CISCO大型网络解决方案

某市信合信息网络系统改造升级技术规划实施方案
发布时间：2009/7/20 11:48:23 | 7 人感兴趣 | 0 人参与还有98天过期
某市信合社成立于1984年6月，1996年10月与农行“脱钩”，成为独立的法人机构，现有七部（科）两室，所辖32个信用社，70个分社，518个信用站，现有职工1393人,该信用合作联社全市网点共392个，这意味着此社有392个网络业务节点。

各个营业网点全部采用双链路方式，直接汇接到网络中心构成网络通路。

各个营业网点采用Ethernet点对点方式，同核心网络连接提供10M/100M带宽上联。

信息网络专线服务商将采用中国网络通信、以及中国移动通信的线路，采用多链路备份连接
对整个信息网络的运营和管理要求简单、高效，能够在合理的技术资源状况下，对整体网络实现完备的管理。

由于该信合社是一个较大的金融机构，为了实现网络应用的安全和冗余，要求网络架构实现双灾难备份中心，包括本地和异地的灾备中心。

·方案介绍
根据该信用合作联社对网络改造和建设的要求以及未来网络应用的情况，我们建议采用如下的设计方案，整体方案划分为三个层次。

业务汇聚层
在业务汇聚层使用低端路由器交换机，通过点对点以太网方式上联到核心网络，在业务汇聚层低端路由交换设备上采用两条链路上联，链路分别采用“中国网通”和“中国移动通信”的以太网点对点线路，使用10M/100M带宽，形成备份和冗余。

在业务汇聚层的路由交换设备下联业务节点的业务终端、视频监控等设备，完成业务数据上传和流量QOS的功能。

核心网络层
在核心网络层包括核心交换机、核心路由器以及防火墙等设备，所有设备均采用双链路双设备、双引擎的“三双机制”，有效保障业务顺畅运行，保障核心业务网络的高可靠性和高稳定性。

在核心网络层采用的核心网络路由设备是2台CISCO7507路由器，2台CISCO7507路由器使用以太网络接口采用10M、100M连接服务器区域，业务汇聚层业务节点的各个路由交换设备，2台C
ISCO4506路由器连接“中国网通”的线路，另外2台CISCO4506路由器连接“中国移动通信”的线路。

两台CISCO7507作为核心路由器形成互为备份，这样可以使网络链路、设备和引擎得到全面的双冗余机制。

同时CISCO7507采用光纤以太网1000M的双备份链路连接到核心交换机，两台CISCO4507完成核心网络汇聚、大量路由转发的功能。

在核心网络层的核心网络交换机是两台CISCO4507交换机，2台CISCO4507交换机使用光纤和R J45以太网接口，采用1000M带宽连接核心路由器和网络安全控制层的核心防火墙设备，以及业务服务区的相关交换设备，所有连接均采用双设备、双链路和双引擎的“三双机制”完成核心交换的海量数据快速转发功能。

在核心网络层的安全控制层是采用两台CISCO ASA5520防火墙，两台CISCO ASA5520防火墙，采用双链路双设备机制，分别上联到核心业务服务区以及下联到两台CISCO6506核心交换机，采用100/1000M接口，完成实现网络防火墙的功能，实现核心业务网络的安全。

核心业务服务层
在核心业务服务层主要分别能够采用多台交换设备连接各自业务服务区，每个业务服务区，连接到核心交换和核心路由上，实现网络服务区的各个业务功能。

在核心业务服务层包括了如下几个业务服务区域：
服务器区：在服务器区中主要放置同银行核心业务的相关服务器，这些服务器包括了业务服务器、MIS服务器、OA服务器以及业务数据库等服务器设备。

实现银行核心业务处理和交换。

网络管理区：在网络管理区中主要放置同网络管理和安全业务相关服务器，这些服务器包括了C ISCO WORKS、CISCO MARS、ACS服务器以及网络管理终端设备。

实现银行核心网络业务的管理和安全控制，以及网络管理分析处理和交换。

本地灾备中心：在本地灾备中心区中主要放置同网络灾备相关的数据存储服务器，这些存储服务器包括了相关存储数据库以及网络存储交换设备。

实现银行核心网络业务的灾难备份处理和交换。

异地灾备中心：在异地灾备中心区中主要放置同网络灾备相关的数据存储服务器，这些存储服务器包括了相关存储数据库以及网络存储交换设备。

实现银行核心网络业务的异地灾难备份处理和交换。

本地办公网络和客服网络：在本地办公网络和客服网络区中主要放置本地办公和客户服务的网络终端设备。

实现银行本地办公和业务处理。

外联和网银业务区：在外联和网银业务区中主要放置同银行外联业务和网银业务相关服务器，这些服务器包括了业务服务器、WEB服务器以及用户业务数据库等服务器设备。

实现银行核心业务可以远程通过INTERNET来处理和交换。

同时外联一些跨行业务的处理。

·核心网络设计
·路由整体规划
针对该信用合作联社网络建设和升级的要求，我们对整网的路由规划采用分层次分区域的原则，按网络拓划分网络的方式方法中我们将根据不同总行、分行、支行网络划分的不同网络层次进行网络划分，这一划分主要决定了不同总行、分行、支行网络的接入层的网络层次。

多层交换机和路由器的主要作用就有路由功能，路由就是由目的地址、下一跳等信息构成的用于指导路由器数据转发的信息。

接入层网络路由规划
静态路由规划。

在网络设计规划实施推荐分行使用静态路由协议，因为静态路由协议具有以下特点:基于制定的路由协议，基于静态网关协议；路由度量机制灵活；路由会聚能力一般；有效划分浮动机制。

OSPF路由规划。

在网络设计规划实施推荐总行和支行之间行使用OSPF路由协议，因为OSPF路由协议具有以下特点:基于策略状态的路由协议，基于最短路径优先的协议；OSPF路由协议设有环路有比避免还路机制；路由配置机制灵活；路由控制以及收敛能力更强。

核心层网络路由规划
OSPF路由规划。

所以在网络设计规划实施推荐总行和支行之间行使用OSPF路由协议，因为OSP F路由协议具有以下特点:基于策略状态的路由协议，基于最短路径优先的协议；OSPF路由协议设有环路有比避免还路机制；路由配置机制灵活；路由控制以及收敛能力更强。

AREA规划使用“0”区域。

服务器区域路由规划
OSPF路由规划。

所以在网络设计规划实施推荐分行使用OSPF路由协议，因为OSPF路由协议具有以下特点:基于链路状态的路由协议，基于内部网关协议；OSPF路由协议没有环路；路由度量机制灵活；路由会聚能力更强；有效分区机制。

AREA规划使用“20”。

本地灾备中心路由规划
所以在网络设计规划实施推荐分行使用OSPF路由协议，因为OSPF路由协议具有以下特点:基于链路状态的路由协议，基于内部网关协议；OSPF路由协议没有环路；路由度量机制灵活；路由会聚能力更强；有效分区机制。

AREA规划使用“21”。

异地灾备中心路由规划
所以在网络设计规划实施推荐分行使用OSPF路由协议，因为OSPF路由协议具有以下特点:基于链路状态的路由协议，基于内部网关协议；OSPF路由协议没有环路；路由度量机制灵活；路由会聚能力更强；有效分区机制。

AREA规划使用“22”。

外联业务&网上银行路由规划
所以在网络设计规划实施推荐分行使用OSPF路由协议，因为OSPF路由协议具有以下特点:基于链路状态的路由协议，基于内部网关协议；OSPF路由协议没有环路；路由度量机制灵活；路由会聚能力更强；有效分区机制。

AREA规划使用“23”。

·网络安全整体规划
针对整网的安全规划我们采用四种系统和方式来实现，这四种实现方式就是：
防火墙ASA5520&PIX515E/525的深层防御体系
Cisco ASA 5500 系列作为思科自防御网络的关键组件，能够将最高的安全性和VPN服务与全新的自适应识别和防御（AIM）架构有机地结合在一起。

提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。

该系列能够在一个平台中提供多种已经过市场验证的技术，无论从技术角度还是从经济角度看，都能够为多个地点部署各种安全服务。

利用其多功能安全组件，企业几乎不需要作任何两难选择，既可以提供强有力的安全保护，又可以降低在多个地点部署多台设备的运营成本。

CS MARS系统的网络管理分析和响应系统
思科® 安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列，将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相结合，可帮助客户更为高效地使用网络和安全设备。

通过结合这些功能，思科安全MARS 可帮助公司准确识别和消除网络攻击，且保持网络的安全策略符合性。

网络准入控制系统（NAC）的部署和应用
Cisco Secure ACS是思科基于身份的网络服务(IBNS)架构的重要组件。

具高可扩展性的高性能访问控制服务器，它针对所有用户执行统一安全策略，不受用户网络访问方式的影响。

它减轻了与扩展用户和网络管理员访问权限相关的管理负担。

通过对所有用户账户使用一个集中数据库，Cisco Secure ACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。

对于记账服务，Cisco Secure ACS针对网络用户的行为提供具体的报告和监控功能，并记录整个网络上每次的访问连接和设备配置变化。

访问控制列表的灵活配置和使用
CISCO网络设备均提供基于网络5元素的（源端口、目的端口、源IP、目的IP、协议号）的访问控制列表，虽然网络部署灵活性好，但是不同自然语言理解不同，实施要求高，因此我们建议采用基于对象的访问控制列表：为了简化防火墙模块策略的配置和管理，建议定义object grou p。

网络技术培训的规划
在本次项目实施中为了便于用户能够有效的管理和提升相关技术的业务能力我方在本次项目实施中安排了相应的技术培训计划，具体的培训计划安排如下：
随工的培训计划：要求用户的专业人员跟随项目实施人员，通过随工学习提高自身业务水平，这也是非常有效的一种培训方式。

专业的技术培训计划：要求用户派相关技术执行人到认证的培训中心进行相关技术的专业培训这样的培训，系统性好、针对性比较强。

服务体系介绍
晓通网络增值服务事业部是晓通网络面向用户和合作伙伴，提供网络服务的专业服务部门，业已成长为国内最具潜力的网络增值服务商之一。

晓通网络增值服务包括：维修服务、维保服务、租
赁服务、技术支持服务、培训服务，是晓通网络向用户提供的基于网络产品的支持服务，用来满足用户网络系统技术支持与设备维护的需求。

晓通网络增值服务事业部拥有的强大的技术支持队伍，其中包括CCIE 10余名；CCNA数十名为客户提供基于网络产品的维保服务和各种技术资源与信息服务，为客户提供掌握最新的产品与技术的培训，并且利用各种工具对客户进行设备诊断，为客户进行网络规划，配置方案设计等复杂的工作，大幅度的降低了用户的网络运营成本。

丰富的服务管理经验，信息化的管理系统，先进的质量管理和经营运作体系，保证了服务质量和效率，使晓通网络增值服务事业部始终站在网络产品服务的最前沿，致力成为网络产品服务的领先者。