第五部分集成方案建议书5.1、现状概述 (2)5.2、需求分析 (3)5.2.1、广域网线路需求 (5)5.2.2、网络设备需求 (5)5.2.3、系统集成需求 (6)5.2.4、网络安全需求 (6)5.2.5、路由协议需求 (7)5.2.6、QoS需求 (7)5.3、网络设计的原则 (7)5.4、系统集成方案 (8)5.4.1、项目建设步骤 (8)5.4.2、网络建设规划 (15)5.4.3、路由协议规划 (17)5.4.4、安全措施规划 (18)5.4.5、QOS规划 (20)5.4.6、IP地址规划 (22)5.4.7、网络管理 (22)5.4.8、冗余性规划 (23)5.4.9、CWDM技术 (24)5.4.10、其他技术建议 (30)5.1、现状概述内联网是人民银行系统内部业务网络的简称。

它是人民银行主要的办公网络，承载着人民银行内部的一切办公业务，例如ABS、TBS、OA、Notes（省内）、帐户管理、公文传输（省内）、视频会议、调查统计、货币金银管理、货币发行、业务处理等十几个重要的业务系统，属于湖北省人民银行系统的数据中心，它的核心网络设备是武汉分行的下联Cisco7507和Cisco7304路由器。

它们分别采用2条以太网线路上联7507和7609骨干路由器；2条和1条2M SDH线路下联市（州）中支的Cisco3640和H3C AR4640路由器；1条40M线路和3条2M SDH线路下联营管部。

两台7609路由器分别采用3条2M的SDH上联总行科技司和金电公司，分别采用1条2M的SDH线路下联南昌和长沙中支。

外联网是指人民银行内联网与专业行专用的、有控制互访的网络平台，承载着人民银行大多数的外联业务，包括大额支付、小额支付、帐户管理、征信管理、信贷查询、反洗钱、同城票据处理等几个重要业务系统，属于湖北省人民银行系统监管专业银行以及为专业银行提供服务的网络通道。

人民银行的各系统（CCPC和网间互联平台）通过营管部的支付和同城天融信防火墙分别连接2台Cisco7507路由器，经这2台路由器采用2条互为备份的2M SDH线路外联武汉的多家金融机构和非金融机构。

外联网上采用了严格的访问控制、路由过滤、高性能的防火墙、以及将外联服务器放置在DMZ区等手段，保障了我行省重要资金系统数据流的安全。

5.2、需求分析随着前几年大小额支付系统，今年的票据影像系统及身份证查询系统的上线，人民银行网络的金融枢纽地位日益突出，特别是这几年的数据整合，系统及网络向总行、分行、省会集中，总行、分行及省会中支两级数据中心正在形成，分行及省会网络已成为整个社会的重要金融基础设施。

因此总行去年对人民银行网络规划做了一个大的调整，重点强调了人民银行网络按需求进行分离，加强安全可靠、稳定高效运行，规避风险，今年首先实现省级同城通信转接中心和省级内网建设。

虽然目前在武汉分行机房网络设备及线路都是热备，为人民银行各应用系统在湖北省范围内提供不间断的网络通信服务，但仍然存在单一网络中心发生重大火灾、所在区域通信线路大面积故障、电力中断、类似于911的恐怖袭击和地震导致的大楼爆炸、坍塌等风险，因此迫切需要建立同城通信转接中心，将人民银行网络建设成为一个真正高稳定、高可靠、高性能的基础通讯设施，满足当前不断快速发展的人民银行业务通信需求。

同时根据国家电子政务网络建设要求以及《中国人民银行计算机通信网络总体规划》，人民银行计算机通信网络将划分为内网、外网、互联网和专网。

目前主要是将当前武汉分行的内联网隔离建设成为内网和外网。

内网是承载人民银行系统内部办公、业务应用的网络，不与人民银行系统外的任何单位进行网络互联。

外网是人民银行系统提供对外连接的网络，主要运行人民银行面向各金融机构及相关单位提供金融服务的专业性业务和不需要在内网上运行的其他业务。

进行网络划分的目的是为了更好的进行安全隔离，隔离内部应用与外部应用，重要核心系统与一般系统；满足国家电子政务网络建设的要求，加快人民银行计算机通信网络规划及建设工作，建立一个标准规范、安全可靠、统一高效的网络平台。

在进行内外网建设的同时将目前内外网广域网的联通、电信和网通的2M SDH 线路割接到相应的STM1线路上。

A、同城通信转接中心建立同城通信转接中心的目的是为应对湖北省数据中心存在的各类风险，提高湖北省数据中心抵抗风险的能力，保障湖北省城市分支机构及其辖区内各分支机构人民银行各项业务的顺利开展。

同城通信转接中心可以避免以下三大类风险：1、整个数据中心大楼瘫痪，业务系统主机和网络系统全部瘫痪；2、业务系统主（备）机瘫痪，而网络系统正常运行；3、网络系统瘫痪，而业务系统主机正常运行。

建立同城通信转接中心，要将湖北省数据中心网络节点上联路由器和下联路由器的备机迁移至营管部的同城通信转接中心，上联总行备份路由器的备份线路、下联辖内各市（州）中支备份路由器的网通和联通线路迁至同城通信转接中心与相应的备份路由器设备相连，同时将下联线路割接到STM1线路上；将营管部外联金融机构和专业银行的备份路由器及联通STM1线路迁至分行中心机房；在分行中心机房建设外联备份防火墙。

由于分行中心机房与同城通信转接中心分别位于江南和江北楼，它们之间通过租用裸光纤加波分复用设备来实现网络连接。

B、内外网建设根据总行技术规范和要求对内联网进行分离为内网和外网。

内网是承载人民银行系统内部办公、业务应用的网络，不与人民银行系统外的任何单位进行网络互联。

外网是人民银行系统提供对外连接的网络，主要运行人民银行面向各金融机构及相关单位提供金融服务的专业性业务和不需要在内网上运行的其他业务。

内网广域网线路改造，将主线路割接到电信155M的STM1上，连接十二个市（州）中支和一个营管部。

5.2.1、广域网线路需求1、需要在分行与营管部之间新租赁不同电信运营商的裸光纤4芯。

2、需要将原有内联网广域网2M SDH线路割接到155M CPOS上。

5.2.2、网络设备需求1、需要为下联7507增加2块CPOS板卡，为7304增加一块CPOS板卡。

2、需要为营管部2台外联7507路由器增加以太网板卡。

3、需要为分行和同城通信转接中心的DMZ各增加2台交换机。

4、需要为分行和同城通信转接中心（设在营管部机房）间增加一套波分设备。

5、需要为这些设备增加网线、水晶头和光纤跳线。

5.2.3、系统集成需求1、需要搬迁备份7609路由器到营管部2、需要搬迁备份7304路由器到营管部3、需要搬迁备份7507路由器到分行4、需要安装总行下发的2台公共交换机5、需要安装总行下发的2台内网核心交换机6、需要修改现有核心交换机的配置7、需要安装总行下发的2台同城转接中心交换机8、需要安装总行下发的7609路由器9、需要安装总行下发的楼层交换机、外联交换机、接入交换机、内容交换机等设备。

5.2.4、网络安全需求1、本项目是在生产网进行改扩建的项目，对原有业务系统应用的安全，需要充分的保障，要做好项目实施前的准备和调研工作。

2、内外网建设时，核心交换机为独立的交换机，各自的局域网中，必须划分VLAN；采用不同的IP地址段。

3、需要根据内外网业务修改原有内联网核心交换机上的访问控制列表，以适应需求。

5.2.5、路由协议需求1、新增的网络设备需要添加原有的BGP和OSPF路由协议。

2、内外网公用骨干网络资源，需要修改原有的策略路由。

3、增加外联交换机需要修改外联OSPF路由。

5.2.6、QoS需求需要修改原有的QoS策略，采用内外网局域网标记，路由器上部署策略的方法。

5.3、网络设计的原则为达到网络建设的目标要求，在网络建设中，应始终坚持以下原则：高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。

标准开放性：支持国际上通用标准的网络协议（如TCP/IP）、国际标准的大型的动态路由协议(如BGP,OSPF)等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。

灵活性及可扩展性：根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。

可管理性：对网络实行集中监测、分权管理，并统一分配带宽资源。

选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。

安全性：制订统一的全网安全策略，整体考虑网络平台的安全性。

可以通过各业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网（subnet），相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。

统一标准、统一平台：网络的互联及互通关键是对相同标准的遵循，在网络中，由于有多个网络并存，要使这些网络能融合到一起，实现业务整合及数据集中等业务，就必须统一标准。

在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。

本系统涉及科技司、金电公司、清算总中心、武汉分行、市（州）中支、金融机构和非金融机构，网络建设应统一规划、分步部署、综合协调。

根据实际业务需求网络设计逻辑上继续延续了目前已有网络结构，采用按照行政机构组织模式和业务流程组网的方式，全网采用树型结构，实施起来比较容易，管理层次比较清晰。

5.4、系统集成方案5.4.1、项目建设步骤整体网络工程项目建设步骤如下：1、整合营管部外联防火墙，并将整合后的支付防火墙直接与分行核心交换机连接，修改支付防火墙内网口互连地址，并相应修改牵扯到这个地址的路由。

2、将营管部内联网上下联路由器整合为2台，将停用的7304用于本次项目建设。

3、安装调试公共交换机、内核心交换机和同城转接中心交换机，修改原内联网核心交换机（现外网核心交换机）网络连接、网间网地址、路由和QoS等配置，以满足业务需求。

4、将下联7304路由器搬迁到同城通信转接中心，并将与其连接的线路割接到同城通信转接中心的CPOS线路上。

5、下联7304稳定后，再将上联7609路由器搬迁到同城通信转接中心，并将其线路割接到同城通信转接中心。

6、按照营管部同城通信转接中心的拓扑，建设分行外联区域。

7、将外网的核心业务在同城通信转接中心和分行机房间切换，满足备份要求，完成项目建设。

下面对方案进行详细的描述。

5.4.2、网络建设规划根据用户需求，经过我公司技术专家组讨论，建议先进行营管部防火墙和内联网的整合；然后再进行分行中心机房的建设，包括安装调试公共交换机和内网核心交换机、替换外联交换机和DMZ交换机、安装波分复用设备、调整网络设备的连接、割接下联7507路由器上2M的SDH线路到155M CPOS上；接着建设同城通信转接中心，包括安装调试同城通信转接中心交换机、DMZ及外联交换机，搬迁下联7304并割接2M的SDH路到CPOS上、搬迁上联7609并割接线路；最后进行分行机房外联部分建设，包括安装防火墙、DMZ及外联交换机、搬迁外联7507路由器并割接线路、迁移应用系统等。