xx建行网络改造总体设计方案书.doc

资源描述

《xx建行网络改造总体设计方案书.doc》由会员分享，可在线阅读，更多相关《xx建行网络改造总体设计方案书.doc（53页珍藏版）》请在三一文库上搜索。

1、三峡建行网络改造总体设计方案书（讨论稿）二零零一年四月目录第第 1 章章三峡建行网络现状三峡建行网络现状4 1.1 网络连接现状.4 1.1.1 三峡建行城域网现状.4 1.1.2 三峡建行局域网现状.5 1.1.3 三峡建行广域网现状.6 1.1.4 与Internet连接状况7 1.2 网络应用现状.8 1.2.1 管理网应用现状.8 1.2.2 营业网应用现状.9 1.2.3 外连网应用现状.10 1.3 网络安全现状.11 1.4 网络管理的现状.12 1.5 三峡建行网络存在主要问题.12 1.5.1 三峡建行城域网存在的问题.12 1.5.2 营业网存在的问题：.13

2、 1.5.3 管理网（企业网）存在的问题.13 1.5.4 外连网存在的问题.14 第第 2 章章网络改造的需求规定网络改造的需求规定15 2.1 总体目标.15 2.2 网络改造需求.15 2.2.1 三峡建行局域网.15 2.2.2 三峡建行城域网.15 2.2.3 广域网接入.16 2.2.4 网络管理的需求.16 2.2.5 网络安全管理需求.16 2.2.6 语音、视频应用的需求.17 第第 3 章章网络改造的基本原则网络改造的基本原则18 第第 4 章章网络总体设计网络总体设计19 4.1 三峡建行网络系统改造目标总体架构.19 4.1.1 组网模式.19 4.1.2 网络总

3、体拓扑结构设计.20 4.2 局域网改造.20 4.2.1 局域网改造方案.20 4.3 城域网改造.22 4.4 广域网改造.23 4.4.1 广域网分布层改造.23 4.4.2 广域网接入层改造.24 4.5 外网的连接.25 4.6 可靠性设计.26 4.6.1 设备备份.26 4.6.2 链路备份.27 4.7 网络 IP 路由设计.27 4.8 面向应用的网络服务.28 4.8.1 业务分类和数据特点的分析：.28 4.8.2 QOS保证.28 第第 5 章章三峡建行网络管理设计三峡建行网络管理设计30 5.1 网管系统功能及其职责.30 5.2 网络管理平台和网管工作站.31 第

4、第 6 章章网络系统安全设计网络系统安全设计32 6.1 安全模型（P2DR 模型）32 6.2 三峡建行网络系统总体安全体系.33 6.2.1 安全策略设计.33 6.2.2 总体安全体系的规定.33 6.3 三峡建行网络级安全设计35 6.3.1 局域网安全设计.35 6.3.2 广域网安全设计.37 第第 7 章章 IP 电话网络设计电话网络设计.40 7.1 IP 电话网络建设的必要性.40 7.2 IP 电话所使用的几种技术.40 7.3 CISCO 的 VOIP 解决方案41 7.3.1 三峡建行与总行的VoIP通信.42 7.4 IP 语音的管理.43 第第 8 章章三峡建行

5、视频会议设计三峡建行视频会议设计45 8.1 视频会议系统结构.45 8.2 会议电视终端设备.46 8.2.1 三峡建行会场.46 8.3 实现功能.47 8.4 主要特点.47 H 附件附件 1 三峡建行三峡建行 IP 地址分配规划地址分配规划 48 总行规定 IP 地址编码结构48 三峡建行 IP 地址规划表48 附件附件 2 三峡建行三峡建行 IP 联络中心方案联络中心方案.50 三峡建行 CALL CENTER 解决方案.50 三峡建行IPCC体系架构50 IPCC功能和优点.51 IPCC系统构成.54 IPCC应用软件开发57 第第 1 章章三峡建行网络现状三峡建行网络现状三

6、峡建行作为总行确定的六十个重点城市行之一，经过几年的建设，已建成了覆盖各县市（除 W 县）城市综合业务网络系统，在此基础上依托总行建成了以清算 A 卡网络系统、企业内部网为代表的全国性三峡建行内部互连网络。以计算机网络为支撑平台，我行的各类业务应用系统不断推陈出新，开拓了多项新的业务，为我行的业务快速发展发挥了巨大的作用。下面，对三峡建行网络结构具体说明： 1.1 网络连接现状网络连接现状 1.1.1 三峡建行城域网现状三峡建行城域网现状三峡建行中心机房位于科技部二楼。通过自架光纤与三峡建行办公楼、甲路 10 楼（老机房）、乙办以及丙办连接构成目前的三峡建行城域网，如图所示：如

7、图，三峡建行局域网的中心交换机为一台 Cisco Catalyst 5505，配有 1 个 2 口 100M FX 光纤接口模块，通过多模光纤与 318 和甲路机房的 1924C 连接。 Catalyst 5505 还配有两个 24 口 100M 以太网接口模块、其中连接两台 2924 交换机，并通过 2924 上的 100M FX 与乙办以及丁办相连。 1.1.2 三峡建行局域网现状三峡建行局域网现状在 Catalyst 5505 和 2924 上根据不同的应用划分了 13 个不同的 VLAN，由于目前我行主交换机没有配置第三层交换功能，VLAN 之间的通信只能通过网关来实现。在中

8、心机房中，另有一台 Catalyst 5000 交换机作为备用机。目前，三峡建行网络中心机房共配有 13 台路由器分别接入局域网中各个 VLAN。路由器应用见表一：设备端口线路速率说明 Cisco 7206A Port 1X.2564K 至各县支行清算 Cisco 7206B Port1-8DDN9.6K 银企互联、戊地电信代收费 Cisco 3640APort1-96DDN 9.6K 城综网前台网点 Cisco 3640BPort1-64DDN 9.6K 城综网前台网点 Cisco 2501APort 1X.259.6K 人行同城清算 Cisco 2501BPort 1DDN64K 移动

9、通信代收 Cisco 2501CPort 1DDN64K 社保 Cisco 2501DPort 1DDN64K 银企互联 Cisco 2501EPort 1DDN2M 支付网关与 Internet 接入 Cisco 2501FPort 1X.259.6K 人行贷款资料查询 Port 19X.2564K 总行清算 Motorola MP6520 Port 20PSTN 192K总行清算备份 Motorola MP6520Port 19X.2564K 部分县支行清算 Motorola MP6560 Port 19DDN/FR64K 总行企业网三峡建行 318 机房是三峡建行办公大楼结构化布线所有

10、信息点的集合地， 318 机房的 1924 从中心机房的 Catalyst 5505 得到 VLAN 信息，通过对其端口划分不同的 VLAN，三峡建行大楼中各个不同的网络系统实现了与中心机房的通信。其它局域网甲路机房、乙办以及丙办也是这种模式。各县支行以及城区其他支行（办事处）基本都完成了三部一室的本地局域网布线工作。 1.1.3 三峡建行广域网现状三峡建行广域网现状三峡建行的广域网线路普遍采用的低速通信链路，其中城市综合网是主要租用中国电信的 DDN，前台网点通过串口通信协议，直接连到三峡建行网络中心的设备，部分县行营业部由于原来与清算共用线路还是采用的 X.25，利用路由器

11、连接到三峡建行网络中心，以上租用的线路带宽都只有 9600bps；清算 A 卡网络由于县支行已经改为直连，可以说向下已经没有单独的线路，三峡建行清算 A 卡（含外币卡）系统与总行和上海连接采用的是 64k X.25（复用）；三峡建行企业内部网已经与全辖所有二级机构开通连接，城区除乙办和丙路办、营业部等少数是通过三峡建行自架的光纤上的以太网外，其余均租用电信的 DDN，县支行大都采用的是 X.25，带宽只有 9600bps，以路由器方式接入。三峡建行企业网与总行连接采用的是中元公司提供的中元帧中继，带宽 64K。我行通信线路的主要备份方式为电话拨号。网络设备以 CISCO、MOTO

12、ROLA 为主。此外以城市综合网为基础，我行独立开发了多种新业务，实现了与证券、电信、人行等外单位的网络互连，连接线路一般为 DDN，通信速率 9600-64K 都是采用路由器连接的方式。 1.1.4 与与 Internet 连接状况连接状况三峡建行目前已经开通了 Internet 连接，用于网上银行业务，带宽为 2M，、连接拓扑图如图: 如图所示三峡建行支付网关与 Internet 连接采用了目前比较完备的网络安全体系和技术，防火墙采用的是 IBM Firewall 3.12，并安装了 ISS 网络安全管理软件进行安全漏洞扫描、入侵检测审计等，上述连接已经获得总行的验收认可。

13、1.2 网络应用现状网络应用现状根据三峡建行对网络业务的划分，可以将三峡建行网络业务划分为：核心业务和外连业务。核心业务是三峡建行业务开展的基础业务，包括以城市综合网为基础的营业网和以企业内部网为基础的管理网两部分；外连业务是三峡建行依托核心业务系统，针对辖区内的企业和客户开发的业务网络系统。各系统应用关系如下图所示： 1.2.1 管理网应用现状管理网应用现状三峡建行目前正在管理网（企业网）使用的主要是基于 LOTUS/NOTES 平台上开发的应用，现在在三峡建行辖区范围内管理网上运行应用系统主要包括：电子邮件系统、信息网站、人力资源、信贷信息管理、移民资金管理、办公自动化系

14、统、国际结算系统等。除少数应用系统外，大多数应用系统都向下推广到县支行一级，辖区内管理网（企业网）用计算机大约 300 余台，IP 地址分配采用年总行统一规划的企业网地址。此外管理网与市人行存在临时的连接，用于定期本地贷款单位资料查询。管理网（企业网）拓扑连接如下图营业网管理网核心业务外连业务银证连网代收电话费代收交警罚款社保同城清算企业外连等图六 1.2.2 营业网应用现状营业网应用现状三峡建行目前的营业网应用主要是城市综合网，全行共有前台网点余个，ATM 台，金融查询机台，Pos 余台，城市综合网以太网采用年总行下发的营业网段 9842.63.0，

15、而城市综合网广域网前台网点地址没有标准可循；清算 A 卡网的前置机和各县清算组前台（清算组前台已经与前台会计柜改为直连后的会计柜机器）采用总行清算系统分配的网段的 IP 地址。另外随着新业务的开展，前台网点还往往下联一些特定业务的前置设备（例如金融查询机和个贷前置机），这些设备地址也没有统一的规定。营业网拓扑连接如下图: 1.2.3 外连网应用现状外连网应用现状三峡建行充分利用三峡建行网络优势，积极开拓业务领域，先后与电信、证券、人行、社保局等多家实现了网络互连互通，通常我们是采用路由器+前置机的方式，使外连网与城综网隔离，即每个外连系统都独自采用一台路由器和一台前置机，路

16、由器配置静态路由和相应的访问控制，前置机屏蔽所有无关的服务。外连网的 IP 地址分配由于没有可遵循的标准，分配时有很大的随意性。网络拓扑连接如下图： 1.3 网络安全现状网络安全现状三峡建行在网络建设过程中已经采取了一些必要的安全措施，如“利用 VLAN 技术将业务网与企业网逻辑隔离、与各证券网点联网时利用前置机来保证数据传输的安全、拨号访问采用了 RADIUS 认证、在与 Internet 接入的支付网关中使用防火墙和 ISS 安全监控软件等。但从总体整体上分析，三峡建行现有网络中仍然存在着一些安全隐患。主要包括以下几个方面：可靠性安全隐患由于某些网络设备的关键部件存在质量问

17、题或缺陷，导致网络在运行过程中存在可靠性安全隐患。如：MOTOROLA 路由器的 FLASH Memory 工作时极不稳定，经常丢失系统软件，影响了清算 A 卡系统以及企业网的正常运行。一些系统缺乏备份链路和备份设备，一旦出现故障，势必影响业务的正常开展。应用系统安全隐患各种应用缺乏统一的规划，未能充分考虑网络上的安全要求，导致三峡建行中心机房的业务运行网段上与外连的应用网段之间缺乏必要的安全屏蔽。有些与外界相连的应用系统缺乏有效的网络安全保障。如：与外界相连应用系统没有按照总行要求的安全连接模式连接，前置机可能存在未屏蔽非必要的通讯端口，可能存在多余的路由表等等。此外对重

18、要的应用服务器没有进行安全监控和漏洞扫描。病毒入侵安全隐患一些应用系统，特别是基于 WINDOWS平台的应用系统，没有安装一些防计算机病毒的软件，给计算机的安全造成了一定的隐患。黑客攻击隐患缺乏对黑客攻击进行防止、检测和响应的一整套防黑措施和相应的安全体系，没有明确的安全指导思想和安全模型，不能够对安全事件进行全过程监控和作出相应的响应行动，无法对整个安全系统进行准确有效的安全评估。 1.4 网络管理的现状网络管理的现状三峡建行目前正在使用 Cisco CWSI 2.1 专用网管系统，用于管理三峡建行局域网上的网络设备。由于其专用性，该软件无法正确管理非 Cisco 网络设备

19、，而且无法监控到广域网的运行状态。三峡建行在业务管理中成功引进了 BMC 管理系统，在对 BMC 的移植过程中，三峡建行科技人员开发设计了对前台网点实时监控程序，目前这项工作正在实验推广过程中。 1.5 三峡建行网络存在主要问题三峡建行网络存在主要问题 1.5.1 三峡建行城域网存在的问题三峡建行城域网存在的问题根据总行网络改造要求，三峡建行主交换机需要两台，并要求支持第三层交换，而三峡建行现有的主交换机 Catalyst 5505 没有第三层交换模块，另一台主交换机的备份 Catalyst 5000，无论从交换能力还有模块配置均无法满足网络改造的要求。随着以后语音、视屏在网

20、络的应用，三峡建行目前 100M 骨干局域网将面临拥塞。三峡建行办公大楼结构化布线不规范，线路急需整理，网络设备的运行环境也需要加以改善现有的城市综合网网络地址、企业网地址以及清算 A 卡网地址都不统一，需要按照总行网络改造的要求加以规范现有城域网之间的光纤缺乏必要的链路备份，一旦光纤出现故障，没有其他应急方案可供选择。 1.5.2 营业网存在的问题：营业网存在的问题：目前前台网点使用的 IP 地址不符合总行规范，必须加以调整。城市综合网（含清算 A 卡网）与总行采用的是 64K X25 线路，已经无法承载新的业务一些网点由于业务量大，通信带宽不足，出现通信堵塞，有些网点

21、反映通信故障率比较高目前网点采用的串口通信协议 Slip，在新主机上支持不好，给主机安全运行带来隐患。一些县行还在使用 X.25，效率比较低，费用比较高。一些网点还外挂诸如查询机、个贷前置机等，网络连接结构凌乱，通信质量无法得到保证。 1.5.3 管理网（企业网）存在的问题管理网（企业网）存在的问题管理网（企业网）所有非以太网连接的用户接入带宽严重不足。由于现有的组网模式是企业网与城综网彼此隔离，往往综合性的网点需要几条线路，造成浪费。管理网（企业网）广域网中使用的 Motorola 路由器故障率高，端口损坏严重，维修困难。管理网（企业网）与总行连接的 Motorola

22、路由器，故障率比较高管理网（企业网）整个 IP 地址分配基本是符合此次总行建议的规范，但也有部分企业网需要保留的地址被分配了。管理网（企业网）目前还没有必要链路的备份措施。 1.5.4 外连网存在的问题外连网存在的问题外连网缺乏统一的平台，其广域网地址不符合总行新的 Ip 地址分配规范，也需要做调整。外连网与建行核心业务网络耦合度大，外连网业务的变化往往带来核心业务的变动。外连网的网络连接模式，不符合总行网络安全要求，而且还造成设备的利用率不高，监控管理困难。第第 2 章章网络改造的网络改造的需求规定需求规定 2.1 总体目标总体目标总行骨干网改造是 A 总行为了适应

23、新形势下银行激烈竞争，提高 A 银行核心竞争力的一项具有战略意义的举措。三峡建行网络改造作为整个建行网络改造工作的一个组成部分，成功的网络改造将使三峡建行能够在较长时间里在当地同业的竞争中继续保持科技优势，从而推动各项业务的快速发展。三峡建行网络改造的总体目标是以此次总行骨干网改造为契机，在不影响以此次总行骨干网改造为契机，在不影响全行正常业务开展的前提下，将目前分离的城综网、清算全行正常业务开展的前提下，将目前分离的城综网、清算 A 卡网和企业网整合卡网和企业网整合成为统一的以成为统一的以 IP 技术为主体的稳定、可靠、高效的综合网络平台，实现建行核技术为主体的稳定、可靠、高效的

24、综合网络平台，实现建行核心业务和外连业务的有机分离，为最终完成全建行数据集中做网络准备心业务和外连业务的有机分离，为最终完成全建行数据集中做网络准备。 2.2 网络改造需求网络改造需求 2.2.1 三峡建行局域网三峡建行局域网 1、根据总行骨干网改造方案，三峡建行局域网需要有两台主交换机，而且都必须能够支持第三层路由交换，而三峡建行目前只有一台主交换机 Catalyst 5505 且没有配置第三层交换模块。这次网络改造中需要增加三峡建行网络中心需要增加一台高档交换机，并增加配置 Catalyst 5505 相应的第三层交换模块。 2、通过网络改造实现全行核心业务的网段按照总行最近下发的关

25、于调查 IP 地址使用情况及征集对 IP 地址修订建议的意见的通知的要求整合，外连业务网络将采用新的接入方式，引进统一的中间业务平台和网络连接平台。 3、随着业务的拓展，特别是语音、视频的应用，三峡建行目前的局域网 10M/100M 也面临带宽不足的压力，考虑在三峡建行大楼与科技部之间的骨干上千兆以太网，三峡建行大楼用低端交换机替换 HUB。 2.2.2 三峡建行城域网三峡建行城域网、进一步扩展城域网的连接范围，将丙办的光纤延伸到己支行机关，架设到戊支行机关的光纤，使庚、戊这两个城区主要支行接入三峡建行城域网，减少通信费用。、为三峡建行城域网提供必要的链路备份措施。 2.2.3

26、广域网接入广域网接入 1、与总行的一级骨干网连接按照总行骨干网改造要求实现。 2、考虑对伍支行、东办等城区支行以及各县支行等综合性的网点的企业网、城综网线路合并，接入带宽提高到 64K，通过路由器连接到三峡建行； 3、对于业务量大或线路集中的网点也考虑使用路由器，并提高接入速率到 64K； 4、其他网点提速后仍使用目前的串口协议连入三峡建行中心网络，将 SLIP 改为 PPP； 5、前台网点的广域网采用的 PSTN 拨号备份实现后台无人干预。 6、外连网络的广域网连接整合到一套网络设备上，并安装防火墙与营业网隔离。 2.2.4 网络管理的需求网络管理的需求 1、具有网络管理基本功能，提

27、供设备管理、配置管理、图形面板、流量监控、故障判断、拓扑发现等。 2、在不影响关键业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，并进行网络的规划和设计。 3、网管系统能够作到管理监控到全网所有网络设备，直观的显示各种设备运行状态，并对各种异常情况实现自动报警。 2.2.5 网络安全管理需求网络安全管理需求、网络设计中利用防火墙、VLAN 等技术，确保计算机网络系统计算机网络系统安全漏洞最小化，使网络入侵的风险得到控制。、能够使安全管理员了解计算机网络系统的整体安全状况。、可监控到来自网络内部和外部的“黑客”入侵。、

28、能够为查明入侵的来源提供有效的依据。 5、能够对整个网络系统从网络层、系统层、数据库和应用层进行安全脆弱性进行评估，提供安全修复指引。 2.2.6 语音、视频应用的需求语音、视频应用的需求、在三峡建行一级安装有能与与总行通话的 IP 电话 20 门，并能够参加总行举行的视频会议。、在条件允许的情况下，在三峡建行城域网内能够实现 IP 电话和视频服务。第第 3 章章网络改造的网络改造的基本原则基本原则高可靠性高可靠性选用可靠性较高的网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，从而最大限度地支持各业务系统的正常运行。实用性实用性网络改造

29、方案设计实施应充分考虑实际需求和费用，追求高的性效比安全性安全性制订统一的网络安全策略，整体考虑网络平台的安全性集中管理集中管理对网络实行集中监测、，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。可扩展性。可扩展性。根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少对网络架构和现有设备的调整。灵活性灵活性支持大型的动态路由协议，支持策略路由功能，保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接。技术先进性技术先进性以先进、成熟的网络通讯技术进行方案设计及实施，相关的技术均要符合国

30、际标准。保护现有投资保护现有投资保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。分阶段实施原则分阶段实施原则对整个网络改造进行统一规划，分阶段逐步实施。分分行行城城域域网网分分行行城城域域网网县县支支行行县县支支行行外外接接网网外外接接网网 B B 城城区区各各支支行行城城区区各各支支行行 C C 网网点点网网点点 B：分分布布层层 C：接接入入层层第第 4 章章网络总体设计网络总体设计 4.1 三峡建行网络系统改造目标总体架构三峡建行网络系统改造目标总体架构 4.1.1 组网模式组网模式大型网络的网络结构是层次化的，正确理解我行网络层次的划分和每个层次的

31、主要作用，有助于我们合理选择网络拓扑和网络技术。鉴于三峡建行的特殊性，我们将网络结构设计为如下层次：城域网：城域网实现建行同城网络的连接，包括中心机房到丁机房、甲路机房的连接。分布层：实现网络统一策略的互联层，访问层向核心层的汇接点，三峡建行到各县支行构成的二级网络即属于网络分布层。接入层：为最终用户提供对网络的接入，三峡建行到各营业网点构成的网络即属于网络接入层。同时，接入层网络包括三峡建行与外连网的连接。按照以上方式进行组网，层次比较清晰，便于方案实施，。组网模型如下图： 4.1.2 网络总体拓扑结构网络总体拓扑结构设计设计网络改造后的网络拓扑结构示意图如下所示： 4

32、.2 局域网改造局域网改造 4.2.1 局域网改造方案局域网改造方案设备选择设备选择在三峡建行网络中心，增加一台高性能的交换机 Cisco Catalyst 6509，同时在 Cisco Catalyst 5505 增加千兆模块和 RSM 路由模块，通过两条千兆链路连接起来，利用 Gigabit EtherFast 技术既相互备份，又负载均衡。 Catalyst 6509 可以提供高性能、多层交换的数据通信，满足内部网络（INTRANET）、苛求网络服务和网络语音应用。每台 Catalyst 6509 配置两块带有 PFC 子卡和 MSFC 子卡的超级引擎，互为备份，其中 PFC

33、子卡主要用于扩充 Qos 能力，可以实现基于应用（TCP/UDP 应用端口号）的服务质量控制，而 MSFC 子卡主要是取代原来的路由模块 MSM 实现线速三层交换，并且进行了很大的扩充，数据包吞吐率从原来的 6Mpps 扩充到 15Mpps。同时，Catalyst 6509 配置一个 48 口 10M/100M 模块分别提供与网管工作站、路由器等的连接。为了保证中心交换机的可靠性，Catalyst 6509 配置双电源冗余系统。将原有 Catalyst 5000 交换机从网络中心下移到江阁大楼，同时增加两个千兆模块，分别以 1000Mbps 速率同 Catalyst 6509

34、和 Catalyst 5505 相连。 VLAN 划分划分将局域网按服务器业务类型划分为不同 VLAN，主要有：业务网、管理网等，也可以按照部门划分 VLAN，VLAN 之间的通信可以通过诸如主交换机中设置的策略路由等加以控制。三峡建行网络中心局域网网络拓扑图三峡建行网络中心局域网网络拓扑图三峡建行网络中心网络拓扑图如下：网络中心交换机设备配置表网络中心交换机设备配置表设备配置表如下：序号产品号产品名称数量 Catalyst 6509 1WS-C6509Catalyst 6509 Chassis1 2WS-CAC-1300W Catalyst 6000 1300W AC Po

35、wer Supply1 3WS-CAC-1300W/2Catalyst Second 6000 1300W AC Power Supply1 4WS-X6K-S2-MSFC2Catalyst 6500 Supervisor Engine-2, 2GE, plus MSFC-2 & PFC-21 5WS-X6K-S2-MSFC2/2 *Cat 6500 Red. Sup2, 2GE, MSFC2 & PFC2 (In Chassis Only)1 6MEM-C6K-FLC24MCatalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option1

36、 7MEM-MSFC-128MBCatalyst 6000 MSFC Mem, 128MB DRAM Option1 8WS-X6408-GBIC Catalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs) 1 9WS-G5484 1000BASE-SX “Short Wavelength“ GBIC (Multimode only) 8 10WS-X6248-RJ-45Catalyst 6000 48-port 10/100 RJ-45 Moudel1 11SC6MSFCA-12.0.3XE Cisco IOS Catalyst 600

37、0 Family MSFC - Enterprise1 12FR-IRC6Catalyst 6000 Family InterDomain Routing Feature License1 Catalyst 5505（增加模块）（增加模块） 13WS-X5403C5000 Gigabit Ethernet Switching Module w/o GBICs (3 port)1 14WS-G54841000BASE-SX “Short Wavelength“ GBIC (Multimode only)3 15WS-X5302Catalyst 5000 Route Switch Module1

38、4.3 城域网改造城域网主要提供城区各个主要局域网的接入，包括江阁大楼、云路机房、信用卡部和星办局域网的接入，还包括增加戊和己两支行局域网的接入将三峡建行网络中心原有的 Catalyst 5000 交换机下移到江阁大楼，作为江阁大楼局域网中心交换机，在 Catalyst 5000 新增两个千兆模块端口，通过 1000BASE-SX 模块分别和 Catalyst 6509、Catalyst 5505 相连，两条链路互为备份。甲路机房、信用卡部和星办局域网保持原有结构不变。戊和己支行需铺架光纤，接入三峡建行城域网，己支行需增加一台 Catalyst 2924 交换机。城域网改造后，

39、网络拓扑图如下：城域网链路备份方案有两种：方案一是通过 ISDN 连接路由器的方式，方案二是通过 10M 的无线以太网方式（方案见附件）。这两种备份方式都只备份营业网 4.4 广域网改造广域网改造 4.4.1 广域网分布层改造广域网分布层改造分布层网络主要是指三峡建行到县级支行和城区较远支行的网络连接。三峡建行到上述支行的网络拓扑图如下：链路说明：支行采用 64K DDN 链路与三峡建行网络中心互连，用于传输营业数据和企业内部管理数据；同时利用 PSTN 链路作为备份线路。设备选型：县级支行局域网进行改造，配置一台 Catalyst 2924 交换机，通过选用的 CISC

40、O 2600 系列路由器分别与三峡建行相连。在 Catalyst 2924 划分 VLAN 将管理网和营业网隔离开。节点确定原则：该节点就近有既营业网又有管理网的广域网的接入。初步确定有 b、c、d、e、f、g、h、i 各县支行以及城区、国际业务部。 4.4.2 广域网接入层改造广域网接入层改造接入层网络主要是指三峡建行到网点的网络连接。三峡建行到网点的网络拓扑图：链路说明：大的网点采用低端路由器（还可广泛采用原有的一些非 CiscoL 路由设备）通过 64K DDN 链路与三峡建行网络中心互连，用于传输营业数据，小的网点采用异步 MODEM 通过 64K DDN 链路与三峡建行网

41、络中心互连；同时利用 PSTN 链路作为备份线路。节点确定原则：该节点就近有多条营业网的广域网的接入。初步确定有航空办、北山办、五广分理处等。 4.5 外网的连接外网的连接为了实现三峡建行和外网（主要是开展的中间业务）的连接，通过将运行中间业务的前置机和路由器之间放置一台 PIX 防火墙进行物理隔离，配置一台 CISCO 3661，配置多口同步模块，通过 DDN 与证券营业部相连，同时提供网上查询等业务。三峡建行局域网与外网连接图如下： 4.6 可靠性设计可靠性设计三峡建行网络可靠性包括网络设备备份和链路备份（包括电话拨号）。 4.6.1 设备备份设备备份三峡建行局域网中心

42、设备备份三峡建行局域网中心设备备份三峡建行中心局域网中心增加一台高性能的交换机 Cisco Catalyst 6509，同时在 Cisco Catalyst 5505 增加千兆模块和 RSM 路由模块，通过两条千兆链路连接起来，利用 Gigabit EtherFast 技术既相互备份，又负载均衡。 Catalyst 6509 配置双引擎和双路由模块，同时配置双电源冗余系统，保证中心交换机的可靠性。提供一台 CISCO 3662交换机，配置同异步模块，作为中心路由器的设备备份。城域网设备备份城域网设备备份在三峡建行中心交换机 Catalyst 6509 上备份一块 24 口 10

43、0M 多模光纤模块，同时提供一台 Catalyst 1924C 交换机，作为城域网下一级节点的设备备份。支行局域网设备备份支行局域网设备备份提供一台 Catalyst 2924 交换机，作为远程支行局域网交换机的设备备份。 4.6.2 链路备份链路备份城域网链路备份城域网链路备份城域网的主干链路为光纤连接，为了保证城域网的链路的可靠性，可以采用 ISDN 备份在城域网各节点申请一条 ISDN 线路，同时增加一台 CISCO 2600 路由器，配置一个 ISDN 模块，当光纤主干链路出现故障时，启动 ISDN 线路，保证城域网的连通。广域网线路备份广域网线路备份支行广域网链

44、路备份支行选用 CISCO 2600 路由器通过 64K DDN 链路与三峡建行网络中心互连，用于传输营业数据和企业内部管理数据，同时利用 PSTN 链路作为备份线路。网点广域网链路备份大的网点采用 CISCO 2600 路由器通过 64K DDN 链路与三峡建行网络中心互连，用于传输营业数据，小的网点采用异步 MODEM 通过 64K DDN 链路与三峡建行网络中心互连；同时利用 PSTN 链路作为备份线路。 4.7 网络网络 IP 路由设计路由设计路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重

45、要的影响。在大型网络中，静态路由和某些动态路由如 RIP、IGRP 由于其固有的局限性(扩展性差、不支持 VLSM)，不适合在网络节点多、规模大的网络中使用。目前在大型网络中最常见的路由协议是 OSPF 和 EIGRP。由于在大型的网络中有多种平台的路由器存在，而 EIGRP 仅为 Cisco 独家支持。由于我们为了充分利用原有网络设备（其中很大一部分是非 Cisco 的）无法选择 EIGRP，且在最新内部路由的设计中，OSPF 的性能在流量整形方面远超于 Eigrp。故我们在本网络方案中内部主路由协议选择 OSPF。 4.8 面向应用的网络服务面向应用的网络服务 4.8.1

46、业务分类和数据特点的分析：业务分类和数据特点的分析：不同的应用系统对网络服务的要求不同。在一个统一的网络平台上，应该保证对于不同的应用数据根据其具体要求提供相应的网络服务，并能在因故障导致网络资源稀缺时优先保证关键性业务数据的传输。经对我行现有应用系统的网络需求分析，按其重要程度分为以下两类：营业类、管理类。营业类业务系统包括综合网柜面业务系统、清算系统、龙卡系统、网上银行等。这些业务是我行最重要的业务，应优先得到保障。这些业务的数据包大小比较固定，对数据传输的延时要求比较高。管理类业务系统包括 OA、信贷、总帐传输、人力资源、电子邮件等管理系统。这一类管理信息目前主要

47、是普通的文件传输，数据流量大、突发性强、对实时性要求较低，但要求能够可靠传输，流向目前主要是纵向。综合类业务系统包括访问行内信息网站、Internet 浏览以及 IP 电话、视频会议、网上培训多媒体增值业务等。这些都属于流量增长最快的应用系统，流量大、随机性强，流向可能是任意方向的，其中多媒体业务是面向非连接的，对时延非常敏感。 4.8.2 QOS 保证保证使不同的业务集成在了同一个网络平台上，如何保证不同业务数据的优先级别和传输质量就成了一个很重要的问题。同时将要实施的语音等新应用对网络提出了新的服务质量的要求。要保证以上数据的网络服务质量，需要采用策略路由实现根据不同的

48、业务数据种类选择不同链路传输，并在每条线路上采用带宽分配、优先级控制等 QOS 控制技术保证各类应用数据的有效传输。 QoS 控制技术为了避免增加过多的控制策略导致路由器负载过重，选择以下几种 QOS 控制技术，简单有效地实现各类应用的 QOS 保障。接入速率控制(CAR) CommittedAccessRate( IP 优先级控制队列机制(WeightedFairQueuing) 先期拥塞控制(WRED) 标记交换(MPLS) 语音数据优先在三峡建行在此次网络改造中将广泛采用上述技术保证网络通畅，特别是营业数据的正常传输。第第 5 章章三峡建行网络管理三峡建行网络管理设计设

49、计在三峡建行广域网中，设备繁多，网络规模大，地理位置跨越广，且应用环境复杂。对于诸多网络硬件设备和网络应用，只有对网络进行有效地组织和管理,才能够充分利用网络软硬件资源，发挥其效力，为系统应用提供良好的网络运行平台。为了提高系统的分级安全性,设计网络管理系统，便于管理和故障处理，监控的实时性。以 CiscoWorks2000 为网络管理平台；以美国 BMC 软件公司的 PATROL 组件为基础，集成网管系统、系统的监控程序和自行开发的监控程序，建设集中监控管理系统，实现计算机网络系统的集中监控和管理，实现监视各种主机服务器、数据库、网络和网上关键性系统的运行状态、工作任务完成情况，自动启动工作任务，进行作业调度，减少中心机房值班人员的工作压力，逐步实现主机房无人值守。同时，配置 BMC 的数据备份与恢复软件，从而减少因系统停机、重要数据信息的丢失等而造成的业务停顿，最大程度上保证系统的高可用性和可管理性，以保障 7x24 小时关键性应用系统的运行，最终实现企业信息系统的管理目

展开阅读全文