搜索
技术与应用echnology&ApplicationT532009年3月■文/中国建设银行信息技术管理部戴春辉窦彤数据中心网络设计与实现数据集中后,所有银行业务和网点都依赖网络来支持其对数据中心中主机的访问。此外,未来的新型应用,如网上培训、IP电话、可视电话等应用也对网络提出高带宽、高服务质量以及支持多点广播等要求。因此,数据中心的网络建设必须能够昀大化满足上述要求,适应未来新业务和技术的发展。一、数据中心网络设计原则网络的可靠性。银行业务的特点决定了其网络必须有极高的可用性,能昀大限度地支持各业务系统正常运行。在网络设计上,合理组织网络架构,做到设备冗余、链路冗余,保证网络具有快速故障自愈能力,实现网络通讯不中断。网络具有良好的可用性、灵活性。支持国际上各种通用的网络协议和标准,支持大型的动态路由协议及策略路由功能,保证与其他网络(如公共数据网、金融网络等)之间的平滑连接。网络的可扩展性。根据未来业务的增长和变化,在不变动现有网络架构的前提下,可以平滑地扩展和升级。网络安全性。制订统一的网络安全策略,整体考虑网络平台的安全性。网络可集中管理。对网络实行集中监测、分权管理,构建网络管理平台,提供故障自动报警,具有对设备、端口等的管理和流量统计分析功能。保证网络服务质量。保证对统一的网络带宽资源进行合理调配,当网络拥塞发生时,保障银行关键业务和用户数据的传输。提供对数据传输的服务质量(QoS)和优先级控制等,以保证骨干网上各类业务的QoS。二、数据中心网络实现1.网络技术数据中心网络设计实现的技术基础如下。(1)路由交换技术目前,在银行的网络设计中,绝大部分网络通信都是基于TCP/IP协议及相关技术的。路由交换技术是构建IP网络的基础技术,是网络互联的基础。在数据中心网络中,大面积使用高性能、高可靠的三层交换机,用以构建多个不同的功能分区。分区间相互隔离,通过1G/10G接口连接高速的核心交换区。网络互联路由协议主要有OSPF、RIPv2和BGP。在数据中心局域网中主要使用OSPF路由协议,以达到快速收敛的目的;而在边界或与分支机构广域互联,通常使用BGP路由协议,以实现对网络的有效管理。(2)负载均衡技术负载均衡建立在现有网络结构之上,提供了一种廉价、有效、透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。负载均衡技术主要有软/硬件负载均衡,本地/全局负载均衡。在数据中心主要使用硬件负载均衡解决方案。(3)防火墙技术当前银行网络主要使用状态检测型防火墙,集成了包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,有效隔离各个安全区域,保障核心数据的安全性。(4)入侵检测技术入侵检测技术(IDS)从计算机系统或网络中收集、分析信息,检测任何企图破坏计算机资源完整性、机密性和技术与应用echnology&ApplicationT542009年3月可用性的行为,查看是否有违反安全策略的行为和遭到攻击的迹象,并作出反应。通过IDS可以检测异常的网络流量,如黑客扫描、网络病毒等,并及时进行拦截和控制。(5)密集光路复用技术密集光路复用技术(DWDM)是在一根指定的光纤中,多路复用单个光纤载波的紧密光谱间距,以达到传输性能。DWDM的关键优点是它的协议和传输速度是不相关的。DWDM主要用于城域网、数据中心同城灾难备份建设中,实现单路光线的多路复用。2.网络结构(1)模块化网络架构银行数据中心的网络为适应各类业务需求,并保证有足够的灵活性和扩展能力,以模块化方式作为网络的主要设计思想,同时兼顾传统的网络层次设计。如图1所示,数据中心网络建设首先需要一个网络核心层。核心层作为数据中心交换平台负责数据中心内部各系统的连接,包括各功能模块的连接。在具体的实现上,通常采用多层核心交换机作为中心交换机,具备高端口密度、高性能的交换能力,支持多种类型的网络接口,具有第三层和第四层的交换和控制功能,配置冗余交换机互为备份。其他网络模块的设计依据业务功能的不同,通常有如下网络功能区。电子银行区:为满足客户从Internet访问网上银行系统,开展网上银行业务,设置该网络功能区,以满足特殊的网络接入和安全需求。外网接入区:商业银行需要与人民银行、外汇管理局、保险公司等监管部门、企业大客户进行通信,满足各监管机构对银行业的监督管理要求,以及与外单位业务合作需要的系统连接。Internet接入区:为实现银行内部员工访问Internet、接收外部邮件,在网络上需要专门设置Internet接入区。与网银区不同的是,前者主要满足客户通过Internet访问银行的网银平台和银行网站,而Internet接入区的主要用途是满足银行内部访问Internet。在网络数据的流向上也有很大区别,前者是以入流量为主,后者是以出流量为主。广域网/城域网接入区:国内多数银行是全国性网络,在各省市都设有分支机构,为满足各级分行访问数据中心后台系统,实现业务的正常开展,在数据中心网络设计上需要设置一个专门的广域网接入区,通过广域网线路连接数据中心各后台业务系统。各服务器接入区:前几个网络功能区,主要根据接入客户的类型及途径的不同进行网络划分。在数据中心后台,一个主要的区域是各种应用服务器的接入,其划分原则较灵活,如图1所示,主要有主机区、开放系统区、多媒体区和模拟测试区。(2)统一的安全防范体系从网络设计角度看,昀大的安全威胁主要来自银行外图1银行数据中心网络功能分区图2网络安全区构建示意图技术与应用echnology&ApplicationT552009年3月部,结合上述网络功能区,涉及外部通信的主要有电子银行区、外网接入区和Internet接入区。电子银行区:目前各银行都不同程度地推出自己的网上银行业务,网银的安全性越来越引起大家的关注。除了应用本身的身份认证、数据加密技术外,在网络层需要设置高性能的防火墙和入侵检测设备,部署严格的安全准入和访问控制策略,昀大化阻断来自Internet的网络威胁。外网接入区:在网络安全设计上,通常部署隔离区(DMZ),实现外部数据的通信结束于DMZ内的应用服务器,并且在接入设备上部署相关的访问控制列表(ACL)等安全策略。同时配合IDS对非法入侵进行检测和报告。具体实现如图2所示。Internet接入区:该区的功能如前文所述,主要满足内部员工访问Internet的通信需求。在安全上,除了防火墙、入侵检测等技术外,通常还采取代理服务器方式。所有进出Internet区的数据都要经过代理服务器进行中转,从物理上隔绝来自外部的不安全因素。(3)统一的数据存储网络随着数据的集中,各应用服务器的部署也逐项从分散式向集中式推进,数据中心需要存储大量数据。在存储技术方面,RAID、磁盘等基础技术已经成熟,磁盘阵列的应用也普遍存在。但传统的磁盘技术很难满足大量数据对存储的需求,难以实现应用对磁盘的充分利用,较好的解决办法是存储区域网络(SAN)。如图1所示,所有后台服务器的数据存储部分均连接到一个共同的数据集中存储区,通过部署2Gbps光纤通道,利用基于以太网的iSCSI以低廉的成本连接到共享的存储空间。光纤通道、iSCSI和FCIP等存储交换技术将服务器和磁盘阵列高速连接,实现高速的数据存储,昀大限度利用磁盘空间,同时实现高速的存储数据和IP数据网络的连接。(4)灾备中心的建设灾难备份解决方案以网络为基础,在存储区域网与网络之间采用光纤通道交换机来实现连接。生产中心和灾难恢复中心运行同样的系统,包括操作系统、基础数据库和应用软件,并配备数据复制管理器。假如生产中心发生灾难,备份中心会将业务数据及时恢复到备用服务器上,并自动将业务切换到备用服务器,然后实现业务的远程切换,恢复系统的不间断运行。同城灾备:灾备中心和主生产中心基本处于同一城市,物理距离在几十公里以内,中心之间通过裸光纤或DWDM技术,实现数据的实时同步备份和切换。如图3所示,生产中心和灾备中心之间通过DWDM技术互连,利用DWDM技术提供的多路FiberChannel光纤将生产中心和灾备中心的磁盘阵列连接,通过存储交换技术实现高速的数据存储的备份。同时利用DWDM技术提供的千兆位GE光纤实现高速IP数据网络的连接。异地灾备:生产数据中心、灾备数据中心之间的互连通过租用运营商提供的高带宽线路实现。通常采用高速SDH线路,实现生产数据中心与灾备数据中心之间的网络互连。对于异地灾备中心的网络连接线路,其线路带宽主要根据银行的业务及主机通信需求设定。当前一般在155M~1G的数量级,并要求在电信的骨干传输平台上实现可靠的服务质量保证机制,以及严格的线路容错能力。一旦骨干链路出现故障,保证能够在极短的时间内切换到备份链路。为便于灾难备份系统的日常维护与管理,在两个中心均实现相关的网络监控和管理功能。两地系统的监控终端作为各自的系统监控终端可远程访问,当生产系统发生灾难时,原生产系统上的监控终端可通过TCP/IP网络连至备份系统进行操作。三、结论采用通用网络和存储技术,根据应用类型和需求将网络分割成多个区域,形成一种模块化结构的数据中心,排除了多种业务在网络中互相影响和干扰的可能,能够在低成本的情况下,使网络接入能力和安全等方面昀大限度地满足银行业务发展对数据中心的要求。图3利用DWDM连接数据中心