集成方案建议书

第五部分集成方案建议书
5.1、现状概述 (3)
5.2、需求分析 (4)
5.2.1、广域网线路需求 (6)
5.2.2、网络设备需求 (6)
5.2.3、系统集成需求 (7)
5.2.4、网络安全需求 (7)
5.2.5、路由协议需求 (8)
5.2.6、QoS需求 (8)
5.3、网络设计的原则 (8)
5.4、系统集成方案 (9)
5.4.1、项目建设步骤 (9)
5.4.2、网络建设规划 (16)
5.4.3、路由协议规划 (18)
5.4.4、安全措施规划 (19)
5.4.5、QOS规划 (21)
5.4.6、IP地址规划 (23)
5.4.7、网络管理 (23)
5.4.8、冗余性规划 (24)
5.4.9、CWDM技术 (25)
5.4.10、其他技术建议 (31)
5.1、现状概述
内联网是人民银行系统内部业务网络的简称。

它是人民银行主要的办公网络，承载着人民银行内部的一切办公业务，例如ABS、TBS、OA、Notes（省内）、帐户管理、公文传输（省内）、视频会议、调查统计、货币金银管理、货币发行、业务处理等十几个重要的业务系统，属于湖北省人民银行系统的数据中心，它的核心网络设备是武汉分行的下联Cisco7507和Cisco7304路由器。

它们分别采用2条以太网线路上联7507和7609骨干路由器；2条和1条2M SDH线路下联市（州）中支的Cisco3640和H3C AR4640路由器；1条40M线路和3条2M SDH线路下联营管部。

两台7609路由器分别采用3条2M的SDH上联总行科技司和金电公司，分别采用1条2M的SDH线路下联南昌和长沙中支。

外联网是指人民银行内联网与专业行专用的、有控制互访的网络平台，承载着人民银行大多数的外联业务，包括大额支付、小额支付、帐户管理、征信管理、信贷查询、反洗钱、同城票据处理等几个重要业务系统，属于湖北省人民银行系统监管专业银行以及为专业银行提供服务的网络通道。

人民银行的各系统（CCPC和网间互联平台）通过营管部的支付和同城天融信防火墙分别连接2台Cisco7507路由器，经这2台路由器采用2条互为备份的2M SDH线路外联武汉的多家金融机构和非金融机构。

外联网上采用了严格的访问控制、路由过滤、高性能的防火墙、以及将外联服务器放置在DMZ区等手段，保障了我行省重要资金系统数据流的安全。

5.2、需求分析
随着前几年大小额支付系统，今年的票据影像系统及身份证查询系统的上线，人民银行网络的金融枢纽地位日益突出，特别是这几年的数据整合，系统及网络向总行、分行、省会集中，总行、分行及省会中支两级数据中心正在形成，分行及省会网络已成为整个社会的重要金融基础设施。

因此总行去年对人民银行网络规划做了一个大的调整，重点强调了人民银行网络按需求进行分离，加强安全可靠、稳定高效运行，规避风险，今年首先实现省级同城通信转接中心和省级内网建设。

虽然目前在武汉分行机房网络设备及线路都是热备，为人民银行各应用系统在湖北省范围内提供不间断的网络通信服务，但仍然存在单一网络中心发生重大火灾、所在区域通信线路大面积故障、电力中断、类似于911的恐怖袭击和地震导致的大楼爆
炸、坍塌等风险，因此迫切需要建立同城通信转接中心，将人民银行网络建设成为一个真正高稳定、高可靠、高性能的基础通讯设施，满足当前不断快速发展的人民银行业务通信需求。

同时根据国家电子政务网络建设要求以及《中国人民银行计算机通信网络总体规划》，人民银行计算机通信网络将划分为内网、外网、互联网和专网。

目前主要是将当前武汉分行的内联网隔离建设成为内网和外网。

内网是承载人民银行系统内部办公、业务应用的网络，不与人民银行系统外的任何单位进行网络互联。

外网是人民银行系统提供对外连接的网络，主要运行人民银行面向各金融机构及相关单位提供金融服务的专业性业务和不需要在内网上运行的其他业务。

进行网络划分的目的是为了更好的进行安全隔离，隔离内部应用与外部应用，重要核心系统与一般系统；满足国家电子政务网络建设的要求，加快人民银行计算机通信网络规划及建设工作，建立一个标准规范、安全可靠、统一高效的网络平台。

在进行内外网建设的同时将目前内外网广域网的联通、电信和网通的2M SDH线路割接到相应的STM1线路上。

A、同城通信转接中心
建立同城通信转接中心的目的是为应对湖北省数据中心存在的各类风险，提高湖北省数据中心抵抗风险的能力，保障湖北省城市分支机构及其辖区内各分支机构人民银行各项业务的顺利开展。

同城通信转接中心可以避免以下三大类风险：
1、整个数据中心大楼瘫痪，业务系统主机和网络系统全部瘫痪；
2、业务系统主（备）机瘫痪，而网络系统正常运行；
3、网络系统瘫痪，而业务系统主机正常运行。

建立同城通信转接中心，要将湖北省数据中心网络节点上联路由器和下联路由器
的备机迁移至营管部的同城通信转接中心，上联总行备份路由器的备份线路、下联辖内各市（州）中支备份路由器的网通和联通线路迁至同城通信转接中心与相应的备份路由器设备相连，同时将下联线路割接到STM1线路上；将营管部外联金融机构和专业银行的备份路由器及联通STM1线路迁至分行中心机房；在分行中心机房建设外联备份防火墙。

由于分行中心机房与同城通信转接中心分别位于江南和江北楼，它们之间通过租用裸光纤加波分复用设备来实现网络连接。

B、内外网建设
根据总行技术规范和要求对内联网进行分离为内网和外网。

内网是承载人民银行系统内部办公、业务应用的网络，不与人民银行系统外的任何单位进行网络互联。

外网是人民银行系统提供对外连接的网络，主要运行人民银行面向各金融机构及相关单位提供金融服务的专业性业务和不需要在内网上运行的其他业务。

内网广域网线路改造，将主线路割接到电信155M的STM1上，连接十二个市（州）中支和一个营管部。

5.2.1、广域网线路需求
1、需要在分行与营管部之间新租赁不同电信运营商的裸光纤4芯。

2、需要将原有内联网广域网2M SDH线路割接到155M CPOS上。

5.2.2、网络设备需求
1、需要为下联7507增加2块CPOS板卡，为7304增加一块CPOS板卡。

2、需要为营管部2台外联7507路由器增加以太网板卡。

3、需要为分行和同城通信转接中心的DMZ各增加2台交换机。

4、需要为分行和同城通信转接中心（设在营管部机房）间增加一套波分设备。

5、需要为这些设备增加网线、水晶头和光纤跳线。

5.2.3、系统集成需求
1、需要搬迁备份7609路由器到营管部
2、需要搬迁备份7304路由器到营管部
3、需要搬迁备份7507路由器到分行
4、需要安装总行下发的2台公共交换机
5、需要安装总行下发的2台内网核心交换机
6、需要修改现有核心交换机的配置
7、需要安装总行下发的2台同城转接中心交换机
8、需要安装总行下发的7609路由器
9、需要安装总行下发的楼层交换机、外联交换机、接入交换机、内容交换机等
设备。

5.2.4、网络安全需求
1、本项目是在生产网进行改扩建的项目，对原有业务系统应用的安全，需要充
分的保障，要做好项目实施前的准备和调研工作。

2、内外网建设时，核心交换机为独立的交换机，各自的局域网中，必须划分
VLAN；采用不同的IP地址段。

3、需要根据内外网业务修改原有内联网核心交换机上的访问控制列表，以适应
需求。

5.2.5、路由协议需求
1、新增的网络设备需要添加原有的BGP和OSPF路由协议。

2、内外网公用骨干网络资源，需要修改原有的策略路由。

3、增加外联交换机需要修改外联OSPF路由。

5.2.6、QoS需求
需要修改原有的QoS策略，采用内外网局域网标记，路由器上部署策略的方法。

5.3、网络设计的原则
为达到网络建设的目标要求，在网络建设中，应始终坚持以下原则：
高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。

标准开放性：支持国际上通用标准的网络协议（如TCP/IP）、国际标准的大型的动态路由协议(如BGP,OSPF)等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。

灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。

可管理性：对网络实行集中监测、分权管理，并统一分配带宽资源。

选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。

安全性：制订统一的全网安全策略，整体考虑网络平台的安全性。

可以通过各
业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网（subnet），相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。

统一标准、统一平台：网络的互联及互通关键是对相同标准的遵循，在网络中，由于有多个网络并存，要使这些网络能融合到一起，实现业务整合及数据集中等业务，就必须统一标准。

在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。

本系统涉及科技司、金电公司、清算总中心、武汉分行、市（州）中支、金融机构和非金融机构，网络建设应统一规划、分步部署、综合协调。

根据实际业务需求网络设计逻辑上继续延续了目前已有网络结构，采用按照行政机构组织模式和业务流程组网的方式，全网采用树型结构，实施起来比较容易，管理层次比较清晰。

5.4、系统集成方案
5.4.1、项目建设步骤
整体网络工程项目建设步骤如下：
1、整合营管部外联防火墙，并将整合后的支付防火墙直接与分行核心交换机连
接，修改支付防火墙内网口互连地址，并相应修改牵扯到这个地址的路由。

2、将营管部内联网上下联路由器整合为2台，将停用的7304用于本次项目建设。

3、安装调试公共交换机、内核心交换机和同城转接中心交换机，修改原内联网
核心交换机（现外网核心交换机）网络连接、网间网地址、路由和QoS等配置，以满足业务需求。

4、将下联7304路由器搬迁到同城通信转接中心，并将与其连接的线路割接到同
城通信转接中心的CPOS线路上。

5、下联7304稳定后，再将上联7609路由器搬迁到同城通信转接中心，并将其
线路割接到同城通信转接中心。

6、按照营管部同城通信转接中心的拓扑，建设分行外联区域。

7、将外网的核心业务在同城通信转接中心和分行机房间切换，满足备份要求，
完成项目建设。

下面对方案进行详细的描述。

5.4.2、网络建设规划
根据用户需求，经过我公司技术专家组讨论，建议先进行营管部防火墙和内联网的整合；然后再进行分行中心机房的建设，包括安装调试公共交换机和内网核心交换机、替换外联交换机和DMZ交换机、安装波分复用设备、调整网络设备的连接、割接下联7507路由器上2M的SDH线路到155M CPOS上；接着建设同城通信转接中心，包括安装调试同城通信转接中心交换机、DMZ及外联交换机，搬迁下联7304并割接2M的SDH路到CPOS上、搬迁上联7609并割接线路；最后进行分行机房外联部分建设，包括安装防火墙、DMZ及外联交换机、搬迁外联7507路由器并割接线路、迁移应用系统等。

5.4.2.1、内外网局域网建设
1、安装并调试总行下拨H3C 7506公共交换机。

新增两台H3C 7506交换机作为
公共交换机，承载来自内外网的所有业务，安装在下联路由器和内外网核心
交换机（原内联网核心交换机）之间。

2、将内联网核心交换机修改为外网核心交换机。

现内联网核心交换机Cisco6509
承载着内外网所有的业务，根据总行内外网分离的要求，将其下移为外网核
心交换机，将来之承载外网局域网核心交换机的作用。

3、用本次采购的LS-5100-48P-EI交换机作为DMZ区交换机。

4、本次工程将原有的内联网广域网2M SDH线路，割接到155M的CPOS线路
上。

5.4.2.2、分行中心机房建设
1、安装并调试总行下拨H3C 7506内网核心交换机。

为以后内外网业务分离考虑
总行下拨了H3C 7506交换机，作为内网核心交换机只用，它上联公共交换机，下联内网接入交换机。

2、用总行下发外联交换机替换现有外联交换机。

用总行下拨的外联交换机作为
外联防火墙和外联路由器间的热备冗余互联设备。

3、安装调试波分复用设备。

使用营管部与分行之间新租赁的4芯光纤安装调试
波分设备，满足16个业务系统（16个收发）的同城通信转接中心业务连接需
求。

4、调整优化网络设备的连接和访问控制。

由于内外网分离，调整原内联网访问
控制，满足最新的业务需求。

5、将下联路由器7507上的电信和联通2M SDH线路割接到各自的155M COPS
线路上。

6、安装调试总行下发的同城通信转接中心防火墙，并与营管部的外联防火墙配
置进行同步，承担起互为备份的要求。

7、将营管部外联7507搬迁到分行机房，并割接与其相连的线路。

5.4.2.3、营管部同城通信转接中心建设
1、安装调试总行下发的同城通信转接中心外联交换机和DMZ区交换机。

安装调
试防火墙外联和DMZ交换机，并与分行中心机房的设备配置进行优化，实现热备。

2、安装调试总行下发的同城通信转接中心核心交换机。

安装2台H3C 7506交换
机，与分行的2台外联6509交换机实现热备，路由等访问控制策略同步。

3、调整网间互联服务器。

4、搬迁7609和7304到同城通信转接中心，并割接与其相连的线路。

5.4.3、路由协议规划
为了使系统拥有一个安全、可靠、稳定、高效的信息交换平台，以及人民银行总行相关规范的要求，延用原有的路由协议规划。

采用OSPF路由协管理设备互联，采用BGP路由协议管理网络内部业务网段路由。

骨干网络路由规划延用原来骨干网的BGP路由协议不变，本次项目实施只是将内网10.32.X.X网段的路由通过下联7507和下联7304发布到BGP中，确保内网网络路由的正常；内网依然采用动态路由协议OSPF 100进程；外网依然采用动态路由协议
OSPF 118进程，路由完全由路由器动态自动选择路径，不需要由管理员进行干预。

5.4.4、安全措施规划
为了对业务系统的数据实施有效的加密或隔离，保障各项业务数据的安全。

建议采用局域网划分VLAN、部署ACL保障重要业务系统、采用防火墙进行数据包过滤、地址转换和部署DMZ区域等技术隔离来自网络外部的攻击、不同业务网络采用不同网段的IP地址。

5.4.4.1、在局域网内使用不同的VLAN隔离不同业务：
通过在局域网交换机上将不同业务划分至不同vlan内来实现业务在局域网内的安
全隔离。

在实现VLAN间路由之后，要控制两个不同VLAN间的部分业务不可访问，可基于二层的MAC地址进行控制，也可根据不同的业务需求设置以下三种不同VLAN 模式，对需要保护或限制访问的业务进行有效的逻辑隔离。

promiscuous VLAN (杂合VLAN)：可以与其它类型的VLAN互访。

Isolated VLAN (隔离VLAN)：只能与混合VLAN互访。

Community VLAN(社区 VLAN)：可以与混合VLAN，也可能与其它社区VLAN 互访。

5.4.4.2、访问控制列表实施各项业务的安全隔离：
通过在核心交换机上制定相应的访问控制列表，来限制具体业务的访问。

在路由器接口的in方向应用相应ACL，策略为源到目的permit（允许），默认策略为deny any (拒绝所有)。

5.4.4.3、部署防火墙安全隔离各区域
通过在外联防火墙上进行数据包过滤、地址转换和部署DMZ区域等技术，把武汉分行、CCPC、网间互联平台、金融机构和非金融机构有效地隔离成不同的网络，只允许必要的业务地址和端口进行通讯，严格的做好边界控制，有效防止黑客、非法数据流、病毒等具有强大破坏能力的数据进入人民银行核心网络，保障各业务数据的安全传输。

5.4.4.4、内外网IP地址段明显不同
由于人民银行内外网公用一个骨干网络传输数据，为了防止人民银行非常重要的
内网数据外泄以及外网非法用户入侵内网，采用内外网地址段明显不同的方法严格区分出来内外网。

内网用10.32.X.X网段，外网用11.32.X.X网段，方便做严格的地址限制。

5.4.4.5、内网部署加密设备
在每一个地市内网局域网的出口部署安全加密设备，保障内网数据在骨干网上传输的安全性。

5.4.4.6、建议采用MPLS VPN技术
目前骨干网络上已经采用了BGP路由协议，为了更好的保障数据的传输，可以利用MPLS VPN技术虚拟出来逻辑上分离的内网/外网，更好的保障数据的安全。

5.4.5、QOS规划
为保障系统中关键业务系统的服务质量，本次工程的QoS保障方案，是在从武汉分行内外网核心交换机上打QoS标记，在到各节点间的广域网路由器上部署QoS策略，确保网络上相关业务能够得到相应级别下的可靠、稳定的网络通讯服务（固定的线路带宽和通讯延迟）。

根据人总行的最新要求部署QoS保障方案，在广域网环境中（即路由器上），依据数据包（IPv4）包头中的ToS（type of service）字段所标示的优先级对不同业务数据进行不同级别的带宽保障。

QoS保障任务，分以下三步完成：
第一步：对通讯数据包进行QoS优先级标记
在各节点广域网路由器的入口处，配置不同的通信分类策略。

根据流入流出数据的所属网段、MAC地址、接口、IP地址、业务类型等不同特性中的一种或部分组合，对数据进行分类和标记，形成不同的通信类。

目前暂时将通信服务分为以下几类：
白金级别：为需要最高级别服务的通信类。

此类业务流量较大，同时要求严格的线路带宽和固定延迟保证，因此划分为白金级别，并通过有关技术限制其最大带宽占用量。

此类业务数据包的DSCP优先级被标记为46（相当于IP Precedence值5），广域网保障带宽为800kbps。

黄金级别：此类数据要求较高的线路带宽和延迟保证，实时性较强，符合此类要求的主要业务，数据的DSCP优先级被标记为34（相当于IP Precedence值4）,广域网保障带宽为256kbps。

白银级别：主要是指对实时性要求不高、主要进行月报、周报、日报的业务批量处理系统。

这类应用主要是各种单独的统计报表系统和镜像服务等。

应用本身对实时性要求不高，一般可于晚间进行，但是存在数据并发现象，要求一定的网络带宽峰值参数。

此类数据的DSCP优先级被标记为26（相当于IP Precedence值3）,广域网保障带宽为128kbps。

黄铜级别：利用内联网进行的各级机构站点的信息发布业务，不具有强制性，此类业务数据的数据的DSCP优先级被标记为18（相当于IP Precedence值2），广域网保障带宽为128kbps。

普通级别：其他通讯业务，以及利用内联网进行的个人通信业务，如网站浏览、个人资料查找等。

这些通讯具有随机性，由于属于非公务业务，因此划分为尽力而为、不被保障的通信业务，数据的DSCP优先级被标记为0（相当于IP Precedence值0），
广域网保障带宽为128kbps。

第二步定义QoS策略
在节点广域网路由器上，对应于上述第一步中定义好的不同数据分类，估算其所需要的线路带宽，从而定义出不同的QoS策略，确保各重要业务（如国库信息系统）数据流的网络带宽分配。

第三步策略应用
在各节点广域网路由器的每一个广域接口上，启用相关资源调度技术，实施前面所述的QoS策略。

5.4.6、IP地址规划
工程实施中，根据总行最新网络规划和《全国金融系统信息交换网规范（IP地址规范-4：地域级金融机构互连地址编码规则）》分配IP地址，分配时应注意广域网互连端口地址、资金系统业务、普通业务、个人业务网段地址的合理划分和使用。

设备互连IP地址采用/30位的掩码延用原有的设备互连网段的IP地址。

本次工程采用一期规划好的地址范围，各节点采用/28位的掩码。

内网采用10.32.X.X网段地址；外网采用11.32.X.X网段地址。

5.4.7、网络管理
此次所采用的网络设备均支持SNMP v1/v2c/v3，可以接受Open View等通用网管平台以的配置和管理，支持CLI命令行，Web网管，TELNET等多种方式对设备进行配置和维护，可实现对不同级别用户的认证、授权、服务策略的控制，以及安全日志的分析审计，提供记录攻击行为追踪线索，并进行事后的细致分析、策略规划重新下
发服务策略。

5.4.8、冗余性规划
网络的构建中，各网络之间的互通是最基本的要求，网上业务的不可间断性，对网络互联、运行的可靠性都提出了很高的要求。

因此，网络的可靠性设计、备份网络的建设，就显得尤为重要。

在此次同城通信转接中心及内网建设网络工程项目的网络方案设计中，我方结合现网实际，充分考虑网络设备以及链路的冗余性，大大降低了网络中由于单点故障带来的隐患。

5.4.8.1、备份组网技术建议
可靠的备份网络需要考虑：
1、设备的备份：消除设备单点故障，双机热备工作模式，保证网络及业务的不
间断性；
2、互连线路的备份：避免线路单路故障，提高网络路径冗余，线路应尽可能使
用不同服务商线路，并考虑异构线路，如ISDN/PSTN；
3、路由备份：自动选路和迂回，做到当某部分网络出现意外而发生通路切换时，
这些操作对上层业务主机是透明的。

5.4.8.2、设备冗余备份
各网络节点设备都担负着大量的业务，要进行网络中大量数据的传输和处理，因此，设备的冗余备份就显得非常重要。

在分行中心机房与营管部同城通信转接中心的所有单位采用双机热备，避免单一路由器故障带来的隐患，以切实保障及提高网络的
可靠性；对各节点的交换机采用冷备份方式（冷备设备各节点自行采购），当主设备出现故障时及时更换备份设备。

通过各种灵活的备份方式达到设备冗余备份的目的。

5.4.8.3、链路的冗余备份
武汉分行到总行（6条2M SDH）、南昌中支（2条2M SDH）、长沙中支（2条2M SDH）、市（州）中支（3条2M POS）、营管部（1条40M、3条2M POS）、专业银行（2条2M POS）和金融机构（2条2M POS）的线路接入，主备线路做负载均衡，采用了通过灵活的备份机制及完善的技术，可以充分利用备份线路资源，确保网络互联互通的可靠性。

5.4.8.4、路由冗余
在链路进行冗余配置之后，利用网络层的动态路由协议，如OSPF、BGP等，充分利用多链路的条件，根据情况实行负载均衡或备份。

OSPF协议能够在链路发生故障后，及时检测到并进行路由收敛，发现新的路径。

OSPF和静态路由可以作出灵活配合，保证新路由在短时间内生效。

5.4.9、CWDM技术
在光缆制造技术已经非常成熟的今天，几十芯的光缆已经比较普遍，而且先进的光纤融接技术也使光缆施工变得简单，但光纤数量的增加无疑给施工以及将来线路的维护带来了诸多不便，并且对于已有的光缆线路，如果没有足够的光纤数量，通过重新敷设光缆来扩容，工程费用将会成倍增长。

而且，这种方式并没有充分利用光纤的传输带宽，造成光纤带宽资源的浪费。

同时在2003年国内部分大城市已经规定禁止。