网络安全项目网络建设方案广发证券网络安全项目网络部分建设方案书CiscoWorksATMInternetAccess WorkgroupL*LLLLLLLLLLLL vCore5目录1 简介 (5)2 网络安全项目网络部分技术要求及说明 (5)3 设计总体考虑 (6)4 网络设计原则 (7)5 解决方案 (9)5.1 网络解决方案描述 (9)5.2 广东数据中心的设计 (11)5.3 分公司（区域中心..................................... ）网络系统125.4 OA 总部设计 (14)5.5 独立营业部设计 (15)5.6 广域网络的备份 (15)5.7 IP 语音165.7.1 IP 语音工作原理 (16)5.7.2 语音接点的布设及PBX 的选择 (16)5.7.3 带宽要求 (17)5.7.4 对PBX 的要求 (17)5.8 系统管理 (17)5.8.1 CISCO 网络设备的管理 (17)5.8.2 策略的管理 (17)5.8.3 IP VOICE 管理 (18)5.8.4 CA 网管平台 (19)6 性能分析 (27)6.1 先进性 (27)6.2 安全性 (30)6.3 保证服务质量 (30)6.4 可扩展性 (34)6.5 便于向新的技术发展 (34)6.6 采用工业标准化技术, 具有好的互联特性 (35)7 实施方案 (36)7.1 技术细节 (36)7.1.1 IP 地址规划 (36)7.1.2 路由协议的选择 (39)7.1.3 IP 语音技术细节 (46)7.1.4 信息流策略--实现QoS (53)8 产品简介 (63)8.1 Cisco 7500 系列路由器 (63)8.2 Cisco 3600 路由器 (73)8.4NSM 高级网络模块介绍 (77)广发证券网络安全项目网络部分建设方案书1简介本方案书是按照广发证券网络安全项目招标文件网络部分简要技术说明、广发证券的现状和实际需求而设计的解决方案。

2网络安全项目网络部分技术要求及说明网络安全项目网络部分综合业务信息平台的建设以广东计算中心和全国12家分公司，87个营业部的广域网连接为主，其中广州、上海等12家分公司作为区域中心供本地营业部的接入，同时考虑建立IP语音的测试平台，为将来在企业范围内的IP语音和视频应用的推广打好基础。

需求：•广域网络结构整体性规划和设计，包括整体网络拓扑结构的建议,路由算法的选择和优化等工作。

•网络性能分析和改进建议，包括对广域网和局域网的流量分析和统计，对网络传输性能的优化改进建议。

•网络管理方案设计和实施，包括对局域网和广域网的网络管理和监控方案的设计和实施。

网络重大故障的技术支持策略。

3 设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。

我们 在网络连通基础上需要更高要求的网络服务内容，包括QoS 网络服务质量,Security 安全性服务,Reliability 高可靠性,Scalability 可扩展性等 增值服务。

如图所示Cisco 所建议的网络方案总体结构基于三层模型：即网络硬件的互连环境层，网络软件的增值服务层及多层次网络管理层。

其中网络硬件互连环境主要指传统意义上的网络互连设备，包括交换机，路OIOS icesCore Netwo Regional MetvAccess Netwy/Mufci-Layer C ManagementTools由器,拨号访问服务器等设备环Cisco公司建议采用端到端的网络方案，即采用主要有一家公司的包括交换机，路由器，拨号访问服务器软硬件产品。

因为只有这样才能真正实现端到端的网络性能，端到端的网络安全性，端到端的服务质量以及端到端的网络管理，从而在节省开销的同时，大大提高网络的经济效广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。

4网络设计原则作为广发证券的新一代信息系统的承载网络，网络系统处理的信息量是十分庞大的，要求计算机网络有很高的工作效率。

而且随着业务的快速发展，系统面临的任务也愈来愈艰巨，因此,我们设计的网络在技术上必须体现高度的先进性。

技术上的先进性将保证处理数据的高效率技术上的先进性将保证系统工作的灵活性，技术上的先进性将保证网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。

我们将在网络构架，硬件设备，传输速率，协议选择,安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。

在广发证券的宽带广域网网络设计中，很重要的一点就是网络的可靠性，即坚固性。

在外界环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作，在设计时对可靠性的考虑,能够充分减少或消除因意外或事故造成的损失。

随着计算机技术的发展，特别是网络和网络间互联的规模的扩大，信息和网络的安全性日益受到重视。

面临十分严肃的安全性挑战。

我们在网络设计时，将经过访问控制列表、防火墙、IP隧道等技术来保证广发证券的宽带广域网网络系统的安全。

从发展的眼光看，计算机信息系统就是要实现信息的共享，完成不同制造厂商的设备和计算机软、硬件资源的数据交换。

为此必须建立一个由开放式、标准化的网络结构体系，满足当前可实现的技术，又能适应今后新技术的引进、开发和推广。

我们建议采用的Cisco系列产品是当前业界支持协议最多、接口介质最广泛的网络产品。

网络设计中，对网络主干的有效管理也是必须考虑的主要因素。

一个有效的网络管理方案不但要包括建立各级网管中心的设备及软件，而且要包括配置各种设备的必要顾问服务。

尤为重要的是，要能帮助用户制定网管策略和网管中心运作机制。

在网络投入运行初期，提供现场顾问服务也是必须的。

在满足上述多项原则的基础上，尽可能降低工程造价，追求最优的性能/价格比。

当然，高性能与高可靠性是以高投入为代价的。

最终的方案一定是性能与价格折中的产物。

随着广发证券的各项业务的快速发展，网络系统面临的任务将愈来愈艰巨，愈来愈复杂。

为了适应这个变化和日新月异的计算机技术的发展，我们设计的网络十分注重扩充性。

无论是网络硬件还是系统软件都能够方便的扩充和升级，关键设备的扩充和升级时，系统将无需中断正常的工作。

上述系统设计的原则将自始自终贯穿整个系统的设计和实现。

5 解决方案5.1网络解决方案描述根据以上网络设计原则，我们对广发证券的宽带广域网部分作如下设计：广发证券综合业务平台网络示意图/3K2»M.一,***** DDN、PSTN /用户察M…■- PDM > /"I話S7 V, jJ EJI!!4 ^| "26M&多M坤户纯黑由上图可见，广发证券的宽带广域网中心位于计算中心，与总部0A 中心、In ternet等外联系统连接；同时提供区域中心、广东地区营业部等接入。

上海、北京等12家分公司作为区域中心供本地营业部的接入；同时，上海、北京等12家区域中心以及广东地区除分中心管理外的其它营业部（直接连接到信息中心）接入。

整个系统构成了广发证券的综合信息平台，当前主要为广发证券提供交易、办公提供数据应用的支持，同时提供IP语音平台，为将来在企业范围内的IP语音和视频应用的推广打好基础。

系统中的所有区域中心及营业部，主链路均采用中国电信的DDN,按照上述描述连接；首选的备份链路均采用ISDN/PST;第二份备份链路采用现有的卫星系统保持不变。

安全问题详见安全解决方案。

5.2广东数据中心的设计 信息中心是广发证券宽带广域网的数据中心和通讯中心 ，采用一台 Cisco 7507高端路由器作为主干广域网路由器 ，与中国电信的长途干线 网连接，在本期工程中，与区域中心合 OA 总部的连接采用 1Mbps 的DDN 链路，与营业部的连接采用 256Kbps 的DDN 链路（建议）。

另采 用一台Cisco 3662多功能路由器作为 PSTN/ISDN 访问服务器，提供备 份接入，它能够自动识别模拟信号和数字信号 ，调配相应的模拟 modemXS^3fr+> <±«.址玄与.东A: > 广S2-3鼻或数字modem与之握手；同时Cisco 3662路由器还起着VoIP语音网关的作用，经过1个E1模块与上海本地的PBX相连接，提供IP电话业务。

在广域网路由器与内部局域网之间采用两台防火墙，互为热备份完成安全防卫任务，同时提供IPSec的VPN隧道技术的支持。

信息中心的局域网采用原有Cisco Catalyst 6509 Switch不变，实现与各地网络之间的高速数据交换。

对于在数据中心的外联系统包括In ternet和银行等均包含在统一的接入中心交换平台上，使用高端防火墙作安全隔离，接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连接各个不同的单位。

5.3分公司（区域中心）网络系统分公司〔区域屮心）网络示意图数据中心Natali rteISDN/PSTN -下属营业部＜绚17家）分公司是区域数据中心和通讯中心, 采用一台Cisco 3662 高端路由器作为主干广域网路由器, 与数据中心7506 主干路由器经DDN 连接, 同时提供下属营业部主链路接入; 另采用一台Cisco 3662 多功能路由器作为PSTN/ISDN 访问服务器, 提供与数据中心备份连接, , 同时提供下属营业部备份链路接入; ;同时Cisco 3662路由器还起着VoIP 语音网关的作用, 经过FXO 端口与本地PBX 相连接, 提供IP 电话业务。

在广域网路由器与内部局域网之间采用两台防火墙, 互为热备份, 完成安全防卫任务, 同时提供IPSec 的VPN 隧道技术的支持。

5.4 OA总部设计C3A总部网络示意图工工AM0A总部OA总部是OA等业务系统中心，采用一台Cisco 3662高端路由器作为主干广域网路由器，与数据中心7506主干路由器经DDN连接；另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器，提供与数据中心备份连接；同时Cisco 3662路由器还起着VoIP语音网关的作用，经过FXO端口与本地PBX相连接，提供IP电话业务。

在广域网路由器与内部局域网之间采用两台防火墙，互为热备份,完成安全防卫任务，同时提供IPSec的VPN隧道技术的支持。

5.5独立营业部设计其它地区的营业部当前在第一期工程时先采用一台 Cisco 2651多功 能路由器经过1条256Kbps 的DDN 长途链路与信息中心或区域中心 主路由器相连接，经过ISDN/PSTN 进行主链路的备份。

在广域网路由 器与内部局域网之间采用一台防火墙 ，在完成安全防卫任务。