【文章內容簡介】 由器連接的方式。7 / 51 與 Inter 連接狀況三峽建行目前已經開通了 Inter 連接，用于網上銀行業(yè)務，帶寬為 2M， 、連接拓撲圖如圖: 如圖所示三峽建行支付網關與 Inter 連接采用了目前比較完備的網絡安全體系和技術，防火墻采用的是 IBM Firewall ，并安裝了 ISS 網絡安全管理軟件進行安全漏洞掃描、入侵檢測審計等，上述連接已經獲得總行的驗收認可。8 / 51 網絡應用現狀根據三峽建行對網絡業(yè)務的劃分，可以將三峽建行網絡業(yè)務劃分為：核心業(yè)務和外連業(yè)務。核心業(yè)務是三峽建行業(yè)務開展的基礎業(yè)務，包括以城市綜合網為基礎的營業(yè)網和以企業(yè)內部網為基礎的管理網兩部分；外連業(yè)務是三峽建行依托核心業(yè)務系統(tǒng)，針對轄區(qū)內的企業(yè)和客戶開發(fā)的業(yè)務網絡系統(tǒng)。各系統(tǒng)應用關系如下圖所示： 管理網應用現狀三峽建行目前正在管理網（企業(yè)網）使用的主要是基于 LOTUS/NOTES 平臺上開發(fā)的應用，現在在三峽建行轄區(qū)范圍內管理網上運行應用系統(tǒng)主要包括：電子郵件系統(tǒng)、信息網站、人力資源、信貸信息管理、移民資金管理、辦公自動化系統(tǒng)、國際結算系統(tǒng)等。除少數應用系統(tǒng)外，大多數應用系統(tǒng)都向下推廣到縣支行一級，轄區(qū)內管理網（企業(yè)網）用計算機大約 300 余臺，IP 地址分配采用９８年總行統(tǒng)一規(guī)劃的企業(yè)網地址。此外管理網與市人行存在臨時的連接，用于定期本地貸款單位資料查詢。管理網（企業(yè)網）拓撲連接如下圖營 業(yè) 網 管 理 網核 心業(yè) 務外 連 業(yè) 務銀 證 連 網 代 收 電 話費 代 收 交 警罰 款 社 保同 城 清 算 企 業(yè) 外 連等圖 六9 / 51 營業(yè)網應用現狀三峽建行目前的營業(yè)網應用主要是城市綜合網，全行共有前臺網點１５０余個，ATM ３２臺，金融查詢機２０臺，Pos ２００余臺，城市綜合網以太網采用１９９４年總行下發(fā)的營業(yè)網段 98..，而城市綜合網廣域網前臺網點地址沒有標準可循；清算 A 卡網的前置機和各縣清算組前臺（清算組前臺已經與前臺會計柜改為直連后的會計柜機器）采用總行清算系統(tǒng)分配的２０網段的 IP 地址。另外隨著新業(yè)務的開展，前臺網點還往往下聯(lián)一些特定業(yè)務的前置設備（例如金融查詢機和個貸前置機） ，這些設備地址也沒有統(tǒng)一的規(guī)定。營業(yè)網拓撲連接如下圖: 外連網應用現狀三峽建行充分利用三峽建行網絡優(yōu)勢，積極開拓業(yè)務領域，先后與電信、證券、人行、社保局等多家實現了網絡互連互通，通常我們是采用路由器+前置機的方式，使外連網與城綜網隔離，即每個外連系統(tǒng)都獨自采用一臺路由器和一臺前置機，路由器配置靜態(tài)路由和相應的訪問控制，前置機屏蔽所有無關的服務。外連網的 IP地址分配由于沒有可遵循的標準，分配時有很大的隨意性。網絡拓撲連接如下圖： 網絡安全現狀三峽建行在網絡建設過程中已經采取了一些必要的安全措施，如“利用VLAN 技術將業(yè)務網與企業(yè)網邏輯隔離、與各證券網點聯(lián)網時利用前置機來保證數據傳輸的安全、撥號訪問采用了 RADIUS 認證、在與 Inter 接入的支付網關中使用防火墻和 ISS 安全監(jiān)控軟件等。但從總體整體上分析，三峽建行現有網絡中仍然存在著一些安全隱患。主要包括以下幾個方面： ● 可靠性安全隱患由于某些網絡設備的關鍵部件存在質量問題或缺陷，導致網絡在運行過程中存在可靠性安全隱患。如：MOTOROLA 路由器的 FLASH Memory 工作時極不穩(wěn)定，經常丟失系統(tǒng)軟件，影響了清算 A 卡系統(tǒng)以及企業(yè)網的正常運行。一些系統(tǒng)缺乏備份鏈路和備份設備，一旦出現故障，勢必影響業(yè)務的正常開展。10 / 51 ● 應用系統(tǒng)安全隱患各種應用缺乏統(tǒng)一的規(guī)劃，未能充分考慮網絡上的安全要求，導致三峽建行中心機房的業(yè)務運行網段上與外連的應用網段之間缺乏必要的安全屏蔽。有些與外界相連的應用系統(tǒng)缺乏有效的網絡安全保障。如：與外界相連應用系統(tǒng)沒有按照總行要求的安全連接模式連接，前置機可能存在未屏蔽非必要的通訊端口，可能存在多余的路由表等等。此外對重要的應用服務器沒有進行安全監(jiān)控和漏洞掃描。 ● 病毒入侵安全隱患一些應用系統(tǒng)，特別是基于 WINDOWS 平臺的應用系統(tǒng)，沒有安裝一些防計算機病毒的軟件，給計算機的安全造成了一定的隱患。● 黑客攻擊隱患 缺乏對黑客攻擊進行防止、檢測和響應的一整套防黑措施和相應的安全體系，沒有明確的安全指導思想和安全模型，不能夠對安全事件進行全過程監(jiān)控和作出相應的響應行動，無法對整個安全系統(tǒng)進行準確有效的安全評估。 網絡管理的現狀三峽建行目前正在使用 Cisco CWSI 專用網管系統(tǒng)，用于管理三峽建行局域網上的網絡設備。由于其專用性，該軟件無法正確管理非 Cisco 網絡設備，而且無法監(jiān)控到廣域網的運行狀態(tài)。三峽建行在業(yè)務管理中成功引進了 BMC 管理系統(tǒng)，在對 BMC 的移植過程中，三峽建行科技人員開發(fā)設計了對前臺網點實時監(jiān)控程序，目前這項工作正在實驗推廣過程中。 三峽建行網絡存在主要問題 三峽建行城域網存在的問題●　根據總行網絡改造要求，三峽建行主交換機需要兩臺，并要求支持第三層交換，而三峽建行現有的主交換機 Catalyst 5505 沒有第三層交換模塊，另一臺主交換機的備份 Catalyst 5000，無論從交換能力還有模塊配置均無法滿足網絡改造的要求?！瘛‰S著以后語音、視屏在網絡的應用，三峽建行目前 100M 骨干局域網將面臨11 / 51擁塞?！瘛∪龒{建行辦公大樓結構化布線不規(guī)范，線路急需整理，網絡設備的運行環(huán)境也需要加以改善●　現有的城市綜合網網絡地址、企業(yè)網地址以及清算 A 卡網地址都不統(tǒng)一，需要按照總行網絡改造的要求加以規(guī)范●　現有城域網之間的光纖缺乏必要的鏈路備份，一旦光纖出現故障，沒有其他應急方案可供選擇。 營業(yè)網存在的問題：●　目前前臺網點使用的 IP 地址不符合總行規(guī)范，必須加以調整?！瘛〕鞘芯C合網（含清算 A 卡網）與總行采用的是 64K X25 線路，已經無法承載新的業(yè)務●　一些網點由于業(yè)務量大，通信帶寬不足，出現通信堵塞，有些網點反映通信故障率比較高●　目前網點采用的串口通信協(xié)議 Slip，在新主機上支持不好，給主機安全運行帶來隱患。●　一些縣行還在使用 ，效率比較低，費用比較高?！瘛∫恍┚W點還外掛諸如查詢機、個貸前置機等，網絡連接結構凌亂，通信質量無法得到保證。 管理網（企業(yè)網）存在的問題●　管理網（企業(yè)網）所有非以太網連接的用戶接入帶寬嚴重不足?！瘛∮捎诂F有的組網模式是企業(yè)網與城綜網彼此隔離，往往綜合性的網點需要幾條線路，造成浪費。●　管理網（企業(yè)網）廣域網中使用的 Motorola 路由器故障率高，端口損壞嚴重，維修困難。●　管理網（企業(yè)網）與總行連接的 Motorola 路由器，故障率比較高●　管理網（企業(yè)網）整個 IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網需要保留的地址被分配了?！瘛」芾砭W（企業(yè)網）目前還沒有必要鏈路的備份措施。12 / 51 外連網存在的問題● 外連網缺乏統(tǒng)一的平臺，其廣域網地址不符合總行新的 Ip 地址分配規(guī)范，也需要做調整?！?外連網與建行核心業(yè)務網絡耦合度大，外連網業(yè)務的變化往往帶來核心業(yè)務的變動?！瘛⊥膺B網的網絡連接模式，不符合總行網絡安全要求，而且還造成設備的利用率不高，監(jiān)控管理困難。13 / 51第 2 章 網絡改造的 需求規(guī)定 總體目標總行骨干網改造是 A 總行為了適應新形勢下銀行激烈競爭，提高 A 銀行核心競爭力的一項具有戰(zhàn)略意義的舉措。三峽建行網絡改造作為整個建行網絡改造工作的一個組成部分，成功的網絡改造將使三峽建行能夠在較長時間里在當地同業(yè)的競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項業(yè)務的快速發(fā)展。三峽建行網絡改造的總體目標是以此次總行骨干網改造為契機，在不影響全行正常業(yè)務開展的前提下，將目前分離的城綜網、清算 A 卡網和企業(yè)網整合成為統(tǒng)一的以 IP 技術為主體的穩(wěn)定、可靠、高效的綜合網絡平臺，實現建行核心業(yè)務和外連業(yè)務的有機分離，為最終完成全建行數據集中做網絡準備。 網絡改造需求 三峽建行局域網根據總行骨干網改造方案，三峽建行局域網需要有兩臺主交換機，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺主交換機 Catalyst 5505 且沒有配置第三層交換模塊。這次網絡改造中需要增加三峽建行網絡中心需要增加一臺高檔交換機，并增加配置 Catalyst 5505 相應的第三層交換模塊。通過網絡改造實現全行核心業(yè)務的網段按照總行最近下發(fā)的〈〈關于調查IP 地址使用情況及征集對 IP 地址修訂建議的意見的通知 〉 〉的要求整合，外連業(yè)務網絡將采用新的接入方式，引進統(tǒng)一的中間業(yè)務平臺和網絡連接平臺。隨著業(yè)務的拓展，特別是語音、視頻的應用，三峽建行目前的局域網10M/100M 也面臨帶寬不足的壓力，考慮在三峽建行大樓與科技部之間的骨干上千兆以太網，三峽建行大樓用低端交換機替換 HUB。 三峽建行城域網１、進一步擴展城域網的連接范圍，將丙辦的光纖延伸到己支行機關，架設到戊支行機關的光纖，使庚、戊這兩個城區(qū)主要支行接入三峽建行城域網，減少通14 / 51信費用。２、為三峽建行城域網提供必要的鏈路備份措施。 廣域網接入與總行的一級骨干網連接按照總行骨干網改造要求實現?？紤]對伍支行、東辦等城區(qū)支行以及各縣支行等綜合性的網點的企業(yè)網、城綜網線路合并，接入帶寬提高到 64K，通過路由器連接到三峽建行；對于業(yè)務量大或線路集中的網點也考慮使用路由器，并提高接入速率到64K；其他網點提速后仍使用目前的串口協(xié)議連入三峽建行中心網絡，將 SLIP改為 PPP； 前臺網點的廣域網采用的 PSTN 撥號備份實現后臺無人干預。外連網絡的廣域網連接整合到一套網絡設備上，并安裝防火墻與營業(yè)網隔離。 網絡管理的需求具有網絡管理基本功能，提供設備管理、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓撲發(fā)現等。在不影響關鍵業(yè)務運行的前提下，收集分析網絡流量中的應用信息，網絡管理員可以定義、監(jiān)控并評估網絡連接性、安全性和性能策略，并進行網絡的規(guī)劃和設計。網管系統(tǒng)能夠作到管理監(jiān)控到全網所有網絡設備，直觀的顯示各種設備運行狀態(tài)，并對各種異常情況實現自動報警。 網絡安全管理需求１、網絡設計中利用防火墻、VLAN 等技術，確保計算機網絡系統(tǒng)計算機網絡系統(tǒng)安全漏洞最小化，使網絡入侵的風險得到控制。２、能夠使安全管理員了解計算機網絡系統(tǒng)的整體安全狀況。３、可監(jiān)控到來自網絡內部和外部的“黑客”入侵。15 / 51４、能夠為查明入侵的來源提供有效的依據。能夠對整個網絡系統(tǒng)從網絡層、系統(tǒng)層、數據庫和應用層進行安全脆弱性進行評估，提供安全修復指引。 語音、視頻應用的需求１、在三峽建行一級安裝有能與與總行通話的 IP 電話 20 門，并能夠參加總行舉行的視頻會議。２、在條件允許的情況下，在三峽建行城域網內能夠實現 IP 電話和視頻服務。16 / 51第 3 章 網絡改造的 基本原則 ● 高可靠性選用可靠性較高的網絡產品，合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，從而最大限度地支持各業(yè)務系統(tǒng)的正常運行。● 實用性網絡改造方案設計實施應充分考慮實際需求和費用，追求高的性效比● 安全性制訂統(tǒng)一的網絡安全策略，整體考慮網絡平臺的安全性 ● 集中管理對網絡實行集中監(jiān)測、 ，并統(tǒng)一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。 ● 可擴展性。根據未來業(yè)務的增長和變化，網絡可以平滑地擴充和升級，減少對網絡架構和現有設備的調整。 ● 靈活性支持大型的動態(tài)路由協(xié)議，支持策略路由功能，保證與其它網絡(如公共數據網、金融網絡、行內其它網絡)之間的平滑連接?！?技術先進性以先進、成熟的網絡通訊技術進行方案設計及實施，相關的技術均要符合國際標準。 ● 保護現有投資保證網絡整體性能的前提下，充分利用現有的網絡設備或做必要的升級?！?分階段實施原則對整個網絡改造進行統(tǒng)一規(guī)劃，分階段逐步實施。 17 / 51分 行 城 域 網分 行 城 域 網縣 支 行縣 支 行 外 接 網外 接 網BB城 區(qū) 各 支 行城 區(qū) 各 支 行 CC網 點網 點 B： 分 布 層C： 接 入 層第 4 章 網絡總體設計 三峽建行網絡系統(tǒng)改造目標總體架構 組網模式 大型網絡的網絡結構是層次化的，正確理解我行網絡層次的劃分和每個層次的主要作用，有助于我們合理選擇網絡拓撲和網絡技術。鑒于三峽建行的特殊性，我們將網絡結構設計為如下層次： 城域網：城域網實現建行同城網絡的連接，包括中心機房到丁機房、甲路機房的連接。 分布層：實現網絡統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點，三峽建行到各縣支行構成的二級網絡即屬于網絡分布層。 接入層：為最終用戶提供對網絡的接入，三峽建行到各營業(yè)網點構成的網絡即屬于網絡接入層。同時，接入層網絡包括三峽建行與外連網的連接。按照以上方式進行組網，層次比較清晰，便于方案實施， 。組網模型如下圖： 網絡總體拓撲結構設計 網絡改造后的網絡拓撲結構示意圖如下所示：18 / 51 局域網改造 局域網改造方案設備選擇在三峽建行網絡中心，增加一臺高性能的交換機 Cisco Catalyst 6509