【正文】 路由協(xié)議選擇 在大型網(wǎng)絡(luò)中，選擇適當(dāng)?shù)穆酚蓞f(xié)議是非常重要的。 2）網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。 對于 XXX 農(nóng)聯(lián)社 這樣的 大 型網(wǎng)絡(luò)，特點是結(jié)構(gòu)較為復(fù)雜，路由信息較多，但節(jié)點一旦固定變動相對較小，所以對路由協(xié)議的性能提出較高的要求。 5）管理和安全上的要求 通常要求在可以滿足功能需求的情況下盡可能簡化管理 。不恰當(dāng)?shù)倪x擇有時對網(wǎng)絡(luò)是致命的，路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運行、網(wǎng)絡(luò)在拓?fù)渥兓瘯r的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響；還有對于網(wǎng)絡(luò)承載的業(yè)務(wù)的控制方面的復(fù)雜 性 和靈活 性 具有很重要的影響。 下面，我們對網(wǎng)絡(luò)進(jìn)行簡單的分析，根據(jù)網(wǎng)絡(luò)特點選擇合適的路由協(xié)議和合理的 XXX 農(nóng)聯(lián)社 信息網(wǎng)絡(luò)系統(tǒng)路由設(shè)計。針對這些網(wǎng)絡(luò)特點，需要的路由協(xié)議是：適合中大型網(wǎng)絡(luò)，收斂時間快，路由策略豐富；并且是標(biāo)準(zhǔn)化容易擴(kuò)展。上面所講的都是單播路由協(xié)議，與此對應(yīng)的還有多播路由協(xié)議。 另外，還有靜態(tài)路由協(xié)議。 地市中心 節(jié)點 是 Area 0的邊界路由器 ， 同時也屬于各 地市 所有路由器所在的 Area。這種備份方式適用于同一路由器不同線路之間的備份。 Backup Interface 是通過檢測廣域網(wǎng)端口狀態(tài)來決定是否啟用備份線路，而有些情況（如幀中繼和 ）當(dāng)廣域網(wǎng)線路不通時，廣域網(wǎng)端口仍保持 UP 狀態(tài)，這種情況下就必須采用浮動路由的方式實現(xiàn)撥號備份。 專網(wǎng)化構(gòu)建提高 XXX 農(nóng)聯(lián)社 網(wǎng)絡(luò)安全性 XXX 農(nóng)聯(lián)社 系統(tǒng) 網(wǎng)絡(luò)存在著多種組網(wǎng)需求，籠統(tǒng)的說需要分別考慮：生產(chǎn)（營業(yè)）網(wǎng)、辦公（ OA）網(wǎng)、綜合信息網(wǎng)、網(wǎng)管網(wǎng)、（業(yè)務(wù)）測試網(wǎng)等等，再 細(xì)分，各網(wǎng)絡(luò)、區(qū)域內(nèi)部還存在眾多不同的網(wǎng)絡(luò)訪問、服務(wù)需求，如何在網(wǎng)絡(luò)安全、建網(wǎng)成本、保證海量業(yè)務(wù)網(wǎng)絡(luò)需求之間達(dá)到平衡？當(dāng)然，滿足業(yè)務(wù)需求是我們追求的最終目標(biāo)，那么在當(dāng)今金融數(shù)據(jù)大集中、網(wǎng)絡(luò)平臺化的基礎(chǔ)上，下面我們要做的就是在更快更好的達(dá)成業(yè)務(wù)網(wǎng)絡(luò)需求同時保證網(wǎng)絡(luò)安全。 MPLS VPN 可以提供完全獨立、定制形態(tài)的各種網(wǎng)絡(luò)安全策略，同時兼具了網(wǎng)絡(luò)配置簡單、動態(tài)的發(fā)現(xiàn)相鄰節(jié)點、可以直接利用現(xiàn)有路由協(xié)議而無需任何改動、更具理想的可擴(kuò)展性等特點。華為 3Com 公司 HOPE 技術(shù)成為解決這個問題的理想方案。結(jié)合 HOPE 的 MPLS VPN 技術(shù)為新一代網(wǎng)絡(luò)系統(tǒng)提供了一個硬件平臺下構(gòu)建多個縱向業(yè)務(wù)網(wǎng)絡(luò)的有效途徑。華為 3Com 在新一代高安全的金融網(wǎng)絡(luò)系統(tǒng)的方案建議中提出了一個全新的網(wǎng)絡(luò)角色 —— 內(nèi)容接入服務(wù)器，這是一個可以實現(xiàn)具體到每一個網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)權(quán)限和路徑控制的硬件服務(wù)器（ Quidway174。 我們知道，在數(shù)據(jù)大集中的業(yè)務(wù)背景下，集中式 的安全構(gòu)架是最為堅固和經(jīng)濟(jì)的。 Eudemon 防火墻構(gòu)筑非軍事區(qū)域（ DMZ 區(qū)），防火墻、網(wǎng)絡(luò)設(shè)備與內(nèi)部網(wǎng)絡(luò)的安全系統(tǒng)構(gòu)建聯(lián)動的安全防御體系，其實際的邏輯結(jié)構(gòu)如框圖所示，除了分行的主機(jī)數(shù)據(jù)訪問節(jié)點外，其他用戶不可見，而我們在網(wǎng)絡(luò)布局上則獲得了解放！ 。在數(shù)據(jù)中心安全策略系統(tǒng)的配合下，整個 XXX 農(nóng)聯(lián)社 網(wǎng)絡(luò)的安全系統(tǒng)實現(xiàn)聯(lián)動，為整個 XXX 農(nóng)聯(lián)社 業(yè)務(wù)系統(tǒng)提供一套完整的安全防御堡壘。 XXX省農(nóng)村信用社聯(lián)合社信息化建設(shè)網(wǎng)絡(luò)解決方案 7/17/2020 華為 3Com 商業(yè)秘密 33 圖 14 增加內(nèi)容接入服務(wù)器加強(qiáng)局域網(wǎng)的訪問安全策略 結(jié)合原有的安全控制系統(tǒng)，內(nèi)容導(dǎo)向型網(wǎng)絡(luò)控制可以提供一個更高精確性的安全控制策略。） 不同業(yè)務(wù)類別、應(yīng)用區(qū)域從網(wǎng)絡(luò)層就開始的完全“獨立布設(shè)”使得網(wǎng)絡(luò)安全的布署更加簡明和堅固。 HOPE 是華為 3Com公司專有技術(shù)， 20xx 年初正式向 ITUT 提交并且獲得國際電聯(lián)專家委員會大力 推薦的 RFC 國際技術(shù)標(biāo)準(zhǔn)。 XXX省農(nóng)村信用社聯(lián)合社信息化建設(shè)網(wǎng)絡(luò)解決方案 7/17/2020 華為 3Com 商業(yè)秘密 31 圖 13 基于 MPLS VPN 技術(shù)實現(xiàn)高安全網(wǎng)絡(luò)平臺支撐 各個業(yè)務(wù)需求網(wǎng)絡(luò)獲得了獨立的邏輯網(wǎng)絡(luò)，每一個網(wǎng)絡(luò)用戶都可以象使用一套獨立的物理網(wǎng)絡(luò)那樣 使用相同的一套網(wǎng)絡(luò)，而用戶之間卻沒有交互影響！我們可以在系統(tǒng)中快速的增加一個新網(wǎng)絡(luò)，而不需要考慮在多個網(wǎng)絡(luò)層次上修改原有系統(tǒng)之間的策略?；?IP 平臺，我們很容易就聯(lián)想到了 VPN 技術(shù)，而對于一個大規(guī)模的樹型網(wǎng)絡(luò)來說， MPLS VPN技術(shù)當(dāng)仁不讓的成為首選。 5) 各營業(yè)網(wǎng)點使用靜態(tài)路由協(xié)議。這樣在正常情況下路由器優(yōu)先使用動態(tài)路由，當(dāng)主干出現(xiàn)故障時路由器將自動啟用靜態(tài)路由，啟動撥號備份線路。一般來說，撥號備份功能的實現(xiàn)可以采用以下兩種方式： Backup Interface或浮 動路由方式。 基于上面的需求分析及選 擇考慮原則， 建議 XXX 農(nóng)聯(lián)社 網(wǎng)絡(luò)使用 如下路由方案： 1) 在全網(wǎng)中采用 OSPF來實現(xiàn)路由的發(fā)現(xiàn)和交換。 鏈路狀態(tài)路由協(xié)議的主要特點是適合于大型網(wǎng)絡(luò)，采用分層結(jié)構(gòu)，隔離不同網(wǎng)絡(luò)故障點，路由收斂快，不會形成路由環(huán)，鏈路帶寬消耗較小；另外，配置稍微復(fù)雜。其中內(nèi)部網(wǎng)關(guān)路由協(xié)議又可以分為：距離－矢量路由協(xié)議（ RIP）；鏈路狀態(tài)路由協(xié)XXX省農(nóng)村信用社聯(lián)合社信息化建設(shè)網(wǎng)絡(luò)解決方案 7/17/2020 華為 3Com 商業(yè)秘密 28 議（ OSPF 和 ISIS 等）。業(yè)務(wù)分為非實 時和實時等，其中包含災(zāi)備、管理信息等數(shù)據(jù)； XXX 農(nóng)聯(lián)社 網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，網(wǎng)絡(luò)節(jié)點眾多 ； 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將根據(jù)網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)的調(diào)整、網(wǎng)絡(luò)資費的變化等因素而變化。路徑的選擇取決于metrics, metrics 可包括可靠性、延遲、帶寬、負(fù)載、 MTU、通訊費用和業(yè)務(wù)數(shù)據(jù)流向控制等。 根據(jù) XXX 農(nóng)聯(lián)社 網(wǎng)絡(luò)的優(yōu)化設(shè)計策略，在選擇及規(guī)劃路由協(xié)議時需要按照這些因素進(jìn)行考慮和設(shè)計。 4）與其他網(wǎng)絡(luò)的互 聯(lián) 要求 通過劃分成相對獨立管理的網(wǎng)絡(luò)區(qū)域，可以減少網(wǎng)絡(luò)間的相關(guān)性，有利于網(wǎng)絡(luò)的擴(kuò)展，路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性。對于 XXX 農(nóng)聯(lián)社 網(wǎng)絡(luò)，路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓?，在拓?fù)浒l(fā)生變化時，無論是對網(wǎng)絡(luò)中的路由本身，還是網(wǎng)絡(luò)設(shè)備的管理都要使影響最小。不同的路由協(xié)議有各自的特點，分別適用于不同的條件之下。 分配方法 省中心及 各區(qū)域 IP地址段規(guī)劃 表 4 省中心和地市中心 IP 地址段分配表 地區(qū) 縣聯(lián)社數(shù)量 IP地址段 備注 省中心 7 ~＋ 6個縣聯(lián)社 九江 11 ~景德鎮(zhèn) 3 ~撫州 12 ~鷹潭 3 ~上饒 12 ~新余 2 ~宜春 10 ~萍鄉(xiāng) 5 ~吉安 13 ~贛州 18 ~預(yù)留 ~ 省中心 IP地址規(guī)劃 XXX省農(nóng)村信用社聯(lián)合社信息化建設(shè)網(wǎng)絡(luò)解決方案 7/17/2020 華為 3Com 商業(yè)秘密 24 表 5 省中心業(yè)務(wù)系統(tǒng)和南昌市節(jié)點 IP 地址段分配表 單位 /應(yīng)用 IP地址段 用途 省中心 廣域網(wǎng)鏈路 用于上聯(lián)省中心的廣域網(wǎng)鏈路兩端 業(yè)務(wù)系統(tǒng) 用于主機(jī)和 PC服務(wù)器（不包括 PC機(jī)） OA系統(tǒng) 測試系統(tǒng) 開發(fā)系統(tǒng) PC機(jī) 用于中心工作人員 PC機(jī) 接入網(wǎng)點 用于直接上聯(lián)省中心的網(wǎng)點 預(yù)留 ~南昌營業(yè)管理部 用于各單位內(nèi)部局域網(wǎng)使用 安義 縣農(nóng)村合作銀行 南昌市洪都農(nóng)村信用合作聯(lián)社 南昌縣農(nóng)村信用合作聯(lián)社 進(jìn)賢縣農(nóng)村信用合作聯(lián)社 新建縣農(nóng)村信用合作聯(lián)社 灣里區(qū)農(nóng)村信用合作聯(lián)社 區(qū)域中心 IP地址規(guī)劃 每個區(qū)域中心（辦事處或合作銀行）按照相同的原則進(jìn)行 IP 地址分配，現(xiàn)以景德鎮(zhèn)（ ~）為例，列表如下： 表 6 地市中 心 IP 地址段分配表（舉例） 單位 /應(yīng)用 IP地址段 用途 景德鎮(zhèn)（區(qū)域中心） 廣域網(wǎng)鏈路 用于上聯(lián) 區(qū)域 中心的廣域網(wǎng)鏈路兩端 XXX省農(nóng)村信用社聯(lián)合社信息化建設(shè)網(wǎng)絡(luò)解決方案 7/17/2020 華為 3Com 商業(yè)秘密 25 應(yīng)用系統(tǒng) 用于主機(jī)和 PC服務(wù)器（不包括 PC機(jī)） PC機(jī) 接入網(wǎng)點 用于直接上聯(lián) 區(qū)域 中心的網(wǎng)點 預(yù)留 支行 1 用于各單位內(nèi)部局域網(wǎng)使用 支行 2 支行 3 縣聯(lián)社 IP地址規(guī)劃 每個縣聯(lián)社（或合作銀行）按照相同的原則進(jìn)行 IP 地址分配，現(xiàn)以景德鎮(zhèn)下轄的支行 1（ ）為例，列表如下： 表 7 縣聯(lián)社 IP 地址段分配表（舉例） 單位 /應(yīng)用 IP地址段 用途 支行 1 廣域網(wǎng)鏈路 用于與網(wǎng)點相連的廣域網(wǎng)鏈路兩端 應(yīng)用系統(tǒng) 用于主機(jī)和 PC服務(wù)器（不包括 PC機(jī)） PC機(jī) 接入網(wǎng)點 ~用于直接上聯(lián)的網(wǎng)點（假設(shè)其下轄 8個網(wǎng)點） 預(yù)留 ~地址的分配及聚和對網(wǎng)絡(luò)的穩(wěn)定性而言是決定性的，地址分配時應(yīng)小心規(guī)劃以提供聚和點。 ? 為了將各類業(yè)務(wù)分開，將地址空間按業(yè)務(wù)類別分為幾個部分。 ? 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。上述的兩個制約因素又受聚和的影響，而聚和又依賴于地址的分配。 20 終端管理程序 在 Unix 主機(jī)上提供專業(yè)的終端管理程序，對終端進(jìn)程、 TCP鏈接、 Unix資源、路由器側(cè)終端狀態(tài)、統(tǒng)計信 息等進(jìn)行統(tǒng)一管理。 17 終端分時訪 問 通過在 ，限制某終端在某時間段可以訪問 Unix主機(jī)，在其他時間段禁止訪問 Unix主機(jī)。 13 異步口終端接入 終端通過異步串口接入路由器，這是最基本也是最常見的終端 接入方式。 9 自動斷鏈 當(dāng) TTY 狀態(tài)為 DOWN 時，經(jīng)過一段時間后（該時間可配置），路由器自動與 Unix主機(jī)斷開 TCP鏈接。 本地的增強(qiáng)型安全管理措施。 適用于綜合業(yè)務(wù)系統(tǒng)過渡期以及混合中間業(yè)務(wù)遠(yuǎn)程使用（集中）狀態(tài)下的網(wǎng)點使用。 2 一對一接入方式 選擇這種方式，每個終端將使用一條 TCP 鏈接與 Unix 主機(jī)進(jìn)行數(shù)據(jù)通信，是終端接入服務(wù)的一種典型工作方式。 華為 3Com Quidway174。同時，終端接入服務(wù)和路由器的融合，還使網(wǎng)點辦公和 IP 電話輕松實現(xiàn)，為 XXX農(nóng)聯(lián)社 提供了組建多功能高效網(wǎng)絡(luò)的最佳解決方案。它通過 IP 網(wǎng)絡(luò)完成營業(yè)網(wǎng)點的終端到中心機(jī)房 Unix 服務(wù)器的接入功能，通過虛擬終端實現(xiàn)了從多路復(fù)用器接入方式到IP 網(wǎng)絡(luò)接入方式的平滑過渡，而且這種轉(zhuǎn)變對用戶是透明的，用戶以前的業(yè)務(wù)完全不需要改變。這兩種實現(xiàn)方式，已經(jīng)不能滿足銀行系統(tǒng)網(wǎng)絡(luò)進(jìn)行現(xiàn)代化改造的需求，并正在被逐漸淘汰。 終端接入主要是指 營業(yè) 網(wǎng)點的 啞 終端通過終端接入服務(wù)器連接到 省中心 的Unix 服務(wù)器上，終端接入服務(wù)器完成從 啞 終端串行數(shù)據(jù)流到 IP 網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)換。 對此， 華為 3Com 公司 提出了“整合型網(wǎng)點解決方案”。 不同業(yè)務(wù) 部門 之間 可 通過 在二層交換機(jī)上劃分 VLAN 進(jìn)行隔離， VLAN 之間 互訪可通過接入路由器 AR4640 實現(xiàn)。 圖 9 地市中心局域網(wǎng)拓?fù)鋱D 縣聯(lián) 社局域網(wǎng)設(shè)計 縣聯(lián)社由于信息點比 較少 ，所以 使用 一臺 二 層 快速智能 交換機(jī) Quidway174。 VRRP 為具有組播或廣播能力的局域網(wǎng)（如以太網(wǎng)）設(shè)計，它保證當(dāng)局域網(wǎng)內(nèi)主機(jī)的下一跳 三層設(shè)備 出現(xiàn)故障時可以及時的由另一臺 三層設(shè)備 來代替，從而保持通訊的連續(xù)性和可靠性。 為了提高省中心局域網(wǎng)的運行效率，減少各業(yè)務(wù)系統(tǒng)之間不必要的干擾和廣播數(shù)據(jù)包，各業(yè)務(wù)系統(tǒng)通過設(shè)置 虛擬局域網(wǎng)（ VLAN）進(jìn)行隔離。 因此，在 省中心 配置兩臺 萬兆 核心交換機(jī) Quidway174。 由于 南昌營業(yè)管理部 與洪都聯(lián)社同址辦公，所以它們可以通過一套網(wǎng)絡(luò)系統(tǒng)實現(xiàn)與省中心的聯(lián)結(jié)。 有條件的鄉(xiāng)鎮(zhèn)營業(yè)網(wǎng)點也可配置一臺 AR28－ 0 路由器通過 64KB DDN 專線上聯(lián)其所屬的縣聯(lián)社（或合作銀行），并通過撥號線路進(jìn)行鏈路備份。 AR4640 智能業(yè)務(wù)中心路由器作為主接入設(shè)備 ， 其模塊 配置及功能如下： ? 1 塊 2 端口同步接口模塊：兩個端口分別通過 2M SDH 專線和 128KB DDN 專線上聯(lián)市中心； ? 1 塊 2 端口信道化 E1 接口模塊： 此接口通過信道拆分聯(lián)結(jié)各鄉(xiāng)鎮(zhèn)營業(yè)網(wǎng)點； XXX省農(nóng)村信用社