银行网络架构技术交流-20120327
银行综合接入网络解决方案
银行综合接入网络解决方案银行综合接入网络解决方案一、网络现状及需求分析1.1 现行网络结构及应用从分行中心或支行中心到网点的接入网络各地区发展不平衡。
按照网络类型来划分,主要有两类:IP网点和非IP网点,有的分行已经实现全部IP到网点,有的分行还存在以模拟专线通过多路复用MODEM为主的终端连接方式。
按照网点直连模式来划分,主要有两类:直连分行中心和直连支行中心,有的分行已经实现全部网点直连分行中心,有的分行网点目前全部连接在支行中心。
按照线路类型来划分,有模拟专线、DDN、FR等线路类型,有的分行甚至已经实现网点光纤入户。
1.1.1 现行网络模式图1.1.2 现行网络描述分行中心的路由器为单层结构(小部分分行中心为双层结构),上连、下连为一套热备份72或36系列路由器。
下行连接网点仅一条通信主线路,为解决线路备份问题,在分行中心放置拨号备份路由器,利用PSTN/ISDN实现拨号备份,拨号备份路由器一般为25或26系列路由器。
同时在分行中心放置终端服务器,连接多路复用器,向下连接非IP网点的终端和ATM机。
在支行中心一般为低档的25系列路由器,配置单以太口,双高速串口,一个异步拨号备份口,部分低速串口。
支行路由器通过高速串口上连,通过低速异步端口连接IP网点。
在支行中心放置终端服务器连接多路复用器,向下连接非IP网点的终端。
IP网点一般为低档的26或25系列路由器组网,同时实现IP通信和哑终端应用。
非IP网点一般用多路复用器,通过模拟专线上连到分行中心和支行中心的终端服务器,实现哑终端和ATM设备的数据通信。
主通信线路主要采用模拟专线、DDN、FR为主流,拨号备份主要采用PSTN或ISDN 备份。
路由协议主要采用静态路由协议。
1.2 现行网络结构分析1.2.1 分行中心分行中心主通信线路路由器基本满足下行连接要求,但分行中心拨号备份路由器一般为25或26系列路由器,拨号备份端口数量受限制,不能很好的满足规模较大分行对拨号备份端口数量的要求。
银行网络安全架构
银行网络安全架构银行网络安全架构是指银行为了保护其网络安全,采取的一系列防护措施和技术体系。
由于银行数据的重要性,银行网络安全架构需要具备高度可靠、稳定、高效的特点,以保障客户的资金安全和个人信息的保密性。
银行网络安全架构主要包括以下几个方面的内容:1. 信息安全策略:银行需要制定一套科学完善的信息安全策略,明确相关人员的责任和义务,规定网络使用规范,完善信息安全的管理体系。
2. 安全评估与检测:银行需要定期对其网络进行安全评估与检测,检查网络是否存在安全隐患,确定是否有未知攻击。
3. 防火墙:银行需要建立高防火墙网络,阻断恶意攻击和入侵,降低银行网络被黑客攻击的风险。
4. 数据备份与恢复:银行需要制定一套完善的数据备份与恢复计划,确保在网络被攻击或其他突发事件导致数据丢失时,能够及时恢复数据,避免对客户造成不必要的损失。
5. 安全认证与身份验证:银行需要采用多种身份验证技术,比如指纹识别、虹膜识别、密码等,确保只有合法用户可以访问银行的网络系统和敏感数据。
6. 安全事件响应:银行需要建立快速响应机制,及时发现并处理所有可能的安全事件,最大限度地减少损失。
7. 网络监控和入侵检测系统:银行需要建立完善的网络监控和入侵检测系统,监测所有网络流量,及时发现并阻止潜在的安全威胁。
8. 安全教育和培训:银行需要加强员工的安全意识和技能培训,提高员工的安全防范能力,防止内部人员犯罪行为造成的安全隐患。
9. 合规与监管要求:银行需要根据国家的相关法律法规和监管要求,制定相应的安全措施,确保银行网络的合规性和安全性。
总之,银行网络安全架构需要建立多层级、多重防护的安全体系,以提供有效的安全保障和防御能力。
只有建立稳固的银行网络安全架构,才能保障银行的正常运营和客户资金的安全。
商业银行骨干网
2
2.2 业务流量模型
银行主要有生产、OA 办公、音/视频三大类业务,其中生产是最核心、最关 键的业务。数据大集中,使得这些业务的服务器逐步上收。通常在网点只会有 CLIENT 端,而前置端的服务器一般已经集中至一级分行,应用端、数据库端的 服务器则在数据中心集中。当然,由于业务类型的不同,仍然会存在着差异,但 是集中的大趋势是不变的。
၊࠱ັیܨ
ቁҎ
၊࠱ऍჟັ
၊࠱ྣٻ
ັیܨ࠱م
࠱مऍჟັ
ྣٻ࠱م
ೠ࠱ࠀࢬັ
ັ ᆮྣ
ັ
ັ
ቁྣ
ັྗފ ගऔᇗྗħᄡЩ
၊࠱ັیܨ
ቁҎ
၊࠱ऍჟັ
Ӵ൯ྣٻ
ັࢬࠀ࠱م
ັ
ັ
ᆮྣ
ັ
上图是银行的网络整体逻辑架构图,通过各级的骨干网,把局域网连接起来。末端网点,支行汇接至上级 行,上级行的下联汇接平台,根据其下挂网点数量的多寡具备不同密度的汇接能力。一级分行与二级分行之间 的联接称为二级骨干网,包含一级分行的下联部分及二级分行的上联部分。总行、数据中心与一级分行之间连 接称为一级骨干网,包含总行、数据中心的下联部分及一级分行的上联部分。总行、数据中心、灾备中心之间互 联需要核心网。
QOS 设计:局域网内都是线速交换,而只有广域网线路才会是带宽的瓶颈。骨干网承载多种业务,不同的 业务,对优先级和服务质量的要求不同,因此在骨干网上带宽需要更加精细的管理,需要根据业务优先级的不 同提供相应的传输保障。
银行网络建设方案
网络建设方案参考国内外同行业的组网模型,按照标准化、模块化、结构的原则进行生产中心的升级,改变现状生产中心过于扁平化、安全性低的现状,可以将生产中心规划为:核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。
在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安全、高扩展和易管理。
➢核心交换区:为生产网络的各功能子区提供核心路由交换。
➢生产核心区:部署天津商行生产服务和生产小机。
➢前置机服务器区:连接各种业务前置机专用区域➢楼层接入区(迁移):负责本地办公用户的接入。
➢网银区(迁移):部署网上银行业务的服务器。
➢DWDM区:连接生产中心和灾备中心的广域传输系统区域。
➢广域网接入区:部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。
➢中间业务外联区:通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
➢运行维护区:部署网络和系统管理及维护的业务系统。
4.1设计概述4.1.1东丽数据中心整体结构东丽数据中心主要需要建立IP网络和存储网络。
在IP网络中,按业务功能和安全需要分为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等)连接相应的主机、服务器、pc机等设备,每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。
IP网络主要分为以下网络区域:核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、网银区、DWDM区、广域网接入区、中间业务外联区、运行维护区,如图:4.1.2 VLAN规划在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用对各自架构的QOS需求,再进一步将网络分区划分为逻辑组。
为了完成以上阐述的模块化架构,需要在网络的第2层创建VLAN。
在不同分区之间互联点和分区内部上行连接点上,都需要创建VLAN。
网路银行系统架构
電子商務安全
10-2
Module 10:實務應用案例- 網路銀行
• • • • Module 10-1:網路銀行基礎架構 Module 10-2:網路銀行應用範例 Module 10-3:網路ATM應用範例 參考文獻
電子商務安全
10-3
Module 10-1:網路銀行基礎架構
電子商務安全
10-4
電子商務安全
10-5
網路銀行交易系統包含二個主要交易系統
• 網路銀行 (又分為個金網銀與企金網銀)
– 業務:台外幣查詢、轉帳、信用卡、基金、貸款、 匯款、授信、現金卡、掛失、申請、繳費稅、變更 資料及密碼 – 使用對象:限己在銀行開戶的個人或企業戶
• 網路ATM
– 業務:台幣查詢、轉帳、繳費稅、變更密碼 – 使用對象:不限任何銀行客戶,只要擁有合法晶片 金融卡及 card reader,即可在網路上交易
Web server
DB server
外部網路 internet
Network 防火牆 Firewall #1
Web AP Firewall
Байду номын сангаас
Network 防火牆 Firewall #2
內部網路
Mail server
AP server
電子商務安全
10-17
防火牆架構 (續)
• 架構說明
– 架構中, Firewall #1左方為網際網路(外部區域), 右方直接連結至DMZ – DMZ中提供公開服務,如 web、mail… – DMZ後方也是連結防火牆Firewall #2,分隔內部網 路與DMZ中的網域 – DMZ中的服務有獨立的防火牆保護 – Firewall #1規則為DMZ和內部網路流量存取保護 – Firewall #2規則為僅允許內部網路對外存取
银行网络建设方案
网络建设方案参考国内外同行业的组网模型,按照标准化、模块化、结构的原则进行生产中心的升级,改变现状生产中心过于扁平化、安全性低的现状,可以将生产中心规划为:核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。
在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安全、高扩展和易管理。
核心交换区:为生产网络的各功能子区提供核心路由交换。
生产核心区:部署天津商行生产服务和生产小机。
前置机服务器区:连接各种业务前置机专用区域楼层接入区(迁移):负责本地办公用户的接入。
网银区(迁移):部署网上银行业务的服务器。
DWDM区:连接生产中心和灾备中心的广域传输系统区域。
广域网接入区:部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。
中间业务外联区:通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
运行维护区:部署网络和系统管理及维护的业务系统。
4.1设计概述东丽数据中心主要需要建立IP网络和存储网络。
在IP网络中,按业务功能和安全需要分为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等)连接相应的主机、服务器、pc机等设备,每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。
IP网络主要分为以下网络区域:核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、网银区、DWDM区、广域网接入区、中间业务外联区、运行维护区,如图:4.1.2 VLAN规划在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用对各自架构的QOS需求,再进一步将网络分区划分为逻辑组。
为了完成以上阐述的模块化架构,需要在网络的第2层创建VLAN。
在不同分区之间互联点和分区内部上行连接点上,都需要创建VLAN。
在数据内部,交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0,其他区域内部分别运行OSPF和静态路由。
网上银行系统业务框架需求及技术方案
网上银行系统业务框架需求及技术方案天津农村合作银行2009年1月目录1 网银系统业务需求框架 (1)1.1对私业务 (1)1.2对公业务 (1)2 网银系统技术需求概述 (5)2.1网银架构 (5)2.2关联系统说明 (5)2.3软件 (6)2.4硬件 (6)3 网银系统总体预算说明....................................................... 错误!未定义书签。
我行计划采用自建方式建设网上银行系统,系统采用B/S结构,利用互联网为渠道向客户提供多种服务。
在客户身份安全认证方面,采用静态密码、动态密码、加数字证书的方式,进行安全认证。
计划采用CFCA的数字证书,自建CFCA RA 系统的方式来实现。
1网银系统业务需求框架天津农村合作银行开办的网上银行业务分对私业务和对公业务两大类。
1.1对私业务(一)公共信息服务(本项服务对外开放,任何INTERNET用户只要登录我行网址即可享受此项服务)主要包括:机构简介、信息发布、存款利率查询、储蓄类型代码表、最新外汇牌价、银行业务简介、投诉、建议、客户调查、理财试算工具、在线客户服务等。
(二)查询服务(本项服务与以下各项服务必须先注册为我行的网上银行用户)主要包括:账户基本信息查询、账户余额查询、交易限额查询、账户当日明细查询、账户历史明细查询、账户未登折明细查询、查询/下载对账单、电子回单查询、贷款业务查询、交易积分查询、日志查询等。
(三)预约业务主要包括:大额取款预约、贵宾接待预约等。
(四)转账和汇款业务主要包括:定活转账、行内转账、批量转账、转账结果查询、收款人名册管理、跨行同城转账、跨行异地转账、约定转账、异地汇款等。
(五)通知存款主要包括:查询通知存款、活期转通知存款、通知存款转活期、通知存款预约、取消通知存款预约等。
(六)投资理财(七)贷款业务主要包括:按揭贷款查询、个人质押贷款、个人授信贷款申请、贷款预约等。
中小型商业银行骨干网络和网点解决方案
业务种类的增加,意味着带宽需求的增大。尤其是非生产类的业务,对带宽需求将更加明显。已 经有越来越多的银行,开始大量采用 MSTP 或裸光纤的线路,直接连接到网点。 精品网点不但需要更大广域网带宽,同时由于这些业务的优先级及数据流的特点各不相同,因此 需要在大带宽的广域网线路下同样满足服务质量保障的需要。 6.2 网点规模大设备多,接入更复杂
2. 网络结构及流量模型
2.1 网络逻辑架构
上图是银行的网络整体逻辑架构图,通过骨干网,把局域网连接起来。末端网点,支行汇接至上 级行,上级行的下联汇接平台,根据其下挂网点数量的多寡具备不同密度的汇接能力。总行、数据中 心与分行之间连接称为一级骨干网,包含总行、数据中心的下联部分及一级分行的上联部分。总行、 数据中心、灾备中心之间互联需要核心网。 通过这张逻辑架构图,我们就可以知道骨干网的重要程度,具体就会表现在对于网络可靠程度、 广域网类型支持丰富程度、汇接能力等需求方面。 2.2 业务流量模型
中小型商业银行骨干网络和网点解决方案
1. 银行组织架构
中小型商业银行的组织架构是通常都是一个分层级的金字塔结构,总体上具有代表性的类型如下:
中小型商业银行:总行——》城市分行——》网点 最上层是总行或数据中心,下挂城市分行,城市分行再下挂各种网点。以上是比较具有代表性的 组织结构,当然根据其规模的不同、或者发展阶段的不同,结构也会相应地进行最优化的调整。支行 管理下面所属的网点,但是随着管理的大集中,一般支行的经营决策管理职能已经很弱。
以上对当前主流的广域网线路选择的建议,只是基于现阶段的考虑,随着技术的发展亦会有所变化。 两条线路选用两家不同的运营商,可以分散由于运营商骨干链路故障而导致网络中断的风险,进一步 提高广域网的可靠性。同时还应该注意: 如果骨干网双线路是采用主备的模式,则要考虑,并不一定所有的业务都需要备份,尤其是非生 产类的业务优先级较低。如果只对部分的业务提供备份服务,则备份线路的带宽可以小于主线路 的带宽。 如果骨干网双线路是采用主副的模式,则可采用主线路传送最重要的生产类业务,副线路传送管 理类的业务。主线路应采用最稳定的线路类型。如果主线路中断,则副线路应无条件地为主线路 提供备份。如果主副完全互备而不是部分业务的互备,则主副线路带宽应该一致。
银行网络安全架构
银行网络安全架构随着信息技术的迅猛发展和银行业务的日益数字化,银行网络安全架构的设计和建设变得至关重要。
银行作为金融机构,拥有大量用户的财务信息和敏感数据,需要确保网络系统的安全稳定,以保护用户的资金和信息安全。
银行网络安全架构是一个复杂的系统,主要由以下几个方面组成:一、外部安全防护:银行需要建立强大的防火墙系统,通过检查和过滤进出银行网络的数据包,防止未经授权的外部访问。
此外,还需要建立入侵检测和入侵防御系统,及时发现和应对潜在的网络攻击。
二、内部安全保障:银行需要对内部员工的网络访问权限进行严格管理,确保只有合法授权的人员能够访问敏感信息。
可以采用访问控制技术和身份认证技术,限制员工的网络权限,并使用加密技术对敏感数据进行保护。
三、安全监控和日志管理:银行需要实时监控网络系统的运行状态,及时发现并处理异常情况。
可以通过网络监控、入侵检测、日志分析等技术手段,对网络系统进行全面的监控和管理。
同时,还需要建立完善的日志管理机制,记录和存储安全事件和操作记录,以便追踪和审计。
四、灾备和容灾:银行网络安全架构需要具备灾备和容灾能力,以应对各种突发事件和灾难。
银行可以建立分布式系统和多机房架构,确保网络系统的高可用性和容错性。
此外,还需要定期进行备份和复原,以保证关键数据的可恢复性和完整性。
五、安全培训和教育:银行网络安全架构的建设需要与员工的安全意识和技能培养相结合。
银行应该定期组织网络安全培训和教育,提高员工对网络安全问题的认识和理解。
同时,还要加强对员工的安全行为规范的约束和监督,确保员工不泄漏敏感信息,不从事违规操作。
在实际的网络安全架构设计中,银行还需要根据具体情况选择合适的技术方案和产品。
常见的技术手段包括加密技术、访问控制技术、防火墙技术、入侵检测和入侵防御技术、安全日志管理技术等。
同时,银行还需要定期进行安全评估和漏洞扫描,及时修复系统中存在的安全漏洞,提高网络系统的安全性和稳定性。
银行联网方案
银行联网方案第1篇银行联网方案一、背景随着金融业务的不断发展,银行机构对网络化、智能化的需求日益增强。
为实现业务高效处理、风险有效控制、客户优质服务,提高银行竞争力,特制定本银行联网方案。
二、目标1. 满足银行业务发展需求,提高业务处理速度和效率。
2. 确保网络安全,降低系统风险,保护客户信息。
3. 提高客户服务质量,提升客户满意度。
4. 符合国家法律法规及监管要求,确保合法合规。
三、联网方案设计1. 网络架构采用层次化、模块化的网络架构,分为核心层、汇聚层和接入层。
核心层负责处理高速数据交换,汇聚层实现业务汇聚和分发,接入层为各类终端设备提供接入服务。
2. 网络设备选型核心层:选用高性能、高可靠性的路由器和交换机,确保网络稳定运行。
汇聚层:选用支持高密度接入的网络设备,满足大量终端设备接入需求。
接入层:根据不同场景选择合适的接入设备,如无线AP、接入交换机等。
3. 网络安全(1)部署防火墙、入侵检测系统(IDS)和入侵防御系统(IPS),防止外部攻击和内部安全风险。
(2)采用虚拟专用网络(VPN)技术,实现数据加密传输。
(3)实施严格的访问控制策略,限制非法访问。
(4)定期进行网络安全检查和风险评估,确保网络持续安全。
4. 数据存储与备份(1)选用高效、稳定的数据存储设备,确保数据安全存储。
(2)采用两地三中心的数据备份策略,实现数据实时备份和灾难恢复。
5. 业务系统部署(1)根据业务需求,部署相应的银行业务系统,如核心业务系统、网上银行、手机银行等。
(2)采用云计算技术,实现业务系统的高效运行和弹性扩展。
四、实施方案1. 项目筹备成立项目组,明确项目目标、范围、时间表和预算。
2. 设备采购与部署根据设计方案,采购相关网络设备,并进行部署、调试。
3. 网络割接在确保业务正常运行的前提下,分阶段、分区域进行网络割接。
4. 系统测试与优化对业务系统进行测试,确保系统稳定运行,并对网络进行优化调整。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
■ 2011 ECCOM All Rights Reserved
Confidential
两地三中心网络架构 Best Practice
■ 2011 ECCOM All Rights Reserved
Confidential
两地三中心 网络架构规划
银行网络架构技术交流
2012.3.29
■ 2011 ECCOM All Rights Reserved
Confidential
内容
• 备份中心建设 – 从备份中心建设引导出银行网络架构技术讨论 • 两地三中心网络架构Best Practice • 核心网建设方案探讨 • 网络架构更多的考虑 • 新一代数据中心建设 • 案例分享 • 话题是灵活的、开放的
■ 2011 ECCOM All Rights Reserved
Confidential
备份中心:灾备模式
数据中心 备份中心 备用生产环境 生产环境 OA环境 备用OA环境
电信ATM
联通ATM
第1组分行
第2组分行
第3组分行
第4组分行
■ 2011 ECCOM All Rights Reserved
CHJNM
■ 2011 ECCOM All Rights Reserved
Confidential
备份中心建设 备份中心和数据中心的连接线路
总行办公大楼
Si Si
陆家嘴 ZJ-LJZ-DWDM
•规划DWDM连接方式 •规划DWDM网络端口(IP)需求 •规划存储端口需求
ZJTRSOSA ZJNAS ZJHXFW LJZ YW LJZ OA LJZ DSK LJZ OP
LJZ-ZJ-DWDM
LJZ-CHJ-DWDM
ZJTRSSNA
ZJ OP
ZJ DSK
CHJ TST -SNA/ OSA
CHJ OP
CHJ NAS
CHJ DSK
ZJEXFW-1
ZJDSKFW
•和客户确认并达 成共识。
分行
Confidential
两地三中心 网络路由规划
•
• • •
三中心的骨干网接入区域运行 BGP/OSPF协议 三中心之间建立EBGP 分行和数据中心/异地备份中心 建立EBGP 每个AS内部可考虑采用OSPF 协议或者IBGP
数据中心 骨干网 接入区
WAN 交换机
同城备份中心 骨干网 接入区
WAN 交换机
ZJ TRS
ZJ OA
ZJEXFW-2 LJZ DSK ZJ DSK
DLSW/SNASW/LLC2
ZJ MIS
ZJ OP
ZJTRSFW
ZJOAFW
ZJHKFW
LJZHKFW
LJZPRD -SNA/ OSA LJZTST -SNA/ OSA
ZJHXFW
ZJEXFW-1
ZJDSKFW
骨干网 接入区 域
ZJ TRS ZJ OA
■ 2011 ECCOM All Rights Reserved
Confidential
备份中心:备份模式
数据中心生产区域 DWDM/FC/数据同步/备份 应用系统 备用应用系统 备份中心备用生产区域
DWDM/L3 Routing
访问数据中心应用系统1 访问备份中心应用系统2
数据中心/ 骨干网接入区 AS 65001
同城备份中心/ 骨干网接入区 AS 65002 往分行业务 区域的数据流 往分行办公 区域的数据流
异地备份中心/ 骨干网接入区 业务线路 AS 65003 35.xx.0.0/16 10.xx.0.0/16 35.xx.0.0/16 (as-path不加长) 10.xx.0.0/16 (as-path加长操作, 加长4个AS号) 办公线路 分行/网点 AS 65xxx 35.xx.0.0/16 (as-path加长4个AS号) 10.xx.0.0/16
DLSW/SNASW/LLC2 ZJ TRS
CHJ TRSSNA
CHJ TRSOSA
CHJDSKFW
ZJ OA
CHJ TRS
CHJ OA
Layer 3 ZJTRSFW ZJOAFW
Layer 2 ZJCHJDWD M CHJTRSFW CHJOAFW
张江骨 干网接 入区域
漕河泾 骨干网 接入 区域
ZJNM
■ 2011 ECCOM All Rights Reserved
Confidential
备份中心:运营模式
数据中心生产区域 漕备份中心备用生产区域
应用系统1 (Active)
应用系统2 (Active)
DWDM/L3 Routing
访问数据中心应用系统1 访问备份中心应用系统2
■ 2011 ECCOM All Rights Reserved
Confidential
今天的备份中心建设 数据中心和备份中心关系
• 灾备是指在某些灾难性事件导致数据中心完全不能正常生 产的情况下,必须保证相关核心业务能完全转移到灾备中 心,同时灾备中心的网络结构能保证相关核心业务的正常 访问。 • 备份是指在数据中心部分设备或者应用系统无法提供正常 访问的情况下,备份中心能提供启动相关的备份设备或者 备份应用,保证相关业务的正常访问。 • 运营是指目前“双中心”或者“主、辅”数据中心的概念, 即备份中心的角色不再是数据中心的单纯的灾备或者备份, 而是可以根据业务需要或者数据中心规划,也能参与到数 据中心的日常生产工作中,分担数据中心的生产压力
Confidential
备份中心建设 广域网线路连接
数据中心
张江数 据中心 DWDM
备份中心
漕河泾 灾备中 心 张江数 据中心 DWDM 漕河泾 灾备中 心
张江骨 干网接 入区域
漕河泾 骨干网 接入 区域
切换到 灾备中心
张江骨 干网接 入区域
漕河泾 骨干网 接入 区域
电信 ATM/PVC
联通 ATM/PVC
数据中心 XXX区域
同城备份中心 同城备份XXX区域
异地备份中心 核心区 核心区 异地备份XXX区域
骨干网 接入区 骨干网 接入区
•
•
WAN 交换机
WAN 交换机
核心区
骨干网 接入区 WAN 交换机
•
许多讨论的话题
分行 ■ 2011 ECCOM All Rights Reserved
电信 ATM/PVC
联通 ATM/PVC
分行
分行
分支机构
数据中心
备份中心
Option1: 正常情况下,分支机构两条线路集中接 入到数据中心,运营商线路也会预先铺 设线路到灾备中心。
Option2: 正常情况下,分支机构 两条线路分别接入到数 据中心和备份中心。
分支机构
■ 2011 ECCOM All Rights Reserved
•分析目前数据中 心网络之间的 逻辑连接关系。
ZJTRSSNA
ZJTRSOSA
ZJ EBANK
ZJ MIS
ZJ OP
ZJ QUS
ZJ DSK
ZJEXFW-2
ZJINTFW-2
•和客户确认并达 成共识。
OP
ZJEBFW
ZJHXFW
第三方 ZJDSKFW 单位
张江 园区网
ZJEXFW-1
ZJINTFW-1 LJZ
Confidential
备份中心建设 更多的内容
• 路由协议设计: – BGP • 数据分流方式: – 主备、主副 • 备份中心发现 – 手工、RHI、DNS • 灾备中心切换流程 – (网络)
■ 2011 ECCOM All Rights Reserved
Confidential
LJZ-CHJ-DWDM
数据中心
张江
LJZ-DWDM-1 LJZ-DWDM-2 漕河泾
同城备份中心
Si
ZJ-DWDM-3 ZJ-CHJ-DWDM-1 ZJ-DWDM-1 ZJ-CHJ-DWDM-2
CHJ-DWDM-3
Si
Si
CHJ-DWDM-1
Si
ZJ-DWDM-2
CHJ-DWDM-2
■ 2011 ECCOM All Rights Reserved
备份中心 网络切换方案
• 在建设灾难备份的过程中,首先的步骤是进行风险分析和 业务影响分析,确定灾难备份建设的重要指标RPO与 RTO,然后考虑灾难恢复的策略,并且确定技术方案和应 急预案,制定灾难恢复流程。网络切换方案应该是整体灾 难恢复流程的必要组成部分。 • 就网络层面来看,首先是要在备份中心完成网络系统的建 设,所建设的网络系统和数据中心的网络系统应该保持一 致,满足灾备的需要。相关应用系统、数据处理系统等备 用系统在备份中心的网络连接就绪。
• 数据中心由于其自身的重要性,决定了从数据中心正式投入生产运营 开始,数据中心必须确保业务的连续运作,不管发生什么情况,重要 的系统和网络必须具有不间断的可用性,也就是要实现业务永续(即 确保7X24的高质量服务)或者业务连续性。 • 为了实现以上要求,数据中心在加强自身日常运维工作的同时,需要 建立同城(和异地)灾备(或者是备份)中心,并制定完善的灾备方 案。数据中心的备份包括备用应用系统、备用数据处理系统、数据备 份系统、备用网络系统等方面,而这些都建设在相应的备份中心。 • 为了有效的使用备份中心的资源,数据中心一体化要求数据中心和备 份中心成为一体,备份中心能同时实现灾备、备份和运营三大目标。
■ 2011 ECCOM All Rights Reserved
Confidential
备份中心建设
■ 2011 ECCOM All Rights Reserved
Confidential