北京银行方案

Sincy2000y北京银行Infoblox设计方案建议Sincy2000y客户环境1.客户目前拥有两地三中心，分别是主生产中心、同城灾备中心、异地灾备中心；2.本地支行及异地支行分别连接2个数据中心3.异地灾备使用Qos技术达到同时使用2条上联线路4.全网通过Excel表格统计IP信息5.无专用的NTP服务器客户目标1.导入目前现有的DNS信息2.利用Infoblox设备将中心及支行的DNS统一管理3.利用Infoblox的Grid系统实现DNS系统的灾备切换4.提供Infoblox设备本身的灾备切换方案5.拥有审计/审核合格的syslog6.利用Infoblox进行分级的授权管理7.提供一个网络发现和统计的方式8.改进的目前的IP地址管理，通过Infoblox的IPAM实时的统计9.提供稳定的可靠的全网NTP服务10.提供稳定的可靠的全网DHCP服务性能注意事项1.各中心之间的网络带宽对Infoblox的Grid的影响（测试环境不考2.虑）3.多个数据中心之间为主备模式高可用性和灾难恢复介绍1.硬件层的HA在二层的基础上，使用主动／被动模式，网络延迟很低的环境中，使用VRRP协议实现通过HA提供服务的故障转移，完成速度非常快可以为所有启用的服务进行灾备，服务通过VIP提供2.协议层的HA在第三层的的DHCP服务故障后会转移到指定的IP地址的设备提供保护DNS，TFTP的/的HTTP，NTP等服务，系统日志及其它支持的服务均可以通过硬件层面实现HA3.Grid中的主设备的灾备在协议层的HA基础上使用Grid系统保护所有的Infoblox设备在一个Grid系统中可以指定其他设备作为候补的Master设备所有的Infoblox设备会统一由Master设备控制设备系统升级只需要更新一台设备，全网Infoblox会自动更新VirtualIP(VIP):IPAddress#1IDNode1–ActiveLAN1:IPAddress#2HA1:IPAddress#3IDNode2–Passive(stand-by)LAN2:IPAddress#4HA2:IPAddress#5TypicalHardwareHAConnectivityIDNode1IDNode2SwitchNotes:1)switchportshardcodedforspeed/duplex2)switchportsVLANsameforallports3)switchportsspanning-treefast-learnorequivalentcommandNotes:-DHCPfailoverprotectstheIPaddressissuedtothedevice-sameDHCPrange(scope)configuredonbothunitsinfailoverpeer-association-routerinterfaceutilizestwoIPhelperaddresses-DHCPappliancesmaintainstateviafailoverpeerassociationlink-eitherDHCPappliancecanissue,reneworreleaseIP-IPAMDHCPleasehistoryforwardedtodedicatedleasehistoryauditappliance-DHCPfailoverpeersaretypicallyinstalledondifferentsubnetsand/orlocationsTypicalDHCPConnectivitySincy2000y12.x.x.x同城支行TrunkVirtualGridMember全网部署方案：-设备部署位置于DMZ区DNS服务器位置-在主中心将部署Infoblox设备2台，组建HA双机冗余。-在同城灾备中心部署至少一台Infoblox设备，与主中心设备组建Grid系统。-在异地在被中心部署至少一台Infoblox设备，加入到前面建好的Grid系统中。-在各支行出口处加入CiscovNIOS设备,可加入到Grid系统中。（可选）-在各支行部署DNSCache服务器。利用优先级实现Dns灾备灾备切换情景：灾备切换属于重大事件，一般采用手工切换。并且DNS服务需要在确保其他服务数据同步之后进行切换。Infoblox设备之间分别设置不同的优先级。-情景1：当主生产的infoblox产品出问题，设备将切换至同中心的备机继续提供服务，切换时间小于3秒。（主中心采用HA方式提供GridMaster服务）。（此为设备的冗余）-情景2：在InfobloxGrid系统中将会分别建立三个DNS区域，默认情况下各中心的设备仅负责本区域内DNS，但三个区域的数据均会存在于Infoblox数据库中。如果主中心的HA设备均发生故障时，只需手动指定灾备中心的Infoblox接管主中心的区域，对主中心的业务无任何影响。-情景3：当主中心网络出问题，Grid系统会自动选举Grid中的候补Master设备作为主控设备。此时由候补设备对外提供本区域的服务。三个中心互为主备，切换方式基本同上面三个场景30.x.x.x异地支行40.x.x.x异地支行VirtualGridMemberVirtualGridMemberSincy2000y系统性能描述