網(wǎng)絡(luò)改造總體設(shè)計方案書

三峽建行網(wǎng)絡(luò)改造總體設(shè)計方案書（討論稿）二零零一年四月

目錄TOC\o"1-3"第1章三峽建行網(wǎng)絡(luò)現(xiàn)狀 頁與Internet連接狀況三峽建行目前已經(jīng)開通了Internet連接，用于網(wǎng)上銀行業(yè)務(wù)，帶寬為2M，、連接拓?fù)鋱D如圖:如圖所示三峽建行支付網(wǎng)關(guān)與Internet連接采用了目前比較完備的網(wǎng)絡(luò)安全體系和技術(shù)，防火墻采用的是IBMFirewall3.12，并安裝了ISS網(wǎng)絡(luò)安全管理軟件進(jìn)行安全漏洞掃描、入侵檢測審計等，上述連接已經(jīng)獲得總行的驗收認(rèn)可。

網(wǎng)絡(luò)應(yīng)用現(xiàn)狀根據(jù)三峽建行對網(wǎng)絡(luò)業(yè)務(wù)的劃分，可以將三峽建行網(wǎng)絡(luò)業(yè)務(wù)劃分為：核心業(yè)務(wù)和外連業(yè)務(wù)。核心業(yè)務(wù)是三峽建行業(yè)務(wù)開展的基礎(chǔ)業(yè)務(wù)，包括以城市綜合網(wǎng)為基礎(chǔ)的營業(yè)網(wǎng)和以企業(yè)內(nèi)部網(wǎng)為基礎(chǔ)的管理網(wǎng)兩部分；外連業(yè)務(wù)是三峽建行依托核心業(yè)務(wù)系統(tǒng)，針對轄區(qū)內(nèi)的企業(yè)和客戶開發(fā)的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。各系統(tǒng)應(yīng)用關(guān)系如下圖所示：管理網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前正在管理網(wǎng)（企業(yè)網(wǎng)）使用的主要是基于LOTUS/NOTES平臺上開發(fā)的應(yīng)用，現(xiàn)在在三峽建行轄區(qū)范圍內(nèi)管理網(wǎng)上運行應(yīng)用系統(tǒng)主要包括：電子郵件系統(tǒng)、信息網(wǎng)站、人力資源、信貸信息管理、移民資金管理、辦公自動化系統(tǒng)、國際結(jié)算系統(tǒng)等。除少數(shù)應(yīng)用系統(tǒng)外，大多數(shù)應(yīng)用系統(tǒng)都向下推廣到縣支行一級，轄區(qū)內(nèi)管理網(wǎng)（企業(yè)網(wǎng)）用計算機(jī)大約300余臺，IP地址分配采用９８年總行統(tǒng)一規(guī)劃的企業(yè)網(wǎng)地址。此外管理網(wǎng)與市人行存在臨時的連接，用于定期本地貸款單位資料查詢。管理網(wǎng)（企業(yè)網(wǎng)）拓?fù)溥B接如下圖營業(yè)網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前的營業(yè)網(wǎng)應(yīng)用主要是城市綜合網(wǎng)，全行共有前臺網(wǎng)點１５０余個，ATM３２臺，金融查詢機(jī)２０臺，Pos２００余臺，城市綜合網(wǎng)以太網(wǎng)采用１９９４年總行下發(fā)的營業(yè)網(wǎng)段98..42.63.0，而城市綜合網(wǎng)廣域網(wǎng)前臺網(wǎng)點地址沒有標(biāo)準(zhǔn)可循；清算A卡網(wǎng)的前置機(jī)和各縣清算組前臺（清算組前臺已經(jīng)與前臺會計柜改為直連后的會計柜機(jī)器）采用總行清算系統(tǒng)分配的２０網(wǎng)段的IP地址。另外隨著新業(yè)務(wù)的開展，前臺網(wǎng)點還往往下聯(lián)一些特定業(yè)務(wù)的前置設(shè)備（例如金融查詢機(jī)和個貸前置機(jī)），這些設(shè)備地址也沒有統(tǒng)一的規(guī)定。營業(yè)網(wǎng)拓?fù)溥B接如下圖:外連網(wǎng)應(yīng)用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡(luò)優(yōu)勢，積極開拓業(yè)務(wù)領(lǐng)域，先后與電信、證券、人行、社保局等多家實現(xiàn)了網(wǎng)絡(luò)互連互通，通常我們是采用路由器+前置機(jī)的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個外連系統(tǒng)都獨自采用一臺路由器和一臺前置機(jī)，路由器配置靜態(tài)路由和相應(yīng)的訪問控制，前置機(jī)屏蔽所有無關(guān)的服務(wù)。外連網(wǎng)的IP地址分配由于沒有可遵循的標(biāo)準(zhǔn)，分配時有很大的隨意性。網(wǎng)絡(luò)拓?fù)溥B接如下圖：網(wǎng)絡(luò)安全現(xiàn)狀三峽建行在網(wǎng)絡(luò)建設(shè)過程中已經(jīng)采取了一些必要的安全措施，如“利用VLAN技術(shù)將業(yè)務(wù)網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點聯(lián)網(wǎng)時利用前置機(jī)來保證數(shù)據(jù)傳輸?shù)陌踩?、撥號訪問采用了RADIUS認(rèn)證、在與Internet接入的支付網(wǎng)關(guān)中使用防火墻和ISS安全監(jiān)控軟件等。但從總體整體上分析，三峽建行現(xiàn)有網(wǎng)絡(luò)中仍然存在著一些安全隱患。主要包括以下幾個方面：●可靠性安全隱患由于某些網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件存在質(zhì)量問題或缺陷，導(dǎo)致網(wǎng)絡(luò)在運行過程中存在可靠性安全隱患。如：MOTOROLA路由器的FLASHMemory工作時極不穩(wěn)定，經(jīng)常丟失系統(tǒng)軟件，影響了清算A卡系統(tǒng)以及企業(yè)網(wǎng)的正常運行。一些系統(tǒng)缺乏備份鏈路和備份設(shè)備，一旦出現(xiàn)故障，勢必影響業(yè)務(wù)的正常開展?！駪?yīng)用系統(tǒng)安全隱患各種應(yīng)用缺乏統(tǒng)一的規(guī)劃，未能充分考慮網(wǎng)絡(luò)上的安全要求，導(dǎo)致三峽建行中心機(jī)房的業(yè)務(wù)運行網(wǎng)段上與外連的應(yīng)用網(wǎng)段之間缺乏必要的安全屏蔽。有些與外界相連的應(yīng)用系統(tǒng)缺乏有效的網(wǎng)絡(luò)安全保障。如：與外界相連應(yīng)用系統(tǒng)沒有按照總行要求的安全連接模式連接，前置機(jī)可能存在未屏蔽非必要的通訊端口，可能存在多余的路由表等等。此外對重要的應(yīng)用服務(wù)器沒有進(jìn)行安全監(jiān)控和漏洞掃描?！癫《救肭职踩[患一些應(yīng)用系統(tǒng)，特別是基于WINDOWS 平臺的應(yīng)用系統(tǒng)，沒有安裝一些防計算機(jī)病毒的軟件，給計算機(jī)的安全造成了一定的隱患。●黑客攻擊隱患缺乏對黑客攻擊進(jìn)行防止、檢測和響應(yīng)的一整套防黑措施和相應(yīng)的安全體系，沒有明確的安全指導(dǎo)思想和安全模型，不能夠?qū)Π踩录M(jìn)行全過程監(jiān)控和作出相應(yīng)的響應(yīng)行動，無法對整個安全系統(tǒng)進(jìn)行準(zhǔn)確有效的安全評估。網(wǎng)絡(luò)管理的現(xiàn)狀三峽建行目前正在使用CiscoCWSI2.1專用網(wǎng)管系統(tǒng)，用于管理三峽建行局域網(wǎng)上的網(wǎng)絡(luò)設(shè)備。由于其專用性，該軟件無法正確管理非Cisco網(wǎng)絡(luò)設(shè)備，而且無法監(jiān)控到廣域網(wǎng)的運行狀態(tài)。三峽建行在業(yè)務(wù)管理中成功引進(jìn)了BMC管理系統(tǒng)，在對BMC的移植過程中，三峽建行科技人員開發(fā)設(shè)計了對前臺網(wǎng)點實時監(jiān)控程序，目前這項工作正在實驗推廣過程中。三峽建行網(wǎng)絡(luò)存在主要問題三峽建行城域網(wǎng)存在的問題●根據(jù)總行網(wǎng)絡(luò)改造要求，三峽建行主交換機(jī)需要兩臺，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機(jī)Catalyst5505沒有第三層交換模塊，另一臺主交換機(jī)的備份Catalyst5000，無論從交換能力還有模塊配置均無法滿足網(wǎng)絡(luò)改造的要求。●隨著以后語音、視屏在網(wǎng)絡(luò)的應(yīng)用，三峽建行目前100M骨干局域網(wǎng)將面臨擁塞?！袢龒{建行辦公大樓結(jié)構(gòu)化布線不規(guī)范，線路急需整理，網(wǎng)絡(luò)設(shè)備的運行環(huán)境也需要加以改善●現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算A卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范●現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒有其他應(yīng)急方案可供選擇。營業(yè)網(wǎng)存在的問題：●目前前臺網(wǎng)點使用的IP地址不符合總行規(guī)范，必須加以調(diào)整。●城市綜合網(wǎng)（含清算A卡網(wǎng)）與總行采用的是64KX25線路，已經(jīng)無法承載新的業(yè)務(wù)●一些網(wǎng)點由于業(yè)務(wù)量大，通信帶寬不足，出現(xiàn)通信堵塞，有些網(wǎng)點反映通信故障率比較高●目前網(wǎng)點采用的串口通信協(xié)議Slip，在新主機(jī)上支持不好，給主機(jī)安全運行帶來隱患?！褚恍┛h行還在使用X.25，效率比較低，費用比較高?！褚恍┚W(wǎng)點還外掛諸如查詢機(jī)、個貸前置機(jī)等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無法得到保證。管理網(wǎng)（企業(yè)網(wǎng)）存在的問題●管理網(wǎng)（企業(yè)網(wǎng)）所有非以太網(wǎng)連接的用戶接入帶寬嚴(yán)重不足?！裼捎诂F(xiàn)有的組網(wǎng)模式是企業(yè)網(wǎng)與城綜網(wǎng)彼此隔離，往往綜合性的網(wǎng)點需要幾條線路，造成浪費。●管理網(wǎng)（企業(yè)網(wǎng)）廣域網(wǎng)中使用的Motorola路由器故障率高，端口損壞嚴(yán)重，維修困難?！窆芾砭W(wǎng)（企業(yè)網(wǎng)）與總行連接的Motorola路由器，故障率比較高●管理網(wǎng)（企業(yè)網(wǎng)）整個IP地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了?！窆芾砭W(wǎng)（企業(yè)網(wǎng)）目前還沒有必要鏈路的備份措施。外連網(wǎng)存在的問題外連網(wǎng)缺乏統(tǒng)一的平臺，其廣域網(wǎng)地址不符合總行新的Ip地址分配規(guī)范，也需要做調(diào)整。外連網(wǎng)與建行核心業(yè)務(wù)網(wǎng)絡(luò)耦合度大，外連網(wǎng)業(yè)務(wù)的變化往往帶來核心業(yè)務(wù)的變動?！裢膺B網(wǎng)的網(wǎng)絡(luò)連接模式，不符合總行網(wǎng)絡(luò)安全要求，而且還造成設(shè)備的利用率不高，監(jiān)控管理困難。網(wǎng)絡(luò)改造的需求規(guī)定總體目標(biāo)總行骨干網(wǎng)改造是A總行為了適應(yīng)新形勢下銀行激烈競爭，提高A銀行核心競爭力的一項具有戰(zhàn)略意義的舉措。三峽建行網(wǎng)絡(luò)改造作為整個建行網(wǎng)絡(luò)改造工作的一個組成部分，成功的網(wǎng)絡(luò)改造將使三峽建行能夠在較長時間里在當(dāng)?shù)赝瑯I(yè)的競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項業(yè)務(wù)的快速發(fā)展。三峽建行網(wǎng)絡(luò)改造的總體目標(biāo)是以此次總行骨干網(wǎng)改造為契機(jī)，在不影響全行正常業(yè)務(wù)開展的前提下，將目前分離的城綜網(wǎng)、清算A卡網(wǎng)和企業(yè)網(wǎng)整合成為統(tǒng)一的以IP技術(shù)為主體的穩(wěn)定、可靠、高效的綜合網(wǎng)絡(luò)平臺，實現(xiàn)建行核心業(yè)務(wù)和外連業(yè)務(wù)的有機(jī)分離，為最終完成全建行數(shù)據(jù)集中做網(wǎng)絡(luò)準(zhǔn)備。網(wǎng)絡(luò)改造需求三峽建行局域網(wǎng)1、根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺主交換機(jī)，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺主交換機(jī)Catalyst5505且沒有配置第三層交換模塊。這次網(wǎng)絡(luò)改造中需要增加三峽建行網(wǎng)絡(luò)中心需要增加一臺高檔交換機(jī)，并增加配置Catalyst5505相應(yīng)的第三層交換模塊。2、通過網(wǎng)絡(luò)改造實現(xiàn)全行核心業(yè)務(wù)的網(wǎng)段按照總行最近下發(fā)的〈〈關(guān)于調(diào)查IP地址使用情況及征集對IP地址修訂建議的意見的通知〉〉的要求整合，外連業(yè)務(wù)網(wǎng)絡(luò)將采用新的接入方式，引進(jìn)統(tǒng)一的中間業(yè)務(wù)平臺和網(wǎng)絡(luò)連接平臺。3、隨著業(yè)務(wù)的拓展，特別是語音、視頻的應(yīng)用，三峽建行目前的局域網(wǎng)10M/100M也面臨帶寬不足的壓力，考慮在三峽建行大樓與科技部之間的骨干上千兆以太網(wǎng)，三峽建行大樓用低端交換機(jī)替換HUB。三峽建行城域網(wǎng)１、進(jìn)一步擴(kuò)展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機(jī)關(guān)，架設(shè)到戊支行機(jī)關(guān)的光纖，使庚、戊這兩個城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通信費用。２、為三峽建行城域網(wǎng)提供必要的鏈路備份措施。廣域網(wǎng)接入1、與總行的一級骨干網(wǎng)連接按照總行骨干網(wǎng)改造要求實現(xiàn)。2、考慮對伍支行、東辦等城區(qū)支行以及各縣支行等綜合性的網(wǎng)點的企業(yè)網(wǎng)、城綜網(wǎng)線路合并，接入帶寬提高到64K，通過路由器連接到三峽建行；3、對于業(yè)務(wù)量大或線路集中的網(wǎng)點也考慮使用路由器，并提高接入速率到64K；4、其他網(wǎng)點提速后仍使用目前的串口協(xié)議連入三峽建行中心網(wǎng)絡(luò)，將SLIP改為PPP；5、前臺網(wǎng)點的廣域網(wǎng)采用的PSTN撥號備份實現(xiàn)后臺無人干預(yù)。6、外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營業(yè)網(wǎng)隔離。網(wǎng)絡(luò)管理的需求1、具有網(wǎng)絡(luò)管理基本功能，提供設(shè)備管理、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓?fù)浒l(fā)現(xiàn)等。2、在不影響關(guān)鍵業(yè)務(wù)運行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)管理員可以定義、監(jiān)控并評估網(wǎng)絡(luò)連接性、安全性和性能策略，并進(jìn)行網(wǎng)絡(luò)的規(guī)劃和設(shè)計。3、網(wǎng)管系統(tǒng)能夠作到管理監(jiān)控到全網(wǎng)所有網(wǎng)絡(luò)設(shè)備，直觀的顯示各種設(shè)備運行狀態(tài)，并對各種異常情況實現(xiàn)自動報警。網(wǎng)絡(luò)安全管理需求１、網(wǎng)絡(luò)設(shè)計中利用防火墻、VLAN等技術(shù)，確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全漏洞最小化，使網(wǎng)絡(luò)入侵的風(fēng)險得到控制。２、能夠使安全管理員了解計算機(jī)網(wǎng)絡(luò)系統(tǒng)的整體安全狀況。３、可監(jiān)控到來自網(wǎng)絡(luò)內(nèi)部和外部的“黑客”入侵。４、能夠為查明入侵的來源提供有效的依據(jù)。5、能夠?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層進(jìn)行安全脆弱性進(jìn)行評估，提供安全修復(fù)指引。語音、視頻應(yīng)用的需求１、在三峽建行一級安裝有能與與總行通話的IP電話20門，并能夠參加總行舉行的視頻會議。２、在條件允許的情況下，在三峽建行城域網(wǎng)內(nèi)能夠?qū)崿F(xiàn)IP電話和視頻服務(wù)。網(wǎng)絡(luò)改造的基本原則●高可靠性選用可靠性較高的網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，從而最大限度地支持各業(yè)務(wù)系統(tǒng)的正常運行?！駥嵱眯跃W(wǎng)絡(luò)改造方案設(shè)計實施應(yīng)充分考慮實際需求和費用，追求高的性效比●安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性●集中管理對網(wǎng)絡(luò)實行集中監(jiān)測、，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。●可擴(kuò)展性。根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)充和升級，減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?！耢`活性支持大型的動態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接?！窦夹g(shù)先進(jìn)性以先進(jìn)、成熟的網(wǎng)絡(luò)通訊技術(shù)進(jìn)行方案設(shè)計及實施，相關(guān)的技術(shù)均要符合國際標(biāo)準(zhǔn)。●保護(hù)現(xiàn)有投資保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級?！穹蛛A段實施原則對整個網(wǎng)絡(luò)改造進(jìn)行統(tǒng)一規(guī)劃，分階段逐步實施。網(wǎng)絡(luò)總體設(shè)計三峽建行網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)總體架構(gòu)組網(wǎng)模式大型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是層次化的，正確理解我行網(wǎng)絡(luò)層次的劃分和每個層次的主要作用，有助于我們合理選擇網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)技術(shù)。鑒于三峽建行的特殊性，我們將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計為如下層次：城域網(wǎng)：城域網(wǎng)實現(xiàn)建行同城網(wǎng)絡(luò)的連接，包括中心機(jī)房到丁機(jī)房、甲路機(jī)房的連接。分布層：實現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點，三峽建行到各縣支行構(gòu)成的二級網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。接入層：為最終用戶提供對網(wǎng)絡(luò)的接入，三峽建行到各營業(yè)網(wǎng)點構(gòu)成的網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)接入層。同時，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。按照以上方式進(jìn)行組網(wǎng)，層次比較清晰，便于方案實施，。組網(wǎng)模型如下圖：

網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu)設(shè)計網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下所示：局域網(wǎng)改造局域網(wǎng)改造方案設(shè)備選擇在三峽建行網(wǎng)絡(luò)中心，增加一臺高性能的交換機(jī)CiscoCatalyst6509，同時在CiscoCatalyst5505增加千兆模塊和RSM路由模塊，通過兩條千兆鏈路連接起來，利用GigabitEtherFast技術(shù)既相互備份，又負(fù)載均衡。Catalyst6509可以提供高性能、多層交換的數(shù)據(jù)通信，滿足內(nèi)部網(wǎng)絡(luò)（INTRANET）、苛求網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)語音應(yīng)用。每臺Catalyst6509配置兩塊帶有PFC子卡和MSFC子卡的超級引擎，互為備份，其中PFC子卡主要用于擴(kuò)充Qos能力，可以實現(xiàn)基于應(yīng)用（TCP/UDP應(yīng)用端口號）的服務(wù)質(zhì)量控制，而MSFC子卡主要是取代原來的路由模塊MSM實現(xiàn)線速三層交換，并且進(jìn)行了很大的擴(kuò)充，數(shù)據(jù)包吞吐率從原來的6Mpps擴(kuò)充到15Mpps。同時，Catalyst6509配置一個48口10M/100M模塊分別提供與網(wǎng)管工作站、路由器等的連接。為了保證中心交換機(jī)的可靠性，Catalyst6509配置雙電源冗余系統(tǒng)。將原有Catalyst5000交換機(jī)從網(wǎng)絡(luò)中心下移到江閣大樓，同時增加兩個千兆模塊，分別以1000Mbps速率同Catalyst6509和Catalyst5505相連。VLAN劃分將局域網(wǎng)按服務(wù)器業(yè)務(wù)類型劃分為不同VLAN，主要有：業(yè)務(wù)網(wǎng)、管理網(wǎng)等，也可以按照部門劃分VLAN，VLAN之間的通信可以通過諸如主交換機(jī)中設(shè)置的策略路由等加以控制。三峽建行網(wǎng)絡(luò)中心局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D三峽建行網(wǎng)絡(luò)中心網(wǎng)絡(luò)拓?fù)鋱D如下：網(wǎng)絡(luò)中心交換機(jī)設(shè)備配置表設(shè)備配置表如下：序號產(chǎn)品號產(chǎn)品名稱數(shù)量Catalyst65091WS-C6509Catalyst6509Chassis12WS-CAC-1300WCatalyst60001300WACPowerSupply13WS-CAC-1300W/2CatalystSecond60001300WACPowerSupply14WS-X6K-S2-MSFC2Catalyst6500SupervisorEngine-2,2GE,plusMSFC-2&PFC-215WS-X6K-S2-MSFC2/2*Cat6500Red.Sup2,2GE,MSFC2&PFC2(InChassisOnly)16MEM-C6K-FLC24MCatalyst6000SupervisorPCMCIAFlashMemCard,24MBOption17MEM-MSFC-128MBCatalyst6000MSFCMem,128MBDRAMOption18WS-X6408-GBICCatalyst60008-portGigabitEthernetModule(Req.GBICs)19WS-G54841000BASE-SX"ShortWavelength"GBIC(Multimodeonly)810WS-X6248-RJ-45Catalyst600048-port10/100RJ-45Moudel111SC6MSFCA-12.0.3XECiscoIOSCatalyst6000FamilyMSFC-Enterprise112FR-IRC6Catalyst6000FamilyInterDomainRoutingFeatureLicense1Catalyst5505（增加模塊）13WS-X5403C5000GigabitEthernetSwitchingModulew/oGBICs(3port)114WS-G54841000BASE-SX"ShortWavelength"GBIC(Multimodeonly)315WS-X5302Catalyst5000RouteSwitchModule1城域網(wǎng)改造城域網(wǎng)主要提供城區(qū)各個主要局域網(wǎng)的接入，包括江閣大樓、云路機(jī)房、信用卡部和星辦局域網(wǎng)的接入，還包括增加戊和己兩支行局域網(wǎng)的接入將三峽建行網(wǎng)絡(luò)中心原有的Catalyst5000交換機(jī)下移到江閣大樓，作為江閣大樓局域網(wǎng)中心交換機(jī)，在Catalyst5000新增兩個千兆模塊端口，通過1000BASE-SX模塊分別和Catalyst6509、Catalyst5505相連，兩條鏈路互為備份。甲路機(jī)房、信用卡部和星辦局域網(wǎng)保持原有結(jié)構(gòu)不變。戊和己支行需鋪架光纖，接入三峽建行城域網(wǎng)，己支行需增加一臺Catalyst2924交換機(jī)。城域網(wǎng)改造后，網(wǎng)絡(luò)拓?fù)鋱D如下：城域網(wǎng)鏈路備份方案有兩種：方案一是通過ISDN連接路由器的方式，方案二是通過10M的無線以太網(wǎng)方式（方案見附件）。這兩種備份方式都只備份營業(yè)網(wǎng)廣域網(wǎng)改造廣域網(wǎng)分布層改造分布層網(wǎng)絡(luò)主要是指三峽建行到縣級支行和城區(qū)較遠(yuǎn)支行的網(wǎng)絡(luò)連接。三峽建行到上述支行的網(wǎng)絡(luò)拓?fù)鋱D如下：鏈路說明：支行采用64KDDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)；同時利用PSTN鏈路作為備份線路。設(shè)備選型：縣級支行局域網(wǎng)進(jìn)行改造，配置一臺Catalyst2924交換機(jī)，通過選用的CISCO2600系列路由器分別與三峽建行相連。在Catalyst2924劃分VLAN將管理網(wǎng)和營業(yè)網(wǎng)隔離開。節(jié)點確定原則：該節(jié)點就近有既營業(yè)網(wǎng)又有管理網(wǎng)的廣域網(wǎng)的接入。初步確定有b、c、d、e、f、g、h、i各縣支行以及城區(qū)、國際業(yè)務(wù)部。廣域網(wǎng)接入層改造接入層網(wǎng)絡(luò)主要是指三峽建行到網(wǎng)點的網(wǎng)絡(luò)連接。三峽建行到網(wǎng)點的網(wǎng)絡(luò)拓?fù)鋱D：鏈路說明：大的網(wǎng)點采用低端路由器（還可廣泛采用原有的一些非CiscoL路由設(shè)備）通過64KDDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)，小的網(wǎng)點采用異步MODEM通過64KDDN鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時利用PSTN鏈路作為備份線路。節(jié)點確定原則：該節(jié)點就近有多條營業(yè)網(wǎng)的廣域網(wǎng)的接入。初步確定有航空辦、北山辦、五廣分理處等。外網(wǎng)的連接為了實現(xiàn)三峽建行和外網(wǎng)（主要是開展的中間業(yè)務(wù)）的連接，通過將運行中間業(yè)務(wù)的前置機(jī)和路由器之間放置一臺PIX防火墻進(jìn)行物理隔離，配置一臺CISCO3661，配置多口同步模塊，通過DDN與證券營業(yè)部相連，同時提供網(wǎng)上查詢等業(yè)務(wù)。三峽建行局域網(wǎng)與外網(wǎng)連接圖如下：可靠性設(shè)計三峽建行網(wǎng)絡(luò)可靠性包括網(wǎng)絡(luò)設(shè)備備份和鏈路備份（包括電話撥號）。設(shè)備備份三峽建行局域網(wǎng)中心設(shè)備備份三峽建行中心局域網(wǎng)中心增加一臺高性能的交換機(jī)CiscoCatalyst6509，同時在CiscoCatalyst5505增加千兆模塊和RSM路由模塊，通過兩條千兆鏈路連接起來，利用GigabitEtherFast技術(shù)既相互備份，又負(fù)載均衡。Catalyst6509配置雙引擎和雙路由模塊，同時配置雙電源冗余系統(tǒng)，保證中心交換機(jī)的可靠性。提供一臺CISCO3662 交換機(jī)，配置同異步模塊，作為中心路由器的設(shè)備備份。城域網(wǎng)設(shè)備備份在三峽建行中心交換機(jī)Catalyst6509上備份一塊24口100M多模光纖模塊，同時提供一臺Catalyst1924C交換機(jī)，作為城域網(wǎng)下一級節(jié)點的設(shè)備備份。支行局域網(wǎng)設(shè)備備份提供一臺Catalyst2924交換機(jī)，作為遠(yuǎn)程支行局域網(wǎng)交換機(jī)的設(shè)備備份。鏈路備份城域網(wǎng)鏈路備份城域網(wǎng)的主干鏈路為光纖連接，為了保證城域網(wǎng)的鏈路的可靠性，可以采用ISDN備份在城域網(wǎng)各節(jié)點申請一條ISDN線路，同時增加一臺CISCO2600路由器，配置一個ISDN模塊，當(dāng)光纖主干鏈路出現(xiàn)故障時，啟動ISDN線路，保證城域網(wǎng)的連通。廣域網(wǎng)線路備份●支行廣域網(wǎng)鏈路備份支行選用CISCO2600路由器通過64KDDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)，同時利用PSTN鏈路作為備份線路。●網(wǎng)點廣域網(wǎng)鏈路備份大的網(wǎng)點采用CISCO2600路由器通過64KDDN鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)，小的網(wǎng)點采用異步MODEM通過64KDDN鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時利用PSTN鏈路作為備份線路。網(wǎng)絡(luò)IP路由設(shè)計路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運行、網(wǎng)絡(luò)在拓樸變化時的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。在大型網(wǎng)絡(luò)中，靜態(tài)路由和某些動態(tài)路由如RIP、IGRP由于其固有的局限性(擴(kuò)展性差、不支持VLSM)，不適合在網(wǎng)絡(luò)節(jié)點多、規(guī)模大的網(wǎng)絡(luò)中使用。目前在大型網(wǎng)絡(luò)中最常見的路由協(xié)議是OSPF和EIGRP。由于在大型的網(wǎng)絡(luò)中有多種平臺的路由器存在，而EIGRP僅為Cisco獨家支持。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中很大一部分是非Cisco的）無法選擇EIGRP，且在最新內(nèi)部路由的設(shè)計中，OSPF的性能在流量整形方面遠(yuǎn)超于Eigrp。故我們在本網(wǎng)絡(luò)方案中內(nèi)部主路由協(xié)議選擇OSPF。面向應(yīng)用的網(wǎng)絡(luò)服務(wù)業(yè)務(wù)分類和數(shù)據(jù)特點的分析：不同的應(yīng)用系統(tǒng)對網(wǎng)絡(luò)服務(wù)的要求不同。在一個統(tǒng)一的網(wǎng)絡(luò)平臺上，應(yīng)該保證對于不同的應(yīng)用數(shù)據(jù)根據(jù)其具體要求提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，并能在因故障導(dǎo)致網(wǎng)絡(luò)資源稀缺時優(yōu)先保證關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的傳輸。經(jīng)對我行現(xiàn)有應(yīng)用系統(tǒng)的網(wǎng)絡(luò)需求分析，按其重要程度分為以下兩類：營業(yè)類、管理類。營業(yè)類業(yè)務(wù)系統(tǒng)包括綜合網(wǎng)柜面業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、龍卡系統(tǒng)、網(wǎng)上銀行等。這些業(yè)務(wù)是我行最重要的業(yè)務(wù)，應(yīng)優(yōu)先得到保障。這些業(yè)務(wù)的數(shù)據(jù)包大小比較固定，對數(shù)據(jù)傳輸?shù)难訒r要求比較高。管理類業(yè)務(wù)系統(tǒng)包括OA、信貸、總帳傳輸、人力資源、電子郵件等管理系統(tǒng)。這一類管理信息目前主要是普通的文件傳輸，數(shù)據(jù)流量大、突發(fā)性強、對實時性要求較低，但要求能夠可靠傳輸，流向目前主要是縱向。綜合類業(yè)務(wù)系統(tǒng)包括訪問行內(nèi)信息網(wǎng)站、Internet瀏覽以及IP電話、視頻會議、網(wǎng)上培訓(xùn)多媒體增值業(yè)務(wù)等。這些都屬于流量增長最快的應(yīng)用系統(tǒng)，流量大、隨機(jī)性強，流向可能是任意方向的，其中多媒體業(yè)務(wù)是面向非連接的，對時延非常敏感。QOS保證使不同的業(yè)務(wù)集成在了同一個網(wǎng)絡(luò)平臺上，如何保證不同業(yè)務(wù)數(shù)據(jù)的優(yōu)先級別和傳輸質(zhì)量就成了一個很重要的問題。同時將要實施的語音等新應(yīng)用對網(wǎng)絡(luò)提出了新的服務(wù)質(zhì)量的要求。要保證以上數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)質(zhì)量，需要采用策略路由實現(xiàn)根據(jù)不同的業(yè)務(wù)數(shù)據(jù)種類選擇不同鏈路傳輸，并在每條線路上采用帶寬分配、優(yōu)先級控制等QOS控制技術(shù)保證各類應(yīng)用數(shù)據(jù)的有效傳輸。QoS控制技術(shù)為了避免增加過多的控制策略導(dǎo)致路由器負(fù)載過重，選擇以下幾種QOS控制技術(shù)，簡單有效地實現(xiàn)各類應(yīng)用的QOS保障。●接入速率控制(CAR)CommittedAccessRate(●IP優(yōu)先級控制●隊列機(jī)制(WeightedFairQueuing)●先期擁塞控制(WRED)●標(biāo)記交換(MPLS)●語音數(shù)據(jù)優(yōu)先在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采用上述技術(shù)保證網(wǎng)絡(luò)通暢，特別是營業(yè)數(shù)據(jù)的正常傳輸。三峽建行網(wǎng)絡(luò)管理設(shè)計在三峽建行廣域網(wǎng)中，設(shè)備繁多，網(wǎng)絡(luò)規(guī)模大，地理位置跨越廣，且應(yīng)用環(huán)境復(fù)雜。對于諸多網(wǎng)絡(luò)硬件設(shè)備和網(wǎng)絡(luò)應(yīng)用，只有對網(wǎng)絡(luò)進(jìn)行有效地組織和管理,才能夠充分利用網(wǎng)絡(luò)軟硬件資源，發(fā)揮其效力，為系統(tǒng)應(yīng)用提供良好的網(wǎng)絡(luò)運行平臺。為了提高系統(tǒng)的分級安全性,設(shè)計網(wǎng)絡(luò)管理系統(tǒng)，便于管理和故障處理，監(jiān)控的實時性。以CiscoWorks2000為網(wǎng)絡(luò)管理平臺；以美國BMC軟件公司的PATROL組件為基礎(chǔ)，集成網(wǎng)管系統(tǒng)、系統(tǒng)的監(jiān)控程序和自行開發(fā)的監(jiān)控程序，建設(shè)集中監(jiān)控管理系統(tǒng)，實現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的集中監(jiān)控和管理，實現(xiàn)監(jiān)視各種主機(jī)／服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)和網(wǎng)上關(guān)鍵性系統(tǒng)的運行狀態(tài)、工作任務(wù)完成情況，自動啟動工作任務(wù)，進(jìn)行作業(yè)調(diào)度，減少中心機(jī)房值班人員的工作壓力，逐步實現(xiàn)主機(jī)房無人值守。同時，配置BMC的數(shù)據(jù)備份與恢復(fù)軟件，從而減少因系統(tǒng)停機(jī)、重要數(shù)據(jù)信息的丟失等而造成的業(yè)務(wù)停頓，最大程度上保證系統(tǒng)的高可用性和可管理性，以保障7x24小時關(guān)鍵性應(yīng)用系統(tǒng)的運行，最終實現(xiàn)企業(yè)信息系統(tǒng)的管理目的。網(wǎng)管系統(tǒng)功能及其職責(zé)為了保障網(wǎng)絡(luò)運行的品質(zhì)，維持網(wǎng)絡(luò)傳送頻率，降低傳送錯誤率，確保網(wǎng)絡(luò)安全等，網(wǎng)絡(luò)系統(tǒng)技術(shù)人員借助網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗實施網(wǎng)絡(luò)管理，職責(zé)內(nèi)容可分為下列八大類。網(wǎng)管系統(tǒng)的職責(zé):網(wǎng)絡(luò)監(jiān)控:監(jiān)視網(wǎng)絡(luò)的運行狀態(tài),控制網(wǎng)絡(luò)路由和流量,分析運行記錄和報警信息性能控制:據(jù)網(wǎng)絡(luò)應(yīng)用狀態(tài),負(fù)荷狀態(tài),網(wǎng)絡(luò)利用率,合理調(diào)整網(wǎng)絡(luò)性能。故障管理：為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時，必須及時察覺問題的所在。它包含所有節(jié)點運作狀態(tài)，故障記錄的追蹤與檢查及平?？蓪Ω鞣N通訊協(xié)議的測試。效率管理：效率管理在于評估網(wǎng)絡(luò)系統(tǒng)的運作，統(tǒng)計網(wǎng)絡(luò)資源的運用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。用戶記帳管理:建立統(tǒng)一的記帳系統(tǒng),對網(wǎng)絡(luò)資源的使用采取收費記帳的方法,對不同的資源訪問制定不同的收費標(biāo)準(zhǔn)和算法。網(wǎng)絡(luò)安全管理:用戶身份確認(rèn),訪問控制,對用戶權(quán)限以及用戶帳戶進(jìn)行維護(hù)和管理,設(shè)置相應(yīng)口令與更新.加密和密鑰管理.監(jiān)視和控制網(wǎng)上的破壞安全系統(tǒng)的行為。運行管理:制定網(wǎng)絡(luò)運行的技術(shù)標(biāo)準(zhǔn),可靠性,安全性方案和運行制度。計費管理：了解網(wǎng)絡(luò)使用時間，能針對各個局部網(wǎng)絡(luò)做使用量統(tǒng)計。一則可作為使用網(wǎng)絡(luò)計費的依據(jù)，更可作為日后網(wǎng)絡(luò)升級或更新規(guī)劃的參考。網(wǎng)絡(luò)管理員能夠借助網(wǎng)管軟件，對網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用。網(wǎng)絡(luò)管理平臺和網(wǎng)管工作站通過前面的分析，網(wǎng)絡(luò)系統(tǒng)設(shè)備采用了cisco的交換機(jī)、路由器和遠(yuǎn)程訪問服務(wù)器，針對系統(tǒng)的這個特點，推薦cisco公司的最新推出的網(wǎng)管系統(tǒng)CiscoWorks2000。1、網(wǎng)管平臺設(shè)計將原有網(wǎng)管軟件CWSI進(jìn)行升級，采用Cisco公司提供的最新CiscoWorks2000的廣域網(wǎng)套件，用于對網(wǎng)點網(wǎng)絡(luò)設(shè)備進(jìn)行管理，局域網(wǎng)套件，用于對三峽建行局域網(wǎng)進(jìn)行管理。2、網(wǎng)管工作站設(shè)計由于網(wǎng)管工作站將實時處理網(wǎng)絡(luò)設(shè)備上傳的運行參數(shù)，因此必須具備大內(nèi)存、高性能CPU和良好圖形顯示功能。擬保留原有網(wǎng)管工作站。3、cisco網(wǎng)管軟件和其基本管理模式-CiscoWorks2000網(wǎng)管系統(tǒng)works2000包括局域網(wǎng)和廣域網(wǎng)網(wǎng)組件，還包括語音管理套件。4、自主網(wǎng)絡(luò)監(jiān)控軟件的開發(fā)由于cisco網(wǎng)管軟件的專用性，無法有效監(jiān)控到非Cisco設(shè)備，更不能監(jiān)控到大部分采用串口協(xié)議的網(wǎng)點，為了能夠監(jiān)控到所有網(wǎng)點，需要對相關(guān)軟件做大量的客戶化開發(fā)工作。網(wǎng)絡(luò)系統(tǒng)安全設(shè)計由于網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全本身已經(jīng)成為一個與時間和技術(shù)相關(guān)動態(tài)的概念。針對傳統(tǒng)安全模型的缺陷和不足，有關(guān)公司提出了一個極具創(chuàng)意的，能夠自我不斷完善、不斷發(fā)展、自我適應(yīng)能力極強的嶄新的網(wǎng)絡(luò)安全模型P2DR安全模型，我行這次網(wǎng)絡(luò)系統(tǒng)安全的實施就準(zhǔn)備基于這個模型。安全模型（P2DR模型）P2DR方案是一個超前的安全模型，它是在對國際上安全方面可靠的權(quán)威著作進(jìn)行多年研究的基礎(chǔ)上獨自發(fā)展出來的。它的指導(dǎo)思想比傳統(tǒng)安全方案有突破性提高。P2DR模型如圖所示：Policy策略、Protection防護(hù)、Detection檢測和Response響應(yīng)組成的完整模型體系，可以描述和解釋任何信息安全問題。P2DR安全模型的特點就是動態(tài)性和基于時間的特性，可以說對信息安全的“相對性”給予了更好地描述：雖然沒有100%的安全，但是模型為進(jìn)一步解決信息安全技術(shù)問題提供了有益的方法和方向。Policy(安全策略)安全策略是P2DR安全模型的核心，要想實施動態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。Protection（保護(hù)）保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。通過防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護(hù)能力，當(dāng)然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用SecureID這種一次性口令的方法來增加系統(tǒng)的安全性等等。Detection（檢測）在P2DR模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)的依據(jù)，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應(yīng)。檢測主要包括“漏洞檢測”和“入侵檢測”兩個部分。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。在檢測到安全漏洞和安全事件之后必須及時做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。總之，一個信息安全方案必須對安全策略、安全防護(hù)、安全檢測和安全響應(yīng)有準(zhǔn)確和完整的描述。值得強調(diào)的是，P2DR安全模型已被正式收錄進(jìn)人民銀行的安全藍(lán)皮書：《國家金融信息系統(tǒng)安全》總體綱要-1999.12三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系安全策略設(shè)計1、安全策略描述原則由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到我行的服務(wù)質(zhì)量和信譽保證，關(guān)系到客戶的切身利益，因此在制定安全策略時，要加強對數(shù)據(jù)傳輸?shù)南拗?，即只有表示為允許的才可以進(jìn)行傳輸這一原則來加強對網(wǎng)絡(luò)安全的限制。2、具體安全策略三峽建行安全策略應(yīng)該包括：用戶管理、職責(zé)劃分、安全管理、安全評估、安全監(jiān)控、緊急響應(yīng)、異常處理、授權(quán)操作、恢復(fù)策略以及跟蹤審計等總體安全體系的規(guī)定網(wǎng)絡(luò)系統(tǒng)的安全從體系結(jié)構(gòu)上來看應(yīng)該是一個多層次、多方面的結(jié)構(gòu)。通過對我行網(wǎng)絡(luò)所面臨的安全狀況的分析，可將整個三峽建行網(wǎng)絡(luò)的安全性在總體結(jié)構(gòu)上劃分為四個級別：網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和企業(yè)級安全。三三峽建行網(wǎng)絡(luò)系統(tǒng)安全體系架構(gòu)網(wǎng)絡(luò)級安全系統(tǒng)級安全應(yīng)用級安全企業(yè)級安全安全管理制度審計病毒防范加密數(shù)字簽名身份認(rèn)證安全漏洞檢測安全監(jiān)控訪問控制VLAN劃分VPN數(shù)據(jù)包過濾安全級別安全手段網(wǎng)絡(luò)級安全是指在網(wǎng)絡(luò)的下三層(物理層、鏈路層、網(wǎng)絡(luò)層)采取各種安全措施來保障整個三峽建行網(wǎng)絡(luò)的安全，包括數(shù)據(jù)包過濾、VPN虛擬私有網(wǎng)、VLAN的劃分、訪問控制、身份認(rèn)證、數(shù)據(jù)包加密傳輸、安全審計、安全監(jiān)控和安全漏洞檢測等應(yīng)用級安全是指通過利用三峽建行網(wǎng)絡(luò)中各大應(yīng)用系統(tǒng)（如綜合業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、企業(yè)網(wǎng)系統(tǒng)等等）和大型關(guān)系型數(shù)據(jù)庫自身的安全機(jī)制，在應(yīng)用層保證對三峽建行網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操作系統(tǒng)(UNIX、NT)的安全設(shè)置，防止利用操作系統(tǒng)的安全漏洞對整個三峽建行網(wǎng)絡(luò)構(gòu)成安全威脅；企業(yè)級安全主要是從三峽建行范圍內(nèi)的安全管理和計算機(jī)病毒防范兩方面來保障整個我行網(wǎng)絡(luò)的安全。此次網(wǎng)絡(luò)改造我們主要對網(wǎng)絡(luò)級安全加以設(shè)計。三峽建行網(wǎng)絡(luò)級安全設(shè)計可適應(yīng)性網(wǎng)絡(luò)安全由四個集成的方案組成。第一，端對端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評估，通過自動的基于網(wǎng)絡(luò)的和基于主機(jī)的掃描技術(shù)實現(xiàn)；第二，對安全弱點的響應(yīng)通過已建立的安全策略中相關(guān)的安全漏洞來衡量。更正動作很容易獲得并迅速實現(xiàn)。另外，基于網(wǎng)絡(luò)和主機(jī)的實時入侵檢測提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。最后，對安全威脅的網(wǎng)絡(luò)自動更正包括主動中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。網(wǎng)絡(luò)安全的程度必然是動態(tài)變化的，所以網(wǎng)絡(luò)安全不可能是一個靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能的影響安全的因素來制訂整個網(wǎng)絡(luò)的安全策略對于系統(tǒng)安全設(shè)計，一定要充分考慮整個三峽建行網(wǎng)絡(luò)系統(tǒng)的實際需求和網(wǎng)絡(luò)現(xiàn)狀，以我行網(wǎng)絡(luò)與外部的連接作為安全設(shè)計的重點，可通過以下措施來從網(wǎng)絡(luò)物理層一直到應(yīng)用層保證整個網(wǎng)絡(luò)系統(tǒng)的安全使用。局域網(wǎng)安全設(shè)計由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進(jìn)行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。三峽建行局域網(wǎng)在空間分布上是城域范圍的，局域網(wǎng)的安全必須認(rèn)真考慮，局域網(wǎng)安全主要有采取VLAN劃分以及利用安全軟件對局域網(wǎng)進(jìn)行掃描。劃分VLAN虛擬網(wǎng)（VLAN）技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和VLAN技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。由以上運行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是，虛擬網(wǎng)技術(shù)也帶來了新的問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對象?；诰W(wǎng)絡(luò)廣播原理的入MAC的VLAN不能防止MAC欺騙攻擊。采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機(jī)。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換機(jī)所在的網(wǎng)段機(jī)器均屬于相同的VLAN。VLAN的劃分方式的目的是保證系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來劃分VLAN：可以將總部中的服務(wù)器系統(tǒng)單獨劃作一個VLAN，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器等。也可以按照機(jī)構(gòu)的設(shè)置來劃分VLAN，VLAN之內(nèi)的連接采用交換技術(shù)實現(xiàn)，VLAN與VLAN之間采用策略路由來控制數(shù)據(jù)傳輸。在三峽建行局域網(wǎng)在安全設(shè)計時將采取上述兩種劃分VLAN的策略來保證系統(tǒng)的安全性。安全漏洞掃描在三峽建行整個網(wǎng)絡(luò)系統(tǒng)中（包括三峽分行、各支行、局域網(wǎng)、廣域網(wǎng)）配置ISSInternetScanner（網(wǎng)絡(luò)安全掃描器）、在分行中心企業(yè)網(wǎng)和營業(yè)網(wǎng)中重要的主機(jī)中安裝ISSSYSTEMscanner、在分行中心企業(yè)網(wǎng)和營業(yè)網(wǎng)中的數(shù)據(jù)庫服務(wù)器中安裝ISSDATABASEscanner，可在通訊和服務(wù)層、系統(tǒng)層、應(yīng)用數(shù)據(jù)層掃描出網(wǎng)絡(luò)/系統(tǒng)/數(shù)據(jù)應(yīng)用存在的安全漏洞，并提交漏洞報告和修補漏洞的建議，使網(wǎng)絡(luò)安全風(fēng)險降到最小。安全入侵檢測和響應(yīng)在三峽建設(shè)銀行整個網(wǎng)絡(luò)系統(tǒng)中，主要應(yīng)用業(yè)務(wù)數(shù)據(jù)（企業(yè)網(wǎng)和營業(yè)網(wǎng)）均是存放在分行中心，中間通過VLAN劃分進(jìn)行各個業(yè)務(wù)系統(tǒng)隔離，具備一定的信息安全功能，但缺乏對各個業(yè)務(wù)系統(tǒng)數(shù)據(jù)通信的安全檢測和監(jiān)控，不能夠做到對各個系統(tǒng)安全狀況心中有數(shù)，不能夠?qū)Π踩录M(jìn)行統(tǒng)計和預(yù)測，不能夠?qū)ν鈦砣肭趾蛢?nèi)部誤用進(jìn)行自動的實時響應(yīng)，在系統(tǒng)遭受破壞之前將入侵者驅(qū)除出外。故在各個業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)入口處，配置ISS的realsecurenetworksensor對外來與本業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器連接的所有通信流量進(jìn)行安全監(jiān)控，同時在核心業(yè)務(wù)主機(jī)中配置realsecureOSsensor從系統(tǒng)層面中對系統(tǒng)攻擊事件進(jìn)行安全監(jiān)控。通過兩者的配合，對一些危害網(wǎng)絡(luò)安全和信息安全的行為進(jìn)行阻擊，也可以作為對犯罪分子的犯罪證據(jù)，從法律角度對犯罪分子提出指控。廣域網(wǎng)安全設(shè)計由于廣域網(wǎng)采用公網(wǎng)傳輸資料，因而在廣域網(wǎng)上進(jìn)行傳輸時信息也可能會被不法分子截取。如從分支機(jī)構(gòu)發(fā)一個信息到三峽建行時，這個信息包就可能被人截取和利用。因此在廣域網(wǎng)上發(fā)送和接收信息時要保證：除了發(fā)送方和接收方外，其它人是不可知悉的（隱私性）；傳送過程中不被篡改（真實性）；發(fā)送方能確信接收方不是假冒的（非偽裝性）；發(fā)送方不能否認(rèn)自己的發(fā)送行為（非否認(rèn)）。能夠?qū)λ芯W(wǎng)絡(luò)訪問活動和攻擊行為進(jìn)行過程監(jiān)控、威脅統(tǒng)計和預(yù)測。內(nèi)部廣域網(wǎng)安全設(shè)計1、在應(yīng)用程序普遍采用IC卡的基礎(chǔ)上，在廣域網(wǎng)連接設(shè)備之間的網(wǎng)絡(luò)通信對數(shù)據(jù)包進(jìn)行加密。2、對于從外部撥號訪問三峽建行內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險，必須嚴(yán)格控制其安全性。對于內(nèi)部廣域網(wǎng)采用撥號備份時可以使用回?fù)艽_認(rèn)等方式來防止非法訪問。3、加強對撥號用戶的身份認(rèn)證，使用RADIUS等專用身份驗證服務(wù)器（AAA服務(wù)器）。一方面，實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。4、在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止資料被非法竊取。5、因為內(nèi)部廣域網(wǎng)中安全弱點主要來自于網(wǎng)絡(luò)互聯(lián)設(shè)備和網(wǎng)絡(luò)傳輸設(shè)備的安全漏洞，故采用ISSinternetscanner漏洞掃描工具從網(wǎng)絡(luò)層對整個內(nèi)部廣域網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評估，從而采取措施修復(fù)安全漏洞，加強安全管理、設(shè)備管理、軟件管理等安全工作。外連網(wǎng)的安全設(shè)計1、在連接外部網(wǎng)時，使用路由器與外網(wǎng)進(jìn)行隔離，在路由器上設(shè)置訪問控制列表（ACL），屏蔽未經(jīng)允許的訪問。2、連接外部網(wǎng)時，在三峽建行內(nèi)部網(wǎng)與路由器之間安裝PIX防火墻，利用防火墻的數(shù)據(jù)包過濾、地址隱藏以及VPN功能保證外部的非法訪問無法進(jìn)入建行內(nèi)部網(wǎng)。3、使用DMZ非軍事化區(qū)，將業(yè)務(wù)前置機(jī)放置于非軍事化區(qū)，這樣既保證外連網(wǎng)正常業(yè)務(wù)，又保證內(nèi)網(wǎng)安全。4、在DMZ區(qū)、連接外連網(wǎng)的網(wǎng)段，配置了ISS入侵監(jiān)測系統(tǒng)實時監(jiān)視網(wǎng)絡(luò)的非法入侵行為。該系統(tǒng)包括RealScureconsole、RealScureageng(包括networksensor和ossensor)兩部分，其中RealSecureageng可以從網(wǎng)絡(luò)和系統(tǒng)兩個層次實時檢測政策違規(guī)，不影響網(wǎng)絡(luò)性能，它分析各個數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。如果一個網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如SATAN攻擊、PING攻擊或秘密的研究項目代碼字，RealScureageng會給RealSecureconsole管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。在網(wǎng)絡(luò)入口處配置realsecurenetworksensor，可以在業(yè)務(wù)前置機(jī)中安全realsecureossensor相應(yīng)地，在數(shù)據(jù)中心配置的RealScureconsole軟件負(fù)責(zé)對RealScureAgent的管理。5、為檢查網(wǎng)絡(luò)中可能存在的安全漏洞，在網(wǎng)絡(luò)中配置ISSinternetscanner，對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行掃描，主動查找安全漏洞，并自動生成關(guān)于安全狀況的報告。6、對于來說，由于與相連企業(yè)之間傳輸?shù)亩际顷P(guān)鍵性的資金帳務(wù)信息，在有條件的地方，可以適當(dāng)采取鏈路加密措施，選用一些獨立的鏈路加密設(shè)備進(jìn)行對傳輸數(shù)據(jù)進(jìn)行加密保護(hù)。IP電話網(wǎng)絡(luò)設(shè)計IP電話網(wǎng)絡(luò)建設(shè)的必要性語音的集成技術(shù):VoiceoverIP是數(shù)據(jù)、語音、視頻集成的新興技術(shù)之一，IP語音極為重要。語音是對服務(wù)質(zhì)量(QoS)最為敏感的信息流類型，堪稱對網(wǎng)絡(luò)工程和性能的最好測試。IP語音的需求使IP環(huán)境中的QoS有所改變，并將最終導(dǎo)致QoS在Internet中使用，以便進(jìn)行傳真、語音電話和視頻電話服務(wù)。IP語音最終將會成為使通話向LAN體系結(jié)構(gòu)移植過程中的核心部分。數(shù)據(jù)網(wǎng)與語音網(wǎng)的結(jié)合是當(dāng)今網(wǎng)絡(luò)界發(fā)展的一種趨勢。通過語音數(shù)字化及壓縮技術(shù)，可將通話時的模擬語音信號數(shù)字化后，再壓縮成語音數(shù)據(jù)包，然后再將語音數(shù)據(jù)包封裝在IP數(shù)據(jù)包中，通過已有的IP數(shù)據(jù)網(wǎng)（Internet或Intranet）傳輸，即可實現(xiàn)“網(wǎng)上電話”,經(jīng)過一系列優(yōu)化和帶寬保證,打語音電話的質(zhì)量與通常電信網(wǎng)上的話音質(zhì)量幾乎是一樣的。IP電話所使用的幾種技術(shù)語音壓縮在通常的電話網(wǎng)中打一路電話需要64K(bps)的帶寬，而在數(shù)據(jù)網(wǎng)中維持一條語音話路只需要少于10K的通信帶寬；即傳輸語音數(shù)據(jù)包所需要的帶寬比傳統(tǒng)的語音網(wǎng)要少。這是將語音信號編碼/解碼，即將模擬的語音信號數(shù)字化后再壓縮以及反向流程的的結(jié)果，語音信號編碼/解碼的質(zhì)量決定了IP電話的話音質(zhì)量。采用G.729或CS－ACELP技術(shù)，可將一路IP電話所需的帶寬降為8K，且通話的質(zhì)量與傳統(tǒng)的電話網(wǎng)中的話路（64KPCM編碼）質(zhì)量幾乎相同。靜音抑制人們在打電話時，通話間會有間隙，即有一部分被傳輸數(shù)據(jù)包并未含有任何語音信息。通過靜音抑制技術(shù)，可以減少語音電話對帶寬的需求，將節(jié)省的帶寬為其它數(shù)據(jù)傳輸所用。服務(wù)質(zhì)量功能在Internet網(wǎng)以及其它IP數(shù)據(jù)網(wǎng)中，語音數(shù)據(jù)包傳輸?shù)膬?yōu)先權(quán)必須得到保證。帶寬預(yù)留協(xié)議(RSVP)可以為語音數(shù)據(jù)包預(yù)留帶寬；隊列技術(shù)，如：FIFO，PriorityQueuing,CustomQueuing,WeightedFairQueuing,可以優(yōu)先保證小數(shù)據(jù)量數(shù)據(jù)包的傳輸；另外，實時數(shù)據(jù)傳輸、數(shù)據(jù)包頭壓縮協(xié)議(RTP)等也提供服務(wù)質(zhì)量的保證。語音流的傳輸控制網(wǎng)絡(luò)設(shè)備可以為語音數(shù)據(jù)包的傳輸提供更多的附加功能。如可以采用代價最小的路由策略以及虛擬專用網(wǎng)技術(shù)等。語音交換網(wǎng)絡(luò)設(shè)備不僅可以為一個公司內(nèi)兩個不同地點的辦事處提供復(fù)雜的語音數(shù)據(jù)包的傳輸功能，還能提供類似小型程控交換機(jī)（PBX）的功能，如呼叫處理、話路交換等。CISCO的VoIP解決方案CISCO公司針對基于包交換網(wǎng)絡(luò)技術(shù)的電話服務(wù)推出新型解決方案，這些新方案將給電話服務(wù)提供商帶來無限商機(jī)和回報。這些基于H.323協(xié)議的解決方案包括分布式預(yù)付呼叫(distributedprepaidcalling)、Internet呼叫等待（InternetCallWaiting,ICW）、點擊撥號（click-to-dial）和清倉結(jié)算(ClearinghouseSettlements)等。通過利用CiscoH.323網(wǎng)絡(luò)，服務(wù)提供商可以在他們已有的包交換式網(wǎng)絡(luò)上尋找到新的利潤增長點。CISCO公司作為網(wǎng)關(guān)的產(chǎn)品主要型號有CiscoAS5300。CISCO公司增加了CiscoAS5300/VoiceGateway網(wǎng)關(guān)的話音端口密度。如今，CiscoAS5300/VoiceGateway支持T1系統(tǒng)的呼叫達(dá)96個之多，支持基于E1系統(tǒng)的呼叫達(dá)120個。通過提升了的容量和新的G723壓縮，如今，Cisco給服務(wù)提供商和大型企業(yè)提供更好的可擴(kuò)展能力，這可以降低運營成本。Cisco推出的這些語音網(wǎng)關(guān)使得服務(wù)提供商能夠利用現(xiàn)有的IP基礎(chǔ)設(shè)施，更為輕松地為他們的顧客提供增值服務(wù)。CiscoAS5300平臺支持的話音網(wǎng)關(guān)應(yīng)用軟件使路由器能夠在PBX，集團(tuán)電話或PSTN電路間連接話音呼叫，在IP網(wǎng)絡(luò)上傳輸話音。撥入的呼叫終結(jié)在話音/傳真卡上，運用包括G.711和G.729的標(biāo)準(zhǔn)算法，在卡上將話音編碼，壓縮并被封入RTP信息包中。使用標(biāo)準(zhǔn)H.323協(xié)議，一個呼叫可被置入遠(yuǎn)程話音網(wǎng)關(guān)，遠(yuǎn)程網(wǎng)關(guān)將話音解碼，并傳送給接收器。當(dāng)一個撥入呼叫是傳真時，傳真轉(zhuǎn)播特性自動地決定，并在IP網(wǎng)絡(luò)上向傳真機(jī)發(fā)送信令，然后，僅當(dāng)接收傳真機(jī)在線時，接受用于轉(zhuǎn)發(fā)的傳真。這樣終端用戶能夠確保傳真被發(fā)送。Cisco話音管理器Cisco話音管理器是一個基于Web的網(wǎng)絡(luò)管理應(yīng)用，它配置并監(jiān)視CiscoVOIP網(wǎng)關(guān)。網(wǎng)絡(luò)監(jiān)管者能夠?qū)嵤芴栍媱?，實時監(jiān)控呼叫行為和呼叫質(zhì)量參數(shù)，并生成說明呼叫過程和傳送質(zhì)量的詳細(xì)報告。服務(wù)質(zhì)量Cisco話音技術(shù)在大多數(shù)不利的網(wǎng)絡(luò)情況下(包括信息包延遲和信息包丟失)維護(hù)通信傳輸質(zhì)量通信。在一個話音網(wǎng)絡(luò)中，包丟失和延遲都會對通話質(zhì)量產(chǎn)生嚴(yán)重的負(fù)面影響。

Cisco話音網(wǎng)關(guān)的高性能話音協(xié)同處理器設(shè)計將話音編碼和打包過程中信息包的延遲和丟失減到最小程度。Cisco的QoS特性在話音網(wǎng)關(guān)和骨干路由基礎(chǔ)設(shè)施上實現(xiàn)，包括IP優(yōu)先權(quán)，RSVP，加權(quán)公平排隊，WRED和多級多鏈路PPP分割交叉。這些特性能夠在最擁塞的網(wǎng)絡(luò)上為敏感的話音業(yè)務(wù)提供低延遲，高可靠性的路徑。

新的CiscoAS5300話音/傳真特性卡的一個普遍應(yīng)用是INTRANET電話呼叫和傳真。公司使用帶有話音/傳真特性卡CiscoAS5300及與Cisco3600和Cisco2600的話音模塊，通過在現(xiàn)存的IP網(wǎng)絡(luò)上傳輸局間話音和傳真業(yè)務(wù)，能夠大幅度降低長途電話和傳真費用，而無損話音和傳真質(zhì)量。在INTRANET中，通過使用Cisco的話音包GATEWAY-ENABLED系列產(chǎn)品，管理者能夠監(jiān)視和控制服務(wù)級別從而在他們的數(shù)據(jù)網(wǎng)絡(luò)上獲得和維護(hù)長話音質(zhì)和傳真?zhèn)鬏敗?/p>

采用Cisco話音/傳真解決方案處理INTRANET電話呼叫和傳真帶來的成本節(jié)約一般可在幾個月內(nèi)抵消主要的設(shè)備投資。三峽建行與總行的VoIP通信三峽建行IP語音網(wǎng)絡(luò)一是解決三峽建行和總行的長途通信問題，主要是利用閑置的數(shù)據(jù)網(wǎng)絡(luò)帶寬開通VoIP功能，以節(jié)省長途電話費用。目前，三峽建行到總行進(jìn)行IP電話通信，由于一路語音大約占用12Kbps帶寬，本次為三峽建行開通20路話音，需要開通1條E1的數(shù)字語音話路，因此三峽建行的語音網(wǎng)關(guān)選用CiscoAS5300/VoiceGateway，共配置1個E1適配卡，1個E1適配卡連接到三峽建行程控交換機(jī)上，提供與建總行的通信。三峽建行到總行VoIP網(wǎng)絡(luò)拓?fù)鋱D如下：在三峽建行配置兩臺CISCO3661作為關(guān)守，運行IP電話管理軟件，作為H.323的Gatekeeper。兩臺關(guān)守之間通過熱備份協(xié)議，實現(xiàn)互為備份。關(guān)守（Gatekeeper）可以提供地址翻譯、帶寬控制、許可控制、域管理功能、帶寬管理、呼叫控制信令、呼叫鑒權(quán)和呼叫管理等服務(wù)。IP語音的管理CVM(CiscoVoiceManagement)提供了對網(wǎng)管的管理，配置、狀態(tài)監(jiān)視及提供詳細(xì)的CDR(CallDetailsRecord)原始數(shù)據(jù)，為用戶生成詳細(xì)的計費依據(jù)。需要注意的是，在一個數(shù)據(jù)、語音、視頻共同傳輸?shù)木W(wǎng)絡(luò)中，各種應(yīng)用的優(yōu)先級別設(shè)置，應(yīng)服從于整個網(wǎng)絡(luò)的需要，集中的加以控制。為此，CISCO的策略式網(wǎng)絡(luò)管理系列工具就是這個目的，其中關(guān)于服務(wù)質(zhì)量管理的第一代QPM，就可以方便管理者進(jìn)行基于業(yè)務(wù)策略的QOS設(shè)置。三峽建行視頻會議設(shè)計視頻會議已在社會性的信息交流中發(fā)揮了巨大的溝通作用。視頻會議通過通信網(wǎng)絡(luò)把兩個或多個地點的多媒體會議終端連接起來，在其間傳送各種圖像、話音和數(shù)據(jù)信號，使出席會議者有親臨現(xiàn)場的感覺。除了用于多點多媒體會議之外，視頻會議系統(tǒng)還應(yīng)用于遠(yuǎn)程教育、遠(yuǎn)程醫(yī)療等需要傳送實時音頻、視頻和數(shù)據(jù)的應(yīng)用。視頻會議能為用戶提供直接、全面的溝通交流，并能節(jié)約時間、降低成本、提高生產(chǎn)率，因此巨大的市場需求推動了視頻會議技術(shù)的發(fā)展。國內(nèi)外很多科研機(jī)構(gòu)和廠商都進(jìn)行了多媒體多點會議通信系統(tǒng)的研究，并推出了各自的視頻會議系統(tǒng)。在研究各視頻會議系統(tǒng)的基礎(chǔ)上，國際電信聯(lián)盟(ITU-T)形成了視聽多媒體通信系統(tǒng)國際標(biāo)準(zhǔn)的H.200系列建議，使不同廠商的多媒體通信產(chǎn)品能夠互通，推動了多媒體通信技術(shù)標(biāo)準(zhǔn)化的進(jìn)程。視頻會議系統(tǒng)為總行到三峽建行的星型結(jié)構(gòu)，視頻會議多點控制器（MCU）及總行視頻會議終端集中在總行局域網(wǎng)上，三峽建行視頻會議終端分別連接到三峽建行局域網(wǎng)上，通過廣域網(wǎng)建立全行視頻會議系統(tǒng)的通訊連接。三峽建行局域網(wǎng)上，視頻會議終端通過10M/100M交換端口接入局域網(wǎng)。為保證視頻會議效果，帶寬要求768Kbps。視頻會議系統(tǒng)結(jié)構(gòu)目前視頻會議系統(tǒng)主要采用H.320和H.323兩種組網(wǎng)協(xié)議。H.323協(xié)議適用于IP包交換的通信線路，選擇H.323作為視頻會議系統(tǒng)的組網(wǎng)協(xié)議，可以更好地實現(xiàn)視頻會議、IP語音以及數(shù)據(jù)應(yīng)用部署在同一網(wǎng)絡(luò)平臺上。視頻會議系統(tǒng)邏輯結(jié)構(gòu)如下圖所示：會議電視終端設(shè)備三峽建行會場三峽建行會場采用VCON公司的MediaConnect8000Pro會議室型視頻會議終端系統(tǒng)。MediaConnect8000同時支持H.323和H.320標(biāo)準(zhǔn)，運行于任何專業(yè)會議室和多功能會議室，集高質(zhì)量、豐富的視頻、音頻和數(shù)據(jù)于一體。MediaConnect8000在組合機(jī)框和顯示器配置上可分為單機(jī)配置、雙機(jī)配置和三機(jī)配置。主會場采用單機(jī)配置。根據(jù)用戶需要，單機(jī)配置可在任何時候方便地升級為雙機(jī)配置、三機(jī)配置。單機(jī)標(biāo)準(zhǔn)配置為可移動組合機(jī)柜裝有VCON編解碼器板和10BASE-TLAN接口卡的主機(jī)高質(zhì)量的VTOPPTZ攝像頭29”SVGA顯示器，可選PAL環(huán)境支持H.320/H.323國際標(biāo)準(zhǔn)雙工工作模式有T.120數(shù)據(jù)功能，帶無線鍵盤VCON用戶界面友好的視頻會議應(yīng)用軟件MsWindows?,MsOffice?及MsNetMeeting?可接入國際互聯(lián)網(wǎng)InternetMediaConnect8000通過主機(jī)箱中的10BASE-T網(wǎng)卡與局域網(wǎng)交換機(jī)的10BASE-T端口相連。實現(xiàn)功能1.電視會議能召開有總行主會場、多個三峽建行會場參加的多點電視會議，而且網(wǎng)上同時可進(jìn)行多個多點會議，可通過多點會議控制器（MCU）對每個會議進(jìn)行控制和管理。大大節(jié)省召開各種會議所花時間和開支，提高工作效率。2.遠(yuǎn)程教學(xué)能通過會議電視系統(tǒng)實現(xiàn)遠(yuǎn)程教學(xué)，對干部職工進(jìn)行各種管理、業(yè)務(wù)及新產(chǎn)品、新技術(shù)的培訓(xùn)，不斷提高干部職工的素質(zhì)和業(yè)務(wù)水平。遠(yuǎn)程教學(xué)實施簡易，教師與學(xué)員通過多媒體手段實現(xiàn)超越地理界限的雙向交流，不僅保證教學(xué)的質(zhì)量，還能節(jié)省教學(xué)的開支。3.協(xié)同工作會議電視系統(tǒng)在傳送圖像的同時，還能實現(xiàn)電子白板、文件傳輸和應(yīng)用程序共享，使企業(yè)Intranet用戶真正實現(xiàn)面對面的數(shù)據(jù)交流與協(xié)作。4.音頻/視頻廣播能利用會議電視系統(tǒng)，在網(wǎng)上進(jìn)行電視節(jié)目的廣播。廣播的節(jié)目即可以是實時的，也可以是預(yù)先錄制的。會議電視系統(tǒng)可與有線電視網(wǎng)實現(xiàn)互連。主要特點1.充分利用了現(xiàn)有的計算機(jī)及通信網(wǎng)絡(luò)的資源，保護(hù)了原有的投資。2.技術(shù)先進(jìn)、功能完善、操作簡便。3.節(jié)省投資。如：各分會場采用會議室型會議電視終端，對其進(jìn)行升級改造，使之滿足會議室環(huán)境的要求，使總體造價大大降低。4.系統(tǒng)開放，符合各種國際標(biāo)準(zhǔn)，能與其它廠商產(chǎn)品互連。5．系統(tǒng)安全可靠、便于擴(kuò)充、易于維護(hù)。h附件1三峽建行IP地址分配規(guī)劃總行規(guī)定IP地址編碼結(jié)構(gòu)比特數(shù)：8Bits5Bits3Bits 3Bits13Bits一級地域標(biāo)識二級地域標(biāo)識000(擴(kuò)展位)類別標(biāo)識用戶網(wǎng)絡(luò)地址說明：1）一級地域標(biāo)識（8Bits）用于區(qū)分全國各省、自治區(qū)、直轄市和計劃單列市。三峽建行的編碼為010101102）二級地域標(biāo)識位（5Bits）用于區(qū)分各省、自治區(qū)、所屬各地、市、州或直轄市和計劃單列市所屬的各區(qū)、縣。其有效取值范圍為00001~11111。二級地域標(biāo)識取值為00000對應(yīng)的地址塊為地域標(biāo)識主塊，其對應(yīng)的IP地址空間用于省、自治區(qū)、直轄市和計劃單列市的主管機(jī)構(gòu)，例如三峽建行X支行二級地域標(biāo)識位為00100。3)將緊臨二級地域標(biāo)識位的000三位比特作為將來擴(kuò)展預(yù)留。4)第17-19位作為類別標(biāo)識，三位可劃分八個類別，分別是000（網(wǎng)絡(luò)設(shè)備管理）、001（營業(yè)）、010（備用）、011（備用）、100（備用）、101（管理）、110（語音、視頻）、111（互連地址）。三峽建行IP地址規(guī)劃表名稱二級標(biāo)識網(wǎng)絡(luò)分類IP地址范圍備注三峽建行00000設(shè)備管理86.0.0.0-86.0.31.255營業(yè)網(wǎng)86.0.32.0-86.0.63.25586.0.32.0用于營業(yè)網(wǎng)備用186.0.64.0-86.0.95.255備用286.0.96.0-86.0.126.255備用386.0.128.0-86.0.159.255管理網(wǎng)86.0.160.0-86.0.191.25586.0.191.0用于管理網(wǎng)語音、視頻86.0.192.0-86.0.223.255向下互連86.0.224.0-86.0.255.25586.0.224.0營業(yè)網(wǎng)互連，86.0.240.0管理網(wǎng)互連向上互連由總行IP地址中分配X縣00100a00110b01000c01010D01110E10000F10010G10100H待定I待定J待定K待定L待定M待定N待定三峽建行營業(yè)部待定國際業(yè)務(wù)部待定附件2三峽建行IP聯(lián)絡(luò)中心方案三峽建行CALLCENTER解決方案三峽建行IPCC體系架構(gòu)由于目前三峽建行程控交換機(jī)尚不具備必須的ACD功能，為了采用先進(jìn)技術(shù)、簡化維護(hù)管理，便于分布式人工座席的實施以及將來系統(tǒng)的方便擴(kuò)展和降低通信成本，我們將采用CiscoIPCC聯(lián)絡(luò)中心(以下簡稱IPCC)解決方案。CiscoIPCC通過結(jié)合最新的CiscoIP電話技術(shù)和聯(lián)絡(luò)中心解決方案，為三峽建行提供一個完整的并且是得到驗證的IP聯(lián)絡(luò)中心解決方案。在這個方案里，座席通過IP電話既可以接收傳統(tǒng)的TDM電話又可以接收VoIP電話。由于IPCC集成了傳統(tǒng)的呼叫中心平臺和網(wǎng)絡(luò)，所以它在保護(hù)以前的技術(shù)投資的同時提供了向基于IP的聯(lián)絡(luò)中心的途徑。作為CiscoAVVID(語音、視像和集成的數(shù)據(jù)體系結(jié)構(gòu))不可缺少的一部分，IPCC可以在一個單點的環(huán)境實施，也可集成為多點聯(lián)絡(luò)中心。IPCC功能包括了智能呼叫路由、自動呼叫分配(ACD)、網(wǎng)絡(luò)到桌面的CTI、交互式語音應(yīng)答(IVR)集成、呼叫排隊以及統(tǒng)一的管理報告。IPCC基于標(biāo)準(zhǔn)的開放體系結(jié)構(gòu)潛在地支持了基于Web的客戶聯(lián)絡(luò)，包括協(xié)同瀏覽、文本交談和e-mail回復(fù)管理。IPCC利用三峽建行目前的IP網(wǎng)絡(luò)，優(yōu)化WAN基礎(chǔ)設(shè)施的投資并且降低管理維護(hù)費用。并且，這種面向IP的體系結(jié)構(gòu)可以使企業(yè)的呼叫中心方便地擴(kuò)展到分支機(jī)構(gòu)、遠(yuǎn)端座席、家庭座席和專家座席。

三峽建行IPCC系統(tǒng)架構(gòu)IPCC功能和優(yōu)點●基于技能的Pre-Routing功能當(dāng)一個呼叫還停留在IP網(wǎng)絡(luò)或PSTN公用電話網(wǎng)時Pre-Routing功能就可作出路由決策第一次將呼叫分配到合適的座席或資源。為了優(yōu)化路由決策，IPCC座席根據(jù)技能來進(jìn)行分組。系統(tǒng)直接從每個座席的桌面實時收集技能組和狀態(tài)信息，甚至可以預(yù)定一個座席以保證當(dāng)呼叫到達(dá)時這個座席是空閑的。系統(tǒng)通過腳本方式提供一系列路由選擇標(biāo)準(zhǔn)和工具，使用戶可以根據(jù)自己的業(yè)務(wù)需求方便地定制呼叫分配規(guī)則。對于多點呼叫中心運行，IPCC可以在企業(yè)范圍合理分配資源從而提高聯(lián)絡(luò)中心的性能和客戶服務(wù)?！窕诩寄艿腜ost-Routing功能Post-Routing功能是針對已經(jīng)連接到座席、ACD、PBX或IVR的呼叫進(jìn)行的智能路由分配。當(dāng)一個呼叫需要重新進(jìn)行路由時，ICM系統(tǒng)使用與Pre-Routing功能同樣的業(yè)務(wù)邏輯指導(dǎo)外圍設(shè)備將呼叫送到最佳的資源。這些資源可以是另一個座席、IPCC內(nèi)的一個技能組或服務(wù)，或另一個ACD?！窬W(wǎng)絡(luò)到桌面的CTICiscoIPCC將從Internet、運營商網(wǎng)絡(luò)、IVR、數(shù)據(jù)庫以及其他的應(yīng)用系統(tǒng)中收集的客戶和交易信息傳送到目標(biāo)座席的桌面，這些獨特的豐富的信息可以使企業(yè)數(shù)據(jù)結(jié)合業(yè)務(wù)充分地利用到客戶的聯(lián)絡(luò)過程中。主要功能包括：內(nèi)容豐富的屏幕彈出：屏幕彈出可以使座席將更多的時間集中在對客戶的服務(wù)而無需浪費時間收集信息。CiscoICM軟件將呼叫和客戶數(shù)據(jù)傳送到IPCC座席的業(yè)務(wù)應(yīng)用程序，使得當(dāng)呼叫到達(dá)時座席時PC同步自動彈出相關(guān)數(shù)據(jù)。Cisco的解決方案傳送同樣的數(shù)據(jù)到IPCC座席和傳統(tǒng)的ACD座席，這樣保證了整個企業(yè)范圍客戶服務(wù)的一致性?？煽蛻艋淖烂妫篒PCC桌面CTI功能包括功能全面的軟電話(座席通過PC桌面的軟電話菜單執(zhí)行電話功能)。聯(lián)絡(luò)中心主管可以通過鼠標(biāo)拖拉的方式方便地對軟電話進(jìn)行客戶化。同時，軟電話功能可以通過鼠標(biāo)拖拉的方式方便地嵌入現(xiàn)有的CRM(客戶關(guān)系管理)應(yīng)用軟件之中從而提供CTI功能，這樣可以減少培訓(xùn)、管理和維護(hù)的費用。第三方呼叫控制：IPCC的第三方呼叫控制功能可以使座席在桌面的應(yīng)用程序中控制電話功能，如應(yīng)答、保留、轉(zhuǎn)接、會議等。例如，IPCC座席收集的語音和數(shù)據(jù)可以在IPCC內(nèi)部也可跨多個不同廠家的PBX進(jìn)行轉(zhuǎn)接，使得當(dāng)一個呼叫在座席間或不同的地點間轉(zhuǎn)接時，客戶和交易數(shù)據(jù)也隨之進(jìn)行轉(zhuǎn)接。座席統(tǒng)計：每個IPCC座席通過顯示屏可以實時看到個人的統(tǒng)計數(shù)據(jù)例如處理的呼叫數(shù)、呼叫平均處理時間、累計空閑時間、總計上班時間等。在一個績效與收入掛鉤的環(huán)境中，這個功能可以為座席提供自己的實時表現(xiàn)數(shù)據(jù)，并與平均小組水平作一比較，從而達(dá)到激勵的目的?！窠y(tǒng)一的報告ICM軟件開放的體系結(jié)構(gòu)使鏈路中心系統(tǒng)可以及時準(zhǔn)確地對來自Internet、運營商網(wǎng)絡(luò)、CiscoCallManager、ACD、IVR、座席桌面和其他資源的信息進(jìn)行統(tǒng)一的管理。這些信息存儲在一個MicrosoftSQL服務(wù)器中，提供實時和歷史的呼叫中心管理報告。ICM系統(tǒng)的報告功能提供多種報表模板，用戶可以設(shè)置閾值進(jìn)行特定數(shù)據(jù)的監(jiān)控；“下挖”功能可以方便提供有關(guān)字段的詳細(xì)信息；報表可以按任意預(yù)設(shè)的時間間隔產(chǎn)生。通過ICM軟件提供的報告工具可以建立客戶化的報表；用戶也可通過第三方的數(shù)據(jù)庫訪問工具操作和顯示報告信息，或?qū)?shù)據(jù)輸出到符合工業(yè)標(biāo)準(zhǔn)的文件格式以用于其他的應(yīng)用程序。聯(lián)絡(luò)中心管理報告可以通過ICM管理工作站上生成或顯示，任何經(jīng)過授權(quán)的裝有瀏覽器的桌面，或其他任何ODBC兼容的桌面應(yīng)用也都可顯示?！馡PCC路由功能基于應(yīng)用的路由和報告逐個呼叫路由(Call-by-callrouting)基于等待時間的呼叫重路由條件路由數(shù)據(jù)庫呼叫處理負(fù)載均衡前向排隊(Look-aheadqueuing)網(wǎng)絡(luò)間溢出優(yōu)先排隊基于技能的路由●客戶交互功能Audiotex自動話務(wù)員客戶輸入的數(shù)字受控的忙態(tài)基于實時條件的語音通知根據(jù)主叫信息的音樂等待基于實時條件的音樂等待可視的排隊狀況管理功能呼叫詳細(xì)記錄報告集中化報告客戶化報告歷史報告基于Web的報告瀏覽實時管理實時信息統(tǒng)計和圖形報告中繼利用報告圖形化用戶界面座席功能顯示在座席桌面的座席統(tǒng)計數(shù)據(jù)自動空閑自動Wrap-up輔助工作狀態(tài)空閑狀態(tài)客戶信息：主叫號碼(ANI)、主叫線路信息(CLID)、被叫信息(DNIS)、客戶輸入的數(shù)字(CED)完全可客戶化的軟電話應(yīng)用Hot桌面或Login/Logout或遠(yuǎn)端座席屏幕彈出轉(zhuǎn)接呼叫到一個隊列非空閑的工作狀態(tài)Wrap-upWrap-up代碼IPCC系統(tǒng)構(gòu)成Cisco智能聯(lián)絡(luò)管理軟件ICMCiscoICM軟件可以為客戶提供來自Internet或PSTN電話網(wǎng)的聯(lián)絡(luò)方式，并集成了企業(yè)范圍的ACD、IVR、Web和e-mail服務(wù)器、桌面應(yīng)用等系統(tǒng)。ICM軟件在網(wǎng)絡(luò)級別的路由決策基于每個客戶相關(guān)的信息例如客戶撥打的號碼、客戶主叫號碼、客戶輸入的數(shù)字、客戶通過Web表格提交的數(shù)據(jù)以及從客戶數(shù)據(jù)庫中得到的信息等。同時，系統(tǒng)通過從聯(lián)絡(luò)中心平臺和座席桌面收集的實時信息了解每個資源的狀態(tài)以配合路由決策。作為IPCC的組成部分，ICM軟件提供ACD功能包括對座席狀態(tài)的監(jiān)控、對呼叫的排隊、CTI功能、提供給座席和班長席的實時數(shù)據(jù)，以及歷史管理報告。ICM系統(tǒng)包括：ICM外圍設(shè)備網(wǎng)關(guān)(PG)：提供ICM軟件和外圍設(shè)備之間的接口。IPCCPG軟件包括CiscoCallManagerPG、IVRPG、ICMCTI。PG收集外圍設(shè)備的相關(guān)信息并提供給ICM作為Pre-Routing和Post-Routing的依據(jù)。每個PG跟蹤的事件是基于每個座席和每個呼叫之上的，這樣可以保證路由決策的準(zhǔn)確性。ICMCTI服務(wù)器和桌席桌面：ICM的CTI功能可以使我們的客戶實施完整的網(wǎng)絡(luò)到桌面CTI策略，包括座席桌面的綜合功能。在服務(wù)器層次，ICM系統(tǒng)管理來自Internet、運營商網(wǎng)絡(luò)、AC、IVR、Web服務(wù)器、業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫設(shè)置ICM自己的實時和歷史數(shù)據(jù)信息。此外，CTI服務(wù)器從一個呼叫進(jìn)入呼叫中心到結(jié)束的整個過程中實時將座席、呼叫和客戶數(shù)據(jù)傳送到相關(guān)服務(wù)器或桌面PC。在桌面端，Cisco解決方案包括一個使用ActiveX和Java的完整的座席軟電話，它可以無需了解電話系統(tǒng)底層信息即可完全訪問CTI服務(wù)器。結(jié)構(gòu)是，應(yīng)用軟件開發(fā)者和呼叫中心主管可以無需復(fù)雜的編程或系統(tǒng)集成即可快速將應(yīng)用軟件如CRM集成到IPCC之中。Cisco管理工作站(AW)：ICMAW是ICM環(huán)境的用戶接口，使呼叫中心主管、班長席可以定義、修改、觀看路由腳本程序；管理系統(tǒng)配置；監(jiān)視呼叫中心性能；定義和產(chǎn)生報告；并保證系統(tǒng)安全性。AW提供Windows環(huán)境下的直觀易用的“鼠標(biāo)點擊”方式的工具。CiscoCallMangerCiscoCallManger為包方式的IP電話和VIP語音網(wǎng)關(guān)提供傳統(tǒng)的PBX電話特性和功能(基本呼叫處理、信令和連接服務(wù))。補充和增強的服務(wù)包括保留、轉(zhuǎn)接、前移、會議、自動路由選擇、縮位撥號、最后號碼重?fù)艿鹊?。呼叫許可控制保證了當(dāng)WAN鏈路受限制時仍能保持語音服務(wù)質(zhì)量(QoS)，并能在WAN的帶寬不夠時自動將呼叫通過PSTN公用電話網(wǎng)進(jìn)行連接。CiscoCallManager軟件預(yù)裝在CiscoMCS(MediaConvergenceServer)之中。CiscoVoIPGateway每個IPCC方案都包括一個CiscoVoIP網(wǎng)關(guān)，它提供PSTN與CiscoAVVIDIP電話網(wǎng)絡(luò)之間的連接，將模擬和數(shù)字的語音轉(zhuǎn)換成IP包。該網(wǎng)關(guān)是通過CiscoCallManger進(jìn)行管理、控制的。Cisco提供一系列VoIP網(wǎng)關(guān)供用戶選擇。CiscoIP電話座席通過Cisco7960IP電話連接到IPCC。它是一個功能全面的第二代IP電話，利用IP技術(shù)將數(shù)據(jù)和語音融合到一個網(wǎng)絡(luò)結(jié)構(gòu)中-包括一根電纜連接、一個交換式以太網(wǎng)結(jié)構(gòu)、統(tǒng)一的系統(tǒng)操作管理系統(tǒng)。Cisco7960提供6線或6個可編程功能鍵、4個交互的軟功能鍵。CiscoIP電話同時提供一個很大的LCD顯示屏，可以顯示日期、時間、主叫姓名、主叫電話、被叫號碼。另外，顯示屏還提供功能和線路狀態(tài)、揚聲器(免提)和手柄功能、靜音鍵。交互式語音應(yīng)答系統(tǒng)(IVR)在IPCC中，IVR可以作為一個可以向ICM發(fā)起路由請求的路由客戶(routingclient)，作為受ICM管理的資源，作為一個統(tǒng)一的實時和歷史報告的信息源。另外IVR可以作為IPCC排隊中的一個點。如果沒有合適的座席來接聽客戶電話，IPCC利用IVR作為呼叫處理手段例如播放語音通知、收集客戶輸入的數(shù)字或在將呼叫重新路由到一個目標(biāo)應(yīng)答資源以前提供路由選項?？蛻艨梢赃x擇Cisco的IP-IVR也可選擇傳統(tǒng)的TDM方式的IVR或網(wǎng)絡(luò)IVR。語音/數(shù)據(jù)流程舉例：1、客戶通過PSTN撥呼叫中心的號碼。2、呼叫被CiscoVoIP網(wǎng)關(guān)接收，并被從TDM協(xié)議轉(zhuǎn)換成IP協(xié)議。3、VoIP網(wǎng)關(guān)向CallManger發(fā)送一個路由請求，并包含客戶撥打的號碼、主叫號碼和客戶輸入的數(shù)字。4、通過ICMPG，CiscoCallManger將這個路由請求發(fā)送到ICM。5、ICM進(jìn)行數(shù)據(jù)庫查詢并根據(jù)相關(guān)信息決定路由。6、ICM觸發(fā)一個客戶定義的路由腳本程序以選擇最合適的IPCC座席來接聽這個電話，并將這個路由目標(biāo)(如所選擇的座席)通過PG傳送到

CiscoCallManger。7、PG中的CTI服務(wù)器將客戶信息數(shù)據(jù)以屏幕彈出的形式發(fā)送到目標(biāo)座席的桌面。8、CiscoCallManager指導(dǎo)CiscoVoIP網(wǎng)關(guān)將呼叫連接到目標(biāo)座席。9、CiscoVoIP網(wǎng)關(guān)建立客戶呼叫與目標(biāo)座席之間的語音連接。注1：根據(jù)業(yè)務(wù)需求，IPIVR可以用于收集客戶信息數(shù)據(jù)、完成交易，或?qū)⒑艚信抨犜贗VR端口。注2：以上呼叫流程描述的是一個單點IPCC的例子。IPCC可以集成到多點呼叫中心，在企業(yè)范圍、網(wǎng)絡(luò)層次實施ICM的Pre-Routing。IPCC應(yīng)用軟件開發(fā)三峽建行聯(lián)絡(luò)中心系統(tǒng)的主要開發(fā)包括：呼叫流程設(shè)計：通過CiscoICM系統(tǒng)提供ScriptEditor(路由腳本編輯軟件)圖形用戶界面工具進(jìn)行呼叫路由腳本(Script)的設(shè)計。IPIVR：通過CiscoIPIVR提供的ApplicationEditior圖形化界面進(jìn)行IVR的流程編輯開發(fā)。座席桌面應(yīng)用程序：座席桌面應(yīng)用程序包括兩部分，一部分是將CiscoCTIClient的軟電話集成到應(yīng)用程序(Cisco提供Windows操作系統(tǒng)環(huán)境下的ActiveX軟電話控制，開發(fā)時可通過鼠標(biāo)拖拉屬性設(shè)置的方式方便地嵌入應(yīng)用程序。)；另一部分是針對銀行業(yè)務(wù)應(yīng)用的開發(fā)，需要與相應(yīng)的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫集成。安裝：安裝工作包括VoiceGateway、CallManager、IPIVR、ICM的安裝，以及其它數(shù)據(jù)庫、操作系統(tǒng)等基本系統(tǒng)的安裝附錄資料：不需要的可以自行刪除常見電腦故障與解決的方法硬盤異