论文部分内容阅读
银川商行决定对网络实施彻底、全面的改造,其中包括2个中心(数据中心和灾备中心)、4个管理部和34家支行网络的全面升级建设,从南到北该工程遍布了整个银川市。虽然全网改建工程庞大而复杂,但能彻底改变以往网络结构层次不清、结构不合理的网络格局,并能更好地确保每个环节安全可靠的建设,整体降低安全风险,同时确保实施更丰富的易管理策略。
银川商行拥有2个中心、4个管理部、34家支行,在网络改造工程中,分别被划分为核心层(一级)、管理部层(二级)、支行层(三级),整体网络采用星型结构。
在总行的广域网中,管理部均采用锐捷RG-R3662(石嘴山采用锐捷RG-R2632)作为二级管理部上联总行网络中心和所辖支行的汇集连接。所有支行均采用锐捷RG-R2692路由器,应用其自带的两个广域网接口作为上行SDH链路和DDN链路的连接。在总行局域网,采用了两台锐捷高端交换机S6506作为核心交换机,并配置两台S4909交换机作为大楼的汇聚交换机,并应用VRRP技术提供网关的冗余性。所有楼层交换机均采用锐捷S2126交换机,并应用两条100M线路上联至汇聚交换机,汇聚交换机与办公大楼核心交换机采用1000M全交叉连接,并运行动态路由协议,提供高冗余性。在办公大楼核心交换机与数据中心核心交换机的两条千兆光纤线路之间,应用两台锐捷高端防火墙以进行安全策略部署。因此,使网络结构实现了全网梳理,在总行即核心层、管理部层、支行层形成了星型拓扑结构。
双链路灾备确保业务可持续性
据银川商行网络特点,整个方案采用了OSPF路由协议作为全网的路由协议,所有节点均采用双链路与上级节点连接,主线路均为2M的SDH线路,备份线路均为64K的DDN线路。所有二级节点采用一条2M SDH线路与网络中心连接,采用一条64K DDN线路与灾备中心连接,所有三级节点采用一条2M SDH线路和一条64K DDN线路与所在二级节点连接。
由此,银行在正常情况下,各个管理部及支行通过主线路(2M)和总行数据中心实现顺畅通讯,而且,在该主线路通讯失败时,支行或管理部的综合业务数据可以通过DDN线路与总行数据中心实现通讯。而当主线路恢复时,这种双链路结构可以实现自动切换,数据又可以从备用线路自动切回主线路,实现与总行数据中心的通讯。同时,QoS保障技术可在网络发生拥塞时,保证关键性业务和语音视频业务的服务质量。
双引擎、双电源网络高效处理大集中数据
银川商行的数据传输采用大集中方式,在所有管理部及支行的业务操作与数据中心之间进行通讯,因此,数据中心对网络的性能要求很高。数据中心主要采用2台锐捷S6810E高端交换机作为核心交换设备,配置双电源、双引擎,实现热冗余备份,在数据中心汇聚层采用3台锐捷S4909交换机,针对不同业务类型进行汇聚。(如图1)
为了确保核心交换机上网关的冗余性,考虑到这种双机热备协议可提供一个虚拟的IP地址,对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址。
安全外联实施非直接访问
外联网经过初期接入改造,尽管已经对外网的访问进行了限制,但是外网仍然直接访问内网IP地址,这就存在了安全隐患。因此,为了提高整体外联网络的安全性,针对外联网连接,在此次二次改造中,重点在于将防火墙更改为路由模式,把所有代理业务前置设备放置于防火墙的DMZ区上。
银川商行采用高性能路由设备对所有外联网络线路进行集中接入,采用高性能防火墙严格控制网络访问,将所有代理业务前置服务器放置在防火墙的DMZ区,代理业务服务器经路由器进行NAT转换,保障内网IP资源,保证外网对内网数据的非直接访问。同时,此次外联网络初期改造中还将数据中心ATM接入路由器进行升级,并能支持64个离行ATM设备。
全新全网特点突出
改建后,银川商行网络全面拥有了更稳定的性能、更强大的功能,分别表现在以下几个方面:
——可靠性突出。
此次全网改造均选择高稳定性的网络设备、高稳定性的通讯线路,网络设计上选择可靠的拓朴结构,建设灾备中心,选择可靠的路由协议和技术等。
——安全性突出。
此次改造着重加固了网络设备本身的安全性,在网络中布署网络防护系统,在网络设备上配置防病毒功能,在网络中布署防病毒软件,并实施以访问控制为基础的安全策略。
——扩展性突出。
此次改造所选择的网络核心设备具有相当的富余插槽与处理能力,能够满足业务发展和营业部需求的增加;网络边缘设备也具有足够的处理能力,以满足可预见的多种需求。
——业务保障的灵活性突出。
不同的业务对网络有不同的要求,如在网络拥挤时要首先保证综合业务,综合业务的数据包不能丢失,而VOIP业务有着对于网络时延和网络抖动等网络参数的特殊要求。
——可管理性及易维护性突出。
此次改建所配置的完善的网管系统锐捷StarView平台,能够实现对全网的统一管理,减轻网络管理的成本,并能实现对各种网络参数的实时监控和历史记录统计,提高网络的安全可靠性,且可减少由于网络故障增加的业务成本。
请参阅锐捷网址:http://www.ruijie.com.cn
银川商行拥有2个中心、4个管理部、34家支行,在网络改造工程中,分别被划分为核心层(一级)、管理部层(二级)、支行层(三级),整体网络采用星型结构。
在总行的广域网中,管理部均采用锐捷RG-R3662(石嘴山采用锐捷RG-R2632)作为二级管理部上联总行网络中心和所辖支行的汇集连接。所有支行均采用锐捷RG-R2692路由器,应用其自带的两个广域网接口作为上行SDH链路和DDN链路的连接。在总行局域网,采用了两台锐捷高端交换机S6506作为核心交换机,并配置两台S4909交换机作为大楼的汇聚交换机,并应用VRRP技术提供网关的冗余性。所有楼层交换机均采用锐捷S2126交换机,并应用两条100M线路上联至汇聚交换机,汇聚交换机与办公大楼核心交换机采用1000M全交叉连接,并运行动态路由协议,提供高冗余性。在办公大楼核心交换机与数据中心核心交换机的两条千兆光纤线路之间,应用两台锐捷高端防火墙以进行安全策略部署。因此,使网络结构实现了全网梳理,在总行即核心层、管理部层、支行层形成了星型拓扑结构。
双链路灾备确保业务可持续性
据银川商行网络特点,整个方案采用了OSPF路由协议作为全网的路由协议,所有节点均采用双链路与上级节点连接,主线路均为2M的SDH线路,备份线路均为64K的DDN线路。所有二级节点采用一条2M SDH线路与网络中心连接,采用一条64K DDN线路与灾备中心连接,所有三级节点采用一条2M SDH线路和一条64K DDN线路与所在二级节点连接。
由此,银行在正常情况下,各个管理部及支行通过主线路(2M)和总行数据中心实现顺畅通讯,而且,在该主线路通讯失败时,支行或管理部的综合业务数据可以通过DDN线路与总行数据中心实现通讯。而当主线路恢复时,这种双链路结构可以实现自动切换,数据又可以从备用线路自动切回主线路,实现与总行数据中心的通讯。同时,QoS保障技术可在网络发生拥塞时,保证关键性业务和语音视频业务的服务质量。
双引擎、双电源网络高效处理大集中数据
银川商行的数据传输采用大集中方式,在所有管理部及支行的业务操作与数据中心之间进行通讯,因此,数据中心对网络的性能要求很高。数据中心主要采用2台锐捷S6810E高端交换机作为核心交换设备,配置双电源、双引擎,实现热冗余备份,在数据中心汇聚层采用3台锐捷S4909交换机,针对不同业务类型进行汇聚。(如图1)
为了确保核心交换机上网关的冗余性,考虑到这种双机热备协议可提供一个虚拟的IP地址,对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址。
安全外联实施非直接访问
外联网经过初期接入改造,尽管已经对外网的访问进行了限制,但是外网仍然直接访问内网IP地址,这就存在了安全隐患。因此,为了提高整体外联网络的安全性,针对外联网连接,在此次二次改造中,重点在于将防火墙更改为路由模式,把所有代理业务前置设备放置于防火墙的DMZ区上。
银川商行采用高性能路由设备对所有外联网络线路进行集中接入,采用高性能防火墙严格控制网络访问,将所有代理业务前置服务器放置在防火墙的DMZ区,代理业务服务器经路由器进行NAT转换,保障内网IP资源,保证外网对内网数据的非直接访问。同时,此次外联网络初期改造中还将数据中心ATM接入路由器进行升级,并能支持64个离行ATM设备。
全新全网特点突出
改建后,银川商行网络全面拥有了更稳定的性能、更强大的功能,分别表现在以下几个方面:
——可靠性突出。
此次全网改造均选择高稳定性的网络设备、高稳定性的通讯线路,网络设计上选择可靠的拓朴结构,建设灾备中心,选择可靠的路由协议和技术等。
——安全性突出。
此次改造着重加固了网络设备本身的安全性,在网络中布署网络防护系统,在网络设备上配置防病毒功能,在网络中布署防病毒软件,并实施以访问控制为基础的安全策略。
——扩展性突出。
此次改造所选择的网络核心设备具有相当的富余插槽与处理能力,能够满足业务发展和营业部需求的增加;网络边缘设备也具有足够的处理能力,以满足可预见的多种需求。
——业务保障的灵活性突出。
不同的业务对网络有不同的要求,如在网络拥挤时要首先保证综合业务,综合业务的数据包不能丢失,而VOIP业务有着对于网络时延和网络抖动等网络参数的特殊要求。
——可管理性及易维护性突出。
此次改建所配置的完善的网管系统锐捷StarView平台,能够实现对全网的统一管理,减轻网络管理的成本,并能实现对各种网络参数的实时监控和历史记录统计,提高网络的安全可靠性,且可减少由于网络故障增加的业务成本。
请参阅锐捷网址:http://www.ruijie.com.cn