网络安全项目网络建设方案模板.docx

网络安全项目网络建设方案模板.docx

《网络安全项目网络建设方案模板.docx》由会员分享，可在线阅读，更多相关《网络安全项目网络建设方案模板.docx（73页珍藏版）》请在冰点文库上搜索。

网络安全项目网络建设方案模板

网络安全项目网络

建设方案

广发证券网络安全项目

网络部分建设方案书

CiscoWorks

ATM

Internet

Access

Workgroup

L*LI

LL

LL

LL

LLL

L

LLLL

vl

Core

1简介5

2网络安全项目网络部分技术要求及说明5

3设计总体考虑6

4网络设计原则7

5解决方案9

5.1网络解决方案描述9

5.2广东数据中心的设计11

5.3分公司（区域中心）网络系统12

5.4OA总部设计14

5.5独立营业部设计15

5.6广域网络的备份15

5.7IP语音16

5.7.1IP语音工作原理16

5.7.2语音接点的布设及PBX的选择16

5.7.3带宽要求17

5.7.4对PBX的要求17

5.8系统管理17

5.8.1CISCO网络设备的管理17

5.8.2策略的管理17

5.8.3IPVOICE管理18

5.8.4CA网管平台19

6性能分析27

6.1先进性27

6.2安全性30

6.3保证服务质量30

6.4可扩展性34

6.5便于向新的技术发展34

6.6采用工业标准化技术,具有好的互联特性35

7实施方案36

7.1技术细节36

7.1.1IP地址规划36

7.1.2路由协议的选择39

7.1.3IP语音技术细节46

7.1.4信息流策略--实现QoS53

8产品简介63

8.1Cisco7500系列路由器63

8.2Cisco3600路由器73

8.4NSM高级网络模块介绍77

广发证券网络安全项目网络部分

建设方案书

1简介

本方案书是按照广发证券网络安全项目招标文件网络部分简要技

术说明、广发证券的现状和实际需求而设计的解决方案。

2网络安全项目网络部分技术要求及说明

网络安全项目网络部分综合业务信息平台的建设以广东计算中心

和全国12家分公司，87个营业部的广域网连接为主，其中广州、上海等12家分公司作为区域中心供本地营业部的接入，同时考虑建立IP语

音的测试平台，为将来在企业范围内的IP语音和视频应用的推广打好基础。

需求：

•广域网络结构整体性规划和设计，包括整体网络拓扑结构的建议,路由算法的选择和优化等工作。

•网络性能分析和改进建议，包括对广域网和局域网的流量分析和统计，对网络传输性能的优化改进建议。

•网络管理方案设计和实施，包括对局域网和广域网的网络管

理和监控方案的设计和实施。

网络重大故障的技术支持策略。

3设计总体考虑

当今网络的发展正远远超出了单纯追求基本连通的历史阶段。

我们在网络连通基础上需要更高要求的网络服务内容，包括QoS网络服务

质量,Security安全性服务,Reliability高可靠性,Scalability可扩展性等增值服务。

如图所示Cisco所建议的网络方案总体结构基于三层模型：

即网络

硬件的互连环境层，网络软件的增值服务层及多层次网络管理层。

其中

网络硬件互连环境主要指传统意义上的网络互连设备，包括交换机，路

OIOS

ices

CoreNetwoRegionalMetvAccessNetw

y/Mufci-Layer

CManagementTools

由器,拨号访问服务器等设备环境。

Cisco公司建议采用端到端的网络方案，即采用主要有一家公司的包

括交换机，路由器，拨号访问服务器软硬件产品。

因为只有这样才能真正实现端到端的网络性能，端到端的网络安全性，端到端的服务质量以及端到端的网络管理，从而在节省开销的同时，大大提高网络的经济效

广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。

4网络设计原则

先进性

作为广发证券的新一代信息系统的承载网络，网络系统处理的信息

量是十分庞大的，要求计算机网络有很高的工作效率。

而且随着业务的快速发展，系统面临的任务也愈来愈艰巨，因此,我们设计的网络在技术上必须体现高度的先进性。

技术上的先进性将保证处理数据的高效率技术上的先进性将保证系统工作的灵活性，技术上的先进性将保证网络

的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。

我们将在网络构架，硬件设备，传输速率，协议选择,安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。

可靠性

在广发证券的宽带广域网网络设计中，很重要的一点就是网络的可靠性，即坚固性。

在外界环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作，在设计时对可靠性的考虑,能够充分减少或消除因意外或事故造成的损失。

安全性

随着计算机技术的发展，特别是网络和网络间互联的规模的扩大，信

息和网络的安全性日益受到重视。

面临十分严肃的安全性挑战。

我们在网络设计时，将经过访问控制列表、防火墙、IP隧道等技术来保证

广发证券的宽带广域网网络系统的安全。

标准化

从发展的眼光看，计算机信息系统就是要实现信息的共享，完成不同

制造厂商的设备和计算机软、硬件资源的数据交换。

为此必须建立一

个由开放式、标准化的网络结构体系，满足当前可实现的技术，又能适

应今后新技术的引进、开发和推广。

我们建议采用的Cisco系列产品是当前业界支持协议最多、接口介

质最广泛的网络产品。

可管理性和可维护性

网络设计中，对网络主干的有效管理也是必须考虑的主要因素。

一

个有效的网络管理方案不但要包括建立各级网管中心的设备及软件，而

且要包括配置各种设备的必要顾问服务。

尤为重要的是，要能帮助用户

制定网管策略和网管中心运作机制。

在网络投入运行初期，提供现场顾问服务也是必须的。

在满足上述多项原则的基础上，尽可能降低工程造价，追求最优的性能/价格比。

当然，高性能与高可靠性是以高投入为代价的。

最终的方案一定是性能与价格折中的产物。

可扩展性

随着广发证券的各项业务的快速发展，网络系统面临的任务将愈来愈艰巨，愈来愈复杂。

为了适应这个变化和日新月异的计算机技术的发展，我们设计的网络十分注重扩充性。

无论是网络硬件还是系统软件都能够方便的扩充和升级，关键设备的扩充和升级时，系统将无需中断正常的工作。

上述系统设计的原则将自始自终贯穿整个系统的设计和实现。

5解决方案

5.1网络解决方案描述

根据以上网络设计原则，我们对广发证券的宽带广域网部分作如下

设计：

广发证券综合业务平台网络示意图

/3K2»M

.一,*****DDN

、PSTN/

用户察M

„■-PDM>/"I話S7V,jJEJI!

!

4^|"26M&

多M

坤户纯黑

由上图可见，广发证券的宽带广域网中心位于计算中心，与总部0A

中心、Internet等外联系统连接；同时提供区域中心、广东地区营业部

等接入。

上海、北京等12家分公司作为区域中心供本地营业部的接入；同

时，上海、北京等12家区域中心以及广东地区除分中心管理外的其它营业部（直接连接到信息中心）接入。

整个系统构成了广发证券的综合信息平台，当前主要为广发证券提

供交易、办公提供数据应用的支持，同时提供IP语音平台，为将来在

企业范围内的IP语音和视频应用的推广打好基础。

系统中的所有区域中心及营业部，主链路均采用中国电信的DDN,

按照上述描述连接；首选的备份链路均采用ISDN/PST;第二份备份链

路采用现有的卫星系统保持不变。

安全问题详见安全解决方案。

5.2广东数据中心的设计

东A:

>广S2-3鼻

信息中心是广发证券宽带广域网的数据中心和通讯中心，采用一台

Cisco7507高端路由器作为主干广域网路由器，与中国电信的长途干线

网连接，在本期工程中，与区域中心合OA总部的连接采用1Mbps的

DDN链路，与营业部的连接采用256Kbps的DDN链路（建议）。

另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器，提供备份接入，它能够自动识别模拟信号和数字信号，调配相应的模拟modem

或数字modem与之握手；同时Cisco3662路由器还起着VoIP语音网关的作用，经过1个E1模块与上海本地的PBX相连接，提供IP电话业务。

在广域网路由器与内部局域网之间采用两台防火墙，互为热备份

完成安全防卫任务，同时提供IPSec的VPN隧道技术的支持。

信息中心的局域网采用原有CiscoCatalyst6509Switch不变，实现

与各地网络之间的高速数据交换。

对于在数据中心的外联系统包括

Internet和银行等均包含在统一的接入中心交换平台上，使用高端防火

墙作安全隔离，接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连接各个不同的单位。

5.3分公司（区域中心）网络系统

分公司〔区域屮心）网络示意图

下属营业部

＜绚17家）

数据中心

Natalirte

ISDN/PSTN-

分公司是区域数据中心和通讯中心,采用一台Cisco3662高端路由器作为主干广域网路由器,与数据中心7506主干路由器经DDN连接,同时提供下属营业部主链路接入;另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器,提供与数据中心备份连接,,同时提供下属营业部备份链路接入;;

同时Cisco3662路由器还起着VoIP语音网关的作用,经过FXO端口与本地PBX相连接,提供IP电话业务。

在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫任务,同时提供IPSec的VPN隧道技术的支持。

5.4OA总部设计

C3A总部网络示意图

工工AM

0A总部

OA总部是OA等业务系统中心，采用一台Cisco3662高端路由器作为主干广域网路由器，与数据中心7506主干路由器经DDN连接；另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器，提供与数据中心备份连接；

同时Cisco3662路由器还起着VoIP语音网关的作用，经过FXO端口与本地PBX相连接，提供IP电话业务。

在广域网路由器与内部局域网之间采用两台防火墙，互为热备份,完成安全防卫任务，同时提供

IPSec的VPN隧道技术的支持。

5.5独立营业部设计

其它地区的营业部当前在第一期工程时先采用一台Cisco2651多功

能路由器经过1条256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接，经过ISDN/PSTN进行主链路的备份。

在广域网路由器与内部局域网之间采用一台防火墙，在完成安全防卫任务。

当前这些营业部包括北京、上海、广东地区等，共87个。

5.6广域网络的备份

在数据中心配置了一台多功能Cisco3660路由器作为VoIP语音网关和ISDN/PSTN备份连接网络接入服务器，可同时容纳30条普通MODEM或数字MODEM进行备份连接，满足广发证券总的备份能力的需求。

同时还可兼作移动用户的接入访问控制服务器。

另外,我们建议采用原有的卫星线路作为第二条备份链路。

5.7IP语音

5.7.1IP语音工作原理

语音进入路由器被采样.语音出路由器IP数据

压缩成n＞数据包包被还原成看音

语音出路由器ip数据语音进入路由器被采样、

包被还原成语音压编成ip数据包

5.7.2语音接点的布设及PBX的选择

针对IP语音的建立，在上海数据中心的3662路由器上增加一个E1端口的语音模块，用于连接PBX;信息中心的PBX推荐采用数字交换系统,采用该交换机还可为将来的IPCallCenter打下基础。

在区域中心和OA总部的3662则使用8线FXO的两个语音模块

连接本地的PBX;可建立VoIP的平台，作广发证券全面实施IP语音准

备。

5.7.3带宽要求

一路语音在传统的TDM电讯系统中传输需占用64K带宽,而利用新的IP技术可将其压缩至10~12K。

当广域网线路的利用率超过70%的时候,网络性能将会呈线性下

降。

因此,为保障网络的质量,8路并发语音所需要带宽为:

|8K*10/70%|=114K。

5.7.4对PBX的要求

采用本方案需要总部的PBX支持E1接入。

若不支持则根据具体情况需要更改为路由器的语音接口为E&M或FX0接口。

5.8系统管理

5.8.1CISCO网络设备的管理

在广发证券的语音网络中我们配置了CiscoWorksLANManagement和CiscoWorksRoutedWANManagement,为广发证券提供配置、管理、监控和故障诊断工具。

其具有基于Web的解决方案带有管理交换和路由环境的应用。

5.8.2策略的管理PolicyManager,是一个用于Cisco防火墙和虚拟专网（VPN）

网关的可伸缩、强大的安全政策管理系统。

经过CiscoSecurePolicyManager,Cisco客户能够集中定义、分发、执行和审计网络范围的安全政策。

该产品使管理复杂网络安全部件的任务流程化,例如周边访问控制、网络地址转换（NAT）和基于IPSec的VPN。

经过CiscoSecurePolicyManager的图形用户界面,管理员能够直观地为多个Cisco防火墙和VPN网关定义高级安全政策。

在创立时,这些政策能够集中分发,从而消除了逐设备实施安全命令的代价高昂、耗费时间的实践。

另外,该产品还提供系统审计功能,包括事件通知和一个基于Web的报告系统。

作为Cisco端到端安全产品线的管理基础,CiscoSecurePolicyManager在Cisco网络内简化了安全产品和服务的部署。

同时系统还配置了CiscoQoSPolicyManager,它是一个全特性的政策系统,它简化了为企业网络配置和部署QoS政策的复杂性。

5.8.3IPVOICE管理

在广发证券的语音网络中我们配置了CiscoWorksVoiceManager2.0（CVM）,CVM提供了基于Web的语音管理和报告的解决方案。

它具备了配置语音端口以及建立/更改VoiceOverIP网络中的拨号计划的能力。

它能自动检测网络状况,包含有检测网络故障的工具以及通话的详细资料,如通话质量、历史数据等。

CiscoVoiceManager是经过TCP/IP网络与VoIP的设备建立联系。

即用户使用一般的web浏览器（Netscape、IE）经过标准的超文本协议（HTTP）与CiscoVoiceManagerServer进行通讯。

同时，CiscoVoiceManagerServer则经过简单网络管理协议（SNMP）与支持语音的设备进行通讯。

因此也就实现了用户经过WEB浏览器来管理VoIP网的功

5.8.4CA网管平台

5.841系统运行状况和可用性管理

概念和范围

系统运行状况和可用性监控是确保整个IT系统顺利、高效运作的最基本的功能，她经过监控网络线路、设备、服务器、数据库和应用系统的可用性和运行状况，为其它各种ESM管理功能提供数据来源。

我们建议首期广发证券网络系统运行状况和可用性管理的范围是：

•广发证券网络系统数据中心局域网络/设备管理

•广发证券网络系统广域网线路/设备管理

•广发证券网络系统中心关键服务器操作系统

•广发证券网络系统关键数据库系统（如SQL）

对这些对象进行性能管理的目标是实时监控其关键参数的运行状态和故障情况，经过直观简洁的图形用户界面集中表现出来。

发生不同严重程度的警告和故障，以直观的发生呈现给管理员，以便及时处理。

实现方案

为了在上述范围内实现集中的可用性和故障管理，我们建议在网络中心采用一台PC服务器，经过Unicenter的相关管理模块完成可用性和故障管理功能。

另外，对操作系统、数据库和应用系统的管理需要这些服务器的参与-在这些计算机上部署CA相关管理软件。

我们建议的广发证券网络系统运行状况、可用性和故障管理由如

下不同部分组成：

•UnicenterNSM,负责收集管理范围内所有的网络线路、设备、

服务器、数据库系统的运行状况、可用性和故障信息，经过直观用户

界面实时展示给客户。

广发证券网络系统各个被管理服务器上的NSM

模块负责监视本机操作系统，收集可用性和故障数据，经过管理主控台集中反映。

监控内容包括网络设备处理器、缓冲区、端口、线路故

障和可用性，操作系统CPU、内存、交换区、文件系统、文件、磁盘、进程、日志文件等。

•UnicenterNSMAdvaneedNetworkOperations,该模块安装在管

理主控台上，负责对不同网络设备、资源的特性进行进一步监控和管

理。

如监控、控制局域网VLAN划分、监控网络路径可用性、基于

PVC监控帧中继线路可用性和故障等等

本方案建议的系统管理功能从各种不同的来源采集数据：

-广域网络内的各地分公司安装一套UnicenterNSM,负责采集本网络内的有关系统信息，同时受信息中心的UnicenterNSMConsole统一管理；

•网络线路和设备可用性和故障管理经过SNMP协议，采集网络设备的MIBII以及设备专用的MIB信息库完成；同时经过ICMP协议定期Ping各个节点，探测设备可用性；

•系统、数据库和应用系统故障和可用性管理由安装在被管机上

的模块监视系统，收集数据。

利用Unicenter的Agent技术透过SNMP向管理主控台传递数据。

5.842性能管理和容量规划

概念和范围

性能管理主要是针对IT系统中网络线路和设备、操作系统和数据

库系统的性能情况进行监控和分析的。

与系统可用性和故障不同，系统

性能降低虽然不会马上导致系统瘫痪，但延长了业务的响应时间，浪费

了系统软件的投资和业务人员的时间，降低了工作效率。

如果系统性能

问题长时间得不到解决，还可能积累起来，形成严重的故障。

因此，系统性能管理也是确保整个IT系统可靠、稳定、高效运作的关键，是网络正常运行的重要的部分之一。

为了实现有效的性能管理策略，广发证券网络系统的技术支持人员

应该从两个基本方面进行工作：

•日常系统性能监控，发现和处理各种性能问题；

•定期进行长期的性能趋势分析和规划。

对这些对象进行性能管理的目标是为每一项性能参数设置门限值产生实时和历史的性能报表，性能指标超过门限值时产生报警并通知事件管理功能（实现自动响应动作和经过帮助台的人工响应）。

该目标也

包括端到端的响应时间监控。

对性能管理的高级目标是经过性能管理功能提供的专家建议和性能

优化工具，帮助管理员更快、更正确地进行性能调整。

实现方案

为了在上述范围内实现集中的性能管理和容量规划功能，我们建议

在中心采用两台PC服务器，经过Unicenter的相关性能管理模块完成性能管理功能。

使用两台服务器做事件管理是为了增加冗余度，提高系

统可用性和可靠性。

建议该服务器与系统运行状况和可用性管理共享硬件设备。

另外，对操作系统、数据库和应用系统的性能管理需要这些服务器的参与-在这些计算机上部署CA性能管理软件。

我们建议的广发证券网络系统性能管理由以下不同部分组成：

•UnicenterPerformaneeManagement,负责收集管理范围内所有的网络线路和设备的性能数据，集中保存、汇总这些数据，生成实时和历史性能报告，检测和记录性能问题，并经过事件管理功能自动响应，经过帮助台系统人工响应；

本方案建议的性能管理功能从各种不同的来源采集数据：

•网络线路和设备性能管理经过SNMP协议，采集网络设备的MIB

II、RMONV1、RMONV2以及设备专用的MIB信息库完成;

•系统和数据库性能管理由安装在被管机上的模块收集数据，进行

性能调整。

她们之间经过CA通用服务CAFT数据传送机制传输数据,采集的数据包括CPUUtilization、DiskInfo、FileAccessinfo、BufferActivity、SystemCallStatistics、MemoryFreeingActivity、Message&SemaphoreActivity、PagingActivity、Queuelength、MemoryUsage、SwappingActivity、TerminalActivity、TotalLoggedinUsers、Filestoreusage、Processinformation等等

5.8.4.3角色和责任

广发证券网络系统ESM性能管理功能主要有三种业务人员:

技术支持、日常操作和管理。

技术支持人员负责性能管理策略的制定和实施过程;日常操作人员经过性能管理工具进行日常的性能监控、和性能问题处理;管理人员经过性能分析报表完成性能趋势分析和容量规划。

技术支持人员定制性能管理策略并经过性能管理软件部署这些策略操作人员监视日常性能状况,出现性能问题后调用自动处理过程进行调整,或者经过事件管理或帮助台系统通知技术支持人员,技术支持人员人工优化解决性能问题。

历史性能报表提交管理人员,作为趋势分析和容量规划的依据。

5.844业务流程

性能问题处理流程

该流程定义日常工作中性能参数超过定义的门限值时采取的步骤和动作。

性能管理软件监测到性能超过定义门限，把问题自动报告到事件管

理。

事件管理根据问题性质在三种处理方式中选择：

•执行预定义的调整和修复动作

•通知技术支持人员手工处理

•自动在帮助台系统生成问题定义，由帮助台系统分派、跟踪问题

的处理。

日常操作流程

该流程定义操作人员日常对网络、系统和应用性能管理的监控和

处理过程。

性能报表处理流程

该流程定义历史性能报表的产生和处理过程。

对网络、性能和应

用的性能数据采集器定期把数据上送到管理主控台，管理主控台自动存储汇总这些数据。

技术支持人员定期生成性能月报，并提交给规划管理人员,管理人员审查性能报报告，进行容量规划。

5.8.4.5管理方案

前一章按照不同的管理功能和流程描述理CA推荐广发证券网络系

统应该部署的功能、范围以及实现方案。

本章从软硬件方案的角度描

述CA实现这些功能所采取的方案。

硬件要求

在我们的管理方案中，ESM的管理利用广发证券网络系统现有的网络设施实现ESM相关功能，同时需要