【正文】 網(wǎng)點(diǎn)的廣域網(wǎng)采用的 PSTN 撥號(hào)備份實(shí)現(xiàn)后臺(tái)無(wú)人干預(yù)。15 / 51４、能夠?yàn)椴槊魅肭值膩?lái)源提供有效的依據(jù)。根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。 接入層：為最終用戶(hù)提供對(duì)網(wǎng)絡(luò)的接入，三峽建行到各營(yíng)業(yè)網(wǎng)點(diǎn)構(gòu)成的網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)接入層。將原有 Catalyst 5000 交換機(jī)從網(wǎng)絡(luò)中心下移到江閣大樓，同時(shí)增加兩個(gè)千兆模塊，分別以 1000Mbps 速率同 Catalyst 6509 和 Catalyst 5505 相連。這兩種備份方式都只備份營(yíng)業(yè)網(wǎng) 廣域網(wǎng)改造 廣域網(wǎng)分布層改造 分布層網(wǎng)絡(luò)主要是指三峽建行到縣級(jí)支行和城區(qū)較遠(yuǎn)支行的網(wǎng)絡(luò)連接。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有多條營(yíng)業(yè)網(wǎng)的廣域網(wǎng)的接入。支行局域網(wǎng)設(shè)備備份提供一臺(tái) Catalyst 2924 交換機(jī)，作為遠(yuǎn)程支行局域網(wǎng)交換機(jī)的設(shè)備備份。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中很大一部分是非 Cisco 的）無(wú)法選23 / 51擇 EIGRP，且在最新內(nèi)部路由的設(shè)計(jì)中，OSPF 的性能在流量整形方面遠(yuǎn)超于Eigrp。 管理類(lèi)業(yè)務(wù)系統(tǒng) 包括 OA、信貸、總帳傳輸、人力資源、電子郵件等管理系統(tǒng)?！?接入速率控制(CAR) CommittedAccessRate(● IP 優(yōu)先級(jí)控制● 隊(duì)列機(jī)制(WeightedFairQueuing)● 先期擁塞控制(WRED)● 標(biāo)記交換(MPLS)● 語(yǔ)音數(shù)據(jù)優(yōu)先 在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采用上述技術(shù)保證網(wǎng)絡(luò)通暢，特別是營(yíng)業(yè)數(shù)據(jù)的正常傳輸。? 故障管理：為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問(wèn)題時(shí)，必須及時(shí)察覺(jué)問(wèn)題的所在。網(wǎng)絡(luò)管理員能夠借助網(wǎng)管軟件，對(duì)網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用。針對(duì)傳統(tǒng)安全模型的缺陷和不足，有關(guān)公司提出了一個(gè)極具創(chuàng)意的，能夠自我不斷完善、不斷發(fā)展、自我適應(yīng)能力極強(qiáng)的嶄新的網(wǎng)絡(luò)安全模型P2DR 安全模型，我行這次網(wǎng)絡(luò)系統(tǒng)安全的實(shí)施就準(zhǔn)備基于這個(gè)模型。Detection（檢測(cè)） 在 P2DR 模型，檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來(lái)發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過(guò)循環(huán)反饋來(lái)及時(shí)作出有效的響應(yīng)。 具體安全策略 三峽建行安全策略應(yīng)該包括：用戶(hù)管理、職責(zé)劃分、安全管理、安全評(píng)估、安全監(jiān)控、緊急響應(yīng)、異常處理、授權(quán)操作、恢復(fù)策略以及跟蹤審計(jì)等 總體安全體系的規(guī)定網(wǎng)絡(luò)系統(tǒng)的安全從體系結(jié)構(gòu)上來(lái)看應(yīng)該是一個(gè)多層次、多方面的結(jié)構(gòu)。最后，對(duì)安全威脅的網(wǎng)絡(luò)自動(dòng)更正包括主動(dòng)中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。由以上運(yùn)行機(jī)制帶來(lái)的網(wǎng)絡(luò)安全的好處是顯而易見(jiàn)的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。VLAN 的劃分方式的目的是保證系統(tǒng)的安全性。 廣域網(wǎng)安全設(shè)計(jì)由于廣域網(wǎng)采用公網(wǎng)傳輸資料，因而在廣域網(wǎng)上進(jìn)行傳輸時(shí)信息也可能會(huì)被不法分子截取。一方面，實(shí)現(xiàn)對(duì)撥號(hào)用戶(hù)帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過(guò)程中采用加密的手段，避免用戶(hù)口令泄露的可能性。如果一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動(dòng)，例如 SATAN 攻擊、PING 攻擊或秘密的研究項(xiàng)目代碼字，RealScure ageng 會(huì)給 RealSecure console 管理控制臺(tái)轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。連接外部網(wǎng)時(shí)，在三峽建行內(nèi)部網(wǎng)與路由器之間安裝 PIX 防火墻，利用防火墻的數(shù)據(jù)包過(guò)濾、地址隱藏以及 VPN 功能保證外部的非法訪問(wèn)無(wú)法進(jìn)入建行內(nèi)部網(wǎng)。內(nèi)部廣域網(wǎng)安全設(shè)計(jì)在應(yīng)用程序普遍采用 IC 卡的基礎(chǔ)上，在廣域網(wǎng)連接設(shè)備之間的網(wǎng)絡(luò)通信對(duì)數(shù)據(jù)包進(jìn)行加密。安全漏洞掃描在三峽建行整個(gè)網(wǎng)絡(luò)系統(tǒng)中（包括三峽分行、各支行、局域網(wǎng)、廣域網(wǎng)）配置ISS Inter Scanner（網(wǎng)絡(luò)安全掃描器） 、在分行中心企業(yè)網(wǎng)和營(yíng)業(yè)網(wǎng)中重要的主機(jī)中安裝 ISS SYSTEM scanner、在分行中心企業(yè)網(wǎng)和營(yíng)業(yè)網(wǎng)中的數(shù)據(jù)庫(kù)服務(wù)器中安裝 ISS DATABASE scanner，可在通訊和服務(wù)層、系統(tǒng)層、應(yīng)用數(shù)據(jù)層掃描出網(wǎng)絡(luò)/ 系統(tǒng)/數(shù)據(jù)應(yīng)用存在的安全漏洞，并提交漏洞報(bào)告和修補(bǔ)漏洞的建議，使網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最小?；诰W(wǎng)絡(luò)廣播原理的入 MAC 的 VLAN 不能防止 MAC 欺騙攻擊。劃分 VLAN虛擬網(wǎng)（VLAN）技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM 和以太網(wǎng)交換） 。 三峽建行網(wǎng)絡(luò)級(jí)安全設(shè)計(jì)可適應(yīng)性網(wǎng)絡(luò)安全由四個(gè)集成的方案組成。從某種意義上講，安全問(wèn)題就是要解決緊急響應(yīng)和異常處理問(wèn)題。P2DR 安全模型的特點(diǎn)就是動(dòng)態(tài)性和基于時(shí)間的特性，可以說(shuō)對(duì)信息安全的“相對(duì)性”給予了更好地描述：雖然沒(méi)有 100%的安全，但是模型為進(jìn)一步解決信息安全技術(shù)問(wèn)題提供了有益的方法和方向。擬保留原有網(wǎng)管工作站。? 網(wǎng)絡(luò)安全管理: 用戶(hù)身份確認(rèn),訪問(wèn)控制,對(duì)用戶(hù)權(quán)限以及用戶(hù)帳戶(hù)進(jìn)行維護(hù)和管理,行為。以 CiscoWorks2022 為網(wǎng)絡(luò)管理平臺(tái)；以美國(guó) BMC 軟件公司的 PATROL 組件為基礎(chǔ)，集成網(wǎng)管系統(tǒng)、系統(tǒng)的監(jiān)控程序和自行開(kāi)發(fā)的監(jiān)控程序，建設(shè)集中監(jiān)控管理系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的集中監(jiān)控和管理，實(shí)現(xiàn)監(jiān)視各種主機(jī)／服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)和網(wǎng)上關(guān)鍵性系統(tǒng)的運(yùn)行狀態(tài)、工作任務(wù)完成情況，自動(dòng)啟動(dòng)工作任務(wù)，進(jìn)行作業(yè)調(diào)度，減少中心機(jī)房值班人員的工作壓力，逐步實(shí)現(xiàn)主機(jī)房無(wú)人值守。 QOS 保證使不同的業(yè)務(wù)集成在了同一個(gè)網(wǎng)絡(luò)平臺(tái)上，如何保證不同業(yè)務(wù)數(shù)據(jù)的優(yōu)先級(jí)別和傳輸質(zhì)量就成了一個(gè)很重要的問(wèn)題。經(jīng)對(duì)我行現(xiàn)有應(yīng)用系統(tǒng)的網(wǎng)絡(luò)需求分析，按其重要程度分為以下兩類(lèi)：營(yíng)業(yè)類(lèi)、管理類(lèi)。 網(wǎng)絡(luò) IP 路由設(shè)計(jì)路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。 設(shè)備備份三峽建行局域網(wǎng)中心設(shè)備備份三峽建行中心局域網(wǎng)中心增加一臺(tái)高性能的交換機(jī) Cisco Catalyst 6509，同時(shí)在 Cisco Catalyst 5505 增加千兆模塊和 RSM 路由模塊，通過(guò)兩條千兆鏈路連接起來(lái)，利用 Gigabit EtherFast 技術(shù)既相互備份，又負(fù)載均衡。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有既營(yíng)業(yè)網(wǎng)又有管理網(wǎng)的廣域網(wǎng)的接入。 PFC2 (In Chassis Only) 16 MEMC6KFLC24M Catalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option 17 MEMMSFC128MB Catalyst 6000 MSFC Mem, 128MB DRAM Option 18 WSX6408GBIC Catalyst 6000 8port Gigabit Ether Module (Req. GBICs) 19 WSG5484 1000BASESX Short Wavelength GBIC (Multimode only) 810 WSX6248RJ45 Catalyst 6000 48port 10/100 RJ45 Moudel 111 Cisco IOS Catalyst 6000 Family MSFC Enterprise 112 FRIRC6 Catalyst 6000 Family InterDomain Routing Feature License 1Catalyst 5505（增加模塊）13 WSX5403 C5000 Gigabit Ether Switching Module w/o GBICs (3 port) 114 WSG5484 1000BASESX Short Wavelength GBIC (Multimode only) 315 WSX5302 Catalyst 5000 Route Switch Module 1 城域網(wǎng)改造 城域網(wǎng)主要提供城區(qū)各個(gè)主要局域網(wǎng)的接入，包括江閣大樓、云路機(jī)房、信用卡部和星辦局域網(wǎng)的接入，還包括增加戊和己兩支行局域網(wǎng)的接入 將三峽建行網(wǎng)絡(luò)中心原有的 Catalyst 5000 交換機(jī)下移到江閣大樓，作為江閣大樓局域網(wǎng)中心交換機(jī)，在 Catalyst 5000 新增兩個(gè)千兆模塊端口，通過(guò) 1000BASESX 模塊分別和 Catalyst 650Catalyst 5505 相連，兩條鏈路互為備份。Catalyst 6509 可以提供高性能、多層交換的數(shù)據(jù)通信，滿足內(nèi)部網(wǎng)絡(luò)（INTRANET） 、苛求網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)語(yǔ)音應(yīng)用?！?分階段實(shí)施原則對(duì)整個(gè)網(wǎng)絡(luò)改造進(jìn)行統(tǒng)一規(guī)劃，分階段逐步實(shí)施。16 / 51第 3 章 網(wǎng)絡(luò)改造的 基本原則 ● 高可靠性選用可靠性較高的網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，從而最大限度地支持各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。網(wǎng)管系統(tǒng)能夠作到管理監(jiān)控到全網(wǎng)所有網(wǎng)絡(luò)設(shè)備，直觀的顯示各種設(shè)備運(yùn)行狀態(tài)，并對(duì)各種異常情況實(shí)現(xiàn)自動(dòng)報(bào)警。隨著業(yè)務(wù)的拓展，特別是語(yǔ)音、視頻的應(yīng)用，三峽建行目前的局域網(wǎng)10M/100M 也面臨帶寬不足的壓力，考慮在三峽建行大樓與科技部之間的骨干上千兆以太網(wǎng)，三峽建行大樓用低端交換機(jī)替換 HUB?！?外連網(wǎng)與建行核心業(yè)務(wù)網(wǎng)絡(luò)耦合度大，外連網(wǎng)業(yè)務(wù)的變化往往帶來(lái)核心業(yè)務(wù)的變動(dòng)?！瘛∫恍┛h行還在使用 ，效率比較低，費(fèi)用比較高。 網(wǎng)絡(luò)管理的現(xiàn)狀三峽建行目前正在使用 Cisco CWSI 專(zhuān)用網(wǎng)管系統(tǒng)，用于管理三峽建行局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備。如：MOTOROLA 路由器的 FLASH Memory 工作時(shí)極不穩(wěn)定，經(jīng)常丟失系統(tǒng)軟件，影響了清算 A 卡系統(tǒng)以及企業(yè)網(wǎng)的正常運(yùn)行。此外管理網(wǎng)與市人行存在臨時(shí)的連接，用于定期本地貸款單位資料查詢(xún)。我行通信線路的主要備份方式為電話撥號(hào)。 三峽建行局域網(wǎng)現(xiàn)狀在 Catalyst 5505 和 2924 上根據(jù)不同的應(yīng)用劃分了 13 個(gè)不同的 VLAN，由于目前我行主交換機(jī)沒(méi)有配置第三層交換功能，VLAN 之間的通信只能通過(guò)網(wǎng)關(guān)來(lái)實(shí)現(xiàn)。下面，對(duì)三峽建行網(wǎng)絡(luò)結(jié)構(gòu)具體說(shuō)明： 網(wǎng)絡(luò)連接現(xiàn)狀 三峽建行城域網(wǎng)現(xiàn)狀三峽建行中心機(jī)房位于科技部二樓。各縣支行以及城區(qū)其他支行（辦事處）基本都完成了三部一室的本地局域網(wǎng)布線工作。核心業(yè)務(wù)是三峽建行業(yè)務(wù)開(kāi)展的基礎(chǔ)業(yè)務(wù)，包括以城市綜合網(wǎng)為基礎(chǔ)的營(yíng)業(yè)網(wǎng)和以企業(yè)內(nèi)部網(wǎng)為基礎(chǔ)的管理網(wǎng)兩部分；外連業(yè)務(wù)是三峽建行依托核心業(yè)務(wù)系統(tǒng)，針對(duì)轄區(qū)內(nèi)的企業(yè)和客戶(hù)開(kāi)發(fā)的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)拓?fù)溥B接如下圖： 網(wǎng)絡(luò)安全現(xiàn)狀三峽建行在網(wǎng)絡(luò)建設(shè)過(guò)程中已經(jīng)采取了一些必要的安全措施，如“利用VLAN 技術(shù)將業(yè)務(wù)網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點(diǎn)聯(lián)網(wǎng)時(shí)利用前置機(jī)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?、撥?hào)訪問(wèn)采用了 RADIUS 認(rèn)證、在與 Inter 接入的支付網(wǎng)關(guān)中使用防火墻和 ISS 安全監(jiān)控軟件等。此外對(duì)重要的應(yīng)用服務(wù)器沒(méi)有進(jìn)行安全監(jiān)控和漏洞掃描。●　三峽建行辦公大樓結(jié)構(gòu)化布線不規(guī)范，線路急需整理，網(wǎng)絡(luò)設(shè)備的運(yùn)行環(huán)境也需要加以改善●　現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算 A 卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范●　現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒(méi)有其他應(yīng)急方案可供選擇?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）與總行連接的 Motorola 路由器，故障率比較高●　管理網(wǎng)（企業(yè)網(wǎng)）整個(gè) IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了。 網(wǎng)絡(luò)改造需求 三峽建行局域網(wǎng)根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺(tái)主交換機(jī)，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺(tái)主交換機(jī) Catalyst 5505 且沒(méi)有配置第三層交換模塊。外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營(yíng)業(yè)網(wǎng)隔離。能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫(kù)和應(yīng)用層進(jìn)行安全脆弱性進(jìn)行評(píng)估，提供安全修復(fù)指引。 ● 靈活性支持大型的動(dòng)態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接。同時(shí)，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。VLAN 劃分 將局域網(wǎng)按服務(wù)器業(yè)務(wù)類(lèi)型劃分為不同 VLAN，主要有：業(yè)務(wù)網(wǎng)、管理網(wǎng)等，也可以按照部門(mén)劃分 VLAN，VLAN 之間的通信可以通過(guò)諸如主交換機(jī)中設(shè)置的策略路由等加以控制。 三峽建行到上述支行的網(wǎng)絡(luò)拓?fù)鋱D如下： 鏈路說(shuō)明：支行采用 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)；同時(shí)利用 PSTN 鏈路作為備份線路。初步確定有航空辦、北山辦、五廣分理處等。 鏈路備份城域網(wǎng)鏈路備份城域網(wǎng)的主干鏈路為光纖連接，為了保證城域網(wǎng)的鏈路的可靠性，可以采用ISDN 備份 在城域網(wǎng)各節(jié)點(diǎn)申請(qǐng)一條 ISDN 線路，同時(shí)增加一臺(tái) CISCO 2600 路由器，配置一個(gè) ISDN 模塊，當(dāng)光纖主干鏈路出現(xiàn)故障時(shí)，啟動(dòng) ISDN 線路，保證城域網(wǎng)的連通。故我們?cè)诒揪W(wǎng)絡(luò)方案中內(nèi)部主路由協(xié)議選擇 OSPF。這一類(lèi)管理信息目前主要是普通的文件傳輸，數(shù)據(jù)流量大、突發(fā)性強(qiáng)、對(duì)實(shí)時(shí)性要求較低，但要求能夠可靠傳輸，流向目前主要是縱向。25 / 51第 5 章 三峽建行網(wǎng)絡(luò)管理 設(shè)計(jì) 在三峽建行廣域網(wǎng)中，設(shè)備繁多，網(wǎng)絡(luò)規(guī)模大，地理位置跨越廣，且應(yīng)用環(huán)境復(fù)雜。它包含所有節(jié)點(diǎn)運(yùn)作狀態(tài)，故障記錄的追蹤與檢查及平?？蓪?duì)各種通訊協(xié)議的測(cè)試。 網(wǎng)絡(luò)管理平臺(tái)和網(wǎng)管工作站 通過(guò)