三峡某银行网络改造总体设计方案策划书26338.docx

三峡建行网络改造总总体设计方方案书（讨论稿） 二零零一年年四月目 录第1章 三三峡建行网网络现状41.1 网网络连接现现状41.1.11 三峡建建行城域网网现状41.1.22 三峡建建行局域网网现状51.1.33 三峡建建行广域网网现状61.1.44 与Intterneet连接状状况71.2 网网络应用现现状81.2.11 管理网网应用现状状81.2.22 营业网网应用现状状91.2.33 外连网网应用现状状101.3 网网络安全现现状111.4 网网络管理的的现状121.5 三三峡建行网网络存在主主要问题121.5.11 三峡建建行城域网网存在的问问题121.5.22 营业网网存在的问问题：131.5.33 管理网网（企业网网）存在的的问题131.5.44 外连网网存在的问问题14第2章 网网络改造的的需求规定定152.1 总总体目标152.2 网网络改造需需求152.2.11 三峡建建行局域网网152.2.22 三峡建建行城域网网152.2.33 广域网网接入162.2.44 网络管管理的需求求162.2.55 网络安安全管理需需求162.2.66 语音、视视频应用的的需求17第3章 网网络改造的的基本原则则18第4章 网网络总体设设计194.1 三三峡建行网网络系统改改造目标总总体架构194.1.11 组网模模式194.1.22 网络总总体拓扑结结构设计204.2 局局域网改造造204.2.11 局域网网改造方案案204.3 城城域网改造造224.4 广广域网改造造234.4.11 广域网网分布层改改造234.4.22 广域网网接入层改改造244.5 外外网的连接接254.6 可可靠性设计计264.6.11 设备备备份264.6.22 链路备备份274.7 网网络IP路由设设计274.8 面面向应用的的网络服务务284.8.11 业务分分类和数据据特点的分分析：284.8.22 QOSS保证28第5章 三三峡建行网网络管理设设计305.1 网网管系统功功能及其职职责305.2 网网络管理平平台和网管管工作站31第6章 网网络系统安安全设计326.1 安安全模型（P2DR模型）326.2 三三峡建行网网络系统总总体安全体体系336.2.11 安全策策略设计336.2.22 总体安安全体系的的规定336.3 三三峡建行网网络级安全全设计356.3.11 局域网网安全设计计356.3.22 广域网网安全设计计37第7章 IIP电话网网络设计407.1 IIP电话网网络建设的的必要性407.2 IIP电话所所使用的几几种技术407.3 CCISCOO的VoIPP解决方案案417.3.11 三峡建建行与总行行的VoIIP通信427.4 IIP语音的的管理43第8章 三三峡建行视视频会议设设计458.1 视视频会议系系统结构458.2 会会议电视终终端设备468.2.11 三峡建建行会场468.3 实实现功能478.4 主主要特点47H附件1 三峡建建行IP地址分分配规划48总行规定IIP地址编编码结构48三峡建行IIP地址规规划表48附件2 三三峡建行IIP联络中中心方案50三峡建行CCALL CENTTER解决决方案50三峡建行IIPCC体体系架构50IPCC功功能和优点点51IPCC系系统构成54IPCC应应用软件开开发57第1章 三峡建行网网络现状 三峡建行行作为总行行确定的六六十个重点点城市行之之一，经过过几年的建建设，已建建成了覆盖盖各县市（除除W县）城城市综合业业务网络系系统，在此此基础上依依托总行建建成了以清清算A卡网网络系统、企企业内部网网为代表的的全国性三三峡建行内内部互连网网络。以计计算机网络络为支撑平平台，我行行的各类业业务应用系系统不断推推陈出新，开开拓了多项项新的业务务，为我行行的业务快快速发展发发挥了巨大大的作用。下面，对三三峡建行网网络结构具具体说明：1.1 网络连接现现状1.1.1 三峡建行城城域网现状状三峡建行中中心机房位位于科技部部二楼。通通过自架光光纤与三峡峡建行办公公楼、甲路路10楼（老老机房）、乙乙办以及丙丙办连接构构成目前的的三峡建行行城域网，如如图所示：如图，三峡峡建行局域域网的中心心交换机为为一台Ciisco Cataalystt 55005，配有有1个2口口100MM FX光光纤接口模模块，通过过多模光纤纤与3188和甲路机机房的19924C连连接。Caatalyyst 55505还还配有两个个24口100MM以太网接接口模块、其其中连接两两台29224交换机机，并通过过29244上的1000M FFX与乙办办以及丁办办相连。1.1.2 三峡建行局局域网现状状在Cataalystt 55005和29924上根根据不同的的应用划分分了13个个不同的VVLAN，由由于目前我我行主交换换机没有配配置第三层层交换功能能，VLAAN之间的的通信只能能通过网关关来实现。在中心机房房中，另有有一台Caatalyyst 55000交交换机作为为备用机。目前，三峡峡建行网络络中心机房房共配有113台路由由器分别接接入局域网网中各个VVLAN。路路由器应用用见表一：设备端口线路速率说明Ciscoo 72066APort 1X.2564K至各县支行行清算Ciscoo 72006BPort11-8DDN9.6K银企互联、戊戊地电信代代收费Ciscoo 36440APort11-96DDN 9.6K城综网前台台网点Ciscoo 36440BPort11-64DDN 9.6K 城综网前前台网点Ciscoo 25001APort 1X.259.6K人行同城清清算Ciscoo 25001BPort 1DDN64K移动通信代代收Ciscoo 25001CPort 1DDN64K社保Ciscoo 25001DPort 1DDN64K银企互联Ciscoo 25001EPort 1DDN2M支付网关与与Inteernett接入Ciscoo 25001FPort 1X.259.6K人行贷款资资料查询Motorrola MP65520 Port 19X.2564K总行清算Port 20PSTN192KK总行清算备备份Motorrola MP65520Port 19X.2564K部分县支行行清算Motorrola MP65560 Port 19DDN/FFR64K总行企业网网三峡建行3318机房房是三峡建建行办公大大楼结构化化布线所有有信息点的的集合地，3318机房房的19224从中心心机房的CCatallyst 55055得到VLLAN信息息，通过对对其端口划划分不同的的VLANN，三峡建建行大楼中中各个不同同的网络系系统实现了了与中心机机房的通信信。其它局域网网甲路机房房、乙办以以及丙办也也是这种模模式。各县支行以以及城区其其他支行（办办事处）基基本都完成成了三部一一室的本地地局域网布布线工作。1.1.3 三峡建行广广域网现状状三峡建行的的广域网线线路普遍采采用的低速速通信链路路，其中城城市综合网网是主要租租用中国电电信的DDDN，前台台网点通过过串口通信信协议，直直接连到三三峡建行网网络中心的的设备，部部分县行营营业部由于于原来与清清算共用线线路还是采采用的X.25，利利用路由器器连接到三三峡建行网网络中心，以以上租用的的线路带宽宽都只有99600bbps；清清算A卡网网络由于县县支行已经经改为直连连，可以说说向下已经经没有单独独的线路，三三峡建行清清算A卡（含含外币卡）系系统与总行行和上海连连接采用的的是64kk X.25（复复用）；三三峡建行企企业内部网网已经与全全辖所有二二级机构开开通连接，城城区除乙办办和丙路办办、营业部部等少数是是通过三峡峡建行自架架的光纤上上的以太网网外，其余余均租用电电信的DDDN，县支支行大都采采用的是XX.25，带带宽只有99600bbps，以以路由器方方式接入。三三峡建行企企业网与总总行连接采采用的是中中元公司提提供的中元元帧中继，带带宽64KK。我行通通信线路的的主要备份份方式为电电话拨号。网网络设备以以CISCCO、MOOTOROOLA 为为主。此外外以城市综综合网为基基础，我行行独立开发发了多种新新业务，实实现了与证证券、电信信、人行等等外单位的的网络互连连，连接线线路一般为为DDN，通通信速率99600-64K都都是采用路路由器连接接的方式。1.1.4 与Inteernett连接状况况三峡建行目目前已经开开通了Innternnet连接接，用于网网上银行业业务，带宽宽为2M，、连连接拓扑图图如图: 如图所示三三峡建行支支付网关与与Inteernett连接采用用了目前比比较完备的的网络安全全体系和技技术，防火火墙采用的的是IBMM Firrewalll 3.12，并并安装了IISS网络络安全管理理软件进行行安全漏洞洞扫描、入入侵检测审审计等，上上述连接已已经获得总总行的验收收认可。1.2 网络应用现现状根据三峡建建行对网络络业务的划划分，可以以将三峡建建行网络业业务划分为为：核心业业务和外连连业务。核核心业务是是三峡建行行业务开展展的基础业业务，包括括以城市综综合网为基基础的营业业网和以企企业内部网网为基础的的管理网两两部分；外外连业务是是三峡建行行依托核心心业务系统统，针对辖辖区内的企企业和客户户开发的业业务网络系系统。各系系统应用关关系如下图图所示：1.2.1 管理网应用用现状三峡建行目目前正在管管理网（企企业网）使使用的主要要是基于LLOTUSS/NOTTES平台台上开发的的应用，现现在在三峡峡建行辖区区范围内管管理网上运运行应用系系统主要包包括：电子子邮件系统统、信息网网站、人力力资源、信信贷信息管管理、移民民资金管理理、办公自自动化系统统、国际结结算系统等等。除少数数应用系统统外，大多多数应用系系统都向下下推广到县县支行一级级，辖区内内管理网（企企业网）用用计算机大大约3000余台，IPP地址分配配采用年总行统统一规划的的企业网地地址。此外外管理网与与市人行存存在临时的的连接，用用于定期本本地贷款单单位资料查查询。管理理网（企业业网）拓扑扑连接如下下图1.2.2 营业网应用用现状三峡建行目目前的营业业网应用主主要是城市市综合网，全全行共有前前台网点余个个，ATMM 台台，金融查查询机台，Poos 余台，城城市综合网网以太网采采用年总行行下发的营营业网段998.442.633.0，而而城市综合合网广域网网前台网点点地址没有有标准可循循；清算AA卡网的前前置机和各各县清算组组前台（清清算组前台台已经与前前台会计柜柜改为直连连后的会计计柜机器）采采用总行清清算系统分分配的网段的IIP地址。另另外随着新新业务的开开展，前台台网点还往往往下联一一些特定业业务的前置置设备（例例如金融查查询机和个个贷前置机机），这些些设备地址址也没有统统一的规定定。营业网网拓扑连接接如下图:1.2.3 外连网应用用现状三峡建行充充分利用三三峡建行网网络优势，积积极开拓业业务领域，先先后与电信信、证券、人人行、社保保局等多家家实现了网网络互连互互通，通常常我们是采采用路由器器+前置机机的方式，使使外连网与与城综网隔隔离，即每每个外连系系统都独自自采用一台台路由器和和一台前置置机，路由由器配置静静态路由和和相应的访访问控制，前前置机屏蔽蔽所有无关关的服务。外外连网的IIP地址分分配由于没没有可遵循循的标准，分分配时有很很大的随意意性。网络络拓扑连接接如下图：1.3 网络安全全现状三峡建行在在网络建设设过程中已已经采取了了一些必要要的安全措措施，如“利用VLAAN技术将将业务网与与企业网逻逻辑隔离、与与各证券网网点联网时时利用前置置机来保证证数据传输输的安全、拨拨号访问采采用了RAADIUSS认证、在在与Intterneet接入的的支付网关关中使用防防火墙和IISS安全全监控软件件等。但从从总体整体体上分析，三三峡建行现现有网络中中仍然存在在着一些安安全隐患。主主要包括以以下几个方方面： 可靠性安安全隐患由于某些网网络设备的的关键部件件存在质量量问题或缺缺陷，导致致网络在运运行过程中中存在可靠靠性安全隐隐患。如：MOTOOROLAA路由器的的FLASSH Meemoryy工作时极极不稳定，经经常丢失系系统软件，影影响了清算算A卡系统统以及企业业网的正常常运行。一一些系统缺缺乏备份链链路和备份份设备，一一旦出现故故障，势必必影响业务务的正常开开展。 应用系统统安全隐患患各种应用缺缺乏统一的的规划，未未能充分考考虑网络上上的安全要要求，导致致三峡建行行中心机房房的业务运运行网段上上与外连的的应用网段段之间缺乏乏必要的安安全屏蔽。有些与外界相连的应用系统缺乏有效的网络安全保障。如：与外界相连应用系统没有按照总行要求的安全连接模式连接，前置机可能存在未屏蔽非必要的通讯端口，可能存在多余的路由表等等。此外对重要要的应用服服务器没有有进行安全全监控和漏漏洞扫描。 病毒入侵侵安全隐患患一些应用系系统，特别别是基于WWINDOOWS平台的应应用系统，没没有安装一一些防计算算机病毒的的软件，给给计算机的的安全造成成了一定的的隐患。 黑客攻攻击隐患 缺乏乏对黑客攻攻击进行防防止、检测测和响应的的一整套防防黑措施和和相应的安安全体系，没没有明确的的安全指导导思想和安安全模型，不不能够对安安全事件进进行全过程程监控和作作出相应的的响应行动动，无法对对整个安全全系统进行行准确有效效的安全评评估。1.4 网络管理理的现状三峡建行目目前正在使使用Cissco CCWSI 2.1专用网网管系统，用用于管理三三峡建行局局域网上的的网络设备备。由于其其专用性，该该软件无法法正确管理理非Cissco网络络设备，而而且无法监监控到广域域网的运行行状态。三峡建行在在业务管理理中成功引引进了BMMC管理系系统，在对对BMC的的移植过程程中，三峡峡建行科技技人员开发发设计了对对前台网点点实时监控控程序，目目前这项工工作正在实实验推广过过程中。 1.5 三峡建行行网络存在在主要问题题1.5.1 三峡建行城城域网存在在的问题根据总总行网络改改造要求，三三峡建行主主交换机需需要两台，并并要求支持持第三层交交换，而三三峡建行现现有的主交交换机Caatalyyst 55505没没有第三层层交换模块块，另一台台主交换机机的备份CCatallyst 50000，无论从从交换能力力还有模块块配置均无无法满足网网络改造的的要求。随着以以后语音、视视屏在网络络的应用，三三峡建行目目前1000M骨干局局域网将面面临拥塞。三峡建建行办公大大楼结构化化布线不规规范，线路路急需整理理，网络设设备的运行行环境也需需要加以改改善现有的的城市综合合网网络地地址、企业业网地址以以及清算AA卡网地址址都不统一一，需要按按照总行网网络改造的的要求加以以规范现有城城域网之间间的光纤缺缺乏必要的的链路备份份，一旦光光纤出现故故障，没有有其他应急急方案可供供选择。1.5.2 营业网存存在的问题题：目前前前台网点使使用的IPP地址不符符合总行规规范，必须须加以调整整。城市综综合网（含含清算A卡卡网）与总总行采用的的是64KK X255线路，已已经无法承承载新的业业务一些网网点由于业业务量大，通通信带宽不不足，出现现通信堵塞塞，有些网网点反映通通信故障率率比较高目前网网点采用的的串口通信信协议Sllip，在在新主机上上支持不好好，给主机机安全运行行带来隐患患。一些县县行还在使使用X.225，效率率比较低，费费用比较高高。一些网网点还外挂挂诸如查询询机、个贷贷前置机等等，网络连连接结构凌凌乱，通信信质量无法法得到保证证。1.5.3 管理网（企企业网）存存在的问题题管理网网（企业网）所所有非以太太网连接的的用户接入入带宽严重重不足。由于现现有的组网网模式是企企业网与城城综网彼此此隔离，往往往综合性性的网点需需要几条线线路，造成成浪费。管理网网（企业网）广广域网中使使用的Mootoroola 路路由器故障障率高，端端口损坏严严重，维修修困难。管理网网（企业网）与与总行连接接的Mottorolla 路由由器，故障障率比较高高管理网网（企业网）整整个IP地地址分配基基本是符合合此次总行行建议的规规范，但也也有部分企企业网需要要保留的地地址被分配配了。管理网网（企业网）目目前还没有有必要链路路的备份措措施。1.5.4 外连网存存在的问题题 外连网缺乏乏统一的平平台，其广广域网地址址不符合总总行新的IIp地址分分配规范，也也需要做调调整。 外连网与建建行核心业业务网络耦耦合度大，外外连网业务务的变化往往往带来核核心业务的的变动。外连网网的网络连连接模式，不不符合总行行网络安全全要求，而而且还造成成设备的利利用率不高高，监控管管理困难。第2章 网络改造的的需求规定定2.1 总体目标总行骨干网网改造是AA总行为了了适应新形形势下银行行激烈竞争争，提高AA银行核心心竞争力的的一项具有有战略意义义的举措。三三峡建行网网络改造作作为整个建建行网络改改造工作的的一个组成成部分，成成功的网络络改造将使使三峡建行行能够在较较长时间里里在当地同同业的竞争争中继续保保持科技优优势，从而而推动各项项业务的快快速发展。三峡建行网网络改造的的总体目标标是以此次次总行骨干干网改造为为契机，在在不影响全全行正常业业务开展的的前提下，将将目前分离离的城综网网、清算AA卡网和企企业网整合合成为统一一的以IPP技术为主主体的稳定定、可靠、高高效的综合合网络平台台，实现建建行核心业业务和外连连业务的有有机分离，为为最终完成成全建行数数据集中做做网络准备备。2.2 网络改造需需求2.2.1 三峡建行局局域网1、根据总总行骨干网网改造方案案，三峡建建行局域网网需要有两两台主交换换机，而且且都必须能能够支持第第三层路由由交换，而而三峡建行行目前只有有一台主交交换机Caatalyyst 55505且且没有配置置第三层交交换模块。这这次网络改改造中需要要增加三峡峡建行网络络中心需要要增加一台台高档交换换机，并增增加配置CCatallyst 55055相应的第第三层交换换模块。2、通过网网络改造实实现全行核核心业务的的网段按照照总行最近近下发的关于调调查IP地地址使用情情况及征集集对IP地地址修订建建议的意见见的通知的要求求整合，外外连业务网网络将采用用新的接入入方式，引引进统一的的中间业务务平台和网网络连接平平台。3、随着业业务的拓展展，特别是是语音、视视频的应用用，三峡建建行目前的的局域网110M/1100M也也面临带宽宽不足的压压力，考虑虑在三峡建建行大楼与与科技部之之间的骨干干上千兆以以太网，三三峡建行大大楼用低端端交换机替替换HUBB。2.2.2 三峡建行城城域网、进一步步扩展城域域网的连接接范围，将将丙办的光光纤延伸到到己支行机机关，架设设到戊支行行机关的光光纤，使庚庚、戊这两两个城区主主要支行接接入三峡建建行城域网网，减少通通信费用。、为三峡峡建行城域域网提供必必要的链路路备份措施施。2.2.3 广域网接入入1、与总行行的一级骨骨干网连接接按照总行行骨干网改改造要求实实现。2、考虑对对伍支行、东东办等城区区支行以及及各县支行行等综合性性的网点的的企业网、城城综网线路路合并，接接入带宽提提高到644K，通过过路由器连连接到三峡峡建行；3、对于业业务量大或或线路集中中的网点也也考虑使用用路由器，并并提高接入入速率到664K；4、其他网网点提速后后仍使用目目前的串口口协议连入入三峡建行行中心网络络，将SLLIP改为为PPP； 5、前台网网点的广域域网采用的的PSTNN拨号备份份实现后台台无人干预预。6、外连网网络的广域域网连接整整合到一套套网络设备备上，并安安装防火墙墙与营业网网隔离。2.2.4 网络管理的的需求1、具有网网络管理基基本功能，提提供设备管管理、配置置管理、图图形面板、流流量监控、故故障判断、拓拓扑发现等等。2、在不影影响关键业业务运行的的前提下，收收集分析网网络流量中中的应用信信息，网络络管理员可可以定义、监监控并评估估网络连接接性、安全全性和性能能策略，并并进行网络络的规划和和设计。3、网管系系统能够作作到管理监监控到全网网所有网络络设备，直直观的显示示各种设备备运行状态态，并对各各种异常情情况实现自自动报警。2.2.5 网络安全管管理需求、网络设设计中利用用防火墙、VVLAN等等技术，确确保计算机机网络系统统计算机网网络系统安安全漏洞最最小化，使使网络入侵侵的风险得得到控制。、能够使使安全管理理员了解计计算机网络络系统的整整体安全状状况。、可监控控到来自网网络内部和和外部的“黑客”入侵。、能够为为查明入侵侵的来源提提供有效的的依据。5、能够对对整个网络络系统从网网络层、系系统层、数数据库和应应用层进行行安全脆弱弱性进行评评估，提供供安全修复复指引。2.2.6 语音、视频频应用的需需求、在三峡峡建行一级级安装有能能与与总行行通话的IIP电话220门，并并能够参加加总行举行行的视频会会议。、在条件件允许的情情况下，在在三峡建行行城域网内内能够实现现IP电话话和视频服服务。第3章 网络改造的的基本原则则 高可靠性性选用可靠性性较高的网网络产品，合合理设计网网络架构，制制订可靠的的网络备份份策略，保保证网络具具有故障自自愈的能力力，从而最最大限度地地支持各业业务系统的的正常运行行。 实用性性网络改造方方案设计实实施应充分分考虑实际际需求和费费用，追求求高的性效效比 安全性性制订统一的的网络安全全策略，整整体考虑网网络平台的的安全性 集中管理理对网络实行行集中监测测、，并统统一分配带带宽资源。选选用先进的的网络管理理平台，具具有对设备备、端口等等的管理、流流量统计分分析，及可可提供故障障自动报警警。 可扩展性性。根据未来业业务的增长长和变化，网网络可以平平滑地扩充充和升级，减减少对网络络架构和现现有设备的的调整。 灵活性支持大型的的动态路由由协议，支支持策略路路由功能，保保证与其它它网络(如如公共数据据网、金融融网络、行行内其它网网络)之间间的平滑连连接。 技术先先进性以先进、成成熟的网络络通讯技术术进行方案案设计及实实施，相关关的技术均均要符合国国际标准。 保护现有有投资保证网络整整体性能的的前提下，充充分利用现现有的网络络设备或做做必要的升升级。 分阶段段实施原则则对整个网络络改造进行行统一规划划，分阶段段逐步实施施。 第4章 网络总体设设计4.1 三峡建行网网络系统改改造目标总总体架构4.1.1 组网模式 大型网络络的网络结结构是层次次化的，正正确理解我我行网络层层次的划分分和每个层层次的主要要作用，有有助于我们们合理选择择网络拓扑扑和网络技技术。鉴于于三峡建行行的特殊性性，我们将将网络结构构设计为如如下层次： 城城域网：城城域网实现现建行同城城网络的连连接，包括括中心机房房到丁机房房、甲路机机房的连接接。 分分布层：实实现网络统统一策略的的互联层，访访问层向核核心层的汇汇接点，三三峡建行到到各县支行行构成的二二级网络即即属于网络络分布层。 接入层层：为最终终用户提供供对网络的的接入，三三峡建行到到各营业网网点构成的的网络即属属于网络接接入层。同同时，接入入层网络包包括三峡建建行与外连连网的连接接。按照以上方方式进行组组网，层次次比较清晰晰，便于方方案实施，。组网模型如如下图： 4.1.2 网络总体拓拓扑结构设设计 网络络改造后的的网络拓扑扑结构示意意图如下所所示：4.2 局域网改造造4.2.1 局域网改造造方案设备选择在三峡建行行网络中心心，增加一一台高性能能的交换机机Ciscco Caatalyyst 66509，同同时在Ciisco Cataalystt 55005增加千千兆模块和和RSM路路由模块，通通过两条千千兆链路连连接起来，利利用Giggabitt EthherFaast技术术既相互备备份，又负负载均衡。Catallyst 65099可以提供供高性能、多多层交换的的数据通信信，满足内内部网络（IINTRAANET）、苛苛求网络服服务和网络络语音应用用。每台CCatallyst 65009配置两两块带有PPFC子卡卡和MSFFC子卡的的超级引擎擎，互为备备份，其中中PFC子卡卡主要用于于扩充Qoos能力，可可以实现基基于应用（TCP/UDP 应用端口号）的服务质量控制，而MSFC子卡主要是取代原来的路由模块MSM实现线速三层交换，并且进行了很大的扩充，数据包吞吐率从原来的6Mpps 扩充到15Mpps。同时，Caatalyyst 66509配配置一个448口100M/1000M模块块分别提供供与网管工工作站、路路由器等的的连接。为了保证中中心交换机机的可靠性性，Cattalysst 65509配置置双电源冗冗余系统。将原有Caatalyyst 55000交交换机从网网络中心下下移到江阁阁大楼，同同时增加两两个千兆模模块，分别别以10000Mbpps速率同Caatalyyst 66509和和Cataalystt 55005相连。VLAN划划分 将将局域网按按服务器业业务类型划划分为不同同VLANN，主要有有：业务网网、管理网网等，也可可以按照部部门划分VVLAN，VLANN之间的通通信可以通通过诸如主主交换机中中设置的策策略路由等等加以控制制。三峡建行网网络中心局局域网网络络拓扑图三峡建行网网络中心网网络拓扑图图如下：网络中心交交换机设备备配置表设备配置表表如下：序号产品号产品名称数量Catallyst 650991WS-C66509Catallyst 65099 Chaassiss1 2WS-CAAC-13300W Catallyst 60000 13000W AAC Poower Suppply13WS-CAAC-13300W/2Catallyst Secoond 66000 13000W ACC Powwer SSupplly14WS-X66K-S22-MSFFC2Catallyst 65000 Supperviisor Engiine-22, 2GGE, pplus MSFCC-2 && PFCC-215WS-X66K-S22-MSFFC2/22*Cat 65000 Redd. Suup2, 2GE, MSFFC2 && PFCC2 (IIn Chhassiis Onnly)16MEM-CC6K-FFLC244MCatallyst 60000 Supperviisor PCMCCIA FFlashh Memm Carrd, 224MB Optiion17MEM-MMSFC-128MMBCatallyst 60000 MSFFC Meem, 1128MBB DRAAM Opptionn18WS-X66408-GBICC Catallyst 60000 8-pport Gigaabit Etheernett Moddule (Reqq. GBBICs) 19WS-G55484 1000BBASE-SX ""Shorrt Waaveleengthh" GBBIC (Multtimodde onnly) 810WS-X66248-RJ-445Catallyst 60000 48-portt 10/100 RJ-445 Mooudell111SC6MSSFCA-12.00.3XEECiscoo IOSS Cattalysst 60000 FFamilly MSSFC - Entterprrise112FR-IRRC6Catallyst 60000 Fammily InteerDommain Routting Featture Liceense1Catallyst 55005（增加加模块）13WS-X55403C50000 Giggabitt Ethherneet Swwitchhing Moduule ww/o GGBICss (3 portt)114WS-G554841000BBASE-SX ""Shorrt Waaveleengthh" GBBIC (Multtimodde onnly)315WS-X55302Catallyst 50000 Rouute SSwitcch Moodulee14.3 城域网改造造 城域域网主要提提供城区各各个主要局局域网的接接入，包括括江阁大楼楼、云路机机房、信用用卡部和星星办局域网网的接入，还还包括增加加戊和己两两支行局域域网的接入入 将三三峡建行网网络中心原原有的Caatalyyst 55000交交换机下移移到江阁大大楼，作为为江阁大楼楼局域网中中心交换机机，在Caatalyyst 55000新新增两个千千兆模块端端口，通过过10000BASEE-SX模模块分别和和Cataalystt 65009、Cataalystt 55005相连，两两条链路互互为备份。 甲路路机房、信信用卡部和和星办局域域网保持原原有结构不不变。 戊和和己支行需需铺架光纤纤，接入三三峡建行城城域网，己己支行需增增加一台CCatallyst 29244交换机。 城域域网改造后后，网络拓拓扑图如下下： 城域域网链路备备份方案有有两种： 方案案一是通过过ISDNN连接路由由器的方式式， 方案案二是通过过10M的的无线以太太网方式（方方案见附件件）。这两两种备份方方式都只备备份营业网网4.4 广域网改造造4.4.1 广域网分布布层改造 分分布层网络络主要是指指三峡建行行到县级支支行和城区区较远支行行的网络连连接。 三三峡建行到到上述支行行的网络拓拓扑图如下下： 链路路说明：支支行采用664K DDDN链路路与三峡建建行网络中中心互连，用用于传输营营业数据和和企业内部部管理数据据；同时利利用PSTTN链路作作为备份线线路。 设备备选型：县县级支行局局域网进行行改造，配配置一台CCatallyst 29244交换机，通通过选用的的CISCCO 26600系列列路由器分分别与三峡峡建行相连连。在Caatalyyst 22924划划分VLAAN将管理理网和营业业网隔离开开。 节点点确定原则则：该节点点就近有既既营业网又又有管理网网的广域网网的接入。初初步确定有有b、c、d、e、f、g、h、i各县支行行以及城区区、国际业业务部。4.4.2 广域网接入入层改造 接入入层网络主主要是指三三峡建行到到网点的网网络连接。 三峡峡建行到网网点的网络络拓扑图： 链链路说明：大的网点点采用低端端路由器（还还可广泛采采用原有的的一些非CCiscooL路由设设备）通过过64K DDN链链路与三峡峡建行网络络中心互连连，用于传传输营业数数据，小的的网点采用用异步MOODEM 通过644K DDDN链路与与三峡建行行网络中心心互连；同同时利用PPSTN链链路作为备备份线路。 节节点确定原原则：该节节点就近有有多条营业业网的广域域网的接入入。初步确确定有航空空办、北山山办、五广广分理处等等。4.5 外网的连接接为了实现三三峡建行和和外网（主主要是开展展的中间业业务）的连连接，通过过将运行中中间业务的的前置机和和路由器之之间放置一一台PIXX防火墙进进行物理隔隔离，配置置一台CIISCO 36611，配置多多口同步模模块，通过过DDN与与证券营业业部相连，同同时提供网网上查询等等业务。三峡建行局局域网与外外网连接图图如下：4.6 可靠性设计计三峡建行网网络可靠性性包括网络络设备备份份和链路备备份（包括括电话拨号号）。4.6.1 设备备份三峡建行局局域网中心心设备备份份三峡建行中中心局域网网中心增加加一台高性性能的交换换机Cissco CCatallyst 65099，同时在在Ciscco Caatalyyst 55505增增加千兆模模块和RSSM路由模模块，通过过两条千兆兆链路连接接起来，利利用Giggabitt EthherFaast技术术既相互备备份，又负负载均衡。Catallyst 65099配置双引引擎和双路路由模块，同同时配置双双电源冗余余系统，保保证中心交交换机的可可靠性。提供一台CCISCOO 36662交换机，配配置同异步步模块，作作为中心路路由器的设设备备份。 城域网设备备备份在三峡建行行中心交换换机Cattalysst 65509上备备份一块224口1000M多模模光纤模块块，同时提提供一台CCatallyst 19244C交换机机，作为城城域网下一一级节点的的设备备份份。支行局域网网设备备份份提供一台CCatallyst 29244交换机，作作为远程支支行局域网网交换机的的设备备份份。4.6.2 链路备份城域网链路路备份城域网的主主干链路为为光纤连接接，为了保保证城域网网的链路的的可靠性，可可以采用IISDN备备份 在城城域网各节节点申请一一条ISDDN线路，同同时增加一一台CISSCO 22600路路由器，配配置一个IISDN模模块，当光光纤主干链链路出现故