《2023年整理北京华夏银行网络升级方案.docx》由会员分享,可在线阅读,更多相关《2023年整理北京华夏银行网络升级方案.docx(7页珍藏版)》请在第一文库网上搜索。
1、北京华夏银行总行总行与海关的业务网升级解决方案一、网络的现状华夏银行与海关现运行的专线网络,其具体的网络拓扑如下图所示:123 .现网络情况如下: 网络相关需求是本地的SERVER与海关的SERVER进行数据共享、通信。 考虑到服务器的安全,银行本地SERVER通过防火墙上联到路由器。 总行与海关间连接通过高速稳定的专用线路进行连通。 其具体的IP编址解决方案与现状配制如下:(1) .CISCO262IXMConfignoipdomain-1ookupenab1esecretcisco1ineconso1e01oginpasswordciscoexec-timeout001inevty041o
2、ginpassowrdciscointerfaceseria10/0ipadd172.18.254.122255.255.255.252noshinterfacefaO/Oipadd172.18.23.254255.255.255.0dup1exfu11speed100noshiproute0.0.0.00.0.0.0172.18.254.121(2) .其SERVER为一个私有的地址(10.1.1.251),通过防火墙进行NAT转换成为一个透明的地址,这样SERVER只将某个服务通过透明地址对外公布,有效的防止非法数据流的入侵,对SERVER起到决对安全的效果。二、网络架构原则网络设计的体系
3、结构网络相关系统设计的体系结构,是构建最佳网络的第一步,决定体系结构就是决定整个网络相关系统所采用的协议栈:我们采用目前应用范围最为广泛,并事实上应用在IntemCt/Intranet标准的通信协议栈(TCP/IP),作为构架整个网络体系结构的核心协议。网络相关系统的设计原则在此标准的网络体系结构基础之上,我们设计网络的原则应遵循如下: 标准化、开放性采用成熟的标准化相关技术,具有开放性的标准;开放的相关技术;开放的结构;开放的相关系统组件和接口。 先进原则设计思想先进;软硬件设备先进;网络结构先进。 高效、实用采用高:生能、稳定的网络骨干,软硬件性能指标高,性能发挥充分,以关键应用为导向、相
4、关系统各个环节相匹配,总体平衡,使软硬件协调性能达到最佳。盲目地追求新相关技术,会建成一个不稳定、不成熟产品的实验台,单纯追求高性能,只会带来难以承受的高额投资,所以相关系统建设应采用成熟适用的相关技术,满足现有相关需求,并具有良好的可扩充性为出发点。 可靠、安全、稳定高可靠性、安全保密性,相关系统稳定可靠,使之具有极高的MTBF(平均无故障时间),提供容错设计,支持故障检测和恢复,可管理性强;为保证相关系统关键数据的正确完整,不受外部和内部的恶意攻击,应从管理制度、相关系统设计和相关系统实施的各个方面保证内部网络的安全性。 网络灵活、平滑升级、扩展、现有相关系统可以平滑升级、扩展、使用灵活,
5、重服务点需要24*7工作时,并网络内会有较大的数据流出现时,网络设计时应有备份和负载的线路,能适应应用和相关技术的发展相关需求。 易于维护、易于管理三、网络缺点与改造目的以上是我们对网络架构的一个总体思想,从银行网络的现状来看,现已经是一个可靠、安全、稳定的网络环境,其设计思想与相关系统安全设计已是现今流行的网络结构,但考虑到此应用服务器的重要性,此相关系统必须7*24不间断的运行,保证高效的业务往来。因此必须保证网络的实时畅通,对于网络现状来看,站点间只存在一条连接的线路,这样如果此网络提供商对网络中心进行调整规划,会大大影响我们站点间的业务往来,现今金融业的业务快速发展,如果站点间有较大的
6、业务量进行流通,这时我们要保证网络的带宽的可用性,防止流量过大使网络阻塞影响业务的往来。如上所看,现有网络仍然面临一定挑战,需要进一步改造:网络改造目标通过本次网络改造,我们主要达到一下目标:在申请一条物理通信线路,对其现在的物理线路进行网络线路的备份。根据其站点间的实际业务流量情况,可利用这条物理线路进行网络流量的负载。四、网络改造解决方案解决方案一改造后的网络拓扑图:从拓扑图上可以看出,本次华夏银行中行网络的改造主要是新增加1条DDN线路,通过串口模块(2T)与另一家ISP进行连接。由于网络内的防火墙不支持动态路由选择协议,所以网络中不能使防火墙与两台路由器直连来对网络进行链路备份。我们采
7、用HSRP(热备用路由器协议)相关技术对网络链路进行备份,这样防火墙与路由器之间需要添加一台交换机来与两台路由器相连,在两台路由器的以太网接口上启用一组HSRP,让左边的链路作为业务的主链路,右边的作为SERVER的备用链路。通过HSRP设置跟踪业务的广域网接口,如发现业务主链路出现故障,马上无缝地切换到右边的备份链路上,且当业务主链路恢复正常时再恢复过来(可以通过抢占权力)。在具体实施时,我们尽量修改路由器的配置,最好不去修改防火墙、主机SERVER等,如原有的缺省网关,将它作为HSRP的虚地址,具体配置如下:华夏银行总行一-海关路由备份配制(专线)(解决解决方案一)CISCO2621XM-
8、Config(两台)活动路由器(左)CISCO262IXM-Confignoipdomain-1ookupenab1esecretcisco1ineconso1e01oginpasswordciscoexec-timeout001inevty041oginpassowrdciscointerfacefaO/Oipadd172.18.23.254255.255.255.0dup1exfu11speed100noipredirectsstandby47ip172.18.23.250(0000.0c07.ac2f)standby47priority200standby47preemptstandby
9、47track180noshinterfaceseria10/0ipadd172.18.254.122255.255.255.252noshiproute0.0.0.00.0.0.0172.18.254.121备用路由器(右)CISCO262IXM-Confignoipdomain-1ookupenab1esecretcisco1ineconso1e01oginpasswordciscoexec-timeout001inevty041oginpasswordciscointerfacefaO/Oipadd172.18.23.252255.255.255.0dup1exfu11speed100n
10、oipredirectsstandby47ip172.18.23.250interfaceseira10/0ipadd172.18.253.123255.255.255.252(另一网段)noshiproute0.0.0.00.0.0.0172.18.253.121(另一网段)解决方案二改造后的网络拓扑图:从拓扑图上可以看出,解决方案二也新增加1条DDN线路,通过串口模块(2T)与同一家ISP进行连接。由于实现备份相关技术的不同,我们只在原有的设备基础之上,用另一个串口来接入一条专用线路,不需要在进行其它设备的添置,我们采用浮动路由与备份接口的相关技术,对网络进行备份和数据流的负载,当业务主链
11、路出现故障,会立即切换到指定的备份接口的链路上(根据设置的时间值),且当业务主链路恢复正常时再恢复:过来(根据设置的时间切换值)。根据网络的实际情况,我们可以采用备份接口的相关技术实现大流量的网络负载(根据指定的阈值),当网络流量低于一定的阈值时,我们可以用主线路进行传输,在具体实施时,我们尽量修改路由器的配置,最好不去修改防火墙、主机SERVER等,原有的缺省网关将不变为网络现状地址,具体配置如下:华夏银行总行一海关路由备份配制(专线)(解决解决方案二)CISCO2621XM-Confignoipdomain-1ookupenab1esecretcisco1ineconso1e01oginp
12、asswordciscoexec-timeout001inevty041oginpasswordciscointerfacefaO/Oipadd172.18.23.254255.255.255.0dup1exfu11speed100noshinterfaceseria10/0ipadd172.18.254.122255.255.255.252backupinterfaceseria11de1ay040backup1oad6010nosh(另一网段)iproute0.0.0.00.0.0.0172.18.254.121interfaceseria10/1ipadd172.18.253.123255.255.255.252noshiproute0.0.0.00.0.0.0172.18.254.121iproute0.0.0.00.0.0.0172.18,253.121120(另一网段)
免费区 
