某银行分行远程授权网络建设方案

某银行分行远程授权网络建设方案某银行分行远程授权网络建设方案目录1前言 -15-1前言1.1文档目的此文档仅作为某银行分行远程授权网络建设方案，以保证远程授权网络建设顺利实施。1.2适用范围本文档适用于参与浦发远程授权网络建设实施人员，项目实施应该遵循本文档，本文档在项目实施过程中也将逐步调整和完善。在实施结束后，也可作为浦发信息科技部网络运维管理的文档资料。2项目背景和目标浦发银行针对用户账户安全以及安全交易考虑，对社区、小微支行特殊交易进行远程授权操作，以保障用户账户安全，该项目为独立组网，通过在每个网点安装一台网络设备，网络设备用单链路通过运营商的双链路连接至分行远程授权路由器设备，远程授权路由器和远程授权交换机进行互联，视频服务器通过双网卡分别接入远程授权交换机和分行服务器区交换机。3网络拓扑备注：部分网点运营商到分行汇聚路由器只有一条线路如上图所示，网点路由交换一体机通过运营商链路连接至汇聚路由器，运营商通过双链路连接至两台汇聚路由器，或者有的网点是运营商到分行汇聚路由器只有一条线路。分行汇聚路由器与核心交换机之间呈口字型互联，远程授权服务器通过双网卡分别连接至分行服务器交换机和远程授权交换机上。

4设备名称规划为规范网络设备名称，统一和简化管理，要对网络设备进行规范命名。网络设备的命名由一级分行代码、二级区域、功能区域、设备型号、设备序号信息组成，字段间用“_”分隔。一级分行代码固定字符二级区域固定字符区域信息固定字符设备类型设备型号固定字符设备序号3位-3位-2位-14位-2位一级分行代码：由3个大写字母组成，描述分行所在地区的标识，两个汉字组成的分行代码由第一、第二个汉字的拼音首字母加上第二个汉字拼音的尾字母组成；由三个或三个以上汉字组成的分行代码由前三个汉字的拼音首字母组成。具体可参见《附件：一级分行命名代码及原IP网段分配》。序号分行名称一级分行代码1上海分行SHI2南京分行NJN3江阴分行JYN4北京分行BJG5杭州分行HZU6宁波分行NBO7广州分行GZU8温州分行WZU9苏州分行SZU10重庆分行CQG11深圳分行SZN12昆明分行KMG13芜湖分行WHU14天津分行TJN15郑州分行ZZU16大连分行DLN17济南分行JNN18成都分行CDU19西安分行XAN20沈阳分行SYG21武汉分行WHN22青岛分行QDO23太原分行TYN24哈尔滨分行HEB25长沙分行CSA26南昌分行NCG27南宁分行NNG28乌鲁木齐分行WLM29长春分行CCN30呼和浩特分行HHH31合肥分行HFI32兰州分行LZU33石家庄分行SJZ34福州分行FZU35贵阳分行GYG36厦门分行XMG37西宁分行XNG38香港分行XGG39海口分行HKU二级区域：由3个大写字母组成，描述设备所在分行的具体区域。分行本部设备二级区域代码统一为BBU，分行网络备份机房（如有）二级区域代码统一为ZBI，其他二级区域原则上可由分行自行命名，命名可参考一级分行代码的命名规则。以下例举部分名称供参考：分行名称分行代码南京分行湖南路支行NJN-HNN沈阳分行泰山支行SYG-TSN武汉分行江汉支行WHN-JHN青岛分行开发区支行QDO-KFQ西安分行本部XAN-BBU设备功能：由2位大写字母组成，描述设备所在分行的具体功能区域。以下例举部分名称供参考：设备类型代码核心交换机HX汇聚路由器HJ接入层交换机JR网点设备WD设备类型：由1或者2位大写字母组成，网络设备类型包含交换机、路由器。具体的对应关系如下表所示：设备类型代码路由器AR交换机S设备型号：由4位字符组成，通常取设备型号的前4位数字，如数字型号不足4位数字，以型号字母从首字母开始补足。设备序号：由2位数字组成，对设备分行代码、二级区域、设备类型、设备型号均一致的设备加以区分，由数字01开始计数。2）网络设备命名范例太原分行远程授权核心交换机1：TYN-BBU-HX-S5720-1太原分行远程授权核心交换机2：TYN-BBU-HX-S5720-2太原分行远程授权汇聚路由器1：TYN-BBU-HJ-AR2240-1太原南内环支行远程授权路由器1：TYN-NNH-WD-AR2204-015IP地址规划本次浦发银行远程授权及集中监控项目需要对分行以及支行的IP地址进行重新规划，以避免IP地址冲突以及便于区分各分行。根据浦发银行营业网点、分支机构的数量和规模，广域网互联地址，网点局域网地址、及设备互联IP地址格式为30.XX.YY.ZZ，第一段为30，第二段XX为各个分行的IP地址位，第三、四段各分行进行自行规划。分行的IP地址位见原IP网段分配表。例如：长春分行IP规划为：30.29.YY.ZZ。5.1广域网互联地址规划广域网互联地址规划方案一所有支行、营业网点、社区银行均通过运营商连接至两台分行汇聚路由器，互联地址使用/29位掩码，6个可用IP地址，两台分行汇聚路由器相应子接口使用不同IP地址。30.X.255.1~23规划为分行网络设备互联地址，分行路由器与支行互联地址规划范围为30.X.255.24~30.X.255.255，可分配29个/29掩码地址段，30.X.255.0/24段IP地址分配完后使用30.X.254.0/24、30.X.253.0/24……每个/24地址段可分配32个/29地址段。广域网互联地址规划如下：网点本地互联地址对端分行互联地址备注某支行130.X.255.25/2930.X.255.26/2930.X.255.27/29空余地址：30.X.255.28~30某支行230.X.255.33/2930.X.255.34/2930.X.255.35/29空余地址：30.X.255.36~38******某支行X-130.X.255.241/2930.X.255.242/2930.X.255.243/29某支行X30.X.255.249/2930.X.255.250/2930.X.255.251/29此方案优点，运营商双链路连接至分行，与支行分别建立OSPF邻居，主线路出现问题可以自动切换至备线路，不会造成ARP冲突。

缺点：会造成较多IP地址资源浪费。适用情景：运营商可以提供双链路，并且可以实现自动切换广域网互联地址地址规划方案二所有支行、营业网点、社区银行均通过运营商连接至两台分行汇聚路由器，互联地址使用/30位掩码，有2个可用地址。两台分行汇聚路由器相应子接口使用相同IP地址，30.X.255.1~23规划为分行网络设备互联地址，分行路由器与支行互联地址规划范围为30.X.255.24~30.X.255.255，可分配58个/30掩码地址段。30.X.255.0/24段IP地址分配完后使用30.X.254.0/24、30.X.253.0/24……每个/24地址段可分配64个/30地址段。网点本地互联地址对端分行互联地址备注某支行130.X.255.25/3030.X.255.26/30某支行230.X.255.29/3030.X.255.30/30******某支行X-130.X.255.249/3030.X.255.250/30某支行X30.X.255.253/3030.X.255.254/30此方案优点：节省IP地址资源。缺点：两台分行汇聚路由器相应子接口配置相同IP地址，可能会出现ARP冲突，影响主用线路情况。下文路由规划中也有相关说明。适用场景：1、支行至运营商，然后运营商只有一条线路至分行汇聚路由器2、支行至运营商，然后运营商两条线路至分行汇聚路由器5.2网点局域网地址规划网点局域网地址段局域网网关vlanID备注5.3分行核心设备互联地址规划分行两台远程授权汇聚路由器、两台远程授权核心交换机互联地址分别规划为/30位掩码IP地址。本端设备对端设备本端设备互联地址对端设备互联地址备注远程授权交换机1远程授权交换机230.X.255.1/3030.X.255.2/30远程授权交换机1远程授权路由器130.X.255.5/3030.X.255.6/30远程授权交换机2远程授权路由器230.X.255.9/3030.X.255.10/30远程授权路由器1远程授权路由器230.X.255.13/3030.X.255.14/305.4网络设备loopback地址规划设备IP地址掩码分行远程授权交换机130.X.64.155分行远程授权交换机230.X.64.255分行远程授权路由器130.X.64.355分行远程授权路由器230.X.64.455某支行路由器30.X.64.1155某支行路由器30.X.64.1255分行loopback地址为30.X.64.1~30.X.64.4，30.X.64.5~30.X.64.10为分行远程授权备用IP地址，支行网络设备loopback地址从30.X.64.11开始依次递增。loopback地址均使用32位掩码。5.5设备安装相关信息包括设备名称、设备型号、设备SN、设备安装详细位置。6路由规划分行核心交换机、汇聚路由器与各网点路由协议使用OSPF协议，分行中心端使用Area0，每个地级城市的网点为一个Area，在分行汇聚路由器ABR上做域间路由过滤，使每个网点只学习到省分行的路由，网点从Area1开始使用。地级城市一个城市网点为一个OSPF区域，上海、北京等分行一个区为一个OSPF区域。两台远程授权汇聚路由器与网点路由交换一体机的互联时需要规划不同地址，分别与支行的路由器一体机建立OSPF邻居关系。通过调整分行备用路由器的接口Cost值，路由选路时主线路走主用分行路由器1。运营商与远程授权汇聚路由器1互联的线路出现问题或者远程授权汇聚路由器1设备本身出现故障时，会自动切换到运营商与远程授权汇聚路由器2的线路，从而不会造成业务的中断。如果IP地址资源有限，需要将分行两台汇聚路由器配置相同IP地址（30位掩码），通过运营商与支行互联，分行路由器1与支行路由交换一体机建立OSPF邻居，当主用链路故障自动或者手动切到备用链路，此时分行路由器2与支行路由交换一体机建立OSPF邻居。此种场景当从备汇聚路由器ping支行路由交换一体机后，有可能造成ARPIP地址冲突进而影响主线路的情况。分行两台远程授权核心交换机配置VRRP冗余协议，来实现远程授权服务器连接的远程授权核心交换机1故障时手动切换到远程授权核心交换机2，而不需要更改服务器网关地址。

7项目实施整体项目实施包括以下步骤：设备到货设备验收、上架设备加电、拷机、测试设备配置导入、互联线缆连接网络测试、冗余性测试实施过程需严格遵循上述步骤，实施结束后，应对前期规划的网络冗余性进行测试，确保项目顺利成功投产。准备工作序号类型工作内容责任人1人员准备根据工作量和技术难度评估需要的实施人员数量和技能水平2工具准备准备设备上架的相关工具例：螺丝刀、机柜螺丝等准备设备的临时标签3布线准备相关设备的互联的线路需要预先布好4技能准备了解熟悉相关技术及实施思路方案步骤5设备到货设备到货、验收6配置准备配置脚本的准备、及备份相关设备的配置实施具体步骤序号工作事项内容及操作命令1网络设备机柜等物理信息确认确认分行及支行网络备机柜及设备上架位置等2各MSTP专线确认确认运营商专线建设正常可用3保存现网设备配置并备份对关联现网设备的配置进行保存和备份4设备上架安装、加电测试将设备上架至指定位置，并进行加电拷机测试，确认设备正常6网络设备预配置及连线先对分行及支行设备进行导入配置脚本并调试，分行与支行设备间MSTP专线的连接，查看配置信息、路由信息等8网络测试对网络进行测试，ping相关测试地址及链路、设备冗余测试，见第六章9保存各设备配置确认网络正常后，保存各网络设备配置10完成实施确认网络和生产正常之后，整理好相关物品，完成此次变更

8测试验证链路连通性测试测试编号及内容链路连通性测试测试环境：测试拓扑物理设备均已加电正常运行，设备之间物理连接均已就位。测试图例：网络拓扑图测试目的：测试支行接入路由交换一体机到分行网络的连通性。测试流程：将PC通过网线接入到支行接入路由交换一体机上。将PC的IP地址配置为支行接入路由交换一体机所属VLAN的网络地址。在PC上ping的相关测试IP地址，测试网络连通性。预期结果：Ping包正常测试结果：测试说明：链路冗余性测试测试编号及内容链路冗余性测试测试环境：测试拓扑物理设备均已加电正常运行，设备之间物理连接均已就位。测试图例：网络拓扑图测试目的：测试支行接入路由交换一体机到分行交换机的网络线路冗余性。测试流程：分别断开每个支行上联至分行中的一条链路，观察PCping相关测试地址的ping包情况。预期结果：Ping包正常测试结果：测试说明：设备冗余性测试测试编号及内容设备冗余性测试测试环境：测试拓扑物理设备均已加电正常运行，设备之间物理连接均已就位。测试图例：网络拓扑图测试目的：测试分行网络设备的冗余性。测试流程：分别关闭一台S5720-28P-SI-AC_01，观察PCping相关测试地址的ping包情况。分别关闭一台AR2240C，观察PCping相关测试地址的ping包情况。预期结果：Ping包正常测试结果：测试说明：9配置示例基于C8051F单片机直流电动机反馈控制系统的设计与研究基于单片机的嵌入式Web服务器的研究MOTOROLA单片机MC68HC（8）05PV8/A内嵌EEPROM的工艺和制程方法及对良率的影响研究基于模糊控制的电阻钎焊单片机温度控制系统的研制基于MCS-51系列单片机的通用控制模块的研究基于单片机实现的供暖系统最佳启停自校正（STR）调节器单片机控制的二级倒立摆系统的研究基于增强型51系列单片机的TCP/IP协议栈的实现基于单片机的蓄电池自动监测系统基于32位嵌入式单片机系统的图像采集与处理技术的研究基于单片机的作物营养诊断专家系统的研究基于单片机的交流伺服电机运动控制系统研究与开发基于单片机的泵管内壁硬度测试仪的研制基于单片机的自动找平控制系统研究基于C8051F040单片机的嵌入式系统开发基于单片机的液压动力系统状态监测仪开发模糊Smith智能控制方法的研究及其单片机实现一种基于单片机的轴快流CO〈,2〉激光器的手持控制面板的研制基于双单片机冲床数控系统的研究基于CYGNAL单片机的在线间歇式浊度仪的研制基于单片机的喷油泵试验台控制器的研制基于单片机的软起动器的研究和设计基于单片机控制的高速快走丝电火花线切割机床短循环走丝方式研究基于单片机的机电产品控制系统开发基于PIC单片机的智能手机充电器基于单片机的实时内核设计及其应用研究基于单片机的远程抄表系统的设计与研究基于单片机的烟气二氧化硫浓度检测仪的研制基于微型光谱仪的单片机系统单片机系统软件构件开发的技术研究基于单片机的液体点滴速度自动检测仪的研制基于单片机系统的多功能温度测量仪的研制基于PIC单片机的电能采集终端的设计和应用基于单片机的光纤光栅解调仪的研制气压式线性摩擦焊机单片机控制系统的研制基于单片机的数字磁通门传感器基于单片机的旋转变压器-数字转换器的研究基于单片机的光纤Bragg光栅解调系统的研究单片机控制的便携式多功能乳腺治疗仪的研制基于C8051F020单片机的多生理信号检测仪基于单片机的电机运动控制系统设计Pico专用单片机核的可测性设计研究基于MCS-51单片机的热量计基于双单片机的智能遥测微型气象站MCS-51单片机构建机器人的实践研究基于单片机的轮轨力检测基于单片机的GPS定位仪的研究与实现基于单片机的电液伺服控制系统用于单片机系统的MMC卡文件系统研制基于单片机的时控和计数系统性能优化的研究基于单片机和CPLD的粗光栅位移测量系统研究单片机控制的后备式方波UPS提升高职学生单片机应用能力的探究基于单片机控制的自动低频减载装置研究基于单片机控制的水下焊接电源的研究基于单片机的多通道数据采集系统基于uPSD3234单片机的氚表面污染测量仪的研制基于单片机的红外测油仪的研究96系列单片机仿真器研究与设计基于单片机的单晶金刚石刀具刃磨设备的数控改造基于单片机的温度智能控制系统的设计与实现基于MSP430单片机的电梯门机控制器的研制基于单片机的气体测漏仪的研究基于三菱M16C/6N系列单片机的CAN/USB协议转换器基于单片机和DSP的变压器油色谱在线监测技术研究基于单片机的膛壁温度报警系统设计基于AVR单片机的低压无功补偿控制器的设计基于单片机船舶电力推进电机监测系统基于单片机网络的振动信号的采集系统基于单片机的大容量数据存储技术的应用研究基于单片机的叠图机研究与教学方法实践基于单片机嵌入式Web服务器技术的研究及实现基于AT89S52单片机的通用数据采集系统基于单片机的多道脉冲幅度分析仪研究机器人旋转电弧传感角焊缝跟踪单片机控制系统基于单片机的控制系统在PLC虚拟教学实验中的应用研究基于单片机系统的网络通信研究与应用基于PIC16F877单片机的莫尔斯码自动译码系统设计与研究基于单片机的模糊控制器在工业电阻炉上的应用研究基于双单片机冲床数控系统的研究与开发基于Cygnal单片机的μC/OS-Ⅱ的研究基于单片机的一体化智能差示扫描量热仪系统研究基于TCP/IP协议的单片机与Internet互联的研究与实现变频调速液压电梯单片机控制器的研究基于单片机γ-免疫计数器自动换样功能的研究与实现基于单片机的倒立摆控制系统设计与实现单片机嵌入式以太网防盗报警系统基于51单片机的嵌入式Internet系统的设计与实现单片机监测系统在挤压机上的应用MSP430单片机在智能水表系统上的研究与应用基于单片机的嵌入式系统中TCP/IP协议栈的实现与应用单片机在高楼恒压供水系统中的应用基于ATmega16单片机的流量控制器的开发基于MSP430单片机的远程抄表系统及智能网络水表的设计基于MSP430单片机具有数据存储与回放功能的嵌入式电子血压计的设计基于单片机的氨分解率检测系统的研究与开发锅炉的单片机控制系统\t"_bl