某城市商业银行网络系统规划与设计

《某城市商业银行网络系统规划与设计》由会员分享，可在线阅读，更多相关《某城市商业银行网络系统规划与设计（43页珍藏版）》请在装配图网上搜索。

1、精品资料推荐网络集成实训课程设计任务书目 录 第一章项目背景4一、某城市商业银行网络系统规划背景与设计需求4二、城市商业银行的网络建设目标5第二章网络方案设计7一、方案设计目标7二、方案设计原则8三、方案说明9四、IP划分与VLAN划分14五、关键技术的实现15六、方案特点17第三章产品选型分析18一、设备清单18二、产品选型分析19第四章主要配置文件（附件）36一、核心层配置36二、汇聚层配置37三、接入层配置43前 言互联网科技日新月异，飞速发展。银行想要适应这种变化以提升竞争力并且通过它来盈利，银行就必须随着这些变化做出了相应的调整和适应，就要提供稳定、高效的高质量服务。本规划就是在此前

2、提下做出来的，它提供了一种妥善的解决方案，并且同样适用于其它同类型的银行联网建设。我国各家商业银行经过多年的努力，业务处理电子化系统已被广泛使用，并在全行范围内实现了电子化。但是，由于各商业银行之间的竞争，特别是在中国加入WTO后金融业的开放，金融、证券、保险的混业经营等的挑战，促使银行服务业向以客户为中心的理念发展。这种趋势，一方面体现在银行不断推出各种面向客户的新业务，如网上/手机银行，贷记卡，各种中间业务等等；另一方面体现在银行决策向科学化发展，如客户群分析，效益/成本分析，风险防范等。所有这些新需求，都需要有大集中式银行综合业务处理系统强有力的支持。为此，各家商业银行的业务应用已经实现

3、或正在实现大集中式处理。一般地说，在公用数据通信网的基础上可以建立多个类型、功能、协议均不相同的计算机网络。因此，同一主机系统可以从用于不同的计算机网络，只要在同一主机中配置不同的网络所需要的基本软件就可能做到这一点。更进一步，如果在不同计算机网络之间，群制定网络互连协议配置相应软件，就能构成更复杂的、规模更大的计算机网络。第一章 项目背景一、 某城市商业银行网络系统规划背景与设计需求某城市商业银行由银行总部和10个营业网点构成，营业网点遍布全市各区域。银行总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作

4、部、安全保卫部、物业管理部等十多个部门，每个部门电脑用户情况如下：部门计划财务部市场营销部客户服务中心资金运营中心会计结算部资产评估部信息网络中心信息点数量30604040383520其他部门用户信息点数量为15个左右。各营业网点的电脑用户(包括自动柜员机)不超过20台，银行数据中心设于银行总部信息网络中心。为保证银行业务的正常进行，须在全市范围内建设一个城市商业银行专用通信网，实现银行总部与各营业网点安全、可靠的互连互通。(图)二、 城市商业银行的网络建设目标1. 在全市范围内建设一个城市商业银行专用通讯子网。2. 建立一个多协议的数据网络,并在所有的通讯子网接入节点上支持TCP/IP计算机

5、网络协议，使得整个网络实现互通。3. 在通讯子网上具有规模可扩充性,在计算机网上具有网络可升级性，保持整个网络的先进性。4. 网管系统应具有对整个通讯子网进行监控管理的能力,网管应用应当是统一的。5. 实现银行总部与各营业网点信息安全，设置安全加密，防止恶意攻击与破坏。6. 具有数据的冗余备份，在发生灾害时能确保数据有效的恢复。 7. 设置有效的防火墙系统，保持整个网络不受外在攻击的影响，保持安全性。第二章 网络方案设计一、方案设计目标1. 在全市范围内建设一个商业银行专用通讯子网,一个多协议的数据网络，并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。2. 具备接入所有业务系统的能

6、力，支持各业务系统所要求的计算机网络协议，而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有力的支持。3. 在城区网上能够将业务、办公自动化集成在同一个网络中，以充分利用信道带宽。在保证目前应用的情况下，使网络具有一定的先进性，保护用户的投资。 4. 具有相对完善的网管系统，能对计算机网络进行有效的监控管理，优化网络流量，提高网络运行的安全性，通过日志文件等多种手段，保证网络的高效运行。 通过以上几个目标的努力，使商业银行的计算机网络具有更好的先进性、可靠性、安全性和可扩展性。二、方案设计原则2.1、先进性：网络技术应为当期国际同业中先进的，并能支持未来网络技术的高性能需求，并

7、且在业界表现出较高的网络性能； 2.2、安全性：能有效防止网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性； 2.3、可靠性：整个网络系统应具有很高的安全可靠性，必须满足724365小时连续运行的要求。在通信故障发生时，网络设备可以快速自动地切换到备份链路或设备上； 2.4、实用性：整个网络系统要按照实用、好用的原则，使网络具有较高的实用性； 2.5、时效性：网络要保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确证业务交易的实时高效完成。 2.6、完整性：网络系统应实现端到端的，能整合数据、语音和图象的多业务应用，需要在全网范围统一的实施安全策略、Q

8、oS策略、流量管理策略和系统管理策略的完整的一体化网络； 2.7、成熟性：本网络系统需要整合包括TCP/IP，语音和图象等多种网络技术，只有成熟的平台和解决方案并在国内的银行用户成功使用才可以保证关键业务系统有一个可靠的运行，以有利于业务发展； 2.8、可伸缩性：网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求； 2.9、效益性：网络的投资应随网络的伸缩能够持续发挥作用，保护网络的投资，充分发挥网络投资的最大效益； 2.10、可管理性：网络要应用统一的网络管理平台实现对整个网络系统、设备、安全性、数

9、据流量、性能等的监控和管理，并可方便直观的进行远程管理和故障诊断。 2.11、可实施性：整个网络解决方案的实施要便于实际的实施，并在实施过程中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺利。 三、 方案说明3.1 广域网信息流量计算据统计，一个清算网点日平均处理同城票据为150笔，交易包的大小平均为512字节，每笔交易平均需要6次网络存取，并集中于一日的四个小时内发生。单个网点的通信量:用户数据量=交易笔数交易包字节数交易包往返次数=1505126=460800字节占用网络带宽每个网点通信流量的平均值=用户数据量时间=4608008(43600)=256bps考虑到远程网络通信

10、协议的开销和其他开销（如网管等），每个网点通信流量的平均值为2562=512bps。城市商业银行营业网点的电脑用户(包括自动柜员机)不超过20台，按20台计算；营业网点与总行通信流量为：网点数每个网点的流量=20512bps=10.24kbps,考虑将来应用系统的增加等，可选用32k的DDN数据专线。同时，考虑到数据备份的需要，可申请ISDN专线用于银行营业网点与银行总部的备份。3.2 解决方案总体网络拓朴如下：总部大型机网络控制器网络控制器营业网点大型机RISC/6000小型机网 关通信控制器NCP分组交换网LAN工作站工作站分组交换网工作站工作站城市商业银行的网络建设结构3.3 银行总部网

11、络设备的采用、命名与连接3.3.1、银行总部核心部位用两台Quidway S6503高端多业务交换机，命名为S6503A 和S6503B,两台交换机用2根1000Base-T进行链路聚合，实现数据的快速交换和设备的冗余。3.3.2、接入广域网部份用两台Quidway R3680E-RPS模块化中心路由器,命名为R3680EA和R3680EB；核心交换机S6503A 和S6503B通过用R3680EA作为与营业网点的DDN接入，用R3680EB作ISDN备份链路接入路由。3.3.3、用一台Quidway SecPath 500F防火墙与S6503A相连，通过申请10M的ADSL接入INTERNE

12、T，实现访问INTERNET与网上银行等业务的接入。用一台Quidway SecPath 10F 防火墙R3680EB相连，通过申请2M的ADSL接入INTERNET，实现访问INTERNET与网上银行等业务的接入备份。3.3.4、数据中心的汇聚层采用两台Quidway S3526C千兆三层交换机与核心交换机S6503A和S6503B相连，分别命名为S3526CA和S3526CB。3.3.5、各部门网点的汇聚层采用两台Quidway S3526C千兆三层交换机与核心交换机S6503A和S6503B，分别命名为S3526CC和S3526CD。3.3.6、网络管理平台通过一台Quidway S12

13、08千兆以太网交换机交换机接入S6503B。3.3.7、在核心层的核心交换机S6503A上连接Quidway SecEngine D200 入侵检测系统。3.4银行总部部门局域网3.4.1、在部门汇聚层上采用两点S3526C交换机；S3526CC作为部门1至部门7的主交换机，作为部门8至部门13的从交换机（备用交换机），S3526CD作为部门8至部门13的主交换机，作为部门1至部门7的从交换机（备用交换机）。3.4.2、在S3526C上划分VLAN同时启动GVRP协议和STP协议，各个部门划分到不同的VLAN里，提高网络的性能。3.4.3、在S3526C上做访问控制，提高部门间的信息安全。3.

14、4.4、各部门接入层交换机均与两台汇聚层交换机S3526CC和S3526CD相连，链路采用trunk封装。3.4.5、将部门接入层交换机的端口划分到相应的VLAN。3.5营业网点方案3.5.1、各营业网点的接入广域网部份用一台Quidway AR 28-09B模块化中心路由器作为与营业网点的DDN接入与ISDN备份链路接入路由。3.5.2、营业网点的电脑用户(包括自动柜员机)信息节点通过一台S2026C-SI交换机与AR 28-09B路由器通过100base-T相连。3.5.3、营业网点局域网可根据需求划分VLAN。四、 IP划分与VLAN划分4.1全网IP划分总部IP划分（掩码均为24）部门

15、信息数量IP范围VLAN网关银行总部办公室1510.1.1.1-10.1.1.15210.1.1.254人力资源部1510.1.2.1-10.1.2.15310.1.2.254计划财务部3010.1.3.1-10.1.3.30410.1.3.254市场营销部6010.1.4.1-10.1.4.60510.1.4.254客户服务中心4010.1.5.1-10.1.5.40610.1.5.254资金运营中心4010.1.6.1-10.1.6.40710.1.6.254会计结算部3810.1.7.1-10.1.7.38810.1.7.254资产评估部3510.1.8.1-10.1.8.35910.1

16、.8.254资产管理中心1510.1.9.1-10.1.9.151010.1.9.254信息网络中心2010.1.10.1-10.1.10.201110.1.10.254党群工作部1510.1.11.1-10.1.11.151210.1.11.254安全保卫部1510.1.12.1-10.1.12.151310.1.12.254物业管理部1510.1.13.1-10.1.13.151410.1.13.254网管中心IP划分（掩码均为24）网管中心1510.1.14.1-10.1.14.151510.1.14.254数据中心1510.1.15.1-10.1.15.151510.1.15.254营

17、业点IP划分（掩码均为24）营业点信息数量IP范围网关营业点12010.2.1.1-10.2.1.2010.2.1.254营业点22010.2.2.1-10.2.2.2010.2.2.254营业点32010.2.3.1-10.2.3.2010.2.3.254营业点42010.2.4.1-10.2.4.2010.2.4.254营业点52010.2.5.1-10.2.5.2010.2.5.254营业点62010.2.6.1-10.2.6.2010.2.6.254营业点72010.2.7.1-10.2.7.2010.2.7.254营业点82010.2.8.1-10.2.8.2010.2.8.254营

18、业点92010.2.9.1-10.2.9.2010.2.9.254营业点102010.2.10.1-10.2.10.2010.2.10.2544.2设备IP划分（掩码均为30，int 表示interface）设备接口/逻辑端口IP地址设备接口/逻辑端口IP地址S6503Aint vlan 10010.1.100.1S3526CAint vlan 10110.1.100.2S6503Aint vlan 10110.1.100.5S3526CBint vlan 10110.1.100.6S6503Aint vlan 10210.1.100.9S3526CCint vlan 10110.1.100.

19、10S6503Aint vlan 10310.1.100.13S3526CDint vlan 10110.1.100.14S6503Aint vlan 10410.1.100.17防火墙1LAN 口10.1.100.18S6503Aint vlan 10510.1.100.21IDS10.1.100.22S6503Aint vlan 10610.1.100.25R3680EAint G0/110.1.100.26S6503Aint vlan 10710.1.100.29R3680EBint G0/110.1.100.30S6503Aint Virtual-Template 110.1.100.

20、33S6503Bint Virtual-Template 110.1.100.34S6503Bint vlan 10010.1.101.1S3526CAint vlan 10210.1.101.2S6503Bint vlan 10110.1.101.5S3526CBint vlan 10210.1.101.6S6503Bint vlan 10210.1.101.9S3526CCint vlan 10210.1.101.10S6503Bint vlan 10310.1.101.13S3526CDint vlan 10210.1.101.14S6503Bint vlan 10410.1.101.1

21、7R3680EAint G0/210.1.101.18S6503Bint vlan 10510.1.101.21R3680EBint G0/210.1.101.22五、 关键技术的实现5.1、核心层的两台S6503交换机实现端口汇聚，增加S6503A与S6503B的互边链路的带宽，并且能够实现链路备份。5.2、在核心层的两台S6503交换机创建VLAN，启用GVRP协议。5.3、银行总部各部门汇聚层交换机S3526C划分各部门VLAN，同时启用GVRP协议。在部门交换机上启用GVRP协议，并把端口划分到相应的VLAN。5.4、银行营业网点与银行总部网络通过DDN专线连接。5.5、在DDN接入路

22、由器R3680EA上做策略路由；正常情况下：当数据来自营业网点1至营业网点5时，把数据向S6503A发送；当数据来自营业网点6至营业网点10时，把数据向S6503B发送。当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。 5.6、对银行营业网点与银行总部网络用ISDN做备份链路。5.7、在ISDN接入路由器R3680EB上做策略路由；正常情况下：当数据来自营业网点1至营业网点5时，把数据向S6503A发送；当数据来自营业网点6至营业网点10时，把数据向S6503B发送。当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。 5.8、在核心层的两台S3526C交换机上启用VRRP

23、；VLAN2至VLAN7的数据在正常情况下网关指向S3526CC，当S3526CC出现异常时VLAN2至VLAN7的网关自动指向S3526CD；VLAN8至VLAN14的数据在正常情况下网关指向S3526CD，当S3526CD出现异常VLAN8至VLAN14的网关自动指向S3526CC。实现核心的负载均衡和避免单点故障。六、 方案特点 6.1、业务接入一体化；即：Quidway R3680E系列路由器网点解决方案可以综合实现IP、IPX、SNA等多协议接入，一体化接入ATM终端、哑终端、智能终端、OA以及IP语音等等。 6.2、网络安全一体化；通过Quidway R3680E设备直接提供的多种

24、二层、三层的VPN技术，例如：PPTP、L2TP、GRE、IPSEC、IKE等等，数据加密方面提供MD5、SHA、DES、3DES以及硬件序列加密卡等的支持，使得所有加密和VPN功能可以集成到一台路由设备上完成，不再需要添置加密机等设备，网点成本更低，同时安全性、可管理性更强，同时对应VPN以及加密需求。6.3、链路备份一体化；华为公司VRP网络操作系统专有的BACKUP CENTERTM (备份中心)技术，可以实现广泛的备份功能支持，可以实现物理链路之间、逻辑链路之间、物理链路与逻辑链路之间、以及设备间备份，保障网络的高可靠性。华为Qudiway 综合网点解决方案提供拨号备份功能的同时，支持

25、配置CALL BACK功能，从而使得解决方案整体安全性更上一层楼。 第三章 产品选型分析一、设备清单项目产品描述数量一、银行总部设备1.1、核心交换机1.1.1S6503Quidway S6503高端多业务交换机21.1.2iSalience IiSalience I型交换路由处理板21.1.3LS-6500-GT2020端口10/100/1000BASE-T千兆以太网业务板（LS-6500-GT20）21.2、汇聚层设备1.2.1S3526CQuidway S3526C千兆三层交换机41.2.21000Base-T 1000Base-T模块41.2.3R3680E-RPSR3680E-RPS

26、模块化中心路由器,21.2.4RT-2SA2端口同异步串口模块51.2.5100BaseT1端口100BaseT模块21.2.6RT-4BS4端口ISDN BRI模块31.2.7500FQuidway SecPath 500F防火墙11.2.810FQuidway SecPath 10F 防火墙1.2.9D200Quidway SecEngine D20011.3、接入层设备1.3.1S2026C-SIQuidway S2026C-SI可堆叠以太网交换机201.3.2堆叠模块堆叠模块141.3.3S1208Quidway S1208千兆以太网交换机1二、营业网点设备2.1 Internet接入

27、路由器2.1.1AR28-09BQuidway AR 28-09B智能业务分支路由器102.1.2SIC-1SASIC-1SA（高速同/异步串口智能接口卡）102.1.3SIC-1/2BSSIC-1/2BS（ISDN-S口智能接口卡）102.1.4S2026C-SIQuidway S2026C-SI可堆叠以太网交换机10二、产品选型分析4.2.1、Quidway S6503高端多业务交换机Quidway S6500系列高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机或城域网汇聚层

28、交换机。Quidway S6503能够为数据中心提供超高速链路，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway S6503提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。Quidway S6500系列高端多业务交换机的特点可以用一句话来概括：“多快好省、高而不贵”。“多”：产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。引擎规格多：基于新一代ASIC技术的Salience 系列交换路由引擎将L2/3

29、/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎，可以根据用户的需求在系列化机箱上进行灵活配置。接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供100m-100km可选择的传送距离；提供4口/单板-48口/单板的接口密度；提供多种组合接口板，全面满足客户需求。快：采用先进体系结构设计，交换容量高达768G，支持新一代万兆线速接口，提供网络高性能。先进的体系结构：S6500采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转

30、发性能和扩充能力。好：支持强大的QoS能力和精细化用户管理，高可靠、高安全设计，采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的QoS能力和精细化用户管理：每端口支持8个硬件队列，带宽控制粒度可达64Kbps；强大的用户管理、认证计费功能支持；支持CAMS（综合访问控制管理服务器）系统，提供专业用户管理、计费解决方案；内置IEEE 802.1x认证服务器功能。内置DHCP SERVER功能。完善的安全机制：支持标准Radius协议，同时提供Radius+功能；支持TACAS+协议；HCBM（华为可控组播管理协议）功能支持；保证对用户的精确认证。支持SSH V1/2。基于最长匹配的路由方

31、式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。智能业务扩展：能够提供高速的NAT数据流转发，支持动态NAT功能、动态NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由。支持NetStream功能，能够对通过交换机的网络流量进行精细化统计。省：极高的性价比，为客户量身打造，总有一款适合您；性能、业务可平滑扩展升级，保护用户投资。 强大的扩展性能：S6500具有强大的性能和业务扩展能力；背板带宽高达1.6Tbps；采用智能业务扩展模块可以实现灵活的智能化业务

32、能力，如NAT/MPLS/Web Switch/Net Stream/IP v6等高级业务特性，从而有效保障用户的投资。选择S6503主要是因为S6503的背板容量640Gbps，交换引擎支持iSalienceI 、SalienceIII 96G、SalienceIII 384G、SalienceIII 768G，插槽数量为4。4.2.2、Quidway S3526C千兆三层交换机Quidway S3500系列快速智能三层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机，包括S3526C、S3526E FS、S3526E FM三款类型。全线速的多层交换：Quidw

33、ay S3500系列快速智能三层交换机12.8Gbps的总线带宽为交换机所有的端口提供三层线速交换能力，最大提供32个子网路由接口，硬件支持层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。完备的安全智能控制策略：Quidway S3500系列快速智能三层交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。丰富的QOS策略：Qu

34、idway S3500系列快速智能三层交换机通过对ACL的引用来完成QoS流分类规则的定义，支持基于二层、三层、四层和端口的信息作为匹配依据的复杂流分类；根据服务质量要求的为不同数据流网络流量设置传输优先级标记，满足视频、语音等重要应用的需求。提供了两种各具特色的队列调度算法，严格优先级（Strict-Priority Queue，简称PQ）、加权轮循（Weighted Round Robin，简称WRR）调度算法和Delaybounded WRR调度算法。支持带宽控制功能，确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。支持CAR（

35、Committed Access Rate）功能，流量限速的粒度为1Mbit/s。多样的管理方式：Quidway S3500系列快速智能三层交换机支持SNMP，可支持Open View等通用网管平台，以及Quidview、iManager 网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便。S3526C：24个固定的10/ 100M以太网口、2个前扩展模块插槽，在前面板， 用于连接100M/1000M模块和堆叠模块；安全：分级命令保护机制、ACL过滤、双网卡proxy检测。在这里主要是用到S3526C的安全机制来保证信息数据的安全传递。4.2.3、Quid

36、way R3680E-RPS模块化中心路由器,Quidway R3680E-RPS（冗余电源）模块化中心路由器是华为3Com公司开发的面向企业级的网络产品，使用VRP（通用路由平台），提供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功能，支持SNA/DLSw、VoIP、VoFR特性等，提供丰富的备份方案及QoS特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度，既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担当汇聚层路由器。互连协议：以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、PPP、PPP头压缩、MP、ISDN、PPPoE Cli

37、ent、按需拨号、拨号串循环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、宽带接入。网络协议：DHCP、VLAN、IPX、DLSw、RIP-1/RIP-2、OSPF、BGP、策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由策略。应用层协议及业务特性：Telnet、SSH、Rlogin、dumb terminal、增强安全特性的终端接入服务器、金融POS接入特性、RTC、LPD、FTP、Ping及NTP应用层协议或业务特性。网络安全：登录用户认证、RADIUS/ HTACACS认证/计费、IPSEC、IKE、硬件加密卡、防火墙支持对接口/时间段/MAC地址的

38、过滤、高性能NAT。网络可靠性：接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接口间的链路层备份,动态路由实现网络层备份、VRRP实现设备层备份。语音特性：静音压缩、舒适噪音、语音防抖动、音量调节、PBX交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与备份策略、IP传真、语音RADIUS、GK Client、IPHC、语音QoS。服务质量：流量分类和流量监管CAR/LR、流量整形GTS、拥塞管理PQ/CQ/WFQ/CBQ、拥塞避免WRED。配置管理：中英文双语、命令分级保护、tracert/ping/debugging故障诊断功能、RMON、SNMPv1/v2c/v3

39、、系统日志、可通过FTP或TFTP进行系统升级、可通过Console/AUX/X.25 PAD/Telnet/反向Telnet等方式进行配置。电信级设备：提供RPS冗余电源；高可靠性；采用更高主频的CPU，提升了处理性能；增加了MPLS、 ISIS、OSPF多进程等特性；提供备份中心技术、VRRP，大大提高网络可靠性。安全和认证：采用独有的电源安全技术，保证浪涌、过压、低压、过流等现象能够被防护，输出稳定、可靠性高，并支持瞬时断电保护。采用屏蔽电磁辐射的标准19”机箱。提供抗震、抗高低温性能。通过CE认证和信息产业部电信设备入网测试并获得信息产业部电信设备入网证。4.2.4、Quidway S

40、ecPath 500F防火墙Quidway SecPath 500F防火墙是华为3Com公司面向大型企业用户开发的新一代专业千兆防火墙设备。支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能，能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、GRE VPN、IPSec VPN、SSL VPN和

41、华为动态VPN等，可以构建Internet、Intranet、Remote Access等多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略；提供双机状态热备功能，支持Active/Active和Active/Backup两种工作模式，实现负载分担和业务备份。提供企业网络的安全保障和防护功能防火墙安全过滤能力：支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持华为3Com专有ASPF应用层报文过滤（Application Specific Packet Filter）协议

42、，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP/RTCP等）应用层协议，支持TCP/UDP应用的状态监控。提供多种攻击防范技术：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。支持细粒度内容过滤能力：支持邮件过滤、SMT

43、P邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤；支持网页过滤，HTTP URL过滤、HTTP内容过滤；支持应用层过滤，提供Java Blocking、ActiveX Blocking和SQL注入攻击防范。支持多种安全认证技术：支持RADIUS和HWTACACS协议及域认证，实现对接入用户的验证、授权和计费；在PPP线路上支持CHAP和PAP验证协议；支持基于PKI /CA体系的数字证书（X.509格式）认证功能；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限；OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可

44、靠性。强大灵活的管理功能：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。全面的NAT应用支持：提供多对一、多对多、静态网段、双向转换 、Easy IP等地址转换方式，在一个接口上支持多个不同的地址转换服务；通过内部服务器可以向外提供FTP、Telnet和WWW等服务，实现通过公网访问私网服务的安全解决方案；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。支持丰富的VPN业务特性支持L2TP VPN、GRE VPN、IPSec VPN、SSL VPN、华为动态VPN等多种VPN业务模式。利

45、用华为专利VPN（DVPN）技术，实现穿越NAT网关、动态IP地址灵活构建VPN网络。电信级设备高可靠性VRRP高达39,48年的平均无故障时间(MTBF)。远端链路状态监测（L3 monitor）。设备关键部件均采用冗余设计。支持机箱内部环境温度自动检测，并可通过网管自动采集告警信息。支持双机状态热备功能，支持Active/Active和Active/Backup两种工作模式，实现负载分担和业务备份。全面细粒度的QoS保证支持流分类、流量监管、流量整形及接口限速。支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）。支持拥塞避免（WRED）。智能、高效、动态和图形化的管理：支持

46、QuidView 网管软件实现与网络设备的统一管理。支持Web方式进行远程配置管理。支持QuidView BIMS组件对进行数量众多、位置分散的设备提供智能和高效管理。支持QuidView VPN Manager组件对VPN进行动态和图形化的业务管理和状态监控。SecPath 500F防火墙的FLASH：16MB，SDRAM：缺省：512MB最大：1GB4.2.5、Quidway SecPath 10F 防火墙Quidway SecPath 10F是华为3Com公司面向SOHO、小企业或分支机构用户开发的新一代专业接入防火墙设备。支持外部攻击防范、内网安全、流量监控等功能，能够有效的保证网络的

47、安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN等，可以构建Internet、Intranet、Remote Access等多种形式的VPN。提供企业网络的安全保障和防护功能防火墙安全过滤能力：支持状态检测包过滤技术，还可以按照时间段进行过滤；支持华为3Com专有ASPF应用层报文过滤（Application Specific Packet Filter）协议；全面的NAT应用支持：提供Ea

48、sy IP、多对一、地址池、ACL控制等地址转换方式，在一个接口上支持多个不同地址转换服务；支持多种安全认证：提供基于PKI /X.509的证书认证功能；支持RSA SecurID动态口令认证；在PPP线路上支持CHAP和PAP验证协议；支持USB Key方式存储数字证书、配置信息以及用户名密码；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限；支持与Radius服务器配合，实现对接入用户的验证、授权和计费；另外，OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可靠性。支持丰富的VPN业务特性：支持L2TP VPN、GRE

49、 VPN、IPSec VPN、华为动态VPN等多种VPN业务模式；利用华为专利动态VPN（DVPN）技术，实现穿越NAT网关、动态IP地址灵活构建VPN网络；支持通过QuidView VPN Manager组件进行统一网管和统一的VPN隧道监控；支持通过华为3Com BIMS分支网点智能管理系统实现VPN配置自动下发；全面细粒度的QoS保证：支持流分类、流量监管、流量整形及接口限速；支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）；支持拥塞避免（WRED）；SecPath 500F防火墙的FLASH：8MB，SDRAM：缺省：64MB作为备用的Quidway SecPath

50、10F接入防火墙能在主防火墙发生故障时，确保网上银行等部份重要业务的不中断服务。4.2.6、Quidway S1208千兆以太网交换机S1208是8个10/100/1000Mbps自适应以太网端口的交换机，用来做网管平台的接入交换机，可以满足对整个银行网络的各种安全监控操作与维护。4.2.7、Quidway SecEngine D200 入侵检测系统。Quidway SecEngine D200 （以下简称D200）是华为3Com公司面向企业用户开发的新一代专业入侵检测设备，可以作为中小企业的网络出口或者内部关键子网的入侵检测设备。D200是华为3Com安全渗透网络解决方案中的重要设备之一。D

51、200提供三个固定的10/100M自适应以太网口，一个10/100/1000M自适应的以太网口；D200采用华为3Com专门针对安全领域应用度身定做的安全操作系统SecNOS，SecNOS可以根据不同的应用进行扩展和裁减，并与上层的应用紧密结合，从而很好地保证了设备自身的安全性。对于网络中可能存在的安全风险，例如黑客入侵、网络病毒和网络资源滥用等行为，D200可以进行有效检测并做出报警或与其他网络设备联动实现实时阻止。D200可以对流经被保护网络的流量进行基于三种技术的综合检测，包括：基于状态的内容特征匹配：采用了高精度的智能模式识别算法，对协议交互特定阶段的报文进行检测，可以识别隐藏在正常业

52、务流量中的网络攻击的特征。协议分析：以网络层、传输层和应用层的常用协议为对象，记录和分析协议交互的过程，为基于状态的内容特征匹配提供了状态依据，并且可以有效的探测那些利用协议漏洞的网络攻击。流量分析：通过对网络流量规律的数学建模和智能统计分析，可以有效地抵御DoS/DDoS攻击和扫描攻击。D200可以将检测到的异常和网络攻击的详细信息记入数据库，并且可以根据用户预先的设定上报这些信息到统一的安全管理中心；同时，通过开放的联动接口，D200可以通知交换机、路由器、防火墙对网络攻击进行实时阻断，从而达到整体防御的目的，使安全技术深入地渗透到网络技术当中。D200提供基于web的管理界面和统计分析工

53、具，并且内置了数据库，支持一站式部署。管理员的配置管理工作既可以通过传统的Telnet命令行方式进行，也可以通过基于web的图形界面进行。命令行管理方式和web管理方式，都可以通过安全协议（SSH或者HTTPS）来保证管理流的安全性。对于大规模的部署和应用，D200也支持安全管理平台的集中式管理。通过安全的传输通道，管理员可以对全网的SecEngine系列设备进行统一的配置管理、策略部署和安全事件监控。对于收集到的网络安全事件，管理员可以通过安全管理平台提供的多种智能分析和管理手段对这些信息进行处理，并依据处理结果调整安全策略和防护手段，从而提高网络安全的整体水平。4.2.8、Quidway

54、AR 28-09模块化分支路由器Quidway AR 28-09B智能业务分支路由器是华为3Com公司自主开发的边缘接入路由器。它采用模块化结构，在提供了集成的快速以太网接口、AUX口和同/异步串口的同时，又提供了丰富的可选配的智能接口卡SIC（Smart Interface Card，智能接口卡）及多功能接口模块MIM（Multifunctional Interface Module，多功能接口模块）。与同类产品相比，Quidway AR 28-09B智能业务分支路由器具有更高的性价比和可扩展能力，既适合于在一些大的分支机构中担当接入路由器，也可以在中小型企业网中担当核心路由器，可与Quid

55、way 系列路由器、以太网交换机一起为电信、ISP、金融、税务、公安、铁路等行业用户和大中型企业用户提供全方位的端到端的网络解决方案。Quidway AR 28-09B智能业务分支路由器的软硬件特性符合国际标准，保证了与其它厂家产品在各个层面上的互通，可最大限度地保护用户的已有投资。4.2.9、Quidway S2026C-SI系列可堆叠以太网交换机Quidway S2026 SI系列以太网交换机是华为-3Com公司自主开发的二层线速以太网交换产品，是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管可堆叠的交换机。支持的业务如Internet宽带接入、企业网和园区网组网以

56、及提供多播服务功能，支持多播音、视频服务及视频点播（VOD）服务。全线速的二层交换：S2026 SI交换机内部提供9.6Gbps的总线带宽，为交换机所有的端口提供二层线速交换能力，包转发率达到3.87Mpps。完备的安全智能控制策略：S2026 SI交换机支持802.1x认证，还可以做认证Server，在用户接入网络时完成必要的身份认证，同时动态的配置VLAN，有效的控制用户访问网络资源。该系列具备端口限速功能，可以最大16级的带宽控制粒度进行端口带宽分配，控制用户的接入速率，防止恶意侵占网络带宽。交换机提供128个802.1Q VLAN，支持MAC地址和端口绑定，广播风暴抑制和端口锁定功能，

57、保证接入用户的合法性。强大的堆叠能力：S2026 SI交换机提供良好的堆叠功能，最大堆叠16台设备，还可以与S3000系列交换机混合堆叠，从而保证了网络的平滑升级并能降低扩建成本。灵活的扩展能力和远程维护：S2026C-SI提供百兆光/电扩展能力，允许交换机通过光纤或铜缆上联网络。通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护。丰富的管理方式：S2026 SI交换机支持SNMP V1/V2/V3，可以接受Open View等通用网管平台以及Quidview、iManager 网管系统的配置和管理。支持CLI命令行，Web网管，TELNET

58、，HGMP集群管理等多种方式，设备维护更便捷。第四章 主要配置文件（附件）一、核心层配置4.1.1端口汇聚：S6503Aint e1/0/1S6503A-Ethernet1/0/1duplex fullS6503A-Ethernet1/0/1speed 1000S6503A-Ethernet1/0/1quitS6503Aint e1/0/2S6503A-Ethernet1/0/2duplex fullS6503A-Ethernet1/0/2speed 1000S6503A-Ethernet1/0/2quitS6503Alink-aggregation e1/0/1 to e1/0/2 /进行端

59、品汇聚5.1.2创建VLANS6503Avlan 2 /创建部门VLANS6503Avlan 3S6503Avlan 4S6503Avlan 5S6503Avlan 6S6503Avlan 145.1.3启用GVRPS6503Agvrp /启动GVRP协议S6503Aint e1/0/3 /在与3526C相连的端口S6503A-Ethernet1/0/3port link-type trunk /配聚 trunkS6503A-Ethernet1/0/3port trunk permit vlan all / 允许传送所有VLAN信息S6503A-Ethernet1/0/3gvrp /在端口启用

60、GVRP/S6503B的配置与S6503A相似。二、汇聚层配置5.2.1划分VLANS3526CCgvrp /启动GVRP为了学到VLAN信息S3526CCint e24 /与S6503A相连的端口S3526CC-Ethernet24port link-type trunkS3526CC-Ethernet24port trunk permit vlan allS3526CC-Ethernet24gvrp S3526CCvlan 2 /把端口划分到相应的VLAN中S3526CC-vlan2port e1S3526CCvlan 3S3526CC-vlan2port e2S3526CCvlan 14S3526CC-vlan2port e135.2.2 VRRP 配置S3526CCint vlan 100 /逻辑端口S3526CC-Vlan-interface100ip add 10.1.100.1 255.255.255.0/S3525CC作为部门1 至部门7的主交换机/部门1的网关指向S3525CCS3526CC-Vlan-interface100vrrp vrid 1 virtual-ip 10.1.1.254S3526CC-Vlan-interface100vrrp vrid 1 priority 110S3526CC-Vlan-interface100vrrp vr