1、銀行網絡架構調研報告技術創新，變革未來現狀調研分析思路網絡安全服務網絡管理服務AAA服務應用負載均衡DNS/NTP服務 網絡擴展服務 網絡基礎服務 數據中心分布及定位主數據中心同城災備數據中心異地災備數據中心全局負載均衡數據中心網絡互聯網絡功能域劃分Intranet網絡互聯Extranet網絡互聯Internet互聯網接入IP地址規劃路由協議規劃銀行網絡系統現狀調研分析思路：網絡基礎服務：數據中心網絡互聯同城數據中心異地數據中心DWDM密集波分技術同城數據中心主數據中心異地數據中心電信10Mbps聯通10Mbps廣電裸光纖電信裸光纖同城數據中心之間，分別采用不同運營商的冗余裸光纖+DWDM技術

2、，實現IP網和FC-SAN網的互聯互通異地災備數據中心，通過不同運營商的冗余廣域網專線，實現與主數據中心的IP網絡互通網絡基礎服務：網絡功能域劃分（主中心）主數據中心網絡功能域劃分：數據中心主要包括生產網、辦公網、開發測試網，之間通過防火墻互聯采用模塊化和層次化結構設計采用千兆以太網技術，利用雙機熱備、堆疊技術和冗余鏈路實現網絡架構高可用各安全域邊界主要通過防火墻實現安全隔離業務網核心交換區總行分支行同城災備數據中心人行、銀聯ATM辦公網InternetDMZ區DWDM區生產區OA區網管區內聯區外聯區Solarwinds網管系統安全控制安全控制安全控制安全控制安全控制安全控制開發測試網開發測試

3、區安全控制網絡基礎服務：網絡功能域劃分（同城災備）同城災備數據中心網絡功能域劃分：同城數據中心主要包括生產網和辦公網，之間通過防火墻互聯采用模塊化和層次化結構設計采用千兆以太網技術，利用雙機熱備、堆疊技術和冗余鏈路實現網絡架構高可用各安全域主要通過防火墻實現安全隔離業務網核心交換區總行分支行同城災備數據中心人行、銀聯辦公網Internet互聯網區DWDM區生產區OA區網管區內聯區外聯區北塔網管系統安全控制安全控制安全控制安全控制安全控制安全控制網絡基礎服務：網絡功能域劃分（異地災備）異地災備數據中心網絡功能域劃分：異地災備數據中心只有授信、核心等少量系統區域邊界缺少防火墻保護網絡未采用冗余設計

4、災備業務網核心交換區內聯區災備生產區分支行DC(核心交換區)網絡架構優化建議網絡服務關注點現狀分析優化建議網絡基礎服務功能域劃分生產區交換機與核心交換區交換機復用，不利于安全控制和故障隔離增加獨立的核心交換區交換機，負責連接各功能域數據中心互聯異地災備中心只有到主中心的鏈路，一旦主中心網絡中斷，無法為同城災備中心提供備份服務增加異地災備中心到同城災備數據中心的專線，滿足災備要求同城災備互聯，使用的是交換機trunk口通過DWDM直連方式，這樣2個數據中心交換機都在一個STP域中，不利于故障隔離同城災備中心互聯使用MACinIP技術，隔離STP和廣播外聯區網絡架構ATM只有到數據中心的鏈路，缺乏

5、冗余鏈接建議將ATM放在內聯區，并增加到同城災備數據中心的備份鏈路前置機放在生產區，不利于管理及安全控制將前置機放在外聯區，前置機內外均有防火墻保護并且防火墻要異構部分第三方線路只到數據中心，缺乏冗余有條件的話，配備同城災備中心災難恢復所需的外聯鏈路互聯網區網絡架構主中心的DMZ區域和同城災備中心的互聯網區域不能互相提供災備服務將同城災備中心的互聯網區擴建為與主中心相同網絡架構的DMZ區，兩個區域互為災備網絡擴展服務DNS服務未部署DNS域名解析系統，應用系統主要通過IP地址方式進行互訪，不利于應用系統災備切換后的快速訪問，用戶無法實現透明訪問；為生產-災備中心建立智能DNS系統，包括內網DNS服務和外網DNS服務，滿足應用系統災備快速切換需要，實現透明訪問；全局負載均衡沒有全局負載均衡服務，不能將用戶訪問智能調度到不同的數據中心在互聯網區邊界增加全局負載均衡服務網絡安全服務VPN間互訪目前除核心交換機旁掛防火墻可以聯