银行分行数据中心项目工程实施方案银行分行数据中心项目工程实施方案第1章项目概况1.1 项目背景某银行某分行为满足业务需求，将根据模块化的、分层的、分级的现代数据中心设计理念，构建一个满足可扩展性、灵活性和高可用性的网络基础架构，实现对分行各业务系统提供统一的基础设施服务支持的目标。

1.2 项目目标随着数据大集中的完成，分行业务处理模式将发生根本性变化，由先前的业务处理发生在分行本地演变成所有核心业务均上送总行统一处理。

另一方面全行各类信息业务平台、管理平台的不断投入使用，带来明显的网络交易压力，对网络带宽、稳定性和安全性提出了更高要求。

同时，由于网络设备持续运行，年久老化，面临较重的运行压力。

今后拟对分行网络系统进行一次升级改造，确保网络处理能力满足未来发展需要，真正实现业务处理和信息管理的高速运行。

根据当前成熟的网络技术并结合网络技术将来的发展趋势，分行网络系统改造目标是建成一个高性能、高可靠性、安全冗余、可扩展的网络安全通信平台。

网络改造具体涉及到以下几点：1.网络设备更换或升级分行网络自建成运行以来，已经连续运转八年，网络设备已出现不同程度的老化，部分设备性能已严重落后于现有同等网络产品，甚至部分产品已停产或淘汰，为保证分行网络的安全运转，优化分行网络性能，预防网络故障的发生，对分行老旧网络设备进行更换或升级。

同时，网络改造必须采用国际通用的标准，在网络模式、设备的选择、线路的选择、实施和管理等各个环节上都采用现行国际标准和行业标准，以方便以后对网络的升级、更新和维护；充分考虑各个网络产品(软件、硬件)的兼容性，网络设备的冗余性；所有网络设备必须支持IPV6，满足下一代数据通信网络的需要。

2.千兆网络建设随着数据大集中项目的实施，以及各种新业务系统的上线，网络系统资源的占用越来越大，提高业务处理的速度和质量，成为分行网络建设的重点。

鉴于分行现有的百兆网络面临的业务压力，必须提升网络带宽，对分行核心网络设备实现千兆光纤互联，保证网络的快速处理能力，并实现核心应用服务器的千兆连接。

3.网络区域划分目前分行网络划分为外网、内网、DMZ区三个大的区域。

为了增加网络的安全性、可管理性，对网络按不同的功用，进行更细致的区域划分，共划分为十一个区域，通过区域的划分使分行网络结构更加合理，各部分的功能一目了然，便于管理和安全规则的设置。

为了保证网络的安全，在各区域间架设防火墙，对网络的访问进行过滤和限制。

第2章网络总体规划2.1 网络现状原组网图如下：到外联单位（证券公司、人行、电信代收费等）华夏银行济南分行网络逻辑拓扑图目前某银行某分行（以下简称分行）网络系统分为内网、外网、DMZ区三部分，各区之间通过防火墙进行了有效隔离。

内网由核心、汇聚、接入三层结构组成，严格按照网络的三层结构设计建设，是分行内部网络业务系统；外网是第三方接入网络；DMZ区是部分公用系统和无线网络接入区。

分行网络经过总行大集中网络改造后，已实现了核心冗余，汇聚冗余、接入冗余，实现了设备和线路的冗余。

内网核心网络设备采用两台思科6509高端设备，处理速度快，稳定性高。

两台设备互为备份，实现核心冗余；汇聚设备由两台思科75系列设备构成，并互为备份，一台设备出现故障，另一台可立即接管；接入层为思科2621XM路由器，通过网通和广电两条2M SDH接入核心网络，两条线路一主一备，保证业务连续性。

在内部网络的基础上分行又建设了终端网，各支行终端可通过10M光纤接入核心终端服务器，从而访问分行生产网络，大大提高了网络访问速度。

外联网是第三方接入分行网络区域，第三方用户通过一台思科75系列路由器和两台思科28系列路由器接入分行生产网络。

另外，为保证接入银联网络的稳定性，分行把银联业务网络单独隔离，与核心网络直接联接，并通过防火墙进行了有效隔离。

DMZ区是部分公用系统区和联通无线网络接入区，分行利用联通网络建设了无线vpn网络，通过无线vpn网络分行单点ATM和移动办公终端可在联通无线信号覆盖的任何区域接入分行网络。

为保证网络安全，通过防火墙与联通网络进行了隔离，单点ATM和移动办公终端在数据传输时均采取了严格的加密措施。

内部网络三个区域之间通过防火墙（pix520）进行隔离，并设置了相应的访问策略，同时利用思科的内容交换机（cisco11051）和防火墙相结合，实现了防火墙的负载均衡和冗余备份。

分行网络通过cisco7606和华为NE16接入总行网络，两台设备互为备份，通过防火墙与总行网络隔离。

在网络监控和预防非法入侵方面，分行采用联想N820入侵检测设备，实时监测网络运行状况。

目前的网络存在以下问题：1、设备的老化，故障频发：分行网络从建设运行至今已有八年，大部分设备已出现不同程度的老化现象，网络设备运行故障升高，断电后再启动、死机，重启后无法启动等现象频繁发生。

6台内容交换机和1台PIX防火墙都出现过硬件故障；两台汇聚路由器cisco7567和cisco7507引擎故障，自动重启；各支行网络由路由器cisco2621陆续出现了故障。

设备的老化已经严重影响了网络的正常运行。

2、系统陈旧，功能匮乏：现有两台核心交换设备cisco6509操作系统为CATOS，而现在CATOS已淘汰，目前市场流行的路由和交换设备都使用IOS，因此导致不能兼容多数新型的网络设备和各种新的功能特性，致使许多安全措施无法应用，影响核心网络的安全性。

3、架构落后，安全风险大：随着业务系统的扩展，现有网络虽采用了分层的设计思想，但没有对各功能区域进行划分，各业务系统及功能区域之间没有指定清洗的安全等级，不利于安全策略的制定。

2.2 新建网络设计新网络拓扑如下：华夏银行济南分行网络拓扑新建网络有如下优点：1.结构整齐，层次清晰，便于管理。

2.采用动态路由协议，维护简单，扩展性好；第3章设备部署3.1 设备命名规则为便于进行网络故障诊断和远程监测，参照总行《网络设备命名规范》分行将统一全辖网络设备的命名。

网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。

设备名称的字母全部采用大写表示。

主要网络设备的ID命名规则如下：A_B_C_D_E：A：分行名称（如上海分行、等）B：区域名称（如核心区、服务器区、办公区、管理区、等，也可表示支行名称）C：区域层次（如汇聚层或接入层）D：设备类型（如核心交换机、路由器、防火墙、入侵检测、等）E：设备序列号（如第一台、第二台、等）根据上述描述，每个字段做如下进一步的明确：A：分行名称B：区域名称C：区域层次D：设备类型E：设备序列号例如：BJ_CORE_SW_1：表示北京分行（BJ）核心区(CORE)核心交换机（SW）第一台（1）；SH_ADMIN_DL_SW_1：表示上海分行（SH）管理区（ADMIN）汇聚层（DL）交换机（SW）第一台（1）；SH_APPSVR_AL_SW_1（或_2）：表示上海分行（SH）业务服务区（APPSVR）接入层（AL）交换机（SW）第一/二台（1或2）；SH_EXTCONN_FW_1：表示上海分行（SH）外联区（EXTCONN）防火墙（FW）第一台（1）；TJ_YYB_RT_1：表示天津分行（TJ）分行营业部（YYB）路由器（RT）第一台（1）；下表是本次项目全网设备的命名3.2 网络设备的链路描述（Description）规则为了便于网络设备的维护，应在网络设备中用到的接口中配置相应的描述（Description）命令，对链路的走向进行描述，具体格式为：行内线路描述：description <To 对端设备ID 对端设备接口ID>其中，设备ID请参照《网络设备ID命名规范》，设备接口ID请参照设备厂商的端口命名规范。

外联线路描述：description <To 外联单位名称>3.3 VLAN命名规则为便于管理，VLAN名称应使用统一的命名规则网络互联VLAN主要以英文缩写命名：本方案涉及的VLAN名称如下:3.3.1 核心区3.3.2 业务服务器区3.3.3 办公服务器区3.3.4 开发测试区3.3.5 终端接入区3.3.6 分行用户接入区3.3.7 管理控制区3.3.8 外联接入区及DMZ区3.4 软件版本3.5 槽位部署第4章VLAN及IP地址规划4.1 VLAN规划4.1.1 核心区根据分行新网络建设的统一规划核心区设备VLAN的划分见下表：4.1.2 业务服务器区4.1.3 办公服务器区4.1.4 开发测试区4.1.5 终端接入区4.1.6 分行用户接入区4.1.7 管理控制区4.1.8 外联接入区及DMZ区4.2 端口划分1. 核心区2. 业务服务器区3. 办公服务器区4. 开发测试区5. 终端接入区6. 分行用户接入区7. 管理控制区8. 外联接入区及DMZ区4.3 IP地址规划4.3.1 IP的规划根据《总行IP地址规划》的要求，某分行新建网络的互联IP网段和应用系统IP规划如下：1. 核心区2. 业务服务器区3. 办公服务器区4. 开发测试区5. 终端接入区6. 分行用户接入区7. 管理控制区8. 外联接入区及DMZ区4.3.2 设备管理地址第5章路由协议部署5.1 网络总体路由策略路由总体规划图如下所示：华夏银行济南分行网络拓扑●与总行互联的广域网广域网保持BGP路由协议不变，某银行某分行路由器与总部路由器之间建立eBGP邻居关系，与总行交换路由。

●中心网络以及下联支行采用ospf某分行以及各地支行局域网与广域网路由器相连，使用OSPF协议。

与总行互联的核心路由器为分行局域网与总行广域网的路由边界点，负责OSPF与BGP的路由再发布，将BGP的路由导入OSPF，使局域网学到外部路由，同时也将OSPF 的路由以network 的方式导入BGP，使广域网学到局域网的路由。

每个分支划归一个区域，所用区域号保持不变。

●外联两台路由器之间启用单独的ospf外联两台路由器启用ospf，将外联单位静态路由引入并发布给另一台路由器。

总体cost值规划如下：5.2 核心区域路由设计核心区域拓扑图如下所示：华夏银行济南分行核心区网络拓扑如图所示，核心交换机7506E作为二层使用，其内置的防火墙模块与上联路由器、下联路由器、业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、管理控制区汇聚交换机运行OSPF动态路由协议，各互联接口划分至Area 0。

在核心交换机7506E内置的防火墙上配置外联区静态路由，下一跳指向外联区防火墙VRRP虚地址，将静态路由引入到OSPF中。

5.3 广域网区路由设计广域网区拓扑图如下所示：华夏银行济南分行广域网拓扑。