银行数据中心项目工程实施策划方案

1、华夏银行济南分行数据中心项目工程实施方案1.杭州华三通信技术有限公司21年月项目概况项目背景华夏银行济南分行为满足业务需求，将依照模块化的、分层的、分级的现代数据中心设计理念,构建一个满足可扩展性、灵活性和高可用性的网络基础架构,实现对分行各业务系统提供统一的基础设施服务支持的目标。项目目标随着数据大集中的完成，分行业务处理模式将发生全然性变化,由先前的业务处理发生在分行本地演变成所有核心业务均上送总行统一处理。另一方面全行各类信息业务平台、治理平台的不断投入使用，带来明显的网络交易压力，对网络带宽、稳定性和安全性提出了更高要求。同时，由于网络设备持续运行,年久老化,面临较重的运行压力。今后拟

2、对分行网络系统进行一次升级改造，确保网络处理能力满足以后进展需要,真正实现业务处理和信息治理的高速运行。依照当前成熟的网络技术并结合网络技术今后的进展趋势，分行网络系统改造目标是建成一个高性能、高可靠性、安全冗余、可扩展的网络安全通信平台。网络改造具体涉及到以下几点:网络设备更换或升级分行网络自建成运行以来，差不多连续运转八年，网络设备已出现不同程度的老化,部分设备性能已严峻落后于现有同等网络产品，甚至部分产品已停产或淘汰，为保证分行网络的安全运转，优化分行网络性能，预防网络故障的发生,对分行老旧网络设备进行更换或升级。同时，网络改造必须采纳国际通用的标准,在网络模式、设备的选择、线路的选择、

3、实施和治理等各个环节上都采纳现行国际标准和行业标准,以方便以后对网络的升级、更新和维护；充分考虑各个网络产品(软件、硬件)的兼容性,网络设备的冗余性；所有网络设备必须支持IPV6,满足下一代数据通信网络的需要。千兆网络建设随着数据大集中项目的实施，以及各种新业务系统的上线,网络系统资源的占用越来越大，提高业务处理的速度和质量,成为分行网络建设的重点。鉴于分行现有的百兆网络面临的业务压力，必须提升网络带宽,对分行核心网络设备实现千兆光纤互联，保证网络的快速处理能力，并实现核心应用服务器的千兆连接。网络区域划分目前分行网络划分为外网、内网、MZ区三个大的区域。为了增加网络的安全性、可治理性，对网络

4、按不同的功用，进行更细致的区域划分,共划分为十一个区域，通过区域的划分使分行网络结构更加合理，各部分的功能一目了然，便于治理和安全规则的设置。为了保证网络的安全,在各区域间架设防火墙，对网络的访问进行过滤和限制。网络总体规划网络现状原组网图如下：目前华夏银行济南分行(以下简称分行）网络系统分为内网、外网、DMZ区三部分，各区之间通过防火墙进行了有效隔离。内网由核心、汇聚、接入三层结构组成,严格按照网络的三层结构设计建设,是分行内部网络业务系统；外网是第三方接入网络;MZ区是部分公用系统和无线网络接入区。分行网络通过总行大集中网络改造后,已实现了核心冗余，汇聚冗余、接入冗余，实现了设备和线路的冗

5、余。内网核心网络设备采纳两台思科6509高端设备，处理速度快,稳定性高。两台设备互为备份，实现核心冗余；汇聚设备由两台思科75系列设备构成,并互为备份,一台设备出现故障,另一台可立即接管；接入层为思科2621XM路由器,通过网通和广电两条2 DH接入核心网络，两条线路一主一备,保证业务连续性。在内部网络的基础上分行又建设了终端网，各支行终端可通过10M光纤接入核心终端服务器,从而访问分行生产网络，大大提高了网络访问速度。外联网是第三方接入分行网络区域,第三方用户通过一台思科75系列路由器和两台思科系列路由器接入分行生产网络。另外,为保证接入银联网络的稳定性，分行把银联业务网络单独隔离,与核心网

6、络直接联接,并通过防火墙进行了有效隔离。M区是部分公用系统区和联通无线网络接入区,分行利用联通网络建设了无线v网络，通过无线vpn网络分行单点M和移动办公终端可在联通无线信号覆盖的任何区域接入分行网络。为保证网络安全，通过防火墙与联通网络进行了隔离,单点A和移动办公终端在数据传输时均采取了严格的加密措施。内部网络三个区域之间通过防火墙(px20）进行隔离,并设置了相应的访问策略，同时利用思科的内容交换机(ciso1105)和防火墙相结合,实现了防火墙的负载均衡和冗余备份。分行网络通过ciso7606和华为NE16接入总行网络,两台设备互为备份,通过防火墙与总行网络隔离。在网络监控和预防非法入侵

7、方面,分行采纳联想N820入侵检测设备，实时监测网络运行状况。目前的网络存在以下问题:设备的老化，故障频发：分行网络从建设运行至今已有八年，大部分设备已出现不同程度的老化现象，网络设备运行故障升高,断电后再启动、死机,重启后无法启动等现象频繁发生。台内容交换机和1台PIX防火墙都出现过硬件故障；两台汇聚路由器cico7567和io757引擎故障，自动重启;各支行网络由路由器csco2621陆续出现了故障。设备的老化差不多严峻阻碍了网络的正常运行。系统陈旧，功能匮乏：现有两台核心交换设备cisco6509操作系统为CATOS,而现在CA已淘汰，目前市场流行的路由和交换设备都使用I,因此导致不能兼

8、容多数新型的网络设备和各种新的功能特性，致使许多安全措施无法应用，阻碍核心网络的安全性。架构落后，安全风险大：随着业务系统的扩展，现有网络虽采纳了分层的设计思想,但没有对各功能区域进行划分，各业务系统及功能区域之间没有指定清洗的安全等级，不利于安全策略的制定。新建网络设计新网络拓扑如下：新建网络有如下优点：结构整齐,层次清晰，便于治理。采纳动态路由协议，维护简单，扩展性好;设备部署设备命名规则为便于进行网络故障诊断和远程监测，参照总行网络设备命名规范分行将统一全辖网络设备的命名。网络系统中设备的命名使用五个字段组成，分不表示该设备所在区域，功能,层次,类型等，便于设备维护治理。设备名称的字母全

9、部采纳大写表示。要紧网络设备的I命名规则如下:_C_D：A:分行名称(如上海分行、等)B:区域名称(如核心区、服务器区、办公区、治理区、等,也可表示支行名称)C:区域层次(如汇聚层或接入层)D:设备类型(如核心交换机、路由器、防火墙、入侵检测、等）:设备序列号（如第一台、第二台、等）依照上述描述，每个字段做如下进一步的明确：A：分行名称分行名称标识北京BJ上海HB：区域名称序号名称描述1核心区（Co oe）ADMIN治理区(mi Zone）3APPSVR业务服务器区（Ap_ervr ne)4OSV办公服务器区(O_Server o)HQCONN上联区(_CnZone)6RACONN下联区（Br

10、_Connone）7APUSR业务用户接入区（App_se Zon）8OAUR办公用户接入区(O_UZone）9EXTN外联区(Et_Conoe）10DZMZ区1开发测试区（Developng esting one)1TA终端接入区(Trminal AccessZon)C：区域层次序号名称区域1D汇聚层（Distibutio aer)2接入区（Aess ay)D:设备类型序号名称描述1SW交换机R路由器FW防火墙4DS入侵检测系统E：设备序列号序号名称描述11同区同层第台设备2同区同层第2台设备例如:_ORE_W1:表示北京分行（B)核心区(CORE)核心交换机(W）第一台（1);SH_AMI

11、N_L_1：表示上海分行（H)治理区（ADMN)汇聚层(L)交换机（S）第一台（1）;SH_APSVR_AL_W_1(或_2)：表示上海分行(S)业务服务区(APPSVR）接入层（AL）交换机(SW）第一二台（1或2)；S_EXTCNN_1：表示上海分行（S）外联区（ETCON)防火墙(FW)第一台（1）；_YBRT1:表示天津分行（TJ）分行营业部（YB)路由器(R）第一台（1）；下表是本次项目全网设备的命名序号名称描述J_CORE_S_1生产网核心88-1交换机JN_RE_SW_2生产网核心808-2交换机J_BRANCON_L_RT_1分行广域网接入区汇聚路由器14JNBRANON_DL

12、_T_2分行广域网接入区汇聚路由器25JN_EXTCONN_IS分行外联接入区S-16JN_EXTCPS_2分行外联接入区P-J_ETONN_W_1分行外联接入区防火墙8JNEXON_FW_2分行外联接入区防火墙-11N_EXTCNN_A_W_分行外联接入区交换机1ETCONN_A_SW_2分行外联接入区交换机2JNETCON_ART分行外联接入区路由器-11J_EXCONN_A_RT_分行外联接入区路由器215JN_EXTCONN3G_1分行外联接入区3G路由器16_EXTN_DMA_分行外联接入区CDM路由器17J_DM_DL_W_分行D区汇聚交换机-18JDMZ_DL_SW_2分行MZ区

13、汇聚交换机21J_ADIL_SW_1分行治理操纵区汇聚交换机-120N_APPUR_L_SW_1分行用户接入区汇聚交换机-21J_APUSR_DL_SW分行用户接入区汇聚交换机-222JN_APPRA_W_1分行用户接入区接入交换机-12N_APSR_A_W_2分行用户接入区接入交换机-2JN_APSR_AL_SW_分行用户接入区接入交换机-325JTA_DL_SW_1分行终端接入区汇聚交换机-126JN_DT_DL_SW_1分行开发测试区汇聚交换机127JN_OV_LW_1分行办公服务器区汇聚交换机-128_OASVR_DL_SW分行办公服务器区汇聚交换机229JNAPSR_SW_分行业务服

14、务器区汇聚交换机1JN_APSVR_DLW_分行业务服务器区汇聚交换机231JN-Y-H分行下联东营路由器-132JN-DYH2分行下联东营路由器-2网络设备的链路描述（Descrptn）规则为了便于网络设备的维护，应在网络设备中用到的接口中配置相应的描述（Diion）命令,对链路的走向进行描述，具体格式为：行内线路描述:detio To 对端设备ID 对端设备接口ID其中，设备请参照网络设备命名规范,设备接口ID请参照设备厂商的端口命名规范。外联线路描述:dscripio VLN命名规则为便于治理,LAN名称应使用统一的命名规则网络互联VLA要紧以英文缩写命名：本方案涉及的VLN名称如下:核

15、心区ln IDVAN名VLA划分描述用途81LIK81oJ-PE-G2分行核心1与上联总行路由器互联1INK821O-JN_PC1-G6/2分行核心2与上联总行路由器1互联82NK0TO-J-PEC2-G/2分行核心1与上联总行路由器2互联822IN82TJ_PE_2G11分行核心2与上联总行路由器2互联8LINK83TO-JN_RACONN_DL_RT_1_3/0/0分行核心1与下联路由器互联82INK823TO-JNACONN_DL_1G3/0/1分行核心2与下联路由器互联804LIN4-JNBRNCONN_RT_2_3/分行核心1与下联路由器2互联84LINK4TO-N_BRANCONN

16、DL_RT2-3/0/分行核心2与下联路由器2互联05LK0TO-JNPPSVR_L_SW1_1/0/4分行核心与业务服务器区汇聚交换机1互联8LIK825O-_APPSVR_DL_SW_210/49分行核心与业务服务器区汇聚交换机2互联806LINK806T-JN_OASVR_DL_W_1_G/9分行核心1与办公服务器区汇聚交换机1互联6LINK826O-JN_ASVR_DLSW_2-G1/0/49分行核心2与办公服务器区汇聚交换机互联807LINK0TO-JN_T_L_W_1/0/49分行核心1与开发测试区汇聚交换机1互联827LK827OJN_D_DL_SW_-1/050分行核心2与开发

17、测试区汇聚交换机互联80LNK808TO-J_TA_D_SW_G/0/49分行核心1与终端接入区汇聚交换机互联28INK28TO-JN_TA_LS1-G1/0/50分行核心2与终端接入区汇聚交换机1互联809LINK80o-JNOAUSRDL_SW1分行核心1与分行用户区汇聚交换机1互联829K829TO-JN_OASDL_S2分行核心2与分行用户区汇聚交换机2互联810LINK80o-N_ADMN_DL_SW_1-G1/049分行核心与治理操纵区汇聚交换机互联8INK30TOJN_ADM_DL_SW_-G1/0/50分行核心2与治理操纵区汇聚交换机互联1LNK81To-N-Y1-G/0分行核

18、心1与分行核心2互联841LIN41TOJN_EXTCON_IPS_1Eth1分行核心与外联接入区IS互联业务服务器区anIDLN名VLAN划分描述用途805LIN8T-N_COR_SW_1-G5/3业务服务器区汇聚交换机1与分行核心互联51LIK8TON_APPSR_DLSW_-G10/50-51业务服务器区汇聚交换机与业务服务器区汇聚交换机2互联10YWUYeu分行业务服务器103CESHICEI用于测试使用办公服务器区Vl IDVLN名VLN划分描述用途6NK06To-N_CORE_SW1_G5/4办公服务器汇聚交换机1与分行核心互联826NK26T-J_CORE_SW_2_G5/0/4

19、办公服务器汇聚交换机2与分行核心2互联82LIK852ToJOSVRDLSW_办公服务器汇聚交换机1与办公服务器汇聚交换机互联61OAOAOA服务器128ShZgWenShuZGongWen数字公文系统开发测试区lan IVLN名LA划分描述用途160eShiChi测试网终端接入区Vln IDLAN名VLAN划分描述用途80LINK88-JN_CORE_SW_1终端汇聚交换机1与分行核心1互联828INK828To-JNE_S1终端汇聚交换机1与分行核心2互联100NGXNGX高新支行101JNSJNSB市北支行0JN-YYBJN-YYB营业部10NCDJN-C城东支行1N-HLJN-PL和平

20、路支行10J-NH槐荫支行10JN-FLJN-JFL解放路支行17JN-WELJN-WL纬二路支行18JN-JJN-JL经十路支行1JN-SNJN-SN市南支行110N-JG-JG分行机关11JNZQJN-ZQ章丘支行12N-WFJNW潍坊支行20JN-ZDJNZD终端服务器148XXFBN-XFB信息公布系统49JNSPHJNSPHY视频会议150JN-JZJKJNJZJK集中监控151PEIXUNIXUN用于培训分行用户接入区Vlan IDVLAN名VLAN划分描述用途809LN80TON_COESW1G/0/办公用户接入交换机1与分行核心1互联82LN89TO-JN_CORE_SW-G5

21、/办公用户接入交换机2与分行核心互联85LIO-JNOAUS_DL_W_2Bge1办公用户交换机1与办公用户交换机2互联861uaiJiBuKAJIU会计部862LI8FHJGTem分行机关临时870XinXiJiBuSB信息技术部治理操纵区Vlan IDVL名VLN划分描述用途810INK810O-JN_OR_SW1-G5/治理汇聚交换机与分行核心交换机1互联30LIK830O-J_ORE_SW_2-G5/8治理汇聚交换机与分行核心交换机2互联192WangGuanngGuan网管服务器和ID治理机12angingDFangBnDu防病毒服务器外联接入区及MZ区Van IVLN名VLA划分描

22、述用途842LIN842S/2 T WSW2外联接入区互联VLA843LIN843JNNN_F-T-JN_DZ_DL_WDZ区互联VL139LIK1BAOBIAO报表LNK140ZHIFU支付软件版本序号设备名称软件版本1H-H3C-S9512-0MW31014823槽位部署7606交换机:S506E0S756交换路由处理板S7506E交换路由处理板2 34端口千兆以太网光接口业务板端口千兆以太网电接口模块56防火墙业务板7VLAN及IP地址规划VLN规划核心区依照分行新网络建设的统一规划核心区设备LAN的划分见下表:区域VLAN ID本端设备对端设备VLA用途核心区80JN_CR_W_1JN

23、-PC分行核心1与上联总行路由器1互联81JN_CE_W_2JN-PEC分行核心2与上联总行路由器互联80NCOE_W_1N-PE-C分行核心1与上联总行路由器2互联822NORE_SW_JN-PE2分行核心2与上联总行路由器2互联803CORE_SW_1JRACN_L_R1分行核心1与下联路由器1互联823JNOR_SW_2N_RACONLRT_1分行核心与下联路由器1互联804JCOSW_1TOJNBRANCO_DL_RT2分行核心1与下联路由器1互联824JN_RE_SWTO-NBRANCONN_DL_RT_分行核心2与下联路由器互联85NCORE_W_1JN_APPSVR_L_W_1分

24、行核心与业务服务器区汇聚交换机1互联82JNORE_S2JN_APSVRDLSW2分行核心2与业务服务器区汇聚交换机2互联806JNCORE_SW_JN_OASR_DL_SW分行核心1与办公服务器区汇聚交换机1互联82JNCOE_W_JN_OASVR_DL_SW_2分行核心与办公服务器区汇聚交换机2互联07J_CORE_SW_1JN_T_DL_1分行核心与开发测试区汇聚交换机互联827JN_COR_SW_2JN_D_DL_W_1分行核心2与开发测试区汇聚交换机1互联88JN_COEW_TA_DL_1分行核心与终端接入区汇聚交换机1互联828J_OR_SW_2NTA_DL_W_1分行核心2与终端

25、接入区汇聚交换机1互联8JN_OE_S1N_OASR_DL_SW1分行核心1与分行用户区汇聚交换机1互联829JN_CORES_2JNARDL_S_2分行核心2与分行用户区汇聚交换机互联810JN_CORE_SW_JNADMIN_DL_W1分行核心1与治理操纵区汇聚交换机1互联830N_CRE_S_2JN_ADMI_DL_W分行核心与治理操纵区汇聚交换机2互联1_COE_SW_1JN-DY-1分行核心1与东营分行1互联812_CORE_SWJ-D-H1分行核心1与东营分行2互联1JN_COR_2N_XTONN_IPS_2分行核心与外联接入区IPS互联业务服务器区区域VN I本端设备对端设备VL

26、AN用途业务服务器区805N_APSVRDL_SW1JN_CO_SW_1业务区服务器汇聚交换机1与核心1互联85NAPPVR_L_SW_2JN_COR_W_2业务区服务器汇聚交换机与核心2互联851_APPSVR_DSW1_APSVRDL_SW2业务区服务器汇聚交换机互联120JN_SVR_L_S分行业务服务器分行业务服务器LAN办公服务器区区域VLAN I本端设备对端设备VLAN用途办公服务器区806JN_OSR_D_W_N_RES_1办公服务器区汇聚交换机1与核心互联826JNOSVR_DLW2JCORESW_2办公服务器区汇聚交换机与核心2互联852JN_OASVRD_SW1J_OASV

27、R_D_SW_2办公服务器区汇聚交换机互联128JN_OAVR_D分行办公服务器老OA等系统601O_DL_W分行办公服务器新OA开发测试区区域VLA ID本端设备对端设备LN用途开发测试区807JNDT_DLSW_1JN_CRE_SW_1开发测试区汇聚交换机1与核心互联82JN_DT_DL_W1J_COR_SW_2开发测试区汇聚交换机1与核心2互联160J_DT_DL_SW1测试主机开发测试终端接入区区域LAND本端设备对端设备VA用途终端接入区0JNA_DL_SW_OESW_1终端接入区汇聚交换机1与核心1互联8JN_T_D_SW_1JN_COSW2终端接入区汇聚交换机与核心2互联00NA

28、_DL_SW_1JN-X-2960高新支行终端1JNA_DL_WN-S2960市北支行终端10JN_TA_D_S_1J-YYB分行营业部终端103JNA_DL_SW_1JN-CD-9城东支行终端104J_AL_W_NHPL-20和平路支行终端105JN_T_L_SW_1JN-HY-2960淮阴支行终端106N_TA_DSW_1JN-JFL-2960解放路支行终端107JN_A_DL_W1J-WL260纬二路支行终端108JN_TA_SW1NJSL2960经十路支行终端109N_TADLSWJN-SN-2960市南支行终端10J_A_DL_SW_1NJG-2960机关终端111JN_T_L_SW

29、_1NZ-296章丘支行终端112_T_DSW_1JN-WF-960潍坊支行终端20JN_A_DL_SW1终端服务器系统终端服务器系统0JN_D_SW_集中监控系统集中监控系统14JA_SW_1信息公布系统信息公布系统149JN_TA_DL_SW_1视频会议系统视频会议系统分行用户接入区区域L D本端设备对端设备VLA用途分行用户接入区80JNOAUSR_DL_W_1JNCORESW1分行用户接入区汇聚交换机与核心1互联829JN_OUSR_DLSW_J_ORE_S_2分行用户接入区汇聚交换机2与核心2互联85JN_OAUSR_DL_SW_1JN_OAUS_D_SW_分行用户接入区汇聚交换机互

30、联8JN_OAUSR_DLW会计部服务器会计部870NOAD_W信息技术部服务器信息技术部治理操纵区区域VN ID本端设备对端设备VN用途治理操纵区10NADMIN_DL_SW_1JN_COE_SW_治理操纵区汇聚交换机1与核心1互联0JN_AMI_SW_1CRE_SW_2治理操纵区汇聚交换机与核心2互联102JN_DMIN_L_S_1防病毒补丁服务器防病毒补丁JN_ADMN_L_S1网管服务器网管外联接入区及DMZ区区域LAN ID本端设备对端设备AN用途外联接入区及Z81JN_EXTCONIS_1JN_CORESW1外联接入区IS与核心1互联841JN_ETCOPJ_ORE_SW2外联接入

31、区IP与核心2互联42N_EXONAL_SW_J_EXCN_ALS_2外联接入区互联AN83JN_MZDL_1NDMZ_DL_SW2DMZ区互联LAN4NXTCONN_L_S_JN_EXCONNFWCMA Serve与互联防火墙VLA19JN_DMDW1报表系统服务器报表系统服务器14JN_DMZ_DLSW_1支付系统服务器支付系统服务器端口划分核心区本端设备对端设备所属VA设备名称端口编号端口类型设备名称端口编号端口类型CORE_SW_1G/01G（SF，LC）NE1G/21G(J4)VLAN801G3/0/1G（SFP,LC)J-PE-C2G/21G(RJ）VLAN825/11（SF,C）

32、NRANCON_R_1G3/0/01G（FP,LC)LA80G5/0/21G（SFP,LC）J_ANCONN_L_RT2G3/01(SF,LC)VAN04G/1（S,L)J_PPSVR_DLSW11/01G(,LC）VLAN850/41G（SP,C)N_OASVR_S_/0491G（SFP，C)LAN0G5/51G（SF，C)JNDT_D_SW1G1/0/41G(SFP,L）L807/61G(FP,LC）N_A_L_S_G1/491G(FP,L)VLAN808G5/07G(SFP，LC）N_AUR_L_SWG2/0/11（SF,C)VLA809G5/81G(F，L）J_ADIN_SW_1G1/

33、049（SFP,L)VLAN81G/0/31（J4)JNDY-H100G（J45)VLN81G0G（RJ45)JNY-H2G0/01G(RJ45)LAN81G3/0/240M（J45)JEXTONN_IPS_1Et10M(RJ45)VAN841JN_COE_W_2G3/11G(SFP,LC）_EC1G6/2G（SFP,LC）LAN81G3/0/21G（SFP,LC）N-PECG1/11G（F,LC)A22G5/11（F，L）JN_BRNCNN_DRT_3/0/11（F,C）VA85/0/2G(SP,LC）N_BRANCN_DL_RT2G3011G（SF,LC）LN824G5/03(SF，LC）

34、JN_PSR_D_2/0/41G（SFP,LC）VLAN825G5/0/41G（S,LC）JNOSVRDL_SG1/091G（SFP,LC)VLA826G5/0/5（F,LC）N_DT_L_SW_G10/0(SP,LC）VLA827G/0/61（SP,C）JNTA_DL_SW_1G/0/50G(SFP,L）VAN828G5/1G（SFP,L)JN_OAUS_SW_2G2/11(SP,LC)VLN29/0/1G（SFP,L）J_ADMN_L_S_G/0/1G（FP，LC）AN830G30/31G(R45）N-DY-H1G/1G（45）VLA8G/1(RJ45）NDY-H2G/1G(RJ5）VLA

35、N83G/0/2410(RJ45）JN_EXTCONN_IPS2th11(RJ45)VLA841JCORE_S_1G/0/23G（SF,)N_CORESW_25/0/231G(FP，C）RANKJN_CRESW_15/0241(SF,C)N_ORE_W_2G/0/231G（FP,C)TRANK业务服务器区本端设备对端设备所属VLN设备名称端口编号端口类型设备名称端口编号端口类型N_PRDL_S_1G0/491G(SFP，LC)NORE_SW1G5/0/31G（SFP,L）V805JNAPSVR_DLWG1/0/41G（SF,LC)J_CORE_SW_2G5/0/31G（P,LC)LN2J_AP

36、PSV_DLSW_1/0501G(SFP,LC）JNAPPSR_DL_W_2G1/51G（SF,)TRANKJN_ASVRDL_S_11/011G(SP,L)N_PPSVDL_W_2G1/0/51G(SFP,LC)TRAK办公服务器区本端设备对端设备所属VLAN设备名称端口编号端口类型设备名称端口编号端口类型J_OASRL_SW1G1/491G(FP,)J_OE_SW_1G/0/41G（SFP，LC）VA06JNSR_W_2G0/491（SFP，LC)JNCORE_S_G5/41(SFP,C）VLAN826J_OASVR_DL_SW_1/0/（SP，C）JNASV_L_S_21/0/501G（

37、SFP,LC）TRKJN_ASR_DL_W_1G1/511G(SFP,LC)N_OASR_L_SW_1/0511G（SFP,LC）TRAK开发测试区本端设备对端设备所属L设备名称端口编号端口类型设备名称端口编号端口类型JN_DT_LSW_G1/0/41G(FP,）JN_E_SW1/0/51（F,C)VLAN07JN_DT_DLSW1G1/01（S,LC)JNCOE_SWG0/51G（P，LC)VLN8终端接入区本端设备对端设备所属VN设备名称端口编号端口类型设备名称端口编号端口类型JN_A_DL_W_1G1/0/491（F,LC)N_ORESW_1G50/1G（S，LC)VLA808G1/0/

38、0G（SP,LC)JN_OREW_2G5/0/61G(SFP，LC)VAN828G1/1G (RJ)-GXG0/11G (RJ45)TRG1/21(RJ4)JN-SB/11G (R45)TRANKG1/G(5）JN-YBG01G(RJ4)TRNG1/0/41G(RJ4)J-DG0/11G(45)TRANK1/0/51G (RJ5)JHL011 (RJ5)RANK10/6 (R5)N-HG0/11G (45）TRAKG1/0/71G (RJ45)JN-JLG/11G (RJ)RAKG1/0/1 (R45)JN-WELG0/1G (R45)RANKG/0/91G (R4)JN-SG0/11G（RJ

39、45)ANK1/0101 (RJ45)J-G01G(RJ45)T1/111(RJ5)JN_FHJGG0/11 (R4）TRANKG1/013G(RJ45)NZQ0/11G (RJ4）TRNKG1/0/14G （RJ45)N-WFG0/1G （J45)TRANK分行用户接入区本端设备对端设备所属LN设备名称端口编号端口类型设备名称端口编号端口类型NOAUR_DL_SW_12/11(SFP,L)JN_CORE_SW_15/0/7G(SFP,LC)V809JNOAURDL_SG2/1G(SP,C）J_COES_2G5/0/71G（SFP,LC）VLN89JN_AUSR_D_W_1G2031G（SFP

40、,LC）JN_USR_DL_S_2G2/23（P,LC)TRANKN_OAUR_D_SW_1G/0241G(SF,C）JOUR_DL_SW_G2/0/41G(SFP,LC)RAN治理操纵区本端设备对端设备所属VLAN设备名称端口编号端口类型设备名称端口编号端口类型JN_ADIN_DLS_1G1/1G（SFP，L)N_CRE_SW1G0/81G(SP,LC)LAN80N_ADMN_DL_W/0501G(SF，LC)JN_COR_SW2G50/81G（P,LC)VLN830外联接入区及DM区本端设备对端设备所属VLAN设备名称端口编号端口类型设备名称端口编号端口类型JN_TCONN_IPSEth1

41、00M(RJ45)JN_COR_SW_30/241G（RJ5)LAN4J_EXON_IPS_2Et1100M(RJ4)JNCRE_SW_2G3/0/241（RJ45）VLAN841N_EXTONNL_S_1G1/11G(SFP，LC）JNXTN_AL_W_211/11(FP,C）VLAN842XTN_A_1G/1/1（SFP，LC）J_EXCONN_AL_SW_2G1/121G（SFP,C)VLAN82JN_DMZDLSW1G/2510M(RJ45)JN_EXCONFW_1Eth2100M(RJ45）VLA843JN_MZ_L_W21/0/2510(45)J_EXTCONNFW_2t210M(

42、RJ45)VA843JDMZ_DLSW_G1/0/21（SF，LC)_DMZDLSW_2G10261G（SFP,LC）TRUKJN_DMZ_DL_SW1G1/271(S,LC）N_DMZ_DW_G10271G（SF,LC）TRNKIP地址规划的规划依照总行IP地址规划的要求,济南分行新建网络的互联I网段和应用系统IP规划如下：分行网段为：济南分行21核心区区域名称网段VLAN I本端设备P对端设备P核心区核心设备互联地址461.211690117.251.706172.1694.7.51.60/29802467.51.124.7.251.16112.40.1380121.240.1.92.24

43、.1012124.12/3004121.240.1.13121.240.1.1412.240.16/08011.240.1.711240.1.181240.1.0/30861.240.2112.40.12212.20.24/802.240.5121.4.2121.20.128/308082.40.1.29121240.1.301210.1.32/8092.240.132.240.134121.240./30811.240.1.37121.2401.31224.0/3811121240.1.11.24.1.422141.252/3082021.402512.240.2446.15116/2982

44、14.1.51.178617251.17746.17.251.184/292246.7.21.8646.17.251.1851120.8/383121.24.2.140.121.240.2.284121.240.3121.242.21.24.16/30852.240.7121.240.2.18121.24.0/308221.0.2.21.242.2221242.24/02121240.2.2512.40.2.221.0.2.8/30828121.912240.2.3011.40.2.32/09121.20.33121.23412.240.63083012.24.2.3711.423811.24

45、.0/3081124.2411.0421.24.3.0/2111.240.3.212124033VP：21.24.111.4.36业务服务器区区域名称网段VLAN 本端设备IP对端设备IP业务服务器区与核心互联地址11.20.6/305121.241.18121.2401.17与核心互联地址121.402.6/302512.40.2.1121.22.7业务服务器区汇聚交换机互联11242.24430851.0.2.45.240.2.246业务系统46.2240/412046.17.24216.17.224.2VI:.17.24.32办公服务器区区域名称网段VLANID本端设备IP对端设备IP办

46、公服务器区与核心互联地址121.20.1.20/380612.240.121.24.1.21与核心互联地址212124.203086121.241.401办公服务器区汇聚交换机互联21.2.2/3052121.240.22.240.2.50老OA等系统4.17.240.96/212846.240.96.7.240.9VI: 4.17.24.97新OA11.9.1./260111.129.12.19.IP:21129.1.1开发测试区区域名称网段VLA ID本端设备IP对端设备开发测试区与核心互联地址121.240.1.24/308011.4.2611.240.1.25与核心互联地址2121.4

47、.2.24/0827122402.6121.242.25开发测试 121.60.10241终端接入区区域名称网段VLAN I本端设备I对端设备IP分行终端接入区与核心互联地址111.2.1.28088121.40.1301.2401.2与核心互联地址221.20.2/30121.40.2302120.2终端接入11.18.130.0/610021.18130611.18.13.0终端接入121.18.131.0/6011.18.1316121.18.13160终端接入11.1.1.026102121.8.13.2121.8.32终端接入2118.0/6031211.33.6212118136终

48、端接入121.1340/26101.18.3.6212118.3.60终端接入2135.0/26105121.18135.21211360终端接入21.18.136.0/1012.18.16.62121.186.60终端接入2118.17/2107121.1.137.62.18137.6终端接入118.38.0/26108.18.18.612118.138.60终端接入121.1.1390/26109121.8.19.6212.8.139.60终端接入121.18.14./6110121.18.140.6211.8140.6终端接入12118.12/2111.18.142.212118.14.

49、60终端接入18.43.06112121.8.14361211.14360终端接入121841.26120211.4.62NA终端接入1.18.141.12826148121.18.41.190/A终端接入.22.0/24149222.11N/终端接入21.84.6/260121114116N/A终端接入11.60.2.0/4151121.160.1N/A分行用户接入区区域名称网段VLA ID本端设备I对端设备I分行用户接入区与核心互联地址1121.240132/309121240.3121.0.1.33与核心互联地址12.240.23082911.24.2.421.2.233用户接入区汇聚交

50、换机互联12.40.252/30831212.2531240.54会计部11.1.0/24861121.1.811.18.3IP：21.1.81信息技术部11.9.0/2670121.19.212.19.3IP:21.1.91治理操纵区区域名称网段VLAN D本端设备IP对端设备治理操纵区与核心互联地址112.2401.363810121.2401.3821.24.1.7与核心互联地址221.20.360830214.23121.20.7网管1219.1.0/2419221.12.1 NA防病毒/补丁11.121.0/42121.02.154N/A外联接入区及DMZ区区域名称网段VAN ID本

51、端设备P对端设备IP外联接入区及MZ区与核心互联地址（防火墙）1.40.3.0/294122436121.2401外联路由器（CISC5）互联11.240.3.4029/11.240.1224.3.42外联路由器(CISC84)虚拟网关121.40./28842.40.3.18121.240.3.1P:240.17VIP:214.20M区互联21.2403.2/98431103.4114.335VIP:121.20.3卡报表46.1.247.0/213946.172471.7.247.VIP：46.17.2472支付等应用系统6.1.48.0/24146.7248.2346.1.48.54VI

52、P:6.17.248.250设备治理地址区域设备名称pck地址核心区JN_ORE_F_1 1.255255.1NCOREW1.5.55.2J_COREW_11.55.255.3JNCORE_W_2121255.255.4业务服务器区J_APPSVR_DL_S_1125.255JN_PPSR_L_SW_211252556终端接入区 J_TA_DL_SW_21255.5.开发测试区J_DT_DL_S_1 11.255.25.治理操纵区 _DMI_DL_12.5.2551办公服务器区JN_OAR_L_SW_112125555.11J_OASR_DLS_21.2552552办公用户接入区JN0ASL_

53、SW_112.255.255.1J_AUSRDL_SW_121.55.2514J_AUR_A_W_621.255.2555上联区JNPE-C121.255.25516JN-C211.55.255.17下联区JNBRACON_DL_R_1121.255255.J_BRANCON_DLRT_211.25.25519外联区 JN_EXTONALR_1121255.520N_EXTCONN_RT_2.55.255.1JN_EXTCNN_W_1121.25.2.JN_EXCON_SW_121.55.255.23J-D-H111.55.55.2JN-3GH111.255.25.2JN-O-H121.255

54、.55.26DZ_DL_W_12255.2.7JN_DMZ_SW_211.255.25.28路由协议部署网络总体路由策略路由总体规划图如下所示:与总行互联的广域网广域网保持BP路由协议不变，华夏银行济南分行路由器与总部路由器之间建立P邻居关系,与总行交换路由。中心网络以及下联支行采纳ospf济南分行以及各地支行局域网与广域网路由器相连,使用SPF协议。与总行互联的核心路由器为分行局域网与总行广域网的路由边界点，负责SF与BGP的路由再公布,将BP的路由导入OSPF,使局域网学到外部路由，同时也将OSPF的路由以twrk的方式导入BP,使广域网学到局域网的路由。每个分支划归一个区域,所用区域号保

55、持不变。外联两台路由器之间启用单独的opf外联两台路由器启用os,将外联单位静态路由引入并公布给另一台路由器。总体cst值规划如下:核心区域路由设计核心区域拓扑图如下所示： 如图所示,核心交换机706E作为二层使用,其内置的防火墙模块与上联路由器、下联路由器、业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、治理操纵区汇聚交换机运行OSP动态路由协议，各互联接口划分至rea 0。在核心交换机756E内置的防火墙上配置外联区静态路由,下一跳指向外联区防火墙VRRP虚地址，将静态路由引入到OSF中。广域网区路由设计广域网区拓扑图如下所示:

56、。分行用户接入区域路由设计分行用户接入区域拓扑图如下所示:图表 36 客户端区路由设计图如上图所示,各分行用户网关在汇聚交换机上创建，利用VRRP形成虚拟网关，VRRP主为汇聚交换机。汇聚交换机以及与核心区交换机互联的接口划分至SP ea0,正常情况下报文由主设备进行转发,在主用路径失效的情况下走备份路径，主备汇聚交换机之间CO值为1，使得VRP主在备设备上时仍走主线。核心两台75E与各汇聚交换机之间通过骨干区域0互通，两台汇聚之间配置trunk，同意业务VLAN和互联lan通过,通过一对地址建立op邻居关系,关于其他业务vln,在of中使用ntwor公布,但为了幸免建立多余的opf邻居关系，

57、将这些lan spfsilece。业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、治理操纵区汇聚交换机网络规划类似。外联区路由设计OF设计OPF Routid设置OSPF需要使用唯一的RtID标识每一台路由器，建议相关网络设备的Lopback地址作为其O oueI。OSPF Cost设置两核心交换机之间t值设为0。为了幸免核心网络设备路由表中出现负载均衡路由,通过调试,核心网络各互联线路的ost值配置如下图所示:核心交换机1到两台上联总行路由器的cst值设为30,核心交换机2到两台上联总行路由器cot值设为5。核心交换机到两台下联支

58、行路由器的cost值设为10,核心交换机2到两台下联支行路由器cst值设为30。核心交换机1到各功能区交换机线路ot值设为,核心交换机2到各功能区交换机线路ost值设为30。核心交换机与核心交换机之间线路cos值设为30。核心交换机静态路由的重分布也做相应调整,静态路由在核心交换机1上重分布入OSF协议时cot值设为0,在核心交换机2上重分布入OPF协议co值设为30各功能区互联线路cost值设为：业务服务器区为6，办公服务器区为5,办公用户区为。安全策略总体安全目标网络安全策略的总体目标是爱护网络不受攻击，操纵异常行为阻碍网络高效数据转发,以及爱护服务器区的计算资源。安全分析在本次项目中,济

59、南分行局域网内的安全威胁分析基于:网络基础拓扑架构在逻辑上分成了7个功能区应用系统访问关系应用系统服务器内部安全分析应用系统服务器按应用类型被分为业务展现层(Web层),应用业务逻辑层（A层）和数据库层（DB层）。安全风险存在于:低安全级不服务器对高安全级不服务器上不适当的访问;授权客户端对服务器的不适当访问;非授权客户端对服务器的不适当访问;不同应用系统服务器之间非授权的不适当访问；恶意代码对服务器的不良阻碍。应用系统之间安全分析应用系统之间的互访，安全风险要紧存在于：不同应用系统服务器之间非授权的不适当访问;应用系统不同安全等级服务器之间不适当的互访;客户端与服务器之间安全分析客户端访问服

60、务器，要紧的安全风险存在于：非授权客户端不适当的访问服务器;授权客户端不适当的访问高安全级不的服务器;客户端之间安全分析在业务类客户端和治理类客户端之间,安全风险存在于:客户端访问另一类客户端上的非授权数据;客户端利用另一类客户端达到对非授权服务器的非法访问；恶意代码安全分析恶意代码在网络中的传播,可能对所有的应用系统产生严峻的阻碍。网络设备自身安全分析网络设备自身的安全风险要紧有：网络设备的物理安全；网路设备操作系统Bug和对外提供的网络服务风险;网络治理协议SNM非授权访问的风险;设备访问密码安全;设备用户安全风险;安全技术网络分区济南分行安全设计基于分行基础设施总体架构设计中使用的模块化