网络安全项目网络建设方案Word格式.docx

1、需求:-广域网络结构整体性规划和设计，包括整体网络拓扑结构的建议，路由算法的选择和优 化等工作。-网络性能分析和改进建议，包括对广域网和局域网的流量分析和统计，对网络传输性能 的优化改进建议。-网络管理方案设计和实施，包括对局域网和广域网的网络管理和监控方案的设计和实施。-网络重大故障的技术支持策略。3设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容，包括 QoS网络服务质量，Security安全性服务，Reliability高可靠性,Scalability可扩展性等增值服务。如图所示Cisco所建议的网络方案总体结构基于三层模型

2、：即网络硬件的互连环境层，网络 软件的增值服务层及多层次网络管理层。其中网络硬件互连环境主要指传统意义上的网络互连设备，包括交换机，路由器，拨号访问服务器等设备环境。Epufti-LayerManagementToolsy/cisco IOS NetworkACore Netw Regional Metv ccess NetwCisco公司建议采用端到端的网络方案，即采用主要有一家公司的包括交换机，路由器，拨端到端的网络安全性,号访问服务器软硬件产品。 因为只有这样才能真正实现端到端的网络性能, 端到端的服务质量以及端到端的网络管理，从而在节省开销的同时，大大提高网络的经济效益。广发证券在综合

3、业务信息平台的总体设计思想和第一期建设正是体现了上述思想。4网络设计原则 先进性I作为广发证券的新一代信息系统的承载网络，网络系统处理的信息量是十分庞大的，要求计 算机网络有很高的工作效率。而且随着业务的快速发展，系统面临的任务也愈来愈艰巨，所以, 我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率，技术上的先进性将保证系统工作的灵活性，技术上的先进性将保证网络的可靠性，技术上的先进性 也使系统的扩充和维护变得十分简单。我们将在网络构架，硬件设备，传输速率，协议选择，安 全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。可靠性在广发证券的宽

4、带广域网网络设计中， 很重要的一点就是网络的可靠性， 即坚固性。在外界 环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作, 在设计时对可靠性的考虑，可以充分减少或消除因意外或事故造成的损失。安全性IP随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网络的安全性日益 受到重视。面临十分严肃的安全性挑战。我们在网络设计时，将通过访问控制列表、防火墙、 隧道等技术来保证广发证券的宽带广域网网络系统的安全。从发展的眼光看，计算机信息系统就是要实现信息的共享，完成不同制造厂商的设备和计算 机软、硬件资源的数据交换。为此必须建立一个由开放式、标准化的网络结

5、构体系，满足当前可 实现的技术，又能适应今后新技术的引进、开发和推广。我们建议采用的 Cisco系列产品是目前业界支持协议最多、接口介质最广泛的网络产品。可管理性和可维护性网络设计中，对网络主干的有效管理也是必须考虑的主要因素。一个有效的网络管理方案不 仅要包括建立各级网管中心的设备及软件，而且要包括配置各种设备的必要顾问服务。尤为重要 的是，要能帮助用户制定网管策略和网管中心运作机制。在网络投入运行初期，提供现场顾问服/价格比。当然，高性务也是必须的。在满足上述多项原则的基础上，尽可能降低工程造价，追求最优的性能 能与高可靠性是以高投入为代价的。最终的方案一定是性能与价格折中的产物。可扩展性

6、随着广发证券的各项业务的快速发展，网络系统面临的任务将愈来愈艰巨，愈来愈复杂。为 了适应这个变化和日新月异的计算机技术的发展，我们设计的网络十分注重扩充性。无论是网络 硬件还是系统软件，都可以方便的扩充和升级，关键设备的扩充和升级时，系统将无需中断正常 的工作。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。5解决方案5.1网络解决方案描述根据以上网络设计原则，我们对广发证券的宽带广域网部分作如下设计:Internet/L iriici m/才-卿碑PBXEI广发证券综合业务平台网络示意图 广册中心CiHtPDJ广东S1R0P器*务FXO/36C2SDDN :S1Q用户塞理fl户曲51

7、由曇2651ftLIS井仝司個如 （JtR. A束尊.箕4外J与总晰遂的S鼻 （掃蠡宦广僦宦.其用户臭皂佇由&SDNPSTW2略1甜由曇黄也其邸叶由上图可见，广发证券的宽带广域网中心位于计算中心，与总部0A中心、In ternet等外联系统连接；同时提供区域中心、广东地区营业部等接入。12家区域中心以及广东地区除分中心管理外的其他营业部（直接连接到信息中心）接入。整个系统构成了广发证券的综合信息平台,目前主要为广发证券提供交易、 办公提供数据应上海、北京等12家分公司作为区域中心供本地营业部的接入；同时，上海、北京等DDN,按照上述描述连接；首选用的支持，同时提供IP语音平台，为将来在企业范围

8、内的 IP语音和视频应用的推广打好基础。系统中的所有区域中心及营业部，主链路均采用中国电信的 的备份链路均采用ISDN/PST ;第二份备份链路采用现有的卫星系统保持不变。安全问题详见安全解决方案。5.2广东数据中心的设计iluOr nipil*El广东射4、上删金词t区歧中t井电犷驱E.采用一台Cisco 7507高端路由器作OA总部的信息中心是广发证券宽带广域网的数据中心和通讯中心, 为主干广域网路由器，与中国电信的长途干线网连接，在本期工程中，与区域中心合连接采用1Mbps的DDN链路，与营业部的连接采用 256Kbps的DDN链路（建议）。另采用台Cisco 3662多功能路由器作为

9、PSTN/ISDN访问服务器，提供备份接入，它可以自动识别模拟信号和数字信号，调配相应的模拟 modem或数字modem与之握手；同时 Cisco 3662路由器还起着VoIP语音网关的作用，通过 1个E1模块与上海本地的 PBX相连接，提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完成安全防卫任务，同时提供IP Sec的VPN隧道技术的支持。信息中心的局域网采用原有 Cisco Catalyst 6509 Switch 不变，实现与各地网络之间的高速数据交换。对于在数据中心的外联系统包括 In ternet和银行等均包含在统一的接入中心交换平台上，使用高端防火墙

10、作安全隔离，接入中心交易平台使用三层交换技术和网络地址翻译技术来确 保连接各个不同的单位。5.3分公司（区域中心）网络系统分公司区域中心）网络示意图茅68第客由盟ISDN/ PSTN.IPBX矜釣77家）I现/ 尸ll分公司是区域数据中心和通讯中心，采用/、Cisco 3662高端路由器作为主干广域网路由器，与数据中心 7506主干路由器经 DDN连接，同时提供下属营业部主链路接入；另采用一台Cisco 3662多功能路由器作为 PSTN/ISDN访问服务器，提供与数据中心备份连接，同时提供下*属营业部备份链路接入;同时Cisco 3662路由器还起着 VoIP语音网关的作用，通过 FXO端口

11、与本地PBX相连接,提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完成安全防卫任务，同时提供IP Sec的VPN隧道技术的支持。5.4OA总部设计OA总部网络示意图0A总部数据中心doRk pet 訊.OA总部是OA等业务系统中心，采用台 Cisco 3662高端路由器作为主干广域网路由器,与数据中心7506主干路由器经DDN连接；另采用一台Cisco 3662多功能路由器作为 PSTN/ISDN访问服务器，提供与数据中心备份连接;在广域网路由器与内部局域网之间采用两台防火墙，互为热备份，完成安全防 卫任务，同时提供IP Sec的VPN隧道技术的支持。营业部网络示

12、意图2C51i$ 由 SI3DWPSTNTJIHS营其他地区的营业部目前在第一期工程时先采用一台Cisco 2651多功能路由器通过 1条DONISDN/PSTN 进行主链256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接，通过路的备份。在广域网路由器与内部局域网之间采用一台防火墙，在完成安全防卫任务。目前这些营业部包括北京、上海、广东地区等，共87个。5.6 广域网络的备份在数据中心配置了一台多功能 Cisco 3660路由器作为 VolP语音网关和ISDN/PSTN备份连接网络接入服务器，可同时容纳 30条普通MODEM或数字MODEM进行备份连接，满足广发证券总的备份能力的

13、需求。同时还可兼作移动用户的接入访问控制服务器。另外，我们建议采用原有的卫星线路作为第二条备份链路。5.7 IP语音5.7.1 IP语音工作原理语音进入建由器被采样.压缩成IP数据包语音出路由器IP数据包被还原成厝音PBX 删fOOl包被还原成语音g音进入SS由器被采样、压编成IP数据包5.7.2 语音接点的布设及 PBX的选择针对IP语音的建立，在上海数据中心的 3662路由器上增加一个 E1端口的语音模块，用于连接PBX ;信息中心的PBX推荐采用数字交换系统，采用该交换机还可为将来的IP Call Cen ter打下基础。在区域中心和 0A总部的3662则使用8线FXO的两个语音模块连接本地的PBX ;可建立VoIP的平台，作广发证券全面实施 IP语音准备。5.7.3 带宽要求一路语音在传统的 TDM电讯系统中传输需占用 64K带宽，而利用新的IP技术可将其压缩至 1012K。当广域网线路的利用率超过70%的时候，网络性能将会呈线性下降。所以，为保障网络的质量，8路并发语音所需要带宽为:|8K*10/70%|=114K 。5.7.4对PBX的要求采用本方案需要总部的 PBX支持E1接入。若不支持则