市商业银行接入网组网方案Word文档格式.docx
- 文档编号:16240504
- 上传时间:2022-11-21
- 格式:DOCX
- 页数:13
- 大小:170.35KB
市商业银行接入网组网方案Word文档格式.docx
《市商业银行接入网组网方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《市商业银行接入网组网方案Word文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
最终建设为一个覆盖全市各营业网点,OA业务与2个外部单位市人行、银监局互联,满足业务需要的二级综合业务网络。
二、网络需求分析
市商业银行新建市行综合大楼,并将进行全市网络改造,目前网络情况:
全市共90个营业网点,分别租用了电信和中信两家运营商的线路,其中45个网点采用电信线路,45个网点采用中信线路,且都为低速DDN线路,所有网点都是采用CISCO老旧网络设备,设备性能和功能都不能满足现有网络业务需求。
目前的网路结构存在以下问题:
1、营业网点众多,而原有CISCO网络设备老旧,性能和功能不能满足现有需求;
2、新综合大楼建成,市局中心网络需要重建;
3、原有网络结构过于简单,市局与各网点之间只有一条DDN线路,链路带宽低,没有备份设备和备份线路,容易出现单点故障。
4、现新增的OA办公网在原有网络中不能得到很好应用。
针对以上问题,我们将通过增加/更换网络设备、升级链路带宽、增加线路等方法,在保证原有业务网的前提下增加新OA办公网,更加合理的对网络进行规划改造。
三、网络设计原则
统筹规划,结构合理
在原有网络的基础上,在设计和改造中必须严格按照相关技术规范。
“统筹规划”就是综合考虑各方面的实际情况,按照一体化的指导思想,制定科学合理,切实可行的实施计划。
“结构合理”就是在网络改造设计,实施过程中要结合市商业银行实际情况合理规划结构。
一般性
整个网络工程必须严格遵照金融网络系统的特殊要求:
既要充分考虑网络的稳定性、可靠性、安全性,满足银行业务的特殊需求,同时也要兼顾银行业务今后的发展,注重网络的先进性和可扩展性。
先进性
银行网络系统是以业务为主服务的高速信息系统,为适应当今时代信息技术日新月异、飞速发展的情况,避免系统建成后过早地因技术落伍而需要升级和更新,因此在网络的拓扑结构、网络设备的选型、软硬件平台的选择和应用系统的选择和设计上,都应该考虑到使用先进的技术。
可靠性
要求网络运行稳定可靠,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强;
安全性
应该能在高可靠性的前提下,抵挡住来自内部或外部的攻击;
采用的安全措施有效、可信,能够在多层次上、以多种方式实现安全的控制;
扩展性和灵活性
既能满足当前业务对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;
设计的配置可以灵活变通,以便于适应客户的其他要求;
接口类型的多样性
考虑到现阶段通信业务的不断发展,在经营网点和市分行之间的路由器设备需要支持包括以太网、帧中继FR、DDN、ISDN等在内的多种广域网连接方式,同时提供DDR、PSTN等功能。
综合性
要求网络和设备具有集成数据、语音、视频等综合通信的能力。
兼容性
要求网络和设备具有良好的兼容性,不同层次级别、不同厂家的不同设备之间使用国际标准化的通信协议,具有良好的兼容性能,保证网络顺畅高效的通信。
四、市商行网络方案
市商业银行综合业务网络拓扑图结构如下:
拓扑描述:
在整个市商行接入网中,我们在主链路和市局局域网中采用成熟稳定的OSPF协议,如上图所示,市局局域网中,在生产网核心交换机BDCOM6803A、6803B、OA网核心交换机6803C以及两台出口路由器间运行OSPFArea0。
BDCOM7208路由器通过2块155MCPOS卡与90个营业网点相连,与其中45个网点采用的是电信的2MSDH线路,它们之间运行OSPFArea1;
与另外45个网点采用中信的2MSDH线路,它们之间运行OSPFArea2。
原有的CISCOXX路由器与各网点之间走原有DDN线路,运行静态路由协议,作为备份线路。
两台BDCOM2621通过电信2MSDH线路与银监局和人行互联,它们之间运行静态路由协议,只通告OA网网段。
4.1市局中心设备
在市局中心采用电信和中信两家的线路,共90条SDH2M线路在市局汇聚为CPOS形式中心设备以信道化方式分配到每个营业网点。
我们在中心选用一台BDCOM7208,配置2块155MCPOS模块接口卡,每块CPOS卡划分出45个2M通道,完成对各营业网点。
BDCOM7208的主控板自带有两个千兆以太网接口,一个百兆以太网口,可以直接接入局域网核心交换机。
在完全满足用户需要的同时,留有多达7个插槽,供用户将来的扩展。
另外增加2台BDCOM2621直接通过以太网口与OA网核心交换机6803C相连,同时还通过2条2MSDH线路分别连接到银监局和人行两个外联单位。
连接外联单位时,电信提供协议转换器,如果电信局提供的是G.703转换器,则需要为路由器提供V35线缆,并配置WIC-1T接口卡。
如果提供的是E1转以太的转换器,我们可以不增加这两台2621,因为电信的SDH线路在经过协议转换器后可以直接通过以太口与OA网核心交换机相连,并在核心交换机上启用静态路由协议即可。
如果必须使用路由器,这2台外联路由器不需要配置UE1卡,在电信光纤线路通过协议转换器后,直接通过RJ45口用以太网线和路由器进行连接。
中心备份设备采用市局自有的CISCOXX。
与各营业网点的备份线路采用原有的DDN线路。
中心的核心交换设备包括3台DMCOM6803核心交换机。
其中2台最为生产网核心交换机;
采取双核心结构,互为备份并负载均衡。
1台作为OA网核心交换机。
OA应用服务器群交换机采用BDCOMS3524(其提供24个10/100/1000M千兆自适应电口、4个千兆复用光口),用于连接OA服务器群。
综合大楼接入交换机,配置3台BDCOMS2224(其提供24个10/100M以太电口、2个千兆电口),7台BDCOMS2448(其提供48个10/100M以太电口、4个千兆电口)用于各楼层用户主机接入。
4.2各营业网点中心设备
在营业网点,配置一台BDCOM2621路由器,完成和市局相连的主线路。
BDCOM2621路由器带2个10M/100/快速以太网口,2个高速通用串口,两路以太网口可以接入局域网。
在BDCOM2621上配置一块单路UE1卡,并提供单路E1接口线缆。
每个营业网点到市局中心采用非信道化2MSDHE1专线进行连接,此线路作为主线路接入。
原有的CISCOXX路由做冷备使用,原有DDN线路连接到BDCOM2621上作为备份线路接入,并提供WIC-1T接口卡。
各网点原有的交换设备依然保留使用。
五、网络方案实施
5.1路由规划
设计优良的拓扑结构是所有稳定网络的基础。
当网络在发生变化时,能迅速进行收敛是非常重要的。
收敛路由协议所需要的时间依赖于下列两个要素:
参与收敛的路由器数量
它们必须处理的信息量
合理的网络应该是分层网络,如核心层,分布层,访问层。
每一层的功能不同,设计的目标也是不相同的。
核心层:
1.不在网络核心层执行网络策略
2.核心层设备应对每个目的地地址都有充分的可达性
分布层:
1.隔离拓扑结构的变化
2.控制路由表的大小
3.流量的收敛
访问层:
1.将流量馈入网络
2.控制访问
3.执行其他的边缘功能
鉴于市商行网络规模较为庞大,拟全网采用OSPF动态路由。
OSPF动态路由有以下几个特点:
1.快速收敛,能够适应大型网络;
2.能够正确处理错误路由信息;
3.使用区域,能够减少单个路由器的CPU负担,构成结构化的网络;
4.支持无类路由,完全支持超网,可变长子网等无类特性;
5.支持多条路径负载均衡;
6.使用组播地址来进行信息互通,减少了非OSPF路由器的负载;
7.使用路由标签来表示来自外部区域的路由
正是上述种种优点,使OSPF路由协议特别适合于像市商行这样大型的网络。
按照上述原则,在市商行的网络中,我们制定的OSPF路由规划策略是:
1.二级网两层域结构,核心层-分布层,市局局域网核心部分划入0域,市局通过电信SDH线路到网点之间的部分划入区域1,市局通过中信SDH线路到网点之间的线路划为区域2,以减少每个域的路由器数量,以减少参与路由运算的负荷,保证网络的快速收敛性。
2.对每级路由器的采用相应的策略,保证网络的稳定和健壮性。
例如,在ASBR(边界路由器)采用地址聚合的策略,以减少注入核心区的路由数量。
3.在保证网络的稳定性同时,必须考虑到金融业务的保密性,必须同时考虑采取一些安全性措施,如进行路由认证。
在市局的OA业务网与银监局、人行的路由设备之间,运行静态路由协议,只通告OA业务网网段。
如果有需要,可以将静态路由重发布进OSPF中,这样整个商业银行网络中的多有路由器都会学习到到达两个外联单位的路由。
5.2路由备份
对主线路进行备份,也是这次市商行网络中的一个重点,一个优秀的备份方案,要综合考虑各方面,如用户成本,带宽,线路稳定性,切换时间,灵活性及潜在的维护扩展成本等。
综合考虑上述各因此,拟采用路由备份的方式,更具体一点,主动备动方式,即主线路采用OSPF动态路由,备份线路也采用OSPF动态路由,配置浮动(float)静态路由来保证备份线路的生效。
具体备份流程步骤如下:
1.主线路配置OSPF动态路由,备份线路采用DDN线路,并配置静态浮动路由,把备份线路同时重新发布到OSPF动态路由。
重发布到OSPF中的静态路由管理距离(AD)大于OSPFAD。
此时,市局的CISCOXX路由器属于ASBR设备。
2.当主线路正常时,动态路由的优先级比静态浮动(float)路由高,数据到达路由器后,查找路由表,优先走主线路。
3.主线路故障时,备份线路配置的浮动静态路由浮现,路由表中只剩一条从备份接口出去的路由。
4.这时,由PC发送给服务器的数据传送到路由器,经过查找路由表之后,决定数据由备份口送出,触发拨号。
5.然后经过ppp协商及ospf动态路由交换信息后,两边都可以学到对方的路由信息。
6.当主线路恢复后,数据又切换回来。
5.3市局局域网网络规划
市局局域网拓扑如下:
在市局局域网中,生产网核心交换机采取双核心结构,通过运行OSPF协议,达到互为备份并负载均的目的。
在生产网核心交换机与出口路由器和生产服务器的连接中,都采用千兆双链路的连接的方式,各楼层交换机也通过千兆线路连接到核心交换机。
保证链路的高速性和冗余性。
OA核心交换机通过百兆兆链路与应用服务器机群交换机相连。
在生产网络的核心交换机A和B上创建vlan,接入交换机上将端口划分到相应的vlan中,所有的vlan信息将在核心交换机上终结。
同时启用生成树协议(STP),防止交换环路。
生产网和OA网之间的访问控制,通过基于源地址和目的地址的扩展访问控制列表可以灵活控制。
5.4各网点局域网规划
各营业网点的网络结构非常简单,出口路由器采用BDCOM2621,配置UE1卡,通过2MSDH线路与市局上联。
以前的DDN线路保留,作为备份链路使用,并配置一块WIC-1T接口卡用于连接DDN线路(若原有的DDN线路为低速线路,且原来使用了基带MODEM,则基带MODEM可以继续使用,但需要为2621提供一跟RLS0111线缆,此时不需要配置WIC-1T接口卡)。
原有的局域网结构不变,生产网新增加的OA办公网之间的访问及隔离通过在路由器上配置ACL来实现。
5.5网络安全保障
鉴于市商行网络信息、数据的重要性,在设计计算机网络系统的安全时,总体采用以下几个原则:
1.网络安全第一性原则
2.多层次(OSI参考模型中的逻辑层次)原则
3.分布式控制原则
4.网络分段原则
安全性第一原则
由于安全性和网络的性能(使用的灵活性,方便性、传输效率等)是一对矛盾,两者不能兼得。
强调了安全性,网络的性能受到影响;
强调网络的性能,安全性可能减弱。
博达公司在为用户建议方案时选择了前者,以牺牲一定的网络性能来换取安全性的增强,但采取的措施对用户来说是透明的,即用户在使用网络时感觉不到受影响。
多层次(OSI参考模型中的逻辑层次)原则
根据OSI参考模型中的每一层,都制定相应的安全策略。
如在链路层,广域网协议进行PAP认证或者安全级别更高的CHAP认证。
在局域网部分,博达路由器支持以太网的IP-ARP地址绑定技术,可以防止不良分子通过IP地址欺骗。
在网络层及传输层上,博达路由器可以采用访问控制列表ACL技术,对源、目的地址、报文类型等诸多元素进行限制,充分保证从二到七层的应用保护。
此外,博达路由器还提供了基于时间的包过滤,可以规定过滤规则发生作用的时间范围,在此时间范围以外,不进行由时间定义的访问规则判断。
在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上提供极大的灵活性。
这个措施就完全限制了在非工作时间的非法访问。
在OSPF路由协议上,我们可以在相同OSPF区域的路由器上启用身份验证的功能,只有经过身份验证的同一区域的路由器才能互相通告路由信息。
除此之外,博达路由器还提供多进程、多区域、路由限制、路由过滤等技术。
可以采用配置console、telnet等多种登录密码。
管理态、配置态密码等验证。
可以采用AAARadius等服务器验证。
网络分段原则
网络分段是保证安全的重要措施。
网络分段可分为物理分段和逻辑分段。
网络可从物理上分为若干段,即通过交换器连接各段。
对于TCP/IP可进行逻辑分段,即把网络分成若干IP子网,各子网通过路由器连接。
博达路由设备都提供多以太网口,从物理层上保证了业务网与管理网的隔离。
同时博达路由器支持在快速以太网端口划分多个子端口,并且支持基于802.1Q的VLAN划分,可以和支持802.1Q的交换机互连。
其配置相对较简单,即把快速以太口划分为不同的子端口,在子端口下封装不同的VLAN标识和IP地址,这样快速以太口就成了中继口。
在VLAN中,划分在同一广播域中的成员并没有任何物理或地理上的限制,它们可以连接到一个交换网络中的不同交换机上。
广播分组、未知分组及成员之间的数据分组都被限定在VLAN之内。
不同的业务组可以分割在两个不同的VLAN内,进行安全隔离,互不访问。
也可利用博达路由器建立各种灵活丰富策略,来控制各子网间的访问。
针对市商行有生产网和OA办公网的实际情况,在市局综合大楼核心交换机上创建vlan,将生产网和OA办公网划分成不同vlan,在接入交换机上将连接的主机端口划分到对应的vlan中。
如:
一楼办公大厅的营业部的所有主机和各楼层的生产网主机划入到生产vlan中,通过vlan的广播隔离功能,在逻辑上增加生产网的安全。
然而通过vlan来进行不同业务之间的隔离不算安全,VLAN间互访控制也不够灵活。
不管在市局中心还是在各营业网点,都要求OA网与生产网间相互隔离,同时又要求部分OA网业务和部分生产网业务间互访,此时,通过路由器或三层交换的各种丰富的策略来进行控制,如通过基于源地址和目的地址的扩展ACL来实现。
网络安全大体上分为两个层次:
网络自身安全和网络业务安全,这两个层次的在整个网络安全体系中是相辅相成的,前者主要是指网络数据的安全传送、网络资源的合法使用;
后者主要是指网络业务的合法授权、使用和监管。
针对金融的网络和业务的状况,一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成,网络层安全策略主要完成对非法使用网络资源的控制,而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制,只有两者的完美结合,才能构成一个安全的系统。
在网络的构建中,可以从网络协议及组网层次进行安全设计。
博达路由器提供全面的网络级安全特性,包括线路安全、用户验证、授权、信息隐藏、数据加密、数据压缩、智能访问控制、攻击探测和防范、安全策略中心等安全机制,从物理层、链路层、网络层、应用层等几个方面,为内部网络及外部数据提供了有力的安全保护。
总之,信息系统的安全是一项系统工程,集技术与管理于一体,二者缺一不可。
根据计算机信息系统安全专家的观点,技术和管理的比例为30:
70,因此说,安全技术重要,但系统管理更加重要,网络中任何一方出现安全漏洞,整个系统就无安全可言了
5.6高可管理性
博达支持多种设备管理方式,可以通过console口进行本地配置。
可以通过telnet、rlogin、PAD等带内方式进行远程配置管理,也可以通过通过拨号接入带外远程配置管理。
除了支持本地TFTP方式升级软件及配置文件,博达路由器还支持远程TFTP方式升级软件及配置文件,大大方便用户进行远程维护和管理。
除此之外,博达还支持下列管理方式:
基于web的配置方式
支持syslog日志管理
支持SNMPV1/2协议、MIB2
支持PDP(兼容Cisco的CDP)
博达也可以支持各种通用的网管软件(如OPENVIEW、CiscoWorks)等。
可以通过这类软件对博达网络设备进行监控和管理。
基于对大型网络管理的需要,博达提供一套网管软件-BroadDirector。
BroadDirector是由博达公司研发的一套基于多平台的,支持SNMP、HTTP、CLI等多协议的网络管理系统。
它包括有丰富的监视网络性能的工具,友好的客户化界面显示,简单而全面的网络配置功能等。
使用BroadDirector可以极大地提高网络运营的效率。
BroadDirector不仅可以针对博达公司的网络设备实行管理,还可以实现对CISCO等公司的网络设备以及其他各种类型的网络主机实现统一的管理。
更重要的是,它能够实现全网状态的实时监控,使管理员真正地实现对整个局域网的集中化管理。
下面列出了BroadDirector的管理目标:
管理包括博达、CISCO、华为在内的各种网络设备,在配置时可以与各种软件兼容,可以适应复杂的网络环境。
提供全方位的技术支持,并提供版本的升级。
采用java相关的技术,适应网管领域的最新发展,应用新的成熟的工业标准。
具有友好的用户界面,图形功能丰富,菜单功能强大,简单易用,无需长时间培训网管人员。
可以为用户节省大量的培训费用
支持各种网络协议,包括各版本的SNMP协议,FTP协议,HTTP协议等标准。
按照用户的要求直观地显示整个网络的拓扑结构,显示网络的层次关系,显示网络设备的链路状态及其相关信息。
实现了全面而丰富的网管功能,完全满足日常的网络监控需求。
能及时发现网络故障,并以一定的方式实时通知网管人员。
实时采集网络上的一些数据,对网络的运行状况,运行性能,可用性等状态信息进行监控,对于问题及时以各种方式迅速通知网管人员。
对于网络的运行状况和历史数据,以友好的方式提供给用户,并提供详细报告,使客户可以在了解一段时间内的网络的情况。
并可以在安装了客户端的任何地方进行查看,报告可以根据客户的需要进行定制,以报表的形式打印。
网络历史数据应保存在数据库中,可以供用户随时查询。
支持多种数据库,并且数据库的更换非常简单,不丢失数据。
适应宽带网络客户的需要,不在客户的计算机上安装任何代理。
根据用户设定管理范围,客户只能看到自己被分配相应权限的功能,可以确保客户网络的安全。
BroadDirector提供了业界流行的基于C/S的体系结构,并支持多个客户端的体系构架。
具有部署灵活,伸缩性好,可扩展性好的特点。
其总体架构如下图:
5.7服务质量保证(Qos)
金融网络是一个多业务综合网络,包含营业业务、管理业务、多媒体业务等,这些业务对网络提供的服务要求不一,如事务性的营业业务通常需要准实时,但对时延抖动不敏感;
管理业务则要求可靠传输;
多媒体业务要求实时传送,并对时延抖动敏感,但支持不可靠传送。
通常网络中对时延敏感的业务,在网络传输中应赋予较高的优先权,使其能得到优先传输,因此在银行网络里,会有多种需要实时性保障的业务,如实时电子交易、IP电话等,当然,其中电子交易是银行关键业务。
网络发生资源争用时,不能简单地将关键业务置于优先就可以,需要结合多种QoS技术及策略来为各种业务提供需要的服务质量。
业务的区分是进行QoS保障的基础,根据业务的不同特性区分为实时、准实时、可靠传输等业务,在网络中可依据协议端口号、IP地址规划等方式作为特征,并利用ACL等技术完成。
合适的带宽是保障业务QoS的重要手段,譬如一路比较清晰的IP电话需要占用约12Kbps的网络带宽,因此不可能在1条64Kbps的链路上同时承载8路这样的IP电话。
而且,物理线路的带宽越宽,在一定范围内将会有效降低整个网络中数据传送的时延。
由于带宽资源是有限及费用昂贵的,因此带宽设计需要预测及结合实际计算各种业务所占用的网络资源,并结合运行商能提供的线路进行选择。
另外,当各种业务以一个比较均匀的速率在网上进行发送,可以减少网上业务的时延及抖动,这需要对一些会对网络带宽进行大量占用的突发性非关键霸道业务(如FTP等)进行带宽的限制使用,而为了使银行关键业务得到较好的服务,又需要对关键业务提供一定的带宽分配和保证,使业务可以通过获得网络带宽的占用而达到减少时延的目的。
在博达路由器的QoS保障技术中,可以综合使用FIFO、PQ、CQ/WFQ、CBWFQ等来提供这样的服务。
QoS保障策略需要从边沿接入就开始部署,应该在主机网关的以太网口处就开始实施,这样在接入处就开始进行流量的限制,能更好地提高广域网的使用率。
另外,对于面向连接(TCP)的业务,如实时交易业务等,还可以结合使用RED/WRED等加权随机丢弃技术,使源主机减缓数据的发送,从而在一定程度上避免拥塞的发生,更好地利用网络资源。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 商业银行 接入 组网 方案