某城市商业银行网络系统规划与设计.docx

1、某城市商业银行网络系统规划与设计网络集成实训课程设计任务书目 录第一章 项目背景4一、某城市商业银行网络系统规划背景与设计需求 4第二章网络方案设计 7一、方案设计目标 7二、方案设计原则8三、方案说明 9五、关键技术的实现15六、方案特点7第三章 产品选型分析 18二、产品选型分析 1第四章 主要配置文件(附件） 6一、核心层配置 3二、汇聚层配置37三、接入层配置43前言互联网科技日新月异,飞速发展。银行想要适应这种变化以提升竞争力并且通过它来盈利,银行就必须随着这些变化做出了相应的调整和适应，就要提供稳定、高效的高质量服务。本规划就是在此前提下做出来的，它提供了一种妥善的解决方案,并且同

2、样适用于其它同类型的银行联网建设。我国各家商业银行经过多年的努力，业务处理电子化系统已被广泛使用，并在全行范围内实现了电子化。但是,由于各商业银行之间的竞争，特别是在中国加入WTO后金融业的开放，金融、证券、保险的混业经营等的挑战，促使银行服务业向以客户为中心的理念发展。这种趋势，一方面体现在银行不断推出各种面向客户的新业务，如网上手机银行,贷记卡，各种中间业务等等;另一方面体现在银行决策向科学化发展,如客户群分析,效益/成本分析,风险防范等。所有这些新需求，都需要有大集中式银行综合业务处理系统强有力的支持。为此，各家商业银行的业务应用已经实现或正在实现大集中式处理。一般地说,在公用数据通信网

3、的基础上可以建立多个类型、功能、协议均不相同的计算机网络。因此，同一主机系统可以从用于不同的计算机网络,只要在同一主机中配置不同的网络所需要的基本软件就可能做到这一点。更进一步，如果在不同计算机网络之间，群制定网络互连协议配置相应软件，就能构成更复杂的、规模更大的计算机网络。第一章 项目背景一、某城市商业银行网络系统规划背景与设计需求某城市商业银行由银行总部和0个营业网点构成，营业网点遍布全市各区域。银行总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十多个部门，每个部门电脑用

4、户情况如下:部门计划财务部市场营销部客户服务中心资金运营中心会计结算部资产评估部信息网络中心信息点数量320其他部门用户信息点数量为15个左右。各营业网点的电脑用户(包括自动柜员机)不超过台,银行数据中心设于银行总部信息网络中心。为保证银行业务的正常进行，须在全市范围内建设一个城市商业银行专用通信网，实现银行总部与各营业网点安全、可靠的互连互通。（图)二、城市商业银行的网络建设目标1.在全市范围内建设一个城市商业银行专用通讯子网。2.建立一个多协议的数据网络,并在所有的通讯子网接入节点上支持TCP/计算机网络协议，使得整个网络实现互通。3.在通讯子网上具有规模可扩充性,在计算机网上具有网络可升

5、级性,保持整个网络的先进性。4.网管系统应具有对整个通讯子网进行监控管理的能力,网管应用应当是统一的。5.实现银行总部与各营业网点信息安全，设置安全加密,防止恶意攻击与破坏。6.具有数据的冗余备份,在发生灾害时能确保数据有效的恢复。 7. 设置有效的防火墙系统,保持整个网络不受外在攻击的影响，保持安全性。第二章 网络方案设计一、方案设计目标1.在全市范围内建设一个商业银行专用通讯子网,一个多协议的数据网络,并在所有的通讯子网接入节点上支持TC/计算机网络协议。2.具备接入所有业务系统的能力,支持各业务系统所要求的计算机网络协议,而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有

6、力的支持。3.在城区网上能够将业务、办公自动化集成在同一个网络中,以充分利用信道带宽。在保证目前应用的情况下,使网络具有一定的先进性,保护用户的投资。 4.具有相对完善的网管系统，能对计算机网络进行有效的监控管理,优化网络流量,提高网络运行的安全性,通过日志文件等多种手段，保证网络的高效运行。 通过以上几个目标的努力,使商业银行的计算机网络具有更好的先进性、可靠性、安全性和可扩展性。二、方案设计原则2.1、先进性：网络技术应为当期国际同业中先进的,并能支持未来网络技术的高性能需求,并且在业界表现出较高的网络性能; .2、安全性:能有效防止网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，

7、使数据具有极高的安全性； 2.3、可靠性:整个网络系统应具有很高的安全可靠性,必须满足7236小时连续运行的要求。在通信故障发生时，网络设备可以快速自动地切换到备份链路或设备上; 2.4、实用性:整个网络系统要按照实用、好用的原则，使网络具有较高的实用性; 2.5、时效性:网络要保证各类业务数据流的及时传输,网络时效性要强,网络延时要小，确证业务交易的实时高效完成。2.6、完整性：网络系统应实现端到端的，能整合数据、语音和图象的多业务应用,需要在全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络； 2.、成熟性：本网络系统需要整合包括TCP/IP,语音和图象等

8、多种网络技术，只有成熟的平台和解决方案并在国内的银行用户成功使用才可以保证关键业务系统有一个可靠的运行，以有利于业务发展;2.8、可伸缩性：网络要具有面向未来的良好的伸缩性能,既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求;2.9、效益性:网络的投资应随网络的伸缩能够持续发挥作用,保护网络的投资,充分发挥网络投资的最大效益; .10、可管理性：网络要应用统一的网络管理平台实现对整个网络系统、设备、安全性、数据流量、性能等的监控和管理，并可方便直观的进行远程管理和故障诊断。 21、可实施性:整个网络解决方案的实施要便于实际的实施，并在

9、实施过程中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺利。 三、方案说明.1 广域网信息流量计算据统计,一个清算网点日平均处理同城票据为10笔,交易包的大小平均为12字节,每笔交易平均需要次网络存取,并集中于一日的四个小时内发生。单个网点的通信量:用户数据量交易笔数交易包字节数交易包往返次数=15052=460800字节占用网络带宽每个网点通信流量的平均值用户数据量时间=40008(43600)=256bp考虑到远程网络通信协议的开销和其他开销(如网管等)，每个网点通信流量的平均值为56=52b。城市商业银行营业网点的电脑用户（包括自动柜员机)不超过2台,按20台计算；营业网点

10、与总行通信流量为：网点数每个网点的流量2052bs=0.24kps,考虑将来应用系统的增加等，可选用32的DN数据专线。同时,考虑到数据备份的需要,可申请ISDN专线用于银行营业网点与银行总部的备份。3.2解决方案总体网络拓朴如下：城市商业银行的网络建设结构3.3银行总部网络设备的采用、命名与连接3.3.、银行总部核心部位用两台uidway S50高端多业务交换机，命名为S653 和S653B,两台交换机用2根100Bas进行链路聚合，实现数据的快速交换和设备的冗余。.3.2、接入广域网部份用两台Quiw R36E-RS模块化中心路由器,命名为R680EA和R3680E；核心交换机S6503A

11、 和S6503通过用380EA作为与营业网点的DD接入，用R60EB作ISN备份链路接入路由。3.3.3、用一台Quidwa ScPah 00防火墙与S653A相连，通过申请10M的ADSL接入NTERNT，实现访问INTRE与网上银行等业务的接入。用一台Quidway ScPth10F 防火墙R68E相连，通过申请2M的DSL接入INTERNET，实现访问NTERNET与网上银行等业务的接入备份。3.3、数据中心的汇聚层采用两台Qudwa32C千兆三层交换机与核心交换机S650A和503相连，分别命名为S26CA和S3526B。3.3.5、各部门网点的汇聚层采用两台QuidwyS52C千兆三

12、层交换机与核心交换机S6503和S6503B，分别命名为S326CC和S526CD。3.3.6、网络管理平台通过一台Qudwa S28千兆以太网交换机交换机接入6503B。3.37、在核心层的核心交换机S6503上连接QidwayegneD00 入侵检测系统。.4银行总部部门局域网 3.4.、在部门汇聚层上采用两点S326C交换机;S526CC作为部门1至部门的主交换机，作为部门8至部门1的从交换机(备用交换机)，S52C作为部门至部门1的主交换机，作为部门1至部门7的从交换机（备用交换机)。3.42、在352C上划分VAN同时启动GV协议和T协议，各个部门划分到不同的VLAN里，提高网络的性

13、能。3.4.、在S3526C上做访问控制，提高部门间的信息安全。3.4、各部门接入层交换机均与两台汇聚层交换机S326C和S3526CD相连,链路采用trnk封装。3.5、将部门接入层交换机的端口划分到相应的VLN。3.营业网点方案35.、各营业网点的接入广域网部份用一台uday R 28-09模块化中心路由器作为与营业网点的DDN接入与SN备份链路接入路由。3.5.2、营业网点的电脑用户(包括自动柜员机)信息节点通过一台S202CS交换机与AR 8-0路由器通过10bae-T相连。3.3、营业网点局域网可根据需求划分VLAN。四、IP划分与LN划分4.1全网P划分总部P划分（掩码均为24）部

14、门信息数量IP范围VAN网关银行总部办公室50.110.1.510.1.1.人力资源部1510.1-10.2.1530.2.2计划财务部300.3-0.1.3.3010.13254市场营销部610.1-10.1.4.10.254客户服务中心400.1.5.-0.1.0610.1.5.54资金运营中心010.1.6.-0.1.6.401.6.2会计结算部3810.1.7.1117.3881.1.7.54资产评估部31.1.1-11.8.359101.8.24资产管理中心110.9.-10.151010.1.9.54信息网络中心0101.0110.0.20101.104党群工作部15101.11.

15、110.11.15121.1.1.254安全保卫部15101.12.1-0.12.15310.1.12.254物业管理部1101.13.-1.3.151410.1.154网管中心IP划分（掩码均为24）网管中心1510114.1-1014.11510.1.14.254数据中心110.1.15.-10.1.1515151.11.24营业点P划分（掩码均为24）营业点信息数量IP范围网关营业点1010.11-10.1.200.2.1.54营业点22010.2.10.2.2.00.2.2.254营业点320102.31-0.2.3.210.2.3.254营业点4010.41-10.2.42010.2

16、.4.254营业点21.1-0.2.5.2010.2.5.2营业点6200.26.1-10.2.2010.2.254营业点72012.7.-10.2.7.201.7.5营业点202.8.102.8.212.8.254营业点201.2.1-10.2.010.2.9.254营业点00.10.1-102.0200.2.1.2544.2设备IP划分（掩码均为30,in表示irace）设备接口逻辑端口I地址设备接口/逻辑端口地址S5Aintvla 10111001S352Atvlan 10101.1002653t vlan 10101.100.5S26Cintan 10110.100.6503Ait v

17、n 020.1.00.9S32CCnt vl 101101.100.10503Ain an001.10013S26CDint vl 01101.10.14S65Aint van101.1.10.17防火墙1AN 口10.10018S503Ailan 1511100.21IDS 10.102265Ain van0610.100.38Ent G0/11.1.10.26S6503Aint vlan 70.100.29R680EBtG0/110.100.3S603it Virtulemte 10.1.1033S6503Bint irt-Tmplae10.100.34650Bin an 101.1101

18、1S36CAint vlan 1021.1012603Bint la 10110.101.5S26CBtvln 100.11.S60Bi van 10210.1019S3526CCintvlan12101.101.0S503Bin vn1311.113S352Cint vn 10210.1.10.14S0Bnt ln 1010.101170Ain G0/1.01.8S6503Bint vla1051.1.101.21R380Bint G/0.01.22五、关键技术的实现5.1、核心层的两台03交换机实现端口汇聚，增加S6503A与S503B的互边链路的带宽,并且能够实现链路备份。5.2、在核心

19、层的两台S650交换机创建VAN,启用GVRP协议。5.3、银行总部各部门汇聚层交换机356C划分各部门LAN,同时启用GVR协议。在部门交换机上启用GVRP协议,并把端口划分到相应的VLN。.4、银行营业网点与银行总部网络通过N专线连接。5.5、在DDN接入路由器360E上做策略路由;正常情况下:当数据来自营业网点1至营业网点时，把数据向S53A发送；当数据来自营业网点6至营业网点10时，把数据向6503发送。当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。 5.、对银行营业网点与银行总部网络用IN做备份链路。5.7、在SDN接入路由器R3680EB上做策略路由；正常情况下:当数

20、据来自营业网点至营业网点时,把数据向S6503A发送;当数据来自营业网点6至营业网点10时，把数据向S603发送。当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。 58、在核心层的两台S35C交换机上启用VRR；VLAN至LAN7的数据在正常情况下网关指向26,当S356CC出现异常时VAN2至VA7的网关自动指向S356C;VLA至LAN4的数据在正常情况下网关指向S526C，当S526CD出现异常VLA8至VA4的网关自动指向S3526CC。实现核心的负载均衡和避免单点故障。六、 方案特点6.、业务接入一体化;即：Quiway R368E系列路由器网点解决方案可以综合实现IP、

21、IPX、SNA等多协议接入,一体化接入AM终端、哑终端、智能终端、O以及IP语音等等。 6.2、网络安全一体化；通过Qudwy 60设备直接提供的多种二层、三层的PN技术,例如:PTP、TP、GRE、IPSEC、IKE等等，数据加密方面提供MD5、SHA、DES、3S以及硬件序列加密卡等的支持,使得所有加密和VN功能可以集成到一台路由设备上完成,不再需要添置加密机等设备，网点成本更低，同时安全性、可管理性更强，同时对应VN以及加密需求。6.3、链路备份一体化；华为公司VRP网络操作系统专有的BCKUCTERM (备份中心)技术，可以实现广泛的备份功能支持,可以实现物理链路之间、逻辑链路之间、物

22、理链路与逻辑链路之间、以及设备间备份，保障网络的高可靠性。华为Qudiwa 综合网点解决方案提供拨号备份功能的同时，支持配置CLL BAC功能，从而使得解决方案整体安全性更上一层楼。 第三章产品选型分析一、设备清单项目产品描述数量一、银行总部设备1.1、核心交换机.1103Qdway S6503高端多业务交换机21.1.2iSlin IiSalience I型交换路由处理板21.1S-65-GT220端口1100/1000BST千兆以太网业务板(LS-60GT20)21.2、汇聚层设备1.1S326iday S352C千兆三层交换机412.0Bas- 0ase-T模块412.R60E-RPS3

23、80E-S模块化中心路由器,21.T-2SA2端口同异步串口模块5.2.5100BaeT1端口00BaeT模块2126RT-4BS端口SDNI模块31.500Fuiwy SPh 50F防火墙11.2810Fuidw Seath 10F 防火墙.2.D200Quiwa ScEngin 211.3、接入层设备.S202CSQuidwy S226C-SI可堆叠以太网交换机203.堆叠模块堆叠模块1413.3S1208Quidway S108千兆以太网交换机二、营业网点设备21 Inenet接入路由器2.1.1AR28-09Quidwa AR 28-09B智能业务分支路由器102.1.2SI-SSIC

24、-1（高速同/异步串口智能接口卡)10.1.3C-2BSIC-1/BS（SDN-S口智能接口卡)102.1.S206CSuiway 26-I可堆叠以太网交换机二、产品选型分析4.2.、idwyS50高端多业务交换机uiday S650系列高端多业务路由交换机是华为3om公司面向I城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机或城域网汇聚层交换机。Qudway S65能够为数据中心提供超高速链路,打造低成本、高性能、具有丰富业务支持能力的高性能网络。uidy 65提供大容量、高密度、模块化的二、三层线速转发性能,同时具有丰富

25、的业务功能、强大的Q保障、完善的安全管理机制和电信级的高可靠设计,完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。Quiday S50系列高端多业务交换机的特点可以用一句话来概括：“多快好省、高而不贵”。“多”:产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。引擎规格多:基于新一代ASIC技术的Salience 系列交换路由引擎将2/3/4线速转发与丰富的QS、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。5提供系列化的引擎,可以根据用户的需求在系列化机箱上进行灵活配置。接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供

26、0m-100m可选择的传送距离；提供4口/单板-48口单板的接口密度;提供多种组合接口板,全面满足客户需求。快:采用先进体系结构设计，交换容量高达768G，支持新一代万兆线速接口,提供网络高性能。先进的体系结构:S650采用全分布式体系结构设计，采用功能强大的ASC芯片进行高速路由查找,并通过Crosbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。好:支持强大的Qo能力和精细化用户管理,高可靠、高安全设计，采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的QoS能力和精细化用户管理：每端口支持8个硬件队列,带宽控制粒度可达64K；强大的用户管理、认证计费功能支持；支持CAM(综合访问控制管理服务器)系统,提供专业用户管理、计费解决方案；内置IEE 2.x认证服务器功能。内置DHCSRVER功能。完善的安全机制:支持标准adius协议,同时提供Raiu功能；支持ACAS+协议;HM(华为可控组播管理协议）功能支持;保证对用户的精确认证。支持SS V1/2。基于最长匹配的路由方式,保证了所有报文均获得相同的转发性能,对“红码病毒”和“冲击