三峡建行

三峡建行
网络改造总体设计方案书
（讨论稿）
二零零一年四月
银行计算机网络改造方案
目录
第 1章三峡建行网络现状 ............................................................................................ 7
1.1 网络连接现状..................................................................................................................... 7
1.1.1 三峡建行城域网现状................................................................................................ 7
1.1.2 三峡建行局域网现状................................................................................................ 9
1.1.3 三峡建行广域网现状................................................................................................ 10
1.1.4 与 Internet 连接状况................................................................................................ 12
1.2 网络应用现状..................................................................................................................... 13
1.2.1 管理网应用现状......................................................................................................... 13
1.2.2 营业网应用现状......................................................................................................... 14
1.2.3 外连网应用现状......................................................................................................... 15
1.3 网络安全现状................................................................................................................. 16
1.4 网络管理的现状............................................................................................................. 18
1.5 三峡建行网络存在主要问题........................................................................................ 18
1.5.1 三峡建行城域网存在的问题.................................................................................... 18
1.5.2 营业网存在的问题：................................................................................................ 19
1.5.3 管理网（企业网）存在的问题............................................................................... 19
1.5.4 外连网存在的问题.................................................................................................... 19
第 2章网络改造的需求规定 ........................................................................................ 21
2.1 总体目标.............................................................................................................................. 21
第 2 页共 82 页
2.2 网络改造需求..................................................................................................................... 21
2.2.1 三峡建行局域网......................................................................................................... 21
2.2.2 三峡建行城域网......................................................................................................... 22
2.2.3 广域网接入................................................................................................................. 22
2.2.4 网络管理的需求......................................................................................................... 23
2.2.5 网络安全管理需求.................................................................................................... 24
2.2.6 语音、视频应用的需求............................................................................................ 24
第 3章网络改造的基本原则 ........................................................................................ 25
第 4章网络总体设计 .................................................................................................... 27
4.1 三峡建行网络系统改造目标总体架构........................................................................... 27
4.1.1 组网模式..................................................................................................................... 27
4.1.2 网络总体拓扑结构设计............................................................................................ 28
4.2 局域网改造......................................................................................................................... 29
4.2.1 局域网改造方案......................................................................................................... 29
4.3 城域网改造......................................................................................................................... 31
4.4 广域网改造......................................................................................................................... 32
4.4.1 广域网分布层改造.................................................................................................... 32
4.4.2 广域网接入层改造.................................................................................................... 34
4.5 外网的连接......................................................................................................................... 34
4.6 可靠性设计......................................................................................................................... 35
第 3 页共 82 页
4.6.1 设备备份..................................................................................................................... 35
4.6.2 链路备份..................................................................................................................... 36
4.7 网络 IP 路由设计................................................................................................................. 37
4.8 面向应用的网络服务......................................................................................................... 38
4.8.1 业务分类和数据特点的分析：............................................................................... 38
4.8.2 QOS 保证..................................................................................................................... 39
第 5章三峡建行网络管理设计 .................................................................................... 41
5.1 网管系统功能及其职责.................................................................................................... 41
5.2 网络管理平台和网管工作站............................................................................................ 42
第 6章网络系统安全设计 ............................................................................................ 44
6.1 安全模型（ P2DR 模型）................................................................................................ 44
6.2 三峡建行网络系统总体安全体系.................................................................................... 45
6.2.1 安全策略设计............................................................................................................. 45
6.2.2 总体安全体系的规定................................................................................................ 46
6.3 三峡建行网络级安全设计................................................................................................ 47
6.3.1 局域网安全设计......................................................................................................... 48
6.3.2 广域网安全设计......................................................................................................... 51
第 7章 IP 电话网络设计 ....................................................................... 55
7.1 IP 电话网络建设的必要性................................................................................................ 55
第 4 页共 82 页
7.2 IP 电话所使用的几种技术................................................................................................ 55
7.3 CISCO 的 VOIP 解决方案.................................................................................................... 56
7.3.1 三峡建行与总行的 VoIP 通信.................................................................................... 58
7.4 IP 语音的管理..................................................................................................................... 59
第 8章三峡建行视频会议设计 .................................................................................... 61
8.1 视频会议系统结构............................................................................................................. 62
8.2 会议电视终端设备............................................................................................................. 62
8.2.1 三峡建行会场............................................................................................................. 62
8.3 实现功能.............................................................................................................................. 64
8.4 主要特点.............................................................................................................................. 64
H 附件 1 三峡建行 IP 地址分配规划 .......................................... 66
总行规定 IP 地址编码结构.................................................................................................... 66
三峡建行 IP 地址规划表......................................................................................................... 67
附件 2 三峡建行 IP 联络中心方案 .......................................... 68
三峡建行 CALL CENTER 解决方案.................................................................................... 68
三峡建行 IPCC 体系架构................................................................................................ 68
IPCC 功能和优点................................................................................................................. 70
IPCC 系统构成..................................................................................................................... 76
IPCC 应用软件开发............................................................................................................. 80
第 5 页共 82 页
第 6 页共 82 页
第1章三峡建行网络现状
三峡建行作为总行确定的六十个重点城
市行之一，经过几年的建设，已建成了覆盖
各县市（除 W 县）城市综合业务网络系统，
在此基础上依托总行建成了以清算 A 卡网络系
统、企业内部网为代表的全国性三峡建行内
部互连网络。以计算机网络为支撑平台，我
行的各类业务应用系统不断推陈出新，开拓
了多项新的业务，为我行的业务快速发展发
挥了巨大的作用。
下面，对三峡建行网络结构具体说明：
1.1 网络连接现状
1.1.1 三峡建行城域网现状
第 7 页共 82 页
三峡建行中心机房位于科技部二楼。通过
自架光纤与三峡建行办公楼、甲路 10 楼
（老机房）、乙办以及丙办连接构成目前
的三峡建行城域网，如图所示：
如图，三峡建行局域网的中心交换机为一
台 Cisco Catalyst 5505 ，配有 1 个 2 口 100M FX 光纤接口模
块，通过多模光纤与 318 和甲路机房的 1924C 连
接。 Catalyst 5505 还配有两个 24 口 100M 以太网接口
模块、其中连接两台 2924 交换机，并通过 2924
上的 100M FX 与乙办以及丁办相连。
第 8 页共 82 页
1.1.2 三峡建行局域网现状
在 Catalyst 5505 和 2924 上根据不同的应用划分了
13 个不同的 VLAN ，由于目前我行主交换机没
有配置第三层交换功能， VLAN 之间的通信只
能通过网关来实现。
在中心机房中，另有一台 Catalyst 5000 交换机作
为备用机。
目前，三峡建行网络中心机房共配有 13 台
路由器分别接入局域网中各个 VLAN 。路由器
应用见表一：
设备端口线路速率说明
Cisco 7206A Port 1 X.25 64K 至各县支行清算
Cisco 7206B Port1-8 DDN 9.6K 银企互联、戊地电信代收费
Cisco 3640A Port1-96 DDN 9.6K 城综网前台网点
Cisco 3640B Port1-64 DDN 9.6K 城综网前台网点
Cisco 2501A Port 1 X.25 9.6K 人行同城清算
Cisco 2501B Port 1 DDN 64K 移动通信代收
Cisco 2501C Port 1 DDN 64K 社保

Cisco 2501D Port 1 DDN 64K 银企互联
Cisco 2501E Port 1 DDN 2M 支付网关与 Internet 接入
Cisco 2501F Port 1 X.25 9.6K 人行贷款资料查询
第 9 页共 82 页
Motorola MP6520 Port 19 X.25 64K 总行清算
Port 20 PSTN 19．2 总行清算备份

K
Motorola MP6520 Port 19 X.25 64K 部分县支行清算
Motorola MP6560 Port 19 DDN/F 64K 总行企业网
R
三峡建行 318 机房是三峡建行办公大楼结
构化布线所有信息点的集合地， 318 机房的
1924 从中心机房的 Catalyst 5505 得到 VLAN 信息，通
过对其端口划分不同的 VLAN ，三峡建行大楼
中各个不同的网络系统实现了与中心机房的
通信。
其它局域网甲路机房、乙办以及丙办也是
这种模式。
各县支行以及城区其他支行（办事处）基
本都完成了三部一室的本地局域网布线工作。
1.1.3 三峡建行广域网现状
三峡建行的广域网线路普遍采用的低速
通信链路，其中城市综合网是主要租用中
国电信的 DDN ，前台网点通过串口通信协议，
直接连到三峡建行网络中心的设备，部分
县行营业部由于原来与清算共用线路还是
采用的 X.25 ，利用路由器连接到三峡建行网
第 10 页共 82 页
络中心，以上租用的线路带宽都只有
9600bps ；清算 A 卡网络由于县支行已经改为直
连，可以说向下已经没有单独的线路，三
峡建行清算 A 卡（含外币卡）系统与总行和
上海连接采用的是 64k X.25 （复用）；三峡建
行企业内部网已经与全辖所有二级机构开
通连接，城区除乙办和丙路办、营业部等
少数是通过三峡建行自架的光纤上的以太
网外，其余均租用电信的 DDN ，县支行大都
采用的是 X.25 ，带宽只有 9600bps ，以路由器方
式接入。三峡建行企业网与总行连接采用
的是中元公司提供的中元帧中继，带宽
64K 。我行通信线路的主要备份方式为电话
拨号。网络设备以 CISCO 、 MOTOROLA 为主。此
外以城市综合网为基础，我行独立开发了
多种新业务，实现了与证券、电信、人行
等外单位的网络互连，连接线路一般为
DDN ，通信速率 9600-64K 都是采用路由器连接
的方式。
第 11 页共 82 页
1.1.4 与 Internet 连接状况
三峡建行目前已经开通了 Internet 连接，用
于网上银行业务，带宽为 2M ，、连接拓扑图
如图 :
如图所示三峡建行支付网关与 Internet 连接采
用了目前比较完备的网络安全体系和技术，
防火墙采用的是 IBM Firewall 3.12 ，并安装了 ISS 网络
安全管理软件进行安全漏洞扫描、入侵检测
审计等，上述连接已经获得总行的验收认可。
三峡建行计算机网络改造方案
1.2 网络应用现状
根据三峡建行对网络业务的划分，可以将三峡建行网络业务划分为：核心
业务和外连业务。核心业务是三峡建行业务开展的基础业务，包括以城市综合
网为基础的营业网和以企业内部网为基础的管理网两部分；外连业务是三峡建
行依托核心业务系统，针对辖区内的企业和客户开发的业务网络系统。各系统
应用关系如下图所示：
1.2.1 管理网应用现状
三峡建行目前正在管理网（企业网）使用的主要是基于 LOTUS/NOTES 平
台上开发的应用，现在在三峡建行辖区范围内管理网上运行应用系统主要包括：
电子邮件系统、信息网站、人力资源、信贷信息管理、移民资金管理、办公自动化
系统、国际结算系统等。除少数应用系统外，大多数应用系统都向下推广到县支
行一级，辖区内管理网（企业网）用计算机大约 300 余台，IP 地址分配采用９
８年总行统一规划的企业网地址。此外管理网与市人行存在临时的连接，用于
定期本地贷款单位资料查询。管理网（企业网）拓扑连接如下图
外连业务
代收电话代收交警企业外连

银证连网同城清算社保
费罚款等
核心管理网
营业网
业务
图六
第 13 页共 82 页
1.2.2 营业网应用现状
三峡建行目前的营业网应用主要是城市综合网，全行共有前台网点１５０
余个，ATM ３２台，金融查询机２０台，Pos ２００余台，城市综合网以太网
采用１９９４年总行下发的营业网段 98..42.63.0，而城市综合网广域网前台网
点地址没有标准可循；清算 A 卡网的前置机和各县清算组前台（清算组前台已
经与前台会计柜改为直连后的会计柜机器）采用总行清算系统分配的２０网段
的 IP 地址。另外随着新业务的开展，前台网点还往往下联一些特定业务的前置
设备（例如金融查询机和个贷前置机），这些设备地址也没有统一的规定。营
业网拓扑连接如下图:
第 14 页共 82 页
1.2.3 外连网应用现状
三峡建行充分利用三峡建行网络优势，积极开拓业务领域，先后与电信、
证券、人行、社保局等多家实现了网络互连互通，通常我们是采用路由器+前置
机的方式，使外连网与城综网隔离，即每个外连系统都独自采用一台路由器和
一台前置机，路由器配置静态路由和相应的访问控制，前置机屏蔽所有无关的
服务。外连网的 IP 地址分配由于没有可遵循的标准，分配时有很大的随意性。
网络拓扑连接如下图：
第 15 页共 82 页
1.3 网络安全现状
三峡建行在网络建设过程中已经采取了一
些必要的安全措施，如 “ 利用 VLAN 技术将业
务网与企业网逻辑隔离、与各证券网点联网
时利用前置机来保证数据传输的安全、拨号
访问采用了 RADIUS 认证、在与 Internet 接入的支
付网关中使用防火墙和 ISS 安全监控软件等。
但从总体整体上分析，三峡建行现有网络中
仍然存在着一些安全隐患。主要包括以下几
个方面：
● 可靠性安全隐患
第 16 页共 82 页
由于某些网络设备的关键部件存在质量问
题或缺陷，导致网络在运行过程中存在可靠
性安全隐患。如： MOTOROLA 路由器的 FLASH
Memory 工作时极不稳定，经常丢失系统软件，
影响了清算 A 卡系统以及企业网的正常运行。
一些系统缺乏备份链路和备份设备，一旦出
现故障，势必影响业务的正常开展。
● 应用系统安全隐患
各种应用缺乏统一的规划，未能充分考虑
网络上的安全要求，导致三峡建行中心机房
的业务运行网段上与外连的应用网段之间缺
乏必要的安全屏蔽。有些与外界相连的应用
系统缺乏有效的网络安全保障。如：与外界
相连应用系统没有按照总行要求的安全连接
模式连接，前置机可能存在未屏蔽非必要的
通讯端口，可能存在多余的路由表等等。
此外对重要的应用服务器没有进行安全监
控和漏洞扫描。
● 病毒入侵安全隐患
一些应用系统，特别是基于 WINDOWS 平台的
应用系统，没有安装一些防计算机病毒的软
件，给计算机的安全造成了一定的隐患。
● 黑客攻击隐患
缺乏对黑客攻击进行防止、检测和响应的
第 17 页共 82 页
一整套防黑措施和相应的安全体系，没有明
确的安全指导思想和安全模型，不能够对安
全事件进行全过程监控和作出相应的响应行
动，无法对整个安全系统进行准确有效的安
全评估。
1.4 网络管理的现状
三峡建行目前正在使用 Cisco CWSI 2.1 专用网管系统，用于管理三峡建行

局域网上的网络设备。由于其专用性，该软件无法正确管理非 Cisco 网络设备，
而且无法监控到广域网的运行状态。
三峡建行在业务管理中成功引进了 BMC 管理系统，在对 BMC 的移植过程

中，三峡建行科技人员开发设计了对前台网点实时监控程序，目前这项工作正
在实验推广过程中。
1.5 三峡建行网络存在主要问题
1.5.1 三峡建行城域网存在的问题
●　根据总行网络改造要求，三峡建行主交换机需要两台，并要求支持第
三层交换，而三峡建行现有的主交换机 Catalyst 5505 没有第三层交换模
块，另一台主交换机的备份 Catalyst 5000，无论从交换能力还有模块配
置均无法满足网络改造的要求。
●　随着以后语音、视屏在网络的应用，三峡建行目前 100M 骨干局域网将

面临拥塞。
●　三峡建行办公大楼结构化布线不规范，线路急需整理，网络设备的运
行环境也需要加以改善
●　现有的城市综合网网络地址、企业网地址以及清算 A 卡网地址都不统一，
需要按照总行网络改造的要求加以规范
●　现有城域网之间的光纤缺乏必要的链路备份，一旦光纤出现故障，没
有其他应急方案可供选择。
第 18 页共 82 页
1.5.2 营业网存在的问题：
●　目前前台网点使用的 IP 地址不符合总行规范，必须加以调整。
●　城市综合网（含清算 A 卡网）与总行采用的是 64K X25 线路，已经无

法承载新的业务
●　一些网点由于业务量大，通信带宽不足，出现通信堵塞，有些网点反
映通信故障率比较高
●　目前网点采用的串口通信协议 Slip，在新主机上支持不好，给主机安
全运行带来隐患。
●　一些县行还在使用 X.25，效率比较低，费用比较高。
●　一些网点还外挂诸如查询机、个贷前置机等，网络连接结构凌乱，通信
质量无法得到保证。
1.5.3 管理网（企业网）存在的问题
●　管理网（企业网）所有非以太网连接的用户接入带宽严重不足。
●　由于现有的组网模式是企业网与城综网彼此隔离，往往综合性的网点
需要几条线路，造成浪费。
●　管理网（企业网）广域网中使用的 Motorola 路由器故障率高，端口

损坏严重，维修困难。
●　管理网（企业网）与总行连接的 Motorola 路由器，故障率比较高
●　管理网（企业网）整个 IP 地址分配基本是符合此次总行建议的规范，
但也有部分企业网需要保留的地址被分配了。
●　管理网（企业网）目前还没有必要链路的备份措施。
1.5.4 外连网存在的问题
● 外连网缺乏统一的平台，其广域网地址不符合总行新的 Ip 地址分配规
范，也需要做调整。
● 外连网与建行核心业务网络耦合度大，外连网业务的变化往往带来核
心业务的变动。
●　外连网的网络连接模式，不符合总行网络安全要求，而且还造成设备
第 19 页共 82 页
的利用率不高，监控管理困难。
第 20 页共 82 页
第2章网络改造的需求规定
2.1 总体目标
总行骨干网改造是 A 总行为了适应新形势下银行激烈竞争，提高 A 银行核

心竞争力的一项具有战略意义的举措。三峡建行网络改造作为整个建行网络改
造工作的一个组成部分，成功的网络改造将使三峡建行能够在较长时间里在当
地同业的竞争中继续保持科技优势，从而推动各项业务的快速发展。
三峡建行网络改造的总体目标是以此次总行骨干网改造为契机，在不
影响全行正常业务开展的前提下，将目前分离的城综网、清算 A 卡网和
企业网整合成为统一的以 IP 技术为主体的稳定、可靠、高效的综合网络平
台，实现建行核心业务和外连业务的有机分离，为最终完成全建行数据
集中做网络准备。
2.2 网络改造需求
2.2.1 三峡建行局域网
1、根据总行骨干网改造方案，三峡建行
局域网需要有两台主交换机，而且都必须能
够支持第三层路由交换，而三峡建行目前只有一
台主交换机 Catalyst 5505 且没有配置第三层交换模
块。这次网络改造中需要增加三峡建行网络
中心需要增加一台高档交换机，并增加配置
Catalyst 5505 相应的第三层交换模块。
2、通过网络改造实现全行核心业务的网
第 21 页共 82 页
段按照总行最近下发的〈〈关于调查 IP 地址
使用情况及征集对 IP 地址修订建议的意见的
通知〉〉的要求整合，外连业务网络将采用
新的接入方式，引进统一的中间业务平台和
网络连接平台。
3、随着业务的拓展，特别是语音、视频
的应用，三峡建行目前的局域网 10M/100M 也面
临带宽不足的压力，考虑在三峡建行大楼与
科技部之间的骨干上千兆以太网，三峡建行
大楼用低端交换机替换 HUB 。
2.2.2 三峡建行城域网
１、进一步扩展城域网的连接范围，将丙
办的光纤延伸到己支行机关，架设到戊支行
机关的光纤，使庚、戊这两个城区主要支行
接入三峡建行城域网，减少通信费用。
２、为三峡建行城域网提供必要的链路备
份措施。
2.2.3 广域网接入
1、与总行的一级骨干网连接按照总行骨
干网改造要求实现。
2、考虑对伍支行、东办等城区支行以及
第 22 页共 82 页
各县支行等综合性的网点的企业网、城综网
线路合并，接入带宽提高到 64K ，通过路由器
连接到三峡建行；
3、对于业务量大或线路集中的网点也考
虑使用路由器，并提高接入速率到 64K ；
4、其他网点提速后仍使用目前的串口协
议连入三峡建行中心网络，将 SLIP 改为 PPP；
5、前台网点的广域网采用的 PSTN 拨号备份
实现后台无人干预。
6、外连网络的广域网连接整合到一套网
络设备上，并安装防火墙与营业网隔离。
2.2.4 网络管理的需求
1、具有网络管理基本功能，提供设备管
理、配置管理、图形面板、流量监控、故障
判断、拓扑发现等。
2、在不影响关键业务运行的前提下，收
集分析网络流量中的应用信息，网络管理员
可以定义、监控并评估网络连接性、安全性
和性能策略，并进行网络的规划和设计。
第 23 页共 82 页
3、网管系统能够作到管理监控到全网所
有网络设备，直观的显示各种设备运行状态，
并对各种异常情况实现自动报警。
2.2.5 网络安全管理需求
１、网络设计中利用防火墙、 VLAN 等技术，
确保计算机网络系统计算机网络系统安
全漏洞最小化，使网络入侵的风险得到
控制。
２、能够使安全管理员了解计算机网络系
统的整体安全状况。
３、可监控到来自网络内部和外部的 “ 黑
客 ” 入侵。
４、能够为查明入侵的来源提供有效的依
据。
5、能够对整个网络系统从网络层、系统
层、数据库和应用层进行安全脆弱性进
行评估，提供安全修复指引。
2.2.6 语音、视频应用的需求
１、在三峡建行一级安装有能与与总行通
话的 IP 电话 20 门，并能够参加总行举行
的视频会议。
２、在条件允许的情况下，在三峡建行城
域网内能够实现 IP 电话和视频服务。
第 24 页共 82 页
第3章网络改造的基本原则
● 高可靠性
选用可靠性较高的网络产品，合理设计
网络架构，制订可靠的网络备份策略，保
证网络具有故障自愈的能力，从而最大限
度地支持各业务系统的正常运行。
● 实用性
网络改造方案设计实施应充分考虑实际
需求和费用，追求高的性效比
● 安全性
制订统一的网络安全策略，整体考虑网
络平台的安全性
● 集中管理
对网络实行集中监测、，并统一分配带
宽资源。选用先进的网络管理平台，具有
对设备、端口等的管理、流量统计分析，
及可提供故障自动报警。
● 可扩展性。
根据未来业务的增长和变化，网络可以
平滑地扩充和升级，减少对网络架构和现
有设备的调整。
第 25 页共 82 页
● 灵活性
支持大型的动态路由协议，支持策略路
由功能，保证与其它网络 ( 如公共数据网、
金融网络、行内其它网络 ) 之间的平滑连接。
● 技术先进性
以先进、成熟的网络通讯技术进行方案
设计及实施，相关的技术均要符合国际标
准。
● 保护现有投资
保证网络整体性能的前提下，充分利用
现有的网络设备或做必要的升级。
● 分阶段实施原则
对整个网络改造进行统一规划，分阶段
逐步实施。
第 26 页共 82 页
第4章网络总体设计
4.1 三峡建行网络系统改造目标总体架构
4.1.1 组网模式
大型网络的网络结构是层次化的，正确理
解我行网络层次的划分和每个层次的主要作
用，有助于我们合理选择网络拓扑和网络技
术。鉴于三峡建行的特殊性，我们将网络结构设
计为如下层次：
城域网：城域网实现建行同城网络的连接，
包括中心机房到丁机房、甲路机房的连接。
分布层：实现网络统一策略的互联层，访
问层向核心层的汇接点，三峡建行到各县支
行构成的二级网络即属于网络分布层。
接入层：为最终用户提供对网络的接入，三
峡建行到各营业网点构成的网络即属于网络
接入层。同时，接入层网络包括三峡建行与
外连网的连接。
按照以上方式进行组网，层次比较清晰，
便于方案实施，。
组网模型如下图：
第 27 页共 82 页
分行城域网 B：分布层
C：接入层
B B C
C
县支行城区各支行网点外接网
4.1.2 网络总体拓扑结构设计
网络改造后的网络拓扑结构示意图如下所示：
第 28 页共 82 页
4.2 局域网改造
4.2.1 局域网改造方案
设备选择
在三峡建行网络中心，增加一台高性能的
交换机 Cisco Catalyst 6509 ，同时在 Cisco Catalyst 5505 增
加千兆模块和 RSM 路由模块，通过两条千兆链
路连接起来，利用 Gigabit EtherFast 技术既相互备份，
又负载均衡。
Catalyst 6509 可以提供高性能、多层交换的数据
通信，满足内部网络（ INTRANET ）、苛求网络
服务和网络语音应用。每台 Catalyst 6509 配置两
块带有 PFC 子卡和 MSFC 子卡的超级引擎，互为
备份，其中 PFC 子卡主要用于扩充 Qos 能力，
可以实现基于应用（ TCP/UDP 应用端口号）的
服务质量控制，而 MSFC 子卡主要是取代原来
的路由模块 MSM 实现线速三层交换，并且进行
了很大的扩充，数据包吞吐率从原来的 6Mpps
扩充到 15Mpps 。
同时， Catalyst 6509 配置一个 48 口 10M/100M 模块
分别提供与网管工作站、路由器等的连接。
为了保证中心交换机的可靠性， Catalyst 6509
配置双电源冗余系统。
将原有 Catalyst 5000 交换机从网络中心下移到
江阁大楼，同时增加两个千兆模块，分别以
1000Mbps 速率同 Catalyst 6509 和 Catalyst 5505 相连。
第 29 页共 82 页
VLAN 划分
将局域网按服务器业务类型划分为不同
VLAN ，主要有：业务网、管理网等，也可以
按照部门划分 VLAN ， VLAN 之间的通信可以通
过诸如主交换机中设置的策略路由等加以控
制。
三峡建行网络中心局域网网络拓扑图

三峡建行网络中心网络拓扑图如下：
网络中心交换机设备配置表
设备配置表如下：
第 30 页共 82 页
序号产品号产品名称数量
Catalyst 6509
1 WS-C6509 Catalyst 6509 Chassis 1
2 WS-CAC-1300W Catalyst 6000 1300W AC Power Supply 1
3 WS-CAC-1300W/2 Catalyst Second 6000 1300W AC Power Supply 1
4 WS-X6K-S2-MSFC2 Catalyst 6500 Supervisor Engine-2, 2GE, plus MSFC-2 & PFC-2 1
5 WS-X6K-S2-MSFC2/2 *Cat 6500 Red. Sup2, 2GE, MSFC2 & PFC2 (In Chassis Only) 1
6 MEM-C6K-FLC24M Catalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option 1
7 MEM-MSFC-128MB Catalyst 6000 MSFC Mem, 128MB DRAM Option 1
8 WS-X6408-GBIC Catalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs) 1
9 WS-G5484 1000BASE-SX "Short Wavelength" GBIC (Multimode only) 8
10 WS-X6248-RJ-45 Catalyst 6000 48-port 10/100 RJ-45 Moudel 1
11 SC6MSFCA-12.0.3XE Cisco IOS Catalyst 6000 Family MSFC - Enterprise 1
12 FR-IRC6 Catalyst 6000 Family InterDomain Routing Feature License 1
Catalyst 5505（增加模块）

13 WS-X5403 C5000 Gigabit Ethernet Switching Module w/o GBICs (3 port) 1
14 WS-G5484 1000BASE-SX "Short Wavelength" GBIC (Multimode only) 3
15 WS-X5302 Catalyst 5000 Route Switch Module 1
4.3 城域网改造
城域网主要提供城区各个主要局域网的接入，包括江阁大楼、云路机房、信用
卡部和星办局域网的接入，还包括增加戊和己两支行局域网的接入
将三峡建行网络中心原有的 Catalyst 5000 交换机下移到江阁大楼，作为江阁

大楼局域网中心交换机，在 Catalyst 5000 新增两个千兆模块端口，通过
1000BASE-SX 模块分别和 Catalyst 6509、Catalyst 5505 相连，两条链路互为备
份。
甲路机房、信用卡部和星办局域网保持原有结构不变。
戊和己支行需铺架光纤，接入三峡建行城域网，己支行需增加一台 Catalyst
2924 交换机。
城域网改造后，网络拓扑图如下：
第 31 页共 82 页
城域网链路备份方案有两种：
方案一是通过 ISDN 连接路由器的方式，
方案二是通过 10M 的无线以太网方式（方案见附件）。这两种备份方式都只

备份营业网
4.4 广域网改造
4.4.1 广域网分布层改造
分布层网络主要是指三峡建行到县级支行和城区较远支行的网络连接。
三峡建行到上述支行的网络拓扑图如下：
第 32 页共 82 页
链路说明：支行采用 64K DDN 链路与三峡建行
网络中心互连，用于传输营业数据和企业内
部管理数据；同时利用 PSTN 链路作为备份线路。
设备选型：县级支行局域网进行改造，配置
一台 Catalyst 2924 交换机，通过选用的 CISCO 2600 系列
路由器分别与三峡建行相连。在 Catalyst 2924 划分
VLAN 将管理网和营业网隔离开。
节点确定原则：该节点就近有既营业网又有
管理网的广域网的接入。初步确定有
b、 c、 d、 e、 f 、 g、 h、 i 各县支行以及城区、
国际业务部。
第 33 页共 82 页
4.4.2 广域网接入层改造
接入层网络主要是指三峡建行到网点的网络连接。
三峡建行到网点的网络拓扑图：
链路说明：大的网点采用低端路由器（还可广泛采用原有的一些非 CiscoL
路由设备）通过 64K DDN 链路与三峡建行网络中心互连，用于传输营业数据，
小的网点采用异步 MODEM 通过 64K DDN 链路与三峡建行网络中心互连；同
时利用 PSTN 链路作为备份线路。
节点确定原则：该节点就近有多条营业网的广域网的接入。初步确定有航空
办、北山办、五广分理处等。
4.5 外网的连接
为了实现三峡建行和外网（主要是开展的
中间业务）的连接，通过将运行中间业务的
前置机和路由器之间放置一台 PIX 防火墙进行
第 34 页共 82 页
物理隔离，配置一台 CISCO 3661 ，配置多口同步
模块，通过 DDN 与证券营业部相连，同时提供
三峡建行局域网与外网连接图如下：
4.6 可靠性设计
三峡建行网络可靠性包括网络设备备份和
链路备份（包括电话拨号）。
4.6.1 设备备份
三峡建行局域网中心设备备份
三峡建行中心局域网中心增加一台高性能
的交换机 Cisco Catalyst 6509 ，同时在 Cisco Catalyst 5505
增加千兆模块和 RSM 路由模块，通过两条千兆
链路连接起来，利用 Gigabit EtherFast 技术既相互备
份，又负载均衡。
Catalyst 6509 配置双引擎和双路由模块，同时
第 35 页共 82 页
配置双电源冗余系统，保证中心交换机的可
靠性。
提供一台 CISCO 3662 交换机，配置同异步模
块，作为中心路由器的设备备份。
城域网设备备份
在三峡建行中心交换机 Catalyst 6509 上备份一块 24 口 100M 多模光纤模
块，同时提供一台 Catalyst 1924C 交换机，作为城域网下一级节点的设备备
份。
支行局域网设备备份
提供一台 Catalyst 2924 交换机，作为远程支行局域网交换机的设备备份。
4.6.2 链路备份
城域网链路备份
城域网的主干链路为光纤连接，为了保证城域网的链路的可靠性，可以采
用 ISDN 备份
在城域网各节点申请一条 ISDN 线路，同时增加一台 CISCO 2600 路由器，配

置一个 ISDN 模块，当光纤主干链路出现故障时，启动 ISDN 线路，保证城域
网的连通。
广域网线路备份
● 支行广域网链路备份
支行选用 CISCO 2600 路由器通过 64K DDN 链路与
三峡建行网络中心互连，用于传输营业数据
和企业内部管理数据，同时利用 PSTN 链路作为
备份线路。
第 36 页共 82 页
● 网点广域网链路备份
大的网点采用 CISCO 2600 路由器通过 64K DDN 链路与三峡建行网络中
心互连，用于传输营业数据，小的网点采用异步 MODEM 通过 64K DDN 链路
与三峡建行网络中心互连；同时利用 PSTN 链路作为备份线路。
4.7 网络 IP 路由设计
路由协议对网络的稳定高效运行、网络在
拓朴变化时的快速收敛、网络带宽的充分有
效利用、网络在故障时的快速恢复、网络的
灵活扩展都有很重要的影响。
在大型网络中，静态路由和某些动态路由
如 RIP 、 IGRP 由于其固有的局限性 ( 扩展性差、
不支持 VLSM) ，不适合在网络节点多、规模大
的网络中使用。目前在大型网络中最常见的
路由协议是 OSPF 和 EIGRP 。
由于在大型的网络中有多种平台的路由器
存在，而 EIGRP 仅为 Cisco 独家支持。由于我们为
了充分利用原有网络设备（其中很大一部分
是非 Cisco 的）无法选择 EIGRP ，且在最新内部路
由的设计中， OSPF 的性能在流量整形方面远超
于 Eigrp 。故我们在本网络方案中内部主路由协
第 37 页共 82 页
议选择 OSPF 。
4.8 面向应用的网络服务
4.8.1 业务分类和数据特点的分析：
不同的应用系统对网络服务的要求不同。
在一个统一的网络平台上，应该保证对于不
同的应用数据根据其具体要求提供相应的网
络服务，并能在因故障导致网络资源稀缺时
优先保证关键性业务数据的传输。
经对我行现有应用系统的网络需求分析，
按其重要程度分为以下两类：营业类、管理
类。
营业类业务系统
包括综合网柜面业务系统、清算系统、龙卡
系统、网上银行等。
这些业务是我行最重要的业务，应优先
得到保障。这些业务的数据包大小比较固定，
对数据传输的延时要求比较高。
管理类业务系统
包括 OA 、信贷、总帐传输、人力资源、电
子邮件等管理系统。
这一类管理信息目前主要是普通的文件传
第 38 页共 82 页
输，数据流量大、突发性强、对实时性要求
较低，但要求能够可靠传输，流向目前主要
是纵向。
综合类业务系统
包括访问行内信息网站、 Internet 浏览以及 IP
电话、视频会议、网上培训多媒体增值业务
等。
这些都属于流量增长最快的应用系统，流
量大、随机性强，流向可能是任意方向的，
其中多媒体业务是面向非连接的，对时延非
常敏感。
4.8.2 QOS 保证
使不同的业务集成在了同一个网络平台上，
如何保证不同业务数据的优先级别和传输质
量就成了一个很重要的问题。同时将要实施
的语音等新应用对网络提出了新的服务质量
的要求。要保证以上数据的网络服务质量，
需要采用策略路由实现根据不同的业务数据
种类选择不同链路传输，并在每条线路上采
用带宽分配、优先级控制等 QOS 控制技术保证
各类应用数据的有效传输。
QoS 控制技术
为了避免增加过多的控制策略导致路由器负
第 39 页共 82 页
载过重，选择以下几种 QOS 控制技术，简单有
效地实现各类应用的 QOS 保障。
● 接入速率控制 (CAR) CommittedAccessRate(
● IP 优先级控制
● 队列机制 (WeightedFairQueuing)
● 先期拥塞控制 (WRED)
● 标记交换 (MPLS)
● 语音数据优先
在三峡建行在此次网络改造中将广泛采用上
述技术保证网络通畅，特别是营业数据的正
常传输。
第 40 页共 82 页
第5章三峡建行网络管理设计
在三峡建行广域网中，设备繁多，网络
规模大，地理位置跨越广，且应用环境复杂。
对于诸多网络硬件设备和网络应用，只有对
网络进行有效地组织和管理 , 才能够充分利用
网络软硬件资源，发挥其效力，为系统应用
提供良好的网络运行平台。为了提高系统的
分级安全性 , 设计网络管理系统，便于管理和
故障处理，监控的实时性。
以 CiscoWorks2000 为网络管理平台；以美国 BMC 软件公司的 PATROL 组

件为基础，集成网管系统、系统的监控程序和自行开发的监控程序，建设集中
监控管理系统，实现计算机网络系统的集中监控和管理，实现监视各种主机／
服务器、数据库、网络和网上关键性系统的运行状态、工作任务完成情况，自动
启动工作任务，进行作业调度，减少中心机房值班人员的工作压力，逐步实现
主机房无人值守。同时，配置 BMC 的数据备份与恢复软件，从而减少因系统停
机、重要数据信息的丢失等而造成的业务停顿，最大程度上保证系统的高可用
性和可管理性，以保障 7x24 小时关键性应用系统的运行，最终实现企业信息
系统的管理目的。
5.1 网管系统功能及其职责
为了保障网络运行的品质，维持网络传送频率，降低传送错误率，确保
网络安全等，网络系统技术人员借助网络管理工具或本身的技术经验实施网络
管理，职责内容可分为下列八大类。
网管系统的职责:
• 网络监控 : 监视网络的运行状态,控制网络路由和流量,分析运行记录和报
警信息
第 41 页共 82 页
• 性能控制 :据网络应用状态,负荷状态,网络利用率,合理调整网络性能。
• 故障管理：为确保网络系统的高稳定性，在网络出现问题时，必须及时察
觉问题的所在。它包含所有节点运作状态，故障记录的追踪与检查及平常可
对各种通讯协议的测试。
• 效率管理：效率管理在于评估网络系统的运作，统计网络资源的运用及各
种通讯协议的传输量等，更可提供未来网络提升或更新规划的依据。
• 用户记帐管理 : 建立统一的记帐系统,对网络资源的使用采取收费记帐的
方法,对不同的资源访问制定不同的收费标准和算法。
• 网络安全管理 : 用户身份确认,访问控制,对用户权限以及用户帐户进行维
护和管理,设置相应口令与更新.加密和密钥管理.监视和控制网上的破坏安
全系统的行为。
• 运行管理 : 制定网络运行的技术标准,可靠性, 安全性方案和运行制度。
• 计费管理：了解网络使用时间，能针对各个局部网络做使用量统计。一则
可作为使用网络计费的依据，更可作为日后网络升级或更新规划的参考。
网络管理员能够借助网管软件，对网络上的任何资源和进程调用。
5.2 网络管理平台和网管工作站
通过前面的分析，网络系统设备采用了 cisco 的交换机、路由器和远程访

问服务器，针对系统的这个特点，推荐 cisco 公司的最新推出的网管系统
CiscoWorks2000。
1、网管平台设计
将原有网管软件 CWSI 进行升级，采用 Cisco 公司提供的最新
CiscoWorks2000 的广域网套件，用于对网点网络设备进行管理，局域网套件，
用于对三峡建行局域网进行管理。
2、网管工作站设计
由于网管工作站将实时处理网络设备上传的运行参数，因此必须具备大
内存、高性能 CPU 和良好图形显示功能。拟保留原有网管工作站。
3、cisco 网管软件和其基本管理模式 -CiscoWorks2000
第 42 页共 82 页
网管系统 works2000 包括局域网和广域网网组
件，还包括语音管理套件。
4、自主网络监控软件的开发
由于 cisco 网管软件的专用性，无法有效监控
到非 Cisco 设备，更不能监控到大部分采用串口
协议的网点，为了能够监控到所有网点，需
要对相关软件做大量的客户化开发工作。
第 43 页共 82 页
第6章网络系统安全设计

由于网络的开放性和网络技术的发展，网络安全本身已经成为一个与时
间和技术相关动态的概念。针对传统安全模型的缺陷和不足，有关公司提出了
一个极具创意的，能够自我不断完善、不断发展、自我适应能力极强的崭新的网
络安全模型---P2DR 安全模型，我行这次网络系统安全的实施就准备基于这个
模型。
6.1 安全模型（ P2DR 模型）
P2DR 方案是一个超前的安全模型，它是在对国际上安全方面可靠的权威
著作进行多年研究的基础上独自发展出来的。它的指导思想比传统安全方案有
突破性提高。P2DR 模型如图所示：
Policy 策略、Protection 防护、Detection 检测和 Response 响应组成的完整模

型体系，可以描述和解释任何信息安全问题。P2DR 安全模型的特点就是动态
性和基于时间的特性，可以说对信息安全的“相对性”给予了更好地描述：虽
然没有 100%的安全，但是模型为进一步解决信息安全技术问题提供了有益的
方法和方向。
Policy(安全策略)---安全策略是 P2DR 安全模型的核心，要想实施动态网

络安全模型，必须首先制定企业的安全策略，所有的防护、检测、响应都是依据
安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。
第 44 页共 82 页
Protection（保护）---保护通常是通过采用一些传统的静态安全技术及方
法来实现的，主要有防火墙、加密、认证等方法。通过防火墙监视限制进出网
络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能力，
当然需要根据安全策略制定合理的防火墙策略；也可以利用 SecureID 这种一
次性口令的方法来增加系统的安全性等等。
Detection（检测）---在 P2DR 模型，检测是非常重要的一个环节，检测是

动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监
控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效的响
应。---检测主要包括“漏洞检测”和“入侵检测”两个部分。
Response（响应）---紧急响应在安全系统中占有最重要得地位，是解决
安全潜在性最有效的办法。在检测到安全漏洞和安全事件之后必须及时做出正
确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是要解
决紧急响应和异常处理问题。要解决好紧急响应问题，就要制订好紧急响应的
方案，做好紧急响应方案中的一切准备工作。
总之，一个信息安全方案必须对安全策略、
安全防护、安全检测和安全响应有准确和完
整的描述。
值得强调的是， P2DR 安全模型已被正式收录进
人民银行的安全蓝皮书：《国家金融信息系
统安全》总体纲要 - 1999.12
6.2 三峡建行网络系统总体安全体系
6.2.1 安全策略设计
1、安全策略描述原则
由于数据传输的安全性关系到我行的服务质量和信誉保证，关系到客户
的切身利益，因此在制定安全策略时，要加强对数据传输的限制，即只有
表示为允许的才可以进行传输这一原则来加强对网络安全的限制。
2、具体安全策略
三峡建行安全策略应该包括：用户管理、职责划分、安全管理、安全评估、
安全监控、紧急响应、异常处理、授权操作、恢复策略以及跟踪审计等
第 45 页共 82 页
6.2.2 总体安全体系的规定
网络系统的安全从体系结构上来看应该是一个多层次、多方面的结构。通过
对我行网络所面临的安全状况的分析，可将整个三峡建行网络的安全性在总体
结构上划分为四个级别：网络级安全、应用级安全、系统级安全和企业级安全。
第 46 页共 82 页
网络级安全是指在网络的下三层 ( 物理层、
链路层、网络层 ) 采取各种安全措施来保障整
个三峡建行网络的安全，包括数据包过滤、
VPN 虚拟私有网、 VLAN 的划分、访问控制、身份
认证、数据包加密传输、安全审计、安全监
控和安全漏洞检测等
应用级安全是指通过利用三峡建行网络中
各大应用系统（如综合业务系统、清算系统、
企业网系统等等）和大型关系型数据库自身
的安全机制，在应用层保证对三峡建行网络
中各种应用系统的信息访问合法性；
系统级安全主要是通过对操作系统 (UNIX、 NT)
的安全设置，防止利用操作系统的安全漏洞
对整个三峡建行网络构成安全威胁；
企业级安全主要是从三峡建行范围内的安
全管理和计算机病毒防范两方面来保障整个
我行网络的安全。
此次网络改造我们主要对网络级安全加以
设计。
6.3 三峡建行网络级安全设计
可适应性网络安全由四个集成的方案组成。
第一，端对端的网络安全要求持续的、综合
的安全评估，通过自动的基于网络的和基于
第 47 页共 82 页
主机的扫描技术实现；第二，对安全弱点的
响应通过已建立的安全策略中相关的安全漏
洞来衡量。更正动作很容易获得并迅速实现。
另外，基于网络和主机的实时入侵检测提供
对内部攻击、外部攻击和误操作的实时保护。
最后，对安全威胁的网络自动更正包括主动
中断连接和网络设备的重新配置。
网络安全的程度必然是动态变化的，所以
网络安全不可能是一个静态的结果，需随着
网络环境的变化，并综合各种可能的影响安
全的因素来制订整个网络的安全策略
对于系统安全设计，一定要充分考虑整个
三峡建行网络系统的实际需求和网络现状，
以我行网络与外部的连接作为安全设计的重
点，可通过以下措施来从网络物理层一直到
应用层保证整个网络系统的安全使用。
6.3.1 局域网安全设计
由于局域网中采用广播方式，因此，若在
某个广播域中可以侦听到所有的信息包，黑
客就可以对信息包进行分析，那么本广播域
的信息传递都会暴露在黑客面前。
三峡建行局域网在空间分布上是城域范围
的，局域网的安全必须认真考虑，局域网安
全主要有采取 VLAN 划分以及利用安全软件对局
域网进行扫描。
第 48 页共 82 页
划分 VLAN
虚拟网（ VLAN ）技术主要基于近年发展的局
域网交换技术（ ATM 和以太网交换）。交换技
术将传统的基于广播的局域网技术发展为面
向连接的技术。因此，网管系统有能力限制
局域网通讯的范围而无需通过开销很大的路
由器。以太网从本质上基于广播机制，但应
用了交换机和 VLAN 技术后，实际上转变为点到
点通讯，除非设置了监听口，信息交换也不
会存在监听和插入（改变）问题。
由以上运行机制带来的网络安全的好处是
显而易见的：信息只到达应该到达的地点。
因此，防止了大部分基于网络监听的入侵手
段。通过虚拟网设置的访问控制，使在虚拟
网外的网络节点不能直接访问虚拟网内节点。
但是，虚拟网技术也带来了新的问题：执行
虚拟网交换的设备越来越复杂，从而成为被
攻击的对象。基于网络广播原理的入 MAC 的
VLAN 不能防止 MAC 欺骗攻击。采用基于 MAC 的
VLAN 划分将面临假冒 MAC 地址的攻击。因此，
VLAN 的划分最好基于交换机。但这要求整个
网络桌面使用交换端口或每个交换机所在的
网段机器均属于相同的 VLAN 。
第 49 页共 82 页
VLAN 的划分方式的目的是保证系统的安全性。
因此，可以按照系统的安全性来划分 VLAN ：可
以将总部中的服务器系统单独划作一个 VLAN ，
如数据库服务器、电子邮件服务器等。也可
以按照机构的设置来划分 VLAN ， VLAN 之内的连
接采用交换技术实现， VLAN 与 VLAN 之间采用策
略路由来控制数据传输。
在三峡建行局域网在安全设计时将采取上
述两种划分 VLAN 的策略来保证系统的安全性。
安全漏洞扫描
在三峡建行整个网络系统中（包括三峡分
行、各支行、局域网、广域网）配置 ISS Internet
Scanner （网络安全扫描器）、在分行中心企业
网和营业网中重要的主机中安装 ISS SYSTEM
scanner 、在分行中心企业网和营业网中的数据
库服务器中安装 ISS DATABASE scanner ，可在通讯和
服务层、系统层、应用数据层扫描出网络 / 系
统 / 数据应用存在的安全漏洞，并提交漏洞报
告和修补漏洞的建议，使网络安全风险降到
最小。
安全入侵检测和响应
第 50 页共 82 页
在三峡建设银行整个网络系统中，主要应
用业务数据（企业网和营业网）均是存放在
分行中心，中间通过 VLAN 划分进行各个业务系
统隔离，具备一定的信息安全功能，但缺乏
对各个业务系统数据通信的安全检测和监控，
不能够做到对各个系统安全状况心中有数，
不能够对安全事件进行统计和预测，不能够
对外来入侵和内部误用进行自动的实时响应，
在系统遭受破坏之前将入侵者驱除出外。
故在各个业务系统核心数据服务器网络入
口处，配置 ISS 的 realsecure network sensor 对外来与本
业务系统核心数据服务器连接的所有通信流
量进行安全监控，同时在核心业务主机中配
置 realsecure OS sensor 从系统层面中对系统攻击事
件进行安全监控。通过两者的配合，对一些
危害网络安全和信息安全的行为进行阻击，
也可以作为对犯罪分子的犯罪证据，从法律
角度对犯罪分子提出指控。
6.3.2 广域网安全设计
由于广域网采用公网传输资料，因而在广
域网上进行传输时信息也可能会被不法分子
截取。如从分支机构发一个信息到三峡建行
时，这个信息包就可能被人截取和利用。因
此在广域网上发送和接收信息时要保证：
除了发送方和接收方外，其它人是不可知悉的（隐私性）；
传送过程中不被篡改（真实性）；
发送方能确信接收方不是假冒的（非伪装
第 51 页共 82 页
性）；
发送方不能否认自己的发送行为（非否
认）。
能够对所有网络访问活动和攻击行为进行
过程监控、威胁统计和预测。
内部广域网安全设计
1、在应用程序普遍采用 IC 卡的基础上，
在广域网连接设备之间的网络通信对数据包
进行加密。
2、对于从外部拨号访问三峡建行内部局
域网的用户，由于使用公用电话网进行数据
传输所带来的风险，必须严格控制其安全性。
对于内部广域网采用拨号备份时可以使用回
拨确认等方式来防止非法访问。
3、加强对拨号用户的身份认证，使用
RADIUS 等专用身份验证服务器（ AAA 服务器）。一方面，

实现对拨号用户帐号的统一管理；另一方面，
在身份验证过程中采用加密的手段，避免用
户口令泄露的可能性。
4、在数据传输过程中采用加密技术，防止
资料被非法窃取。
5、因为内部广域网中安全弱点主要来自
于网络互联设备和网络传输设备的安全漏洞，
故采用 ISS internet scanner 漏洞扫描工具从网络
层对整个内部广域网络系统进行安全漏洞扫
描和评估，从而采取措施修复安全漏洞，加
第 52 页共 82 页
强安全管理、设备管理、软件管理等安全工
作。
外连网的安全设计
1、在连接外部网时，使用路由器与外网
进行隔离，在路由器上设置访问控制列表
（ ACL ），屏蔽未经允许的访问。
2、连接外部网时，在三峡建行内部网与
路由器之间安装 PIX 防火墙，利用防火墙的数
据包过滤、地址隐藏以及 VPN 功能保证外部的
非法访问无法进入建行内部网。
3、使用 DMZ 非军事化区，将业务前置机放
置于非军事化区，这样既保证外连网正常业
务，又保证内网安全。
4、在 DMZ 区、连接外连网的网段，配置了
ISS 入侵监测系统实时监视网络的非法入侵行
为。该系统包括 RealScure console 、 RealScure ageng(包括 network
sensor和 os sensor) 两部分，其中 RealSecure ageng 可以从网
络和系统两个层次实时检测政策违规，不影
响网络性能，它分析各个数据包的内容和上
下文，决定流量是否未经授权。如果一个网
络的数据流遇到未经授权的活动，例如 SATAN 攻
击、 PING 攻击或秘密的研究项目代码字，
RealScure ageng 会给 RealSecure console 管理控制台转发告警，
并从网络删除入侵者。在网络入口处配置
realsecure network sensor ，可以在业务前置机中安全
第 53 页共 82 页
realsecure os sensor 相应地，在数据中心配置的 Real
Scure console 软件负责对 Real Scure Agent 的管理。
5、为检查网络中可能存在的安全漏洞，
在网络中配置 ISS internet scanner ，对系统和网
络进行扫描，主动查找安全漏洞，并自动生
成关于安全状况的报告。
6、对于来说，由于与相连企业之间传输
的都是关键性的资金帐务信息，在有条件的
地方，可以适当采取链路加密措施，选用一
些独立的链路加密设备进行对传输数据进行
加密保护。
第 54 页共 82 页
第7章 IP 电话网络设计
7.1 IP 电话网络建设的必要性
语音的集成技术:Voice over IP 是数据、语音、视频集成的新兴技术之一，

IP 语音极为重要。语音是对服务质量(QoS)最为敏感的信息流类型，堪称对网
络工程和性能的最好测试。IP 语音的需求使 IP 环境中的 QoS 有所改变，并将最
终导致 QoS 在 Internet 中使用，以便进行传真、语音电话和视频电话服务。IP
语音最终将会成为使通话向 LAN 体系结构移植过程中的核心部分。
数据网与语音网的结合是当今网络界发展的一种趋势。通过语音数字化及
压缩技术，可将通话时的模拟语音信号数字化后，再压缩成语音数据包，然后
再将语音数据包封装在 IP 数据包中，通过已有的 IP 数据网（Internet 或
Intranet）传输，即可实现“ 网上电话”, 经过一系列优化和带宽保证,打语
音电话的质量与通常电信网上的话音质量几乎是一样的。
7.2 IP 电话所使用的几种技术
 语音压缩
在通常的电话网中打一路电话需要 64K(bps)的带宽，而在数据网中维持
一条语音话路只需要少于 10K 的通信带宽；即传输语音数据包所需要的带宽比
传统的语音网要少。这是将语音信号编码/解码，即将模拟的语音信号数字化
后再压缩以及反向流程的的结果，语音信号编码/解码的质量决定了 IP 电话的
话音质量。采用 G.729 或 CS－ACELP 技术，可将一路 IP 电话所需的带宽降为
8K，且通话的质量与传统的电话网中的话路（64KPCM 编码）质量几乎相同。
 静音抑制
人们在打电话时，通话间会有间隙，即有一部分被传输数据包并未含有
任何语音信息。通过静音抑制技术，可以减少语音电话对带宽的需求，将节省
的带宽为其它数据传输所用。
 服务质量功能
在 Internet 网以及其它 IP 数据网中，语音数据包传输的优先权必须得

到保证。带宽预留协议(RSVP)可以为语音数据包预留带宽；队列技术，如：
FIFO，Priority Queuing,Custom Queuing, Weighted Fair Queuing,可以优
第 55 页共 82 页
先保证小数据量数据包的传输；另外，实时数据传输、数据包头压缩协议(RTP)
等也提供服务质量的保证。
语音流的传输控制网络设备可以为语音数据包的传输提供更多的附加功
能。如可以采用代价最小的路由策略以及虚拟专用网技术等。
语音交换网络设备不仅可以为一个公司内两个不同地点的办事处提供复
杂的语音数据包的传输功能，还能提供类似小型程控交换机（PBX）的功能，
如呼叫处理、话路交换等。
7.3 CISCO 的 VoIP 解决方案
CISCO 公司针对基于包交换网络技术的电话服务推出新型解决方案，这些
新方案将给电话服务提供商带来无限商机和回报。这些基于 H.323 协议的解决
方案包括分布式预付呼叫(distributed prepaid calling)、Internet 呼叫等
待（Internet Call Waiting, ICW）、点击拨号（click-to-dial）和清仓结算
(Clearinghouse Settlements)等。通过利用 Cisco H.323 网络，服务提供商可
以在他们已有的包交换式网络上寻找到新的利润增长点。
CISCO 公司作为网关的产品主要型号有 Cisco AS5300。
CISCO 公司增加了 Cisco AS5300/Voice Gateway 网关的话音端口密度。

如今，Cisco AS5300/Voice Gateway 支持 T1 系统的呼叫达 96 个之多，支持
基于 E1 系统的呼叫达 120 个。通过提升了的容量和新的 G723 压缩，如今，
Cisco 给服务提供商和大型企业提供更好的可扩展能力，这可以降低运营成本。
Cisco 推出的这些语音网关使得服务提供商能够利用现有的 IP 基础设施，更
为轻松地为他们的顾客提供增值服务。
Cisco AS5300 平台支持的话音网关应用软件使路
由器能够在 PBX ，集团电话或 PSTN 电路间连接话
音呼叫，在 IP 网络上传输话音。拨入的呼叫
终结在话音 / 传真卡上，运用包括 G.711 和 G.729 的
标准算法，在卡上将话音编码，压缩并被封
入 RTP 信息包中。使用标准 H.323 协议，一个呼叫
可被置入远程话音网关，远程网关将话音解
码，并传送给接收器。当一个拨入呼叫是传
真时，传真转播特性自动地决定，并在 IP 网
第 56 页共 82 页
络上向传真机发送信令，然后，仅当接收传
真机在线时，接受用于转发的传真。这样终
端用户能够确保传真被发送。
 Cisco 话音管理器
Cisco 话音管理器是一个基于 Web 的网络管理应
用，它配置并监视 Cisco VOIP 网关。网络监管者
能够实施拨号计划，实时监控呼叫行为和呼
叫质量参数，并生成说明呼叫过程和传送质
量的详细报告。
 服务质量
Cisco 话音技术在大多数不利的网络情况下
( 包括信息包延迟和信息包丢失 ) 维护通信传
输质量通信。在一个话音网络中，包丢失和
延迟都会对通话质量产生严重的负面影响。
Cisco 话音网关的高性能话音协同处理器设
计将话音编码和打包过程中信息包的延迟和
丢失减到最小程度。 Cisco 的 QoS 特性在话音网关
和骨干路由基础设施上实现，包括 IP 优先权，
RSVP ，加权公平排队， WRED 和多级多链路 PPP 分
割交叉。这些特性能够在最拥塞的网络上为
敏感的话音业务提供低延迟，高可靠性的路
径。
新的 Cisco AS5300 话音 / 传真特性卡的一个普遍
应用是 INTRANET 电话呼叫和传真。公司使用带有
话音 / 传真特性卡 Cisco AS5300 及与 Cisco 3600 和 Cisco
第 57 页共 82 页
2600 的话音模块，通过在现存的 IP 网络上传输
局间话音和传真业务，能够大幅度降低长途
电话和传真费用，而无损话音和传真质量。
在 INTRANET 中，通过使用 Cisco 的话音包 GATEWAY-ENABLED
系列产品，管理者能够监视和控制服务级别
从而在他们的数据网络上获得和维护长话音
质和传真传输。
采用 Cisco 话音 / 传真解决方案处理 INTRANET 电
7.3.1 三峡建行与总行的 VoIP 通信
三峡建行 IP 语音网络一是解决三峡建行和总行的长途通信问题，主要是
利用闲置的数据网络带宽开通 VoIP 功能，以节省长途电话费用。
目前，三峡建行到总行进行 IP 电话通信，
由于一路语音大约占用 12Kbps 带宽，本次为三
第 58 页共 82 页
峡建行开通 20 路话音，需要开通 1 条 E1 的数字
语音话路，因此三峡建行的语音网关选用 Cisco
AS5300/Voice Gateway ，共配置 1 个 E1 适配卡， 1 个 E1
适配卡连接到三峡建行程控交换机上，提供
与建总行的通信。
三峡建行到总行 VoIP 网络拓扑图如下：
在三峡建行配置两台 CISCO 3661 作为关守，运行 IP 电话管理软件，作

为 H.323 的 Gatekeeper。两台关守之间通过热备份协议，实现互为备份。
关守（ Gatekeeper ）可以提供地址翻译、带宽
控制、许可控制、域管理功能、带宽管理、
呼叫控制信令、呼叫鉴权和呼叫管理等服务。
7.4 IP 语音的管理
CVM (Cisco Voice Management) 提供了对网管的管理，
配置、状态监视及提供详细的 CDR(Call Details
Record) 原始数据，为用户生成详细的计费依据。
需要注意的是，在一个数据、语音、视频
共同传输的网络中，各种应用的优先级别设
置，应服从于整个网络的需要，集中的加以
控制。为此， CISCO 的策略式网络管理系列工
具就是这个目的，其中关于服务质量管理的
第 59 页共 82 页
第一代 QPM ，就可以方便管理者进行基于业务
策略的 QOS 设置。
第 60 页共 82 页
第8章三峡建行视频会议设计
视频会议已在社会性的信息交流中发挥了
巨大的沟通作用。视频会议通过通信网络把
两个或多个地点的多媒体会议终端连接起来，
在其间传送各种图像、话音和数据信号，使
出席会议者有亲临现场的感觉。除了用于多
点多媒体会议之外，视频会议系统还应用于
远程教育、远程医疗等需要传送实时音频、
视频和数据的应用。
视频会议能为用户提供直接、全面的沟通交流，并能节约时间、降低成本、
提高生产率，因此巨大的市场需求推动了视频会议技术的发展。国内外很多科
研机构和厂商都进行了多媒体多点会议通信系统的研究，并推出了各自的视频
会议系统。在研究各视频会议系统的基础上，国际电信联盟(ITU-T)形成了视听
多媒体通信系统国际标准的 H.200 系列建议，使不同厂商的多媒体通信产品能
够互通，推动了多媒体通信技术标准化的进程。
视频会议系统为总行到三峡建行的星型结
构，视频会议多点控制器（ MCU ）及总行视频
会议终端集中在总行局域网上，三峡建行视
频会议终端分别连接到三峡建行局域网上，
通过广域网建立全行视频会议系统的通讯连
接。
三峡建行局域网上，视频会议终端通过
10M/100M 交换端口接入局域网。
为保证视频会议效果，带宽要求 768Kbps。
第 61 页共 82 页
8.1 视频会议系统结构
目前视频会议系统主要采用 H.320 和 H.323 两
种组网协议。 H.323 协议适用于 IP 包交换的通
信线路，选择 H.323 作为视频会议系统的组网
协议，可以更好地实现视频会议、 IP 语音以
及数据应用部署在同一网络平台上。
视频会议系统逻辑结构如下图所示：
H.323MCU
行领导办公室
会议室视
频终端
总行中心
DDN
分行
桌面型视
频终端
办公室
8.2 会议电视终端设备
8.2.1 三峡建行会场
三峡建行会场采用 VCON 公司的 Media Connect
8000Pro 会议室型视频会议终端系统。 Media Connect
第 62 页共 82 页
8000 同时支持 H.323 和 H.320 标准，运行于任何专业
会议室和多功能会议室，集高质量、丰富的
视频、音频和数据于一体。 Media Connect 8000 在组
合机框和显示器配置上可分为单机配置、双
机配置和三机配置。主会场采用单机配置。
根据用户需要，单机配置可在任何时候方便
地升级为双机配置、三机配置。
单机标准配置为
可移动组合机柜
装有 VCON 编解码器板和 10BASE-T LAN 接口卡
的主机
高质量的 VTOP PTZ 摄像头
29” SVGA 显示器，可选 PAL 环境
支持 H.320/H.323 国际标准双工工作模式
有 T.120 数据功能，带无线键盘
VCON 用户界面友好的视频会议应用软件
Ms Windows™ ,Ms Office™ 及 Ms NetMeeting™
可接入国际互联网 Internet
Media Connect 8000 通过主机箱中的 10BASE-T 网卡与
第 63 页共 82 页
局域网交换机的 10BASE-T 端口相连。
8.3 实现功能
1. 电视会议
能召开有总行主会场、多个三峡建行会场参加的多点电视会议，而且网上
同时可进行多个多点会议，可通过多点会议控制器（MCU）对每个会议进行
控制和管理。大大节省召开各种会议所花时间和开支，提高工作效率。
2. 远程教学
能通过会议电视系统实现远程教学，对干部职工进行各种管理、业务及新
产品、新技术的培训，不断提高干部职工的素质和业务水平。远程教学实施简易，
教师与学员通过多媒体手段实现超越地理界限的双向交流，不仅保证教学的质
量，还能节省教学的开支。
3. 协同工作
会议电视系统在传送图像的同时，还能实现电子白板、文件传输和应用程
序共享，使企业 Intranet 用户真正实现面对面的数据交流与协作。
4. 音频 /视频广播
能利用会议电视系统，在网上进行电视节目的广播。广播的节目即可以是
实时的，也可以是预先录制的。会议电视系统可与有线电视网实现互连。
8.4 主要特点
1. 充分利用了现有的计算机及通信网络的
资源，保护了原有的投资。
2. 技术先进、功能完善、操作简便。
3. 节省投资。如：各分会场采用会议室型
会议电视终端，对其进行升级改造，使之满
足会议室环境的要求，使总体造价大大降低。
第 64 页共 82 页
4. 系统开放，符合各种国际标准，能与其
它厂商产品互连。
5 ．系统安全可靠、便于扩充、易于维护。
第 65 页共 82 页
h 附件 1 三峡建行 IP 地址分配规划
总行规定 IP 地址编码结构
比特数：8Bits 5Bits 3Bits 3Bits 13Bits

一级地域标识二级地域标识 000(扩展位) 类别标识用户网络地址
说明：
1 ）一级地域标识（ 8Bits ）
用于区分全国各省、自治区、直辖市和
计划单列市。三峡建行的编码为 01010110
2 ）二级地域标识位（ 5Bits ）
用于区分各省、自治区、所属各地、市、
州或直辖市和计划单列市所属的各区、县。
其有效取值范围为 00001~11111 。
二级地域标识取值为 00000 对应的地址块
为地域标识主块，其对应的 IP 地址空间用
于省、自治区、直辖市和计划单列市的主
管机构，例如三峡建行 X 支行二级地域标识
位为 00100。
3) 将紧临二级地域标识位的 000 三位比特作为
第 66 页共 82 页
将来扩展预留。
4) 第 17-19 位作为类别标识，三位可划分八个类
别，分别是 000 （网络设备管理）、 001 （营
业）、 010 （备用）、 011 （备用）、 100 （备
用）、 101 （管理）、 110 （语音、视频）、
111 （互连地址）。
三峡建行 IP 地址规划表
名称二级标识网络分类 IP 地址范围备注

三峡建行 00000 设备管理 86.0.0.0-86.0.31.255
营业网 86.0.32.0-86.0.63.255 86.0.32.0 用于营业网
备用 1 86.0.64.0-86.0.95.255
备用 2 86.0.96.0-86.0.126.255
备用 3 86.0.128.0-86.0.159.255
管理网 86.0.160.0-86.0.191.255 86.0.191.0 用于管理网
语音、视频 86.0.192.0-86.0.223.255
向下互连 86.0.224.0-86.0.255.255 86.0.224.0 营业网互连，86.0.240.0 管理网互
连
向上互连由总行 IP 地址中分配
X县 00100
a 00110
b 01000
c 01010
D 01110
E 10000
F 10010
G 10100
H 待定
I 待定
J 待定
K 待定
L 待定
M 待定
N 待定
三峡建行营待定
业部
国际业务部待定
第 67 页共 82 页
附件 2 三峡建行 IP 联络中心方案
三峡建行 CALL CENTER 解决方案
三峡建行 IPCC 体系架构
由于目前三峡建行程控交换机尚不具备必
须的 ACD 功能，为了采用先进技术、简化维护
管理，便于分布式人工座席的实施以及将来
系统的方便扩展和降低通信成本，我们将采
用 Cisco IPCC 联络中心 ( 以下简称 IPCC) 解决方案。
Cisco IPCC 通过结合最新的 Cisco IP 电话技术和联
络中心解决方案，为三峡建行提供一个完整
的并且是得到验证的 IP 联络中心解决方案。
在这个方案里，座席通过 IP 电话既可以接收
传统的 TDM 电话又可以接收 VoIP 电话。由于 IPCC
集成了传统的呼叫中心平台和网络，所以它
在保护以前的技术投资的同时提供了向基于
IP 的联络中心的途径。
作为 Cisco AVVID( 语音、视像和集成的数据体
系结构 ) 不可缺少的一部分， IPCC 可以在一个
单点的环境实施，也可集成为多点联络中心。
IPCC 功能包括了智能呼叫路由、自动呼叫分配
(ACD) 、网络到桌面的 CTI 、交互式语音应答 (IVR)
集成、呼叫排队以及统一的管理报告。 IPCC 基
于标准的开放体系结构潜在地支持了基于 Web
第 68 页共 82 页
的客户联络，包括协同浏览、文本交谈和 e-
mail 回复管理。
IPCC 利用三峡建行目前的 IP 网络，优化 WAN 基础
设施的投资并且降低管理维护费用。并且，
这种面向 IP 的体系结构可以使企业的呼叫中
心方便地扩展到分支机构、远端座席、家庭
座席和专家座席。
第 69 页共 82 页
三峡建行 IPCC 系统架构
IPCC 功能和优点
● 基于技能的 Pre-Routing 功能
当一个呼叫还停留在 IP 网络或 PSTN 公用电话网
时 Pre-Routing 功能就可作出路由决策第一次将呼
叫分配到合适的座席或资源。
为了优化路由决策， IPCC 座席根据技能来进行
分组。系统直接从每个座席的桌面实时收集
第 70 页共 82 页
技能组和状态信息，甚至可以预定一个座席
以保证当呼叫到达时这个座席是空闲的。系
统通过脚本方式提供一系列路由选择标准和
工具，使用户可以根据自己的业务需求方便
地定制呼叫分配规则。对于多点呼叫中心运
行， IPCC 可以在企业范围合理分配资源从而提
高联络中心的性能和客户服务。
● 基于技能的 Post-Routing 功能
Post-Routing 功能是针对已经连接到座席、 ACD 、 PBX
或 IVR 的呼叫进行的智能路由分配。当一个呼
叫需要重新进行路由时， ICM 系统使用与 Pre-
Routing 功能同样的业务逻辑指导外围设备将呼
叫送到最佳的资源。这些资源可以是另一个
座席、 IPCC 内的一个技能组或服务，或另一个
ACD 。
● 网络到桌面的 CTI
Cisco IPCC 将从 Internet 、运营商网络、 IVR 、数据库
以及其他的应用系统中收集的客户和交易信
息传送到目标座席的桌面，这些独特的丰富
的信息可以使企业数据结合业务充分地利用
到客户的联络过程中。主要功能包括：
内容丰富的屏幕弹出：屏幕弹出可以使座
席将更多的时间集中在对客户的服务而无需
浪费时间收集信息。 Cisco ICM 软件将呼叫和客
户数据传送到 IPCC 座席的业务应用程序，使得
第 71 页共 82 页
当呼叫到达时座席时 PC 同步自动弹出相关数
据。 Cisco 的解决方案传送同样的数据到 IPCC 座
席和传统的 ACD 座席，这样保证了整个企业范
围客户服务的一致性。
可客户化的座席桌面： IPCC 桌面 CTI 功能包
括功能全面的软电话 ( 座席通过 PC 桌面的软电
话菜单执行电话功能 )。联络中心主管可以通
过鼠标拖拉的方式方便地对软电话进行客户
化。
同时，软电话功能可以通过鼠标拖拉的方
式方便地嵌入现有的 CRM( 客户关系管理 ) 应用
软件之中从而提供 CTI 功能，这样可以减少培
训、管理和维护的费用。
第三方呼叫控制： IPCC 的第三方呼叫控制
功能可以使座席在桌面的应用程序中控制电
话功能，如应答、保留、转接、会议等。例
如， IPCC 座席收集的语音和数据可以在 IPCC 内
部也可跨多个不同厂家的 PBX 进行转接，使得
当一个呼叫在座席间或不同的地点间转接时，
客户和交易数据也随之进行转接。
座席统计：每个 IPCC 座席通过显示屏可以
实时看到个人的统计数据例如处理的呼叫数、
呼叫平均处理时间、累计空闲时间、总计上
班时间等。在一个绩效与收入挂钩的环境中，
这个功能可以为座席提供自己的实时表现数
据，并与平均小组水平作一比较，从而达到
第 72 页共 82 页
激励的目的。
● 统一的报告
ICM 软件开放的体系结构使链路中心系统可
以及时准确地对来自 Internet 、运营商网络、
Cisco Call Manager 、 ACD 、 IVR 、座席桌面和其他资源
的信息进行统一的管理。这些信息存储在一
个 Microsoft SQL 服务器中，提供实时和历史的呼
叫中心管理报告。 ICM 系统的报告功能提供多
种报表模板，用户可以设置阈值进行特定数
据的监控； “ 下挖 ” 功能可以方便提供有关
字段的详细信息；报表可以按任意预设的时
间间隔产生。通过 ICM 软件提供的报告工具可
以建立客户化的报表；用户也可通过第三方
的数据库访问工具操作和显示报告信息，或
将数据输出到符合工业标准的文件格式以用
于其他的应用程序。联络中心管理报告可以
通过 ICM 管理工作站上生成或显示，任何经过
授权的装有浏览器的桌面，或其他任何 ODBC 兼
容的桌面应用也都可显示。
● IPCC 路由功能
基于应用的路由和报告
逐个呼叫路由 (Call-by-call routing)
基于等待时间的呼叫重路由
条件路由
数据库呼叫处理
第 73 页共 82 页
负载均衡
前向排队 (Look-ahead queuing)
网络间溢出
优先排队
基于技能的路由
● 客户交互功能
Audiotex
自动话务员
客户输入的数字
受控的忙态
基于实时条件的语音通知
根据主叫信息的音乐等待
基于实时条件的音乐等待
可视的排队状况
管理功能
呼叫详细记录报告
集中化报告
客户化报告
历史报告
基于 Web 的报告浏览
第 74 页共 82 页
实时管理
实时信息
统计和图形报告
中继利用报告
图形化用户界面
座席功能
显示在座席桌面的座席统计数据
自动空闲
自动 Wrap-up
辅助工作状态
空闲状态
客户信息：主叫号码 (ANI) 、主叫线路信息
(CLID) 、被叫信息 (DNIS) 、客户输入的数字 (CED)

完全可客户化的软电话应用
Hot 桌面或 Login/Logout 或远端座席
屏幕弹出
转接呼叫到一个队列
非空闲的工作状态
Wrap-up
Wrap-up 代码
第 75 页共 82 页
IPCC 系统构成
Cisco 智能联络管理软件 ICM
Cisco ICM 软件可以为客户提供来自 Internet 或 PSTN
电话网的联络方式，并集成了企业范围的
ACD 、 IVR 、 Web 和 e-mail 服务器、桌面应用等系统。
ICM 软件在网络级别的路由决策基于每个客户
相关的信息例如客户拨打的号码、客户主叫
号码、客户输入的数字、客户通过 Web 表格提
交的数据以及从客户数据库中得到的信息等。
同时，系统通过从联络中心平台和座席桌面
收集的实时信息了解每个资源的状态以配合
路由决策。
作为 IPCC 的组成部分， ICM 软件提供 ACD 功能包括
对座席状态的监控、对呼叫的排队、 CTI 功能、
提供给座席和班长席的实时数据，以及历史
管理报告。
ICM 系统包括：
ICM 外围设备网关 (PG) ：提供 ICM 软件和外围
设备之间的接口。 IPCC PG 软件包括 Cisco Call Manager

PG 、 IVR PG 、 ICM CTI。 PG 收集外围设备的相关信
息并提供给 ICM 作为 Pre-Routing 和 Post-Routing 的依据。
每个 PG 跟踪的事件是基于每个座席和每个呼
叫之上的，这样可以保证路由决策的准确性。
ICM CTI 服务器和桌席桌面： ICM 的 CTI 功能可以
第 76 页共 82 页
使我们的客户实施完整的网络到桌面 CTI 策略，
包括座席桌面的综合功能。在服务器层次，
ICM 系统管理来自 Internet 、运营商网络、
AC 、 IVR 、 Web 服务器、业务应用、数据库设置
ICM 自己的实时和历史数据信息。此外， CTI 服
务器从一个呼叫进入呼叫中心到结束的整个
过程中实时将座席、呼叫和客户数据传送到
相关服务器或桌面 PC 。
在桌面端， Cisco 解决方案包括一个使用
ActiveX 和 Java 的完整的座席软电话，它可以无需
了解电话系统底层信息即可完全访问 CTI 服务
器。结构是，应用软件开发者和呼叫中心主
管可以无需复杂的编程或系统集成即可快速
将应用软件如 CRM 集成到 IPCC 之中。
Cisco 管理工作站 (AW) ： ICM AW 是 ICM 环境的用
户接口，使呼叫中心主管、班长席可以定义、
修改、观看路由脚本程序；管理系统配置；
监视呼叫中心性能；定义和产生报告；并保
证系统安全性。 AW 提供 Windows 环境下的直观易
用的 “ 鼠标点击 ” 方式的工具。
Cisco Call Manger
Cisco Call Manger 为包方式的 IP 电话和 VIP 语音网
关提供传统的 PBX 电话特性和功能 ( 基本呼叫处
理、信令和连接服务 )。补充和增强的服务包
第 77 页共 82 页
括保留、转接、前移、会议、自动路由选择、
缩位拨号、最后号码重拨等等。呼叫许可控
制保证了当 WAN 链路受限制时仍能保持语音服
务质量 (QoS) ，并能在 WAN 的带宽不够时自动将呼
叫通过 PSTN 公用电话网进行连接。 Cisco Call
Manager 软件预装在 Cisco MCS(Media Convergence Server) 之中。
Cisco VoIP Gateway
每个 IPCC 方案都包括一个 Cisco VoIP 网关，它提
供 PSTN 与 Cisco AVVID IP 电话网络之间的连接，将模

拟和数字的语音转换成 IP 包。该网关是通过
Cisco Call Manger 进行管理、控制的。 Cisco 提供一系
列 VoIP 网关供用户选择。
Cisco IP 电话
座席通过 Cisco 7960 IP 电话连接到 IPCC 。它
是一个功能全面的第二代 IP 电话，利用 IP
技术将数据和语音融合到一个网络结构中 -
包括一根电缆连接、一个交换式以太网
结构、统一的系统操作管理系统。
Cisco 7960 提供 6 线或 6 个可编程功能键、 4 个交
互的软功能键。 Cisco IP 电话同时提供一个很大
的 LCD 显示屏，可以显示日期、时间、主叫
姓名、主叫电话、被叫号码。另外，显示屏
还提供功能和线路状态、扬声器 ( 免提 ) 和手
柄功能、静音键。
第 78 页共 82 页
交互式语音应答系统(IVR)
在 IPCC 中， IVR 可以作为一个可以向 ICM 发起路
由请求的路由客户 (routing client) ，作为受 ICM 管

理的资源，作为一个统一的实时和历史报告
的信息源。另外 IVR 可以作为 IPCC 排队中的一个
点。如果没有合适的座席来接听客户电话，
IPCC 利用 IVR 作为呼叫处理手段例如播放语音通
知、收集客户输入的数字或在将呼叫重新路
由到一个目标应答资源以前提供路由选项。
客户可以选择 Cisco 的 IP-IVR 也可选择传统的 TDM 方
式的 IVR 或网络 IVR 。
语音 / 数据流程举例：
1、客户通过 PSTN 拨呼叫中心的号码。
2、呼叫被 Cisco VoIP 网关接收，并被从 TDM 协议转
换成 IP 协议。
3、 VoIP 网关向 Call Manger 发送一个路由请求，并
包含客户拨打的号码、主叫号码和客户输
入的数字。
4、通过 ICM PG ， Cisco Call Manger 将这个路由请求发
送到 ICM 。
5 、 ICM 进行数据库查询并根据相关信息决定路
由。
第 79 页共 82 页
6 、 ICM 触发一个客户定义的路由脚本程序以选
择最合适的 IPCC 座席来接听这个电话，并
将这个路由目标 ( 如所选择的座席 ) 通过 PG
传送到
Cisco Call Manger 。
7、 PG 中的 CTI 服务器将客户信息数据以屏幕弹
出的形式发送到目标座席的桌面。
8、 Cisco Call Manager 指导 Cisco VoIP 网关将呼叫连接
到目标座席。
9 、 Cisco VoIP 网关建立客户呼叫与目标座席之间
的语音连接。
注 1 ：根据业务需求， IP IVR 可以用于收集客户
信息数据、完成交易，或将呼叫排队在 IVR 端
口。
注 2 ：以上呼叫流程描述的是一个单点 IPCC 的
例子。 IPCC 可以集成到多点呼叫中心，在企业
范围、网络层次实施 ICM 的 Pre-Routing 。
IPCC 应用软件开发
三峡建行联络中心系统的主要开发包括：
呼叫流程设计：通过 Cisco ICM 系统提供 Script
Editor( 路由脚本编辑软件 ) 图形用户界面工
具进行呼叫路由脚本 (Script) 的设计。
第 80 页共 82 页
IP IVR ：通过 Cisco IP IVR 提供的 Application Editior
图形化界面进行 IVR 的流程编辑开发。
座席桌面应用程序：座席桌面应用程序
包括两部分，一部分是将 Cisco CTI Client 的软
电话集成到应用程序 (Cisco 提供 Windows 操作系
统环境下的 ActiveX 软电话控制，开发时可通
过鼠标拖拉属性设置的方式方便地嵌入应
用程序。 ) ；另一部分是针对银
行业务应用的开发，需要与相应的业务系
统数据库集成。
第 81 页共 82 页
安装：安装工作包括 Voice Gateway 、 Call
Manager 、 IP IVR 、 ICM 的安装，以及其它数据库、
操作系统等基本系统的安装
第 82 页共 82 页

三峡建行

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

三峡建行

Uploaded by

Copyright:

Available Formats

三 峡 建 行

1.1.4 与 Internet 连接状况................................................................................................ 12

4.8.2 QOS 保证..................................................................................................................... 39

6.1 安全模型（ P2DR 模型）................................................................................................ 44

7.3 CISCO 的 VOIP 解决方案.................................................................................................... 56

7.3.1 三峡建行与总行的 VoIP 通信.................................................................................... 58

三峡建行 CALL CENTER 解决方案.................................................................................... 68

三峡建行 IPCC 体系架构................................................................................................ 68

第1章 三峡 建行网 络现状

1.1 网络连 接现状

台 Cisco Catalyst 5505 ， 配 有 1 个 2 口 100M FX 光 纤 接 口 模

接。 Catalyst 5505 还 配 有 两 个 24 口 100M 以 太 网 接 口

在 Catalyst 5505 和 2924 上 根 据 不 同 的 应 用 划 分 了

Cisco 7206A Port 1 X.25 64K 至各县支行清算

Cisco 7206B Port1-8 DDN 9.6K 银企互联、戊地电信代收费

Cisco 3640A Port1-96 DDN 9.6K 城综网前台网点

Cisco 3640B Port1-64 DDN 9.6K 城综网前台网点

Cisco 2501A Port 1 X.25 9.6K 人行同城清算

Cisco 2501B Port 1 DDN 64K 移动通信代收

Cisco 2501C Port 1 DDN 64K 社保

Motorola MP6520 Port 19 X.25 64K 总行清算

Port 20 PSTN 19．2 总行清算备份

1924 从 中 心 机 房 的 Catalyst 5505 得 到 VLAN 信 息 ， 通

防 火 墙 采 用 的 是 IBM Firewall 3.12 ， 并 安 装 了 ISS 网 络

1.2 网络应 用现状

代收电话 代收交警 企业外连

三峡建行目前正在使用 Cisco CWSI 2.1 专用网管系统，用于管理三峡建行

三峡建行在业务管理中成功引进了 BMC 管理系统，在对 BMC 的移植过程

1.5 三峡 建行网 络存在 主要问 题

● 随着以后语音、视屏在网络的应用，三峡建行目前 100M 骨干局域网将

● 城市综合网（含清算 A 卡网）与总行采用的是 64K X25 线路，已经无

● 管理网（企业网）广域网中使用的 Motorola 路由器故障率高，端口

● 管理网（企业网）与总行连接的 Motorola 路由器，故障率比较高

第2章 网络改 造的需 求规定

总行骨干网改造是 A 总行为了适应新形势下银行激烈竞争，提高 A 银行核

2.2 网络改 造需求

第3章 网络改 造的基 本原则

4.1 三峡建 行网络 系统改 造目标 总体架 构

县支行 城区各支行 网点 外接网

同 时 ， Catalyst 6509 配 置 一 个 48 口 10M/100M 模 块

三峡 建行网 络中心 局域网 网络拓 扑图

网络 中心交 换机设 备配置 表

Catalyst 5505（增 加模块 ）

将三峡建行网络中心原有的 Catalyst 5000 交换机下移到江阁大楼，作为江阁

方案一是通过 ISDN 连接路由器的方式，

方案二是通过 10M 的无线以太网方式（方案见附件）。这两种备份方式都只

一 台 Catalyst 2924 交 换 机 ， 通 过 选 用 的 CISCO 2600 系 列

三峡 建行局 域网中 心设备 备份

在城域网各节点申请一条 ISDN 线路，同时增加一台 CISCO 2600 路由器，配

支 行 选 用 CISCO 2600 路 由 器 通 过 64K DDN 链 路 与

4.8 面向应 用的网 络服务

第5章 三峡建 行网络 管理设 计

以 CiscoWorks2000 为网络管理平台；以美国 BMC 软件公司的 PATROL 组

5.1 网管系 统功能 及其职 责

• 运行管理 : 制定网络运行的技术标准,可靠性, 安全性方案和运行制度。

5.2 网络管 理平台 和网管 工作站

通过前面的分析，网络系统设备采用了 cisco 的交换机、路由器和远程访

3、cisco 网管软件和其基本管理模式 -CiscoWorks2000

第6章 网络 系统安 全设计

6.1 安全模 型（ P2DR 模型 ）

Policy 策略、Protection 防护、Detection 检测和 Response 响应组成的完整模

Policy(安全策略)---安全策略是 P2DR 安全模型的核心，要想实施动态网

Detection（检测）---在 P2DR 模型，检测是非常重要的一个环节，检测是

6.2 三峡建 行网络 系统总 体安全 体系

三峡建行

第1章三峡建行网络现状

1.1 网络连接现状

台 Cisco Catalyst 5505 ，配有 1 个 2 口 100M FX 光纤接口模

接。 Catalyst 5505 还配有两个 24 口 100M 以太网接口

在 Catalyst 5505 和 2924 上根据不同的应用划分了

1924 从中心机房的 Catalyst 5505 得到 VLAN 信息，通

防火墙采用的是 IBM Firewall 3.12 ，并安装了 ISS 网络

1.2 网络应用现状

代收电话代收交警企业外连

1.5 三峡建行网络存在主要问题

●　随着以后语音、视屏在网络的应用，三峡建行目前 100M 骨干局域网将

●　城市综合网（含清算 A 卡网）与总行采用的是 64K X25 线路，已经无

●　管理网（企业网）广域网中使用的 Motorola 路由器故障率高，端口

●　管理网（企业网）与总行连接的 Motorola 路由器，故障率比较高

第2章网络改造的需求规定

2.2 网络改造需求

第3章网络改造的基本原则

4.1 三峡建行网络系统改造目标总体架构

县支行城区各支行网点外接网

同时， Catalyst 6509 配置一个 48 口 10M/100M 模块

三峡建行网络中心局域网网络拓扑图

网络中心交换机设备配置表

Catalyst 5505（增加模块）

一台 Catalyst 2924 交换机，通过选用的 CISCO 2600 系列

三峡建行局域网中心设备备份

支行选用 CISCO 2600 路由器通过 64K DDN 链路与

4.8 面向应用的网络服务

第5章三峡建行网络管理设计

5.1 网管系统功能及其职责

5.2 网络管理平台和网管工作站

第6章网络系统安全设计

6.1 安全模型（ P2DR 模型）

6.2 三峡建行网络系统总体安全体系

6.3 三峡建行网络级安全设计

VLAN 不能防止 MAC 欺骗攻击。采用基于 MAC 的

库服务器中安装 ISS DATABASE scanner ，可在通讯和

RADIUS 等专用身份验证服务器（ AAA 服务器）。一方面，

realsecure os sensor 相应地，在数据中心配置的 Real

Scure console 软件负责对 Real Scure Agent 的管理。

7.1 IP 电话网络建设的必要性

7.2 IP 电话所使用的几种技术

7.3 CISCO 的 VoIP 解决方案

在 INTRANET 中，通过使用 Cisco 的话音包 GATEWAY-ENABLED

7.3.1 三峡建行与总行的 VoIP 通信

CVM (Cisco Voice Management) 提供了对网管的管理，

第8章三峡建行视频会议设计

8.1 视频会议系统结构

8.2 会议电视终端设备

三峡建行会场采用 VCON 公司的 Media Connect

8000Pro 会议室型视频会议终端系统。 Media Connect

8000 同时支持 H.323 和 H.320 标准，运行于任何专业

视频、音频和数据于一体。 Media Connect 8000 在组

装有 VCON 编解码器板和 10BASE-T LAN 接口卡

29” SVGA 显示器，可选 PAL 环境

Media Connect 8000 通过主机箱中的 10BASE-T 网卡与

名称二级标识网络分类 IP 地址范围备注

三峡建行 CALL CENTER 解决方案

Cisco IPCC 通过结合最新的 Cisco IP 电话技术和联

Post-Routing 功能是针对已经连接到座席、 ACD 、 PBX

Cisco IPCC 将从 Internet 、运营商网络、 IVR 、数据库

(CLID) 、被叫信息 (DNIS) 、客户输入的数字 (CED)

Cisco 智能联络管理软件 ICM

Cisco ICM 软件可以为客户提供来自 Internet 或 PSTN

作为 IPCC 的组成部分， ICM 软件提供 ACD 功能包括

ICM 外围设备网关 (PG) ：提供 ICM 软件和外围

设备之间的接口。 IPCC PG 软件包括 Cisco Call Manager

ICM CTI 服务器和桌席桌面： ICM 的 CTI 功能可以

Cisco 管理工作站 (AW) ： ICM AW 是 ICM 环境的用

Cisco Call Manger 为包方式的 IP 电话和 VIP 语音网

每个 IPCC 方案都包括一个 Cisco VoIP 网关，它提

供 PSTN 与 Cisco AVVID IP 电话网络之间的连接，将模

座席通过 Cisco 7960 IP 电话连接到 IPCC 。它

交互式语音应答系统(IVR)

在 IPCC 中， IVR 可以作为一个可以向 ICM 发起路

由请求的路由客户 (routing client) ，作为受 ICM 管

2、呼叫被 Cisco VoIP 网关接收，并被从 TDM 协议转

3、 VoIP 网关向 Call Manger 发送一个路由请求，并

4、通过 ICM PG ， Cisco Call Manger 将这个路由请求发

8、 Cisco Call Manager 指导 Cisco VoIP 网关将呼叫连接