【文章內(nèi)容簡介】 由器連接的方式。7 / 51 與 Inter 連接狀況三峽建行目前已經(jīng)開通了 Inter 連接，用于網(wǎng)上銀行業(yè)務(wù)，帶寬為 2M， 、連接拓撲圖如圖: 如圖所示三峽建行支付網(wǎng)關(guān)與 Inter 連接采用了目前比較完備的網(wǎng)絡(luò)安全體系和技術(shù)，防火墻采用的是 IBM Firewall ，并安裝了 ISS 網(wǎng)絡(luò)安全管理軟件進行安全漏洞掃描、入侵檢測審計等，上述連接已經(jīng)獲得總行的驗收認可。8 / 51 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀根據(jù)三峽建行對網(wǎng)絡(luò)業(yè)務(wù)的劃分，可以將三峽建行網(wǎng)絡(luò)業(yè)務(wù)劃分為：核心業(yè)務(wù)和外連業(yè)務(wù)。核心業(yè)務(wù)是三峽建行業(yè)務(wù)開展的基礎(chǔ)業(yè)務(wù)，包括以城市綜合網(wǎng)為基礎(chǔ)的營業(yè)網(wǎng)和以企業(yè)內(nèi)部網(wǎng)為基礎(chǔ)的管理網(wǎng)兩部分；外連業(yè)務(wù)是三峽建行依托核心業(yè)務(wù)系統(tǒng)，針對轄區(qū)內(nèi)的企業(yè)和客戶開發(fā)的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。各系統(tǒng)應(yīng)用關(guān)系如下圖所示： 管理網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前正在管理網(wǎng)（企業(yè)網(wǎng)）使用的主要是基于 LOTUS/NOTES 平臺上開發(fā)的應(yīng)用，現(xiàn)在在三峽建行轄區(qū)范圍內(nèi)管理網(wǎng)上運行應(yīng)用系統(tǒng)主要包括：電子郵件系統(tǒng)、信息網(wǎng)站、人力資源、信貸信息管理、移民資金管理、辦公自動化系統(tǒng)、國際結(jié)算系統(tǒng)等。除少數(shù)應(yīng)用系統(tǒng)外，大多數(shù)應(yīng)用系統(tǒng)都向下推廣到縣支行一級，轄區(qū)內(nèi)管理網(wǎng)（企業(yè)網(wǎng)）用計算機大約 300 余臺，IP 地址分配采用９８年總行統(tǒng)一規(guī)劃的企業(yè)網(wǎng)地址。此外管理網(wǎng)與市人行存在臨時的連接，用于定期本地貸款單位資料查詢。管理網(wǎng)（企業(yè)網(wǎng)）拓撲連接如下圖營 業(yè) 網(wǎng) 管 理 網(wǎng)核 心業(yè) 務(wù)外 連 業(yè) 務(wù)銀 證 連 網(wǎng) 代 收 電 話費 代 收 交 警罰 款 社 保同 城 清 算 企 業(yè) 外 連等圖 六9 / 51 營業(yè)網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前的營業(yè)網(wǎng)應(yīng)用主要是城市綜合網(wǎng)，全行共有前臺網(wǎng)點１５０余個，ATM ３２臺，金融查詢機２０臺，Pos ２００余臺，城市綜合網(wǎng)以太網(wǎng)采用１９９４年總行下發(fā)的營業(yè)網(wǎng)段 98..，而城市綜合網(wǎng)廣域網(wǎng)前臺網(wǎng)點地址沒有標準可循；清算 A 卡網(wǎng)的前置機和各縣清算組前臺（清算組前臺已經(jīng)與前臺會計柜改為直連后的會計柜機器）采用總行清算系統(tǒng)分配的２０網(wǎng)段的 IP 地址。另外隨著新業(yè)務(wù)的開展，前臺網(wǎng)點還往往下聯(lián)一些特定業(yè)務(wù)的前置設(shè)備（例如金融查詢機和個貸前置機） ，這些設(shè)備地址也沒有統(tǒng)一的規(guī)定。營業(yè)網(wǎng)拓撲連接如下圖: 外連網(wǎng)應(yīng)用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡(luò)優(yōu)勢，積極開拓業(yè)務(wù)領(lǐng)域，先后與電信、證券、人行、社保局等多家實現(xiàn)了網(wǎng)絡(luò)互連互通，通常我們是采用路由器+前置機的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個外連系統(tǒng)都獨自采用一臺路由器和一臺前置機，路由器配置靜態(tài)路由和相應(yīng)的訪問控制，前置機屏蔽所有無關(guān)的服務(wù)。外連網(wǎng)的 IP地址分配由于沒有可遵循的標準，分配時有很大的隨意性。網(wǎng)絡(luò)拓撲連接如下圖： 網(wǎng)絡(luò)安全現(xiàn)狀三峽建行在網(wǎng)絡(luò)建設(shè)過程中已經(jīng)采取了一些必要的安全措施，如“利用VLAN 技術(shù)將業(yè)務(wù)網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點聯(lián)網(wǎng)時利用前置機來保證數(shù)據(jù)傳輸?shù)陌踩?、撥號訪問采用了 RADIUS 認證、在與 Inter 接入的支付網(wǎng)關(guān)中使用防火墻和 ISS 安全監(jiān)控軟件等。但從總體整體上分析，三峽建行現(xiàn)有網(wǎng)絡(luò)中仍然存在著一些安全隱患。主要包括以下幾個方面： ● 可靠性安全隱患由于某些網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件存在質(zhì)量問題或缺陷，導(dǎo)致網(wǎng)絡(luò)在運行過程中存在可靠性安全隱患。如：MOTOROLA 路由器的 FLASH Memory 工作時極不穩(wěn)定，經(jīng)常丟失系統(tǒng)軟件，影響了清算 A 卡系統(tǒng)以及企業(yè)網(wǎng)的正常運行。一些系統(tǒng)缺乏備份鏈路和備份設(shè)備，一旦出現(xiàn)故障，勢必影響業(yè)務(wù)的正常開展。10 / 51 ● 應(yīng)用系統(tǒng)安全隱患各種應(yīng)用缺乏統(tǒng)一的規(guī)劃，未能充分考慮網(wǎng)絡(luò)上的安全要求，導(dǎo)致三峽建行中心機房的業(yè)務(wù)運行網(wǎng)段上與外連的應(yīng)用網(wǎng)段之間缺乏必要的安全屏蔽。有些與外界相連的應(yīng)用系統(tǒng)缺乏有效的網(wǎng)絡(luò)安全保障。如：與外界相連應(yīng)用系統(tǒng)沒有按照總行要求的安全連接模式連接，前置機可能存在未屏蔽非必要的通訊端口，可能存在多余的路由表等等。此外對重要的應(yīng)用服務(wù)器沒有進行安全監(jiān)控和漏洞掃描。 ● 病毒入侵安全隱患一些應(yīng)用系統(tǒng)，特別是基于 WINDOWS 平臺的應(yīng)用系統(tǒng)，沒有安裝一些防計算機病毒的軟件，給計算機的安全造成了一定的隱患?！?黑客攻擊隱患 缺乏對黑客攻擊進行防止、檢測和響應(yīng)的一整套防黑措施和相應(yīng)的安全體系，沒有明確的安全指導(dǎo)思想和安全模型，不能夠?qū)Π踩录M行全過程監(jiān)控和作出相應(yīng)的響應(yīng)行動，無法對整個安全系統(tǒng)進行準確有效的安全評估。 網(wǎng)絡(luò)管理的現(xiàn)狀三峽建行目前正在使用 Cisco CWSI 專用網(wǎng)管系統(tǒng)，用于管理三峽建行局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備。由于其專用性，該軟件無法正確管理非 Cisco 網(wǎng)絡(luò)設(shè)備，而且無法監(jiān)控到廣域網(wǎng)的運行狀態(tài)。三峽建行在業(yè)務(wù)管理中成功引進了 BMC 管理系統(tǒng)，在對 BMC 的移植過程中，三峽建行科技人員開發(fā)設(shè)計了對前臺網(wǎng)點實時監(jiān)控程序，目前這項工作正在實驗推廣過程中。 三峽建行網(wǎng)絡(luò)存在主要問題 三峽建行城域網(wǎng)存在的問題●　根據(jù)總行網(wǎng)絡(luò)改造要求，三峽建行主交換機需要兩臺，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機 Catalyst 5505 沒有第三層交換模塊，另一臺主交換機的備份 Catalyst 5000，無論從交換能力還有模塊配置均無法滿足網(wǎng)絡(luò)改造的要求?！瘛‰S著以后語音、視屏在網(wǎng)絡(luò)的應(yīng)用，三峽建行目前 100M 骨干局域網(wǎng)將面臨11 / 51擁塞?！瘛∪龒{建行辦公大樓結(jié)構(gòu)化布線不規(guī)范，線路急需整理，網(wǎng)絡(luò)設(shè)備的運行環(huán)境也需要加以改善●　現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算 A 卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范●　現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒有其他應(yīng)急方案可供選擇。 營業(yè)網(wǎng)存在的問題：●　目前前臺網(wǎng)點使用的 IP 地址不符合總行規(guī)范，必須加以調(diào)整。●　城市綜合網(wǎng)（含清算 A 卡網(wǎng)）與總行采用的是 64K X25 線路，已經(jīng)無法承載新的業(yè)務(wù)●　一些網(wǎng)點由于業(yè)務(wù)量大，通信帶寬不足，出現(xiàn)通信堵塞，有些網(wǎng)點反映通信故障率比較高●　目前網(wǎng)點采用的串口通信協(xié)議 Slip，在新主機上支持不好，給主機安全運行帶來隱患。●　一些縣行還在使用 ，效率比較低，費用比較高?！瘛∫恍┚W(wǎng)點還外掛諸如查詢機、個貸前置機等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無法得到保證。 管理網(wǎng)（企業(yè)網(wǎng)）存在的問題●　管理網(wǎng)（企業(yè)網(wǎng)）所有非以太網(wǎng)連接的用戶接入帶寬嚴重不足。●　由于現(xiàn)有的組網(wǎng)模式是企業(yè)網(wǎng)與城綜網(wǎng)彼此隔離，往往綜合性的網(wǎng)點需要幾條線路，造成浪費?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）廣域網(wǎng)中使用的 Motorola 路由器故障率高，端口損壞嚴重，維修困難?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）與總行連接的 Motorola 路由器，故障率比較高●　管理網(wǎng)（企業(yè)網(wǎng)）整個 IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）目前還沒有必要鏈路的備份措施。12 / 51 外連網(wǎng)存在的問題● 外連網(wǎng)缺乏統(tǒng)一的平臺，其廣域網(wǎng)地址不符合總行新的 Ip 地址分配規(guī)范，也需要做調(diào)整?！?外連網(wǎng)與建行核心業(yè)務(wù)網(wǎng)絡(luò)耦合度大，外連網(wǎng)業(yè)務(wù)的變化往往帶來核心業(yè)務(wù)的變動?！瘛⊥膺B網(wǎng)的網(wǎng)絡(luò)連接模式，不符合總行網(wǎng)絡(luò)安全要求，而且還造成設(shè)備的利用率不高，監(jiān)控管理困難。13 / 51第 2 章 網(wǎng)絡(luò)改造的 需求規(guī)定 總體目標總行骨干網(wǎng)改造是 A 總行為了適應(yīng)新形勢下銀行激烈競爭，提高 A 銀行核心競爭力的一項具有戰(zhàn)略意義的舉措。三峽建行網(wǎng)絡(luò)改造作為整個建行網(wǎng)絡(luò)改造工作的一個組成部分，成功的網(wǎng)絡(luò)改造將使三峽建行能夠在較長時間里在當?shù)赝瑯I(yè)的競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項業(yè)務(wù)的快速發(fā)展。三峽建行網(wǎng)絡(luò)改造的總體目標是以此次總行骨干網(wǎng)改造為契機，在不影響全行正常業(yè)務(wù)開展的前提下，將目前分離的城綜網(wǎng)、清算 A 卡網(wǎng)和企業(yè)網(wǎng)整合成為統(tǒng)一的以 IP 技術(shù)為主體的穩(wěn)定、可靠、高效的綜合網(wǎng)絡(luò)平臺，實現(xiàn)建行核心業(yè)務(wù)和外連業(yè)務(wù)的有機分離，為最終完成全建行數(shù)據(jù)集中做網(wǎng)絡(luò)準備。 網(wǎng)絡(luò)改造需求 三峽建行局域網(wǎng)根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺主交換機，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺主交換機 Catalyst 5505 且沒有配置第三層交換模塊。這次網(wǎng)絡(luò)改造中需要增加三峽建行網(wǎng)絡(luò)中心需要增加一臺高檔交換機，并增加配置 Catalyst 5505 相應(yīng)的第三層交換模塊。通過網(wǎng)絡(luò)改造實現(xiàn)全行核心業(yè)務(wù)的網(wǎng)段按照總行最近下發(fā)的〈〈關(guān)于調(diào)查IP 地址使用情況及征集對 IP 地址修訂建議的意見的通知 〉 〉的要求整合，外連業(yè)務(wù)網(wǎng)絡(luò)將采用新的接入方式，引進統(tǒng)一的中間業(yè)務(wù)平臺和網(wǎng)絡(luò)連接平臺。隨著業(yè)務(wù)的拓展，特別是語音、視頻的應(yīng)用，三峽建行目前的局域網(wǎng)10M/100M 也面臨帶寬不足的壓力，考慮在三峽建行大樓與科技部之間的骨干上千兆以太網(wǎng)，三峽建行大樓用低端交換機替換 HUB。 三峽建行城域網(wǎng)１、進一步擴展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機關(guān)，架設(shè)到戊支行機關(guān)的光纖，使庚、戊這兩個城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通14 / 51信費用。２、為三峽建行城域網(wǎng)提供必要的鏈路備份措施。 廣域網(wǎng)接入與總行的一級骨干網(wǎng)連接按照總行骨干網(wǎng)改造要求實現(xiàn)?？紤]對伍支行、東辦等城區(qū)支行以及各縣支行等綜合性的網(wǎng)點的企業(yè)網(wǎng)、城綜網(wǎng)線路合并，接入帶寬提高到 64K，通過路由器連接到三峽建行；對于業(yè)務(wù)量大或線路集中的網(wǎng)點也考慮使用路由器，并提高接入速率到64K；其他網(wǎng)點提速后仍使用目前的串口協(xié)議連入三峽建行中心網(wǎng)絡(luò)，將 SLIP改為 PPP； 前臺網(wǎng)點的廣域網(wǎng)采用的 PSTN 撥號備份實現(xiàn)后臺無人干預(yù)。外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營業(yè)網(wǎng)隔離。 網(wǎng)絡(luò)管理的需求具有網(wǎng)絡(luò)管理基本功能，提供設(shè)備管理、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓撲發(fā)現(xiàn)等。在不影響關(guān)鍵業(yè)務(wù)運行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)管理員可以定義、監(jiān)控并評估網(wǎng)絡(luò)連接性、安全性和性能策略，并進行網(wǎng)絡(luò)的規(guī)劃和設(shè)計。網(wǎng)管系統(tǒng)能夠作到管理監(jiān)控到全網(wǎng)所有網(wǎng)絡(luò)設(shè)備，直觀的顯示各種設(shè)備運行狀態(tài)，并對各種異常情況實現(xiàn)自動報警。 網(wǎng)絡(luò)安全管理需求１、網(wǎng)絡(luò)設(shè)計中利用防火墻、VLAN 等技術(shù)，確保計算機網(wǎng)絡(luò)系統(tǒng)計算機網(wǎng)絡(luò)系統(tǒng)安全漏洞最小化，使網(wǎng)絡(luò)入侵的風(fēng)險得到控制。２、能夠使安全管理員了解計算機網(wǎng)絡(luò)系統(tǒng)的整體安全狀況。３、可監(jiān)控到來自網(wǎng)絡(luò)內(nèi)部和外部的“黑客”入侵。15 / 51４、能夠為查明入侵的來源提供有效的依據(jù)。能夠?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層進行安全脆弱性進行評估，提供安全修復(fù)指引。 語音、視頻應(yīng)用的需求１、在三峽建行一級安裝有能與與總行通話的 IP 電話 20 門，并能夠參加總行舉行的視頻會議。２、在條件允許的情況下，在三峽建行城域網(wǎng)內(nèi)能夠?qū)崿F(xiàn) IP 電話和視頻服務(wù)。16 / 51第 3 章 網(wǎng)絡(luò)改造的 基本原則 ● 高可靠性選用可靠性較高的網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，從而最大限度地支持各業(yè)務(wù)系統(tǒng)的正常運行?！?實用性網(wǎng)絡(luò)改造方案設(shè)計實施應(yīng)充分考慮實際需求和費用，追求高的性效比● 安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性 ● 集中管理對網(wǎng)絡(luò)實行集中監(jiān)測、 ，并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。 ● 可擴展性。根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。 ● 靈活性支持大型的動態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接?！?技術(shù)先進性以先進、成熟的網(wǎng)絡(luò)通訊技術(shù)進行方案設(shè)計及實施，相關(guān)的技術(shù)均要符合國際標準。 ● 保護現(xiàn)有投資保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級?！?分階段實施原則對整個網(wǎng)絡(luò)改造進行統(tǒng)一規(guī)劃，分階段逐步實施。 17 / 51分 行 城 域 網(wǎng)分 行 城 域 網(wǎng)縣 支 行縣 支 行 外 接 網(wǎng)外 接 網(wǎng)BB城 區(qū) 各 支 行城 區(qū) 各 支 行 CC網(wǎng) 點網(wǎng) 點 B： 分 布 層C： 接 入 層第 4 章 網(wǎng)絡(luò)總體設(shè)計 三峽建行網(wǎng)絡(luò)系統(tǒng)改造目標總體架構(gòu) 組網(wǎng)模式 大型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是層次化的，正確理解我行網(wǎng)絡(luò)層次的劃分和每個層次的主要作用，有助于我們合理選擇網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)技術(shù)。鑒于三峽建行的特殊性，我們將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計為如下層次： 城域網(wǎng)：城域網(wǎng)實現(xiàn)建行同城網(wǎng)絡(luò)的連接，包括中心機房到丁機房、甲路機房的連接。 分布層：實現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點，三峽建行到各縣支行構(gòu)成的二級網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。 接入層：為最終用戶提供對網(wǎng)絡(luò)的接入，三峽建行到各營業(yè)網(wǎng)點構(gòu)成的網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)接入層。同時，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。按照以上方式進行組網(wǎng)，層次比較清晰，便于方案實施， 。組網(wǎng)模型如下圖： 網(wǎng)絡(luò)總體拓撲結(jié)構(gòu)設(shè)計 網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)示意圖如下所示：18 / 51 局域網(wǎng)改造 局域網(wǎng)改造方案設(shè)備選擇在三峽建行網(wǎng)絡(luò)中心，增加一臺高性能的交換機 Cisco Catalyst 6509