一级分行局域网改造技术方案培训2中国建设银行SFB项目组中国建设银行SFB项目组内容提要项目概述局域网基础设施总体架构设备命名和板卡规划IP地址和VLAN划分总体原则数据分流和路由策略安全策略服务器区实施指导项目概述4中国建设银行SFB项目组中国建设银行SFB项目组局域网现状分析5中国建设银行SFB项目组中国建设银行SFB项目组项目目标为二级分行及网点服务器上收到一级分行集中部署作好网络基础设施建设。统一一级分行核心局域网络的相关规范,明确一级分行核心局域网络的整体架构和技术标准。对一级分行核心局域网络的结构进行层次化和模块化的改造调整,建立明确的功能区域。对重要区域进行有效的安全防护,以保障网络和业务主机服务器等重要设备的稳定运行。采用高性能、高可靠性的设备,提高一级分行局域网整体的业务支撑能力,满足我行未来3-5年应用系统的部署。局域网基础设施总体架构7中国建设银行SFB项目组中国建设银行SFB项目组模块化设计方法----七个功能区域(Zone)核心交换区(CoreZone)服务器区(ServerZone)客户端接入区(ClientZone)广域网区(ReginalTouchPointZone)外联区(ExternalZone)互联网区(InternetZone)测试区(TestingZone)8中国建设银行SFB项目组中国建设银行SFB项目组逻辑拓扑核心交换区作为整个一级分行局域网的核心,连接不同的功能区域,实现数据的高速转发。由于性能是该功能区最关键的因素,所以可使用高性能的三层交换机,并且在核心交换机上要避免使用那些可能会影响处理速度的访问列表定义。客户端区主要负责一级分行局域网用户接入,包括办公大楼和同城城域网用户接入。目前,客户端区根据业务类型,分为逻辑隔离的两个安全区:生产客户端区和办公客户端区。广域网区实现一级分行上联总行、数据中心,下联二级分行、网点,分为上联区、下联区、汇聚交换区。9中国建设银行SFB项目组中国建设银行SFB项目组服务器区(ServerZone)根据安全特性,服务器在网络上划分为不同的安全区:内网服务器区(IntranetServerZone)•业务1类,业务2类,管理类,网管安管类,语音视频类集成服务器区(IntegrationServerZone)•基础设施类服务器的分类与IP地址的类别标识对应根据应用的三层架构,服务器在网络上划分为不同的层:业务展现层(Web层)应用/业务逻辑层(AP层)数据库层(DB层)在本次优化中,考虑分行服务器规模和设备投入,内网服务器区和集成服务器区使用同一套交换机,组成服务器区。10中国建设银行SFB项目组中国建设银行SFB项目组内网服务器区(IntranetServerZone)业务1类:以资金交易作为业务特征,通常指高柜系统。例如清算、龙卡、重要客户、网银、DCC大前置等。业务2类:不涉及资金交易,但是直接或间接为客户提供服务,包括审批流程、客户管理等内容,通常指低柜系统。例如OCRM、ERPF前置等。11中国建设银行SFB项目组中国建设银行SFB项目组内网服务器区(IntranetServerZone)续管理类:用于部署为建行员工提供服务或者行里内部管理向电子化转变的服务系统。例如:OA服务器、信贷服务器等。网管安管类:实现对网络设备和服务器的管理。网管安管类需要使用加密、IDS与防火墙等进行高强度保护,因为该类服务器的用户有网络系统的管理权限,并掌握所有服务器活动状态的信息。12中国建设银行SFB项目组中国建设银行SFB项目组集成服务器区(IntegrationServerZone)集成服务器区中只有基础设施类应用基础设施类应用为其他多个应用系统提供数据传输加工服务不直接为用户提供服务而为其它应用系统提供服务有些应用可能同时给其他应用系统和内部用户提供服务,但如果该应用系统的主要功能是为应用系统提供服务,那么该应用系统将被部署在集成服务器区中,均有IP地址标志位来标识.13中国建设银行SFB项目组中国建设银行SFB项目组物理结构14中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与服务器区的连接模式15中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与客户端区的连接模式16中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与广域网区的连接模式17中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与互联网区的连接模式18中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与互联网区的连接模式(续)19中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与外联区的连接模式设备命名21中国建设银行SFB项目组中国建设银行SFB项目组设备命名规则网络系统中具体一台设备的命名由如下四个部分组成:AA_BB_CC_DD:AA:表示各个一级分行的名称简写BB:为区域名称CC:为设备类型DD:为设备的序列,1表示第一台,2为第二台。设备名称中的英文字母全部采用大写。22中国建设银行SFB项目组中国建设银行SFB项目组设备命名原则AA_BB_CC_DD:AA:表示各个一级分行的名称简写BB:为区域名称CC:为设备类型DD:为设备的序列,1表示第一台,2为第二台。设备名称中的英文字母全部采用大写。23中国建设银行SFB项目组中国建设银行SFB项目组一级分行简写具体如下(AA):区域名称规则表如下所示(BB):分行名称缩写分行名称缩写北京BJ湖北HB天津TJ湖南HN河北HE广东GD山西SX深圳SZ内蒙NM广西GX辽宁LN海南HI大连DL四川SC吉林JL重庆CQ黑龙江HL贵州GU上海SH云南YN江苏JS西藏XZ浙江ZJ陕西SN宁波NB甘肃GS安徽AH青海QH福建FJ宁夏NX厦门XM新疆XJ江西JX苏州SU山东SD三峡SA青岛QD总行ZH河南HA序号命名名称区域描述1CORE核心区(CoreZone)2SRV服务器区(ServerZone)3CLT客户端区(ClintZone)4RTP广域网区(RegionalTouchPointZone)5ECN外联区(ECNZone)6INTER互联网区(InternetZone)24中国建设银行SFB项目组中国建设银行SFB项目组网络设备命名规则如下所示(CC):编号规则表如下所示(DD):序号命名名称设备描述1SW交换机2RT路由器3FW防火墙4IDS入侵检测系统序号命名名称编号描述11同一区域同一应用系统第1台设备22同一区域同一应用系统第2台设备33同一区域同一应用系统第3台设备设备板卡规划26中国建设银行SFB项目组中国建设银行SFB项目组Catalyst6500FamilyMaxDensitiesCatalyst65031Catalyst6506Catalyst6509Catalyst651310/100RJ45192480768115210/100/1000RJ4596240384576GE(1000Mb)GBIC3480128192GE(1000Mb)SFP9624238441010GE420322027中国建设银行SFB项目组中国建设银行SFB项目组TheCatalyst6500E-SeriesChassis:6503-E6504-E6506-E6509-E&6509-NEB-A65133SlotChassis4RUUpto1400WofPowerMAX802.3afDevices:90@Class34SlotChassis5RUUpto2700WofPowerMAX802.3afDevices:125@Class36SlotChassis12RUUpto9000WofPowerMAX802.3afDevices:283@Class39SlotChassis15RUUpto9000WofPowerMAX802.3afDevices:280@Class313SlotChassis19RUUpto6000WofPowerMAX802.3afDevices:285@Class328中国建设银行SFB项目组中国建设银行SFB项目组CiscoCatalyst4500SeriesChassisSupervisorsSupIIandSupIIandSupII+/IV/VSupVhigherhigherDimensions(RUs)7101114Ports(max)96+2240+2240+4(SupV)336+6(SupV)PowerSupplies1+11+11+11+1Slots36710SupRedundancyn/an/aYesYesCatalyst4503Catalyst4506Catalyst4507RCatalyst4510RChassis/19”rack644329中国建设银行SFB项目组中国建设银行SFB项目组H3CS9500系列产品家族S9505H3CS9500系列目前S9500交换机有四款,S9512、S9508V、S9508和S9505。S9500一般应用于大型城域网汇聚中心、中小型城域网交换核心和企业园区网交换核心和汇聚中心S9512S9508S9508V30中国建设银行SFB项目组中国建设银行SFB项目组H3CS9500基本规格基本特性产品定位S95057插槽,2个主控插槽,5个业务插槽交换网:分布式CrossBar交换容量:300G/600G(双引擎负载分担)IPV4转发性能:178Mpps/357MppsIPv6转发性能:156Mpps/312MppsS9505适合中型配线间和骨干S9508S9508V10插槽,2个主控插槽,8个业务插槽交换网:分布式CrossBar交换容量480G/960G(双引擎负载分担)IPV4转发性能:285Mpps/571MppsIPv6转发性能:249Mpps/499MppsS9508适合高密度配线间和骨干S9508V是垂直插槽,前后通风,适合电信运营商使用S951214插槽,2个主控插槽,12个业务插槽交换网:分布式CrossBar交换容量:720G/1440G(双引擎负载分担)IPV4转发性能:428Mpps/857MppsIPv6转发性能:375Mpps/759MppsS9512具备最高的性能与密度,适合高密度配线间和骨干注:S9500交换机可以实现整机满配置情况下的IPv4/IPv6全线速转发,因为IPv4按最小包长64字节计算,而IPv6按最小包长76字节计算,因此体现出的包转发能力有差异。31中国建设银行SFB项目组中国建设银行SFB项目组S7503S7506S7506RS75024槽位,3个业务接口槽位;交换容量:最大312Gbps包转发率:最大216Mpps最大端口容量:148GE/144FE/1210GE冗余电源设计:1+1备份7槽位,6个业务接口槽位交换容量:最大336Gbps包转发率:最大216Mpps最大端口容量:292GE/288FE/2410GE冗余电源设计,2+1备份8槽位,6个业务接口槽位交换容量:最大768Gbps包转发率:最大432Mpps最大端口容量:292GE/288FE/2410GE冗余电源设计,2+1backup2槽位,2个业务槽位交换容量:最大192Gbps包转发率t:最大144Mpps最大端口容量:96GE/48FE/810GE电源冗余设计,1+1备份•中小企业网络核心层•大型企业网络接入层•高密度千兆到桌面••中型企业网络核心层•大型企业网络汇聚层•高性能配线间设备•高密度千兆到桌面•中小企业网络核心层•大型企业网络接入层•高密度千兆到桌面••中型企业网络核心层•大型网络高性价比核心层•高性能配线间设备•高密度千兆到桌面S7500系列高端多业务交换机产品简介32中国建设银行SFB项目组中国建设银行SFB项目组S7500系列高端多业务交换机主控引擎SalienceIIIEdge-96GSalienceIII-384GSalienceIIIPlus-768G仅适用于GEbus支持全部GEb