【正文】 改為 PPP； 前臺網(wǎng)點(diǎn)的廣域網(wǎng)采用的 PSTN 撥號備份實(shí)現(xiàn)后臺無人干預(yù)。４、能夠?yàn)椴槊魅肭值膩碓刺峁┯行У囊罁?jù)。根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級，減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。 接入層：為最終用戶提供對網(wǎng)絡(luò)的接入，三峽建行到各營業(yè)網(wǎng)點(diǎn)構(gòu)成的網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)接入層。將原有 Catalyst 5000 交換機(jī)從網(wǎng)絡(luò)中心下移到江閣大樓，同時增加兩個千兆模塊，分別以 1000Mbps 速率同 Catalyst 6509 和 Catalyst 5505 相連。這兩種備份方式都只備份營業(yè)網(wǎng) 廣域網(wǎng)改造 廣域網(wǎng)分布層改造 分布層網(wǎng)絡(luò)主要是指三峽建行到縣級支行和城區(qū)較遠(yuǎn)支行的網(wǎng)絡(luò)連接。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有多條營業(yè)網(wǎng)的廣域網(wǎng)的接入。27 / 58支行局域網(wǎng)設(shè)備備份提供一臺 Catalyst 2924 交換機(jī)，作為遠(yuǎn)程支行局域網(wǎng)交換機(jī)的設(shè)備備份。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中很大一部分是非 Cisco 的）28 / 58無法選擇 EIGRP，且在最新內(nèi)部路由的設(shè)計(jì)中，OSPF 的性能在流量整形方面遠(yuǎn)超于 Eigrp。 管理類業(yè)務(wù)系統(tǒng) 包括 OA、信貸、總帳傳輸、人力資源、電子郵件等管理系統(tǒng)?！?接入速率控制(CAR) CommittedAccessRate(● IP 優(yōu)先級控制● 隊(duì)列機(jī)制(WeightedFairQueuing)● 先期擁塞控制(WRED)● 標(biāo)記交換(MPLS)● 語音數(shù)據(jù)優(yōu)先 在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采用上述技術(shù)保證網(wǎng)絡(luò)通暢，特別是營業(yè)數(shù)據(jù)的正常傳輸。? 故障管理：為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時，必須及時察覺問題的所在。網(wǎng)絡(luò)管理員能夠借助網(wǎng)管軟件，對網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用。針對傳統(tǒng)安全模型的缺陷和不足，有關(guān)公司提出了一個極具創(chuàng)意的，能夠自我不斷完善、不斷發(fā)展、自我適應(yīng)能力極強(qiáng)的嶄新的網(wǎng)絡(luò)安全模型P2DR 安全模型，我行這次網(wǎng)絡(luò)系統(tǒng)安全的實(shí)施就準(zhǔn)備基于這個模型。Detection（檢測） 在 P2DR 模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時作出有效的響應(yīng)。 具體安全策略 三峽建行安全策略應(yīng)該包括：用戶管理、職責(zé)劃分、安全管理、安全評估、安全監(jiān)控、緊急響應(yīng)、異常處理、授權(quán)操作、恢復(fù)策略以及跟蹤審計(jì)等 總體安全體系的規(guī)定網(wǎng)絡(luò)系統(tǒng)的安全從體系結(jié)構(gòu)上來看應(yīng)該是一個多層次、多方面的結(jié)構(gòu)。最后，對安全威脅的網(wǎng)絡(luò)自動更正包括主動中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。VLAN 的劃分方式的目的是保證系統(tǒng)的安全性。 廣域網(wǎng)安全設(shè)計(jì)由于廣域網(wǎng)采用公網(wǎng)傳輸資料，因而在廣域網(wǎng)上進(jìn)行傳輸時信息也可能會被不法分子截取。一方面，實(shí)現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗(yàn)證過程中采用加密的手段，避免用戶口令泄露的可能性。如果一個網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如SATAN 攻擊、PING 攻擊或秘密的研究項(xiàng)目代碼字，RealScure ageng 會給RealSecure console 管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。連接外部網(wǎng)時，在三峽建行內(nèi)部網(wǎng)與路由器之間安裝 PIX 防火墻，利用防火墻的數(shù)據(jù)包過濾、地址隱藏以及 VPN 功能保證外部的非法訪問無法進(jìn)入建行內(nèi)部網(wǎng)。內(nèi)部廣域網(wǎng)安全設(shè)計(jì)在應(yīng)用程序普遍采用 IC 卡的基礎(chǔ)上，在廣域網(wǎng)連接設(shè)備之間的網(wǎng)絡(luò)通信對數(shù)據(jù)包進(jìn)行加密。安全漏洞掃描在三峽建行整個網(wǎng)絡(luò)系統(tǒng)中（包括三峽分行、各支行、局域網(wǎng)、廣域網(wǎng)）配置 ISS Inter Scanner（網(wǎng)絡(luò)安全掃描器） 、在分行中心企業(yè)網(wǎng)和營業(yè)網(wǎng)中重要的主機(jī)中安裝 ISS SYSTEM scanner、在分行中心企業(yè)網(wǎng)和營業(yè)網(wǎng)中的數(shù)據(jù)庫服務(wù)器中安裝 ISS DATABASE scanner，可在通訊和服務(wù)層、系統(tǒng)層、應(yīng)用37 / 58數(shù)據(jù)層掃描出網(wǎng)絡(luò)/系統(tǒng)/數(shù)據(jù)應(yīng)用存在的安全漏洞，并提交漏洞報(bào)告和修補(bǔ)漏洞的建議，使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最小?；诰W(wǎng)絡(luò)廣播原理的入 MAC 的 VLAN 不能防止 MAC 欺騙攻擊。劃分 VLAN虛擬網(wǎng)（VLAN）技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM 和以太網(wǎng)交換） 。 三峽建行網(wǎng)絡(luò)級安全設(shè)計(jì)可適應(yīng)性網(wǎng)絡(luò)安全由四個集成的方案組成。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。P2DR 安全模型的特點(diǎn)就是動態(tài)性和基于時間的特性，可以說對信息安全的“相對性”給予了更好地描述：雖然沒有 100%的安全，但是模型為進(jìn)一步解決信息安全技術(shù)問題提供了有益的方法和方向。擬保留原有網(wǎng)管工作站。? 網(wǎng)絡(luò)安全管理: 用戶身份確認(rèn),訪問控制,對用戶權(quán)限以及用戶帳戶進(jìn)行維護(hù)和管理,系統(tǒng)的行為。以 CiscoWorks2022 為網(wǎng)絡(luò)管理平臺；以美國 BMC 軟件公司的 PATROL 組件為基礎(chǔ)，集成網(wǎng)管系統(tǒng)、系統(tǒng)的監(jiān)控程序和自行開發(fā)的監(jiān)控程序，建設(shè)集中監(jiān)控管理系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的集中監(jiān)控和管理，實(shí)現(xiàn)監(jiān)視各種主機(jī)／服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)和網(wǎng)上關(guān)鍵性系統(tǒng)的運(yùn)行狀態(tài)、工作任務(wù)完成情況，自動啟動工作任務(wù)，進(jìn)行作業(yè)調(diào)度，減少中心機(jī)房值班人員的工作壓力，逐步實(shí)現(xiàn)主機(jī)房無人值守。 QOS 保證使不同的業(yè)務(wù)集成在了同一個網(wǎng)絡(luò)平臺上，如何保證不同業(yè)務(wù)數(shù)據(jù)的優(yōu)先級別和傳輸質(zhì)量就成了一個很重要的問題。經(jīng)對我行現(xiàn)有應(yīng)用系統(tǒng)的網(wǎng)絡(luò)需求分析，按其重要程度分為以下兩類：營業(yè)類、管理類。 網(wǎng)絡(luò) IP 路由設(shè)計(jì)路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。 設(shè)備備份三峽建行局域網(wǎng)中心設(shè)備備份三峽建行中心局域網(wǎng)中心增加一臺高性能的交換機(jī) Cisco Catalyst 6509，同時在 Cisco Catalyst 5505 增加千兆模塊和 RSM 路由模塊，通過兩條千兆鏈路連接起來，利用 Gigabit EtherFast 技術(shù)既相互備份，又負(fù)載均衡。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有既營業(yè)網(wǎng)又有管理網(wǎng)的廣域網(wǎng)的接入。 PFC2 (In Chassis Only) 16 MEMC6KFLC24M Catalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option 17 MEMMSFC128MB Catalyst 6000 MSFC Mem, 128MB DRAM Option 18 WSX6408GBIC Catalyst 6000 8port Gigabit Ether Module (Req. GBICs) 19 WSG5484 1000BASESX Short Wavelength GBIC (Multimode only) 810 WSX6248RJ45 Catalyst 6000 48port 10/100 RJ45 Moudel 111 Cisco IOS Catalyst 6000 Family MSFC Enterprise 112 FRIRC6 Catalyst 6000 Family InterDomain Routing Feature License 1Catalyst 5505（增加模塊）13 WSX5403 C5000 Gigabit Ether Switching Module w/o GBICs (3 port) 114 WSG5484 1000BASESX Short Wavelength GBIC (Multimode only) 315 WSX5302 Catalyst 5000 Route Switch Module 1 城域網(wǎng)改造 城域網(wǎng)主要提供城區(qū)各個主要局域網(wǎng)的接入，包括江閣大樓、云路機(jī)房、信用卡部和星辦局域網(wǎng)的接入，還包括增加戊和己兩支行局域網(wǎng)的接入 將三峽建行網(wǎng)絡(luò)中心原有的 Catalyst 5000 交換機(jī)下移到江閣大樓，作為江閣大樓局域網(wǎng)中心交換機(jī)，在 Catalyst 5000 新增兩個千兆模塊端口，通過1000BASESX 模塊分別和 Catalyst 650Catalyst 5505 相連，兩條鏈路互為備份。Catalyst 6509 可以提供高性能、多層交換的數(shù)據(jù)通信，滿足內(nèi)部網(wǎng)絡(luò)（INTRANET） 、苛求網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)語音應(yīng)用。● 分階段實(shí)施原則對整個網(wǎng)絡(luò)改造進(jìn)行統(tǒng)一規(guī)劃，分階段逐步實(shí)施。18 / 58第 3 章 網(wǎng)絡(luò)改造的基本原則 ● 高可靠性選用可靠性較高的網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，從而最大限度地支持各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。網(wǎng)管系統(tǒng)能夠作到管理監(jiān)控到全網(wǎng)所有網(wǎng)絡(luò)設(shè)備，直觀的顯示各種設(shè)備運(yùn)行狀態(tài)，并對各種異常情況實(shí)現(xiàn)自動報(bào)警。隨著業(yè)務(wù)的拓展，特別是語音、視頻的應(yīng)用，三峽建行目前的局域網(wǎng)10M/100M 也面臨帶寬不足的壓力，考慮在三峽建行大樓與科技部之間的骨干上千兆以太網(wǎng)，三峽建行大樓用低端交換機(jī)替換 HUB?！?外連網(wǎng)與建行核心業(yè)務(wù)網(wǎng)絡(luò)耦合度大，外連網(wǎng)業(yè)務(wù)的變化往往帶來核心業(yè)務(wù)的變動?！瘛∫恍┛h行還在使用 ，效率比較低，費(fèi)用比較高。 網(wǎng)絡(luò)管理的現(xiàn)狀三峽建行目前正在使用 Cisco CWSI 專用網(wǎng)管系統(tǒng)，用于管理三峽建行局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備。如：MOTOROLA 路由器的 FLASH Memory 工作時極不穩(wěn)定，經(jīng)常丟失系統(tǒng)軟件，影響了清算 A 卡系統(tǒng)以及企業(yè)網(wǎng)的正常運(yùn)行。此外管理網(wǎng)與市人行存在臨時的連接，用于定期本地貸款單位資料查詢。我行通信線路的主要備份方式為電話撥號。 三峽建行局域網(wǎng)現(xiàn)狀在 Catalyst 5505 和 2924 上根據(jù)不同的應(yīng)用劃分了 13 個不同的 VLAN，由于目前我行主交換機(jī)沒有配置第三層交換功能，VLAN 之間的通信只能通過網(wǎng)關(guān)來實(shí)現(xiàn)。下面，對三峽建行網(wǎng)絡(luò)結(jié)構(gòu)具體說明： 網(wǎng)絡(luò)連接現(xiàn)狀 三峽建行城域網(wǎng)現(xiàn)狀三峽建行中心機(jī)房位于科技部二樓。各縣支行以及城區(qū)其他支行（辦事處）基本都完成了三部一室的本地局域網(wǎng)布線工作。核心業(yè)務(wù)是三峽建行業(yè)務(wù)開展的基礎(chǔ)業(yè)務(wù)，包括以城市綜合網(wǎng)為基礎(chǔ)的營業(yè)網(wǎng)和以企業(yè)內(nèi)部網(wǎng)為基礎(chǔ)的管理網(wǎng)兩部分；外連業(yè)務(wù)是三峽建行依托核心業(yè)務(wù)系統(tǒng)，針對轄區(qū)內(nèi)的企業(yè)和客戶開發(fā)的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)拓?fù)溥B接如下圖：11 / 58 網(wǎng)絡(luò)安全現(xiàn)狀三峽建行在網(wǎng)絡(luò)建設(shè)過程中已經(jīng)采取了一些必要的安全措施，如“利用VLAN 技術(shù)將業(yè)務(wù)網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點(diǎn)聯(lián)網(wǎng)時利用前置機(jī)來保證數(shù)據(jù)傳輸?shù)陌踩芴栐L問采用了 RADIUS 認(rèn)證、在與 Inter 接入的支付網(wǎng)關(guān)中使用防火墻和 ISS 安全監(jiān)控軟件等。此外對重要的應(yīng)用服務(wù)器沒有進(jìn)行安全監(jiān)控和漏洞掃描?！瘛∪龒{建行辦公大樓結(jié)構(gòu)化布線不規(guī)范，線路急需整理，網(wǎng)絡(luò)設(shè)備的運(yùn)行13 / 58環(huán)境也需要加以改善●　現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算 A 卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范●　現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒有其他應(yīng)急方案可供選擇?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）與總行連接的 Motorola 路由器，故障率比較高●　管理網(wǎng)（企業(yè)網(wǎng)）整個 IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了。 網(wǎng)絡(luò)改造需求 三峽建行局域網(wǎng)根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺主交換機(jī)，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺主交換機(jī) Catalyst 5505 且沒有配置第三層交換模塊。外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營業(yè)網(wǎng)隔離。能夠?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層進(jìn)行安全脆弱性進(jìn)行評估，提供安全修復(fù)指引。 ● 靈活性支持大型的動態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接。同時，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。VLAN 劃分 將局域網(wǎng)按服務(wù)器業(yè)務(wù)類型劃分為不同 VLAN，主要有：業(yè)務(wù)網(wǎng)、管理網(wǎng)等，也可以按照部門劃分 VLAN，VLAN 之間的通信可以通過諸如主交換機(jī)中設(shè)置的策略路由等加以控制。 三峽建行到上述支行的網(wǎng)絡(luò)拓?fù)鋱D如下：24 / 58 鏈路說明：支行采用 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)；同時利用 PSTN 鏈路作為備份線路。初步確定有航空辦、北山辦、五廣分理處等。 鏈路備份城域網(wǎng)鏈路備份城域網(wǎng)的主干鏈路為光纖連接，為了保證城域網(wǎng)的鏈路的可靠性，可以采用 ISDN 備份 在城域網(wǎng)各節(jié)點(diǎn)申請一條 ISDN 線路，同時增加一臺 CISCO 2600 路由器，配置一個 ISDN 模塊，當(dāng)光纖主干鏈路出現(xiàn)故障時，啟動 ISDN 線路，保證城域網(wǎng)的連通。故我們在本網(wǎng)絡(luò)方案中內(nèi)部主路由協(xié)議選擇 OSPF。這一類管理信息目前主要是普通的文件傳輸，數(shù)據(jù)流量大、突發(fā)性強(qiáng)、對實(shí)時性要求較低，但要求能夠可靠傳輸，流向目前主要是縱向。30 / 58第 5 章 三峽建行網(wǎng)絡(luò)管理設(shè)計(jì) 在三峽建行廣域網(wǎng)中，設(shè)備繁多，網(wǎng)絡(luò)規(guī)模大，地理位置跨越廣，且應(yīng)用環(huán)境復(fù)雜