三峡建行网络改造总体设计方案书.docx

三峡建行 网络改造总体设计方案书 （讨论稿） 二零零一年四月 目 录 第1章 三峡建行网络现状 4 1.1 网络连接现状 4 1.1.1 三峡建行城域网现状 4 1.1.2 三峡建行局域网现状 5 1.1.3 三峡建行广域网现状 6 1.1.4 与Internet连接状况 7 1.2 网络应用现状 8 1.2.1 管理网应用现状 8 1.2.2 营业网应用现状 9 1.2.3 外连网应用现状 10 1.3 网络安全现状 11 1.4 网络管理的现状 12 1.5 三峡建行网络存在主要问题 12 1.5.1 三峡建行城域网存在的问题 12 1.5.2 营业网存在的问题： 13 1.5.3 管理网（企业网）存在的问题 13 1.5.4 外连网存在的问题 14 第2章 网络改造的需求规定 15 2.1 总体目标 15 2.2 网络改造需求 15 2.2.1 三峡建行局域网 15 2.2.2 三峡建行城域网 15 2.2.3 广域网接入 16 2.2.4 网络管理的需求 16 2.2.5 网络安全管理需求 16 2.2.6 语音、视频应用的需求 17 第3章 网络改造的基本原则 18 第4章 网络总体设计 19 4.1 三峡建行网络系统改造目标总体架构 19 4.1.1 组网模式 19 4.1.2 网络总体拓扑结构设计 20 4.2 局域网改造 20 4.2.1 局域网改造方案 20 4.3 城域网改造 22 4.4 广域网改造 23 4.4.1 广域网分布层改造 23 4.4.2 广域网接入层改造 24 4.5 外网的连接 25 4.6 可靠性设计 26 4.6.1 设备备份 26 4.6.2 链路备份 27 4.7 网络IP路由设计 27 4.8 面向应用的网络服务 28 4.8.1 业务分类和数据特点的分析： 28 4.8.2 QOS保证 28 第5章 三峡建行网络管理设计 30 5.1 网管系统功能及其职责 30 5.2 网络管理平台和网管工作站 31 第6章 网络系统安全设计 32 6.1 安全模型（P2DR模型） 32 6.2 三峡建行网络系统总体安全体系 33 6.2.1 安全策略设计 33 6.2.2 总体安全体系的规定 33 6.3 三峡建行网络级安全设计 35 6.3.1 局域网安全设计 35 6.3.2 广域网安全设计 37 第7章 IP电话网络设计 40 7.1 IP电话网络建设的必要性 40 7.2 IP电话所使用的几种技术 40 7.3 CISCO的VoIP解决方案 41 7.3.1 三峡建行与总行的VoIP通信 42 7.4 IP语音的管理 43 第8章 三峡建行视频会议设计 45 8.1 视频会议系统结构 45 8.2 会议电视终端设备 46 8.2.1 三峡建行会场 46 8.3 实现功能 47 8.4 主要特点 47 H附件1 三峡建行IP地址分配规划 48 总行规定IP地址编码结构 48 三峡建行IP地址规划表 48 附件2 三峡建行IP联络中心方案 50 三峡建行CALL CENTER解决方案 50 三峡建行IPCC体系架构 50 IPCC功能和优点 51 IPCC系统构成 54 IPCC应用软件开发 57 第1章 三峡建行网络现状 三峡建行作为总行确定的六十个重点城市行之一，经过几年的建设，已建成了覆盖各县市（除W县）城市综合业务网络系统，在此基础上依托总行建成了以清算A卡网络系统、企业内部网为代表的全国性三峡建行内部互连网络。以计算机网络为支撑平台，我行的各类业务应用系统不断推陈出新，开拓了多项新的业务，为我行的业务快速发展发挥了巨大的作用。 下面，对三峡建行网络结构具体说明： 1.1 网络连接现状 1.1.1 三峡建行城域网现状 三峡建行中心机房位于科技部二楼。通过自架光纤与三峡建行办公楼、甲路10楼（老机房）、乙办以及丙办连接构成目前的三峡建行城域网，如图所示： 如图，三峡建行局域网的中心交换机为一台Cisco Catalyst 5505，配有1个2口100M FX光纤接口模块，通过多模光纤与318和甲路机房的1924C连接。Catalyst 5505还配有两个24口100M以太网接口模块、其中连接两台2924交换机，并通过2924上的100M FX与乙办以及丁办相连。 1.1.2 三峡建行局域网现状 在Catalyst 5505和2924上根据不同的应用划分了13个不同的VLAN，由于目前我行主交换机没有配置第三层交换功能，VLAN之间的通信只能通过网关来实现。 在中心机房中，另有一台Catalyst 5000交换机作为备用机。 目前，三峡建行网络中心机房共配有13台路由器分别接入局域网中各个VLAN。路由器应用见表一： 设备 端口 线路 速率 说明 Cisco 7206A Port 1 X.25 64K 至各县支行清算 Cisco 7206B Port1-8 DDN 9.6K 银企互联、戊地电信代收费 Cisco 3640A Port1-96 DDN 9.6K 城综网前台网点 Cisco 3640B Port1-64 DDN 9.6K 城综网前台网点 Cisco 2501A Port 1 X.25 9.6K 人行同城清算 Cisco 2501B Port 1 DDN 64K 移动通信代收 Cisco 2501C Port 1 DDN 64K 社保 Cisco 2501D Port 1 DDN 64K 银企互联 Cisco 2501E Port 1 DDN 2M 支付网关与Internet接入 Cisco 2501F Port 1 X.25 9.6K 人行贷款资料查询 Motorola MP6520 Port 19 X.25 64K 总行清算 Port 20 PSTN 19．2K 总行清算备份 Motorola MP6520 Port 19 X.25 64K 部分县支行清算 Motorola MP6560 Port 19 DDN/FR 64K 总行企业网 三峡建行318机房是三峡建行办公大楼结构化布线所有信息点的集合地，318机房的1924从中心机房的Catalyst 5505得到VLAN信息，通过对其端口划分不同的VLAN，三峡建行大楼中各个不同的网络系统实现了与中心机房的通信。 其它局域网甲路机房、乙办以及丙办也是这种模式。 各县支行以及城区其他支行（办事处）基本都完成了三部一室的本地局域网布线工作。 1.1.3 三峡建行广域网现状 三峡建行的广域网线路普遍采用的低速通信链路，其中城市综合网是主要租用中国电信的DDN，前台网点通过串口通信协议，直接连到三峡建行网络中心的设备，部分县行营业部由于原来与清算共用线路还是采用的X.25，利用路由器连接到三峡建行网络中心，以上租用的线路带宽都只有9600bps；清算A卡网络由于县支行已经改为直连，可以说向下已经没有单独的线路，三峡建行清算A卡（含外币卡）系统与总行和上海连接采用的是64k X.25（复用）；三峡建行企业内部网已经与全辖所有二级机构开通连接，城区除乙办和丙路办、营业部等少数是通过三峡建行自架的光纤上的以太网外，其余均租用电信的DDN，县支行大都采用的是X.25，带宽只有9600bps，以路由器方式接入。三峡建行企业网与总行连接采用的是中元公司提供的中元帧中继，带宽64K。我行通信线路的主要备份方式为电话拨号。网络设备以CISCO、MOTOROLA 为主。此外以城市综合网为基础，我行独立开发了多种新业务，实现了与证券、电信、人行等外单位的网络互连，连接线路一般为DDN，通信速率9600-64K都是采用路由器连接的方式。 1.1.4 与Internet连接状况 三峡建行目前已经开通了Internet连接，用于网上银行业务，带宽为2M，、连接拓扑图如图: 如图所示三峡建行支付网关与Internet连接采用了目前比较完备的网络安全体系和技术，防火墙采用的是IBM Firewall 3.12，并安装了ISS网络安全管理软件进行安全漏洞扫描、入侵检测审计等，上述连接已经获得总行的验收认可。 1.2 网络应用现状 根据三峡建行对网络业务的划分，可以将三峡建行网络业务划分为：核心业务和外连业务。核心业务是三峡建行业务开展的基础业务，包括以城市综合网为基础的营业网和以企业内部网为基础的管理网两部分；外连业务是三峡建行依托核心业务系统，针对辖区内的企业和客户开发的业务网络系统。各系统应用关系如下图所示： 1.2.1 管理网应用现状 三峡建行目前正在管理网（企业网）使用的主要是基于LOTUS/NOTES平台上开发的应用，现在在三峡建行辖区范围内管理网上运行应用系统主要包括：电子邮件系统、信息网站、人力资源、信贷信息管理、移民资金管理、办公自动化系统、国际结算系统等。除少数应用系统外，大多数应用系统都向下推广到县支行一级，辖区内管理网（企业网）用计算机大约300余台，IP地址分配采用９８年总行统一规划的企业网地址。此外管理网与市人行存在临时的连接，用于定期本地贷款单位资料查询。管理网（企业网）拓扑连接如下图 1.2.2 营业网应用现状 三峡建行目前的营业网应用主要是城市综合网，全行共有前台网点１５０余个，ATM ３２台，金融查询机２０台，Pos ２００余台，城市综合网以太网采用１９９４年总行下发的营业网段98..42.63.0，而城市综合网广域网前台网点地址没有标准可循；清算A卡网的前置机和各县清算组前台（清算组前台已经与前台会计柜改为直连后的会计柜机器）采用总行清算系统分配的２０网段的IP地址。另外随着新业务的开展，前台网点还往往下联一些特定业务的前置设备（例如金融查询机和个贷前置机），这些设备地址也没有统一的规定。营业网拓扑连接如下图: 1.2.3 外连网应用现状 三峡建行充分利用三峡建行网络优势，积极开拓业务领域，先后与电信、证券、人行、社保局等多家实现了网络互连互通，通常我们是采用路由器+前置机的方式，使外连网与城综网隔离，即每个外连系统都独自采用一台路由器和一台前置机，路由器配置静态路由和相应的访问控制，前置机屏蔽所有无关的服务。外连网的IP地址分配由于没有可遵循的标准，分配时有很大的随意性。网络拓扑连接如下图： 1.3 网络安全现状 三峡建行在网络建设过程中已经采取了一些必要的安全措施，如“利用VLAN技术将业务网与企业网逻辑隔离、与各证券网点联网时利用前置机来保证数据传输的安全、拨号访问采用了RADIUS认证、在与Internet接入的支付网关中使用防火墙和ISS安全监控软件等。但从总体整体上分析，三峡建行现有网络中仍然存在着一些安全隐患。主要包括以下几个方面： ● 可靠性安全隐患 由于某些网络设备的关键部件存在质量问题或缺陷，导致网络在运行过程中存在可靠性安全隐患。如：MOTOROLA路由器的FLASH Memory工作时极不稳定，经常丢失系统软件，影响了清算A卡系统以及企业网的正常运行。一些系统缺乏备份链路和备份设备，一旦出现故障，势必影响业务的正常开展。 ● 应用系统安全隐患 各种应用缺乏统一的规划，未能充分考虑网络上的安全要求，导致三峡建行中心机房的业务运行网段上与外连的应用网段之间缺乏必要的安全屏蔽。有些与外界相连的应用系统缺乏有效的网络安全保障。如：与外界相连应用系统没有按照总行要求的安全连接模式连接，前置机可能存在未屏蔽非必要的通讯端口，可能存在多余的路由表等等。 此外对重要的应用服务器没有进行安全监控和漏洞扫描。 ● 病毒入侵安全隐患 一些应用系统，特别是基于WINDOWS 平台的应用系统，没有安装一些防计算机病毒的软件，给计算机的安全造成了一定的隐患。 ● 黑客攻击隐患 缺乏对黑客攻击进行防止、检测和响应的一整套防黑措施和相应的安全体系，没有明确的安全指导思想和安全模型，不能够对安全事件进行全过程监控和作出相应的响应行动，无法对整个安全系统进行准确有效的安全评估。 1.4 网络管理的现状 三峡建行目前正在使用Cisco CWSI 2.1专用网管系统，用于管理三峡建行局域网上的网络设备。由于其专用性，该软件无法正确管理非Cisco网络设备，而且无法监控到广域网的运行状态。 三峡建行在业务管理中成功引进了BMC管理系统，在对BMC的移植过程中，三峡建行科技人员开发设计了对前台网点实时监控程序，目前这项工作正在实验推广过程中。 1.5 三峡建行网络存在主要问题 1.5.1 三峡建行城域网存在的问题 ●　根据总行网络改造要求，三峡建行主交换机需要两台，并要求支持第三层交换，而三峡建行现有的主交换机Catalyst 5505没有第三层交换模块，另一台主交换机的备份Catalyst 5000，无论从交换能力还有模块配置均无法满足网络改造的要求。 ●　随着以后语音、视屏在网络的应用，三峡建行目前100M骨干局域网将面临拥塞。 ●　三峡建行办公大楼结构化布线不规范，线路急需整理，网络设备的运行环境也需要加以改善 ●　现有的城市综合网网络地址、企业网地址以及清算A卡网地址都不统一，需要按照总行网络改造的要求加以规范 ●　现有城域网之间的光纤缺乏必要的链路备份，一旦光纤出现故障，没有其他应急方案可供选择。 1.5.2 营业网存在的问题： ●　目前前台网点使用的IP地址不符合总行规范，必须加以调整。 ●　城市综合网（含清算A卡网）与总行采用的是64K X25线路，已经无法承载新的业务 ●　一些网点由于业务量大，通信带宽不足，出现通信堵塞，有些网点反映通信故障率比较高 ●　目前网点采用的串口通信协议Slip，在新主机上支持不好，给主机安全运行带来隐患。 ●　一些县行还在使用X.25，效率比较低，费用比较高。 ●　一些网点还外挂诸如查询机、个贷前置机等，网络连接结构凌乱，通信质量无法得到保证。 1.5.3 管理网（企业网）存在的问题 ●　管理网（企业网）所有非以太网连接的用户接入带宽严重不足。 ●　由于现有的组网模式是企业网与城综网彼此隔离，往往综合性的网点需要几条线路，造成浪费。 ●　管理网（企业网）广域网中使用的Motorola 路由器故障率高，端口损坏严重，维修困难。 ●　管理网（企业网）与总行连接的Motorola 路由器，故障率比较高 ●　管理网（企业网）整个IP地址分配基本是符合此次总行建议的规范，但也有部分企业网需要保留的地址被分配了。 ●　管理网（企业网）目前还没有必要链路的备份措施。 1.5.4 外连网存在的问题 ● 外连网缺乏统一的平台，其广域网地址不符合总行新的Ip地址分配规范，也需要做调整。 ● 外连网与建行核心业务网络耦合度大，外连网业务的变化往往带来核心业务的变动。 ●　外连网的网络连接模式，不符合总行网络安全要求，而且还造成设备的利用率不高，监控管理困难。 第2章 网络改造的需求规定 2.1 总体目标 总行骨干网改造是A总行为了适应新形势下银行激烈竞争，提高A银行核心竞争力的一项具有战略意义的举措。三峡建行网络改造作为整个建行网络改造工作的一个组成部分，成功的网络改造将使三峡建行能够在较长时间里在当地同业的竞争中继续保持科技优势，从而推动各项业务的快速发展。 三峡建行网络改造的总体目标是以此次总行骨干网改造为契机，在不影响全行正常业务开展的前提下，将目前分离的城综网、清算A卡网和企业网整合成为统一的以IP技术为主体的稳定、可靠、高效的综合网络平台，实现建行核心业务和外连业务的有机分离，为最终完成全建行数据集中做网络准备。 2.2 网络改造需求 2.2.1 三峡建行局域网 1、根据总行骨干网改造方案，三峡建行局域网需要有两台主交换机，而且都必须能够支持第三层路由交换，而三峡建行目前只有一台主交换机Catalyst 5505且没有配置第三层交换模块。这次网络改造中需要增加三峡建行网络中心需要增加一台高档交换机，并增加配置Catalyst 5505相应的第三层交换模块。 2、通过网络改造实现全行核心业务的网段按照总行最近下发的〈〈关于调查IP地址使用情况及征集对IP地址修订建议的意见的通知〉〉的要求整合，外连业务网络将采用新的接入方式，引进统一的中间业务平台和网络连接平台。 3、随着业务的拓展，特别是语音、视频的应用，三峡建行目前的局域网10M/100M也面临带宽不足的压力，考虑在三峡建行大楼与科技部之间的骨干上千兆以太网，三峡建行大楼用低端交换机替换HUB。 2.2.2 三峡建行城域网 １、进一步扩展城域网的连接范围，将丙办的光纤延伸到己支行机关，架设到戊支行机关的光纤，使庚、戊这两个城区主要支行接入三峡建行城域网，减少通信费用。 ２、为三峡建行城域网提供必要的链路备份措施。 2.2.3 广域网接入 1、与总行的一级骨干网连接按照总行骨干网改造要求实现。 2、考虑对伍支行、东办等城区支行以及各县支行等综合性的网点的企业网、城综网线路合并，接入带宽提高到64K，通过路由器连接到三峡建行； 3、对于业务量大或线路集中的网点也考虑使用路由器，并提高接入速率到64K； 4、其他网点提速后仍使用目前的串口协议连入三峡建行中心网络，将SLIP改为PPP； 5、前台网点的广域网采用的PSTN拨号备份实现后台无人干预。 6、外连网络的广域网连接整合到一套网络设备上，并安装防火墙与营业网隔离。 2.2.4 网络管理的需求 1、具有网络管理基本功能，提供设备管理、配置管理、图形面板、流量监控、故障判断、拓扑发现等。 2、在不影响关键业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，并进行网络的规划和设计。 3、网管系统能够作到管理监控到全网所有网络设备，直观的显示各种设备运行状态，并对各种异常情况实现自动报警。 2.2.5 网络安全管理需求 １、网络设计中利用防火墙、VLAN等技术，确保计算机网络系统计算机网络系统安全漏洞最小化，使网络入侵的风险得到控制。 ２、能够使安全管理员了解计算机网络系统的整体安全状况。 ３、可监控到来自网络内部和外部的“黑客”入侵。 ４、能够为查明入侵的来源提供有效的依据。 5、能够对整个网络系统从网络层、系统层、数据库和应用层进行安全脆弱性进行评估，提供安全修复指引。 2.2.6 语音、视频应用的需求 １、在三峡建行一级安装有能与与总行通话的IP电话20门，并能够参加总行举行的视频会议。 ２、在条件允许的情况下，在三峡建行城域网内能够实现IP电话和视频服务。 第3章 网络改造的基本原则 ● 高可靠性 选用可靠性较高的网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，从而最大限度地支持各业务系统的正常运行。 ● 实用性 网络改造方案设计实施应充分考虑实际需求和费用，追求高的性效比 ● 安全性 制订统一的网络安全策略，整体考虑网络平台的安全性 ● 集中管理 对网络实行集中监测、，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 ● 可扩展性。 根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少对网络架构和现有设备的调整。 ● 灵活性 支持大型的动态路由协议，支持策略路由功能，保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接。 ● 技术先进性 以先进、成熟的网络通讯技术进行方案设计及实施，相关的技术均要符合国际标准。 ● 保护现有投资 保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。 ● 分阶段实施原则 对整个网络改造进行统一规划，分阶段逐步实施。 第4章 网络总体设计 4.1 三峡建行网络系统改造目标总体架构 4.1.1 组网模式 大型网络的网络结构是层次化的，正确理解我行网络层次的划分和每个层次的主要作用，有助于我们合理选择网络拓扑和网络技术。鉴于三峡建行的特殊性，我们将网络结构设计为如下层次： 城域网：城域网实现建行同城网络的连接，包括中心机房到丁机房、甲路机房的连接。 分布层：实现网络统一策略的互联层，访问层向核心层的汇接点，三峡建行到各县支行构成的二级网络即属于网络分布层。 接入层：为最终用户提供对网络的接入，三峡建行到各营业网点构成的网络即属于网络接入层。同时，接入层网络包括三峡建行与外连网的连接。 按照以上方式进行组网，层次比较清晰，便于方案实施，。 组网模型如下图： 4.1.2 网络总体拓扑结构设计 网络改造后的网络拓扑结构示意图如下所示： 4.2 局域网改造 4.2.1 局域网改造方案 设备选择 在三峡建行网络中心，增加一台高性能的交换机Cisco Catalyst 6509，同时在Cisco Catalyst 5505增加千兆模块和RSM路由模块，通过两条千兆链路连接起来，利用Gigabit EtherFast技术既相互备份，又负载均衡。 Catalyst 6509可以提供高性能、多层交换的数据通信，满足内部网络（INTRANET）、苛求网络服务和网络语音应用。每台Catalyst 6509配置两块带有PFC子卡和MSFC子卡的超级引擎，互为备份，其中PFC子卡主要用于扩充Qos能力，可以实现基于应用（TCP/UDP 应用端口号）的服务质量控制，而MSFC子卡主要是取代原来的路由模块MSM实现线速三层交换，并且进行了很大的扩充，数据包吞吐率从原来的6Mpps 扩充到15Mpps。 同时，Catalyst 6509配置一个48口10M/100M模块分别提供与网管工作站、路由器等的连接。 为了保证中心交换机的可靠性，Catalyst 6509配置双电源冗余系统。 将原有Catalyst 5000交换机从网络中心下移到江阁大楼，同时增加两个千兆模块，分别以1000Mbps速率同Catalyst 6509和Catalyst 5505相连。 VLAN划分 将局域网按服务器业务类型划分为不同VLAN，主要有：业务网、管理网等，也可以按照部门划分VLAN，VLAN之间的通信可以通过诸如主交换机中设置的策略路由等加以控制。 三峡建行网络中心局域网网络拓扑图 三峡建行网络中心网络拓扑图如下： 网络中心交换机设备配置表 设备配置表如下： 序号 产品号 产品名称 数量 Catalyst 6509 1 WS-C6509 Catalyst 6509 Chassis 1 2 WS-CAC-1300W Catalyst 6000 1300W AC Power Supply 1 3 WS-CAC-1300W/2 Catalyst Second 6000 1300W AC Power Supply 1 4 WS-X6K-S2-MSFC2 Catalyst 6500 Supervisor Engine-2, 2GE, plus MSFC-2 & PFC-2 1 5 WS-X6K-S2-MSFC2/2 *Cat 6500 Red. Sup2, 2GE, MSFC2 & PFC2 (In Chassis Only) 1 6 MEM-C6K-FLC24M Catalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option 1 7 MEM-MSFC-128MB Catalyst 6000 MSFC Mem, 128MB DRAM Option 1 8 WS-X6408-GBIC Catalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs) 1 9 WS-G5484 1000BASE-SX "Short Wavelength" GBIC (Multimode only) 8 10 WS-X6248-RJ-45 Catalyst 6000 48-port 10/100 RJ-45 Moudel 1 11 SC6MSFCA-12.0.3XE Cisco IOS Catalyst 6000 Family MSFC - Enterprise 1 12 FR-IRC6 Catalyst 6000 Family InterDomain Routing Feature License 1 Catalyst 5505（增加模块） 13 WS-X5403 C5000 Gigabit Ethernet Switching Module w/o GBICs (3 port) 1 14 WS-G5484 1000BASE-SX "Short Wavelength" GBIC (Multimode only) 3 15 WS-X5302 Catalyst 5000 Route Switch Module 1 4.3 城域网改造 城域网主要提供城区各个主要局域网的接入，包括江阁大楼、云路机房、信用卡部和星办局域网的接入，还包括增加戊和己两支行局域网的接入 将三峡建行网络中心原有的Catalyst 5000交换机下移到江阁大楼，作为江阁大楼局域网中心交换机，在Catalyst 5000新增两个千兆模块端口，通过1000BASE-SX模块分别和Catalyst 6509、Catalyst 5505相连，两条链路互为备份。 甲路机房、信用卡部和星办局域网保持原有结构不变。 戊和己支行需铺架光纤，接入三峡建行城域网，己支行需增加一台Catalyst 2924交换机。 城域网改造后，网络拓扑图如下： 城域网链路备份方案有两种： 方案一是通过ISDN连接路由器的方式， 方案二是通过10M的无线以太网方式（方案见附件）。这两种备份方式都只备份营业网 4.4 广域网改造 4.4.1 广域网分布层改造 分布层网络主要是指三峡建行到县级支行和城区较远支行的网络连接。 三峡建行到上述支行的网络拓扑图如下： 链路说明：支行采用64K DDN链路与三峡建行网络中心互连，用于传输营业数据和企业内部管理数据；同时利用PSTN链路作为备份线路。 设备选型：县级支行局域网进行改造，配置一台Catalyst 2924交换机，通过选用的CISCO 2600系列路由器分别与三峡建行相连。在Catalyst 2924划分VLAN将管理网和营业网隔离开。 节点确定原则：该节点就近有既营业网又有管理网的广域网的接入。初步确定有b、c、d、e、f、g、h、i各县支行以及城区、国际业务部。 4.4.2 广域网接入层改造 接入层网络主要是指三峡建行到网点的网络连接。 三峡建行到网点的网络拓扑图： 链路说明：大的网点采用低端路由器（还可广泛采用原有的一些非CiscoL路由设备）通过64K DDN链路与三峡建行网络中心互连，用于传输营业数据，小的网点采用异步MODEM 通过64K DDN链路与三峡建行网络中心互连；同时利用PSTN链路作为备份线路。 节点确定原则：该节点就近有多条营业网的广域网的接入。初步确定有航空办、北山办、五广分理处等。 4.5 外网的连接 为了实现三峡建行和外网（主要是开展的中间业务）的连接，通过将运行中间业务的前置机和路由器之间放置一台PIX防火墙进行物理隔离，配置一台CISCO 3661，配置多口同步模块，通过DDN与证券营业部相连，同时提供网上查询等业务。 三峡建行局域网与外网连接图如下： 4.6 可靠性设计 三峡建行网络可靠性包括网络设备备份和链路备份（包括电话拨号）。 4.6.1 设备备份 三峡建行局域网中心设备备份 三峡建行中心局域网中心增加一台高性能的交换机Cisco Catalyst 6509，同时在Cisco Catalyst 5505增加千兆模块和RSM路由模块，通过两条千兆链路连接起来，利用Gigabit EtherFast技术既相互备份，又负载均衡。 Catalyst 6509配置双引擎和双路由模块，同时配置双电源冗余系统，保证中心交换机的可靠性。 提供一台CISCO 3662 交换机，配置同异步模块，作为中心路由器的设备备份。 城域网设备备份 在三峡建行中心交换机Catalyst 6509上备份一块24口100M多模光纤模块，同时提供一台Catalyst 1924C交换机，作为城域网下一级节点的设备备份。 支行局域网设备备份 提供一台Catalyst 2924交换机，作为远程支行局域网交换机的设备备份。 4.6.2 链路备份 城域网链路备份 城域网的主干链路为光纤连接，为了保证城域网的链路的可靠性，可以采用ISDN备份 在城域网各节点申请一条ISDN线路，同时增加一台CISCO 2600路由器，配置一个ISDN模块，当光纤主干链路出现故障时，启动ISDN线路，保证城域网的连通。 广域网线路备份 ● 支行广域网链路备份 支行选用CISCO 2600路由器通过64K DDN链路与三峡建行网络中心互连，用于传输营业数据和企业内部管理数据，同时利用PSTN链路作为备份线路。 ● 网点广域网链路备份 大的网点采用CISCO 2600路由器通过64K DDN链路与三峡建行网络中心互连，用于传输营业数据，小的网点采用异步MODEM 通过64K DDN链路与三峡建行网络中心互连；同时利用PSTN链路作为备份线路。 4.7 网络IP路由设计 路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。 在大型网络中，静态路由和某些动态路由如RIP、IGRP由于其固有的局限性(扩展性差、不支持VLSM)，不适合在网络节点多、规模大的网络中使用。目前在大型网络中最常见的路由协议是OSPF和EIGRP。 由于在大型的网络中有多种平台的路由器存在，而EIGRP仅为Cisco独家支持。由于我们为了充分利用原有网络设备（其中很大一部分是非Cisco的）无法选择EIGRP，且在最新内部路由的设计中，OSPF的性能在流量整形方面远超于Eigrp。故我们在本网络方案中内部主路由协议选择OSPF。 4.8 面向应用的网络服务 4.8.1 业务分类和数据特点的分析： 不同的应用系统对网络服务的要求不同。在一个统一的网络平台上，应该保证对于不同的应用数据根据其具体要求提供相应的网络服务，并能在因故障导致网络资源稀缺时优先保证关键性业务数据的传输。 经对我行现有应用系统的网络需求分析，按其重要程度分为以下两类：营业类、管理类。 营业类业务系统 包括综合网柜面业务系统、清算系统、龙卡系统、网上银行等。 这些业务是我行最重要的业务，应优先得到保障。这些业务的数据包大小比较固定，对数据传输的延时要求比较高。 管理类业务系统 包括OA、信贷、总帐传输、人力资源、电子邮件等管理系统。 这一类管理信息目前主要是普通的文件传输，数据流量大、突发性强、对实时性要求较低，但要求能够可靠传输，流向目前主要是纵向。 综合类业务系统 包括访问行内信息网站、Internet浏览以及IP电话、视频会议、网上培训多媒体增值业务等。 这些都属于流量增长最快的应用系统，流量大、随机性强，流向可能是任意方向的，其中多媒体业务是面向非连接的，对时延非常敏感。 4.8.2 QOS保证 使不同的业务集成在了同一个网络平台上，如何保证不同业务数据的优先级别和传输质量就成了一个很重要的问题。同时将要实施的语音等新应用对网络提出了新的服务质量的要求。要保证以上数据的网络服务质量，需要采用策略路由实现根据不同的业务数据种类选择不同链路传输，并在每条线路上采用带宽分配、优先级控制等QOS控制技术保证各类应用数据的有效传输。 QoS控制技术 为了避免增加过多的控制策略导致路由器负载过重，选择以下几种QOS控制技术，简单有效地实现各类应用的QOS保障。 ● 接入速率控制(CAR) CommittedAccessRate( ● IP优先级控制 ● 队列机制(WeightedFairQueuing) ● 先期拥塞控制(WRED) ● 标记交换(MPLS) ● 语音数据优先 在三峡建行在此次网络改造中将广泛采用上述技术保证网络通畅，特别是营业数据的正常传输。 第5章 三峡建行网络管理设计 在三峡建行广域网中，设备繁多，网络规模大，地理位置跨越广，且应用环境复杂。对于诸多网络硬件设备和网络应用，只有对网络进行有效地组织和管理,才能够充分利用网络软硬件资源，发挥其效力，为系统应用提供良好的网络运行平台。为了提高系统的分级安全性,设计网络管理系统，便于管理和故障处理，监控的实时性。 以CiscoWorks2000为网络管理平台；以美国BMC软件公司的PATROL组件为基础，集成网管系统、系统的监控程序和自行开发的监控程序，建设集中监控管理系统，实现计算机网络系统的集中监控和管理，实现监视各种主机／服务器、数据库、网络和网上关键性系统的运行状态、工作任务完成情况，自动启动工作任务，进行作业调度，减少中心机房值班人员的工作压力，逐步实现主机房无人值守。同时，配置BMC的数据备份与恢复软件，从而减少因系统停机、重要数据信息的丢失等而造成的业务停顿，最大程度上保证系统的高可用性和可管理性，以保障7x24小时关键性应用系统的运行，最终实现企业信息系统的管理目的。 5.1 网管系统功能及其职责 为了保障网络运行的品质，维持网络传送频率，降低传送错误率，确保网络安全等，网络系统技术人员借助网络管理工具或本身的技术经验实施网络管理，职责内容可分为下列八大类。 网管系统的职责: · 网络监控: 监视网络的运行状态,控制网络路由和流量,分析运行记录和报警信息 · 性能控制:据网络应用状态,负荷状态,网络利用率,合理调整网络性能。 · 故障管理：为确保网络系统的高稳定性，在网络出现问题时，必须及时察觉问题的所在。它包含所有节点运作状态，故障记录的追踪与检查及平常可对各种通讯协议的测试。 · 效率管理：效率管理在于评估网络系统的运作，统计网络资源的运用及各种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。 · 用户记帐管理: 建立统一的记帐系统,对网络资源的使用采取收费记帐的方法,对不同的资源访问制定不同的收费标准和算法。 · 网络安全管理: 用户身份确认,访问控制,对用户权限以及用户帐户进行维护和管理,设置相应口令与更新.加密和密钥管理.监视和控制网上的破坏安全系统的行为。 · 运行管理: