一级分新行局域网改造培训-技术方案V10课件

一级分行局域网改造一级分行局域网改造技术方案培训技术方案培训2中国建设银行SFB项目组中国建设银行SFB项目组内容提要内容提要项目概述项目概述局域网基础设施总体架构局域网基础设施总体架构设备命名和板卡规划设备命名和板卡规划IPIP地址和地址和VLANVLAN划分总体原则划分总体原则数据分流和路由策略数据分流和路由策略安全策略安全策略服务器区实施指导服务器区实施指导项目概述项目概述4中国建设银行SFB项目组中国建设银行SFB项目组局域网现状分析局域网现状分析5中国建设银行SFB项目组中国建设银行SFB项目组项目目标项目目标n为二级分行及网点服务器上收到一级分行集中部署作好网络基础设施建设。n统一一级分行核心局域网络的相关规范，明确一级分行核心局域网络的整体架构和技术标准。n对一级分行核心局域网络的结构进行层次化和模块化的改造调整，建立明确的功能区域。n对重要区域进行有效的安全防护，以保障网络和业务主机服务器等重要设备的稳定运行。n采用高性能、高可靠性的设备，提高一级分行局域网整体的业务支撑能力，满足我行未来3-5年应用系统的部署。局域网基础设施总体架构局域网基础设施总体架构7中国建设银行SFB项目组中国建设银行SFB项目组模块化设计方法模块化设计方法-七个功能区域（七个功能区域（Zone）n核心交换区（Core Zone）n服务器区（Server Zone）n客户端接入区（Client Zone）n广域网区（Reginal Touch Point Zone）n外联区（External Zone）n互联网区（Internet Zone）n测试区（Testing Zone）8中国建设银行SFB项目组中国建设银行SFB项目组逻辑拓扑逻辑拓扑核心交换区作为整个一级分行局域网的核心交换区作为整个一级分行局域网的核心，连接不同的功能区域，实现数据核心，连接不同的功能区域，实现数据的高速转发。由于性能是该功能区最关的高速转发。由于性能是该功能区最关键的因素，所以可使用高性能的三层交键的因素，所以可使用高性能的三层交换机，并且在核心交换机上要避免使用换机，并且在核心交换机上要避免使用那些可能会影响处理速度的访问列表定那些可能会影响处理速度的访问列表定义。义。客户端区主要负责一级分行局域网用户客户端区主要负责一级分行局域网用户接入，包括办公大楼和同城城域网用户接入，包括办公大楼和同城城域网用户接入。目前，客户端区根据业务类型，接入。目前，客户端区根据业务类型，分为逻辑隔离的两个安全区：生产客户分为逻辑隔离的两个安全区：生产客户端区和办公客户端区。端区和办公客户端区。广域网区实现一级分行上联总行、数据中心，下广域网区实现一级分行上联总行、数据中心，下联二级分行、网点，分为上联区、下联区、汇聚联二级分行、网点，分为上联区、下联区、汇聚交换区。交换区。9中国建设银行SFB项目组中国建设银行SFB项目组服务器区（服务器区（Server Zone）n根据安全特性，服务器在网络上划分为不同的安全区：p内网服务器区（Intranet Server Zone）业务1类，业务2类，管理类，网管安管类，语音视频类p集成服务器区（Integration Server Zone）基础设施类p服务器的分类与IP地址的类别标识对应n根据应用的三层架构，服务器在网络上划分为不同的层：p业务展现层（Web层）p应用/业务逻辑层（AP层）p数据库层（DB层）n在本次优化中，考虑分行服务器规模和设备投入，内网服务器区和集成服务器区使用同一套交换机，组成服务器区。10中国建设银行SFB项目组中国建设银行SFB项目组内网服务器区（内网服务器区（Intranet Server Zone）n业务1类：以资金交易作为业务特征，通常指高柜系统。例如清算、龙卡、重要客户、网银、DCC大前置等。n业务2类：不涉及资金交易，但是直接或间接为客户提供服务，包括审批流程、客户管理等内容，通常指低柜系统。例如OCRM、ERPF前置等。11中国建设银行SFB项目组中国建设银行SFB项目组内网服务器区（内网服务器区（Intranet Server Zone）续）续n管理类：用于部署为建行员工提供服务或者行里内部管理向电子化转变的服务系统。例如：OA服务器、信贷服务器等。n网管安管类：实现对网络设备和服务器的管理。网管安管类需要使用加密、IDS与防火墙等进行高强度保护，因为该类服务器的用户有网络系统的管理权限，并掌握所有服务器活动状态的信息。12中国建设银行SFB项目组中国建设银行SFB项目组集成服务器区（集成服务器区（Integration Server Zone）n集成服务器区中只有基础设施类应用n基础设施类应用p为其他多个应用系统提供数据传输加工服务p不直接为用户提供服务而为其它应用系统提供服务n有些应用可能同时给其他应用系统和内部用户提供服务，但如果该应用系统的主要功能是为应用系统提供服务，那么该应用系统将被部署在集成服务器区中,均有IP地址标志位来标识.13中国建设银行SFB项目组中国建设银行SFB项目组物理结构物理结构14中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与服务器区的连接模式核心交换区与服务器区的连接模式15中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与客户端区的连接模式核心交换区与客户端区的连接模式16中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与广域网区的连接模式核心交换区与广域网区的连接模式17中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与互联网区的连接模式核心交换区与互联网区的连接模式18中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与互联网区的连接模式（续）核心交换区与互联网区的连接模式（续）19中国建设银行SFB项目组中国建设银行SFB项目组核心交换区与外联区的连接模式核心交换区与外联区的连接模式设备命名设备命名21中国建设银行SFB项目组中国建设银行SFB项目组设备命名规则设备命名规则网络系统中具体一台设备的命名由如下四个部分组成：AA_BB_CC_DD：AA：表示各个一级分行的名称简写 BB：为区域名称 CC：为设备类型 DD：为设备的序列，1表示第一台，2为第二台。设备名称中的英文字母全部采用大写。22中国建设银行SFB项目组中国建设银行SFB项目组设备命名原则设备命名原则 AA_BB_CC_DD：n AA：表示各个一级分行的名称简写n BB：为区域名称n CC：为设备类型n DD：为设备的序列，1表示第一台，2为第二台。n 设备名称中的英文字母全部采用大写。23中国建设银行SFB项目组中国建设银行SFB项目组一级分行简写具体如下(AA)：区域名称规则表如下所示（BB）：分行名称分行名称缩写缩写分行名称分行名称缩写缩写北京BJ湖北HB天津TJ湖南HN河北HE广东GD山西SX深圳SZ内蒙NM广西GX辽宁LN海南HI大连DL四川SC吉林JL重庆CQ黑龙江HL贵州GU上海SH云南YN江苏JS西藏XZ浙江ZJ陕西SN宁波NB甘肃GS安徽AH青海QH福建FJ宁夏NX厦门XM新疆XJ江西JX苏州SU山东SD三峡SA青岛QD总行ZH河南HA序号序号命名名称命名名称区域描述区域描述1CORE核心区（Core Zone）2SRV服务器区（Server Zone）3CLT客户端区（Clint Zone）4RTP广域网区(Regional Touch Point Zone)5ECN外联区（ECN Zone）6INTER互联网区（Internet Zone）24中国建设银行SFB项目组中国建设银行SFB项目组网络设备命名规则如下所示（CC）：编号规则表如下所示(DD)：序号序号命名名称命名名称设备描述描述1SW交换机2RT路由器3FW防火墙4IDS入侵检测系统序号序号命名名称命名名称编号描述号描述11同一区域同一应用系统第台设备22同一区域同一应用系统第台设备33同一区域同一应用系统第台设备设备板卡规划设备板卡规划26中国建设银行SFB项目组中国建设银行SFB项目组Catalyst 6500 FamilyMax DensitiesCatalyst 65031Catalyst 6506Catalyst 6509Catalyst 651310/100 RJ45192480768115210/100/1000 RJ4596240384576GE(1000Mb)GBIC3480128192GE(1000Mb)SFP9624238441010GE420322027中国建设银行SFB项目组中国建设银行SFB项目组The Catalyst 6500 E-Series Chassis:6503-E6504-E6506-E6509-E&6509-NEB-A65133 Slot Chassis4RUUp to 1400W of PowerMAX 802.3af Devices:90 Class 34 Slot Chassis5RUUp to 2700W of PowerMAX 802.3af Devices:125 Class 36 Slot Chassis12RUUp to 9000W of PowerMAX 802.3af Devices:283 Class 39 Slot Chassis15RUUp to 9000W of PowerMAX 802.3af Devices:280 Class 313 Slot Chassis19RUUp to 6000W of PowerMAX 802.3af Devices:285 Class 328中国建设银行SFB项目组中国建设银行SFB项目组Cisco Catalyst 4500 Series ChassisSupervisors Sup II and SupII and Sup II+/IV/V Sup V higher higherDimensions(RUs)7 10 11 14Ports(max)96+2 240+2 240+4(SupV)336+6(SupV)Power Supplies 1+1 1+1 1+1 1+1Slots 3 6 7 10Sup Redundancy n/a n/a Yes Yes Catalyst 4503 Catalyst 4506 Catalyst 4507R Catalyst 4510RChassis/19”rack 6 4 4 329中国建设银行SFB项目组中国建设银行SFB项目组H3C S9500H3C S9500系列产品家族系列产品家族S9505H3C S9500系列系列n目前目前S9500交换机有四款，交换机有四款，S9512、S9508V、S9508和和S9505。nS9500一般应用于大型城域网汇聚中心、中小型城域网交换核心和一般应用于大型城域网汇聚中心、中小型城域网交换核心和企业园区网交换核心和汇聚中心企业园区网交换核心和汇聚中心S9512S9508S9508V30中国建设银行SFB项目组中国建设银行SFB项目组H3C S9500H3C S9500基本规格基本规格注:S9500交换机可以实现整机满配置情况下的IPv4/IPv6全线速转发，因为IPv4按最小包长64字节计算,而IPv6按最小包长76字节计算，因此体现出的包转发能力有差异。31中国建设银行SFB项目组中国建设银行SFB项目组S S7 75 50 03 3S S7 75 50 06 6S S7 75 50 06 6R RS S7 75 50 02 24 槽位，3个业务接口槽位；交换容量:最大 312Gbps312Gbps包转发率:最大 216Mpps216Mpps最大端口容量:148GE/144FE/12 10GE冗余电源设计：1+1 备份7槽位，6 个业务接口槽位交换容量:最大 336Gbps336Gbps包转发率:最大 216Mpps216Mpps最大端口容量:292GE/288FE/24 10GE冗余电源设计,2+1 备份8 槽位，6 个业务接口槽位 交换容量:最大 768Gbps768Gbps包转发率:最大 432Mpps432Mpps最大端口容量:292GE/288FE/24 10GE冗余电源设计,2+1 backup2槽位，2个业务槽位交换容量:最大 192Gbps192Gbps包转发率t:最大 144Mpps144Mpps最大端口容量:96GE/48FE/8 10GE电源冗余设计,1+1 备份 中小企业网络核心层 大型企业网络接入层 高密度千兆到桌面 中型企业网络核心层 大型企业网络汇聚层 高性能配线间设备 高密度千兆到桌面 中小企业网络核心层 大型企业网络接入层 高密度千兆到桌面 中型企业网络核心层 大型网络高性价比核心层 高性能配线间设备 高密度千兆到桌面S7500S7500系列高端多业务交换机产品简介系列高端多业务交换机产品简介32中国建设银行SFB项目组中国建设银行SFB项目组S7500S7500系列高端多业务交换机主控引擎系列高端多业务交换机主控引擎Salience III Edge-96GSalience III384GSalience III Plus-768G仅适用于 GE bus支持全部 GE bus和后2个槽位XG bus引擎规格引擎规格引擎规格引擎规格适用对象适用对象适用对象适用对象性能规格性能规格性能规格性能规格支持 GE bus支持全部XG bus7503/75067506R7503/75067506R7503/75067506R96Gbps72Mpps4 GE SFP interface384Gbps198Mpps4 GE SFP interface768Gbps432Mpps产品定位产品定位产品定位产品定位城域网接入层校园网接入、汇聚层SMB网络核心、汇聚层城域网汇聚层大中型网络汇聚层校园网汇聚层服务器群交换机大中型网络核心层校园网核心层33中国建设银行SFB项目组中国建设银行SFB项目组核心区6506E板卡规划槽位板卡型号板卡类型slot1空slot2空slot3WS-X6724-SFP24光口业务板slot4WS-X6148A-GE-TX48电口业务板slot5空slot6WS-SUP720-3B引擎核心区4507R板卡规划槽位板卡型号板卡类型slot1WS-X4516引擎slot2空slot3WS-X4418-GB18光口业务板slot4空slot5空slot6空slot7WS-X4548-GB-RJ4548电口业务板34中国建设银行SFB项目组中国建设银行SFB项目组服务器区6509E板卡规划服务器区6513E板卡规划槽位板卡型号板卡类型slot1空slot2空slot3WS-X6724-SFP24光口业务板slot4WS-X6724-SFP24光口业务板slot5WS-SUP720-3B引擎slot6空slot7WS-X6148A-GE-TX48电口业务板slot8WS-X6148A-GE-TX48电口业务板slot9WS-X6148A-GE-TX48电口业务板槽位板卡型号板卡类型slot1空slot2空slot3WS-X6724-SFP24光口业务板slot4WS-X6724-SFP24光口业务板slot5空slot6空slot7WS-SUP720-3B引擎slot8空slot9WS-X6148A-GE-TX48电口业务板slot10WS-X6148A-GE-TX48电口业务板slot11WS-X6148A-GE-TX48电口业务板slot12WS-X6148A-GE-TX48电口业务板slot13WS-X6148A-GE-TX48电口业务板35中国建设银行SFB项目组中国建设银行SFB项目组RTP区6509E板卡规划RTP区4506板卡规划槽位板卡型号板卡类型slot1空slot2空slot3WS-X6724-SFP24光口业务板slot4空slot5WS-SUP720-3B引擎slot6空slot7空slot8空slot9WS-X6148A-GE-TX48电口业务板槽位板卡型号板卡类型slot1WS-X4516引擎slot2空slot3WS-X4306-GB6光口业务板slot4空slot5空slot6WS-X4548-GB-RJ4548电口业务板36中国建设银行SFB项目组中国建设银行SFB项目组服务器区防火墙NS-ISG-2000槽位板卡型号板卡类型slot1NS-ISG-SX22光口业务板 slot2空slot3NS-ISG-TX22电口业务板 slot4空服务器区防火墙NS-ISG-1000槽位板卡型号板卡类型slot1NS-ISG-SX22GBIC光口业务板slot2空IP地址和地址和VLAN划分总体原则划分总体原则38中国建设银行SFB项目组中国建设银行SFB项目组IP地址编码规范地址编码规范8Bits8Bits5Bits5Bits3Bits3Bits3Bits3Bits13Bits13Bits一级地域一级地域标识标识二级地域二级地域标识标识000000扩展预留扩展预留类别标识类别标识用户网络地址用户网络地址39中国建设银行SFB项目组中国建设银行SFB项目组一级分行局域网一级分行局域网IP地址编码规范地址编码规范地址段地址段用途用途地址地址应用类型应用类型1-31网管类0-7被管理设备，其中0-3分行自主分配，4-7总行统一分配8-15网管主机，全部由总行统一分配16-19网管客户端，分行可自主分配20-23系统管理主机和业务管理主机，总行统一分配24-29备用，总行统一分配30-31LoopBack地址，总行统一分配32-63业务1类32-43总行统一分配44-63分行自主分配64-95业务2类64-87业务2类系统，由总行统一分配88-95业务2类系统，由分行自主分配分行业务1类客户端IP 地址需要和服务器的IP 地址分开，分行可从44-63中指定分行自建系统服务器地址段，该段内其他地址段分配业务1类客户端IP地址。40中国建设银行SFB项目组中国建设银行SFB项目组一级分行局域网一级分行局域网IP地址编码规范（续）地址编码规范（续）地址段地址段用途用途地址地址应用类型应用类型96127 基础设施类96127基础设施类；全部总行统一分配128-159视频/语音128-151视频/语音系统，由总行统一分配152-159视频/语音系统，由分行自主分配160-191管理类160-171管理类服务器区域，总行统一分配；172-189管理类客户端区域，分行自主分配190-191用于当前一级分行OA类服务器分行管理类客户端IP地址需要和服务器IP地址分开，分行可使用172-189作为管理类客户端IP地址，使用190、191作为分行自建系统的管理类服务器地址。41中国建设银行SFB项目组中国建设银行SFB项目组一级分行局域网一级分行局域网IP地址编码规范（续）地址编码规范（续）地址段地址段用途用途地址地址应用类型应用类型192-223 外联网络系统192-207统一外联平台DMZ前置区208-215预留备用216-223互联网接入平台，总行统一分配224-255互联224-239局域网网络设备互联，其中224-228总行统一分配，229-239分行自主分配240-254广域网网络设备互联，其中240-244总行统一分配，245-254分行自主分配统一外联平台DMZ前置区地址192、194、196、200、202、204总行统一分配，193、195、197、201、203、205分行自行分配，其它地址预留备用。42中国建设银行SFB项目组中国建设银行SFB项目组服务器区服务器区IP地址段分配地址段分配43中国建设银行SFB项目组中国建设银行SFB项目组服务器区服务器区IP地址段分配说明地址段分配说明1、总推分应用系统主机IP地址总行统一分配，即总行分配到IP地址第4位。2、分行自建应用系统主机IP地址由分行自主分配，即总行分配到IP地址第3位，第4位分行自主分配。3、业务1类中，DCC系统IP地址不变，依然使用*.0.40.*，部署在AP层，网关地址依然使用*.0.40.98。44中国建设银行SFB项目组中国建设银行SFB项目组服务器区服务器区IP地址段分配说明（续）地址段分配说明（续）4、除*.0.40.0/24网段外，服务器区其它服务器网段IP地址*.*.*.224-254按如下规则分配：45中国建设银行SFB项目组中国建设银行SFB项目组服务器区服务器区IP地址段分配说明（续）地址段分配说明（续）5、备份主机之间所有以反线互联的心跳线端口IP地址都为192.168.254.1-192.168.254.2，掩码30位，凡分配此地址的端口皆不允许接入到任何网络设备上。6、IBM小型机的Standby地址使用网段200.T1.0.*/24，T1是一级地域标识。此网段禁止设置网关，禁止将此地址段的路由发布到网络中。地址第四位分行自行分配。7、IBM HMC的管理地址使用网段T1.0.22.0/24，T1是一级地域标识。地址范围是T1.0.22.1-T1.0.22.15，网关地址为T1.0.22.254。地址第四位分行自行分配。8、存储的管理地址使用网段T1.0.22.0/24，T1是一级地域标识。地址范围是T1.0.22.192-T1.0.22.223，网关地址为T1.0.22.254。地址第四位分行自行分配。46中国建设银行SFB项目组中国建设银行SFB项目组服务器区服务器区IP地址段分配说明（续）地址段分配说明（续）9、刀片服务器笼子中的交换机管理地址分行自主分配，地址类型属于被管设备类，建议地址第三位是0。10、刀片服务器笼子的管理地址分行自主分配，地址类型属于被管设备类，建议地址第三位是0。11、分行分配地址按WEB与AP成对使用。业务1类首先使用62和63，然后使用60和61；业务2类首先使用94和95，然后使用92和93。12、如果“分行分配”定义的地址空间不能满足分行需求，分行需单独上报总行，申请地址。47中国建设银行SFB项目组中国建设银行SFB项目组网络设备网络设备IP地址段分配地址段分配n局域网核心交换机和汇聚交换机Loopback地址段使用*.0.30.0/24n上联路由器XX_RA/RB/RC沿用现有Loopback地址n核心区与其他区域的设备互联地址段为*.0.224.0/24nRTP区内，汇聚交换机与路由器XX_RA/RB/RC/R1/R2/R3之间的互联地址保持不变,loopback地址在30或31也保持不变n其它区域分行根据情况自行分配，局域网网络设备互联地址范围是*.0.229.0/24-*.0.239.0/2448中国建设银行SFB项目组中国建设银行SFB项目组VLAN号分配规则号分配规则序号序号集成区域集成区域VLANVLAN分配分配1服务器区100-199 YW1,YW2,OA,网管,视频，总行统一分配200-299 基础设施，总行统一分配400-449 分行自建系统，分行自行分配2核心区和其它区域的互联1-99总行统一分配3客户端区由分行自行分配4广域网区上联路由器70,75,80,85,90下联路由器，由分行自行分配5测试区由分行自行分配6互联网区由分行自行分配7外联区由分行自行分配49中国建设银行SFB项目组中国建设银行SFB项目组服务器区服务器区VLAN划分划分地址地址Vlan编号编号地址地址Vlan编号编号8127105216121151082141312010921320118111200321171281293311614011140180141112761131421227711416012579100161126104215注：视频设备统一放在客户端区，注：视频设备统一放在客户端区，使用使用128网段，网段，vlan号为号为129。50中国建设银行SFB项目组中国建设银行SFB项目组IP地址调整策略地址调整策略分行服务器网关地址原来是*.*.*.98，本此IP地址分配规范，定义服务器网关地址是*.*.*.254。分行按以下策略调整：n已经使用的网段，建立98和254两个网关n新网段，使用254做网关n新部署机器，网关配置为254n已经上线机器，在改IP地址时将网关改为254nDCC大前置40网段网关保持网关98不变数据分流和路由策略数据分流和路由策略52中国建设银行SFB项目组中国建设银行SFB项目组数据分流策略数据分流策略n数据分流原则p保证转发路径的双向一致性和确定性，在正常状态下，通讯双方的往返路径相同。n数据分流策略p各区域设定该区域SW_1为主用交换机，SW_2用作热备份，在正常情况下，数据流从SW_1流出流入该区域，在该区域SW_1与XX_CORE_SW_1连接中断的情况下，数据从SW_2流出流入该区域。p数据若从源区域SW_1流出，则下一跳为核心交换区XX_CORE_SW_1；数据若从源区域SW_2流出，则下一跳为核心交换区XX_CORE_SW_2。p从核心交换区来看，若数据从源区域经XX_CORE_SW_1进入核心交换区，则将该数据经XX_CORE_SW_1转发至目的区域汇聚交换机SW_1；若数据从源区域经XX_CORE_SW_2进入核心交换区，则将该数据经XX_CORE_SW_2转发至目的区域汇聚交换机SW_2。53中国建设银行SFB项目组中国建设银行SFB项目组现状：通过现状：通过HSRP/VRRP实现数据分流实现数据分流54中国建设银行SFB项目组中国建设银行SFB项目组网络总体路由策略网络总体路由策略BGP原有原有ASOSPF/EIGRP新新OSPF AS55中国建设银行SFB项目组中国建设银行SFB项目组核心区路由策略设计核心区路由策略设计BGP原有原有ASOSPF/EIGRPOSPF 1XX Area 0OSPF 1XXArea 1056中国建设银行SFB项目组中国建设银行SFB项目组广域网区路由设计广域网区路由设计n广域网区汇聚交换机XX_RTP_SW_1作为主用交换机，正常情况下，上联路由器和下联路由器将通过XX_RTP_SW_1进行转发，当XX_RTP_SW_1出现线路中断故障或停机故障时，由XX_RTP_SW_2进行转发。n广域网区上联总行的路由器与总行/DCC之间使用BGP路由协议，上联路由器作为一级分行局域网OSPF路由域和总行/DCC的BGP路由域的边界。在两台上联路由器上将BGP路由重分发至OSPF内。n汇聚交换机与下联路由器互联的接口，以及下联路由器及各网点之间保持原有的路由协议不变。汇聚交换机作为一级分行局域网与接入网自治域的域边界，对两个路由进程进行双向重分发。57中国建设银行SFB项目组中国建设银行SFB项目组一级骨干网路由策略一级骨干网路由策略nBGP重分发到OSPF 1XX AS中，重分发使用Metric-type 2n在XX_RA上重分发metric使用20n在XX_RB上重分发metric使用10n如果总行下发的明细路由不完整，分行将在上联路由器写静态路由并重分发到OSPF AS，详见后续指导方案。58中国建设银行SFB项目组中国建设银行SFB项目组接入网路由策略接入网路由策略n在RTP交换机对两个路由自治域进行双向重分发，并进行相应的重分发控制n二级骨干网和同城网点沿用现有分流策略59中国建设银行SFB项目组中国建设银行SFB项目组接入网路由策略接入网路由策略原路由域使用原路由域使用OSPFn分行二级骨干网和接入网原有自治域使用OSPF路由协议，原AS为OSPF XX，局域网新建AS为OSPF 1XX。使用tag技术对两个路由自治域进行双向重分发控制。nOSPF XX重分发到OSPF 1XX时，将重分发的路由加上tag 10。重分发使用Metric-type 2，在XX_RTP_SW_1重分发metric使用10；XX_RTP_SW_2重分发metric使用20。使用route-map过滤，仅分发二级分行汇总路由。在OSPF 1XX进程中，使用distribute-list禁止tag 10路由被写入路由表。nOSPF 1XX重分发到OSPF XX时，将重分发的路由加上tag 20。重分发使用Metric-type 2，在XX_RTP_SW_1重分发metric使用10；XX_RTP_SW_2重分发metric使用20。使用route-map过滤，禁止tag 10路由。在OSPF XX进程中，使用distribute-list禁止tag 20路由被写入路由表。60中国建设银行SFB项目组中国建设银行SFB项目组接入网路由策略接入网路由策略原路由域使用原路由域使用EIGRPn分行二级骨干网和接入网原有自治域使用EIGRP路由协议，原AS为EIGRP XX，局域网新建AS为OSPF 1XX。使用route-map过滤技术对两个路由自治域进行双向重分发控制。nOSPF 1XX向EIGRP XX分发时，过滤接入网的路由。nEIGRP XX向OSPF 1XX分发时，过滤非接入网路由。61中国建设银行SFB项目组中国建设银行SFB项目组服务器区域路由设计服务器区域路由设计n各应用服务器的网关为服务器区内的汇聚交换机各VLAN接口，利用HSRP或VRRP形成虚拟网关，实现热备份，HSRP/VRRP主活在XX_SRV_SW_1上。n服务器区汇聚交换机与核心交换机之间使用防火墙隔离，部署静态路由。n在服务器区交换机上设置缺省的静态路由，下一跳指向服务器区防火墙网关地址；服务器区防火墙设置缺省路由，指向核心交换机虚拟网关地址；服务器区防火墙配置到服务器区VLAN的静态路由，指向服务器区交换机虚拟网关地址；核心交换机配置到服务器区VLAN的静态路由，指向防火墙网关地址62中国建设银行SFB项目组中国建设银行SFB项目组客户端区域路由设计客户端区域路由设计n客户端区汇聚交换机与核心区交换机互联的接口划分至OSPF Area 0 n客户端区域内部其它交换机与客户端区汇聚交换机划分至Area 10，并在OSPF区域边界处作区域间汇总，防止客户端区的明细路由扩散至局域网其他区域nXX_CLT_SW_1作为客户端区主交换机，XX_CLT_SW_2做作为客户端区备用交换机，正常情况下数据流由XX_CLT_SW_1流入流出客户端区63中国建设银行SFB项目组中国建设银行SFB项目组外联区路由设计外联区路由设计n外联区采用静态路由与其他区域通信。n在核心交换机配置到外联区服务器地址段的静态路由，下一跳指向外联区防火墙网关，核心交换机重分发静态路由。n外联防火墙也使用静态路由配置。64中国建设银行SFB项目组中国建设银行SFB项目组互联网区路由设计互联网区路由设计n互联网区汇聚交换机与两台核心交换机间运行OSPF路由协议，汇聚交换机与核心区交换机互连的接口、代理服务器网段和汇聚交换机互连接口划分至OSPF Area 0。65中国建设银行SFB项目组中国建设银行SFB项目组路由协议具体规划路由协议具体规划OSPF 1XXOSPF 1XX局域网核心路由局域网核心路由ASAS，XXXX是一是一级地域地域标识AREA ID设备区域，部署接口0核心交核心交换区：区：2台交换机所有三层接口、loopback接口广域网区、互广域网区、互联网区网区汇聚交聚交换机：机：联到核心交换区的互联接口、汇聚交换机互连接口、loopback接口客客户端区：端区：到核心交换区的互连端口、loopback接口上上联路由器路由器XX_RAXX_RA、XX_RBXX_RB、XX_RCXX_RC：到广域网区汇聚交换机的互联接口、loopback接口10客客户端区端区汇聚交聚交换机：机：所有除上联接口和loopback接口之外的vlan接口和向下互联设备接口；客客户端区除端区除汇聚交聚交换机外的其他交机外的其他交换机机：任何三层接口、设备loopback接口安全策略安全策略67中国建设银行SFB项目组中国建设银行SFB项目组总体安全目标总体安全目标n应用系统服务器内部安全分析n应用系统之间安全分析n客户端与服务器之间安全分析n客户端之间安全分析n恶意代码安全分析n网络设备自身安全分析安全分析安全分析n网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的计算资源。68中国建设银行SFB项目组中国建设银行SFB项目组应用系统服务器内部安全分析应用系统服务器内部安全分析n低安全级别服务器对高安全级别服务器上不适当的访问；n授权客户端对服务器的不适当访问；n非授权客户端对服务器的不适当访问；n不同应用系统服务器之间非授权的不适当访问；n恶意代码对服务器的不良影响。应用系统之间安全分析应用系统之间安全分析n不同应用系统服务器之间非授权的不适当访问；n应用系统不同安全等级服务器之间不适当的互访；69中国建设银行SFB项目组中国建设银行SFB项目组客户端与服务器之间安全分析客户端与服务器之间安全分析n非授权客户端不适当的访问服务器；n授权客户端不适当的访问高安全级别的服务器；客户端之间安全分析客户端之间安全分析在业务1类客户端和管理类客户端之间，安全风险存在于：n客户端访问另一类客户端上的非授权数据；n客户端利用另一类客户端达到对非授权服务器的非法访问；70中国建设银行SFB项目组中国建设银行SFB项目组恶意代码安全分析恶意代码安全分析n恶意代码在网络中的传播，可能对所有的应用系统产生严重的影响。网络设备自身安全分析网络设备自身安全分析n网络设备的物理安全；n网路设备操作系统Bug和对外提供的网络服务风险；n网络管理协议SNMP非授权访问的风险；n设备访问密码安全；n设备用户安全风险；71中国建设银行SFB项目组中国建设银行SFB项目组安全技术安全技术n网络分区p明确不同网络区域之间的安全关系，也可以对每一个区域进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展性、可管理性和弹性。达到了一定程度的物理安全性。nVLANp限制局域网中的广播包；p隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为安全控制提供了基础；p提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数据不适当的转发或窃听。72中国建设银行SFB项目组中国建设银行SFB项目组安全技术（续）安全技术（续）nACLp阻断网络中的异常流量p应用系统间访问控制pSNMP网管工作站控制p设备本身防护n防火墙p专用的软硬件，设备自身安全性很高；p提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以保护内部地址的私密性；p提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都是被拒绝的；p多层次的安全级别，为不同的安全区域提供差异化的安全级别，如DMZ区域；p提供多样的系统安全策略和日志功能。73中国建设银行SFB项目组中国建设银行SFB项目组安全策略设计安全策略设计n网络分区n应用系统之间的安全策略n客户端与服务器之间的安全策略n客户端之间的安全策略n预防恶意代码的安全策略n网络设备自身安全策略74中国建设银行SFB项目组中国建设银行SFB项目组网络分区网络分区n实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离；n各分区有单一的出入口；n分区之间互访必须经过网络层路由；n为其他安全控制策略的部署奠定了基础。n应用系统内部安全策略75中国建设银行SFB项目组中国建设银行SFB项目组服务器区内网络分区服务器区内网络分区n在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为Web层，AP层和DB层，对应的安全控制策略如下：p通过应用类型分层保护不同级别服务器的安全；p划分VLAN，各分层分别位于不同的VLAN中；p在三个应用类型分层中，安全级别的定义是接入层（Web层）安全级别最低，应用/业务逻辑层（AP层）安全级别较高，数据库层（DB层）安全级别最高；p应用类型分层之间，通过单向的ACL允许较低级别的服务器访问较高级别的服务器。76中国建设银行SFB项目组中国建设银行SFB项目组应用系统之间的安全策略应用系统之间的安全策略n划分VLAN，隔离各应用系统和各应用系统内部处在不同安全层次上的服务器；n根据确定的类规则在VLAN上部署ACL。77中国建设银行SFB项目组中国建设银行SFB项目组客户端与服务器之间的安全策略客户端与服务器之间的安全策略n在服务器区边界部署专用硬件防火墙，防火墙采用双机主备工作模式，保障系统可靠性；n在防火墙上部署严格的安全控制策略，对数据流执行双向控制；n确定客户端和服务器之间的访问规则，部署在服务器区边界防火墙上。78中国建设银行SFB项目组中国建设银行SFB项目组客户端之间的安全策略客户端之间的安全策略在一级分行局域网内客户端区，存在着管理类客户端和业务1类客户端，两者之间的安全策略设计如下：n在客户端区划分VLAN，管理类客户端和业务1类客户端分属不同的VLAN；n在管理类客户端和业务1类客户端的VLAN上部署ACL，限制两类客户端之间的互访。79中国建设银行SFB项目组中国建设银行SFB项目组预防恶意代码的安全策略预防恶意代码的安全策略n根据已知的各类恶意代码，识别其传输特征，编写相应的ACL；n把ACL部署在关键的控制点上，这些控制点包括：p各功能区的出口交换机上（防火墙默认情况下已经可以拒绝这些恶意代码）；在必要时，也可以部署在功能区内各VLAN上，达到更进一步控制恶意代码传播的目的。ACL单向部署，控制从区内出（out）的流量。p在RTP区的上下联路由器广域网端口上，ACL单向部署，控制这些端口出（out）和入（in）的流量。80中国建设银行SFB项目组中国建设银行SFB项目组网络设备自身安全策略网络设备自身安全策略n物理安全：p安装环境温度、湿度、空气洁净度需要满足设备正常运行条件；n禁止非授权人员物理接触设备。n网络服务安全：关闭设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的服务；n加密设备密码；n用户安全，只允许经授权的用户在设备上执行权限范围内的操作，（且对操作有相应的授权、认证和审计）n网管SNMP安全，对SNMP访问设置ACL控制，只允许许可范围内的IP地址通过SNMP管理设备。81中国建设银行SFB项目组中国建设银行SFB项目组分区安全策略的部署分区安全策略的部署n核心区安全策略的部署n服务器区安全策略的部署n客户端区安全策略的部署n广域网区安全策略的部署n外联区安全策略的部署n互联网接入区安全策略的部署n对已有安全策略的支持82中国建设银行SFB项目组中国建设银行SFB项目组核心区安全策略的部署核心区安全策略的部署n核心区作为分行局域网高速交换区，不做过多的安全策略，只要求部署交换机自我保护策略。83中国建设银行SFB项目组中国建设银行SFB项目组服务器区安全策略的部署服务器区安全策略的部署n控制客户端对服务器的访问，控制策略在防火墙上双向实施安全控制策略具体描述如下：业务1类客户端能访问业务1类服务器。限定客户ip地址段、应用系统ip地址集、端口号集。业务1类客户端能访问网管安管类服务器。不限制源IP地址，限制目标的ip地址集、端口。管理类客户端能访问业务2类、管理类服务器和网管安管类服务器。不限制源IP地址，限制目标的ip地址集、端口。管理类客户端能访问Internet。不限制目标的IP地址、端口，限制源IP地址业务1类业务2类OA基础设施网管安管Internet业务客户端允许访问禁止访问禁止访问禁止访问允许访问禁止访问OA客户端禁止访问允许访问允许访问禁止访问允许访问允许访问84中国建设银行SFB项目组中国建设银行SFB项目组应用系统服务器之间的访问控制应用系统服务器之间的访问控制n业务1和业务2互访，业务1和基础设施互访。限定访问源应用系统主机IP地址集，目的应用系统主机IP地址集，目的端口集。n业务2、管理类和基础设施能相互访问。仅对应用系统类别IP地址段进行限制。n网管安管和业务1互访，网管安管和业务2互访，网管安管和管理类互访，网管安管和基础设施互访。不限制源IP地址，限制目标的ip地址集、端口集。85中国建设银行SFB项目组中国建设银行SFB项目组服务器区安全策略的部署（续）服务器区安全策略的部署（续）n预防恶意代码p服务器区不做恶意代码防范，防恶意代码工作实施在其他边缘区域，保证恶意代码不会侵犯到服务器区。n网络设备自身安全保护p为了防止对网络设备的非法入侵，服务器区交换机和服务器区防火墙应做好自我保护。n安全策略特例p总推分应用系统安全策略在部署中与上述原则有冲突，须向总行提出申请需求，总行将根据应用需求修改安全策略方案。p分行自建应用系统按照总推分应用系统安全策略调整。86中国建设银行SFB项目组中国建设银行SFB项目组客户端区安全策略的部署客户端区安全策略的部署n客户端区划分VLAN，隔离业务1类客户端和管理类客户端，在两类客户端的VLAN上部署ACL，限制两类客户端之间的互访。n在客户端区的出口交换机（汇聚交换机）连接核心区核心交换机端口上，部署防恶意代码ACL，方向为out，单向部署。n在客户端区的网络设备上，根据网络设备自身安全策略设计，配置相应的安全管理命令。87中国建设银行SFB项目组中国建设银行SFB项目组广域网区安全策略的部署广域网区安全策略的部署n广域网区安全策略在上联和下联路由器上实现，保持现有策略不变。n外联区保持现有策略不变，详细参见一级分行统一外联平台建设网络技术规范_详细设计规范。外联区安全策略的部署外联区安全策略的部署n互联网区内部安全策略保持不变，详细参见一级分行互联网接入平台建设技术参考规范_详细设计方案。互联网接入区安全策略的部署互联网接入区安全策略的部署88中国建设银行SFB项目组中国建设银行SFB项目组访问控制列表模式定义n系统间：pS2-应用系统列表：限定访问源应用系统主机IP地址集，目的应用系统主机IP地址集，目的端口集pS3-应用类别列表：仅对应用系统类别IP地址段进行限制pS4-目标控制列表：不限制源IP地址，限制目标的ip地址集、端口集n客户端与系统：pC2-应用系统列表：限定客户端类别ip地址段、应用系统ip地址集、端口号集pC4-目标控制列表：不限制源IP地址，限制目标的ip地址集、端口pC5-源控制列表：不限制目标的IP地址、端口，限制源IP地址89中国建设银行SFB项目组中国建设银行SFB项目组安全策略的部署综述安全策略的部署综述YW-1YW-2OA基础设施基础设施Internet禁止互访Client YW-1Client OA网管安管网管安管S2S2C2C4C4C4S4C5安全策略的部署综述安全策略的部署综述S3S3S3S390中国建设银行SFB项目组中国建设银行SFB项目组对已有安全策略的支持对已有安全策略的支持n除在防火墙和交换机上配置详细的安全访问策略外，本项目必须遵守总行相关各项安全管理规定。n如有冲突或例外，必须上报总行，经批准后才能执行。服务器区实施指导服务器区实施指导92中国建设银行SFB项目组中国建设银行SFB项目组服务器区物理扩展模式服务器区物理扩展模式连接方式连接方式优点优点缺点缺点 三角环形有冗余链路，物理拓扑上无单点故障，可实现自动备份生成树配置不当引起环路，造成广播风暴的风险；不同厂商间生成树兼容性不稳定，有引发生成树收敛、切换故障的风险。无环形物理拓扑无环，无需启用生成树，部署简单无冗余连接，存在单点故障，需提供物理冷备份，故障恢复时间相对较长。93中国建设银行SFB项目组中国建设银行SFB项目组交换机互联生成树设计交换机互联生成树设计94中国建设银行SFB项目组中国建设银行SFB项目组应用系统应用服务器接口分配（示例）应用系统应用服务器接口分配（示例）机器机器编号编号备份备份机器机器应用系统名称应用系统名称系统缩写系统缩写ServiceService地址地址BootBoot地址地址StandbyStandby地址地址分配的分配的IPIP地址地址分配的分配的IPIP地址地址分配的分配的IPIP地址地址100102102自助设备平台（自助设备平台（ATMSATMS）ATMPATMP*.0.33.48*.0.33.50200.T1.0.1龙卡网络系统龙卡网络系统LONG-NSLONG-NS外币卡收单系统外币卡收单系统TFSTFS101102102重要客户服务系统（分中心）重要客户服务系统（分中心）VSSVSS（APAPDBDB）*.0.33.49*.0.33.51200.T1.0.2银保通系统（前置）银保通系统（前置）BISBIS财税库系统财税库系统TRBTRB102-自助设备平台（自助设备平台（ATMSATMS）ATMPATMP*.0.33.52200.T1.0.3龙卡网络系统龙卡网络系统LONG-NSLONG-NS重要客户服务系统（分中心）重要客户服务系统（分中心）VSSVSS（APAPDBDB）银保通系统（前置）银保通系统（前置）BISBIS财税库系统财税库系统TRBTRB95中国建设银行SFB项目组中国建设银行SFB项目组谢谢！谢谢！