某城市商业银行网络系统规划与设计.docx
《某城市商业银行网络系统规划与设计.docx》由会员分享,可在线阅读,更多相关《某城市商业银行网络系统规划与设计.docx(29页珍藏版)》请在冰豆网上搜索。
某城市商业银行网络系统规划与设计
《网络集成实训》
课
程
设
计
任
务
书
目 录
第一章项目背景ﻩ4
一、某城市商业银行网络系统规划背景与设计需求4
第二章ﻩ网络方案设计7
一、方案设计目标7
二、方案设计原则ﻩ8
三、方案说明9
五、关键技术的实现ﻩ15
六、方案特点ﻩ17
第三章产品选型分析18
二、产品选型分析19
第四章主要配置文件(附件)36
一、核心层配置36
二、汇聚层配置ﻩ37
三、接入层配置ﻩ43
前 言
互联网科技日新月异,飞速发展。
银行想要适应这种变化以提升竞争力并且通过它来盈利,银行就必须随着这些变化做出了相应的调整和适应,就要提供稳定、高效的高质量服务。
本规划就是在此前提下做出来的,它提供了一种妥善的解决方案,并且同样适用于其它同类型的银行联网建设。
我国各家商业银行经过多年的努力,业务处理电子化系统已被广泛使用,并在全行范围内实现了电子化。
但是,由于各商业银行之间的竞争,特别是在中国加入WTO后金融业的开放,金融、证券、保险的混业经营等的挑战,促使银行服务业向以客户为中心的理念发展。
这种趋势,一方面体现在银行不断推出各种面向客户的新业务,如网上/手机银行,贷记卡,各种中间业务等等;另一方面体现在银行决策向科学化发展,如客户群分析,效益/成本分析,风险防范等。
所有这些新需求,都需要有大集中式银行综合业务处理系统强有力的支持。
为此,各家商业银行的业务应用已经实现或正在实现大集中式处理。
一般地说,在公用数据通信网的基础上可以建立多个类型、功能、协议均不相同的计算机网络。
因此,同一主机系统可以从用于不同的计算机网络,只要在同一主机中配置不同的网络所需要的基本软件就可能做到这一点。
更进一步,如果在不同计算机网络之间,群制定网络互连协议配置相应软件,就能构成更复杂的、规模更大的计算机网络。
ﻬ
第一章项目背景
一、某城市商业银行网络系统规划背景与设计需求
某城市商业银行由银行总部和10个营业网点构成,营业网点遍布全市各区域。
银行总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十多个部门,每个部门电脑用户情况如下:
部
门
计划财务部
市场营销部
客户服务中心
资金运营中心
会计结算部
资产评估部
信息网络中心
信息点数量
3
20
其他部门用户信息点数量为15个左右。
各营业网点的电脑用户(包括自动柜员机)不超过20台,银行数据中心设于银行总部信息网络中心。
为保证银行业务的正常进行,须在全市范围内建设一个城市商业银行专用通信网,实现银行总部与各营业网点安全、可靠的互连互通。
(图)
二、城市商业银行的网络建设目标
1.在全市范围内建设一个城市商业银行专用通讯子网。
2.建立一个多协议的数据网络,并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议,使得整个网络实现互通。
3.在通讯子网上具有规模可扩充性,在计算机网上具有网络可升级性,保持整个网络的先进性。
4.网管系统应具有对整个通讯子网进行监控管理的能力,网管应用应当是统一的。
5.实现银行总部与各营业网点信息安全,设置安全加密,防止恶意攻击与破坏。
6.具有数据的冗余备份,在发生灾害时能确保数据有效的恢复。
7.设置有效的防火墙系统,保持整个网络不受外在攻击的影响,保持安全性。
第二章 网络方案设计
一、方案设计目标
1.在全市范围内建设一个商业银行专用通讯子网,一个多协议的数据网络,并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。
2.具备接入所有业务系统的能力,支持各业务系统所要求的计算机网络协议,而且具有多种常用网络协议的支持,保证在有新的业务应用时,可以提供有力的支持。
3.在城区网上能够将业务、办公自动化集成在同一个网络中,以充分利用信道带宽。
在保证目前应用的情况下,使网络具有一定的先进性,保护用户的投资。
4.具有相对完善的网管系统,能对计算机网络进行有效的监控管理,优化网络流量,提高网络运行的安全性,通过日志文件等多种手段,保证网络的高效运行。
通过以上几个目标的努力,使商业银行的计算机网络具有更好的先进性、可靠性、安全性和可扩展性。
二、方案设计原则
2.1、 先进性:
网络技术应为当期国际同业中先进的,并能支持未来网络技术的高性能需求,并且在业界表现出较高的网络性能;
2.2、安全性:
能有效防止网络的非法访问,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的安全性;
2.3、可靠性:
整个网络系统应具有很高的安全可靠性,必须满足7×24×365小时连续运行的要求。
在通信故障发生时,网络设备可以快速自动地切换到备份链路或设备上;
2.4、实用性:
整个网络系统要按照实用、好用的原则,使网络具有较高的实用性;
2.5、时效性:
网络要保证各类业务数据流的及时传输,网络时效性要强,网络延时要小,确证业务交易的实时高效完成。
2.6、完整性:
网络系统应实现端到端的,能整合数据、语音和图象的多业务应用,需要在全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络;
2.7、成熟性:
本网络系统需要整合包括TCP/IP,语音和图象等多种网络技术,只有成熟的平台和解决方案并在国内的银行用户成功使用才可以保证关键业务系统有一个可靠的运行,以有利于业务发展;
2.8、可伸缩性:
网络要具有面向未来的良好的伸缩性能,既能满足当前的需求,又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求;
2.9、效益性:
网络的投资应随网络的伸缩能够持续发挥作用,保护网络的投资,充分发挥网络投资的最大效益;
2.10、可管理性:
网络要应用统一的网络管理平台实现对整个网络系统、设备、安全性、数据流量、性能等的监控和管理,并可方便直观的进行远程管理和故障诊断。
2.11、可实施性:
整个网络解决方案的实施要便于实际的实施,并在实施过程中要保证现有网络和切换的完整性和一致性,确保实施工作的正常、顺利。
三、方案说明
3.1广域网信息流量计算
据统计,一个清算网点日平均处理同城票据为150笔,交易包的大小平均为512字节,每笔交易平均需要6次网络存取,并集中于一日的四个小时内发生。
单个网点的通信量:
用户数据量=交易笔数×交易包字节数×交易包往返次数
=150×512×6
=460800字节占用网络带宽
每个网点通信流量的平均值=用户数据量÷时间
=460800×8÷(4×3600)
=256bps
考虑到远程网络通信协议的开销和其他开销(如网管等),
每个网点通信流量的平均值为256×2=512bps。
城市商业银行营业网点的电脑用户(包括自动柜员机)不超过20台,按20台计算;
营业网点与总行通信流量为:
网点数×每个网点的流量=20×512bps=10.24kbps,考虑将来应用系统的增加等,可选用32k的DDN数据专线。
同时,考虑到数据备份的需要,可申请ISDN专线用于银行营业网点与银行总部的备份。
3.2 解决方案
总体网络拓朴如下:
城市商业银行的网络建设结构
3.3 银行总部网络
ﻩ设备的采用、命名与连接
3.3.1、银行总部核心部位用两台Quidway®S6503高端多业务交换机,命名为S6503A和S6503B,两台交换机用2根1000Base-T进行链路聚合,实现数据的快速交换和设备的冗余。
3.3.2、接入广域网部份用两台Quidway®R3680E-RPS模块化中心路由器,命名为R3680EA和R3680EB;核心交换机S6503A和S6503B通过用R3680EA作为与营业网点的DDN接入,用R3680EB作ISDN备份链路接入路由。
3.3.3、用一台Quidway®SecPath500F防火墙与S6503A相连,通过申请10M的ADSL接入INTERNET,实现访问INTERNET与网上银行等业务的接入。
用一台Quidway®SecPath 10F防火墙R3680EB相连,通过申请2M的ADSL接入INTERNET,实现访问INTERNET与网上银行等业务的接入备份。
3.3.4、数据中心的汇聚层采用两台Quidway® S3526C千兆三层交换机与核心交换机S6503A和S6503B相连,分别命名为S3526CA和S3526CB。
3.3.5、各部门网点的汇聚层采用两台Quidway® S3526C千兆三层交换机与核心交换机S6503A和S6503B,分别命名为S3526CC和S3526CD。
3.3.6、网络管理平台通过一台QuidwayS1208千兆以太网交换机交换机接入S6503B。
3.3.7、在核心层的核心交换机S6503A上连接Quidway® SecEngine D200入侵检测系统。
3.4银行总部部门局域网
3.4.1、在部门汇聚层上采用两点S3526C交换机;S3526CC作为部门1至部门7的主交换机,作为部门8至部门13的从交换机(备用交换机),S3526CD作为部门8至部门13的主交换机,作为部门1至部门7的从交换机(备用交换机)。
3.4.2、在S3526C上划分VLAN同时启动GVRP协议和STP协议,各个部门划分到不同的VLAN里,提高网络的性能。
3.4.3、在S3526C上做访问控制,提高部门间的信息安全。
3.4.4、各部门接入层交换机均与两台汇聚层交换机S3526CC和S3526CD相连,链路采用trunk封装。
3.4.5、将部门接入层交换机的端口划分到相应的VLAN。
ﻩ
3.5营业网点方案
3.5.1、各营业网点的接入广域网部份用一台Quidway®AR28-09B模块化中心路由器作为与营业网点的DDN接入与ISDN备份链路接入路由。
3.5.2、营业网点的电脑用户(包括自动柜员机)信息节点通过一台S2026C-SI交换机与AR28-09B路由器通过100base-T相连。
3.5.3、营业网点局域网可根据需求划分VLAN。
四、IP划分与VLAN划分
4.1全网IP划分
总部IP划分(掩码均为24)
部门
信息数量
IP范围
VLAN
网关
银行总部办公室
15
10.1.1.1-10.1.1.15
2
10.1.1.254
人力资源部
15
10.1.2.1-10.1.2.15
3
10.1.2.254
计划财务部
30
10.1.3.1-10.1.3.30
4
10.1.3.254
市场营销部
60
10.1.4.1-10.1.4.60
5
10.1.4.254
客户服务中心
40
10.1.5.1-10.1.5.40
6
10.1.5.254
资金运营中心
40
10.1.6.1-10.1.6.40
7
10.1.6.254
会计结算部
38
10.1.7.1-10.1.7.38
8
10.1.7.254
资产评估部
35
10.1.8.1-10.1.8.35
9
10.1.8.254
资产管理中心
15
10.1.9.1-10.1.9.15
10
10.1.9.254
信息网络中心
20
10.1.10.1-10.1.10.20
11
10.1.10.254
党群工作部
15
10.1.11.1-10.1.11.15
12
10.1.11.254
安全保卫部
15
10.1.12.1-10.1.12.15
13
10.1.12.254
物业管理部
15
10.1.13.1-10.1.13.15
14
10.1.13.254
网管中心IP划分(掩码均为24)
网管中心
15
10.1.14.1-10.1.14.15
15
10.1.14.254
数据中心
15
10.1.15.1-10.1.15.15
15
10.1.15.254
营业点IP划分(掩码均为24)
营业点
信息数量
IP范围
网关
营业点1
20
10.2.1.1-10.2.1.20
10.2.1.254
营业点2
20
10.2.2.1-10.2.2.20
10.2.2.254
营业点3
20
10.2.3.1-10.2.3.20
10.2.3.254
营业点4
20
10.2.4.1-10.2.4.20
10.2.4.254
营业点5
20
10.2.5.1-10.2.5.20
10.2.5.254
营业点6
20
10.2.6.1-10.2.6.20
10.2.6.254
营业点7
20
10.2.7.1-10.2.7.20
10.2.7.254
营业点8
20
10.2.8.1-10.2.8.20
10.2.8.254
营业点9
20
10.2.9.1-10.2.9.20
10.2.9.254
营业点10
20
10.2.10.1-10.2.10.20
10.2.10.254
4.2设备IP划分(掩码均为30,int 表示interface)
设备
接口/逻辑端口
IP地址
设备
接口/逻辑端口
IP地址
S6503A
int vlan100
10.1.100.1
S3526CA
int vlan101
10.1.100.2
S6503A
intvlan101
10.1.100.5
S3526CB
int vlan101
10.1.100.6
S6503A
intvlan102
10.1.100.9
S3526CC
intvlan101
10.1.100.10
S6503A
intvlan 103
10.1.100.13
S3526CD
intvlan101
10.1.100.14
S6503A
intvlan 104
10.1.100.17
防火墙1
LAN口
10.1.100.18
S6503A
int vlan105
10.1.100.21
IDS
10.1.100.22
S6503A
intvlan 106
10.1.100.25
R3680EA
intG0/1
10.1.100.26
S6503A
intvlan107
10.1.100.29
R3680EB
int G0/1
10.1.100.30
S6503A
intVirtual-
Template1
10.1.100.33
S6503B
intVirtual-
Template 1
10.1.100.34
S6503B
intvlan100
10.1.101.1
S3526CA
intvlan102
10.1.101.2
S6503B
intvlan101
10.1.101.5
S3526CB
int vlan102
10.1.101.6
S6503B
intvlan102
10.1.101.9
S3526CC
int vlan 102
10.1.101.10
S6503B
intvlan 103
10.1.101.13
S3526CD
intvlan102
10.1.101.14
S6503B
intvlan104
10.1.101.17
R3680EA
intG0/2
10.1.101.18
S6503B
intvlan 105
10.1.101.21
R3680EB
intG0/2
10.1.101.22
五、关键技术的实现
5.1、核心层的两台S6503交换机实现端口汇聚,增加S6503A与S6503B的互边链路的带宽,并且能够实现链路备份。
5.2、在核心层的两台S6503交换机创建VLAN,启用GVRP协议。
5.3、银行总部各部门汇聚层交换机S3526C划分各部门VLAN,同时启用GVRP协议。
在部门交换机上启用GVRP协议,并把端口划分到相应的VLAN。
5.4、银行营业网点与银行总部网络通过DDN专线连接。
5.5、在DDN接入路由器R3680EA上做策略路由;
正常情况下:
当数据来自营业网点1至营业网点5时,把数据向S6503A发送;当数据来自营业网点6至营业网点10时,把数据向S6503B发送。
当一台核心交换机发生故障时,所有数据转向另一台正常的交换机。
5.6、对银行营业网点与银行总部网络用ISDN做备份链路。
5.7、在ISDN接入路由器R3680EB上做策略路由;
正常情况下:
当数据来自营业网点1至营业网点5时,把数据向S6503A发送;当数据来自营业网点6至营业网点10时,把数据向S6503B发送。
当一台核心交换机发生故障时,所有数据转向另一台正常的交换机。
5.8、在核心层的两台S3526C交换机上启用VRRP;
VLAN2至VLAN7的数据在正常情况下网关指向S3526CC,当S3526CC出现异常时VLAN2至VLAN7的网关自动指向S3526CD;
VLAN8至VLAN14的数据在正常情况下网关指向S3526CD,当S3526CD出现异常VLAN8至VLAN14的网关自动指向S3526CC。
实现核心的负载均衡和避免单点故障。
六、方案特点
6.1、业务接入一体化;即:
QuidwayR3680E系列路由器网点解决方案可以综合实现IP、IPX、SNA等多协议接入,一体化接入ATM终端、哑终端、智能终端、OA以及IP语音等等。
6.2、网络安全一体化;通过QuidwayR3680E设备直接提供的多种二层、三层的VPN技术,例如:
PPTP、L2TP、GRE、IPSEC、IKE等等,数据加密方面提供MD5、SHA、DES、3DES以及硬件序列加密卡等的支持,使得所有加密和VPN功能可以集成到一台路由设备上完成,不再需要添置加密机等设备,网点成本更低,同时安全性、可管理性更强,同时对应VPN以及加密需求。
6.3、链路备份一体化;华为公司VRP网络操作系统专有的BACKUP CENTERTM(备份中心)技术,可以实现广泛的备份功能支持,可以实现物理链路之间、逻辑链路之间、物理链路与逻辑链路之间、以及设备间备份,保障网络的高可靠性。
华为Qudiway综合网点解决方案提供拨号备份功能的同时,支持配置CALLBACK功能,从而使得解决方案整体安全性更上一层楼。
第三章产品选型分析
一、设备清单
项目
产品
描述
数量
一、银行总部设备
1.1、核心交换机
1.1.1
S6503
Quidway®S6503高端多业务交换机
2
1.1.2
iSalienceI
iSalienceI型交换路由处理板
2
1.1.3
LS-6500-GT20
20端口10/100/1000BASE-T千兆以太网业务板(LS-6500-GT20)
2
1.2、汇聚层设备
1.2.1
S3526C
Quidway®S3526C千兆三层交换机
4
1.2.2
1000Base-T
1000Base-T模块
4
1.2.3
R3680E-RPS
R3680E-RPS模块化中心路由器,
2
1.2.4
RT-2SA
2端口同异步串口模块
5
1.2.5
100BaseT
1端口100BaseT模块
2
1.2.6
RT-4BS
4端口ISDN BRI模块
3
1.2.7
500F
Quidway®SecPath500F防火墙
1
1.2.8
10F
Quidway®SecPath10F防火墙
1.2.9
D200
QuidwaySecEngineD200
1
1.3、接入层设备
1.3.1
S2026C-SI
Quidway®S2026C-SI可堆叠以太网交换机
20
1.3.2
堆叠模块
堆叠模块
14
1.3.3
S1208
QuidwayS1208千兆以太网交换机
1
二、营业网点设备
2.1Internet接入路由器
2.1.1
AR28-09B
Quidway®AR28-09B智能业务分支路由器
10
2.1.2
SIC-1SA
SIC-1SA(高速同/异步串口智能接口卡)
10
2.1.3
SIC-1/2BS
SIC-1/2BS(ISDN-S口智能接口卡)
10
2.1.4
S2026C-SI
Quidway®S2026C-SI可堆叠以太网交换机
10
二、产品选型分析
4.2.1、Quidway® S6503高端多业务交换机
Quidway®S6500系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品,主要作为企业的核心交换机或城域网汇聚层交换机。
Quidway®S6503能够为数据中心提供超高速链路,打造低成本、高性能、具有丰富业务支持能力的高性能网络。
Quidway®S6503提供大容量、高密度、模块化的二、三层线速转发性能,同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计,完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。
Quidway®S6500系列高端多业务交换机的特点可以用一句话来概括:
“多快好省、高而不贵”。
“多”:
产品系列多、引擎规格多、接口板类型多。
有利于简化网络结构,降低建网成本。
引擎规格多:
基于新一代ASIC技术的Salience™系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。
S6500提供系列化的引擎,可以根据用户的需求在系列化机箱上进行灵活配置。
接口板类型多:
提供百兆、千兆、万兆等各种类型的以太网接口;提供100m-100km可选择的传送距离;提供4口/单板-48口/单板的接口密度;提供多种组合接口板,全面满足客户需求。
快:
采用先进体系结构设计,交换容量高达768G,支持新一代万兆线速接口,提供网络高性能。
先进的体系结构:
S6500采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。
好:
支持强大的QoS能力和精细化用户管理,高可靠、高安全设计,采用智能业务扩展模块可以实现灵活的智能化业务能力。
强大的QoS能力和精细化用户管理:
每端口支持8个硬件队列,带宽控制粒度可达64Kbps;强大的用户管理、认证计费功能支持;支持CAMS™(综合访问控制管理服务器)系统,提供专业用户管理、计费解决方案;内置IEEE802.1x认证服务器功能。
内置DHCP SERVER功能。
完善的安全机制:
支持标准Radius协议,同时提供Radius+功能;支持TACAS+协议;HCBM™(华为可控组播管理协议)功能支持;保证对用户的精确认证。
支持SSHV1/2。
基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击
升级会员 