建行網(wǎng)絡(luò)改造總體設(shè)計(jì)策劃方案

1、三峽建行網(wǎng)絡(luò)改造總體設(shè)計(jì)方案書(shū)（討論稿） 二零零一年四月目 錄 TOC o 1-3 第1章 三峽建行網(wǎng)絡(luò)現(xiàn)狀 PAGEREF _Toc511446882 h 41.1 網(wǎng)絡(luò)連接現(xiàn)狀 PAGEREF _Toc511446883 h 41.1.1 三峽建行城域網(wǎng)現(xiàn)狀 PAGEREF _Toc511446884 h 41.1.2 三峽建行局域網(wǎng)現(xiàn)狀 PAGEREF _Toc511446885 h 51.1.3 三峽建行廣域網(wǎng)現(xiàn)狀 PAGEREF _Toc511446886 h 61.1.4 與Internet連接狀況 PAGEREF _Toc511446887 h 71.2 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀 PAGER

2、EF _Toc511446888 h 81.2.1 治理網(wǎng)應(yīng)用現(xiàn)狀 PAGEREF _Toc511446889 h 81.2.2 營(yíng)業(yè)網(wǎng)應(yīng)用現(xiàn)狀 PAGEREF _Toc511446890 h 91.2.3 外連網(wǎng)應(yīng)用現(xiàn)狀 PAGEREF _Toc511446891 h 101.3 網(wǎng)絡(luò)安全現(xiàn)狀 PAGEREF _Toc511446892 h 111.4 網(wǎng)絡(luò)治理的現(xiàn)狀 PAGEREF _Toc511446893 h 121.5 三峽建行網(wǎng)絡(luò)存在要緊問(wèn)題 PAGEREF _Toc511446894 h 121.5.1 三峽建行城域網(wǎng)存在的問(wèn)題 PAGEREF _Toc511446895 h 1

3、21.5.2 營(yíng)業(yè)網(wǎng)存在的問(wèn)題： PAGEREF _Toc511446896 h 131.5.3 治理網(wǎng)（企業(yè)網(wǎng)）存在的問(wèn)題 PAGEREF _Toc511446897 h 131.5.4 外連網(wǎng)存在的問(wèn)題 PAGEREF _Toc511446898 h 14第2章 網(wǎng)絡(luò)改造的需求規(guī)定 PAGEREF _Toc511446899 h 152.1 總體目標(biāo) PAGEREF _Toc511446900 h 152.2 網(wǎng)絡(luò)改造需求 PAGEREF _Toc511446901 h 152.2.1 三峽建行局域網(wǎng) PAGEREF _Toc511446902 h 152.2.2 三峽建行城域網(wǎng) PAGE

4、REF _Toc511446903 h 152.2.3 廣域網(wǎng)接入 PAGEREF _Toc511446904 h 162.2.4 網(wǎng)絡(luò)治理的需求 PAGEREF _Toc511446905 h 162.2.5 網(wǎng)絡(luò)安全治理需求 PAGEREF _Toc511446906 h 162.2.6 語(yǔ)音、視頻應(yīng)用的需求 PAGEREF _Toc511446907 h 17第3章 網(wǎng)絡(luò)改造的差不多原則 PAGEREF _Toc511446908 h 18第4章 網(wǎng)絡(luò)總體設(shè)計(jì) PAGEREF _Toc511446909 h 194.1 三峽建行網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)總體架構(gòu) PAGEREF _Toc51144

5、6910 h 194.1.1 組網(wǎng)模式 PAGEREF _Toc511446911 h 194.1.2 網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) PAGEREF _Toc511446912 h 204.2 局域網(wǎng)改造 PAGEREF _Toc511446913 h 204.2.1 局域網(wǎng)改造方案 PAGEREF _Toc511446914 h 204.3 城域網(wǎng)改造 PAGEREF _Toc511446915 h 224.4 廣域網(wǎng)改造 PAGEREF _Toc511446916 h 234.4.1 廣域網(wǎng)分布層改造 PAGEREF _Toc511446917 h 234.4.2 廣域網(wǎng)接入層改造 PAGEREF

6、 _Toc511446918 h 244.5 外網(wǎng)的連接 PAGEREF _Toc511446919 h 254.6 可靠性設(shè)計(jì) PAGEREF _Toc511446920 h 264.6.1 設(shè)備備份 PAGEREF _Toc511446921 h 264.6.2 鏈路備份 PAGEREF _Toc511446922 h 274.7 網(wǎng)絡(luò)IP路由設(shè)計(jì) PAGEREF _Toc511446923 h 274.8 面向應(yīng)用的網(wǎng)絡(luò)服務(wù) PAGEREF _Toc511446924 h 284.8.1 業(yè)務(wù)分類(lèi)和數(shù)據(jù)特點(diǎn)的分析： PAGEREF _Toc511446925 h 284.8.2 QOS保

7、證 PAGEREF _Toc511446926 h 28第5章 三峽建行網(wǎng)絡(luò)治理設(shè)計(jì) PAGEREF _Toc511446927 h 305.1 網(wǎng)管系統(tǒng)功能及其職責(zé) PAGEREF _Toc511446928 h 305.2 網(wǎng)絡(luò)治理平臺(tái)和網(wǎng)管工作站 PAGEREF _Toc511446929 h 31第6章 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì) PAGEREF _Toc511446930 h 326.1 安全模型（P2DR模型） PAGEREF _Toc511446931 h 326.2 三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系 PAGEREF _Toc511446932 h 336.2.1 安全策略設(shè)計(jì) PAGEREF

8、 _Toc511446933 h 336.2.2 總體安全體系的規(guī)定 PAGEREF _Toc511446934 h 336.3 三峽建行網(wǎng)絡(luò)級(jí)安全設(shè)計(jì) PAGEREF _Toc511446935 h 356.3.1 局域網(wǎng)安全設(shè)計(jì) PAGEREF _Toc511446936 h 356.3.2 廣域網(wǎng)安全設(shè)計(jì) PAGEREF _Toc511446937 h 37第7章 IP電話(huà)網(wǎng)絡(luò)設(shè)計(jì) PAGEREF _Toc511446938 h 407.1 IP電話(huà)網(wǎng)絡(luò)建設(shè)的必要性 PAGEREF _Toc511446939 h 407.2 IP電話(huà)所使用的幾種技術(shù) PAGEREF _Toc511446

9、940 h 407.3 CISCO的VoIP解決方案 PAGEREF _Toc511446941 h 417.3.1 三峽建行與總行的VoIP通信 PAGEREF _Toc511446942 h 427.4 IP語(yǔ)音的治理 PAGEREF _Toc511446943 h 43第8章 三峽建行視頻會(huì)議設(shè)計(jì) PAGEREF _Toc511446944 h 458.1 視頻會(huì)議系統(tǒng)結(jié)構(gòu) PAGEREF _Toc511446945 h 458.2 會(huì)議電視終端設(shè)備 PAGEREF _Toc511446946 h 468.2.1 三峽建行會(huì)場(chǎng) PAGEREF _Toc511446947 h 468.3

10、實(shí)現(xiàn)功能 PAGEREF _Toc511446948 h 478.4 要緊特點(diǎn) PAGEREF _Toc511446949 h 47h附件1 三峽建行IP地址分配規(guī)劃 PAGEREF _Toc511446950 h 48總行規(guī)定IP地址編碼結(jié)構(gòu) PAGEREF _Toc511446951 h 48三峽建行IP地址規(guī)劃表 PAGEREF _Toc511446952 h 48附件2 三峽建行IP聯(lián)絡(luò)中心方案 PAGEREF _Toc511446953 h 50三峽建行CALL CENTER解決方案 PAGEREF _Toc511446954 h 50三峽建行IPCC體系架構(gòu) PAGEREF _To

11、c511446955 h 50IPCC功能和優(yōu)點(diǎn) PAGEREF _Toc511446956 h 51IPCC系統(tǒng)構(gòu)成 PAGEREF _Toc511446957 h 54IPCC應(yīng)用軟件開(kāi)發(fā) PAGEREF _Toc511446958 h 57三峽建行網(wǎng)絡(luò)現(xiàn)狀 三峽建行作為總行確定的六十個(gè)重點(diǎn)都市行之一，通過(guò)幾年的建設(shè)，已建成了覆蓋各縣市（除W縣）都市綜合業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上依托總行建成了以清算A卡網(wǎng)絡(luò)系統(tǒng)、企業(yè)內(nèi)部網(wǎng)為代表的全國(guó)性三峽建行內(nèi)部互連網(wǎng)絡(luò)。以計(jì)算機(jī)網(wǎng)絡(luò)為支撐平臺(tái)，我行的各類(lèi)業(yè)務(wù)應(yīng)用系統(tǒng)不斷推陳出新，開(kāi)拓了多項(xiàng)新的業(yè)務(wù)，為我行的業(yè)務(wù)快速進(jìn)展發(fā)揮了巨大的作用。下面，對(duì)三峽建行網(wǎng)

12、絡(luò)結(jié)構(gòu)具體講明：網(wǎng)絡(luò)連接現(xiàn)狀三峽建行城域網(wǎng)現(xiàn)狀三峽建行中心機(jī)房位于科技部二樓。通過(guò)自架光纖與三峽建行辦公樓、甲路10樓（老機(jī)房）、乙辦以及丙辦連接構(gòu)成目前的三峽建行城域網(wǎng)，如圖所示：如圖，三峽建行局域網(wǎng)的中心交換機(jī)為一臺(tái)Cisco Catalyst 5505，配有1個(gè)2口100M FX光纖接口模塊，通過(guò)多模光纖與318和甲路機(jī)房的1924C連接。Catalyst 5505還配有兩個(gè)24口100M以太網(wǎng)接口模塊、其中連接兩臺(tái)2924交換機(jī)，并通過(guò)2924上的100M FX與乙辦以及丁辦相連。三峽建行局域網(wǎng)現(xiàn)狀在Catalyst 5505和2924上依照不同的應(yīng)用劃分了13個(gè)不同的VLAN，由于目

13、前我行主交換機(jī)沒(méi)有配置第三層交換功能，VLAN之間的通信只能通過(guò)網(wǎng)關(guān)來(lái)實(shí)現(xiàn)。在中心機(jī)房中，另有一臺(tái)Catalyst 5000交換機(jī)作為備用機(jī)。目前，三峽建行網(wǎng)絡(luò)中心機(jī)房共配有13臺(tái)路由器分不接入局域網(wǎng)中各個(gè)VLAN。路由器應(yīng)用見(jiàn)表一：設(shè)備端口線(xiàn)路速率講明Cisco 7206APort 1X.2564K至各縣支行清算Cisco 7206BPort1-8DDN9.6K銀企互聯(lián)、戊地電信代收費(fèi)Cisco 3640APort1-96DDN 9.6K城綜網(wǎng)前臺(tái)網(wǎng)點(diǎn)Cisco 3640BPort1-64DDN 9.6K 城綜網(wǎng)前臺(tái)網(wǎng)點(diǎn)Cisco 2501APort 1X.259.6K人行同城清算Cisco

14、 2501BPort 1DDN64K移動(dòng)通信代收Cisco 2501CPort 1DDN64K社保Cisco 2501DPort 1DDN64K銀企互聯(lián)Cisco 2501EPort 1DDN2M支付網(wǎng)關(guān)與Internet接入Cisco 2501FPort 1X.259.6K人行貸款資料查詢(xún)Motorola MP6520 Port 19X.2564K總行清算Port 20PSTN192K總行清算備份Motorola MP6520Port 19X.2564K部分縣支行清算Motorola MP6560 Port 19DDN/FR64K總行企業(yè)網(wǎng)三峽建行318機(jī)房是三峽建行辦公大樓結(jié)構(gòu)化布線(xiàn)所有信

15、息點(diǎn)的集合地，318機(jī)房的1924從中心機(jī)房的Catalyst 5505得到VLAN信息，通過(guò)對(duì)其端口劃分不同的VLAN，三峽建行大樓中各個(gè)不同的網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)了與中心機(jī)房的通信。其它局域網(wǎng)甲路機(jī)房、乙辦以及丙辦也是這種模式。各縣支行以及城區(qū)其他支行（辦事處）差不多都完成了三部一室的本地局域網(wǎng)布線(xiàn)工作。三峽建行廣域網(wǎng)現(xiàn)狀三峽建行的廣域網(wǎng)線(xiàn)路普遍采納的低速通信鏈路，其中都市綜合網(wǎng)是要緊租用中國(guó)電信的DDN，前臺(tái)網(wǎng)點(diǎn)通過(guò)串口通信協(xié)議，直接連到三峽建行網(wǎng)絡(luò)中心的設(shè)備，部分縣行營(yíng)業(yè)部由于原來(lái)與清算共用線(xiàn)路依舊采納的X.25，利用路由器連接到三峽建行網(wǎng)絡(luò)中心，以上租用的線(xiàn)路帶寬都只有9600bps；清算A

16、卡網(wǎng)絡(luò)由于縣支行差不多改為直連，能夠講向下差不多沒(méi)有單獨(dú)的線(xiàn)路，三峽建行清算A卡（含外幣卡）系統(tǒng)與總行和上海連接采納的是64k X.25（復(fù)用）；三峽建行企業(yè)內(nèi)部網(wǎng)差不多與全轄所有二級(jí)機(jī)構(gòu)開(kāi)通連接，城區(qū)除乙辦和丙路辦、營(yíng)業(yè)部等少數(shù)是通過(guò)三峽建行自架的光纖上的以太網(wǎng)外，其余均租用電信的DDN，縣支行大都采納的是X.25，帶寬只有9600bps，以路由器方式接入。三峽建行企業(yè)網(wǎng)與總行連接采納的是中元公司提供的中元幀中繼，帶寬64K。我行通信線(xiàn)路的要緊備份方式為電話(huà)撥號(hào)。網(wǎng)絡(luò)設(shè)備以CISCO、MOTOROLA 為主。此外以都市綜合網(wǎng)為基礎(chǔ)，我行獨(dú)立開(kāi)發(fā)了多種新業(yè)務(wù)，實(shí)現(xiàn)了與證券、電信、人行等外單位的

17、網(wǎng)絡(luò)互連，連接線(xiàn)路一般為DDN，通信速率9600-64K差不多上采納路由器連接的方式。與Internet連接狀況三峽建行目前差不多開(kāi)通了Internet連接，用于網(wǎng)上銀行業(yè)務(wù)，帶寬為2M，、連接拓?fù)鋱D如圖: 如圖所示三峽建行支付網(wǎng)關(guān)與Internet連接采納了目前比較完備的網(wǎng)絡(luò)安全體系和技術(shù)，防火墻采納的是IBM Firewall 3.12，并安裝了ISS網(wǎng)絡(luò)安全治理軟件進(jìn)行安全漏洞掃描、入侵檢測(cè)審計(jì)等，上述連接差不多獲得總行的驗(yàn)收認(rèn)可。網(wǎng)絡(luò)應(yīng)用現(xiàn)狀依照三峽建行對(duì)網(wǎng)絡(luò)業(yè)務(wù)的劃分，能夠?qū)⑷龒{建行網(wǎng)絡(luò)業(yè)務(wù)劃分為：核心業(yè)務(wù)和外連業(yè)務(wù)。核心業(yè)務(wù)是三峽建行業(yè)務(wù)開(kāi)展的基礎(chǔ)業(yè)務(wù)，包括以都市綜合網(wǎng)為基礎(chǔ)的營(yíng)業(yè)

18、網(wǎng)和以企業(yè)內(nèi)部網(wǎng)為基礎(chǔ)的治理網(wǎng)兩部分；外連業(yè)務(wù)是三峽建行依托核心業(yè)務(wù)系統(tǒng)，針對(duì)轄區(qū)內(nèi)的企業(yè)和客戶(hù)開(kāi)發(fā)的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。各系統(tǒng)應(yīng)用關(guān)系如下圖所示：治理網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前正在治理網(wǎng)（企業(yè)網(wǎng)）使用的要緊是基于LOTUS/NOTES平臺(tái)上開(kāi)發(fā)的應(yīng)用，現(xiàn)在在三峽建行轄區(qū)范圍內(nèi)治理網(wǎng)上運(yùn)行應(yīng)用系統(tǒng)要緊包括：電子郵件系統(tǒng)、信息網(wǎng)站、人力資源、信貸信息治理、移民資金治理、辦公自動(dòng)化系統(tǒng)、國(guó)際結(jié)算系統(tǒng)等。除少數(shù)應(yīng)用系統(tǒng)外，大多數(shù)應(yīng)用系統(tǒng)都向下推廣到縣支行一級(jí)，轄區(qū)內(nèi)治理網(wǎng)（企業(yè)網(wǎng)）用計(jì)算機(jī)大約300余臺(tái)，IP地址分配采納年總行統(tǒng)一規(guī)劃的企業(yè)網(wǎng)地址。此外治理網(wǎng)與市人行存在臨時(shí)的連接，用于定期本地貸款單位資料查詢(xún)

19、。治理網(wǎng)（企業(yè)網(wǎng)）拓?fù)溥B接如下圖營(yíng)業(yè)網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前的營(yíng)業(yè)網(wǎng)應(yīng)用要緊是都市綜合網(wǎng)，全行共有前臺(tái)網(wǎng)點(diǎn)余個(gè)，ATM 臺(tái)，金融查詢(xún)機(jī)臺(tái)，Pos 余臺(tái)，都市綜合網(wǎng)以太網(wǎng)采納年總行下發(fā)的營(yíng)業(yè)網(wǎng)段98.42.63.0，而都市綜合網(wǎng)廣域網(wǎng)前臺(tái)網(wǎng)點(diǎn)地址沒(méi)有標(biāo)準(zhǔn)可循；清算A卡網(wǎng)的前置機(jī)和各縣清算組前臺(tái)（清算組前臺(tái)差不多與前臺(tái)會(huì)計(jì)柜改為直連后的會(huì)計(jì)柜機(jī)器）采納總行清算系統(tǒng)分配的網(wǎng)段的IP地址。另外隨著新業(yè)務(wù)的開(kāi)展，前臺(tái)網(wǎng)點(diǎn)還往往下聯(lián)一些特定業(yè)務(wù)的前置設(shè)備（例如金融查詢(xún)機(jī)和個(gè)貸前置機(jī)），這些設(shè)備地址也沒(méi)有統(tǒng)一的規(guī)定。營(yíng)業(yè)網(wǎng)拓?fù)溥B接如下圖:外連網(wǎng)應(yīng)用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡(luò)優(yōu)勢(shì)，積極開(kāi)拓業(yè)務(wù)領(lǐng)域，先后與

20、電信、證券、人行、社保局等多家實(shí)現(xiàn)了網(wǎng)絡(luò)互連互通，通常我們是采納路由器+前置機(jī)的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個(gè)外連系統(tǒng)都獨(dú)自采納一臺(tái)路由器和一臺(tái)前置機(jī)，路由器配置靜態(tài)路由和相應(yīng)的訪問(wèn)操縱，前置機(jī)屏蔽所有無(wú)關(guān)的服務(wù)。外連網(wǎng)的IP地址分配由于沒(méi)有可遵循的標(biāo)準(zhǔn)，分配時(shí)有專(zhuān)門(mén)大的隨意性。網(wǎng)絡(luò)拓?fù)溥B接如下圖： 網(wǎng)絡(luò)安全現(xiàn)狀三峽建行在網(wǎng)絡(luò)建設(shè)過(guò)程中差不多采取了一些必要的安全措施，如“利用VLAN技術(shù)將業(yè)務(wù)網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點(diǎn)聯(lián)網(wǎng)時(shí)利用前置機(jī)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?、撥?hào)訪問(wèn)采納了RADIUS認(rèn)證、在與Internet接入的支付網(wǎng)關(guān)中使用防火墻和ISS安全監(jiān)控軟件等。但從總體整體上分析，三峽建行

21、現(xiàn)有網(wǎng)絡(luò)中仍然存在著一些安全隱患。要緊包括以下幾個(gè)方面： 可靠性安全隱患由于某些網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件存在質(zhì)量問(wèn)題或缺陷，導(dǎo)致網(wǎng)絡(luò)在運(yùn)行過(guò)程中存在可靠性安全隱患。如：MOTOROLA路由器的FLASH Memory工作時(shí)極不穩(wěn)定，經(jīng)常丟失系統(tǒng)軟件，阻礙了清算A卡系統(tǒng)以及企業(yè)網(wǎng)的正常運(yùn)行。一些系統(tǒng)缺乏備份鏈路和備份設(shè)備，一旦出現(xiàn)故障，勢(shì)必阻礙業(yè)務(wù)的正常開(kāi)展。 應(yīng)用系統(tǒng)安全隱患各種應(yīng)用缺乏統(tǒng)一的規(guī)劃，未能充分考慮網(wǎng)絡(luò)上的安全要求，導(dǎo)致三峽建行中心機(jī)房的業(yè)務(wù)運(yùn)行網(wǎng)段上與外連的應(yīng)用網(wǎng)段之間缺乏必要的安全屏蔽。有些與外界相連的應(yīng)用系統(tǒng)缺乏有效的網(wǎng)絡(luò)安全保障。如：與外界相連應(yīng)用系統(tǒng)沒(méi)有按照總行要求的安全連接模

22、式連接，前置機(jī)可能存在未屏蔽非必要的通訊端口，可能存在多余的路由表等等。此外對(duì)重要的應(yīng)用服務(wù)器沒(méi)有進(jìn)行安全監(jiān)控和漏洞掃描。 病毒入侵安全隱患一些應(yīng)用系統(tǒng)，特不是基于WINDOWS平臺(tái)的應(yīng)用系統(tǒng)，沒(méi)有安裝一些防計(jì)算機(jī)病毒的軟件，給計(jì)算機(jī)的安全造成了一定的隱患。 黑客攻擊隱患 缺乏對(duì)黑客攻擊進(jìn)行防止、檢測(cè)和響應(yīng)的一整套防黑措施和相應(yīng)的安全體系，沒(méi)有明確的安全指導(dǎo)思想和安全模型，不能夠?qū)Π踩录M(jìn)行全過(guò)程監(jiān)控和作出相應(yīng)的響應(yīng)行動(dòng)，無(wú)法對(duì)整個(gè)安全系統(tǒng)進(jìn)行準(zhǔn)確有效的安全評(píng)估。 網(wǎng)絡(luò)治理的現(xiàn)狀三峽建行目前正在使用Cisco CWSI 2.1專(zhuān)用網(wǎng)管系統(tǒng)，用于治理三峽建行局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備。由于其專(zhuān)用性，該

23、軟件無(wú)法正確治理非Cisco網(wǎng)絡(luò)設(shè)備，而且無(wú)法監(jiān)控到廣域網(wǎng)的運(yùn)行狀態(tài)。三峽建行在業(yè)務(wù)治理中成功引進(jìn)了BMC治理系統(tǒng)，在對(duì)BMC的移植過(guò)程中，三峽建行科技人員開(kāi)發(fā)設(shè)計(jì)了對(duì)前臺(tái)網(wǎng)點(diǎn)實(shí)時(shí)監(jiān)控程序，目前這項(xiàng)工作正在實(shí)驗(yàn)推廣過(guò)程中。 三峽建行網(wǎng)絡(luò)存在要緊問(wèn)題三峽建行城域網(wǎng)存在的問(wèn)題依照總行網(wǎng)絡(luò)改造要求，三峽建行主交換機(jī)需要兩臺(tái)，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機(jī)Catalyst 5505沒(méi)有第三層交換模塊，另一臺(tái)主交換機(jī)的備份Catalyst 5000，不管從交換能力還有模塊配置均無(wú)法滿(mǎn)足網(wǎng)絡(luò)改造的要求。隨著以后語(yǔ)音、視屏在網(wǎng)絡(luò)的應(yīng)用，三峽建行目前100M骨干局域網(wǎng)將面臨擁塞。三峽建行辦公大

24、樓結(jié)構(gòu)化布線(xiàn)不規(guī)范，線(xiàn)路急需整理，網(wǎng)絡(luò)設(shè)備的運(yùn)行環(huán)境也需要加以改善現(xiàn)有的都市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算A卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒(méi)有其他應(yīng)急方案可供選擇。 營(yíng)業(yè)網(wǎng)存在的問(wèn)題：目前前臺(tái)網(wǎng)點(diǎn)使用的IP地址不符合總行規(guī)范，必須加以調(diào)整。都市綜合網(wǎng)（含清算A卡網(wǎng)）與總行采納的是64K X25線(xiàn)路，差不多無(wú)法承載新的業(yè)務(wù)一些網(wǎng)點(diǎn)由于業(yè)務(wù)量大，通信帶寬不足，出現(xiàn)通信堵塞，有些網(wǎng)點(diǎn)反映通信故障率比較高目前網(wǎng)點(diǎn)采納的串口通信協(xié)議Slip，在新主機(jī)上支持不行，給主機(jī)安全運(yùn)行帶來(lái)隱患。一些縣行還在使用X.25，效率比較低

25、，費(fèi)用比較高。一些網(wǎng)點(diǎn)還外掛諸如查詢(xún)機(jī)、個(gè)貸前置機(jī)等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無(wú)法得到保證。 治理網(wǎng)（企業(yè)網(wǎng)）存在的問(wèn)題治理網(wǎng)（企業(yè)網(wǎng)）所有非以太網(wǎng)連接的用戶(hù)接入帶寬嚴(yán)峻不足。由于現(xiàn)有的組網(wǎng)模式是企業(yè)網(wǎng)與城綜網(wǎng)彼此隔離，往往綜合性的網(wǎng)點(diǎn)需要幾條線(xiàn)路，造成白費(fèi)。治理網(wǎng)（企業(yè)網(wǎng)）廣域網(wǎng)中使用的Motorola 路由器故障率高，端口損壞嚴(yán)峻，維修困難。治理網(wǎng)（企業(yè)網(wǎng)）與總行連接的Motorola 路由器，故障率比較高治理網(wǎng)（企業(yè)網(wǎng)）整個(gè)IP地址分配差不多是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了。治理網(wǎng)（企業(yè)網(wǎng)）目前還沒(méi)有必要鏈路的備份措施。 外連網(wǎng)存在的問(wèn)題外連網(wǎng)缺乏統(tǒng)一的

26、平臺(tái)，其廣域網(wǎng)地址不符合總行新的Ip地址分配規(guī)范，也需要做調(diào)整。外連網(wǎng)與建行核心業(yè)務(wù)網(wǎng)絡(luò)耦合度大，外連網(wǎng)業(yè)務(wù)的變化往往帶來(lái)核心業(yè)務(wù)的變動(dòng)。外連網(wǎng)的網(wǎng)絡(luò)連接模式，不符合總行網(wǎng)絡(luò)安全要求，而且還造成設(shè)備的利用率不高，監(jiān)控治理困難。網(wǎng)絡(luò)改造的需求規(guī)定總體目標(biāo)總行骨干網(wǎng)改造是A總行為了適應(yīng)新形勢(shì)下銀行激烈競(jìng)爭(zhēng)，提高A銀行核心競(jìng)爭(zhēng)力的一項(xiàng)具有戰(zhàn)略意義的舉措。三峽建行網(wǎng)絡(luò)改造作為整個(gè)建行網(wǎng)絡(luò)改造工作的一個(gè)組成部分，成功的網(wǎng)絡(luò)改造將使三峽建行能夠在較長(zhǎng)時(shí)刻里在當(dāng)?shù)赝瑯I(yè)的競(jìng)爭(zhēng)中接著保持科技優(yōu)勢(shì)，從而推動(dòng)各項(xiàng)業(yè)務(wù)的快速進(jìn)展。三峽建行網(wǎng)絡(luò)改造的總體目標(biāo)是以此次總行骨干網(wǎng)改造為契機(jī)，在不阻礙全行正常業(yè)務(wù)開(kāi)展的前提下

27、，將目前分離的城綜網(wǎng)、清算A卡網(wǎng)和企業(yè)網(wǎng)整合成為統(tǒng)一的以IP技術(shù)為主體的穩(wěn)定、可靠、高效的綜合網(wǎng)絡(luò)平臺(tái)，實(shí)現(xiàn)建行核心業(yè)務(wù)和外連業(yè)務(wù)的有機(jī)分離，為最終完成全建行數(shù)據(jù)集中做網(wǎng)絡(luò)預(yù)備。網(wǎng)絡(luò)改造需求三峽建行局域網(wǎng)1、依照總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺(tái)主交換機(jī)，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺(tái)主交換機(jī)Catalyst 5505且沒(méi)有配置第三層交換模塊。這次網(wǎng)絡(luò)改造中需要增加三峽建行網(wǎng)絡(luò)中心需要增加一臺(tái)高檔交換機(jī)，并增加配置Catalyst 5505相應(yīng)的第三層交換模塊。2、通過(guò)網(wǎng)絡(luò)改造實(shí)現(xiàn)全行核心業(yè)務(wù)的網(wǎng)段按照總行最近下發(fā)的關(guān)于調(diào)查IP地址使用情況及征集對(duì)IP地址修

28、訂建議的意見(jiàn)的通知的要求整合，外連業(yè)務(wù)網(wǎng)絡(luò)將采納新的接入方式，引進(jìn)統(tǒng)一的中間業(yè)務(wù)平臺(tái)和網(wǎng)絡(luò)連接平臺(tái)。3、隨著業(yè)務(wù)的拓展，特不是語(yǔ)音、視頻的應(yīng)用，三峽建行目前的局域網(wǎng)10M/100M也面臨帶寬不足的壓力，考慮在三峽建行大樓與科技部之間的骨干上千兆以太網(wǎng)，三峽建行大樓用低端交換機(jī)替換HUB。三峽建行城域網(wǎng)、進(jìn)一步擴(kuò)展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機(jī)關(guān)，架設(shè)到戊支行機(jī)關(guān)的光纖，使庚、戊這兩個(gè)城區(qū)要緊支行接入三峽建行城域網(wǎng)，減少通信費(fèi)用。、為三峽建行城域網(wǎng)提供必要的鏈路備份措施。廣域網(wǎng)接入1、與總行的一級(jí)骨干網(wǎng)連接按照總行骨干網(wǎng)改造要求實(shí)現(xiàn)。2、考慮對(duì)伍支行、東辦等城區(qū)支行以及各縣支行等綜

29、合性的網(wǎng)點(diǎn)的企業(yè)網(wǎng)、城綜網(wǎng)線(xiàn)路合并，接入帶寬提高到64K，通過(guò)路由器連接到三峽建行；3、關(guān)于業(yè)務(wù)量大或線(xiàn)路集中的網(wǎng)點(diǎn)也考慮使用路由器，并提高接入速率到64K；4、其他網(wǎng)點(diǎn)提速后仍使用目前的串口協(xié)議連入三峽建行中心網(wǎng)絡(luò)，將SLIP改為PPP； 5、前臺(tái)網(wǎng)點(diǎn)的廣域網(wǎng)采納的PSTN撥號(hào)備份實(shí)現(xiàn)后臺(tái)無(wú)人干預(yù)。6、外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營(yíng)業(yè)網(wǎng)隔離。網(wǎng)絡(luò)治理的需求1、具有網(wǎng)絡(luò)治理差不多功能，提供設(shè)備治理、配置治理、圖形面板、流量監(jiān)控、故障推斷、拓?fù)浒l(fā)覺(jué)等。2、在不阻礙關(guān)鍵業(yè)務(wù)運(yùn)行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)治理員能夠定義、監(jiān)控并評(píng)估網(wǎng)絡(luò)連接性、安全性和性能

30、策略，并進(jìn)行網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)。3、網(wǎng)管系統(tǒng)能夠作到治理監(jiān)控到全網(wǎng)所有網(wǎng)絡(luò)設(shè)備，直觀的顯示各種設(shè)備運(yùn)行狀態(tài)，并對(duì)各種異常情況實(shí)現(xiàn)自動(dòng)報(bào)警。網(wǎng)絡(luò)安全治理需求、網(wǎng)絡(luò)設(shè)計(jì)中利用防火墻、VLAN等技術(shù)，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全漏洞最小化，使網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)得到操縱。、能夠使安全治理員了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的整體安全狀況。、可監(jiān)控到來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的“黑客”入侵。、能夠?yàn)椴槊魅肭值膩?lái)源提供有效的依據(jù)。5、能夠?qū)φ麄€(gè)網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫(kù)和應(yīng)用層進(jìn)行安全脆弱性進(jìn)行評(píng)估，提供安全修復(fù)指引。語(yǔ)音、視頻應(yīng)用的需求、在三峽建行一級(jí)安裝有能與與總行通話(huà)的IP電話(huà)20門(mén)，并能夠參加總行進(jìn)行的視頻會(huì)議。

31、、在條件同意的情況下，在三峽建行城域網(wǎng)內(nèi)能夠?qū)崿F(xiàn)IP電話(huà)和視頻服務(wù)。網(wǎng)絡(luò)改造的差不多原則 高可靠性選用可靠性較高的網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，從而最大限度地支持各業(yè)務(wù)系統(tǒng)的正常運(yùn)行。 有用性網(wǎng)絡(luò)改造方案設(shè)計(jì)實(shí)施應(yīng)充分考慮實(shí)際需求和費(fèi)用，追求高的性效比 安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性 集中治理對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)治理平臺(tái)，具有對(duì)設(shè)備、端口等的治理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。 可擴(kuò)展性。依照以后業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)能夠平滑地?cái)U(kuò)充和升級(jí)，減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。 靈活性

32、支持大型的動(dòng)態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接。 技術(shù)先進(jìn)性以先進(jìn)、成熟的網(wǎng)絡(luò)通訊技術(shù)進(jìn)行方案設(shè)計(jì)及實(shí)施，相關(guān)的技術(shù)均要符合國(guó)際標(biāo)準(zhǔn)。 愛(ài)護(hù)現(xiàn)有投資保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)。 分時(shí)期實(shí)施原則對(duì)整個(gè)網(wǎng)絡(luò)改造進(jìn)行統(tǒng)一規(guī)劃，分時(shí)期逐步實(shí)施。 網(wǎng)絡(luò)總體設(shè)計(jì)三峽建行網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)總體架構(gòu)組網(wǎng)模式 大型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是層次化的，正確理解我行網(wǎng)絡(luò)層次的劃分和每個(gè)層次的要緊作用，有助于我們合理選擇網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)技術(shù)。鑒于三峽建行的專(zhuān)門(mén)性，我們將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)為如下層次： 城域網(wǎng)：城域網(wǎng)實(shí)現(xiàn)建行同城網(wǎng)絡(luò)的連接，

33、包括中心機(jī)房到丁機(jī)房、甲路機(jī)房的連接。 分布層：實(shí)現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問(wèn)層向核心層的匯接點(diǎn)，三峽建行到各縣支行構(gòu)成的二級(jí)網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。 接入層：為最終用戶(hù)提供對(duì)網(wǎng)絡(luò)的接入，三峽建行到各營(yíng)業(yè)網(wǎng)點(diǎn)構(gòu)成的網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)接入層。同時(shí)，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。按照以上方式進(jìn)行組網(wǎng)，層次比較清晰，便于方案實(shí)施，。組網(wǎng)模型如下圖： 網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下所示：局域網(wǎng)改造局域網(wǎng)改造方案設(shè)備選擇在三峽建行網(wǎng)絡(luò)中心，增加一臺(tái)高性能的交換機(jī)Cisco Catalyst 6509，同時(shí)在Cisco Catalyst 5505增加千兆模塊和RSM路由模塊，通

34、過(guò)兩條千兆鏈路連接起來(lái)，利用Gigabit EtherFast技術(shù)既相互備份，又負(fù)載均衡。Catalyst 6509能夠提供高性能、多層交換的數(shù)據(jù)通信，滿(mǎn)足內(nèi)部網(wǎng)絡(luò)（INTRANET）、苛求網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)語(yǔ)音應(yīng)用。每臺(tái)Catalyst 6509配置兩塊帶有PFC子卡和MSFC子卡的超級(jí)引擎，互為備份，其中PFC子卡要緊用于擴(kuò)充Qos能力，能夠?qū)崿F(xiàn)基于應(yīng)用（TCP/UDP 應(yīng)用端口號(hào)）的服務(wù)質(zhì)量操縱，而MSFC子卡要緊是取代原來(lái)的路由模塊MSM實(shí)現(xiàn)線(xiàn)速三層交換，同時(shí)進(jìn)行了專(zhuān)門(mén)大的擴(kuò)充，數(shù)據(jù)包吞吐率從原來(lái)的6Mpps 擴(kuò)充到15Mpps。同時(shí)，Catalyst 6509配置一個(gè)48口10M/100

35、M模塊分不提供與網(wǎng)管工作站、路由器等的連接。為了保證中心交換機(jī)的可靠性，Catalyst 6509配置雙電源冗余系統(tǒng)。將原有Catalyst 5000交換機(jī)從網(wǎng)絡(luò)中心下移到江閣大樓，同時(shí)增加兩個(gè)千兆模塊，分不以1000Mbps速率同Catalyst 6509和Catalyst 5505相連。VLAN劃分 將局域網(wǎng)按服務(wù)器業(yè)務(wù)類(lèi)型劃分為不同VLAN，要緊有：業(yè)務(wù)網(wǎng)、治理網(wǎng)等，也能夠按照部門(mén)劃分VLAN，VLAN之間的通信能夠通過(guò)諸如主交換機(jī)中設(shè)置的策略路由等加以操縱。三峽建行網(wǎng)絡(luò)中心局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D三峽建行網(wǎng)絡(luò)中心網(wǎng)絡(luò)拓?fù)鋱D如下：網(wǎng)絡(luò)中心交換機(jī)設(shè)備配置表設(shè)備配置表如下：序號(hào)產(chǎn)品號(hào)產(chǎn)品名稱(chēng)數(shù)量Ca

36、talyst 65091WS-C6509Catalyst 6509 Chassis1 2WS-CAC-1300W Catalyst 6000 1300W AC Power Supply13WS-CAC-1300W/2Catalyst Second 6000 1300W AC Power Supply14WS-X6K-S2-MSFC2Catalyst 6500 Supervisor Engine-2, 2GE, plus MSFC-2 & PFC-215WS-X6K-S2-MSFC2/2*Cat 6500 Red. Sup2, 2GE, MSFC2 & PFC2 (In Chassis Only

37、)16MEM-C6K-FLC24MCatalyst 6000 Supervisor PCMCIA Flash Mem Card, 24MB Option17MEM-MSFC-128MBCatalyst 6000 MSFC Mem, 128MB DRAM Option18WS-X6408-GBIC Catalyst 6000 8-port Gigabit Ethernet Module (Req. GBICs) 19WS-G5484 1000BASE-SX Short Wavelength GBIC (Multimode only) 810WS-X6248-RJ-45Catalyst 6000

38、48-port 10/100 RJ-45 Moudel111SC6MSFCA-12.0.3XECisco IOS Catalyst 6000 Family MSFC - Enterprise112FR-IRC6Catalyst 6000 Family InterDomain Routing Feature License1Catalyst 5505（增加模塊）13WS-X5403C5000 Gigabit Ethernet Switching Module w/o GBICs (3 port)114WS-G54841000BASE-SX Short Wavelength GBIC (Multi

39、mode only)315WS-X5302Catalyst 5000 Route Switch Module1城域網(wǎng)改造 城域網(wǎng)要緊提供城區(qū)各個(gè)要緊局域網(wǎng)的接入，包括江閣大樓、云路機(jī)房、信用卡部和星辦局域網(wǎng)的接入，還包括增加戊和己兩支行局域網(wǎng)的接入 將三峽建行網(wǎng)絡(luò)中心原有的Catalyst 5000交換機(jī)下移到江閣大樓，作為江閣大樓局域網(wǎng)中心交換機(jī)，在Catalyst 5000新增兩個(gè)千兆模塊端口，通過(guò)1000BASE-SX模塊分不和Catalyst 6509、Catalyst 5505相連，兩條鏈路互為備份。 甲路機(jī)房、信用卡部和星辦局域網(wǎng)保持原有結(jié)構(gòu)不變。 戊和己支行需鋪架光纖，接入三峽建

40、行城域網(wǎng)，己支行需增加一臺(tái)Catalyst 2924交換機(jī)。 城域網(wǎng)改造后，網(wǎng)絡(luò)拓?fù)鋱D如下： 城域網(wǎng)鏈路備份方案有兩種： 方案一是通過(guò)ISDN連接路由器的方式， 方案二是通過(guò)10M的無(wú)線(xiàn)以太網(wǎng)方式（方案見(jiàn)附件）。這兩種備份方式都只備份營(yíng)業(yè)網(wǎng)廣域網(wǎng)改造廣域網(wǎng)分布層改造 分布層網(wǎng)絡(luò)要緊是指三峽建行到縣級(jí)支行和城區(qū)較遠(yuǎn)支行的網(wǎng)絡(luò)連接。 三峽建行到上述支行的網(wǎng)絡(luò)拓?fù)鋱D如下： 鏈路講明：支行采納64K DDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)和企業(yè)內(nèi)部治理數(shù)據(jù)；同時(shí)利用PSTN鏈路作為備份線(xiàn)路。 設(shè)備選型：縣級(jí)支行局域網(wǎng)進(jìn)行改造，配置一臺(tái)Catalyst 2924交換機(jī)，通過(guò)選用的CISCO

41、2600系列路由器分不與三峽建行相連。在Catalyst 2924劃分VLAN將治理網(wǎng)和營(yíng)業(yè)網(wǎng)隔離開(kāi)。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有既營(yíng)業(yè)網(wǎng)又有治理網(wǎng)的廣域網(wǎng)的接入。初步確定有b、c、d、e、f、g、h、i各縣支行以及城區(qū)、國(guó)際業(yè)務(wù)部。廣域網(wǎng)接入層改造 接入層網(wǎng)絡(luò)要緊是指三峽建行到網(wǎng)點(diǎn)的網(wǎng)絡(luò)連接。 三峽建行到網(wǎng)點(diǎn)的網(wǎng)絡(luò)拓?fù)鋱D： 鏈路講明：大的網(wǎng)點(diǎn)采納低端路由器（還可廣泛采納原有的一些非CiscoL路由設(shè)備）通過(guò)64K DDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)，小的網(wǎng)點(diǎn)采納異步MODEM 通過(guò)64K DDN鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時(shí)利用PSTN鏈路作為備份線(xiàn)路。 節(jié)點(diǎn)確定原則：該節(jié)

42、點(diǎn)就近有多條營(yíng)業(yè)網(wǎng)的廣域網(wǎng)的接入。初步確定有航空辦、北山辦、五廣分理處等。外網(wǎng)的連接為了實(shí)現(xiàn)三峽建行和外網(wǎng)（要緊是開(kāi)展的中間業(yè)務(wù)）的連接，通過(guò)將運(yùn)行中間業(yè)務(wù)的前置機(jī)和路由器之間放置一臺(tái)PIX防火墻進(jìn)行物理隔離，配置一臺(tái)CISCO 3661，配置多口同步模塊，通過(guò)DDN與證券營(yíng)業(yè)部相連，同時(shí)提供網(wǎng)上查詢(xún)等業(yè)務(wù)。三峽建行局域網(wǎng)與外網(wǎng)連接圖如下：可靠性設(shè)計(jì)三峽建行網(wǎng)絡(luò)可靠性包括網(wǎng)絡(luò)設(shè)備備份和鏈路備份（包括電話(huà)撥號(hào)）。設(shè)備備份三峽建行局域網(wǎng)中心設(shè)備備份三峽建行中心局域網(wǎng)中心增加一臺(tái)高性能的交換機(jī)Cisco Catalyst 6509，同時(shí)在Cisco Catalyst 5505增加千兆模塊和RSM路由

43、模塊，通過(guò)兩條千兆鏈路連接起來(lái)，利用Gigabit EtherFast技術(shù)既相互備份，又負(fù)載均衡。Catalyst 6509配置雙引擎和雙路由模塊，同時(shí)配置雙電源冗余系統(tǒng)，保證中心交換機(jī)的可靠性。提供一臺(tái)CISCO 3662交換機(jī)，配置同異步模塊，作為中心路由器的設(shè)備備份。 城域網(wǎng)設(shè)備備份在三峽建行中心交換機(jī)Catalyst 6509上備份一塊24口100M多模光纖模塊，同時(shí)提供一臺(tái)Catalyst 1924C交換機(jī)，作為城域網(wǎng)下一級(jí)節(jié)點(diǎn)的設(shè)備備份。支行局域網(wǎng)設(shè)備備份提供一臺(tái)Catalyst 2924交換機(jī)，作為遠(yuǎn)程支行局域網(wǎng)交換機(jī)的設(shè)備備份。鏈路備份城域網(wǎng)鏈路備份城域網(wǎng)的主干鏈路為光纖連接，

44、為了保證城域網(wǎng)的鏈路的可靠性，能夠采納ISDN備份 在城域網(wǎng)各節(jié)點(diǎn)申請(qǐng)一條ISDN線(xiàn)路，同時(shí)增加一臺(tái)CISCO 2600路由器，配置一個(gè)ISDN模塊，當(dāng)光纖主干鏈路出現(xiàn)故障時(shí)，啟動(dòng)ISDN線(xiàn)路，保證城域網(wǎng)的連通。廣域網(wǎng)線(xiàn)路備份 支行廣域網(wǎng)鏈路備份支行選用CISCO 2600路由器通過(guò)64K DDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)和企業(yè)內(nèi)部治理數(shù)據(jù)，同時(shí)利用PSTN鏈路作為備份線(xiàn)路。 網(wǎng)點(diǎn)廣域網(wǎng)鏈路備份 大的網(wǎng)點(diǎn)采納CISCO 2600路由器通過(guò)64K DDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營(yíng)業(yè)數(shù)據(jù)，小的網(wǎng)點(diǎn)采納異步MODEM 通過(guò)64K DDN鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時(shí)利

45、用PSTN鏈路作為備份線(xiàn)路。網(wǎng)絡(luò)IP路由設(shè)計(jì)路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有專(zhuān)門(mén)重要的阻礙。在大型網(wǎng)絡(luò)中，靜態(tài)路由和某些動(dòng)態(tài)路由如RIP、IGRP由于其固有的局限性(擴(kuò)展性差、不支持VLSM)，不適合在網(wǎng)絡(luò)節(jié)點(diǎn)多、規(guī)模大的網(wǎng)絡(luò)中使用。目前在大型網(wǎng)絡(luò)中最常見(jiàn)的路由協(xié)議是OSPF和EIGRP。由于在大型的網(wǎng)絡(luò)中有多種平臺(tái)的路由器存在，而EIGRP僅為Cisco獨(dú)家支持。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中專(zhuān)門(mén)大一部分是非Cisco的）無(wú)法選擇EIGRP，且在最新內(nèi)部路由的設(shè)計(jì)中，OSPF的性能在流量整形方

46、面遠(yuǎn)超于Eigrp。故我們?cè)诒揪W(wǎng)絡(luò)方案中內(nèi)部主路由協(xié)議選擇OSPF。面向應(yīng)用的網(wǎng)絡(luò)服務(wù)業(yè)務(wù)分類(lèi)和數(shù)據(jù)特點(diǎn)的分析： 不同的應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)服務(wù)的要求不同。在一個(gè)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)上，應(yīng)該保證關(guān)于不同的應(yīng)用數(shù)據(jù)依照其具體要求提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，并能在因故障導(dǎo)致網(wǎng)絡(luò)資源稀缺時(shí)優(yōu)先保證關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的傳輸。經(jīng)對(duì)我行現(xiàn)有應(yīng)用系統(tǒng)的網(wǎng)絡(luò)需求分析，按其重要程度分為以下兩類(lèi)：營(yíng)業(yè)類(lèi)、治理類(lèi)。營(yíng)業(yè)類(lèi)業(yè)務(wù)系統(tǒng)包括綜合網(wǎng)柜面業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、龍卡系統(tǒng)、網(wǎng)上銀行等。 這些業(yè)務(wù)是我行最重要的業(yè)務(wù)，應(yīng)優(yōu)先得到保障。這些業(yè)務(wù)的數(shù)據(jù)包大小比較固定，對(duì)數(shù)據(jù)傳輸?shù)难訒r(shí)要求比較高。 治理類(lèi)業(yè)務(wù)系統(tǒng) 包括OA、信貸、總帳傳輸、人力資源、

47、電子郵件等治理系統(tǒng)。這一類(lèi)治理信息目前要緊是一般的文件傳輸，數(shù)據(jù)流量大、突發(fā)性強(qiáng)、對(duì)實(shí)時(shí)性要求較低，但要求能夠可靠傳輸，流向目前要緊是縱向。綜合類(lèi)業(yè)務(wù)系統(tǒng)包括訪問(wèn)行內(nèi)信息網(wǎng)站、Internet掃瞄以及IP電話(huà)、視頻會(huì)議、網(wǎng)上培訓(xùn)多媒體增值業(yè)務(wù)等。這些都屬于流量增長(zhǎng)最快的應(yīng)用系統(tǒng)，流量大、隨機(jī)性強(qiáng)，流向可能是任意方向的，其中多媒體業(yè)務(wù)是面向非連接的，對(duì)時(shí)延特不敏感。QOS保證使不同的業(yè)務(wù)集成在了同一個(gè)網(wǎng)絡(luò)平臺(tái)上，如何保證不同業(yè)務(wù)數(shù)據(jù)的優(yōu)先級(jí)不和傳輸質(zhì)量就成了一個(gè)專(zhuān)門(mén)重要的問(wèn)題。同時(shí)將要實(shí)施的語(yǔ)音等新應(yīng)用對(duì)網(wǎng)絡(luò)提出了新的服務(wù)質(zhì)量的要求。要保證以上數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)質(zhì)量，需要采納策略路由實(shí)現(xiàn)依照不同的業(yè)

48、務(wù)數(shù)據(jù)種類(lèi)選擇不同鏈路傳輸，并在每條線(xiàn)路上采納帶寬分配、優(yōu)先級(jí)操縱等QOS操縱技術(shù)保證各類(lèi)應(yīng)用數(shù)據(jù)的有效傳輸。 QoS操縱技術(shù) 為了幸免增加過(guò)多的操縱策略導(dǎo)致路由器負(fù)載過(guò)重，選擇以下幾種QOS操縱技術(shù)，簡(jiǎn)單有效地實(shí)現(xiàn)各類(lèi)應(yīng)用的QOS保障。 接入速率操縱(CAR) CommittedAccessRate( IP優(yōu)先級(jí)操縱 隊(duì)列機(jī)制(WeightedFairQueuing) 先期擁塞操縱(WRED) 標(biāo)記交換(MPLS) 語(yǔ)音數(shù)據(jù)優(yōu)先 在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采納上述技術(shù)保證網(wǎng)絡(luò)通暢，特不是營(yíng)業(yè)數(shù)據(jù)的正常傳輸。三峽建行網(wǎng)絡(luò)治理設(shè)計(jì) 在三峽建行廣域網(wǎng)中，設(shè)備繁多，網(wǎng)絡(luò)規(guī)模大，地理位置跨越廣，

49、且應(yīng)用環(huán)境復(fù)雜。關(guān)于諸多網(wǎng)絡(luò)硬件設(shè)備和網(wǎng)絡(luò)應(yīng)用，只有對(duì)網(wǎng)絡(luò)進(jìn)行有效地組織和治理,才能夠充分利用網(wǎng)絡(luò)軟硬件資源，發(fā)揮其效力，為系統(tǒng)應(yīng)用提供良好的網(wǎng)絡(luò)運(yùn)行平臺(tái)。為了提高系統(tǒng)的分級(jí)安全性,設(shè)計(jì)網(wǎng)絡(luò)治理系統(tǒng)，便于治理和故障處理，監(jiān)控的實(shí)時(shí)性。以CiscoWorks2000為網(wǎng)絡(luò)治理平臺(tái)；以美國(guó)BMC軟件公司的PATROL組件為基礎(chǔ)，集成網(wǎng)管系統(tǒng)、系統(tǒng)的監(jiān)控程序和自行開(kāi)發(fā)的監(jiān)控程序，建設(shè)集中監(jiān)控治理系統(tǒng)，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的集中監(jiān)控和治理，實(shí)現(xiàn)監(jiān)視各種主機(jī)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)和網(wǎng)上關(guān)鍵性系統(tǒng)的運(yùn)行狀態(tài)、工作任務(wù)完成情況，自動(dòng)啟動(dòng)工作任務(wù)，進(jìn)行作業(yè)調(diào)度，減少中心機(jī)房值班人員的工作壓力，逐步實(shí)現(xiàn)主機(jī)房無(wú)人值

50、守。同時(shí)，配置BMC的數(shù)據(jù)備份與恢復(fù)軟件，從而減少因系統(tǒng)停機(jī)、重要數(shù)據(jù)信息的丟失等而造成的業(yè)務(wù)停頓，最大程度上保證系統(tǒng)的高可用性和可治理性，以保障7x24小時(shí)關(guān)鍵性應(yīng)用系統(tǒng)的運(yùn)行，最終實(shí)現(xiàn)企業(yè)信息系統(tǒng)的治理目的。網(wǎng)管系統(tǒng)功能及其職責(zé)為了保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，維持網(wǎng)絡(luò)傳送頻率，降低傳送錯(cuò)誤率，確保網(wǎng)絡(luò)安全等，網(wǎng)絡(luò)系統(tǒng)技術(shù)人員借助網(wǎng)絡(luò)治理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)治理，職責(zé)內(nèi)容可分為下列八大類(lèi)。網(wǎng)管系統(tǒng)的職責(zé):網(wǎng)絡(luò)監(jiān)控: 監(jiān)視網(wǎng)絡(luò)的運(yùn)行狀態(tài),操縱網(wǎng)絡(luò)路由和流量,分析運(yùn)行記錄和報(bào)警信息性能操縱:據(jù)網(wǎng)絡(luò)應(yīng)用狀態(tài),負(fù)荷狀態(tài),網(wǎng)絡(luò)利用率,合理調(diào)整網(wǎng)絡(luò)性能。故障治理：為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問(wèn)題

51、時(shí)，必須及時(shí)察覺(jué)問(wèn)題的所在。它包含所有節(jié)點(diǎn)運(yùn)作狀態(tài)，故障記錄的追蹤與檢查及平?？蓪?duì)各種通訊協(xié)議的測(cè)試。效率治理：效率治理在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供以后網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。用戶(hù)記帳治理: 建立統(tǒng)一的記帳系統(tǒng),對(duì)網(wǎng)絡(luò)資源的使用采取收費(fèi)記帳的方法,對(duì)不同的資源訪問(wèn)制定不同的收費(fèi)標(biāo)準(zhǔn)和算法。網(wǎng)絡(luò)安全治理: 用戶(hù)身份確認(rèn),訪問(wèn)操縱,對(duì)用戶(hù)權(quán)限以及用戶(hù)帳戶(hù)進(jìn)行維護(hù)和治理,設(shè)置相應(yīng)口令與更新.加密和密鑰治理.監(jiān)視和操縱網(wǎng)上的破壞安全系統(tǒng)的行為。運(yùn)行治理: 制定網(wǎng)絡(luò)運(yùn)行的技術(shù)標(biāo)準(zhǔn),可靠性, 安全性方案和運(yùn)行制度。計(jì)費(fèi)治理：了解網(wǎng)絡(luò)使用時(shí)刻，能針對(duì)各個(gè)局部

52、網(wǎng)絡(luò)做使用量統(tǒng)計(jì)。一則可作為使用網(wǎng)絡(luò)計(jì)費(fèi)的依據(jù)，更可作為日后網(wǎng)絡(luò)升級(jí)或更新規(guī)劃的參考。網(wǎng)絡(luò)治理員能夠借助網(wǎng)管軟件，對(duì)網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用。網(wǎng)絡(luò)治理平臺(tái)和網(wǎng)管工作站 通過(guò)前面的分析，網(wǎng)絡(luò)系統(tǒng)設(shè)備采納了cisco的交換機(jī)、路由器和遠(yuǎn)程訪問(wèn)服務(wù)器，針對(duì)系統(tǒng)的那個(gè)特點(diǎn)，推舉cisco公司的最新推出的網(wǎng)管系統(tǒng)CiscoWorks2000。1、網(wǎng)管平臺(tái)設(shè)計(jì)將原有網(wǎng)管軟件CWSI進(jìn)行升級(jí)，采納Cisco公司提供的最新CiscoWorks2000的廣域網(wǎng)套件，用于對(duì)網(wǎng)點(diǎn)網(wǎng)絡(luò)設(shè)備進(jìn)行治理，局域網(wǎng)套件，用于對(duì)三峽建行局域網(wǎng)進(jìn)行治理。 2、網(wǎng)管工作站設(shè)計(jì)由于網(wǎng)管工作站將實(shí)時(shí)處理網(wǎng)絡(luò)設(shè)備上傳的運(yùn)行參數(shù)，因此必須

53、具備大內(nèi)存、高性能CPU和良好圖形顯示功能。擬保留原有網(wǎng)管工作站。3、cisco網(wǎng)管軟件和其差不多治理模式-CiscoWorks2000網(wǎng)管系統(tǒng)works2000包括局域網(wǎng)和廣域網(wǎng)網(wǎng)組件，還包括語(yǔ)音治理套件。4、自主網(wǎng)絡(luò)監(jiān)控軟件的開(kāi)發(fā)由于cisco網(wǎng)管軟件的專(zhuān)用性，無(wú)法有效監(jiān)控到非Cisco設(shè)備，更不能監(jiān)控到大部分采納串口協(xié)議的網(wǎng)點(diǎn)，為了能夠監(jiān)控到所有網(wǎng)點(diǎn)，需要對(duì)相關(guān)軟件做大量的客戶(hù)化開(kāi)發(fā)工作。網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)由于網(wǎng)絡(luò)的開(kāi)放性和網(wǎng)絡(luò)技術(shù)的進(jìn)展，網(wǎng)絡(luò)安全本身差不多成為一個(gè)與時(shí)刻和技術(shù)相關(guān)動(dòng)態(tài)的概念。針對(duì)傳統(tǒng)安全模型的缺陷和不足，有關(guān)公司提出了一個(gè)極具創(chuàng)意的，能夠自我不斷完善、不斷進(jìn)展、自我適應(yīng)能

54、力極強(qiáng)的嶄新的網(wǎng)絡(luò)安全模型P2DR安全模型，我行這次網(wǎng)絡(luò)系統(tǒng)安全的實(shí)施就預(yù)備基于那個(gè)模型。安全模型（P2DR模型）P2DR方案是一個(gè)超前的安全模型，它是在對(duì)國(guó)際上安全方面可靠的權(quán)威著作進(jìn)行多年研究的基礎(chǔ)上獨(dú)自進(jìn)展出來(lái)的。它的指導(dǎo)思想比傳統(tǒng)安全方案有突破性提高。P2DR模型如圖所示：Policy策略、Protection防護(hù)、Detection檢測(cè)和Response響應(yīng)組成的完整模型體系，能夠描述和解釋任何信息安全問(wèn)題。P2DR安全模型的特點(diǎn)確實(shí)是動(dòng)態(tài)性和基于時(shí)刻的特性，能夠講對(duì)信息安全的“相對(duì)性”給予了更好地描述：盡管沒(méi)有100%的安全，然而模型為進(jìn)一步解決信息安全技術(shù)問(wèn)題提供了有益的方法和方

55、向。Policy(安全策略)安全策略是P2DR安全模型的核心，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測(cè)、響應(yīng)差不多上依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全治理提供治理方向和支持手段。Protection（愛(ài)護(hù)）愛(ài)護(hù)通常是通過(guò)采納一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來(lái)實(shí)現(xiàn)的，要緊有防火墻、加密、認(rèn)證等方法。通過(guò)防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，能夠防范外對(duì)內(nèi)及內(nèi)對(duì)外的非法訪問(wèn)，提高了網(wǎng)絡(luò)的防護(hù)能力，因此需要依照安全策略制定合理的防火墻策略；也能夠利用SecureID這種一次性口令的方法來(lái)增加系統(tǒng)的安全性等等。Detection（檢測(cè)）在P2DR模型，檢測(cè)是特不重要的一個(gè)環(huán)節(jié)，

56、檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來(lái)發(fā)覺(jué)新的威脅和弱點(diǎn)，通過(guò)循環(huán)反饋來(lái)及時(shí)作出有效的響應(yīng)。檢測(cè)要緊包括“漏洞檢測(cè)”和“入侵檢測(cè)”兩個(gè)部分。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的方法。在檢測(cè)到安全漏洞和安全事件之后必須及時(shí)做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。從某種意義上講，安全問(wèn)題確實(shí)是要解決緊急響應(yīng)和異常處理問(wèn)題。要解決好緊急響應(yīng)問(wèn)題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切預(yù)備工作。總之，一個(gè)信息安全方案必須對(duì)安全策略、安全防護(hù)、安全檢測(cè)和安全響應(yīng)有準(zhǔn)確和完整的描述。值得強(qiáng)調(diào)

57、的是，P2DR安全模型已被正式收錄進(jìn)人民銀行的安全藍(lán)皮書(shū)：國(guó)家金融信息系統(tǒng)安全總體綱要 - 1999.12三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系 安全策略設(shè)計(jì) 1、安全策略描述原則 由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到我行的服務(wù)質(zhì)量和信譽(yù)保證，關(guān)系到客戶(hù)的切身利益，因此在制定安全策略時(shí)，要加強(qiáng)對(duì)數(shù)據(jù)傳輸?shù)南拗?，即只有表示為同意的才能夠進(jìn)行傳輸這一原則來(lái)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的限制。 2、具體安全策略 三峽建行安全策略應(yīng)該包括：用戶(hù)治理、職責(zé)劃分、安全治理、安全評(píng)估、安全監(jiān)控、緊急響應(yīng)、異常處理、授權(quán)操作、恢復(fù)策略以及跟蹤審計(jì)等總體安全體系的規(guī)定網(wǎng)絡(luò)系統(tǒng)的安全從體系結(jié)構(gòu)上來(lái)看應(yīng)該是一個(gè)多層次、多方面的結(jié)構(gòu)。通過(guò)對(duì)我行網(wǎng)絡(luò)所

58、面臨的安全狀況的分析，可將整個(gè)三峽建行網(wǎng)絡(luò)的安全性在總體結(jié)構(gòu)上劃分為四個(gè)級(jí)不：網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系統(tǒng)級(jí)安全和企業(yè)級(jí)安全。三三峽建行網(wǎng)絡(luò)系統(tǒng)安全體系架構(gòu)網(wǎng)絡(luò)級(jí)安全系統(tǒng)級(jí)安全應(yīng)用級(jí)安全企業(yè)級(jí)安全安全治理制度審計(jì)病毒防范加密數(shù)字簽名身份認(rèn)證安全漏洞檢測(cè)安全監(jiān)控訪問(wèn)操縱VLAN劃分VPN數(shù)據(jù)包過(guò)濾安全級(jí)不安全手段網(wǎng)絡(luò)級(jí)安全是指在網(wǎng)絡(luò)的下三層(物理層、鏈路層、網(wǎng)絡(luò)層)采取各種安全措施來(lái)保障整個(gè)三峽建行網(wǎng)絡(luò)的安全，包括數(shù)據(jù)包過(guò)濾、VPN虛擬私有網(wǎng)、VLAN的劃分、訪問(wèn)操縱、身份認(rèn)證、數(shù)據(jù)包加密傳輸、安全審計(jì)、安全監(jiān)控和安全漏洞檢測(cè)等應(yīng)用級(jí)安全是指通過(guò)利用三峽建行網(wǎng)絡(luò)中各大應(yīng)用系統(tǒng)（如綜合業(yè)務(wù)系統(tǒng)、清

59、算系統(tǒng)、企業(yè)網(wǎng)系統(tǒng)等等）和大型關(guān)系型數(shù)據(jù)庫(kù)自身的安全機(jī)制，在應(yīng)用層保證對(duì)三峽建行網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)的信息訪問(wèn)合法性；系統(tǒng)級(jí)安全要緊是通過(guò)對(duì)操作系統(tǒng)(UNIX、NT)的安全設(shè)置，防止利用操作系統(tǒng)的安全漏洞對(duì)整個(gè)三峽建行網(wǎng)絡(luò)構(gòu)成安全威脅；企業(yè)級(jí)安全要緊是從三峽建行范圍內(nèi)的安全治理和計(jì)算機(jī)病毒防范兩方面來(lái)保障整個(gè)我行網(wǎng)絡(luò)的安全。此次網(wǎng)絡(luò)改造我們要緊對(duì)網(wǎng)絡(luò)級(jí)安全加以設(shè)計(jì)。三峽建行網(wǎng)絡(luò)級(jí)安全設(shè)計(jì)可適應(yīng)性網(wǎng)絡(luò)安全由四個(gè)集成的方案組成。第一，端對(duì)端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評(píng)估，通過(guò)自動(dòng)的基于網(wǎng)絡(luò)的和基于主機(jī)的掃描技術(shù)實(shí)現(xiàn)；第二，對(duì)安全弱點(diǎn)的響應(yīng)通過(guò)已建立的安全策略中相關(guān)的安全漏洞來(lái)衡量。更正動(dòng)作專(zhuān)門(mén)

60、容易獲得并迅速實(shí)現(xiàn)。另外，基于網(wǎng)絡(luò)和主機(jī)的實(shí)時(shí)入侵檢測(cè)提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)愛(ài)護(hù)。最后，對(duì)安全威脅的網(wǎng)絡(luò)自動(dòng)更正包括主動(dòng)中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。網(wǎng)絡(luò)安全的程度必定是動(dòng)態(tài)變化的，因此網(wǎng)絡(luò)安全不可能是一個(gè)靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能的阻礙安全的因素來(lái)制訂整個(gè)網(wǎng)絡(luò)的安全策略關(guān)于系統(tǒng)安全設(shè)計(jì)，一定要充分考慮整個(gè)三峽建行網(wǎng)絡(luò)系統(tǒng)的實(shí)際需求和網(wǎng)絡(luò)現(xiàn)狀，以我行網(wǎng)絡(luò)與外部的連接作為安全設(shè)計(jì)的重點(diǎn)，可通過(guò)以下措施來(lái)從網(wǎng)絡(luò)物理層一直到應(yīng)用層保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全使用。局域網(wǎng)安全設(shè)計(jì)由于局域網(wǎng)中采納廣播方式，因此，若在某個(gè)廣播域中能夠偵聽(tīng)到所有的信息包，黑客就能夠?qū)π畔M(jìn)