【正文】 題目和主要內(nèi)容。 第 4 章介紹網(wǎng)絡(luò)的基礎(chǔ)規(guī)范，設(shè)備選型命名、 IP 地址規(guī)劃、路由策略、 QoS、網(wǎng)管等內(nèi)容設(shè)計(jì)。最后總體介紹了網(wǎng)絡(luò)中存在的種種問(wèn)題。重要的內(nèi)部業(yè)務(wù)流程性系統(tǒng)，例如 ODS、綜 合業(yè)務(wù)后臺(tái)管理系統(tǒng)、 CIF、 IC 卡系統(tǒng)、遠(yuǎn)程集中授權(quán)系統(tǒng)等。 網(wǎng)絡(luò)現(xiàn)狀 根據(jù)網(wǎng)絡(luò)現(xiàn)狀調(diào)研的結(jié)果，銀行當(dāng)前網(wǎng)絡(luò)基本是以相應(yīng)的網(wǎng)絡(luò)功能進(jìn)行網(wǎng)絡(luò)分區(qū)規(guī)劃。 1 臺(tái) RSR5040 路由器為銀川市區(qū)的 48 個(gè)網(wǎng)點(diǎn)提供網(wǎng)絡(luò)接入，另有 1 臺(tái)冷備的 RSR5040 做為備份，銀川網(wǎng)點(diǎn)的接入帶寬為 2Mbps。開(kāi)發(fā)測(cè)試區(qū)用于為開(kāi)發(fā)測(cè)試類(lèi)測(cè)試服務(wù)器（約 10 臺(tái)）提供網(wǎng)絡(luò)接入。 網(wǎng)絡(luò)安全現(xiàn)狀 IBM 認(rèn)為，網(wǎng)絡(luò)安全不應(yīng)該是產(chǎn)品、技術(shù)的堆砌，需要體系化的方法論來(lái)指導(dǎo)網(wǎng)絡(luò)安全體系的建設(shè)，并通過(guò)不斷的評(píng)估和規(guī)劃，提高企業(yè)整體的安全水平，本項(xiàng)目將從網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全幾個(gè)角度對(duì)銀行的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行評(píng)估。分別從核心業(yè)務(wù)區(qū)、辦公業(yè)務(wù)區(qū)、中間業(yè)務(wù)區(qū)、網(wǎng)絡(luò)外聯(lián)區(qū)這四個(gè)區(qū)域說(shuō)明網(wǎng)絡(luò)中存在的種種問(wèn)題。當(dāng)前的核心區(qū)網(wǎng)絡(luò)設(shè)備互聯(lián)架構(gòu)往往是全網(wǎng)狀 (full mesh)互聯(lián)，此類(lèi)架構(gòu)路由冗余度高，并且存在路由相對(duì)復(fù)雜的問(wèn)題，對(duì)于路由的穩(wěn)定性和收斂性都存在潛在的影響（圖 a）。行外系統(tǒng)開(kāi)發(fā)人員（約100+人），行外開(kāi)發(fā)人員需要遠(yuǎn)程訪問(wèn)開(kāi)發(fā)測(cè)試區(qū)服務(wù)器進(jìn)行開(kāi)發(fā)測(cè)試工作。由于 DMZ區(qū)架構(gòu)，造成內(nèi)網(wǎng)訪問(wèn) DMZ 區(qū) 數(shù)據(jù)流路徑不盡合理。將 SOA 和數(shù)據(jù)中心作為核心的設(shè)計(jì)理念，構(gòu)建高性能、高擴(kuò)展性的三層交換核心區(qū)，并通過(guò)數(shù)據(jù)中心核心交換區(qū)將不同網(wǎng)絡(luò)功能區(qū)連接為一個(gè)整體。同城災(zāi)備中心只保留基本的生產(chǎn)和辦公服務(wù)以及存儲(chǔ)設(shè)備的數(shù)據(jù)同步服務(wù)。如圖 所示就是核心網(wǎng)絡(luò)拓?fù)浼軜?gòu)。廣域網(wǎng)遠(yuǎn)端節(jié)點(diǎn)雙鏈路分別連接主備數(shù)據(jù)中心，日?？梢圆渴鸩呗月酚蓪?shí)現(xiàn)生產(chǎn)、辦公的數(shù)據(jù)流分流，以提高帶寬利用率。災(zāi)備中心業(yè)務(wù)服務(wù)區(qū)不考慮冗余設(shè)計(jì)，如圖 為同城災(zāi)備中心業(yè)務(wù)服務(wù)區(qū)拓?fù)鋱D。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 12 頁(yè) 共 38 頁(yè) 圖 辦公服務(wù)區(qū)網(wǎng)絡(luò)拓?fù)鋱D 外聯(lián)服務(wù)區(qū) 外聯(lián)服務(wù)區(qū)提供銀行與外部監(jiān)管機(jī)構(gòu)、協(xié)作機(jī)構(gòu)的網(wǎng)絡(luò)接入和應(yīng)用接入，以及外聯(lián)類(lèi)業(yè)務(wù)前置服務(wù)器的接入。對(duì)業(yè)務(wù)互聯(lián)區(qū)從兩個(gè)方面描述： 功能部署：對(duì)基于互聯(lián)網(wǎng)提供業(yè)務(wù)服務(wù)的服務(wù)器提供網(wǎng)絡(luò)接入。提供 ECC 終端接入。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 14 頁(yè) 共 38 頁(yè) 圖 運(yùn)維管理區(qū)網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)最終整體拓?fù)? 數(shù)據(jù)中心網(wǎng)絡(luò)最終網(wǎng)絡(luò)拓?fù)淙鐖D 所示。 圖 災(zāi)備中心最終拓?fù)鋱D 最終，銀行選定的數(shù)據(jù)中心與同城災(zāi)備數(shù)據(jù)中心網(wǎng)絡(luò)互連拓?fù)淙鐖D 。網(wǎng)絡(luò)設(shè)備命名規(guī)則為：AAABBBCCCnn。 從網(wǎng)絡(luò)發(fā)展的角度考慮未來(lái)，建議銀行網(wǎng)絡(luò)的路由協(xié)議全面向 BGP 過(guò)渡，以利用 BGP 靈活的路徑控制，實(shí)現(xiàn)網(wǎng)絡(luò)路由的靈活部署，且 BGP 在支持大規(guī)模網(wǎng)絡(luò)方面具備明顯優(yōu)勢(shì)。各市縣聯(lián)社匯聚劃分為不同的 OSPF 域，以控制 area 0 的規(guī)模。 2） 路由重發(fā)布 由于本網(wǎng)使用了 OSPF 和靜態(tài)路由 2 中路由協(xié)議，則為了保證路由的正常通信需要引入路由重發(fā)布機(jī)制。當(dāng)發(fā)現(xiàn)單向鏈路后，向用戶(hù)發(fā)送告警信息，并根據(jù)用戶(hù)配置，自動(dòng)關(guān)閉或通知用戶(hù)手工關(guān)閉相關(guān)端口，以防止網(wǎng)絡(luò)問(wèn)題的發(fā)生。 安全區(qū)：安全區(qū)的安全級(jí)別較高，提供銀行內(nèi)部各種網(wǎng)絡(luò)用戶(hù)的接入服務(wù)和基礎(chǔ)網(wǎng)絡(luò)服務(wù)；安全區(qū)屬于被信任區(qū)域，原則上從非安全 區(qū)到安全區(qū)不應(yīng)該有直接的訪問(wèn)數(shù)據(jù)流，數(shù)據(jù)流應(yīng)通過(guò)半安全區(qū)的服務(wù)器進(jìn)行轉(zhuǎn)發(fā)。生產(chǎn)批量數(shù)據(jù)流，對(duì)應(yīng) CBWFQ 中的一個(gè) Queue，為其保證一定的廣域網(wǎng)帶寬， 超出部分在網(wǎng)絡(luò)擁塞時(shí)可能會(huì)丟包。測(cè)試數(shù)據(jù)流，對(duì)應(yīng) CBWFQ 中的一個(gè)Queue，為其保證一定的廣域網(wǎng)帶寬，超出部分在網(wǎng)絡(luò)擁塞時(shí)可能會(huì)丟包。 圖 網(wǎng)絡(luò)安全區(qū)域等級(jí)圖 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 21 頁(yè) 共 38 頁(yè) 依據(jù)上述安全分區(qū)規(guī)劃 , 對(duì)于銀行網(wǎng)絡(luò)整體的安全域架構(gòu)以及邊界安全進(jìn)行進(jìn)一步的細(xì)化具體安全邊界采用的安全技術(shù)將根據(jù)實(shí)際應(yīng)用環(huán)境做出適當(dāng)調(diào)整，如圖 ，例如對(duì)于用戶(hù)接入和 帶外管理的邊界，可以采用 ACL，而并不一定采用防火墻等強(qiáng)度安全設(shè)備，以平衡整體投資；同樣對(duì)于外聯(lián)網(wǎng)等非安全區(qū)，除了采用防火墻之外，還可以考慮 IDS/IPS 等網(wǎng)絡(luò)安全設(shè)備，提供附加的安全保護(hù)，以提高系統(tǒng)安全性。 （ 2）加強(qiáng)模式：系統(tǒng)能識(shí)別兩種類(lèi)型的單向鏈路：一種是光纖交叉連接，另一種是一條光纖未連接或一條光纖斷路。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 20 頁(yè) 共 38 頁(yè) 3） 路徑控制 按照銀行規(guī)劃需求，整網(wǎng)路徑控制等二期網(wǎng)點(diǎn)設(shè)備更新時(shí)再進(jìn)行統(tǒng)一規(guī)劃，目前網(wǎng)絡(luò)數(shù)據(jù)流路徑由 OSPF 協(xié)議計(jì)算為準(zhǔn)。 圖 整網(wǎng)路由規(guī)劃示意圖 策略設(shè)計(jì) 策略設(shè)計(jì)主要闡述的是訪問(wèn)控制策略。數(shù)據(jù)中心之間，采用 OSPF 路由，實(shí)現(xiàn)兩個(gè)中心之間的外聯(lián)互通。 BBB 代表的是二級(jí)機(jī)構(gòu)，如：二級(jí)支行，網(wǎng)點(diǎn)代碼或一級(jí)機(jī)構(gòu)網(wǎng)絡(luò)功能區(qū)。數(shù)據(jù)中心和災(zāi)備中心兩個(gè)局域網(wǎng)主要是通過(guò) DWDM 鏈路來(lái)互聯(lián)的。除過(guò)運(yùn)維管理區(qū)和廣域網(wǎng)接入?yún)^(qū)是單點(diǎn)出入?yún)^(qū)域，區(qū)域網(wǎng)絡(luò)見(jiàn)章節(jié) ，各區(qū)域均按照原有的設(shè)計(jì)，去掉多余的冗余。 帶外管理 :構(gòu)建獨(dú)立的帶外管理網(wǎng)絡(luò)。根據(jù)安全分區(qū)的需要， 作為非安全區(qū)的業(yè)務(wù)互聯(lián)網(wǎng)區(qū)在訪問(wèn)內(nèi)部核心安全區(qū)和安全區(qū)時(shí)，需要通過(guò)防火墻（內(nèi)層）進(jìn)行保護(hù)性隔離；在業(yè)務(wù)互聯(lián)區(qū)接入到互聯(lián)網(wǎng)之前，提供防火墻（外層）保護(hù)，這種雙層防火墻架構(gòu)可以提供更好的安全性能，同時(shí)也利于安全策略的部署，內(nèi)外層防火墻建議采用不同品牌產(chǎn)品（異構(gòu)），以提高入侵成本，進(jìn)一步增強(qiáng)安全性。防火墻控制合作伙伴只能訪問(wèn)半安全區(qū) (DMZ)內(nèi)的前置服務(wù)器，再經(jīng)由前置服務(wù)區(qū)發(fā)起對(duì)內(nèi)部服務(wù)器的訪問(wèn)，而外部機(jī)構(gòu)不能直接訪問(wèn)內(nèi)部服務(wù)器。 辦公服務(wù)區(qū)網(wǎng)絡(luò) 區(qū)域內(nèi)分層設(shè)計(jì)，如圖 ：安全保護(hù)層、區(qū)域匯聚層和區(qū)域接入層 安全保護(hù)層：在業(yè)務(wù)服務(wù)器接入與網(wǎng)絡(luò)核心交換之間定義安全邊界，部署防火墻，保護(hù)功能區(qū)內(nèi)部的服務(wù)資源，設(shè)置訪問(wèn)控制。 網(wǎng)絡(luò)拓?fù)鋱D 如圖 ：區(qū)域內(nèi)分層設(shè)計(jì)：安全保護(hù)層、區(qū)域匯聚層和區(qū)域接入層。主備數(shù)據(jù)中心之間雙鏈路連接， 1 條線路為 DWDM（ Dense Wavelength Division Multiplexing，密集型光波復(fù)用 ） ，另 1 條 MSTP 線路做為備份。同城災(zāi)備中心不設(shè)置面向內(nèi)部用戶(hù)移動(dòng)辦公的 VPN 接入服務(wù)，因此，在同城災(zāi)備中心取消業(yè)務(wù)互聯(lián)網(wǎng)區(qū)。原規(guī)劃中的業(yè)務(wù)服務(wù)區(qū)和渠道服務(wù)區(qū)將共用安全服務(wù)設(shè)備，但分別使用獨(dú)立的匯聚設(shè)備。 DMZ 區(qū)的設(shè)備資源可以考慮進(jìn)行適當(dāng)調(diào)整，以簡(jiǎn)化結(jié)構(gòu)，以利于管理?？傂修k公區(qū)接入?yún)^(qū)內(nèi)既有總行辦公人員接入，又有總行營(yíng)業(yè)部接入，造成網(wǎng)絡(luò)結(jié)構(gòu)的模糊，不利于管理，也存在一定安全隱患。 （ a） (b) 圖 網(wǎng)絡(luò)冗余示意圖 銀行廣域網(wǎng)目前還在大量使用運(yùn)營(yíng)商專(zhuān)線（ LeasedLine）業(yè)務(wù)，專(zhuān)線業(yè)務(wù)由于是獨(dú)占電路，因而存在帶寬小、成本高的問(wèn)題。 EX3200 設(shè)備是固定配置的高性 能獨(dú)立交換機(jī)，具備 L3 交換功能，產(chǎn)品主要定位是適用于分支辦事處、遠(yuǎn)程辦事處和園區(qū)網(wǎng)絡(luò)中的接入層部署，在擴(kuò)展性和可靠性方面并不是最佳的核心交換設(shè)備的選擇。本項(xiàng)目也將從上述三個(gè)方面評(píng)估銀行的網(wǎng)絡(luò)安全現(xiàn)狀?？傂修k公區(qū)為總行的辦公用戶(hù)提供接入，總行辦公人員約 200 人，另總行營(yíng)業(yè)部也通過(guò)總行辦公區(qū)接入網(wǎng)絡(luò)，總行網(wǎng)絡(luò)通過(guò) 10M MSTP 鏈路連接到 EX8208。中間業(yè)務(wù)區(qū)通過(guò)一對(duì)冗余的 PIX 防火墻連接到核心交換機(jī)， PIX 防火墻工作在 L3 模式。主要?jiǎng)澐譃榫W(wǎng)絡(luò)核心區(qū)、中間業(yè)務(wù)區(qū)、辦公業(yè)務(wù)區(qū)和 Inter 網(wǎng)絡(luò)外聯(lián)區(qū)。 根據(jù)以上各業(yè)務(wù)系統(tǒng)的應(yīng)用關(guān)聯(lián)關(guān)系，以及系統(tǒng)部署的實(shí)際情況。因此，在本項(xiàng)目的網(wǎng)絡(luò)現(xiàn)狀評(píng)估過(guò)程中，主要針對(duì)銀行的 14 套關(guān)鍵業(yè)務(wù)系統(tǒng)的系統(tǒng)邏輯、關(guān)聯(lián)關(guān)系、系統(tǒng)部署做了研究，以確立銀行業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)接入需求。 第 6 章為總結(jié)，總結(jié)整個(gè)畢業(yè)設(shè)計(jì)的過(guò)程。本文的重點(diǎn)在于改造，從網(wǎng)絡(luò)現(xiàn)狀的調(diào)研到項(xiàng)目實(shí)施前的準(zhǔn)備，主要分析了網(wǎng)絡(luò)改建的設(shè)計(jì)過(guò)程。 因此她們的網(wǎng)絡(luò)規(guī)模也不容小視，如 所示。目前所有的商業(yè)都離不開(kāi)網(wǎng)絡(luò)，商業(yè)銀行的業(yè)務(wù)在逐步的提高。然后制定網(wǎng)絡(luò)的基礎(chǔ)規(guī)范，如 IP 地址規(guī)劃，路由策略，安全策略， QoS 策略。 第 4 階段 系統(tǒng)測(cè)試；總結(jié)設(shè)計(jì)內(nèi)容， 前完成畢業(yè)設(shè)計(jì)說(shuō)明書(shū)撰寫(xiě)。對(duì)此對(duì)該銀行網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，滿(mǎn)足網(wǎng)絡(luò)的可用性、安全性和可靠性，并保留一定的可擴(kuò)展性，在銀行系統(tǒng)內(nèi)實(shí)現(xiàn)一個(gè)完善、高效、高可用性和高可靠的網(wǎng)絡(luò)，用以滿(mǎn)足各項(xiàng)業(yè)務(wù)發(fā)展的需要。各大銀行紛紛對(duì)自己的網(wǎng)絡(luò)進(jìn)行改造、維護(hù)。該方案是通過(guò)合理、低風(fēng)險(xiǎn)的理念為銀行規(guī)劃符合業(yè)務(wù)發(fā)展方向的、穩(wěn)定可靠、易維護(hù)、靈活的、具有前瞻性和穩(wěn)健發(fā)展需求的網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)架構(gòu)和相應(yīng)規(guī)范。 XX 銀行股份有限公司成立于 20xx 年 12 月 22日，總部設(shè)在寧夏 回族自治區(qū)首府銀川市，是在原寧夏自治區(qū)聯(lián)社和銀川市聯(lián)社金融業(yè)務(wù)合并的基礎(chǔ)上，吸收國(guó)內(nèi)若干家法人單位和自然人，共同發(fā)起設(shè)立的股份制商業(yè)銀行，是全國(guó)首家由省級(jí)信用聯(lián)社整體改制而成的銀行，也是中國(guó)銀監(jiān)會(huì)確定的全國(guó)省級(jí)信用聯(lián)社改革試點(diǎn)單位。銀行商議更換網(wǎng)絡(luò)系統(tǒng)，保證業(yè)務(wù)不間斷的情況下進(jìn)行網(wǎng)絡(luò)的更新?lián)Q代。 論文的結(jié)構(gòu)安排 本文深入研究了商業(yè)銀行網(wǎng)絡(luò)工程建設(shè)的各個(gè)環(huán)節(jié)，文章的組織如下 : 第 1 章闡述了課題的背景，綜述了網(wǎng)絡(luò)建設(shè)的應(yīng)用領(lǐng)域，本論文的研究?jī)?nèi)容和結(jié)構(gòu)安排等等。 業(yè)務(wù)現(xiàn)狀主要描述了整個(gè)網(wǎng)絡(luò)系統(tǒng)所承載的業(yè)務(wù)和業(yè)務(wù)之間對(duì)應(yīng)的關(guān)系。 根據(jù)各業(yè)務(wù)系統(tǒng)的應(yīng)用關(guān)聯(lián)關(guān)系，以及系統(tǒng)部署的實(shí)際情況，對(duì)復(fù)雜 的應(yīng)用系統(tǒng)間關(guān)聯(lián)關(guān)系做了適當(dāng)簡(jiǎn)化，以分析各系統(tǒng)的網(wǎng)絡(luò)接入需求，系統(tǒng)關(guān)聯(lián)關(guān)系簡(jiǎn)化，如圖 所示。 – 網(wǎng)段，主要部署的 業(yè)務(wù)系統(tǒng)包括： ODS 和 ODS ETL 服務(wù)器。 核心交換采用 2 臺(tái) Juniper EX3200 做為核心交換機(jī)，承載全網(wǎng)的中心數(shù)據(jù)交換和核心路由。除此之外，市縣聯(lián)社中心匯聚路由器上有連接農(nóng)信銀的鏈路，做為日常與農(nóng)信銀之間的數(shù)據(jù)存儲(chǔ)通信鏈路，在緊急情況下，可以考慮做為與農(nóng)信銀之間的冗余備份鏈路。 Inter 接入?yún)^(qū)通過(guò) 1 對(duì)冗余的防火墻（ ASA5520）接入到網(wǎng)絡(luò)核心交換機(jī) EX3200，在防火墻與 Inter 之間部署了 IDS 設(shè)備。部分安全邊界的設(shè)定有待商榷，例如在抽樣 的接入層交換機(jī)上部署了 ACL 用于控制用戶(hù)網(wǎng)段之間的訪問(wèn)控制，另此類(lèi)接入設(shè)備的部署點(diǎn)選擇不盡合理?？傂袪I(yíng)業(yè)部 通過(guò)總行辦公網(wǎng)接入網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)架構(gòu)不統(tǒng)一，造成管理上和安全上潛在問(wèn)題。銀行可以考慮在適當(dāng)?shù)臅r(shí)間進(jìn)行通信鏈路的升級(jí)，一方面降低整體運(yùn)行成本，另外也為今后的業(yè)務(wù)拓展提供更充裕的鏈路資源。中間業(yè)務(wù)區(qū)的冗余結(jié)構(gòu)，也存在類(lèi)似與核心區(qū)網(wǎng)絡(luò)的全網(wǎng)狀 (full mesh)結(jié) 構(gòu)與“口字型”結(jié)構(gòu)的對(duì)比問(wèn)題?；趪?guó)內(nèi)外金融行業(yè) IT 發(fā)展實(shí)踐經(jīng)驗(yàn)，未來(lái)的銀行網(wǎng)絡(luò)將是面向服務(wù)的架構(gòu)， 強(qiáng)調(diào)快速的業(yè)務(wù)響應(yīng)和業(yè)務(wù)的高可用設(shè)計(jì)，實(shí)現(xiàn)資源共享，著力于端到端的業(yè)務(wù)支持能力，以提升 IT 的服務(wù)能力。在局域網(wǎng) LAN 接入?yún)^(qū)內(nèi)增加公共服務(wù)子區(qū)，將防病毒等一般性公共服務(wù)類(lèi)服務(wù)器從辦公服務(wù)區(qū)剝離出來(lái)，公共服務(wù)區(qū)通過(guò) LAN 接入?yún)^(qū)的匯聚交換機(jī)接入，必要時(shí)可考慮通過(guò) ACL 進(jìn)行適當(dāng)?shù)脑L問(wèn)控制。 網(wǎng)絡(luò)功能區(qū)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)功能區(qū)拓?fù)浣Y(jié)構(gòu)是按照功能區(qū)域分開(kāi)介紹的。主數(shù)據(jù)中心、災(zāi)備數(shù)據(jù)中心的廣域網(wǎng)接入?yún)^(qū)架構(gòu)相同（災(zāi)備中 心不設(shè)同城匯聚接入路由器，待未來(lái)有需求時(shí)再行考慮建設(shè)）。安全保護(hù)層，作為業(yè)務(wù)服務(wù)出 口，以 Layer3 方式連接到核心區(qū)。 區(qū)域接入層：區(qū)域內(nèi)匯聚層和接入層合并為匯聚接入層，設(shè)備為服務(wù)器接入提供網(wǎng)關(guān)和網(wǎng)絡(luò)物理接入服務(wù)，作為 Layer3 Layer2 之間邊界，實(shí)現(xiàn)功能區(qū)內(nèi) Vlan 間路由和相應(yīng)的區(qū)域內(nèi)訪問(wèn)控制點(diǎn)。災(zāi)備中心外聯(lián)服務(wù)區(qū)不考慮冗余設(shè)計(jì)。 圖 數(shù)據(jù)中心業(yè)務(wù)互聯(lián)區(qū)拓?fù)鋱D 運(yùn)維管理區(qū) 運(yùn)維管理服務(wù)器區(qū)承擔(dān)著整個(gè)銀行 IT 基礎(chǔ)設(shè)施運(yùn)維管理的任務(wù)， IT 管理類(lèi)服務(wù)器和集中管理類(lèi)（ ECC）終端都部署在這里。提供 NAS 的存儲(chǔ)和復(fù)制連接。災(zāi)備中心只保留有業(yè)務(wù)區(qū)、辦公服務(wù)區(qū)、廣域網(wǎng)接入?yún)^(qū)、業(yè)務(wù)外聯(lián)服務(wù)區(qū)。然后各地市分支網(wǎng)絡(luò)雙線路分別連接主數(shù)據(jù)中心和災(zāi)備中心。 具體命名規(guī)則如下表 和表 所示。各服務(wù)器功能區(qū)內(nèi)部為靜態(tài)路由，功能區(qū)外側(cè)防火墻與核心之間部署 OSPF 動(dòng)態(tài)路由。 路由策略 1） 路由匯總 路由匯總能提高數(shù)據(jù)包轉(zhuǎn)發(fā)效率，減少路由器的內(nèi)存消耗及網(wǎng)絡(luò)帶寬占用等諸多優(yōu)點(diǎn)。在單向鏈路中，由于物理層處于連通狀態(tài)，能正常工作，因而物理層的檢測(cè)機(jī)制（如自動(dòng)協(xié)商機(jī)制）無(wú)法發(fā)現(xiàn)設(shè)備間通 信存在問(wèn)題，從而導(dǎo)致流量的錯(cuò)誤轉(zhuǎn)發(fā)。 安全策略 根據(jù) IBM 網(wǎng)絡(luò)安全架構(gòu)規(guī)劃方法，參考業(yè)界最佳實(shí)踐， IBM 建議銀行的網(wǎng)絡(luò)從總體上可分成不同安全級(jí)別的四個(gè)安全區(qū)：非安全區(qū)，半安全區(qū)，安全區(qū)和核心安全區(qū)。 圖 安全區(qū)域?qū)嵤﹫D 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 22 頁(yè) 共 38 頁(yè) QoS 規(guī)劃 QoS 是用來(lái)保證在網(wǎng)絡(luò)上傳輸?shù)膽?yīng)用數(shù)據(jù)流對(duì)帶寬、傳輸時(shí)延、抖動(dòng)和丟包率等的要求，從而保證語(yǔ)音等實(shí)時(shí)業(yè)務(wù)和企業(yè)重要應(yīng)用在網(wǎng)絡(luò)中的傳輸性能。 圖 QoS 規(guī)劃圖 QoS 的技術(shù)實(shí)現(xiàn)有兩種方式：在各功能區(qū)的接入層，可以根據(jù)不同 Input