【金融保险类】银行网络数据中心设计方案

合集下载

金融行业网络方案设计

会员提供：金融行业网络方案设计来源：作者：56cto会员发布时间：2008-06-15 阅读次数2141、数据中心的安全架构a) 应用需求银行数据中心的网络是银行的业务核心的基础，其重要性不必赘述。

在这一网络体系中，银行的生产应用所运行的网络是需要受到最大程度保护的，以保障其可靠性、性能和安全性，同时还要保证高速数据处理能力；不同生产应用位于不同区域，具有不同的访问需求和安全级别要求。

除了生产网络之外，数据中心还需要为其办公人员提供办公应用的平台，即OA网。

OA网络中存在着许多易受安全攻击的系统和应用，并且通常与Internet相关联，往往是安全事件的发源地。

为此，一方面我们需要通过安全架构和管理加固OA网络本身，更重要的是要将办公数据与生产核心应用分离开来，即实现两网分离。

b) 解决方案数据中心网络安全架构按照由外向内的顺序，下面对所部署的安全设备与技术进行简要描述：•第一道防范：广域网入口处部署防止DOS/DDOS攻击的工具，如专用DOS防范设备、IPS等；将由人为攻击和蠕虫病毒带来的DOS威胁隔离在核心网之外；•第二道防范：部署流量分析仪，对流经核心交换机的流量进行分析检测，掌握流量走势，及时发现异常情况并迅速找到威胁源，以进行有效排除；•第三道防范：在各生产应用区域部署防火墙，对进入该区域的数据进行访问控制；•办公网的安全性：办公网以防火墙进行隔离，形成单独的区域，办公网往往是攻击的发源地，对办公网应实现严格的双向访问控制，如有必要可部署第二层DOS防范设备；•入侵检测能力：部署IDS系统，对流经区域核心交换机的流量进行入侵检测；•管理区域的部署：管理区域包括整个网络的管理与安全监控，包括：网管平台，IDS管理器，认证服务器，防病毒管理平台，日志服务器等，部署于办公与生产网隔离防火墙的DMZ区；•测试、开发区域的隔离：对测试、开发区域通过防火墙实现访问控制，避免与生产和办公网之间的相互影响；c) 关键点描述各区域防火墙的设置原则有：•开放尽量少的端口和应用；•只开放需要作跨网数据访问的地址；•除对有特别需求的应用节点，一般不需采用NAT地址转换；•考虑到防火墙一般不具备复杂的动态路由功能，同时为将对现有网络结构的影响降到最小，建议采用透明模式。

银行数据中心网络项目设计方案

银行数据中心网络项目设计方案目录1、数据中心建设分析 (4)1.1 背景 (4)1.2 银行网络现状 (4)1.3 建设重点 (5)2、数据中心网络系统设计原则 (6)2.1可靠性和可用性 (6)2.2可扩展性 (7)2.3灵活性 (7)2.4高性能 (7)3、数据中心分区设计思想 (7)3.1 区域划分 (7)3.2分区设计的优点 (8)4、数据中心技术架构设计 (8)4.1设计概述 (8)4.1.1 VLAN规划 (11)4.1.2 路由设计 (12)4.2核心交换区设计 (12)4.2.1 具体设计 (12)4.2.2 VLAN划分 (12)4.2.3 路由规划 (13)4.3生产核心区规划 (15)4.3.1拓扑 (15)4.3.2 VLAN规划 (15)4.3.3 路由规划 (16)4.4前置机区规划 (16)4.4.1 拓扑 (16)4.4.2 VLAN规划 (16)4.4.3 路由规划 (16)4.5广域网接入区规划（分行接入） (17)4.5.1 路由规划 (20)4.6 QoS设计 (20)4.6.1 QoS设计原则 (20)4.6.2 QoS服务模型选择 (20)4.6.3 QoS规划 (21)4.7 ARP攻击防御 (23)4.7.1 ARP攻击原理 (23)4.7.2 ARP攻击的类型 (24)4.7.3 ARP攻击解决方案 (27)4.7.4 其他技术 (34)5、数据中心管理 (35)5.1数据中心管理设计原则 (35)5.2网络管理 (36)5.3网络监控 (38)6、产品选型与关键技术 (40)6.1 万兆以太网与100G平台技术的考虑 (40)6.1.1以太网发展进入100G时代 (40)6.1.2服务器万兆互联成为主流趋势 (41)6.1.3核心交换机的价格升级至100G (42)6.2 IRF虚拟化技术 (43)6.2.1技术优点 (43)6.2.2典型组网应用 (44)1、数据中心建设分析1.1 背景当前，国内四大国有商业银行、城市商业银行、邮政储蓄银行、农村信用社、证券等金融机构都在进行数据大集中之后的IT建设，而数据中心和灾备中心的建设是其中建设的重点。

银行数据中心网路规划方案专项方案

数据中心网络架构设计12月目录1 建设背景........................................................................................... 错误!未定义书签。

2 项目目标........................................................................................... 错误!未定义书签。

3 需求分析........................................................................................... 错误!未定义书签。

3.1 业务需求分析......................................................................... 错误!未定义书签。

3.2 其它需求.................................................................................. 错误!未定义书签。

3.3 网络架构支持新技术发展趋势考虑................................ 错误!未定义书签。

4 网络具体设计目标和需求描述 .................................................. 错误!未定义书签。

4.1 网络整体架构设计................................................................ 错误!未定义书签。

4.2 网络架构设计需求................................................................ 错误!未定义书签。

(金融保险)银行级数据中心机房设计说明

XXXX银行XXXX X级数据中心机房设计方案说明XXXX银行XXXX行2010年9月1.概述 (3)1.1工程概况 (3)1.3 设计原则 (5)1.4 设计重点 (6)2.装饰方案 (6)2.1本设计总体构思 (6)2.2 装饰设计 (6)2.3 技术场地的特殊处理 (8)3.供配电系统 (8)3.1 机房配电柜 (8)3.2 UPS系统 (9)3.3 机房照明 (10)3.4 机柜供配电 (11)3.5 UPS输出分配电柜 (12)3.6 空调、新风系统 (13)3.7 市电辅助插座 (14)3.8 桥架 (14)4.门禁系统 (14)5 机房的防雷接地 (14)6 机房集中监控系统 (15)6.1 概述 (15)6.2 系统架构 (16)6.3各监控子系统功能 (17)7 KVM集中控制系统 (19)8 房气体灭火系统： (19)根据总行要求，结合XXXX行今后的发展规划，需新建一个XXX级数据中心机房；位于XX路的XXX原始环境好，建筑物承重参数大，符合GB 2887-89《计算站场地技术要求》、GB9361-88《计算站场地安全要求》及GB/T2887-2000《电子计算机场地通用规范》中关于机房选址的要求，是新建XXX级数据中心机房的理想场所，故拟所在建筑物的一、二层为新建机房地址；建成后，该机房将做为XXXX 行日常业务数据储存及交换的核心基地，因此对该机房的建设提出了更高的要求。

计算机机房的建设融合了装修、暖通、电力、综合布线、安全防范等多方面因素，是系统化、智能化的工程。

本方案根据XX行业务需求，按照计算机机房的设计标准，在设计中采用先进、成熟、实用的技术，严格执行国家有关规范，力求在符合国家有关标准的前提下，尽量提高机房系统的扩展性和灵活性，以确保系统的安全、可靠和实用。

1.1工程概况项目地址：本工程位于XX省XX市XX路人行XXXX行；工程面积：机房工程总面积约为1200平方米，以实际面积为准。

金融网络数据机房建设方案

5、机房消防
5.2
机房气体灭火介绍
无管网（柜式）七氟丙烷气体灭火系统，是轻便可移动式自动探测火灾、自动报警、自动灭火的现代化消防设备，其灭火效能高，灭火速度快、毒性低、对设备无污损，灭火装臵性能优良，其控制部分可与消防控制中心相衔接。
6、机房门禁系统
6.1
机房门禁需求概述
门禁系统也叫出入口控制系统或门禁管制系统，是数据中心机房内重要的区域、通道及出入口进行监控管理，能对各通道的位臵、通行对象及通行时间等进行实时控制或设定程序控制的智能系统。门禁系统专用管理软件通过感应卡或密码能够识别持卡人的身份和使用权限。门禁系统可以通过软件与数据中心内部网络直接相连，达到数据共享，并可与集中监控系统集成，实现多个系统间的联动工作，对进入该地区的目标进行监视与录像。
三、计算机机房基础建设系统介绍
1 2 3
机房装修工程机房配电系统机房防雷接地系统
4 机房综合布线系统 5 6 7
机房消防系统
机房门禁系统
机房空调系统
1、机房基础装修工程
1.1
装修原则
大多数的机房环境都会给人以沉闷、单调、烦躁的感觉。设计方案定位在以人为本的前提下，充分考虑到人与环境、人与设备、设备与环境的亲和性、协调性。在本次机房装饰设计应遵循简洁、明快、大方的宗旨，强调规范性、标准性、实用性；强调现代化机房的整体效果，避免大面积的平淡感，采用板块元素构筑的吊顶、墙面和地面，互相呼应，展现机房的立体效果。坚持倡导健康生活，讲究绿色环保设计，注意色彩的搭配和组合。室内色调应淡雅柔和，有效地调节人的情绪，起到健康和装饰的双重功效，全面改善机房庄重、严肃的紧张气氛，消除工作人员在机房内沉闷、单调、烦躁的感觉，使工作人员进入机房后心情会趋于平静，有利于尽快投入工作和长期工作。机房装饰选材一选用气密性好、不起尘、易清洁、变形小，具有防火、防潮性能；二选用光材料，避免在机房内产生各种干扰光线（反射光、折射光、弦光等）。

商业银行数据中心网络建设方案

商业银行数据中心网络建设方案目录1、数据中心建设分析 (3)1.1 背景 (3)1.2 建设重点 (3)2、数据中心网络系统设计原则 (4)2.1可靠性和可用性 (4)2.2可扩展性 (5)2.3灵活性 (5)2.4高性能 (5)3、数据中心分区设计思想 (5)3.1 区域划分 (5)3.2分区设计的优点 (6)4、数据中心架构设计 (6)4.1设计概述 (6)4.1.1 VLAN规划 (8)4.1.2 路由设计 (8)4.2核心交换区设计 (8)4.2.1 具体设计 (8)4.2.2 VLAN划分 (8)4.2.3 路由规划 (9)4.3生产前置区规划 (10)4.3.1拓扑 (10)4.3.2 VLAN规划 (10)4.3.3 路由规划 (10)4.4 广域网接入区规划（分行接入） (11)4.5.1 路由规划 (13)4.6 QoS设计 (13)4.6.1 QoS设计原则 (13)4.6.2 QoS服务模型选择 (14)4.6.3 QoS规划 (15)4.7 ARP攻击防御 (17)4.7.1 ARP攻击原理 (17)4.7.2 ARP攻击的类型 (17)4.7.3 ARP攻击解决方案 (20)4.7.4 其他技术 (27)5、数据中心管理 (28)5.1数据中心管理设计原则 (28)5.2网络管理 (29)5.3网络监控 (31)6、产品与关键技术 (33)6.1 万兆以太网与100G平台技术的考虑 (33)6.1.1以太网发展进入100G时代 (33)6.1.2服务器万兆互联成为主流趋势 (34)6.1.3核心交换机的价格升级至100G (35)6.2 IRF虚拟化技术 (36)6.2.1技术优点 (36)6.2.2典型组网应用 (37)1、数据中心建设分析1.1 背景当前，国内四大国有商业银行、城市商业银行、邮政储蓄银行、农村信用社、证券等金融机构都在进行数据大集中之后的IT建设，而数据中心和灾备中心的建设是其中建设的重点。

XX银行数据中心网络详细设计方案

XX银行数据中心网络详细设计方案引言：随着信息化时代的到来，银行等金融机构对数据的存储和处理需求越来越大。

为了满足这种需求，数据中心的网络设计变得至关重要。

本文将详细介绍一个XX银行数据中心网络的设计方案。

一、网络拓扑结构设计XX银行的数据中心网络拓扑结构将采用三层结构，包括核心交换机层、分布交换机层和接入交换机层。

核心交换机层将连接到银行的主干网，分布交换机层将连接到核心交换机层，并与接入交换机层相连。

这种设计可以提供高可用性和容错能力。

二、网络设备选择在核心交换机层，我们将选用高性能的三层交换机，如思科的Catalyst 9500系列交换机。

分布交换机层和接入交换机层将采用较低成本的二层交换机，如思科的Catalyst 2960系列交换机。

这些设备拥有稳定可靠的性能，并且能够满足银行的需求。

三、网络连接设计为了保证高可用性和冗余性，我们将对网络连接进行冗余设计。

每个交换机将通过多个链路连接到上一级交换机，以及下一级交换机。

我们还会使用热备份协议（HSRP）和虚拟路由冗余协议（VRRP）来实现设备级别的冗余。

四、安全性设计数据中心网络的安全性对于银行非常重要。

为了确保安全性，我们将采取以下措施：1.使用虚拟局域网（VLAN）将不同的业务隔离开，防止横向攻击。

2.部署入侵检测系统和入侵防御系统，监控和保护网络免受威胁。

3.使用网络访问控制列表（ACL）和防火墙来限制对网络资源的访问。

4.配置安全漏洞扫描和定期更新补丁，以保护网络免受已知漏洞的攻击。

五、性能优化设计为了提高网络的性能，我们将采用以下策略：1.在核心交换机层和分布交换机层使用高带宽的链路，以减少网络延迟和瓶颈。

2.配置链路聚合以增加链路的带宽和可靠性。

3.使用负载均衡技术将流量动态分配到不同的链路上，以实现负载均衡和网络优化。

4.部署缓存服务器和内容分发网络（CDN），以减少对外部资源的请求。

六、管理和监控设计为了方便管理和监控数据中心网络，我们将采取以下措施：1.部署网络管理系统（NMS）和网络监控工具来实时监控网络设备和链路的状态。

银行云数据中心网络架构设计方案

CORE
园区网
数据中心整体设计多中心整体设计数据中心规划设计与布线架构相结合的物理结构服务域架构设计通道域架构设计用户域架构设计交换平台架构设计数据中心管理网络设计多业务网络融合安全架构设计数据中心间网络
目录
新一代大型EDC设计趋势：模块化
数据中心机房结构示意图
与布线架构相结合的物理结构
TIA-942布线架构
多中心持续建设目标--分布式多活数据中心
•单纯灾备灾备与负载均衡 •主备中心双活（多活）融合 •满足RPO 满足RPO，最小RTO •资源固化全局资源池化灵活调配 •人工管理资源调度自动化
多个跨地域的分布式虚拟化数据中心
地理分散的多个“云”
网络的平台化地位日益重要
强调风险管控，多中心持续建设与业务平滑切换
准生产区
办公前端网络
数据中心整体结构
核心交换区
银行数据中心网络拓扑架构示意图
网络交换核心
。。。
。。。
业务一区
业务二区
业务三区
。。。
。。。
。。。
。。。
开发测试区
。。。
运维管理区
带外管理网
广域网区汇聚
数据中心
分支机构
DMZ
外联区
IPS
LB
Web交换机
出口路由器
网银区
外联单位
APP/DB交换机
Internet
双活（Active-Active）特点：业务或用户按照服务需求（On－Demand）将业务分配到不同的中心平时主要的处理能力均分配给不同的中心跨双生产中心建立共享的资源访问方式跨双生产中心建立高可用性集群通过数据复制技术将数据镜像到对方出现灾难时，根据需要接管的方式，按照当前的业务状态动态调度服务和资源（Business Resiliency)所有的中心、主机和存储设备均处于生产状态和实现负载分担

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

（金融保险）银行网络数据中心设计方案2、系统设计总体方案XX银行全国数据集中工程目录第1章前言8第2章概述9第3章网络设计原则10第4章总体架构设计114.1结构设计114.1.1结构设计策略114.1.2分区模块设计114.1.3分层设计124.1.4物理部署设计124.2上海全国数据中心局域网拓朴13 4.3网络核心层144.4生产区144.5运行管理区154.6MIS区164.7广域接入区164.8OA接入控制区174.9生产外联174.10设备选型推荐184.10.1S8500简介204.10.2AR28-80简介27第5章服务器接入设计32第6章VLAN和SPANNINGTREE设计33 6.1VLAN简述336.2VLAN注册协议（GVRP）346.3VLAN设计366.4STP设计366.5VRRP37第7章IP地址设计38第8章路由选择和设计408.1路由协议选择408.2路由边界408.3路由协议设计（OSPF）418.3.1OSPFArea设计418.3.2OSPFProcessID428.3.3OSPFRouterID438.3.4OSPF链路Metric438.3.5OSPFMD5认证438.3.6选路规划448.4静态路由44第9章QOS设计449.1Q O S服务模型459.1.1Best-Effortservice459.1.2Integratedservice459.1.3Differentiatedservice469.1.4服务模型选择479.2Q O S实现技术489.2.1报文分类489.2.2拥塞管理489.2.3拥塞避免509.2.4流量监管和整形519.3农行数据中心Q O S设计52第10章可靠性设计5510.1可靠性概述5510.2设备级可靠性设计5610.2.1引擎（含主控及交换网）5710.2.2电源6110.2.3模块和端口6110.2.4系统软件6210.3链路级可靠性设计64 10.4网络级可靠性设计6410.4.1拓扑冗余6410.4.2网关冗余6810.4.3路由冗余6910.5应用级可靠性设计71第11章网络安全7111.1安全设计概述7111.2安全管理中心设计73 11.3安全认证中心设计76 11.4模块化的安全构架设计8011.4.1核心交换区8011.4.2生产区8211.4.3OA接入控制区8211.4.4运维管理区8511.4.5MIS服务区8711.4.6生产外联区88 11.5统一的安全联动设计89 11.6其他安全防护考虑91 11.7网络病毒控制93第12章网络管理95第13章数据中心切换104第1章前言上海数据中心工程是XX银行数据大集中项目的重要组成部分，将作为全国生产中心投入运行。

生产数据中心的建成将为提高XX银行的经营管理决策水平和风险控制能力打下坚实的基础，并支持提升中国XX银行整体的服务水平和信息化服务质量。

华为3Com公司深刻认识到数据中心建设对于大集中项目以及中国XX银行发展的重要性，针对数据中心承载多种业务应用的特点，按照高可靠、高安全和先进性的原则对网络整体结构和各个功能分区进行了详细的网络方案设计。

为用户提供最完善的服务是华为3Com技术有限公司的一贯宗旨，有关本方案的一切问题，欢迎用户在随时垂询。

第2章概述针对上海数据生产中心稳定、可靠、高效运行的要求，本方案以高可靠性，高安全性和先进性为原则进行了重点设计。

整体结构上，根据上海数据中心承载多种业务功能的特点，依据统一性，开放性，易扩展和可管理的特性要求，通过模块化层次化的构筑方法，以高可靠、高速率的交换结构为中心，连接生产区，外联区，接入区和MIS区等功能分区，并针对各个功能不同的业务应用需求和安全要求进行了针对性设计。

在本项目设备建议中，我们推荐了先进的QuidwayS8500系列万兆核心路由交换机作为平台构架的主要设备，通过高效的万兆交换技术实现骨干网络的高性能互联，同时，其安全联动、全面的业务支持以及电信级的高可靠特性，更保障本网络具备了有强大的业务支撑和性能扩展能力，可以满足上海数据中心未来3－5年的发展需要。

第3章网络设计原则高可用性网络架构和设备均支持业务系统对服务级别高可靠性的要求，在网络分层部署的架构和设备体系选择以及相关配置上均充分按照高可用的系统设计。

高安全性按照立体的安全体系进行设计，分布式部署，使网络具有统一的安全，支持全网的安全联动。

先进性网络设备支持先进的高性能体系架构，支持高带宽的数据传输。

统一性数据中心局域网是基于大集中“一个整体”基础上考虑。

全网采用统一的架构、策略部署，QoS分类和设备形态，保证全网的可维护性。

开放性本方案网络建设全面遵循业界标准，所推荐采用的设备、技术在互通性和互操作性上，可以支持本网络系统的快速布署。

第4章总体架构设计4.1 结构设计4.1.1 结构设计策略按照数据中心的结构，本方案采用以下策略设计1、高可靠的设计思想融合在结构设计、路由设计、应用服务设计的各个层面；2、针对业务网络应用需求实施全模块化分区设计；3、依照工作重点和结构分工的整网三层体系结构；4.1.2 分区模块设计网络按照业务应用需求，划分以下主要功能区：●生产区●MIS区●生产外联区●广域接入区●运行管理区●OA接入控制区各个区以扩展模块的形式分别连接到数据中心高可靠的核心交换网络。

4.1.3 分层设计按照网络核心，汇聚和接入的模型对数据中心以及之内的每一个功能区域按照层次化结构模型进行划分：核心层构成整个数据中心生产局域网的高速交换核心，为各个功能分区提供高可靠高稳定和支持快速愈合的第三层接入服务。

在核心层设计以高可靠，高速交换为主要原则；汇聚层各个功能分区的交换核心是组成整个生产中心局域网的汇聚层。

汇聚层提供各个分区内部接入层的汇聚，作为各个分区的对外接入，集中实现接入控制和安全控制；接入层在各个分区主机和服务器的接入，具有高密度的接入能力。

支持基于主机端口的访问控制，并针对接入的数据流进行标记工作，便于传输过程中逐级实现针对流量的QoS控制策略。

4.1.4 物理部署设计上海数据中心的核心网络主要分布在上海园区的E2楼的各层，因此网络将按照就近接入的原则将各个功能区网络设备与应用主机就近放置分布在各个楼层。

网络的交换核心、广域接入区等没有主机接入的功能区域放置于网络机房。

4.2 上海全国数据中心局域网拓朴在数据中心的实际部署中，针对数据中心模型进一步细分各个功能分区。

生产区涉及到的应用系统较多包括核心业务以及各种总行级的业务系统。

核心业务系统放置于IBMS/390上，通过在S/390上划分多个分区来实现核心业务相关的不同功能。

考虑到核心业务系统属于银行全部业务核心，属于数据中心的重中之重，同时S/390的操作方式与其他开放平台不一致，因此物理上将生产区设置为核心业务生产区和开放平台生产区2个分区接入到核心层。

测试区根据测试需要尽量与生产网络实现完全分离，根据实际需求确定是否需接入到核心层。

生产外联区包括网上银行的Internet外联以及和合作伙伴的Extranet外联两种方式，在网络结构上和安全部署上有很大不同，因此在实际部署中分别设置2个接入区域连接到核心交换区。

广域接入区设置一个单独的物理分区，提供各个一级分行的流量接入和汇聚。

灾备接入区设置一个单独的物理分区，部署与北京灾备中心的连接和灾备策略的部署。

MIS服务区设置一个单独的物理分区，提供MIS业务应用的服务。

运行管理区设置一个单独的物理分区，提供数据中心和全网的管理和监控。

4.3 网络核心层网络核心层由4台万兆交换机构成，通过万兆实现各个功能分区的接入，同时4台交换机之间采用双万兆捆绑的方式实现高速互联。

为了保证通过核心网络的流量和路径可控，并提高故障切换的效率，对各个功能分区实现三层接入的方式。

为了保证各个功能分区的高可靠性，与各个功能分区的汇聚交换机采用双星型的结构连接。

4.4 生产区生产区将接入数据中心核心生产系统和部分生产系统前置；生产区核心业务平台：由2台汇聚层交换机和2台接入层交换机构成，接入层交接机连接S/390主机系统平台。

生产区开放平台：由2台汇聚层交换机和4台接入层交换机构成，接入层交接机连接开放平台。

连接方式：四台接入层交换设备通过四条千兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.5 运行管理区运行管理区是生产中心主要的人员操作区，主要以各种管理配置平台为主。

运行管理区：由2台汇聚层交换机和2台接入层交换机构成，接入层交接机连接各类业务、网络、配置管理系统；连接方式：两台接入层交换设备通过双千兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.6 MIS区MIS区将接入数据中心MIS处理主机系统，主要以开放平台为主。

MIS系统平台：由2台汇聚层交换机和4台接入层交换机（两层结构、分为外联接入交换机与内联接入交换机）构成，接入层交接机连接各MIS系统平台；连接方式：两台接入层交换设备通过双万兆线路上联到汇聚层，两台汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

4.7 广域接入区广域接入提供各个下联一级分行的接入，同时支持在接入边界部署安全控制策略。

广域接入平台：由2台汇聚层交换机构成，直接接入路由设备。

连接方式：汇聚层设备之间通过两条冗余的千兆线路实现互连，同时，各自通过两条千兆冗余线路分别上行到两台核心交换层交换机。

在汇聚交换机侧支持部署防火墙和入侵检测设备，采用访问控制和安全联动相结合的方式对接入流量进行安全防护。

（关于安全联动的详细介绍请参阅第十一章：网络安全相关内容）4.8 OA接入控制区OA接入控制区是生产区和OA用户及OA服务器所在功能区的隔离区，OA用户通过此区访问生产的相关资源。

OA接入控制区：由2台汇聚层交换机构成。

在汇聚交换机对外互连处部署防火墙和入侵检测设备，采用访问控制和安全联动相结合的方式对流量进行安全防护。