华夏银行综合业务网络扩容项目.doc

前 言大连诚高科技股份有限公司非常感谢华夏银行大连分行能再次给我们这个宝贵的机会参加综合业务网络扩容项目建设。作为网络信息领域的前沿公司，诚高公司正以其卓越的技术、优异的产品和完善的支持，服务于金融，邮电，政府，教育等许多行业和领域。同时，诚高公司也在与广大新老客户的交流合作中不断的完善提高自己。尤其是老客户的信赖，是诚高公司最宝贵的财富，也是我们努力的目标。大连诚高科技股份有限公司十分珍视这次宝贵的机会。在以往大型网络系统的建设中，我们付出了巨大的努力，积累了丰富经验，得到了广大用户的肯定和信任。在这次综合业务网络扩容项目建设中，我们将尽全力，并以最大的诚意期待与贵行合作成功！华夏银行大连分行由于其自身业务快速发展的需要，希望对现有网络进行扩容。此前，华夏银行大连分行广域网络部分有与支行连接的帧中继链路，局域网络部分也只有市行办公和营业部的本地以太网。整个网络使用的通信协议是 TCP/IP。这种协议是目前最流行也是最为成熟的协议，具有非常强大的路由功能，因此可以实现各种最新的路由技术，比如负载均衡，线路的自动备份，提高通信系统的可靠性。华夏银行大连分行希望改造后的网络能够使用最新的广域网通信技术，提高网络运行的性能和可靠性，并能够把业务和办公或其它有关网络集成为一个统一的网络。经过仔细的选择，基于Cisco在TCP/IP解决方案上的强大实力和诚高公司在Cisco产品上的丰富经验，必将为成功的完成Cisco路由器交换机与华夏银行大连分行综合业务网的集成奠定坚实的基础。第一部分 华夏银行大连分行综合业务网络系统改造扩容设计方案1 用户需求分析1.1 概述随着华夏银行大连分行的金融业务不断发展，目前储蓄系统、会计系统和办公系统正在顺利运行，在今年，大连分行又增设了世贸大厦网点，综合网络系统改造扩容迫在眉睫。华夏银行大连分行综合业务网络改造扩容后将为华夏银行大连分行信息化建设打下基础，充分发挥银行信息基础设施的综合效力。华夏银行大连分行综合业务网络改造扩容的目的是充分利用现有的通讯网络条件，在网络交换中心建设的基础上，实现科技处信息中心与世贸大厦网点的互通互连，开展各种银行业务、实现银行办公自动化（OA）、MIS等系统。为了确保计算机网络系统能够正常、高效地运行，我们在进行综合网络系统改造时，将充分地考虑提高整个网络系统的高可靠性和带宽的高可用性，为此我们将采取核心设备或模块备份、通信线路备份以及实现链路的服务质量保证（QoS）等一系列措施。1.2 网络改造目标 随着民生银行大连分行业务的不断发展和行业竞争的日趋激烈，为了在未来竞争中进一步取得并保持竞争优势，民生银行大连分行综合业务网络通过改造后将建设成为一个高速主干网络，用于支撑未来更加复杂的网络应用。该网络应该具备以下特点： 主干网络的要求： l 高带宽 l 高可靠性 l 支持多协议，如IP IPX等等。 l 提供服务质量保证(QoS)。 l 高安全性。l 易于扩展和升级。 l 易于管理和维护。 l 较低的总拥有成本。 在主干网络上传输的应用有：l 储蓄系统l 会计系统l 信贷系统l OA 应 用 l MIS 应 用未来在主干网络上传输的应用有：l 语 音 应 用 （VoIP）l 视 频 应 用 ， 如 视 频 会 议 、 远 程 培 训 、 视 频 监 控等 等 l 基于 IP 协 议 的 新 业 务 综上所述具体建网目标为： 第一，建立华夏银行大连分行世贸大厦网点内部信息交换平台 第二，实现华夏银行大连分行与世贸大厦网点所有公共信息共享 第三，从网络规模来看，此次网络系统分为三个部分，一部分为世贸大厦网点信息网络交换平台，由于世贸大厦分两个楼层，两个楼层间距比较大，故采用四芯多模光纤分别联入cisco catalyst3548和cisco catalyst2948gl3交换机千兆以太网络接口，同时两个千兆以太口采用千兆以太通道技术GEC实现带宽聚合。链路冗余。交换机通过vlan 技术实现业务网和办公网分离。同时利用cisco 2948gl3交换机具有的三层交换功能实现MIS系统同时访问业务网络和办公网络，并通过cisco IOS网间操作系统中各项访问安全控制如：ACL等,对内部人员进行有效地安全访问控制。另一部分为网络信息中心用原有的帧中继连接世贸大厦网点；并采用PSTN做主干信息网络的备份线路，第三部分就是世贸大厦网点内部接入internet。 第四，各节点路由器上具有DDN、Frame Relay、Ethernet等的接入能力； 第五，充分考虑网络的冗余； 第六，强大的网络管理系统，实现对网络系统、服务器资源和应用的管理，确保网络系统可长期安全、稳定、可靠地运行。 第七，多方面的扩展能力。根据业务发展，可对各项指标进行升级。 第八，网络具有高度的可用性，合理分配带宽。 第九，与现有的网络系统和服务器有较好的互联性。新建设的网络系统能够承担各种业务的传输或交换，能够解决大批量用户对信息的快速查询，能够保证突发业务的服务质量及整个网络系统的安全，同时便于维护和扩展升级，具有较强的互联能力，以满足华夏银行大连分行信息交换不断发展的业务需求。2 网络设计总体原则 网络系统的设计必须遵循一定的规则，我们在进行网络建设时，将坚持如下原则： 第一，确保网络实现技术的标准化。当今计算机网络技术发展的一个重要特点就是标准化。只有遵循国际标准，才能确保整个系统的开放性和长久的生命力。 第二，确保网络的可靠性。为了确保计算机网络能够正常地运行，我们在进行网络设计时，将充分地考虑提高整个网络系统的高可靠性，为此我们将采取核心设备或模块备份、通信线路备份等一系列措施。 第三，确保网络技术的先进性。先进性能确保整个网络系统有一个较长的生命周期，这是对整个投资的最大也是最有效的保护。网络的先进性还表现在用户能够对其进行较为平滑的升级，平滑的升级就意味着并不会造成前期投资的废弃。 第四，充分重视网络系统的可扩展性。可扩展性也即可伸缩性，即网络应能自如地适应网络规模的变化。良好的可扩展性表现之一就是当用户的网络规模增大时，无需增加新的网络设备，只需要增加相应的设备模块即可，这即能有效地降低用户的投资，又可以降低网络整体的复杂性。 第五，保护用户已有的投资。网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资，避免造成不必要的浪费。 第六，保证用户能够对整个网络系统进行有效的管理，确保整个网络系统能够正常、高效地运行。 第七，树立全局观念，作好网络系统的总体规划。网络的建设是整个信息系统的基础。它建设的好坏将对整个信息系统的生产和运行产生深远的影响。由于它是一项基础设施，因此必须确保建好后的网络系统在不做重大改动的前提下，能够承担起未来五到十年业务发展的重任。 由于我们网络系统改造其覆盖范围较广，工程规模十分大。因此要想确保该项目的成功，网络建设应突出重点，分清主次。第九，保证系统的实用性，力求网络系统既能满足目前的需要，又能适应未来发展。第十，开放性，建立起来的平台能够互联不同厂商的设备，运行多种网络操作系统、网络协议，遵守国际标准的开放系统第十一，保证整个系统的安全性，防止非法用户盗用和破坏，采用多种安全防范措施，确保信息万无一失、系统运行万无一失。4 网络设计方案在该系统中，我们划分成三部分，既系统、中心机房和世贸大厦网点连接系统和世贸大厦网点连入internet系统。可靠性和冗余性 世贸大厦网点交换网络采用千兆以太通道技术GEC可实现带宽聚合。链路冗余和中心机房连接采用了TCP/IP协议作为骨干的传输协议之后，可以充分利用IP的迂回路由功能。当主要的链路断掉以后，通过IP的迂回路由功能，激活备份的拨号线路，然后中心路由器通过回拨进行安全验证并通讯，保持继续连接。当主要链路恢复连接以后，备份的拨号链路自动宕掉。Cisco的EIGRP路由协议和 OSPF都能够很快的自动绕过失效的链路。对多协议的支持采用了Cisco路由器作为网络互连的设备。路由器能够同时支持IP、SNA、IPX等多种网络协议。因此，能够将多种协议和网络集成在一个骨干网络上。这样，既可以节省昂贵的WAN线路开支，还可以方便对整个网络的管理。可以预见的时延和带宽的保证改造后的综合业务网可同时支持储蓄、会计、信贷、OA及MIS等多个系统运行。传统的应用但对带宽的需求并不高。当和其它的网络协议和应用集成在一个网络平台上的时候，必须有措施优先处理关键性的信息，以保证终端用户的响应时间不受影响。Cisco IOS的优先级排队功能可以让我们设置路由器优先处理业务或其它优先级别高的信息，用户可以通过协议，端口号、物理口号，地址、信息包的长度等信息对数据包设置不同的优先级别。通过Cisco的定制排队（custom queuing）可以保证在网络发生堵塞的情况下关键性应用如储蓄和会计业务可以获得有保证的一定带宽。4.1网络系统设计方案4.1.1 网络系统路由设备选型及设备性能技术指标根据贵行要求，结合网络中心的具体特点和需求，我们建议选用一下设备：CiscoCatalyst3500XL系列CiscoSystemsCatalyst3500XL系列是一系列可扩展、可堆叠的10/100和千兆位以太网交换机，提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。该系列低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留珍贵的桌面端口，提供下一代可堆叠的交换。Cisco的突破性交换机集群技术将堆叠域扩展到单个配线间之外，能使用户最多互连16个Catalyst3500XL、2900XL和Catalyst1900交换机，组建一个灵活的单一IP地址管理网络，而不受它们的地理位置限制。Catalyst3512XL高性能、可堆叠、无阻塞的交换机，用于在集群配置中集合小群Catalyst2900XL或Catalyst1900交换机。低廉的价格。Catalyst3524XL可堆叠的线速10/100和千兆位以太网交换机，用于给单个用户和服务器提供10或100Mbps的专用带宽。内置的基于GBIC的千兆位以太网端口，提供灵活、可缩放的上行链路或GigaStackGBIC堆叠。低廉的每端口成本。Catalyst3508GXL可堆叠的千兆位以太网交换机，带有8个基于GBIC的端口，用于通过CiscoGigaStackGBIC或标准1000BaseXGBIC集合一组千兆位以太网交换机和服务器。专用的高速千兆位以太网性能。关键特性10Gbps的交换主干，最高转发速率每秒钟740万个数据包，最大转发带宽5Gbps，跨所有10/100端口提供线速性能。内置的千兆位以太网端口适合插入各种GBIC收发器，包括CiscoGigaStackGBIC、1000BaseSX和1000BaseLX/LHGBIC。低成本的2端口CiscoGigaStackGBIC通过在菊花链连接中提供1Gbps的连接，或者在专用的交换机到交换机连接中提供2Gbps的连接，提供广泛的高度可配置的堆叠和性能选项。Cisco交换机集群技术允许用户使用基于标准的以太网、快速以太网和千兆位以太网介质组建一个由16个Catalyst3500XL、2900XL和1900交换机组成的单一IP地址管理网络，而不受它们的地理位置的限制。技术要求这一低成本、高性能的交换解决方案系列提供下一代可堆叠的交换。它允许从一个IP地址管理所有Cisco交换端口，并提供互连的交换机和一个独立的保护珍贵的桌面端口的高速堆叠总线。通过推出Catalyst3500XL系列和Cisco交换集群技术，Cisco将堆叠提高到一个新的水平。由于所有Catalyst3500XL、2900XL和Catalyst1900交换机上都支持交换机集群，因此用户可以从一个单一IP地址管理380多个端口，并能够通过广泛的以太网、快速以太网和GigabitEthernet介质连接所有交换机，而无论它们的物理位置在哪里。Catalyst3500XL系列高性能交换机包括CiscoIOS(软件和CiscoVisualSwitchManager(CVSM)软件以及一个易于使用基于Web的管理界面。所有Catalyst3500XL系列交换机均包括标准版和企业版。企业版交换机提供先进的软件特性，包括全面的802.1Q和ISLVLAN支持、TACACS+安全和由UplinkFast实现的容错特性。CiscoSystemsCatalyst3500XL系列是一个可扩展、可堆叠的10/100和GigabitEthernet交换机系列，提供优异的性能、可管理性和灵活性以及无与伦比的投资保护。Catalyst3500XL系列包括3个交换机型号和CiscoGigaStack(GigbitInterfaceConverter(GBIC)：Catalyst3512XL单机架(RU)可堆叠的10/100和GigabitEthernet交换机拥有12个10BaseT/100BaseTX端口和2个基于GBIC的GigabitEthernet端口。2个Gigabit端口适合广泛的业界标准GBIC，包括CiscoGigaStackGBIC、1000BaseSX和1000BaseLX/LHGBIC。Catalyst3512XL是一种高性能、无阻塞交换机，非常适合将Catalyst3500XL系列或Catalyst1900交换机集成在一个集群配置中。在独立或堆叠配置中，Catalyst3512XL以低端价格提供低端口密度。Catalyst3524XL单机架可堆叠的10/100和GigabitEthernet交换机拥有24个10BaseT/100BaseTX端口和2个基于GBIC的GigabitEthernet端口。Catalyst3524XL非常适合给单个用户及一个堆叠或集群配置中的服务器提供专用10或100Mbps。内置的基于GBIC的双重GigabitEthernet端口给用户提供一个灵活、可扩展的GigabitEthernet上行链路或GigaStackGBIC堆叠。Catalyst3508GXL单机架可堆叠的GigabitEthernet交换机拥有8个基于GBIC的GigabitEthernet端口。Catalyst3508GXL非常适合通过CiscoGigaStackGBIC或标准1000BaseXGBIC，集合一个10/100和GigabitEthernet交换机及GigabitEthernet服务器群组。GigaStackGBIC通用、低成本的GigabitEthernet堆叠GBIC提供Catalyst3500XL系列和带有Gigabit功能的Catalyst2900XL系列交换机之间的高速互连。GigaStackGBIC非常适合那些需要一个独立堆叠总线来互连多个Catalyst3500XL和带有Gigabit功能的Catalyst2900XL交换机的重视性能和成本的客户。Cisco可扩展的堆叠体系结构作为互联网解决方案的领先机构，CiscoSystems为Catalyst3500XL系列和包含Gigabit的Catalyst2900XL系列交换机提供业界最灵活、可扩展和可管理的堆叠体系结构。灵活的堆叠Catalyst3500XL系列和包含Gigabit的Catalyst2900XL系列交换机可以使用低成本的CiscoGigaStackGBIC进行堆叠。2端口GigaStackGBIC提供广泛的高度灵活的堆叠和性能选项。它在一个菊花链配置中提供1Gbps半双工连接，或者在专用交换机到交换机的配置中提供2Gbps全双工连接。Cisco交换机集群突破性的Cisco交换机集群技术能使多达16个Catalyst3500XL、2900XL和Catalyst1900交换机互连在一起(而无论它们的物理距离多远)，组成一个可管理的单一IP地址网络。这些交换机可以使用广泛的基于标准的连接选项集群在一起，提供不同层次的性能来满足客户要求。Catalyst3500XL系列的集群连接选项包括以太网、快速以太网、FastEtherChannel、Ethernet和GigabitEtherChannel。由于Cisco交换机集群技术不受专用堆叠模块和堆叠电缆的限制，因此它将传统堆叠域扩展到一个配线间之外，允许用户“混用和匹配”互连，进而满足特定的管理、性能和成本要求。在Cisco交换机集群中，有一个Catalyst3500XL系列或2900XL交换机被指定为“命令”交换机，而集群中的所有其他交换机被指定为“成员”交换机。命令交换机作为单一IP地址管理点运行，并分配网络管理员控制的所有管理行为。命令交换机最多能够集成另外15个互连的成员交换机，而无论它们的互连介质是什么。Cisco交换机集群命令软件被预装在所有Catalyst3500XL系列交换机上，并可以通过Catalyst2900XL命令软件升级工具集，作为Catalyst2900XL系列交换机的一个升级。基于Web的交换机管理：Cisco虚拟交换机管理器Catalyst3500XL系列拥有Cisco基于Web的管理工具Cisco虚拟交换机管理器(CVSM)，允许网络管理员通过一个标准浏览器(例如MicrosoftInternetExplorer或NetscapeNavigator)从网络上的任何地方查看和管理一个交换机。CVSM是从交换机本身发布的，它提供简单的网络和设备级管理，包括端口配置、VLAN设置、网络视图和端口监控。CVSM是Cisco可扩展的堆叠体系结构的一个有机组成部分，允许用户轻松地配置和管理堆栈及交换机集群，允许他们跨多个交换机进行软件升级。标准版软件CiscoCatalyst3500XL系列标准版交换机包括几个杰出的特性，能够增加网络性能、可管理性和安全性。命令交换机特性提供单一IP管理的Cisco交换机集群技术，最多可以互连16个Catalyst3500XL、2900XL或Catalyst1900交换机。FastEtherChannel和GigabitEtherChannel技术在Catalyst交换机、路由器和服务器之间提供从400Mbps到4Gbps不等的高性能带宽。Cisco群组管理协议(CGMP)通过允许交换机动态、有选择地将IP多路传输流量转发给目标终端站，增强了多媒体应用的性能，减少了网络流量。每交换机基于250个端口的VLAN允许数据包仅转发给一个特定VLAN内的终端站，从而在网络上的端口群组之间创建了一个虚拟防火墙。网络时间协议(NTP)跨网络提供一个统一的时钟，为诊断所有网络事件确保准确的时间标记。基于MAC的端口级安全可以防止未经授权的终端站接入交换机。交换机控制台上的多层安全可以防止未经授权的用户接入或改变交换机配置。所有标准版交换机均可以通过购买可选的Catalyst3500XL企业版升级工具集进行升级。企业版软件企业版软件包括标准版的所有特性，并给您的Catalyst3500XL系列交换机增加了增强的端到端VLAN支持。虚拟VLAN中继可以利用802.1Q中继或CiscoInter-SwitchLink(ISL)VLAN体系结构从任何端口创建。使用标准的802.1Q和ISL中继提供多路传输控制和增强的安全性，并简化了VLAN的增加、移动和改变。TACACS+验证能够启动集中的交换机访问控制，限制未经授权的用户修改配置。UplinkFast技术确保快速的故障恢复，增强了整个网络的稳定性和可靠性。企业版交换机是需要更高级安全、卓越的无故障冗余以及跨多个路由器、交换机和接入服务器的端到端VLAN的网络的最佳选择。应用Catalyst3500XL系列3个主要的产品应用包括：桌面交换机用于桌面连接，给工作站和服务器提供专用10或100Mbps，并作为一个拥有独特IP地址的独立单元部署。这种应用一般需要更高的端口密度，以实现更低的每端应用。Catalyst3500XL系列3个主要的产品应用包括：桌面交换机用于桌面连接，给工作站和服务器提供专用10或100Mbps，并作为一个拥有独特IP地址的独立单元部署。这种应用一般需要更高的端口密度，以实现更低的每端口成本。GigabitEthernet端口将用于面向企业主干网的上行链路连接。堆叠/集群多个Catalyst3500XL、2900XL和Catalyst1900交换机可以部署在一个交换机集群或GigaStackGBIC配置中，通过一个单一IP地址管理。这些交换机主要用于拥有有限集合的桌面连接。GigabitEthernet端口将用于面向企业主干网的上行链路或面向一个Gigabit集合交换机的连接。集合10/100和GigabitEthernetCatalyst3500XL系列交换机用于在一个公用主干网中集合多个10BaseT和100BaseTX交换机、集线器和服务器。该应用一般需要一个12到24个端口的较低密度高性能10/100交换机。有些客户可能需要专用GigabitEthernet交换机(Catalyst3508GXL)，通过GigabitEthernet上行链路集合多个10/100交换机。桌面10/100桌面连接Catalyst3500XL系列交换机可以作为高性能的10/100和GigabitEthernet桌面解决方案部署。Catalyst3512XL提供一个低端价格的10/100解决方案，而Catalyst3524XL提供最低的每端口价格。两种交换机均在一个固定的单机架配置中提供2个GigabitEthernet上行链路。Catalyst3512XL或Catalyst3524XL，用于桌面连接堆叠和集群堆叠CiscoGigaStackGBIC技术为客户提供广泛的性能水准，从菊花链配置中1Gbps的转发速率，到点到点连接中2Gbps的转发速率。GigaStack堆叠：独立的堆叠总线GigaStackGBIC，所有Catalyst3500XL系列和包含Gigabit的Catalyst2900XL系列交换机都可以部署在一个堆叠配置中。GigaStackGBIC通过标准GigabitEthernet连接提供一个1Gbps的独立堆叠总线，允许通过一个单一IP地址堆叠和管理多达9个交换机。通过顶部和底部交换机中的辅助GigaStackGBIC，可以实现冗余环回连接支持。使用GigaStackGBIC、Catalyst3500XL系列和带有Gigabit功能的Catalyst2900XL系列交换机创建一个独立的堆叠总线使用GigaStackGBIC创建一个冗余环回连接GigaStack堆叠：点到点连接CiscoGigaStackGBIC还在点到点配置中给用户提供一个高性能选项。通过使用8端口Catalyst3508GXLGigabitEthernet交换机，最多可以堆叠8个交换机，在Catalyst3508GXL和每一个连接的交换机之间提供2Gbps的全双工带宽。Catalyst3508GXL为整个Catalyst3512XL、3524XL和带有Gigabit功能的Catalyst2900XL系列交换机堆叠提供5Gbps的转发速率。Cisco交换机集群CiscoCatalyst3500XL、2900XL和Catalyst1900交换机可以部署在一个互连的交换机集群配置中，从一个单一IP地址进行管理。其中一个交换机被指定为命令交换机，用作集群的单一管理点。剩下的交换机被指定为成员交换机。客户可以在这种集群配置中使用以太网、快速以太网、FastEtherChannel、低成本CiscoGigStackGBIC、GigabitEthernet或GigabitEtherChannel连接。Cisco交换机集群给客户提供巨大的灵活性，因为集群中的所有交换机可以定位在不同的物理位置，通过基于标准的介质连接。使用Catalyst3500XL、2900XL和Catalyst1900交换机的Cisco交换机集群集合。Cisco2948gl3Cisco独立的Catalyst 29xxG 系列交换机提供10/100自适应和自动协商接口，为配线间提供企业级高速配置灵活性。Catalyst 29xx G系列对于那些希望保护10BaseT和100BaseTX连接投资的以太网工作组和个人用户非常理想，无需替换配线间网络设备。这种产品系列提供高性能和高端口密度，满足中型园区网的骨干应用，还为主干网或服务器提供配线间双重高速100BaseTX、100BaseFX、1000BaseSX或1000BaseLX上连。新的Catalyst 2948G-L3 为中小企业主干网提供经济有效的第三层交换选项。Catalyst 2948G-L3 提供10/100 以太网的48个端口，带有2个线速、无阻塞、第三层性能功能的千兆位以太网上行链路，非常适合中档主干帧处理。 产品特性 Catalyst 2948G, 2980G： l 独享的48/80个10/100Mbps以太网端口和2个的1000BaseX千兆以太网端口。 可以根据用户网络的要求灵活配置不同数目的端口。利用先进的GBIC技术，用户可以选择短波(1000BasesX)或长波(1000BaseLX/LH) 24Gbps非阻塞的交换结构 千兆端口。如果将来用户想更改千兆位端口,可以容易地(并且成本很低)更换GBIC 特性丰富的Catalyst交换机企业版软件, 主要特征：先进扩展性(如Fast EtherChannel，Dynamic VLAN802.1Q trunking)；带宽管理(QoS,协议过施,链路负载平衡)；网络的可靠性(UPIingFast,PortFast,Spanning tree)；安全性(每端口的安全验证IP Permit Lists) 基于CiscoWorks2000的综合的管理工具，包括CiscoView，TrafficDirector，VlanDirector 冗余的可热交换的外部电源和其它的容错特征：包括一个外置的冗余电源(单独购买),支持多条负载均衡的中继(Fast EtherChannel)，多个Spanning tree，快速收敛的软件工具如PortFast和UPLinkFast 在VLANs和多条千行快速以太ISL Trunk生成树中支持负载均衡以增强交换机之间的容量和容错能力，动态ISL协议同步配置互连的两个快速以太端口为ISL中继；完整的VLAN解决方式易于配置和管理：每个VLAN支持一个完整的生成树，及802.1Q，ISL，DISL，CDP，VLAN TrunkProtocol(VT)，VLAN Management Policy Server(VMPS)动态VLANSCatalyst 2948G-L3： 提供48个10/100M RJ-45端口， 2个GBIC插槽，支持1000BaseSX, 1000BaseLX/LH及1000BaseZX。所有端口均支持 IEEE 802.3x 全双工通讯。 高达22Gbps的背板带宽，使性能更加卓越。 支持IEEE 802.1D Spanning-Tree 及 IEEE 802.1Q VLAN 支持FastEtherChannel (最多4 ports) 和 GigabitEtherChannel (2 ports)技术，提供更高性能的中心交换。 第2层协议支持NetBIOS及DECNet LAT 每个端口均支持3层交换，采用标准的、完整的IOS网络操作系统，支持OSPF、EIGRP、RIP2等。第3层交换不仅支持IP协议，还提供了IPX及IP Multicast 协议，可以满足绝大多数网络需求。 3层交换采用了CISCO特有的CEF技术（应用于CISCO GSR12000， Catalyst 8500及Cisco7500高端设备，利用基于端口的ASIC芯片及网络拓扑即可对网络进行自治管理，无需占用CPU资源）。 3层交换可达到10Mpps的吞吐量。 提供冗余电源（可选件），使网络更安全。产品描述 产品名称 描述 WS-C2948G 48口10/100BaseTX, 2个GBIC插槽 WS-C2980G 80口10/100BaseTX, 2个GBIC插槽 WS-C2948G-L3 2948G-L3第3层交换机，48口10/100BaseTX, 2个GBIC插槽 WS-C5484 1000Base-SX GBIC (短波，多模)（SC接口） WS-C5486 1000Base-LX/LH GBIC (长波/长途，单/多模)（SC接口） PIX FirewallCiscoSystems公司的PIXFirewall(防火墙)向企业网络提供颇为引人注目的简单新特性和举世无双的安全性。一般可以在5分钟内配置完毕的PIXFirewall可以对外部世界提供的全面防火墙安全防护装置彻底隐藏起您的内部网络。与典型的CPU集中的代理服务器不同的是，前者对每个数据包都进行大量处理，而PIXFirewall采用一个非UNIX的、安全实时的嵌入式系统。这种设置令PIXFirewall具有能够同时连接16000条线路的卓越性能，明显高于基于UNIX的防火墙。PIX Firewall的高性能的核心是一种基于自适应安全性算法(ASA)的防护方案，它有效地对黑客隐藏起客户机地址，这样他们无从获得这些地址。解决安全性的面向固定连接的ASA方法建立起基于源地址和目的地址、TCP序列号(随机)、端口号码和附加TCP标记的对话流。这种信息被存储在一个列表中，所有进入的数据包都和列表中的项目相比较。只有存在能够批准通过的相应连接线路，才允许通过Cisco的PIXFirewall进行访问。这种方案帮助您的机构授权内部用户和经过许可的外部用户进行透明访问，同时保护您的内部网络免遭未经授权的人的访问。Cisco的PIXFirewall通过一个称作直通代理的新特性进一步增强了这一颇受注目的性能优势。尽管基于UNIX的代理服务器是一个理想平台，并可以提供用户鉴别功能和保持“状态”(关于数据包的来源和目的地的信息)，从而具有不错的安全性，但是由于它们在OSI模式的第7层处理所有数据包，因此它们的性能大打折扣。另一方面，PIXFirewall的直通代理特性象代理服务器一样在申请层先审查用户。但是，一旦用户被证实符合一个基于终端访问控制器访问控制系统(TACACS)+或远程鉴别拨入服务(RADIUS)的工业标准数据库以及核对过策略后，PIXFirewall就转换对话流，此后所有通信量都直接迅速地在双方之间流动，同时保持对话状态。这种直通性能令PIXFirewall的运行速度大大高于代理服务器。在这一高水准的性能之上，实时嵌入式系统还增强了PIXFirewall的安全性。与基于UNIX的代理服务器不同的是，代理服务器的源代码垂手可得，并向黑客们提供一个侵入的目标，而Cisco的PIXFirewall的专用系统是专门为防火墙的安全运行而设计的。要获得更高的可靠性，购买PIXFirewall时可以选择一个故障排除/热备用升级选项，它可以排除个别故障。当2个PIXFIREWALL并行运行时，如果一个发生故障，另一个PIXFirewall还透明地保持安全运行。执行速度快Cisco的PIXFirewall同时支持16000多条TCP对话，在不影响最终用户性能的情况下支持无数用户。满负荷时，PIXFirewall的运行速率超过45Mbps，支持T3速度。这些速度是基于UNIX的防火墙的几倍。简单性降低拥有成本凭借Cisco的PIXFirewall，公司不再需要难于得到的UNIX专家来配置和安装昂贵的高档UNIX工作站。相反，没怎么受过计算机培训的用户一般在5分钟之内就可以配置完毕PIXFirewall。由于PIXFirewall实际上不要求日常管理，因此经常性的维护费用明显降低。要实现配置的简单化，用户可以采用带一个基于超文本标记语言(HTML)的图形用户界面(GUI)的PIXFirewall。另外，对于那些已经熟悉Cisco互联网络操作系统(CiscoISO)用户界面的客户来说，他们可以选择一个基于CiscoIOS的界面。Cisco公司还提供采用CiscoPIX专用链路加密插件的加密功能。借助这个插件，公司可以选择专用租用线路并在包括Internet在内的任何基于公共IP的网络上发送经过加密的IP数据包，从而显著地降低了电信费用。在每个PIXFirewall处采用PIX专用链路加密插件，公司可以对采用数据加密标准(DES)算法、通过Internet进行的安全通讯感到放心。PIX专用链路加密插件还采用基于标准的技术，引入了Internet工程任务组(IETF)的鉴别标题(AH)和封闭安全性负载(ESP)协议(分别为RFC1826和1827)。PIXFirewall改善IP地址不足的问题Cisco的PIXFirewall还提供一个扩充和重新配置IP网络的特性，不必担心缺乏IP地址。网络地址转换(NAT)使之可以利用现有IP地址或存储在Internet分配号码机构(IANA)的储备库(RFC1918)中的地址。PIXFirewall还可以根据需要有选择地转换或不转换一组地址。特性一瞥* 面向固定连接线路的强大安全性防护装置限制未经授权的用户访问内部网络资源。* 基于TACACS+和RADIUS等工业标准的鉴别协议允许从外部网络进入内部网络。* 隐藏起内部网络的体系结构。* 同时支持16000条连接线路。* 一般在5分钟内就可配置完毕。* 支持2种配置界面：HTMLGUI或CiscoIOS软件用户界面(UI)* 安全的动态和静态转换* 具有高可靠性的故障排除/热备用* RFC1631中所探讨的真正的NAT* 对于拥有注册IP地址的网络来说，要使用这些注册地址，不必进行转换* 支持简单网络管理协议(SNMP)陷井* 通过系统记录管理信息库(MIB)支持提供核对信息* 透明支持所有公共TCP/IPInternet服务，如WorldWideWeb(WWW)、文件传输协议(FTP)、远程登录、Archie、Gopher和rlogin。* 支持多媒体数据类型，包括RealAudio、XingTechnologies等公司的团队合作、CuSeeMe、InternetRelayChat和VDOLive* 安全实时的嵌入式系统* 支持多个注册等级优点* 比数据包过滤防火墙或代理服务器更简单、更强大* 安装时不要求网络停止运行* 不要求日常管理* 不升级主机或路由器* 由未注册的内部主机进行的全面外部Internet访问* 扩充网络时，不要求额外的注册IP地址* 可以使用专用Internet用地址分配* (RFC1918)或注册IP地址* 对用户无影响不必中断现有的LAN* 可以与基于CiscoIOS的路由器互操作PIXFirewall的规格可用软件对话(基于同时TCP/IP连接线路)* 32、256、1024、4096、16384条网络支持* 10/100BaseTEthernet* 4/16Mbps令牌环网* Internet协议标准：IP、TCP、用户数据图解协议、Internet控制消息协议(ICMP)硬件规格* 19英寸支架安装外壳* DB-9EIA/TIA232控制台端口* 3.5英寸的软磁盘驱动器* 面板可上锁物理尺寸* 高：7英寸* 宽：19英寸* 深：18.5英寸* 重量：21磅电源要求* 自动转换：* 低压范围：90-135VAC(伏交流)* 高压范围：180-270VAC* 频率：47-63Hz* 电流：* 输入电压为115VAC时达到4.2安培(最大)，满负荷* 输入电压为230VAC时达到2.0安培(最大)，满负荷* 交流输出：* 115VAC输出，1.0安培最大* 230VAC输出，0.5安培最大运行环境* 温度范围：* 运行：* 0+45* 存放：* 10+75安全介质* UL-1950标准* CSA-EB-1402C标准* IEC-380/VDE-0806标准* IEC-950/VDE-0805EN-60-950标准 Cisco 2611特性如下：Cisco 2600系列路由器将Cisco 3600系列的通用性、集成性和强大的功能进一步扩展到较小的远程分支机构，实现了Cisco公司在产品系列中增加多业务语音/数据集成功能。 模块化体系结构：网络接口能在现场进行升级、提供满足当今需求的解决方案，同时又能采用以后的技术。 先进的集成模块插槽（AIM）：高级业务集成所需要的扩充能力。 高性能的RISC体系结构：支持先进的QoS特点，如资源预订协议（RSVP）、WFQ以及IP优先级，减小循环广域网成本。高速以太网到以太网路由（15,000pps）提供最大的扩展性。 支持Cisco 语音管理器：降低实施管理综合话音/数据解决方案。4.1.2 网络路由系统拓扑结构图（见附图）4.1.3 网络系统连接描述及系统配置 整个系统采用Cisco的在TCP/IP协议路由的方法。核心交换机采用Cisco 2948gl3，世贸大厦一楼采用Cisco catalyst3548,连接中心机房和internet采用cisco2611，广域网线路通过租用中国电信的Framerelay线路实现连接，广域网的备份线路采用PSTN。Cisco 3548和Cisco2948gl3提供了较高密度的串口，很适合有较多应用的中小型银行使用。为了提高通信系统的可靠性，充分利用IP和Cisco路由协议迂回路由的能力，在华夏银行网络中心节点上用原有Cisco2522路由器作拨号备份，拨号备份采用浮动静态路由备份方法，该种方法由EIGRP动态路由协议生成主干路由，由手工指定静态路由设置为备份路由，路由器将监测路由表。一旦主干链路断掉，路由器中相应动态删除原有主干路由，根据手工指定的备份路由，所有发出的信息包根据备份路由自动激活备份的DDR线路，中心路由器通过PPP CHAP或回拨等手段进行安全验证，再通过PSTN很快的重新建立连接，恢复会话。如果主干线路恢复正常，则在指定的时间过后，会自动切换回主干线路，备份线路处于断开状态。 世贸大厦网点核心交换机为cisco catalyst 2948gl3 其标准配置为：48个10/100M自适应以太接口，2个千兆以太网接口，10/100M以太网接口用于办公和业务网络连接，同时在接口上划分vlan 实现网络分离。通过三层交换实现有效的访问控制。千兆以太网接口用于和一楼的营业网点的cisco3548交换机连接。和广域网连接全部采用Cisco 2611路由器，其标准配置为：2个以太接口，1 port WAN Interface Card 插槽，1个Network Module插槽，8M Flash Memory和24M DRAM。其配置的模块为：WIC-1T即1-Port WAN Interface Card for Cisco 2600，其中一个同异步串口连接Framerelay专线。拨号备份则通过Cisco2611 的辅助端口AUX用Cisco提供的完全反接的RJ45线与RJ45-DB25转接头和MODEM来实现连接，其端口数据传输速率可达115200bps。4.2 网络系统安全性 安全已成为今天大多数网络管理者关心的主要问题，尤其是对于银行用户来说。Cisco 2948gl3配合广为流行、功能强大的Cisco IOS软件，可以为客户核心网络提供全面的内部安全保障。 对于internet 环境，Cisco 2611和cisco PIX防火墙将该项已被证明是有效的核心安全技术扩展到混合介质拨入站点。Cisco IOS软件支持的安全功能包括访问清单、侵入事件记录、 远程访问拨入用户服务(RADIUS)、KerberosV以及具有验证、授权和记帐(AAA)的TACACS。 访问控制是指根据用户自身的特征（如工作性质、职务、级别等）确定用户对各种资源的访问权限，控制用户对系统资源的访问，维护系统的机密性、完整性和可用性。访问控制分为两大类，自主访问控制和强制访问控制，前者基于授权，后者基于安全等级；在商业应用场合应用较多的是自主访问控制。 基于授权的访问控制通常通过构造访问控制表（ACL）来实现，ACL定义了每一用户对所有系统资源的访问权限。访问权限规定了用户所能访问的资源，以及允许的访问方式，如对文件的访问方式包括读、读写、添加、执行等。访问权限的授予由系统管理员或资源的拥有者来完成。访问控制是一种基本的安全措施，目前几乎所有的系统都提供有不同程度的访问控制机制，如同UNIX系统对用户进行分组、对文件设置访问模式，不同类的用户具有不同的文件访问权限。5 网络实施及管理方案为保证项目高效、优质、按期地完成，我公司详细地制定了项目实施计划及项目管理办法：组织机构及职责：总体决策组：组长：人，由公司担当。成员：人，分别为：实施管理组组长、质量监督组组长。职责：对项目实施过程中的重大问题进行决策，充分协调解决项目实施过程中产生的各方矛盾，具有最高的领导权。实施管理组：组长：人，由负责此项目的技术经理担当（项目负责人）职责：现场具体负责工程的实施。直接对总体决策组负责，定期如实向决策组报告工程实施情况，负责资金、人员、设备调配；对项目有充分的权限，能够对实施过程中的具体业务作出及时有效的决策。随时掌握现场各种信息及动态，在整个工程实施期间负责与用户对等负责人员沟通及联络，协调各种工作关系，处理突发事件；负责分配各项目执行工程师工作范围，审核批准项目实施方案和计划，把握整个工程进度及进展情况，并根据现场具体情况作相应调整；妥善保管与工程有关的相应资料，负责组织验收，制作竣工文档。成员：2人，由负责此