银行计算机网络改造方案

1、三峡建行奥网络改造总体设半计方案书（讨论稿） 二零零一年四月目 录TOC o 1-3霸第1章 三峡建颁行网络现状绊 PAGEREF _Toc511446882 h 鞍4稗1.1把 网络连接现状蔼 PAGEREF _Toc511446883 h 绊4俺1.1.1疤 三峡建行城域岸网现状岸 PAGEREF _Toc511446884 h 笆4爱1.1.2办 三峡建行局域矮网现状叭 PAGEREF _Toc511446885 h 斑5岸1.1.3阿 三峡建行广域傲网现状般 PAGEREF _Toc511446886 h 案6敖1.1.4半 与艾Interne案t坝连接状况暗 PAGEREF _Toc

2、511446887 h 隘7暗1.2耙 网络应用现状败 PAGEREF _Toc511446888 h 隘8翱1.2.1拌 管理网应用现搬状拌 PAGEREF _Toc511446889 h 鞍8背1.2.2版 营业网应用现佰状般 PAGEREF _Toc511446890 h 啊9隘1.2.3胺 外连网应用现案状搬 PAGEREF _Toc511446891 h 熬10埃1.3凹 网络安全现状肮 PAGEREF _Toc511446892 h 澳11爸1.4白 网络管理的现隘状啊 PAGEREF _Toc511446893 h 癌12般1.5芭 三峡建行网络搬存在主要问题昂 PAGEREF

3、_Toc511446894 h 翱12邦1.5.1伴 三峡建行城域笆网存在的问题哀 PAGEREF _Toc511446895 h 碍12斑1.5.2哎 营业网存在的肮问题：跋 PAGEREF _Toc511446896 h 跋13岸1.5.3艾 管理网（企业爸网）存在的问题背 PAGEREF _Toc511446897 h 案13绊1.5.4阿 外连网存在的凹问题澳 PAGEREF _Toc511446898 h 班14百第2章 网络改般造的需求规定哎 PAGEREF _Toc511446899 h 扒15氨2.1阿 总体目标按 PAGEREF _Toc511446900 h 笆15隘2.2

4、哎 网络改造需求笆 PAGEREF _Toc511446901 h 艾15颁2.2.1拌 三峡建行局域百网扮 PAGEREF _Toc511446902 h 翱15艾2.2.2跋 三峡建行城域白网昂 PAGEREF _Toc511446903 h 扮15癌2.2.3佰 广域网接入巴 PAGEREF _Toc511446904 h 暗16半2.2.4板 网络管理的需奥求埃 PAGEREF _Toc511446905 h 盎16癌2.2.5凹 网络安全管理叭需求班 PAGEREF _Toc511446906 h 邦16拔2.2.6摆 语音、视频应袄用的需求班 PAGEREF _Toc5114469

5、07 h 按17摆第3章 网络改八造的基本原则碍 PAGEREF _Toc511446908 h 熬18奥第4章 网络总稗体设计把 PAGEREF _Toc511446909 h 癌19熬4.1昂 三峡建行网络埃系统改造目标总疤体架构半 PAGEREF _Toc511446910 h 熬19邦4.1.1岸 组网模式班 PAGEREF _Toc511446911 h 凹19胺4.1.2斑 网络总体拓扑邦结构设计伴 PAGEREF _Toc511446912 h 傲20扮4.2熬 局域网改造唉 PAGEREF _Toc511446913 h 拔20叭4.2.1哎 局域网改造方霸案靶 PAGEREF

6、 _Toc511446914 h 八20邦4.3氨 城域网改造蔼 PAGEREF _Toc511446915 h 跋22叭4.4坝 广域网改造扳 PAGEREF _Toc511446916 h 百23翱4.4.1伴 广域网分布层挨改造把 PAGEREF _Toc511446917 h 巴23案4.4.2啊 广域网接入层蔼改造扒 PAGEREF _Toc511446918 h 办24班4.5邦 外网的连接搬 PAGEREF _Toc511446919 h 绊25办4.6 版可靠性设计跋 PAGEREF _Toc511446920 h 靶26俺4.6.1百 设备备份摆 PAGEREF _Toc51

7、1446921 h 罢26哎4.6.2扮 链路备份百 PAGEREF _Toc511446922 h 搬27澳4.7哀 网络熬IP碍路由设计氨 PAGEREF _Toc511446923 h 懊27败4.8熬 面向应用的网敖络服务拌 PAGEREF _Toc511446924 h 凹28拜4.8.1扮 业务分类和数癌据特点的分析：鞍 PAGEREF _Toc511446925 h 敖28吧4.8.2 Q俺OS白保证肮 PAGEREF _Toc511446926 h 八28癌第5章 三峡建耙行网络管理设计吧 PAGEREF _Toc511446927 h 斑30昂5.1稗 网管系统功能拌及其职责

8、爱 PAGEREF _Toc511446928 h 拜30笆5.2昂 网络管理平台阿和网管工作站盎 PAGEREF _Toc511446929 h 斑31安第6章 网络系坝统安全设计绊 PAGEREF _Toc511446930 h 岸32扳6.1安 安全模型（懊P2DR唉模型）捌 PAGEREF _Toc511446931 h 笆32白6.2办 三峡建行网络扳系统总体安全体疤系败 PAGEREF _Toc511446932 h 吧33八6.2.1罢 安全策略设计阿 PAGEREF _Toc511446933 h 吧33肮6.2.2暗 总体安全体系笆的规定白 PAGEREF _Toc51144

9、6934 h 坝33跋6.3埃 三峡建行蔼网络级安全设计懊 PAGEREF _Toc511446935 h 岸35耙6.3.1跋 局域网安全设板计盎 PAGEREF _Toc511446936 h 傲35败6.3.2碍 广域网安全设哀计拌 PAGEREF _Toc511446937 h 斑37跋第7章斑 IP胺电话网络设计凹 PAGEREF _Toc511446938 h 澳40坝7.1 IP扳电话网络建设的唉必要性耙 PAGEREF _Toc511446939 h 阿40版7.2 IP斑电话所使用的几敖种技术肮 PAGEREF _Toc511446940 h 岸40半7.3 CIS挨CO按的

10、拌VoIP熬解决方案懊 PAGEREF _Toc511446941 h 跋41氨7.3.1绊 三峡建行与总版行的爱VoIP奥通信坝 PAGEREF _Toc511446942 h 傲42板7.4 IP懊语音的管理斑 PAGEREF _Toc511446943 h 碍43袄第8章 三峡建案行视频会议设计皑 PAGEREF _Toc511446944 h 拌45敖8.1霸 视频会议系统案结构爸 PAGEREF _Toc511446945 h 佰45邦8.2癌 会议电视终端肮设备袄 PAGEREF _Toc511446946 h 案46敖8.2.1挨 三峡建行会场柏 PAGEREF _Toc5114

11、46947 h 哀46百8.3拌 实现功能爱 PAGEREF _Toc511446948 h 笆47熬8.4霸 主要特点半 PAGEREF _Toc511446949 h 叭47澳h般附件般1 罢三峡建行板IP罢地址分配规划矮 PAGEREF _Toc511446950 h 傲48柏总行规定隘IP跋地址编码结构白 PAGEREF _Toc511446951 h 澳48霸三峡建行爸IP靶地址规划表把 PAGEREF _Toc511446952 h 柏48爱附件暗2 斑三峡建行鞍IP昂联络中心方案昂 PAGEREF _Toc511446953 h 啊50靶三峡建行鞍CALL CE办NTER暗解决方

12、案岸 PAGEREF _Toc511446954 h 班50爱三峡建行暗IPCC敖体系架构败 PAGEREF _Toc511446955 h 敖50巴IPCC坝功能和优点叭 PAGEREF _Toc511446956 h 背51袄IPCC笆系统构成霸 PAGEREF _Toc511446957 h 捌54扳IPCC罢应用软件开发颁 PAGEREF _Toc511446958 h 癌57肮三峡建行网络现巴状澳 阿三峡建行作为总隘行确定的六十个把重点城市行之一懊，经过几年的建懊设，已建成了覆盎盖各县市（除W奥县）城市综合业俺务网络系统，在皑此基础上依托总按行建成了以清算叭A卡网络系统、拔企业内部网

13、为代巴表的全国性三峡板建行内部互连网白络。以计算机网袄络为支撑平台，盎我行的各类业务氨应用系统不断推哎陈出新，开拓了昂多项新的业务，瓣为我行的业务快颁速发展发挥了巨埃大的作用。爸下面，对三峡建罢行网络结构具体颁说明：网络连接现状碍三峡建行城域网袄现状肮三峡建行中心机懊房位于科技部二懊楼。通过自架光败纤与三峡建行办爱公楼、甲路10坝楼（老机房）、白乙办以及丙办连澳接构成目前的三矮峡建行城域网，肮如图所示：蔼如图，三峡建行摆局域网的中心交熬换机为一台按Cisco C半atalyst八 550翱5，配有1个2芭口100捌M扳 FX光纤接口颁模块，通过多模柏光纤与318和蔼甲路机房的19翱24C连接。

14、盎Catalys奥t 5505版还配有两个案24岸口碍100M扮以太网接口模块背、其中连接两台稗2924交换机班，并通过292靶4上的100M扳 FX与乙办以挨及丁办相连。颁三峡建行局域网扮现状吧在Cataly办st 5505芭和2924上根按据不同的应用划熬分了13个不同阿的把VLAN翱，由于目前我行埃主交换机没有配背置第三层交换功班能，VLAN之凹间的通信只能通哀过网关来实现。哎在中心机房中，班另有一台扮Catalys岸t 5000皑交换机作为备用袄机。扮目前，三峡建行吧网络中心机房共伴配有绊13办台路由器分别接伴入局域网中各个肮VLAN半。路由器应用见巴表一：岸设备安端口昂线路瓣速率叭说

15、明奥Cisco敖 伴7206A敖Port 1把X.25拌64K柏至各县支行清算袄Cisco 稗7206B摆Port1-8叭DDN肮9袄.6K蔼银企互联、戊地颁电信代收费癌Cisco 3把640A叭Port1-败96昂DDN 暗9坝.6K颁城综网前台网点哎Cisco 3碍640B背Port1-搬64癌DDN 啊9皑.6K靶 懊城综网前台网点傲Cisco 2隘501A坝Port 1百X.25肮9皑.6K罢人行同城清算熬Cisco 2蔼501B阿Port 1版DDN皑64K胺移动通信代收霸Cisco 2俺501C鞍Port 1鞍DDN昂64K碍社保扳Cisco 2捌501D靶Port 1霸DD板N吧

16、64K岸银企互联斑Cisco 2肮501E伴Port 1靶DDN袄2白M氨支付网关与In拌ternet接胺入傲Cisco 2氨501拌F吧Port 1斑X.25翱9哀.6K耙人行贷款资料查半询板Motorol拜a MP652翱0 搬Port 19爱X.25班64K伴总行清算稗Port 20颁PSTN绊192K拜总行清算备份背Motorol疤a MP652跋0氨Port 19搬X.25啊64K板部分县支行清算昂Motorol稗a MP656氨0 班Port 1扒9埃DDN翱/FR邦64败K稗总行企业网阿三峡建行318跋机房是三峡建行捌办公大楼结构化白布线所有信息点吧的集合地，31啊8机房的192

17、案4从中心机房的懊Catalys哀t 5505得半到VLAN信息鞍，通过对其端口案划分不同的VL啊AN，三峡建行板大楼中各个不同挨的网络系统实现奥了与中心机房的凹通信。般其它局域网甲路艾机房、乙办以及版丙办也是这种模叭式。伴各县支行以及城昂区其他支行（办唉事处）基本都完伴成了三部一室的扒本地局域网布线绊工作。懊三峡建行广域网拜现状瓣三峡建行的广域肮网线路普遍采用挨的低速通信链路绊，其中城市综合坝网是主要租用中斑国电信的DDN搬，前台网点通过胺串口通信协议，斑直接连到三峡建唉行网络中心的设阿备，部分县行营岸业部由于原来与爸清算共用线路还吧是采用的X唉.巴25，利用路由伴器连接到三峡建蔼行网络瓣中

18、心，以上租用罢的线路带宽都只岸有9600bp阿s；清算A卡网奥络由于县支行已埃经改为直连，可稗以说向下已经没白有单独的线路，半三峡建行清算A爸卡（含外币卡）疤系统与总行和上奥海连接采用的是袄64k X吧.埃25（复用）；斑三峡建行企业内蔼部网已经与全辖鞍所有二级机构开傲通连接，城区除俺乙办和丙路办、吧营业部等少数是奥通过三峡建行自翱架的光纤上的以爸太网外，其余均斑租用电信的DD蔼N，县支行大都瓣采用的是翱X.25挨，带宽只有96敖00bps，以埃路由器方式接入芭。三峡建行企业瓣网与总行连接采昂用的是中元公司般提供的中元帧中按继，带宽64K哎。我行通信线路哎的主要备份方式叭为电话拨号。网澳络设备

19、以CIS鞍CO、MOTO艾ROLA 为主氨。此外以城市综氨合网为基础，我办行独立开发了多跋种新业务，实现鞍了与证券、电信办、人行等外单位罢的网络互连，连摆接线路一般为D版DN，通信速率癌9600-64阿K都是采用路由颁器连接的方式。澳与翱Interne敖t班连接状况爸三峡建行目前已蔼经开通了耙Interne叭t傲连接，用于网上佰银行业务，带宽岸为2M，、连接按拓扑图如图霸: 傲如图所示三峡建稗行支付网关与I捌nternet办连接采用了目前扮比较完备的网络案安全体系和技术爱，防火墙采用的爱是安IBM Fir斑ewall 3柏.12氨，并安装了安ISS凹网络安全管理软耙件进行安全漏洞矮扫描、入侵检

20、测昂审计等，上述连八接已经获得总行伴的验收认可。网络应用现状袄根据三峡建行对袄网络业务的划分暗，可以将三峡建扒行网络业务划分半为：核心业务和傲外连业务。核心皑业务是三峡建行皑业务开展的基础俺业务，包括以城吧市综合网为基础傲的营业网和以企芭业内部网为基础百的管理网两部分肮；外连业务是三瓣峡建行依托核心昂业务系统，针对跋辖区内的企业和叭客户开发的业务绊网络系统。各系矮统应用关系如下搬图所示：管理网应用现状瓣三峡建行目前正板在管理网（企业疤网）使用的主要唉是基于阿LOTUS/N熬OTES安平台上开发的应捌用，现在在三峡办建行辖区范围内版管理网上运行应哀用系统主要包括哀：电子邮件系统邦、信息网站、人胺

21、力资源、信贷信胺息管理、移民资败金管理、办公自叭动化系统、国际埃结算系统等。除柏少数应用系统外班，大多数应用系佰统都向下推广到挨县支行一级，辖半区内管理网（企疤业网）用计算机案大约氨300百余台，瓣IP斑地址分配采用熬年总行统一规半划的企业网地址扒。此外管理网与岸市人行存在临时碍的连接，用于定巴期本地贷款单位癌资料查询。管理拔网（企业网）拓败扑连接如下图营业网应用现状班三峡建行目前的哀营业网应用主要碍是城市综合网，爸全行共有前台网暗点余个，败ATM 昂台，金融查蔼询机台，唉Pos 背余台，城俺市综合网以太网鞍采用年盎总行下发的营业百网段昂98.42.奥63.0唉，而城市综合网傲广域网前台网点隘

22、地址没有标准可隘循；清算A卡网胺的前置机和各县搬清算组前台（清扳算组前台已经与按前台会计柜改为敖直连后的会计柜柏机器）采用总行澳清算系统分配的佰网段的扮IP捌地址。另外随着疤新业务的开展，斑前台网点还往往阿下联一些特定业斑务的前置设备（捌例如金融查询机罢和个贷前置机）凹，这些设备地址敖也没有统一的规懊定。营业网拓扑哎连接如下图奥:外连网应用现状奥三峡建行充分利稗用三峡建行网络袄优势，积极开拓疤业务领域，先后巴与电信、证券、扳人行、社保局等澳多家实现了网络拜互连互通，通常凹我们是采用路由瓣器+前置机的方案式，使外连网与埃城综网隔离，即板每个外连系统都俺独自采用一台路霸由器和一台前置挨机，路由器配

23、置摆静态路由和相应搬的访问控制，前霸置机屏蔽所有无爸关的服务。外连拜网的摆IP哎地址分配由于没傲有可遵循的标准笆，分配时有很大胺的随意性。网络办拓扑连接如下图叭： 网络安全现状矮三峡建行在网络挨建设过程中已经挨采取了一些必要佰的安全措施，如安“熬利用安VLAN版技术将业务网与哀企业网逻辑隔离捌、与各证券网点阿联网时利用前置岸机来保证数据传傲输的安全、拨号疤访问采用了RA罢DIUS认证、办在与跋Interne敖t罢接入的支付网关版中使用防火墙和扮ISS安安全监控软件等稗。但从总体整体啊上分析，三峡建败行现有网络中仍皑然存在着一些安白全隐患。主要包澳括以下几个方面柏：岸 啊绊 摆可靠性安全隐患扳由

24、于某些网络设盎备的关键部件存肮在质量问题或缺熬陷，导致网络在胺运行过程中存在艾可靠性安全隐患岸。如：斑MOTOROL班A败路由器的巴FLASH M坝emory碍工作时极不稳定邦，经常丢失系统阿软件，影响了清板算A卡系统以及挨企业网的正常运绊行。一些系统缺摆乏备份链路和备办份设备，一旦出俺现故障，势必影哎响业务的正常开肮展。佰 绊 阿板 肮应用系统安全隐安患拔各种应用缺乏统颁一的规划，未能按充分考虑网络上俺的安全要求，导邦致三峡建行中心罢机房的业务运行佰网段上与外连的唉应用网段之间缺扮乏必要的安全屏唉蔽。靶有些与外界相连邦的应用系统缺乏案有效的网络安全白保障。如：与外跋界相连应用系统奥没有按照总

25、行要拌求的安全连接模胺式连接，前置机哀可能存在未屏蔽霸非必要的通讯端拌口，可能存在多爱余的路由表等等皑。绊此外对重要的应绊用服务器没有进耙行安全监控和漏白洞扫描。办 颁坝 啊病毒入侵安全隐安患敖一些应用系统，拌特别是基于WI捌NDOWS捌邦平台的应用系统按，没有安装一些搬防计算机病毒的伴软件，给计算机蔼的安全造成了一唉定的隐患。邦芭 爸黑客攻击隐患蔼 缺乏对黑阿客攻击进行防止氨、检测和响应的跋一整套防黑措施俺和相应的安全体扒系，没有明确的摆安全指导思想和埃安全模型，不能氨够对安全事件进拔行全过程监控和碍作出相应的响应瓣行动，无法对整岸个安全系统进行柏准确有效的安全翱评估。爸 肮网络管理的现状爱

26、三峡建行目前正版在使用Cisc昂o CWSI 吧2隘.1败专用网管系统，搬用于管理三峡建哀行局域网上的网艾络设备。由于其捌专用性，该软件拌无法正确管理非盎Cisco网络般设备，而且无法办监控到广域网的奥运行状态。耙三峡建行在业务凹管理中成功引进瓣了BMC管理系霸统，在对BMC唉的移植过程中，颁三峡建行科技人案员开发设计了对柏前台网点实时监岸控程序，目前这按项工作正在实验百推广过程中。蔼 挨 安三峡建行网络存白在主要问题敖三峡建行城域网绊存在的问题叭芭根据总行网络哎改造要求，三峡把建行主交换机需傲要两台，并要求吧支持第三层交换埃，而三峡建行现搬有的主交换机C盎atalyst般 5505没有蔼第三

27、层交换模块安，另一台主交换扒机的备份Cat坝alyst 5把000，无论从摆交换能力还有模半块配置均无法满俺足网络改造的要碍求。鞍版随着以后语音巴、视屏在网络的熬应用，三峡建行把目前100M骨颁干局域网将面临稗拥塞。斑稗三峡建行办公颁大楼结构化布线芭不规范，线路急般需整理，网络设巴备的运行环境也傲需要加以改善挨败现有的城市综唉合网网络地址、叭企业网地址以及澳清算A卡网地址半都不统一，需要哀按照总行网络改敖造的要求加以规搬范阿半现有城域网之傲间的光纤缺乏必把要的链路备份，按一旦光纤出现故吧障，没有其他应澳急方案可供选择跋。八 败营业网存在的问坝题：般翱目前前台网点颁使用的IP地址疤不符合总行规范

28、吧，必须加以调整隘。巴背城市综合网（罢含清算A卡网）熬与总行采用的是伴64K X25俺线路，已经无法奥承载新的业务绊把一些网点由于罢业务量大，通信昂带宽不足，出现碍通信堵塞，有些安网点反映通信故埃障率比较高坝挨目前网点采用瓣的串口通信协议阿Slip，在新班主机上支持不好阿，给主机安全运懊行带来隐患。搬扳一些县行还在耙使用X.25，背效率比较低，费拔用比较高。疤安一些网点还外班挂诸如查询机、案个贷前置机等，靶网络连接结构凌按乱，通信质量无皑法得到保证。扳 哀管理网（企业网靶）存在的问题袄安管理网半（芭企业网）所有非瓣以太网连接的用罢户接入带宽严重扳不足。百碍由于现有的组皑网模式是企业网斑与城综网

29、彼此隔埃离，往往综合性凹的网点需要几条把线路，造成浪费按。般疤管理网案（俺企业网）广域网般中使用的Mot氨orola 路盎由器故障率高，瓣端口损坏严重，笆维修困难。啊癌管理网皑（敖企业网）与总行伴连接的Moto奥rola 路由昂器，故障率比较扮高佰隘管理网奥（皑企业网）整个I芭P地址分配基本皑是符合此次总行艾建议的规范，但隘也有部分企业网把需要保留的地址版被分配了。澳艾管理网案（斑企业网）目前还捌没有必要链路的啊备份措施。案 岸外连网存在的问跋题癌外连网缺乏统一八的平台，其广域跋网地址不符合总俺行新的Ip地址袄分配规范，也需安要做调整。扮外连网与建行核捌心业务网络耦合班度大，外连网业耙务的变化

30、往往带拔来核心业务的变哀动。芭奥巴外连网的网络连邦接模式，不符合扒总行网络安全要伴求，而且还造成阿设备的利用率不俺高，监控管理困笆难。斑网络改造的俺需求规定总体目标扮总行骨干网改造啊是A总行为了适挨应新形势下银行霸激烈竞争，提高阿A银行核心竞争霸力的一项具有战靶略意义的举措。扮三峡建行网络改班造作为整个建行哀网络改造工作的盎一个组成部分，邦成功的网络改造隘将使三峡建行能跋够在较长时间里挨在当地同业的竞哀争中继续保持科胺技优势，从而推叭动各项业务的快罢速发展。挨三峡建行网络改阿造的总体目标是按以此次总行骨干皑网改造为契机，巴在不影响全行正把常业务开展的前背提下，将目前分扳离的城综网、清般算A卡网

31、和企业阿网整合成为统一捌的以IP技术为霸主体的稳定、可翱靠、高效的综合稗网络平台，实现俺建行核心业务和扒外连业务的有机颁分离，为最终完柏成全建行数据集把中做网络准备捌。网络改造需求三峡建行局域网鞍1、根据总行骨岸干网改造方案，颁三峡建行局域网班需要有两台主交霸换机，而且都必绊须能够支持第三爱层路由交换，而败三峡建行拔目前只有一台主奥交换机Cata笆lyst 55昂05且没有配置捌第三层交换模块岸。这次网络改造傲中需要增加三峡凹建行网络中心需摆要增加一台高档搬交换机，并增加矮配置Catal扳yst 550澳5相应的第三层邦交换模块。斑2、通过网络改埃造实现全行核心拌业务的网段按照绊总行最近下发的

32、阿关于调查I袄P地址使用情况伴及征集对IP地哀址修订建议的意背见的通知的扮要求整合，外连绊业务网络将采用俺新的接入方式，昂引进统一的中间叭业务平台和网络笆连接平台。靶3、随着业务的澳拓展，特别是语俺音、视频的应用暗，三峡建行目前奥的局域网10M扒/100M也面艾临带宽不足的压隘力，考虑在三峡蔼建行大楼与科技敖部之间的骨干上版千兆以太网，三拜峡建行大楼用低埃端交换机替换H巴UB。三峡建行城域网芭、进一步扩展败城域网的连接范跋围，将丙办的光搬纤延伸到己支行昂机关，架设到戊伴支行机关的光纤斑，使庚、戊这两拜个城区主要支行爱接入三峡建行城懊域网，减少通信澳费用。伴、为三峡建行疤城域网提供必要隘的链路备

33、份措施奥。广域网接入摆1、与总行的一罢级骨干网连接按澳照总行骨干网改吧造要求实现。扳2、考虑对伍支敖行、东办等城区盎支行以及各县支哀行等综合性的网伴点的企业网、城绊综网线路合并，挨接入带宽提高到把64K，通过路袄由器连接到三峡熬建行；捌3、对于业务量捌大或线路集中的疤网点也考虑使用霸路由器，并提高百接入速率到64班K；捌4、其他网点提癌速后仍使用目前蔼的串口协议连入鞍三峡建行中心网般络，将SLIP绊改为PPP； 半5、前台网点的奥广域网采用的P啊STN拨号备份澳实现后台无人干败预。跋6、外连网络的邦广域网连接整合邦到一套网络设备安上，并安装防火坝墙与营业网隔离瓣。网络管理的需求颁1、具有网络管

34、鞍理基本功能，提翱供设备管理、配扳置管理、图形面氨板、流量监控、唉故障判断、拓扑吧发现等。办2、在不影响关唉键业务运行的前柏提下，收集分析版网络流量中的应班用信息，网络管埃理员可以定义、斑监控并评估网络背连接性、安全性办和性能策略，并跋进行网络的规划柏和设计。挨3、网管系统能爱够作到管理监控坝到全网所有网络扮设备，直观的显把示各种设备运行八状态，并对各种按异常情况实现自罢动报警。邦网络安全管理需疤求岸、网络设计中捌利用防火墙、V矮LAN等技术，蔼确保计算机网络搬系统计算机网络般系统安全漏洞最矮小化，使网络入柏侵的风险得到控艾制。盎、能够使安全霸管理员了解计算拔机网络系统的整坝体安全状况。把、可

35、监控到来邦自网络内部和外罢部的拜“吧黑客笆”傲入侵。巴、能够为查明安入侵的来源提供哎有效的依据。巴5、能够对整个隘网络系统从网络拌层、系统层、数哎据库和应用层进摆行安全脆弱性进肮行评估，提供安岸全修复指引。凹语音、视频应用罢的需求绊、艾在三峡建行一级扳安装有能与与总版行通话的IP电巴话20门，并能版够参加总行举行坝的视频会议。熬、在条件允许懊的情况下，懊在三峡建行城域袄网内能够实现I罢P电话和视频服拌务。伴网络改造的阿基本原则吧 版 翱皑 蔼高可靠性案选用可靠性较高俺的网络产品唉，合理设皑计网络架构，制笆订可靠的网络备板份策略，保证网矮络具有故障自愈伴的能力，从而最伴大限度地支持各半业务系统的

36、正常哎运行。 实用性颁网络改造方案设澳计实施应充分考啊虑实际需求和费安用邦，追求高的性效柏比 安全性白制订统一的网络把安全策略，整体白考虑网络平台的坝安全性斑 罢半 唉集中管理案对网络实行集中艾监测、，并统一爸分配带宽资源。斑选用先进的网络班管理平台，具有瓣对设备、端口等搬的管理、流量统案计分析，及可提扮供故障自动报警矮。败 霸绊 柏可扩展性。癌根据未来业务的奥增长和变化，网般络可以平滑地扩板充和升级，减少把对网络架构和现绊有设备的调整。啊 艾澳 摆灵活性背支持大型的动态邦路由协议，支持搬策略路由功能，暗保证与其它网络柏(如公共数据网澳、金融网络、行岸内其它网络)之芭间的平滑连接。 技术先进性

37、岸以先进、成熟的俺网络通讯技术进绊行方案设计及实啊施，相关的技术蔼均要符合国际标按准。埃 叭懊 矮保护现有投资氨保证网络整体性扒能的前提下，充肮分利用现有的网瓣络设备或做必要扳的升级。啊摆 扮分阶段实施原则疤对整个网络改造笆进行统一规划，俺分阶段逐步实施扳。 网络总体设计佰三峡建行网络系爸统改造目标总体哎架构组网模式翱 背大型网络的网络佰结构是层次化的笆，正确理解我行摆网络层次的划分柏和每个层次的主肮要作用，有助于盎我们合理选择网傲络拓扑和网络技皑术。鉴于敖三峡建行罢的特殊性，我们敖将网络结构设计胺为如下层次：耙 城域网柏：城域网实现建靶行同城网络的连背接，包括中心机柏房到丁机房、甲靶路机房的

38、连接。佰 分布层背：实现网络统一暗策略的互联层，邦访问层向核心层疤的汇接点，三峡哎建行到各县支行邦构成的二级网络柏即属于网络分布安层。傲 接入层：为唉最终用户提供对芭网络的接入，三伴峡建行到各营业半网点构成的网络俺即属于网络接入盎层。同时，接入唉层网络包括三峡白建行与外连网的捌连接。靶按照以上方式进耙行组网，层次比叭较清晰，便于方把案实施，。白组网模型如下图拜： 把网络总体拓扑结摆构碍设计办 笆网络改造后的网笆络拓扑结构示意安图如下所示：局域网改造局域网改造方案设备选择鞍在三峡建行网络伴中心，增加一台按高性能的交换机白C懊isco Ca拜talyst 袄6509，同时芭在C埃isco Ca俺t

39、alyst 巴5505增加千盎兆模块和RSM碍路由模块，通过蔼两条千兆链路连班接起来，利用G把iga翱bit 拔Ether笆Fast挨技术既相互备份敖，又负载均衡。拔Catalys吧t 板6509可以提袄供高性能、多层按交换的数据通信爱，满足内部网络捌（INTRAN瓣ET）、苛求网伴络服务和网络语岸音应用。每台败Catalys把t胺 6509配八置两块带有隘PFC绊子卡和败MSFC俺子卡的超级引擎摆，互为备份，其熬中哎PFC碍子卡主要用于扩澳充案Qos岸能力，可以实现般基于应用（八TCP/UDP熬 柏应用端口号）的胺服务质量控制，柏而佰MSFC半子卡主要是取代安原来的路由模块拜MSM坝实现线速

40、三层交按换，并且进行了袄很大的扩充，数熬据包吞吐率从原安来的6癌Mpps 跋扩充到15矮Mpps皑。坝同时，袄Catalys艾t 唉6509配置一哎个48口10M蔼/败100M胺模块分别提供与胺网管工作站、路凹由器等的连接。扒为了保证中心交摆换机的可靠性，八Catalys绊t 坝6509配置双扮电源冗余系统。半将原有奥Catalys板t 靶5000交换机敖从网络中心下移扮到江阁大楼，同拜时增加两个千兆敖模块，分别以1懊000M邦bps盎速率同半Ca俺talyst 芭6509和岸Catalys霸t 矮5505相连。VLAN划分爸 佰将局域网按服务袄器业务类型划分办为不同坝VLAN板，主要有：业务

41、绊网、管理网等，版也可以按照部门翱划分蔼VLAN伴，坝VLAN捌之间的通信可以澳通过诸如主交换哀机中设置的策略柏路由等加以控制跋。跋三峡建行网络中败心局域网网络拓癌扑图傲三峡建行网络中凹心网络拓扑图如挨下：肮网络中心交换机半设备配置表败设备配置表如下昂：耙序号昂产品号敖产品名称翱数量碍Catalys鞍t 6509邦1安WS-C650懊9案Catalys胺t 6509 八Chassis阿1 斑2袄WS-CAC-肮1300W 版 奥Catalys坝t 6000 凹1300W A熬C Power跋 Supply八1奥3澳WS-CAC-哀1300W/2捌Catalys隘t Secon按d 6000 八

42、1300W A败C Power按 Supply哀1凹4搬WS-X6K-笆S2-MSFC俺2颁Catalys扒t 6500 隘Supervi安sor Eng办ine-2, 靶2GE, pl百us MSFC颁-2 & PF摆C-2暗1叭5芭WS-X6K-瓣S2-MSFC芭2/2肮*Cat 65瓣00 Red.斑 Sup2, 鞍2GE, MS盎FC2 & P巴FC2 (In暗 Chassi蔼s Only)佰1拌6拌MEM-C6K俺-FLC24M爸Catalys叭t 6000 凹Supervi巴sor PCM罢CIA Fla氨sh Mem 班Card, 2凹4MB Opt邦ion佰1霸7白MEM-MS

43、F败C-128MB败Catalys隘t 6000 安MSFC Me瓣m, 128M凹B DRAM 鞍Option案1靶8安WS-X640哎8-GBIC 稗 哎Catalys敖t 6000 班8-port 癌Gigabit傲 Ethern版et Modu摆le (Req挨. GBICs阿) 吧 按1扳9靶WS-G548坝4 白 背1000BAS坝E-SX S搬hort Wa靶velengt翱h GBIC斑 (Multi懊mode on癌ly) 半 澳8啊10巴WS-X624皑8-RJ-45拔Catalys案t 6000 鞍48-port肮 10/100半 RJ-45 碍Moudel白1霸11岸S

44、C6MSFC耙A-把12.0.3吧XE按Cisco I吧OS Cata办lyst 60坝00 Fami翱ly MSFC颁 - Ente坝rprise拔1跋12班FR-IRC6哎Catalys熬t 6000 柏Family 耙InterDo爸main Ro背uting F碍eature 隘License胺1八Catalys昂t 5505版（增加模块）霸13佰WS-X540奥3吧C5000 G搬igabit 叭Etherne奥t Switc半hing Mo半dule w/癌o GBICs八 (3 por哎t)佰1败14啊WS-G548懊4艾1000BAS败E-SX S凹hort Wa绊veleng

45、t吧h GBIC拜 (Multi半mode on挨ly)鞍3把15背WS-X530办2办Catalys败t 5000 盎Route S芭witch M岸odule皑1城域网改造坝 扳城域网主要提供翱城区各个主要局白域网的接入，包捌括江阁大楼、云拜路机房、信用卡班部和星办局域网稗的接入，还包括爱增加戊和己两支胺行局域网的接入扮 将三峡建碍行网络中心原有艾的矮Catalys案t 5000按交换机下移到江拌阁大楼，作为江扳阁大楼局域网中蔼心交换机，在叭Catalys爸t 5000艾新增两个千兆模熬块端口，通过1傲000BASE班-SX模块分别蔼和熬Catalys哎t 6509般、凹Catalys敖t

46、 啊5505相连，霸两条链路互为备埃份。哀 甲路机房靶、信用卡部和星半办局域网保持原耙有结构不变。霸 戊和己支皑行需铺架光纤，巴接入三峡建行城巴域网，己支行需半增加一台Cat袄alyst 2鞍924交换机。俺 城域网改佰造后，网络拓扑澳图如下：凹 叭城域网链路备份柏方案有两种：盎 方案一是笆通过ISDN连隘接路由器的方式拔，坝 方案二是霸通过10M的无肮线以太网方式（皑方案见附件）。阿这两种备份方式拌都只备份营业网广域网改造艾广域网分布层改斑造摆 蔼分布层网络主要叭是指三峡建行到扮县级支行和城区吧较远支行的网络八连接。摆 隘 邦三峡建行到上述俺支行的网络拓扑袄图如下：巴 半 佰链路说明：支行鞍

47、采用64K D靶DN链路与三峡熬建行网络中心互挨连，用于传输营埃业数据和企业内挨部管理数据；同搬时利用PSTN颁链路作为备份线颁路。岸 肮设备选型：县级叭支行局域网进行把改造，配置一台办Catalys败t 跋2924交换机阿，通过奥选用的CISC碍O 2600系拜列路由器分别与八三峡建行相连。稗在叭Catalys瓣t 百2924划分V疤LAN将管理网坝和营业网隔离开办。绊 坝节点确定原则：氨该节点就近有既摆营业网又有管理捌网的广域网的接啊入。初步确定有拔b板、半c半、跋d袄、靶e埃、岸f暗、哎g邦、皑h扒、罢i芭各县支行以及城袄区、国际业务部熬。奥广域网接入层改柏造皑 接入层网胺络主要是指三峡

48、澳建行到网点的网斑络连接。扮 皑三峡建行到网点败的网络拓扑图： 挨 链路说哀明：大的网点采班用低端路由器（坝还可广泛采用原奥有的一些非Ci阿scoL路由设巴备）通过64K摆 DDN链路与暗三峡建行网络中吧心互连，用于传懊输营业数据，小半的网点采用异步耙MODEM 通唉过64K DD绊N链路与三峡建叭行网络中心互连碍；同时利用PS拔TN链路作为备捌份线路。哎 节点确绊定原则：该节点叭就近有多条营业败网的广域网的接碍入。初步确定有八航空办、北山办扳、五广分理处等叭。外网的连接白为了实现胺三峡建行笆和外网（主要是翱开展的中间业务吧）的连接，通过拌将运行中间业务澳的前置机和路由斑器之间放置一台阿PIX

49、防火墙进瓣行物理隔离，配柏置一台CISC半O 3661，笆配置多口同步模碍块，通过DDN稗与证券营业部相笆连，同时提供网案上查询等业务。矮三峡建行局域网俺与外网连接图如熬下：可靠性设计啊三峡建行捌网络可靠性包括搬网络设备备份和敖链路备份（包括傲电话拨号）。设备备份靶三峡建行局域网百中心设备备份癌三峡建行中心局八域网中心隘增加一台高性能敖的交换机C颁isco Ca傲talyst 哀6509，同时颁在C斑isco Ca佰talyst 凹5505增加千罢兆模块和RSM奥路由模块，通过盎两条千兆链路连啊接起来，利用G背iga啊bit 袄Ether傲Fast瓣技术既相互备份哎，又负载均衡。瓣Cataly

50、s霸t 扳6509配置双暗引擎和双路由模翱块，同时配置双捌电源冗余系统，按保证中心交换机肮的可靠性。啊提供一台CIS霸CO 3662盎搬交换机，配置同碍异步模块，作为案中心路由器的设百备备份。 城域网设备备份办在三峡建行中心办交换机昂Catalys胺t 澳6509上备份耙一块24口10盎0M多模光纤模耙块，同时提供一皑台哎Catalys吧t 拌1924C交换懊机，作为城域网翱下一级节点的设把备备份。搬支行局域网设备癌备份败提供一台阿Catalys瓣t 爸2924交换机佰，作为远程支行扒局域网交换机的爱设备备份。链路备份城域网链路备份鞍城域网的主干链熬路为光纤连接，百为了保证城域网袄的链路的可靠

51、性凹，可以采用IS碍DN备份耙 在城域网氨各节点申请一条哎ISDN线路，埃同时增加一台C胺ISCO 26瓣00路由器，配捌置一个ISDN斑模块，当光纤主哀干链路出现故障氨时，启动ISD澳N线路，保证城瓣域网的连通。广域网线路备份昂 疤班 败支行广域网链路矮备份白支行选用CIS敖CO 2600爸路由器通过64昂K DDN链路拌与三峡建行网络般中心互连，用于坝传输营业数据和盎企业内部管理数隘据，同时利用P败STN链路作为绊备份线路。暗 翱霸 网点广域网链碍路败备份半 大的网点采用暗CISCO 2班600路由器通哎过64K DD八N链路与三峡建奥行网络中心互连艾，用于传输营业八数据，小的网点隘采用异

52、步MOD捌EM 通过64爱K DDN链路按与三峡建行网络哀中心互连；同时背利用PSTN链白路作为备份线路艾。阿网络IP路由设靶计癌路由协议对网络蔼的稳定高效运行败、网络在拓朴变案化时的快速收敛靶、网络带宽的充案分有效利用、网颁络在故障时的快隘速恢复、网络的办灵活扩展都有很奥重要的影响。熬在大型网络中，奥静态路由和某些叭动态路由如班RIP背、IGRP由于岸其固有的局限性班(扩展性差、不哀支持VLSM)捌，不适合在网络班节点多、规模大哎的网络中使用。背目前在大型网络熬中最常见的路由扳协议是傲OSPF板和八EIGRP俺。柏由于在大型的网阿络中有多种平台岸的路由器存在，啊而EIGRP仅办为Cisco独

53、敖家支持。由于我挨们为了充分利用叭原有网络设备（稗其中很大一部分袄是非Cisco袄的）无法选择E胺IGRP，且在唉最新内部路由的奥设计中，OSP安F的性能在流量矮整形方面远超于艾Eigrp。故败我们在本网络方皑案中内部主路由版协议选择OSP岸F。班面向应用的网络爸服务艾业务分类和数据氨特点的分析：扒 不同的应用系阿统对网络服务的按要求不同。在一捌个统一的网络平瓣台上，应该保证隘对于不同的应用斑数据根据其具体哎要求提供相应的隘网络服务，并能爸在因故障导致网耙络资源稀缺时优半先保证关键性业矮务数据的传输。霸经柏对我行现有应用案系统的网络需求傲分析，按其重要隘程度分为以下两佰类：营业类、管翱理类。营

54、业类业务系统败包括综合网柜面拔业务系统、清算白系统、龙卡系统傲、网上银行等。唉 这些业务是我跋行最重要的业务罢，应优先得到保袄障。这些业务的俺数据包大小比较斑固定，对数据传挨输的延时要求比伴较高。靶 管理类业务系扮统扮 包括佰OA、信贷、总靶帐传输、人力资鞍源、电子邮件等啊管理系统。把这一类管理信息芭目前主要是普通凹的文件传输，数班据流量大、突发埃性强、对实时性般要求较低，但要氨求能够可靠传输靶，流向目前主要俺是纵向。综合类业务系统摆包括访问行内信疤息网站、Int皑ernet浏览翱以及IP电话、案视频会议、网上扳培训多媒体增值八业务等。版这些都属于流量岸增长最快的应用斑系统，巴流量大、随机性暗

55、强矮，流向可能是任拜意方向的，其中板多媒体业务是面敖向非连接的，对懊时延非常敏感。QOS保证巴使不同的业务集版成在了同一个网凹络平台上，如何绊保证不同业务数氨据的优先级别和熬传输质量就成了巴一个很重要的问白题。同时将要实隘施的语音等新应跋用对网络提出了巴新的服务质量的办要求。疤要保证以上数据颁的网络服务质量氨，需要采用哎策略路由实现根捌据不同的业务数傲据种类选择不同罢链路传输，并跋在每条线路上采八用带宽分配、优翱先级控制等QO版S控制技术保证蔼各类应用数据的爱有效传输。绊 佰QoS扳控制技术跋 为了避免安增加过多的控制耙策略导致路由器艾负载过重，选择拔以下几种QOS傲控制技术，简单挨有效地实现

56、各类绊应用的QOS保败障。叭耙 绊接入速率控制(耙CAR) Co按mmitted背Access俺Rate(搬跋 笆IP优先级控制安板 哀队列机制(We疤ightedF氨airQueu拌ing)稗氨 罢先期拥塞控制(拌WRED)颁柏 搬标记交换(MP啊LS)吧罢 柏语音数据优先背 在三峡建盎行在此次网络改盎造中将广泛采用袄上述技术保证网岸络通畅，特别是斑营业数据的正常阿传输。昂三峡建行网络管柏理办设计瓣 在三峡建行广翱域网中，设备繁胺多，网络规模大傲，地理位置跨越拔广，且应用环境澳复杂。对于诸多傲网络硬件设备和扒网络应用，只有罢对网络进行有效鞍地组织和管理爱,扮才能够充分利用鞍网络软硬件资源拜，

57、发挥其效力，扳为系统应用提供阿良好的网络运行邦平台。为了提高凹系统的分级安全颁性,设计网络管凹理系统，便于管按理和故障处理，佰监控的实时性。坝以CiscoW拌orks200按0为网络管理平把台；以美国罢BMC耙软件公司的敖PATROL俺组件为基础，集瓣成网管系统、系班统的监控程序和瓣自行开发的监控傲程序，建设集中八监控管理系统，奥实现计算机网络扮系统的集中监控伴和管理，实现监伴视各种主机服把务器、数据库、靶网络和网上关键般性系统的运行状耙态、工作任务完芭成情况，自动启瓣动工作任务，进阿行作业调度，减爸少中心机房值班般人员的工作压力霸，逐步实现主机瓣房无人值守。同板时，配置BMC奥的数据备份与恢

58、碍复软件，从而减扮少因系统停机、爱重要数据信息的矮丢失等而造成的疤业务停顿，最大板程度上保证系统拔的高可用性和可傲管理性，以保障肮7x24小时关摆键性应用系统的扒运行，最终实现蔼企业信息系统的肮管理目的。背网管系统功能及败其职责扒为了保障网络运般行的品质，维持啊网络传送频率，熬降低传送错误率把，确保网络安全拔等，网络系统技瓣术人员借助网络吧管理工具或本身疤的技术经验实施哎网络管理，职责叭内容可分为下列案八大类。矮网管系统的职责坝:坝网络监控扒:敖 绊监视网络的运行拜状态靶,矮控制网络路由和邦流量罢,叭分析运行记录和柏报警信息案性能控制颁:板据网络应用状态搬,埃负荷状态拜,唉网络利用率爱,埃合理

59、调整网络性巴能。摆故障管理佰：为确保网络系哀统的高稳定性，班在网络出现问题巴时，必须及时察班觉问题的所在。办它包含所有节点扒运作状态，故障熬记录的追踪与检熬查及平常可对各颁种通讯协议的测癌试。艾效率管理盎：效率管理在于俺评估网络系统的碍运作，统计网络叭资源的运用及各瓣种通讯协议的传跋输量等，更可提癌供未来网络提升绊或更新规划的依扒据。扳用户记帐管理斑: 耙建立统一的记帐埃系统绊,靶对网络资源的使八用采取收费记帐傲的方法拌,半对不同的资源访拌问制定不同的收拔费标准和算法。肮网络安全管理癌: 隘用户身份确认办,鞍访问控制八,般对用户权限以及拌用户帐户进行维袄护和管理疤,袄设置相应口令与绊更新霸.霸

60、加密和密钥管理靶.胺监视和控制网上霸的破坏安全系统靶的行为。八运行管理跋: 奥制定网络运行的芭技术标准岸,办可靠性绊, 把安全性方案和运柏行制度。案计费管理芭：了解网络使用熬时间，能针对各罢个局部网络做使半用量统计。一则癌可作为使用网络哎计费的依据，更扳可作为日后网络绊升级或更新规划暗的参考。瓣网络管理员能够岸借助网管软件，吧对网络上的任何颁资源和进程调用昂。爱网络管理平台和靶网管工作站熬 坝通过前面的分析颁，网络系统设备爱采用了cisc瓣o的交换机、路百由器和远程访问板服务器，针对系奥统的这个特点，拔推荐cisco安公司的最新推出熬的网管系统Ci癌scoWork啊s2000。哎1、爱网管平台