市商業(yè)銀行接入網(wǎng)組網(wǎng)方案

市商業(yè)銀行網(wǎng)絡(luò)改造解決方案目錄TOC\o"1-3"\h\z一、市商業(yè)銀行二級(jí)綜合網(wǎng)概述3二、網(wǎng)絡(luò)需求分析3三、網(wǎng)絡(luò)設(shè)計(jì)原那么4四、市商行網(wǎng)絡(luò)方案6市局中心設(shè)備7各營(yíng)業(yè)網(wǎng)點(diǎn)中心設(shè)備7五、網(wǎng)絡(luò)方案實(shí)施85.1路由規(guī)劃85.2路由備份9市局局域網(wǎng)網(wǎng)絡(luò)規(guī)劃10各網(wǎng)點(diǎn)局域網(wǎng)規(guī)劃115.5網(wǎng)絡(luò)平安保障125.6高可管理性145.7效勞質(zhì)量保證〔Qos〕15一、市商業(yè)銀行二級(jí)綜合網(wǎng)概述隨著金融業(yè)務(wù)的開(kāi)展，市商業(yè)銀行業(yè)務(wù)數(shù)據(jù)信息量成數(shù)十倍，甚至數(shù)百倍的增加，目前全市共90個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)，租用了電信和中信兩家運(yùn)營(yíng)商的線路，45個(gè)網(wǎng)點(diǎn)采用電信，45個(gè)網(wǎng)點(diǎn)采用中信，都為低速DDN線路，傳輸網(wǎng)已不能滿(mǎn)足業(yè)務(wù)開(kāi)展要求，而且市商業(yè)銀行新建市行綜合大樓，市局新綜合大樓的網(wǎng)絡(luò)也重新需要建設(shè)，所以需要對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備進(jìn)行改造。通過(guò)建設(shè)到達(dá)以下目標(biāo)：市局綜合大樓增加核心路由器和核心交換機(jī)，更換各網(wǎng)點(diǎn)路由器。線路升級(jí)為2MSDH，原有的DDN線路作為SDH線路的備份線路。市局和各網(wǎng)點(diǎn)都增加OA辦公網(wǎng)，保證原有生產(chǎn)網(wǎng)與OA辦公網(wǎng)之間的互訪和隔離。最終建設(shè)為一個(gè)覆蓋全市各營(yíng)業(yè)網(wǎng)點(diǎn)，OA業(yè)務(wù)與２個(gè)外部單位市人行、銀監(jiān)局互聯(lián)，滿(mǎn)足業(yè)務(wù)需要的二級(jí)綜合業(yè)務(wù)網(wǎng)絡(luò)。二、網(wǎng)絡(luò)需求分析市商業(yè)銀行新建市行綜合大樓，并將進(jìn)行全市網(wǎng)絡(luò)改造，目前網(wǎng)絡(luò)情況：全市共90個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)，分別租用了電信和中信兩家運(yùn)營(yíng)商的線路，其中45個(gè)網(wǎng)點(diǎn)采用電信線路，45個(gè)網(wǎng)點(diǎn)采用中信線路，且都為低速DDN線路，所有網(wǎng)點(diǎn)都是采用CISCO老舊網(wǎng)絡(luò)設(shè)備，設(shè)備性能和功能都不能滿(mǎn)足現(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)需求。目前的網(wǎng)路結(jié)構(gòu)存在以下問(wèn)題：1、營(yíng)業(yè)網(wǎng)點(diǎn)眾多，而原有CISCO網(wǎng)絡(luò)設(shè)備老舊，性能和功能不能滿(mǎn)足現(xiàn)有需求；2、新綜合大樓建成，市局中心網(wǎng)絡(luò)需要重建；3、原有網(wǎng)絡(luò)結(jié)構(gòu)過(guò)于簡(jiǎn)單，市局與各網(wǎng)點(diǎn)之間只有一條DDN線路，鏈路帶寬低，沒(méi)有備份設(shè)備和備份線路，容易出現(xiàn)單點(diǎn)故障。4、現(xiàn)新增的OA辦公網(wǎng)在原有網(wǎng)絡(luò)中不能得到很好應(yīng)用。針對(duì)以上問(wèn)題，我們將通過(guò)增加/更換網(wǎng)絡(luò)設(shè)備、升級(jí)鏈路帶寬、增加線路等方法，在保證原有業(yè)務(wù)網(wǎng)的前提下增加新OA辦公網(wǎng)，更加合理的對(duì)網(wǎng)絡(luò)進(jìn)行規(guī)劃改造。三、網(wǎng)絡(luò)設(shè)計(jì)原那么HYPERLINK統(tǒng)籌規(guī)劃，結(jié)構(gòu)合理在原有網(wǎng)絡(luò)的根底上，在設(shè)計(jì)和改造中必須嚴(yán)格按照相關(guān)技術(shù)標(biāo)準(zhǔn)?！敖y(tǒng)籌規(guī)劃〞就是綜合考慮各方面的實(shí)際情況，按照一體化的指導(dǎo)思想，制定科學(xué)合理，切實(shí)可行的實(shí)施方案?！敖Y(jié)構(gòu)合理〞就是在網(wǎng)絡(luò)改造設(shè)計(jì)，實(shí)施過(guò)程中要結(jié)合市商業(yè)銀行實(shí)際情況合理規(guī)劃結(jié)構(gòu)。HYPERLINK一般性整個(gè)網(wǎng)絡(luò)工程必須嚴(yán)格遵照金融網(wǎng)絡(luò)系統(tǒng)的特殊要求：既要充分考慮網(wǎng)絡(luò)的穩(wěn)定性、可靠性、平安性，滿(mǎn)足銀行業(yè)務(wù)的特殊需求，同時(shí)也要兼顧銀行業(yè)務(wù)今后的開(kāi)展，注重網(wǎng)絡(luò)的先進(jìn)性和可擴(kuò)展性。先進(jìn)性銀行網(wǎng)絡(luò)系統(tǒng)是以業(yè)務(wù)為主效勞的高速信息系統(tǒng)，為適應(yīng)當(dāng)今時(shí)代信息技術(shù)日新月異、飛速開(kāi)展的情況，防止系統(tǒng)建成后過(guò)早地因技術(shù)落伍而需要升級(jí)和更新，因此在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的選型、軟硬件平臺(tái)的選擇和應(yīng)用系統(tǒng)的選擇和設(shè)計(jì)上，都應(yīng)該考慮到使用先進(jìn)的技術(shù)?？煽啃砸缶W(wǎng)絡(luò)運(yùn)行穩(wěn)定可靠，具有很高的MTBF〔平均無(wú)故障工作時(shí)間〕和極低的MTBR〔平均無(wú)故障率〕，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)；平安性應(yīng)該能在高可靠性的前提下，抵擋住來(lái)自?xún)?nèi)部或外部的攻擊；采用的平安措施有效、可信，能夠在多層次上、以多種方式實(shí)現(xiàn)平安的控制；擴(kuò)展性和靈活性既能滿(mǎn)足當(dāng)前業(yè)務(wù)對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來(lái)需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便于適應(yīng)客戶(hù)的其他要求；接口類(lèi)型的多樣性考慮到現(xiàn)階段通信業(yè)務(wù)的不斷開(kāi)展，在經(jīng)營(yíng)網(wǎng)點(diǎn)和市分行之間的路由器設(shè)備需要支持包括以太網(wǎng)、幀中繼FR、DDN、ISDN等在內(nèi)的多種廣域網(wǎng)連接方式，同時(shí)提供DDR、PSTN等功能。HYPERLINK綜合性要求網(wǎng)絡(luò)和設(shè)備具有集成數(shù)據(jù)、語(yǔ)音、視頻等綜合通信的能力。HYPERLINK兼容性要求網(wǎng)絡(luò)和設(shè)備具有良好的兼容性，不同層次級(jí)別、不同廠家的不同設(shè)備之間使用國(guó)際標(biāo)準(zhǔn)化的通信協(xié)議，具有良好的兼容性能，保證網(wǎng)絡(luò)順暢高效的通信。四、市商行網(wǎng)絡(luò)方案市商業(yè)銀行綜合業(yè)務(wù)網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)如下：拓?fù)涿枋觯涸谡麄€(gè)市商行接入網(wǎng)中，我們?cè)谥麈溌泛褪芯志钟蚓W(wǎng)中采用成熟穩(wěn)定的OSPF協(xié)議，如上圖所示，市局局域網(wǎng)中，在生產(chǎn)網(wǎng)核心交換機(jī)BDCOM6803A、6803B、OA網(wǎng)核心交換機(jī)6803C以及兩臺(tái)出口路由器間運(yùn)行OSPFArea0。BDCOM7208路由器通過(guò)2塊155MCPOS卡與90個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)相連，與其中45個(gè)網(wǎng)點(diǎn)采用的是電信的2MSDH線路，它們之間運(yùn)行OSPFArea1；與另外45個(gè)網(wǎng)點(diǎn)采用中信的2MSDH線路，它們之間運(yùn)行OSPFArea2。原有的CISCOXX路由器與各網(wǎng)點(diǎn)之間走原有DDN線路，運(yùn)行靜態(tài)路由協(xié)議，作為備份線路。兩臺(tái)BDCOM2621通過(guò)電信2MSDH線路與銀監(jiān)局和人行互聯(lián)，它們之間運(yùn)行靜態(tài)路由協(xié)議，只通告OA網(wǎng)網(wǎng)段。市局中心設(shè)備在市局中心采用電信和中信兩家的線路，共90條SDH2M線路在市局會(huì)聚為CPOS形式中心設(shè)備以信道化方式分配到每個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)。我們?cè)谥行倪x用一臺(tái)BDCOM7208，配置2塊155MCPOS模塊接口卡，每塊CPOS卡劃分出45個(gè)2M通道，完成對(duì)各營(yíng)業(yè)網(wǎng)點(diǎn)。BDCOM7208的主控板自帶有兩個(gè)千兆以太網(wǎng)接口，一個(gè)百兆以太網(wǎng)口，可以直接接入局域網(wǎng)核心交換機(jī)。在完全滿(mǎn)足用戶(hù)需要的同時(shí)，留有多達(dá)7個(gè)插槽，供用戶(hù)將來(lái)的擴(kuò)展。另外增加2臺(tái)BDCOM2621直接通過(guò)以太網(wǎng)口與OA網(wǎng)核心交換機(jī)6803C相連，同時(shí)還通過(guò)2條2MSDH線路分別連接到銀監(jiān)局和人行兩個(gè)外聯(lián)單位。連接外聯(lián)單位時(shí)，電信提供協(xié)議轉(zhuǎn)換器，如果電信局提供的是G.703轉(zhuǎn)換器，那么需要為路由器提供V35線纜，并配置WIC-1T接口卡。如果提供的是E1轉(zhuǎn)以太的轉(zhuǎn)換器，我們可以不增加這兩臺(tái)2621，因?yàn)殡娦诺腟DH線路在經(jīng)過(guò)協(xié)議轉(zhuǎn)換器后可以直接通過(guò)以太口與OA網(wǎng)核心交換機(jī)相連，并在核心交換機(jī)上啟用靜態(tài)路由協(xié)議即可。如果必須使用路由器，這2臺(tái)外聯(lián)路由器不需要配置UE1卡，在電信光纖線路通過(guò)協(xié)議轉(zhuǎn)換器后，直接通過(guò)RJ45口用以太網(wǎng)線和路由器進(jìn)行連接。中心備份設(shè)備采用市局自有的CISCOXX。與各營(yíng)業(yè)網(wǎng)點(diǎn)的備份線路采用原有的DDN線路。中心的核心交換設(shè)備包括3臺(tái)DMCOM6803核心交換機(jī)。其中2臺(tái)最為生產(chǎn)網(wǎng)核心交換機(jī)；采取雙核心結(jié)構(gòu)，互為備份并負(fù)載均衡。1臺(tái)作為OA網(wǎng)核心交換機(jī)。OA應(yīng)用效勞器群交換機(jī)采用BDCOMS3524〔其提供24個(gè)10/100/1000M千兆自適應(yīng)電口、4個(gè)千兆復(fù)用光口〕，用于連接OA效勞器群。綜合大樓接入交換機(jī)，配置3臺(tái)BDCOMS2224〔其提供24個(gè)10/100M以太電口、2個(gè)千兆電口〕，7臺(tái)BDCOMS2448〔其提供48個(gè)10/100M以太電口、4個(gè)千兆電口〕用于各樓層用戶(hù)主機(jī)接入。各營(yíng)業(yè)網(wǎng)點(diǎn)中心設(shè)備在營(yíng)業(yè)網(wǎng)點(diǎn)，配置一臺(tái)BDCOM2621路由器，完成和市局相連的主線路。BDCOM2621路由器帶2個(gè)10M/100/快速以太網(wǎng)口，2個(gè)高速通用串口，兩路以太網(wǎng)口可以接入局域網(wǎng)。在BDCOM2621上配置一塊單路UE1卡，并提供單路E1接口線纜。每個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)到市局中心采用非信道化2MSDHE1專(zhuān)線進(jìn)行連接，此線路作為主線路接入。原有的CISCOXX路由做冷備使用，原有DDN線路連接到BDCOM2621上作為備份線路接入，并提供WIC-1T接口卡。各網(wǎng)點(diǎn)原有的交換設(shè)備依然保存使用。五、網(wǎng)絡(luò)方案實(shí)施5.1路由規(guī)劃設(shè)計(jì)優(yōu)良的拓?fù)浣Y(jié)構(gòu)是所有穩(wěn)定網(wǎng)絡(luò)的根底。當(dāng)網(wǎng)絡(luò)在發(fā)生變化時(shí)，能迅速進(jìn)行收斂是非常重要的。收斂路由協(xié)議所需要的時(shí)間依賴(lài)于以下兩個(gè)要素：參與收斂的路由器數(shù)量它們必須處理的信息量合理的網(wǎng)絡(luò)應(yīng)該是分層網(wǎng)絡(luò)，如核心層，分布層，訪問(wèn)層。每一層的功能不同，設(shè)計(jì)的目標(biāo)也是不相同的。核心層：1．不在網(wǎng)絡(luò)核心層執(zhí)行網(wǎng)絡(luò)策略2．核心層設(shè)備應(yīng)對(duì)每個(gè)目的地地址都有充分的可達(dá)性分布層：1．隔離拓?fù)浣Y(jié)構(gòu)的變化2．控制路由表的大小3．流量的收斂訪問(wèn)層：1．將流量饋入網(wǎng)絡(luò)2．控制訪問(wèn)3．執(zhí)行其他的邊緣功能鑒于市商行網(wǎng)絡(luò)規(guī)模較為龐大，擬全網(wǎng)采用OSPF動(dòng)態(tài)路由。OSPF動(dòng)態(tài)路由有以下幾個(gè)特點(diǎn)：1．快速收斂，能夠適應(yīng)大型網(wǎng)絡(luò)；2．能夠正確處理錯(cuò)誤路由信息；3．使用區(qū)域，能夠減少單個(gè)路由器的CPU負(fù)擔(dān)，構(gòu)成結(jié)構(gòu)化的網(wǎng)絡(luò)；4．支持無(wú)類(lèi)路由，完全支持超網(wǎng)，可變長(zhǎng)子網(wǎng)等無(wú)類(lèi)特性；5．支持多條路徑負(fù)載均衡；6．使用組播地址來(lái)進(jìn)行信息互通，減少了非OSPF路由器的負(fù)載；7．使用路由標(biāo)簽來(lái)表示來(lái)自外部區(qū)域的路由正是上述種種優(yōu)點(diǎn)，使OSPF路由協(xié)議特別適合于像市商行這樣大型的網(wǎng)絡(luò)。按照上述原那么，在市商行的網(wǎng)絡(luò)中，我們制定的OSPF路由規(guī)劃策略是：1．二級(jí)網(wǎng)兩層域結(jié)構(gòu)，核心層－分布層，市局局域網(wǎng)核心局部劃入0域，市局通過(guò)電信SDH線路到網(wǎng)點(diǎn)之間的局部劃入?yún)^(qū)域1，市局通過(guò)中信SDH線路到網(wǎng)點(diǎn)之間的線路劃為區(qū)域2，以減少每個(gè)域的路由器數(shù)量，以減少參與路由運(yùn)算的負(fù)荷，保證網(wǎng)絡(luò)的快速收斂性。2．對(duì)每級(jí)路由器的采用相應(yīng)的策略，保證網(wǎng)絡(luò)的穩(wěn)定和健壯性。例如，在ASBR〔邊界路由器〕采用地址聚合的策略，以減少注入核心區(qū)的路由數(shù)量。3．在保證網(wǎng)絡(luò)的穩(wěn)定性同時(shí)，必須考慮到金融業(yè)務(wù)的保密性，必須同時(shí)考慮采取一些平安性措施，如進(jìn)行路由認(rèn)證。在市局的OA業(yè)務(wù)網(wǎng)與銀監(jiān)局、人行的路由設(shè)備之間，運(yùn)行靜態(tài)路由協(xié)議，只通告OA業(yè)務(wù)網(wǎng)網(wǎng)段。如果有需要，可以將靜態(tài)路由重發(fā)布進(jìn)OSPF中，這樣整個(gè)商業(yè)銀行網(wǎng)絡(luò)中的多有路由器都會(huì)學(xué)習(xí)到到達(dá)兩個(gè)外聯(lián)單位的路由。5.2路由備份對(duì)主線路進(jìn)行備份，也是這次市商行網(wǎng)絡(luò)中的一個(gè)重點(diǎn)，一個(gè)優(yōu)秀的備份方案，要綜合考慮各方面，如用戶(hù)本錢(qián)，帶寬，線路穩(wěn)定性，切換時(shí)間，靈活性及潛在的維護(hù)擴(kuò)展本錢(qián)等。綜合考慮上述各因此，擬采用路由備份的方式，更具體一點(diǎn)，主動(dòng)備動(dòng)方式，即主線路采用OSPF動(dòng)態(tài)路由，備份線路也采用OSPF動(dòng)態(tài)路由，配置浮動(dòng)〔float〕靜態(tài)路由來(lái)保證備份線路的生效。具體備份流程步驟如下：1．主線路配置OSPF動(dòng)態(tài)路由，備份線路采用DDN線路，并配置靜態(tài)浮動(dòng)路由，把備份線路同時(shí)重新發(fā)布到OSPF動(dòng)態(tài)路由。重發(fā)布到OSPF中的靜態(tài)路由管理距離〔AD〕大于OSPFAD。此時(shí)，市局的CISCOXX路由器屬于ASBR設(shè)備。2．當(dāng)主線路正常時(shí)，動(dòng)態(tài)路由的優(yōu)先級(jí)比靜態(tài)浮動(dòng)〔float〕路由高，數(shù)據(jù)到達(dá)路由器后，查找路由表，優(yōu)先走主線路。3．主線路故障時(shí)，備份線路配置的浮動(dòng)靜態(tài)路由浮現(xiàn)，路由表中只剩一條從備份接口出去的路由。4．這時(shí)，由PC發(fā)送給效勞器的數(shù)據(jù)傳送到路由器，經(jīng)過(guò)查找路由表之后，決定數(shù)據(jù)由備份口送出，觸發(fā)撥號(hào)。5．然后經(jīng)過(guò)ppp協(xié)商及ospf動(dòng)態(tài)路由交換信息后，兩邊都可以學(xué)到對(duì)方的路由信息。6．當(dāng)主線路恢復(fù)后，數(shù)據(jù)又切換回來(lái)。市局局域網(wǎng)網(wǎng)絡(luò)規(guī)劃市局局域網(wǎng)拓?fù)淙缦拢涸谑芯志钟蚓W(wǎng)中，生產(chǎn)網(wǎng)核心交換機(jī)采取雙核心結(jié)構(gòu)，通過(guò)運(yùn)行OSPF協(xié)議，到達(dá)互為備份并負(fù)載均的目的。在生產(chǎn)網(wǎng)核心交換機(jī)與出口路由器和生產(chǎn)效勞器的連接中，都采用千兆雙鏈路的連接的方式，各樓層交換機(jī)也通過(guò)千兆線路連接到核心交換機(jī)。保證鏈路的高速性和冗余性。OA核心交換機(jī)通過(guò)百兆兆鏈路與應(yīng)用效勞器機(jī)群交換機(jī)相連。在生產(chǎn)網(wǎng)絡(luò)的核心交換機(jī)A和B上創(chuàng)立vlan，接入交換機(jī)上將端口劃分到相應(yīng)的vlan中，所有的vlan信息將在核心交換機(jī)上終結(jié)。同時(shí)啟用生成樹(shù)協(xié)議〔STP〕，防止交換環(huán)路。生產(chǎn)網(wǎng)和OA網(wǎng)之間的訪問(wèn)控制，通過(guò)基于源地址和目的地址的擴(kuò)展訪問(wèn)控制列表可以靈活控制。各營(yíng)業(yè)網(wǎng)點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu)非常簡(jiǎn)單，出口路由器采用BDCOM2621，配置UE1卡，通過(guò)2MSDH線路與市局上聯(lián)。以前的DDN線路保存，作為備份鏈路使用，并配置一塊WIC-1T接口卡用于連接DDN線路〔假設(shè)原有的DDN線路為低速線路，且原來(lái)使用了基帶MODEM，那么基帶MODEM可以繼續(xù)使用，但需要為2621提供一跟RLS0111線纜，此時(shí)不需要配置WIC-1T接口卡〕。原有的局域網(wǎng)結(jié)構(gòu)不變，生產(chǎn)網(wǎng)新增加的OA辦公網(wǎng)之間的訪問(wèn)及隔離通過(guò)在路由器上配置ACL來(lái)實(shí)現(xiàn)。HYPERLINK網(wǎng)絡(luò)平安保障鑒于市商行網(wǎng)絡(luò)信息、數(shù)據(jù)的重要性，在設(shè)計(jì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的平安時(shí)，總體采用以下幾個(gè)原那么：1．網(wǎng)絡(luò)平安第一性原那么2．多層次〔OSI參考模型中的邏輯層次〕原那么3．分布式控制原那么4．網(wǎng)絡(luò)分段原那么平安性第一原那么由于平安性和網(wǎng)絡(luò)的性能〔使用的靈活性，方便性、傳輸效率等〕是一對(duì)矛盾，兩者不能兼得。強(qiáng)調(diào)了平安性，網(wǎng)絡(luò)的性能受到影響；強(qiáng)調(diào)網(wǎng)絡(luò)的性能，平安性可能減弱。博達(dá)公司在為用戶(hù)建議方案時(shí)選擇了前者，以犧牲一定的網(wǎng)絡(luò)性能來(lái)?yè)Q取平安性的增強(qiáng)，但采取的措施對(duì)用戶(hù)來(lái)說(shuō)是透明的，即用戶(hù)在使用網(wǎng)絡(luò)時(shí)感覺(jué)不到受影響。多層次〔OSI參考模型中的邏輯層次〕原那么根據(jù)OSI參考模型中的每一層，都制定相應(yīng)的平安策略。如在鏈路層，廣域網(wǎng)協(xié)議進(jìn)行PAP認(rèn)證或者平安級(jí)別更高的CHAP認(rèn)證。在局域網(wǎng)局部，博達(dá)路由器支持以太網(wǎng)的IP-ARP地址綁定技術(shù)，可以防止不良分子通過(guò)IP地址欺騙。在網(wǎng)絡(luò)層及傳輸層上，博達(dá)路由器可以采用訪問(wèn)控制列表ACL技術(shù)，對(duì)源、目的地址、報(bào)文類(lèi)型等諸多元素進(jìn)行限制，充分保證從二到七層的應(yīng)用保護(hù)。此外，博達(dá)路由器還提供了基于時(shí)間的包過(guò)濾，可以規(guī)定過(guò)濾規(guī)那么發(fā)生作用的時(shí)間范圍，在此時(shí)間范圍以外，不進(jìn)行由時(shí)間定義的訪問(wèn)規(guī)那么判斷。在時(shí)間段的設(shè)置上，可以采用絕對(duì)時(shí)間段和周期時(shí)間段以及連續(xù)時(shí)間段和離散時(shí)間段配合使用，在應(yīng)用上提供極大的靈活性。這個(gè)措施就完全限制了在非工作時(shí)間的非法訪問(wèn)。在OSPF路由協(xié)議上，我們可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證的功能，只有經(jīng)過(guò)身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。除此之外，博達(dá)路由器還提供多進(jìn)程、多區(qū)域、路由限制、路由過(guò)濾等技術(shù)?？梢圆捎门渲胏onsole、telnet等多種登錄密碼。管理態(tài)、配置態(tài)密碼等驗(yàn)證?？梢圆捎肁AARadius等效勞器驗(yàn)證。網(wǎng)絡(luò)分段原那么網(wǎng)絡(luò)分段是保證平安的重要措施。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段。網(wǎng)絡(luò)可從物理上分為假設(shè)干段，即通過(guò)交換器連接各段。對(duì)于TCP/IP可進(jìn)行邏輯分段，即把網(wǎng)絡(luò)分成假設(shè)干IP子網(wǎng)，各子網(wǎng)通過(guò)路由器連接。博達(dá)路由設(shè)備都提供多以太網(wǎng)口，從物理層上保證了業(yè)務(wù)網(wǎng)與管理網(wǎng)的隔離。同時(shí)博達(dá)路由器支持在快速以太網(wǎng)端口劃分多個(gè)子端口，并且支持基于802.1Q的VLAN劃分，可以和支持802.1Q的交換機(jī)互連。其配置相對(duì)較簡(jiǎn)單，即把快速以太口劃分為不同的子端口，在子端口下封裝不同的VLAN標(biāo)識(shí)和IP地址，這樣快速以太口就成了中繼口。在VLAN中，劃分在同一播送域中的成員并沒(méi)有任何物理或地理上的限制，它們可以連接到一個(gè)交換網(wǎng)絡(luò)中的不同交換機(jī)上。播送分組、未知分組及成員之間的數(shù)據(jù)分組都被限定在VLAN之內(nèi)。不同的業(yè)務(wù)組可以分割在兩個(gè)不同的VLAN內(nèi)，進(jìn)行平安隔離，互不訪問(wèn)。也可利用博達(dá)路由器建立各種靈活豐富策略，來(lái)控制各子網(wǎng)間的訪問(wèn)。針對(duì)市商行有生產(chǎn)網(wǎng)和OA辦公網(wǎng)的實(shí)際情況，在市局綜合大樓核心交換機(jī)上創(chuàng)立vlan，將生產(chǎn)網(wǎng)和OA辦公網(wǎng)劃分成不同vlan，在接入交換機(jī)上將連接的主機(jī)端口劃分到對(duì)應(yīng)的vlan中。如：一樓辦公大廳的營(yíng)業(yè)部的所有主機(jī)和各樓層的生產(chǎn)網(wǎng)主機(jī)劃入到生產(chǎn)vlan中，通過(guò)vlan的播送隔離功能，在邏輯上增加生產(chǎn)網(wǎng)的平安。然而通過(guò)vlan來(lái)進(jìn)行不同業(yè)務(wù)之間的隔離不算平安，VLAN間互訪控制也不夠靈活。不管在市局中心還是在各營(yíng)業(yè)網(wǎng)點(diǎn)，都要求OA網(wǎng)與生產(chǎn)網(wǎng)間相互隔離，同時(shí)又要求局部OA網(wǎng)業(yè)務(wù)和局部生產(chǎn)網(wǎng)業(yè)務(wù)間互訪，此時(shí)，通過(guò)路由器或三層交換的各種豐富的策略來(lái)進(jìn)行控制，如通過(guò)基于源地址和目的地址的擴(kuò)展ACL來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)平安大體上分為兩個(gè)層次：網(wǎng)絡(luò)自身平安和網(wǎng)絡(luò)業(yè)務(wù)平安，這兩個(gè)層次的在整個(gè)網(wǎng)絡(luò)平安體系中是相輔相成的，前者主要是指網(wǎng)絡(luò)數(shù)據(jù)的平安傳送、網(wǎng)絡(luò)資源的合法使用；后者主要是指網(wǎng)絡(luò)業(yè)務(wù)的合法授權(quán)、使用和監(jiān)管。針對(duì)金融的網(wǎng)絡(luò)和業(yè)務(wù)的狀況，一個(gè)完整的網(wǎng)絡(luò)平安方案應(yīng)該由網(wǎng)絡(luò)層平安策略和應(yīng)用層平安策略來(lái)構(gòu)成，網(wǎng)絡(luò)層平安策略主要完成對(duì)非法使用網(wǎng)絡(luò)資源的控制，而應(yīng)用層平安策略主要是針對(duì)通過(guò)合法的渠道來(lái)非法使用業(yè)務(wù)資源的控制，只有兩者的完美結(jié)合，才能構(gòu)成一個(gè)平安的系統(tǒng)。在網(wǎng)絡(luò)的構(gòu)建中，可以從網(wǎng)絡(luò)協(xié)議及組網(wǎng)層次進(jìn)行平安設(shè)計(jì)。博達(dá)路由器提供全面的網(wǎng)絡(luò)級(jí)平安特性，包括線路平安、用戶(hù)驗(yàn)證、授權(quán)、信息隱藏、數(shù)據(jù)加密、數(shù)據(jù)壓縮、智能訪問(wèn)控制、攻擊探測(cè)和防范、平安策略中心等平安機(jī)制，從物理層、鏈路層、網(wǎng)絡(luò)層、應(yīng)用層等幾個(gè)方面，為內(nèi)部網(wǎng)絡(luò)及外部數(shù)據(jù)提供了有力的平安保護(hù)?？傊?，信息系統(tǒng)的平安是一項(xiàng)系統(tǒng)工程，集技術(shù)與管理于一體，二者缺一不可。根據(jù)計(jì)算機(jī)信息系統(tǒng)平安專(zhuān)家的觀點(diǎn)，技術(shù)和管理的比例為30：70，因此說(shuō)，平安技術(shù)重要，但系統(tǒng)管理更加重要，網(wǎng)絡(luò)中任何一方出現(xiàn)平安漏洞，整個(gè)系統(tǒng)就無(wú)平安可言了HYPERLINK高可管理性博達(dá)支持多種設(shè)備管理方式，可以通過(guò)console口進(jìn)行本地配置?？梢酝ㄟ^(guò)telnet、rlogin、PAD等帶內(nèi)方式進(jìn)行遠(yuǎn)程配置管理，也可以通過(guò)通過(guò)撥號(hào)接入帶外遠(yuǎn)程配置管理。除了支持本地TFTP方式升級(jí)軟件及配置文件，博達(dá)路由器還支持遠(yuǎn)程TFTP方式升級(jí)軟件及配置文件，大大方便用戶(hù)進(jìn)行遠(yuǎn)程維護(hù)和管理。除此之外，博達(dá)還支持以下管理方式：基于web的配置方式支持syslog日志管理支持SNMPV1/2協(xié)議、MIB2支持PDP〔兼容Cisco的CDP〕博達(dá)也可以支持各種通用的網(wǎng)管軟件〔如OPENVIEW、CiscoWorks〕等?？梢酝ㄟ^(guò)這類(lèi)軟件對(duì)博達(dá)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控和管理?；趯?duì)大型網(wǎng)絡(luò)管理的需要，博達(dá)提供一套網(wǎng)管軟件－BroadDirector。BroadDirector是由博達(dá)公司研發(fā)的一套基于多平臺(tái)的，支持SNMP、HTTP、CLI等多協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)。它包括有豐富的監(jiān)視網(wǎng)絡(luò)性能的工具，友好的客戶(hù)化界面顯示，簡(jiǎn)單而全面的網(wǎng)絡(luò)配置功能等。使用BroadDirector可以極大地提高網(wǎng)絡(luò)運(yùn)營(yíng)的效率。BroadDirector不僅可以針對(duì)博達(dá)公司的網(wǎng)絡(luò)設(shè)備實(shí)行管理，還可以實(shí)現(xiàn)對(duì)CISCO等公司的網(wǎng)絡(luò)設(shè)備以及其他各種類(lèi)型的網(wǎng)絡(luò)主機(jī)實(shí)現(xiàn)統(tǒng)一的管理。更重要的是，它能夠?qū)崿F(xiàn)全網(wǎng)狀態(tài)的實(shí)時(shí)監(jiān)控，使管理員真正地實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的集中化管理。下面列出了BroadDirector的管理目標(biāo)：管理包括博達(dá)、CISCO、華為在內(nèi)的各種網(wǎng)絡(luò)設(shè)備，在配置時(shí)可以與各種軟件兼容，可以適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境。提供全方位的技術(shù)支持，并提供版本的升級(jí)。采用java相關(guān)的技術(shù)，適應(yīng)網(wǎng)管領(lǐng)域的最新開(kāi)展，應(yīng)用新的成熟的工業(yè)標(biāo)準(zhǔn)。具有友好的用戶(hù)界面，圖形功能豐富，菜單功能強(qiáng)大，簡(jiǎn)單易用，無(wú)需長(zhǎng)時(shí)間培訓(xùn)網(wǎng)管人員。可以為用戶(hù)節(jié)省大量的培訓(xùn)費(fèi)用支持各種網(wǎng)絡(luò)協(xié)議，包括各版本的SNMP協(xié)議，F(xiàn)TP協(xié)議，HTTP協(xié)議等標(biāo)準(zhǔn)。按照用戶(hù)的要求直觀地顯示整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，顯示網(wǎng)絡(luò)的層次關(guān)系，顯示網(wǎng)絡(luò)設(shè)備的鏈路狀態(tài)及其相關(guān)信息。實(shí)現(xiàn)了全面而豐富的網(wǎng)管功能，完全滿(mǎn)足日常的網(wǎng)絡(luò)監(jiān)控需求。能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)故障，并以一定的方式實(shí)時(shí)通知網(wǎng)管人員。實(shí)時(shí)采集網(wǎng)絡(luò)上的一些數(shù)據(jù)，對(duì)網(wǎng)絡(luò)的運(yùn)行狀況，運(yùn)行性能，可用性等狀態(tài)信息進(jìn)行監(jiān)控，對(duì)于問(wèn)題及時(shí)以各種方式迅速通知網(wǎng)管人員。對(duì)于網(wǎng)絡(luò)的運(yùn)行狀況和歷史數(shù)據(jù)，以友好的方式提供應(yīng)用戶(hù)，并提供詳細(xì)報(bào)告，使客戶(hù)可以在了解一段時(shí)間內(nèi)的網(wǎng)絡(luò)的情況。并可以在安裝了客戶(hù)端的任何地方進(jìn)行查看，報(bào)告可以根據(jù)客戶(hù)的需要進(jìn)行定制，以報(bào)表的形式打印。網(wǎng)絡(luò)歷史數(shù)據(jù)應(yīng)保存在數(shù)據(jù)庫(kù)中，可以供用戶(hù)隨時(shí)查詢(xún)。支持多種數(shù)據(jù)庫(kù)，并且數(shù)據(jù)庫(kù)的更換非常簡(jiǎn)單，不喪失數(shù)據(jù)。適應(yīng)寬帶網(wǎng)絡(luò)客戶(hù)的需要，不在客戶(hù)的計(jì)算機(jī)上安裝任何代理。根據(jù)用戶(hù)設(shè)定管理范圍，客戶(hù)只能看到自己被分配相應(yīng)權(quán)限的功能，可以確保客戶(hù)網(wǎng)絡(luò)的平安。BroadDirector提供了業(yè)界流行的基于C/S的體系結(jié)構(gòu)，并支持多個(gè)客戶(hù)端的體系構(gòu)架。具有部署靈活，伸縮性好，可擴(kuò)展性好的特點(diǎn)。其總體架