【導(dǎo)讀】寧夏某銀行后援中心網(wǎng)絡(luò)需要進行網(wǎng)絡(luò)改建，以適應(yīng)新的業(yè)務(wù)和安全需求?，F(xiàn)一個完善、高效、高可用性和高可靠的網(wǎng)絡(luò)，用以滿足各項業(yè)務(wù)發(fā)展的需要。.銀行系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀的調(diào)查和研究；.新網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)設(shè)計分析；.網(wǎng)絡(luò)設(shè)備的選型和配置規(guī)劃；.網(wǎng)絡(luò)遷移和后期測試；[2]黎連業(yè).網(wǎng)絡(luò)綜合布線系統(tǒng)與施工技術(shù)(第4版).北京:機械工業(yè)出版社.20xx年.[4]張萃.綿陽師范學(xué)院校園網(wǎng)絡(luò)工程設(shè)計與實施[D].四川大學(xué),20xx.[6]雷斌.校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)工程設(shè)計[D].湖南大學(xué),20xx.[8]姚軍.商業(yè)銀行網(wǎng)絡(luò)改造[D].貴州大學(xué),20xx.第1階段文獻資料查閱,前完成開題報告撰寫。第2階段前完成需求分析，確立設(shè)計方案。第5階段修訂排版畢業(yè)設(shè)計說明書；；資料整理歸檔。從業(yè)務(wù)應(yīng)用服務(wù)出發(fā)，對客戶當前網(wǎng)絡(luò)資源進行評估，并結(jié)合客戶實際需求、業(yè)務(wù)發(fā)展趨勢、最佳實踐及網(wǎng)絡(luò)。網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)架構(gòu)和相應(yīng)規(guī)范。

　　

【正文】 網(wǎng)絡(luò)已在本小節(jié)前面陳述過。數(shù)據(jù)中心和災(zāi)備中心兩個局域網(wǎng)主要是通過 DWDM 鏈路來互聯(lián)的。并且兩個局域網(wǎng)通過 MSTP 備份鏈路來連接。冗余鏈路增強網(wǎng)絡(luò)可靠性。然后各地市分支網(wǎng)絡(luò)雙線路分別連接主數(shù)據(jù)中心和災(zāi)備中心。 陜西理工學(xué)院畢業(yè)設(shè)計 第 16 頁 共 38 頁 圖 整體網(wǎng)絡(luò)拓撲圖 陜西理工學(xué)院畢業(yè)設(shè)計 第 17 頁 共 38 頁 4 網(wǎng)絡(luò)基礎(chǔ)規(guī)范 網(wǎng)絡(luò)基礎(chǔ)規(guī)范包括：網(wǎng)絡(luò)設(shè)備命名、 IP 地址規(guī)劃、 Vlan 規(guī)劃、路由構(gòu)架規(guī)劃、 QoS 規(guī)劃、策略設(shè)計。 網(wǎng)絡(luò)設(shè)備型號以及命名 網(wǎng)絡(luò)設(shè)備命名規(guī)則的標準化、統(tǒng)一化，為網(wǎng)絡(luò)管理和日常運維提供便利。網(wǎng)絡(luò)設(shè)備命名規(guī)則為：AAABBBCCCnn。 AAA 代表一級機構(gòu)，如數(shù)據(jù)中心、災(zāi)備中心、總行、分支行等。 BBB 代表的是二級機構(gòu)，如：二級支行，網(wǎng)點代碼或一級機構(gòu)網(wǎng)絡(luò)功能區(qū)。 CCC 代表的是所屬的網(wǎng)絡(luò)層次和設(shè)備類型。剩下的 nn 表示設(shè)備的序號，因為冗余設(shè)計，通常會有 01 和 02。 具體命名規(guī)則如下表 和表 所示。 主數(shù)據(jù)中心 DCA 設(shè)備命名： 表 主數(shù)據(jù)中心設(shè)備命名表 設(shè)備型號 命名 分區(qū)作用 華為 S9706 DCACORCOS01 數(shù)據(jù)中心網(wǎng)絡(luò)核心核心交換機 01 華為 S9706 DCACORCOS02 數(shù)據(jù)中心網(wǎng)絡(luò)核心核心交換機 02 華為 S9706 DCAYWQDS01 數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)區(qū)域匯聚交換機 01 華為 S9706 DCAYWQDS02 數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)區(qū)域匯聚交換機 02 華為 S9706 DCABGQDS01 數(shù)據(jù)中心辦公服務(wù)區(qū)區(qū)域匯聚交換機 01 華為 S9706 DCABGQDS02 數(shù)據(jù)中心辦公服務(wù)區(qū)區(qū)域匯聚交換機 02 華為 S7706 DCAWANDS01 數(shù)據(jù)中心廣域網(wǎng)接入?yún)^(qū)區(qū)域匯聚交換機 01 華為 USG5550 DCAYWQFW01 數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)防火墻 01 華為 USG5550 DCAYWQFW02 數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)防火墻 02 華為 USG5550 DCABGQFW01 數(shù)據(jù)中心辦公服務(wù)區(qū)防火墻 01 華為 USG5550 DCABGQFW02 數(shù)據(jù)中心辦公服 務(wù)區(qū)防火墻 02 華為 USG5530S DCAEXTFW01 數(shù)據(jù)中心業(yè)務(wù)外聯(lián)網(wǎng)區(qū)防火墻 01 華為 USG5530S DCAEXTFW02 數(shù)據(jù)中心業(yè)務(wù)外聯(lián)網(wǎng)區(qū)防火墻 02 災(zāi)備中心 DCB 設(shè)備命名： 表 災(zāi)備中心設(shè)備命名表 設(shè)備型號 命名 分區(qū)作用 華為 S9706 DCBCORCOS01 同城災(zāi)備中心網(wǎng)絡(luò)核心核心交換機 華為 S7706 DCBYWQDS01 同城災(zāi)備中心業(yè)務(wù)服務(wù)區(qū)區(qū)域匯聚交換機 華為 S7706 DCBBGQDS01 同城災(zāi)備中心辦公服務(wù)區(qū)區(qū)域匯聚交換 機 華為 S7706 DCBWANDS01 同城災(zāi)備中心廣域網(wǎng)接入?yún)^(qū)區(qū)域匯聚交換機 華為 USG5530S DCBEXTFW01 同城災(zāi)備中心業(yè)務(wù)外聯(lián)服務(wù)區(qū)防火墻 華為 USG5530S DCBYWQFW01 同城災(zāi)備中心業(yè)務(wù)服務(wù)區(qū)防火墻 華為 USG5530S DCBBGQFW01 同城災(zāi)備中心辦公服務(wù)區(qū)防火墻 華為 S570052C DCBNMOAS01 同城災(zāi)備中心運維管理區(qū)接入交換機 陜西理工學(xué)院畢業(yè)設(shè)計 第 18 頁 共 38 頁 IP 地址規(guī)劃 IP地址是重要的 IT資源，科學(xué)的規(guī)劃除了能夠滿足數(shù)據(jù)中心 IP通信的地址擴展性、易識別等需求外，還有助于實施高效訪問控制和服務(wù)質(zhì)量控制策略，提高路由性能 , 實現(xiàn)數(shù)據(jù)分流策略等需求。 表 互聯(lián)地址規(guī)劃表 序號 名稱 對端設(shè)備 總體使用網(wǎng)段 1 DCACORCOS 與 DCBCORCOS 互聯(lián) ~254/30 與 DCAYWQFW 互聯(lián) 、 180（虛）、 18 182/29 與 DCABGQFW 互聯(lián) 、 188（虛）、 18 190/29 與 DCAWANDS01 互聯(lián) ~202/29 與 DCAEXTFW 互聯(lián) 、 196（虛）、 19 198/29 2 DCAYWQDS 與 DCAYWQFW 互聯(lián) 、 212（虛）、 21 214/29 3 DCABGQDS 與 DCABGQFW 互聯(lián) 、 220（虛）、 22 222/29 4 DCAEXTFW01 與 DCAEXTFW02 互聯(lián) ~10/30 5 DCABGQFW01 與 DCABGQFW01 互 聯(lián) ~6/30 6 DCAYWQFW01 DCAYWQFW02 互聯(lián) ~2/30 7 DCBCORCOS 與 DCBYWQFW 互聯(lián) ~154/30 與 DCBBGQFW 互聯(lián) ~158/30 與 DCBEXTFW 互聯(lián) ~162/30 與 DCBWANDS 互聯(lián) ~166/30 與 DCACORCOS 互聯(lián) ~254/30 8 DCBYWQDS 與 DCBYWQFW 互聯(lián) ~170/30 9 DCBBGQDS 與 DCBBGQFW 互聯(lián) ~174/30 9 DCBNMOAS 與 DCBYWQDS 互聯(lián) 與 DCBYWQFW 互聯(lián) 與 DCBBGQDS 互聯(lián) 與 DCBBGQFW 互聯(lián) 與 DCBWANDS 互聯(lián) 與 DCBEXTFW 互聯(lián) 與 DCBCORCOS 互聯(lián) 路由構(gòu)架規(guī)劃 路由規(guī)劃是網(wǎng)絡(luò)設(shè)計的重要內(nèi)容，需要考察路由協(xié)議的開放性、可擴展性、靈活性和可管理性等方面，并結(jié)合銀行的路由現(xiàn)狀和網(wǎng)絡(luò)遷移過程，進行選擇。 從網(wǎng)絡(luò)發(fā)展的角度考慮未來，建議銀行網(wǎng)絡(luò)的路由協(xié)議全面向 BGP 過渡，以利用 BGP 靈活的路徑控制，實現(xiàn)網(wǎng)絡(luò)路由的靈活部署，且 BGP 在支持大規(guī)模網(wǎng)絡(luò)方面具備明顯優(yōu)勢。但考慮到網(wǎng)絡(luò)的平滑遷移，以及銀行網(wǎng)絡(luò)維護經(jīng)驗的 積累問題，建議：中短期內(nèi)，沿用現(xiàn)有 OSPF 路由，待改造完成后，逐步向 BGP 路由過渡。數(shù)據(jù)中心之間，采用 OSPF 路由，實現(xiàn)兩個中心之間的外聯(lián)互通。數(shù)據(jù)中心內(nèi)部，將采用 OSPF 和靜態(tài)路由結(jié)合的方式定義。主備數(shù)據(jù)中心通過 OSPF 實現(xiàn)路由連通，整個核陜西理工學(xué)院畢業(yè)設(shè)計 第 19 頁 共 38 頁 心網(wǎng)絡(luò)規(guī)劃在同一 OSPF 域（ area 0），另外總行、同城機構(gòu)也部署在 area 0。各服務(wù)器功能區(qū)內(nèi)部為靜態(tài)路由，功能區(qū)外側(cè)防火墻與核心之間部署 OSPF 動態(tài)路由。同城匯聚路由器接入的離行式自助設(shè)備的廣域網(wǎng)互連區(qū)域部署獨立的 OSPF 域。銀川地區(qū)網(wǎng)點廣域網(wǎng)集中部署在獨立的獨 立的 OSPF 域。各市縣聯(lián)社匯聚劃分為不同的 OSPF 域，以控制 area 0 的規(guī)模。業(yè)務(wù)外聯(lián)區(qū)以及互聯(lián)網(wǎng)區(qū)部署靜態(tài)路由。 圖 整網(wǎng)路由規(guī)劃示意圖 策略設(shè)計 策略設(shè)計主要闡述的是訪問控制策略。一是研究路由策略；路由策略對整個網(wǎng)絡(luò)影響最大。二是安全策略；安全策略主要是訪問控制，銀行網(wǎng)絡(luò)是保密系統(tǒng)，要允許和禁止外人接入訪問。 路由策略 1） 路由匯總 路由匯總能提高數(shù)據(jù)包轉(zhuǎn)發(fā)效率，減少路由器的內(nèi)存消耗及網(wǎng)絡(luò)帶寬占用等諸多優(yōu)點。 目標網(wǎng)絡(luò)中 ， 路由 匯總主要在網(wǎng)絡(luò)邊界上進行，在本網(wǎng)絡(luò)中只需要在 ABR 上即廣域網(wǎng)接入交換機 S7706 進行匯總。若銀行各網(wǎng)點地址分配能滿足匯總要求，則建議在 ABR 上進行路由匯總。 2） 路由重發(fā)布 由于本網(wǎng)使用了 OSPF 和靜態(tài)路由 2 中路由協(xié)議，則為了保證路由的正常通信需要引入路由重發(fā)布機制。 根據(jù) OSPF 協(xié)議規(guī)定，引入外部路由時可選擇為 TYPE1/TYPE2： TYPE1 – 在 OSPF 域內(nèi)路由傳遞過程中同時計算外部路由開銷和鏈路開銷、 TYPE2— 在 OSPF 域內(nèi)路由傳遞過程中只計算外部路由開銷、本項目若未做其他要求默認外部路由均采用 type2 方式引入，引入 cost 為 xxx。 陜西理工學(xué)院畢業(yè)設(shè)計 第 20 頁 共 38 頁 3） 路徑控制 按照銀行規(guī)劃需求，整網(wǎng)路徑控制等二期網(wǎng)點設(shè)備更新時再進行統(tǒng)一規(guī)劃，目前網(wǎng)絡(luò)數(shù)據(jù)流路徑由 OSPF 協(xié)議計算為準。 4） DLDP 設(shè)計 DLDP 用于檢測單向鏈路，并在出現(xiàn)故障時關(guān)閉端口或者通知網(wǎng)絡(luò)管理員。 實際網(wǎng)絡(luò)中有時會出現(xiàn)光纖交叉連接、一條光纖未連接、一條光纖或雙絞線中的一條線路斷路的情況，此時鏈路兩端的端口之一可以收到對端發(fā)送的鏈路層報文，但對端不能收到本端發(fā)送的報文，這種鏈路即為單向鏈路。在單向鏈路中，由于物理層處于連通狀態(tài)，能正常工作，因而物理層的檢測機制（如自動協(xié)商機制）無法發(fā)現(xiàn)設(shè)備間通 信存在問題，從而導(dǎo)致流量的錯誤轉(zhuǎn)發(fā)。 DLDP 的作用就是檢測單向鏈路的存在并采取相應(yīng)措施。它負責在通過光纖或銅質(zhì)雙絞線連接的設(shè)備上，監(jiān)控物理線路的鏈路狀態(tài)。當發(fā)現(xiàn)單向鏈路后，向用戶發(fā)送告警信息，并根據(jù)用戶配置，自動關(guān)閉或通知用戶手工關(guān)閉相關(guān)端口，以防止網(wǎng)絡(luò)問題的發(fā)生。 DLDP 有兩種工作模式： （ 1） 普通模式：系統(tǒng)只能識別一種類型的單向鏈路：光纖交叉連接。 （ 2）加強模式：系統(tǒng)能識別兩種類型的單向鏈路：一種是光纖交叉連接，另一種是一條光纖未連接或一條光纖斷路。該模式為默認模式。 在 Huawei 設(shè)備之間的互聯(lián)端口使能 DLDP， DLDP 的建議配置：全局使能 DLDP、端口使能 DLDP。 安全策略 根據(jù) IBM 網(wǎng)絡(luò)安全架構(gòu)規(guī)劃方法，參考業(yè)界最佳實踐， IBM 建議銀行的網(wǎng)絡(luò)從總體上可分成不同安全級別的四個安全區(qū)：非安全區(qū)，半安全區(qū)，安全區(qū)和核心安全區(qū)。 網(wǎng)絡(luò)安全域劃分是網(wǎng)絡(luò)架構(gòu)安全的重要內(nèi)容，安全域是一個邏輯范圍或區(qū)域，同一個安全域內(nèi)的信息資產(chǎn)具有相同或相近的安全屬性，如圖 所示： 非安全區(qū) (對外連接 )：非安全區(qū)是銀行網(wǎng)絡(luò)與外部直接連接的區(qū)域，負責與人行、銀監(jiān)局等外部監(jiān)管機構(gòu)及業(yè) 務(wù)合作伙伴鏈路的接入以及與互聯(lián)網(wǎng)（ Inter）的接入；非安全區(qū)屬于非信任區(qū)域，對經(jīng)過此區(qū)域的數(shù)據(jù)流應(yīng)進行嚴格的安全控制。 半安全區(qū) (DMZ)：半安全區(qū)是銀行網(wǎng)絡(luò)非安全區(qū)與安全區(qū)或核心安全區(qū)之間的過渡區(qū)域，用于分割它們之間的直接聯(lián)系，隱藏安全區(qū)和核心安全區(qū)的內(nèi)部資源；此區(qū)域內(nèi)通常部署所有與外部連通、為非信任來源提供服務(wù)的系統(tǒng)和設(shè)備，如 VPN、 DNS、 Proxy、 Web、前置系統(tǒng)等服務(wù)器。 安全區(qū)：安全區(qū)的安全級別較高，提供銀行內(nèi)部各種網(wǎng)絡(luò)用戶的接入服務(wù)和基礎(chǔ)網(wǎng)絡(luò)服務(wù)；安全區(qū)屬于被信任區(qū)域，原則上從非安全 區(qū)到安全區(qū)不應(yīng)該有直接的訪問數(shù)據(jù)流，數(shù)據(jù)流應(yīng)通過半安全區(qū)的服務(wù)器進行轉(zhuǎn)發(fā)。 核心安全區(qū)：核心安全區(qū)的安全級別最高，提供銀行核心業(yè)務(wù)應(yīng)用、管理及辦公系統(tǒng)、系統(tǒng)開發(fā)測試和 IT 運行管理等服務(wù)；核心安全區(qū)屬于完全被信任區(qū)域，原則上從非安全區(qū)到核心安全區(qū)不應(yīng)該有直接的訪問數(shù)據(jù)流，數(shù)據(jù)流應(yīng)通過半安全區(qū)的服務(wù)器進行轉(zhuǎn)發(fā)。 圖 網(wǎng)絡(luò)安全區(qū)域等級圖 陜西理工學(xué)院畢業(yè)設(shè)計 第 21 頁 共 38 頁 依據(jù)上述安全分區(qū)規(guī)劃 , 對于銀行網(wǎng)絡(luò)整體的安全域架構(gòu)以及邊界安全進行進一步的細化具體安全邊界采用的安全技術(shù)將根據(jù)實際應(yīng)用環(huán)境做出適當調(diào)整，如圖 ，例如對于用戶接入和 帶外管理的邊界，可以采用 ACL，而并不一定采用防火墻等強度安全設(shè)備，以平衡整體投資；同樣對于外聯(lián)網(wǎng)等非安全區(qū)，除了采用防火墻之外，還可以考慮 IDS/IPS 等網(wǎng)絡(luò)安全設(shè)備，提供附加的安全保護，以提高系統(tǒng)安全性。 圖 安全區(qū)域示意圖 根據(jù)各個安全域?qū)W(wǎng)絡(luò)安全的要求，不同的安全域之間應(yīng)當使用合理的網(wǎng)絡(luò)安全隔離措施進行隔離，控制域之間的相互訪問。從安全級別低的安全域訪問安全級別高的安全域必須受到控制，默認允許從安全級別高的安全域訪問安全級別低的安全域。 圖 安全區(qū)域?qū)嵤﹫D 陜西理工學(xué)院畢業(yè)設(shè)計 第 22 頁 共 38 頁 QoS 規(guī)劃 QoS 是用來保證在網(wǎng)絡(luò)上傳輸?shù)膽?yīng)用數(shù)據(jù)流對帶寬、傳輸時延、抖動和丟包率等的要求，從而保證語音等實時業(yè)務(wù)和企業(yè)重要應(yīng)用在網(wǎng)絡(luò)中的傳輸性能。 對于各數(shù)據(jù)流，需要保證一定的帶寬，具體的帶寬值需要通過統(tǒng)計性的網(wǎng)絡(luò)性能監(jiān)控獲得：網(wǎng)絡(luò)控制信息、運行管理數(shù)據(jù)流和視頻 /語音數(shù)據(jù)流，對應(yīng) LLQ，保證一定的帶寬，并確保這些信息在廣域網(wǎng)上被優(yōu)先傳輸。生產(chǎn)聯(lián)機數(shù)據(jù)流，對應(yīng) CBWFQ 中的一個 Queue，為其保證一定的廣域網(wǎng)帶寬，超出部分在網(wǎng)絡(luò)擁塞時可能會丟包。生產(chǎn)批量數(shù)據(jù)流，對應(yīng) CBWFQ 中的一個 Queue，為其保證一定的廣域網(wǎng)帶寬， 超出部分在網(wǎng)絡(luò)擁塞時可能會丟包。辦公數(shù)據(jù)流，對應(yīng) CBWFQ 中的一個 Queue，為其保證一定的廣域網(wǎng)帶寬，超出部分在網(wǎng)絡(luò)擁塞時可能會丟包。測試數(shù)據(jù)流，對應(yīng) CBWFQ 中的一個Queue，為其保證一定的廣域網(wǎng)帶寬，超出部分在網(wǎng)絡(luò)擁塞時可能會丟包。其他未分類數(shù)據(jù)流，對應(yīng)CBWFQ 中的 Default Queue，不保證其帶寬，網(wǎng)絡(luò)擁塞時將會丟包。每個 Queue 的保證帶寬，需要在進行廣域網(wǎng)改造時，根據(jù)廣域網(wǎng)絡(luò)鏈路的帶寬，并對實際流量的監(jiān)控和分析后，再進行定義，并且可能需要進行動態(tài)的調(diào)整。 圖 QoS 規(guī)劃圖 QoS 的技術(shù)實現(xiàn)有兩種方式：在各功能區(qū)的接入層，可以根據(jù)不同 Input