个人理财考点习题第三章金融市场

第一章网络需求分析

东方保险保险股份有限公司（以下简称东方保险）是总部设在上海的全国性

人寿保险金融机构，未来分支机构将遍布全国主要城市。鉴于信息系统平台建设

在保险领域的重要作用，公司在进行业务筹备工作的同时考虑建设覆盖全国的网

络和相关的应用系统。为实现建设一个现代化的保险公司提供高可靠性、高安全

性、高效率、扩展性好的网络系统通信平台。

东方保险保险股份有限公司的网络总体建设目标为：

•建立全国统一的数据中心，支持有效的数据、业务、技术的集中管理。

•支持拔号访问，确保部分用户通过拨号访问公司内部网络进行办公。

•可利用Internet作为广域通信平台，进亍VPN访问，确保部分用户通过Internet

网进行办公。

•支持Internet应用，包括对Internet的访问和Internet业务数据处理。

•支持IP应用，包括语音、图象、电子培训和视频会议等应用。

•电子邮件服务

•企业内部话音通信系统

•建立系统安全保障机制，确保系统正常运行，包括数据安全、病毒防治、系

统访问权限管理

为实现上述目标，从计算机通信的角度来看，要着重解决数据中心，总部，

二级机构，三级机构和服务部之间计算机广域通信的网络互连问题，使之能随着

业务的增长不断拓展规模，并提供多种服务功能，成为保险业务的基础设施。

第二章网络设计原则

东方保险保险公司网络系统是…个覆盖全国规模庞大的计算机网络应用系

统。为了确保系统目标的全面实现，作为应用系统的底层平台的网络设计就显得

尤为重要。为了更好的满足用户的需求，我们认为作为一个大型的全国网络系统,

应当把握住以下几个原则：

•极高的安全性和可靠性：

东方保险保险公司综合业务系统是一个直接面向社会的服务性窗I」，网络通

信的可靠性和安全性不仅直接影响保险公司的收入，而且还与用户的直接切身利

益相关，有着巨大的社会效益，因而保证网络通信的稳定与可靠是网络设计要解

决的重点问题之一。

•技术方案的先进性：

技术上应达到相当的先进性，性能上应能适应现在日新月异发展的网络应

用，必须保证一个具有广泛适应能力、对各种业务都具有最佳传输效能的网络应

用平台，从而使上层的应用能够顺畅的运行。

•易于未来升级和扩展：

网络系统应具有较强的升级和扩展能力。

提出的系统解决方案应能满足该系统业务发展的需要，方便扩大网络覆盖范

围和网络容量；系统中配置的设备应便于维护和扩充，并具有支持多种物理接口

的能力；提供的设备和软件具有升级和扩展能力。能够在一定时期内以更为经济

有效的方式获得功能和性能上的完善和进步。网络应具有优异的开放性，易于对

外互连，并提供最佳的用户投资保护。

•技术成熟但不老化，易于管理和维护：

鉴于网络的规模和应用的重要性，网络平台必须选择采用已经发展成熟、易

于普及推广、容易大规模管理和维护的技术，但不能老化和落后。网络系统的可

维护性和可管理性是确保网络长期稳定运行的关键因素，易于维护易于管理的网

络不仅能够节省用户的大量时间、精力和运行成本，还是以上所提到的各种网络

可靠性、安全性、先进性、扩展性等特性得以充分的发挥的有力保证。

•良好的性能价格比：

系统主要设备均应采用广泛应用且具有良好性能价格比的产品，既考虑节省

投资，又保证产品的先进性和可用性。

我们将在后面具体网络技术选型和系统方案设计中看到以上设计原则和思

想都将会被贯彻始终。

第三章网络设计概述

为了便于理解避免混淆，对本方案中的关键词语解释如下：

网络结构按网络的组建、运营、管理和维护的责任地理区域，可分为一级骨

干网、二级骨干网和接入网。

一级骨干网：设置在各省、自治区和直辖市的节点组成，它提供省间的通讯

业务，由总公司至各二级分公司的网络组成。

二级骨干网：设置在省内的节点组成，它提供本省内长途通讯业务，由各二

级分公司至下属各中心支公司的网络构成。

接入网：地区范围内的节点组成。由地区所辖各机构网络接入组成。

骨干传输部分：整个网络的广域网骨干结构部分，负责实现高性能、高可靠

性、高速数据交换和转发功能；本文是指一级骨干、二级骨干。

接入服务部分：为最终用户提供对网络的接入，完成用户入网接口。由各层

节点处的本地局域网接入、网络最末端的各服务部和分支机构广域网接入、外部

网络和Internet接入等组成，完成业务系统之间的隔离、互通、安全性控制等。

3.1、网络设计策略

为了实现以上网络设计原则，使东方保险保险公司网络具有良好的扩展

能力和灵活的接入能力，便于管理，易于维护，我们在网络设计上制定以下策略：

3.1.1、骨干和接入分离

东方保险保险公司网络从整体上可划分为骨干传输和接入服务两部分。

骨干传输部分由一级骨干网和二级网的广域网部分组成，其主要功能是完成高效

的数据传输、交换、转发及路由分发，为各类接入服务提供网络互连。接入服务

部分由各级网络节点的内部局域网、服务部的广域网、外部网络、Internet等部

分组成，在接入服务部分主要完成业务系统之间的隔离和安全性控制等功能，并

在所有业务进入骨干网络前进行优先级别控制，各类业务进入骨干网络后将按照

预先设定的信道进行传输。

将骨干部分和接入部分分离可以减少骨干和接入部分之间的相互影响，每部

分完成其自身功能。应用接入的变化，只影响接入设备，对骨干网络没有影响，

而骨干网络的变化对接入部分影响较小。这样可以在各级骨干节点的网络接入设

备上为各类业务网段预留标准接口，增强网络的扩展能力和新业务的灵活接入能

力，保持了网络结构层次清晰，便于管理和维护。

对于各三级机构和服务部的广域网连接，在二级机构应采用单独的路由器连

接；在三级机构可根据自己的实际情况决定骨干路由器和连接下级服务部的路由

器是否分离。

其结构示意图如下：

骨干传输

3.1.2、统一标准、统一网络

由于保险的业务是在不断发展的，今后的业务整合、数据集中等业务,

都需要有标准统一。只有统一了IP应用标准（IP地址、路由协议）、安全标准、

接入标准和网络管理平台，才能实现真正的网络统一-。

3.1.3、降低关联度

将一级骨干网，二级网和接入网的关联度降低到最低的策略，可以最大限度

的减少…级网、二级网、接入网之间的相互影响，便于分级管理，在不同层次上

扩展新业务，使一级网，二级网和接入网建设之间的影响最小，达到同步建设的

目的。

3.2、网络整体设计

我们按照以上的网络设计原则和网络设计策略，来对整个东方保险保险

公司的网络进行设计。我们称之为层次化设计模式：即以总部的数据中心为整个

东方保险保险公司的中心，接入各二级机构构成全国的一级骨干网，以二级机构

为中心接入各三级机构构成二级骨干网，三级机构接入服务部构成接入网从而形

成东方保险保险公司的网络平台。

第四章网络物理设计

4.1广域通讯线路

由于广域网是构建整个网络的关键，东方保险保险公司对广域网通讯线路有

较高的要求。作为近年来新技术出现和发展最快的广域网是其中的一个重要环

节，以下对目前国内现有的各种广域网通讯方式和服务提供商进行了描述和比

较，并提出我们推荐采用的广域网线路形式。

4.1.1、各种广域网通讯方式

4.1.11、DDN

DDN是利用数字信道传输数据信号的数据传输方式。它的主要作用是向用

户提供永久性和半永久性连接的数字数据传输信道，既可用于计算机之间的通

信，也可用于传送数字化传真，数字话音，数字图像信号或其它数字化信号。永

久性连接的数字数据传输信道是指用户间建立固定连接，传输速率不变的独占带

宽电路。半永久性连接的数字数据传输信道对用户来说是非交换性的。但用户可

提出申请，由网络管理人员对其提出的传输速率、传输数据的目的地和传输路由

进行修改。

DDN网特点

•传输速率高：在传统的DDN网内能提供2Mbps或Nx64Kbps(W2M)

速率的窄带数字传输信道。而随着SDH、DWDM等传输技术的发展

和骨干速率不断提高，传输网络已经能够提供E3(34Mbps)、STM-

1(155Mbps)等各种高速率的宽带数字电路。

•传输质量较高：数字中继大量采用光纤传输系统，用户之间专有固

定连接，网络时延小。

•传输安全性高：由于DDN线路通过交叉和复用提供了点对点的传输

通道，第三方端口无法连接到该线路，有效地保证了传输中的安全性。

•协议简单：采用交叉连接技术和时分复用技术，由智能化程度较高

的用户端设备来完成协议的转换，本身不受任何规程的约束，是全透

明网，面向各类数据用户。

•支持各种业务：可以支持数据、语音、图像传输等多种业务。

、帧中继：

帧中继是实现网络和应用互连的一种广域网协议。它由X.25发展而来，是

简化了的X.25o由于简化了网络低层的查错机制，使帧中继的传输效率远高于

X.25o帧中继具有吞吐量大、时延小的特点，适合于具有间歇的，也就是“突发

型”的网络业务，这类业务在通信时需要高的网络带宽，以满足响应速度的要求。

使用帧中继线路，每条永久虚电路的业务等级通过CIR（Committed

informationrate）参数来控制，每级CIR间相差16kbps。CIR应小于接入带宽，

大于等于接入带宽的一半。CIR提供了一个确保的吞吐量，可以作为用户计算实

际传输量的基准。

如果用户传输的速率超出了CIR,所超出的部分信息在线路空闲情况下依旧

能够传输，但在线路拥塞情况下将被丢弃。帧中继协议不解决帧丢失问题，而是

让上层的端对端协议发现帧丢失信息并进行重发。

帧中继的收费相对DDN要便宜，同时可以通过虚电路实现一个中心物理端

口对应下属节点多个物理端口功能，节省设备投资。

、ATM

ATM是目前电信服务商广泛采用的骨干网络传输方式，并将较长一段时间

内成为传统电信部门的基础传输平台。

ATM是面向连接的传输协议，它需要在通信双方间建立连接，该连接可以

是永久性连接（永久虚电路，PVC）,也可以是临时的（交换虚电路，SVC）o但

它推弃了电路交换中采用的同步时分复用，改用异步时分复用，收发双方的时钟

可以不同，可以更有效地利用带宽。

在ATM中，CELL的长度固定为53byte0短而固定的信元长度有助于确定信

元时延和减少网络节点交换机上的缓冲区资源。53个byte中有48个是净荷及5

个字节的控制信息，协议负载大大减小。

ATM信元的信头部分包含了选择路由用的VPI/VCI信息，因而它具有交换

的特点。它是一种高速分组交换，在协议上它将OSI第三层的纠错、流控功能

转移到智能终端上完成，降低了网络时延，提高了交换速度。

ATM层只提供基本数据传送能力，通过建立不同的AAL层可以提供不同的

通信能力，满足各种电信业务不同的要求。现在已决定了多种不同的AAL层规

程，分别记作AAL1、AAL2、AAL3、AAL4和AAL5。

目前国内部分地区电信部门开通的ATM业务，线路速率从2Mbps到

155Mbps,且大多只提供点到点的永久虚电路。另外，部分地区还开通了基于

ATM的VPN业务试点，即直接向用户提供ATM接入交换机的以太网端口，并

将位于异地的多个ATM接入交换机以太网端口配置到同一个VLAN(ELAN)

上，从而将用户多个地点的局域网连接起来。

,虚拟专用网(VPN)

虚拟专用网是建立在实际网络(或物理网络)基础上的一种功能性网络。

它是专用网的一种组网方式，是一种逻辑上的专用网络，它向用户提供一般专用

网络所具有的功能，但本身却不是一个独立的物理网络。

虚拟专用网的特点

•适用于具有分布在各地办公室的公司组建专用网，这样可以减少公司自

己组建专网在设备及人力上的投资，并可大大节约通信费用的开支。

•具有自动选择路由与呼叫转移的功能。

•允许两个VPN的用户重叠。即某一个VPN的用户也可同时成为另一个

VPN的用户。

•建立在公用网络基础上的VPN可享用公用网的覆盖范围广，通信能力强

等许多优越性。

IPVPN通过将数据进行加密等转换，在公用的IP网络上传输。

IPVPN除了提供防火墙和地址转换功能外，还通过与隧道设备的通信来提

供加密，身份验证和授权等功能。可以说，IPVPN具有使用安全技术来加密和

验证数据，并利用隧道技术封装加密的数据等特点。这意味着，公司或企业可在

公用的Internet上安全可靠地建立自己的专用VPN,并月.对于不同的信息源，可

以分别开出不同的隧道。

IPVPN与通常的直接连接方式相比，后者的数据包是通过专用线路传输的,

IPVPN的数据包由一个本地网上的路由器发出，通过公共IP网络上的隧道进行

传输，再到达另一个局域网上的路由器，两者之间的根本区别是隧道化代替了实

在的专用线路。

此外，目前国内正在建设的一些骨干网络以MPLS技术为基础，将能够向

用户提供机遇MPLS的IPVPN业务。

4.L1.5、ISDN

ISDN中文名称是综合业务数字网，它使电话局和用户之间在同样采用一对

铜线情况下，也能够做到传输数字化，并向用户提供多种业务，从而将电话、传

真、数据、图像等多种业务综合在一个统一的数字网络中进行传输和处理。

综合业务数字网有窄带和宽带两种。窄带综合业务数字网向用户提供的有基

本速率(2B+D,144kbps)和一次群速率(30B+D,2Mbps)两种接口。

ISDN(2B+D)具有普通电话无法比拟的优势：

•综合的通信业务：利用一条用户线路，就可以在上网的同时拨打电话、

收发传真，就像两条电话线一样。

•高速的数据传输：在数字用户线中，存在多个复用的信道，比现有电话

网中的数据传输速率提高了2-8倍。

•高的传输质量：由于采用端到端的数字传输，传输质量明显提高。接收

端声音失真很小。数据传输的比特误码特性比电话线路至少改善了10

倍。

•使用灵活方便：只需一个入网接口，使用一个统一的号码，就能从网络

得到所需要使用的各种业务。统一的接口。

•适宜的费用：ISDN大大地提高了网络资源的利用率，以低廉的费用向

用户提供业务。

•目前国内已经在众多城市开通该业务，并能够实现互连。

、卫星通信(VAST)

VSAT利用甚小天线地球站(VSAT)组网进行通信的电信服务。VSAT系统

由一个主站(HUB)及众多分散设置在各个用户所在地的远端VSAT组成，通常所

有的远端VSAT共享一个卫星信道与主站通信，可不借助任何地面线路，不受地

形、距离和地面通信条件限制，主站和VSAT间可直接进行高达2Mbit/s的数据

通信。特别适用于有较大信息量和所辖边远分支机构较多的部门。VSAT系统也

可提供电话、传真、计算机信息等多种通信业务。

借助VSAT用户数据终端可直接利用卫星信道与远端的计算机进行联网，完

成数据传递、文件交换或远程处理，从而摆脱了本地区的地面中继线问题，这在

地面网络不发达、通信线路质量不好或难于传输高速数据的边远地区，使用

VSAT作为数据传输手段是一种很好的选择。

卫星线路的优势在于能够不受地理环境限制，提供大跨度范围内的传输业

务。考虑到价格因素，所以通常都采用共享线路形式，即多个节点共享一条卫星

线路速率，所以适用于数据传输量不大的场合。由于卫星线路的特殊性，所以其

线路延迟要比其他传输方式高出一个数量级以上。此外，卫星线路受环境的影响

(如太阳黑子等)也较大。

4.1.2未来通信技术的发展

作为成熟的技术，DDN、帧中继和ISDN还有广阔的市场前景，但其发展速

度将开始放慢。其中，随着DWDM的广泛使用，服务提供商的骨干网传输速率

将空前提高，DDN将在目前主要提供窄带(<2Mbps)速率的基础上向提供宽带

速率(2Mbps〜155Mbps)的方向发展，并且价格也将随之下降。

作为新兴的业务，VPN和ATM将在数据业务传输领域崭露头角；尤其是

VPN业务，随着标准和功能不断完善，将是各家服务提供商的发展重点。由于

具有优良的性能/价格比，将逐步成为长途广域网传输的热门技术。

而ADSL和CableModem技术将更多应用于Internet接入，提供高速的上

网手段。

采用新的广域网技术将对东方保险保险公司现有的网络带来如下影响：

•随着广域网线路速率的提高，要求广域网设备有响应的处理能力。

•部分技术的安全性降低，可能需要重新考虑网络安全架构。这里值得一

提的是VPN技术，目前一般认为其存在一定安全方面的不确定性，需要

在用户端再采取安全措施。

•采用新的广域网技术将导致网络拓朴结构的改变。如VPN、CableModem

和VAST等方式都能够直接向用户提供以太网端口，这与现有DDN方

式下采用路由器串口连接广域网的方式不同，需要对网络设备和配置进

行相应的调整。

4.1.3、广域网通讯方式和运营商的比较

我们首先对以上描述的通讯线路作比较，然后在从选择营运商的角度提出一

些考虑。

传输方式速率范围延迟使用复杂程安全性资费

度

DDN64Kbps〜155Mbps小低高较高

帧中继64Kbps〜2Mbps较小较低较高中

ATM2Mbps〜155Mbps较小高较高中

ADSL卜行：8Mbps(max)较小中较高较低

上行：1Mbps(max)

CableModem下行：25~40Mbps不确定中低低

VPN由接入方式决定不确定较低中低

ISDN128Kbps(2B)较小较低低中

VAST<2Mbps大较低较高高

表：线路比较表

在选择广域网通信线路类型和运营商时，除运营商的服务范围、线路类型

和带宽外，还需要考虑下面三点：

•运营商的价格策略

运营商的价格政策

对于运营商来说，可能采取的价格策略有三种:

♦区间内价格较低；跨市的收费较高；而跨省的收费更高。该方式

是中国电信可能采用的方式。

♦在一个市的范围内统一制定价格策略，按照区域内标准收费。而

跨市则按照省内标准收费。

♦全省采用统一的价格策略，所有的网络间的收费相同。跨省按照

省间收费。

考虑到广域网费用是未来系统正式运营后除人力资源外最大的一笔日

常支出，所以需要在和各个运营商谈判的基础上慎重考虑。而且，根据价格

策略的不同，网络的物理拓扑类型也会有相应的改变；进而影响到地址分配、

路由协议等方方面面。

•线路可靠性和质量

一般而言，采用光纤的线路可靠性和质量是最高的。但运营商出于价

格等因素考虑，通常不愿意在所有的节点上配置光纤和光设备，而代以

双绞线或电话线路。此时，线路的可靠性和质量具有一定的不稳定性。

尤其是采用电话线路时，极易受到各种干扰，容易导致网络的不稳定。

•运营商的支持、维护能力

由于近年来网络发展迅猛，众多运营商纷纷投资建设宽带网络。但

由于缺乏足够积累，支持、维护能力往往较弱，机房甚至出于无人值守

状态，难以满足东方保险保险公司系统要求。

根据对各种通讯方式及厂商的比较，我们对东方保险保险公司广域网

通讯的建议如下：

•从系统长远发展的角度出发，采用大的广域网传输带宽以满足不断发展

的业务和网络应用的需用。

•建议采用中国电信的DDN线路作为连接整个系统的主用线路。

•建议采用ISDN做为拨号备份链路。

4.2带宽需求分析

对东方保险保险公司在网络上主要承载业务，VoIP,OA,视频会议，

E-Learing等应用。综合以上这些对带宽的要求，我们就可以得到所需要的网络

带宽。具体的量值我们可以通过一些测量和推算获得。

4.3一级骨干网

一级骨干网：由总部数据中心节点和二级机构节点组成，它提供总部和省公

司间的通讯业务，由总部至二级机构的网络组成。

4.3.1物理结构

一级骨干网包括总部数据中心和各二级机构节点，以总部数据中心节点作为

一级骨干网的中心节点，二级机构节点均直接接入数据中心节点。其整体物理结

构是星型结构。请参见下图：

一级机构

、数据中心节点

数据中心作为东方保险保险公司的营运中心，我们建议采用模块化的设计方

式对数据中心进行结构的设计。

数赢中心解触所

.K路由交换模块

路由交换模块由路由器和交换机构成，主要负责数据中心的数据交换和路由

工作。

(-)路由部分

由两台路由器构成，一台采用高端路由器连接DDN线路，作为主路由器；'

台采用中端路由器作为高端路由器的冷备，同时配置ISND的模块作为拨号备份;

实现路由器、链路的冗余备份，这样可以实现极高的可靠性。

主路由器可以配置一块带有多个速率可达2M广域网端口的多通道同步模

块和各个二级机构相连。

备份路由器在提供ISDN拨入备份的同时;也可配置一块带有多个速率可达

2MCE1广域网端口的多通道同步模块作为主路由的冷备。当主路由器故障时，

将DDN线路切至备份路由器。

每台中心路由器还通过两个100M以太网端I」分别与两台中心交换机连接，

构成局域网与广域网之间的冗余连接。

(-)交换机部分

为了配合主机系统和广域网系统的高冗余性，应配置了两台三层交换机，以

交叉冗余的方式连接广域网路由器，并连接冗余的防火墙，以避免单点故障。同

时，这两台交换机间以千兆以太网端口互连，构成高速局域网骨干。在局域网中

进行虚拟局域网(VLAN)的划分，通过三层功能实现VLAN之间的高速路由处理

和数据隔离。

数据中心如果和总部在一起还应负责总部信息系统的接入，楼层交换机通过

千兆链路上联至核心交换机。

.2、业务模块

业务模块负责东方保险的核心业务服务的提供。由容错业务服务主机，备份

系统，业务防火墙构成。

.3、接入服务模块

接入服务模块负责外部网络接入东方保险的内部网络。主要有拨号接入，

VPN接入，INTERNET接入，web、mail访问服务。因为此模块设计外部访问内

网详见网络安全部分

.4、管理模块

管理模块负责整个数据中心的管理工作。包括安全认证，网络管理，系统管

理等服务管理器。

.5、楼层接入模块

数据中心如果和总部处于同一个地点，还应负责总部的楼层接入工作。楼层

接入交换机可以通过双上联的形式分别联入两台核心交换设备。

.6,语音模块

语音模块主要负责VoIP的语音控制，包括VoIP的网关，Voice控制。如果

在总部建立呼叫服务中心，还可以负责整个IP呼叫中心的管理。详见应用服务

方案章节。

.7、E-Learning>视频模块

E-Learing、视频模块主要负责企业的视频管理部分，包括视频会议，E-Learing

等多媒体服务。详见应用服务方案章节。

、二级机构节点

二级机构作为省级机构还服务三级机构和服务部的接入，因此我们建议采用

两台路由器，一台采用路由器连接DDN线路，作为主路由器；一台采用路由器作

为主路由器的冷备，同时配置ISND的模块作为拨号备份；实现路由器、链路的

冗余备份。为各应用系统系统提供良好的网络环境。

二级机构的两台路由器同时还提供对各三级机构的接入，具体实现方法在二

级骨干网设计中描述。

建议在局域网中配置一台具有三层路由交换功能的交换机，能够进行虚拟局

域网(VLAN)的划分，通过三层功能实现VLAN之间的高速路由处理和数据隔离。

二级机构节点网络拓丰卜

三级机构

4.3.2一级广域网链路

如前所述，在总部数据中心和各二级机构之间共存在两条广域网链路，将从

总部数据中心通过中国电信的DDN到各二级机构的链路称为主链路；拨号链路

称为备份链路。当主链路出现故障时，启用备份线路作为数据的传输。

应为设计为一个统一的IP网络，各种应用都将在同一个网络平台上运行，

为了确保更好、更有效地使用广域网链路，要求根据应用的类别实现数据分流，

具体设计详见QoS设计。

4.4二级网

二级骨干网：设置在省内的节点组成，它提供省内的通讯业务，由二级

机构至三级机构的网络构成。

4.4.1物理结构

每个二级机构内部的二级网结构与一级网类似，都采用星型结构，不同

的是以各二级机构的网络中心为中心节点，二级机构接入一级骨干网的两台路由

器同时用于二级网的接入。见下图:

二级机构

中国电信ISDN

二级骨干网网络拓扑图

4.4.1.K二级机构节点

二级机构接入一级骨干网的两台路由器同时用于二级网的接入。其主路

由器接入和三级机构相连的主链路，拨号接入服务器同时负责三级机构的拨号备

份接入。

、三级机构节点

每个三级机构配置一台路由器，具有一个同步多通道的端口用于上联二级

机构和下联服务部的DDN线路接入；具有多个BRI端口用于拨号备份。

建议采用10/100M自适应交换机堆叠来满足对端口密度的要求。

三级机构带点网络拓扑

JJg^S-g-p

4.4.2二级广域网链路

如前所述，在二级机构和三级机构之间共存在两条广域网链路，将从二级机

构通过中国电信到三级机构的链路称为主链路；拨号链路称为备份链路。其功能

定义同于一级广域网链路，可见一级广域网描述。

4.5接入网

接入网：三级机构范围内的节点组成。由三级机构所辖服务部接入组成。

在每个三级机构内，以三级机构为网络的中心节点，下联各服务部构成星型

结构的接入网络。

三级机构

接入网网络拓扑图

服务部属于整个网络的边缘，数据流量比较小，建议采用低端路由器配置一

个同步串口和一个BRI口，用于专线和拨号备份。

4.6可靠性设计

网络可靠性包括网络设备的备份和线路备份。

4.6.1、设备备份

骨干设备，包括数据中心、二级机构骨干路由器都应配置2台高可靠的设备,

具有双路由引擎、双总线、双电源等部件，所有模块支持热插拔，个别关键部件

还应购买备件。

4.6.2、线路备份

在设计中，针对广域网提供两种线路：主链路、备份链路（通过拨号接入路

由器），针对局域网提供双交换机双连接到每个主路由器。这种设计保证了很高

的可靠性。

线路备份应遵循下列原则:

•正常情况下数据在主链路上传输；

•主链路故障时，数据将迂回到拨号备份链路上传输;

第五章网络逻辑设计

5.1地址规划

由于东方保险将建立一个全国范围的网络平台，因此地址规划的是否合理

直接关系到整个网络和业务系统是否工作正常。我们必须符合以下几个原则：

•自顶向下规划，层层落实实施

和层次化的网络设计相应，在地址划分上我们也采用层次化的分

配思想，从总部开始规划，再规划二级机构，三级机构和服务部，使

地址具有层次性，能够逐层向上汇聚地址。

•按照结构化方式分配地址

采用可变长子网掩码技术（VLSM）,可以结构化的划分地址空间。

•对所有可能的网络形式进行规划

因为东方保险是一个复杂的网络，存在多种网络形式。地址划分

必须适合各种可能的网络形式。

•对所有可能存在的主机、服务器等设备进行规划

对各种主机、服务器和网络设备，必须分配足够的地址，划分独

立的网段，以便能够实现严格的安全策略控制。

•预留足够的地址空间，满足变化要求

必须预留足够的地址空间，以满足各种新业务的发展以及农行规

模的不断扩大。

由于东方保险是一个封闭的企业内部网，整个地址空间可采用一个A类的

私有地址10.X.X.X作为整个联社的地址空间，将拥有2加=16777216个地址，

255个B类地址，可以满足东方保险对地址的需求和今后的发展。

5.1.1地址层次划分

间涵盖了下一层的地址空间，以及两者间广域网线路的地址空间，各个层次上考

虑的地址范围如下表：

包含地址范围内容需要细化地址空间

局域网地址广域网地址

总部数据中心局域网数据中心到各个二级机构

各个二级机构地址二级机构局域网二级机构到各个三级机构

各个三级机构地址三级机构局域网三级机构到各个服务部

服务部服务部局域网

总部地址的“地位”等同于一个二级机构所有的地址空间范围。

5.1.2、地址编码规范

我们建议东方保险保险公司的IP地址进行严格的编码，每位代表不同的

含义。其编码规则为:

12345

应用标识

1.网络号类别标识相应IP地址类别

000网络设备管理

二级机构标识

2.001营业,管理类

3.三级机构标识010备用

011备用

4.应用标识

100语音、视频类

5.用户网络地址101备用

110备用

111网络互连地址

地址编码规范

按照以上的IP地址编码规则，每个二级机构的地址空间划分如下:

序号机构IP地址

1总部数据中心10.0.X.X

2上海营业总部10.1.X.X

3某营业总部10.2.X.X

4

••••••

通过二级机构标识可以清楚地区分出IP地址地来源，便于路由汇聚和访问

控制。

5.1.3、总部数据中心地址规划

总部数据中心地址的地址范围为1个B类地址，即10.O.X.X〜

10.0.255.2550

、总部数据中心IP地址规划

在数据中心的地址规划中，因第三字节不用标识二级机构，重新定义如下:

|o|o|o|o|i|o|i|o|o|o|o|o|o|o|o|o

_______________人_______________>>

VVY

1234

应用标识

1.网络号类别标识相应IP地址类别

000网络设备管理

二级机构标识

2.001营业,管理类

3.应用标识010备用

011备用

4.用户网络地址

100语音、视频类

101备用

110备用

111网络互连地址

数据中心地址编码规范

按照应用划分的原则，总部数据中心的地址划分如下:

类别标识地址类别地址段

000网络设备管理10.0.0.0-55

001营业类10.0.32.0—10.0.63.255

010备用10.0.64.0—10.0.95.255

011备用10.0.96.0—10.0.127.255

100语音、视频类10.0.128.0-10.0.159.255

101备用10.0.160.0-10.0.191.255

110备用10.0.192.0-10.0.223.255

111网络互联地址10.0.224.0-10.0.255.255

、数据中心与二级机构网络互连IP地址规划

以方便路由聚合为原则，数据中心与二级机构社之间的广域网互联地址采用

数据中心的地址段，使用数据中心IP地址应用类别标识为“111”的IP地址，其编

码方式为：

数据中心地址段应用标识互连地址

数据中心和二级机构互联地址

即IP地址范围：10.0.224-55

在本次规划方案中，我们建议每个二级机构有-主广域网专线上联到数据中

心，另有一个拨号备份线路上联数据中心的拨号访问服务器，共分别占用两个网

段，我们规定：各二级机构按用户地域标识序号的顺序，其主线路占用10.0.224.X

中的一个网段，拨号备份线路占用10.0.225.X中的一个网段；每一网段中，可用

的第一个IP地址为数据中心广域口地址，另一个为二级机构广域口地址。每条广

域网线路使用一个4个IP地址的子网。遵循这样的原则，整个一级骨干网广域网

地址分配如下表：

主线路地址段拨号备线路地址段

1上海营业总部

2某营业总部

3

•••••••••

5.1.4、二级机构地址规划

各二级机构按照地址编码规则进行划分，对应IP地址的第二字节进行区分。

其编码规则如下:

10二级机构标识三级机构标识类别标识用户网络地址

地址编码标识

具体的地址划分如下：

序号机构二级机构标识IP地址

1总部数据中心0000000010.0.X.X

2上海营业总部0000000110.1.X.X

3某营业总部0000001010.2.X.X

4

•♦••••

其中二级机构网络中心地址的“地位”等同于下属一个三级机构的所有地址

空间范围，其三级机构标识使用00000。

5.1.4.K二级机构应用系统IP地址规划

不同应用的网段主要根据IP地址中第22〜24三位类别标识来区分，其编码

规则见IP地址编码规范。

、二级机构与三级机构互连IP地址规划

以方便路由聚合为原则，二级机构与三级机构之间的广域网互联地址采用二

级机构的地址段，使用户IP地址中类别标识为“111”的1P地址。

在本次规划方案中，我们建议每个三级机构有一广域网专线上联到二级机

构，另有一个拨号备份线路上联二级机构的拨号访问服务器，共分别占用两个网

段。

5.1.5、三级机构地址规划

各三级机构按照地址编码规则进行划分，对应IP地址的第17~21位的三级

机构标识。这样三级机构地址空间从属于二级机构的地址空间，保证了地址的层

次性。其编码规则如下:

10二级机构标识三级机构标识类别标识用户网络地址

地址编码标识

因为以5位来标识三级机构，在每个二级机构下可以有25=32个三级机

构，能够满足需要。

5.151、三级机构应用系统IP地址规划

不同应用的网段主要根据IP地址中第22〜24三位类别标识来区分，其编码

规则见IP地址编码规范。

、三级机构与服务部网络互连IP地址规划

以方便路由聚合为原则，三级机构与服务部之间的广域网互联地址采用三级

机构地址段，使用三级机构用户IP地址中类别标识为“111”的IP地址。

在本次规划方案中，我们建议每个服务部有一广域网专线上联到三级机构，

另有一个拨号备份线路上联三级机构的拨号访问服务器，共分别占用两个网段。

5.1.6、服务部地址规划

因为服务部是整个业务系统的最底层，隶属关系为：总部一一二级机

构一一三级机构一一服务部。所以我们建议IP地址中的用户网络地址可以进一

步划分来标识网点和网点中的机器。网点标识可以用3位地址，标识8个服务部；

机器标识用5位地址，标识32台机器。足以满足现在和将来的需要。

8位8位5位3位3位5位

10二级机构标识三级机构标识类别标识服务部机器标识

5.1.7、路由器LOOPBACK地址

路由器需设置INTERFACELOOPBACK地址，占用网管网段地址，掩码

为32位，地址从大向小取值。

5.2路由规划

5.2.1、使用动态路由选择协议的目的

当跨子网进行数据传输前，传送方需要“知道”数据发送的路径或方向，

这通过路由来完成。，

路由包括两个基本的活动：决定路由路径和通过网络传送数据。后一活动

通常是指封包交换，相对比较简单明晰，而且对于大多数路由协议来说基本相同，

相反决定路由路径要复杂得多。

静态路由选择的路由表映射（由源到目的地或对应网关路径）由系统管理

员在路由器或计算机开始工作前设定。除非网络管理员加以重新配置，否则他们

将无法自动改变。由于静态路由简单和易于实现的，所以对于小型的、数据传输

可以预见的的网络是一个好的选择。

由于静态路由不能对网络的变化作出相应的改变，所以它们不能适用于今

天的大型、一直处于变化中的网络，在这些系统中所采用的将是动态路由。

动态路由选择采用动态路由算法，它由路由器或计算机根据所收到的路由

更新信息，自动地通过实时的调整来改变网络上数据的传输路线。如果网络的链

路情况发生了改变，相连的设备上的路由软件将重新计算路由，并把该信息作为

新的路由更新信息发送出去。这些路由更新信息将到达网络的每个角落，从而使

相关的路由器重新计算路由，并对它们的路由表进行更新。

动态路由算法可以作为静态路由算法的适当的补充。即在计算机上采用静

态路由，指明到达相应目的地的网关（路由器），而在网关（路由器）之间采用

动态路由。这样做的好处是可以避免把计算机资源用于对动态路由的计算，而该

计算由“善于此道”的路由器来完成。

5.2.2、动态路由选择协议介绍

、动态路由选择协议原理

动态路由选择协议通过大量的控制消息传输来维护它们路由表，路由刷新

信息是其中的重要控制消息。路由刷新信息通常可以构造出部分或全部的路由

表，通过分析来自所有路由器的刷新消息，路由表可以构造出非常详细的完整网

络拓扑关系。链路状态广播是另外一种重要的控制消息，链路状态广播通知其它

的路由器有关发送者的链路状态，可以被路由器用来构造网络拓扑关系。一旦网

络拓扑关系清楚明朗了之后，动态路由协议就能计算出通向目的地的最佳路由。

动态路由选择算法通常满足下面列举的一个或多个要求：

•最佳性：指路由选择算法具有选择最佳路由的能力

•简易性及低开销：路由选择算法必须使用最少的软件和最低的开销来高

效地实现其功能。

•强壮性及稳定性：路由选择算法必须是强壮的，也就是说，它们在异常

和非预期的情况下也能正常地工作，如硬件故障、负载过高和操作失误

等。

•迅速收敛性：动态路由选择算法必须能够迅速收敛（收敛是所有路由器

在最佳路径上取得一致的过程）。动态路由选择算法收敛过程缓慢可能导

致路由选择循环或网络出现故障。

•灵活性：指能够迅速准确地适应不同的网络环境。能适应网络的连通情

况、网络带宽、路由器队列大小、网络延迟以及其它参数的改变。

5.222、常见的动态路由选择协议

目前常见的动态路由协议主要有以下几种：

（1）路由信息协议（RIP）

RIP是一个标准化的内部网关协议，也是最早广泛使用的动态

路由选择协议。它采用距离向量来决定路由，RIP的不同版本可以

支持除支协议以外的其他路由传输协议（如IPX、AppleTalk等□

由于RIP采用定时广播整个路由表的方式来实现路由的更新和

发现，所以它对通讯资源的占用很大。

RIP协议规定最大的节点计数为15个，任何经过多于15个中

间节点才能到达的目标都被认为是不可到达的；RIP不支持层次结

构。

尽管RIP有着众多的缺点，但由于它实现简单，并且是可以在

UNIX主机上实现的动态路由选择协议，所以在小型的局域网系统中

还是大量采用。

（2）开放最短路径优先协议（OSPF）

OSPF也是一个标准化的协议，它只支持TCP/IP协议。

OSPF是一种使用链路状态算法的路由选择协议，因此它要求

将链路状态广告（LSA）发送给位于同一层次区域内的所有其它路

由器。随着OSPF路由器逐渐地积累链路状态信息，它们就可以采

用SPF算法来计算通向每一个节点的最短路径。

每台OSPF路由器都周期性地发送一次链路状态宣告（LSA）

信息，当路由器的状态发生改变时也可以发送LSA信息。通过对比

已建立的链路状态的邻接关系，出现故障的路由器很容易就能被快

速地检测出来，因而网络的拓扑结构就能立即作出恰当的变化。

每台OSPF路由器都有自己独立的、通过LSA信息构造的拓扑

结构数据库，所以每台路由器都可以独立地计算出一棵最短路径树,

最短路径树的树根就是路由器本身。进一步，最短路径树就构造成

了OSPF路由选择表。

OSPF是一种支持层次结构的路由选择协议。层次中的最大实

体是自治系统（AS）。自治系统能够被划分成若干个区域，每一个区

域是由一组互相连接的网络和与网络直接相连的主机组成。具有多

个接口的路由器可以同时属于多个区域，这些路由器被命名为区域

边界路由器，它们为每一个区域保存单独的拓扑结构数据库。

将自治系统划分成一个个的区域的好处是：OSPF会花较少的

网络资源用于路由选择信息的传输，从而在一定程度上提高了网络

的性能。

在OSPF中有两种类型的区域存在：骨干区域和非骨干区域，

它们也构成了OSPF的两个层次。非骨干区域间的数据传输要经由

骨干区域来完成。在一个OSPF自治系统系统中，只允许有一个骨

干区域，非骨干区域可以有好多个。

OSPF属于自治系统内部(内部网关)路由选择协议，尽管OSPF

能接收来自其它自治系统的路由信息，同时能向其它自治系统发送

路由信息。运行OSPF的自治系统边界路由器可以通过外部网关协

议簇或配置信息来学习自治系统外部的路由信息，这些协议包括外

部网关协议(EGP)和边界网关协议(BGP)等。

OSPF协议还支持可变长的子网掩码。通过使用可变长的子网

掩码，一个IP网络能够被划分成若干大小不等的子网，这样为网络

管理人员对网络进行配置提供了更大的灵活性，同时也可以在区域

边界路由器上实现对路由信息的合并。

(3)内部网关路由协议(IGRP)

IGRP协议是由CISCO公司开发的内部网关协议。他是一种距离向

量(IGP),同RIP协议一样，它要求网络中的每一个路由器以一定的时间

间隔将路由选择表的全部或部分发送给与之相邻的每一个路由器。所不

同的是：IGRP协议采用了组合的度量方法，互联网络延迟、网络带宽、

网络的可靠性和网络负载都体现在路由选择过程中。

IGRP协议为每一种度量方式提供了很宽的取值范围，以能够反映出

网络性能的微小变化。更为重要的是，度量值因子可以组合在用户定义

的路由选择算法中，这样网络管理人员就可以通过直觉来影响路由的选

择情况。

IGRP属于非层次结构的动态路由选择协议，相对于RIP,

IGRP更稳定可靠。

(4)增强型内部网关路由协议(EIGRP)

EIGRP是IGRP协议的增强版本，也是有CISCO公司独立开发的

路由选择协议。

EIGRP协议版本组合了链路状态路由选择协议和距离向量路由选

择协议的长处，同时还综合SRI公司开发的分散刷新算法(DUAL)的

许多新特点。EIGRP协议主要包括了如下一些新的特征：

•快速收敛——运行EIGRP协议的路由器存储所有相邻路由器的

路由选择表，这样能够快速地适应路由的变化。

•可变长子网掩码——E1GRP协议对可变长子网掩码提供全面的

支持，根据网络号边界可以自动地总结子网路由，而且EIGRP

协议可以根据任意二进制位边界总结局部路由。

•部分界定刷新一一E1GRP协议不提供周期性的路由刷新消息功

能，只有那些需要新信息的路由器才被刷新；所以EIGRP协

议于IGRP相比明显地节约了网络带宽。

•多网络传输协议支持一一EIGRP协议支持的网络传输协议包括

AppleTalk,IP和NetWareIPX等协议。

EIGRP协议是一个内部网关协议。运行E1GRP协议的直接相连的

网络可以认为是一个内部路由系统，路由信息可以通过EIGRP协议自