北京华夏银行网络升级方案.doc

华夏银行总行总行与海关的业务网升级万案、网络的现状华夏银行与海关现运行的专线网络，其具体的网络拓扑如下图所示:海关本地口口口口 口口 OQD口口 ServerServerT tag 银行本地图例图例快速以太网/以太网专线快速以太网以太网专线1 现网络情况如下：网络需本地的SERVER与海关的SERVER进行数据共享、通信。考虑到服务器的安全，银行本地SERVER通过防火墙上联到路由器。 总行与海关间连接通过高速稳定的专用线路进行连通。 其具体的 IP 编址方案与现状配制如下： (1).CISCO 2621XMConfigno ip domain-lookup enable secret cisco line console 0 login password cisco exec-timeout 0 0line vty 0 4 login passowrd ciscointerface serial 0/0ip add no shinterface fa0/0ip add duplex fullspeed 100 no sh ip route (2).其 SERVER 为一个私有的地址( )，通过防火墙进行 NAT 转换成为一个 透明的地址，这样 SERVER 只将某个服务通过透明地址对外公布，有效的防止非法 数据流的入侵 ，对 SERVER 起到决对安全的效果。、网络架构原则 网络设计的体系结构 网络系统设计的体系结构， 是构建最佳网络的第一步， 决定体系结构就是决定整个网 络系统所采用的协议栈；我们采用目前应用围最为广泛，并事实上应用在 Internet/Intranet 标准的通信协议栈( TCP/IP )，作为构架整个网络体系结构的核心协 议。 网络系统的设计原则 在此标准的网络体系结构基础之上，我们设计网络的原则应遵循如下： 标准化、开放性采用成熟的标准化技术，具有开放性的标准；开放的技术；开放的结构；开放的系统组 件和接口。先进原则设计思想先进；软硬件设备先进；网络结构先进。高效、实用采用高性能、 稳定的网络骨干， 软硬件性能指标高， 性能发挥充分， 以关键应用为导向、 系统各个环节相匹配，总体平衡，使软硬件协调性能达到最佳。盲目地追求新技术，会 建成一个不稳定、不成熟产品的实验台，单纯追求高性能，只会带来难以承受的高额投 资，所以系统建设应采用成熟适用的技术，满足现有需求，并具有良好的可扩充性为出 发点。可靠、安全、稳定高可靠性、安全性，系统稳定可靠，使之具有极高的 MTBF （平均无故障时间） ，提 供容错设计，支持故障检测和恢复，可管理性强；为保证系统关键数据的正确完整， 不受外部和部的恶意攻击，应从管理制度、系统设计和系统实施的各个方面保证部 网络的安全性。网络灵活、平滑升级、扩展、 现有系统可以平滑升级、 扩展、使用灵活，重服务点需要 24*7 工作时， 并网络会有 较大的数据流出现时，网络设计时应有备份和负载的线路，能适应应用和技术的发 展需求。易于维护、易于管理三、网络缺点与改造目的以上是我们对网络架构的一个总体思想， 从银行网络的现状来看， 现已经是一个可 靠、安全、稳定的网络环境，其设计思想与系统安全设计已是现今流行的网络结构，但 考虑到此应用服务器的重要性， 此系统必须 7*24 不间断的运行， 保证高效的业务往来。 因此必须保证网络的实时畅通，对于网络现状来看，站点间只存在一条连接的线路，这 样如果此网络提供商对网络中心进行调整规划， 会大大影响我们站点间的业务往来， 现 今金融业的业务快速发展， 如果站点间有较大的业务量进行流通， 这时我们要保证网络 的带宽的可用性，防止流量过大使网络阻塞影响业务的往来。如上所看，现有网络仍然 面临一定挑战，需要进一步改造： 网络改造目标通过本次网络改造，我们主要达到一下目标： 在申请一条物理通信线路，对其现在的物理线路进行网络线路的备份。 根据其站点间的实际业务流量情况，可利用这条物理线路进行网络流量的负载。四、网络改造方案方案一改造后的网络拓扑图:口口由口口口口口 -00 匚_ 日口 口口 E3 口 口口 口 口 口口海关本地从拓扑图上可以看出，本次华夏银行中行网络的改造主要是新增加1条DDN线路，通过串口模块（2T）与另一家ISP进行连接。由于网络的防火墙不支持动态路由选择协议，所以网 络中不能使防火墙与两台路由器直连来对网络进行链路备份。我们采用HSRP（热备用路由器协议）技术对网络链路进行备份，这样防火墙与路由器之间需要添加一台交换机来与两台路由器相连，在两台路由器的以太网接口上启用一组HSRP，让左边的链路作为业务的主链路，右边的作为SERVER的备用链路。通过 HSRP设置跟踪业务的广域网接口，如发现业务主链路出现 故障，马上无缝地切换到右边的备份链路上，且当业务主链路恢复正常时再恢复过来（可以通 过抢占权力）。在具体实施时，我们尽量修改路由器的配置，最好不去修改防火墙、主机SERVER 等，如原有的缺省网关，将它作为HSRP的虚地址，具体配置如下：华夏银行总行-海关路由备份配制（专线）（解决方案一）CISCO 2621XM-Config（两台）活动路由器（左）CISCO 2621XM-Configno ip doma in-lookupen able secret cisco line con sole 0logi n password ciscoexec-timeout 0 0 line vty 0 4loginpassowrd ciscointerface fa0/0ip add duplex fullspeed 100no ip redirects(0000.0c07.ac2f)standby 47 ip standby 47 priority 200standby 47 preemptstandby 47 track 180 no shinterface serial 0/0ip add no ship route 备用路由器(右)CISCO 2621XMConfigno ip domain-lookup enable secret ciscoline console 0loginpassword cisco exec-timeout 0 0line vty 0 4loginpassword ciscointerface fa0/0ip add duplex fullspeed 100no ip redirects（另一网段）（另一网段）方案二改造后的网络拓扑图:OO _Q 口口口口 口 ana n口 a 口口口 DDO HDDOServerServer海关本地从拓扑图上可以看出， 方案二也新增加1条DDN线路，通过串口模块（2T）与同一家ISP 进行连接。由于实现备份技术的不同，我们只在原有的设备基础之上，用另一个串口来接入一 条专用线路，不需要在进行其它设备的添置，我们采用浮动路由与备份接口的技术，对网络进 行备份和数据流的负载，当业务主链路出现故障，会立即切换到指定的备份接口的链路上（根 据设置的时间值），且当业务主链路恢复正常时再恢复过来（根据设置的时间切换值）。根据网络的实际情况，我们可以采用备份接口的技术实现大流量的网络负载（根据指定的阈值），当网络流量低于一定的阈值时，我们可以用主线路进行传输，在具体实施时，我们尽量修改路由器 的配置，最好不去修改防火墙、主机SERVER 等，原有的缺省网关将不变为网络现状地址，具体配置如下：华夏银行总行 海关路由备份配制（专线） （解决方案二）CISCO 2621XMConfigno ip domain-lookup enable secret ciscoline console 0 login password cisco exec-timeout 0 0line vty 0 4 login password ciscointerface fa0/0ip add duplex fullspeed 100 no shinterface serial 0/0ip add backup interface serial0/1 delay 0 40backup load 60 10 no ship route interface serial 0/1ip add 另一网段 ）no ship route ip route 另一网段 ）