【正文】 圖 安全區(qū)域?qū)嵤﹫D 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 22 頁(yè) 共 38 頁(yè) QoS 規(guī)劃 QoS 是用來(lái)保證在網(wǎng)絡(luò)上傳輸?shù)膽?yīng)用數(shù)據(jù)流對(duì)帶寬、傳輸時(shí)延、抖動(dòng)和丟包率等的要求，從而保證語(yǔ)音等實(shí)時(shí)業(yè)務(wù)和企業(yè)重要應(yīng)用在網(wǎng)絡(luò)中的傳輸性能。在單向鏈路中，由于物理層處于連通狀態(tài)，能正常工作，因而物理層的檢測(cè)機(jī)制（如自動(dòng)協(xié)商機(jī)制）無(wú)法發(fā)現(xiàn)設(shè)備間通 信存在問(wèn)題，從而導(dǎo)致流量的錯(cuò)誤轉(zhuǎn)發(fā)。各服務(wù)器功能區(qū)內(nèi)部為靜態(tài)路由，功能區(qū)外側(cè)防火墻與核心之間部署 OSPF 動(dòng)態(tài)路由。然后各地市分支網(wǎng)絡(luò)雙線路分別連接主數(shù)據(jù)中心和災(zāi)備中心。提供 NAS 的存儲(chǔ)和復(fù)制連接。災(zāi)備中心外聯(lián)服務(wù)區(qū)不考慮冗余設(shè)計(jì)。安全保護(hù)層，作為業(yè)務(wù)服務(wù)出 口，以 Layer3 方式連接到核心區(qū)。 網(wǎng)絡(luò)功能區(qū)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)功能區(qū)拓?fù)浣Y(jié)構(gòu)是按照功能區(qū)域分開(kāi)介紹的?；趪?guó)內(nèi)外金融行業(yè) IT 發(fā)展實(shí)踐經(jīng)驗(yàn)，未來(lái)的銀行網(wǎng)絡(luò)將是面向服務(wù)的架構(gòu)， 強(qiáng)調(diào)快速的業(yè)務(wù)響應(yīng)和業(yè)務(wù)的高可用設(shè)計(jì)，實(shí)現(xiàn)資源共享，著力于端到端的業(yè)務(wù)支持能力，以提升 IT 的服務(wù)能力。銀行可以考慮在適當(dāng)?shù)臅r(shí)間進(jìn)行通信鏈路的升級(jí)，一方面降低整體運(yùn)行成本，另外也為今后的業(yè)務(wù)拓展提供更充裕的鏈路資源。部分安全邊界的設(shè)定有待商榷，例如在抽樣 的接入層交換機(jī)上部署了 ACL 用于控制用戶(hù)網(wǎng)段之間的訪問(wèn)控制，另此類(lèi)接入設(shè)備的部署點(diǎn)選擇不盡合理。除此之外，市縣聯(lián)社中心匯聚路由器上有連接農(nóng)信銀的鏈路，做為日常與農(nóng)信銀之間的數(shù)據(jù)存儲(chǔ)通信鏈路，在緊急情況下，可以考慮做為與農(nóng)信銀之間的冗余備份鏈路。 – 網(wǎng)段，主要部署的 業(yè)務(wù)系統(tǒng)包括： ODS 和 ODS ETL 服務(wù)器。 業(yè)務(wù)現(xiàn)狀主要描述了整個(gè)網(wǎng)絡(luò)系統(tǒng)所承載的業(yè)務(wù)和業(yè)務(wù)之間對(duì)應(yīng)的關(guān)系。銀行商議更換網(wǎng)絡(luò)系統(tǒng)，保證業(yè)務(wù)不間斷的情況下進(jìn)行網(wǎng)絡(luò)的更新?lián)Q代。該方案是通過(guò)合理、低風(fēng)險(xiǎn)的理念為銀行規(guī)劃符合業(yè)務(wù)發(fā)展方向的、穩(wěn)定可靠、易維護(hù)、靈活的、具有前瞻性和穩(wěn)健發(fā)展需求的網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)架構(gòu)和相應(yīng)規(guī)范。對(duì)此對(duì)該銀行網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，滿(mǎn)足網(wǎng)絡(luò)的可用性、安全性和可靠性，并保留一定的可擴(kuò)展性，在銀行系統(tǒng)內(nèi)實(shí)現(xiàn)一個(gè)完善、高效、高可用性和高可靠的網(wǎng)絡(luò)，用以滿(mǎn)足各項(xiàng)業(yè)務(wù)發(fā)展的需要。然后制定網(wǎng)絡(luò)的基礎(chǔ)規(guī)范，如 IP 地址規(guī)劃，路由策略，安全策略， QoS 策略。 因此她們的網(wǎng)絡(luò)規(guī)模也不容小視，如 所示。 第 6 章為總結(jié)，總結(jié)整個(gè)畢業(yè)設(shè)計(jì)的過(guò)程。 根據(jù)以上各業(yè)務(wù)系統(tǒng)的應(yīng)用關(guān)聯(lián)關(guān)系，以及系統(tǒng)部署的實(shí)際情況。中間業(yè)務(wù)區(qū)通過(guò)一對(duì)冗余的 PIX 防火墻連接到核心交換機(jī)， PIX 防火墻工作在 L3 模式。本項(xiàng)目也將從上述三個(gè)方面評(píng)估銀行的網(wǎng)絡(luò)安全現(xiàn)狀。 （ a） (b) 圖 網(wǎng)絡(luò)冗余示意圖 銀行廣域網(wǎng)目前還在大量使用運(yùn)營(yíng)商專(zhuān)線（ LeasedLine）業(yè)務(wù)，專(zhuān)線業(yè)務(wù)由于是獨(dú)占電路，因而存在帶寬小、成本高的問(wèn)題。 DMZ 區(qū)的設(shè)備資源可以考慮進(jìn)行適當(dāng)調(diào)整，以簡(jiǎn)化結(jié)構(gòu)，以利于管理。同城災(zāi)備中心不設(shè)置面向內(nèi)部用戶(hù)移動(dòng)辦公的 VPN 接入服務(wù)，因此，在同城災(zāi)備中心取消業(yè)務(wù)互聯(lián)網(wǎng)區(qū)。 網(wǎng)絡(luò)拓?fù)鋱D 如圖 ：區(qū)域內(nèi)分層設(shè)計(jì)：安全保護(hù)層、區(qū)域匯聚層和區(qū)域接入層。防火墻控制合作伙伴只能訪問(wèn)半安全區(qū) (DMZ)內(nèi)的前置服務(wù)器，再經(jīng)由前置服務(wù)區(qū)發(fā)起對(duì)內(nèi)部服務(wù)器的訪問(wèn)，而外部機(jī)構(gòu)不能直接訪問(wèn)內(nèi)部服務(wù)器。 帶外管理 :構(gòu)建獨(dú)立的帶外管理網(wǎng)絡(luò)。數(shù)據(jù)中心和災(zāi)備中心兩個(gè)局域網(wǎng)主要是通過(guò) DWDM 鏈路來(lái)互聯(lián)的。數(shù)據(jù)中心之間，采用 OSPF 路由，實(shí)現(xiàn)兩個(gè)中心之間的外聯(lián)互通。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 20 頁(yè) 共 38 頁(yè) 3） 路徑控制 按照銀行規(guī)劃需求，整網(wǎng)路徑控制等二期網(wǎng)點(diǎn)設(shè)備更新時(shí)再進(jìn)行統(tǒng)一規(guī)劃，目前網(wǎng)絡(luò)數(shù)據(jù)流路徑由 OSPF 協(xié)議計(jì)算為準(zhǔn)。 圖 網(wǎng)絡(luò)安全區(qū)域等級(jí)圖 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 21 頁(yè) 共 38 頁(yè) 依據(jù)上述安全分區(qū)規(guī)劃 , 對(duì)于銀行網(wǎng)絡(luò)整體的安全域架構(gòu)以及邊界安全進(jìn)行進(jìn)一步的細(xì)化具體安全邊界采用的安全技術(shù)將根據(jù)實(shí)際應(yīng)用環(huán)境做出適當(dāng)調(diào)整，如圖 ，例如對(duì)于用戶(hù)接入和 帶外管理的邊界，可以采用 ACL，而并不一定采用防火墻等強(qiáng)度安全設(shè)備，以平衡整體投資；同樣對(duì)于外聯(lián)網(wǎng)等非安全區(qū)，除了采用防火墻之外，還可以考慮 IDS/IPS 等網(wǎng)絡(luò)安全設(shè)備，提供附加的安全保護(hù)，以提高系統(tǒng)安全性。生產(chǎn)批量數(shù)據(jù)流，對(duì)應(yīng) CBWFQ 中的一個(gè) Queue，為其保證一定的廣域網(wǎng)帶寬， 超出部分在網(wǎng)絡(luò)擁塞時(shí)可能會(huì)丟包。當(dāng)發(fā)現(xiàn)單向鏈路后，向用戶(hù)發(fā)送告警信息，并根據(jù)用戶(hù)配置，自動(dòng)關(guān)閉或通知用戶(hù)手工關(guān)閉相關(guān)端口，以防止網(wǎng)絡(luò)問(wèn)題的發(fā)生。各市縣聯(lián)社匯聚劃分為不同的 OSPF 域，以控制 area 0 的規(guī)模。網(wǎng)絡(luò)設(shè)備命名規(guī)則為：AAABBBCCCnn。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 14 頁(yè) 共 38 頁(yè) 圖 運(yùn)維管理區(qū)網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)最終整體拓?fù)? 數(shù)據(jù)中心網(wǎng)絡(luò)最終網(wǎng)絡(luò)拓?fù)淙鐖D 所示。對(duì)業(yè)務(wù)互聯(lián)區(qū)從兩個(gè)方面描述： 功能部署：對(duì)基于互聯(lián)網(wǎng)提供業(yè)務(wù)服務(wù)的服務(wù)器提供網(wǎng)絡(luò)接入。災(zāi)備中心業(yè)務(wù)服務(wù)區(qū)不考慮冗余設(shè)計(jì)，如圖 為同城災(zāi)備中心業(yè)務(wù)服務(wù)區(qū)拓?fù)鋱D。如圖 所示就是核心網(wǎng)絡(luò)拓?fù)浼軜?gòu)。將 SOA 和數(shù)據(jù)中心作為核心的設(shè)計(jì)理念，構(gòu)建高性能、高擴(kuò)展性的三層交換核心區(qū)，并通過(guò)數(shù)據(jù)中心核心交換區(qū)將不同網(wǎng)絡(luò)功能區(qū)連接為一個(gè)整體。行外系統(tǒng)開(kāi)發(fā)人員（約100+人），行外開(kāi)發(fā)人員需要遠(yuǎn)程訪問(wèn)開(kāi)發(fā)測(cè)試區(qū)服務(wù)器進(jìn)行開(kāi)發(fā)測(cè)試工作。分別從核心業(yè)務(wù)區(qū)、辦公業(yè)務(wù)區(qū)、中間業(yè)務(wù)區(qū)、網(wǎng)絡(luò)外聯(lián)區(qū)這四個(gè)區(qū)域說(shuō)明網(wǎng)絡(luò)中存在的種種問(wèn)題。開(kāi)發(fā)測(cè)試區(qū)用于為開(kāi)發(fā)測(cè)試類(lèi)測(cè)試服務(wù)器（約 10 臺(tái)）提供網(wǎng)絡(luò)接入。 網(wǎng)絡(luò)現(xiàn)狀 根據(jù)網(wǎng)絡(luò)現(xiàn)狀調(diào)研的結(jié)果，銀行當(dāng)前網(wǎng)絡(luò)基本是以相應(yīng)的網(wǎng)絡(luò)功能進(jìn)行網(wǎng)絡(luò)分區(qū)規(guī)劃。最后總體介紹了網(wǎng)絡(luò)中存在的種種問(wèn)題。然 后介紹了章節(jié)內(nèi)容，即每一章節(jié)的題目和主要內(nèi)容。在銀行業(yè)，網(wǎng)絡(luò)成為銀行交易、業(yè)務(wù)辦理的重要工具。 第 2 階段 前完成需求分析，確立設(shè)計(jì)方案。本課題是研究寧夏某銀行的網(wǎng)絡(luò)規(guī)劃方案。 20xx年 12月 22 日，在銀川正式開(kāi)業(yè)。 第 3 章本章介紹商業(yè)銀行網(wǎng)改造項(xiàng)目方案的總體設(shè)計(jì) ，從 現(xiàn)網(wǎng)存在問(wèn)題開(kāi)始著手，制定網(wǎng)絡(luò)改造方案。合并后，可以將業(yè)務(wù)系統(tǒng)根據(jù)其業(yè)務(wù)功能及業(yè)務(wù)關(guān)鍵性，分為若干類(lèi)：極為重要的業(yè)務(wù)系統(tǒng)，指業(yè)務(wù)影響范圍較大的系統(tǒng)，包括：核心業(yè)務(wù)系統(tǒng)、一代平臺(tái)、二代平臺(tái)。 2 臺(tái) Cisco7507 做為中心匯聚路由，為除銀川外的市縣級(jí)聯(lián)社匯聚路由提供接入，目前市縣匯聚共有 19 個(gè)， 市縣 3 級(jí)網(wǎng)點(diǎn)共計(jì)有 383 個(gè)，中心匯聚路由的接入鏈路為 Channelized POS（ 155Mbps）接口，每個(gè)市縣匯聚路由器通過(guò) 2條 2Mbps 鏈路上聯(lián)到市縣中心匯聚路由器。與 Inter 的連接有 2 個(gè)出口：電信和聯(lián)通，并由深信服 AD 設(shè)備實(shí)施鏈路均衡操作。 核心區(qū)設(shè)備互聯(lián)架構(gòu)略顯復(fù)雜，技術(shù)實(shí)現(xiàn)存在可優(yōu)化空間。 Inter 外聯(lián)區(qū)主要存在的問(wèn)題 Inter 網(wǎng)絡(luò)外聯(lián)主要存在的問(wèn)題是 Inter 接入?yún)^(qū)網(wǎng)絡(luò)架構(gòu)相對(duì)復(fù)雜，不易管理。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 9 頁(yè) 共 38 頁(yè) 同城災(zāi)備中心架構(gòu)設(shè)計(jì)內(nèi)容如圖 。數(shù)據(jù)中心廣域網(wǎng)區(qū)接入路由器雙鏈路連接到匯聚交換機(jī)。 災(zāi)備中心辦公服務(wù)區(qū)不考慮冗余設(shè)計(jì)。 帶內(nèi)管理 :部署數(shù)據(jù)中心 IT 基礎(chǔ)架構(gòu)運(yùn)維管理服務(wù)器。全部單點(diǎn)接入核心交換機(jī)。 表 互聯(lián)地址規(guī)劃表 序號(hào) 名稱(chēng) 對(duì)端設(shè)備 總體使用網(wǎng)段 1 DCACORCOS 與 DCBCORCOS 互聯(lián) ~254/30 與 DCAYWQFW 互聯(lián) 、 180（虛）、 18 182/29 與 DCABGQFW 互聯(lián) 、 188（虛）、 18 190/29 與 DCAWANDS01 互聯(lián) ~202/29 與 DCAEXTFW 互聯(lián) 、 196（虛）、 19 198/29 2 DCAYWQDS 與 DCAYWQFW 互聯(lián) 、 212（虛）、 21 214/29 3 DCABGQDS 與 DCABGQFW 互聯(lián) 、 220（虛）、 22 222/29 4 DCAEXTFW01 與 DCAEXTFW02 互聯(lián) ~10/30 5 DCABGQFW01 與 DCABGQFW01 互 聯(lián) ~6/30 6 DCAYWQFW01 DCAYWQFW02 互聯(lián) ~2/30 7 DCBCORCOS 與 DCBYWQFW 互聯(lián) ~154/30 與 DCBBGQFW 互聯(lián) ~158/30 與 DCBEXTFW 互聯(lián) ~162/30 與 DCBWANDS 互聯(lián) ~166/30 與 DCACORCOS 互聯(lián) ~254/30 8 DCBYWQDS 與 DCBYWQFW 互聯(lián) ~170/30 9 DCBBGQDS 與 DCBBGQFW 互聯(lián) ~174/30 9 DCBNMOAS 與 DCBYWQDS 互聯(lián) 與 DCBYWQFW 互聯(lián) 與 DCBBGQDS 互聯(lián) 與 DCBBGQFW 互聯(lián) 與 DCBWANDS 互聯(lián) 與 DCBEXTFW 互聯(lián) 與 DCBCORCOS 互聯(lián) 路由構(gòu)架規(guī)劃 路由規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)的重要內(nèi)容，需要考察路由協(xié)議的開(kāi)放性、可擴(kuò)展性、靈活性和可管理性等方面，并結(jié)合銀行的路由現(xiàn)狀和網(wǎng)絡(luò)遷移過(guò)程，進(jìn)行選擇。若銀行各網(wǎng)點(diǎn)地址分配能滿(mǎn)足匯總要求，則建議在 ABR 上進(jìn)行路由匯總。 半安全區(qū) (DMZ)：半安全區(qū)是銀行網(wǎng)絡(luò)非安全區(qū)與安全區(qū)或核心安全區(qū)之間的過(guò)渡區(qū)域，用于分割它們之間的直接聯(lián)系，隱藏安全區(qū)和核心安全區(qū)的內(nèi)部資源；此區(qū)域內(nèi)通常部署所有與外部連通、為非信任來(lái)源提供服務(wù)的系統(tǒng)和設(shè)備，如 VPN、 DNS、 Proxy、 Web、前置系統(tǒng)等服務(wù)器。其他未分類(lèi)數(shù)據(jù)流，對(duì)應(yīng)CBWFQ 中的 Default Queue，不保證其帶寬，網(wǎng)絡(luò)擁塞時(shí)將會(huì)丟包。該模式為默認(rèn)模式。一是研究路由策略；路由策略對(duì)整個(gè)網(wǎng)絡(luò)影響最大。 CCC 代表的是所屬的網(wǎng)絡(luò)層次和設(shè)備類(lèi)型。雙核心之間用四條鏈路聚合到其余各區(qū)均使用冗余鏈路，保證網(wǎng)絡(luò)可靠性。 服務(wù)器部署：主要為基于互聯(lián)網(wǎng)提供業(yè)務(wù)服務(wù)的服務(wù)器接入，例如網(wǎng)銀、郵件服務(wù)器、 VPN 網(wǎng)關(guān)等。防火墻串接在網(wǎng)絡(luò)核心與區(qū)域匯聚設(shè)備之間，為服務(wù)器提供安全防護(hù)，防火墻需要建立失效應(yīng)急機(jī)制，例如在網(wǎng)絡(luò)核心設(shè)備與區(qū)域匯聚設(shè)備之間設(shè)置浮動(dòng)靜態(tài)路由，互指到互連接口（日常情況下 shutdown），優(yōu)先級(jí)高于指向防火墻的靜態(tài)路由，在防火墻緊急故障時(shí)激活互連接口，從而旁路防火墻，提供服務(wù)緊急恢復(fù)功 能。廣域網(wǎng)接入?yún)^(qū)部署匯聚交換機(jī)，整合廣域網(wǎng)區(qū)路由及鏈路，以便于管理和維護(hù)，同時(shí)廣域網(wǎng)區(qū)匯聚交換機(jī)也做為未來(lái)以 MSTP（ Mutiservice TransmitPlatform）線路接入到數(shù)據(jù)中心的廣域網(wǎng)匯聚設(shè)備，例如連接總行、同城機(jī)構(gòu)、網(wǎng)點(diǎn)（ MSTP 線路接入）。簡(jiǎn)化互聯(lián)網(wǎng)接 入設(shè)計(jì)，不設(shè)置面向內(nèi)部用戶(hù)的辦公互聯(lián)網(wǎng)訪問(wèn)服務(wù)，將業(yè)務(wù)互聯(lián)網(wǎng)服務(wù)區(qū)與辦公互聯(lián)網(wǎng)服務(wù)區(qū)合并。另外，辦公業(yè)務(wù)區(qū)網(wǎng)絡(luò)的匯聚設(shè)備存在一些設(shè)備或技術(shù)問(wèn)題，導(dǎo)致辦公業(yè)務(wù)區(qū)的網(wǎng)絡(luò)接入不具備冗余接入能力，網(wǎng)絡(luò)穩(wěn)定性存在潛在隱患。而做為關(guān)鍵業(yè)務(wù)系統(tǒng)接入的交換機(jī) Cisco 6509，在性能方面又存在資源過(guò)剩的問(wèn)題， 電信 聯(lián)通辦公區(qū) 開(kāi)發(fā)測(cè)試區(qū) OA 及管理系統(tǒng)區(qū)市縣機(jī)構(gòu)網(wǎng)絡(luò)核心業(yè)務(wù)區(qū)W E B N S M R a d i u s中間業(yè)務(wù)、代收代繳、 農(nóng)信銀、寧夏銀 聯(lián)中間業(yè)務(wù)區(qū)銀川匯聚路由器R S R 50 40C IS C O 互聯(lián)網(wǎng)交換機(jī)入侵防御IDP 800深信服AF 設(shè)備深信服AD 設(shè)備互聯(lián)網(wǎng)防火墻S S G _ A深信服AD 設(shè)備S W 1 S W 2核心業(yè)務(wù)交換機(jī)C 6509_ A核心業(yè)務(wù)交換機(jī)C 6509_ B核心防火墻 _ A核心防火墻 _BP IX _ BP IX _ A互聯(lián)網(wǎng)防火墻S S G _ B各聯(lián)社匯聚路由器C 7507_ A各聯(lián)社匯聚路由器C7507_ B鏈路交換機(jī)E X 3200 _ A鏈路交換機(jī)E X 3200 _ B深信服 AD 實(shí)現(xiàn)雙鏈路負(fù)載均衡R G R 5080 備 R G R 50 80 主RG M 6600 2RG M 6600 1R G R 7708R G R 7708聯(lián)通電信V l a n 1 0 1 0 . 3 . 7 . 5 2 / 2 8V l a n 3 0 1 0 . 3 . 8 . 6 / 2 8V l a n 4 0 1 0 . 3 . 7 . 2 9 / 2 8VR R P1 0 . 3 . 7 . 0 / 3 01 0 . 3 . 7 . 2 0 11 0 . 3 . 7 . 2 0 51 0 . 3 . 7 . 2 0 21 0 . 3 . 7 . 2 0 61 0 . 3 . 7 . 2 0 91 0 . 3 . 7 . 2 1 01 0 . 3 . 7 . 2 1 31 0 . 3 . 7 . 2 1 41 0 . 3 . 7 . 2 1 71 0 . 3 . 7 . 2 1 81 0 . 3 . 7 .