下优点:1. 结构整齐,层次清晰,便于管理。2. 采用动态路由协议,维护简单,扩展性
13、好;第3章设备部署3.1设备命名规则为便于进行网络故障诊断和远程监测,参照总行网络设备命名规范分行将统一全辖网络设备的命名。网络系统中设备的命名使用五个字段组成,分别表示该设备所在区域,功能,层次,类型等, 便于设备维护管理。设备名称的字母全部采用大写表示。主要网络设备的ID命名规则如下:A_B_C_D_EA:分行名称(如上海分行、等)B:区域名称(如核心区、服务器区、办公区、管理区、等,也可表示支行名称)C:区域层次(如汇聚层或接入层)D:设备类型(如核心交换机、路由器、防火墙、入侵检测、等)E:设备序列号(如第一台、第二台、等)序号名称描述D:设备类型名称描述根据上述描述,每个字段做如下进
14、一步的明确:A:分行名称分行名称标识北京BJ上海SHB:区域名称序号名称描述1CORE核心区(Core Zone)2ADMIN管理区(Admin Zone)3APPSVR业务服务器区(App_Server Zone)4OASVR办公服务器区(OA_Server Zone)5HQCONN上联区(HQ_Conn Zone)6BRANCONN下联区(Bran_Conn Zone)7APPUSR业务用户接入区(App_User Zone)8OAUSR办公用户接入区(OA_User Zone)9EXTCONN外联区(Ext_Conn Zone)10DMZDM区11DT开发测试区(Developing Testing Zone)12TA终端接入区(Terminal Access Zone)C:区域层次序号名称区域1DL汇聚层(Distribution Layer)2AL接入区(Access Layer )1SW交换机2RT路由器3FW防火墙4IDS入侵检测系统E:设备序列号序号名称描述11同区同层第1
