某人寿保险公司网络系统建设方案

1、http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 1 目目 录录 第一章第一章 前言前言.3 第二章第二章 需求分析需求分析.3 第三章第三章 方案设计原则方案设计原则.4 3.1 网络可靠性通过下述的设计思路来实现.4 3.2 先进性可以通过下述的设计思路来实现.5 3.3 网络安全性通过下述设计思路来实现.5 3.4 网络可伸缩性通过下述的设计思路来实现.5 3.5 网络集中管理通过下述设计思路来实现.6 3.6 网络高度融合性通过下述的设计思路来实现.6 第四章第四章 网络架构设计网络架构设计.6 4.1 北京网络中心的建设.6 4.1.1广

2、域网设计.7 4.1.2局域网设计.8 4.2 省级网络中心的建设.8 4.2.1广域网的设计.8 4.2.2局域网的设计.8 4.3 企业网络拓扑结构图.9 第五章第五章 网络资源的规划网络资源的规划.9 5.1 设备的命名规则与用途.9 5.1.1 节点代码.9 5.1.2 设备命名规则.9 5.1.3 设备用途描述.10 5.2 vlan 编号及用途说明.10 5.3 ip 地址规划.11 5.4qos 实施.12 5.4.1 可选择的工具.12 5.4.2 实现.14 5.5 网络安全.18 5.5.1 internet接入安全解决方案.18 5.5.2 lan安全解决方案.18 5.

3、5.3远程接入解决方案.18 5.5.4终端用户安全解决方案.18 5.5.5 wan安全解决方案.19 5.6 路由策略.19 第六章第六章 voip 系统系统.19 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 2 6.1 概述.19 6.2 北京网络中心的 voip 建设.21 6.3 省级中心的 voip 建设.22 6.4 voip 网络拓扑结构图.22 第七章第七章 视频会议系统视频会议系统.22 7.1 概述.22 7.2xx 人寿公司的视频会议系统架构.24 7.3 视频会议网络拓扑结构图.25 第八章第八章 基于基于 ip 的

4、呼叫中心的呼叫中心.25 8.1 概述.25 8.2xx 人寿公司的 ipcc 架构.27 8.3 应用事例.29 8.4 ipcc 中心拓扑结构图.29 第九章第九章 数据存储与灾难备份系统数据存储与灾难备份系统.30 9.1 概述.30 9.2xx 人寿的 san 网络架构.30 9.3xx 人寿保险公司异地备份架构.31 9.4 数据存储与异地备份系统拓扑结构图.32 附录：附录： 相关设备介绍相关设备介绍.32 10.1 cisco7200 路由器.32 10.2 cisco3800 路由器.36 10.3 cisco2800 路由器.41 http:/ xx 人寿保险公司企业网络项目

5、建议书人寿保险公司企业网络项目建议书 http:/ 3 第一章第一章 前言前言 随着保险业的快速发展和越来越激烈的竞争，建 立一个先进的通信平台对所有的保险公司来说都是非 常重要的。对于当前的中国保险企业而言，it 已不 单是一个应用工具而是一个战略性的武器。it 与保 险业相结合，不仅可以防范风险、降底营运成本，而 且还会大大提高保险企业的管理决策能力，增强盈利 能力，从而提升保险企业的核心竞争力。保险 it 应 用的投资重点正在朝着数据管理集中化、管理决策信 息等方向发展。保险业信息化的需求发生了很大的变 化，保险业 it 服务已从单纯的设备供应、安装维护， 转向深层次的保险企业信息技术应

6、用顾问服务和业务 信息化全面解决方案的支持；从代理产品和技术转向 自主产权的核心业务软件产品的提供。也就是说，保 险公司的信息化需求已逐渐由“硬”向“软”过渡， 且软件与服务的需求比重在逐年递增。现阶段，保险 行业已建立了各类业务系统，例如：核心业务处理系 统、会计核算和财务管理系统、精算系统、代理人 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 4 管理系统、callcenter 系统、辅助销售系统以及办 公自动化系统等，部门之间、分支机构之间产生大量 业务数据；各种应用系统的实施，例如：erp 和 crm 等；大量的多媒体的数据，例如：客户

7、服务中心 （ipcc） 、ip 语音和视频会议。所有的这些数据都要 集成到统一的基础网络中，基础网络平台的担负着保 险企业的生产平台、办公自动化平台、管理平台和服 务平台的重任。 第二章第二章 需求分析需求分析 xx 人寿保险公司是最新成立的一家保险企业，作 为一家全新的保险企业，信息化的建设与各类业务系 统的建立有着同样重要的意义。 xx 人寿保险公司基础通信网络建设将覆盖全国范 围内，对全国范围的业务数据进行大集中，基础通信 网络将承载全国范围业务数据、voip 和视频会议等 多媒体数据、基于 ip 技术的呼叫中心数据（ipcc） 、 办公自动化数据、erp 和 crm 等管理数据以及用于

8、异 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 5 地备份的存储数据。在全国范围内建设一个集中、高效、 一致的数据平台，为各级机构提供业务分析、业务推进及 业务监管等多种信息服务奠定坚实的数据基础。 xx 人寿保险公司的信息化建设分多期进行，第一 期的网络基础设施建设的范围涉及公司总部和省级分 公司。 第三章第三章 方案设计原则方案设计原则 xx 人寿保险公司基础网络设施的建设目标是将这 个网络平台建成为集业务、管理、办公及服务为一体 先进、可靠、安全及具有高承载能力的统一的数据通 信平台，实现“数字 xx 人寿、统一 xx 人寿、未来 xx

9、 人寿”的远景目标。 基于以上的建立目标，xx 人寿基础网络平台的设 计原则为： 1) 可靠性原则 2) 先进性原则 3) 安全性原则 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 6 4) 可伸缩性原则 5) 可管理性原则 6) 融合性原则 3.13.1 网络可靠性通过下述的设计思路来实现网络可靠性通过下述的设计思路来实现 公司总部采用两台路由器来实现热备份； 省级中心通过双链路连接到公司总部； 省级中心通过双 isp 与公司总部互联； 采用两台具有冗余热备份的防火墙； 实现数据异地灾难备份； 合理采用静态路由，提高可靠性。 3.23.2 先

10、进性可以通过下述的设计思路来实现先进性可以通过下述的设计思路来实现 网络设备的先进性，采用集数据、语音、安全 于一个平台的网络设备； 公司网络可以启用 mpls 功能，使 mpls vpn 为 公司内部以及公司与合作伙伴之间业务数据提 供服务； http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 7 公司网络可以提供 ipv6 服务，可以平滑与下 一代互联网接轨； 公司网络提供强大的 qos 保证机制。 3.33.3 网络安全性通过下述设计思路来实现网络安全性通过下述设计思路来实现 建立公司内部的网络安全策略 在公司总部的网络出口处设置了强大的防火墙

11、； 在公司总部的核心交换机配置一块防火墙模块； 对所有重要事件进行 log； 限制对设备的 snmp 和 telnet； 采用 ssh 和 snmpv3 对网络设备进行管理； 采用 ntp 协议对全网的设备进行同步； 对不安全的端口上将路由协议进行 passive， 防止不必要的路由泄露； 对网络设备的 user 和 privilege 状态进行存 取控制； http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 8 所有的网络设备都支持 802.1x 协议； 通过路由协议对网络中所有的设备进行验证。 3.43.4 网络可伸缩性通过下述的设计思路来实现网

12、络可伸缩性通过下述的设计思路来实现 公司网络采用明显的“核心分布”层次结构； 简单而有效的 ip 地址分配策略； 采用可靠和可扩展的 igp 路由协议； 公司网络未来多核心的设计思路； 网络设备的可扩充性。 3.53.5 网络集中管理通过下述设计思路来实现网络集中管理通过下述设计思路来实现 采用先进的、可跨平台的网络管理软件； 为中央网络管理系统配有专门的管理网段； 从中央网管网段可以到达所有设备； http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 9 3.63.6 网络高度融合性通过下述的设计思路来实现网络高度融合性通过下述的设计思路来实现 业务

13、平台、办公平台、服务平台和管理平台的 高度融合； 数据、语音、视频的高度融合； 传统呼叫中心技术与基于 ip 的客户服务中心 的技术融合； 网络设备的功能高度融合，把数据、语音和安 全融合到统一单一的平台。 第四章第四章 网络架构设计网络架构设计 本着“网络高效、可靠、科学运营并最大程度上 保护网络投资，适应未来业务发展”的原则，我们按 照四级网络结构建设，其中北京为网络系统核心，二 级为省会中心，三层分布在各个地市级城市，四级则 分布在县级城市。本期的基础网络平台建设包括北京 网络中心的建设（一级中心）、省级网络中心（二级 中心）的建设以及一二级网络的互联。 http:/ xx 人寿保险公司

14、企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 10 4.14.1 北京网络中心的建设北京网络中心的建设 北京网络中心是 xx 人寿信息化平台的核心节点， 这个核心节点负责处理来自全国的范围内的所有数据， 数据的来源包括各种业务数据、办公数据、多媒体数 据、管理数据、erp、crm 等应用数据、客户服务数 据及未来用于异地备份的存储网络数据。基于以上数 据大集中的需求，对北京网络中心的网络设备、网络 结构、网络环境提出了极高的要求。 我们从以下几个方面考虑北京网络中心的建立： 第一、北京网络中心的核心网络设备要具有 很强的数据处理性能 很高的物理可靠性 提供业界领先的网络技术

15、提供高带宽的线路接入 第二、网络结构的可靠性 北京网络中心采用两台核心设备提供网络的热 备份 主干线路和备份线路分别接入不同的 isp http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 11 数据的存储系统和异地备份系统部署 第三、网络环境的安全性 在 internet 入口部署功能强大的防火墙 在网络中心局域网的核心交换机上部署防火墙 模块 在网络中心部署网络准入控制体系 对于北京的网络中心，我们的建设目标是高性能、 高可靠性和纯净的网络环境。 4.1.1 广域网设计广域网设计 基于以上的建设目标，我们强烈建议 xx 人寿广域 网骨干采用 155

16、m 的 sdh，摈弃 n*2m 的接入方式。这 样的设计是基于以下考虑： 数据大集中需要有足够带宽的支持； n*2m 的接入方式虽然在初期的资金投入比 155m sdh 接入要少，但随着随着公司业务的不断发展， n*2m 的接入方式会是整个公司策略实施的瓶颈。当 公司业务发展到一定的程度，公司还是要采用 155m sdh 接入，这样，多口 2m 的业务板会被淘汰，而且 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 12 重新利用率非常的低； n*2m 的接入方式增加了网络拓扑结构和网络管理 的复杂性； n*2m 的接入方式占用了更多的网络物理资

17、源。 备份线路采用 2 个 pri 线路接入。 4.1.2 局域网设计局域网设计 北京网络中心的局域网采用双核心网络交换机进 行热备份，保证局域网络的可靠性，同时在核心交换 机上配置防火墙模块，保证局域网内部的安全性。在 资金充裕的情况下，可以实施网络准入控制体系。对 核心业务的数据部署存储区域网络（san），同时采 用虚拟 san（vsan）技术对网络资源提供投资保护。 对核心业务数据进行异地备份，根据距离的远近可采 用 dwdm（100 公里以内）或 sdh（数千公里）技术实 现。 4.24.2 省级网络中心的建设省级网络中心的建设 省级网络中心是整个 xx 人寿基础网络的二级中心， ht

18、tp:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 13 从行政上来考虑，每个省的网络中心处理的业务量占 全国业务量的 1/32。所以，二级网络中心的建设有 两个方面的意义。首先，二级网络中心是省内所有数 据的汇接处，是一个省内信息系统的核心。其次，二 级网络中心起着承上启下的作用。 4.2.1 广域网的设计广域网的设计 省级网络中心与北京网络中心的广域网连接采用 2m sdh 的接入。 备份线路采用 isdn bri 接入，备 份接入全部采用回拨技术，保证接入的安全性，同时， 对拨号连接进行 chap 验证。 4.2.2 局域网的设计局域网的设计 二级

19、网络中心的局域网采用双核心网络交换机进 行热备份，保证局域网络的可靠性。网络内部通过 vlan 对部门以及进行逻辑隔离，也可以对各种业务 进行隔离，后者的 vlan 技术是基于子网的 vlan 技术。 通过 802.1x 对用户接入进行认证。 为了配合 xx 人寿网络的多业务融合性目标，我 们建议二级网络中心的路由器是一台全业务路由器， http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 14 这个路由器要把数据、多媒体以及安全等功能集成到 一个平台上。 我们建议目前二级网络中心的路由器采用低端的 路由器，随着业务量的增加我们可以升级二级网络中 心的

20、路由器，同时把替换下来的低端路由器重新利用 到地市级或县级网络。 4.34.3 企业网络拓扑结构图企业网络拓扑结构图 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 15 第五章第五章 网络资源的规划网络资源的规划 5.15.1 设备的命名规则与用途设备的命名规则与用途 5.1.1 节点代码节点代码 sitesite code 北京bj 上海sh 广州gz site 代码是地点名的拼音缩写而成。上图是以北京、 上海和广州为例的示意表。 5.1.2 设备命名规则设备命名规则 w-bj-7206-a w-bj-7206-b wan site code

21、 equipment type active(主) wan site code equipment type backup（备） http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 16 以上示意图表示了设备名称结构。上图表示了以 cisco 7206 为例，xx 人寿北京网络中心用于广域网 通信的路由器名称。 5.1.3 设备用途描述设备用途描述 sitesitedevicedevice devicedevice namenameusageusage 北京 7206 w- bj-7206- a level-1 core router 北京 6509

22、l-bj-6509-b level-1 backup core switch 5.25.2 vlanvlan 编号及用途说明编号及用途说明 作为一个规则，vlan 编号以 site 基准，即 vlan 号在一个 site 内是唯一的，并且，统一的 vlan 编号 法有助于消除歧意和有助于排错。 一般地，采用下面的 vlan 编号规则： vlan1 用于管理网段； vlan2-vlan10 用于设备互连网段； vlan11-vlan50 用于各种业务子系统； vlan51-vlan100 用于 server hosting。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络

23、项目建议书 http:/ 17 sitesiteequipmentequipmentvlanvlanusageusage vlan1 management subnet vlan2uplink to 7206 vlan11 核心业务处理系统 vlan20 会计核算和财务管理系 统 vlan25 代理人管理系统 vlan30 精算系统 vlan40 办公自动化系统 vlan50 辅助销售系统 北京 l-bj-6509-a vlan51 财务服务器 以上表格以北京为例，表达了划分 vlan 的思想。此 表格不代表最终设计结果。 5.35.3 ipip 地址规划地址规划 为了有效使用 ip 地址，必

24、须对 ip 地址进行子网 化，通过对每个 area 用 vlsm(可变长子网掩码)进行 地址分配可以最大限度的利用 ip 地址。 xx 人寿采用私有地址段 /8 作为全网互 连的 ip 地址网段。每个省分配两个 class b 的地址 段，其中奇数段用于 wan 互连，偶数段用于 lan 的互 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 18 连。地市级中心按需分配 256 个 class c 的地址段。 下表是以行政省为单位的 ip 地址分配，其中北京 wan 的 ip 地址用于连接总部到各省及北京本地区 wan 的连接。l

25、an 的 ip 地址只用于北京本地区使用。 ipip addressaddress sitesite wan/lanwan/lan firstfirst bytebyte secondsecond bytebyte thirdthird bytebyte fourthfourth bytebyte maskmask wan1010016 北京 lan1020016 wan1030016 上海 lan1040016 wan1090016 山西 lan10100016 ipip addressaddress sitesite wanwan firstfirst bytebyte secondsec

26、ond bytebyte thirdthird bytebyte fourthfourth bytebyte maskmask http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 19 山西 至 临汾 wan1090430 临汾 至 乡宁 wan1091430 sitesitelanlanipip addressaddress firstfirst bytebyte secondsecond bytebyte thirdthird bytebyte fourthfourth bytebyte maskmask 临汾 lan10101014024 乡宁

27、 lan10 10103228 此表格是体现 ip 地址分配的思想，不代表最终设计 结果。 5.45.4 qosqos 实施实施 5.4.1 可选择的工具可选择的工具 在 xx 保险公司网内对 traffic 进行 prioritization 和 rate control 有多种方法。cos 只能提供差分服务：在网络边缘对每个 packet 进行 分类，骨干网对分类过的 packet 提供有区别的服务。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 20 qos 则能够提供更好和更可预测的网络服务，包括： 支持独占的带宽 减少丢包率 避免或解

28、决网络拥塞 设置 traffic 在全网的优先级 要在 xx 保险公司网上建立端到端的 cos 服务结构， 主要可以采用的技术手段有： ip precedence classification committed access rate weighted random early detection 1、 ip precedence for traffic classification ip precedence classification 在网络边缘进行， 利用 ipv4 包头的 type-of-service 3 个比特对每一 个 ip 包依据其地址进行优先级分类。最多可以将 traff

29、ic 分为 6 个等级。在核心利用不同的 queuing 技术对不同等级的 traffic 进行不同的处理，使得不 同的服务级别得到体现。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 21 2、 用 car 限制接入的带宽 committed access rate 提供一种手段来提供承 诺的带宽和限制带宽使用，在此同时，提供处理超出 承诺带宽以外流量的策略。car 可以配置在二级网以 下的路由器，可以基于接入的端口、ip 地址以及传 输层的端口号进行分类。 car 采用令牌桶的算法进行流量整形。对于超出 的流量，car 利用 extende

30、d burst 定义阈值，超过 阈值的流量降低优先级或丢掉。 car 的策略选项包括： firm car 超出的流量被丢弃 car + premium 超出的流量被标为更低的优先 级 car + best effort 超出的流量有一个突发的 阈值，再超出该阈值的流量被丢弃 per application car 不同的 car 策略作用于 不同的应用。比如，重要的应用采用 car + premium 策略，多媒体应用采用 car + best effort 策略。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 22 3 3、 用用 wredw

31、red 进行拥塞管理进行拥塞管理 采用 wred 进行拥塞管理。wred 在网络的瓶颈处 监视并缓解网络的拥塞。xx 保险公司的网络瓶颈可 能出现的地方主要是各级网络中心 wan 连接的地方。 wred 监视网络的负载，当拥塞开始刚出现时，它就 开始有选择的丢弃一些包以降低流量。其结果是，数 据源觉察到丢包，就开始降低发包的速率，从而避免 了拥塞。 wred 丢包的策略为：低优先级的流先丢，以保证 高优先级的流可以顺畅通过。 在可能发生拥塞的端口运行 wred 和 drr 是避免拥 塞的较好的选择。 5.4.2 实现实现 在具体实现中，为了达到最好的效率，需要对任 务进行分工。因为 cos 是

32、一个需要消耗很多处理器资 源的应用，所以这一任务分配在各级中心路由器上运 行，以减少对单独路由器的压力。 实现基于 cos 的差分服务结构需要 4 个步骤： http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 23 入口的带宽限制在二级以下的路由器和各级 lan 核心交换机上实现，同时完成入口 traffic 的 classification。针对不同的用户策略进行分类。 对需要提供带宽保证的流量，如多媒体 traffic，在 各级路由器和 lan 核心交换机上按 ip 地址进行 classification，将这类流量的 ip precendenc

33、e 值 置为高，其它流量置为低。 各级 wan 设备也需要做带宽管理的工作，采用 car，对各种业务以及应用按照一定的比例对其进行 带宽限制。 二级以上的路由器完成 cos 的管理工作，进行有 差别的服务质量保证。 出口设备，作 wred 设置，预告丢弃可能造成拥塞 的非重要 ip 包。入口、出口设备对带宽的限制保护 了网络免于拥塞，使得网络具有很高的可扩展性。 car 采用了一个令牌桶的算法进行流量整形，原 理示意图如下： http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 24 当数据流出时，token 从桶中相应流出。token 以 恒定速率补

34、充到桶中，这个速率就是承诺的带宽。桶 中可以有的最多 token 数目就是一般突发数据长度。 当数据到达时，如果桶中的 token 数目不够数据的长 度，这时，extended 突发容量就起作用了。(burst capability 可以通过设置 extended burst value 大 于 normal burst value 来达到)。 extended 突发可以让突发的数据借用一些 token，这样可以以一种类似 red 的方式丢弃 packet，而不是直接丢弃掉。 在端口上配置的策略作用于 traffic，可能的动 作包括： transmit：发送出去这些包。 set precen

35、dence andtransimt：设置 ip 包头中 tos 域的值，以对 traffic 进行分类。这种分类分为 2 种，color 和 recolor，后者指对 traffic 进行重 新分类。 drop：丢弃数据包。 continue：继续测试 car 的下一条语句。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 25 set precendence and continue：设置 ip 包头的 tos 的值，然后继续测试下一条语句。 下面是设置 normal burst(nb)和 extended burst(eb)值的公式： nb

36、= rate * time / 8 eb = 2 * nb 这里 rate 是 committed bandwidth，time 一般设 为 0.5 秒。 2 2、 配置配置 wredwred 在城域网可能发生瓶颈的地方配置 wred，从整个 xx 人寿网络来看，可能发生瓶颈的地方是 wan 的汇 聚接口。 red(随机早期丢弃)是利用 tcp 窗口机制而采用的 拥塞避免技术，通过在拥塞发生前随机丢弃一些包， red 通知数据源，可能要发生拥塞，请降低速率。 wred 依据 ip precendence 来丢弃数据包，以保证优 先级高的 traffic 得到服务保证。wred 一般配置在 核心

37、路由器上，而不是接入路由器。在本网络中 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 26 wred 配置在二级以上的 wan 路由器上。 wred 的处理流程如下： 计算平均的队列长度 如果平均队列长度小于域值下限，将到来的包放 入队列中 如果平均队列长度在域值的下限和上限之间，是 否丢弃该包取决于这个包的优先级 如果平均队列长度大于域值的上限，则丢弃该包。 下面是在北京网络中心核心路由器上的 pos 链路 上的 wred 的 sample configuration： interface pos 2/0 ip address 10.1.1.

38、1 52 random-detect 虽然可以修改队列度的域值，但 cisco 不推荐这 么做，因为，缺省的 wred 配置是已被证明是高效的 了。 举例说明：举例说明： http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 27 北京网络中心的核心业务系统服务器的 ip 地址 为 0 ，上海用于处理核心业务系统的 vlan 为 2/28,现在用 qos 来保证北京与上海之间 的核心业务系统的优先级为最高，带宽为 500k。 北京中心路由器配置： class-map match-all sh-t

39、o-bj match access-group 100 class-map match-all bj-to-sh match access-group 101 ! policy-map to_bj class sh-to-bj bandwidth 500 set ip precedence 5 class class-default fair-queue policy-map to_sh class bj-to-sh bandwidth 500 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 28 set ip precedence 5 clas

40、s class-default fair-queue ! interface gethernet1/0/1 description bj lan ip address 52 service-policy output to_bj ! interface pos1/0/0.1 description bj to sh ip address 52 service-policy output to_sh ! access-list 100 permit ip 2 40

41、host 0 precedence critical access-list 101 permit ip host 0 2 40 precedence critical http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 29 上海分公司也做相应的配置 5.55.5 网络安全网络安全 在具体实施公司网络的安全保护前，必须详细编 写 xx 人寿公司的网络安全策略。公司的安全策略是 实施和管理公司网络安全的准则。 5.5.1 internet 接入安全解决方案接入安全解决方案 xx

42、 人寿公司在公司网络的 internet 接入点配置 两台防火墙和两台 ids，防火墙与 ids 各自之间可以 fail-over。 5.5.2 lan 安全解决方案安全解决方案 在局域网中的核心交换机上配置防火墙和 ids 模块， 控制 vlan 间的网络安全。 5.5.3 远程接入解决方案远程接入解决方案 在公司总部部署 vpn 集中器，并且在客户端安 装 vpn client 软件，使远程用户与公司之间 传输的数据得到安全的保护。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 30 针对远程用户部署访问控制服务，对每个远程 接入的用户进行

43、安全的认证。 5.5.4 终端用户安全解决方案终端用户安全解决方案 公司统一部署防病毒软件，如果资金允许可以 在公司内部部署准入控制系统。 局域网中的终端用户必须经过 802.1x 认证才 可以访问网络。 5.5.5 wan 安全解决方案安全解决方案 在路由器之间进行 md5 认证； 可以在公司总部和省级网络中心之间部署 mpls vpn； 在路由器上关闭不需要的服务； 以适当的级别登陆路由器。 5.65.6 路由策略路由策略 考虑以下几个方面的原因，xx 人寿公司的网络路 由协议采用 ospf+静态路由协议。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书

44、http:/ 31 ospf 是开放的 ietf 标准协议； ospf 已被证明是可靠的和可扩展的； 高效的路由聚合和缺省路由机制在 ospf 中是 现存的； ospf 和 mpls 的结合是被证明成功的，而 is- is 和 mpls 的结合需要对 is-is 进行修改； 静态路由具有很强的稳定性。 一级和二级中心的路由器运行 ospf 在 area 0 中， 二级中心到三级中心路由器以省为单位分别运行 ospf 在 area1area31，四级网络中心采用静态路由 协议与三级网络中心互联。 第六章第六章 voip 系统系统 6.16.1 概述概述 xx 保险网络的建设很重要的一部分就是在数

45、据网 络上承载多媒体应用，xx 保险公司的网络建设完成 后，可提供很高的 qos 等服务质量保障，这一切为 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 32 xx 保险公司构建系统内部数据、话音、视频等三网 融合的网络提供了必要的网络平台。另一方面伴随着 dsp 技术的发展和基于 h.323、mgcp 等多媒体协议的 标准完善，各类提供基于 ip 平台的话音、视频设备 大量涌现，语音、图像质量已达到令人满意的水平； 同时基于 voip 的多种通信网关、客户端间的呼叫转 移、语音 e-mail 等智能语音业务，也极大丰富了话 音这种传统人与人之

46、间交流方式的业务拓展。从这两 方面考虑，采用 voip 技术实现 xx 保险公司内部的语 音业务，已是大势所趋。 xx 保险公司具备自行管理的 pbx 系统，提供内部 话音服务；pbx 系统与电信 pstn 网互连，实现与公 众网的交互，长途中继采用电信线路。这样 xx 保险 公司的语音网实际是建筑在电信公网基础之上，存在 长途话费昂贵、各类智能业务依靠电信提供，无法实 施行业内部的诸如语音 e-mail 等智能话音业务的问 题。随着 xx 保险公司建成覆盖全国的 ip 网络，带宽 可满足承载一定容量的 voip 电话的要求，所以从减 少巨额长途花费、实现智能业务等几方面考虑，采用 http:

47、/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 33 voip 改造 xx 保险公司语音网。 简单地说，voip 的基本原理就是通过语音压缩 的设备对我们的话音进行压缩编码处理，然后把这些 语音数据根据相关协议进行打包，经过 ip 网络把数 据包传输到目的地，再把这些语音数据包串起来，经 过解码解压处理后，恢复成原来的语音信号，从而达 到由 ip 网络传送话音的目的。 企业使用 voip 所获得的优势 消除长途话费。企业成功使用 voip 语音网关之后， 能够完全消除公司各分部之间高昂的跨国，跨区 长途话费。新一代 voip 的外线打出功能还将覆盖 面由公

48、司内部各点之间扩大到城市与城市，国家 与国家之间。 清晰、稳定、低延时的话音质量。 先进的拨号规划。先进的拨号规划和地址对应功 能，令其轻而易举的连接到 pbx 交换机上，灵活 且多样化的拨号通达各个目的地。 节省带宽资源。电路交换电话消耗的带宽为 64kbit/s，而 ip 电话只需 8-10kbit/s，从而节 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 34 省了带宽，降低了成本。 便于集成智能。voip 电话网集成了计算机网的智 能模块，可以灵活地控制信令和连接，有利于各 种增值业务的开发。 开放的体系结构。ip 电话的协议体系是开放

49、式的， 有利于各个厂商产品的标准化和之间的互相连通。 多媒体业务的集成。ip 电话网络同时支持语音、 数据、图象的传输，为将来全面提供多媒体业务 打下了基础。 xx 人寿网络 voip 的具体实施方案 6.26.2 北京网络中心的北京网络中心的 voipvoip 建设建设 在北京网络中心的路由器上配置适当数量的语音 端口适配器，通过这个语音端口适配器直接连接到公 司的 pbx 交换机。路由器上的语音端口适配器执行的 功能包括编解码器压缩、语音活动检测以及 voip 呼 叫的分组功能。路由器在语音的网络中作为语音通信 的网关。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网

50、络项目建议书 http:/ 35 路由器通过与 pbx 交换机的连接，使公司的 ip 网 与传统的 pstn 互通。 在公司总部部署适当数量的网守， 在 ip 电话中， 网守处于高层，是用来管理 ip 电话网关的。 网守的主要功能： 区域管理：区域管理：由于 ip phone 网络正在发展中，网络的 拓扑结构各种各样，考虑到目前的发展趋势，网守在 结构上应能适应各种结构，既能支持单网守、单区域， 也能支持多网守、多区域；在多区域情况下，各个区 域即可以建立平等和直接的联系，也可通过上级网守 联系。每个区域可配置多个网守，以用于备份和负荷 分担。每个网关保存两个网守的地址，网关启动后定 期向网守

51、发 rrq 登录，如果登录失败，则向另一网守 登录。登录时网守保存网关的登录生存周期，超时后 未重新收到网关的 rrq 则认为网关故障，将其状态置 为不可用。 在 xx 保险公司的 voip 网络的初期规划中，我们 部署为单区域语音网络，整个 xx 保险公司的 voip 网 络集中管理。随着业务量的增加和业务范围的扩大， http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 36 可以部署多区域的 voip 网络。 地址解析：地址解析：网关接受被叫号码，接收完被叫号码后把 号码送给网守，网守在路由表中查找目的网关的 ip 地址，找到目的网关后在 acf

52、 中返回其 ip 地址到本 地的网关，网关根据目的网关的 ip 地址把语音数据 通过 xx 人寿保险公司内部的 ip 网络传送到目的地。 带宽管理：带宽管理：由于每个网关接入到公司内部 ip 网络的 带宽有限，为了避免在话务高峰期造成网络拥塞，影 响所有的呼叫，网守可设定进行带宽管理。 路由管理：路由管理：为了提高网络的可靠性和接通率，对话务 流量进行分配，网守提供路由管理。在路由表中，每 个区号可以对应多个路由，路由具有优先级，选路时 先选高优先级路由，如果高优先级路由拥塞或不可达， 再选低优先级的路由。 6.36.3 省级中心的省级中心的 voipvoip 建设建设 在省级网络中心的路由器

53、上配置适当数量的语音 端口适配器，通过这个语音端口适配器直接连接到本 地的 pbx 交换机。路由器上的语音端口适配器执行的 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 37 功能包括编解码器压缩、语音活动检测以及 voip 呼 叫的分组功能。路由器在语音的网络中作为语音通信 的网关。 省级网络中心的语音网关到公司总部的网络中心 的网守注册，省级网络中心的语音通信管理由公司总 部来集中管理。 6.46.4 voipvoip 网络拓扑结构图网络拓扑结构图 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:

54、/ 38 第七章第七章 视频会议系统视频会议系统 7.17.1 概述概述 视讯会议（也称电视会议、会议电视、声像会议、 视频会议等，下面我们统一称视讯会议）是集语音、 图像、数据于一体的一种交互式多媒体通信业务，视 讯会议实现了语音、图像、数据等信息综合在一起的 远距离传输，使人们身处异地，利用视讯会议，即可 以听到对方的声音，又可以看到对方的图像，甚至还 可以共享数据，大大增强了异地开会的效果。 交互式视讯会议系统一般由终端系统、传输线路、 多点控制单元（mcu）等几部分组成。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 39 终端系统：终

55、端系统： 终端系统由终端编解码器以及摄像机、麦克风、 电视机等外围设备组成。 终端的作用是将某一会议点的实时图像信号、语 音信号及相关的数据信号进行采集、压缩编码、多路 复用后经传输线路送到 mcu；同时将从传输线路上接 收到的视讯信号进行分别解码处理，还原成会场的图 像、语音及数据信号；视讯终端还要将本端的会议控 制信号（如申请发言、申请主席等）传送到 mcu；同 时还需执行 mcu 对本端的控制指令。 终端外围设备主要包括摄像设备、显示设备、音 频输入/输出设备等， http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 40 摄像设备通常由带云台的

56、主摄像机、辅助摄像机 和图文摄像机等组成。主摄像机通常用于摄取与会者 的面孔等主要部分；辅助摄像机用于摄取主会场广角 场面；图文摄像机（也通常称为视频展示台）用于摄 图片、小型实物、文件等静止画片或物体。 显示设备最简单的是使用电视机，目前大尺寸正 投影、背投影设备通常在豪华的会议室使用较多。 音频输入设备主要指麦克风，可以把麦克风直接 接到视讯终端上，也可以通过调音台再接到视讯终端 上，也可以把录象机、vcd、dvd 的音视频号输入到 终端。 音频输出设备可以利用电视进行音频输出，也可 以通过功放音响系统进行输出。 终端控制设备，可以是一台 pc 机，也可以手持遥 控器，用于终端系统的控制、

57、维护、管理等功能，用 户可以通过它来控制会议。 多点控制单元：多点控制单元： 多点控制单元（multiprotocol control unit， 简称 mcu）是视讯会议的控制核心。当参加会议的 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 41 终端数量多于 2 个时，通常需要经过 mcu 来进行控制。 所有终端都要通过标准接口连接到 mcu，mcu 按照国 际标准 h.320 与 h.323 系列建议的规定实现图像和语 音的混合与交换，实现所有会场的控制等相关功能。 mcu 实现或多个信号汇接处理设备，包括图像、语音 以及数据的汇集和处理

58、，它是视讯会议的核心部件之 一，基本功能如下： （1）接收来自终端的视频、音频、控制等各种数 据组合而成的数字流。 （2）提取各方的音频分量并进行混合处理，即将 数字音频信号混合相加，再变成数字流输出到各终端。 （3）对视频和控制数据进行选择和切换处理。 （4）发送需要的数字流到各终端。 （5）提供多种会议控制方式。 mcu 是信息的汇接处理设备，完成多个终端之间的 信息交换和信息处理。 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 42 7.2xx7.2xx 人寿公司的视频会议系统架构人寿公司的视频会议系统架构 xx 人寿网络公司的视频会议系

59、统采用 h.323 通 信协议。在北京网络中心部署一台 mcu 和适量的视频 终端。也可以配备一台 gk（网守），在 h.323 系统 中，gk 是可选择的，它为 h.323 端点提供呼叫控制 服务。 当系统中存在 h.323 gk 时，其必须提供以下四种 服务：地址翻译、带宽控制、许可控制与区管理功能。 带宽管理、呼叫鉴权、呼叫控制信令和呼叫管理等为 可选功能。 随着人们对视讯系统业务特性及可管理特性等方 面的要求的不断提高，gk 在视讯系统中扮演的角色 也益发重要。 在各个省级公司配置视频终端。当公司的业务范 围扩大后，在省级公司部署一台 mcu，三级分公司的 网络配备视频终端。 所有公司

60、内部的视频数据通过公司内部的 ip 网络 传输。基于 h.323 协议的 mcu 和视频终端可以直接连 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目建议书 http:/ 43 接到以太网交换机上。 7.37.3 视频会议网络拓扑结构图视频会议网络拓扑结构图 第八章第八章 基于基于 ip 的呼叫中心的呼叫中心 8.18.1 概述概述 呼叫中心（call center），是以电话作为主要接 入手段，结合传真、e-mail、web 等接入方式，快速、 正确、亲切、友好地完成大规模信息分配和业务处 http:/ xx 人寿保险公司企业网络项目建议书人寿保险公司企业网络项目