目 录 1. 前言 11.1. 编写目的 11.2. 背景 11.3. 定义 11.4. 参考资料 22. 网络改造目标 33. 需求分析 43.1. 数据集中的需求 43.2. 业务隔离需求 43.3. 灵活的接入能力 43.4. 可管理性要求 43.5. 安全性要求 53.6. 网络带宽需求 54. 网络系统设计 64.1. 二级骨干网结构设计 64.1.1. 与一级骨干网的连接 74.1.2. 与内部局域网的连接 74.1.3. 与接入网的连接 94.2. 通信线路的选择和规划 114.3. 非IP网络协议的过渡 114.3.1. SNA 114.3.2. BNA 165. 路由设计 175.1. 路由协议概述 175.2. 骨干路由 175.2.1. 模式一 185.2.2. 模式二 195.3. 接入路由 196. IP规划 206.1. 一级地域互联IP地址规划: 206.2. 二级地域互联IP地址规划 216.3. 二级骨干网络各种应用系统IP地址的规划 216.4. 二级分行路由器LOOPBACK地址 216.5. 二级分行路由器直联网段的地址 227. 可靠性设计 237.1. 设备备份 237.2. 线路备份 237.2.1. 情况一:正常情况 247.2.2. 情况二:主链路故障 257.2.3. 情况三:主、副链路故障 267.2.4. 情况四:路由器1以太网(业务)故障 277.2.5. 情况五:两台路由器以太网(业务)故障 277.2.6. 情况六:一台交换机故障 298. QOS设计 308.1. 业务分类及特点 308.2. QoS实施策略 318.2.1. IP优先级 318.2.2. 拥塞避免机制―WRED 338.2.3. 队列管理机制――CBWFQ和WFQ 338.2.4. 带宽控制机制-CAR 348.2.5. SNA的QoS 349. 网络安全设计 359.1. 对网络设备和服务的保护 359.2. 对应用系统的保护 35中国建设银行二级骨干网络改造 详细设计方案第41页,共37页1. 前言1.1. 编写目的编写本方案的目的是为二级骨干网络改造项目的实施提供指导性的方案和规划,主要包括路由设计、不同协议接入的设计、接入设计、IP规划、网络安全等内容。
1.2. 背景本方案是在总体设计方案的基础之上,根据二级网调研、测试和试点的结果编写的1.3. 定义为了便于理解避免混淆,对本方案中的关键词语解释如下: 网络结构按网络的组建、运营、管理和维护的责任地理区域,可分为一级骨干网、二级骨干网和接入网一级骨干网:由设置在总行和一级分行的节点组成,它提供省间的通讯业务,由总行至各一级分行的网络组成二级骨干网:由设置在省内的节点组成,它提供本省内长途通讯业务,由各一级行至下属二级分行的网络构成接入网:地区范围内的节点组成由地区所辖各类业务网络接入组成骨干传输部分:整个网络的广域网骨干结构部分,负责实现高性能、高可靠性、高速数据交换和转发功能;本文是指一级骨干、二级骨干接入服务部分:为最终用户提供对网络的接入,完成用户入网接口由各层节点处的本地局域网接入、我行网络最末端的各营业网点和分支机构广域网接入、外部网络和Internet接入等组成,完成业务系统之间的隔离、互通、安全性控制等1.4. 参考资料《中国建设银行骨干网络优化建设总体设计方案》《中国建设银行一级骨干网网络设备招标:附件3 项目技术方案和实施计划》《中国建设银行网络系统IP地址和域名分类编码规范》《中国建设银行骨干网络改造项目二级网调研报告》《中国建设银行骨干网络改造项目二级网测试报告》《各分行IP地址的调查报告》《“全行网络状况的通知”各行上报统计》《企业内部网物理网络技术手册》《中国建设银行一级骨干网络改造详细设计方案》2. 网络改造目标按照《中国建设银行骨干网络优化建设总体设计方案》的设计要求,本次二级骨干网络改造的目标为:n 完成各一级分行城市综合业务系统、清算系统、企业网系统以及其它相关应用系统在二级骨干网的切换上线;为在各行综合业务系统数据集中过程中提供网络技术保障。
n 完成二级骨干网络路由器设备及通讯链路的整合n 完成二级骨干网络的路由策略、设备和链路的备份策略、QOS机制、安全策略等,与一级骨干网和各行接入网融为一体,实现整个网络的互通与控制n 为我行数据、语音、视频三网合一打好技术基础n 建立全行统一策略的网络管理系统n 按照总行新制定的IP地址标准,完成IP地址的统一3. 需求分析3.1. 数据集中的需求应满足一级分行数据集中的需要,并在三年后能够满足全行数据集中的需要因此,网络骨干需具有高通信效率、高稳定性、高可靠性和可伸缩性,适应拓扑结构的变化3.2. 业务隔离需求根据业务特点和重要级别,不同业务之间会有相互隔离的要求,可以为不同的业务或应用系统分配不同的IP网段,并在各网段之间实现业务的隔离如我行业务系统可划分为清算网段、龙卡网段、网上银行网段、办公自动化网段、外接业务网段、Internet服务网段、语音网段、视频网段等,明确各类业务的优先级,从而在逻辑上将各类业务分开,并保证其可靠传输3.3. 灵活的接入能力未来银行将成为个人、企业的结算机构,保险公司、证券交易机构等都将同银行互联银行的变革实质是从千家万户进入银行向银行进入千家万户的转变,为此需要我行网络为客户提供灵活的接入方式,提供多样化、个性化的金融服务。
3.4. 可管理性要求网络的安全稳定运行离不开有效的管理,在设计时就要求充分考虑网络的可管理性,要求能实现对所有骨干设备的管理为便于管理,采用两级网管模式,集中监控、分权管理,即总行建立网管中心,统一调度一级网资源,一级分行建立网管分中心,管理所属机构网络,形成覆盖全行的分布式网络管理系统采用先进的网络管理平台,将来可以平滑地实现从网络层到应用层的管理3.5. 安全性要求要制定全网统一的安全策略,确保各类业务在网络上的安全3.6. 网络带宽需求二级骨干网的带宽需求,以日均交易量5万笔的二级分行为例计算,二级分行到一级分行的带宽趋势如下(单位为Kbps):4. 网络系统设计4.1. 二级骨干网结构设计二级骨干网以树型结构为主,遵循骨干和接入逻辑分离的原则,确保网络上下能够完全贯通,为数据大集中做好准备,并具有较高的可靠性二级骨干网从结构上看如下图所示: 二级骨干网络结构同样遵循一级骨干网的原则,即一级分行和二级分行之间使用两条广域网主链路传输数据,其中一条为业务主链路,另一条为管理主链路,两条链路互为备份,分别采用不同电信运营商的线路,另外还有一条拨号链路作为备份链路4.1.1. 与一级骨干网的连接原则上应在一级网的路由器上增加连接二级网的端口模块,使分行一级骨干路由器既连接一级网,又连接二级网。
4.1.2. 与内部局域网的连接二级网与内部局域网的连接从物理上来说,如下图所示:在一级分行配置了(或者已有)两台三层交换机,每台路由器同时与两台交换机连接(除拨号备份路由器外); 在二级分行配置两台二层交换机,这两台交换机支持802.1Q或者ISL VLAN Trunk协议,每台路由器同时与两台交换机以Trunk连接(除拨号备份路由器外)一级分行路由器与交换机的逻辑设计参见《中国建设银行一级骨干网络改造详细设计方案》二级分行路由器与交换机的逻辑设计如下图所示: 路由器和交换机之间所有连接采用Trunk,图中的F0.1代表路由器上第一个快速以太网物理端口上的1号子端口,F1.10代表路由器上第二个快速以太网物理端口上的10号子端口,在配置时需要将物理端口根据实际情况定义 图中,所有的F0.1和F1.2分别定义为路由器之间传递路由的网段1 (LAN_A)和网段2(LAN_B),二者路由优先级相等,并比其它网段的路由优先级高 定义主路由器1的F0为营业类数据的主用网卡,F1为管理类数据的备用网卡;定义主路由器2的F0为管理类数据的主用网卡,F1为营业类数据的备用网卡;定义备份路由器的F0为业务类数据的备用网卡和管理类数据的备用网卡。
主路由器1的F0.10、主路由器2的F1.10和备份路由器的F0.10都定义为总行所属的营业网段1,配置HSRP,优先级依次为150、120、90主路由器1的F1.11、主路由器2的F0.11和备份路由器的F0.11都定义为总行所属的管理网段1,配置HSRP,优先级依次为120、150、90如上图所示,骨干路由器和骨干交换机之间定义了专门用于数据转发的网段、总行推广的营业系统网段、总行推广的管理系统网段,在二级网上还应定义各分行城综网应用网段,各分行应根据实际情况定义相应的子接口、HSRP、IP地址等参数,例如子接口为:F0.20、F0.21等4.1.3. 与接入网的连接接入网指三级网,包括县(区)级支行、储蓄网点以及相应的局域网络如图所示,对于省分行接入网,采用分离模式,即在省分行局域网用单独的路由器负责同城网点的接入在二级分行设计中,根据接入网点数量、业务量大小、原有设备情况等条件,接入方式主要可以参照两种模式:模式一:共用模式,即在二级分行骨干路由器在上连一级分行同时,还负责连接接入网,充分发挥骨干网络设备的接入能力,保护设备投资;模式二:分离模式,即二级分行骨干路由器和二级分行的接入路由器分离,采用专用设备负责连接接入网,该设备再通过局域网(或广域网)连接二级分行的骨干路由器。
在技术上能够实现、可满足应用需求的前提下,要充分考虑原有设备的利用,本着降低成本的原则选择接入网的模式4.2. 通信线路的选择和规划原则上一级分行和二级分行之间应具有三条链路:主链路、副链路和拨号备份链路主、副链路应以FrameRelay、DDN或E1为主拨号备份链路采用PSTN或者ISDN依据骨干网络改造总体设计方案的原则,主链路和副链路要求采用不同的物理路由接入,可选择不同电信运营商的线路,一般情况下,不建议采用无线或卫星线路主链路主要用于清算、龙卡、网银、债券等营业类数据的传输;当副链路出现故障时,可以有限制地用于管理数据的传输副链路主要用于IP、WWW浏览、办公自动化、信贷、人力资源、NOTES、电子邮件等管理系统数据的传输,当主链路出现故障时,可以用于营业类数据的传输备份链路当主链路和副链路都出现故障时,用于营业类数据和部分管理信息的传输4.3. 非IP网络协议的过渡在总体设计方案中已经明确规定网络改造的目标是要建设以IP为基础的骨干网络,因此对于现存的具有IBM大机、AS/400以及Unisys A机的分行,现有的SNA、BNA等协议要过渡到以IP为传输协议,与总体目标保持一致,对于不具备过渡条件的分行要逐步进行改造。
4.3.1. SNA在SNA网络环境中,利用DLSw等技术完成主机与网点之间的SNA通讯SNA数据可封装在IP包内,通过IP网络在路由器之间传输, 再通过SDLC、QLLC等技术与SNA的终端系统连接,原来的应用系统不需要做改变 采用DLSw+的SNA接入方案设计如下图所示: 如上图所示,业务网点终端首先连接到本。