Professional Documents
Culture Documents
网 络 改 造 总 体 设 计 方 案 书
(讨论稿)
二零零一年四月
银行计算机网络改造方案
目 录
第 1章 三峡建行网络现状 ............................................................................................ 7
1.1 网络连接现状..................................................................................................................... 7
1.1.1 三峡建行城域网现状................................................................................................ 7
1.1.2 三峡建行局域网现状................................................................................................ 9
1.1.3 三峡建行广域网现状................................................................................................ 10
1.2 网络应用现状..................................................................................................................... 13
1.2.1 管理网应用现状......................................................................................................... 13
1.2.2 营业网应用现状......................................................................................................... 14
1.2.3 外连网应用现状......................................................................................................... 15
1.3 网络安全现状................................................................................................................. 16
1.4 网络管理的现状............................................................................................................. 18
1.5 三峡建行网络存在主要问题........................................................................................ 18
1.5.1 三峡建行城域网存在的问题.................................................................................... 18
1.5.2 营业网存在的问题:................................................................................................ 19
1.5.3 管理网(企业网)存在的问题............................................................................... 19
1.5.4 外连网存在的问题.................................................................................................... 19
第 2章 网络改造的需求规定 ........................................................................................ 21
2.1 总体目标.............................................................................................................................. 21
第 2 页 共 82 页
银行计算机网络改造方案
2.2 网络改造需求..................................................................................................................... 21
2.2.1 三峡建行局域网......................................................................................................... 21
2.2.2 三峡建行城域网......................................................................................................... 22
2.2.3 广域网接入................................................................................................................. 22
2.2.4 网络管理的需求......................................................................................................... 23
2.2.5 网络安全管理需求.................................................................................................... 24
2.2.6 语音、视频应用的需求............................................................................................ 24
第 3章 网络改造的基本原则 ........................................................................................ 25
第 4章 网络总体设计 .................................................................................................... 27
4.1 三峡建行网络系统改造目标总体架构........................................................................... 27
4.1.1 组网模式..................................................................................................................... 27
4.1.2 网络总体拓扑结构设计............................................................................................ 28
4.2 局域网改造......................................................................................................................... 29
4.2.1 局域网改造方案......................................................................................................... 29
4.3 城域网改造......................................................................................................................... 31
4.4 广域网改造......................................................................................................................... 32
4.4.1 广域网分布层改造.................................................................................................... 32
4.4.2 广域网接入层改造.................................................................................................... 34
4.5 外网的连接......................................................................................................................... 34
4.6 可靠性设计......................................................................................................................... 35
第 3 页 共 82 页
银行计算机网络改造方案
4.6.1 设备备份..................................................................................................................... 35
4.6.2 链路备份..................................................................................................................... 36
4.7 网络 IP 路由设计................................................................................................................. 37
4.8 面向应用的网络服务......................................................................................................... 38
4.8.1 业务分类和数据特点的分析:............................................................................... 38
第 5章 三峡建行网络管理设计 .................................................................................... 41
5.1 网管系统功能及其职责.................................................................................................... 41
5.2 网络管理平台和网管工作站............................................................................................ 42
第 6章 网络系统安全设计 ............................................................................................ 44
6.2 三峡建行网络系统总体安全体系.................................................................................... 45
6.2.1 安全策略设计............................................................................................................. 45
6.2.2 总体安全体系的规定................................................................................................ 46
6.3 三峡建行网络级安全设计................................................................................................ 47
6.3.1 局域网安全设计......................................................................................................... 48
6.3.2 广域网安全设计......................................................................................................... 51
第 7章 IP 电 话 网 络 设 计 ....................................................................... 55
7.1 IP 电话网络建设的必要性................................................................................................ 55
第 4 页 共 82 页
银行计算机网络改造方案
7.2 IP 电话所使用的几种技术................................................................................................ 55
7.4 IP 语音的管理..................................................................................................................... 59
第 8章 三峡建行视频会议设计 .................................................................................... 61
8.1 视频会议系统结构............................................................................................................. 62
8.2 会议电视终端设备............................................................................................................. 62
8.2.1 三峡建行会场............................................................................................................. 62
8.3 实现功能.............................................................................................................................. 64
8.4 主要特点.............................................................................................................................. 64
H 附 件 1 三 峡 建 行 IP 地 址 分 配 规 划 .......................................... 66
总行规定 IP 地址编码结构.................................................................................................... 66
三峡建行 IP 地址规划表......................................................................................................... 67
附 件 2 三 峡 建 行 IP 联 络 中 心 方 案 .......................................... 68
IPCC 功能和优点................................................................................................................. 70
IPCC 系统构成..................................................................................................................... 76
IPCC 应用软件开发............................................................................................................. 80
第 5 页 共 82 页
银行计算机网络改造方案
第 6 页 共 82 页
银行计算机网络改造方案
三 峡 建 行 作 为 总 行 确 定 的 六 十 个 重 点 城
市 行 之 一 , 经 过 几 年 的 建 设 , 已 建 成 了 覆 盖
各 县 市 ( 除 W 县 ) 城 市 综 合 业 务 网 络 系 统 ,
在 此 基 础 上 依 托 总 行 建 成 了 以 清 算 A 卡 网 络 系
统、 企 业 内 部 网 为 代 表 的 全 国 性 三 峡 建 行 内
部 互 连 网 络。 以 计 算 机 网 络 为 支 撑 平 台 , 我
行 的 各 类 业 务 应 用 系 统 不 断 推 陈 出 新 , 开 拓
了 多 项 新 的 业 务 , 为 我 行 的 业 务 快 速 发 展 发
挥 了 巨 大 的 作 用。
下 面 , 对 三 峡 建 行 网 络 结 构 具 体 说 明 :
1.1.1 三峡建 行城 域网 现状
第 7 页 共 82 页
银行计算机网络改造方案
三 峡 建 行 中 心 机 房 位 于 科 技 部 二 楼。 通 过
自 架 光 纤 与 三 峡 建 行 办 公 楼、 甲 路 10 楼
( 老 机 房 )、 乙 办 以 及 丙 办 连 接 构 成 目 前
的 三 峡 建 行 城 域 网 , 如 图 所 示 :
如 图 , 三 峡 建 行 局 域 网 的 中 心 交 换 机 为 一
块 , 通 过 多 模 光 纤 与 318 和 甲 路 机 房 的 1924C 连
模 块、 其 中 连 接 两 台 2924 交 换 机 , 并 通 过 2924
上 的 100M FX 与 乙 办 以 及 丁 办 相 连 。
第 8 页 共 82 页
银行计算机网络改造方案
1.1.2 三峡建 行局 域网 现状
13 个 不 同 的 VLAN , 由 于 目 前 我 行 主 交 换 机 没
有 配 置 第 三 层 交 换 功 能 , VLAN 之 间 的 通 信 只
能 通 过 网 关 来 实 现。
在 中 心 机 房 中 , 另 有 一 台 Catalyst 5000 交 换 机 作
为 备 用 机。
目 前 , 三 峡 建 行 网 络 中 心 机 房 共 配 有 13 台
路 由 器 分 别 接 入 局 域 网 中 各 个 VLAN 。 路 由 器
应 用 见 表 一 :
设备 端口 线路 速率 说明
第 9 页 共 82 页
银行计算机网络改造方案
三 峡 建 行 318 机 房 是 三 峡 建 行 办 公 大 楼 结
构 化 布 线 所 有 信 息 点 的 集 合 地 , 318 机 房 的
过 对 其 端 口 划 分 不 同 的 VLAN , 三 峡 建 行 大 楼
中 各 个 不 同 的 网 络 系 统 实 现 了 与 中 心 机 房 的
通 信。
其 它 局 域 网 甲 路 机 房、 乙 办 以 及 丙 办 也 是
这 种 模 式。
各 县 支 行 以 及 城 区 其 他 支 行 ( 办 事 处 ) 基
本 都 完 成 了 三 部 一 室 的 本 地 局 域 网 布 线 工 作。
1.1.3 三峡建 行广 域网 现状
三 峡 建 行 的 广 域 网 线 路 普 遍 采 用 的 低 速
通 信 链 路 , 其 中 城 市 综 合 网 是 主 要 租 用 中
国 电 信 的 DDN , 前 台 网 点 通 过 串 口 通 信 协 议 ,
直 接 连 到 三 峡 建 行 网 络 中 心 的 设 备 , 部 分
县 行 营 业 部 由 于 原 来 与 清 算 共 用 线 路 还 是
采 用 的 X.25 , 利 用 路 由 器 连 接 到 三 峡 建 行 网
第 10 页 共 82 页
银行计算机网络改造方案
络 中 心 , 以 上 租 用 的 线 路 带 宽 都 只 有
9600bps ; 清 算 A 卡 网 络 由 于 县 支 行 已 经 改 为 直
连 , 可 以 说 向 下 已 经 没 有 单 独 的 线 路 , 三
峡 建 行 清 算 A 卡 ( 含 外 币 卡 ) 系 统 与 总 行 和
上 海 连 接 采 用 的 是 64k X.25 ( 复 用 ) ; 三 峡 建
行 企 业 内 部 网 已 经 与 全 辖 所 有 二 级 机 构 开
通 连 接 , 城 区 除 乙 办 和 丙 路 办、 营 业 部 等
少 数 是 通 过 三 峡 建 行 自 架 的 光 纤 上 的 以 太
网 外 , 其 余 均 租 用 电 信 的 DDN , 县 支 行 大 都
采 用 的 是 X.25 , 带 宽 只 有 9600bps , 以 路 由 器 方
式 接 入。 三 峡 建 行 企 业 网 与 总 行 连 接 采 用
的 是 中 元 公 司 提 供 的 中 元 帧 中 继 , 带 宽
64K 。 我 行 通 信 线 路 的 主 要 备 份 方 式 为 电 话
拨 号。 网 络 设 备 以 CISCO 、 MOTOROLA 为 主 。 此
外 以 城 市 综 合 网 为 基 础 , 我 行 独 立 开 发 了
多 种 新 业 务 , 实 现 了 与 证 券、 电 信、 人 行
等 外 单 位 的 网 络 互 连 , 连 接 线 路 一 般 为
DDN , 通 信 速 率 9600-64K 都 是 采 用 路 由 器 连 接
的 方 式。
第 11 页 共 82 页
1.1.4 与 Internet 连接 状况
三 峡 建 行 目 前 已 经 开 通 了 Internet 连 接 , 用
于 网 上 银 行 业 务 , 带 宽 为 2M , 、 连 接 拓 扑 图
如 图 :
如 图 所 示 三 峡 建 行 支 付 网 关 与 Internet 连 接 采
用 了 目 前 比 较 完 备 的 网 络 安 全 体 系 和 技 术 ,
安 全 管 理 软 件 进 行 安 全 漏 洞 扫 描、 入 侵 检 测
审 计 等 , 上 述 连 接 已 经 获 得 总 行 的 验 收 认 可。
三峡建行计算机网络改造方案
根据三峡建行对网络业务的划分,可以将三峡建行网络业务划分为:核心
业务和外连业务。核心业务是三峡建行业务开展的基础业务,包括以城市综合
网为基础的营业网和以企业内部网为基础的管理网两部分;外连业务是三峡建
行依托核心业务系统,针对辖区内的企业和客户开发的业务网络系统。各系统
应用关系如下图所示:
1.2.1 管理网 应用 现状
三峡建行目前正在管理网(企业网)使用的主要是基于 LOTUS/NOTES 平
台上开发的应用,现在在三峡建行辖区范围内管理网上运行应用系统主要包括 :
电子邮件系统、信息网站、人力资源、信贷信息管理、移民资金管理、办公自动化
系统、国际结算系统等。除少数应用系统外,大多数应用系统都向下推广到县支
行一级,辖区内管理网(企业网)用计算机大约 300 余台,IP 地址分配采用9
8年总行统一规划的企业网地址。此外管理网与市人行存在临时的连接,用于
定期本地贷款单位资料查询。管理网(企业网)拓扑连接如下图
外连业务
核心 管理网
营业网
业务
图六
第 13 页 共 82 页
三峡建行计算机网络改造方案
1.2.2 营业网 应用 现状
三峡建行目前的营业网应用主要是城市综合网,全行共有前台网点150
余个,ATM 32台,金融查询机20台,Pos 200余台,城市综合网以太网
采用1994年总行下发的营业网段 98..42.63.0,而城市综合网广域网前台网
点地址没有标准可循;清算 A 卡网的前置机和各县清算组前台(清算组前台已
经与前台会计柜改为直连后的会计柜机器)采用总行清算系统分配的20网段
的 IP 地址。另外随着新业务的开展,前台网点还往往下联一些特定业务的前置
设备(例如金融查询机和个贷前置机),这些设备地址也没有统一的规定。营
业网拓扑连接如下图:
第 14 页 共 82 页
三峡建行计算机网络改造方案
1.2.3 外连网 应用 现状
三峡建行充分利用三峡建行网络优势,积极开拓业务领域,先后与电信、
证券、人行、社保局等多家实现了网络互连互通,通常我们是采用路由器+前置
机的方式,使外连网与城综网隔离,即每个外连系统都独自采用一台路由器和
一台前置机,路由器配置静态路由和相应的访问控制,前置机屏蔽所有无关的
服务。外连网的 IP 地址分配由于没有可遵循的标准,分配时有很大的随意性。
网络拓扑连接如下图:
第 15 页 共 82 页
三峡建行计算机网络改造方案
1.3 网络 安全现 状
三 峡 建 行 在 网 络 建 设 过 程 中 已 经 采 取 了 一
些 必 要 的 安 全 措 施 , 如 “ 利 用 VLAN 技 术 将 业
务 网 与 企 业 网 逻 辑 隔 离、 与 各 证 券 网 点 联 网
时 利 用 前 置 机 来 保 证 数 据 传 输 的 安 全、 拨 号
访 问 采 用 了 RADIUS 认 证 、 在 与 Internet 接 入 的 支
付 网 关 中 使 用 防 火 墙 和 ISS 安 全 监 控 软 件 等 。
但 从 总 体 整 体 上 分 析 , 三 峡 建 行 现 有 网 络 中
仍 然 存 在 着 一 些 安 全 隐 患。 主 要 包 括 以 下 几
个 方 面 :
● 可靠性安全隐患
第 16 页 共 82 页
三峡建行计算机网络改造方案
由 于 某 些 网 络 设 备 的 关 键 部 件 存 在 质 量 问
题 或 缺 陷 , 导 致 网 络 在 运 行 过 程 中 存 在 可 靠
性 安 全 隐 患。 如 : MOTOROLA 路 由 器 的 FLASH
Memory 工 作 时 极 不 稳 定 , 经 常 丢 失 系 统 软 件 ,
影 响 了 清 算 A 卡 系 统 以 及 企 业 网 的 正 常 运 行。
一 些 系 统 缺 乏 备 份 链 路 和 备 份 设 备 , 一 旦 出
现 故 障 , 势 必 影 响 业 务 的 正 常 开 展。
● 应用系统安全隐患
各 种 应 用 缺 乏 统 一 的 规 划 , 未 能 充 分 考 虑
网 络 上 的 安 全 要 求 , 导 致 三 峡 建 行 中 心 机 房
的 业 务 运 行 网 段 上 与 外 连 的 应 用 网 段 之 间 缺
乏 必 要 的 安 全 屏 蔽。 有 些 与 外 界 相 连 的 应 用
系 统 缺 乏 有 效 的 网 络 安 全 保 障。 如 : 与 外 界
相 连 应 用 系 统 没 有 按 照 总 行 要 求 的 安 全 连 接
模 式 连 接 , 前 置 机 可 能 存 在 未 屏 蔽 非 必 要 的
通 讯 端 口 , 可 能 存 在 多 余 的 路 由 表 等 等。
此 外 对 重 要 的 应 用 服 务 器 没 有 进 行 安 全 监
控 和 漏 洞 扫 描。
● 病毒入侵安全隐患
一 些 应 用 系 统 , 特 别 是 基 于 WINDOWS 平 台 的
应 用 系 统 , 没 有 安 装 一 些 防 计 算 机 病 毒 的 软
件 , 给 计 算 机 的 安 全 造 成 了 一 定 的 隐 患。
● 黑 客 攻 击 隐 患
缺 乏 对 黑 客 攻 击 进 行 防 止、 检 测 和 响 应 的
第 17 页 共 82 页
三峡建行计算机网络改造方案
一 整 套 防 黑 措 施 和 相 应 的 安 全 体 系 , 没 有 明
确 的 安 全 指 导 思 想 和 安 全 模 型 , 不 能 够 对 安
全 事 件 进 行 全 过 程 监 控 和 作 出 相 应 的 响 应 行
动 , 无 法 对 整 个 安 全 系 统 进 行 准 确 有 效 的 安
全 评 估。
1.4 网络 管理的 现状
1.5.1 三峡建 行城 域网 存在 的问 题
● 根据总行网络改造要求,三峡建行主交换机需要两台,并要求支持第
三层交换,而三峡建行现有的主交换机 Catalyst 5505 没有第三层交换模
块,另一台主交换机的备份 Catalyst 5000,无论从交换能力还有模块配
置均无法满足网络改造的要求。
● 三峡建行办公大楼结构化布线不规范,线路急需整理,网络设备的运
行环境也需要加以改善
● 现有的城市综合网网络地址、企业网地址以及清算 A 卡网地址都不统一,
需要按照总行网络改造的要求加以规范
● 现有城域网之间的光纤缺乏必要的链路备份,一旦光纤出现故障,没
有其他应急方案可供选择。
第 18 页 共 82 页
三峡建行计算机网络改造方案
1.5.2 营业 网存 在的 问题 :
● 目前前台网点使用的 IP 地址不符合总行规范,必须加以调整。
● 一些网点由于业务量大,通信带宽不足,出现通信堵塞,有些网点反
映通信故障率比较高
● 目前网点采用的串口通信协议 Slip,在新主机上支持不好,给主机安
全运行带来隐患。
● 一些县行还在使用 X.25,效率比较低,费用比较高。
● 一些网点还外挂诸如查询机、个贷前置机等,网络连接结构凌乱,通信
质量无法得到保证。
1.5.3 管理 网( 企业 网) 存在 的问 题
● 管理网(企业网)所有非以太网连接的用户接入带宽严重不足。
● 由于现有的组网模式是企业网与城综网彼此隔离,往往综合性的网点
需要几条线路,造成浪费。
● 管理网(企业网)整个 IP 地址分配基本是符合此次总行建议的规范,
但也有部分企业网需要保留的地址被分配了。
● 管理网(企业网)目前还没有必要链路的备份措施。
1.5.4 外连 网存 在的 问题
● 外连网缺乏统一的平台,其广域网地址不符合总行新的 Ip 地址分配规
范,也需要做调整。
● 外连网与建行核心业务网络耦合度大,外连网业务的变化往往带来核
心业务的变动。
● 外连网的网络连接模式,不符合总行网络安全要求,而且还造成设备
第 19 页 共 82 页
三峡建行计算机网络改造方案
的利用率不高,监控管理困难。
第 20 页 共 82 页
三峡建行计算机网络改造方案
2.1 总体目 标
三峡建行网络改造的总体目标是以 此 次 总 行 骨 干 网 改 造 为 契 机 , 在 不
影 响 全行正常业务开展的前提 下,将目前分离的城综网、清算 A 卡网和
企业网整合成为统一的以 IP 技术为主体的稳定、 可靠、高效的综合网络平
台 , 实现建行核心业务和外连 业务的有机分离,为最终完成全建行数据
集中做网络准备 。
2.2.1 三峡建 行局 域网
1、 根 据 总 行 骨 干 网 改 造 方 案 , 三 峡 建 行
局 域 网 需 要 有 两 台 主 交 换 机 , 而 且 都 必 须 能
够 支 持 第 三 层 路 由 交 换 , 而 三峡建行 目 前 只 有 一
台 主 交 换 机 Catalyst 5505 且 没 有 配 置 第 三 层 交 换 模
块。 这 次 网 络 改 造 中 需 要 增 加 三 峡 建 行 网 络
中 心 需 要 增 加 一 台 高 档 交 换 机 , 并 增 加 配 置
Catalyst 5505 相 应 的 第 三 层 交 换 模 块 。
2、 通 过 网 络 改 造 实 现 全 行 核 心 业 务 的 网
第 21 页 共 82 页
三峡建行计算机网络改造方案
段 按 照 总 行 最 近 下 发 的 〈 〈关 于 调 查 IP 地 址
使 用 情 况 及 征 集 对 IP 地 址 修 订 建 议 的 意 见 的
通 知〉 〉 的 要 求 整 合 , 外 连 业 务 网 络 将 采 用
新 的 接 入 方 式 , 引 进 统 一 的 中 间 业 务 平 台 和
网 络 连 接 平 台。
3、 随 着 业 务 的 拓 展 , 特 别 是 语 音、 视 频
的 应 用 , 三 峡 建 行 目 前 的 局 域 网 10M/100M 也 面
临 带 宽 不 足 的 压 力 , 考 虑 在 三 峡 建 行 大 楼 与
科 技 部 之 间 的 骨 干 上 千 兆 以 太 网 , 三 峡 建 行
大 楼 用 低 端 交 换 机 替 换 HUB 。
2.2.2 三峡建 行城 域网
1、 进 一 步 扩 展 城 域 网 的 连 接 范 围 , 将 丙
办 的 光 纤 延 伸 到 己 支 行 机 关 , 架 设 到 戊 支 行
机 关 的 光 纤 , 使 庚、 戊 这 两 个 城 区 主 要 支 行
接 入 三 峡 建 行 城 域 网 , 减 少 通 信 费 用。
2、 为 三 峡 建 行 城 域 网 提 供 必 要 的 链 路 备
份 措 施。
2.2.3 广域网 接入
1、 与 总 行 的 一 级 骨 干 网 连 接 按 照 总 行 骨
干 网 改 造 要 求 实 现。
2、 考 虑 对 伍 支 行、 东 办 等 城 区 支 行 以 及
第 22 页 共 82 页
三峡建行计算机网络改造方案
各 县 支 行 等 综 合 性 的 网 点 的 企 业 网、 城 综 网
线 路 合 并 , 接 入 带 宽 提 高 到 64K , 通 过 路 由 器
连 接 到 三 峡 建 行 ;
3、 对 于 业 务 量 大 或 线 路 集 中 的 网 点 也 考
虑 使 用 路 由 器 , 并 提 高 接 入 速 率 到 64K ;
4、 其 他 网 点 提 速 后 仍 使 用 目 前 的 串 口 协
议 连 入 三 峡 建 行 中 心 网 络 , 将 SLIP 改 为 PPP;
5、 前 台 网 点 的 广 域 网 采 用 的 PSTN 拨 号 备 份
实 现 后 台 无 人 干 预。
6、 外 连 网 络 的 广 域 网 连 接 整 合 到 一 套 网
络 设 备 上 , 并 安 装 防 火 墙 与 营 业 网 隔 离。
2.2.4 网络管 理的 需求
1、 具 有 网 络 管 理 基 本 功 能 , 提 供 设 备 管
理、 配 置 管 理、 图 形 面 板、 流 量 监 控、 故 障
判 断、 拓 扑 发 现 等。
2、 在 不 影 响 关 键 业 务 运 行 的 前 提 下 , 收
集 分 析 网 络 流 量 中 的 应 用 信 息 , 网 络 管 理 员
可 以 定 义、 监 控 并 评 估 网 络 连 接 性、 安 全 性
和 性 能 策 略 , 并 进 行 网 络 的 规 划 和 设 计。
第 23 页 共 82 页
三峡建行计算机网络改造方案
3、 网 管 系 统 能 够 作 到 管 理 监 控 到 全 网 所
有 网 络 设 备 , 直 观 的 显 示 各 种 设 备 运 行 状 态 ,
并 对 各 种 异 常 情 况 实 现 自 动 报 警。
2.2.5 网络安 全管 理需 求
1、 网 络 设 计 中 利 用 防 火 墙、 VLAN 等 技 术 ,
确 保 计 算 机 网 络 系 统 计 算 机 网 络 系 统 安
全 漏 洞 最 小 化 , 使 网 络 入 侵 的 风 险 得 到
控 制。
2、 能 够 使 安 全 管 理 员 了 解 计 算 机 网 络 系
统 的 整 体 安 全 状 况。
3、 可 监 控 到 来 自 网 络 内 部 和 外 部 的 “ 黑
客 ” 入 侵。
4、 能 够 为 查 明 入 侵 的 来 源 提 供 有 效 的 依
据。
5、 能 够 对 整 个 网 络 系 统 从 网 络 层、 系 统
层、 数 据 库 和 应 用 层 进 行 安 全 脆 弱 性 进
行 评 估 , 提 供 安 全 修 复 指 引。
2.2.6 语音、 视频 应用 的需 求
1、 在 三 峡 建 行 一 级 安 装 有 能 与 与 总 行 通
话 的 IP 电 话 20 门 , 并 能 够 参 加 总 行 举 行
的 视 频 会 议。
2、 在 条 件 允 许 的 情 况 下 , 在 三 峡 建 行 城
域 网 内 能 够 实 现 IP 电 话 和 视 频 服 务 。
第 24 页 共 82 页
三峡建行计算机网络改造方案
● 高 可 靠 性
选 用 可 靠 性 较 高 的 网 络 产 品 , 合 理 设 计
网 络 架 构 , 制 订 可 靠 的 网 络 备 份 策 略 , 保
证 网 络 具 有 故 障 自 愈 的 能 力 , 从 而 最 大 限
度 地 支 持 各 业 务 系 统 的 正 常 运 行。
● 实 用 性
网 络 改 造 方 案 设 计 实 施 应 充 分 考 虑 实 际
需 求 和 费 用 , 追 求 高 的 性 效 比
● 安 全 性
制 订 统 一 的 网 络 安 全 策 略 , 整 体 考 虑 网
络 平 台 的 安 全 性
● 集 中 管 理
对 网 络 实 行 集 中 监 测、 , 并 统 一 分 配 带
宽 资 源。 选 用 先 进 的 网 络 管 理 平 台 , 具 有
对 设 备、 端 口 等 的 管 理、 流 量 统 计 分 析 ,
及 可 提 供 故 障 自 动 报 警。
● 可 扩 展 性 。
根 据 未 来 业 务 的 增 长 和 变 化 , 网 络 可 以
平 滑 地 扩 充 和 升 级 , 减 少 对 网 络 架 构 和 现
有 设 备 的 调 整。
第 25 页 共 82 页
三峡建行计算机网络改造方案
● 灵 活 性
支 持 大 型 的 动 态 路 由 协 议 , 支 持 策 略 路
由 功 能 , 保 证 与 其 它 网 络 ( 如 公 共 数 据 网、
金 融 网 络、 行 内 其 它 网 络 ) 之 间 的 平 滑 连 接。
● 技 术 先 进 性
以 先 进、 成 熟 的 网 络 通 讯 技 术 进 行 方 案
设 计 及 实 施 , 相 关 的 技 术 均 要 符 合 国 际 标
准。
● 保 护 现 有 投 资
保 证 网 络 整 体 性 能 的 前 提 下 , 充 分 利 用
现 有 的 网 络 设 备 或 做 必 要 的 升 级。
● 分 阶 段 实 施 原 则
对 整 个 网 络 改 造 进 行 统 一 规 划 , 分 阶 段
逐 步 实 施。
第 26 页 共 82 页
三峡建行计算机网络改造方案
第4章 网络 总体设 计
4.1.1 组网模 式
大 型 网 络 的 网 络 结 构 是 层 次 化 的 , 正 确 理
解 我 行 网 络 层 次 的 划 分 和 每 个 层 次 的 主 要 作
用 , 有 助 于 我 们 合 理 选 择 网 络 拓 扑 和 网 络 技
术。 鉴 于 三峡建行 的 特 殊 性 , 我 们 将 网 络 结 构 设
计 为 如 下 层 次 :
城 域 网 : 城 域 网 实 现 建 行 同 城 网 络 的 连 接 ,
包 括 中 心 机 房 到 丁 机 房、 甲 路 机 房 的 连 接。
分 布 层 : 实 现 网 络 统 一 策 略 的 互 联 层 , 访
问 层 向 核 心 层 的 汇 接 点 , 三 峡 建 行 到 各 县 支
行 构 成 的 二 级 网 络 即 属 于 网 络 分 布 层。
接 入 层 : 为 最 终 用 户 提 供 对 网 络 的 接 入 , 三
峡 建 行 到 各 营 业 网 点 构 成 的 网 络 即 属 于 网 络
接 入 层。 同 时 , 接 入 层 网 络 包 括 三 峡 建 行 与
外 连 网 的 连 接。
按 照 以 上 方 式 进 行 组 网 , 层 次 比 较 清 晰 ,
便 于 方 案 实 施 ,。
组 网 模 型 如 下 图 :
第 27 页 共 82 页
三峡建行计算机网络改造方案
分行城域网 B:分布层
C:接入层
B B C
C
4.1.2 网络总 体拓 扑结 构设 计
网 络 改 造 后 的 网 络 拓 扑 结 构 示 意 图 如 下 所 示 :
第 28 页 共 82 页
三峡建行计算机网络改造方案
4.2 局域网 改造
4.2.1 局域网 改造 方案
设备 选择
在 三 峡 建 行 网 络 中 心 , 增 加 一 台 高 性 能 的
交 换 机 Cisco Catalyst 6509 , 同 时 在 Cisco Catalyst 5505 增
加 千 兆 模 块 和 RSM 路 由 模 块 , 通 过 两 条 千 兆 链
路 连 接 起 来 , 利 用 Gigabit EtherFast 技 术 既 相 互 备 份 ,
又 负 载 均 衡。
Catalyst 6509 可 以 提 供 高 性 能 、 多 层 交 换 的 数 据
通 信 , 满 足 内 部 网 络 ( INTRANET ) 、 苛 求 网 络
服 务 和 网 络 语 音 应 用。 每 台 Catalyst 6509 配 置 两
块 带 有 PFC 子 卡 和 MSFC 子 卡 的 超 级 引 擎 , 互 为
备 份 , 其 中 PFC 子 卡 主 要 用 于 扩 充 Qos 能 力 ,
可 以 实 现 基 于 应 用 ( TCP/UDP 应 用 端 口 号 ) 的
服 务 质 量 控 制 , 而 MSFC 子 卡 主 要 是 取 代 原 来
的 路 由 模 块 MSM 实 现 线 速 三 层 交 换 , 并 且 进 行
了 很 大 的 扩 充 , 数 据 包 吞 吐 率 从 原 来 的 6Mpps
扩 充 到 15Mpps 。
分 别 提 供 与 网 管 工 作 站、 路 由 器 等 的 连 接。
为 了 保 证 中 心 交 换 机 的 可 靠 性 , Catalyst 6509
配 置 双 电 源 冗 余 系 统。
将 原 有 Catalyst 5000 交 换 机 从 网 络 中 心 下 移 到
江 阁 大 楼 , 同 时 增 加 两 个 千 兆 模 块 , 分 别 以
1000Mbps 速 率 同 Catalyst 6509 和 Catalyst 5505 相 连 。
第 29 页 共 82 页
三峡建行计算机网络改造方案
VLAN 划分
将 局 域 网 按 服 务 器 业 务 类 型 划 分 为 不 同
VLAN , 主 要 有 : 业 务 网 、 管 理 网 等 , 也 可 以
按 照 部 门 划 分 VLAN , VLAN 之 间 的 通 信 可 以 通
过 诸 如 主 交 换 机 中 设 置 的 策 略 路 由 等 加 以 控
制。
设 备 配 置 表 如 下 :
第 30 页 共 82 页
三峡建行计算机网络改造方案
序号 产品号 产品名称 数量
Catalyst 6509
1 WS-C6509 Catalyst 6509 Chassis 1
2 WS-CAC-1300W Catalyst 6000 1300W AC Power Supply 1
3 WS-CAC-1300W/2 Catalyst Second 6000 1300W AC Power Supply 1
4 WS-X6K-S2-MSFC2 Catalyst 6500 Supervisor Engine-2, 2GE, plus MSFC-2 & PFC-2 1
5 WS-X6K-S2-MSFC2/2 *Cat 6500 Red. Sup2, 2GE, MSFC2 & PFC2 (In Chassis Only) 1
6 MEM-C6K-FLC24M Catalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option 1
7 MEM-MSFC-128MB Catalyst 6000 MSFC Mem, 128MB DRAM Option 1
8 WS-X6408-GBIC Catalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs) 1
9 WS-G5484 1000BASE-SX "Short Wavelength" GBIC (Multimode only) 8
10 WS-X6248-RJ-45 Catalyst 6000 48-port 10/100 RJ-45 Moudel 1
11 SC6MSFCA-12.0.3XE Cisco IOS Catalyst 6000 Family MSFC - Enterprise 1
12 FR-IRC6 Catalyst 6000 Family InterDomain Routing Feature License 1
4.3 城域网改造
城域网主要提供城区各个主要局域网的接入,包括江阁大楼、云路机房、信用
卡部和星办局域网的接入,还包括增加戊和己两支行局域网的接入
甲路机房、信用卡部和星办局域网保持原有结构不变。
戊和己支行需铺架光纤,接入三峡建行城域网,己支行需增加一台 Catalyst
2924 交换机。
城域网改造后,网络拓扑图如下:
第 31 页 共 82 页
三峡建行计算机网络改造方案
城域网链路备份方案有两种:
4.4 广域网 改造
4.4.1 广域网 分布 层改 造
分布层网络主要是指三峡建行到县级支行和城区较远支行的网络连接。
三 峡 建 行 到 上 述 支 行 的 网 络 拓 扑 图 如 下 :
第 32 页 共 82 页
三峡建行计算机网络改造方案
链 路 说 明 : 支 行 采 用 64K DDN 链 路 与 三 峡 建 行
网 络 中 心 互 连 , 用 于 传 输 营 业 数 据 和 企 业 内
部 管 理 数 据 ; 同 时 利 用 PSTN 链 路 作 为 备 份 线 路 。
设 备 选 型 : 县 级 支 行 局 域 网 进 行 改 造 , 配 置
路 由 器 分 别 与 三 峡 建 行 相 连。 在 Catalyst 2924 划 分
VLAN 将 管 理 网 和 营 业 网 隔 离 开 。
节 点 确 定 原 则 : 该 节 点 就 近 有 既 营 业 网 又 有
管 理 网 的 广 域 网 的 接 入。 初 步 确 定 有
b、 c、 d、 e、 f 、 g、 h、 i 各 县 支 行 以 及 城 区 、
国 际 业 务 部。
第 33 页 共 82 页
三峡建行计算机网络改造方案
4.4.2 广域网 接入 层改 造
接入层网络主要是指三峡建行到网点的网络连接。
三 峡 建 行 到 网 点 的 网 络 拓 扑 图 :
链路说明:大的网点采用低端路由器(还可广泛采用原有的一些非 CiscoL
路由设备)通过 64K DDN 链路与三峡建行网络中心互连,用于传输营业数据,
小的网点采用异步 MODEM 通过 64K DDN 链路与三峡建行网络中心互连;同
时利用 PSTN 链路作为备份线路。
节点确定原则:该节点就近有多条营业网的广域网的接入。初步确定有航空
办、北山办、五广分理处等。
4.5 外网的 连接
为 了 实 现 三 峡 建 行 和 外 网 ( 主 要 是 开 展 的
中 间 业 务 ) 的 连 接 , 通 过 将 运 行 中 间 业 务 的
前 置 机 和 路 由 器 之 间 放 置 一 台 PIX 防 火 墙 进 行
第 34 页 共 82 页
三峡建行计算机网络改造方案
物 理 隔 离 , 配 置 一 台 CISCO 3661 , 配 置 多 口 同 步
模 块 , 通 过 DDN 与 证 券 营 业 部 相 连 , 同 时 提 供
三 峡 建 行 局 域 网 与 外 网 连 接 图 如 下 :
4.6 可靠性 设计
三 峡 建 行 网 络 可 靠 性 包 括 网 络 设 备 备 份 和
链 路 备 份 ( 包 括 电 话 拨 号 )。
4.6.1 设备备 份
三 峡 建 行 中 心 局 域 网 中 心 增 加 一 台 高 性 能
的 交 换 机 Cisco Catalyst 6509 , 同 时 在 Cisco Catalyst 5505
增 加 千 兆 模 块 和 RSM 路 由 模 块 , 通 过 两 条 千 兆
链 路 连 接 起 来 , 利 用 Gigabit EtherFast 技 术 既 相 互 备
份 , 又 负 载 均 衡。
Catalyst 6509 配 置 双 引 擎 和 双 路 由 模 块 , 同 时
第 35 页 共 82 页
三峡建行计算机网络改造方案
配 置 双 电 源 冗 余 系 统 , 保 证 中 心 交 换 机 的 可
靠 性。
提 供 一 台 CISCO 3662 交 换 机 , 配 置 同 异 步 模
块 , 作 为 中 心 路 由 器 的 设 备 备 份。
城域 网设备 备份
在三峡建行中心交换机 Catalyst 6509 上备份一块 24 口 100M 多模光纤模
块,同时提供一台 Catalyst 1924C 交换机,作为城域网下一级节点的设备备
份。
支行 局域网 设备备 份
提供一台 Catalyst 2924 交换机,作为远程支行局域网交换机的设备备份。
4.6.2 链路备 份
城域 网链路 备份
城域网的主干链路为光纤连接,为了保证城域网的链路的可靠性,可以采
用 ISDN 备份
广域 网线路 备份
● 支 行 广 域 网 链 路 备 份
三 峡 建 行 网 络 中 心 互 连 , 用 于 传 输 营 业 数 据
和 企 业 内 部 管 理 数 据 , 同 时 利 用 PSTN 链 路 作 为
备 份 线 路。
第 36 页 共 82 页
三峡建行计算机网络改造方案
● 网 点 广 域 网 链 路 备 份
大的网点采用 CISCO 2600 路由器通过 64K DDN 链路与三峡建行网络中
心互连,用于传输营业数据,小的网点采用异步 MODEM 通过 64K DDN 链路
与三峡建行网络中心互连;同时利用 PSTN 链路作为备份线路。
4.7 网络 IP 路由 设计
路 由 协 议 对 网 络 的 稳 定 高 效 运 行、 网 络 在
拓 朴 变 化 时 的 快 速 收 敛、 网 络 带 宽 的 充 分 有
效 利 用、 网 络 在 故 障 时 的 快 速 恢 复、 网 络 的
灵 活 扩 展 都 有 很 重 要 的 影 响。
在 大 型 网 络 中 , 静 态 路 由 和 某 些 动 态 路 由
如 RIP 、 IGRP 由 于 其 固 有 的 局 限 性 ( 扩 展 性 差、
不 支 持 VLSM) , 不 适 合 在 网 络 节 点 多 、 规 模 大
的 网 络 中 使 用。 目 前 在 大 型 网 络 中 最 常 见 的
路 由 协 议 是 OSPF 和 EIGRP 。
由 于 在 大 型 的 网 络 中 有 多 种 平 台 的 路 由 器
存 在 , 而 EIGRP 仅 为 Cisco 独 家 支 持 。 由 于 我 们 为
了 充 分 利 用 原 有 网 络 设 备 ( 其 中 很 大 一 部 分
是 非 Cisco 的 ) 无 法 选 择 EIGRP , 且 在 最 新 内 部 路
由 的 设 计 中 , OSPF 的 性 能 在 流 量 整 形 方 面 远 超
于 Eigrp 。 故 我 们 在 本 网 络 方 案 中 内 部 主 路 由 协
第 37 页 共 82 页
三峡建行计算机网络改造方案
议 选 择 OSPF 。
4.8.1 业务分 类和 数据 特点 的分 析:
不 同 的 应 用 系 统 对 网 络 服 务 的 要 求 不 同 。
在 一 个 统 一 的 网 络 平 台 上 , 应 该 保 证 对 于 不
同 的 应 用 数 据 根 据 其 具 体 要 求 提 供 相 应 的 网
络 服 务 , 并 能 在 因 故 障 导 致 网 络 资 源 稀 缺 时
优 先 保 证 关 键 性 业 务 数 据 的 传 输。
经 对 我 行 现 有 应 用 系 统 的 网 络 需 求 分 析 ,
按 其 重 要 程 度 分 为 以 下 两 类 : 营 业 类、 管 理
类。
营 业 类 业 务 系 统
包 括 综 合 网 柜 面 业 务 系 统、 清 算 系 统、 龙 卡
系 统、 网 上 银 行 等。
这 些 业 务 是 我 行 最 重 要 的 业 务 , 应 优 先
得 到 保 障。 这 些 业 务 的 数 据 包 大 小 比 较 固 定 ,
对 数 据 传 输 的 延 时 要 求 比 较 高。
管 理 类 业 务 系 统
包 括 OA 、 信 贷、 总 帐 传 输、 人 力 资 源、 电
子 邮 件 等 管 理 系 统。
这 一 类 管 理 信 息 目 前 主 要 是 普 通 的 文 件 传
第 38 页 共 82 页
三峡建行计算机网络改造方案
输 , 数 据 流 量 大、 突 发 性 强、 对 实 时 性 要 求
较 低 , 但 要 求 能 够 可 靠 传 输 , 流 向 目 前 主 要
是 纵 向。
综 合 类 业 务 系 统
包 括 访 问 行 内 信 息 网 站 、 Internet 浏 览 以 及 IP
电 话、 视 频 会 议、 网 上 培 训 多 媒 体 增 值 业 务
等。
这 些 都 属 于 流 量 增 长 最 快 的 应 用 系 统 , 流
量 大、 随 机 性 强 , 流 向 可 能 是 任 意 方 向 的 ,
其 中 多 媒 体 业 务 是 面 向 非 连 接 的 , 对 时 延 非
常 敏 感。
4.8.2 QOS 保证
使 不 同 的 业 务 集 成 在 了 同 一 个 网 络 平 台 上 ,
如 何 保 证 不 同 业 务 数 据 的 优 先 级 别 和 传 输 质
量 就 成 了 一 个 很 重 要 的 问 题。 同 时 将 要 实 施
的 语 音 等 新 应 用 对 网 络 提 出 了 新 的 服 务 质 量
的 要 求。 要 保 证 以 上 数 据 的 网 络 服 务 质 量 ,
需 要 采 用 策 略 路 由 实 现 根 据 不 同 的 业 务 数 据
种 类 选 择 不 同 链 路 传 输 , 并 在 每 条 线 路 上 采
用 带 宽 分 配、 优 先 级 控 制 等 QOS 控 制 技 术 保 证
各 类 应 用 数 据 的 有 效 传 输。
QoS 控 制 技 术
为 了 避 免 增 加 过 多 的 控 制 策 略 导 致 路 由 器 负
第 39 页 共 82 页
三峡建行计算机网络改造方案
载 过 重 , 选 择 以 下 几 种 QOS 控 制 技 术 , 简 单 有
效 地 实 现 各 类 应 用 的 QOS 保 障 。
● 接 入 速 率 控 制 (CAR) CommittedAccessRate(
● IP 优 先 级 控 制
● 队 列 机 制 (WeightedFairQueuing)
● 先 期 拥 塞 控 制 (WRED)
● 标 记 交 换 (MPLS)
● 语 音 数 据 优 先
在 三 峡 建 行 在 此 次 网 络 改 造 中 将 广 泛 采 用 上
述 技 术 保 证 网 络 通 畅 , 特 别 是 营 业 数 据 的 正
常 传 输。
第 40 页 共 82 页
三峡建行计算机网络改造方案
在 三 峡 建 行 广 域 网 中 , 设 备 繁 多 , 网 络
规 模 大 , 地 理 位 置 跨 越 广 , 且 应 用 环 境 复 杂 。
对 于 诸 多 网 络 硬 件 设 备 和 网 络 应 用 , 只 有 对
网 络 进 行 有 效 地 组 织 和 管 理 , 才 能 够 充 分 利 用
网 络 软 硬 件 资 源 , 发 挥 其 效 力 , 为 系 统 应 用
提 供 良 好 的 网 络 运 行 平 台。 为 了 提 高 系 统 的
分 级 安 全 性 , 设 计 网 络 管 理 系 统 , 便 于 管 理 和
故 障 处 理 , 监 控 的 实 时 性。
为了保障网络运行的品质,维持网络传送频率,降低传送错误率,确保
网络安全等,网络系统技术人员借助网络管理工具或本身的技术经验实施网络
管理,职责内容可分为下列八大类。
网管系统的职责:
• 网络 监控 : 监视网络的运行状态,控制网络路由和流量,分析运行记录和报
警信息
第 41 页 共 82 页
三峡建行计算机网络改造方案
• 性能控制 :据网络应用状态,负荷状态,网络利用率,合理调整网络性能。
• 故障管理:为确保网络系统的高稳定性,在网络出现问题时,必须及时察
觉问题的所在。它包含所有节点运作状态,故障记录的追踪与检查及平常可
对各种通讯协议的测试。
• 效率管理:效率管理在于评估网络系统的运作,统计网络资源的运用及各
种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。
• 用 户 记帐管理 : 建立统一的记帐系统,对网络资源的使用采取收费记帐的
方法,对不同的资源访问制定不同的收费标准和算法。
• 网络安全管理 : 用户身份确认,访问控制,对用户权限以及用户帐户进行维
护和管理,设置相应口令与更新.加密和密钥管理.监视和控制网上的破坏安
全系统的行为。
• 计费管理:了解网络使用时间,能针对各个局部网络做使用量统计。一则
可作为使用网络计费的依据,更可作为日后网络升级或更新规划的参考。
网络管理员能够借助网管软件,对网络上的任何资源和进程调用。
1、网管平台设计
将 原 有 网 管 软 件 CWSI 进 行 升 级 , 采 用 Cisco 公 司 提 供 的 最 新
CiscoWorks2000 的广域网套件,用于对网点网络设备进行管理,局域网套件,
用于对三峡建行局域网进行管理。
2、网管工作站设计
由于网管工作站将实时处理网络设备上传的运行参数,因此必须具备大
内存、高性能 CPU 和良好图形显示功能。拟保留原有网管工作站。
第 42 页 共 82 页
三峡建行计算机网络改造方案
网 管 系 统 works2000 包 括 局 域 网 和 广 域 网 网 组
件 , 还 包 括 语 音 管 理 套 件。
4、自主网络监控软件的开发
由 于 cisco 网 管 软 件 的 专 用 性 , 无 法 有 效 监 控
到 非 Cisco 设 备 , 更 不 能 监 控 到 大 部 分 采 用 串 口
协 议 的 网 点 , 为 了 能 够 监 控 到 所 有 网 点 , 需
要 对 相 关 软 件 做 大 量 的 客 户 化 开 发 工 作。
第 43 页 共 82 页
三峡建行计算机网络改造方案
P2DR 方案是一个超前的安全模型,它是在对国际上安全方面可靠的权威
著作进行多年研究的基础上独自发展出来的。它的指导思想比传统安全方案有
突破性提高。P2DR 模型如图所示:
第 44 页 共 82 页
三峡建行计算机网络改造方案
Protection(保护)---保护通常是通过采用一些传统的静态安全技术及方
法来实现的,主要有防火墙、 加密、认证等方法 。通过防火墙监视限制进出网
络的数据包,可以防范外对内及内对外的非法访问,提高了网络的防护能力,
当然需要根据安全策略制定合理的防火墙策略;也可以利用 SecureID 这种一
次性口令的方法来增加系统的安全性等等。
Response(响应)---紧急响应在安全系统中占有最重要得地位,是解决
安全潜在性最有效的办法。在检测到安全漏洞和安全事件之后必须及时做出正
确的响应,从而把系统调整到安全状态。从某种意义上讲,安全问题就是要解
决紧急响应和异常处理问题。要解决好紧急响应问题,就要制订好紧急响应的
方案,做好紧急响应方案中的一切准备工作。
总 之 , 一 个 信 息 安 全 方 案 必 须 对 安 全 策 略、
安 全 防 护、 安 全 检 测 和 安 全 响 应 有 准 确 和 完
整 的 描 述。
值 得 强 调 的 是 , P2DR 安 全 模 型 已 被 正 式 收 录 进
人 民 银 行 的 安 全 蓝 皮 书 : 《 国 家 金 融 信 息 系
统 安 全 》 总 体 纲 要 - 1999.12
6.2.1 安全 策略 设计
1、安全策略描述原则
由于数据传输的安全性关系到我行的服务质量和信誉保证,关系到客户
的切身利益,因此在制定安全策略时,要加强对数据传输的限制,即只有
表示为允许的才可以进行传输这一原则来加强对网络安全的限制。
2、具体安全策略
三峡建行安全策略应该包括:用户管理、职责划分、安全管理、安全评估、
安全监控、紧急响应、异常处理、授权操作、恢复策略以及跟踪审计等
第 45 页 共 82 页
三峡建行计算机网络改造方案
6.2.2 总体安 全体 系的 规定
网络系统的安全从体系结构上来看应该是一个多层次、多方面的结构。通过
对我行网络所面临的安全状况的分析,可将整个三峡建行网络的安全性在总体
结构上划分为四个级别:网络级安全、应用级安全、系统级安全和企业级安全。
第 46 页 共 82 页
三峡建行计算机网络改造方案
网 络 级 安 全 是 指 在 网 络 的 下 三 层 ( 物 理 层、
链 路 层、 网 络 层 ) 采 取 各 种 安 全 措 施 来 保 障 整
个 三 峡 建 行 网 络 的 安 全 , 包 括 数 据 包 过 滤、
VPN 虚 拟 私 有 网 、 VLAN 的 划 分 、 访 问 控 制、 身 份
认 证、 数 据 包 加 密 传 输、 安 全 审 计、 安 全 监
控 和 安 全 漏 洞 检 测 等
应 用 级 安 全 是 指 通 过 利 用 三 峡 建 行 网 络 中
各 大 应 用 系 统 ( 如 综 合 业 务 系 统、 清 算 系 统 、
企 业 网 系 统 等 等 ) 和 大 型 关 系 型 数 据 库 自 身
的 安 全 机 制 , 在 应 用 层 保 证 对 三 峡 建 行 网 络
中 各 种 应 用 系 统 的 信 息 访 问 合 法 性 ;
系 统 级 安 全 主 要 是 通 过 对 操 作 系 统 (UNIX、 NT)
的 安 全 设 置 , 防 止 利 用 操 作 系 统 的 安 全 漏 洞
对 整 个 三 峡 建 行 网 络 构 成 安 全 威 胁 ;
企 业 级 安 全 主 要 是 从 三 峡 建 行 范 围 内 的 安
全 管 理 和 计 算 机 病 毒 防 范 两 方 面 来 保 障 整 个
我 行 网 络 的 安 全。
此 次 网 络 改 造 我 们 主 要 对 网 络 级 安 全 加 以
设 计。
可 适 应 性 网 络 安 全 由 四 个 集 成 的 方 案 组 成。
第 一 , 端 对 端 的 网 络 安 全 要 求 持 续 的、 综 合
的 安 全 评 估 , 通 过 自 动 的 基 于 网 络 的 和 基 于
第 47 页 共 82 页
三峡建行计算机网络改造方案
主 机 的 扫 描 技 术 实 现 ; 第 二 , 对 安 全 弱 点 的
响 应 通 过 已 建 立 的 安 全 策 略 中 相 关 的 安 全 漏
洞 来 衡 量。 更 正 动 作 很 容 易 获 得 并 迅 速 实 现 。
另 外 , 基 于 网 络 和 主 机 的 实 时 入 侵 检 测 提 供
对 内 部 攻 击、 外 部 攻 击 和 误 操 作 的 实 时 保 护 。
最 后 , 对 安 全 威 胁 的 网 络 自 动 更 正 包 括 主 动
中 断 连 接 和 网 络 设 备 的 重 新 配 置。
网 络 安 全 的 程 度 必 然 是 动 态 变 化 的 , 所 以
网 络 安 全 不 可 能 是 一 个 静 态 的 结 果 , 需 随 着
网 络 环 境 的 变 化 , 并 综 合 各 种 可 能 的 影 响 安
全 的 因 素 来 制 订 整 个 网 络 的 安 全 策 略
对 于 系 统 安 全 设 计 , 一 定 要 充 分 考 虑 整 个
三 峡 建 行 网 络 系 统 的 实 际 需 求 和 网 络 现 状 ,
以 我 行 网 络 与 外 部 的 连 接 作 为 安 全 设 计 的 重
点 , 可 通 过 以 下 措 施 来 从 网 络 物 理 层 一 直 到
应 用 层 保 证 整 个 网 络 系 统 的 安 全 使 用。
6.3.1 局域网 安全 设计
由 于 局 域 网 中 采 用 广 播 方 式 , 因 此 , 若 在
某 个 广 播 域 中 可 以 侦 听 到 所 有 的 信 息 包 , 黑
客 就 可 以 对 信 息 包 进 行 分 析 , 那 么 本 广 播 域
的 信 息 传 递 都 会 暴 露 在 黑 客 面 前。
三 峡 建 行 局 域 网 在 空 间 分 布 上 是 城 域 范 围
的 , 局 域 网 的 安 全 必 须 认 真 考 虑 , 局 域 网 安
全 主 要 有 采 取 VLAN 划 分 以 及 利 用 安 全 软 件 对 局
域 网 进 行 扫 描。
第 48 页 共 82 页
三峡建行计算机网络改造方案
划分 VLAN
虚 拟 网 ( VLAN ) 技 术 主 要 基 于 近 年 发 展 的 局
域 网 交 换 技 术 ( ATM 和 以 太 网 交 换 ) 。 交 换 技
术 将 传 统 的 基 于 广 播 的 局 域 网 技 术 发 展 为 面
向 连 接 的 技 术。 因 此 , 网 管 系 统 有 能 力 限 制
局 域 网 通 讯 的 范 围 而 无 需 通 过 开 销 很 大 的 路
由 器。 以 太 网 从 本 质 上 基 于 广 播 机 制 , 但 应
用 了 交 换 机 和 VLAN 技 术 后 , 实 际 上 转 变 为 点 到
点 通 讯 , 除 非 设 置 了 监 听 口 , 信 息 交 换 也 不
会 存 在 监 听 和 插 入 ( 改 变 ) 问 题。
由 以 上 运 行 机 制 带 来 的 网 络 安 全 的 好 处 是
显 而 易 见 的 : 信 息 只 到 达 应 该 到 达 的 地 点。
因 此 , 防 止 了 大 部 分 基 于 网 络 监 听 的 入 侵 手
段。 通 过 虚 拟 网 设 置 的 访 问 控 制 , 使 在 虚 拟
网 外 的 网 络 节 点 不 能 直 接 访 问 虚 拟 网 内 节 点 。
但 是 , 虚 拟 网 技 术 也 带 来 了 新 的 问 题 : 执 行
虚 拟 网 交 换 的 设 备 越 来 越 复 杂 , 从 而 成 为 被
攻 击 的 对 象。 基 于 网 络 广 播 原 理 的 入 MAC 的
VLAN 划 分 将 面 临 假 冒 MAC 地 址 的 攻 击 。 因 此 ,
VLAN 的 划 分 最 好 基 于 交 换 机 。 但 这 要 求 整 个
网 络 桌 面 使 用 交 换 端 口 或 每 个 交 换 机 所 在 的
网 段 机 器 均 属 于 相 同 的 VLAN 。
第 49 页 共 82 页
三峡建行计算机网络改造方案
VLAN 的 划 分 方 式 的 目 的 是 保 证 系 统 的 安 全 性 。
因 此 , 可 以 按 照 系 统 的 安 全 性 来 划 分 VLAN : 可
以 将 总 部 中 的 服 务 器 系 统 单 独 划 作 一 个 VLAN ,
如 数 据 库 服 务 器、 电 子 邮 件 服 务 器 等。 也 可
以 按 照 机 构 的 设 置 来 划 分 VLAN , VLAN 之 内 的 连
接 采 用 交 换 技 术 实 现 , VLAN 与 VLAN 之 间 采 用 策
略 路 由 来 控 制 数 据 传 输。
在 三 峡 建 行 局 域 网 在 安 全 设 计 时 将 采 取 上
述 两 种 划 分 VLAN 的 策 略 来 保 证 系 统 的 安 全 性 。
安全 漏洞扫 描
在 三 峡 建 行 整 个 网 络 系 统 中 ( 包 括 三 峡 分
行、 各 支 行、 局 域 网、 广 域 网 ) 配 置 ISS Internet
Scanner ( 网 络 安 全 扫 描 器 ) 、 在 分 行 中 心 企 业
网 和 营 业 网 中 重 要 的 主 机 中 安 装 ISS SYSTEM
scanner 、 在 分 行 中 心 企 业 网 和 营 业 网 中 的 数 据
服 务 层、 系 统 层、 应 用 数 据 层 扫 描 出 网 络 / 系
统 / 数 据 应 用 存 在 的 安 全 漏 洞 , 并 提 交 漏 洞 报
告 和 修 补 漏 洞 的 建 议 , 使 网 络 安 全 风 险 降 到
最 小。
安 全 入 侵 检 测 和 响 应
第 50 页 共 82 页
三峡建行计算机网络改造方案
在 三 峡 建 设 银 行 整 个 网 络 系 统 中 , 主 要 应
用 业 务 数 据 ( 企 业 网 和 营 业 网 ) 均 是 存 放 在
分 行 中 心 , 中 间 通 过 VLAN 划 分 进 行 各 个 业 务 系
统 隔 离 , 具 备 一 定 的 信 息 安 全 功 能 , 但 缺 乏
对 各 个 业 务 系 统 数 据 通 信 的 安 全 检 测 和 监 控 ,
不 能 够 做 到 对 各 个 系 统 安 全 状 况 心 中 有 数 ,
不 能 够 对 安 全 事 件 进 行 统 计 和 预 测 , 不 能 够
对 外 来 入 侵 和 内 部 误 用 进 行 自 动 的 实 时 响 应 ,
在 系 统 遭 受 破 坏 之 前 将 入 侵 者 驱 除 出 外。
故 在 各 个 业 务 系 统 核 心 数 据 服 务 器 网 络 入
口 处 , 配 置 ISS 的 realsecure network sensor 对 外 来 与 本
业 务 系 统 核 心 数 据 服 务 器 连 接 的 所 有 通 信 流
量 进 行 安 全 监 控 , 同 时 在 核 心 业 务 主 机 中 配
置 realsecure OS sensor 从 系 统 层 面 中 对 系 统 攻 击 事
件 进 行 安 全 监 控。 通 过 两 者 的 配 合 , 对 一 些
危 害 网 络 安 全 和 信 息 安 全 的 行 为 进 行 阻 击 ,
也 可 以 作 为 对 犯 罪 分 子 的 犯 罪 证 据 , 从 法 律
角 度 对 犯 罪 分 子 提 出 指 控。
6.3.2 广域网 安全 设计
由 于 广 域 网 采 用 公 网 传 输 资 料 , 因 而 在 广
域 网 上 进 行 传 输 时 信 息 也 可 能 会 被 不 法 分 子
截 取。 如 从 分 支 机 构 发 一 个 信 息 到 三 峡 建 行
时 , 这 个 信 息 包 就 可 能 被 人 截 取 和 利 用。 因
此 在 广 域 网 上 发 送 和 接 收 信 息 时 要 保 证 :
除了发送方和接收方外,其它人是不可知悉的(隐私性);
传 送 过 程 中 不 被 篡 改 ( 真 实 性 ) ;
发 送 方 能 确 信 接 收 方 不 是 假 冒 的 ( 非 伪 装
第 51 页 共 82 页
三峡建行计算机网络改造方案
性 ) ;
发 送 方 不 能 否 认 自 己 的 发 送 行 为 ( 非 否
认 ) 。
能 够 对 所 有 网 络 访 问 活 动 和 攻 击 行 为 进 行
过 程 监 控、 威 胁 统 计 和 预 测。
内部 广域网 安全设 计
1、 在 应 用 程 序 普 遍 采 用 IC 卡 的 基 础 上 ,
在 广 域 网 连 接 设 备 之 间 的 网 络 通 信 对 数 据 包
进 行 加 密。
2、 对 于 从 外 部 拨 号 访 问 三 峡 建 行 内 部 局
域 网 的 用 户 , 由 于 使 用 公 用 电 话 网 进 行 数 据
传 输 所 带 来 的 风 险 , 必 须 严 格 控 制 其 安 全 性 。
对 于 内 部 广 域 网 采 用 拨 号 备 份 时 可 以 使 用 回
拨 确 认 等 方 式 来 防 止 非 法 访 问。
3、 加 强 对 拨 号 用 户 的 身 份 认 证 , 使 用
4、 在 数 据 传 输 过 程 中 采 用 加 密 技 术 , 防 止
资 料 被 非 法 窃 取。
5、 因 为 内 部 广 域 网 中 安 全 弱 点 主 要 来 自
于 网 络 互 联 设 备 和 网 络 传 输 设 备 的 安 全 漏 洞 ,
故 采 用 ISS internet scanner 漏 洞 扫 描 工 具 从 网 络
层 对 整 个 内 部 广 域 网 络 系 统 进 行 安 全 漏 洞 扫
描 和 评 估 , 从 而 采 取 措 施 修 复 安 全 漏 洞 , 加
第 52 页 共 82 页
三峡建行计算机网络改造方案
强 安 全 管 理、 设 备 管 理、 软 件 管 理 等 安 全 工
作。
外连 网的安 全设计
1、 在 连 接 外 部 网 时 , 使 用 路 由 器 与 外 网
进 行 隔 离 , 在 路 由 器 上 设 置 访 问 控 制 列 表
( ACL ) , 屏 蔽 未 经 允 许 的 访 问 。
2、 连 接 外 部 网 时 , 在 三 峡 建 行 内 部 网 与
路 由 器 之 间 安 装 PIX 防 火 墙 , 利 用 防 火 墙 的 数
据 包 过 滤、 地 址 隐 藏 以 及 VPN 功 能 保 证 外 部 的
非 法 访 问 无 法 进 入 建 行 内 部 网。
3、 使 用 DMZ 非 军 事 化 区 , 将 业 务 前 置 机 放
置 于 非 军 事 化 区 , 这 样 既 保 证 外 连 网 正 常 业
务 , 又 保 证 内 网 安 全。
4、 在 DMZ 区 、 连 接 外 连 网 的 网 段 , 配 置 了
ISS 入 侵 监 测 系 统 实 时 监 视 网 络 的 非 法 入 侵 行
为。 该 系 统 包 括 RealScure console 、 RealScure ageng(包括 network
sensor和 os sensor) 两 部 分 , 其 中 RealSecure ageng 可 以 从 网
络 和 系 统 两 个 层 次 实 时 检 测 政 策 违 规 , 不 影
响 网 络 性 能 , 它 分 析 各 个 数 据 包 的 内 容 和 上
下 文 , 决 定 流 量 是 否 未 经 授 权。 如 果 一 个 网
络 的 数 据 流 遇 到 未 经 授 权 的 活 动 , 例 如 SATAN 攻
击、 PING 攻 击 或 秘 密 的 研 究 项 目 代 码 字 ,
RealScure ageng 会 给 RealSecure console 管 理 控 制 台 转 发 告 警 ,
并 从 网 络 删 除 入 侵 者。 在 网 络 入 口 处 配 置
realsecure network sensor , 可 以 在 业 务 前 置 机 中 安 全
第 53 页 共 82 页
三峡建行计算机网络改造方案
5、 为 检 查 网 络 中 可 能 存 在 的 安 全 漏 洞 ,
在 网 络 中 配 置 ISS internet scanner , 对 系 统 和 网
络 进 行 扫 描 , 主 动 查 找 安 全 漏 洞 , 并 自 动 生
成 关 于 安 全 状 况 的 报 告。
6、 对 于 来 说 , 由 于 与 相 连 企 业 之 间 传 输
的 都 是 关 键 性 的 资 金 帐 务 信 息 , 在 有 条 件 的
地 方 , 可 以 适 当 采 取 链 路 加 密 措 施 , 选 用 一
些 独 立 的 链 路 加 密 设 备 进 行 对 传 输 数 据 进 行
加 密 保 护。
第 54 页 共 82 页
三峡建行计算机网络改造方案
第7章 IP 电话 网络设 计
数据网与语音网的结合是当今网络界发展的一种趋势。通过语音数字化及
压缩技术,可将通话时的模拟语音信号数字化后,再压缩成语音数据包,然后
再将语音数据包封装在 IP 数据包中,通过已有的 IP 数据网(Internet 或
Intranet)传输,即可实现“ 网上电话”, 经过一系列优化和带宽保证,打语
音电话的质量与通常电信网上的话音质量几乎是一样的。
语音压缩
在通常的电话网中打一路电话需要 64K(bps)的带宽,而在数据网中维持
一条语音话路只需要少于 10K 的通信带宽;即传输语音数据包所需要的带宽比
传统的语音网要少。这是将语音信号编 码/解码,即将模拟的语音信号数字化
后再压缩以及反向流程的的结果,语音信号编码/解码的质量决定了 IP 电话的
话音质量。采用 G.729 或 CS-ACELP 技术,可将一路 IP 电话所需的带宽降为
8K,且通话的质量与传统的电话网中的话路(64KPCM 编码)质量几乎相同。
静音抑制
人们在打电话时,通话间会有间隙,即有一部分被传输数据包并未含有
任何语音信息。通过静音抑制技术,可以减少语音电话对带宽的需求,将节省
的带宽为其它数据传输所用。
服务质量功能
第 55 页 共 82 页
三峡建行计算机网络改造方案
先保证小数据量数据包的传输;另外,实时数据传输、数据包头压缩协议(RTP)
等也提供服务质量的保证。
语音流的传输控制网络设备可以为语音数据包的传输提供更多的附加功
能。如可以采用代价最小的路由策略以 及虚拟专用网技术等。
语音交换网络设备不仅可以为一个公司内两个不同地点的办事处提供复
杂的语音数据包的传输功能,还能提供类似小型程控交换机(PBX)的功能,
如呼叫处理、话路交换等。
CISCO 公司针对基于包交换网络技术的电话服务推出新型解决方案,这些
新方案将给电话服务提供商带来无限商机和回报。这些基于 H.323 协议的解决
方案包括分布式预付呼叫(distributed prepaid calling)、Internet 呼叫等
待(Internet Call Waiting, ICW)、点击拨号(click-to-dial)和清仓结算
(Clearinghouse Settlements)等。通过利用 Cisco H.323 网络,服务提供商可
以在他们已有的包交换式网络上寻找到新的利润增长点。
Cisco AS5300 平 台 支 持 的 话 音 网 关 应 用 软 件 使 路
由 器 能 够 在 PBX , 集 团 电 话 或 PSTN 电 路 间 连 接 话
音 呼 叫 , 在 IP 网 络 上 传 输 话 音 。 拨 入 的 呼 叫
终 结 在 话 音 / 传 真 卡 上 , 运 用 包 括 G.711 和 G.729 的
标 准 算 法 , 在 卡 上 将 话 音 编 码 , 压 缩 并 被 封
入 RTP 信 息 包 中 。 使 用 标 准 H.323 协 议 , 一 个 呼 叫
可 被 置 入 远 程 话 音 网 关 , 远 程 网 关 将 话 音 解
码 , 并 传 送 给 接 收 器。 当 一 个 拨 入 呼 叫 是 传
真 时 , 传 真 转 播 特 性 自 动 地 决 定 , 并 在 IP 网
第 56 页 共 82 页
三峡建行计算机网络改造方案
络 上 向 传 真 机 发 送 信 令 , 然 后 , 仅 当 接 收 传
真 机 在 线 时 , 接 受 用 于 转 发 的 传 真。 这 样 终
端 用 户 能 够 确 保 传 真 被 发 送。
Cisco 话 音 管 理 器
Cisco 话 音 管 理 器 是 一 个 基 于 Web 的 网 络 管 理 应
用 , 它 配 置 并 监 视 Cisco VOIP 网 关 。 网 络 监 管 者
能 够 实 施 拨 号 计 划 , 实 时 监 控 呼 叫 行 为 和 呼
叫 质 量 参 数 , 并 生 成 说 明 呼 叫 过 程 和 传 送 质
量 的 详 细 报 告。
服 务 质 量
Cisco 话 音 技 术 在 大 多 数 不 利 的 网 络 情 况 下
( 包 括 信 息 包 延 迟 和 信 息 包 丢 失 ) 维 护 通 信 传
输 质 量 通 信。 在 一 个 话 音 网 络 中 , 包 丢 失 和
延 迟 都 会 对 通 话 质 量 产 生 严 重 的 负 面 影 响。
Cisco 话 音 网 关 的 高 性 能 话 音 协 同 处 理 器 设
计 将 话 音 编 码 和 打 包 过 程 中 信 息 包 的 延 迟 和
丢 失 减 到 最 小 程 度 。 Cisco 的 QoS 特 性 在 话 音 网 关
和 骨 干 路 由 基 础 设 施 上 实 现 , 包 括 IP 优 先 权 ,
RSVP , 加 权 公 平 排 队 , WRED 和 多 级 多 链 路 PPP 分
割 交 叉。 这 些 特 性 能 够 在 最 拥 塞 的 网 络 上 为
敏 感 的 话 音 业 务 提 供 低 延 迟 , 高 可 靠 性 的 路
径。
新 的 Cisco AS5300 话 音 / 传 真 特 性 卡 的 一 个 普 遍
应 用 是 INTRANET 电 话 呼 叫 和 传 真 。 公 司 使 用 带 有
话 音 / 传 真 特 性 卡 Cisco AS5300 及 与 Cisco 3600 和 Cisco
第 57 页 共 82 页
三峡建行计算机网络改造方案
2600 的 话 音 模 块 , 通 过 在 现 存 的 IP 网 络 上 传 输
局 间 话 音 和 传 真 业 务 , 能 够 大 幅 度 降 低 长 途
电 话 和 传 真 费 用 , 而 无 损 话 音 和 传 真 质 量。
系 列 产 品 , 管 理 者 能 够 监 视 和 控 制 服 务 级 别
从 而 在 他 们 的 数 据 网 络 上 获 得 和 维 护 长 话 音
质 和 传 真 传 输。
采 用 Cisco 话 音 / 传 真 解 决 方 案 处 理 INTRANET 电
三峡建行 IP 语音网络一是解决三峡建行和总行的长途通信问题,主要是
利用闲置的数据网络带宽开通 VoIP 功能,以节省长途电话费用。
目 前 , 三 峡 建 行 到 总 行 进 行 IP 电 话 通 信 ,
由 于 一 路 语 音 大 约 占 用 12Kbps 带 宽 , 本 次 为 三
第 58 页 共 82 页
三峡建行计算机网络改造方案
峡 建 行 开 通 20 路 话 音 , 需 要 开 通 1 条 E1 的 数 字
语 音 话 路 , 因 此 三 峡 建 行 的 语 音 网 关 选 用 Cisco
AS5300/Voice Gateway , 共 配 置 1 个 E1 适 配 卡 , 1 个 E1
适 配 卡 连 接 到 三 峡 建 行 程 控 交 换 机 上 , 提 供
与 建 总 行 的 通 信。
关 守 ( Gatekeeper ) 可 以 提 供 地 址 翻 译 、 带 宽
控 制、 许 可 控 制、 域 管 理 功 能、 带 宽 管 理、
呼 叫 控 制 信 令、 呼 叫 鉴 权 和 呼 叫 管 理 等 服 务。
7.4 IP 语音的 管理
配 置、 状 态 监 视 及 提 供 详 细 的 CDR(Call Details
Record) 原 始 数 据 , 为 用 户 生 成 详 细 的 计 费 依 据 。
需 要 注 意 的 是 , 在 一 个 数 据、 语 音、 视 频
共 同 传 输 的 网 络 中 , 各 种 应 用 的 优 先 级 别 设
置 , 应 服 从 于 整 个 网 络 的 需 要 , 集 中 的 加 以
控 制。 为 此 , CISCO 的 策 略 式 网 络 管 理 系 列 工
具 就 是 这 个 目 的 , 其 中 关 于 服 务 质 量 管 理 的
第 59 页 共 82 页
三峡建行计算机网络改造方案
第 一 代 QPM , 就 可 以 方 便 管 理 者 进 行 基 于 业 务
策 略 的 QOS 设 置 。
第 60 页 共 82 页
三峡建行计算机网络改造方案
视 频 会 议 已 在 社 会 性 的 信 息 交 流 中 发 挥 了
巨 大 的 沟 通 作 用。 视 频 会 议 通 过 通 信 网 络 把
两 个 或 多 个 地 点 的 多 媒 体 会 议 终 端 连 接 起 来 ,
在 其 间 传 送 各 种 图 像、 话 音 和 数 据 信 号 , 使
出 席 会 议 者 有 亲 临 现 场 的 感 觉。 除 了 用 于 多
点 多 媒 体 会 议 之 外 , 视 频 会 议 系 统 还 应 用 于
远 程 教 育、 远 程 医 疗 等 需 要 传 送 实 时 音 频、
视 频 和 数 据 的 应 用。
视频会议能为用户提供直接、全面的沟通交流,并能节约时间、降低成本、
提高生产率,因此巨大的市场需求推动了视频会议技术的发展。国内外很多科
研机构和厂商都进行了多媒体多点会议通信系统的研究,并推出了各自的视频
会议系统。在研究各视频会议系统的基础上,国际电信联盟(ITU-T)形成了视听
多媒体通信系统国际标准的 H.200 系列建议,使不同厂商的多媒体通信产品能
够互通,推动了多媒体通信技术标准化的进程。
视 频 会 议 系 统 为 总 行 到 三 峡 建 行 的 星 型 结
构 , 视 频 会 议 多 点 控 制 器 ( MCU ) 及 总 行 视 频
会 议 终 端 集 中 在 总 行 局 域 网 上 , 三 峡 建 行 视
频 会 议 终 端 分 别 连 接 到 三 峡 建 行 局 域 网 上 ,
通 过 广 域 网 建 立 全 行 视 频 会 议 系 统 的 通 讯 连
接。
三 峡 建 行 局 域 网 上 , 视 频 会 议 终 端 通 过
10M/100M 交 换 端 口 接 入 局 域 网 。
为 保 证 视 频 会 议 效 果 , 带 宽 要 求 768Kbps。
第 61 页 共 82 页
三峡建行计算机网络改造方案
目 前 视 频 会 议 系 统 主 要 采 用 H.320 和 H.323 两
种 组 网 协 议。 H.323 协 议 适 用 于 IP 包 交 换 的 通
信 线 路 , 选 择 H.323 作 为 视 频 会 议 系 统 的 组 网
协 议 , 可 以 更 好 地 实 现 视 频 会 议、 IP 语 音 以
及 数 据 应 用 部 署 在 同 一 网 络 平 台 上。
视 频 会 议 系 统 逻 辑 结 构 如 下 图 所 示 :
H.323MCU
行领导办公室
会议室视
频终端
总行中心
DDN
分行
桌面型视
频终端
办公室
8.2.1 三峡建 行会 场
第 62 页 共 82 页
三峡建行计算机网络改造方案
会 议 室 和 多 功 能 会 议 室 , 集 高 质 量、 丰 富 的
合 机 框 和 显 示 器 配 置 上 可 分 为 单 机 配 置、 双
机 配 置 和 三 机 配 置。 主 会 场 采 用 单 机 配 置。
根 据 用 户 需 要 , 单 机 配 置 可 在 任 何 时 候 方 便
地 升 级 为 双 机 配 置、 三 机 配 置。
单 机 标 准 配 置 为
可 移 动 组 合 机 柜
的 主 机
高 质 量 的 VTOP PTZ 摄 像 头
支 持 H.320/H.323 国 际 标 准 双 工 工 作 模 式
有 T.120 数 据 功 能 , 带 无 线 键 盘
VCON 用 户 界 面 友 好 的 视 频 会 议 应 用 软 件
可 接 入 国 际 互 联 网 Internet
第 63 页 共 82 页
三峡建行计算机网络改造方案
局 域 网 交 换 机 的 10BASE-T 端 口 相 连 。
8.3 实现功 能
1. 电视会议
能召开有总行主会场、多个三峡建行会场参加的多点电视会议,而且网上
同时可进行多个多点会议,可通过多点会议控制器(MCU)对每个会议进行
控制和管理。大大节省召开各种会议所花时间和开支,提高工作效率。
2. 远程教学
能通过会议电视系统实现远程教学,对干部职工进行各种管理、业务及新
产品、新技术的培训,不断提高干部职工的素质和业务水平。远程教学实施简易,
教师与学员通过多媒体手段实现超越地理界限的双向交流,不仅保证教学的质
量,还能节省教学的开支。
3. 协同工作
会议电视系统在传送图像的同时,还能实现电子白板、文件传输和应用程
序共享,使企业 Intranet 用户真正实现面对面的数据交流与协作。
4. 音频 /视频广播
能利用会议电视系统,在网上进行电视节目的广播。广播的节目即可以是
实时的,也可以是预先录制的。会议电视系统可与有线电视网实现互连。
8.4 主要特 点
1. 充 分 利 用 了 现 有 的 计 算 机 及 通 信 网 络 的
资 源 , 保 护 了 原 有 的 投 资。
2. 技 术 先 进、 功 能 完 善、 操 作 简 便。
3. 节 省 投 资。 如 : 各 分 会 场 采 用 会 议 室 型
会 议 电 视 终 端 , 对 其 进 行 升 级 改 造 , 使 之 满
足 会 议 室 环 境 的 要 求 , 使 总 体 造 价 大 大 降 低。
第 64 页 共 82 页
三峡建行计算机网络改造方案
4. 系 统 开 放 , 符 合 各 种 国 际 标 准 , 能 与 其
它 厂 商 产 品 互 连。
5 . 系 统 安 全 可 靠、 便 于 扩 充、 易 于 维 护。
第 65 页 共 82 页
三峡建行计算机网络改造方案
h 附件 1 三峡 建行 IP 地址分 配规划
总行 规定 IP 地址编 码结构
说 明 :
1 ) 一 级 地 域 标 识 ( 8Bits )
用 于 区 分 全 国 各 省、 自 治 区、 直 辖 市 和
计 划 单 列 市。 三 峡 建 行 的 编 码 为 01010110
2 ) 二 级 地 域 标 识 位 ( 5Bits )
用 于 区 分 各 省、 自 治 区、 所 属 各 地、 市、
州 或 直 辖 市 和 计 划 单 列 市 所 属 的 各 区、 县。
其 有 效 取 值 范 围 为 00001~11111 。
二 级 地 域 标 识 取 值 为 00000 对 应 的 地 址 块
为 地 域 标 识 主 块 , 其 对 应 的 IP 地 址 空 间 用
于 省、 自 治 区、 直 辖 市 和 计 划 单 列 市 的 主
管 机 构 , 例 如 三 峡 建 行 X 支 行 二 级 地 域 标 识
位 为 00100。
3) 将 紧 临 二 级 地 域 标 识 位 的 000 三 位 比 特 作 为
第 66 页 共 82 页
三峡建行计算机网络改造方案
将 来 扩 展 预 留。
4) 第 17-19 位 作 为 类 别 标 识 , 三 位 可 划 分 八 个 类
别 , 分 别 是 000 ( 网 络 设 备 管 理 ) 、 001 ( 营
业 )、 010 ( 备 用 ) 、 011 ( 备 用 ) 、 100 ( 备
用 )、 101 ( 管 理 ) 、 110 ( 语 音 、 视 频 )、
111 ( 互 连 地 址 ) 。
三峡 建行 IP 地址规 划表
第 67 页 共 82 页
三峡建行计算机网络改造方案
附件 2 三峡建 行 IP 联络 中心方 案
三峡建 行 IPCC 体系 架构
由 于 目 前 三 峡 建 行 程 控 交 换 机 尚 不 具 备 必
须 的 ACD 功 能 , 为 了 采 用 先 进 技 术 、 简 化 维 护
管 理 , 便 于 分 布 式 人 工 座 席 的 实 施 以 及 将 来
系 统 的 方 便 扩 展 和 降 低 通 信 成 本 , 我 们 将 采
用 Cisco IPCC 联 络 中 心 ( 以 下 简 称 IPCC) 解 决 方 案 。
络 中 心 解 决 方 案 , 为 三 峡 建 行 提 供 一 个 完 整
的 并 且 是 得 到 验 证 的 IP 联 络 中 心 解 决 方 案 。
在 这 个 方 案 里 , 座 席 通 过 IP 电 话 既 可 以 接 收
传 统 的 TDM 电 话 又 可 以 接 收 VoIP 电 话 。 由 于 IPCC
集 成 了 传 统 的 呼 叫 中 心 平 台 和 网 络 , 所 以 它
在 保 护 以 前 的 技 术 投 资 的 同 时 提 供 了 向 基 于
IP 的 联 络 中 心 的 途 径 。
作 为 Cisco AVVID( 语 音 、 视 像 和 集 成 的 数 据 体
系 结 构 ) 不 可 缺 少 的 一 部 分 , IPCC 可 以 在 一 个
单 点 的 环 境 实 施 , 也 可 集 成 为 多 点 联 络 中 心 。
IPCC 功 能 包 括 了 智 能 呼 叫 路 由 、 自 动 呼 叫 分 配
(ACD) 、 网 络 到 桌 面 的 CTI 、 交 互 式 语 音 应 答 (IVR)
集 成、 呼 叫 排 队 以 及 统 一 的 管 理 报 告。 IPCC 基
于 标 准 的 开 放 体 系 结 构 潜 在 地 支 持 了 基 于 Web
第 68 页 共 82 页
三峡建行计算机网络改造方案
的 客 户 联 络 , 包 括 协 同 浏 览、 文 本 交 谈 和 e-
mail 回 复 管 理 。
IPCC 利 用 三 峡 建 行 目 前 的 IP 网 络 , 优 化 WAN 基 础
设 施 的 投 资 并 且 降 低 管 理 维 护 费 用。 并 且 ,
这 种 面 向 IP 的 体 系 结 构 可 以 使 企 业 的 呼 叫 中
心 方 便 地 扩 展 到 分 支 机 构、 远 端 座 席、 家 庭
座 席 和 专 家 座 席。
第 69 页 共 82 页
三峡建行计算机网络改造方案
三 峡 建 行 IPCC 系 统 架 构
IPCC 功能 和优 点
● 基 于 技 能 的 Pre-Routing 功 能
当 一 个 呼 叫 还 停 留 在 IP 网 络 或 PSTN 公 用 电 话 网
时 Pre-Routing 功 能 就 可 作 出 路 由 决 策 第 一 次 将 呼
叫 分 配 到 合 适 的 座 席 或 资 源。
为 了 优 化 路 由 决 策 , IPCC 座 席 根 据 技 能 来 进 行
分 组。 系 统 直 接 从 每 个 座 席 的 桌 面 实 时 收 集
第 70 页 共 82 页
三峡建行计算机网络改造方案
技 能 组 和 状 态 信 息 , 甚 至 可 以 预 定 一 个 座 席
以 保 证 当 呼 叫 到 达 时 这 个 座 席 是 空 闲 的。 系
统 通 过 脚 本 方 式 提 供 一 系 列 路 由 选 择 标 准 和
工 具 , 使 用 户 可 以 根 据 自 己 的 业 务 需 求 方 便
地 定 制 呼 叫 分 配 规 则。 对 于 多 点 呼 叫 中 心 运
行 , IPCC 可 以 在 企 业 范 围 合 理 分 配 资 源 从 而 提
高 联 络 中 心 的 性 能 和 客 户 服 务。
● 基 于 技 能 的 Post-Routing 功 能
或 IVR 的 呼 叫 进 行 的 智 能 路 由 分 配 。 当 一 个 呼
叫 需 要 重 新 进 行 路 由 时 , ICM 系 统 使 用 与 Pre-
Routing 功 能 同 样 的 业 务 逻 辑 指 导 外 围 设 备 将 呼
叫 送 到 最 佳 的 资 源。 这 些 资 源 可 以 是 另 一 个
座 席、 IPCC 内 的 一 个 技 能 组 或 服 务 , 或 另 一 个
ACD 。
● 网 络 到 桌 面 的 CTI
以 及 其 他 的 应 用 系 统 中 收 集 的 客 户 和 交 易 信
息 传 送 到 目 标 座 席 的 桌 面 , 这 些 独 特 的 丰 富
的 信 息 可 以 使 企 业 数 据 结 合 业 务 充 分 地 利 用
到 客 户 的 联 络 过 程 中。 主 要 功 能 包 括 :
内 容 丰 富 的 屏 幕 弹 出 : 屏 幕 弹 出 可 以 使 座
席 将 更 多 的 时 间 集 中 在 对 客 户 的 服 务 而 无 需
浪 费 时 间 收 集 信 息。 Cisco ICM 软 件 将 呼 叫 和 客
户 数 据 传 送 到 IPCC 座 席 的 业 务 应 用 程 序 , 使 得
第 71 页 共 82 页
三峡建行计算机网络改造方案
当 呼 叫 到 达 时 座 席 时 PC 同 步 自 动 弹 出 相 关 数
据 。 Cisco 的 解 决 方 案 传 送 同 样 的 数 据 到 IPCC 座
席 和 传 统 的 ACD 座 席 , 这 样 保 证 了 整 个 企 业 范
围 客 户 服 务 的 一 致 性。
可 客 户 化 的 座 席 桌 面 : IPCC 桌 面 CTI 功 能 包
括 功 能 全 面 的 软 电 话 ( 座 席 通 过 PC 桌 面 的 软 电
话 菜 单 执 行 电 话 功 能 )。 联 络 中 心 主 管 可 以 通
过 鼠 标 拖 拉 的 方 式 方 便 地 对 软 电 话 进 行 客 户
化。
同 时 , 软 电 话 功 能 可 以 通 过 鼠 标 拖 拉 的 方
式 方 便 地 嵌 入 现 有 的 CRM( 客 户 关 系 管 理 ) 应 用
软 件 之 中 从 而 提 供 CTI 功 能 , 这 样 可 以 减 少 培
训、 管 理 和 维 护 的 费 用。
第 三 方 呼 叫 控 制 : IPCC 的 第 三 方 呼 叫 控 制
功 能 可 以 使 座 席 在 桌 面 的 应 用 程 序 中 控 制 电
话 功 能 , 如 应 答、 保 留、 转 接、 会 议 等。 例
如 , IPCC 座 席 收 集 的 语 音 和 数 据 可 以 在 IPCC 内
部 也 可 跨 多 个 不 同 厂 家 的 PBX 进 行 转 接 , 使 得
当 一 个 呼 叫 在 座 席 间 或 不 同 的 地 点 间 转 接 时 ,
客 户 和 交 易 数 据 也 随 之 进 行 转 接。
座 席 统 计 : 每 个 IPCC 座 席 通 过 显 示 屏 可 以
实 时 看 到 个 人 的 统 计 数 据 例 如 处 理 的 呼 叫 数 、
呼 叫 平 均 处 理 时 间、 累 计 空 闲 时 间、 总 计 上
班 时 间 等。 在 一 个 绩 效 与 收 入 挂 钩 的 环 境 中 ,
这 个 功 能 可 以 为 座 席 提 供 自 己 的 实 时 表 现 数
据 , 并 与 平 均 小 组 水 平 作 一 比 较 , 从 而 达 到
第 72 页 共 82 页
三峡建行计算机网络改造方案
激 励 的 目 的。
● 统 一 的 报 告
ICM 软 件 开 放 的 体 系 结 构 使 链 路 中 心 系 统 可
以 及 时 准 确 地 对 来 自 Internet 、 运 营 商 网 络、
Cisco Call Manager 、 ACD 、 IVR 、 座 席 桌 面 和 其 他 资 源
的 信 息 进 行 统 一 的 管 理。 这 些 信 息 存 储 在 一
个 Microsoft SQL 服 务 器 中 , 提 供 实 时 和 历 史 的 呼
叫 中 心 管 理 报 告。 ICM 系 统 的 报 告 功 能 提 供 多
种 报 表 模 板 , 用 户 可 以 设 置 阈 值 进 行 特 定 数
据 的 监 控 ; “ 下 挖 ” 功 能 可 以 方 便 提 供 有 关
字 段 的 详 细 信 息 ; 报 表 可 以 按 任 意 预 设 的 时
间 间 隔 产 生。 通 过 ICM 软 件 提 供 的 报 告 工 具 可
以 建 立 客 户 化 的 报 表 ; 用 户 也 可 通 过 第 三 方
的 数 据 库 访 问 工 具 操 作 和 显 示 报 告 信 息 , 或
将 数 据 输 出 到 符 合 工 业 标 准 的 文 件 格 式 以 用
于 其 他 的 应 用 程 序。 联 络 中 心 管 理 报 告 可 以
通 过 ICM 管 理 工 作 站 上 生 成 或 显 示 , 任 何 经 过
授 权 的 装 有 浏 览 器 的 桌 面 , 或 其 他 任 何 ODBC 兼
容 的 桌面应用也都可显示。
● IPCC 路 由 功 能
基 于 应 用 的 路 由 和 报 告
逐 个 呼 叫 路 由 (Call-by-call routing)
基 于 等 待 时 间 的 呼 叫 重 路 由
条 件 路 由
数 据 库 呼 叫 处 理
第 73 页 共 82 页
三峡建行计算机网络改造方案
负 载 均 衡
前 向 排 队 (Look-ahead queuing)
网 络 间 溢 出
优 先 排 队
基 于 技 能 的 路 由
● 客 户 交 互 功 能
Audiotex
自 动 话 务 员
客 户 输 入 的 数 字
受 控 的 忙 态
基 于 实 时 条 件 的 语 音 通 知
根 据 主 叫 信 息 的 音 乐 等 待
基 于 实 时 条 件 的 音 乐 等 待
可 视 的 排 队 状 况
管 理 功 能
呼 叫 详 细 记 录 报 告
集 中 化 报 告
客 户 化 报 告
历 史 报 告
基 于 Web 的 报 告 浏 览
第 74 页 共 82 页
三峡建行计算机网络改造方案
实 时 管 理
实 时 信 息
统 计 和 图 形 报 告
中 继 利 用 报 告
图 形 化 用 户 界 面
座 席 功 能
显 示 在 座 席 桌 面 的 座 席 统 计 数 据
自 动 空 闲
自 动 Wrap-up
辅 助 工 作 状 态
空 闲 状 态
客 户 信 息 : 主 叫 号 码 (ANI) 、 主 叫 线 路 信 息
Hot 桌 面 或 Login/Logout 或 远 端 座 席
屏 幕 弹 出
转 接 呼 叫 到 一 个 队 列
非 空 闲 的 工 作 状 态
Wrap-up
Wrap-up 代 码
第 75 页 共 82 页
三峡建行计算机网络改造方案
IPCC 系统 构成
电 话 网 的 联 络 方 式 , 并 集 成 了 企 业 范 围 的
ACD 、 IVR 、 Web 和 e-mail 服 务 器 、 桌 面 应 用 等 系 统。
ICM 软 件 在 网 络 级 别 的 路 由 决 策 基 于 每 个 客 户
相 关 的 信 息 例 如 客 户 拨 打 的 号 码、 客 户 主 叫
号 码、 客 户 输 入 的 数 字、 客 户 通 过 Web 表 格 提
交 的 数 据 以 及 从 客 户 数 据 库 中 得 到 的 信 息 等 。
同 时 , 系 统 通 过 从 联 络 中 心 平 台 和 座 席 桌 面
收 集 的 实 时 信 息 了 解 每 个 资 源 的 状 态 以 配 合
路 由 决 策。
对 座 席 状 态 的 监 控、 对 呼 叫 的 排 队、 CTI 功 能 、
提 供 给 座 席 和 班 长 席 的 实 时 数 据 , 以 及 历 史
管 理 报 告。
ICM 系 统 包 括 :
第 76 页 共 82 页
三峡建行计算机网络改造方案
使 我 们 的 客 户 实 施 完 整 的 网 络 到 桌 面 CTI 策 略 ,
包 括 座 席 桌 面 的 综 合 功 能。 在 服 务 器 层 次 ,
ICM 系 统 管 理 来 自 Internet 、 运 营 商 网 络、
AC 、 IVR 、 Web 服 务 器 、 业 务 应 用、 数 据 库 设 置
ICM 自 己 的 实 时 和 历 史 数 据 信 息 。 此 外 , CTI 服
务 器 从 一 个 呼 叫 进 入 呼 叫 中 心 到 结 束 的 整 个
过 程 中 实 时 将 座 席、 呼 叫 和 客 户 数 据 传 送 到
相 关 服 务 器 或 桌 面 PC 。
在 桌 面 端 , Cisco 解 决 方 案 包 括 一 个 使 用
ActiveX 和 Java 的 完 整 的 座 席 软 电 话 , 它 可 以 无 需
了 解 电 话 系 统 底 层 信 息 即 可 完 全 访 问 CTI 服 务
器。 结 构 是 , 应 用 软 件 开 发 者 和 呼 叫 中 心 主
管 可 以 无 需 复 杂 的 编 程 或 系 统 集 成 即 可 快 速
将 应 用 软 件 如 CRM 集 成 到 IPCC 之 中 。
户 接 口 , 使 呼 叫 中 心 主 管、 班 长 席 可 以 定 义 、
修 改、 观 看 路 由 脚 本 程 序 ; 管 理 系 统 配 置 ;
监 视 呼 叫 中 心 性 能 ; 定 义 和 产 生 报 告 ; 并 保
证 系 统 安 全 性。 AW 提 供 Windows 环 境 下 的 直 观 易
用 的 “ 鼠 标 点 击 ” 方 式 的 工 具。
关 提 供 传 统 的 PBX 电 话 特 性 和 功 能 ( 基 本 呼 叫 处
理、 信 令 和 连 接 服 务 )。 补 充 和 增 强 的 服 务 包
第 77 页 共 82 页
三峡建行计算机网络改造方案
括 保 留、 转 接、 前 移、 会 议、 自 动 路 由 选 择 、
缩 位 拨 号、 最 后 号 码 重 拨 等 等。 呼 叫 许 可 控
制 保 证 了 当 WAN 链 路 受 限 制 时 仍 能 保 持 语 音 服
务 质 量 (QoS) , 并 能 在 WAN 的 带 宽 不 够 时 自 动 将 呼
叫 通 过 PSTN 公 用 电 话 网 进 行 连 接 。 Cisco Call
Manager 软 件 预 装 在 Cisco MCS(Media Convergence Server) 之 中 。
Cisco IP 电话
是 一 个 功 能 全 面 的 第 二 代 IP 电 话 , 利 用 IP
技 术 将 数 据 和 语 音 融 合 到 一 个 网 络 结 构 中 -
包 括 一 根 电 缆 连 接、 一 个 交 换 式 以 太 网
结 构、 统 一 的 系 统 操 作 管 理 系 统 。
Cisco 7960 提 供 6 线 或 6 个 可 编 程 功 能 键、 4 个 交
互 的 软 功 能 键 。 Cisco IP 电 话 同 时 提 供 一 个 很 大
的 LCD 显 示 屏 , 可 以 显 示 日 期、 时 间、 主 叫
姓 名、 主 叫 电 话、 被 叫 号 码。 另 外 , 显 示 屏
还 提 供 功 能 和 线 路 状 态、 扬 声 器 ( 免 提 ) 和 手
柄 功 能、 静 音 键。
第 78 页 共 82 页
三峡建行计算机网络改造方案
语 音 / 数 据 流 程 举 例 :
1、 客 户 通 过 PSTN 拨 呼 叫 中 心 的 号 码 。
换 成 IP 协 议 。
包 含 客 户 拨 打 的 号 码、 主 叫 号 码 和 客 户 输
入 的 数 字。
送 到 ICM 。
5 、 ICM 进 行 数 据 库 查 询 并 根 据 相 关 信 息 决 定 路
由。
第 79 页 共 82 页
三峡建行计算机网络改造方案
6 、 ICM 触 发 一 个 客 户 定 义 的 路 由 脚 本 程 序 以 选
择 最 合 适 的 IPCC 座 席 来 接 听 这 个 电 话 , 并
将 这 个 路 由 目 标 ( 如 所 选 择 的 座 席 ) 通 过 PG
传 送 到
Cisco Call Manger 。
7、 PG 中 的 CTI 服 务 器 将 客 户 信 息 数 据 以 屏 幕 弹
出 的 形 式 发 送 到 目 标 座 席 的 桌 面。
到 目 标 座 席。
9 、 Cisco VoIP 网 关 建 立 客 户 呼 叫 与 目 标 座 席 之 间
的 语 音 连 接。
注 1 : 根 据 业 务 需 求 , IP IVR 可 以 用 于 收 集 客 户
信 息 数 据、 完 成 交 易 , 或 将 呼 叫 排 队 在 IVR 端
口。
注 2 : 以 上 呼 叫 流 程 描 述 的 是 一 个 单 点 IPCC 的
例 子。 IPCC 可 以 集 成 到 多 点 呼 叫 中 心 , 在 企 业
范 围、 网 络 层 次 实 施 ICM 的 Pre-Routing 。
IPCC 应用软件开发
三 峡 建 行 联 络 中 心 系 统 的 主 要 开 发 包 括 :
Editor( 路 由 脚 本 编 辑 软 件 ) 图 形 用 户 界 面 工
具 进 行 呼 叫 路 由 脚 本 (Script) 的 设 计 。
第 80 页 共 82 页
三峡建行计算机网络改造方案
图 形 化 界 面 进 行 IVR 的 流 程 编 辑 开 发 。
座 席 桌 面 应 用 程 序 : 座 席 桌 面 应 用 程 序
包 括 两 部 分 , 一 部 分 是 将 Cisco CTI Client 的 软
电 话 集 成 到 应 用 程 序 (Cisco 提 供 Windows 操 作 系
统 环 境 下 的 ActiveX 软 电 话 控 制 , 开 发 时 可 通
过 鼠 标 拖 拉 属 性 设 置 的 方 式 方 便 地 嵌 入 应
用 程 序。 ) ;另一部分是 针对银
行 业 务 应 用 的 开 发 , 需 要 与 相 应 的 业 务 系
统 数 据 库 集 成。
第 81 页 共 82 页
三峡建行计算机网络改造方案
操 作 系 统 等 基 本 系 统 的 安 装
第 82 页 共 82 页