市商业银行接入网组网方案

市商业银行网络改造解决方案目录TOC\o"1-3"\h\z一、市商业银行二级综合网概述3二、网络需求分析3三、网络设计原那么4四、市商行网络方案6市局中心设备7各营业网点中心设备7五、网络方案实施85.1路由规划85.2路由备份9市局局域网网络规划10各网点局域网规划115.5网络平安保障125.6高可管理性145.7效劳质量保证〔Qos〕15一、市商业银行二级综合网概述随着金融业务的开展，市商业银行业务数据信息量成数十倍，甚至数百倍的增加，目前全市共90个营业网点，租用了电信和中信两家运营商的线路，45个网点采用电信，45个网点采用中信，都为低速DDN线路，传输网已不能满足业务开展要求，而且市商业银行新建市行综合大楼，市局新综合大楼的网络也重新需要建设，所以需要对现有的网络结构和设备进行改造。通过建设到达以下目标：市局综合大楼增加核心路由器和核心交换机，更换各网点路由器。线路升级为2MSDH，原有的DDN线路作为SDH线路的备份线路。市局和各网点都增加OA办公网，保证原有生产网与OA办公网之间的互访和隔离。最终建设为一个覆盖全市各营业网点，OA业务与２个外部单位市人行、银监局互联，满足业务需要的二级综合业务网络。二、网络需求分析市商业银行新建市行综合大楼，并将进行全市网络改造，目前网络情况：全市共90个营业网点，分别租用了电信和中信两家运营商的线路，其中45个网点采用电信线路，45个网点采用中信线路，且都为低速DDN线路，所有网点都是采用CISCO老旧网络设备，设备性能和功能都不能满足现有网络业务需求。目前的网路结构存在以下问题：1、营业网点众多，而原有CISCO网络设备老旧，性能和功能不能满足现有需求；2、新综合大楼建成，市局中心网络需要重建；3、原有网络结构过于简单，市局与各网点之间只有一条DDN线路，链路带宽低，没有备份设备和备份线路，容易出现单点故障。4、现新增的OA办公网在原有网络中不能得到很好应用。针对以上问题，我们将通过增加/更换网络设备、升级链路带宽、增加线路等方法，在保证原有业务网的前提下增加新OA办公网，更加合理的对网络进行规划改造。三、网络设计原那么HYPERLINK统筹规划，结构合理在原有网络的根底上，在设计和改造中必须严格按照相关技术标准。“统筹规划〞就是综合考虑各方面的实际情况，按照一体化的指导思想，制定科学合理，切实可行的实施方案。“结构合理〞就是在网络改造设计，实施过程中要结合市商业银行实际情况合理规划结构。HYPERLINK一般性整个网络工程必须严格遵照金融网络系统的特殊要求：既要充分考虑网络的稳定性、可靠性、平安性，满足银行业务的特殊需求，同时也要兼顾银行业务今后的开展，注重网络的先进性和可扩展性。先进性银行网络系统是以业务为主效劳的高速信息系统，为适应当今时代信息技术日新月异、飞速开展的情况，防止系统建成后过早地因技术落伍而需要升级和更新，因此在网络的拓扑结构、网络设备的选型、软硬件平台的选择和应用系统的选择和设计上，都应该考虑到使用先进的技术。可靠性要求网络运行稳定可靠，具有很高的MTBF〔平均无故障工作时间〕和极低的MTBR〔平均无故障率〕，提高容错设计，支持故障检测和恢复，可管理性强；平安性应该能在高可靠性的前提下，抵挡住来自内部或外部的攻击；采用的平安措施有效、可信，能够在多层次上、以多种方式实现平安的控制；扩展性和灵活性既能满足当前业务对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便于适应客户的其他要求；接口类型的多样性考虑到现阶段通信业务的不断开展，在经营网点和市分行之间的路由器设备需要支持包括以太网、帧中继FR、DDN、ISDN等在内的多种广域网连接方式，同时提供DDR、PSTN等功能。HYPERLINK综合性要求网络和设备具有集成数据、语音、视频等综合通信的能力。HYPERLINK兼容性要求网络和设备具有良好的兼容性，不同层次级别、不同厂家的不同设备之间使用国际标准化的通信协议，具有良好的兼容性能，保证网络顺畅高效的通信。四、市商行网络方案市商业银行综合业务网络拓扑图结构如下：拓扑描述：在整个市商行接入网中，我们在主链路和市局局域网中采用成熟稳定的OSPF协议，如上图所示，市局局域网中，在生产网核心交换机BDCOM6803A、6803B、OA网核心交换机6803C以及两台出口路由器间运行OSPFArea0。BDCOM7208路由器通过2块155MCPOS卡与90个营业网点相连，与其中45个网点采用的是电信的2MSDH线路，它们之间运行OSPFArea1；与另外45个网点采用中信的2MSDH线路，它们之间运行OSPFArea2。原有的CISCOXX路由器与各网点之间走原有DDN线路，运行静态路由协议，作为备份线路。两台BDCOM2621通过电信2MSDH线路与银监局和人行互联，它们之间运行静态路由协议，只通告OA网网段。市局中心设备在市局中心采用电信和中信两家的线路，共90条SDH2M线路在市局会聚为CPOS形式中心设备以信道化方式分配到每个营业网点。我们在中心选用一台BDCOM7208，配置2块155MCPOS模块接口卡，每块CPOS卡划分出45个2M通道，完成对各营业网点。BDCOM7208的主控板自带有两个千兆以太网接口，一个百兆以太网口，可以直接接入局域网核心交换机。在完全满足用户需要的同时，留有多达7个插槽，供用户将来的扩展。另外增加2台BDCOM2621直接通过以太网口与OA网核心交换机6803C相连，同时还通过2条2MSDH线路分别连接到银监局和人行两个外联单位。连接外联单位时，电信提供协议转换器，如果电信局提供的是G.703转换器，那么需要为路由器提供V35线缆，并配置WIC-1T接口卡。如果提供的是E1转以太的转换器，我们可以不增加这两台2621，因为电信的SDH线路在经过协议转换器后可以直接通过以太口与OA网核心交换机相连，并在核心交换机上启用静态路由协议即可。如果必须使用路由器，这2台外联路由器不需要配置UE1卡，在电信光纤线路通过协议转换器后，直接通过RJ45口用以太网线和路由器进行连接。中心备份设备采用市局自有的CISCOXX。与各营业网点的备份线路采用原有的DDN线路。中心的核心交换设备包括3台DMCOM6803核心交换机。其中2台最为生产网核心交换机；采取双核心结构，互为备份并负载均衡。1台作为OA网核心交换机。OA应用效劳器群交换机采用BDCOMS3524〔其提供24个10/100/1000M千兆自适应电口、4个千兆复用光口〕，用于连接OA效劳器群。综合大楼接入交换机，配置3台BDCOMS2224〔其提供24个10/100M以太电口、2个千兆电口〕，7台BDCOMS2448〔其提供48个10/100M以太电口、4个千兆电口〕用于各楼层用户主机接入。各营业网点中心设备在营业网点，配置一台BDCOM2621路由器，完成和市局相连的主线路。BDCOM2621路由器带2个10M/100/快速以太网口，2个高速通用串口，两路以太网口可以接入局域网。在BDCOM2621上配置一块单路UE1卡，并提供单路E1接口线缆。每个营业网点到市局中心采用非信道化2MSDHE1专线进行连接，此线路作为主线路接入。原有的CISCOXX路由做冷备使用，原有DDN线路连接到BDCOM2621上作为备份线路接入，并提供WIC-1T接口卡。各网点原有的交换设备依然保存使用。五、网络方案实施5.1路由规划设计优良的拓扑结构是所有稳定网络的根底。当网络在发生变化时，能迅速进行收敛是非常重要的。收敛路由协议所需要的时间依赖于以下两个要素：参与收敛的路由器数量它们必须处理的信息量合理的网络应该是分层网络，如核心层，分布层，访问层。每一层的功能不同，设计的目标也是不相同的。核心层：1．不在网络核心层执行网络策略2．核心层设备应对每个目的地地址都有充分的可达性分布层：1．隔离拓扑结构的变化2．控制路由表的大小3．流量的收敛访问层：1．将流量馈入网络2．控制访问3．执行其他的边缘功能鉴于市商行网络规模较为庞大，拟全网采用OSPF动态路由。OSPF动态路由有以下几个特点：1．快速收敛，能够适应大型网络；2．能够正确处理错误路由信息；3．使用区域，能够减少单个路由器的CPU负担，构成结构化的网络；4．支持无类路由，完全支持超网，可变长子网等无类特性；5．支持多条路径负载均衡；6．使用组播地址来进行信息互通，减少了非OSPF路由器的负载；7．使用路由标签来表示来自外部区域的路由正是上述种种优点，使OSPF路由协议特别适合于像市商行这样大型的网络。按照上述原那么，在市商行的网络中，我们制定的OSPF路由规划策略是：1．二级网两层域结构，核心层－分布层，市局局域网核心局部划入0域，市局通过电信SDH线路到网点之间的局部划入区域1，市局通过中信SDH线路到网点之间的线路划为区域2，以减少每个域的路由器数量，以减少参与路由运算的负荷，保证网络的快速收敛性。2．对每级路由器的采用相应的策略，保证网络的稳定和健壮性。例如，在ASBR〔边界路由器〕采用地址聚合的策略，以减少注入核心区的路由数量。3．在保证网络的稳定性同时，必须考虑到金融业务的保密性，必须同时考虑采取一些平安性措施，如进行路由认证。在市局的OA业务网与银监局、人行的路由设备之间，运行静态路由协议，只通告OA业务网网段。如果有需要，可以将静态路由重发布进OSPF中，这样整个商业银行网络中的多有路由器都会学习到到达两个外联单位的路由。5.2路由备份对主线路进行备份，也是这次市商行网络中的一个重点，一个优秀的备份方案，要综合考虑各方面，如用户本钱，带宽，线路稳定性，切换时间，灵活性及潜在的维护扩展本钱等。综合考虑上述各因此，拟采用路由备份的方式，更具体一点，主动备动方式，即主线路采用OSPF动态路由，备份线路也采用OSPF动态路由，配置浮动〔float〕静态路由来保证备份线路的生效。具体备份流程步骤如下：1．主线路配置OSPF动态路由，备份线路采用DDN线路，并配置静态浮动路由，把备份线路同时重新发布到OSPF动态路由。重发布到OSPF中的静态路由管理距离〔AD〕大于OSPFAD。此时，市局的CISCOXX路由器属于ASBR设备。2．当主线路正常时，动态路由的优先级比静态浮动〔float〕路由高，数据到达路由器后，查找路由表，优先走主线路。3．主线路故障时，备份线路配置的浮动静态路由浮现，路由表中只剩一条从备份接口出去的路由。4．这时，由PC发送给效劳器的数据传送到路由器，经过查找路由表之后，决定数据由备份口送出，触发拨号。5．然后经过ppp协商及ospf动态路由交换信息后，两边都可以学到对方的路由信息。6．当主线路恢复后，数据又切换回来。市局局域网网络规划市局局域网拓扑如下：在市局局域网中，生产网核心交换机采取双核心结构，通过运行OSPF协议，到达互为备份并负载均的目的。在生产网核心交换机与出口路由器和生产效劳器的连接中，都采用千兆双链路的连接的方式，各楼层交换机也通过千兆线路连接到核心交换机。保证链路的高速性和冗余性。OA核心交换机通过百兆兆链路与应用效劳器机群交换机相连。在生产网络的核心交换机A和B上创立vlan，接入交换机上将端口划分到相应的vlan中，所有的vlan信息将在核心交换机上终结。同时启用生成树协议〔STP〕，防止交换环路。生产网和OA网之间的访问控制，通过基于源地址和目的地址的扩展访问控制列表可以灵活控制。各营业网点的网络结构非常简单，出口路由器采用BDCOM2621，配置UE1卡，通过2MSDH线路与市局上联。以前的DDN线路保存，作为备份链路使用，并配置一块WIC-1T接口卡用于连接DDN线路〔假设原有的DDN线路为低速线路，且原来使用了基带MODEM，那么基带MODEM可以继续使用，但需要为2621提供一跟RLS0111线缆，此时不需要配置WIC-1T接口卡〕。原有的局域网结构不变，生产网新增加的OA办公网之间的访问及隔离通过在路由器上配置ACL来实现。HYPERLINK网络平安保障鉴于市商行网络信息、数据的重要性，在设计计算机网络系统的平安时，总体采用以下几个原那么：1．网络平安第一性原那么2．多层次〔OSI参考模型中的逻辑层次〕原那么3．分布式控制原那么4．网络分段原那么平安性第一原那么由于平安性和网络的性能〔使用的灵活性，方便性、传输效率等〕是一对矛盾，两者不能兼得。强调了平安性，网络的性能受到影响；强调网络的性能，平安性可能减弱。博达公司在为用户建议方案时选择了前者，以牺牲一定的网络性能来换取平安性的增强，但采取的措施对用户来说是透明的，即用户在使用网络时感觉不到受影响。多层次〔OSI参考模型中的逻辑层次〕原那么根据OSI参考模型中的每一层，都制定相应的平安策略。如在链路层，广域网协议进行PAP认证或者平安级别更高的CHAP认证。在局域网局部，博达路由器支持以太网的IP-ARP地址绑定技术，可以防止不良分子通过IP地址欺骗。在网络层及传输层上，博达路由器可以采用访问控制列表ACL技术，对源、目的地址、报文类型等诸多元素进行限制，充分保证从二到七层的应用保护。此外，博达路由器还提供了基于时间的包过滤，可以规定过滤规那么发生作用的时间范围，在此时间范围以外，不进行由时间定义的访问规那么判断。在时间段的设置上，可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用，在应用上提供极大的灵活性。这个措施就完全限制了在非工作时间的非法访问。在OSPF路由协议上，我们可以在相同OSPF区域的路由器上启用身份验证的功能，只有经过身份验证的同一区域的路由器才能互相通告路由信息。除此之外，博达路由器还提供多进程、多区域、路由限制、路由过滤等技术。可以采用配置console、telnet等多种登录密码。管理态、配置态密码等验证。可以采用AAARadius等效劳器验证。网络分段原那么网络分段是保证平安的重要措施。网络分段可分为物理分段和逻辑分段。网络可从物理上分为假设干段，即通过交换器连接各段。对于TCP/IP可进行逻辑分段，即把网络分成假设干IP子网，各子网通过路由器连接。博达路由设备都提供多以太网口，从物理层上保证了业务网与管理网的隔离。同时博达路由器支持在快速以太网端口划分多个子端口，并且支持基于802.1Q的VLAN划分，可以和支持802.1Q的交换机互连。其配置相对较简单，即把快速以太口划分为不同的子端口，在子端口下封装不同的VLAN标识和IP地址，这样快速以太口就成了中继口。在VLAN中，划分在同一播送域中的成员并没有任何物理或地理上的限制，它们可以连接到一个交换网络中的不同交换机上。播送分组、未知分组及成员之间的数据分组都被限定在VLAN之内。不同的业务组可以分割在两个不同的VLAN内，进行平安隔离，互不访问。也可利用博达路由器建立各种灵活丰富策略，来控制各子网间的访问。针对市商行有生产网和OA办公网的实际情况，在市局综合大楼核心交换机上创立vlan，将生产网和OA办公网划分成不同vlan，在接入交换机上将连接的主机端口划分到对应的vlan中。如：一楼办公大厅的营业部的所有主机和各楼层的生产网主机划入到生产vlan中，通过vlan的播送隔离功能，在逻辑上增加生产网的平安。然而通过vlan来进行不同业务之间的隔离不算平安，VLAN间互访控制也不够灵活。不管在市局中心还是在各营业网点，都要求OA网与生产网间相互隔离，同时又要求局部OA网业务和局部生产网业务间互访，此时，通过路由器或三层交换的各种丰富的策略来进行控制，如通过基于源地址和目的地址的扩展ACL来实现。网络平安大体上分为两个层次：网络自身平安和网络业务平安，这两个层次的在整个网络平安体系中是相辅相成的，前者主要是指网络数据的平安传送、网络资源的合法使用；后者主要是指网络业务的合法授权、使用和监管。针对金融的网络和业务的状况，一个完整的网络平安方案应该由网络层平安策略和应用层平安策略来构成，网络层平安策略主要完成对非法使用网络资源的控制，而应用层平安策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个平安的系统。在网络的构建中，可以从网络协议及组网层次进行平安设计。博达路由器提供全面的网络级平安特性，包括线路平安、用户验证、授权、信息隐藏、数据加密、数据压缩、智能访问控制、攻击探测和防范、平安策略中心等平安机制，从物理层、链路层、网络层、应用层等几个方面，为内部网络及外部数据提供了有力的平安保护。总之，信息系统的平安是一项系统工程，集技术与管理于一体，二者缺一不可。根据计算机信息系统平安专家的观点，技术和管理的比例为30：70，因此说，平安技术重要，但系统管理更加重要，网络中任何一方出现平安漏洞，整个系统就无平安可言了HYPERLINK高可管理性博达支持多种设备管理方式，可以通过console口进行本地配置。可以通过telnet、rlogin、PAD等带内方式进行远程配置管理，也可以通过通过拨号接入带外远程配置管理。除了支持本地TFTP方式升级软件及配置文件，博达路由器还支持远程TFTP方式升级软件及配置文件，大大方便用户进行远程维护和管理。除此之外，博达还支持以下管理方式：基于web的配置方式支持syslog日志管理支持SNMPV1/2协议、MIB2支持PDP〔兼容Cisco的CDP〕博达也可以支持各种通用的网管软件〔如OPENVIEW、CiscoWorks〕等。可以通过这类软件对博达网络设备进行监控和管理。基于对大型网络管理的需要，博达提供一套网管软件－BroadDirector。BroadDirector是由博达公司研发的一套基于多平台的，支持SNMP、HTTP、CLI等多协议的网络管理系统。它包括有丰富的监视网络性能的工具，友好的客户化界面显示，简单而全面的网络配置功能等。使用BroadDirector可以极大地提高网络运营的效率。BroadDirector不仅可以针对博达公司的网络设备实行管理，还可以实现对CISCO等公司的网络设备以及其他各种类型的网络主机实现统一的管理。更重要的是，它能够实现全网状态的实时监控，使管理员真正地实现对整个局域网的集中化管理。下面列出了BroadDirector的管理目标：管理包括博达、CISCO、华为在内的各种网络设备，在配置时可以与各种软件兼容，可以适应复杂的网络环境。提供全方位的技术支持，并提供版本的升级。采用java相关的技术，适应网管领域的最新开展，应用新的成熟的工业标准。具有友好的用户界面，图形功能丰富，菜单功能强大，简单易用，无需长时间培训网管人员。可以为用户节省大量的培训费用支持各种网络协议，包括各版本的SNMP协议，FTP协议，HTTP协议等标准。按照用户的要求直观地显示整个网络的拓扑结构，显示网络的层次关系，显示网络设备的链路状态及其相关信息。实现了全面而丰富的网管功能，完全满足日常的网络监控需求。能及时发现网络故障，并以一定的方式实时通知网管人员。实时采集网络上的一些数据，对网络的运行状况，运行性能，可用性等状态信息进行监控，对于问题及时以各种方式迅速通知网管人员。对于网络的运行状况和历史数据，以友好的方式提供应用户，并提供详细报告，使客户可以在了解一段时间内的网络的情况。并可以在安装了客户端的任何地方进行查看，报告可以根据客户的需要进行定制，以报表的形式打印。网络历史数据应保存在数据库中，可以供用户随时查询。支持多种数据库，并且数据库的更换非常简单，不丧失数据。适应宽带网络客户的需要，不在客户的计算机上安装任何代理。根据用户设定管理范围，客户只能看到自己被分配相应权限的功能，可以确保客户网络的平安。BroadDirector提供了业界流行的基于C/S的体系结构，并支持多个客户端的体系构架。具有部署灵活，伸缩性好，可扩展性好的特点。其总体架