XX银行全国数据集中工程网络网络数据中心设计方案

《XX银行全国数据集中工程网络网络数据中心设计方案》由会员分享，可在线阅读，更多相关《XX银行全国数据集中工程网络网络数据中心设计方案（89页珍藏版）》请在装配图网上搜索。

1、 2、系统设计总体方案XX银行全国数据集中工程目 录第1章 前言5第2章 概述6第3章 网络设计原则7第4章 总体架构设计8 结构设计8 结构设计策略8 分区模块设计8 分层设计9 物理部署设计10 上海全国数据中心局域网拓朴104.3 网络核心层11 生产区12 运行管理区13 MIS区14 广域接入区15 OA接入控制区154.9 生产外联16 设备选型推荐17 S8500简介19 AR28-80简介24第5章 服务器接入设计28第6章 VLAN和SPANNING TREE设计29 VLAN简述29 VLAN注册协议（GVRP）29 VLAN设计31 STP设计31 VRRP33第7章 I

2、P地址设计34第8章 路由选择和设计35 路由协议选择35 路由边界35 路由协议设计（OSPF）36 OSPF Area设计36 OSPF Process ID37 OSPF Router ID38 OSPF链路Metric38 OSPF MD5认证38 选路规划38 静态路由39第9章 QOS设计39 QoS服务模型40 Best-Effort service40 Integrated service40 Differentiated service41 服务模型选择41 QoS实现技术42 报文分类42 拥塞管理42 拥塞避免43 流量监管和整形44 农行数据中心QoS设计44第10章

3、可靠性设计46 可靠性概述46 设备级可靠性设计48 引擎（含主控及交换网）48 电源50 模块和端口51 系统软件54 链路级可靠性设计55 网络级可靠性设计56 拓扑冗余56 网关冗余59 路由冗余60 应用级可靠性设计61第11章 网络安全61 安全设计概述61 安全管理中心设计62 安全认证中心设计65 模块化的安全构架设计67 核心交换区69 生产区69 OA接入控制区70 运维管理区73 MIS服务区74 生产外联区75 统一的安全联动设计76 其他安全防护考虑78 网络病毒控制79第12章 网络管理81第13章 数据中心切换89第1章 前言上海数据中心工程是XX银行数据大集中项目

4、的重要组成部分，将作为全国生产中心投入运行。生产数据中心的建成将为提高XX银行的经营管理决策水平和风险控制能力打下坚实的基础，并支持提升中国XX银行整体的服务水平和信息化服务质量。华为3Com公司深刻认识到数据中心建设对于大集中项目以及中国XX银行发展的重要性，针对数据中心承载多种业务应用的特点，按照高可靠、高安全和先进性的原则对网络整体结构和各个功能分区进行了详细的网络方案设计。为用户提供最完善的服务是华为3Com技术的一贯宗旨，有关本方案的一切问题，欢迎用户在随时垂询。第2章 概述针对上海数据生产中心稳定、可靠、高效运行的要求，本方案以高可靠性，高安全性和先进性为原则进行了重点设计。整体结

5、构上，根据上海数据中心承载多种业务功能的特点，依据统一性，开放性，易扩展和可管理的特性要求，通过模块化层次化的构筑方法，以高可靠、高速率的交换结构为中心，连接生产区，外联区，接入区和MIS区等功能分区，并针对各个功能不同的业务应用需求和安全要求进行了针对性设计。在本项目设备建议中，我们推荐了先进的Quidway S8500系列万兆核心路由交换机作为平台构架的主要设备，通过高效的万兆交换技术实现骨干网络的高性能互联，同时，其安全联动、全面的业务支持以及电信级的高可靠特性，更保障本网络具备了有强大的业务支撑和性能扩展能力，可以满足上海数据中心未来35年的发展需要。第3章 网络设计原则高可用性网络架

6、构和设备均支持业务系统对服务级别高可靠性的要求，在网络分层部署的架构和设备体系选择以及相关配置上均充分按照高可用的系统设计。高安全性按照立体的安全体系进行设计，分布式部署，使网络具有统一的安全，支持全网的安全联动。先进性网络设备支持先进的高性能体系架构，支持高带宽的数据传输。统一性数据中心局域网是基于大集中“一个整体”基础上考虑。全网采用统一的架构、策略部署，QoS分类和设备形态，保证全网的可维护性。开放性本方案网络建设全面遵循业界标准，所推荐采用的设备、技术在互通性和互操作性上，可以支持本网络系统的快速布署。第4章 总体架构设计4.1 结构设计4.1.1 结构设计策略按照数据中心的结构，本方

7、案采用以下策略设计1、 高可靠的设计思想融合在结构设计、路由设计、应用服务设计的各个层面；2、 针对业务网络应用需求实施全模块化分区设计；3、 依照工作重点和结构分工的整网三层体系结构；4.1.2 分区模块设计网络按照业务应用需求，划分以下主要功能区：l 生产区l MIS区l 生产外联区l 广域接入区l 运行管理区l OA接入控制区各个区以扩展模块的形式分别连接到数据中心高可靠的核心交换网络。4.1.3 分层设计按照网络核心，汇聚和接入的模型对数据中心以及之内的每一个功能区域按照层次化结构模型进行划分：核心层构成整个数据中心生产局域网的高速交换核心，为各个功能分区提供高可靠高稳定和支持快速愈合

8、的第三层接入服务。在核心层设计以高可靠，高速交换为主要原则；汇聚层各个功能分区的交换核心是组成整个生产中心局域网的汇聚层。汇聚层提供各个分区内部接入层的汇聚，作为各个分区的对外接入，集中实现接入控制和安全控制；接入层在各个分区主机和服务器的接入，具有高密度的接入能力。支持基于主机端口的访问控制，并针对接入的数据流进行标记工作，便于传输过程中逐级实现针对流量的QoS控制策略。4.1.4 物理部署设计上海数据中心的核心网络主要分布在上海园区的E2楼的各层，因此网络将按照就近接入的原则将各个功能区网络设备与应用主机就近放置分布在各个楼层。网络的交换核心、广域接入区等没有主机接入的功能区域放置于网络机

9、房。4.2 上海全国数据中心局域网拓朴在数据中心的实际部署中，针对数据中心模型进一步细分各个功能分区。生产区涉及到的应用系统较多包括核心业务以及各种总行级的业务系统。核心业务系统放置于IBM S/390上，通过在S/390上划分多个分区来实现核心业务相关的不同功能。考虑到核心业务系统属于银行全部业务核心，属于数据中心的重中之重，同时S/390的操作方式与其他开放平台不一致，因此物理上将生产区设置为核心业务生产区和开放平台生产区2个分区接入到核心层。测试区根据测试需要尽量与生产网络实现完全分离，根据实际需求确定是否需接入到核心层。生产外联区包括网上银行的Internet外联以及和合作伙伴的Ext

10、ranet外联两种方式，在网络结构上和安全部署上有很大不同，因此在实际部署中分别设置2个接入区域连接到核心交换区。广域接入区设置一个单独的物理分区，提供各个一级分行的流量接入和汇聚。灾备接入区设置一个单独的物理分区，部署与北京灾备中心的连接和灾备策略的部署。MIS服务区设置一个单独的物理分区，提供MIS业务应用的服务。运行管理区设置一个单独的物理分区，提供数据中心和全网的管理和监控。4.3 网络核心层网络核心层由4台万兆交换机构成，通过万兆实现各个功能分区的接入，同时4台交换机之间采用双万兆捆绑的方式实现高速互联。为了保证通过核心网络的流量和路径可控，并提高故障切换的效率，对各个功能分区实现三

11、层接入的方式。为了保证各个功能分区的高可靠性，与各个功能分区的汇聚交换机采用双星型的结构连接。4.4 生产区生产区将接入数据中心核心生产系统和部分生产系统前置 ；生产区核心业务平台：由2台汇聚层交换机和2台接入层交换机构成，接入层交接机连接S/390主机系统平台。生产区开放平台：由2台汇聚层交换机和4台接入层交换机构成，接入层交接机连接开放平台。连接方式：四台接入层交换设备通过四条千兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。4.5 运行管理区运行管理区是生产中心主要的人员操作区，主要以各种管理配置平台为主

12、。运行管理区：由2台汇聚层交换机和2台接入层交换机构成，接入层交接机连接各类业务、网络、配置管理系统；连接方式：两台接入层交换设备通过双千兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。4.6 MIS区MIS区将接入数据中心MIS处理主机系统，主要以开放平台为主。MIS系统平台：由2台汇聚层交换机和4台接入层交换机（两层结构、分为外联接入交换机与内联接入交换机）构成，接入层交接机连接各MIS系统平台；连接方式：两台接入层交换设备通过双万兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，

13、各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。4.7 广域接入区广域接入提供各个下联一级分行的接入，同时支持在接入边界部署安全控制策略。广域接入平台：由2台汇聚层交换机构成，直接接入路由设备。连接方式：汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。在汇聚交换机侧支持部署防火墙和入侵检测设备，采用访问控制和安全联动相结合的方式对接入流量进行安全防护。（关于安全联动的详细介绍请参阅第十一章：网络安全相关内容）4.8 OA接入控制区OA接入控制区是生产区和OA用户及OA服务器所在功能区的隔离区，OA用户通过此区访问生产的相关资源

14、。OA接入控制区：由2台汇聚层交换机构成。在汇聚交换机对外互连处部署防火墙和入侵检测设备，采用访问控制和安全联动相结合的方式对流量进行安全防护。连接方式：汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。4.9 生产外联生产外联区主要分为两大部分：网银Internet接入区域、合作伙伴接入区域，两大区域建立统一的汇聚层交换机，按照两大区域对安全级别的要求的不同，分别设置多层DMZ区域。在合作伙伴接入区域提供和各个金融服务机构，金融监管机构和金融市场的接入，会部署大量的外联前置系统，采用防火墙实现隔离，在DMZ区部署外联前置服务器。合作伙

15、伴接入区域接入平台：由2台DMZ区接入交换机构成。在外联网接入和DMZ与汇聚层连接处部署高可用防火墙，并部署IDS设备实现安全联动。连接方式：汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。网银互联网接入部分主要面向互联网的客户提供服务以及部分数据交换，网上银行作为主要特色应用会部署在此区域。此区域会有大量的互联网服务器如Web应用，DNS服务器等，同时还有大量的客户服务和应用处理服务器。考虑到Internet接入需要更高的安全因此将服务器分别部署在DMZ区和扩展DMZ区，并采用三层防火墙进行隔离，同时部署相应的IDS设备。网银互联网

16、接入平台：由2台汇聚层交换机和4台DMZ接入交换机构成。并配置6台防火墙实现各个区之间的安全隔离。4.10 设备选型推荐针对数据中心建设的统一性原则，针对数据中心尽量采用相同的设备进行配置，从而保证数据中心整体的易维护和易扩展。针对数据中心大量服务器采用千兆接入，要求高效传输的特点，在骨干层和汇聚层间，以及部分汇聚和接入层间采用万兆连接，减少千兆捆绑带来的复杂配置，同时支持业务未来35年的快速增长。对于生产外联区，考虑到需要有大量的防火墙隔离，受制于外联广域网的限制，接入层和汇聚层之间采用千兆连接。针对上述分析数据中心在设备级的要求如下：l 电信级可靠性网络设备99.999%，支持热切换，热补

17、丁l 采用万兆技术，支持高密度万兆连接l 支持安全联动l 有效抵御网络资源消耗型病毒攻击（例如DOS/REDCODE等）l 全分布式线速处理l 支持多业务的深度感知l 支持MPLS VPN和IP V6功能扩展l 支持外置冗余电源l 大容量冗余交换背板结构l 单机具有高扩展能力针对上述分析本项目的设备选型推荐列表如下：数据中心核心交换机Quidway S8512数据中心汇聚层交换机Quidway S8512运维管理区接入交换机Quidway S8512其他功能区的接入交换机Quidway S8512中端路由器Quidway AR28-80网元管理系统Quidview DMG，CAMS(AAA)，

18、SUN/NT服务器设备数量配置如下：名称设备配置情况1、核心交换区核心层：4台S85122、主机生产区汇聚：2台S8512，接入：2台S85123、开放生产区汇聚：2台S8512，接入：4台S85124、MIS服务区汇聚：2台S8512，接入：2台S85125、运维管理区汇聚：2台S8512，接入：10台S85126、外联区(仅合作伙伴接入区)汇聚：2台S8512，接入：2台S85127、广域网接入区汇聚：2台S8512，接入：4台S85128、OA接入控制区汇聚：2台S85129、网元管理Quidview DMG，CAMS(AAA)，SUN/NT服务器10、基金国债业务接入路由器两台AR46

19、-804.10.1 S8500简介Quidway S8500系列万兆核心路由交换机 Quidway S8500系列万兆核心交换机是由华为3Com公司自主开发的新一代高性能万兆核心路由交换机产品，可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、汇聚层。Quidway S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway S8500系列支持新一代高性能万兆接口，能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Q

20、uidway S8500提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLS VPN、组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。产品特点1) 先进的体系结构Quidway S8500系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不单独占用设备槽位，可提供高达720Gbps的交换容量，并

21、可平滑升级到bps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网，从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。Quidway S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。2) 大容量、高密度线速交换Quidway S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力，并可平滑升级到bps交换容量、857Mpps

22、转发能力。支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速转发，满足核心层设备大容量、高密度的要求。3) 强大的业务支撑能力Quidway S8500支持MPLS VPN业务；支持丰富的组播协议（IGMP、IGMP SNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持），内置防火墙（硬件支持）、IDS；支持POS/ATM、RPR等接口。4) 新一代万兆接口支持Quidway S8500系列产品提供的新一代万兆以太网克服了早期万兆以太网的诸多局限，在线速转发的基础上能够提供强大的QoS保障，并支持丰富

23、的ACL、策略路由、安全等特性。Quidway S8500的新一代万兆以太网不仅在接口密度上达到2端口/线卡（后续可扩展至4端口/线卡），并且可以支持线速的MPLS转发，可以提供更好的IP VPN业务和透明的LAN服务，真正实现性能与功能的完美统一。Quidway S8500系列产品除了提供标准的LAN接口，还可以提供使用波分复用技术的10GBASE-LX4接口，从而大大提高了用户组网的灵活性。5) MPLS/IPv6分布式线速支持Quidway S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升，另一方面业务的发展要求核心交换机更加

24、智能化并具备更强的业务提供能力。Quidway S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。6) 完善的QoS机制Quidway S8500系列产品提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式；支持8个优先级队列，3个丢弃优先级；支持WRED拥塞避免算法和端口流量整形。支持带宽控制功能，流量限速的粒度为8Kbit/s，满足精品宽带网络的要求。7) 电信级可靠性设计：Quidwa

25、y S8500系列产品系统采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统交流/直流可选，采用1+1冗余热备份，并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求，系统可靠性达到：99.999。8) 完善的安全机制：Quidway S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全，支持OSPF 、RIP v2 及BGP v4 报文的明文及MD5密文认证；支持URPF（单播反向路径检查）；采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配置安全，对登录用户进行认

26、证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和RADIUS认证。Quidway S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。Quidway S8500系列产品还支持标准Radius协议，同时提供Radius+功能，以及HCBM（华为可控组播管理协议）功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设备安全组网提供了多样化的选择，简化了网络层次，提高了整网性能。产品规格属 性S8505S8508S8512体系结构一体化机箱

27、，可安装于19英寸机架内外形尺寸（MM）宽深高436 x 450 x 486436 x 450 x 619436 x 450 x 753满配置重量（Kg）6580100交换容量XRCoreEngine I 300GXRCoreEngine II 600GXRCoreEngine I 480GXRCoreEngine II 960GXRCoreEngine I 720G 背板容量750Gbps（可扩展至1.5T）1.2Tbps（可扩展至2.4T）（可扩展至3.6T）包转发率XRCoreEngine I 178MppsXRCoreEngineII 357MppsXRCoreEngine I 285

28、MppsXRCoreEngineII 571MppsXRCoreEngine I 428MppsXRCoreEngineII 857Mpps槽位数量71014业务单板槽位数量5812二层功能4K VLAN生成树协议：STP/RSTP/MSTP支持动态VLAN注册协议（GVRP）支持端口捆绑支持端口镜像支持广播风暴抑制支持Jumbo帧MDI/MDI-X自适应三层功能ARP Proxy（SuperVLAN）提供丰富的路由协议：RIP、OSPF、IS-IS、BGP4支持256K 最长匹配路由转发表支持路由负载分担支持分布式策略路由支持URPF（单播反向路径检查）支持VRRP支持DHCP-RELAY组

29、播二层组播协议：GMRP、IGMP Snooping三层组播协议：IGMP、PIM-DM、PIM-SM、MSDP/MBGP支持可控组播业务NAT支持NAT中NAPT模式支持公有地址和私有地址的混合组网NAT转换支持ICMP、FTP的等ALG安全功能，防止DOS攻击对NAT模块资源的过度使用支持NAT板间的负荷分担和备份功能WebSwitch具有L3/L4层的线速交换基于L4层的PBR及其他功能：如服务器负载均衡、防火墙负载均衡、Web Cache高速缓存重定向等功能MPLS VPN支持二层MPLS VPN支持三层MPLS VPN支持QinQ支持PE和P功能MPLS标签空间：128KMPLS标签

30、栈深度：4级QoS可基于物理端口、VLAN、源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP端口、协议号等进行报文分类和过滤支持带宽控制，带宽控制粒度为1Kbit/s优先级队列调度：每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法支持WRED拥塞避免算法支持流量整形支持802.1P，DSCP/TOS优先级和重新标记能力支持基于时间段的流分类和QoS控制能力网络安全特性支持IP+MAC+PORT任意组合的绑定支持非法帧报文过滤用户分级管理和口令保护支持端口隔离支持SSH支持SNMPv3网管可靠性MTBF: 128,400小时双主控支持双路电源供

31、电支持热插拔环境要求温度范围：040相对湿度：10%90%（非凝结）电源要求DC：输入电压：48V60VAC：输入电压：100V240V最大输出功率：1200W（S8505）、2000W（S8508/S8512）4.10.2 AR28-80简介Quidway AR 28-40、AR 28-80模块化中心路由器是华为3Com公司Quidway AR系列路由器中面向企业用户的网络产品，采用32位的微处理器技术，使用VRP（通用路由平台），提供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功能，支持SNA/DLSw、VoIP特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，具有

32、更高的处理能力和更大的接入密度，具备MPLS VPN功能、DVPN功能、可平滑升级支持IPv6符合未来IP技术的发展潮流。Quidway AR 28-40、AR 28-80既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担当汇聚层路由器。Quidway AR 28-40路由器外观图Quidway AR 28-80路由器外观图产品功能特性：u VRP操作平台：华为3Com在成熟的VRP软件平台的基础上，结合AR28系列的硬件体系结构和软件业务要求，度身定做的的AR28系列的软件体系，完全继承了VRP平台的稳定性、成熟性和可靠性，所提供的软件业务均为VRP平台的成熟特性，同时可以随着VR

33、P平台的不断发展同步提供新的特性。u VPN解决方案：支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN、MPLS L3VPN， MPLS L2VPN、华为动态VPN等多种VPN业务。u 网络安全：登录用户认证、RADIUS/HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持（对接口/时间段/MAC地址的过滤）、CA认证（数字证书）、高性能NAT。u 互连协议：以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoE Client、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二

34、层隧道、GRE建立三层隧道、IPSEC建立三层隧道、xDSL宽带接入。u 网络协议：DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。u 应用层协议及业务特性：Telnet、SSH、Rlogin、dumb terminal、增强安全特性的终端接入服务器、金融POS接入服务，RTC、LPD、FTP、Ping及NTP应用层协议或业务特性。u QOS：流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。u 网络可靠性：接口/子接口间的物理层备份，虚链路/

35、虚模板/拨号接口/逻辑接口间的链路层备份，动态路由实现网络层备份、VRRP实现设备层备份。u 系统可靠性：支持dual image，能对image文件进行合法性判别，支持启动成功性自探测，支持装载image文件引导系统，支持从主image文件启动，支持从备份image文件启动。u 语音特性：静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP 、语音RADIUS、GK Client、IPHC、语音QoS。u IPV6：从目前的硬件体系结构和软件平台的基础上能够平滑升级到IPV6的软件版本, 全面支持IPv4和IPv6双协议

36、栈，提供丰富的IPV6协议，支持多种IPv4向IPv6的过渡技术：手工配置隧道、自动配置隧道、6to4隧道、GRE隧道、实现NAT-PT等；支持IPv6静态路由，支持BGP4/BGP4+、RIPng、OSPF3、ISISv6等动态路由协议；支持ICMPv6 MIB、UDP6 MIB、TCP6 MIB、IPv6 MIB等。u 配置管理：中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3、系统日志、可通过FTP或TFTP进行系统升级、可通过Console/AUX/X.25 PAD/Telnet/反向Telnet等方式进行配置。通

37、过Quidview网管软件，能够对路由器进行远程配置，并且能够对主机程序通过Quidview进行在线升级。产品规格项目AR 28-40 描 述AR 28-80 描述插槽48 功能模块LAN接口模块1FE/2FE（10/100Base-TX快速以太网接口模块）1SFX（100Base-FX以太网单模光接口模块）1MFX（100Base-FX以太网多模光接口模块）1GBE（1000Base-T千兆以太网模块）1GEF（1000Base-SFP千兆以太网光模块）WAN接口模块2/4SA（高速同异步串口模块）8/16AS（异步串口模块）2/4/8SAE（增强型同异步串口模块）1/2/4E1（通道化cE

38、1/PRI模块）1/2/4E1-F（非通道化E1模块）1/2/4T1（通道化的cT1/PRI模块）1/2/4T1-F（非通道化T1模块）1CE3（通道化E3模块）1CT3（通道化T3模块）6/12AM（模拟调制解调器模块）4BS（ISDN BRI S/T接口模块）155M 1ATM（ASM/AMM/ASL，155M 单模/多模/单模长距离光接口模块）ATM E3/T3（ATM E3/T3传输模块）1/2ADSL（ADSL over POTS通信模块）1/2ADSL-I（ADSL over ISDN通信模块）POS（155M 非通道化POS传输模块）CPOS（155M 通道化POS传输模块）4/

39、8端口E1 ATM IMA(高密度ATM E1 IMA E1 制式传输模块)4/8端口T1 ATM IMA(高密度ATM E1 IMA T1 制式传输模块)语音模块2FXS/4FXS（FXS接口语音模块）2FXO/4FXO（FXO接口语音模块）2E&M/4E&M（E&M接口语音模块）E1VI（E1语音模块）T1VI（T1语音模块）POS接入模块2/4/6FCM（快速连接MODEM模块）其他模块NDEC（网络数据加密模块）处理器MPC8245 300MHzMPC8245 300MHz转发性能110-120KPPS110-120KPPS/130-150KPPSNVRAM128KBFLASH32MB

40、SDRAM缺省：128MB，最大：256MB外型尺寸（mm）宽深高440 400 43440 400 86重量8kg14kg输入电压AC额定电压范围：100-240V；50/60Hz 最大电压范围：90-264V； 50/60HzDC额定电压范围：-48- -60V最大电压范围：-36- -72V最大功率67W114W工作环境温度0 40环境湿度5 90% 不结露第5章 服务器接入设计数据中心的服务器对可靠性要求较高，会有多种高可靠的接入方式，根据对主机接入的分类，主要分为三类：多主机群集，双机HA应用，单机多网卡。这三种方式均涉及到多网卡与交换机连接。因此针对群集和HA应用还有多VLAN的方

41、式和同一VLAN的方式。针对多主机多VLAN的方式这类主机部署的应用属于重要应用，以核心业务应用为主。为保证可靠性至少选择在2台接入交换机上均做相同的VLAN和端口配置，实现端口1+1冗余，即保证单一接入设备可以承载全部主机连接，在工作时并将多主机同一业务对应端口接入相同VLAN中（根据切换方式不同可选择同一交换机或不同交换机）。针对多主机共享VLAN的方式，为保证可靠性至少选择在2台接入交换机上均做相同的VLAN和端口配置，实现端口1+1冗余，即保证单一接入设备可以承载全部主机连接，在工作时并将多主机对应业务端口分布到2台交换机。针对HA主机多VLAN的方式这类应用也属于重要应用，以各类基于

42、开放平台的业务为主。为保证可靠性选择在2台接入交换机上做相同的VLAN和端口配置，实现端口1+1冗余，即保证单一接入设备可以承载全部主机连接，在工作时将双机对应端口部接入到不同交换机的对应VLAN中。针对HA主机单VLAN的方式这类应用也属于重要应用，以各类基于开放平台的业务为主。为保证可靠性选择在2台接入交换机上做相同的VLAN和端口配置，实现端口1+1冗余，即保证单一接入设备可以承载全部主机连接，在工作时将双机对应端口部接入到不同交换机的同一VLAN端口中。针对单机多VLAN方式单机应用一般数据次关键应用，以部分业务的前置服务器为主。针对单机多网卡多VLAN方式，也考虑将多VLAN在2台接

43、入交换机上部署，实现VLAN端口1+1冗余。工作时将主机不同端口分别连接到不同交换机的对应VLAN端口。针对单机单VLAN方式这种方式是实现单机的网卡和链路备份，以部分业务的前置服务器为主。此种方式本身即是端口和链路备份，在2个交换机上均部署相同VLAN和对应端口，将这单机的2个端口分别连接到2个交换机的对应端口。第6章 VLAN和Spanning Tree设计6.1 VLAN简述VLAN（Virtual Local Area Network虚拟局域网）逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域，也就是虚

44、拟局域网VLAN。VLAN在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。IEEE802.1Q是虚拟局域网的正式标准，定义了同一个物理链路上承载多个子网的数据流的方法。IEEE802.1Q定义了VLAN帧格式，为识别帧属于哪个VLAN提供了一个标准的方法。这个格式是统一标识VLAN的方法，有利于保证不同厂家设备配置的VLAN可以互通。6.2 VLAN注册协议（GVRP）GVRP（GARP VLAN Registration Protocol）是VLAN注册协议。GVRP基于GARP的工作机制，是GARP的一种应用，维护交换机中的VLAN动态注册信息并传播该信息到其它的交换

45、机中。所有支持GVRP特性的交换机能够接收来自其它交换机的VLAN注册信息，并动态更新本地的VLAN注册信息，包括当前的VLAN成员，这些VLAN成员可以通过哪个端口到达等。而且所有支持GVRP特性的交换机能够将本地VLAN注册信息向其它交换机传播，以便使同一交换网内所有支持GVRP特性的设备的VLAN信息达成一致。GVRP传播的VLAN注册信息包括本地手工配置的静态注册信息和来自其它交换机的动态注册信息。对GVRP特性的支持使得不同交换机上的VLAN信息可以由协议动态维护和更新，只需要对少数交换机进行VLAN配置，就可以应用到整个交换网络，无需耗费大量时间进行拓扑分析和配置管理，协议会自动根

46、据网络中VLAN的配置情况，动态地传播VLAN信息并配置在相应的端口上。根据VLAN注册信息，交换机了解到干道链路对端有哪些VLAN，自动配置干道链路，只允许对端交换机需要的VLAN在干道链路上传输。GVRP注册类型功能Normal允许在该端口手工或动态创建、注册和注销VLAN；Fixed允许手工创建和注册VLAN，并且防止VLAN的注销和在其它Trunk端口注册此端口所知的动态VLAN。这种情况下，GVRP就不会自动配置Trunk端口允许哪些VLAN报文可以通过；Forbidden将注销VLAN1以外的所有VLAN，并且禁止在该端口上创建和注销任何其它VLAN；注：VLAN1的注册类型必须是

47、Fixed，且不可以更改。为了减少交换机之间的相互影响，中国XX银行上海数据中心的GVRP类型设计为Fixed。根据前文所述，农行上海数据中心网络分为多个功能分区，每个网络功能分区的接入层交换机将定义为Layer2交换机，Layer2和Layer3的边界位于每个网络功能分区的汇聚层交换机上。 接入层交换机通过VLAN连接接入设备； 接入层和汇聚层交换机之间通过Trunk连接； 汇聚层交换机之间通过Trunk连接。如下图：6.3 VLAN设计根据华为三康公司的经验，建议上海数据中心生产相关VLAN依据以下规则进行定义：对VLAN ID进行连续分配；分配的VLAN ID与数据中心不同的功能分区进行

48、对应；办公相关VLAN的VLAN ID可以复用生产相关VLAN的VLAN ID；数据中心网络设备互连VLAN (不包括生产外联区内部设备互连VLAN) 单独分区；为了灵活的使用VLAN ID资源，相邻VLAN区的VLAN ID分配方式取反；例如，前一个VLAN分区分配方式为从低到高分配，后一个VLAN区就使用从高到低分配，反之亦然。6.4 STP设计STP（生成树协议）通过协商一条到根网桥的无环路径来避免和消除网络中环路，从而解决透明桥接冗余网络中的环路问题。STA（生成树算法）在网络中选择Root Bridge（根网桥）为参考点，通过发送BPDU（桥接协议数据单元）寻找冗余链路。生成树协议可

49、以自动阻断或释放二层链路，确保到每个目的地都只有单一路径。尽管生成树协议可以在二层网络中防止桥接环路问题，但在实际环境中，也会引起一些其它问题。对于使用大型生成树会造成扩展性及稳定性的问题，可以通过划分VLAN和控制交换域范围等方式，提高STP的收敛速度，达到更快的恢复能力和更高的可靠性。建立根网桥生成树网络中最重要的设计之一是根网桥的放置。根网桥的恰当放置不但可以优化生成树协议所选择的路径，还可以为数据提供明确的路径，明确的路径使排错和配置网络变得更为容易。上海数据中心通过在汇聚层交换机上手工配置根网桥的主、备策略，确保生成树在二层链路形成最佳的树型拓扑。根网桥设置还可以通过调节路径开销、端

50、口优先级、端口ID等方式实现。根据经验，推荐将汇聚层交换机设置成根网桥，图示如下：6.5 VRRPVRRP（Virtual Router Redundancy Protocol）是一种容错协议，其目的是利用备份机制来提高路由器与外界连接的可靠性。VRRP确保当主机的下一跳三层设备坏掉时可以及时的由另一台三层设备来代替，从而保持通讯的连续性和可靠性。VRRP中只定义了一种报文VRRP报文，这是一种多播报文，由主设备定时发出来通告它的存在，使用这些报文可以检测虚拟设备各种参数，还可以用于主设备的选举。VRRP中定义了三种状态模型初始状态Initialize ，活动状态Master ，备份状态Bac

51、kup，其中只有活动状态可以发送报文，而且报文也只有一种。VRRP报文是封装在IP报文上的，支持各种上层协议。同时VRRP还支持将真实接口IP地址设置为虚拟IP地址的做法。1.汇聚层设备在连接普通接入时采用VRRP；2.VRRP优先级策略与STP的根网桥主备设置一致；下图是VRRP拓扑设置的示意图：第7章 IP地址设计IP地址的合理设计是数据中心网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址采用RFC1918规定的地址段（

52、不包括外联区域IP地址）。根据选择的IP地址段和数据中心的业务功能模块进行映射，建议如下： 网段分配功能分区类型IP地址范围生产区 (主机、开放平台)16个C类地址备用16个C类地址测试区 (主机、开放平台)16个C类地址备用16个C类地址运行管理区16个C类地址备用16个C类地址生产外联区扩展DMZ和DMZ区域外连区域16个C类地址另一个RFC1918网段地址使用公有地址备用16个C类地址MIS管理区16个C类地址备用16个C类地址上海中心网络设备互连(不包括生产外联区内部设备互连)16个C类地址备用剩余C类地址 设备和网关地址分配原则在单个子网地址范围内，为了减少干扰，网关通常使用最高位地

53、址，用户地址由低到高依次分配。设备地址子网位置分配顺序网关最高位/VRRP地址次高位由高到低/预留/预留普通接入设备最低位由低到高第8章 路由选择和设计8.1 路由协议选择以下是对两种适合大型网络路由协议的比较：OSPFIS-IS标准化国际标准（IETF）国际标准(ISO、IETF)协议种类链路状态链路状态协议算法SPFSPF适用性专为IP设计用于CLNS或CLNS+IP环境灵活性高高通用性高中扩展性中高建议上海数据中心内部将采用OSPF路由协议，生产外联区将采用静态路由协议。8.2 路由边界按照前文所述，网络核心和各功能分区的汇聚层交换机之间将构成数据中心的路由区域；而接入层交换机将定义为L

54、ayer2交换机，通过Trunk或VLAN连接汇聚层交换机；路由和交换的边界位于每个功能分区的汇聚层交换机。 核心层设备全部为路由区域； 接入层设备全部为交换区域； 对于普通接入，汇聚层设备作为路由域和交换域的边界； 前置机和主机单机参照普通接入模式； 对于Sysplex接入，汇聚层设备作为OSPF 0域和Stub域的边界，汇聚层设备跨越接入层设备与Sysplex建立OSPF stub连接。8.3 路由协议设计（OSPF）8.3.1 OSPF Area设计根据上海数据中心内部的网络设备数量和连接方式，为在可预见的时间内，单独一个OSPF Area可以满足需要。因此，对于上海数据中心，所有核心层

55、交换机和各功能分区的汇聚层交换机机都运行在OSPF Area0中。根据业务需要，农行将构造多个主机Sysplex环境：以上各主机Sysplex环境和所在功能分区的汇聚层交换机之间将运行OSPF路由协议，采用单独的OSPF Area。其中：1. OSPF普通接入设计如下： 汇聚层设备作为路由域和交换域的边界； 路由区域为OSPF Area 0； OSPF在汇聚层交换机连接核心交换机的链路上通过Vlan建立点-点邻居关系； OSPF在汇聚层交换机互连Trunk上通过Vlan建立点-点邻居关系； 汇聚层交换机连接服务器的端口配置为OSPF的Passive Interface，没有邻居关系。2. OS

56、PF STUB接入设计如下： 汇聚层设备作为OSPF Area 0和STUB的边界，是ABR； OSPF在汇聚层交换机和核心交换机的链路上通过Vlan建立点-点邻居关系； 汇聚层交换机互连Trunk的Vlan分别属于OSPF Area 0和STUB； OSPF在汇聚层交换机互连链路上通过Trunk建立点-点邻居关系； OSPF在汇聚层交换机连接Sysplex的链路上通过Vlan与Sysplex建立BMA邻居关系，汇聚层交换机分别定义为DR和BDR； OSPF的DR和BDR分别向STUB区域发送默认路由，为实现“单边路由”的设计，需手工设置Default Cost。8.3.2 OSPF Proc

57、ess IDOSPF Process ID对网络设备而言，只具有本地的意义，两个建立邻接关系的网络设备可以使用不同的OSPF Process ID。出于统一管理考虑，建议农行上海数据中心运行OSPF路由协议的网络设备使用相同的OSPF Process ID：10。8.3.3 OSPF Router IDOSPF需要使用唯一的Router ID标识每一台路由器，建议相关网络设备的Loopback地址作为其OSPF Router ID。8.3.4 OSPF链路Metric对OSPF协议，Interface的Metric为：108/Interface Bandwidth，其中108为缺省的“OSPF

58、 Auto-cost Reference Bandwidth”。对于农行上海数据中心，可能的网络链路的速度范围可从100Mbps到4Gbps（4 Ports GE Channel），对于OSPF的链路的Metric设置必须能够区分链路速度和吞吐能力。对农行上海数据中心OSPF链路 Metric规划如下： 链路类型 链路带宽(Mbps)Metric值10 GigabitEthernet10,000104 ports GE Channel4,000252 ports GE Channel2,00050GigabitEthernet1,000100VLAN Interface1,0001008.3.

59、5 OSPF MD5认证考虑安全的因素，建议农行上海数据中心运行OSPF路由协议的网络设备采用Message Digest (MD5) 认证，以保证OSPF Update的可靠性。8.3.6 选路规划上海数据中心网络使用OSPF路由协议，为了使OSPF计算的路由最优，根据网络链路的cost计算设置进行选路规划，目标是最优路径最优选择。考虑运行维护的简单性，配合STP的Root Primary定义和VRRP Primary定义，在网络设计上，将通过cost的调整，在汇聚层和核心层将数据流引导到冗余网络结构的一侧，而当设备或连接因故障中断时，OSPF会自动重新计算网络路径，并使用正常的连接保障数据

60、通讯。如下图：8.4 静态路由生产外联区的被多层防火墙隔离成不同安全级别的区域，其内部将采用静态路由协议，并通过汇聚层交换机重分发到OSPF路由协议中。第9章 QoS设计在传统的IP网络中，其主要业务如：WWW浏览、Email电子邮件、FTP文件传输等对网络拥塞和时延并不敏感，网络以尽力传送模型为主，网络对所有报文统一对待、但对报文传送的可靠性、传送延迟等性能不提供任何保证。XX银行上海数据中心是一个以IP为传输平台的网络，在这个网络上，将传输多种业务、多种应用，这些业务对可靠性、时延、时延抖动等服务质量有不同需求。为了保证农行关键业务应用在各一级分行到二级分行、以及二级分行到县支行之间的网络上的传输，需要在网络中实施QOS技术以保证关键业务在网络上传输的带宽和时延。9.1 QoS服务模型农行上海数据中心QoS方案的设计实施，首先需要考虑选择合适的技术框架，也即服务模型。服务模型指的是一组端到端的QoS功能，目前有以下三种QoS服务模型：l Best-Effort service尽力服务l Integrated service（Int