一級(jí)分行局域網(wǎng)改造技術(shù)方案培訓(xùn)內(nèi)容提要項(xiàng)目概述局域網(wǎng)基礎(chǔ)設(shè)施總體架構(gòu)設(shè)備命名和板卡規(guī)劃IP地址和VLAN劃分總體原則數(shù)據(jù)分流和路由策略安全策略服務(wù)器區(qū)實(shí)施指導(dǎo)項(xiàng)目概述局域網(wǎng)現(xiàn)狀分析項(xiàng)目目標(biāo)為二級(jí)分行及網(wǎng)點(diǎn)服務(wù)器上收到一級(jí)分行集中部署作好網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)。統(tǒng)一一級(jí)分行核心局域網(wǎng)絡(luò)的相關(guān)規(guī)范，明確一級(jí)分行核心局域網(wǎng)絡(luò)的整體架構(gòu)和技術(shù)標(biāo)準(zhǔn)。對(duì)一級(jí)分行核心局域網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行層次化和模塊化的改造調(diào)整，建立明確的功能區(qū)域。對(duì)重要區(qū)域進(jìn)行有效的安全防護(hù)，以保障網(wǎng)絡(luò)和業(yè)務(wù)主機(jī)服務(wù)器等重要設(shè)備的穩(wěn)定運(yùn)行。采用高性能、高可靠性的設(shè)備，提高一級(jí)分行局域網(wǎng)整體的業(yè)務(wù)支撐能力，滿足我行未來(lái)3-5年應(yīng)用系統(tǒng)的部署。局域網(wǎng)基礎(chǔ)設(shè)施總體架構(gòu)模塊化設(shè)計(jì)方法----七個(gè)功能區(qū)域（Zone）核心交換區(qū)（CoreZone）服務(wù)器區(qū)（ServerZone）客戶端接入?yún)^(qū)（ClientZone）廣域網(wǎng)區(qū)（ReginalTouchPointZone）外聯(lián)區(qū)（ExternalZone）互聯(lián)網(wǎng)區(qū)（InternetZone）測(cè)試區(qū)（TestingZone）邏輯拓?fù)浜诵慕粨Q區(qū)作為整個(gè)一級(jí)分行局域網(wǎng)的核心，連接不同的功能區(qū)域，實(shí)現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。由于性能是該功能區(qū)最關(guān)鍵的因素，所以可使用高性能的三層交換機(jī)，并且在核心交換機(jī)上要避免使用那些可能會(huì)影響處理速度的訪問(wèn)列表定義?？蛻舳藚^(qū)主要負(fù)責(zé)一級(jí)分行局域網(wǎng)用戶接入，包括辦公大樓和同城城域網(wǎng)用戶接入。目前，客戶端區(qū)根據(jù)業(yè)務(wù)類型，分為邏輯隔離的兩個(gè)安全區(qū)：生產(chǎn)客戶端區(qū)和辦公客戶端區(qū)。廣域網(wǎng)區(qū)實(shí)現(xiàn)一級(jí)分行上聯(lián)總行、數(shù)據(jù)中心，下聯(lián)二級(jí)分行、網(wǎng)點(diǎn)，分為上聯(lián)區(qū)、下聯(lián)區(qū)、匯聚交換區(qū)。服務(wù)器區(qū)（ServerZone）根據(jù)安全特性，服務(wù)器在網(wǎng)絡(luò)上劃分為不同的安全區(qū)：內(nèi)網(wǎng)服務(wù)器區(qū)（IntranetServerZone）業(yè)務(wù)1類，業(yè)務(wù)2類，管理類，網(wǎng)管安管類，語(yǔ)音視頻類集成服務(wù)器區(qū)（IntegrationServerZone）基礎(chǔ)設(shè)施類服務(wù)器的分類與IP地址的類別標(biāo)識(shí)對(duì)應(yīng)根據(jù)應(yīng)用的三層架構(gòu)，服務(wù)器在網(wǎng)絡(luò)上劃分為不同的層：業(yè)務(wù)展現(xiàn)層（Web層）應(yīng)用/業(yè)務(wù)邏輯層（AP層）數(shù)據(jù)庫(kù)層（DB層）在本次優(yōu)化中，考慮分行服務(wù)器規(guī)模和設(shè)備投入，內(nèi)網(wǎng)服務(wù)器區(qū)和集成服務(wù)器區(qū)使用同一套交換機(jī)，組成服務(wù)器區(qū)。內(nèi)網(wǎng)服務(wù)器區(qū)（IntranetServerZone）業(yè)務(wù)1類：以資金交易作為業(yè)務(wù)特征，通常指高柜系統(tǒng)。例如清算、龍卡、重要客戶、網(wǎng)銀、DCC大前置等。業(yè)務(wù)2類：不涉及資金交易，但是直接或間接為客戶提供服務(wù)，包括審批流程、客戶管理等內(nèi)容，通常指低柜系統(tǒng)。例如OCRM、ERPF前置等。內(nèi)網(wǎng)服務(wù)器區(qū)（IntranetServerZone）續(xù)管理類：用于部署為建行員工提供服務(wù)或者行里內(nèi)部管理向電子化轉(zhuǎn)變的服務(wù)系統(tǒng)。例如：OA服務(wù)器、信貸服務(wù)器等。網(wǎng)管安管類：實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的管理。網(wǎng)管安管類需要使用加密、IDS與防火墻等進(jìn)行高強(qiáng)度保護(hù)，因?yàn)樵擃惙?wù)器的用戶有網(wǎng)絡(luò)系統(tǒng)的管理權(quán)限，并掌握所有服務(wù)器活動(dòng)狀態(tài)的信息。集成服務(wù)器區(qū)（IntegrationServerZone）集成服務(wù)器區(qū)中只有基礎(chǔ)設(shè)施類應(yīng)用基礎(chǔ)設(shè)施類應(yīng)用為其他多個(gè)應(yīng)用系統(tǒng)提供數(shù)據(jù)傳輸加工服務(wù)不直接為用戶提供服務(wù)而為其它應(yīng)用系統(tǒng)提供服務(wù)有些應(yīng)用可能同時(shí)給其他應(yīng)用系統(tǒng)和內(nèi)部用戶提供服務(wù)，但如果該應(yīng)用系統(tǒng)的主要功能是為應(yīng)用系統(tǒng)提供服務(wù)，那么該應(yīng)用系統(tǒng)將被部署在集成服務(wù)器區(qū)中,均有IP地址標(biāo)志位來(lái)標(biāo)識(shí).物理結(jié)構(gòu)核心交換區(qū)與服務(wù)器區(qū)的連接模式核心交換區(qū)與客戶端區(qū)的連接模式核心交換區(qū)與廣域網(wǎng)區(qū)的連接模式核心交換區(qū)與互聯(lián)網(wǎng)區(qū)的連接模式核心交換區(qū)與互聯(lián)網(wǎng)區(qū)的連接模式（續(xù)）核心交換區(qū)與外聯(lián)區(qū)的連接模式設(shè)備命名設(shè)備命名規(guī)則網(wǎng)絡(luò)系統(tǒng)中具體一臺(tái)設(shè)備的命名由如下四個(gè)部分組成：AA_BB_CC_DD：AA：表示各個(gè)一級(jí)分行的名稱簡(jiǎn)寫B(tài)B：為區(qū)域名稱CC：為設(shè)備類型DD：為設(shè)備的序列，1表示第一臺(tái)，2為第二臺(tái)。設(shè)備名稱中的英文字母全部采用大寫。設(shè)備命名原則

AA_BB_CC_DD：

AA：表示各個(gè)一級(jí)分行的名稱簡(jiǎn)寫

BB：為區(qū)域名稱

CC：為設(shè)備類型

DD：為設(shè)備的序列，1表示第一臺(tái)，2為第二臺(tái)。設(shè)備名稱中的英文字母全部采用大寫。一級(jí)分行簡(jiǎn)寫具體如下(AA)：區(qū)域名稱規(guī)則表如下所示（BB）：

分行名稱縮寫分行名稱縮寫北京BJ湖北HB天津TJ湖南HN河北HE廣東GD山西SX深圳SZ內(nèi)蒙NM廣西GX遼寧LN海南HI大連DL四川SC吉林JL重慶CQ黑龍江HL貴州GU上海SH云南YN江蘇JS西藏XZ浙江ZJ陜西SN寧波NB甘肅GS安徽AH青海QH福建FJ寧夏NX廈門XM新疆XJ江西JX蘇州SU山東SD三峽SA青島QD總行ZH河南HA

序號(hào)命名名稱區(qū)域描述1CORE核心區(qū)（CoreZone）2SRV服務(wù)器區(qū)（ServerZone）3CLT客戶端區(qū)（ClintZone）4RTP廣域網(wǎng)區(qū)(RegionalTouchPointZone)5ECN外聯(lián)區(qū)（ECNZone）6INTER互聯(lián)網(wǎng)區(qū)（InternetZone）網(wǎng)絡(luò)設(shè)備命名規(guī)則如下所示（CC）：編號(hào)規(guī)則表如下所示(DD)：序號(hào)命名名稱設(shè)備描述1SW交換機(jī)2RT路由器3FW防火墻4IDS入侵檢測(cè)系統(tǒng)序號(hào)命名名稱編號(hào)描述11同一區(qū)域同一應(yīng)用系統(tǒng)第１臺(tái)設(shè)備22同一區(qū)域同一應(yīng)用系統(tǒng)第２臺(tái)設(shè)備33同一區(qū)域同一應(yīng)用系統(tǒng)第３臺(tái)設(shè)備設(shè)備板卡規(guī)劃Catalyst6500FamilyMaxDensitiesCatalyst65031Catalyst6506Catalyst6509Catalyst651310/100RJ45192480768115210/100/1000RJ4596240384576GE(1000Mb)GBIC3480128192GE(1000Mb)SFP9624238441010GE4203220TheCatalyst6500E-SeriesChassis:6503-E6504-E6506-E6509-E&6509-NEB-A65133SlotChassis4RUUpto1400WofPowerMAX802.3af

Devices:90@Class34SlotChassis5RUUpto2700WofPowerMAX802.3af

Devices:125@Class36SlotChassis12RUUpto9000WofPowerMAX802.3af

Devices:283@Class39SlotChassis15RUUpto9000WofPowerMAX802.3af

Devices:280@Class313SlotChassis19RUUpto6000WofPowerMAX802.3af

Devices:285@Class3CiscoCatalyst4500SeriesChassisSupervisorsSupIIandSupIIandSupII+/IV/VSupVhigherhigherDimensions(RUs)7101114Ports(max)96+2240+2240+4(SupV)336+6(SupV)PowerSupplies1+11+11+11+1 Slots 3 6 7 10SupRedundancyn/a n/a Yes Yes

Catalyst4503Catalyst4506Catalyst4507RCatalyst4510RChassis/19”rack 6 4 4 3H3CS9500系列產(chǎn)品家族S9505H3CS9500系列目前S9500交換機(jī)有四款，S9512、S9508V、S9508和S9505。S9500一般應(yīng)用于大型城域網(wǎng)匯聚中心、中小型城域網(wǎng)交換核心和企業(yè)園區(qū)網(wǎng)交換核心和匯聚中心S9512S9508S9508VH3CS9500基本規(guī)格注:S9500交換機(jī)可以實(shí)現(xiàn)整機(jī)滿配置情況下的IPv4/IPv6全線速轉(zhuǎn)發(fā)，因?yàn)镮Pv4按最小包長(zhǎng)64字節(jié)計(jì)算,而IPv6按最小包長(zhǎng)76字節(jié)計(jì)算，因此體現(xiàn)出的包轉(zhuǎn)發(fā)能力有差異。S7503S7506S7506RS75024槽位，3個(gè)業(yè)務(wù)接口槽位；交換容量:最大

312Gbps包轉(zhuǎn)發(fā)率:最大

216Mpps最大端口容量:148GE/144FE/1210GE冗余電源設(shè)計(jì)：1+1備份7槽位，6個(gè)業(yè)務(wù)接口槽位交換容量:最大336Gbps包轉(zhuǎn)發(fā)率:最大216Mpps最大端口容量:292GE/288FE/2410GE冗余電源設(shè)計(jì),2+1備份8槽位，6個(gè)業(yè)務(wù)接口槽位交換容量:最大768Gbps包轉(zhuǎn)發(fā)率:

最大

432Mpps最大端口容量:292GE/288FE/2410GE冗余電源設(shè)計(jì),2+1backup2槽位，2個(gè)業(yè)務(wù)槽位交換容量:最大192Gbps包轉(zhuǎn)發(fā)率t:最大144Mpps最大端口容量:96GE/48FE/810GE電源冗余設(shè)計(jì),1+1備份中小企業(yè)網(wǎng)絡(luò)核心層大型企業(yè)網(wǎng)絡(luò)接入層高密度千兆到桌面

中型企業(yè)網(wǎng)絡(luò)核心層大型企業(yè)網(wǎng)絡(luò)匯聚層高性能配線間設(shè)備高密度千兆到桌面中小企業(yè)網(wǎng)絡(luò)核心層大型企業(yè)網(wǎng)絡(luò)接入層高密度千兆到桌面

中型企業(yè)網(wǎng)絡(luò)核心層大型網(wǎng)絡(luò)高性價(jià)比核心層高性能配線間設(shè)備高密度千兆到桌面S7500系列高端多業(yè)務(wù)交換機(jī)產(chǎn)品簡(jiǎn)介S7500系列高端多業(yè)務(wù)交換機(jī)主控引擎SalienceIIIEdge-96GSalienceIII－384GSalienceIIIPlus-768G僅適用于GEbus支持全部GEbus和后2個(gè)槽位XGbus引擎規(guī)格適用對(duì)象性能規(guī)格支持GEbus支持全部XGbus7503/75067506R7503/75067506R7503/75067506R96Gbps72Mpps4GESFPinterface384Gbps198Mpps4GESFPinterface768Gbps432Mpps產(chǎn)品定位城域網(wǎng)接入層校園網(wǎng)接入、匯聚層SMB網(wǎng)絡(luò)核心、匯聚層城域網(wǎng)匯聚層大中型網(wǎng)絡(luò)匯聚層校園網(wǎng)匯聚層服務(wù)器群交換機(jī)大中型網(wǎng)絡(luò)核心層校園網(wǎng)核心層核心區(qū)6506E板卡規(guī)劃槽位板卡型號(hào)板卡類型slot1空slot2空

slot3WS-X6724-SFP24光口業(yè)務(wù)板slot4WS-X6148A-GE-TX48電口業(yè)務(wù)板slot5空

slot6WS-SUP720-3B引擎核心區(qū)4507R板卡規(guī)劃槽位板卡型號(hào)板卡類型slot1WS-X4516引擎slot2空

slot3WS-X4418-GB18光口業(yè)務(wù)板slot4空

slot5空

slot6空

slot7WS-X4548-GB-RJ4548電口業(yè)務(wù)板服務(wù)器區(qū)6509E板卡規(guī)劃服務(wù)器區(qū)6513E板卡規(guī)劃槽位板卡型號(hào)板卡類型slot1空slot2空slot3WS-X6724-SFP24光口業(yè)務(wù)板slot4WS-X6724-SFP24光口業(yè)務(wù)板slot5WS-SUP720-3B引擎slot6空

slot7WS-X6148A-GE-TX48電口業(yè)務(wù)板slot8WS-X6148A-GE-TX48電口業(yè)務(wù)板slot9WS-X6148A-GE-TX48電口業(yè)務(wù)板槽位板卡型號(hào)板卡類型slot1空slot2空slot3WS-X6724-SFP24光口業(yè)務(wù)板slot4WS-X6724-SFP24光口業(yè)務(wù)板slot5空

slot6空

slot7WS-SUP720-3B引擎slot8空

slot9WS-X6148A-GE-TX48電口業(yè)務(wù)板slot10WS-X6148A-GE-TX48電口業(yè)務(wù)板slot11WS-X6148A-GE-TX48電口業(yè)務(wù)板slot12WS-X6148A-GE-TX48電口業(yè)務(wù)板slot13WS-X6148A-GE-TX48電口業(yè)務(wù)板RTP區(qū)6509E板卡規(guī)劃RTP區(qū)4506板卡規(guī)劃槽位板卡型號(hào)板卡類型slot1空slot2空

slot3WS-X6724-SFP24光口業(yè)務(wù)板slot4空

slot5WS-SUP720-3B引擎slot6空

slot7空

slot8空

slot9WS-X6148A-GE-TX48電口業(yè)務(wù)板槽位板卡型號(hào)板卡類型slot1WS-X4516引擎slot2空

slot3WS-X4306-GB6光口業(yè)務(wù)板slot4空

slot5空

slot6WS-X4548-GB-RJ4548電口業(yè)務(wù)板服務(wù)器區(qū)防火墻NS-ISG-2000槽位板卡型號(hào)板卡類型slot1NS-ISG-SX22光口業(yè)務(wù)板slot2空slot3NS-ISG-TX22電口業(yè)務(wù)板slot4空服務(wù)器區(qū)防火墻NS-ISG-1000槽位板卡型號(hào)板卡類型slot1NS-ISG-SX22GBIC光口業(yè)務(wù)板slot2空IP地址和VLAN劃分總體原則IP地址編碼規(guī)范8Bits5Bits3Bits3Bits13Bits一級(jí)地域標(biāo)識(shí)二級(jí)地域標(biāo)識(shí)000擴(kuò)展預(yù)留類別標(biāo)識(shí)用戶網(wǎng)絡(luò)地址一級(jí)分行局域網(wǎng)IP地址編碼規(guī)范地址段用途地址應(yīng)用類型1-31網(wǎng)管類0-7被管理設(shè)備，其中0-3分行自主分配，4-7總行統(tǒng)一分配8-15網(wǎng)管主機(jī)，全部由總行統(tǒng)一分配16-19網(wǎng)管客戶端，分行可自主分配20-23系統(tǒng)管理主機(jī)和業(yè)務(wù)管理主機(jī)，總行統(tǒng)一分配24-29備用，總行統(tǒng)一分配30-31LoopBack地址，總行統(tǒng)一分配32-63業(yè)務(wù)1類32-43總行統(tǒng)一分配44-63分行自主分配64-95業(yè)務(wù)2類64-87業(yè)務(wù)2類系統(tǒng)，由總行統(tǒng)一分配88-95業(yè)務(wù)2類系統(tǒng)，由分行自主分配分行業(yè)務(wù)1類客戶端IP地址需要和服務(wù)器的IP地址分開(kāi)，分行可從44-63中指定分行自建系統(tǒng)服務(wù)器地址段，該段內(nèi)其他地址段分配業(yè)務(wù)1類客戶端IP地址。一級(jí)分行局域網(wǎng)IP地址編碼規(guī)范（續(xù)）地址段用途地址應(yīng)用類型96—127基礎(chǔ)設(shè)施類96—127基礎(chǔ)設(shè)施類；全部總行統(tǒng)一分配128-159視頻/語(yǔ)音128-151視頻/語(yǔ)音系統(tǒng)，由總行統(tǒng)一分配152-159視頻/語(yǔ)音系統(tǒng)，由分行自主分配160-191管理類160-171管理類服務(wù)器區(qū)域，總行統(tǒng)一分配；172-189管理類客戶端區(qū)域，分行自主分配190-191用于當(dāng)前一級(jí)分行OA類服務(wù)器分行管理類客戶端IP地址需要和服務(wù)器IP地址分開(kāi)，分行可使用172-189作為管理類客戶端IP地址，使用190、191作為分行自建系統(tǒng)的管理類服務(wù)器地址。一級(jí)分行局域網(wǎng)IP地址編碼規(guī)范（續(xù)）地址段用途地址應(yīng)用類型192-223外聯(lián)網(wǎng)絡(luò)系統(tǒng)192-207統(tǒng)一外聯(lián)平臺(tái)DMZ前置區(qū)208-215預(yù)留備用216-223互聯(lián)網(wǎng)接入平臺(tái)，總行統(tǒng)一分配224-255互聯(lián)224-239局域網(wǎng)網(wǎng)絡(luò)設(shè)備互聯(lián)，其中224-228總行統(tǒng)一分配，229-239分行自主分配240-254廣域網(wǎng)網(wǎng)絡(luò)設(shè)備互聯(lián)，其中240-244總行統(tǒng)一分配，245-254分行自主分配統(tǒng)一外聯(lián)平臺(tái)DMZ前置區(qū)地址192、194、196、200、202、204總行統(tǒng)一分配，193、195、197、201、203、205分行自行分配，其它地址預(yù)留備用。服務(wù)器區(qū)IP地址段分配服務(wù)器區(qū)IP地址段分配說(shuō)明1、總推分應(yīng)用系統(tǒng)主機(jī)IP地址總行統(tǒng)一分配，即總行分配到IP地址第4位。2、分行自建應(yīng)用系統(tǒng)主機(jī)IP地址由分行自主分配，即總行分配到IP地址第3位，第4位分行自主分配。3、業(yè)務(wù)1類中，DCC系統(tǒng)IP地址不變，依然使用*.0.40.*，部署在AP層，網(wǎng)關(guān)地址依然使用*.0.40.98。服務(wù)器區(qū)IP地址段分配說(shuō)明（續(xù)）4、 除*.0.40.0/24網(wǎng)段外，服務(wù)器區(qū)其它服務(wù)器網(wǎng)段IP地址*.*.*.224-254按如下規(guī)則分配：服務(wù)器區(qū)IP地址段分配說(shuō)明（續(xù)）5、備份主機(jī)之間所有以反線互聯(lián)的心跳線端口IP地址都為192.168.254.1-192.168.254.2，掩碼30位，凡分配此地址的端口皆不允許接入到任何網(wǎng)絡(luò)設(shè)備上。6、IBM小型機(jī)的Standby地址使用網(wǎng)段200.T1.0.*/24，T1是一級(jí)地域標(biāo)識(shí)。此網(wǎng)段禁止設(shè)置網(wǎng)關(guān)，禁止將此地址段的路由發(fā)布到網(wǎng)絡(luò)中。地址第四位分行自行分配。7、IBMHMC的管理地址使用網(wǎng)段T1.0.22.0/24，T1是一級(jí)地域標(biāo)識(shí)。地址范圍是T1.0.22.1-T1.0.22.15，網(wǎng)關(guān)地址為T1.0.22.254。地址第四位分行自行分配。8、存儲(chǔ)的管理地址使用網(wǎng)段T1.0.22.0/24，T1是一級(jí)地域標(biāo)識(shí)。地址范圍是T1.0.22.192-T1.0.22.223，網(wǎng)關(guān)地址為T1.0.22.254。地址第四位分行自行分配。服務(wù)器區(qū)IP地址段分配說(shuō)明（續(xù)）9、刀片服務(wù)器籠子中的交換機(jī)管理地址分行自主分配，地址類型屬于被管設(shè)備類，建議地址第三位是0。10、刀片服務(wù)器籠子的管理地址分行自主分配，地址類型屬于被管設(shè)備類，建議地址第三位是0。11、分行分配地址按WEB與AP成對(duì)使用。業(yè)務(wù)1類首先使用62和63，然后使用60和61；業(yè)務(wù)2類首先使用94和95，然后使用92和93。12、如果“分行分配”定義的地址空間不能滿足分行需求，分行需單獨(dú)上報(bào)總行，申請(qǐng)地址。網(wǎng)絡(luò)設(shè)備IP地址段分配局域網(wǎng)核心交換機(jī)和匯聚交換機(jī)Loopback地址段使用*.0.30.0/24上聯(lián)路由器XX_RA/RB/RC沿用現(xiàn)有Loopback地址核心區(qū)與其他區(qū)域的設(shè)備互聯(lián)地址段為*.0.224.0/24RTP區(qū)內(nèi)，匯聚交換機(jī)與路由器XX_RA/RB/RC/R1/R2/R3之間的互聯(lián)地址保持不變,loopback地址在30或31也保持不變其它區(qū)域分行根據(jù)情況自行分配，局域網(wǎng)網(wǎng)絡(luò)設(shè)備互聯(lián)地址范圍是*.0.229.0/24--*.0.239.0/24VLAN號(hào)分配規(guī)則序號(hào)集成區(qū)域VLAN分配1服務(wù)器區(qū)100-199YW1,YW2,OA,網(wǎng)管,視頻，總行統(tǒng)一分配200-299基礎(chǔ)設(shè)施，總行統(tǒng)一分配400-449分行自建系統(tǒng)，分行自行分配2核心區(qū)和其它區(qū)域的互聯(lián)1-99總行統(tǒng)一分配3客戶端區(qū)由分行自行分配4廣域網(wǎng)區(qū)上聯(lián)路由器70,75,80,85,90下聯(lián)路由器，由分行自行分配5測(cè)試區(qū)由分行自行分配6互聯(lián)網(wǎng)區(qū)由分行自行分配7外聯(lián)區(qū)由分行自行分配服務(wù)器區(qū)VLAN劃分地址Vlan編號(hào)地址Vlan編號(hào)8127105216121151082141312010921320118111200321171281293311614011140180141112761131421227711416012579100161126104215注：視頻設(shè)備統(tǒng)一放在客戶端區(qū)，使用128網(wǎng)段，vlan號(hào)為129。IP地址調(diào)整策略分行服務(wù)器網(wǎng)關(guān)地址原來(lái)是*.*.*.98，本此IP地址分配規(guī)范，定義服務(wù)器網(wǎng)關(guān)地址是*.*.*.254。分行按以下策略調(diào)整：已經(jīng)使用的網(wǎng)段，建立98和254兩個(gè)網(wǎng)關(guān)新網(wǎng)段，使用254做網(wǎng)關(guān)新部署機(jī)器，網(wǎng)關(guān)配置為254已經(jīng)上線機(jī)器，在改IP地址時(shí)將網(wǎng)關(guān)改為254DCC大前置40網(wǎng)段網(wǎng)關(guān)保持網(wǎng)關(guān)98不變數(shù)據(jù)分流和路由策略數(shù)據(jù)分流策略數(shù)據(jù)分流原則保證轉(zhuǎn)發(fā)路徑的雙向一致性和確定性，在正常狀態(tài)下，通訊雙方的往返路徑相同。數(shù)據(jù)分流策略各區(qū)域設(shè)定該區(qū)域SW_1為主用交換機(jī)，SW_2用作熱備份，在正常情況下，數(shù)據(jù)流從SW_1流出流入該區(qū)域，在該區(qū)域SW_1與XX_CORE_SW_1連接中斷的情況下，數(shù)據(jù)從SW_2流出流入該區(qū)域。數(shù)據(jù)若從源區(qū)域SW_1流出，則下一跳為核心交換區(qū)XX_CORE_SW_1；數(shù)據(jù)若從源區(qū)域SW_2流出，則下一跳為核心交換區(qū)XX_CORE_SW_2。從核心交換區(qū)來(lái)看，若數(shù)據(jù)從源區(qū)域經(jīng)XX_CORE_SW_1進(jìn)入核心交換區(qū)，則將該數(shù)據(jù)經(jīng)XX_CORE_SW_1轉(zhuǎn)發(fā)至目的區(qū)域匯聚交換機(jī)SW_1；若數(shù)據(jù)從源區(qū)域經(jīng)XX_CORE_SW_2進(jìn)入核心交換區(qū)，則將該數(shù)據(jù)經(jīng)XX_CORE_SW_2轉(zhuǎn)發(fā)至目的區(qū)域匯聚交換機(jī)SW_2?，F(xiàn)狀：通過(guò)HSRP/VRRP實(shí)現(xiàn)數(shù)據(jù)分流網(wǎng)絡(luò)總體路由策略BGP原有ASOSPF/EIGRP新OSPFAS核心區(qū)路由策略設(shè)計(jì)BGP原有ASOSPF/EIGRPOSPF1XXArea0OSPF1XXArea10廣域網(wǎng)區(qū)路由設(shè)計(jì)廣域網(wǎng)區(qū)匯聚交換機(jī)XX_RTP_SW_1作為主用交換機(jī)，正常情況下，上聯(lián)路由器和下聯(lián)路由器將通過(guò)XX_RTP_SW_1進(jìn)行轉(zhuǎn)發(fā)，當(dāng)XX_RTP_SW_1出現(xiàn)線路中斷故障或停機(jī)故障時(shí)，由XX_RTP_SW_2進(jìn)行轉(zhuǎn)發(fā)。廣域網(wǎng)區(qū)上聯(lián)總行的路由器與總行/DCC之間使用BGP路由協(xié)議，上聯(lián)路由器作為一級(jí)分行局域網(wǎng)OSPF路由域和總行/DCC的BGP路由域的邊界。在兩臺(tái)上聯(lián)路由器上將BGP路由重分發(fā)至OSPF內(nèi)。匯聚交換機(jī)與下聯(lián)路由器互聯(lián)的接口，以及下聯(lián)路由器及各網(wǎng)點(diǎn)之間保持原有的路由協(xié)議不變。匯聚交換機(jī)作為一級(jí)分行局域網(wǎng)與接入網(wǎng)自治域的域邊界，對(duì)兩個(gè)路由進(jìn)程進(jìn)行雙向重分發(fā)。一級(jí)骨干網(wǎng)路由策略BGP重分發(fā)到OSPF1XXAS中，重分發(fā)使用Metric-type2在XX_RA上重分發(fā)metric使用20在XX_RB上重分發(fā)metric使用10如果總行下發(fā)的明細(xì)路由不完整，分行將在上聯(lián)路由器寫靜態(tài)路由并重分發(fā)到OSPFAS，詳見(jiàn)后續(xù)指導(dǎo)方案。接入網(wǎng)路由策略在RTP交換機(jī)對(duì)兩個(gè)路由自治域進(jìn)行雙向重分發(fā)，并進(jìn)行相應(yīng)的重分發(fā)控制二級(jí)骨干網(wǎng)和同城網(wǎng)點(diǎn)沿用現(xiàn)有分流策略接入網(wǎng)路由策略—原路由域使用OSPF分行二級(jí)骨干網(wǎng)和接入網(wǎng)原有自治域使用OSPF路由協(xié)議，原AS為OSPFXX，局域網(wǎng)新建AS為OSPF1XX。使用tag技術(shù)對(duì)兩個(gè)路由自治域進(jìn)行雙向重分發(fā)控制。OSPFXX重分發(fā)到OSPF1XX時(shí)，將重分發(fā)的路由加上tag10。重分發(fā)使用Metric-type2，在XX_RTP_SW_1重分發(fā)metric使用10；XX_RTP_SW_2重分發(fā)metric使用20。使用route-map過(guò)濾，僅分發(fā)二級(jí)分行匯總路由。在OSPF1XX進(jìn)程中，使用distribute-list禁止tag10路由被寫入路由表。OSPF1XX重分發(fā)到OSPFXX時(shí)，將重分發(fā)的路由加上tag20。重分發(fā)使用Metric-type2，在XX_RTP_SW_1重分發(fā)metric使用10；XX_RTP_SW_2重分發(fā)metric使用20。使用route-map過(guò)濾，禁止tag10路由。在OSPFXX進(jìn)程中，使用distribute-list禁止tag20路由被寫入路由表。接入網(wǎng)路由策略—原路由域使用EIGRP分行二級(jí)骨干網(wǎng)和接入網(wǎng)原有自治域使用EIGRP路由協(xié)議，原AS為EIGRPXX，局域網(wǎng)新建AS為OSPF1XX。使用route-map過(guò)濾技術(shù)對(duì)兩個(gè)路由自治域進(jìn)行雙向重分發(fā)控制。OSPF1XX向EIGRPXX分發(fā)時(shí)，過(guò)濾接入網(wǎng)的路由。EIGRPXX向OSPF1XX分發(fā)時(shí)，過(guò)濾非接入網(wǎng)路由。服務(wù)器區(qū)域路由設(shè)計(jì)各應(yīng)用服務(wù)器的網(wǎng)關(guān)為服務(wù)器區(qū)內(nèi)的匯聚交換機(jī)各VLAN接口，利用HSRP或VRRP形成虛擬網(wǎng)關(guān)，實(shí)現(xiàn)熱備份，HSRP/VRRP主活在XX_SRV_SW_1上。服務(wù)器區(qū)匯聚交換機(jī)與核心交換機(jī)之間使用防火墻隔離，部署靜態(tài)路由。在服務(wù)器區(qū)交換機(jī)上設(shè)置缺省的靜態(tài)路由，下一跳指向服務(wù)器區(qū)防火墻網(wǎng)關(guān)地址；服務(wù)器區(qū)防火墻設(shè)置缺省路由，指向核心交換機(jī)虛擬網(wǎng)關(guān)地址；服務(wù)器區(qū)防火墻配置到服務(wù)器區(qū)VLAN的靜態(tài)路由，指向服務(wù)器區(qū)交換機(jī)虛擬網(wǎng)關(guān)地址；核心交換機(jī)配置到服務(wù)器區(qū)VLAN的靜態(tài)路由，指向防火墻網(wǎng)關(guān)地址客戶端區(qū)域路由設(shè)計(jì)客戶端區(qū)匯聚交換機(jī)與核心區(qū)交換機(jī)互聯(lián)的接口劃分至OSPFArea0客戶端區(qū)域內(nèi)部其它交換機(jī)與客戶端區(qū)匯聚交換機(jī)劃分至Area10，并在OSPF區(qū)域邊界處作區(qū)域間匯總，防止客戶端區(qū)的明細(xì)路由擴(kuò)散至局域網(wǎng)其他區(qū)域XX_CLT_SW_1作為客戶端區(qū)主交換機(jī)，XX_CLT_SW_2做作為客戶端區(qū)備用交換機(jī)，正常情況下數(shù)據(jù)流由XX_CLT_SW_1流入流出客戶端區(qū)外聯(lián)區(qū)路由設(shè)計(jì)外聯(lián)區(qū)采用靜態(tài)路由與其他區(qū)域通信。在核心交換機(jī)配置到外聯(lián)區(qū)服務(wù)器地址段的靜態(tài)路由，下一跳指向外聯(lián)區(qū)防火墻網(wǎng)關(guān)，核心交換機(jī)重分發(fā)靜態(tài)路由。外聯(lián)防火墻也使用靜態(tài)路由配置。互聯(lián)網(wǎng)區(qū)路由設(shè)計(jì)互聯(lián)網(wǎng)區(qū)匯聚交換機(jī)與兩臺(tái)核心交換機(jī)間運(yùn)行OSPF路由協(xié)議，匯聚交換機(jī)與核心區(qū)交換機(jī)互連的接口、代理服務(wù)器網(wǎng)段和匯聚交換機(jī)互連接口劃分至OSPFArea0。路由協(xié)議具體規(guī)劃OSPF1XX局域網(wǎng)核心路由AS，XX是一級(jí)地域標(biāo)識(shí)AREAID設(shè)備區(qū)域，部署接口0核心交換區(qū)：2臺(tái)交換機(jī)所有三層接口、loopback接口廣域網(wǎng)區(qū)、互聯(lián)網(wǎng)區(qū)匯聚交換機(jī)：聯(lián)到核心交換區(qū)的互聯(lián)接口、匯聚交換機(jī)互連接口、loopback接口客戶端區(qū)：到核心交換區(qū)的互連端口、loopback接口上聯(lián)路由器XX_RA、XX_RB、XX_RC：到廣域網(wǎng)區(qū)匯聚交換機(jī)的互聯(lián)接口、loopback接口10客戶端區(qū)匯聚交換機(jī)：所有除上聯(lián)接口和loopback接口之外的vlan接口和向下互聯(lián)設(shè)備接口；客戶端區(qū)除匯聚交換機(jī)外的其他交換機(jī)：任何三層接口、設(shè)備loopback接口安全策略總體安全目標(biāo)應(yīng)用系統(tǒng)服務(wù)器內(nèi)部安全分析應(yīng)用系統(tǒng)之間安全分析客戶端與服務(wù)器之間安全分析客戶端之間安全分析惡意代碼安全分析網(wǎng)絡(luò)設(shè)備自身安全分析安全分析網(wǎng)絡(luò)安全策略的總體目標(biāo)是保護(hù)網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護(hù)服務(wù)器區(qū)的計(jì)算資源。應(yīng)用系統(tǒng)服務(wù)器內(nèi)部安全分析低安全級(jí)別服務(wù)器對(duì)高安全級(jí)別服務(wù)器上不適當(dāng)?shù)脑L問(wèn)；授權(quán)客戶端對(duì)服務(wù)器的不適當(dāng)訪問(wèn)；非授權(quán)客戶端對(duì)服務(wù)器的不適當(dāng)訪問(wèn)；不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問(wèn)；惡意代碼對(duì)服務(wù)器的不良影響。應(yīng)用系統(tǒng)之間安全分析不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問(wèn)；應(yīng)用系統(tǒng)不同安全等級(jí)服務(wù)器之間不適當(dāng)?shù)幕ピL；客戶端與服務(wù)器之間安全分析非授權(quán)客戶端不適當(dāng)?shù)脑L問(wèn)服務(wù)器；授權(quán)客戶端不適當(dāng)?shù)脑L問(wèn)高安全級(jí)別的服務(wù)器；客戶端之間安全分析在業(yè)務(wù)1類客戶端和管理類客戶端之間，安全風(fēng)險(xiǎn)存在于：客戶端訪問(wèn)另一類客戶端上的非授權(quán)數(shù)據(jù)；客戶端利用另一類客戶端達(dá)到對(duì)非授權(quán)服務(wù)器的非法訪問(wèn)；惡意代碼安全分析惡意代碼在網(wǎng)絡(luò)中的傳播，可能對(duì)所有的應(yīng)用系統(tǒng)產(chǎn)生嚴(yán)重的影響。網(wǎng)絡(luò)設(shè)備自身安全分析網(wǎng)絡(luò)設(shè)備的物理安全；網(wǎng)路設(shè)備操作系統(tǒng)Bug和對(duì)外提供的網(wǎng)絡(luò)服務(wù)風(fēng)險(xiǎn)；網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)；設(shè)備訪問(wèn)密碼安全；設(shè)備用戶安全風(fēng)險(xiǎn)；安全技術(shù)網(wǎng)絡(luò)分區(qū)明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，也可以對(duì)每一個(gè)區(qū)域進(jìn)行安全的評(píng)估和實(shí)施，不必考慮對(duì)其他區(qū)域的影響，保障了網(wǎng)絡(luò)的高擴(kuò)展性、可管理性和彈性。達(dá)到了一定程度的物理安全性。VLAN限制局域網(wǎng)中的廣播包；隔離不同的網(wǎng)段，使不同VLAN之間的設(shè)備互通必須經(jīng)過(guò)路由，為安全控制提供了基礎(chǔ)；提供了基礎(chǔ)的安全性，VLAN之間的數(shù)據(jù)包在鏈路層上隔離，防止數(shù)據(jù)不適當(dāng)?shù)霓D(zhuǎn)發(fā)或竊聽(tīng)。安全技術(shù)（續(xù)）ACL阻斷網(wǎng)絡(luò)中的異常流量應(yīng)用系統(tǒng)間訪問(wèn)控制SNMP網(wǎng)管工作站控制設(shè)備本身防護(hù)防火墻專用的軟硬件，設(shè)備自身安全性很高；提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT或PAT）功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護(hù)內(nèi)部地址的私密性；提供嚴(yán)格的安全管理策略，除了明確定義允許通過(guò)的數(shù)據(jù)，其他數(shù)據(jù)都是被拒絕的；多層次的安全級(jí)別，為不同的安全區(qū)域提供差異化的安全級(jí)別，如DMZ區(qū)域；提供多樣的系統(tǒng)安全策略和日志功能。安全策略設(shè)計(jì)網(wǎng)絡(luò)分區(qū)應(yīng)用系統(tǒng)之間的安全策略客戶端與服務(wù)器之間的安全策略客戶端之間的安全策略預(yù)防惡意代碼的安全策略網(wǎng)絡(luò)設(shè)備自身安全策略網(wǎng)絡(luò)分區(qū)實(shí)現(xiàn)不同功能的設(shè)備處在不同的分區(qū)內(nèi)，實(shí)現(xiàn)了數(shù)據(jù)鏈路層上物理隔離；各分區(qū)有單一的出入口；分區(qū)之間互訪必須經(jīng)過(guò)網(wǎng)絡(luò)層路由；為其他安全控制策略的部署奠定了基礎(chǔ)。應(yīng)用系統(tǒng)內(nèi)部安全策略服務(wù)器區(qū)內(nèi)網(wǎng)絡(luò)分區(qū)在服務(wù)器區(qū)內(nèi)，根據(jù)確定的應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)，服務(wù)器的應(yīng)用類型被分為Web層，AP層和DB層，對(duì)應(yīng)的安全控制策略如下：通過(guò)應(yīng)用類型分層保護(hù)不同級(jí)別服務(wù)器的安全；劃分VLAN，各分層分別位于不同的VLAN中；在三個(gè)應(yīng)用類型分層中，安全級(jí)別的定義是接入層（Web層）安全級(jí)別最低，應(yīng)用/業(yè)務(wù)邏輯層（AP層）安全級(jí)別較高，數(shù)據(jù)庫(kù)層（DB層）安全級(jí)別最高；應(yīng)用類型分層之間，通過(guò)單向的ACL允許較低級(jí)別的服務(wù)器訪問(wèn)較高級(jí)別的服務(wù)器。應(yīng)用系統(tǒng)之間的安全策略劃分VLAN，隔離各應(yīng)用系統(tǒng)和各應(yīng)用系統(tǒng)內(nèi)部處在不同安全層次上的服務(wù)器；根據(jù)確定的類規(guī)則在VLAN上部署ACL?？蛻舳伺c服務(wù)器之間的安全策略在服務(wù)器區(qū)邊界部署專用硬件防火墻，防火墻采用雙機(jī)主備工作模式，保障系統(tǒng)可靠性；在防火墻上部署嚴(yán)格的安全控制策略，對(duì)數(shù)據(jù)流執(zhí)行雙向控制；確定客戶端和服務(wù)器之間的訪問(wèn)規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上?？蛻舳酥g的安全策略在一級(jí)分行局域網(wǎng)內(nèi)客戶端區(qū)，存在著管理類客戶端和業(yè)務(wù)1類客戶端，兩者之間的安全策略設(shè)計(jì)如下：在客戶端區(qū)劃分VLAN，管理類客戶端和業(yè)務(wù)1類客戶端分屬不同的VLAN；在管理類客戶端和業(yè)務(wù)1類客戶端的VLAN上部署ACL，限制兩類客戶端之間的互訪。預(yù)防惡意代碼的安全策略根據(jù)已知的各類惡意代碼，識(shí)別其傳輸特征，編寫相應(yīng)的ACL；把ACL部署在關(guān)鍵的控制點(diǎn)上，這些控制點(diǎn)包括：各功能區(qū)的出口交換機(jī)上（防火墻默認(rèn)情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時(shí)，也可以部署在功能區(qū)內(nèi)各VLAN上，達(dá)到更進(jìn)一步控制惡意代碼傳播的目的。ACL單向部署，控制從區(qū)內(nèi)出（out）的流量。在RTP區(qū)的上下聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這些端口出（out）和入（in）的流量。網(wǎng)絡(luò)設(shè)備自身安全策略物理安全：安裝環(huán)境溫度、濕度、空氣潔凈度需要滿足設(shè)備正常運(yùn)行條件；禁止非授權(quán)人員物理接觸設(shè)備。網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認(rèn)有軟件Bug的網(wǎng)絡(luò)服務(wù)和可能對(duì)自身產(chǎn)生安全威脅的服務(wù)；加密設(shè)備密碼；用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對(duì)操作有相應(yīng)的授權(quán)、認(rèn)證和審計(jì)）網(wǎng)管SNMP安全，對(duì)SNMP訪問(wèn)設(shè)置ACL控制，只允許許可范圍內(nèi)的IP地址通過(guò)SNMP管理設(shè)備。分區(qū)安全策略的部署核心區(qū)安全策略的部署服務(wù)器區(qū)安全策略的部署客戶端區(qū)安全策略的部署廣域網(wǎng)區(qū)安全策略的部署外聯(lián)區(qū)安全策略的部署互聯(lián)網(wǎng)接入?yún)^(qū)安全策略的部署對(duì)已有安全策略的支持核心區(qū)安全策略的部署核心區(qū)作為分行局域網(wǎng)高速交換區(qū)，不做過(guò)多的安全策略，只要求部署交換機(jī)自我保護(hù)策略。服務(wù)器區(qū)安全策略的部署控制客戶端對(duì)服務(wù)器的訪問(wèn)，控制策略在防火墻上雙向?qū)嵤┌踩刂撇呗跃唧w描述如下：業(yè)務(wù)1類客戶端能訪問(wèn)業(yè)務(wù)1類服務(wù)器。限定客戶ip地址段、應(yīng)用系統(tǒng)ip地址集、端口號(hào)集。業(yè)務(wù)1類客戶端能訪問(wèn)網(wǎng)管安管類服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。管理類客戶端能訪問(wèn)業(yè)務(wù)2類、管理類服務(wù)器和網(wǎng)管安管類服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。管理類客戶端能訪問(wèn)Internet。不限制目標(biāo)的IP地址、端口，限制源IP地址業(yè)務(wù)1類業(yè)務(wù)2類OA基礎(chǔ)設(shè)施網(wǎng)管安管Internet業(yè)務(wù)客戶端允許訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)允許訪問(wèn)禁止訪問(wèn)OA客戶端禁止訪問(wèn)允許訪問(wèn)允許訪問(wèn)禁止訪問(wèn)允許訪問(wèn)允許訪問(wèn)應(yīng)用系統(tǒng)服務(wù)器之間的訪問(wèn)控制業(yè)務(wù)1和業(yè)務(wù)2互訪，業(yè)務(wù)1和基礎(chǔ)設(shè)施互訪。限定訪問(wèn)源應(yīng)用系統(tǒng)主機(jī)IP地址集，目的應(yīng)用系統(tǒng)主機(jī)IP地址集，目的端口集。業(yè)務(wù)2、管理類和基礎(chǔ)設(shè)施能相互訪問(wèn)。僅對(duì)應(yīng)用系統(tǒng)類別IP地址段進(jìn)行限