丹东市丹东银行网络规划设计.doc

丹东市丹东银行网络规划设计丹东市丹东银行网络规划设计摘 要面对加入WTO以后国内新的金融竞争格局，中央政府似乎将注意力更多地倾注于国内银行业得巨无霸四大国有商业银行的政策、发展方面，有关监管部门也在逐步、稳定地向前推进对银行的改革。信息技术的飞速发展，极大改变着人们工作、生活的方式及质量。金融是国家经济的命脉，金融电子化建设更是实现国家经济腾飞的坚实基础。建立以计算机综合业务应用网络为基础的管理决策科学化的金融信息系统，是我国金融业发展的战略目标。由于IT技术的进步以及社会的信息化，对金融电子系统又有了新的支持和要求，如何更好地利用和完善现在的系统及技术，以提高银行的服务盈利水平及竞争能力，是当前金融系统建设及业务处理模式构建必须重点考虑的问题。丹东市丹东银行的网络系统建于90年代末，网络设备老化严重；限于当时运营商的条件，网络带宽较低；目前网络已经不堪重负，业务拓展受到极大的制约，严重影响了丹东商业银行业务的发展。本次网络系统建设是为丹东市丹东银行提供一个高可靠、高性能、高安全的网络运行环境。关键词：丹东银行；信息化；网络建设- I -丹东市丹东银行网络规划设计目 录摘 要I网络需求分析1二、系统设计2（一）网络设计目标21新大楼信息化网络建设目标22网点营业厅网络建设目标2(二）网络设计原则21实用性和先进性22安全可靠性23灵活性和扩展性34开放性和互联性35经济性和投资保护36可管理性3（三）网络结构设计31新大楼网络结构设计32营业网点网络结构设计4三、网络方案设计5（一）总体网络拓扑图5（二）新大楼网络解决方案51整体网络结构52网络设备选型6(三）营业网点网络解决方案71整体网络结构72网络设备选型8（四）网络管理设计81网络系统管理概念82网管系统结构93网络管理内容94网络管理方式9四、网络安全设计方案10（一）网络安全概述10（二）网络安全设计应遵循的原则10（三）路由安全考虑10（四）日志功能10（五）IP地址MAC地址邦定技术10（六）基于保过滤的防火墙技术11（七）ARP病毒防范技术11五、主要设备12- III -丹东市商业银行网络建设方案一、网络需求分析（一）、中国城市商业银行发展现状中国的城市商业银行最早的雏形可以追溯到产生于上世纪70年代末的城市信用合作社，城市信用合作社的诞生主要是为了解决城镇个体工商企业“开户难、结算难、存款难、贷款难”的现实问题。当时城市信用合作社总体的状况可以概括为：机构数量多、经营规模小、人员素质低、资产质量差。在这一背景下，为了增加这些机构自身应对风险的能力，也为了方便实施切实有效的监管，从1995年开始国务院决定在一些经济发达的城市（二）、商业银行网络结构分析鉴于丹东市目前快速的发展水平建议市商业银行新建市行综合大楼，并将进行全市网络改造，目前网络设备老化严重，网络宽带较低，所有网点都是采用老旧网络设备，设备性能和功能都不能满足现有网络业务需求。目前的网路结构存在以下问题：l 营业网点众多，而原有网络设备老旧，性能和功能不能满足现有需求；l 需要新建综合大楼，市局中心网络随之需要重建；l 原有网络结构过于简单，市局与各网点之间只有一条DDN线路，链路带宽低，没有备份设备和备份线路，容易出现单点故障；l 现新增的OA办公网在原有网络中不能得到很好应用。针对以上问题，我们将通过增加/更换网络设备、升级链路带宽、增加线路等方法，在保证原有业务网的前提下增加新OA办公网，更加合理的对网络进行规划改造。二、系统设计（一）网络设计目标1新大楼信息化网络建设目标本着以用为主的目标，网络建成后可实现集中统一网管。网络性能应能实现高带宽、高数据分发速率，能满足易用、高服务质量、无阻塞等使用要求。整网还要具有可靠性、坚固性、良好的扩展能力、强大的管理能力以及拥塞控制和服务质量保证等一系列良好的性能。2网点营业厅网络建设目标l 汇聚中心采用双机双归属连接保障网络高可靠性；l 汇聚中心服务器采用双归属连接至核心交换机，保障链路高可靠性；l 网点营业厅生产，OA 两套系统并存l 各网点路由器通过2M SDH专线接入汇聚中心；l 保留DDN线路，作为网点接入线路的冗余备份。(二）网络设计原则计算机网络系统设计必须适应当前商业银行信息化各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：1实用性和先进性采用先进成熟的技术满足商业银行大规模数据、办公自动化需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。2安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。3灵活性和扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据商业银行信息系统不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。4开放性和互联性具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。5经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。6可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。（三）网络结构设计1新大楼网络结构设计(1) 新大楼局域网采用双核心、二层扁平结构商业银行新大楼信息点多、网络带宽需求大，同时又具有信息点地址位置集中的特点，为此建议采用两层扁平化网络体系结构进行网络规划建设。所谓两层扁平化体系结构是相对业务标准的三层网络体系结构而言，去掉中间的汇聚层只保留核心层与接入层两个层次来进行网络体系构建。在传统的局域网或是广域网组网结构中，考虑区域汇聚以及减轻核心层设备压力，通常会采用三层结构。但是从安全可靠性考虑，减少单点故障点，建议本商业银行新大楼局域网采用二层网络扁平化结构。(2) 大容量的楼层接入交换机采用高带宽链路上行对于商业银行大楼局域网，根据各楼层信息点数量情况，接入层交换机采用千兆上联至核心交换机，终端接入采用百兆到桌面。(3) 局域网交换机采用最长匹配、逐包转发机制目前如“红色代码”、“冲击波”等网络病毒在进行攻击时，基本上都是IP地址在同一个网段内递减或递增的方式，而目前大多数交换机都是采用逐包进行精确匹配，这样的话在很短的时间内交换机CPU的占有率就会达到饱和，出现宕机甚至是死机的现象。而采用最长匹配、逐包转发的方式，能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。2营业网点网络结构设计(1) 网络主链路设计市中心至网点均采用电信2M SDH链路连接，在市中心核心路由器上采用155M CPOS类型接口，实现N*2M的接入；在营业网点的接入路由器上采用E1类型接口，实现N*2M的接入。由于市中心路由器承担着全市节点的汇聚，数据流量较大；并考虑到以后主线路升级、网点升级等需求，因此核心路由器上采取了155M高速CPOS接口。在此接口上划分时隙，每块CPOS卡最大可划分为63个2M，既满足了现有所有网点的汇聚，又为以后的线路升级提供冗余，配置简单。此处虽然也可直接采取E1类型接口，但需配较多的模块，线路复杂，且以后升级时还须再另配模块，无论是从性能还是成本上，都不及前者。网点路由器则直接采取E1类型接口，电信线路直接接在路由器上，无须协议转换器，减少故障点。(2) 备份链路设计为了确保整个商业银行业务实时、稳定、不间断运转，网络设计的广域网线路备份就显得尤为重要。在充分保护用户投资、最大程度利用用户现有网络设备资源的原则基础上，我们提出以SDH传输线路和DDN线路互为主备的备份方式。具体实现如下：网点路由器在接入电信2M SDH专线的同时，通过串口接入DDN线路。备份线路通过浮动静态路由设置，即设置高于主线路路由管理距离（AD）的静态路由。当主线路正常时，业务数据将从主线路上传输；在主线路失效的情况下（线路故障、接口故障等），路由器将自动触发备份的静态路由，形成对业务的按需备份；待主线路恢复后自动切换回主线路。整个过程完全由路由器自动完成，无需人为干预。切换过程将在几秒钟内完成，网络不会因此而受任何影响，终端用户无法察觉。三、网络方案设计（一）总体网络拓扑图以上给出了最为典型的网络拓扑图，博达路由器通过以太网口E1/1接入10/100宽带主线路，通过异步口A0/0接入PSTN备份线路，通过以太网口F0/0接内部局域网。博达路由器实现了“以太网上远端线路自动侦测”，主要用于以太网口接宽带主线路的情况，主线路R1S2S3R3任意一个环节断，网点端BDCOM Router均可以检测到，然后shut down该以太网口，启用备份端口。（二）新大楼网络解决方案1整体网络结构新大楼共356个信息点，办公大楼主要运行2套网络：生产网和OA办公网，通过划分VLAN实现生产网络和OA办公网的逻辑隔离。接入交换机通过千兆以太网上联到中心机房的生产核心交换机和OA核心交换机。由于生产数据极为重要，原老大楼CISCO核心交换机和路由器作为新大楼生产核心交换机和核心路由器的备份设备。OA业务通过2台路由器链接2个2M SDH链路外联市人行和银监局。2网络设备选型(1) 核心层设备网络中心的核心交换机是整个网络的交换中心，同时也是整网（LAN）的路由中心，全网绝大部分第三层操作(数据转发、服务器访问、视频会议等)都通过核心交换机集中进行，其有效性通过两台核心交换机全线速的多层处理性能以及骨干网的高带宽（10GE）来实现保证。(2)接入层设备为了各楼层交换机能更好的满足大容量、高带宽接入的配置需求，为了防范ARP病毒，广播风暴抑制，端口环路自检，建议选用BDCOM S2228百兆接入各楼层用户，并通过千兆光纤上联到核心。OA服务器群百兆接入到2层群组交换机，此交换机千兆上联到OA核心交换机。建议选用BDCOM S2108(三）营业网点网络解决方案1整体网络结构市中心至网点均采用电信和中信2M SDH链路连接，DDN线路作为备份链路保证业务数据的畅通。营业厅增加了OA网络，以实现多业务需求。在接入路由器的交换模块上划分VLAN,以实现OA，生产数据的隔离。2网络设备选型(1) 核心层设备市中心路由器是全市网络汇聚的核心，数据流量较大，对设备的要求较高。且要满足对每个网点路由器的汇聚，并预留扩展插槽，以备今后网络升级之需。根据目前网点的数量，以及实际的接入情况，这里采用BDCOM 7208路由器作为市中心路由器。BDCOM 7208路由器采用高性能PowerPC嵌入式CPU， 主频833MHz，包转发率1Mpps。提供2个标配10/100/1000M电以太网口和2个1000M复用的以太网光口个以及1个10/100M以太网电口，具有 8个多功能插槽，能够全面适应各种网络对核心路由器的需求，适用于电信运营商、大中型企业单位的网络核心。BDCOM 7208系列主控引擎支持1+1冗余，提供运营商级的可靠性。所有关键部件都支持冗余和热插拔，包括主控板，业务板卡，电源，所有内存都使用ECC校验保护。(2)接入层设备网点路由器仅作为网点的互连设备，和中心相比，网络结构及数据特性上相对简单。此处的接入路由器，必须满足主，备线路的接入，预留一定的扩展插槽，为将来的升级留有余地。在这一级，方案推荐采用的是BDCOM 2624路由器。BDCOM 2624系列路由器为模块化设计，标配2个100M以太网电口，24个交换口，2个高速串口以及4个扩展插槽。根据网点的需求：2个100M以太网接口、主备2路线路接入，由于2624标配了2个100M以太网口，因此只需加配1个 2M SDH E1接口模块，高速同异步串口接DDN备份线路，实现链路的可靠性。（四）网络管理设计1网络系统管理概念网络管理是对网络上的通信设备及传输系统进行有效的监视、控制、诊断和测试所采用的技术和方法。网络管理系统的概念模型主要由管理者、管理代理和被管对象等实体及其相互作用组成。网络管理系统主要应用协议SNMP（Simple Network Management Protocol）是由IETF提出，主要为基于TCP/IP的互连网设计的，现在已经被其它协议实现，如IPX/SPX，DECNET以及APPLETALK等，它的主要标准由一系列RFC组成，并得到了网络厂商的广泛支持，成为网络管理方面事实上的标准。目前基于SNMP的网络管理系统已广泛应用于Internet。2网管系统结构根据网络建设要求，需要实现全网管理，对商业银行网络上的局域网和广域网骨干网进行全网统一管理，建议此次监控的目标范围界定为骨干网上的核心汇聚节点、汇接节点等连接设备以及各个关键应用的服务器，考虑到需监控目标不是很多，网络结构比较规则，比较适合采用完全中心控制（Fully Centralized Management）管理模式，即由一台网管主机（经济情况允许的情况下可以考虑添加备份主机以提高网络管理系统的可用性）对整个网络环境进行集中管理，不需要添加二级管理设备。这样做的好处是结构简单，易于维护，节约投资，而且这种管理模式是目前应用最为广泛的一种管理模式。3网络管理内容网络管理性能是衡量一个网络系统性能高低的重要因素之一。网络管理系统完成设置网络设备、监控网络运行、分析网络性能，查找并隔离网络故障，记录网络中的各种事件等功能。总之，就是对所有网络上的信息进行统一管理。网管通常由软件或软硬结合的手段来实施，对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。OSI定义网管系统支持传统五大网管功能：故障管理、配置管理、性能管理、安全管理以及计费管理。这些管理功能由网管系统和网络设备共同完成。4网络管理方式博达产品支持多种设备管理方式，可以通过console口进行本地配置。可以通过telnet、rlogin、PAD等带内方式进行远程配置管理，也可以通过通过拨号接入带外远程配置管理。除了支持本地TFTP方式升级软件及配置文件，博达路由器还支持远程TFTP方式升级软件及配置文件，大大方便用户进行远程维护和管理。除此之外，博达还支持下列管理方式：基于web的配置方式支持syslog日志管理支持标准SNMP协议支持PDP（兼容Cisco的CDP）四、网络安全设计方案（一）网络安全概述根据网络结构和网络应用，在经济实用、安全高效的条件下对网络安全性设计需要从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全进行分类分析，丹东市商业银行网络安全主要从整个网络构建的方方面面来给予详细阐述。（二）网络安全设计应遵循的原则综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。需求、风险、代价平衡的原则：对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。一致性原则：制定的安全体系结构必须与网络的安全需求相一致易操作性原则：易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。易扩展原则：随着网络规模的扩大及应用的增加要具有可升级性。（三）路由安全考虑OSPF，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。（四）日志功能日志（log）功能用于