JR/T 0224-2021 标准规范下载简介
JR/T 0224-2021 保险行业网络建设基本规范.pdf一独立部署 汇聚和核心之间采用等价路由的方式实现负载负担。
图4交换核心区部署方式二示意图
JR/T02242021
图5交换核心区部署方式三示意图
生产业务区用于部署生产交易相关的业务系统UT斯达康研发生产中心圆厅钢结构施工方案,区域可部署为较为成熟的网络三层架构,如下图:
图6生产业务区网络架构图
4. 4. 5 开发测试区
开发测试区是数据中心用于承载企业业务研发、生产测试、技术应用测试的需求环境。 开发测试区应与生产业务区域进行隔离。
JR/T02242021
开发测试区域可与生产业务区设计保持一致,也可在不影响现生产业务区的所有业务基础上,应用 新技术,协助生产业务区新型业务上线或技术升级转型。
4.4.6外联业务区
图7外联业务区网络架构图
外联业务区是数据中心对外连接的区域,实现同第三方单位的业务互通。 该区属于非可信网络区,不应直接与内部生产业务区域连接。访问权限应限制在本区域内部,内网 访问应严格控制。可根据实际业务的需要,选择是否部署DMZ区。 外联业务区应部署相应的安全设备,例如:VPN设备、防火墙、入侵检测/防御、DDoS设备等,且 应穴余部署。网络安全设备可部署为负载分担的模式或主备的模式,防火墙设备宜采用串行部署方式。 447万联网业务区
JR/T02242021
图8互联网业务区网络架构图
互联网业务区用于部署对外门户网站等需要互联网直接访问的系统。 互联网业务区应部署DMZ区域,需要对互联网提供的对外业务,部署在DMZ区。 为了保证互联网业务区的安全,应部署高安全性、高可靠性,更高级别的安全设备,例如高级别 防火墙、高级别入侵检测/防御、高级别DDoS设备、VPN设备、WAF、APT防护等。所有设备应穴余部署, 相关安全设备可采用串行部署方式或旁挂部署方式,负载模式可采用主备方式或负载分担方式。 数据中心多ISP接入互联网时,可采用负载均衡设备(LB)实现出入流量的负载均衡。 448广城网万联区
JR/T02242021
图9广域网互联区网络架构图
广域网互联区是多数据中心互联时、数据中心与分支机构互联时的互联区域。 在广域网互联区的网络中,根据业务需要,选择广域链路的部署方式和类型。多数据中心互联时, 应采用线路穴余部署、路由及设备的余备份;对于多分支机构互联,应采用多出口线路备份,并在出 口根据需要采用路由备份、负载均衡;对于分支机构的接入方式,根据业务需要选择不同的接入方式, 例如:专网方式、MPLSVPN方式、公网方式等。 在数据中心的网络边界可部署安全设备,分支机构可根据各自规模和重要性在各区域边界部署安全 设备。 可在广域链路边界部署QoS,以保证业务的服务质量。 4. 4.9ECC管理区
JR/T02242021
图10ECC管理区网络架构图
署方式或旁挂部署方式。 4.4.10数据中心内网络带宽 数据中心中的流量模型多为“东西流量”,业务流量密集,数据中心内网络带宽应为未来业务扩展 做好预留,网络带宽应具备平滑演进扩展的能力。例如:支持10G、40G、100G带宽,以致未来更大带 宽的平滑升级。 4.5多数据中心互联结构 4.5.1多数据中心的必要性 根据实际业务的特点和需要,保险公司可选择由单数据中心、同城/异地灾备数据中心模式逐渐向 两地三中心、多中心的模式过渡, 业务可根据对灾备和网络的传输需求,选择在不同数据中心进行部署。对网络延退敏感、网络带宽 要求较大的业务,可采用同城数据中心模式实现业务多活和分布式部署,同时异地灾备数据中心满足业 务的异地灾备需求。 4.5.2多数据中心的建设方式
4.5多数据中心互联结构
4.5.1多数据中心的必要性 根据实际业务的特点和需要,保险公司可选择由单数据中心、同城/异地灾备数据中心模式逐渐向 两地三中心、多中心的模式过渡, 业务可根据对灾备和网络的传输需求,选择在不同数据中心进行部署。对网络延迟敏感、网络带宽 要求较大的业务,可采用同城数据中心模式实现业务多活和分布式部署,同时异地灾备数据中心满足业 务的异地灾备需求。 4.5.2多数据中心的建设方式
4.5.2多数据中心的建设方式
a)同城数据中心建设 同城数据中心可选择在同城200km(运营商提供光纤的距离)范围内建立,一般采用专线或者 设备互联,支持业务的双活和数据的实时复制
JR/T02242021
b)异地数据中心建设 异地数据中心建设考虑到不可抗拒的自然灾害(如地震)对地区城市的毁灭性破坏,可在另外一个 距离大于400km的城市建立灾备中心,用于生产中心的备份。在灾难发生时,可满足信息系统的最低灾 维恢复能力等级要求。 c)多数据中心网络架构 多数据中心网络架构示意图如下:
4.5.3多数据中心的互联方式
图11多数据中心网络架构示意图
a)同城数据中心互联方式 同城数据中心间互联可采用裸光纤,构建OTN网络,实现数据中心间的二三层互通。裸光纤部署简 单,互联链路带宽大,通信时延小,在扩展性和可靠性方面较优,适用于需要业务质量要求高,多个数 据中心业务双活的应用场景。 同城数据申心间互联也可根据实际业务需求,向运营商租用专线,进行专线互联 b)异地数据中心互联方式 异地数据申心之间可通过自建或租用网络方式进行。IP/MPLS骨干网进行互联,也可通过租用运营 商VPLS服务实现。自建网络需要企业进行网络建设和运维,而租用运营商的VPLS服务,运营商可为企 业提供接入端口和互联,以及运维服务。 异地数据中心间互联也可根据实际业务需求,如对网络时延和带宽等性能要求较高,可选择裸光纤 互联。
4.6数据中心网络安全建设
4.6.1数据中心的安全风险 数据中心由于采用集中式数据管理,数据量大且重要,容易成为攻击目标,采用单一的 术很难行之有效,需要对数据中心进行多层次的安全防护,不同的分区建设应有针对性的
4.6.1数据中心的安全风险
JR/T02242021
4.7新型数据中心网络建设规范
4.7.1新型数据中心网络架构设计 通过多年发展,网络虚拟化已经成为提供云数据中心的实质基础环境。其框架是对基础网络不进行 大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,从更靠近应用的边缘来提 共网络虚拟化服务。 按照使用较为广泛的openstack架构,网络虚拟化的实现层次如下:
NR/T02242021
图12新型数据中心网络虚拟化实现层次示意图
1)云管理平台:提供Porta1、业务编排。 2)云资源管理平台:提供计算、存储、网络的编排与调度, 网络控制层 1) 网络控制平台:即SDN控制器,完成网络建模和网络实例化。 2) 北向支持开放API接口,实现业务快速定制和自动发放。 3) 南向支持OpenFlow/OVSdb/Netconf/SNMP等接口,统一管理控制物理和虚拟网络。 Fabric网络层 由物理设备组成的承载Overlay网络的基础物理组网。 2) IETF在Overlay技术领域有如下三大技术路线正在讨论,分别是VXLAN,NVGRE和STT。 目前VXLAN的方式使用较为普遍。支持对传统VLAN网络的兼容。 服务器层 OVS/vSwitch实现虚拟机本地接入的网络配置/策略管理。
4.7.2网络虚拟化设计原则
数据中心部署虚拟网络分为Underlay承载网设计以及Overlay业务网络两大部
JR/T02242021
图13SDN软件定义网络架构示意图
Spine节点:Spine节点部署两台大容量交换设备,Spine节点同Leaf节点相连的以太网口配置为 三层路由接口,构建IPFabric网络。 Leaf节点:Leaf节点同每个Spine节点相连,实现全连接拓扑;同时Leaf节点作为Underlay网 络的L2/L3分界,同Spine节点相连的以太网口配置为三层路由接口。
4.7.3Leaf节点的组网方式
a)根据服务器不同的接入需求,可选择Leaf节点的组网方式: 1)ToR单机部署服务器主备接入
R堆叠服务器链路聚合控
JR/T02242021
图14Leaf节点的组网方式一示意图
3ToR部署跨设备链路聚合服务器接入
4)ToR部署纵向虚拟化服务器链路聚合接入
图15Leaf节点的组网方式二示意图
图16Leaf节点的组网方式三示意图
JR/T02242021
图17Leaf节点的组网方式四示意图
Verlay网络使用VXLAN技术构建大二层网络环境,按照VTEP与VXLANL3GW由物理交换机或 的vSwitch实现。可参考以下表格,选择适用的组网方式:
表2Overlay组网方式对比
JR/T02242021
a)建立高效的广域网 广域网规划应能在未来较长一段时间内,满足各区域及二级单位的需求。在网络速率、网络平台资 源的复用能力、业务兼容性上,都需要有更超前的设计。 b)建立高可靠、高稳定的广域网 在广域网建设中,网络的可靠性设计要求应放在前列。为各区域及二级单位业务持续提供高稳定服 务的广域网,要求设备可靠性、链路可靠性都必须十分出色。 c)广域网管理维护性强 广域网除了需要稳定运行之外,应具备良好的管理维护性,
5.1.1广域网组网方式
根据业务实际需求和实际网络规模,选择单一架构或综合架构部署。 a)树型架构
图18树型网络架构示意图
1)适用于传统的厂域网场景,适用于申大型机构等。 2 采用纵向逐级收敛的接入、汇聚、核心三级拓扑,网络层次分明,管理方便纵向逐级收 敛模型应用路由寻址策略以及灵活的业务策略控制、安全控制。 3) 各分支与总部互联互通,可采用专线或VPN连接互联互通时,总部核心和关键节点接入 应采取“穴余”的思路,如链路穴余、路由穴余等,消除单点故障。 扁平化架构
JR/T02242021
图19扁平化网络架构示意图
1)适用于各级机构接入较为统一的场景,运维集中。 2) 采用核心和接入二级拓扑,各级结构直连数据中心,省级结构简单,各级接入间的安全和 业务控制较为复杂。 3) 分支与数据中心直通结构,各级节点可通过租用专线或租用运营商VPLS服务进行互联 总部核心应采取“余”的思路,如链路穴余、路由穴余等,消除单点故障。 )环网架构
JR/T02242021
主要图标含义: (?:路由器
图20环网架构示意图
1)适用于建设一个专用的、全国范围的厂域骨十承载环型网络,将企业厂域骨十网的业务接 入和高速业务转发两个功能进行分离。适用于多数据中心场景、大型机构等, 2) 可实现数据中心与广域网络解耦,构建满足多中心架构,提供大容量、高并发处理能力骨 干网络。 3) 构建环型骨干网可满足多个数据中心互联需求,汇聚层用于满足分散各地的省分机构、业 务中心上联数据中心需求,降低数据中心网络和客户端接入网络的耦合程度,支撑各类 机构快速调整。同时,可通过MPLS承载技术,实现全国一张物理网,多张逻辑网;实现 内部网络、外联网络、子公司网络、托管网络、开发测试网络等的统一承载和分流。
5.2广域网络设计需求
5.2.1广域骨于网服务定位
以内网各接入单元及单元间传输数据为服务对象的内部骨干网络 5.2.2广域骨干网接入对象 a 数据中心及总部、灾备中心的接入; b) 业务中心接入; c)一级分公司及培训机构; d)二、三级分支公司、营业部等。 5.2.3传输数据类型 a 语音、视频、生产数据、管理数据等内网数据; b) 外联系统外联对接数据。 5.2.4服务等级的传输保障 根据系统访问需求,可设定若干QoS服务等级,提供专有的队列和拥塞管理机制,保障重点业务传 优先级,有效及均衡地使用带宽资源。 同时,基于流量监控和应用分析的需求,对骨干网可实施流量分流策略,最大限度地保障数据流往 径一致,便于流量分析及趋势预测。
5.2.3传输数据类型
5.3.1广域网异构方式
机构通过租用专线链路,以双链路或主备链路连
JR/T02242021
图21机构间通过两条专线互联示意图
下级机构通过专线为主链路,互联网xDSL或3G、4G网络为备链路连接上级机构。可应月 技术满足链路安全性,
图22机构间通过一条专线加xDSL/3G、4G网络互联示意图
d)分支机构通过租用一条专线链路连接总部。
)分支机构通过租用一条专线链路连接总部。
23机构间通过xDSL加3G、4G网络互联示意图
JR/T02242021
图24机构间通过一条专线互联示意图
6分支机构网络建设规范
6.1分支机构网络建设原则
图25机构间通过xDSL或3G、4G网络互联示意图
a)层次化 将网络划分为核心层、汇聚层、接入层。每层功能清晰,架构稳定,易于扩展和维护。 b) 模块化 将网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行 问题定位。 c)余性 关键设备采用双节点几余设计关键链路采用多链路几余备份或者负载分担关键设备的电源 主控板等关键部件穴余备份。提高了整个网络的可靠性。 d)安全隔离 网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离,对特别重要的业务根据具体 需求采取物理隔离。 e)可管理性和可维护性 网络应当具有良好的可管理性。为了便于维护,应选取集成度高、模块可通用的产品
)分支机构组网架构方式
分支机构组网架构方式
JR/T02242021
1)三层网络结构;适用于大中型分支机构北京市国际俱乐部扩展工程装修施工组织设计,按需设置网络区域。 各网络区域应结合实际情况按4.4给出的要求部署。 3) 各区域应部署安全设备,应用相应安全策略。 4)广域网链路,应采用双链路,可采用专线或VPN线路作为备份链路 分支机构组网架构方式二
图26分支机构网络架构组网方式一示意图
JR/T02242021
机构网络架构组网方式二
1)二层网络结构;适用于小型机构。 2)网络关键位置设备可穴余部署。 3)广域网链路,可采用VPN技术并应用相应路由策略
6.3分支网络接入安全
a)根据当地运营商所能提供的SDH、ATM、MSTP、xDSL、3G/4G等多种传输方式,实现接入互联。 6 分支机构通过互联网方式或专线访问总部网络时,为了保证外联网络的可靠性,可根据需要 部署元余设备。 C 使用VPN技术,外联网络根据需要提供IPsecVPN和SSLVPN两种接入功能,解决安全接入问题 IPsecVPN较适用于节点互联方式,SSLVPN较适用于用户方式接入。根据需要,可部署独立的 IPsecVPN网关和SSLVPN网关,也可采用网络安全设备统一接入。 d 对于使用互联网方式接入的分支机构,应做好内外网访问的必要隔离。 e)安全设备包含但不限于防火墙和入侵检测设备。 1)入侵检测设备对掺杂在应用数据流中的恶意代码、攻击行为、DDoS攻击等进行侦测,并 实时进行响应。 2)防火墙在网络层面,过滤非法流量、抵御外部的攻击,保护内部资源
合江县城乡规划管理技术规定(2017版)(合府办发[2017]66号 合江县政府办公室2017年5月)JR/T02242021