CISCO大型網(wǎng)絡(luò)解決方案

1、某市信合信息網(wǎng)絡(luò)系統(tǒng)改造升級技術(shù)規(guī)劃實施方案發(fā)布時間：2009/7/20 11:48:23 | 7 人感興趣 | 0 人參與 還有98天過期某市信合社成立于1984年6月，1996年10月與農(nóng)行“脫鉤”，成為獨立的法人機構(gòu)，現(xiàn)有七部（科）兩室，所轄32個信用社，70個分社，518個信用站，現(xiàn)有職工1393人,該信用合作聯(lián)社全市網(wǎng)點共392個，這意味著此社有392個網(wǎng)絡(luò)業(yè)務(wù)節(jié)點。各個營業(yè)網(wǎng)點全部采用雙鏈路方式，直接匯接到網(wǎng)絡(luò)中心構(gòu)成網(wǎng)絡(luò)通路。各個營業(yè)網(wǎng)點采用ethernet點對點方式，同核心網(wǎng)絡(luò)連接提供10m/100m帶寬上聯(lián)。信息網(wǎng)絡(luò)專線服務(wù)商將采用中國網(wǎng)絡(luò)通信、以及中國移動通信的線路，采用多

2、鏈路備份連接對整個信息網(wǎng)絡(luò)的運營和管理要求簡單、高效，能夠在合理的技術(shù)資源狀況下，對整體網(wǎng)絡(luò)實現(xiàn)完備的管理。由于該信合社是一個較大的金融機構(gòu)，為了實現(xiàn)網(wǎng)絡(luò)應(yīng)用的安全和冗余，要求網(wǎng)絡(luò)架構(gòu)實現(xiàn)雙災(zāi)難備份中心，包括本地和異地的災(zāi)備中心。方案介紹根據(jù)該信用合作聯(lián)社對網(wǎng)絡(luò)改造和建設(shè)的要求以及未來網(wǎng)絡(luò)應(yīng)用的情況，我們建議采用如下的設(shè)計方案，整體方案劃分為三個層次。 業(yè)務(wù)匯聚層在業(yè)務(wù)匯聚層使用低端路由器交換機，通過點對點以太網(wǎng)方式上聯(lián)到核心網(wǎng)絡(luò)，在業(yè)務(wù)匯聚層低端路由交換設(shè)備上采用兩條鏈路上聯(lián)，鏈路分別采用“中國網(wǎng)通”和“中國移動通信”的以太網(wǎng)點對點線路，使用10m/100m帶寬，形成備份和冗余。在業(yè)務(wù)匯聚層

3、的路由交換設(shè)備下聯(lián)業(yè)務(wù)節(jié)點的業(yè)務(wù)終端、視頻監(jiān)控等設(shè)備，完成業(yè)務(wù)數(shù)據(jù)上傳和流量qos的功能。核心網(wǎng)絡(luò)層在核心網(wǎng)絡(luò)層包括核心交換機、核心路由器以及防火墻等設(shè)備，所有設(shè)備均采用雙鏈路雙設(shè)備、雙引擎的“三雙機制”，有效保障業(yè)務(wù)順暢運行，保障核心業(yè)務(wù)網(wǎng)絡(luò)的高可靠性和高穩(wěn)定性。在核心網(wǎng)絡(luò)層采用的核心網(wǎng)絡(luò)路由設(shè)備是2臺cisco7507路由器，2臺cisco7507路由器使用以太網(wǎng)絡(luò)接口采用10m、100m連接服務(wù)器區(qū)域，業(yè)務(wù)匯聚層業(yè)務(wù)節(jié)點的各個路由交換設(shè)備，2臺cisco4506路由器連接“中國網(wǎng)通”的線路，另外2臺cisco4506路由器連接“中國移動通信”的線路。兩臺cisco7507作為核心路由器形

4、成互為備份，這樣可以使網(wǎng)絡(luò)鏈路、設(shè)備和引擎得到全面的雙冗余機制。同時cisco7507采用光纖以太網(wǎng)1000m的雙備份鏈路連接到核心交換機，兩臺cisco4507完成核心網(wǎng)絡(luò)匯聚、大量路由轉(zhuǎn)發(fā)的功能。在核心網(wǎng)絡(luò)層的核心網(wǎng)絡(luò)交換機是兩臺cisco4507交換機，2臺cisco4507交換機使用光纖和rj45以太網(wǎng)接口，采用1000m帶寬連接核心路由器和網(wǎng)絡(luò)安全控制層的核心防火墻設(shè)備，以及業(yè)務(wù)服務(wù)區(qū)的相關(guān)交換設(shè)備，所有連接均采用雙設(shè)備、雙鏈路和雙引擎的“三雙機制”完成核心交換的海量數(shù)據(jù)快速轉(zhuǎn)發(fā)功能。在核心網(wǎng)絡(luò)層的安全控制層是采用兩臺cisco asa5520防火墻，兩臺cisco asa5520防

5、火墻，采用雙鏈路雙設(shè)備機制，分別上聯(lián)到核心業(yè)務(wù)服務(wù)區(qū)以及下聯(lián)到兩臺cisco6506核心交換機，采用100/1000m接口，完成實現(xiàn)網(wǎng)絡(luò)防火墻的功能，實現(xiàn)核心業(yè)務(wù)網(wǎng)絡(luò)的安全。核心業(yè)務(wù)服務(wù)層在核心業(yè)務(wù)服務(wù)層主要分別能夠采用多臺交換設(shè)備連接各自業(yè)務(wù)服務(wù)區(qū)，每個業(yè)務(wù)服務(wù)區(qū)，連接到核心交換和核心路由上，實現(xiàn)網(wǎng)絡(luò)服務(wù)區(qū)的各個業(yè)務(wù)功能。在核心業(yè)務(wù)服務(wù)層包括了如下幾個業(yè)務(wù)服務(wù)區(qū)域：服務(wù)器區(qū)：在服務(wù)器區(qū)中主要放置同銀行核心業(yè)務(wù)的相關(guān)服務(wù)器，這些服務(wù)器包括了業(yè)務(wù)服務(wù)器、mis服務(wù)器、oa服務(wù)器以及業(yè)務(wù)數(shù)據(jù)庫等服務(wù)器設(shè)備。實現(xiàn)銀行核心業(yè)務(wù)處理和交換。網(wǎng)絡(luò)管理區(qū)：在網(wǎng)絡(luò)管理區(qū)中主要放置同網(wǎng)絡(luò)管理和安全業(yè)務(wù)相關(guān)服務(wù)器

6、，這些服務(wù)器包括了cisco works、cisco mars、acs服務(wù)器以及網(wǎng)絡(luò)管理終端設(shè)備。實現(xiàn)銀行核心網(wǎng)絡(luò)業(yè)務(wù)的管理和安全控制，以及網(wǎng)絡(luò)管理分析處理和交換。本地災(zāi)備中心：在本地災(zāi)備中心區(qū)中主要放置同網(wǎng)絡(luò)災(zāi)備相關(guān)的數(shù)據(jù)存儲服務(wù)器，這些存儲服務(wù)器包括了相關(guān)存儲數(shù)據(jù)庫以及網(wǎng)絡(luò)存儲交換設(shè)備。實現(xiàn)銀行核心網(wǎng)絡(luò)業(yè)務(wù)的災(zāi)難備份處理和交換。異地災(zāi)備中心：在異地災(zāi)備中心區(qū)中主要放置同網(wǎng)絡(luò)災(zāi)備相關(guān)的數(shù)據(jù)存儲服務(wù)器，這些存儲服務(wù)器包括了相關(guān)存儲數(shù)據(jù)庫以及網(wǎng)絡(luò)存儲交換設(shè)備。實現(xiàn)銀行核心網(wǎng)絡(luò)業(yè)務(wù)的異地災(zāi)難備份處理和交換。本地辦公網(wǎng)絡(luò)和客服網(wǎng)絡(luò)：在本地辦公網(wǎng)絡(luò)和客服網(wǎng)絡(luò)區(qū)中主要放置本地辦公和客戶服務(wù)的網(wǎng)絡(luò)終端設(shè)備

7、。實現(xiàn)銀行本地辦公和業(yè)務(wù)處理。外聯(lián)和網(wǎng)銀業(yè)務(wù)區(qū)：在外聯(lián)和網(wǎng)銀業(yè)務(wù)區(qū)中主要放置同銀行外聯(lián)業(yè)務(wù)和網(wǎng)銀業(yè)務(wù)相關(guān)服務(wù)器，這些服務(wù)器包括了業(yè)務(wù)服務(wù)器、web服務(wù)器以及用戶業(yè)務(wù)數(shù)據(jù)庫等服務(wù)器設(shè)備。實現(xiàn)銀行核心業(yè)務(wù)可以遠程通過internet來處理和交換。同時外聯(lián)一些跨行業(yè)務(wù)的處理。核心網(wǎng)絡(luò)設(shè)計路由整體規(guī)劃針對該信用合作聯(lián)社網(wǎng)絡(luò)建設(shè)和升級的要求，我們對整網(wǎng)的路由規(guī)劃采用分層次分區(qū)域的原則，按網(wǎng)絡(luò)拓劃分網(wǎng)絡(luò)的方式方法中我們將根據(jù)不同總行、分行、支行網(wǎng)絡(luò)劃分的不同網(wǎng)絡(luò)層次進行網(wǎng)絡(luò)劃分，這一劃分主要決定了不同總行、分行、支行網(wǎng)絡(luò)的接入層的網(wǎng)絡(luò)層次。多層交換機和路由器的主要作用就有路由功能，路由就是由目的地址、下一

8、跳等信息構(gòu)成的用于指導(dǎo)路由器數(shù)據(jù)轉(zhuǎn)發(fā)的信息。 接入層網(wǎng)絡(luò)路由規(guī)劃靜態(tài)路由規(guī)劃。在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦分行使用靜態(tài)路由協(xié)議，因為靜態(tài)路由協(xié)議具有以下特點:基于制定的路由協(xié)議，基于靜態(tài)網(wǎng)關(guān)協(xié)議；路由度量機制靈活；路由會聚能力一般；有效劃分浮動機制。ospf路由規(guī)劃。在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦總行和支行之間行使用ospf路由協(xié)議，因為ospf路由協(xié)議具有以下特點:基于策略狀態(tài)的路由協(xié)議，基于最短路徑優(yōu)先的協(xié)議；ospf路由協(xié)議設(shè)有環(huán)路有比避免還路機制；路由配置機制靈活；路由控制以及收斂能力更強。核心層網(wǎng)絡(luò)路由規(guī)劃ospf路由規(guī)劃。所以在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦總行和支行之間行使用ospf路由協(xié)議，因為osp

9、f路由協(xié)議具有以下特點:基于策略狀態(tài)的路由協(xié)議，基于最短路徑優(yōu)先的協(xié)議；ospf路由協(xié)議設(shè)有環(huán)路有比避免還路機制；路由配置機制靈活；路由控制以及收斂能力更強。area規(guī)劃使用“0”區(qū)域。服務(wù)器區(qū)域路由規(guī)劃ospf路由規(guī)劃。所以在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦分行使用ospf路由協(xié)議，因為ospf路由協(xié)議具有以下特點:基于鏈路狀態(tài)的路由協(xié)議，基于內(nèi)部網(wǎng)關(guān)協(xié)議；ospf路由協(xié)議沒有環(huán)路；路由度量機制靈活；路由會聚能力更強；有效分區(qū)機制。area規(guī)劃使用“20”。本地災(zāi)備中心路由規(guī)劃所以在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦分行使用ospf路由協(xié)議，因為ospf路由協(xié)議具有以下特點:基于鏈路狀態(tài)的路由協(xié)議，基于內(nèi)部網(wǎng)關(guān)協(xié)議；

10、ospf路由協(xié)議沒有環(huán)路；路由度量機制靈活；路由會聚能力更強；有效分區(qū)機制。area規(guī)劃使用“21”。異地災(zāi)備中心路由規(guī)劃所以在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦分行使用ospf路由協(xié)議，因為ospf路由協(xié)議具有以下特點:基于鏈路狀態(tài)的路由協(xié)議，基于內(nèi)部網(wǎng)關(guān)協(xié)議；ospf路由協(xié)議沒有環(huán)路；路由度量機制靈活；路由會聚能力更強；有效分區(qū)機制。area規(guī)劃使用“22”。外聯(lián)業(yè)務(wù)&網(wǎng)上銀行路由規(guī)劃所以在網(wǎng)絡(luò)設(shè)計規(guī)劃實施推薦分行使用ospf路由協(xié)議，因為ospf路由協(xié)議具有以下特點:基于鏈路狀態(tài)的路由協(xié)議，基于內(nèi)部網(wǎng)關(guān)協(xié)議；ospf路由協(xié)議沒有環(huán)路；路由度量機制靈活；路由會聚能力更強；有效分區(qū)機制。area規(guī)劃使用“

11、23”。網(wǎng)絡(luò)安全整體規(guī)劃針對整網(wǎng)的安全規(guī)劃我們采用四種系統(tǒng)和方式來實現(xiàn)，這四種實現(xiàn)方式就是：防火墻asa5520&pix515e/525的深層防御體系cisco asa 5500 系列作為思科自防御網(wǎng)絡(luò)的關(guān)鍵組件，能夠?qū)⒆罡叩陌踩院蛌pn服務(wù)與全新的自適應(yīng)識別和防御（aim）架構(gòu)有機地結(jié)合在一起。提供主動威脅防御，在網(wǎng)絡(luò)受到威脅之前就能及時阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的vpn連接。該系列能夠在一個平臺中提供多種已經(jīng)過市場驗證的技術(shù)，無論從技術(shù)角度還是從經(jīng)濟角度看，都能夠為多個地點部署各種安全服務(wù)。利用其多功能安全組件，企業(yè)幾乎不需要作任何兩難選擇，既可以提供強有力的安全保護，

12、又可以降低在多個地點部署多臺設(shè)備的運營成本。cs mars系統(tǒng)的網(wǎng)絡(luò)管理分析和響應(yīng)系統(tǒng)思科 安全監(jiān)控分析和響應(yīng)系統(tǒng)(mars)是一個高性能、可擴展的威脅管理、監(jiān)控和防御設(shè)備系列，將傳統(tǒng)安全事件監(jiān)控與網(wǎng)絡(luò)智能、上下文關(guān)聯(lián)、因素分析、異常流量檢測、熱點識別和自動防御功能相結(jié)合，可幫助客戶更為高效地使用網(wǎng)絡(luò)和安全設(shè)備。通過結(jié)合這些功能，思科安全mars可幫助公司準確識別和消除網(wǎng)絡(luò)攻擊，且保持網(wǎng)絡(luò)的安全策略符合性。網(wǎng)絡(luò)準入控制系統(tǒng)（nac）的部署和應(yīng)用cisco secure acs是思科基于身份的網(wǎng)絡(luò)服務(wù)(ibns)架構(gòu)的重要組件。具高可擴展性的高性能訪問控制服務(wù)器，它針對所有用戶執(zhí)行統(tǒng)一安全策略，

13、不受用戶網(wǎng)絡(luò)訪問方式的影響。它減輕了與擴展用戶和網(wǎng)絡(luò)管理員訪問權(quán)限相關(guān)的管理負擔(dān)。通過對所有用戶賬戶使用一個集中數(shù)據(jù)庫，cisco secure acs可集中控制所有的用戶權(quán)限并將他們分配到網(wǎng)絡(luò)中的幾百甚至幾千個接入點。對于記賬服務(wù)，cisco secure acs針對網(wǎng)絡(luò)用戶的行為提供具體的報告和監(jiān)控功能，并記錄整個網(wǎng)絡(luò)上每次的訪問連接和設(shè)備配置變化。訪問控制列表的靈活配置和使用cisco網(wǎng)絡(luò)設(shè)備均提供基于網(wǎng)絡(luò)5元素的（源端口、目的端口、源ip、目的ip、協(xié)議號）的訪問控制列表，雖然網(wǎng)絡(luò)部署靈活性好，但是不同自然語言理解不同，實施要求高，因此我們建議采用基于對象的訪問控制列表：為了簡化防火墻

14、模塊策略的配置和管理，建議定義object group。網(wǎng)絡(luò)技術(shù)培訓(xùn)的規(guī)劃在本次項目實施中為了便于用戶能夠有效的管理和提升相關(guān)技術(shù)的業(yè)務(wù)能力我方在本次項目實施中安排了相應(yīng)的技術(shù)培訓(xùn)計劃，具體的培訓(xùn)計劃安排如下：隨工的培訓(xùn)計劃：要求用戶的專業(yè)人員跟隨項目實施人員，通過隨工學(xué)習(xí)提高自身業(yè)務(wù)水平，這也是非常有效的一種培訓(xùn)方式。專業(yè)的技術(shù)培訓(xùn)計劃：要求用戶派相關(guān)技術(shù)執(zhí)行人到認證的培訓(xùn)中心進行相關(guān)技術(shù)的專業(yè)培訓(xùn)這樣的培訓(xùn)，系統(tǒng)性好、針對性比較強。服務(wù)體系介紹曉通網(wǎng)絡(luò)增值服務(wù)事業(yè)部是曉通網(wǎng)絡(luò)面向用戶和合作伙伴，提供網(wǎng)絡(luò)服務(wù)的專業(yè)服務(wù)部門，業(yè)已成長為國內(nèi)最具潛力的網(wǎng)絡(luò)增值服務(wù)商之一。曉通網(wǎng)絡(luò)增值服務(wù)包括：維修服務(wù)、維保服務(wù)、租賃服務(wù)、技術(shù)支持服務(wù)、培訓(xùn)服務(wù)，是曉通網(wǎng)絡(luò)向用戶提供的基于網(wǎng)絡(luò)產(chǎn)品的支持服務(wù)，用來滿足用戶網(wǎng)絡(luò)系統(tǒng)技術(shù)支持與設(shè)備維護的需求。曉通網(wǎng)絡(luò)增值服務(wù)事業(yè)部擁有