主体架构：

第一层：服务器（多为HP，华为，IBM刀片服务器），存储器（华三，HP）

第二层：二层交换机接入口或者三层交换机接入口，异构防火墙（思科/华为/Juniper）

第三层：三层数据中心核心交换机，互联网防火墙（思科/Juniper/华为），IPS入侵防护系统

第四层：广域网路由器，用于连接各家分行

1接入交换机

1）CISCO 对于接入交换机金融行业如果是采用CISCO的设备一般是752的结构，N2K作为N5K的板卡使用，N5K之间肯定是VPC结构，所以2K一般不会双宿主，都是通过port-channel直接绑定在一台N5K上

2 ）H3C或者HUAWEI 这2个厂家的接入交换机一般对于金融行业最起码要能支持堆叠，当然一般金融采购的接入交换机都是能支持虚拟化的H3C的就是5120居多，huawei的目前接入用的比较少不清楚，所以真实环境中2个接入交换机之间最起码有4根线 2个万兆 2个千兆，万兆用于虚拟化，千兆用于多活检测（BFD）。

3 ）所有的服务器都是通过链路聚合双上联2个接入交换机

2 汇聚和核心对于金融行业所有的汇聚和核心支持虚拟化这个是没跑了，CISCO 7K VDC VPC（真他喵不好用，费劲）这2个没跑了 5K VPC ，H3C IRF2 （用的很爽） IRF3（很少用，技术类似N5K和N7K的FEX）。huawei CSS2 （类似IRF2）。说这么多反正GNS3一个都不支持，所以拓扑结构还是用的生成树结构，这些东西在金融实际拓扑的肯定通过技术手段把环给消除掉。

3 GNS3只支持防火墙所以其实链路上还有很多安全设备，如IPS、WAV、深信服、LB负载均衡器等都没有在图中表现出来。下一节会重点介绍这些内容

目前架构总体基本采用两地三中心解决方案

这种模式下，多个数据中心是主备关系，即存在主次，业务部署优先级存在差别，针对灾难的响应与切换周期非常长，RTO与RPO目标无法实现业务零中断，资源利用率低下，投资回报无法达到预期。两地三中心本质上是一种通过简单资源堆砌提高可用性的模式，对高可用的提高、业务连续性的保证仍然只是量变，业务连续性及容灾备份一直没有实质性的跨越。

“分布式多活数据中心”（Distributed Active/Active Data Centers）的建设如下图所示，将会成为金融业网络发展的未来趋势。分布式多活数据中心将业务分布到多个数据中心，彼此之间并行为客户提供服务，分布式多活包括两大关键特征——分布式和多活，体现出企业级用户在建设与使用数据中心时对资源调度利用和业务部署灵活性的新思路。

所谓分布式，一是指数据中心在机房基础设施、地理空间、计算/存储/网络资源的软硬件部署上是分布而非集中的，满足灾备建设与业务联系的要求，多个DC在建设上可以循序渐进的展开，彼此保持一定的独立性，未来扩容升级可与现有架构保持良好兼容；二是资源的调度可以跨越多个数据中心，运维管理可以基于全局，多个数据中心间实现有机结合与资源共享，逻辑上可以视为一个全局的大数据中心。

所谓多活，一是多中心之间地位均等，正常模式下协同工作，并行的为业务访问提供服务，实现了对资源的充分利用，避免一个或两个备份中心处于闲置状态，造成资源与投资浪费，通过资源整合，多活数据中心的服务能力往往双倍甚至数倍于主备数据中心模式；二是在一个数据中心发生故障或灾难的情况下，其他数据中心可以正常运行并对关键业务或全部业务实现接管，达到互为备份的效果，实现用户的“故障无感知”。

在目前的建设与运维中，用户关注更多的是双活数据中心。在常见的技术文档和媒体报道中，“双活”出现的频率高于“多活”；就技术体系与实现成熟度而言，双活可以看作多活数据中心的一个特殊简化子集，也是最常见的模型，很多技术文档中往往不区分这两个概念。双活聚焦两个数据中心的工作模式与机制，建设思路与技术选择是基于多活的裁剪和优化，一些适合双活的方案在扩展性等方面未必适合于多活的应用场景，双活数据中心是多活数据中心的必经阶段。

辅助系统：

云灾备系统：应用容灾是在数据容灾的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统当一处系统因意外停止工作时，整个应用系统可切换到另一处，使该系统功能可以继续正常工作。通常使用华为云或者阿里云来进行异地部署，切换方式可设置为脚本类自动切换和人工切换，目前以人工切换为主，用于实时性要求不高的场景

主要特点：支持文件级和IO级两种同步，支持定时同步/自动切换，支持智能屏蔽功能

数据备份一体机系统：将备份软件、备份服务器(或介质服务器)和磁盘存储介质整合至一体，使传统的3层架构变成了2层，并且能够像操作备份软件一样对整个备份系统进行操作——如设置策略、重复数据删除等等。它是一种与备份软件深度集成的备份集成系统，其软件针对备份系统做了专门的优化。

典型品牌：veritas，英方，北塔等。

入侵防护检测系统：基于国产化硬件平台和国产操作系统自主设计开发的网络安全产品，该系统具有性能高、检测准、系统稳定等特点。天融信昆仑系列入侵防御系统可实时检测包括溢出攻击、代码执行攻击、webshell攻击、拒绝服务、木马、蠕虫、系统漏洞等各种网络攻击威胁，并对发现的安全威胁进行告警及阻断，同时还具有上网行为管控功能，为客户提供完整的网络威胁防护方案。

主要特点：在电信、联通等运营商入口的防火墙上进行连接，检测并过滤DoS/DDoS攻击，流量攻击，漏洞等

典型品牌：深信服、昆仑，绿盟，锐捷等

堡垒机：安全运维入口唯一通道，用于集中管理资产权限，全程监控操作行为，实时还原运维场景，保障云端运维身份可鉴别、权限可管控、风险可阻断、操作可审计，助力等保合规。

主要特点：系统端口开放跳板设置，防火墙指定端口映射

VDP软件备份系统：vSphere Data Protection，是VMware和EMC通过技术协作推出的基于磁盘的备份和恢复的新一代解决方案，可靠且易于部署，替代了之前的VDR和VCB；与VCenter Server完全集成，可以用来对备份作业执行高效的集中式管理，同时将备份存储在经过消除重复数据的目标存储上。
主要特点：利用VDP设置虚拟服务器的每天数据定时备份，保证系统近30日的还原点可以完全还原。其中，最多支持400台虚拟机和8TB的存储空间，还支持应用程序复制、在Microsoft Server上能够恢复到粒度级别和针对SQL server、Exchange Server和SharePoint Server进行来宾级备份和恢复等。

介质备份系统：传统的数据备份手段，如移动硬盘，DVD光碟等，利用随身携带的方便些保存重要数据。

常用网络命令：

数据中心核心业务交换机配置虚拟局域网（VLAN）, 静态路由，直连，动态路由（OSPF），TRUNK，IP 地址等

show version //查看路由器版本。
show running-config //查看当前配置信息。
show vrrp brief //查看VRRP（虚拟网关协议）状态。
show cdp nei //显示直连的相邻设备。
show process cpu :查看CPU利用率。
show process memory：查看内存
show inventory：查看序列号。
show logging：查看日志信息
show ip interface brief：查看接口状态

静态路由：
192.168.1.1 192.168.1.2 192.168.2.1 192.168.2.2
R1----------------------------------R2------------------------------------------R3
现在需要R1访问R3，配置静态路由。
ip route 192.168.2.0 255.255.255.0 192.168.1.2 （192.168.2.0为需要访问的目标网段，255.255.255.0为需要访问的目标网段的掩码，192.168.1.2为R1路由器的下一跳地址，也就是R2的192.168.1.2这个地址。如需要访问更远的目的IP地址，同理配置，只需将目标网段及掩码进行修改为对应IP网段即可。）
配置完毕后，R3同样也需要配置一条静态路由指向R1。

默认路由：作用，转发不在路由器中列出的源端目的网络的数据包到下一跳路由器。
192.168.1.1 192.168.1.2 192.168.2.1 192.168.2.2
R1----------------------------------R2------------------------------------------R3
现在需要R1访问R3，配置默认路由。
ip route 0.0.0.0 0.0.0.0 192.168.1.2
---------------------------------------------------------------------------------------------------
配置OSPF。
router ospf 10（开启OSPF进程10）
network 192.168.10.0 0.0.0.255 area 0 //(192.168.10.0为路由器上需要宣告的网段，0.0.0.255为反掩码，area 0 为OSPF区域，0为骨干区域)。
network 10.10.10.10 0.0.0.0 area 0 //（宣告主机路由，精确宣告，一般是管理地址）。
-----------------------------------------------------------------------------------------------------
虚拟局域网（VLAN）
vlan X (创建VLAN，X为数字)。

int vlan X（配置VLAN IF，X与创建vlan X需一样）。
ip add 192.168.10.10 255.255.255.0

int f0/X
switchport trunk encapsulation dot1q //使用802.1Q封装该接口。
switchport mode trunk //配置接口模式为trunk。
switchport trunk allwed vlan XX //允许哪些VLAN通过。

int f0/X
switchport mode access
switchport access vlan X //将接口加入到对应VLAN。
-----------------------------------------------------------------------------------------------------------
端口安全
interface f0/X
switchport port-security //接口开启端口安全功能。
switchport port-security maximum X //配置允许接入最大MAC地址数量。
switchport port-security mac-address XXXX.XXXX.XXXX //指定允许接入的具体MAC地址。
--------------------------------------------------------------------------------------------------------
vrrp配置 (虚拟网关) 一般是双机热备使用。
interface f0/1
ip add 192.168.10.1 255.255.255.0 //配置IP地址。
vrrp 1 ip 192.168.1.2 //虚拟网关
vrrp 1 priority 150 //配置优先级，默认为100 ，，，优先级高则优先从此设备走。

原文链接：https://blog.csdn.net/supperling/article/details/120948516