《商业银行业务网络建设项目方案建议书》由会员分享,可在线阅读,更多相关《商业银行业务网络建设项目方案建议书(107页珍藏版)》请在金锄头文库上搜索。
1、商业银行业务网络建设项目方案建议书目 录一、系统设计、网络方案21.前言22.概述33.银行网络规划44.网络Qos规划105.网络安全规划14二、系统框架设计图、网络拓扑图18三、产品技术规格设计211.H3C S7500E系列高端多业务路由交换机212.H3C S5500EI系列增强型IPv6万兆交换机283.H3C SECPATH U200-M防火墙354.MSR 50系列多业务开放路由器375.H3C S5120-EI系列IPv6智能弹性交换机45四、所用的产品环境52五、服务的期限和内容531、技术支持服务内容602、服务产品663、岗位责任754、CASE处理流程775、备件策略及
2、RMA流程816、客户满意度调查837、文档管理85六、产品详细清单86七、相关成功案例介绍901.H3C产品市场占有率902.H3C金融数据中心典型应用903.H3C金融骨干网/园区网典型应用101-107-一、 系统设计、网络方案1.前言文档目的随着国内银行信息化发展的推进,从上世纪八、九十年代开始的会计电算化、电子联行到近几年的数据大集中,揭开了金融行业核心网络安全建设的序幕。伴随着数据集中的IT集约化、精细化转变,以及银行业务跨越式发展和核心竞争力的极大提升,业界掀起了金融行业核心网络安全建设的浪潮。银行核心网络的安全性问题是现在银行信息化面临的最为严峻的挑战。一旦各分/支行核心网络发
3、生安全事故,受到影响的将是所覆盖范围的分支机构和几乎所有业务。因此,银行核心网络的安全保护工作也就显得尤为重要。本文档是某商业银行(以下简称:银行)根据自身网络建设标准和要求,结合银行目前网络的现状,考虑未来本行业务的发展趋势和面临的安全挑战,编写的网络安全建设解决方案。本方案在保护现有投资的前提下,也考虑到了后期网络发展的需求,在提升网络运维性能和安全防范的同时,最大限度兼顾银行当前已有的网络资源。文档适用人员本文档主要面向负责银行网络设计和实施的设计人员、应用部门、维护人员及服务商的项目实施小组成员,为项目组完成本次网络安全建设提供建议。文档内容范围本文档设计基于银行IT及基础设施规划,涵
4、盖了总行外联业务区、分行网络、支行广域网接入等方面的详细设计,其中包括:l 网络总体规划l 总行外联业务网l 分行网络l 总行办公核心升级 2.概述网络现状银行成立于2006年,现已发展成为由民营企业、自然人和内部职工共同持股、拥有一千多名员工的股份制商业银行,营业网点基本覆盖。银行网络放置了网络、计算、存储等各种资源,数量庞大、管理复杂,参考各设备制造商在金融行业长期的最佳实践,银行拟利用模块化的设计思路,采用分区、分层、分级的设计方法,实现数据网络逻辑功能的模块分区设计。这种标准化的数据网络架构层次清晰,能够实现银行数据网络高可靠、高性能、易管理、易扩展的目标。需求分析在银行当前网络中,分
5、行尚在建设中,计划打造全新的网络架构,同时接入总行;台州本部网络由于建设较早,业务外联区需要进行新的整合,办公网核心交换机老化严重,维护压力和维护成本较高,需要进行升级。 业务外联区在总行建立新的业务外联区,通过专线连接合作伙伴,为合作伙伴外联服务。 分行网络分行网络分为办公网和生产网,两套网络物理隔离,均属于新建网络。 总行办公核心升级当前的办公核心交换机老化现象比较严重,已不能满足日益增长的业务需求和发展势头,需要进行升级更换。 3.银行网络规划银行中运行的业务系统比较多,重要性也非常高,各种应用系统的投入运行,信息网络系统安全越来越直接的影响到企业的生产、经营及金融、资金的稳定与安全,与
6、经济效益和社会利益也越来越紧密的联系在一起。此外,由于银行系统业务的特殊性和实时性,信息网络系统的任何间断和失误都可能给用户带来不可挽救的损失,可以说,信息网络系统的安全非常重要。因此如何设计一个高效的,经济的,风险最低的安全网络信息系统已成为银行亟待解决的重大问题。银行业务外联区银行内部生产网络与外部机构(如监管部门、银联、券商等)进行通信时所必需经由的网络平台,称为业务外联区。当前与银行进行网间互联的机构主要包括:银监会、人民银行、银联、海关、部分券商,以及其它业务合作单位等。以下为银行总行新的业务互联区拓扑架构。由于业务外联区主要是与一些第三方机构进行网络互连,应充分满足可靠性和安全性要
7、求 :网络层面: 杜绝单点故障:采用双设备、双线路。 独立的外联设备,包括使用单独的以太网交换机,防火墙,路由器网络设备。安全层面: 必须在内、外网之间应设置专用的防火墙 。 如条件许可,实现“双层、异构”的防火墙部署模式 (核心交换机上部署防火墙插卡并设置专门的外联功能分区 )。本方案中,建议采用杭州华三通信技术有限公司生产的高性能H3C MSR5060路由器、S5500EI千兆三层交换机、S5120EI千兆二层交换机、SecPath U200防火墙组建业务外联区。其中,MSR5060提供丰富的多接口的第三方接入;S5500EI作为DMZ区服务器网关设备;S5120EI作为外联交换机使用,将
8、路由器与防火墙进行串接;SecPath U200用于对整个外联区进行安全防护。分行网络分行网络可划分为生产网和办公网两张物理分离的网络。整体网络框架规划如下:生产网生产网可分为核心交换区、广域网接入区、服务器接入区、功能互联区、第三方接入区、用户接入区等。具体拓扑如下:l 核心交换区核心交换区作为分行生产网的核心,连接不同的功能区域,实现数据的高速转发。由于性能是该功能区最关键的因素,所以建议使用高性能的S5500EI三层交换机,并且在核心交换机上要避免使用那些可能会影响处理速度的访问列表定义l 广域网接入区广域网接入区由核心骨干网路由器构成,建议采用多接入端口的MSR5060路由器,提供上下
9、级分行之间的互联互通。l 服务器接入区生产服务器接入区采用两台稳定的高性能的交换机S5500EI和四台S5120EI构成,每台S5500EI都与两台核心交换机三层互联,采用千兆光纤连接。同时,为了增强服务器区的安全性,在S5500EI上侧挂两台SecPath U200防火墙,对生产服务器进行全方位的安全防护。l 第三方接入区第三方接入区所涉及的业务主要是中间业务等外联前置系统,当前规划中放置两台三层交换机S5500EI。l 广域网接入区广域网接入区采用两台稳定的高性能的交换机MSR5060构成,与两台核心交换机通过千兆光纤三层互联,行成一个口字形连接。同时,MSR5060上配置冗余电源、高密度
10、的广域网串接口等。l 用户接入区用户接入区由两台S5500EI交换机及一部分楼层接入交换机构成,两台S5500EI通过千兆光纤上行连接到核心交换区。l 功能互联区功能互联区采用三级架构,首先通过两台S5500EI通过千兆光纤上行连接到核心交换区,然后下挂两台SecPath U200防火墙,防火墙下面再挂两台S5500EI千兆三层交换机。办公网办公网和生产网的架构非常相似,也可分为核心交换区、广域网接入区、服务器接入区、功能互联区、第三方接入区、用户接入区等。l 核心交换区核心交换区作为分行办公网的核心,连接不同的功能区域,实现数据的高速转发。由于性能是该功能区最关键的因素,所以也建议使用高性能
11、的S5500EI三层交换机,并且在核心交换机上要避免使用那些可能会影响处理速度的访问列表定义。l 广域网接入区广域网接入区由核心骨干网路由器构成,建议也采用多接入端口的MSR5060路由器,提供上下级分行之间的互联互通。l 服务器接入区办公服务器接入区采用两台稳定的高性能的交换机S5500EI和四台S5120EI构成,每台S5500EI都与两台核心交换机三层互联,采用千兆光纤连接。同时,为了增强服务器区的安全性,在S5500EI上侧挂两台SecPath U200防火墙,对办公服务器进行全方位的安全防护。l 第三方接入区当前规划中放置两台三层交换机S5500EI。l 广域网接入区广域网接入区采用
12、两台稳定的高性能的交换机MSR5060构成,与两台核心交换机通过千兆光纤三层互联,行成一个口字形连接。同时,MSR5060上配置冗余电源、高密度的广域网串接口等。l 用户接入区用户接入区由两台S5500EI交换机及一部分楼层接入交换机构成,两台S5500EI通过千兆光纤上行连接到核心交换区。同时考虑到办公网需要严格控制交换机的接入,因此需要考虑基于交换机端口控制的端口准入控制技术(EAD)配合相应的客户端软件实现对接入的增强,当前交换机需预先支持此类功能。l 功能互联区功能互联区采用三级架构,首先通过两台S5500EI通过千兆光纤上行连接到核心交换区,然后下挂两台SecPath U200防火墙
13、,防火墙下面再挂两台S5500EI千兆三层交换机。办公核心升级对于银行总行来说,办公核心交换机必须要有较高的性能和先进的架构。本次推荐的核心交换机S7506E-S具有分布式转发模式、引擎切换零丢包和在线热补丁等特点,其交换容量为768G、转发性能为488M。考虑到下联区域需向21个支行及近三十个自助银行提供接入,对设备性能及稳定性要求极高,S7506E配置的引擎为Salience VI-Turbo交换路由引擎,有着128K的MAC地址表和128K的IPv4路由转发表。4.网络Qos规划数据的分类目前银行的数据主要可分为业务类、办公类和监控类三种。其中,业务类主要是与柜面业务密切相关的业务,如储
14、蓄、会计业务、外接在线业务和Internet在线服务等,运行的均是银行最重要的数据,必须重点保证。监控类数据主要是配合业务运行的,在业务运行的同时,必须保证监控数据的稳定传输。办公类数据主要为一些行内的OA、Internet信息服务、外部管理信息交换办公服务,是可以在Qos中最后考虑的数据。QoS实施策略根据这些数据类型及特点,为建立统一的QoS策略,简化QoS配置,采用的QoS策略如下:数据优先级标记的设置通过Policy-Based Routing实现;拥塞避免机制采用WRED- Weighted Random Early Detection实现;队列输出管理机制采用CBWFQ- Clas
15、s Based Weighted Fair Queuing实现。带宽控制机制采用CAR- Committed Access Rate实现针对典型的银行的应用情况,可以把需要使用QOS的各种应用划分为3类:1) 业务:这类数据的特点是交易包长度固定,交易时限要求实时,上下行数据流量基本对等,因为是网络中的关键应用,所以定义为最高优先级;2) 监控:这类数据的特点是数据流量大,网络要求实时性不高。但由于配合业务运行,所以应定义为次高优先级;3) 办公:这类数据通常对网络实时性要求不高,可以把这类应用定义为最低的优先级。拥塞管理与拥塞避免数据包被设置IP优先权后,通过路由处理被送到相应的端口等待传输。为实现QoS控制,数据包将根据它的IP优先权值被送入不同的队列,按照WFQ设定的策略进行传输。但假如网络拥塞造成排队数据包超出缓存,所有的数据包在进入队列前就都会被丢弃,QOS的控制就无从谈起,所以在排队数据包超出缓存前就应进行拥塞避免机制的控制,而WRED技术则可根据IP优先权丢弃数据包。因
