银行分行数据中心项目工程实施方案

银行分行数据中心项目

工程实施方案

银行分行数据中心项目工程实施方案

第1章 项目概况

1.1 项目背景

某银行某分行为满足业务需求，将根据模块化的、分层的、分级的现代数据中心设计理念，构建一个满足可扩展性、灵活性和高可用性的网络基础架构，实现对分行各业务系统提供统一的基础设施服务支持的目标。

1.2 项目目标

随着数据大集中的完成，分行业务处理模式将发生根本性变化，由先前的业务处理发生在分行本地演变成所有核心业务均上送总行统一处理。另一方面全行各类信息业务平台、管理平台的不断投入使用，带来明显的网络交易压力，对网络带宽、稳定性和安全性提出了更高要求。同时，由于网络设备持续运行，年久老化，面临较重的运行压力。今后拟对分行网络系统进行一次升级改造，确保网络处理能力满足未来发展需要，真正实现业务处理和信息管理的高速运行。

根据当前成熟的网络技术并结合网络技术将来的发展趋势，分行网络系统改造目标是建成一个高性能、高可靠性、安全冗余、可扩展的网络安全通信平台。网络改造具体涉及到以下几点： 1. 网络设备更换或升级

分行网络自建成运行以来，已经连续运转八年，网络设备已出现不同程度的老化，部分设备性能已严重落后于现有同等网络产品，甚至部分产品已停产或淘汰，为保证分行网络的安全运转，优化分行网络性能，预防网络故障的发生，对分行老旧网络设备进行更换或升级。

同时，网络改造必须采用国际通用的标准，在网络模式、设备的选择、线路的选择、实施和管理等各个环节上都采用现行国际标准和行业标准，以方便以后对网络的升级、更新和维护；充分考虑各个网络产品(软件、硬件)的兼容性，网络设备的冗余性；所有网络设备必须支持IPV6，满足下一代数据通信网络的需要。

2. 千兆网络建设

随着数据大集中项目的实施，以及各种新业务系统的上线，网络系统资源的占用越来越大，提高业务处理的速度和质量，成为分行网络建设的重点。鉴于分行现有的百兆网络面临的业务压力，必须提升网络带宽，对分行核心网络设备实现千兆光纤互联，保证网络的快速处理能力，并实现核心应用服务器的千兆连接。

3. 网络区域划分

目前分行网络划分为、内网、DMZ区三个大的区域。为了增加网络的安全性、可管理性，对网络按不同的功用，进行更细致的区域划分，共划分为十一个区域，通过区域的划分使分行网络结构更加合理，各部分的功能一目了然，便于管理和安全规则的设置。为了保证网络的安全，在各区域间架设防火墙，对网络的访问进行过滤和。

第2章 网络总体规划

2.1 网络现状

原组网图如下：

银行分行数据中心项目工程实施方案

12个支行路由器JN-GX-2621JN-SB-2621JN-YYB-2621JN-CD-2621JN-HPL-2621JN-FHJG-262114个自助银行路由器JN-DGZZ-1841zJN-JDZZ-1720JN-QCLZZ-1841JN-WDZZ-1841JN-SN-2621JN-HY-2621JN-JFL-2621JN-WEL-2621JN-JSL-2621JN-ZQ-281112个支行终端交换机2M SDH2M SDHJN-DGDJZZ-1841JN-GXQZZ-1841JN-DLZKZZ-2500JN-SJZZ-2500DHHM SSD2 2MDDN联通广电广电联通烟台聊城JN-GX-2960JN-WE-2960JN-JFL-2960JN-XL-PE-C1JN-HY-296010M 光纤JN-ZD-3560龙马D上行JN-FH-CE-C13560A(冷备)JN-FH-CE-C2JN-XL-PE-C2龙马CJN-PE-C1JN-JSL-2960JN-SN-2960JN-HPL-2960JN-SB-2960JN-PE-C2JN-JG-2960JN-CD-2960龙马AKEZX-OA-2950JN-ZQ-2960CSS-IN-ACSS-IN-BJN-YL-WT-C2龙马BJN-TOFHJG-2621JN-LC-2621JN-YT-2610PixUpPixDownJN-YL-GD-C1外联银联insideoutsideCSS-OUT-ACSS-OUT-BCSS-DMZ-ACSS-DMZ-BDMZ区JN-HL-C2924AJN-HL-C2924BJN-WL-PE-C1JN-RH-WT-C1JN-RH-LT-C2JN-DX-2621到外联单位（证券公司、人行、电信代收费等）华夏银行济南分行网络逻辑拓扑图

目前某银行某分行（以下简称分行）网络系统分为内网、、DMZ区三部分，各区之间通过防火墙进行了有效隔离。内网由核心、汇聚、接入三层结构组成，严格按照网络的三层结构设计建设，是分行内部网络业务系统；是第三方接入网络；DMZ区是部分公用系统和无线网络接入区。分行网络经过总行大集中网络改造后，已实现了核心冗余，汇聚冗余、接入冗余，实现了设备和线路的冗余。

内网核心网络设备采用两台思科6509高端设备，处理速度快，稳定性高。两台设备互为备份，实现核心冗余；汇聚设备由两台思科75系列设备构成，并互为备份，一台设备出现故障，另一台可立即接管；接入层为思科2621XM路由器，通过网通和广电两条2M SDH接入核心网络，两条线路一主一备，保证业务连续性。

银行分行数据中心项目工程实施方案

在内部网络的基础上分行又建设了终端网，各支行终端可通过10M光纤接入核心终端服务器，从而访问分行生产网络，大大提高了网络访问速度。

外联网是第三方接入分行网络区域，第三方用户通过一台思科75系列路由器和两台思科28系列路由器接入分行生产网络。另外，为保证接入银联网络的稳定性，分行把银联业务网络单独隔离，与核心网络直接联接，并通过防火墙进行了有效隔离。

DMZ区是部分公用系统区和联通无线网络接入区，分行利用联通网络建设了无线网络，通过无线网络分行单点ATM和移动办公终端可在联通无线信号覆盖的任何区域接入分行网络。为保证网络安全，通过防火墙与联通网络进行了隔离，单点ATM和移动办公终端在数据传输时均采取了严格的加密措施。

内部网络三个区域之间通过防火墙（pix520）进行隔离，并设置了相应的访问策略，同时利用思科的内容交换机（cisco11051）和防火墙相结合，实现了防火墙的负载均衡和冗余备份。

分行网络通过cisco7606和华为NE16接入总行网络，两台设备互为备份，通过防火墙与总行网络隔离。

在网络监控和预防非法入侵方面，分行采用联想N820入侵检测设备，实时监测网络运行状况。

目前的网络存在以下问题：

1、

设备的老化，故障频发：分行网络从建设运行至今已有八年，大部分设备已出现不同程度的老化现象，网络设备运行故障升高，断电后再启动、死机，重启后无法启动等现象频繁发生。6台内容交换机和1台PIX防火墙都出现过硬件故障；两台汇聚路由器cisco7567和cisco7507引擎故障，自动重启；各支行网络由路由器cisco2621陆续出现了故障。设备的老化已经严重影响了网络的正常运行。

2、

系统陈旧，功能匮乏：现有两台核心交换设备cisco6509操作系统为CATOS，而现在CATOS已淘汰，目前市场流行的路由和交换设备都使用IOS，因此导致不能兼容多数新型的网络设备和各种新的功能特性，致使许多安全措施无法应用，影响核心网络的安全性。

3、

架构落后，安全风险大：随着业务系统的扩展，现有网络虽采用了分层的设计思想，但没有对各功能区域进行划分，各业务系统及功能区域之间没有指定清洗的安全等级，不利于安全策略的制定。

2.2 新建网络设计

新网络拓扑如下：

银行分行数据中心项目工程实施方案

广域接入区同城支行自助银行MSR20-40异地支行外联接入区CDMA接入CDMA网络人行银联银监局外联单位电信代收费MSR30-20总行接入区总行网络联通广电电信3GVPN主机外联路由器CISCO3845S3600-28P-EI总行接入路由器汇聚路由器SR6608东营路由器MSR3020天融信TG-4524DMZ区汇聚交换机S5500-28C-EI绿盟IPS508P-02核心交换机S7506E内置防火墙模块1000Mbps 单模1000Mbps 多模1000Mbps 双绞线100Mbps 双绞线155Mbps SDH2Mbps SDH10Mbps MSTPCost 1汇聚交换机S5500-52C-EI业务服务器区汇聚交换机S5500-52C-EI办公服务器区汇聚交换机S5500-52C-EI开发测试区冷备交换机S5500-52C-EI城域网汇聚交换机S7503E接入交换机S5500-52C-EI管理控制区同城支行S3600-52P-EI终端接入区接入交换机S3600-52P-EI分行用户接入区华夏银行济南分行网络拓扑

新建网络有如下优点：

1. 结构整齐，层次清晰，便于管理。 2. 采用动态路由协议，维护简单，扩展性好；

第3章 设备部署

3.1 设备命名规则

为便于进行网络故障诊断和远程监测，参照总行《网络设备命名规范》分行将统一全辖网络设备的命名。

网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。设备名称的字母全部采用大写表示。

主要网络设备的ID命名规则如下： A_B_C_D_E：

A：分行名称（如上海分行、等）

B：区域名称（如核心区、服务器区、办公区、管理区、等，也可表示支行名称）

银行分行数据中心项目工程实施方案

C：区域层次（如汇聚层或接入层）

D：设备类型（如核心交换机、路由器、防火墙、入侵检测、等） E：设备序列号（如第一台、第二台、等）

根据上述描述，每个字段做如下进一步的明确： A：分行名称 分行名称 北京 上海 … B：区域名称

序号 1 2 3 4 5 6 7 8 9 10 11 12

C：区域层次 序号 1 2 D：设备类型

序号 名称 描述 名称 DL AL 区域 汇聚层（Distribution Layer） 接入区（Access Layer） 名称 CORE ADMIN APPSVR OASVR HQCONN BRANCONN APPUSR OAUSR EXTCONN DMZ DT TA 描述 核心区（Core Zone） 管理区（Admin Zone） 业务服务器区（App_Server Zone） 办公服务器区(OA_Server Zone) 上联区（HQ_Conn Zone） 下联区（Bran_Conn Zone） 业务用户接入区（App_User Zone） 办公用户接入区（OA_User Zone） 外联区（Ext_Conn Zone） DMZ区 开发测试区( Developing Testing Zone) 终端接入区(Terminal Access Zone) 标识 BJ SH …

银行分行数据中心项目工程实施方案

1 2 3 4

E：设备序列号

序号 1 2 3 SW RT FW IDS 交换机 路由器 防火墙 入侵检测系统 名称 1 2 … 描述 同区同层第１台设备 同区同层第2台设备 …

例如：

BJ_CORE_SW_1：表示北京分行（BJ）核心区(CORE)核心交换机（SW）第一台（1）； SH_ADMIN_DL_SW_1：表示上海分行（SH）管理区（ADMIN）汇聚层（DL）交换机（SW）第一台（1）；

SH_APPSVR_AL_SW_1（或_2）：表示上海分行（SH）业务服务区（APPSVR）接入层（AL）交换机（SW）第一/二台（1或2）；

SH_EXTCONN_FW_1：表示上海分行（SH）外联区（EXTCONN）防火墙（FW）第一台（1）； TJ_YYB_RT_1：表示天津分行（TJ）分行营业部（YYB）路由器（RT）第一台（1）； 下表是本次项目全网设备的命名 序号 1 2 3 4 5 6 7 8 11 12 13 14 15 名称 JN_CORE_SW_1 JN_CORE_SW_2 JN_BRANCONN_DL_RT_1 JN_BRANCONN_DL_RT_2 JN_EXTCONN_IPS_1 JN_EXTCONN_IPS_2 JN_EXTCONN_FW_1 JN_EXTCONN_FW_2 JN_EXTCONN_AL_SW_1 JN_EXTCONN_AL_SW_2 JN_EXTCONN_AL_RT_1 JN_EXTCONN_AL_RT_2 JN_EXTCONN_3G_1 描述 生产网核心8508-1交换机 生产网核心8508-2交换机 分行广域网接入区汇聚路由器1 分行广域网接入区汇聚路由器2 分行外联接入区IPS-1 分行外联接入区IPS-2 分行外联接入区防火墙-1 分行外联接入区防火墙-2 分行外联接入区交换机-1 分行外联接入区交换机-2 分行外联接入区路由器-1 分行外联接入区路由器-2 分行外联接入区3G路由器

银行分行数据中心项目工程实施方案

16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 JN_EXTCONN_CDMA_1 JN_DMZ_DL_SW_1 JN_DMZ_DL_SW_2 JN_ADMIN_DL_SW_1 JN_APPUSR_DL_SW_1 JN_APPUSR_DL_SW_2 JN_APPUSR_AL_SW_1 JN_APPUSR_AL_SW_2 JN_APPUSR_AL_SW_3 JN_TA_DL_SW_1 JN_DT_DL_SW_1 JN_OASVR_DL_SW_1 JN_OASVR_DL_SW_2 JN_APPSVR_DL_SW_1 JN_APPSVR_DL_SW_2 JN-DY-H1 JN-DY-H2 分行外联接入区CDMA路由器 分行DMZ区汇聚交换机-1 分行DMZ区汇聚交换机-2 分行管理控制区汇聚交换机-1 分行用户接入区汇聚交换机-1 分行用户接入区汇聚交换机-2 分行用户接入区接入交换机-1 分行用户接入区接入交换机-2 分行用户接入区接入交换机-3 分行终端接入区汇聚交换机-1 分行开发测试区汇聚交换机-1 分行办公服务器区汇聚交换机-1 分行办公服务器区汇聚交换机-2 分行业务服务器区汇聚交换机-1 分行业务服务器区汇聚交换机-2 分行下联东营路由器-1 分行下联东营路由器-2 3.2 网络设备的链路描述（Description）规则

为了便于网络设备的维护，应在网络设备中用到的接口中配置相应的描述（Description）命令，对链路的走向进行描述，具体格式为：

行内线路描述：

description

其中，设备ID请参照《网络设备ID命名规范》，设备接口ID请参照设备厂商的端口命名规范。

外联线路描述： description

3.3 VLAN命名规则

为便于管理，VLAN名称应使用统一的命名规则 网络互联VLAN主要以英文缩写命名： 本方案涉及的VLAN名称如下:

银行分行数据中心项目工程实施方案

3.3.1 核心区

Vlan ID 801 821 802 822 803 823 804 824 805 825 806 826 807 827 808 828 809 829 810 830 811 841 VLAN名 LINK801 LINK821 LINK802 LINK822 LINK803 LINK823 LINK804 LINK824 LINK805 LINK825 LINK806 LINK826 LINK807 LINK827 LINK808 LINK828 LINK809 LINK829 LINK810 LINK830 LINK811 LINK841 VLAN划分描述 To-JN-PE-C1-G5/2 TO-JN_PE_C1-G6/2 TO-JN-PE-C2-G1/2 TO-JN_PE_C2-G1/1 TO-JN_BRANCONN_DL_RT_1_G3/0/0 TO-JN_BRANCONN_DL_RT_1-G3/0/1 TO-JN_BRANCONN_DL_RT_2_G3/0/0 TO-JN_BRANCONN_DL_RT_2-G3/0/1 TO-JN_APPSVR_DL_SW_1_G1/0/49 TO-JN_APPSVR_DL_SW_2-G1/0/49 TO-JN_OASVR_DL_SW_1_G1/0/49 TO-JN_OASVR_DL_SW_2-G1/0/49 TO-JN_DT_DL_SW_1_G1/0/49 TO-JN_DT_DL_SW_1-G1/0/50 TO-JN_TA_DL_SW_1_G1/0/49 TO-JN_TA_DL_SW_1-G1/0/50 To-JN_OAUSR_DL_SW_1 TO-JN_OAUSR_DL_SW_2 To-JN_ADMIN_DL_SW_1-G1/0/49 TO-JN_ADMIN_DL_SW_1-G1/0/50 To-JN-DY-H1-G0/0 TO-JN_EXTCONN_IPS_1-Eth1 用途 分行核心1与上行路由器1互联 分行核心2与上行路由器1互联 分行核心1与上行路由器2互联 分行核心2与上行路由器2互联 分行核心1与下联路由器1互联 分行核心2与下联路由器1互联 分行核心1与下联路由器2互联 分行核心2与下联路由器2互联 分行核心1与业务服务器区汇聚交换机1互联 分行核心2与业务服务器区汇聚交换机2互联 分行核心1与办公服务器区汇聚交换机1互联 分行核心2与办公服务器区汇聚交换机2互联 分行核心1与开发测试区汇聚交换机1互联 分行核心2与开发测试区汇聚交换机1互联 分行核心1与终端接入区汇聚交换机1互联 分行核心2与终端接入区汇聚交换机1互联 分行核心1与分行用户区汇聚交换机1互联 分行核心2与分行用户区汇聚交换机2互联 分行核心1与管理控制区汇聚交换机1互联 分行核心2与管理控制区汇聚交换机2互联 分行核心1与分行核心2互联 分行核心与外联接入区IPS互联 3.3.2 业务服务器区

Vlan ID VLAN名 805 LINK805 851 120 103 LINK851 YEWU CESHI VLAN划分描述 TO-JN_CORE_SW_1-G5/0/3 TO-JN_APPSVR_DL_SW_2-G1/0/50-51 YeWu CESHI 用途 业务服务器区汇聚交换机1与分行核心1互联 业务服务器区汇聚交换机1与业务服务器区汇聚交换机2互联 分行业务服务器 用于测试使用 3.3.3 办公服务器区

Vlan ID 806 826 852 601 128 VLAN名 LINK806 LINK826 LINK852 OA ShuZiGongWen VLAN划分描述 用途 To-JN_CORE_SW_1_G5/0/4 办公服务器汇聚交换机1与分行核心1互联 To-JN_CORE_SW_2_G5/0/4 办公服务器汇聚交换机2与分行核心2互联 办公服务器汇聚交换机1与办公服务器汇聚To-JN_OASVR_DL_SW_2 交换机2互联 OA OA服务器 ShuZiGongWen 数字公文系统

银行分行数据中心项目工程实施方案

3.3.4 开发测试区

Vlan ID 160 VLAN名 CeShi VLAN划分描述 CeShi 用途 测试网 3.3.5 终端接入区

Vlan ID 808 828 100 101 102 103 104 105 106 107 108 109 110 111 112 120 148 149 150 151 VLAN名 LINK808 LINK828 JN-GX JN-SB JN-YYB JN-CD JN-HPL JN-HY JN-JFL JN-WEL JN-JSL JN-SN JN-JG JN-ZQ JN-WF JN-ZD JN-XXFB JN-SPHY JN-JZJK PEIXUN VLAN划分描述 To-JN_CORE_SW_1 To-JN_CORE_SW_1 JN-GX JN-SB JN-YYB JN-CD JN-HPL JN-HY JN-JFL JN-WEL JN-JSL JN-SN JN-JG JN-ZQ JN-WF JN-ZD JN-XXFB JN-SPHY JN-JZJK PEIXUN 用途 终端汇聚交换机1与分行核心1互联 终端汇聚交换机1与分行核心2互联 高新支行 市北支行 营业部 城东支行 和平路支行 槐荫支行 路支行 纬二路支行 经十路支行 市南支行 分行机关 章丘支行 潍坊支行 终端服务器 信息发布系统 视频会议 集中监控 用于培训 3.3.6 分行用户接入区

Vlan ID VLAN名 809 LINK809 829 853 861 862 870 LINK829 LINK853 KuaiJiBu LINK862 XinXiJiShuBu VLAN划分描述 TO-JN_CORE_SW_1-G5/0/7 TO-JN_CORE_SW_2-G5/0/7 TO-JN_OAUSR_DL_SW_2-Bridge1 KAIJIBU FHJG-Temp XXJSB 用途 办公用户接入交换机1与分行核心1互联 办公用户接入交换机2与分行核心2互联 办公用户交换机1与办公用户交换机2互联 会计部 分行机关临时 信息技术部 3.3.7 管理控制区

Vlan ID 810 830 192

VLAN名 LINK810 LINK830 WangGuan VLAN划分描述 TO-JN_CORE_SW_1-G5/0/8 TO-JN_CORE_SW_2-G5/0/8 WangGuan 用途 管理汇聚交换机与分行核心交换机1互联 管理汇聚交换机与分行核心交换机2互联 网管服务器和IDS管理机 银行分行数据中心项目工程实施方案

102 FangBingDu FangBingDu 防病毒服务器 3.3.8 外联接入区及DMZ区

Vlan ID 842 843 139 140 VLAN名 LINK842 LINK843 LINK139 LINK140 VLAN划分描述 WLSW1/2 TO WLSW2/1 JN_EXTCONN_FW-TO-JN_DMZ_DL_SW BAOBIAO ZHIFU 用途 外联接入区互联VLAN DMZ区互联VLAN 报表 支付 3.4 软件版本

序号 1 2 3 设备名称 BHCore-H3C-S9512-01 软件版本 CMW3.10-R18 3.5 槽位部署

S7606E交换机： 0 1 2 3 4 5 6 7 S7506E S7506E交换路由处理板 S7506E交换路由处理板 24端口千兆以太网光接口业务板 24端口千兆以太网电接口模块 防火墙业务板

第4章 VLAN及IP地址规划

4.1 VLAN规划

4.1.1 核心区

根据分行新网络建设的统一规划核心区设备VLAN的划分见下表： 区域 VLAN ID 本端设备 对端设备 VLAN用途 分行核心1与上行路由器1互联 801 JN_CORE_SW_1 JN-PE-C1 分行核心2与上行路由器1互联 821 JN_CORE_SW_2 JN-PE-C1 分行核心1与上行路由器2互联 核心区 802 JN_CORE_SW_1 JN-PE-C2 分行核心2与上行路由器2互联 822 JN_CORE_SW_2 JN-PE-C2 分行核心1与下联路由器1互联 803 JN_CORE_SW_1 JN_BRANCONN_DL_RT_1

银行分行数据中心项目工程实施方案

823 804 824 805 825 806 826 807 827 808 828 809 829 810 830 811 812 841 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_2 JN_CORE_SW_1 JN_CORE_SW_1 JN_CORE_SW_2 N_BRANCONN_DL_RT_1 TO-JN_BRANCONN_DL_RT_2 TO-JN_BRANCONN_DL_RT_2 JN_APPSVR_DL_SW_1 JN_APPSVR_DL_SW_2 JN_OASVR_DL_SW_1 JN_OASVR_DL_SW_2 JN_DT_DL_SW_1 JN_DT_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_OAUSR_DL_SW_1 JN_OAUSR_DL_SW_2 JN_ADMIN_DL_SW_1 JN_ADMIN_DL_SW_1 JN-DY-H1 JN-DY-H1 JN_EXTCONN_IPS_2 分行核心2与下联路由器1互联 分行核心1与下联路由器1互联 分行核心2与下联路由器2互联 分行核心1与业务服务器区汇聚交换机1互联 分行核心2与业务服务器区汇聚交换机2互联 分行核心1与办公服务器区汇聚交换机1互联 分行核心2与办公服务器区汇聚交换机2互联 分行核心1与开发测试区汇聚交换机1互联 分行核心2与开发测试区汇聚交换机1互联 分行核心1与终端接入区汇聚交换机1互联 分行核心2与终端接入区汇聚交换机1互联 分行核心1与分行用户区汇聚交换机1互联 分行核心2与分行用户区汇聚交换机2互联 分行核心1与管理控制区汇聚交换机1互联 分行核心2与管理控制区汇聚交换机2互联 分行核心1与东营分行1互联 分行核心1与东营分行2互联 分行核心与外联接入区IPS互联 4.1.2 业务服务器区

区域 VLAN ID 805 825 851 120 本端设备 JN_APPSVR_DL_SW_1 JN_APPSVR_DL_SW_2 JN_APPSVR_DL_SW_1 JN_APPSVR_DL_SW 对端设备 JN_CORE_SW_1 JN_CORE_SW_2 JN_APPSVR_DL_SW_2 分行业务服务器 VLAN用途 业务区服务器汇聚交换机1与核心1互联 业务区服务器汇聚交换机2与核心2互联 业务区服务器汇聚交换机互联 分行业务服务器VLAN 业务服务器区 4.1.3 办公服务器区

区域 VLAN 本端设备 对端设备 ID 806 JN_OASVR_DL_SW_1 JN_CORE_SW_1 JN_CORE_SW_2 办公826 JN_OASVR_DL_SW_2 服务852 JN_OASVR_DL_SW_1 JN_OASVR_DL_SW_2 器区 128 JN_OASVR_DL_SW 分行办公服务器 601 JN_OASVR_DL_SW 分行办公服务器 VLAN用途 办公服务器区汇聚交换机1与核心1互联 办公服务器区汇聚交换机2与核心2互联 办公服务器区汇聚交换机互联 老OA等系统 新OA 4.1.4 开发测试区

区域 开发测试区 VLAN 本端设备 对端设备 ID 807 JN_DT_DL_SW_1 JN_CORE_SW_1 827 JN_DT_DL_SW_1 JN_CORE_SW_2 160 JN_DT_DL_SW_1 测试主机 VLAN用途 开发测试区汇聚交换机1与核心1互联 开发测试区汇聚交换机1与核心2互联 开发测试

银行分行数据中心项目工程实施方案

4.1.5 终端接入区

区域 VLAN ID 808 828 100 101 102 103 104 105 106 107 108 109 110 111 112 120 150 148 149 本端设备 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 JN_TA_DL_SW_1 对端设备 JN_CORE_SW_1 JN_CORE_SW_2 JN-GX-2960 JN-SB-2960 JN-YYB JN-CD-2960 JN-HPL-2960 JN-HY-2960 JN-JFL-2960 JN-WEL-2960 JN-JSL-2960 JN-SN-2960 JN-JG-2960 JN-ZQ-2960 JN-WF-2960 终端服务器系统 集中监控系统 信息发布系统 视频会议系统 VLAN用途 终端接入区汇聚交换机1与核心1互联 终端接入区汇聚交换机1与核心2互联 高新支行终端 市北支行终端 分行营业部终端 城东支行终端 和平路支行终端 淮阴支行终端 路支行终端 纬二路支行终端 经十路支行终端 市南支行终端 机关终端 章丘支行终端 潍坊支行终端 终端服务器系统 集中监控系统 信息发布系统 视频会议系统 终端接入区 4.1.6 分行用户接入区

区域 VLAN 本端设备 对端设备 ID 809 JN_OAUSR_DL_SW_1 JN_CORE_SW_1 分行829 JN_OAUSR_DL_SW_2 JN_CORE_SW_2 用户853 JN_OAUSR_DL_SW_1 JN_OAUSR_DL_SW_2 接入861 JN_OAUSR_DL_SW 会计部服务器 区 870 JN_OAUSR_DL_SW 信息技术部服务器 VLAN用途 分行用户接入区汇聚交换机1与核心1互联 分行用户接入区汇聚交换机2与核心2互联 分行用户接入区汇聚交换机互联 会计部 信息技术部 4.1.7 管理控制区

区域 VLAN ID 810 管理830 控制102 区 192

本端设备 对端设备 VLAN用途 管理控制区汇聚交换机1与核心1互联 管理控制区汇聚交换机1与核心2互联 防病毒/补丁 网管 JN_ADMIN_DL_SW_1 JN_CORE_SW_1 JN_ADMIN_DL_SW_1 JN_CORE_SW_2 JN_ADMIN_DL_SW_1 防病毒/补丁服务器 JN_ADMIN_DL_SW_1 网管服务器

银行分行数据中心项目工程实施方案

4.1.8 外联接入区及DMZ区

区域 VLAN ID 841 841 842 843 844 139 140 本端设备 JN_EXTCONN_IPS_1 JN_EXTCONN_IPS_2 JN_EXTCONN_AL_SW_1 JN_DMZ_DL_SW_1 JN_EXTCONN_AL_SW_1 JN_DMZ_DL_SW_1 JN_DMZ_DL_SW_1 对端设备 JN_CORE_SW_1 JN_CORE_SW_2 JN_EXTCONN_AL_SW_2 JN_DMZ_DL_SW_2 JN_EXTCONN_FW_1 报表系统服务器 支付系统服务器 VLAN用途 外联接入区IPS1与核心1互联 外联接入区IPS2与核心2互联 外联接入区互联VLAN DMZ区互联VLAN CDMA Server与互联防火墙VLAN 报表系统服务器 支付系统服务器 外联接入区及DMZ

4.2 端口划分

1. 核心区

本端设备 端口 设备名称 编号 G3/0/1 G3/0/2 G5/0/1 G5/0/2 G5/0/3 G5/0/4 JN_CORE_SW_1 G5/0/5 G5/0/6 G5/0/7 G5/0/8 G3/0/3 G3/0/4 G3/0/24 G3/0/1 G3/0/2 G5/0/1 G5/0/2 G5/0/3 G5/0/4 JN_CORE_SW_2 G5/0/5 G5/0/6 G5/0/7 G5/0/8 G3/0/3 G3/0/4 G3/0/24 JN_CORE_SW_1 G5/0/23 JN_CORE_SW_1 G5/0/24

端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（RJ45） 1G（RJ45） 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（RJ45） 1G（RJ45） 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） 对端设备 端口 设备名称 编号 JN-PE-C1 G5/2 JN-PE-C2 G1/2 JN_BRANCONN_DL_RT_1 G3/0/0 JN_BRANCONN_DL_RT_2 G3/0/0 JN_APPSVR_DL_SW_1 G1/0/49 JN_OASVR_DL_SW_1 G1/0/49 JN_DT_DL_SW_1 G1/0/49 JN_TA_DL_SW_1 G1/0/49 JN_OAUSR_DL_SW_1 G2/0/1 JN_ADMIN_DL_SW_1 G1/0/49 JN-DY-H1 G0/0 JN-DY-H2 G0/0 JN_EXTCONN_IPS_1 Eth1 JN_PE_C1 G6/2 JN-PE-C2 G1/1 JN_BRANCONN_DL_RT_1 G3/0/1 JN_BRANCONN_DL_RT_2 G3/0/1 JN_APPSVR_DL_SW_2 G1/0/49 JN_OASVR_DL_SW_2 G1/0/49 JN_DT_DL_SW_1 G1/0/50 JN_TA_DL_SW_1 G1/0/50 JN_OAUSR_DL_SW_2 G2/0/1 JN_ADMIN_DL_SW_1 G1/0/50 JN-DY-H1 G0/1 JN-DY-H2 G0/1 JN_EXTCONN_IPS_2 Eth1 JN_CORE_SW_2 G5/0/23 JN_CORE_SW_2 G5/0/23 所属端口类型 1G（RJ45） 1G（RJ45） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（RJ45） 1G（RJ45） 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（RJ45） 1G（RJ45） 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） VLAN VLAN801 VLAN802 VLAN803 VLAN804 VLAN805 VLAN806 VLAN807 VLAN808 VLAN809 VLAN810 VLAN811 VLAN812 VLAN841 VLAN821 VLAN822 VLAN823 VLAN824 VLAN825 VLAN826 VLAN827 VLAN828 VLAN829 VLAN830 VLAN831 VLAN832 VLAN841 TRANK TRANK 银行分行数据中心项目工程实施方案

2. 业务服务器区 本端设备 端口 设备名称 编号 JN_APPSVR_DL_SW_1 G1/0/49 JN_APPSVR_DL_SW_2 G1/0/49 JN_APPSVR_DL_SW_1 G1/0/50 JN_APPSVR_DL_SW_1 G1/0/51 3. 办公服务器区 本端设备 端口 设备名称 编号 JN_OASVR_DL_SW_1 G1/0/49 JN_OASVR_DL_SW_2 G1/0/49 JN_OASVR_DL_SW_1 G1/0/50 JN_OASVR_DL_SW_1 G1/0/51 4. 开发测试区

本端设备 端口 设备名称 端口类型 编号 JN_DT_DL_SW_1 G1/0/49 1G（SFP,LC） JN_DT_DL_SW_1 G1/0/50 1G（SFP,LC） 5. 终端接入区

本端设备 端口 设备名称 编号 G1/0/49 G1/0/50 G1/0/1 G1/0/2 G1/0/3 G1/0/4 G1/0/5 JN_TA_DL_SW_1 G1/0/6 G1/0/7 G1/0/8 G1/0/9 G1/0/10 G1/0/11 G1/0/13 G1/0/14 对端设备 端口 设备名称 编号 JN_CORE_SW_1 G5/0/6 JN_CORE_SW_2 G5/0/6 JN-GX G0/1 JN-SB G0/1 JN-YYB G0/1 JN-CD G0/1 JN-HPL G0/1 JN-HY G0/1 JN-JFL G0/1 JN-WEL G0/1 JN-JSL G0/1 JN-SN G0/1 JN_FHJG G0/1 JN-ZQ G0/1 JN-WF G0/1 所属端口类型 1G（SFP,LC） 1G（SFP,LC） 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) VLAN VLAN808 VLAN828 TRANK TRANK TRANK TRANK TRANK TRANK TRANK TRANK TRANK TRANK TRANK TRANK TRANK 对端设备 所属端口 VLAN 设备名称 端口类型 编号 JN_CORE_SW_1 G5/0/5 1G（SFP,LC） VLAN807 JN_CORE_SW_2 G5/0/5 1G（SFP,LC） VLAN827 对端设备 端口 设备名称 编号 JN_CORE_SW_1 G5/0/4 JN_CORE_SW_2 G5/0/4 JN_OASVR_DL_SW_2 G1/0/50 JN_OASVR_DL_SW_2 G1/0/51 所属端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） VLAN VLAN806 VLAN826 TRANK TRANK 对端设备 端口 设备名称 编号 JN_CORE_SW_1 G5/0/3 JN_CORE_SW_2 G5/0/3 JN_APPSVR_DL_SW_2 G1/0/50 JN_APPSVR_DL_SW_2 G1/0/51 所属端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） VLAN VLAN805 VLAN825 TRANK TRANK 端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 端口类型 1G（SFP,LC） 1G（SFP,LC） 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45) 1G (RJ45)

银行分行数据中心项目工程实施方案

6. 分行用户接入区 本端设备 端口 设备名称 编号 JN_OAUSR_DL_SW_1 G2/0/1 JN_OAUSR_DL_SW_2 G2/0/1 JN_OAUSR_DL_SW_1 G2/0/23 JN_OAUSR_DL_SW_1 G2/0/24 7. 管理控制区

本端设备 端口 设备名称 端口类型 编号 JN_ADMIN_DL_SW_1 G1/0/49 1G（SFP,LC） JN_ADMIN_DL_SW_1 G1/0/50 1G（SFP,LC） 8. 外联接入区及DMZ区 本端设备 端口 设备名称 编号 JN_EXTCONN_IPS_1 Eth1 JN_EXTCONN_IPS_2 Eth1 JN_EXTCONN_AL_SW_1 G1/1/1 JN_EXTCONN_AL_SW_1 G1/1/2 JN_DMZ_DL_SW_1 G1/0/25 JN_DMZ_DL_SW_2 G1/0/25 JN_DMZ_DL_SW_1 G1/0/26 JN_DMZ_DL_SW_1 G1/0/27 对端设备 端口 设备名称 编号 JN_CORE_SW_1 G3/0/24 JN_CORE_SW_2 G3/0/24 JN_EXTCONN_AL_SW_2 G1/1/1 JN_EXTCONN_AL_SW_2 G1/1/2 JN_EXTCONN_FW_1 Eth2 JN_EXTCONN_FW_2 Eth2 JN_DMZ_DL_SW_2 G1/0/26 JN_DMZ_DL_SW_2 G1/0/27 所属端口类型 1G（RJ45） 1G（RJ45） 1G（SFP,LC） 1G（SFP,LC） 100M(RJ45) 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） VLAN VLAN841 VLAN841 VLAN842 VLAN842 VLAN843 VLAN843 TRUNK TRUNK 对端设备 所属端口 VLAN 设备名称 端口类型 编号 JN_CORE_SW_1 G5/0/8 1G（SFP,LC） VLAN810 JN_CORE_SW_2 G5/0/8 1G（SFP,LC） VLAN830 对端设备 端口 设备名称 编号 JN_CORE_SW_1 G5/0/7 JN_CORE_SW_2 G5/0/7 JN_OAUSR_DL_SW_2 G2/0/23 JN_OAUSR_DL_SW_2 G2/0/24 所属端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） VLAN VLAN809 VLAN829 TRANK TRANK 端口类型 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 1G（SFP,LC） 端口类型 100M(RJ45) 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） 100M(RJ45) 100M(RJ45) 1G（SFP,LC） 1G（SFP,LC） 4.3 IP地址规划

4.3.1 IP的规划

根据《总行IP地址规划》的要求，某分行新建网络的互联IP网段和应用系统IP规划如下：

分行网段为： 某 分行 121

1. 核心区

区域 名称 网段 46.17.251.168/29 46.17.251.160/29 121.240.1.8/30 121.240.1.12/30 121.240.1.16/30 121.240.1.20/30 121.240.1.24/30 121.240.1.28/30 121.240.1.32/30 121.240.1.36/30 VLAN ID 801 802 803 804 805 806 807 808 809 810 811 820 821 822 823 824 825 826 827 828 829 830 831 841 本端设备IP 46.17.251.170 46.17.251.162 121.240.1.9 121.240.1.13 121.240.1.17 121.240.1.21 121.240.1.25 121.240.1.29 121.240.1.33 121.240.1.37 121.240.1.41 121.240.1.253 46.17.251.178 46.17.251.186 121.240.2.9 121.240.2.13 121.240.2.17 121.240.2.21 121.240.2.25 121.240.2.29 121.240.2.33 121.240.2.37 121.240.2.41 121.240.3.2 121.240.3.3 VIP:121.240.3.1 对端设备IP 46.17.251.169 46.17.251.161 121.240.1.10 121.240.1.14 121.240.1.18 121.240.1.22 121.240.1.26 121.240.1.30 121.240.1.34 121.240.1.38 121.240.1.42 121.240.1.2 46.17.251.177 46.17.251.185 121.240.2.10 121.240.2.14 121.240.2.18 121.240.2.22 121.240.2.26 121.240.2.30 121.240.2.34 121.240.2.38 121.240.2.42 121.240.3.6 核心区 区域 核心设备互联地址 121.240.1.40/30 121.240.1.252/30 46.17.251.176/29 46.17.251.184/29 121.240.2.8/30 121.240.2.12/30 121.240.2.16/30 121.240.2.20/30 121.240.2.24/30 121.240.2.28/30 121.240.2.32/30 121.240.2.36/30 121.240.2.40/30 121.240.3.0/29 2. 业务服务器区

名称 与核心互联地址1 与核心互联地址2 网段 121.240.1.16/30 121.240.2.16/30 VLAN ID 805 825 851 120 本端设备IP 121.240.1.18 121.240.2.18 对端设备IP 121.240.1.17 121.240.2.17 业务服务器区 业务服务器区汇聚交换机互联 121.240.2.244/30 业务系统 46.17.224.0/24 121.240.2.245 121.240.2.246 46.17.224.211 46.17.224.212 VIP: 46.17.224.32 3. 办公服务器区

区域 名称 与核心互联地址1 与核心互联地址2 办公服务器区汇聚交换机互联 老OA等系统 网段 121.240.1.20/30 121.240.2.20/30 121.240.2.248/30 46.17.240.96/27 VLAN ID 806 826 852 128 本端设备IP 121.240.1.22 121.240.2.22 对端设备IP 121.240.1.21 121.240.2.21 办公服务器区

121.240.2.249 121.240.2.250 46.17.240.98 46.17.240.99 VIP: 46.17.240.97

新OA 121.129.1.0/24 601 121.129.1.2 121.129.1.3 VIP:121.129.1.1 4. 开发测试区

区域 开发测试区 名称 与核心互联地址1 与核心互联地址2 开发测试 网段 121.240.1.24/30 121.240.2.24/30 121.160.10.24 VLAN ID 807 827 160 本端设备IP 121.240.1.26 121.240.2.26 对端设备IP 121.240.1.25 121.240.2.25 5. 终端接入区

区域 名称 与核心互联地址1 与核心互联地址2 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 终端接入 网段 121.240.1.28/30 121.240.2.28/30 121.18.130.0/26 121.18.131.0/26 121.18.132.0/26 121.18.133.0/26 121.18.134.0/26 121.18.135.0/26 121.18.136.0/26 121.18.137.0/26 121.18.138.0/26 121.18.139.0/26 121.18.140.0/26 121.18.142.0/26 121.18.143.0/26 121.18.141.0/26 121.18.141.128/26 121.22.1.0/24 121.18.141./26 121.160.2.0/24 VLAN ID 808 828 100 101 102 103 104 105 106 107 108 109 110 111 112 120 148 149 150 151 本端设备IP 121.240.1.30 121.240.2.30 121.18.130.62 121.18.131.62 121.18.132.62 121.18.133.62 121.18.134.62 121.18.135.62 121.18.136.62 121.18.137.62 121.18.138.62 121.18.139.62 121.18.140.62 121.18.142.62 121.18.143.62 121.18.141.62 121.18.141.190 121.22.1.1 121.18.141.126 121.160.2.1 对端设备IP 121.240.1.29 121.240.2.29 121.18.130.60 121.18.131.60 121.18.132.60 121.18.133.60 121.18.134.60 121.18.135.60 121.18.136.60 121.18.137.60 121.18.138.60 121.18.139.60 121.18.140.60 121.18.142.60 121.18.143.60 N/A N/A N/A N/A N/A 分行终端接入区 6. 分行用户接入区

区域 名称 与核心互联地址1 与核心互联地址2 用户接入区汇聚交换机互联 会计部 信息技术部 网段 121.240.1.32/30 121.240.2.32/30 121.240.2.252/30 121.1.8.0/24 121.1.9.0/26 VLAN ID 809 829 853 861 870 本端设备IP 121.240.1.34 121.240.2.34 对端设备IP 121.240.1.33 121.240.2.33 分行用户接入区 121.240.2.253 121.240.2.2 121.1.8.2 121.1.8.3 VIP:121.1.8.1 121.1.9.2 121.1.9.3 VIP:121.1.9.1

7. 管理控制区

区域 名称 与核心互联地址1 与核心互联地址2 网管 防病毒/补丁 网段 121.240.1.36/30 121.240.2.36/30 121.192.1.0/24 121.102.1.0/24 VLAN ID 810 830 192 102 本端设备IP 121.240.1.38 121.240.2.38 121.192.1.1 121.102.1.2 对端设备IP 121.240.1.37 121.240.2.37 N/A N/A 管理控制区 8. 外联接入区及DMZ区

区域 名称 与核心互联地址(防火墙) 外联路由器(CISCO3845)互联 网段 121.240.3.0/29 121.240.3.40/29 121.240.3.16/28 VLAN ID 841 N/A 842 本端设备IP 121.240.3.6 121.240.3.41 121.240.3.18 VIP：121.240.3.17 121.240.3.34 46.17.247.1 对端设备IP 121.240.3.1 121.240.3.42 121.240.3.19 VIP：121.240.3.20 121.240.3.35 46.17.247.3 外联接入区及DMZ外联路由器(CISCO3845)虚拟网关 DMZ区互联 卡报表 支付等应用系统 121.240.3.32/29 46.17.247.0/24 46.17.248.0/24 843 139 140 VIP:121.240.3.33 VIP：46.17.247.2 46.17.248.253 46.17.248.2 VIP：46.17.248.250 区

4.3.2 设备管理地址

区域 设备名称 JN_CORE_FW_1 核心区 JN_CORE_FW_2 JN_CORE_SW_1 JN_CORE_SW_2 业务服务器区 终端接入区 开发测试区 管理控制区 办公服务器区 JN_APPSVR_DL_SW_1 JN_APPSVR_DL_SW_2 JN_TA_DL_SW_1 JN_DT_DL_SW_1 JN_ADMIN_DL_SW_1 JN_OASVR_DL_SW_1 JN_OASVR_DL_SW_2 JN_0AUSR_DL_SW_1 办公用户接入区 JN_OAUSR_DL_SW_2 JN_OAUSR_AL_SW_6 上联区 JN-PE-C1 JN-PE-C2 JN_BRANCONN_DL_RT_1 JN_BRANCONN_DL_RT_2 JN_EXTCONN_AL_RT_1 JN_EXTCONN_AL_RT_2 JN_EXTCONN_SW_1 JN_EXTCONN_SW_2 外联区 JN-CDMA-H1 JN-3G-H1 JN-POS-H1 JN_DMZ_DL_SW_1 JN_DMZ_DL_SW_2 Loopback地址 121.255.255.1 121.255.255.2 121.255.255.3 121.255.255.4 121.255.255.5 121.255.255.6 121.255.255.7 121.255.255.9 121.255.255.10 121.255.255.11 121.255.255.12 121.255.255.13 121.255.255.14 121.255.255.15 121.255.255.16 121.255.255.17 121.255.255.18 121.255.255.19 121.255.255.20 121.255.255.21 121.255.255.22 121.255.255.23 121.255.255.24 121.255.255.25 121.255.255.26 121.255.255.27 121.255.255.28 下联区 第5章 路由协议部署

5.1 网络总体路由策略

路由总体规划图如下所示：

广域接入区同城支行自助银行MSR20-40Area YArea Z异地支行外联接入区CDMA接入CDMA网络OSPF 100人行银联银监局外联单位电信代收费MSR30-20总行接入区总行网络Area XVPN主机联通广电电信3G外联路由器CISCO3845S3600-28P-EIBGP总行接入路由器汇聚路由器SR6608下联东营路由器MSR3020天融信TG-4524DMZ区汇聚交换机S5500-28C-EIOSPF 100Area 0核心交换机S7506E内置防火墙模块绿盟IPS508P-021000Mbps 单模1000Mbps 多模1000Mbps 双绞线100Mbps 双绞线155Mbps SDH2Mbps SDH10Mbps MSTP汇聚交换机S5500-52C-EI业务服务器区汇聚交换机S5500-52C-EI办公服务器区汇聚交换机S5500-52C-EI开发测试区冷备交换机S5500-52C-EI城域网汇聚交换机S7503E接入交换机S5500-52C-EI管理控制区同城支行S3600-52P-EI终端接入区接入交换机S3600-52P-EI分行用户接入区华夏银行济南分行网络拓扑

 与总行互联的广域网

广域网保持BGP路由协议不变，某银行某分行路由器与总部路由器之间建立eBGP邻居关系，与总行交换路由。

 中心网络以及下联支行采用ospf

某分行以及各地支行局域网与广域网路由器相连，使用OSPF协议。

与总行互联的核心路由器为分行局域网与总行广域网的路由边界点，负责OSPF与BGP的路由再发布，将BGP的路由导入OSPF，使局域网学到外部路由，同时也将OSPF 的路由以network的方式导入BGP，使广域网学到局域网的路由。

每个分支划归一个区域，所用区域号保持不变。  外联两台路由器之间启用单独的ospf

外联两台路由器启用ospf，将外联单位静态路由引入并发布给另一台路由器。

总体cost值规划如下：

广域接入区同城支行自助银行MSR20-40异地支行外联接入区CDMA接入CDMA网络人行银联银监局外联单位电信代收费MSR30-20总行接入区总行网络联通广电电信3GOSPF 100VPN主机外联路由器CISCO3845S3600-28P-EIBGP总行接入路由器汇聚路由器SR6608下联东营路由器MSR3020天融信TG-4524DMZ区汇聚交换机S5500-28C-EICost 1 shutdwonCost 10Cost 1Cost 1Cost 50Cost 10Cost 10OSPF 100Area 0Cost 50Cost 30Cost 30Cost 30Cost 30Cost 30绿盟IPS508P-02Cost 10核心交换机S7506E内置防火墙模块Cost 10Cost 10Cost 301000Mbps 单模1000Mbps 多模1000Mbps 双绞线100Mbps 双绞线155Mbps SDH2Mbps SDH10Mbps MSTPCost 30Cost 10Cost 30Cost 10Cost 10Cost 5Cost 30Cost 30Cost 30Cost 6Cost 5Cost 30Cost 10汇聚交换机S5500-52C-EI业务服务器区汇聚交换机S5500-52C-EI办公服务器区汇聚交换机S5500-52C-EI开发测试区冷备交换机S5500-52C-EI城域网汇聚交换机S7503E接入交换机S5500-52C-EI管理控制区同城支行华夏银行济南分行网络拓扑

S3600-52P-EI终端接入区接入交换机S3600-52P-EI分行用户接入区5.2 核心区域路由设计

核心区域拓扑图如下所示：

广域接入区总行接入区汇聚路由器SR6608下联东营路由器MSR3020天融信TG-4524外联接入区DMZ区汇聚交换机S5500-28C-EI绿盟IPS508P-02OSPF 100Area 0核心交换机S7506E内置防火墙模块1000Mbps 单模1000Mbps 多模1000Mbps 双绞线100Mbps 双绞线155Mbps SDH2Mbps SDH10Mbps MSTP汇聚交换机S5500-52C-EI业务服务器区汇聚交换机S5500-52C-EI办公服务器区汇聚交换机S5500-52C-EI开发测试区冷备交换机S5500-52C-EI汇聚交换机S7503E接入交换机S5500-52C-EI分行用户接入区管理控制区终端接入区华夏银行济南分行核心区网络拓扑 如图所示，核心交换机7506E作为二层使用，其内置的防火墙模块与上联路由器、下联路由器、业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、管理控制区汇聚交换机运行OSPF动态路由协议，各互联接口划分至Area 0。

在核心交换机7506E内置的防火墙上配置外联区静态路由，下一跳指向外联区防火墙VRRP虚地址，将静态路由引入到OSPF中。

5.3 广域网区路由设计

广域网区拓扑图如下所示：

总行网络eBGP总行接入路由器1000Mbps 单模1000Mbps 多模1000Mbps 双绞线100Mbps 双绞线155Mbps SDH2Mbps SDH10Mbps MSTP核心交换机S7506E内置防火墙模块OSPF 100Area 0汇聚路由器SR6608eBGP东营网络电信异地支行OSPF 100Area N支行网络华夏银行济南分行广域网拓扑。

5.4 分行用户接入区域路由设计

分行用户接入区域拓扑图如下所示：

核心交换机S7506E内置防火墙模块汇聚交换机S7503ESTP接入交换机S3600-52P-EI分行用户接入区

图表 36 客户端区路由设计图

如上图所示，各分行用户网关在汇聚交换机上创建，利用VRRP形成虚拟网关，VRRP主为汇聚交换机1。汇聚交换机以及与核心区交换机互联的接口划分至OSPF Area 0，正常情况下报文由主设备进行转发，在主用路径失效的情况下走备份路径，主备汇聚交换机之间COST值为1，使得VRRP主在备设备上时仍走主线。

核心两台75E与各汇聚交换机之间通过骨干区域0互通，两台汇聚之间配置trunk，允许业务VLAN和互联vlan通过，通过一对地址建立ospf邻居关系，对于其他业务vlan，在ospf中使用network发布，但为了避免建立多余的ospf邻居关系，将这些vlan ospf silence。

业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、管理控制区汇聚交换机网络规划类似。

5.5 外联区路由设计

外联接入区人行银联银监局外联单位电信代收费CDMA接入CDMA网络OSPF 100HSRPVPN主机3G外联路由器CISCO3845S3600-28P-EI天融信TG-4524Active－StandbyDMZ区汇聚交换机S5500-28C-EI绿盟IPS508P-02VRRPVRRP核心交换机S7506E内置防火墙模块OSPF 100Area 0华夏银行济南分行外联区网络拓扑

5.6 OSPF设计

5.6.1 OSPF Router-id设置

OSPF需要使用唯一的Router ID标识每一台路由器，建议相关网络设备的Loopback地址作为其OSPF Router ID。 5.6.2 OSPF Cost设置

两核心交换机之间cost值设为30。为了避免核心网络设备路由表中出现负载均衡路由,经过调试,核心网络各互联线路的cost值配置如下图所示：

广域接入区同城支行自助银行MSR20-40异地支行外联接入区CDMA接入CDMA网络人行银联银监局外联单位电信代收费MSR30-20总行接入区总行网络联通广电电信3GOSPF 100VPN主机外联路由器CISCO3845S3600-28P-EIBGP总行接入路由器汇聚路由器SR6608下联东营路由器S3020天融信TG-4524DMZ区汇聚交换机S5500-28C-EICost 1 shutdwonCost 10Cost 1Cost 1Cost 50Cost 10Cost 10OSPF 100Area 0Cost 50Cost 30Cost 30Cost 30Cost 30Cost 30绿盟IPS508P-02Cost 10核心交换机S7506E内置防火墙模块Cost 10Cost 10Cost 301000Mbps 单模1000Mbps 多模1000Mbps 双绞线100Mbps 双绞线155Mbps SDH2Mbps SDH10Mbps MSTPCost 30Cost 10Cost 30Cost 10Cost 10Cost 5Cost 30Cost 30Cost 30Cost 6Cost 5Cost 30Cost 10汇聚交换机S5500-52C-EI业务服务器区汇聚交换机S5500-52C-EI办公服务器区汇聚交换机S5500-52C-EI开发测试区冷备交换机S5500-52C-EI城域网汇聚交换机S7503E接入交换机S5500-52C-EI管理控制区同城支行华夏银行济南分行网络拓扑

S3600-52P-EI终端接入区接入交换机S3600-52P-EI分行用户接入区

核心交换机1到两台上行路由器的cost值设为30，核心交换机2到两台上行路由器cost值设为50。

核心交换机1到两台下联支行路由器的cost值设为10，核心交换机2到两台下联支行路由器cost值设为30。

核心交换机1到各功能区交换机线路cost值设为10，核心交换机2到各功能区交换机线路cost值设为30。

核心交换机1与核心交换机2之间线路cost值设为30。

核心交换机静态路由的重分布也做相应调整,静态路由在核心交换机1上重分布入OSPF协议时cost值设为10,在核心交换机2上重分布入OSPF协议cost值设为30

各功能区互联线路cost值设为：业务服务器区为6，办公服务器区为5，办公用户区为5。

第6章 安全策略

6.1 总体安全目标

网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的计算资源。

6.2 安全分析

在本次项目中，某分行局域网内的安全威胁分析基于：

 网络基础拓扑架构在逻辑上分成了7个功能区  应用系统访问关系

6.2.1 应用系统服务器内部安全分析

应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层）。安全风险存在于:

 低安全级别服务器对高安全级别服务器上不适当的访问；  授权客户端对服务器的不适当访问；  非授权客户端对服务器的不适当访问；

 不同应用系统服务器之间非授权的不适当访问；  恶意代码对服务器的不良影响。 6.2.2 应用系统之间安全分析

应用系统之间的互访，安全风险主要存在于：

 不同应用系统服务器之间非授权的不适当访问；  应用系统不同安全等级服务器之间不适当的互访； 6.2.3 客户端与服务器之间安全分析

客户端访问服务器，主要的安全风险存在于：

 非授权客户端不适当的访问服务器；

 授权客户端不适当的访问高安全级别的服务器；

6.2.4 客户端之间安全分析

在业务1类客户端和管理类客户端之间，安全风险存在于：

 客户端访问另一类客户端上的非授权数据；

 客户端利用另一类客户端达到对非授权服务器的非法访问； 6.2.5 恶意代码安全分析

恶意代码在网络中的传播，可能对所有的应用系统产生严重的影响。

6.2.6 网络设备自身安全分析

网络设备自身的安全风险主要有：

 网络设备的物理安全；

 网路设备操作系统Bug和对外提供的网络服务风险；  网络管理协议SNMP非授权访问的风险；  设备访问密码安全；  设备用户安全风险；

6.3 安全技术

6.3.1 网络分区

某分行安全设计基于分行基础设施总体架构设计中使用的模块化设计方案，是基于业界企业级网络参考架构和安全架构进行的，在设计中考虑了网络的扩展性、可用性、管理性、高性能等因素，也重点覆盖了安全性设计。

通过网络分区，明确不同网络区域之间的安全关系，也可以对每一个区域进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展性、可管理性和弹性。达到了一定程度的物理安全性。

6.3.2 VLAN

在局域网内采用VLAN技术，出了在网络性能、管理方面的有点外，在网络安全上，也具有明显的优点：

 局域网中的广播包；

 隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为安全控制提供了基础；  提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数据不适当的转发或

窃听。

6.3.3 ACL

ACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够数据在网络中的传输。在网络中应用ACL，能够达到这样一些目的：

 阻断网络中的异常流量  应用系统间访问控制  SNMP网管工作站控制  设备本身防护 6.3.4 防火墙

专用的硬件防火墙，是网络中重要的安全设备，为网络提供快速、安全的保护。

 专用的软硬件，设备自身安全性很高；

 提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以保护内部地址

的私密性；

 提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都是被拒绝的；  多层次的安全级别，为不同的安全区域提供差异化的安全级别，如DMZ区域；  提供多样的系统安全策略和日志功能。

6.4 安全策略设计

核心区防火墙对应不同的业务分区创建不同的分区，各分区的安全级别由高至低依次为：

管理区 > 业务服务器区 > 办公服务器区 > 上联区 > 下联区 > 业务用户区 > 办公用户区 > 外联区

在默认情况下，高安全级别分区可以主动访问低安全级别分区，而低安全级别分区无法访问高安全级别分区，必须通过制订具体的访问策略方可访问。

两台防火墙互联接口加入单独的一个区（防火墙互联区），允许所有区域访问该区，以实现业务跨越两台防火墙访问。

6.4.1 网络分区

根据某分行网络基础架构的设计结构，某分行局域网被划分为9个功能区域。通过网络结构的功能分区，在网络安全上实现了以下目标：

 实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离；  各分区有单一的出入口；

 分区之间互访必须经过网络层路由；  为其他安全控制策略的部署奠定了基础。  应用系统内部安全策略

在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层），对应的安全控制策略如下：

 通过应用类型分层保护不同级别服务器的安全；  划分VLAN，各分层分别位于不同的VLAN中；

 在三个应用类型分层中，安全级别的定义是接入层（Web层）安全级别最低，应用/业

务逻辑层（AP层）安全级别较高，数据库层（DB层）安全级别最高；

 应用类型分层之间，通过单向的ACL允许较低级别的服务器访问较高级别的服务器。 6.4.2 应用系统之间的安全策略

根据应用系统内部三层架构和应用系统之间关系，制定了应用系统之间的安全访问规则。对应的安全控制策略如下：

 划分VLAN，隔离各应用系统和各应用系统内部处在不同安全层次上的服务器；  根据确定的类规则在VLAN上部署ACL。 6.4.3 客户端与服务器之间的安全策略

客户端与服务器之间的安全控制，主要采用了部署专用硬件防火墙和设置客户端和服务器之间的严格的访问规则来实现。安全控制设计如下：

 在服务器区边界部署专用硬件防火墙，防火墙采用双机主备工作模式，保障系统可靠

性；

 在防火墙上部署严格的安全控制策略，对数据流执行双向控制；

 确定客户端和服务器之间的访问规则，部署在服务器区边界防火墙上。

6.4.4 客户端之间的安全策略

在某分行局域网内客户端区，存在着管理类客户端和业务1类客户端，两者之间的安全策略设计如下：

 在客户端区划分VLAN，管理类客户端和业务1类客户端分属不同的VLAN；

 在管理类客户端和业务1类客户端的VLAN上部署ACL，两类客户端之间的互访。 6.4.5 预防恶意代码的安全策略

网络中的恶意代码包括病毒、蠕虫、木马等，这类恶意代码发作时，对网络安全有严重的影响。预防恶意代码的安全控制策略如下：

 根据已知的各类恶意代码，识别其传输特征，编写相应的ACL；  把ACL部署在关键的控制点上，这些控制点包括：

 各功能区的出口交换机上（防火墙默认情况下已经可以拒绝这些恶意代码）；在必要时，也

可以部署在功能区内各VLAN上，达到更进一步控制恶意代码传播的目的。ACL单向部署，控制从区内出（out）的流量。

 在RTP区的上下联路由器广域网端口上，ACL单向部署，控制这些端口出（out）和入（in）

的流量。

6.4.6 网络设备自身安全策略

网络设备自身安全防护，安全策略设计如下：

 物理安全：

 安装环境温度、湿度、空气洁净度需要满足设备正常运行条件；  禁止非授权人员物理接触设备。

 网络服务安全：关闭设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的

服务；  加密设备密码；

 用户安全，只允许经授权的用户在设备上执行权限范围内的操作，（且对操作有相应

的授权、认证和审计）

 网管SNMP安全，对SNMP访问设置ACL控制，只允许许可范围内的IP地址通过SNMP

管理设备。

6.5 分区安全策略的部署

6.5.1 核心区安全策略的部署

核心区作为分行局域网高速交换区，不做过多的安全策略，只要求部署交换机自我保护策略。

6.5.2 服务器区安全策略的部署

1. 控制客户端对服务器的访问

各区域对服务器区访问要受到严格控制，控制策略在防火墙上双向实施，控制策略参照下面的表格。 业务1类WEB 业务2类WEB 业务客户端 允许访问 禁止访问 OA客户端 禁止访问 允许访问 安全控制策略具体描述如下：

 业务1类客户端能访问业务1类WEB服务器。限定客户ip地址段、应用系统ip地址集、端口号

集。

 业务1类客户端能访问网管安管类服务器。不源IP地址，目标的ip地址集、端口。  管理类客户端能访问业务2类WEB、管理类WEB服务器和网管安管类服务器。不源IP地址，

目标的ip地址集、端口。

 管理类客户端能访问Internet。不目标的IP地址、端口，源IP地址 2. 应用系统服务器之间的访问控制

根据建行安全规范和应用系统访问需求，应用系统间必须增加访问控制，控制策略在服务器交换机上使用访问控制列表实施，控制策略参照下。

 业务1和业务2互访，业务1和基础设施互访。限定访问源应用系统主机IP地址集，目的应用系

统主机IP地址集，目的端口集。

 业务2、管理类和基础设施能相互访问。仅对应用系统类别IP地址段进行。

 网管安管和业务1互访，网管安管和业务2互访，网管安管和管理类互访，网管安管和基础设施

互访。不源IP地址，目标的ip地址集、端口集。

3. 预防恶意代码

服务器区不做恶意代码防范，防恶意代码工作实施在其他边缘区域，保证恶意代码不会侵犯到服务器区。

4. 网络设备自身安全保护

为了防止对网络设备的非法入侵，服务器区交换机和服务器区防火墙应做好自我保护。

OA WEB 禁止访问 允许访问 基础设施类 网管安管类 Internet 禁止访问 允许访问 禁止访问 禁止访问 允许访问 允许访问

5. 安全策略特例

总推分应用系统安全策略在部署中与上述原则有冲突，须向总行提出申请需求，总行将根据应用需求修改安全策略方案。

分行自建应用系统按照总推分应用系统安全策略调整。

6.5.3 客户端区安全策略的部署

客户端区划分VLAN，隔离业务1类客户端和管理类客户端，在两类客户端的VLAN上部署ACL，两类客户端之间的互访。

在客户端区的出口交换机（汇聚交换机）连接核心区核心交换机端口上，部署防恶意代码ACL，方向为out，单向部署。

在客户端区的网络设备上，根据网络设备自身安全策略设计，配置相应的安全管理命令。

6.5.4 广域网区安全策略的部署

广域网区安全策略在上联和下联路由器上实现，保持现有策略不变。

6.5.5 外联区安全策略的部署

外联区保持现有策略不变，详细参见《一级分行统一外联平台建设网络技术规范_详细设计规范》。

6.6 对已有安全策略的支持

除在防火墙和交换机上配置详细的安全访问策略外，本项目必须遵守总行相关各项安全管理规定。如有冲突或例外，必须上报总行，经批准后才能执行。

第7章 割接方案

7.1 割接计划

割接对象：总部核心路由器、分支机构上联路由器 割接时间：200X年X月X日 0：00-5：00

参与人员：甲，电话： ，（客户方工程负责人） 乙，电话： ，（施工方工程负责人） 丙，电话： ，（客户方分支机构配合人员）

丁，电话： ，（施工方分支机构实施人员） 割接过程中，如果出现严重影响业务的问题，允许排查时间：60分钟。

7.2 准备工作

在正式割接之前，需要完成以下准备工作：

序号 1 2 3 工作内容 制定割接方案，发给项目技术负责人或厂商进行审查。 客户总部下文通知相关单位割接时间，下发割接方案。 完成割接设备之间的线缆布放，测试线缆的连通性，设备之间不实际连接。 完成新设备的配置，准备好现网设备的配置变更脚本，确保配置的正确性。有条件时应使用与现网设备类似型号的设备进行割接演练。 正式割接之前确认现网设备、业务运行是否正常，如有问题应先排除后再割接。 保存相关设备的运行配置，并备份至外部存储介质。 保存相关设备的运行状态，便于割接后对比： display cpu-usage display memeory-usage display ospf peer display ip routing-table 要求完成时间 操作人 割接前二周 施工方 割接前一周 割接前三天 客户 施工方 确认人 客户 施工方 客户 4 割接前二天 施工方 客户 5 割接前2小时 施工方 客户 施工方 客户 6 7 割接前1小时 割接前30分钟 客户 施工方

7.3 割接步骤

完成所有准备工作后，可以开始正式割接，具体步骤如下： 总部：

序号 1 2 3 4 工作内容 通知分支机构开始操作。 完成线缆连接，原线缆保留，以便出现问题回退。 修改设备运行配置，但不保存 测试验证，确认割接后的路由、网络连通性以开始-完成时间 操作人 客户 施工方 施工方 施工方 确认人 施工方 客户 客户 客户

5 6 7 及设备状态是否正常（详细内容见《网络割接业务测试报告》）。 通知相关部门进行业务测试 如果一切正常，转到5；如果出现问题，转到8.5 回退步骤。 保存设备的运行配置。 客户 施工方 施工方 施工方 客户 客户 分支机构：

序号 1 2 3 4 工作内容 接总部通知开始操作。 完成线缆连接，原线缆保留，以便出现问题回退。 修改设备运行配置，但不保存 测试验证，确认割接后的路由、网络连通性以及设备状态是否正常（详细内容见《网络割接业务测试报告》）。 通知相关部门进行业务测试 如果一切正常，转到5；如果出现问题，转到8.5 回退步骤。 保存设备的运行配置。 开始-完成时间 操作人 客户 施工方 施工方 施工方 确认人 施工方 客户 客户 客户 5 6 7 客户 施工方 施工方 施工方 客户 客户 7.4 回退步骤

序号 工作内容 1 故障排查。 2 如果无法定位和解决问题，请示相关领导，启动回退机制。 3 重新启动设备，恢复原配置，恢复原来的线缆连接。 4 确认设备工作状态正常。 5 确认业务运行正常。 所需时间 15分钟 5分钟 10分钟 10分钟 10分钟 实施人 施工方 施工方 施工方 施工方 客户 确认人 客户 客户 客户 客户 施工方 第8章 测试方案

8.1 测试项目

序号 1 2 3 4 5 6 7 测试项目编号 HARD_01 HARD_02 ROUT_01 ROUT_02 CONN_01 REDU_01 REDU_02 测试项目 硬件测试 路由测试 连通性测试 冗余性测试 测试子项目 硬件运行状态测试 CPU和内存测试 OSPF和BGP邻居检查 路由检查 ICMP测试 设备冗余性测试 线路冗余性测试 测试结论表示方式说明 OK：测试结果全部正确 POK：测试结果大部分正确 NG：测试结果有较大的错误 NT：由于各种原因本次无法测试

序号 8 9 测试项目编号 APPL_01 APPL_02 总项目数 测试项目 业务测试 9 测试子项目 邮件测试 主机访问测试 测试结论表示方式说明 8.2 硬件测试

8.2.1 硬件运行状态测试

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 测试结果 备注

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 测试结果 备注

HARD_01_02 检查网络设备的硬件运行状态。 PC 分支机构骨干路由器 割接完成 1．登录到测试设备的命令行，查看硬件运行状态： display device 正常情况下，所有板卡、模块显示为normal。 OK POK NG NT HARD_01_01 检查网络设备的硬件运行状态。 PC 总部骨干路由器 割接完成 1．登录到测试设备的命令行，查看硬件运行状态： display device 正常情况下，所有板卡、模块显示为normal。 OK POK NG NT 8.2.2 CPU和内存检查

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 HARD_02_01 检查网络设备的CPU、内存使用情况。 PC 总部骨干路由器 割接完成 1．登录到测试设备的命令行，查看cpu、内存使用率： display cpu-usage display memory-usage 正常情况下，CPU使用率平均值应该低于50%，内存使用率应该低于50%。 CPU Usage < 50% Memory Used Percentage < 50% 预期结果 测试结果 备注

测试编号

OK POK NG NT HARD_02_02

测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 测试结果 备注

检查网络设备的CPU、内存使用情况。 PC 分支机构骨干路由器 割接完成 1．登录到测试设备的命令行，查看cpu、内存使用率： display cpu-usage display memory-usage 正常情况下，CPU使用率平均值应该低于50%，内存使用率应该低于50%。 CPU Usage < 50% Memory Used Percentage < 50% OK POK NG NT 8.3 路由测试

8.3.1 OSPF和BGP邻居检查

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 ROUT_01_01 检查OSPF和BGP的邻居状态。 PC 总部骨干路由器 割接完成 1．在路由器上查看OSPF和BGP邻居状态： display ospf 1 peer display bgp peer 预期结果 正常情况下，OSPF和BGP邻居状态如下： OSPF peer state XXXXXXXXXXX Full XXXXXXXXXXX Full BGP peer state XXXXXXXXXXXX Established XXXXXXXXXXXX Established XXXXXXXXXXXX Established XXXXXXXXXXXX Established XXXXXXXXXXXX Established OK POK NG NT 测试结果 备注

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 ROUT_01_02 检查OSPF和BGP的邻居状态。 PC 分支机构骨干路由器 割接完成 1．在路由器上查看OSPF和BGP邻居状态： display ospf 1 peer display bgp peer 预期结果 正常情况下，OSPF和BGP邻居状态如下： OSPF peer state XXXXXXXXXXX Full

XXXXXXXXXXX Full BGP peer state XXXXXXXXXXXX Established XXXXXXXXXXXX Established XXXXXXXXXXXX Established XXXXXXXXXXXX Established XXXXXXXXXXXX Established 测试结果 备注

OK POK NG NT 8.3.2 路由检查

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 ROUT_02_01 检查网络设备的路由表信息。 PC 总部核心交换机 割接完成 1．在总部核心交换机上查看BGP路由表信息： display ip bgp 正常情况下，能够学到分子机构的路由，路由表信息如下： * i172.16.x.0/27 10.255.201.250 20 200 0 65xxx i *>i 10.255.201.252 400 0 65002 65xxx i * i 10.255.201.249 30 100 0 65xxx i * i172.16.x./27 10.255.201.250 20 200 0 65xxx i *>i 10.255.201.252 400 0 65002 65xxx i * i 10.255.201.249 30 100 0 65xxx i *>i172.16.x.128/27 10.255.201.251 400 0 65002 65xxx i * i 10.255.201.250 20 100 0 65xxx i * i 10.255.201.249 30 200 0 65xxx i * i172.16.x.0/24 10.255.201.250 500 0 65xxx i *>i 10.255.201.249 600 0 65xxx i ……………………… OK POK NG NT 测试结果 备注

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤

ROUT_02_02 检查网络设备的路由表信息。 PC 分支机构核心交换机 割接完成 1． 在分支机构核心交换机上查看BGP路由表和OSPF路由信息：

display ip routing-table 预期结果 1． 正常情况下，能够学到总部的路由，路由表信息如下： network next-hop 10.223.0.240/28 XXXXXXXXXXX 10.223.2.240/28 XX_WN_AR_01 10.223.8.0/27 XX_WN_AR_01 10.223.8./27 XX_WN_AR_01 10.223.8.192/27 XX_WN_AR_01 10.223.9.0/27 XX_WN_AR_01 …………………… OK POK NG NT 测试结果 备注

8.4 连通性测试：

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 CONN_01_01 检查网络的连通性 总部和分支机构各1台PC 总部与分支机构之间的网络 设备运行状态正常,路由测试正常 在总部的PC1上ping分支机构的PC2： ping –l 8000 –s 100 PC2 可以看到结果1。 在分支机构的PC2上ping总部的PC1： ping –l 8000 –s 100 PC1 可以看到结果2。 结果1：无丢包，时延稳定。 结果2：无丢包，时延稳定。 预期结果 测试结果 备注

OK POK NG NT 8.5 冗余性测试

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 测试结果 备注

测试编号 测试目的 测试工具 REDU_01_02 测试广域网链路的冗余性 总部和分支机构各1台PC REDU_01_01 测试设备的冗余性 总部和分支机构各1台PC 总部骨干路由器 设备运行状态正常,网络连通性正常。 在总部的PC1上持续ping分支机构的PC2；在分支机构上联路由器上观察路由的下一跳指向总部核心路由器1；保存总部核心路由器1的配置； 关闭总部核心路由器1的电源，可以看到结果1和结果2： 结果1：ping丢20个包后恢复正常； 结果2：分支机构上联路由器上路由的下一跳指向总部核心路由器2； OK POK NG NT 

测试对象 预制条件 测试步骤 预期结果 测试结果 备注

广域网链路 设备运行状态正常,网络连通性正常。 在总部的PC1上持续ping分支机构的PC2；在分支机构上联路由器上观察路由的下一跳指向总部核心路由器1；保存总部核心路由器1的配置； 关闭总部核心路由器1的广域网端口，可以看到结果1和结果2： 结果1：ping丢15个包后恢复正常； 结果2：分支机构上联路由器上路由的下一跳指向总部核心路由器2； OK POK NG NT 8.6 业务测试

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 测试结果 备注

测试编号 测试目的 测试工具 测试对象 预制条件 测试步骤 预期结果 测试结果 备注

APPL_01_02 测试邮件系统可用性 分支机构业务主机 总部与分支机构之间的网络连接 设备运行状态正常,网络连通性正常，业务系统运行正常。 分支机构业务主机访问总部业务主机，可看到结果1. 结果1：业务访问正常。 APPL_01_01 测试邮件系统可用性 总部和分支机构各1台PC 总部与分支机构之间的网络连接 设备运行状态正常,网络连通性正常，业务系统运行正常。 总部的用户1给分支机构的用户2发一封测试邮件，分支机构用户2给总部用户1回一封测试邮件，可看到结果1； 结果1：邮件正常收发。 OK POK NG NT OK POK NG NT 第9章 工程实施进度计划

进度计划：

日期 2010年5月20日 ～ 6月10日 2010年5月12日 ～ 6月5日 工作内容 协调发货； 组织召开设计评审和工程协调会，确定实施方案。 2010年6月5日 ～ 6月10日 设备开箱验货，上架，连线

2010年6月10日 ～ 6月20日 2010年6月21日 ～ 6月25日 2010年6月26日 ～ 6月27日 软件调试，包括外联 割接前模拟测试 市中支行网络割接，中心机房搬迁同时进行数据中心网络割接 2010年7月01日 ～ 9月30日 试运行 2010年10月15日 ～ 10月18日 组织验收 第10章 人力资源计划

本项目参与人力资源计划： 网络设备厂家

人员 角色 项目经理 施工经理 职责 负责项目整体管理 负责项目实施问题、技术问题跟踪 最终客户信息：某银行某分行

人员

实施工程师 实施工程师 进行安装和调试 进行安装和调试 角色 项目负责人 项目接口人 职责 负责项目整体协调 协调与配合