商业银行网络系统规划与设计

网络集成实训课程设计任务书目录第一章 需求分析4一、某城市商业银行网络系统规划背景与设计需求4二、城市商业银行的网络建设目标5第二章 网络方案设计7一、方案设计目标7二、方案设计原则8三、方案说明9四、IP划分与VLAN划分14五、关键技术的实现 15六、方案特点17第三章 产品选型分析18一、设备清单 18二、产品选型分析19第四章 主要配置文件（附件）36一、核心层配置 36二、汇聚层配置37三、接入层配置43前言互联网科技日新月异，飞速发展。人们在金融消费上的观念发生 了巨大的变化，如果银行想要适应这种变化以提升竞争力并且通过它 来盈利，银行就必须随着这些变化做出了相应的调整和适应，就要提 供稳定、高效的高质量服务。本规划就是在此前提下做出来的，它提 供了一种妥善的解决方案，并且同样适用于其它同类型的银行联网建 设。为了适应原有计算机网络的发展和扩大，以及适应各企业、事业 部门筹建新的计算机网络，从事通信事业的部门和公司纷纷建立公用 数据通信网络，增设各类数据通信服务项目。使用公用数据通信网时， 不需要铺设或租用专用线路，所以投资少、通信费用低，便于中小型 企事业单位的计算机和终端入网。另外由于采用标准通信接口设备， 还易把新型计算机和终端连入网内。再有由于有了公用数据通信网作 为基础后，想要筹建新的计算机网络时，只要根据使用者的要求和资 源设置情况，制定较高级别的网络协议，并在相应主机系统上用本国 相应协议的支持软件即可。一般地说，在公用数据通信网的基础上可 以建立多个类型、功能、协议均不相同的计算机网络。因此，同一主 机系统可以从用于不同的计算机网络，只要在同一主机中配置不同的 网络所需要的基本软件就可能做到这一点。更进一步，如果在不同计 算机网络之间，群制定网络互连协议配置相应软件，就能构成更复杂 的、规模更大的计算机网络。第一章 需求分析一、某城市商业银行网络系统规划背景与设计需求某城市商业银行由银行总部和 10 个营业网点构成，营业网点遍布全市各区域。银行总部设办公室、人力资源部、计划财务部、市场 营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、 资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理 部等十多个部门，每个部门电脑用户情况如下：部计划财市场营客户服资金运会计结资产评信息网门务部销部务中心营中心算部估部络中心信息点数量30604040383520其他部门用户信息点数量为 15 个左右。各营业网点的电脑用户（包括自动柜员机）不超过20 台，银行数据中心设于银行总部信息网络中心。为保证银行业务的正常进行，须在全市范围内建设一个城市商业银行专用通信网，实现银行总部与各营业网点安全、可靠的互连互 通。The HeadquarterDistributon of The Headquarter and Sales Network银行总部与菅业网点分布图二、城市商业银行的网络建设目标1. 在全市范围内建设一个城市商业银行专用通讯子网，2. 建立一个多协议的数据网络，并在所有的通讯子网接入节点上 支持TCP/IP计算机网络协议。3. 在通讯子网上具有规模可扩充性，在计算机网上具有网络可升 级性。4. 网管系统应具有对整个通讯子网进行监控管理的能力，网管应用应当是统一的。5. 实现银行总部与各营业网点信息安全，防止恶意攻击与破坏。6. 具有数据的冗余备份，在发生灾害时能确保数据有效的恢复第二章 网络方案设计一、方案设计目标1. 在全市范围内建设一个商业银行专用通讯子网 ,一个多协议的 数据网络，并在所有的通讯子网接入节点上支持TCP/IP计算机 网络协议。2. 具备接入所有业务系统的能力，支持各业务系统所要求的计算 机网络协议，而且具有多种常用网络协议的支持，保证在有新 的业务应用时，可以提供有力的支持。3. 在城区网上能够将业务、办公自动化集成在同一个网络中，以 充分利用信道带宽。在保证目前应用的情况下，使网络具有一 定的先进性，保护用户的投资。4. 具有相对完善的网管系统，能对计算机网络进行有效的监控管 理，优化网络流量，提高网络运行的安全性，通过日志文件等 多种手段，保证网络的高效运行。通过以上几个目标的努力，使商业银行的计算机网络具有更好的 先进性、可靠性、安全性和可扩展性。二、方案设计原则2.1、先进性：网络技术应为当期国际同业中先进的，并能支持 未来网络技术的高性能需求，并且在业界表现出较高的网络性能；2.2、安全性：能有效防止网络的非法访问，保护关键的数据不被 非法窃取、篡改或泄漏，使数据具有极高的安全性；2.3、可靠性：整个网络系统应具有很高的安全可靠性，必须满足7X24X365小时连续运行的要求。在通信故障发生时，网络设备可 以快速自动地切换到备份链路或设备上；2.4、实用性：整个网络系统要按照实用、好用的原则，使网络具 有较高的实用性；2.5、时效性：网络要保证各类业务数据流的及时传输，网络时效 性要强，网络延时要小，确证业务交易的实时高效完成。2.6、完整性：网络系统应实现端到端的，能整合数据、语音和图 象的多业务应用，需要在全网范围统一的实施安全策略、QoS策略、 流量管理策略和系统管理策略的完整的一体化网络；2.7、成熟性：本网络系统需要整合包括TCP/IP，语音和图象等 多种网络技术，只有成熟的平台和解决方案并在国内的银行用户成功 使用才可以保证关键业务系统有一个可靠的运行，以有利于业务发 展；2.8、可伸缩性：网络要具有面向未来的良好的伸缩性能，既能满 足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和 与其它机构或部门的连接等对网络的扩充性要求；2.9、效益性：网络的投资应随网络的伸缩能够持续发挥作用，保 护网络的投资，充分发挥网络投资的最大效益；2.10、可管理性：网络要应用统一的网络管理平台实现对整个网 络系统、设备、安全性、数据流量、性能等的监控和管理，并可方便 直观的进行远程管理和故障诊断。2.11、可实施性：整个网络解决方案的实施要便于实际的实施， 并在实施过程中要保证现有网络和切换的完整性和一致性，确保实施 工作的正常、顺利。三、 方案说明3.1 广域网信息流量计算据统计，一个清算网点日平均处理同城票据为150 笔，交易包的 大小平均为512字节，每笔交易平均需要6 次网络存取，并集中于一 日的四个小时内发生。单个网点的通信量:用户数据量二交易笔数X交易包字节数X交易包往返次数=150X512X6 =460800 字节占用网络带宽每个网点通信流量的平均值二用户数据量三时间=460800X8三（4X3600） =256bps考虑到远程网络通信协议的开销和其他开销（如网管等），每个网点通信流量的平均值为256X2=512bps。城市商业银行营业网点的电脑用户（包括自动柜员机）不超过 20 台，按20台计算；营业网点与总行通信流量为：网点数X每个网点的流量=20X512bps=10.24kbps,考虑将来应 用系统的增加等，可选用32k的DDN数据专线。同时，考虑到数据备份的需要，可申请ISDN专线用于银行营业 网点与银行总部的备份。3.2 解决方案总体网络拓朴如下：S?C)P6C SISh I es Ned wnr k尹DNIrtlArnAEDepar AreaAR23wo叮取姣线双级纯iocor光釘Q C haiinelFi irewal N AS3SZGCDAccess LayerISDNAdminCore LayerD i str ibutu Layer城市商业银行 拓扑图Data Center城市商业银行的网络建设结构33银行总部网络设备的采用、命名与连接3.3.1、银行总部核心部位用两台Quidway S6503高端多业务交 换机，命名为S6503A和S6503B,两台交换机用2根1000Base-T进行 链路聚合，实现数据的快速交换和设备的冗余。3.3.2、接入广域网部份用两台Quidway R3680E-RPS模块化中 心路由器,命名为R3680EA和R3680EB；核心交换机S6503A和S6503B 通过用R3680EA作为与营业网点的DDN接入，用R3680EB作ISDN备 份链路接入路由。3.3.3、用一台 Quidway SecPath 500F 防火墙与 S6503A 相连， 通过申请10M的ADSL接入INTERNET，实现访问INTERNET与网上银 行等业务的接入。用一台Quidway SecPath 10F防火墙R3680EB相 连，通过申请2M的ADSL接入INTERNET，实现访问INTERNET与网上 银行等业务的接入备份。3.3.4、数据中心的汇聚层采用两台Quidway S3526C千兆三层交 换机与核心交换机S6503A和S6503B相连，分别命名为S3526CA和 S3526CB。3.3.5、各部门网点的汇聚层采用两台Quidway S3526C千兆三层 交换机与核心交换机S6503A和S6503B，分别命名为S3526CC和 S3526CD。3.3.6、网络管理平台通过一台Quidway S1208千兆以太网交换机 交换机接入S6503B。3.3.7、在核心层的核心交换机 S6503A 上连接 QuidwaySecEngine D200入侵检测系统34银行总部部门局域网The Headquarter Departments Networkri H：kICON银行总部部门网络3.4.1、在部门汇聚层上采用两点S3526C交换机；S3526CC作为 部门1至部门7的主交换机，作为部门8至部门13的从交换机（备 用交换机），S3526CD作为部门8至部门13的主交换机，作为部门1 至部门7的从交换机（备用交换机）。3.4.2、在S3526C上划分VLAN同时启动GVRP协议和STP协议， 各个部门划分到不同的VLAN里，提高网络的性能。3.4.3、在S3526C 上做访问控制，提高部门间的信息安全。3.4.4、各部门接入层交换机均与两台汇聚层交换机S3526CC和S3526CD相连，链路采用trunk封装。3.4.5、将部门接入层交换机的端口划分到相应的VLAN。3.5营业网点方案3.5.1、各营业网点的接入广域网部份用一台QuidwayAR28-09B 模块化中心路由器作为与营业网点的DDN接入与ISDN备份链路接入 路由。3.5.2、营业网点的电脑用户（包括自动柜员机）信息节点通过一台 S2026C-SI交换机与AR 28-09B路由器通过100base-T相连。3.5.3、营业网点局域网可根据需求划分VLAN。四、IP划分与VLAN划分4.1全网IP划分总部IP划分（掩码均为24）部门信息数量IP范围VLAN网关银行总部办公室1510.1.1.1-10.1.1.15210.1.1.254人力资源部1510.1.2.1-10.1.2.15310.1.2.254计划财务部3010.1.3.1-10.1.3.30410.1.3.254市场营销部6010.1.4.1-10.1.4.60510.1.4.254客户服务中心4010.1.5.1-10.1.5.40610.1.5.254资金运营中心4010.1.6.1-10.1.6.40710.1.6.254会计结算部3810.1.7.1-10.1.7.38810.1.7.254资产评估部3510.1.8.1-10.1. 8.35910.1. 8. 254资产管理中心1510.1.9.1-10.1.9.151010.1.9.254信息网络中心2010.1.10.1-10.1.10.201110.1.10.254党群工作部1510.1.11.1-10.1.11.151210.1.11.254安全保卫部1510.1.12.1-10.1.12.151310.1.12.254物业管理部1510.1.13.1-10.1.13.151410.1.13.254网管中心IP划分（掩码均为24）网管中心1510.1.14.1-10.1.14.151510.1.14.254数据中心1510.1.15.1-10.1.15.151510.1.15.254营业点IP划分（掩码均为24）营业点信息数量IP范围网关营业点12010.2.1.1-10.2.1.2010.2.1.254营业点22010.2.2.1-10.2.2.2010.2.2.254营业点32010.2.3.1-10.2.3.2010.2.3.254营业点42010.2.4.1-10.2.4.2010.2.4.254营业点52010.2.5.1-10.2.5.2010.2.5.254营业点62010.2.6.1-10.2.6.2010.2.6.254营业点72010.2.7.1-10.2.7.2010.2.7.254营业点82010.2. 8. 1-10.2.8.2010.2.8.254营业点92010.2.9.1-10.2.9.2010.2.9.254营业点102010.2.10.1-10.2.10.2010.2.10.2544.2设备IP划分（掩码均为30, int表示interface）设备接口/逻辑端口IP地址设备接口/逻辑端口IP地址S6503Aint vlan 10010.1.100.1S3526CAint vlan 10110.1.100.2S6503Aint vlan 10110.1.100.5S3526CBint vlan 10110.1.100.6S6503Aint vlan 10210.1.100.9S3526CCint vlan 10110.1.100.10S6503Aint vlan 10310.1.100.13S3526CDint vlan 10110.1.100.14S6503Aint vlan 10410.1.100.17防火墙1LAN 口10.1.100.18S6503Aint vlan 10510.1.100.21IDS10.1.100.22S6503Aint vlan 10610.1.100.25R3680EAint G0/110.1.100.26S6503Aint vlan 10710.1.100.29R3680EBint G0/110.1.100.30S6503Aint Virtual-Template 110.1.100.33S6503Bint Virtual-Template 110.1.100.34S6503Bint vlan 10010.1.101.1S3526CAint vlan 10210.1.101.2S6503Bint vlan 10110.1.101.5S3526CBint vlan 10210.1.101.6S6503Bint vlan 10210.1.101.9S3526CCint vlan 10210.1.101.10S6503Bint vlan 10310.1.101.13S3526CDint vlan 10210.1.101.14S6503Bint vlan 10410.1.101.17R3680EAint G0/210.1.101.18S6503Bint vlan 10510.1.101.21R3680EBint G0/210.1.101.22五、关键技术的实现5.1、核心层的两台S6503交换机实现端口汇聚，增加S6503A与S6503B 的互边链路的带宽，并且能够实现链路备份。5.2、在核心层的两台S6503交换机创建VLAN，启用GVRP协议。5.3、银行总部各部门汇聚层交换机S3526C划分各部门VLAN,同 时启用GVRP协议。在部门交换机上启用GVRP协议，并把端口划 分到相应的 VLAN。5.4、银行营业网点与银行总部网络通过DDN专线连接。5.5、在DDN接入路由器R3680EA 上做策略路由；正常情况下：当数据来自营业网点 1 至营业网点 5 时，把数据 向S6503A发送；当数据来自营业网点6至营业网点10时，把数 据向 S6503B 发送。当一台核心交换机发生故障时，所有数据转 向另一台正常的交换机。5.6、对银行营业网点与银行总部网络用ISDN做备份链路。5.7、在ISDN接入路由器R3680EB 上做策略路由；正常情况下：当数据来自营业网点 1 至营业网点 5 时，把数 据向S6503A发送；当数据来自营业网点6至营业网点10时，把 数据向 S6503B 发送。当一台核心交换机发生故障时，所有数据 转向另一台正常的交换机。5.8、在核心层的两台S3526C交换机上启用VRRP；VLAN2至VLAN7的数据在正常情况下网关指向S3526CC，当S3526CC出现异常时VLAN2至VLAN7的网关自动指向S3526CD； VLAN8至VLAN14的数据在正常情况下网关指向S3526CD，当 S3526CD出现异常VLAN8至VLAN14的网关自动指向S3526CC。实 现核心的负载均衡和避免单点故障。六、 方案特点6.1、业务接入一体化；即：Quidway R3680E系列路由器网点解 决方案可以综合实现IP、IPX、SNA等多协议接入，一体化接入 ATM终端、哑终端、智能终端、0A以及IP语音等等。6.2、网络安全一体化；通过Quidway R3680E设备直接提供的多 种二层、三层的VPN技术，例如：PPTP、L2TP、GRE、IPSEC、IKE等 等，数据加密方面提供MD5、SHA、DES、3DES以及硬件序列加密卡等 的支持，使得所有加密和VPN功能可以集成到一台路由设备上完成， 不再需要添置加密机等设备，网点成本更低，同时安全性、可管理性 更强，同时对应VPN以及加密需求。6.3、链路备份一体化；华为公司VRP网络操作系统专有的BACKUP CENTERTM （备份中心）技术，可以实现广泛的备份功能支持，可以实现 物理链路之间、逻辑链路之间、物理链路与逻辑链路之间、以及设备 间备份，保障网络的高可靠性。华为Qudiway综合网点解决方案提 供拨号备份功能的同时，支持配置CALL BACK功能，从而使得解决方 案整体安全性更上一层楼。第三章 产品选型分析、设备清单项目产品描述数量一、银行总部设备1.1、核心交换机1.1.1S6503Quidway S6503咼端多业务交换机21.1.2iSalience IiSalience I型交换路由处理板21.1.3LS-6500-GT2020 端口 10/100/1000BASE-T 千兆以太网业务板(LS-6500-GT20)21.2、汇聚层设备1.2.1S3526CQuidway S3526C千兆二层交换机41.2.21000Base-T1000Base-T 模块41.2.3R3680E-RPSR3680E-RPS模块化中心路由器，21.2.4RT-2SA2端口同异步串口模块51.2.5100BaseT1 端口 100BaseT 模块21.2.6RT-4BS4端口 ISDN BRI模块31.2.7500FQuidway SecPath 500F 防火墙11.2.810FQuidway SecPa th 10F 防火墙1.2.9D200Quidway SecEngine D20011.3、接入层设备1.3.1S2026C-SIQuidway S2026C-SI可堆叠以太网交换机201.3.2堆叠模块堆叠模块141.3.3S1208Quidway S1208千兆以太网交换机1二、营业网点设备2.1 Internet接入路由器2.1.1AR28-09BQuidway AR 28-09B智能业务分支路由器102.1.2SIC-1SASIC-1SA （高速同/异步串口智能接口卡）102.1.3SIC-1/2BSSIC-1/2BS（ISDN-S 口智能接口卡）102.1.4S2026C-SIQuidway S2026C-SI可堆叠以太网交换机10二、产品选型分析42 l、Quidway S6503高端多业务交换机Quidway S6500系列高端多业务路由交换机是华为3Com公司面 向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、 模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换 机或城域网汇聚层交换机。Quidway S 6 5 0 3能够为数据中心提供超高速链路，打造低成本、 高性能、具有丰富业务支持能力的高性能网络。QuidwayS6503提供 大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的 业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠 设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、 模块化的需求。Quidway S6500系列高端多业务交换机的特点可以用一句话来概 括：“多快好省、高而不贵”。“多”：产品系列多、引擎规格多、接口板类型多。有利于简化 网络结构，降低建网成本。引擎规格多：基于新一代ASIC技术的Salience系列交换路由 引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建 高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎， 可以根据用户的需求在系列化机箱上进行灵活配置。接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口 提供100m-100km可选择的传送距离；提供4 口/单板-48 口/单板的 接口密度；提供多种组合接口板，全面满足客户需求。快：采用先进体系结构设计，交换容量高达768G，支持新一代万 兆线速接口，提供网络高性能。先进的体系结构：S6500采用全分布式体系结构设计，采用功能 强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速 报文交换，从而大大提升了路由交换机的转发性能和扩充能力。好：支持强大的QoS能力和精细化用户管理，高可靠、高安全设 计，采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的 QoS能力和精细化用户管理：每端口支持8个硬件队列，带宽控制粒 度可达64Kbps；强大的用户管理、认证计费功能支持；支持CAMS （综合访问控制管理服务器）系统，提供专业用户管理、计费解决方 案；内置IEEE 802.1X认证服务器功能。内置DHCP SERVER功能。完善的安全机制：支持标准Radius协议，同时提供Radius+功能； 支持TACAS+协议；HCBM （华为可控组播管理协议）功能支持；保证 对用户的精确认证。支持SSH V1/2。基于最长匹配的路由方式，保 证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病 毒”的攻击具有天生的防御能力。智能业务扩展：能够提供高速的NAT数据流转发，支持动态NAT 功能、动态NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT 黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL 的策略路由。支持NetStream功能，能够对通过交换机的网络流量进 行精细化统计。省：极高的性价比，为客户量身打造，总有一款适合您；性能、 业务可平滑扩展升级，保护用户投资。强大的扩展性能：S6500具有强大的性能和业务扩展能力；背板 带宽高达1.6Tbps；采用智能业务扩展模块可以实现灵活的智能化业 务能力，如 NAT/MPLS/Web Switch/Net Stream/IP v6 等高级业务特 性，从而有效保障用户的投资。选择S6503主要是因为S6503的背板容量$640Gbps，交换引擎 支持 iSalienceI .Salience叫II 96G、alience叫II 384G、alience 叫II 768G，插槽数量为4。4.2. 2、Quidway S3526C千兆三层交换机Quidway S3500系列快速智能三层交换机是华为3Com公司为充分 满足高QOS保证的需求而推出的智能型以太网交换机，包括S3526C、 S3526E FS、S3526E FM 三款类型。全线速的多层交换：Quidway S3500系列快速智能三层交换机12.8Gbps的总线带宽 为交换机所有的端口提供三层线速交换能力，最大提供32个子网路 由接口，硬件支持层线速交换，能够识别、处理四到七层的应用业务 流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不 同的流进行不同的管理和控制。完备的安全智能控制策略：Quidway S3500系列快速智能三层交换机支持802.1x认证，在 用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、 VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进 行设置，保证网络的受控访问。丰富的QOS策略：Quidway S3500系列快速智能三层交换机通过对ACL的引用来完 成QoS流分类规则的定义，支持基于二层、三层、四层和端口的信息 作为匹配依据的复杂流分类；根据服务质量要求的为不同数据流网络 流量设置传输优先级标记，满足视频、语音等重要应用的需求。提供了两种各具特色的队列调度算法，严格优先级（Striet-Priority Queue，简称 PQ）、加权轮循（Weighted Round Robin，简称WRR）调度算法和Delaybounded WRR调度算法。支持带宽控制功能，确保进入交换机的特定业务流一个最小的带 宽，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等 QoS需求。支持CAR （Committed Access Rate）功能，流量限速的粒度为 1Mbit/s。多样的管理方式：Quidway S3500系列快速智能三层交换机支持SNMP,可支持Open View等通用网管平台，以及Quidview、iManager网管系统。支持 CLI命令行,Web网管，TELNET，HGMP集群管理，使设备管理更方便。 S3526C： 24个固定的10/ 100M以太网口、2个前扩展模块插槽，在 前面板，用于连接100M/1000M模块和堆叠模块；安全：分级命令保 护机制、ACL过滤、双网卡proxy检测。在这里主要是用到S3526C 的安全机制来保证信息数据的安全传递。4.2. 3Quidway R3680E-RPS 模块化中心路由器，QuidwayR3680E-RPS （冗余电源）模块化中心路由器是华为3Com 公司开发的面向企业级的网络产品，使用VRP （通用路由平台），提 供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功 能，支持SNA/DLSw、VoIP、VoFR特性等，提供丰富的备份方案及QoS 特性；硬件采用模块化结构，具有更高的处理能力和更大的接入密度， 既适合于在中小型企业网中担当核心路由器，也可以在大型网络中担 当汇聚层路由器。互连协议：以太网、桥、帧中继、X.25、HDLC、SDLC、LAPB、SLIP、 PPP、PPP头压缩、MP、ISDN、PPPoE Client、按需拨号、拨号串循 环备份、PPP/ISDN回呼、L2TP建立二层隧道、GRE建立三层隧道、 宽带接入。网络协议：DHCP、VLAN、IPX、DLSw、RIPT/RIP-2、OSPF、BGP、 策略路由、组播、路由负载分担、地址借用、TCP报文头压缩、路由 策略。应用层协议及业务特性： Telnet 、 S S H 、 Rlogin 、 dumb terminal 、 增强安全特性的终端接入服务器、金融POS接入特性、RTC、LPD、FTP、 Ping及NTP应用层协议或业务特性。网络安全：登录用户认证、RADIUS/ HTACACS认证/计费、IPSEC、 IKE、硬件加密卡、防火墙支持对接口/时间段/MAC地址的过滤、高 性能NAT。网络可靠性：接口/子接口间的物理层备份，虚链路/虚模板/拨号 接口/逻辑接口间的链路层备份,动态路由实现网络层备份、VRRP实 现设备层备份。语音特性：静音压缩、舒适噪音、语音防抖动、音量调节、PBX 交换机功能模拟、主叫号码识别、自动忙音检测、灵活VOIP选路与 备份策略、IP传真、语音RADIUS、GK Client、IPHC、语音QoS。服务质量：流量分类和流量监管CAR/LR、流量整形GTS、拥塞管 理 PQ/CQ/WFQ/CBQ、拥塞避免 WRED。配置管理：中英文双语、命令分级保护、tracert/ping/debugging 故障诊断功能、RMON、SNMPvl/v2c/v3、系统日志、可通过FTP或TFTP 进行系统升级、可通过 Console/AUX/X.25 PAD/Telnet/反向 Telnet 等方式进行配置。电信级设备：提供RPS冗余电源；高可靠性；采用更高主频的CPU, 提升了处理性能；增加了 MPLS、ISIS、OSPF多进程等特性；提供备 份中心技术、VRRP，大大提高网络可靠性。安全和认证：采用独有的电源安全技术,保证浪涌、过压、低压、 过流等现象能够被防护，输出稳定、可靠性高，并支持瞬时断电保护。 采用屏蔽电磁辐射的标准19”机箱。提供抗震、抗高低温性能。通 过CE认证和信息产业部电信设备入网测试并获得信息产业部电信设 备入网证。4.2. 4、Quidway SecPath 500F 防火墙Quidway SecPath 500F防火墙是华为3Com公司面向大型企业 用户开发的新一代专业千兆防火墙设备。支持外部攻击防范、内网安 全、流量监控、网页过滤、邮件过滤、应用层过滤等功能，能够有效 地保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和 异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警， 支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全 管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种 VPN 业务，如 L2TP VPN、GRE VPN、IPSec VPN、SSL VPN 和华为动态 VPN 等，可以构建 Internet、Intranet、Remote Access 等多种形式 的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略 路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调 度策略；提供双机状态热备功能，支持 Active/Active 和 Active/Backup两种工作模式，实现负载分担和业务备份。提供企业网络的安全保障和防护功能防火墙安全过滤能力：支持基础、扩展和基于接口的状态检测 包过滤技术，支持按照时间段进行过滤；支持华为3Com专有ASPF应 用层报文过滤(Application Specific Packet Filter)协议，支持 对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、 HTTP、SMTP、RTSP、H.323 (包括 Q.931，H.245，RTP/RTCP 等)应 用层协议，支持TCP/UDP应用的状态监控。提供多种攻击防范技术：包括多种DoS/DDoS攻击防范、ARP欺 骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击 防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定 向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项 IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支 持智能防范蠕虫病毒技术。支持细粒度内容过滤能力：支持邮件过滤、SMTP邮件地址过滤、 SMTP邮件标题过滤、SMTP邮件内容过滤；支持网页过滤，HTTP URL过滤、HTTP内容过滤；支持应用层过滤，提供Java Blocking、ActiveXBlocking和SQL注入攻击防范。支持多种安全认证技术：支持RADIUS和HWTACACS协议及域认 证，实现对接入用户的验证、授权和计费；在PPP线路上支持CHAP 和PAP验证协议；支持基于PKI /CA体系的数字证书(X.509格式) 认证功能；支持用户身份管理，不同身份的用户拥有不同的命令执行 权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限； OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可靠性。强大灵活的管理功能：提供各种日志功能、流量统计和分析功 能、各种事件监控和统计功能、邮件告警功能。全面的NAT应用支持：提供多对一、多对多、静态网段、双向 转换 、Easy IP 等地址转换方式，在一个接口上支持多个不同的地 址转换服务；通过内部服务器可以向外提供FTP、Telnet和WWW等服 务，实现通过公网访问私网服务的安全解决方案；支持多种应用协议 正确穿越 NAT，提供 DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP 等NAT ALG功能。支持丰富的VPN业务特性支持 L2TP VPN、GRE VPN、IPSec VPN、SSL VPN、华为动态 VPN 等多种VPN业务模式。利用华为专利VPN (DVPN)技术，实现穿越NAT网关、动态 IP地址灵活构建VPN网络。电信级设备高可靠性VRRP高达39,48年的平均无故障时间(MTBF)。远端链路状态监测(L3 moni tor)。 设备关键部件均采用冗余设计。支持机箱内部环境温度自动检测，并可通过网管自动采集告警 信息。支持双机状态热备功能，支持Active/Active和Active/Backup 两种工作模式，实现负载分担和业务备份。全面细粒度的QoS保证 支持流分类、流量监管、流量整形及接口限速。支持拥塞管理(FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ)。 支持拥塞避免(WRED)。 智能、高效、动态和图形化的管理：支持QuidView网管软件实现与网络设备的统一管理。 支持Web方式进行远程配置管理。支持QuidView BIMS组件对进行数量众多、位置分散的设备提 供智能和高效管理。支持QuidView VPN Manager组件对VPN进行动态和图形化的业 务管理和状态监控。SecPath 500F 防火墙的 FLASH： 16MB, SDRAM:缺省：512MB 最大:1GB4.2.5、Quidway SecPath 10F 防火墙Quidway SecPath 10F是华为3Com公司面向SOHO、小企业或 分支机构用户开发的新一代专业接入防火墙设备。支持外部攻击防 范、内网安全、流量监控等功能，能够有效的保证网络的安全；采用 ASPF状态检测技术，可对连接状态过程和异常命令进行检测；支持 AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足 可靠质量要求的网络；支持多种VPN业务，如L2TPVPN、IPSecVPN、 GRE VPN、华为动态 V PN 等，可以构建 In terne t、Int rane t、Rem ote Access等多种形式的VPN。提供企业网络的安全保障和防护功能防火墙安全过滤能力：支 持状态检测包过滤技术，还可以按照时间段进行过滤；支持华为3Com 专有 ASPF 应用层报文过滤(Application Specific Packet Filter) 协议；全面的NAT应用支持：提供Easy IP、多对一、地址池、ACL 控制等地址转换方式，在一个接口上支持多个不同地址转换服务；支 持多种安全认证：提供基于PKI /X.509的证书认证功能；支持RSA SecurID动态口令认证；在PPP线路上支持CHAP和PAP验证协议； 支持USB Key方式存储数字证书、配置信息以及用户名密码；支持用 户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视 图分级，不同级别的用户赋予不同的管理配置权限；支持与Radius服务器配合，实现对接入用户的验证、授权和计费；另外，OSPF、RIP2具有 MD5 认证功能，确保所交换路由信息的可靠性。支持丰富的VPN业务特性：支持 L2TPVPN、GREVPN、IPSec VPN、华为动态 VPN 等多种 VPN 业务模式；利用华为专利动态VPN （DVPN）技术，实现穿越NAT 网关、动态IP地址灵活构建VPN网络；支持通过QuidView VPN Manager组件进行统一网管和统一的 VPN隧道监控；支持通过华为3Com BIMS分支网点智能管理系统实现 VPN配置自动下发；全面细粒度的QoS保证：支持流分类、流量监管、流量整形及接口限速；支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）；支持拥塞避免（WRED）；SecPath 500F 防火墙的 FLASH： 8MB，SDRAM:缺省：64MB 作为备用的Quidway SecPath 10F接入防火墙能在主防火墙发生 故障时，确保网上银行等部份重要业务的不中断服务。4.2.6、Quidway S1208千兆以太网交换机S1208是8个10/100/1000Mbps自适应以太网端口的交换机，用 来做网管平台的接入交换机，可以满足对整个银行网络的各种安全监 控操作与维护。4.2.7、Quidway SecEngine D200 入侵检测系统。Quidway SecEngine D200 （以下简称D200）是华为3Com公司面 向企业用户开发的新一代专业入侵检测设备，可以作为中小企业的网 络出口或者内部关键子网的入侵检测设备。D200是华为3Com安全渗 透网络解决方案中的重要设备之一。D200提供三个固定的10/100M自适应以太网口，一个 10/100/1000M自适应的以太网口 ； D200采用华为3Com专门针对安全 领域应用度身定做的安全操作系统SecNOS, SecNOS可以根据不同的 应用进行扩展和裁减，并与上层的应用紧密结合，从而很好地保证了 设备自身的安全性。对于网络中可能存在的安全风险，例如黑客入侵、网络病毒和网络资源滥用等行为，D200可以进行有效检测并做出报警或与其他网 络设备联动实现实时阻止。D200可以对流经被保护网络的流量进行 基于三种技术的综合检测，包括：基于状态的内容特征匹配：采用了高精度的智能模式识别算法， 对协议交互特定阶段的报文进行检测，可以识别隐藏在正常业务流量 中的网络攻击的特征。协议分析：以网络层、传输层和应用层的常用协议为对象，记录 和分析协议交互的过程，为基于状态的内容特征匹配提供了状态依 据，并且可以有效的探测那些利用协议漏洞的网络攻击。流量分析：通过对网络流量规律的数学建模和智能统计分析，可 以有效地抵御DoS/DDoS攻击和扫描攻击。D200可以将检测到的异常和网络攻击的详细信息记入数据库，并 且可以根据用户预先的设定上报这些信息到统一的安全管理中心；同 时，通过开放的联动接口，D200可以通知交换机、路由器、防火墙 对网络攻击进行实时阻断，从而达到整体防御的目的，使安全技术深 入地渗透到网络技术当中。D200提供基于web的管理界面和统计分析工具，并且内置了数据 库，支持一站式部署。管理员的配置管理工作既可以通过传统的 Telnet命令行方式进行，也可以通过基于web的图形界面进行。命 令行管理方式和web管理方式，都可以通过安全协议（SSH或者HTTPS） 来保证管理流的安全性。对于大规模的部署和应用，D200也支持安全管理平台的集中式管 理。通过安全的传输通道，管理员可以对全网的SecEngine系列设备 进行统一的配置管理、策略部署和安全事件监控。对于收集到的网络 安全事件，管理员可以通过安全管理平台提供的多种智能分析和管理 手段对这些信息进行处理，并依据处理结果调整安全策略和防护手 段，从而提高网络安全的整体水平。4.2.8、Quidway AR 28-09模块化分支路由器Quidway AR 28-09B智能业务分支路由器是华为3Com公司自主 开发的边缘接入路由器。它采用模块化结构，在提供了集成的快速以太网接口、AUX 口和同/异步串口的同时，又提供了丰富的可选配的 智能接口卡SIC （Smart Interface Card，智能接口卡）及多功能接 口模块 MIM（Multifunctional Interface Module，多功能接口模块）。 与同类产品相比，Quidway AR 28-09B智能业务分支路由器具有更高的性价比和可扩展能 力，既适合于在一些大的分支机构中担当接入路由器，也可以在中小 型企业网中担当核心路由器，可与Quidway系列路由器、以太网交 换机一起为电信、ISP、金融、税务、公安、铁路等行业用户和大中 型企业用户提供全方位的端到端的网络解决方案。Quidway AR 28-09B智能业务分支路由器的软硬件特性符合国 际标准，保证了与其它厂家产品在各个层面上的互通，可最大限度地 保护用户的已有投资。4.2. 9Quidway S2026C-SI系列可堆叠以太网交换机Quidway S2026 SI系列以太网交换机是华为-3Com公司自主开发 的二层线速以太网交换产品，是为要求具备高性能、较大端口密度且 易于安装的网络环境而设计的智能型可网管可堆叠的交换机。支持的 业务如Internet宽带接入、企业网和园区网组网以及提供多播服务 功能，支持多播音、视频服务及视频点播（VOD）服务。全线速的二层交换：S2026 SI交换机内部提供9.6Gbps的总线带宽，为交换机所有 的端口提供二层线速交换能力，包转发率达到3.87Mpps。完备的安全智能控制策略：S2026 SI交换机支持802.1x认证，还可以做认证Server，在 用户接入网络时完成必要的身份认证，同时动态的配置VLAN，有效 的控制用户访问网络资源。该系列具备端口限速功能，可以最大16级的带宽控制粒度进行 端口带宽分配，控制用户的接入速率，防止恶意侵占网络带宽。交换机提供128个802.1QVLAN，支持MAC地址和端口绑定，广 播风暴抑制和端口锁定功能，保证接入用户的合法性。强大的堆叠能力：S2026 SI交换机提供良好的堆叠功能，最大堆叠16台设备，还 可以与S3000系列交换机混合堆叠，从而保证了网络的平滑升级并能 降低扩建成本。灵活的扩展能力和远程维护：S2026C-SI提供百兆光/电扩展能力，允许交换机通过光纤或铜 缆上联网络。通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统 和故障诊断，实现了设备的集中管理和维护。丰富的管理方式：S2026 SI交换机支持SNMP V1/V2/V3，可以接受Open View等 通用网管平台以及Quidview、iManager网管系统的配置和管理。 支持CLI命令行，Web网管，TELNET，HGMP集群管理等多种方式，设 备维护更便捷。第四章 主要配置文件（附件）一、核心层配置4.1.1端口汇聚：S6503Aint e1/0/1S6503A-Ethernet1/0/1duplex fullS6503A-Ethernet1/0/1speed 1000S6503A-Ethernet1/0/1quitS6503Aint e1/0/2S6503A-Ethernet1/0/2duplex fullS6503A-Ethernet1/0/2speed 1000S6503A-Ethernet1/0/2quit/进行端品汇聚S6503Alink-aggregation e1/0/1 to e1/0/25.1.2 创建 VLANS6503Avlan 2/创建部门 VLANS6503Avlan 3S6503Avlan 4S6503Avlan 5S6503Avlan 6S6503Avlan 145.1.3 启用 GVRPS6503Agvrp/启动GVRP协议S6503Aint e1/0/3/在与3526C相连的端口S6503A-Ethernet1/0/3port link-type trunk /配聚 trunkS6503A-Ethernet1/0/3port trunk permit vlan all /允许传 送所有VLAN信息S6503A-Ethernet1/0/3gvrp /在端口启用 GVRP/S6503B的配置与S6503A相似。二、汇聚层配置5.2.1 划分 VLANS3526CCgvrp/启动GVRP为了学到VLAN信息S3526CCint e24/与S6503A相连的端口S3526CC-Ethernet24port link-type trunkS3526CC-Ethernet24port trunk per