网络改造总体设计方案措施书.doc

三峡建行 网络改造总体设计方案书 讨论稿 二零零一年四月 目 录 第第 1 章章 三峡建行网络现状三峡建行网络现状 4 1 1 网络连接现状 4 1 1 1 三峡建行城域网现状 4 1 1 2 三峡建行局域网现状 5 1 1 3 三峡建行广域网现状 6 1 1 4 与Internet连接状况 7 1 2 网络应用现状 8 1 2 1 管理网应用现状 8 1 2 2 营业网应用现状 9 1 2 3 外连网应用现状 10 1 3 网络安全现状 11 1 4 网络管理的现状 12 1 5 三峡建行网络存在主要问题 12 1 5 1 三峡建行城域网存在的问题 12 1 5 2 营业网存在的问题 13 1 5 3 管理网 企业网 存在的问题 13 1 5 4 外连网存在的问题 14 第第 2 章章 网络改造的需求规定网络改造的需求规定 15 2 1 总体目标 15 2 2 网络改造需求 15 2 2 1 三峡建行局域网 15 2 2 2 三峡建行城域网 15 2 2 3 广域网接入 16 2 2 4 网络管理的需求 16 2 2 5 网络安全管理需求 16 2 2 6 语音 视频应用的需求 17 第第 3 章章 网络改造的基本原则网络改造的基本原则 18 第第 4 章章 网络总体设计网络总体设计 19 4 1 三峡建行网络系统改造目标总体架构 19 4 1 1 组网模式 19 4 1 2 网络总体拓扑结构设计 20 4 2 局域网改造 20 4 2 1 局域网改造方案 20 4 3 城域网改造 22 4 4 广域网改造 23 4 4 1 广域网分布层改造 23 4 4 2 广域网接入层改造 24 4 5 外网的连接 25 4 6 可靠性设计 26 4 6 1 设备备份 26 4 6 2 链路备份 27 4 7 网络 IP 路由设计 27 4 8 面向应用的网络服务 28 4 8 1 业务分类和数据特点的分析 28 4 8 2 QOS保证 28 第第 5 章章 三峡建行网络管理设计三峡建行网络管理设计 30 5 1 网管系统功能及其职责 30 5 2 网络管理平台和网管工作站 31 第第 6 章章 网络系统安全设计网络系统安全设计 32 6 1 安全模型 P2DR 模型 32 6 2 三峡建行网络系统总体安全体系 33 6 2 1 安全策略设计 33 6 2 2 总体安全体系的规定 33 6 3 三峡建行网络级安全设计 35 6 3 1 局域网安全设计 35 6 3 2 广域网安全设计 37 第第 7 章章 IP 电话网络设计电话网络设计 40 7 1 IP 电话网络建设的必要性 40 7 2 IP 电话所使用的几种技术 40 7 3 CISCO 的 VOIP 解决方案 41 7 3 1 三峡建行与总行的VoIP通信 42 7 4 IP 语音的管理 43 第第 8 章章 三峡建行视频会议设计三峡建行视频会议设计 45 8 1 视频会议系统结构 45 8 2 会议电视终端设备 46 8 2 1 三峡建行会场 46 8 3 实现功能 47 8 4 主要特点 47 H 附件附件 1 三峡建行三峡建行 IP 地址分配规划地址分配规划 48 总行规定 IP 地址编码结构 48 三峡建行 IP 地址规划表 48 附件附件 2 三峡建行三峡建行 IP 联络中心方案联络中心方案 50 三峡建行 CALL CENTER 解决方案 50 三峡建行IPCC体系架构 50 IPCC功能和优点 51 IPCC系统构成 54 IPCC应用软件开发 57 第第 1 章章 三峡建行网络现状三峡建行网络现状 三峡建行作为总行确定的六十个重点城市行之一 经过几年的建设 已建 成了覆盖各县市 除 W 县 城市综合业务网络系统 在此基础上依托总行建成 了以清算 A 卡网络系统 企业内部网为代表的全国性三峡建行内部互连网络 以计算机网络为支撑平台 我行的各类业务应用系统不断推陈出新 开拓了多 项新的业务 为我行的业务快速发展发挥了巨大的作用 下面 对三峡建行网络结构具体说明 1 1 网络连接现状网络连接现状 1 1 1 三峡建行城域网现状三峡建行城域网现状 三峡建行中心机房位于科技部二楼 通过自架光纤与三峡建行办公楼 甲路 10 楼 老机房 乙办以及丙办连接构成目前的三峡建行城域网 如图所示 如图 三峡建行局域网的中心交换机为一台 Cisco Catalyst 5505 配有 1 个 2 口 100M FX 光纤接口模块 通过多模光纤与 318 和甲路机房的 1924C 连接 Catalyst 5505 还配有两个 24 口 100M 以太网接口模块 其中连接两台 2924 交 换机 并通过 2924 上的 100M FX 与乙办以及丁办相连 1 1 2 三峡建行局域网现状三峡建行局域网现状 在 Catalyst 5505 和 2924 上根据不同的应用划分了 13 个不同的 VLAN 由 于目前我行主交换机没有配置第三层交换功能 VLAN 之间的通信只能通过网 关来实现 在中心机房中 另有一台 Catalyst 5000 交换机作为备用机 目前 三峡建行网络中心机房共配有 13 台路由器分别接入局域网中各个 VLAN 路由器应用见表一 设备端口线路速率说明 Cisco 7206A Port 1X 2564K 至各县支行清算 Cisco 7206B Port1 8DDN9 6K 银企互联 戊地电信代收费 Cisco 3640APort1 96DDN 9 6K 城综网前台网点 Cisco 3640BPort1 64DDN 9 6K 城综网前台网点 Cisco 2501APort 1X 259 6K 人行同城清算 Cisco 2501BPort 1DDN64K 移动通信代收 Cisco 2501CPort 1DDN64K 社保 Cisco 2501DPort 1DDN64K 银企互联 Cisco 2501EPort 1DDN2M 支付网关与 Internet 接入 Cisco 2501FPort 1X 259 6K 人行贷款资料查询 Port 19X 2564K 总行清算 Motorola MP6520 Port 20PSTN 19 2K总行清算备份 Motorola MP6520Port 19X 2564K 部分县支行清算 Motorola MP6560 Port 19DDN FR64K 总行企业网 三峡建行 318 机房是三峡建行办公大楼结构化布线所有信息点的集合地 318 机房的 1924 从中心机房的 Catalyst 5505 得到 VLAN 信息 通过对其端口 划分不同的 VLAN 三峡建行大楼中各个不同的网络系统实现了与中心机房的通 信 其它局域网甲路机房 乙办以及丙办也是这种模式 各县支行以及城区其他支行 办事处 基本都完成了三部一室的本地局域 网布线工作 1 1 3 三峡建行广域网现状三峡建行广域网现状 三峡建行的广域网线路普遍采用的低速通信链路 其中城市综合网是主 要租用中国电信的 DDN 前台网点通过串口通信协议 直接连到三峡建行 网络中心的设备 部分县行营业部由于原来与清算共用线路还是采用的 X 25 利用路由器连接到三峡建行网络中心 以上租用的线路带宽都只有 9600bps 清算 A 卡网络由于县支行已经改为直连 可以说向下已经没有单 独的线路 三峡建行清算 A 卡 含外币卡 系统与总行和上海连接采用的 是 64k X 25 复用 三峡建行企业内部网已经与全辖所有二级机构开通连 接 城区除乙办和丙路办 营业部等少数是通过三峡建行自架的光纤上的以 太网外 其余均租用电信的 DDN 县支行大都采用的是 X 25 带宽只有 9600bps 以路由器方式接入 三峡建行企业网与总行连接采用的是中元公 司提供的中元帧中继 带宽 64K 我行通信线路的主要备份方式为电话拨号 网络设备以 CISCO MOTOROLA 为主 此外以城市综合网为基础 我行 独立开发了多种新业务 实现了与证券 电信 人行等外单位的网络互连 连接线路一般为 DDN 通信速率 9600 64K 都是采用路由器连接的方式 1 1 4 与与 Internet 连接状况连接状况 三峡建行目前已经开通了 Internet 连接 用于网上银行业务 带宽为 2M 连接拓扑图如图 如图所示三峡建行支付网关与 Internet 连接采用了目前比较完备的网络安 全体系和技术 防火墙采用的是 IBM Firewall 3 12 并安装了 ISS 网络安全管 理软件进行安全漏洞扫描 入侵检测审计等 上述连接已经获得总行的验收认 可 1 2 网络应用现状网络应用现状 根据三峡建行对网络业务的划分 可以将三峡建行网络业务划分为 核心 业务和外连业务 核心业务是三峡建行业务开展的基础业务 包括以城市综合 网为基础的营业网和以企业内部网为基础的管理网两部分 外连业务是三峡建 行依托核心业务系统 针对辖区内的企业和客户开发的业务网络系统 各系统 应用关系如下图所示 1 2 1 管理网应用现状管理网应用现状 三峡建行目前正在管理网 企业网 使用的主要是基于 LOTUS NOTES 平 台上开发的应用 现在在三峡建行辖区范围内管理网上运行应用系统主要包括 电子邮件系统 信息网站 人力资源 信贷信息管理 移民资金管理 办公自 动化系统 国际结算系统等 除少数应用系统外 大多数应用系统都向下推广 到县支行一级 辖区内管理网 企业网 用计算机大约 300 余台 IP 地址分配 采用 年总行统一规划的企业网地址 此外管理网与市人行存在临时的连接 用于定期本地贷款单位资料查询 管理网 企业网 拓扑连接如下图 营业网 管理网 核心 业务 外连业务 银证连网 代收电话 费 代收交警 罚款 社保同城清算 企业外连 等 图 六 1 2 2 营业网应用现状营业网应用现状 三峡建行目前的营业网应用主要是城市综合网 全行共有前台网点 余个 ATM 台 金融查询机 台 Pos 余台 城市综合网以太 网采用 年总行下发的营业网段 98 42 63 0 而城市综合网广域网前台 网点地址没有标准可循 清算 A 卡网的前置机和各县清算组前台 清算组前台 已经与前台会计柜改为直连后的会计柜机器 采用总行清算系统分配的 网 段的 IP 地址 另外随着新业务的开展 前台网点还往往下联一些特定业务的前 置设备 例如金融查询机和个贷前置机 这些设备地址也没有统一的规定 营 业网拓扑连接如下图 1 2 3 外连网应用现状外连网应用现状 三峡建行充分利用三峡建行网络优势 积极开拓业务领域 先后与电信 证券 人行 社保局等多家实现了网络互连互通 通常我们是采用路由器 前置 机的方式 使外连网与城综网隔离 即每个外连系统都独自采用一台路由器和 一台前置机 路由器配置静态路由和相应的访问控制 前置机屏蔽所有无关的 服务 外连网的 IP 地址分配由于没有可遵循的标准 分配时有很大的随意性 网络拓扑连接如下图 1 3 网络安全现状网络安全现状 三峡建行在网络建设过程中已经采取了一些必要的安全措施 如 利用 VLAN 技术将业务网与企业网逻辑隔离 与各证券网点联网时利用前置机来保证 数据传输的安全 拨号访问采用了 RADIUS 认证 在与 Internet 接入的支付网 关中使用防火墙和 ISS 安全监控软件等 但从总体整体上分析 三峡建行现有 网络中仍然存在着一些安全隐患 主要包括以下几个方面 可靠性安全隐患 由于某些网络设备的关键部件存在质量问题或缺陷 导致网络在运行过程 中存在可靠性安全隐患 如 MOTOROLA 路由器的 FLASH Memory 工作时极不稳 定 经常丢失系统软件 影响了清算 A 卡系统以及企业网的正常运行 一些系 统缺乏备份链路和备份设备 一旦出现故障 势必影响业务的正常开展 应用系统安全隐患 各种应用缺乏统一的规划 未能充分考虑网络上的安全要求 导致三峡建 行中心机房的业务运行网段上与外连的应用网段之间缺乏必要的安全屏蔽 有 些与外界相连的应用系统缺乏有效的网络安全保障 如 与外界相连应用系统 没有按照总行要求的安全连接模式连接 前置机可能存在未屏蔽非必要的通讯 端口 可能存在多余的路由表等等 此外对重要的应用服务器没有进行安全监控和漏洞扫描 病毒入侵安全隐患 一些应用系统 特别是基于 WINDOWS平台的应用系统 没有安装一些防 计算机病毒的软件 给计算机的安全造成了一定的隐患 黑客攻击隐患 缺乏对黑客攻击进行防止 检测和响应的一整套防黑措施和相应的安全体系 没有明确的安全指导思想和安全模型 不能够对安全事件进行全过程监控和作 出相应的响应行动 无法对整个安全系统进行准确有效的安全评估 1 4 网络管理的现状网络管理的现状 三峡建行目前正在使用 Cisco CWSI 2 1 专用网管系统 用于管理三峡建行 局域网上的网络设备 由于其专用性 该软件无法正确管理非 Cisco 网络设备 而且无法监控到广域网的运行状态 三峡建行在业务管理中成功引进了 BMC 管理系统 在对 BMC 的移植过程 中 三峡建行科技人员开发设计了对前台网点实时监控程序 目前这项工作正 在实验推广过程中 1 5 三峡建行网络存在主要问题三峡建行网络存在主要问题 1 5 1 三峡建行城域网存在的问题三峡建行城域网存在的问题 根据总行网络改造要求 三峡建行主交换机需要两台 并要求支持第三 层交换 而三峡建行现有的主交换机 Catalyst 5505 没有第三层交换模块 另一台主交换机的备份 Catalyst 5000 无论从交换能力还有模块配置均无 法满足网络改造的要求 随着以后语音 视屏在网络的应用 三峡建行目前 100M 骨干局域网将 面临拥塞 三峡建行办公大楼结构化布线不规范 线路急需整理 网络设备的运行 环境也需要加以改善 现有的城市综合网网络地址 企业网地址以及清算 A 卡网地址都不统一 需要按照总行网络改造的要求加以规范 现有城域网之间的光纤缺乏必要的链路备份 一旦光纤出现故障 没有 其他应急方案可供选择 1 5 2 营业网存在的问题 营业网存在的问题 目前前台网点使用的 IP 地址不符合总行规范 必须加以调整 城市综合网 含清算 A 卡网 与总行采用的是 64K X25 线路 已经无法 承载新的业务 一些网点由于业务量大 通信带宽不足 出现通信堵塞 有些网点反映 通信故障率比较高 目前网点采用的串口通信协议 Slip 在新主机上支持不好 给主机安 全运行带来隐患 一些县行还在使用 X 25 效率比较低 费用比较高 一些网点还外挂诸如查询机 个贷前置机等 网络连接结构凌乱 通信 质量无法得到保证 1 5 3 管理网 企业网 存在的问题管理网 企业网 存在的问题 管理网 企业网 所有非以太网连接的用户接入带宽严重不足 由于现有的组网模式是企业网与城综网彼此隔离 往往综合性的网点需 要几条线路 造成浪费 管理网 企业网 广域网中使用的 Motorola 路由器故障率高 端口损 坏严重 维修困难 管理网 企业网 与总行连接的 Motorola 路由器 故障率比较高 管理网 企业网 整个 IP 地址分配基本是符合此次总行建议的规范 但也有部分企业网需要保留的地址被分配了 管理网 企业网 目前还没有必要链路的备份措施 1 5 4 外连网存在的问题外连网存在的问题 外连网缺乏统一的平台 其广域网地址不符合总行新的 Ip 地址分配规 范 也需要做调整 外连网与建行核心业务网络耦合度大 外连网业务的变化往往带来核心 业务的变动 外连网的网络连接模式 不符合总行网络安全要求 而且还造成设备的 利用率不高 监控管理困难 第第 2 章章 网络改造的网络改造的需求规定需求规定 2 1 总体目标总体目标 总行骨干网改造是 A 总行为了适应新形势下银行激烈竞争 提高 A 银行核 心竞争力的一项具有战略意义的举措 三峡建行网络改造作为整个建行网络改 造工作的一个组成部分 成功的网络改造将使三峡建行能够在较长时间里在当 地同业的竞争中继续保持科技优势 从而推动各项业务的快速发展 三峡建行网络改造的总体目标是以此次总行骨干网改造为契机 在不影响以此次总行骨干网改造为契机 在不影响 全行正常业务开展的前提下 将目前分离的城综网 清算全行正常业务开展的前提下 将目前分离的城综网 清算 A 卡网和企业网整合卡网和企业网整合 成为统一的以成为统一的以 IP 技术为主体的稳定 可靠 高效的综合网络平台 实现建行核技术为主体的稳定 可靠 高效的综合网络平台 实现建行核 心业务和外连业务的有机分离 为最终完成全建行数据集中做网络准备心业务和外连业务的有机分离 为最终完成全建行数据集中做网络准备 2 2 网络改造需求网络改造需求 2 2 1 三峡建行局域网三峡建行局域网 1 根据总行骨干网改造方案 三峡建行局域网需要有两台主交换机 而 且都必须能够支持第三层路由交换 而三峡建行目前只有一台主交换机 Catalyst 5505 且没有配置第三层交换模块 这次网络改造中需要增加三峡建行网络中心 需要增加一台高档交换机 并增加配置 Catalyst 5505 相应的第三层交换模块 2 通过网络改造实现全行核心业务的网段按照总行最近下发的 关于 调查 IP 地址使用情况及征集对 IP 地址修订建议的意见的通知 的要求整合 外连业务网络将采用新的接入方式 引进统一的中间业务平台和网络连接平台 3 随着业务的拓展 特别是语音 视频的应用 三峡建行目前的局域网 10M 100M 也面临带宽不足的压力 考虑在三峡建行大楼与科技部之间的骨干 上千兆以太网 三峡建行大楼用低端交换机替换 HUB 2 2 2 三峡建行城域网三峡建行城域网 进一步扩展城域网的连接范围 将丙办的光纤延伸到己支行机关 架 设到戊支行机关的光纤 使庚 戊这两个城区主要支行接入三峡建行城域网 减少通信费用 为三峡建行城域网提供必要的链路备份措施 2 2 3 广域网接入广域网接入 1 与总行的一级骨干网连接按照总行骨干网改造要求实现 2 考虑对伍支行 东办等城区支行以及各县支行等综合性的网点的企业 网 城综网线路合并 接入带宽提高到 64K 通过路由器连接到三峡建行 3 对于业务量大或线路集中的网点也考虑使用路由器 并提高接入速率 到 64K 4 其他网点提速后仍使用目前的串口协议连入三峡建行中心网络 将 SLIP 改为 PPP 5 前台网点的广域网采用的 PSTN 拨号备份实现后台无人干预 6 外连网络的广域网连接整合到一套网络设备上 并安装防火墙与营业 网隔离 2 2 4 网络管理的需求网络管理的需求 1 具有网络管理基本功能 提供设备管理 配置管理 图形面板 流量 监控 故障判断 拓扑发现等 2 在不影响关键业务运行的前提下 收集分析网络流量中的应用信息 网络管理员可以定义 监控并评估网络连接性 安全性和性能策略 并进行网 络的规划和设计 3 网管系统能够作到管理监控到全网所有网络设备 直观的显示各种设 备运行状态 并对各种异常情况实现自动报警 2 2 5 网络安全管理需求网络安全管理需求 网络设计中利用防火墙 VLAN 等技术 确保计算机网络系统计算机网 络系统安全漏洞最小化 使网络入侵的风险得到控制 能够使安全管理员了解计算机网络系统的整体安全状况 可监控到来自网络内部和外部的 黑客 入侵 能够为查明入侵的来源提供有效的依据 5 能够对整个网络系统从网络层 系统层 数据库和应用层进行安全脆 弱性进行评估 提供安全修复指引 2 2 6 语音 视频应用的需求语音 视频应用的需求 在三峡建行一级安装有能与与总行通话的 IP 电话 20 门 并能够参加 总行举行的视频会议 在条件允许的情况下 在三峡建行城域网内能够实现 IP 电话和视频 服务 第第 3 章章 网络改造的网络改造的基本原则基本原则 高可靠性高可靠性 选用可靠性较高的网络产品 合理设计网络架构 制订可靠的网络备份 策略 保证网络具有故障自愈的能力 从而最大限度地支持各业务系统的正 常运行 实用性实用性 网络改造方案设计实施应充分考虑实际需求和费用 追求高的性效比 安全性安全性 制订统一的网络安全策略 整体考虑网络平台的安全性 集中管理集中管理 对网络实行集中监测 并统一分配带宽资源 选用先进的网络管理平台 具有对设备 端口等的管理 流量统计分析 及可提供故障自动报警 可扩展性 可扩展性 根据未来业务的增长和变化 网络可以平滑地扩充和升级 减少对网络 架构和现有设备的调整 灵活性灵活性 支持大型的动态路由协议 支持策略路由功能 保证与其它网络 如公共 数据网 金融网络 行内其它网络 之间的平滑连接 技术先进性技术先进性 以先进 成熟的网络通讯技术进行方案设计及实施 相关的技术均要符 合国际标准 保护现有投资保护现有投资 保证网络整体性能的前提下 充分利用现有的网络设备或做必要的升级 分阶段实施原则分阶段实施原则 对整个网络改造进行统一规划 分阶段逐步实施 分分行行城城域域网网分分行行城城域域网网 县县支支行行县县支支行行 外外接接网网外外接接网网 B B 城城区区各各支支行行城城区区各各支支行行 C C 网网点点网网点点 B 分分布布层层 C 接接入入层层 第第 4 章章 网络总体设计网络总体设计 4 1 三峡建行网络系统改造目标总体架构三峡建行网络系统改造目标总体架构 4 1 1 组网模式组网模式 大型网络的网络结构是层次化的 正确理解我行网络层次的划分和每个层 次的主要作用 有助于我们合理选择网络拓扑和网络技术 鉴于三峡建行的特殊 性 我们将网络结构设计为如下层次 城域网 城域网实现建行同城网络的连接 包括中心机房到丁机房 甲路 机房的连接 分布层 实现网络统一策略的互联层 访问层向核心层的汇接点 三峡建 行到各县支行构成的二级网络即属于网络分布层 接入层 为最终用户提供对网络的接入 三峡建行到各营业网点构成的网络 即属于网络接入层 同时 接入层网络包括三峡建行与外连网的连接 按照以上方式进行组网 层次比较清晰 便于方案实施 组网模型如下图 4 1 2 网络总体拓扑结构网络总体拓扑结构设计设计 网络改造后的网络拓扑结构示意图如下所示 4 2 局域网改造局域网改造 4 2 1 局域网改造方案局域网改造方案 设备选择设备选择 在三峡建行网络中心 增加一台高性能的交换机 Cisco Catalyst 6509 同 时在 Cisco Catalyst 5505 增加千兆模块和 RSM 路由模块 通过两条千兆链路 连接起来 利用 Gigabit EtherFast 技术既相互备份 又负载均衡 Catalyst 6509 可以提供高性能 多层交换的数据通信 满足内部网络 INTRANET 苛求网络服务和网络语音应用 每台 Catalyst 6509 配置两 块带有 PFC 子卡和 MSFC 子卡的超级引擎 互为备份 其中 PFC 子卡主要用 于扩充 Qos 能力 可以实现基于应用 TCP UDP 应用端口号 的服务质量控 制 而 MSFC 子卡主要是取代原来的路由模块 MSM 实现线速三层交换 并且 进行了很大的扩充 数据包吞吐率从原来的 6Mpps 扩充到 15Mpps 同时 Catalyst 6509 配置一个 48 口 10M 100M 模块分别提供与网管工作 站 路由器等的连接 为了保证中心交换机的可靠性 Catalyst 6509 配置双电源冗余系统 将原有 Catalyst 5000 交换机从网络中心下移到江阁大楼 同时增加两个 千兆模块 分别以 1000Mbps 速率同 Catalyst 6509 和 Catalyst 5505 相连 VLAN 划分划分 将局域网按服务器业务类型划分为不同 VLAN 主要有 业务网 管理网 等 也可以按照部门划分 VLAN VLAN 之间的通信可以通过诸如主交换机中 设置的策略路由等加以控制 三峡建行网络中心局域网网络拓扑图三峡建行网络中心局域网网络拓扑图 三峡建行网络中心网络拓扑图如下 网络中心交换机设备配置表网络中心交换机设备配置表 设备配置表如下 序号产品号产品名称数量 Catalyst 6509 1WS C6509Catalyst 6509 Chassis1 2WS CAC 1300W Catalyst 6000 1300W AC Power Supply1 3WS CAC 1300W 2Catalyst Second 6000 1300W AC Power Supply1 4WS X6K S2 MSFC2Catalyst 6500 Supervisor Engine 2 2GE plus MSFC 2 PFC 21 5WS X6K S2 MSFC2 2 Cat 6500 Red Sup2 2GE MSFC2 PFC2 In Chassis Only 1 6MEM C6K FLC24MCatalyst 6000 Supervisor PCMCIA Flash Mem Card 24MB Option1 7MEM MSFC 128MBCatalyst 6000 MSFC Mem 128MB DRAM Option1 8WS X6408 GBIC Catalyst 6000 8 port Gigabit Ethernet Module Req GBICs 1 9WS G5484 1000BASE SX Short Wavelength GBIC Multimode only 8 10WS X6248 RJ 45Catalyst 6000 48 port 10 100 RJ 45 Moudel1 11SC6MSFCA 12 0 3XE Cisco IOS Catalyst 6000 Family MSFC Enterprise1 12FR IRC6Catalyst 6000 Family InterDomain Routing Feature License1 Catalyst 5505 增加模块 增加模块 13WS X5403C5000 Gigabit Ethernet Switching Module w o GBICs 3 port 1 14WS G54841000BASE SX Short Wavelength GBIC Multimode only 3 15WS X5302Catalyst 5000 Route Switch Module1 4 3 城域网改造 城域网主要提供城区各个主要局域网的接入 包括江阁大楼 云路机房 信 用卡部和星办局域网的接入 还包括增加戊和己两支行局域网的接入 将三峡建行网络中心原有的 Catalyst 5000 交换机下移到江阁大楼 作为江阁 大楼局域网中心交换机 在 Catalyst 5000 新增两个千兆模块端口 通过 1000BASE SX 模块分别和 Catalyst 6509 Catalyst 5505 相连 两条链路互为备 份 甲路机房 信用卡部和星办局域网保持原有结构不变 戊和己支行需铺架光纤 接入三峡建行城域网 己支行需增加一台 Catalyst 2924 交换机 城域网改造后 网络拓扑图如下 城域网链路备份方案有两种 方案一是通过 ISDN 连接路由器的方式 方案二是通过 10M 的无线以太网方式 方案见附件 这两种备份方式都只 备份营业网 4 4 广域网改造广域网改造 4 4 1 广域网分布层改造广域网分布层改造 分布层网络主要是指三峡建行到县级支行和城区较远支行的网络连接 三峡建行到上述支行的网络拓扑图如下 链路说明 支行采用 64K DDN 链路与三峡建行网络中心互连 用于传输营 业数据和企业内部管理数据 同时利用 PSTN 链路作为备份线路 设备选型 县级支行局域网进行改造 配置一台 Catalyst 2924 交换机 通 过选用的 CISCO 2600 系列路由器分别与三峡建行相连 在 Catalyst 2924 划分 VLAN 将管理网和营业网隔离开 节点确定原则 该节点就近有既营业网又有管理网的广域网的接入 初步确 定有 b c d e f g h i 各县支行以及城区 国际业务部 4 4 2 广域网接入层改造广域网接入层改造 接入层网络主要是指三峡建行到网点的网络连接 三峡建行到网点的网络拓扑图 链路说明 大的网点采用低端路由器 还可广泛采用原有的一些非 CiscoL 路由设备 通过 64K DDN 链路与三峡建行网络中心互连 用于传输营业数据 小的网点采用异步 MODEM 通过 64K DDN 链路与三峡建行网络中心互连 同 时利用 PSTN 链路作为备份线路 节点确定原则 该节点就近有多条营业网的广域网的接入 初步确定有航 空办 北山办 五广分理处等 4 5 外网的连接外网的连接 为了实现三峡建行和外网 主要是开展的中间业务 的连接 通过将运行 中间业务的前置机和路由器之间放置一台 PIX 防火墙进行物理隔离 配置一台 CISCO 3661 配置多口同步模块 通过 DDN 与证券营业部相连 同时提供网 上查询等业务 三峡建行局域网与外网连接图如下 4 6 可靠性设计可靠性设计 三峡建行网络可靠性包括网络设备备份和链路备份 包括电话拨号 4 6 1 设备备份设备备份 三峡建行局域网中心设备备份三峡建行局域网中心设备备份 三峡建行中心局域网中心增加一台高性能的交换机 Cisco Catalyst 6509 同时在 Cisco Catalyst 5505 增加千兆模块和 RSM 路由模块 通过两条千兆链 路连接起来 利用 Gigabit EtherFast 技术既相互备份 又负载均衡 Catalyst 6509 配置双引擎和双路由模块 同时配置双电源冗余系统 保证 中心交换机的可靠性 提供一台 CISCO 3662交换机 配置同异步模块 作为中心路由器的设备 备份 城域网设备备份城域网设备备份 在三峡建行中心交换机 Catalyst 6509 上备份一块 24 口 100M 多模光纤模 块 同时提供一台 Catalyst 1924C 交换机 作为城域网下一级节点的设备备份 支行局域网设备备份支行局域网设备备份 提供一台 Catalyst 2924 交换机 作为远程支行局域网交换机的设备备份 4 6 2 链路备份链路备份 城域网链路备份城域网链路备份 城域网的主干链路为光纤连接 为了保证城域网的链路的可靠性 可以采 用 ISDN 备份 在城域网各节点申请一条 ISDN 线路 同时增加一台 CISCO 2600 路由器 配置一个 ISDN 模块 当光纤主干链路出现故障时 启动 ISDN 线路 保证城 域网的连通 广域网线路备份广域网线路备份 支行广域网链路备份 支行选用 CISCO 2600 路由器通过 64K DDN 链路与三峡建行网络中心互连 用于传输营业数据和企业内部管理数据 同时利用 PSTN 链路作为备份线路 网点广域网链路备份 大的网点采用 CISCO 2600 路由器通过 64K DDN 链路与三峡建行网络中心 互连 用于传输营业数据 小的网点采用异步 MODEM 通过 64K DDN 链路与 三峡建行网络中心互连 同时利用 PSTN 链路作为备份线路 4 7 网络网络 IP 路由设计路由设计 路由协议对网络的稳定高效运行 网络在拓朴变化时的快速收敛 网络带 宽的充分有效利用 网络在故障时的快速恢复 网络的灵活扩展都有很重要的 影响 在大型网络中 静态路由和某些动态路由如 RIP IGRP 由于其固有的局 限性 扩展性差 不支持 VLSM 不适合在网络节点多 规模大的网络中使用 目前在大型网络中最常见的路由协议是 OSPF 和 EIGRP 由于在大型的网络中有多种平台的路由器存在 而 EIGRP 仅为 Cisco 独家 支持 由于我们为了充分利用原有网络设备 其中很大一部分是非 Cisco 的 无法选择 EIGRP 且在最新内部路由的设计中 OSPF 的性能在流量整形方面 远超于 Eigrp 故我们在本网络方案中内部主路由协议选择 OSPF 4 8 面向应用的网络服务面向应用的网络服务 4 8 1 业务分类和数据特点的分析 业务分类和数据特点的分析 不同的应用系统对网络服务的要求不同 在一个统一的网络平台上 应该 保证对于不同的应用数据根据其具体要求提供相应的网络服务 并能在因故障 导致网络资源稀缺时优先保证关键性业务数据的传输 经对我行现有应用系统的网络需求分析 按其重要程度分为以下两类 营 业类 管理类 营业类业务系统 包括综合网柜面业务系统 清算系统 龙卡系统 网上银行等 这些业务是我行最重要的业务 应优先得到保障 这些业务的数据包大小 比较固定 对数据传输的延时要求比较高 管理类业务系统 包括 OA 信贷 总帐传输 人力资源 电子邮件等管理系统 这一类管理信息目前主要是普通的文件传输 数据流量大 突发性强 对 实时性要求较低 但要求能够可靠传输 流向目前主要是纵向 综合类业务系统 包括访问行内信息网站 Internet 浏览以及 IP 电话 视频会议 网上培训多 媒体增值业务等 这些都属于流量增长最快的应用系统 流量大 随机性强 流向可能是任 意方向的 其中多媒体业务是面向非连接的 对时延非常敏感 4 8 2 QOS 保证保证 使不同的业务集成在了同一个网络平台上 如何保证不同业务数据的优先 级别和传输质量就成了一个很重要的问题 同时将要实施的语音等新应用对网 络提出了新的服务质量的要求 要保证以上数据的网络服务质量 需要采用策 略路由实现根据不同的业务数据种类选择不同链路传输 并在每条线路上采用 带宽分配 优先级控制等 QOS 控制技术保证各类应用数据的有效传输 QoS 控制技术 为了避免增加过多的控制策略导致路由器负载过重 选择以下几种 QOS 控 制技术 简单有效地实现各类应用的 QOS 保障 接入速率控制 CAR CommittedAccessRate IP 优先级控制 队列机制 WeightedFairQueuing 先期拥塞控制 WRED 标记交换 MPLS 语音数据优先 在三峡建行在此次网络改造中将广泛采用上述技术保证网络通畅 特别是营 业数据的正常传输 第第 5 章章 三峡建行网络管理三峡建行网络管理设计设计 在三峡建行广域网中 设备繁多 网络规模大 地理位置跨越广 且应用 环境复杂 对于诸多网络硬件设备和网络应用 只有对网络进行有效地组织和 管理 才能够充分利用网络软硬件资源 发挥其效力 为系统应用提供良好的网 络运行平台 为了提高系统的分级安全性 设计网络管理系统 便于管理和故障 处理 监控的实时性 以 CiscoWorks2000 为网络管理平台 以美国 BMC 软件公司的 PATROL 组件 为基础 集成网管系统 系统的监控程序和自行开发的监控程序 建设集中监 控管理系统 实现计算机网络系统的集中监控和管理 实现监视各种主机 服 务器 数据库 网络和网上关键性系统的运行状态 工作任务完成情况 自动 启动工作任务 进行作业调度 减少中心机房值班人员的工作压力 逐步实现 主机房无人值守 同时 配置 BMC 的数据备份与恢复软件 从而减少因系统停 机 重要数据信息的丢失等而造成的业务停顿 最大程度上保证系统的高可用 性和可管理性 以保障 7x24 小时关键性应用系统的运行 最终实现企业信息系 统的管理目的 5 1 网管系统功能及其职责网管系统功能及其职责 为了保障网络运行的品质 维持网络传送频率 降低传送错误率 确保网 络安全等 网络系统技术人员借助网络管理工具或本身的技术经验实施网络管 理 职责内容可分为下列八大类 网管系统的职责 网络监控网络监控 监视网络的运行状态 控制网络路由和流量 分析运行记录和报警 信息 性能控制性能控制 据网络应用状态 负荷状态 网络利用率 合理调整网络性能 故障管理故障管理 为确保网络系统的高稳定性 在网络出现问题时 必须及时察觉 问题的所在 它包含所有节点运作状态 故障记录的追踪与检查及平常可对 各种通讯协议的测试 效率管理效率管理 效率管理在于评估网络系统的运作 统计网络资源的运用及各种 通讯协议的传输量等 更可提供未来网络提升或更新规划的依据 用户记帐管理用户记帐管理 建立统一的记帐系统 对网络资源的使用采取收费记帐的方 法 对不同的资源访问制定不同的收费标准和算法 网络安全管理网络安全管理 用户身份确认 访问控制 对用户权限以及用户帐户进行维护 和管理 设置相应口令与更新 加密和密钥管理 监视和控制网上的破坏安全 系统的行为 运行管理运行管理 制定网络运行的技术标准 可靠性 安全性方案和运行制度 计费管理计费管理 了解网络使用时间 能针对各个局部网络做使用量统计 一则可 作为使用网络计费的依据 更可作为日后网络升级或更新规划的参考 网络管理员能够借助网管软件 对网络上的任何资源和进程调用 5 2 网络管理平台和网管工作站网络管理平台和网管工作站 通过前面的分析 网络系统设备采用了 cisco 的交换机 路由器和远程访 问服务器 针对系统的这个特点 推荐 cisco 公司的最新推出的网管系统 CiscoWorks2000 1 1 网管平台 网管平台设计设计 将原有网管软件 CWSI 进行升级 采用 Cisco 公司提供的最新 CiscoWorks2000 的广域网套件 用于对网点网络设备进行管理 局域网套件 用于对三峡建行局域网进行管理 2 2 网管工作站 网管工作站设计设计 由于网管工作站将实时处理网络设备上传的运行参数 因此必须具备大内 存 高性能 CPU 和良好图形显示功能 拟保留原有网管工作站 3 3 ciscocisco 网管软件和其基本管理模式网管软件和其基本管理模式 CiscoWorks2000 CiscoWorks2000 网管系统 works2000 包括局域网和广域网网组件 还包括语音管理套件 4 4 自主网络监控软件的开发 自主网络监控软件的开发 由于 cisco 网管软件的专用性 无法有效监控到非 Cisco 设备 更不能监控 到大部分采用串口协议的网点 为了能够监控到所有网点 需要对相关软件做 大量的客户化开发工作 第第 6 章章 网络系统安全网络系统安全设计设计 由于网络的开放性和网络技术的发展 网络安全本身已经成为一个与时间 和技术相关动态的概念 针对传统安全模型的缺陷和不足 有关公司提出了一 个极具创意的 能够自我不断完善 不断发展 自我适应能力极强的崭新的网 络安全模型 P2DR 安全模型 我行这次网络系统安全的实施就准备基于这个 模型 6 1 安全模型 安全模型 P2DR 模型 模型 P2DR 方案是一个超前的安全模型 它是在对国际上安全方面可靠的权威 著作进行多年研究的基础上独自发展出来的 它的指导思想比传统安全方案有 突破性提高 P2DR 模型如图所示 Policy 策略 Protection 防护 Detection 检测和 Response 响应组成的完整 模型体系 可以描述和解释任何信息安全问题 P2DR 安全模型的特点就是动 态性和基于时间的特性 可以说对信息安全的 相对性 给予了更好地描述 虽然没有 100 的安全 但是模型为进一步解决信息安全技术问题提供了有益的 方法和方向 Policy 安全策略 安全策略是 P2DR 安全模型的核心 要想实施动态网络 安全模型 必须首先制定企业的安全策略 所有的防护 检测 响应都是依据 安全策略实施的 企业安全策略为安全管理提供管理方向和支持手段 Protection 保护 保护通常是通过采用一些传统的静态安全技术及方法 来实现的 主要有防火墙 加密 认证等方法主要有防火墙 加密 认证等方法 通过防火墙监视限制进出网络 的数据包 可以防范外对内及内对外的非法访问 提高了网络的防护能力 当 然需要根据安全策略制定合理的防火墙策略 也可以利用 SecureID 这种一次性 口令的方法来增加系统的安全性等等 Detection 检测 在 P2DR 模型 检测是非常重要的一个环节 检测是 动态响应的依据 它也是强制落实安全策略的有力工具 通过不断地检测和监 控网络和系统 来发现新的威胁和弱点 通过循环反馈来及时作出有效的响应 检测主要包括检测主要包括 漏洞检测漏洞检测 和和 入侵检测入侵检测 两个部分两个部分 Response 响应 紧急响应在安全系统中占有最重要得地位 是解决安 全潜在性最有效的办法 在检测到安全漏洞和安全事件之后必须及时做出正确 的响应 从而把系统调整到安全状态 从某种意义上讲 安全问题就是要解决 紧急响应和异常处理问题 要解决好紧急响应问题 就要制订好紧急响应的方 案 做好紧急响应方案中的一切准备工作 总之 一个信息安全方案必须对安全策略 安全防护 安全检测和安全响 应有准确和完整的描述 值得强调的是 值得强调的是 P2DR安全模型已被正式收录进人民银行的安全蓝皮书 安全模型已被正式收录进人民银行的安全蓝皮书 国家国家 金融信息系统安全金融信息系统安全 总体纲要总体纲要 1999 12 6 2 三峡建行网络系统总体安全体系三峡建行网络系统总体安全体系 6 2 1 安全策略设计安全策略设计 1 安全策略描述原则 安全策略描述原则 由于数据传输的安全性关系到我行的服务质量和信誉保证 关系到客户 的切身利益 因此在制定安全策略时 要加强对数据传输的限制 即只有 表示为允许的才可以进行传输这一原则来加强对网络安全的限制 2 具体安全策略 具体安全策略 三峡建行安全策略应该包括 用户管理 职责划分 安全管理 安全评 估 安全监控 紧急响应 异常处理 授权操作 恢复策略以及跟踪审计 等 6 2 2 总体安全体系的规定总体安全体系的规定 网络系统的安全从体系结构上来看应该是一个多层次 多方面的结构 通 过对我行网络所面临的安全状况的分析 可将整个三峡建行网络的安全性在总 体结构上划分为四个级别 网络级安全 应用级安全 系统级安全和企业级安 全 网络级安全是指在网络的下三层 物理层 链路层 网络层 采取各种安全 三 峡 建 行 网 络 系 统 安 全 体 系 架 构 网络级安全系统级安全应用级安全企业级安全 安全管理制度审计病毒防范加密数字签名身份认证安全漏洞检测安全监控访问控制VLAN 划分VPN数据包过滤 安全级别 安全手段 措施来保障整个三峡建行网络的安全 包括数据包过滤 VPN 虚拟私有网 VLAN 的划分 访问控制 身份认证 数据包加密传输 安全审计 安全监控和 安全漏洞检测等 应用级安全是指通过利用三峡建行网络中各大应用系统 如综合业务系统 清算系统 企业网系统等等 和大型关系型数据库自身的安全机制 在应用层 保证对三峡建行网络中各种应用系统的信息访问合法性 系统级安全主要是通过对操作系统 UNIX NT 的安全设置 防止利用操作 系统的安全漏洞对整个三峡建行网络构成安全威胁 企业级安全主要是从三峡建行范围内的安全管理和计算机病毒防范两方面 来保障整个我行网络的安全 此次网络改造我们主要对网络级安全加以设计 6 3 三峡建行网络级安全设计三峡建行网络级安全设计 可适应性网络安全由四个集成的方案组成 第一 端对端的网络安全要求 持续的 综合的安全评估 通过自动的基于网络的和基于主机的扫描技术实现 第二 对安全弱点的响应通过已建立的安全策略中相关的安全漏洞来衡量 更 正动作很容易获得并迅速实现 另外 基于网络和主机的