下载文档原格式
数据中心网络建设方案随着信息技术的快速发展,数据中心网络已成为企业运营和数据处理的核心基础设施。
为了保证企业的稳定运营和数据安全,制定一份全面的数据中心网络建设方案至关重要。
本文将围绕数据中心网络建设方案的设计、实施和优化进行阐述。
一、明确建设目标在建设数据中心网络之前,首先要明确建设目标。
这些目标应包括提高网络速度、增强数据安全、优化资源利用和提高服务质量等方面。
通过对这些目标的分析,可以确定数据中心网络建设的需求和重点。
二、网络架构设计1、核心层设计核心层是数据中心网络的核心,负责高速数据传输和流量路由。
在设计核心层时,要考虑到高可用性、高性能和扩展性。
建议采用双星型拓扑结构,实现核心层设备的冗余和故障转移。
2、汇聚层设计汇聚层负责将接入层的数据汇总并传输至核心层。
在设计汇聚层时,要考虑到汇聚设备的性能和管理能力。
建议采用分布式汇聚设计,降低单点故障风险,提高设备利用率。
3、接入层设计接入层负责连接用户设备和服务。
在设计接入层时,要考虑到用户设备的多样性和安全性。
建议采用瘦AP+AC(无线控制器)模式,实现无线用户的统一管理和安全认证。
三、网络安全设计1、防火墙设计防火墙是数据中心网络的第一道防线,可防止外部攻击。
在设计防火墙时,要考虑到细粒度策略、状态检测和深度包检测等技术。
建议采用分布式防火墙设计,提高整体防护能力。
2、入侵检测系统设计入侵检测系统可实时监测网络流量,发现异常行为并报警。
在设计入侵检测系统时,要考虑到多源采集、实时分析和报警机制等技术。
建议采用集中式入侵检测设计,提高整体监测能力。
3、加密传输设计为了保证数据的安全性,需要对重要数据进行加密传输。
在设计加密传输时,要考虑到对称加密、非对称加密和SSL/TLS等技术。
建议采用多重加密设计,提高数据的安全性。
四、实施方案与时间表1、实施步骤(1)需求分析:收集各部门的需求,确定建设目标和重点。
(2)架构设计:根据需求分析结果,设计网络架构和安全策略。
数据中心网络架构规划与设计
数据中心网络架构规划与设计需要从多个角度考虑,包括数据集成管理、多层次服务需求和信息安全等。
以下是具体的规划步骤:
1.网络架构划分:将数据中心网络划分为中心内网、涉密网、局广域网(地
调局专网)及外网(互联网服务区)。
这种划分主要是为了满足不同类型
的数据传输和安全需求。
2.功能逻辑分区:在中心内网、涉密网、局广域网及外网的基础上,按照逻
辑功能将网络划分为多个功能逻辑分区,包括主功能区、核心存储备份
区、涉密区、数据交换区和服务发布区。
每个分区都有其特定的功能和作
用。
3.物理隔离:从信息数据安全角度出发,涉密区以物理隔离方式独立部署,
保证涉密数据的安全性和保密性。
4.部署服务器虚拟化技术、负载均衡技术、统一交换技术(FCoE)及存储备
份技术:在统一网络管理的基础上,采用上述技术建立起应用服务器与存
储体系及信息安全防护体系。
这些技术可以优化服务器的性能和效率,提
高数据存储和备份的安全性和可靠性。
5.数据中心信息资源层:信息资源层主要包括数据中心的各类数据、数据
库,负责整个数据中心的数据存储和交换,为数据中心提供统一的数据交
换平台。
这一层需要考虑到数据的存储、备份、恢复和共享等需求,同时
还需要考虑数据的安全性和可靠性。
总之,数据中心网络架构规划与设计需要全面考虑数据传输、安全性和可靠性等方面的需求,同时还需要考虑未来的扩展和升级。
因此,在进行规划与设计时,需要结合实际情况和未来发展需求进行综合考虑。
数据中心总体网络设计方案数据中心总体网络设计方案一、引言随着企业规模的扩大和业务需求的增长,数据中心的网络设计变得至关重要。
本文档旨在提供一个详细的数据中心总体网络设计方案,以满足企业的网络需求。
二、设计目标1.提供高可靠性和高可用性的网络架构,确保数据中心的稳定运行。
2.支持数据中心内的各种网络通信需求,包括服务器之间的通信、存储设备的通信等。
3.实现网络的灵活扩展和上下线。
4.保障数据中心网络的安全性,防范网络攻击和数据泄露。
三、网络拓扑设计1.核心交换机设计(1) 选用具备高性能和可靠性的核心交换机,支持大规模的数据流量传输。
(2) 采用冗余设计,确保交换机的冗余和备份,避免单点故障。
(3) 设计高速的内部交换机互连,以支持数据中心内部的高速通信。
2.边缘交换机设计(1) 部署适量的边缘交换机,负责连接数据中心内部的服务器、存储设备等,提供低延迟和高带宽的连接。
(2) 利用链路聚合技术,增加链路带宽,提高网络吞吐量。
(3) 使用虚拟化技术,提供弹性和灵活性,能够根据需求动态调整网络拓扑。
3.路由器设计(1) 选用高性能的路由器设备,支持大型网络的高速传输和路由功能。
(2) 设计冗余和备份,确保路由器的可靠性,避免单点故障。
(3) 配置动态路由协议,实现网络的自动路由调整。
四、网络安全设计1.防火墙设计(1) 在数据中心边界处设置防火墙,监控和控制数据中心入侵和攻击行为。
(2) 配置访问控制列表(ACL)和安全策略,限制进入和离开数据中心的流量。
(3) 定期更新防火墙规则,保持网络的安全性。
2.安全设备设计(1) 部署入侵防御系统(IDS)和入侵防御系统(IPS),检测和阻止网络攻击。
(2) 配置虚拟专用网络(VPN),加密数据传输,保护敏感数据的安全性。
(3) 部署入侵检测系统(IDS),监控网络流量,及时发现安全威胁。
五、附件本文档涉及以下附件:1.数据中心网络拓扑图。
2.设备清单及规格。
数据中心网络设计与实现一、导论随着云计算、大数据时代的到来,数据中心网络设计和实现显得越来越重要。
数据中心网络设计和实现的好坏直接影响数据中心的性能、安全、可靠性等方面的表现。
在此背景下,正确理解和掌握数据中心网络的设计和实现技术,对于保障企业的信息化建设有着重要的意义。
二、数据中心网络设计1. 数据中心网络的特点在数据中心建设中,为了满足应用的社交化、互联化、智能化、多样化等特点,数据中心网络需要具备一下几个特点:(1)高带宽:保证数据中心内部的高速传输,降低数据传输时延;(2)低延迟:保证数据中心内部在多个节点的传输效率,在数据运输过程中能够快速响应,减少延迟;(3)可靠性高:保障数据中心内数据通信的安全可靠,防止数据泄露和丢失;(4)灵活性强:数据中心的网络设计需要灵活,能够适应不同的业务场景和应用需求。
2. 数据中心网络的设计方案在确定数据中心网络的设计方案时,应该根据实际情况,结合数据中心的角色、规模、业务需求等因素,采用合理的设计方案。
目前常见的数据中心网络设计方案包括树状网络、融合网络和裸机网络,下面分别介绍一下:(1)树状网络设计方案树状网络是一种基于二层网络设计的方案,采用以交换机为节点的标准树形拓扑结构。
树状网络的具体实现形式有点到点(P2P)拓扑结构和多点到多点(MP2MP)拓扑结构。
树状网络设计方案适用于小型数据中心,具有实现简单易上手的特点。
(2)融合网络设计方案融合网络是指将传统数据中心网络、存储网络和管理网络三个网络融合成一个网络的方案。
通过在服务器端口上配置虚拟网络标识(VLAN),从而实现数据的分类传送。
融合网络设计方案适用于对可靠性、可扩展性、灵活性和性能都有较高需求的数据中心。
(3)裸机网络设计方案裸机网络是在裸机硬件平台上部署网络协议栈,结构简单,实现成本较低的一种设计方案。
裸机网络相较于其他设计方案具有开源软件实现、免费下载使用、学习成本较低等特点,特别适用于初创企业和小型数据中心。
数据中心网络系统设计方案在当今数字化的时代,数据中心已成为企业和组织运营的核心基础设施。
一个高效、可靠、安全的数据中心网络系统对于确保业务的连续性、提升数据处理能力以及满足不断增长的业务需求至关重要。
本文将详细阐述一个全面的数据中心网络系统设计方案。
一、需求分析在设计数据中心网络系统之前,必须充分了解业务需求和预期的增长。
这包括确定要支持的应用类型(如云计算、大数据分析、虚拟化等)、预计的用户数量和流量、对延迟和带宽的要求,以及安全性和可用性的期望。
例如,一家金融机构的数据中心可能需要处理大量的实时交易数据,对延迟和安全性有极高的要求;而一家电商企业的数据中心则可能需要应对高峰时段的巨大流量,对带宽和可扩展性有重点需求。
二、网络拓扑结构(一)核心层核心层是数据中心网络的骨干,负责高速的数据交换和路由。
通常采用高性能的多层交换机,具备大容量的交换矩阵和强大的路由功能。
(二)汇聚层汇聚层连接核心层和接入层,将多个接入层的流量汇聚起来进行处理和转发。
它起到了流量管理和策略执行的作用。
(三)接入层接入层直接连接服务器、存储设备和其他网络设备,提供终端设备的接入点。
为了提高可靠性和容错能力,采用冗余的拓扑结构,如双核心、双汇聚等,以防止单点故障导致网络中断。
三、网络设备选型(一)交换机选择具有高端口密度、高速转发能力、支持多种网络协议和功能(如 VLAN、QoS、链路聚合等)的交换机。
(二)路由器具备强大的路由表容量、高速的数据包处理能力和可靠的路由协议支持。
(三)防火墙用于保护数据中心网络的边界安全,防止外部攻击和非法访问。
(四)负载均衡器实现流量的均衡分配,提高服务器的性能和可用性。
四、IP 地址规划合理的 IP 地址规划是数据中心网络稳定运行的基础。
采用合适的IP 地址分配策略,如 VLSM(可变长子网掩码)和 CIDR(无类别域间路由),以充分利用 IP 地址资源,并便于网络的管理和扩展。
为不同的区域(如服务器区、存储区、管理区等)分配独立的子网,同时为关键设备和服务预留固定的 IP 地址。
数据中心网络架构设计与实践随着互联网和大数据的迅猛发展,数据中心已成为现代企业不可或缺的重要组成部分。
而数据中心网络的架构设计则起着关键的作用,直接影响到数据中心的性能、可靠性和安全性。
本文将从设计原则、架构模式以及实践经验三个方面,探讨数据中心网络架构的设计与实践。
一、设计原则在进行数据中心网络架构设计时,需要遵循以下几个原则:1. 高可用性:数据中心网络必须具备高可用性,以确保业务的连续性。
通过使用冗余设备、链路以及路径,实现网络的冗余和容错,防止单点故障导致的服务中断。
2. 可扩展性:随着业务的发展,数据中心的规模和网络需求也会逐渐增长。
因此,网络架构设计应考虑到可扩展性,提供灵活的网络扩展方案,方便后续的业务扩展和升级。
3. 简化管理:数据中心网络通常非常复杂,拥有大量的交换设备和连接。
为了简化管理和维护,需要采用合适的网络管理工具和技术,实现集中化的管理和自动化运维。
4. 安全性:数据中心存储着企业的关键数据和业务应用,安全性至关重要。
网络架构设计应包括安全监控和防御机制,保护数据中心免受各类安全威胁和攻击。
二、架构模式1. 三层架构:三层架构是最常见的数据中心网络架构模式之一。
它将数据中心网络划分为核心层、汇聚层和接入层。
核心层负责数据中心内的所有路由,实现高速数据转发;汇聚层连接核心层和接入层,负责网络的聚合和策略控制;接入层则连接终端设备,提供接入服务。
2. 超融合架构:超融合架构是一种集计算、存储和网络于一体的架构模式。
它通过将计算和存储资源集中在同一个机架上,减少了数据中心网络的复杂性和成本。
超融合架构适用于小型和中型数据中心,具有快速部署、简化管理的优势。
3. 软件定义网络(SDN):SDN是一种通过将网络控制平面与数据转发平面分离的网络架构。
它提供了灵活的网络编程和自动化配置功能,可以根据业务需求快速调整网络拓扑和策略。
SDN架构在大型、多租户的数据中心中具有广泛应用。
三、实践经验在数据中心网络架构设计与实践中,还需要考虑到具体的场景和需求。
数据中心网络系统设计方案随着互联网的快速发展和数据存储需求的增加,数据中心成为现代企业不可或缺的基础设施之一。
一个高效、可靠、安全的数据中心网络系统是确保企业运营平稳的关键。
本文将根据题目,提出一个数据中心网络系统的设计方案,以满足企业在数据交换、存储和管理方面的需求。
1. 系统概述本数据中心网络系统设计方案旨在提供一个高可用性、弹性扩展和易于管理的网络基础设施。
整个系统分为三层:核心层、聚合层和接入层。
核心层提供高速数据交换和路由功能,聚合层提供网络聚合和流量控制,接入层与用户设备直接连接,并提供网络接入控制。
2. 核心层设计核心层作为数据中心网络的交换中心,承担着承载大量数据流量的重要任务。
为确保高可用性和可靠性,采用双核交换机冗余备份的方式。
交换机之间通过链路聚合技术进行互联,提供更高的带宽和冗余。
为支持多路径的故障转移,采用开放式标准的动态路由协议,如OSPF或BGP。
3. 聚合层设计聚合层负责连接核心层和接入层,控制数据流量,并提供网络聚合和负载均衡功能。
在聚合层,使用四核交换机构建冗余备份,并采用链路聚合技术提高带宽利用率。
通过VLAN划分不同的子网,实现流量隔离和安全控制。
此外,聚合层还应配置防火墙和入侵检测系统,保护数据中心免受网络安全威胁。
4. 接入层设计接入层是数据中心网络与用户设备直接连接的接口,对于保证数据中心对外提供的服务质量至关重要。
在接入层,使用二层交换机组建冗余备份,提供高可用性和负载均衡。
通过端口隔离和VLAN技术,实现不同用户的访问控制和流量隔离。
此外,接入层还应支持802.1x认证和VPN接入,以确保只有合法用户能够访问数据中心。
5. 安全性设计数据中心网络的安全是数据中心运营的重要保障。
除了在聚合层和接入层配置防火墙和入侵检测系统外,还应采用访问控制列表(ACL)来限制网络流量。
ACL可根据源IP地址、目的IP地址、端口号等条件进行过滤和阻断,保护数据中心资源免受非法访问和攻击。
数据中心网络架构设计与实施预案第一章数据中心网络架构概述 (3)1.1 数据中心网络架构简介 (3)1.2 数据中心网络架构设计原则 (3)第二章数据中心网络拓扑结构设计 (4)2.1 物理拓扑结构设计 (4)2.2 逻辑拓扑结构设计 (5)2.3 网络冗余设计 (5)第三章核心网络设备选型与配置 (5)3.1 核心交换机选型 (6)3.2 核心路由器选型 (6)3.3 设备配置与优化 (6)第四章边缘网络设计 (7)4.1 边缘交换机设计 (7)4.1.1 设计原则 (7)4.1.2 设计方案 (7)4.2 边缘路由器设计 (8)4.2.1 设计原则 (8)4.2.2 设计方案 (8)4.3 安全策略设计 (8)4.3.1 边缘交换机安全策略 (8)4.3.2 边缘路由器安全策略 (8)4.3.3 安全防护措施 (9)第五章数据中心内部网络设计 (9)5.1 内部网络划分 (9)5.2 虚拟专用网络(VPN)设计 (9)5.3 网络监控与运维 (10)第六章数据中心网络安全设计 (10)6.1 安全策略制定 (10)6.2 防火墙与入侵检测系统(IDS)部署 (11)6.3 安全审计与合规性检查 (12)第七章数据中心网络功能优化 (12)7.1 网络带宽优化 (12)7.2 网络延迟优化 (13)7.3 网络服务质量(QoS)策略 (13)第八章数据中心网络故障处理预案 (14)8.1 常见网络故障分析 (14)8.1.1 网络设备故障 (14)8.1.2 网络线路故障 (14)8.1.3 网络配置错误 (14)8.1.4 网络攻击与安全故障 (14)8.2 故障处理流程与策略 (14)8.2.2 故障定位与诊断 (15)8.2.3 故障处理与恢复 (15)8.3 应急预案与恢复措施 (15)8.3.1 应急预案 (15)8.3.2 恢复措施 (15)第九章数据中心网络维护与升级 (15)9.1 网络设备维护 (15)9.1.1 设备巡检 (16)9.1.2 设备保养 (16)9.1.3 故障处理 (16)9.2 网络升级策略 (16)9.2.1 设备升级 (16)9.2.2 网络架构调整 (16)9.2.3 网络安全升级 (17)9.3 网络迁移与重构 (17)9.3.1 网络迁移 (17)9.3.2 网络重构 (17)第十章数据中心网络监控与管理 (17)10.1 网络监控系统设计 (17)10.2 网络管理策略制定 (18)10.3 网络功能监控与分析 (19)第十一章数据中心网络能耗与绿色环保 (19)11.1 能耗分析与评估 (19)11.1.1 能耗分析方法 (19)11.1.2 能耗评估指标 (20)11.2 绿色网络技术 (20)11.2.1 虚拟化技术 (20)11.2.2 高效电源技术 (20)11.2.3 网络节能技术 (20)11.2.4 环保材料应用 (20)11.3 能耗管理与优化 (20)11.3.1 能耗监测与评估 (20)11.3.2 能耗目标设定 (20)11.3.3 能耗优化措施 (20)第十二章数据中心网络项目实施与验收 (21)12.1 项目实施计划 (21)12.1.1 项目目标 (21)12.1.2 项目范围 (21)12.1.3 项目进度安排 (21)12.1.4 项目组织架构 (21)12.1.5 项目风险管理 (21)12.1.6 项目预算 (21)12.2 项目验收标准与流程 (21)12.2.2 验收流程 (21)12.3 项目总结与评估 (22)12.3.1 项目实施过程总结 (22)12.3.2 项目成果评估 (22)12.3.3 项目成本与效益分析 (22)12.3.4 项目团队协作评估 (22)12.3.5 项目改进措施 (22)第一章数据中心网络架构概述数据中心作为现代信息化社会的重要基础设施,其网络架构的设计与优化对于保证数据传输的高效、稳定和安全。
数据中心网络策划方案一、概述随着大数据时代的到来,数据中心网络的重要性日益凸显。
本文将针对数据中心网络策划方案进行探讨,旨在提供一个整洁美观、通顺流畅的方案。
二、背景介绍数据中心是一个集中存储和管理大量数据的地方,其网络架构应确保高效稳定的数据传输。
本文策划方案旨在提供一种满足需求的网络架构,并解决潜在的问题。
三、目标设定(1)提供高可用性:数据中心网络应保证数据传输的可靠性和稳定性,避免因单点故障导致业务中断。
(2)实现可扩展性:数据中心的业务规模一般会持续增长,网络架构应具备可扩展性,能够满足业务的不断扩张。
(3)保障安全性:数据中心存储了大量敏感数据,网络策划方案必须确保数据的安全传输和保护。
四、方案设计(1)网络拓扑设计:基于数据中心规模和业务需求,采用三层网络拓扑结构。
核心层提供高可用性和高性能的交换机,聚合各个子网;汇聚层提供网络服务,并连接核心层和边界层;边界层与外部网络相连接,提供访问控制和安全策略。
(2)网络设备选择:选用可靠性高、性能强劲的设备,如思科、华为等品牌的网络设备。
设备应具备高密度端口、快速转发等特性,以满足大量数据传输需求。
(3)冗余与备份:采用冗余设计,包括冗余链路、冗余设备等,确保数据中心网络的高可用性。
同时,备份关键数据,以防数据丢失或损坏。
(4)安全措施:通过防火墙、入侵检测系统等安全设备,保护数据中心网络免受外部攻击。
同时,使用网络隔离技术,将不同业务的数据进行隔离,确保数据的机密性和完整性。
(5)性能优化:采用负载均衡和带宽管理技术,确保数据传输的稳定性和高效性。
通过监控和优化网络流量,合理分配带宽资源,避免网络拥塞和性能瓶颈。
五、实施计划(1)需求分析和规划:明确数据中心网络的需求和目标,并进行网络规划,包括拓扑设计、设备选择等。
(2)设备采购和部署:根据规划方案,采购合适的网络设备,并进行相应的物理连接和配置。
(3)安全策略和措施配置:配置安全设备,包括防火墙、入侵检测系统等,并设置适当的安全策略。
echnology & ApplicationT 532009年3月■文/中国建设银行信息技术管理部 戴春辉 窦 彤数据中心网络设计与实现数据集中后,所有银行业务和网点都依赖网络来支持其对数据中心中主机的访问。
此外,未来的新型应用,如网上培训、IP 电话、可视电话等应用也对网络提出高带宽、高服务质量以及支持多点广播等要求。
因此,数据中心的网络建设必须能够最大化满足上述要求,适应未来新业务和技术的发展。
一、数据中心网络设计原则网络的可靠性。
银行业务的特点决定了其网络必须有极高的可用性,能最大限度地支持各业务系统正常运行。
在网络设计上,合理组织网络架构,做到设备冗余、链路冗余,保证网络具有快速故障自愈能力,实现网络通讯不中断。
网络具有良好的可用性、灵活性。
支持国际上各种通用的网络协议和标准,支持大型的动态路由协议及策略路由功能,保证与其他网络(如公共数据网、金融网络等)之间的平滑连接。
网络的可扩展性。
根据未来业务的增长和变化,在不变动现有网络架构的前提下,可以平滑地扩展和升级。
网络安全性。
制订统一的网络安全策略,整体考虑网络平台的安全性。
网络可集中管理。
对网络实行集中监测、分权管理,构建网络管理平台,提供故障自动报警,具有对设备、端口等的管理和流量统计分析功能。
保证网络服务质量。
保证对统一的网络带宽资源进行合理调配,当网络拥塞发生时,保障银行关键业务和用户数据的传输。
提供对数据传输的服务质量(QoS)和优先级控制等,以保证骨干网上各类业务的QoS。
二、数据中心网络实现1.网络技术数据中心网络设计实现的技术基础如下。
(1)路由交换技术目前,在银行的网络设计中,绝大部分网络通信都是基于TCP/IP 协议及相关技术的。
路由交换技术是构建IP 网络的基础技术,是网络互联的基础。
在数据中心网络中,大面积使用高性能、高可靠的三层交换机,用以构建多个不同的功能分区。
分区间相互隔离,通过1G/10G 接口连接高速的核心交换区。
网络互联路由协议主要有OSPF、RIPv2和BGP。
在数据中心局域网中主要使用OSPF 路由协议,以达到快速收敛的目的;而在边界或与分支机构广域互联,通常使用BGP 路由协议,以实现对网络的有效管理。
(2)负载均衡技术负载均衡建立在现有网络结构之上,提供了一种廉价、有效、透明的方法,扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
负载均衡技术主要有软/硬件负载均衡,本地/全局负载均衡。
在数据中心主要使用硬件负载均衡解决方案。
(3)防火墙技术当前银行网络主要使用状态检测型防火墙,集成了包过滤防火墙、电路层防火墙和应用防火墙三种技术,只有符合安全规则的网络连接和访问才可以通过防火墙,有效隔离各个安全区域,保障核心数据的安全性。
(4)入侵检测技术入侵检测技术(IDS)从计算机系统或网络中收集、分析信息,检测任何企图破坏计算机资源完整性、机密性和echnology & ApplicationT542009年3月可用性的行为,查看是否有违反安全策略的行为和遭到攻击的迹象,并作出反应。
通过IDS 可以检测异常的网络流量,如黑客扫描、网络病毒等,并及时进行拦截和控制。
(5)密集光路复用技术密集光路复用技术(DWDM)是在一根指定的光纤中,多路复用单个光纤载波的紧密光谱间距,以达到传输性能。
DWDM 的关键优点是它的协议和传输速度是不相关的。
DWDM 主要用于城域网、数据中心同城灾难备份建设中,实现单路光线的多路复用。
2.网络结构(1)模块化网络架构银行数据中心的网络为适应各类业务需求,并保证有足够的灵活性和扩展能力,以模块化方式作为网络的主要设计思想,同时兼顾传统的网络层次设计。
如图1所示,数据中心网络建设首先需要一个网络核心层。
核心层作为数据中心交换平台负责数据中心内部各系统的连接,包括各功能模块的连接。
在具体的实现上,通常采用多层核心交换机作为中心交换机,具备高端口密度、高性能的交换能力,支持多种类型的网络接口,具有第三层和第四层的交换和控制功能,配置冗余交换机互为备份。
其他网络模块的设计依据业务功能的不同,通常有如下网络功能区。
电子银行区:为满足客户从Internet 访问网上银行系统,开展网上银行业务,设置该网络功能区,以满足特殊的网络接入和安全需求。
外网接入区:商业银行需要与人民银行、外汇管理局、保险公司等监管部门、企业大客户进行通信,满足各监管机构对银行业的监督管理要求,以及与外单位业务合作需要的系统连接。
Internet 接入区:为实现银行内部员工访问Internet、接收外部邮件,在网络上需要专门设置Internet 接入区。
与网银区不同的是,前者主要满足客户通过Internet 访问银行的网银平台和银行网站,而Internet接入区的主要用途是满足银行内部访问Internet。
在网络数据的流向上也有很大区别,前者是以入流量为主,后者是以出流量为主。
广域网/城域网接入区:国内多数银行是全国性网络,在各省市都设有分支机构,为满足各级分行访问数据中心后台系统,实现业务的正常开展,在数据中心网络设计上需要设置一个专门的广域网接入区,通过广域网线路连接数据中心各后台业务系统。
各服务器接入区:前几个网络功能区,主要根据接入客户的类型及途径的不同进行网络划分。
在数据中心后台,一个主要的区域是各种应用服务器的接入,其划分原则较灵活,如图1所示,主要有主机区、开放系统区、多媒体区和模拟测试区。
(2)统一的安全防范体系从网络设计角度看,最大的安全威胁主要来自银行外图1 银行数据中心网络功能分区图2 网络安全区构建示意图echnology & ApplicationT 552009年3月部,结合上述网络功能区,涉及外部通信的主要有电子银行区、外网接入区和Internet 接入区。
电子银行区:目前各银行都不同程度地推出自己的网上银行业务,网银的安全性越来越引起大家的关注。
除了应用本身的身份认证、数据加密技术外,在网络层需要设置高性能的防火墙和入侵检测设备,部署严格的安全准入和访问控制策略,最大化阻断来自Internet 的网络威胁。
外网接入区:在网络安全设计上,通常部署隔离区(DMZ),实现外部数据的通信结束于DMZ 内的应用服务器,并且在接入设备上部署相关的访问控制列表(ACL)等安全策略。
同时配合IDS 对非法入侵进行检测和报告。
具体实现如图2所示。
Internet 接入区:该区的功能如前文所述,主要满足内部员工访问Internet 的通信需求。
在安全上,除了防火墙、入侵检测等技术外,通常还采取代理服务器方式。
所有进出Internet 区的数据都要经过代理服务器进行中转,从物理上隔绝来自外部的不安全因素。
(3)统一的数据存储网络随着数据的集中,各应用服务器的部署也逐项从分散式向集中式推进,数据中心需要存储大量数据。
在存储技术方面,RAID、磁盘等基础技术已经成熟,磁盘阵列的应用也普遍存在。
但传统的磁盘技术很难满足大量数据对存储的需求,难以实现应用对磁盘的充分利用,较好的解决办法是存储区域网络(SAN)。
如图1所示,所有后台服务器的数据存储部分均连接到一个共同的数据集中存储区,通过部署2Gbps 光纤通道,利用基于以太网的iSCSI 以低廉的成本连接到共享的存储空间。
光纤通道、iSCSI 和FCIP 等存储交换技术将服务器和磁盘阵列高速连接,实现高速的数据存储,最大限度利用磁盘空间,同时实现高速的存储数据和IP 数据网络的连接。
(4)灾备中心的建设灾难备份解决方案以网络为基础,在存储区域网与网络之间采用光纤通道交换机来实现连接。
生产中心和灾难恢复中心运行同样的系统,包括操作系统、基础数据库和应用软件,并配备数据复制管理器。
假如生产中心发生灾难,备份中心会将业务数据及时恢复到备用服务器上,并自动将业务切换到备用服务器,然后实现业务的远程切换,恢复系统的不间断运行。
同城灾备:灾备中心和主生产中心基本处于同一城市,物理距离在几十公里以内,中心之间通过裸光纤或DWDM 技术,实现数据的实时同步备份和切换。
如图3所示,生产中心和灾备中心之间通过DWDM 技术互连,利用DWDM 技术提供的多路FiberChannel 光纤将生产中心和灾备中心的磁盘阵列连接,通过存储交换技术实现高速的数据存储的备份。
同时利用DWDM 技术提供的千兆位GE 光纤实现高速IP 数据网络的连接。
异地灾备:生产数据中心、灾备数据中心之间的互连通过租用运营商提供的高带宽线路实现。
通常采用高速SDH 线路,实现生产数据中心与灾备数据中心之间的网络互连。
对于异地灾备中心的网络连接线路,其线路带宽主要根据银行的业务及主机通信需求设定。
当前一般在155M ~1G 的数量级,并要求在电信的骨干传输平台上实现可靠的服务质量保证机制,以及严格的线路容错能力。
一旦骨干链路出现故障,保证能够在极短的时间内切换到备份链路。
为便于灾难备份系统的日常维护与管理,在两个中心均实现相关的网络监控和管理功能。
两地系统的监控终端作为各自的系统监控终端可远程访问,当生产系统发生灾难时,原生产系统上的监控终端可通过TCP/IP 网络连至备份系统进行操作。
三、结论采用通用网络和存储技术,根据应用类型和需求将网络分割成多个区域,形成一种模块化结构的数据中心,排除了多种业务在网络中互相影响和干扰的可能,能够在低成本的情况下,使网络接入能力和安全等方面最大限度地满足银行业务发展对数据中心的要求。
图 3 利用DWDM 连接数据中心。
