本科毕业论文---宁夏某银行后援中心网络的改建设计.doc

1、题 目 宁夏某银行后援中心网络的改建设计 学生姓名 赵郅炜 学号 1118064020 所在学院 数学与计算机科学学院 专业班级 网络工程1101班 指导教师 贾伟 完成地点 陕西理工学院 2015 年 6 月 10 日陕西理工学院毕业设计陕西理工学院本科毕业设计任务书院(系) 数学与计算机科学学院 专业班级 网络工程(网络1101) 学生姓名 赵郅炜 一、毕业设计题目 宁夏某银行后援中心网络的改建设计 二、毕业设计工作自 2014 年 12 月 9 日 起至 2015 年 6 月 20 日止三、毕业设计进行地点: 陕西理工学院、宁夏银川 四、毕业设计应完成内容及相关要求： 宁夏某银行后援中心

2、网络需要进行网络改建，以适应新的业务和安全需求。对此对该银行网络进行网络规划设计，满足网络的可用性、安全性和可靠性，并保留一定的可扩展性，在银行系统内实现一个完善、高效、高可用性和高可靠的网络，用以满足各项业务发展的需要。 本课题主要研究内容： （1）. 银行系统网络现状的调查和研究； （2）. 新网络系统拓扑结构设计分析； （3）. 网络设备的选型和配置规划； （4）. 网络迁移和后期测试； 要求：系统满足业务要求，具有一定的安全性，满足未来的发展升级。 五、毕业设计应收集资料及参考文献：1陈向阳. 网络工程规划与设计. 北京:清华大学出版社. 2007年. 2黎连业. 网络综合布线系统与施

3、工技术(第4版). 北京:机械工业出版社. 2011年. 3邓文达,雷军环. 网络工程设计的需求分析J. 长沙通信职业技术学院学报,2004,04. 4张萃. 绵阳师范学院校园网络工程设计与实施D.四川大学,2006. 5龚健. 网络工程生命周期研究与校园网设计与实施D.西南交通大学,2007. 6雷斌. 校园网网络系统工程设计D.湖南大学,2008. 7周若谷. 绵阳师范学院校园网络工程设计与实施D.电子科技大学,2007. 8姚军. 商业银行网络改造D.贵州大学,2009. 9黄铁宁. 校园网络方案设计及工程实践D.北京邮电大学,2011. 六、毕业设计的进度安排： 第1阶段 文献资料查阅

4、, 2015.3.20前完成开题报告撰写。 第2阶段 2015.4.10前完成需求分析，确立设计方案。 第3阶段 2015.5.1前完成详细设计及实现。 第4阶段 系统测试；总结设计内容，2015.5.20前完成毕业设计说明书撰写。 第5阶段 修订排版毕业设计说明书；2015.6.上旬进行毕业答辩；资料整理归档。 指导教师签名 专业负责人签名 学院领导签名 批准日期 宁夏某银行后援中心网络的改建设计作者：赵郅炜(陕西理工学院数学与计算机科学学院，网络工程专业1101班，陕西 汉中 723001)指导教师：贾伟摘要 信息科技催生了互联网金融的快速发展，交易量、客户群体都呈爆发增长态势，对银行传统

5、的网络系统造成巨大的影响。各大银行纷纷对自己的网络进行改造、维护。宁夏的某银行也更随着业务的扩展而改建网络。本课题是研究宁夏某银行的网络规划方案。此方案按照瀑布模型（分析、规划、构建、测试和部署）来规划整个网络构架的。从业务应用服务出发，对客户当前网络资源进行评估，并结合客户实际需求、业务发展趋势、最佳实践及网络建设经验，用网络技术最佳实践和行业规范来规划现有的网络构架。然后制定网络的基础规范，如IP地址规划，路由策略，安全策略，QoS策略。接着测试设计的网络构架。最后制定旧网络迁移到新网络的迁移方法。该方案是通过合理、低风险的理念为银行规划符合业务发展方向的、稳定可靠、易维护、灵活的、具有前

6、瞻性和稳健发展需求的网络系统基础架构和相应规范。关键词 信息化银行；业务模式；网络构架；网络协议；QoSReconstruction Design of A Bank Data Center Network in NingxiaAuthor: ZhAO Zhiwei (Grade 2011,Class 01,Major Network Engineering,Shaanxi University of Technology, hanzhong 723001 Shaanxi)Tutor: JIA Wei Abstract: Information Technology gave rise to

7、the rapid development of Internet financial. Because of the explosive growth of trading volume and customer groups, it would have an outsize impact on traditional network system of the banking. Every bank has to modify their networks. A bank in Ningxia with a network of business expansion alteration

8、s. This paper is the study of planning a bank network in Ningxia. This program in accordance with the waterfall model to plan the entire network architecture. Starting from the business application service, customers evaluate the current network resources, combined with the actual needs of customers

9、, business trends, best practices and experience in building networks, with network technology best practices and industry standards to plan the existing network architecture. Then the basis for developing specifications of the network, such as IP address planning, routing policies, security policie

10、s, QoS policies. Then test the design of the network architecture. Finalization of the old network migration to new network migration method. The program is reasonable, the concept of low-risk for banks planning in line with business development, stable and reliable, easy to maintain, flexible, forw

11、ard-looking and network systems infrastructure and corresponding sound regulate development needs.Key words: Information bank；Business model；Overall network architecture；network protocol；QoS目 录1 前 言11.1 研究背景11.2 本文研究内容和论文结构安排11.2.1 论文的研究内容21.2.2 论文的结构安排22 网络现状的调查和分析32.1 业务现状32.2 网络现状32.2.1 网络核心区42.2

12、.2 中间业务区42.2.3 办公业务区52.2.4 INTERNET网络外联52.3 网络安全现状52.4 存在问题62.4.1 网络核心区主要存在的问题62.4.2 办公业务区主要存在的问题72.4.3 中间业务区主要存在的问题72.4.4 INTERNET外联区主要存在的问题73 新网络系统结构设计83.1 网络构架总览83.2 网络功能区拓扑结构93.2.1 核心交换及广域网接入93.2.2 业务服务区103.2.3 办公服务区113.2.4 外联服务区123.2.5 业务互联网区133.2.6 运维管理区133.3 网络最终整体拓扑144 网络基础规范设计164.1 网络设备型号以及

13、命名164.2 IP地址规划174.3 路由构架规划174.4 策略设计184.4.1 路由策略184.4.2 安全策略194.5 QoS规划214.6 网络管理224.6.1 系统概述224.6.2 网络管理方式224.6.3 组网方式225 网络测试和迁移235.1 测试235.2 迁移245.2.1 整体设计思路245.2.2 设计思路245.2.3 迁移步骤256 总 结30致 谢31参考文献32附录A：外文文献331 前 言本章是介绍了此次项目的研究背景，简单介绍了本次毕业设计的研究内容和方法，还有整个论文的结构安排。1.1 研究背景互联网时代，各行业纷纷实现互联网化。在银行业，网络

14、成为银行交易、业务办理的重要工具。其中，信息系统稳健、可靠、安全运行更是直接关系到银行的经济安全和运营效率。目前所有的商业都离不开网络，商业银行的业务在逐步的提高。随着时代的进步，科技网络的快速发展，电子商务的成熟，银行的网络一直在新建、扩展，同时这一切都要保持着飞速发展。移动互联网、社交媒体、大数据等新技术的快速发展，对人们原有的金融消费方式产生了深远的影响，融智能网的解决方案主要是面向金融机构的基础ICT建设，设计从数据中心、广域骨干到分支网点的全场景网络解决方案，包括数据中心基础设施、两地三中心、网络融合与安全等解决方案，为银行建设一个灵活、可靠和高效的基础架构，支撑银行未来业务的快速发

15、展和创新服务。XX银行股份有限公司成立于2008年12月22日，总部设在宁夏回族自治区首府银川市，是在原宁夏自治区联社和银川市联社金融业务合并的基础上，吸收国内若干家法人单位和自然人，共同发起设立的股份制商业银行，是全国首家由省级信用联社整体改制而成的银行，也是中国银监会确定的全国省级信用联社改革试点单位。 XX银行股份有限公司由宁夏信用联社改制而成。2008年12月22日，在银川正式开业。她是全国首家由省级信用联社整体改制而成的银行，是宁夏地区规模最大的商业性地方金融机构。宁夏信用联社拥有资产342亿元，下辖22家县（市）联社，营业网点380家。因此她们的网络规模也不容小视，如1.1所示。数

16、据中心连接全省分行，自助服务设备，和第三方协作机构，还有两个银监局，这些都是主要的业务往来。图1.1 宁夏某银行网络位置图近年来，由于网络的更新换代，银行业务量的增大，再加上原有网络的老化，原有的网络已不能支持现有业务的正常运营。银行商议更换网络系统，保证业务不间断的情况下进行网络的更新换代。扩大网络机房，改造原有网络的基础上新建网络系统。1.2 本文研究内容和论文结构安排本节简单介绍论文的研究内容，主要描述该项目的研究内容。然后介绍了章节内容，即每一章节的题目和主要内容。1.2.1 论文的研究内容本文主要是以商业银行后援中心网络的改建项目为背景展开。本文的重点在于改造，从网络现状的调研到项目

17、实施前的准备，主要分析了网络改建的设计过程。从商业银行网络工程的总体架构开始分析，在网络协议选型、路由策略设计、安全策略设计、网络管理设计等各方面进行了详细的分析，在此分析的基础上提出解决基全网的QoS解决技术方案，详细分析了全网路由和策略的规范化设计和部署，密切结合网络建设目标，进行全网规划。同时紧密结合实际网络情况，在提高局域网等整体业务支撑能力的原则下,对商业银行网络工程建设项目给出相应解决方案。1.2.2 论文的结构安排本文深入研究了商业银行网络工程建设的各个环节，文章的组织如下:第1 章阐述了课题的背景，综述了网络建设的应用领域，本论文的研究内容和结构安排等等。第2 章先详细地分析了

18、银行系统网络现状的调查和研究。第3 章本章介绍商业银行网改造项目方案的总体设计，从现网存在问题开始着手，制定网络改造方案。第4 章介绍网络的基础规范，设备选型命名、IP地址规划、路由策略、QoS、网管等内容设计。第5 章主要介绍网络迁移方法，以及迁移完成与否的测试和回退方案。第6 章为总结，总结整个毕业设计的过程。2网络现状的调查和分析本章阐述了项目前的准备工作，调查网络现状和业务现状，从业务现状开始到网络现状，然后研究网络安全现状。最后阐述了通过调查分析得出现状中存在的问题。业务现状主要描述了整个网络系统所承载的业务和业务之间对应的关系。网络现状主要按区域划分，从每个区域单独介绍各自区域的网

19、络现状。网络安全从三个层次讲述网络中存在的安全问题。最后总体介绍了网络中存在的种种问题。2.1 业务现状网络最重要职能就是为上层业务应用提供基本的网络通讯支撑服务，因而，业务应用架构就是网络架构规划的重要基准。因此，在本项目的网络现状评估过程中，主要针对银行的14套关键业务系统的系统逻辑、关联关系、系统部署做了研究，以确立银行业务应用的网络接入需求。这些应用系统包括：核心业务系统、柜面前置、支付系统、ATMP、CIF（客户信息系统）、IC卡业务系统、财务系统、一代平台、二代平台、集中授权系统、农信银、社保一卡通、网银系统、信贷系统。当前应用系统多而复杂，不利于对网络需求进行分析。根据各业务系统

20、的应用关联关系，以及系统部署的实际情况，对复杂的应用系统间关联关系做了适当简化，以分析各系统的网络接入需求，系统关联关系简化，如图2.1所示。中间业务平台（一代、二代）与信贷系统、财务系统、MIS系统等统一部署在综合业务后台管理系统的平台进行了合并，在此合并指纹系统实际部署在核心业务平台服务器的基础上，进而将核心业务系统合并加密平台及加密机视作整体功能性平台进行合并。合并后，可以将业务系统根据其业务功能及业务关键性，分为若干类：极为重要的业务系统，指业务影响范围较大的系统，包括：核心业务系统、一代平台、二代平台。重要的内部业务流程性系统，例如ODS、综合业务后台管理系统、CIF、IC卡系统、远

21、程集中授权系统等。渠道类系统，例如柜面前置、网银（MQ5前置）、农信银前置、ATMP、收集银行前置等等。根据以上各业务系统的应用关联关系，以及系统部署的实际情况。从服务器部署角度来看，目前的业务系统主要部署在如下几个网段： 10.0.16.0网段，主要部署的业务系统包括：核心业务系统、一代平台、二代平台、柜面前置、网银系统、综合业务系统数据库服务器等等。 10.0.98.0网段，主要部署的业务系统包括：综合业务系统应用服务器等。 10.0.15.0网段，主要部署的业务系统包括：ODS和ODS ETL服务器。 10.192.1.0网段，主要部署的业务系统包括：ATMP系统和IC卡数据准备服务器。

22、 10.0.26.0网段，主要部署的业务系统包括：社保一卡通服务器。2.2 网络现状根据网络现状调研的结果，银行当前网络基本是以相应的网络功能进行网络分区规划。网络层次相对清晰，结构相对完整，网络拓扑如图2.2所示。主要划分为网络核心区、中间业务区、办公业务区和Internet网络外联区。图2.1 后援中心简化后业务关联关系图2.2.1 网络核心区网络核心区做为银行网络的关键枢纽，承载了整体网络的核心交换和路由。核心区网络架构层次清晰。核心交换采用2台Juniper EX3200做为核心交换机，承载全网的中心数据交换和核心路由。核心业务区为一些关键业务系统提供网络接入，例如，核心系统、柜面前置

23、、前置平台（I代、II代），核心业务区汇接设备为2台Cisco 6509，核心业务区与核心交换机之间通过2台冗余防火墙（ISG2000）实施隔离，防火墙工作在L3模式。2台Cisco7507做为中心汇聚路由，为除银川外的市县级联社汇聚路由提供接入，目前市县汇聚共有19个，市县3级网点共计有383个，中心汇聚路由的接入链路为Channelized POS（155Mbps）接口，每个市县汇聚路由器通过2条2Mbps链路上联到市县中心汇聚路由器。1台RSR50-40路由器为银川市区的48个网点提供网络接入，另有1台冷备的RSR50-40做为备份，银川网点的接入带宽为2Mbps。2.2.2 中间业务区

24、中间业务区负责与外部协作单位、监管等机构进行网络互联，主要包括：宁夏银联、农信银、代收代缴业务、中间业务等。中间业务区通过一对冗余的PIX防火墙连接到核心交换机，PIX防火墙工作在L3模式。通过2台RGR50-80路由器连接外部的协作单位和监管机构，例如农信银、宁夏银联、代收代缴协作机构等。通过2台RGR7708分别连接外部运营商（电信/联通）。除此之外，市县联社中心汇聚路由器上有连接农信银的链路，做为日常与农信银之间的数据存储通信链路，在紧急情况下，可以考虑做为与农信银之间的冗余备份链路。图2.2 后援中心网络构架拓扑图2.2.3 办公业务区整个办公网部分网络结构基本清晰，包含：办公区、开发

25、测试区、OA及管理系统区、总行办公区，办公区网络通过冗余的接入设备和冗余链路汇接到2台冗余的EX8280交换机，通过EX8280接入到网络核心。办公区主要为数据中心所在办公场所的用户提供网络接入，该场所办公用户大约有100-200人左右，另该区域还有约100-200人的开发测试类用户接入，此类用户为外部服务商人员。开发测试区用于为开发测试类测试服务器（约10台）提供网络接入。OA及管理系统区主要为办公类服务器提供网络接入，包括例如一卡通、信贷、财务、公文流转、ERP等服务器。总行办公区为总行的办公用户提供接入，总行办公人员约200人，另总行营业部也通过总行办公区接入网络，总行网络通过10M M

26、STP链路连接到EX8208。2.2.4 Internet网络外联Internet连接区是为基于互联网的应用系统提供网络接入，同时也是整个网络连接外部互联网的区域。Internet连接区域网络结构相对复杂，网络层次稍显繁琐。Internet接入区通过1对冗余的防火墙（ASA5520）接入到网络核心交换机EX3200，在防火墙与Internet之间部署了IDS设备。DMZ区内部署了手机银行、企业WEB服务器以及其他网络管理类服务器，例如NSM、Radius服务器等，DMZ区部署了防火墙和IDS设备提供安全防护；另DMZ区还部署了VPN接入设备为行内用户提供VPN接入，以访问企业办公应用系统。与I

27、nternet的连接有2个出口：电信和联通，并由深信服AD设备实施链路均衡操作。2.3 网络安全现状IBM认为，网络安全不应该是产品、技术的堆砌，需要体系化的方法论来指导网络安全体系的建设，并通过不断的评估和规划，提高企业整体的安全水平，本项目将从网络安全架构、网络安全技术和网络设备配置安全几个角度对银行的网络安全现状进行评估。网络安全体系架构需要考虑三个层面的内容：网络安全架构、网络安全技术和网络设备配置安全。本项目也将从上述三个方面评估银行的网络安全现状。从网络安全架构角度来看如图2.3，银行网络存在结构相对松散的问题： 网络安全边界分布相对松散，缺乏整合，不利于安全控制策略的部署 在核心

28、业务区及OA及管理系统区，考虑服务器安全分级时，分级过细，造成安全纵深过大，增加了网络安全管理的复杂性 办公类服务器缺少防火墙的安全防护，存在一定安全隐患 办公接入区的外部系统开发人员直接接入到银行网络，存在一定安全隐患 DMZ区的网络结构有待商榷 中间业务区的安全防护层次有待强化图2.3 网络安全问题标示图从网络安全技术角度来看，银行网络部署了相应的防火墙、IDS/IPS、防病毒等，具备一定的安全技术水平，但是在技术部署方面，存在一定的优化空间，部分网络安全技术部署存在一定技术性缺陷，例如DMZ区的IDP设备，存在单故障节点的问题。部分安全技术的部署策略存在不尽合理的问题，例如在核心设备（C

29、6509）上部署了378条访问控制列表（ACL），其中很多策略是基于单体的主机地址，造成管理上的困难，也造成了网络通讯性能的下降。部分安全边界的设定有待商榷，例如在抽样的接入层交换机上部署了ACL用于控制用户网段之间的访问控制，另此类接入设备的部署点选择不尽合理。DMZ区的安全技术部署可以考虑进行适当的整合，以简化管理。2.4 存在问题本节主要从前面在网络中所划分的区域来阐述网络中存在的问题。分别从核心业务区、办公业务区、中间业务区、网络外联区这四个区域说明网络中存在的种种问题。2.4.1 网络核心区主要存在的问题在如此严格的网络现状调查中，我们可以看出网络核心区的设备资源配置欠佳，服务器区分

30、网段过多，核心区设备互联架构略显复杂。EX3200设备是固定配置的高性能独立交换机，具备L3交换功能，产品主要定位是适用于分支办事处、远程办事处和园区网络中的接入层部署，在扩展性和可靠性方面并不是最佳的核心交换设备的选择。而做为关键业务系统接入的交换机Cisco 6509，在性能方面又存在资源过剩的问题， Cisco 6509产品的定位是承担企业网络核心的任务；另外，从接口成本角度来看， Cisco6509的每端口平均成本是明显高于普通接入交换机。银川市网点和各个市县联社网点的汇聚路由器分别通过不同设备接入到网络，在管理上增加了管理难度，技术上也会导致路由相对复杂。总行营业部通过总行办公网接入

31、网络，导致网络架构不统一，造成管理上和安全上潜在问题。核心业务区服务器划分网段过多，增加了网络管理复杂度，同时，也给网络安全策略部署带来一定的困难。核心区设备互联架构略显复杂，技术实现存在可优化空间。当前的核心区网络设备互联架构往往是全网状(full mesh)互联，此类架构路由冗余度高，并且存在路由相对复杂的问题，对于路由的稳定性和收敛性都存在潜在的影响（图2.4 a）。从大型数据中心建设经验来看（特别是金融行业实践经验）来看，简化的“口子型”结构是比较成熟地、可靠地、平衡投资与冗余度的模式（图2.4 b）。 （a） (b)图2.4 网络冗余示意图银行广域网目前还在大量使用运营商专线（Lea

32、sed-Line）业务，专线业务由于是独占电路，因而存在带宽小、成本高的问题。目前，在数据服务市场，新兴的MSTP（Multi-Service Transfer Platform）技术。由于在服务侧采用基于SDH 平台同时实现TDM、ATM、以太网等业务的接入、处理和传送，从而实现了资源统计复用的能力，因而成本更低，带宽更大，也是目前金融行业在网点覆盖方面所主要考虑的广域网接入技术。银行可以考虑在适当的时间进行通信链路的升级，一方面降低整体运行成本，另外也为今后的业务拓展提供更充裕的链路资源。2.4.2 办公业务区主要存在的问题办公业务区的只要存在的问题体现在OA及管理系统区服务器缺少网路安全

33、防护，直接面向客户端，存在安全隐患。办公区接入用户分为2组：行内办公人员（约100+人）。行外系统开发人员（约100+人），行外开发人员需要远程访问开发测试区服务器进行开发测试工作。这2类用户需要进行适度的隔离，且对于外部开发人员对于网络的访问，需要进行高强度的控制。总行办公区接入区内既有总行办公人员接入，又有总行营业部接入，造成网络结构的模糊，不利于管理，也存在一定安全隐患。另外，办公业务区网络的汇聚设备存在一些设备或技术问题，导致办公业务区的网络接入不具备冗余接入能力，网络稳定性存在潜在隐患。2.4.3 中间业务区主要存在的问题中间业务区主要存在的问题是中间业务区PIX防火墙设备端口不足（

34、每设备只有4个端口），在处理众多复杂的中间业务需求时，由于资源限制，导致网络灵活性欠佳。中间业务区的冗余结构，也存在类似与核心区网络的全网状(full mesh)结构与“口字型”结构的对比问题。与农信银的网络连接除了在中间业务区连接外，在联社汇聚路由器上还有1条连接农信银的链路，此链路日常做为与农信银之间的数据存储通信链路，在紧急情况下，考虑做为与农信银之间的冗余备份链路，此备份链路的效能值得商榷，另由于农信银备份链路连接到联社汇聚路由器，造成网络结构的模糊，带来潜在的管理和安全方面的问题。2.4.4 Internet外联区主要存在的问题Internet网络外联主要存在的问题是Internet

35、接入区网络架构相对复杂，不易管理。由于DMZ区架构，造成内网访问DMZ区数据流路径不尽合理。DMZ区的IDS设备在部署架构上不尽合理，导致存在单点故障的缺陷。DMZ区的设备资源可以考虑进行适当调整，以简化结构，以利于管理。3 新网络系统结构设计分析新的网络构架是将现状调研和需求分析作为输入，结合实践和规范做出符合网络规范和业务需求做出来的网络构架。3.1 网络构架总览基于银行网络现状，从控制风险的角度考虑，对于原网络规划做出适当简化调整，以利于后续的项目的平稳过渡，后续银行将逐步向未来目标架构演进。基于国内外金融行业IT发展实践经验，未来的银行网络将是面向服务的架构，强调快速的业务响应和业务的

36、高可用设计，实现资源共享，着力于端到端的业务支持能力，以提升IT的服务能力。因此对银行的网络作如下设计。主数据中心网络功能区规划，如图3.1所示，主要是根据模块化的设计方法, 将网络功能模块化搭建。将SOA和数据中心作为核心的设计理念，构建高性能、高扩展性的三层交换核心区，并通过数据中心核心交换区将不同网络功能区连接为一个整体。按照功能需求、逻辑分层，并考虑安全域划分细化各功能区的功能服务。原规划中的业务服务区和渠道服务区将共用安全服务设备，但分别使用独立的汇聚设备。简化互联网接入设计，不设置面向内部用户的办公互联网访问服务，将业务互联网服务区与办公互联网服务区合并。暂不考虑负载均衡、SSLO

37、ffload、Web防火墙等安全服务，留待后续项目逐步建设。在局域网LAN接入区内增加公共服务子区，将防病毒等一般性公共服务类服务器从办公服务区剥离出来，公共服务区通过LAN接入区的汇聚交换机接入，必要时可考虑通过ACL进行适当的访问控制。图3.1 主数据中心网络功能区规划图依据双中心互备模式的策略, 同城灾备中心将建设和主中心功能和逻辑基本一致的数据中心网络，但在功能区配置以及网络接入规模、性能方面，可以考虑做出适当裁剪，以平衡投资成本与效益。同城灾备中心架构设计内容如图3.2。同城灾备中心只保留基本的生产和办公服务以及存储设备的数据同步服务。考虑到同城灾备中心场地系租用运营商环境，因此不设

38、置运维管理区和带外管理，所有设备的监控管理由数据中心的网管平台集中实施。同城灾备中心不设置面向内部用户移动办公的VPN接入服务，因此，在同城灾备中心取消业务互联网区。同城灾备中心基本定位于“无人值守”状态，因此不设置用户接入服务。图3.2 同城灾备数据中心网络功能区规划整体网络构架已完成设计，然后详细的分解网络构架，将每一个区域的网络逐步完善。3.2 网络功能区拓扑结构网络功能区拓扑结构是按照功能区域分开介绍的。分别从核心、业务、办公、外联、业务互联、运维等区域介绍了各自的网络结构。3.2.1 核心交换及广域网接入核心网络是整个网络中的龙骨，所以核心网络的设计必须有足够的性能，及扩展能力。如图

39、3.3所示就是核心网络拓扑架构。主数据中心核心交换机为双机冗余部署，同城灾备中心核心交换机为单节点设计，核心交换机之间全网状互连。主备数据中心之间双链路连接，1条线路为DWDM（Dense Wavelength Division Multiplexing，密集型光波复用），另1条MSTP线路做为备份。广域网接入区部署汇聚交换机，整合广域网区路由及链路，以便于管理和维护，同时广域网区汇聚交换机也做为未来以MSTP（Mutiservice TransmitPlatform）线路接入到数据中心的广域网汇聚设备，例如连接总行、同城机构、网点（MSTP线路接入）。同城汇聚接入路由器用于为同城的离行式自助

40、设备（ATM、POS、自助服务终端等）的广域网接入。主数据中心、灾备数据中心的广域网接入区架构相同（灾备中心不设同城汇聚接入路由器，待未来有需求时再行考虑建设）。可用性设计：考虑广域网区汇聚交换机与核心交换机之间的链路、设备的冗余，保证网络架构的高可用（灾备中心不考虑冗余）。数据中心广域网区接入路由器双链路连接到汇聚交换机。广域网远端节点双链路分别连接主备数据中心，日常可以部署策略路由实现生产、办公的数据流分流，以提高带宽利用率。图3.3 网络中心网络最终拓扑3.2.2 业务服务区业务服务区网络, 是支持银行业务服务资源的重要网络功能区，分别支持核心柜面业务类、业务处理类和办公管理类等的主要应

41、用服务器的接入。网络拓扑图如图3.4：区域内分层设计：安全保护层、区域汇聚层和区域接入层。安全保护层：在业务服务器接入与网络核心交换之间定义安全边界，部署防火墙，保护功能区内部的服务资源，设置访问控制。防火墙串接在网络核心与区域汇聚设备之间，为服务器提供安全防护，防火墙需要建立失效应急机制，例如在网络核心设备与区域汇聚设备之间设置浮动静态路由，互指到互连接口（日常情况下shutdown），优先级高于指向防火墙的静态路由，在防火墙紧急故障时激活互连接口，从而旁路防火墙，提供服务紧急恢复功能。安全保护层，作为业务服务出口，以Layer3方式连接到核心区。区域接入层：区域内汇聚层和接入层合并为汇聚接

42、入层，设备为服务器接入提供网关和网络物理接入服务，作为Layer3 - Layer2之间边界，实现功能区内Vlan间路由和相应的区域内访问控制点。冗余架构，满足高可用性要求。灾备中心业务服务区不考虑冗余设计，如图3.5为同城灾备中心业务服务区拓扑图。图3.4 业务服务区网络拓扑图图3.5 灾备中心业务服务区拓扑图3.2.3 办公服务区办公互联网区承担着实现内部用户访问Internet、对外提供公众服务、内部移动办公用户接入以及远程维护接入等功能。办公服务区网络区域内分层设计，如图3.6：安全保护层、区域汇聚层和区域接入层安全保护层：在业务服务器接入与网络核心交换之间定义安全边界，部署防火墙，保

43、护功能区内部的服务资源，设置访问控制。防火墙串接在网络核心与区域汇聚设备之间，为服务器提供安全防护，防火墙需要建立失效应急机制，例如在网络核心设备与区域汇聚设备之间设置浮动静态路由，互指到互连接口（日常情况下shutdown），优先级高于指向防火墙的静态路由，在防火墙紧急故障时激活互连接口，从而旁路防火墙，提供服务紧急恢复功能。安全保护层，作为业务服务出口，以Layer3方式连接到核心区。区域接入层：区域内汇聚层和接入层合并为汇聚接入层，设备为服务器接入提供网关和网络物理接入服务，作为Layer3 - Layer2之间边界，实现功能区内Vlan间路由和相应的区域内访问控制点。冗余架构，满足高可

44、用性要求。灾备中心办公服务区不考虑冗余设计。图3.6 办公服务区网络拓扑图3.2.4 外联服务区外联服务区提供银行与外部监管机构、协作机构的网络接入和应用接入，以及外联类业务前置服务器的接入。数据中心外联服务区拓扑如图3.7，使用防火墙构造半安全区(DMZ)，分隔非安全区和安全区，在半安全区(DMZ)，部署需要和外部单位交互的前置服务器等。防火墙控制合作伙伴只能访问半安全区(DMZ)内的前置服务器，再经由前置服务区发起对内部服务器的访问，而外部机构不能直接访问内部服务器。地址转换策略：针对数据中心从内到外的访问，外联单位指定分配的IP地址，在防火墙上转成对方提供的IP。针对数据中心从外到内的访

45、问，外联单位提供的IP地址与数据中心内部地址冲突，在外联路由器上转成银行规划的外联地址，外联单位需要直接访问数据中心内部业务区服务器，需要在外联区防火墙，将外联单位的源地址转换成规划好的内部地址。灾备中心外联服务区不考虑冗余设计。图3.7 数据中心外联服务区拓扑图3.2.5 业务互联网区业务互联网区提供网银、企业WEB网站等通过互联网提供业务服务的服务器接入和互联网接入，架构规划参照人民银行相关要求，并参考业界实践，主要关注高可用性、安全性的需求。如图3.8所示数据中心业务互联区拓扑图。对业务互联区从两个方面描述：功能部署：对基于互联网提供业务服务的服务器提供网络接入。在业务互联网区可考虑部署入侵检测等服务。根据安全分区的需要，作为非安全区的业务互联网区在访问内部核心安全区和安全区