《邮政双网隔离建设方案.doc》由会员分享,可在线阅读,更多相关《邮政双网隔离建设方案.doc(10页珍藏版)》请在三一办公上搜索。
1、大连邮政双网隔离 建设方案迈普通信技术股份有限公司 二零零九年九月第一章 需求分析结合线路资源、设备投资、网络安全等要求,要实现非生产业务延伸到网点,金融企业的网络改造可以选择以下几种网络架构:1、 升级网点现有链路带宽:由于非生产业务对带宽要求较大,如1路视频需要占用768K带宽,因此可升级网点现有的主线路到2M带宽,在主线路上同时承载生产业务和非生产业务。如果线路资费许可,网点还可以租用两条2M链路,采用负载均衡的方式实现生产业务和非生产业务的承载。这种方式设备投资少,但是由于同一个网络上承载生产业务和非生产业务,现有网络需要升级,并且生产业务数据面临网络攻击的危险,网络安全风险较大。2、
2、 专线硬件隔离网络:在第一种方案基础上,仍然升级网点的主线路到2M带宽,但是采用专线硬件隔离组网方案,在2M链路上划分硬件时隙,分别对应生产业务和非生产业务,这样两类业务完全从硬件上实现隔离,一方面保证业务的带宽,同时保证业务的安全。这种方式设备投资少,现有网络需要升级,但是与第一种方案相比,网络安全性比较高。3、 建设独立的非生产业务网络:由于生产业务对网络安全要求非常高,为了避免生产业务遭受网络攻击,可单独建设一张非生产业务网络。网点租用一条新的2M链路,部署单独的网络设备,实现非生产业务的承载。这种方式对设备投资比较大,线路资费比较高,但是网络安全性非常高,非生产业务和生产业务之间完全隔
3、离,充分保障生产业务的安全。结合大连邮政现有的网络情况,同时结合网络的投资成本,同时也充分的保障生产业务和办公业务的安全性,并实现生产网络和办公网络的备份机制,建议采用第二套方案来实现大连邮政的网络建设,即采用专线硬件隔离网络的方案来实现。第二章 网络方案设计2.1 网络设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合的计算机信息系统。在系统的设计和实现中,我公司将严格遵守以下原则:l 实用性和集成性系统的软硬件设计、还是集成,均应以适用为第一宗旨,在
4、系统充分适应贵单位信息化的需求的基础上进而再来考虑其它的性能。该系统所包含的内容很多,系统设计者必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致地进行高效工作。l 标准性和开放性只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬设备及软件产品应支持国际工业标准或事实上的标准,以便能和不同厂家的开放型产品在同一网络中同时共存;通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。l 先进性和安全性系统所有的组成要素均应充分地考虑其先进性。我们不能一味地追求实用而忽略先进,只有将当今最先
5、进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是至关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。l 成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构应在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可
6、靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用和主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7x24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。l 可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行。因此,网络所选网络设备应支持SNMP、RMON、RMONII等协议,管理员通过网管工作站就能方便地进行网络管理、维护甚至修复。在
7、设计和实现计算机应用系统时,必须充分考虑整个系统的便于维护性,以使系统在万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。l 网络安全性是指防止非法访问者通过互联网络对网络节点进行攻击的能力。从网络设备来讲,防止外部攻击主要靠路由器实现,迈普公司路由器在这方面具有独到的优势。迈普公司路由器的全部软件及硬件均为公司自行开发研制,具有完全的知识产权,配合完善的防火墙技术,提供安全路由器的解决方案。l 可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理联接、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通用的工业标准,以便不同类型的设备能方
8、便灵活地联接入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删减功能模块。2.2 全网层次化设计方案大连邮政作为专业的金融机构,高度重视信息化的建设,为了适应业务的发展,几年前已经建成了市、县和网点的二级网络平台,通过部署先进的信息系统,极大的推动了金融业务,为保证企业在激烈的市场竞争中能够不断发展,需要对现有信息化系统进行全市的改造设计。2.2.1网络拓扑图2.2.2方案说明随着金融企业的业务发展和管理的需要,非生产类业务也需要延伸到网点,如信贷业务、OA、视频监控、IP语音、视频会议等。这些业
9、务对带宽的需求相对较大,尤其是OA、视频等业务至少要求线路带宽为2M以上。因此必须对网络进行升级改造以满足非生产业务的开展。该网络分为市中心和网点的四级网络,主要承载全市的金融办公业务和生产业务数据。为了充分保障网络的安全性稳定性和可靠性,整网采用冗余和隔离的设计理念,实现对设备的冗余设计,实现对办公业务和生产业务的物理隔离。1. 省中心省中心的网络结构保持不变,使用迈普公司的MP7208路由器作为核心的汇聚设备,主要采用MP7208的155MCPOS板卡实现网点2M的汇聚,同时在MP7208上面通过迈普公司的虚拟以太桥接技术实现网点2M的分离。2. 网点对于大连邮政的一些网点需要有办公接入,
10、在相应网点放置一台迈普公司的网桥NB110E,通过网桥NB110E的E1接口与运营商的SDH 2M相连,然后NB110E出V35接口和以太网接口,在NB110E上面通过时隙划分的方式实现带宽的分配和线路的物理隔离。为V35接口分配1M的带宽,为以太网接口分配1M的带宽。其中V35接口与原有的网点路由器上的V35接口相连,从而实现生产业务的接入,以太网接口与网点的交换机相连,作为办公业务的接入。2.3 网络通信协议本网络方案内部协议我们均采取最流行和最稳定的TCP/IP协议作为报文承载协议。l 低层协议按国际标准化组织(ISO)定义的开放式系统互连(OSI)参考模型,将计算机网络体系结构划分成七
11、层,对应于每一组都运行着一组协议。所谓“低层”是指传输层以下的3 层:物理层、数据链路层和网络层;“高层”是指指传输层以上的协议层:传输层、会话层、表示层和应用层。低层协议当中, 物理层主要负责建立、连接、释放物理连接所需的设备,进行比特流的传输; 数据链路层主要负责数据的打包,分节帧,添加校验码,提供可靠的数据传递,提供物理寻址,网络图谱结构的建立,数据流量的控制。 网络层主要提供两终端间路由的选择。(1)IEEE 802.3协议这是目前在局域网中应用最广泛的底层协议,而以太网所采用的协议以IEEE 802.3协议相兼容。该协议所采用的技术为CSMA/CD ? 载波监听多路访问/ 冲突检测。
12、通常情况下,IEEE 802.3可以通过硬件来实现,这些硬件可以使网卡或集成在主机板上。(2) PPP协议PPP(点对点)协议定义了点对点链路传输数据的规程,是一组允许来自不同供应商的远程访问软件交互操作的标准协议。启用PPP的连接可以通过任何工业标准PPP服务器拨入远程网络。与另一个点对点协议HDLC 相比,PPP 协议的控制机制要更复杂一些,低层协议当中, 物理层主要负责建立、连接、释放物理连接所需的设备,进行比特流的传输; 数据链路层主要负责数据的打包,分节帧,添加校验码,提供可靠的数据传递,提供物理寻址,网络图谱结构的建立,数据流量的控制。 网络层主要提供两终端间路由的选择。(3)IE
13、EE 802.3协议这是目前在局域网中应用最广泛的底层协议,而以太网所采用的协议以IEEE 802.3协议相兼容。该协议所采用的技术为CSMA/CD ? 载波监听多路访问/ 冲突检测。通常情况下,IEEE 802.3可以通过硬件来实现,这些硬件可以使网卡或集成在主机板上。(4)IP 协议IP协议位于TCP/IP协议栈中,是位于Internet层的一个协议,主要负责给数据包分配地址,在网络间接之间选择最佳路由路径,但是一种无连接、不可靠的协议,与TCP协议配套,为局域网络提供可靠的高效的数据连接。在该协议簇中还包括(如下图所示),ICMP(控制报文协议)、IGMP(组播协议)、ARP(地址转换协
14、议)、RARP(逆向地址转换协议)等一些常见的局域网协议。l 高层协议(1)TCP协议TCP(传输控制协议)也位于TCP/IP 协议栈中,是位于传输层的的一个协议,主要负责数据包的验证信息,主要和IP协议协同工作,因为它要经过一个三方握手的确认过程,所以可以为用户提供一个高效、可靠的数据链接。目前,世界上大多数操作系统(windows NT、netware、unix .)都支持TCP/IP协议。(2)UDP 协议UDP(用户报文协议)也是在网络通信中用于标识应用程序的传输层协议,UDP 协议的优点是提供了一种无连接的数据包投递服务,速度快,但是不可靠,不像TCP/IP 协议一样,它不要求对接受
15、的数据进行确认,Internet 当中,OICQ 就是用的UDP 协议。(3)HTTP、HTTPS 协议HTTP(超文本传输协议)是一个在TCP/IP 支持下的超文本传输协议,它是Web应用的灵魂,如:Internet 中用户就是通过HTTP协议+默认的80端口来访问某公司的Web服务器的;而HTTPS协议也是一个在TCP/IP支持下的超文本传输协议,它主要应用于加密系数较高的Web网站中,用户是通过HTTP协议+443端口来访问某公司的Web服务器的,需要经过严格的用户身份验证。2.4 路由协议及规划设计l 静态路由协议路由协议是路由器软件中重要的组成部分。路由器的路由功能就是通过这些路由协
16、议来实现的,路由协议的作用是用来建立以及维护路由表。路由表是记录一些转发数据到已知目的节点的最佳路径,有了它,只需直接按路径转发数据包即可,可大大提高数据转发的速度和效率。典型的路由选择方式有两种:静态路由和动态路由。静态路由是在路由器中设置的固定的路由表,除非网络管理员干预,否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。而动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程。它能
17、实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息。这些信息通过各个网络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源。 静态路由和动态路由有各自的特点和适用范围,因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由。l OSPF路由协议1)OSPF路由协议简介OSPF是一个基于链路状态的动态路
18、由协议,协议的基本思路如下:在自治系统中每一台运行OSPF的路由器收集各自的接口/邻接信息称为链路状态,通过Flooding算法在整个系统广播自己的链路状态,使得在整个系统内部维护一个同步的链路状态数据库,根据这一数据库,路由器计算出以自己为根,其它网络节点为叶的一根最短的路径树,从而计算出自己到达系统内部各可定的最佳路由。OSPF是一类Interior Gateway Protocol(内部网关协议IGP),它处理在一个自治系统中,路由器的网络的路由表信息。OSPF把整个网络(Internet上的子网或其他类型的网)看成一个自治系统(AS),每一个AS内若干个物理上相邻的路由器(Router
19、),网络(Network)组成Area,这些Area内部一般是不相交的,它们划分了整个AS。区域概念的引入是为了隔离和区分自治系统内的各部分,并由此减少路由器必须维护的整个自治系统的信息量,也就意味着减少了路由器间传输和维护的OSPF路由表的额外信息。2)迈普路由器上OSPF的实现迈普公司的路由器上实现的OSPF协议是按照最新的的协议标准来实现的,它不仅支持协议规定的所有功能,而且支持在其后的一些扩展具体如下: 协议标准的完全实现,可以与其它厂商的标准的OSPF协议实现对通支持各种接口类型,包括在拨号口上的运行各种策略的实现,如ROUTEMAP及路由过滤等等。支持STUB区域标准的网管功能结合
20、目前辽宁农信的网络模式和路由模式,网点的路由协议保持不变,在EPAS360上面通过动态路由协议与核心路由器相连。2.5 方案优势1. 专线的网络隔离整个网络采用同一链路实现了生产网络和办公网络的隔离,从根本上解决办公业务对生产业务的影响,同时也解决了办公网络对带宽的抢占而影响生产业务的正常稳定运行。比传统意义上的逻辑隔离更加安全,更加可靠。2. 高性价比的组网方案在网点的网络建设上,上行采用了一条线路,同时在一条线路上进行时隙的划分就实现了生产业务和办公业务两张网络的隔离,并保证了生产业务的网络带宽,同时能够完成网点办公等的需求,达到了单独租用一条线路来实现办公的效果,而其网络投资却是一张网的费用,节约了网络投资。3. 方便的维护和管理通过采用MP7208+CPOS的解决方案,能够实现大量网点的接入,不必部署过多的设备和线缆,解决了设备堆积和为维护的问题。4. 高可靠性MP7208支持双机热备份协议,以及双电源冗余,所有业务板卡支持热插拔和主板过热保护技术,有效保证了网络的可靠性,大大降低业务中断风险。第三章 设备清单设备型号设备描述数量NB110E1个E1接口、1个V35接口、1个10/100M以太接口,需选配外置交/直流电源模块1