(一)网络
2、网络技术方案
2.1建设背景
随着社会的发展和科技的进步,金融行业越来越依赖于数据处理来进行业务运营,对IT系统的依赖性也随之增加。然而,灾难就像灰尘一样伏击在企业周围,您的业务可能正在一个充满风险和威胁的世界里运行:无法预知的IT 硬件设备的损坏、断电、火灾、自然灾害、恐怖袭击等,造成数据丢失或业务的突然中断;
系统人员误操作造成意外宕机或关键数据丢失,无法避免;手段频多的黑客攻击、病毒入侵、垃圾邮件、网络与系统的漏洞,造成网络瘫痪、系统崩溃。
如果不能对风险采取有效治理,一旦数据由于上述某种原因丢失,就有可能造成整个银行在运营上的重大不便和经济损失,银行的信誉也将受到影响。如果核心数据丢失,严重时完全有可能造成整个银行的瘫痪。
由此可见,保证银行的业务连续运营及数据处理的高可靠性和高可用性,已经成为所有IT人员在建设IT基础架构中首先要考虑的问题。与此同时,我们需要考虑建立和加强银行的业务恢复能力,缩短业务恢复的时间,以便在发生系统灾难后能够从容应对风险。故此,银行对IT系统提出了以下要求:
1)网络系统的高可用性,保证数据7X24 小时的连续访问;
2)将现有的网络技术集成,建设高效、可靠、可自恢复并且安全的骨干网络,为未来发展奠定良好的基础。
3)需要能够支撑对银行现有的数据以及各种应用系统进行集中化、自动化的基于策略的保护;
4)需要一套成熟度高,业内应用广泛的网络整体解决方案,一旦发生灾难(洪水、地震、火灾等),或者人为灾难(用户失误、磁盘失效等)导致数据丢失或者业务中断时,能够快速、及时地恢复数据,保证业务的连续运行。
为进一步推进某银行信息化建设,以信息化推动某银行业务工作的改革与发展,需要在抚顺本地建设某银行的同城灾备中心,建设新一代绿色高效能数据中心网络。同时主中心需进行适当的扩容以配合此次同城灾备的实施。
此次建设的重点是数据中心,数据中心(英文拼写Data Center,简写DC)是数据大集中而形成的集成IT应用环境,它是各种IT应用服务的提供中心,是数据计算、网络、存储的中心。数据中心实现了安全策略的统一部署,IT基础设施、业务应用和数据的统一运维管理。
数据中心是当前各行业的IT建设重点。运营商、电力、能源、金融证券、大型企业、政府、交通、教育、制造业、网站和电子商务公司等正在进行或已完成数据中心建设,通过数据中心的建设,实现对IT信息系统的整合和集中管理,提升内部的运营和管理效率以及对外的服务水平,同时降低IT建设的TCO。数据中心的发展可分为四个层面:
? 数据中心基础网络整合:根据业务需求,基于开放标准的IP协议,完成对企业现有异构业务系统、网络资源和IT资源的整合,解决如何建设数据中心的问题。
? 数据中心应用智能:基于TCP/IP的开放架构,保证各种新业务和应用在数据中心的基础体系架构上平滑部署和升级,满足用户的多变需求,保证数据中心的持续服务和业务连续性。各种应用的安全、优化与集成可以无缝的部署在数据中心之上。
? 数据中心虚拟化:传统的应用孤岛式的数据中心模型扩展性差,核心资源的分配与业务应用发展出现不匹配,使得资源利用不均匀,导致运行成本提高、现有投资无法达到最优化的利用、新业务部署难度增大、现有业务持续性得不到保证、安全面临威胁。虚拟化通过构建共享的资源池,实现对网络资源、计算计算和存储资源的几种管理、规划和控制,简化管理维护、提高设备资源利用率、优化业务流程部署、降低维护成本。
? 数据中心资源智能:通过智能化管理平台实现对资源的智能化管理,资源智能分配调度,构建高度智能、自动化数据中心。
2.2方案规划与设计
2.2.1 网络建设目标
某银行主中心数据与备份中心数据中心未来将承载所有生产环境系统。数据中心网络作为业务网络的一个重要组成部分,为核心业务系统服务器和存储设备提供安全可靠的接入平台。网络建设应达成以下目标:
高可用――网络作为数据中心的基础设施,网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面:
? 高可靠:应采用高可靠的产品和技术,充分考虑系统的应变能力、容错
能力和纠错能力,确保整个网络基础设施运行稳定、可靠。当今,关键业务应用的可用性与性能要求比任何时候都更为重要。
? 高安全:网络基础设计的安全性,涉及到银行业务的核心数据安全。应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划,从局部安全、全局安全到智能安全,将安全理念渗透到整个数据中心网络中。
? 先进性:数据中心将长期支撑某银行的业务发展,而网络又是数据中心的基础支撑平台,因此数据中心网络的建设需要考虑后续的机会成本,采用主流的、先进的技术和产品(如数据中心级设备、虚拟化支持等),保证基础支撑平台5~10年内不会被淘汰,从而实现投资的保护。 易扩展――某银行的业务目前已向多元化发展,未来的业务范围会更多更广,业务系统频繁调整与扩展再所难免,因此数据中心网络平台必须能够适应业务系统的频繁调整,同时在性能上应至少能够满足未来5~10年的业务发展。对于网络设备的选择和协议的部署,应遵循业界标准,保证良好的互通性和互操作性,支持业务的快速部署。
易管理――数据中心是IT技术最为密集的地方,数据中心的设备繁多,各种协议和应用部署越来越复杂,对运维人员的要求也越来越高,单独依赖运维人员个人的技术能力和业务能力是无法保证业务运行的持续性的。因此数据中心需要提供完善的运维管理平台,对数据中心IT资源进行全局掌控,减少日常的运维的人为故障。同时一旦出现故障,能够借助工具直观、快速定位。
网络分层――网络分层设计是将网络设备分为核心层、接入层,通过分层部署可以使网络具有很好的扩展性(无需干扰其它区域就能根据需要增加容量),可以提升网络的可用性(隔离故障域降低故障对网络的影响),可以简化网络的管理(拓扑结构结构更清晰)。
对于某银行数据中心而言,各功能区域的网络核心层都划归到数据中心核心区域,也就是说各功能区域包括汇聚层网络设备和接入层网络设备(对于各服务
器区,汇聚设备和接入设备合二为一),由此而构成了一种核心边缘网络结构,以核心区为中心,其他作为边缘处理。
这样设计的优点:
首先,各功能区域的业务系统都需要和其它区域的业务系统进行交互,因此需要在网络中设计一个知道其它区域路由的区域,这就是数据中心核心区。同时由于在各个区域中已经部署了安全管理的功能,因此为了保证更好的网络性能,将不需要在核心区上面再部署额外的安全功能,只需要部署高性能的交换机即可。
其次,这种设计将使某银行数据中心获得更好的伸缩性能,例如,未来根据业务发展的需要,可以非常容易的增加新的功能区域,而不需要对整个Server Farm的网络架构进行大的修改。具备更好的可管理性, 因为每个区域的安全功能和详细的路由可以根据每个区域的功能进行定义,因此针对每个区域可以预测一些特别路由路线和将来的需求,同时也可以在不影响其他应用或者整个区域的情况下进行数据中心网络的优化。
2.2.2总体设计思路及原则
数据中心为某银行业务网络、日常办公与外联单位提供数据访问、OA和视频等服务,以及各业务的安全隔离控制。数据中心并不是孤立存在的,而是与某银行数据中心、网络汇聚中心外联单位网络等网络区域相辅相成,数据中心基础网络是业务数据的传输通道,将数据的计算和数据存储有机的结合在一起。为保证数据中心网络的高可用、易扩展、易管理,数据中心网络架构需按照结构化、模块化和扁平化的原则设计: ? 结构化
结构化的网络设计便于上层协议的部署和网络的管理,提高网络的收敛速度,实现高可靠。数据中心网络结构化设计体现在适当的冗余性和网络的对称性两个方面。如下图所示:
冗余的引入可以消除设备和链路的单点故障,但是过度的冗余同样会使网络
过于复杂,不便于运行和维护,因此一般采用双节点双归属的架构设计网络结构的对称,可以使得网络设备的配置简化、拓扑直观,有助于协议设计分析。
在数据中心网络设计时,由于引入了冗余和对称的设计,这必将引入网络的环路,可通过如下建设思路消除环路影响: 1. 启用STP和VRRP协议
传统解决方案,标准的协议,设备要求较低。但此种部署方案网络的协议部
署复杂,收敛慢,链路带宽利用率低,运维管理工作量大。本方案设计不采用此方法。
2. IRF网络设备N:1虚拟化技术
通过H3C IRF技术对同一层面的设备进行横向整合,将两台或多台设备虚拟为一台设务,统一转发、统一管理,并实现跨设备的链路捆绑。因此不会引入环路,无需部署STP和VRRP等协议,简化网络协议的部署,大大缩短设备和链路收敛时间(毫秒级),链路负载分担方式工作,利用率大大提升。