网络改造总体设计方案书

三峡建行 网络改造总体设计方案书 （讨论稿） 二零零一年四月 目 录 第第 1 章章 三峡建行网络现状三峡建行网络现状4 1.1 网络连接现状.4 1.1.1 三峡建行城域网现状.4 1.1.2 三峡建行局域网现状.5 1.1.3 三峡建行广域网现状.6 1.1.4 与Internet连接状况7 1.2 网络应用现状.8 1.2.1 管理网应用现状.8 1.2.2 营业网应用现状.9 1.2.3 外连网应用现状.10 1.3 网络安全现状.11 1.4 网络管理的现状.12 1.5 三峡建行网络存在主要问题.12 1.5.1 三峡建行城域网存在的问题.12 1.5.2 营业网存在的问题：.13 1.5.3 管理网（企业网）存在的问题.13 1.5.4 外连网存在的问题.14 第第 2 章章 网络改造的需求规定网络改造的需求规定15 2.1 总体目标.15 2.2 网络改造需求.15 2.2.1 三峡建行局域网.15 2.2.2 三峡建行城域网.15 2.2.3 广域网接入.16 2.2.4 网络管理的需求.16 2.2.5 网络安全管理需求.16 2.2.6 语音、视频应用的需求.17 第第 3 章章 网络改造的基本原则网络改造的基本原则18 第第 4 章章 网络总体设计网络总体设计19 4.1 三峡建行网络系统改造目标总体架构.19 4.1.1 组网模式.19 4.1.2 网络总体拓扑结构设计.20 4.2 局域网改造.20 4.2.1 局域网改造方案.20 4.3 城域网改造.22 4.4 广域网改造.23 4.4.1 广域网分布层改造.23 4.4.2 广域网接入层改造.24 4.5 外网的连接.25 4.6 可靠性设计.26 4.6.1 设备备份.26 4.6.2 链路备份.27 4.7 网络 IP 路由设计.27 4.8 面向应用的网络服务.28 4.8.1 业务分类和数据特点的分析：.28 4.8.2 QOS保证.28 第第 5 章章 三峡建行网络管理设计三峡建行网络管理设计30 5.1 网管系统功能及其职责.30 5.2 网络管理平台和网管工作站.31 第第 6 章章 网络系统安全设计网络系统安全设计32 6.1 安全模型（P2DR 模型）32 6.2 三峡建行网络系统总体安全体系.33 6.2.1 安全策略设计.33 6.2.2 总体安全体系的规定.33 6.3 三峡建行网络级安全设计35 6.3.1 局域网安全设计.35 6.3.2 广域网安全设计.37 第第 7 章章 IP 电话网络设计电话网络设计.40 7.1 IP 电话网络建设的必要性.40 7.2 IP 电话所使用的几种技术.40 7.3 CISCO 的 VOIP 解决方案41 7.3.1 三峡建行与总行的VoIP通信.42 7.4 IP 语音的管理.43 第第 8 章章 三峡建行视频会议设计三峡建行视频会议设计45 8.1 视频会议系统结构.45 8.2 会议电视终端设备.46 8.2.1 三峡建行会场.46 8.3 实现功能.47 8.4 主要特点.47 H 附件附件 1 三峡建行三峡建行 IP 地址分配规划地址分配规划 48 总行规定 IP 地址编码结构48 三峡建行 IP 地址规划表48 附件附件 2 三峡建行三峡建行 IP 联络中心方案联络中心方案.50 三峡建行 CALL CENTER 解决方案.50 三峡建行IPCC体系架构50 IPCC功能和优点.51 IPCC系统构成.54 IPCC应用软件开发57 第第 1 章章 三峡建行网络现状三峡建行网络现状 三峡建行作为总行确定的六十个重点城市行之一，经过几年的建设，已建 成了覆盖各县市（除 W 县）城市综合业务网络系统，在此基础上依托总行建成 了以清算 A 卡网络系统、企业内部网为代表的全国性三峡建行内部互连网络。 以计算机网络为支撑平台，我行的各类业务应用系统不断推陈出新，开拓了多 项新的业务，为我行的业务快速发展发挥了巨大的作用。 下面，对三峡建行网络结构具体说明： 1.1 网络连接现状网络连接现状 1.1.1 三峡建行城域网现状三峡建行城域网现状 三峡建行中心机房位于科技部二楼。通过自架光纤与三峡建行办公楼、甲路 10 楼（老机房） 、乙办以及丙办连接构成目前的三峡建行城域网，如图所示： 如图，三峡建行局域网的中心交换机为一台 Cisco Catalyst 5505，配有 1 个 2 口 100M FX 光纤接口模块，通过多模光纤与 318 和甲路机房的 1924C 连接。 Catalyst 5505 还配有两个 24 口 100M 以太网接口模块、其中连接两台 2924 交 换机，并通过 2924 上的 100M FX 与乙办以及丁办相连。 1.1.2 三峡建行局域网现状三峡建行局域网现状 在 Catalyst 5505 和 2924 上根据不同的应用划分了 13 个不同的 VLAN，由 于目前我行主交换机没有配置第三层交换功能，VLAN 之间的通信只能通过网 关来实现。 在中心机房中，另有一台 Catalyst 5000 交换机作为备用机。 目前，三峡建行网络中心机房共配有 13 台路由器分别接入局域网中各个 VLAN。路由器应用见表一： 设备端口线路速率说明 Cisco 7206A Port 1X.2564K至各县支行清算 Cisco 7206B Port1-8DDN9.6K银企互联、戊地电信代收费 Cisco 3640APort1-96DDN 9.6K城综网前台网点 Cisco 3640BPort1-64DDN 9.6K 城综网前台网点 Cisco 2501APort 1X.259.6K人行同城清算 Cisco 2501BPort 1DDN64K移动通信代收 Cisco 2501CPort 1DDN64K社保 Cisco 2501DPort 1DDN64K银企互联 Cisco 2501EPort 1DDN2M支付网关与 Internet 接入 Cisco 2501FPort 1X.259.6K人行贷款资料查询 Port 19X.2564K总行清算Motorola MP6520 Port 20PSTN192K总行清算备份 Motorola MP6520Port 19X.2564K部分县支行清算 Motorola MP6560 Port 19DDN/FR64K总行企业网 三峡建行 318 机房是三峡建行办公大楼结构化布线所有信息点的集合地， 318 机房的 1924 从中心机房的 Catalyst 5505 得到 VLAN 信息，通过对其端口划 分不同的 VLAN，三峡建行大楼中各个不同的网络系统实现了与中心机房的通 信。 其它局域网甲路机房、乙办以及丙办也是这种模式。 各县支行以及城区其他支行（办事处）基本都完成了三部一室的本地局域 网布线工作。 1.1.3 三峡建行广域网现状三峡建行广域网现状 三峡建行的广域网线路普遍采用的低速通信链路，其中城市综合网是主 要租用中国电信的 DDN，前台网点通过串口通信协议，直接连到三峡建行 网络中心的设备，部分县行营业部由于原来与清算共用线路还是采用的 X.25，利用路由器连接到三峡建行网络中心，以上租用的线路带宽都只有 9600bps；清算 A 卡网络由于县支行已经改为直连，可以说向下已经没有单 独的线路，三峡建行清算 A 卡（含外币卡）系统与总行和上海连接采用的 是 64k X.25（复用） ；三峡建行企业内部网已经与全辖所有二级机构开通连 接，城区除乙办和丙路办、营业部等少数是通过三峡建行自架的光纤上的以 太网外，其余均租用电信的 DDN，县支行大都采用的是 X.25，带宽只有 9600bps，以路由器方式接入。三峡建行企业网与总行连接采用的是中元公 司提供的中元帧中继，带宽 64K。我行通信线路的主要备份方式为电话拨号。 网络设备以 CISCO、MOTOROLA 为主。此外以城市综合网为基础，我行 独立开发了多种新业务，实现了与证券、电信、人行等外单位的网络互连， 连接线路一般为 DDN，通信速率 9600-64K 都是采用路由器连接的方式。 1.1.4 与与 Internet 连接状况连接状况 三峡建行目前已经开通了 Internet 连接，用于网上银行业务，带宽为 2M， 、连接拓扑图如图: 如图所示三峡建行支付网关与 Internet 连接采用了目前比较完备的网络安 全体系和技术，防火墙采用的是 IBM Firewall 3.12，并安装了 ISS 网络安全管 理软件进行安全漏洞扫描、入侵检测审计等，上述连接已经获得总行的验收认 可。 1.2 网络应用现状网络应用现状 根据三峡建行对网络业务的划分，可以将三峡建行网络业务划分为：核心 业务和外连业务。核心业务是三峡建行业务开展的基础业务，包括以城市综合 网为基础的营业网和以企业内部网为基础的管理网两部分；外连业务是三峡建 行依托核心业务系统，针对辖区内的企业和客户开发的业务网络系统。各系统 应用关系如下图所示： 1.2.1 管理网应用现状管理网应用现状 三峡建行目前正在管理网（企业网）使用的主要是基于 LOTUS/NOTES 平 台上开发的应用，现在在三峡建行辖区范围内管理网上运行应用系统主要包括： 电子邮件系统、信息网站、人力资源、信贷信息管理、移民资金管理、办公自 动化系统、国际结算系统等。除少数应用系统外，大多数应用系统都向下推广 到县支行一级，辖区内管理网（企业网）用计算机大约 300 余台，IP 地址分配 采用年总行统一规划的企业网地址。此外管理网与市人行存在临时的连接， 用于定期本地贷款单位资料查询。管理网（企业网）拓扑连接如下图 营业网 管理网 核心 业务 外连业务 银证连网 代收电话 费 代收交警 罚款 社保同城清算 企业外连 等 图 六 1.2.2 营业网应用现状营业网应用现状 三峡建行目前的营业网应用主要是城市综合网，全行共有前台网点 余个，ATM 台，金融查询机台，Pos 余台，城市综合网以太 网采用年总行下发的营业网段 9842.63.0，而城市综合网广域网前台 网点地址没有标准可循；清算 A 卡网的前置机和各县清算组前台（清算组前台 已经与前台会计柜改为直连后的会计柜机器）采用总行清算系统分配的网 段的 IP 地址。另外随着新业务的开展，前台网点还往往下联一些特定业务的前 置设备（例如金融查询机和个贷前置机） ，这些设备地址也没有统一的规定。营 业网拓扑连接如下图: 1.2.3 外连网应用现状外连网应用现状 三峡建行充分利用三峡建行网络优势，积极开拓业务领域，先后与电信、 证券、人行、社保局等多家实现了网络互连互通，通常我们是采用路由器+前置 机的方式，使外连网与城综网隔离，即每个外连系统都独自采用一台路由器和 一台前置机，路由器配置静态路由和相应的访问控制，前置机屏蔽所有无关的 服务。外连网的 IP 地址分配由于没有可遵循的标准，分配时有很大的随意性。 网络拓扑连接如下图： 1.3 网络安全现状网络安全现状 三峡建行在网络建设过程中已经采取了一些必要的安全措施，如“利用 VLAN 技术将业务网与企业网逻辑隔离、与各证券网点联网时利用前置机来保 证数据传输的安全、拨号访问采用了 RADIUS 认证、在与 Internet 接入的支付 网关中使用防火墙和 ISS 安全监控软件等。但从总体整体上分析，三峡建行现 有网络中仍然存在着一些安全隐患。主要包括以下几个方面： 可靠性安全隐患 由于某些网络设备的关键部件存在质量问题或缺陷，导致网络在运行过程 中存在可靠性安全隐患。如：MOTOROLA 路由器的 FLASH Memory 工作时极 不稳定，经常丢失系统软件，影响了清算 A 卡系统以及企业网的正常运行。一 些系统缺乏备份链路和备份设备，一旦出现故障，势必影响业务的正常开展。 应用系统安全隐患 各种应用缺乏统一的规划，未能充分考虑网络上的安全要求，导致三峡建 行中心机房的业务运行网段上