1.1 现行网络结构及应用

　　从分行中心或支行中心到网点的接入网络各地区发展不平衡。按照网络类型来划分，主要有两类：IP网点和非IP网点，有的分行已经实现全部IP到网点，有的分行还存在以模拟专线通过多路复用MODEM为主的终端连接方式。按照网点直连模式来划分，主要有两类：直连分行中心和直连支行中心，有的分行已经实现全部网点直连分行中心，有的分行网点目前全部连接在支行中心。按照线路类型来划分，有模拟专线、DDN、FR等线路类型，有的分行甚至已经实现网点光纤入户。

　　1.1.1 现行网络模式图

　　

　　1.1.2 现行网络描述

　　分行中心的路由器为单层结构(小部分分行中心为双层结构)，上连、下连为一套热备份72或36系列路由器。下行连接网点仅一条通信主线路，为解决线路备份问题，在分行中心放置拨号备份路由器，利用PSTN/ISDN实现拨号备份，拨号备份路由器一般为25或26系列路由器。同时在分行中心放置终端服务器，连接多路复用器，向下连接非IP网点的终端和ATM机。

　　在支行中心一般为低档的25系列路由器，配置单以太口，双高速串口，一个异步拨号备份口，部分低速串口。支行路由器通过高速串口上连，通过低速异步端口连接IP网点。在支行中心放置终端服务器连接多路复用器，向下连接非IP网点的终端。

　　IP网点一般为低档的26或25系列路由器组网，同时实现IP通信和哑终端应用。

　　非IP网点一般用多路复用器，通过模拟专线上连到分行中心和支行中心的终端服务器，实现哑终端和ATM设备的数据通信。

　　主通信线路主要采用模拟专线、DDN、FR为主流，拨号备份主要采用PSTN或ISDN备份。

　　路由协议主要采用静态路由协议。

　　1.2 现行网络结构分析

　　1.2.1 分行中心

　　分行中心主通信线路路由器基本满足下行连接要求，但分行中心拨号备份路由器一般为25或26系列路由器，拨号备份端口数量受限制，不能很好的满足规模较大分行对拨号备份端口数量的要求。

　　1.2.2 支行中心

　　支行中心的路由器多采用档次较低的25系列路由器，其性能较低，不能满足未来业务对支行路由器高性能的要求。

　　1.2.3 网点

　　网点的网络模式目前有两种，即IP网点和非IP网点，IP网点通过网点路由器上连，实现终端应用和IP通信合二为一。非IP网点通过多路复用器实现终端应用，不支持IP通信。

　　1.2.4 通信线路

　　网点网络主通信线路各地发展不均衡，线路类型有模拟专线和数字专线，有的地区还实现了光纤入户。模拟专线主要是银行电子化刚起步时期建设或租用，主要优点是线路费用低，但存在故障率高、带宽扩展性差、线路易老化等缺点。

　　拨号备份线路采用ISDN或PSTN。采用PSTN时，因模拟拨号线路带宽有限，为了充分保障业务应用，拨号线路仅提供业务数据通信，拒绝OA等数据通信。

　　1.3 应用需求分析

　　随着市场经济的发展，各银行为了提升竞争力，纷纷改变了过去帐务处理运营模式，推出了以客户为中心的新业务系统。

　　2001年以来，各专业银行先后着手进行数据大集中的网络改造，新业务系统一、二级骨干网已基本完成，主要由具有强大功能和很高通用性的IP协议支撑。三级网改的目标是延伸IP，即要求IP到网点，把非IP网点逐渐改造成IP网点，对未来综合业务的推行打好基础。

　　同时为了使整个金融网络的网络结构扁平化，可考虑减去支行中心的汇聚功能，提高网络处理效率。适当应用QoS技术，保障重要业务优先应用，保障网络安全稳定运行。

　　对末端网点的改造，必须根据各个银行的具体情况，综合考虑规模、资金、新系统特点等因素，改造必须逐步进行。

　　1.3.1 网络设备配置需求

　　分行中心现有主线路路由器基本满足下行连接要求，可根据下行连接线路类型配置路由器板卡和接口类型。分行中心现有拨号备份路由器的拨号备份端口数量不能满足未来网络模式的需求，可升级到拨号备份端口密度更大的36系列路由器。

　　支行中心应用数据流量大，网络应用多，网络压力大，设备档次和线路带宽要求较网点要求要高，可把现有的低档次25系列路由器升级改造成36系列或高档次的26系列路由器。改造后的支行路由器应能满足汇聚网点对路由器高性能的要求。

　　随着中间业务等新型业务的开发，新型业务以IP通信模式越来越多，由于非IP网点不支持IP通信，基于IP通信的应用在非IP网点不能应用推广，网点应逐步向IP到网点的方向发展，建议在网点使用高性能的路由器取代现有的多路复用器。

　　随着OA网络的建成和应用，OA数据和业务数据的隔离成为了一个不可忽视的安全隐患点，建议在支行中心和网点使用自带两高速以太口的路由器进行物理隔离。

　　1.3.2 线路改造需求

　　模拟专线主要优点是线路费用低，但存在故障率高、带宽扩展性差、线路易老化等缺点，存在着网络不能安全稳定运行的隐患，不能给客户提供优质的服务。建议把线路升级到64K或以上的线路带宽，线路升级模式可采用FR或信道化E1，以减少分行中心接口数量。

　　1.3.3 网络设备管理需求

　　在分行中心辖内的网络设备众多，全部网络设备都由分行中心科技人员进行统一配置管理，分行中心管理人员的日常设备管理工作烦杂，需要在分行中心安装网络管理软件，对全辖的设备进行科学、动态的管理，确保网络安全稳定运行。

　　1.3.4 确保关键业务的需求

　　IP到网点后，在网点路由器上的业务应用的数据流越来越多，如关键业务、中间业务、OA业务等数据流，以后可能还会增加的VoIP业务、视频业务数据流等。如何确保多业务合一的网点在有限的带宽上优先确保处理关键业务，提高服务质量是各家银行不可忽视的重要问题。在有限带宽下，建议应用QoS技术可以在出现数据通信拥塞时，保障关键业务应用优先。

　　综上所述，现有接入网的改造已是势在必行，只有对接入网进行顺应潮流的改造，才能充分发挥我行综合网络平台的优势，为我行各种业务的开展提供一个良好的环境，形成一个功能完善、安全高效的金融业务电子交易平台。

　　二、 应用方案设计分析

　　2.1 方案设计原则

　　结合第一部分的分析，针对现有网络存在的问题和需求，在银行综合网络接入建设中应遵循以下设计原则：

　　2.1.1 先进性和实用性原则

　　网络设计应本着实用与先进的原则。一方面能满足应用系统的数据传输要求，为各信息点提供网络传输服务，另一方面，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术结合起来，充分考虑到银行网络应用的现状和未来发展趋势。

　　2.1.2 高性能原则

　　接入网的性能直接影响到整个银行应用系统的性能。目前，省行网上的业务应用越来越复杂，网上的设备也越来越多，网络的性能若不足就会成为应用系统的性能瓶颈，特别是业务整合与数据全集中，对网络性能要求很高，因此，网络设计和设备应提供较高的性能。

　　2.1.3 可靠性原则

　　网络系统的稳定可靠是应用系统正常运行的保证，应采用高可靠性的网络产品和完备的网络备份策略，对于不同层次的设备和线路进行不同级别的可靠性设计，使网络具有故障自愈的能力。

　　2.1.4 安全性原则

　　按照总行对网络安全建设的要求制订统一的安全策略，整体考虑网络平台的安全性，充分考虑银行内部网和企业网之间的安全控制。

　　2.1.5 可扩展性原则

　　网络设计应支持新业务的扩展，适应未来业务的发展和变化，适应网络结构的变化，具有灵活的伸缩能力。

　　2.1.6 标准化原则

　　网络设计中所用的各种管理信令、接口规程、协议须符合国际标准。

　　2.1.7 可管理性原则

　　整个网络应当具有可管理性，应采用统一的网络管理平台，实现对设备和网络各层应用的管理。

　　2.2 设计目标

　　2.2.1 网络资源共享

　　对接入网部分的网络设备和通讯线路进行整合，建立统一的网络平台。

　　2.2.2 提高网络处理能力

　　选用高性能、高质量的线路，提高通信线路承载能力，满足飞速增长的各种应用系统的需要。

　　2.2.3 提高可靠性

　　增加备份线路，使接入网具有故障自愈能力，提高网络的可靠性。

　　2.2.4 增强安全性和可管理性

　　使用统一的路由策略、QOS机制和安全策略，使接入网与一、二级骨干网融为一体，实现整个网络的互通与控制。

　　2.3 关键点分析

　　2.3.1 各级网络设备

　　分行中心拨号备份路由器一般为25或26系列路由器，其拨号备份端口数量受限制，不能很好的满足规模较大分行对拨号备份端口数量的要求。

　　支行中心一般为低档的25系列路由器，配置单以太口，双高速串口，一个异步拨号备份口，部分低速串口，不能满足双以太口的需求和未来业务对支行路由器高性能的要求。

　　IP网点一般为低档的26或25系列路由器组网，同时实现IP通信和哑终端应用，不能满足双以太口的需求和未来业务对支行路由器高性能的要求。

　　非IP网点一般用多路复用器，通过模拟专线上连到分行中心和支行中心的终端服务器，实现哑终端和ATM设备的数据通信，不能实现IP业务应用通信。

　　2.3.2 业务分类及特点

　　目前我行接入网的业务主要有营业类业务和管理类业务(即以前企业网业务)。营业类业务指与柜面业务密切相关的业务，如储蓄业务、对公业务、跨行清算、台帐报表、外接在线业务等。管理类业务指与银行管理有关的业务，如行内的OA、Internet信息服务、外部管理信息交换等。各类应用对网络的需求体现在实时性、带宽需求、多种接入方式、安全性、数据分布特征转化等方面。

　　营业类业务的特点是交易包长度固定，交易时限要求实时，上下行数据流量基本对等。其中柜面业务数据分布在总行、一级分行，是逐级上传，总行是交换中心，属于在线业务。外接在线业务在进入我行内部网后与传统的柜面业务的特点一致。

　　管理类业务的特点是数据包不定长，突发性强，数据流量大，一部分业务为批量上传，上传数据量较大，下传数据量较少。但对实时性要求不高。其中行内管理信息业务在管理上为逐级管理，数据分布在总行、一级分行和二级分行。内部WEB浏览的时效性要求较高，上传数据量小，下传数据量大。外部管理信息交换以文件传输为主，对实时性要求不高。

　　2.3.3 通信线路

　　目前我行接入网使用的速率为64K的FR/DDN线路和9600模拟专线，低速率的9600模拟线路是此次接入网改造的重点。

　　在网点的接入层应具有两条链路，主链路和备份链路。以保证前台业务进行不中断的传输。

　　主链路做为平时数据传输的主链路，当主线路失败时，数据自动切换到备用链路。在主链路上进行所有数据的传输，主链路一旦失败，备用链路上只传输营业类业务数据。

　　2.3.4 系统可靠性

　　越来越多的业务投入生产，系统的开销越来越大，如何保障系统的可靠性是系统安全的运行的一大关键问题。

　　2.3.5 系统安全性

　　安全是银行网络建设中要考虑的一个关键因素，如何建立完善的安全体系也是我们不得不面对的一个复杂问题。

　　三、 解决方案介绍

　　3.1 整体解决方案

　　3.1.1 解决方案网络拓扑

　　3.1.1.1 解决方案网络拓扑1 (MP2690系列和MP1760系列路由器混合使用模式)

　　

　　图3-1：MP2690系列和MP1760系列路由器混合使用模式

3.1.1.2 解决方案网络拓扑2(全MP2690系列使用模式)

　　

　　图3-2：全MP2690系列使用模式

　　3.1.1.3 解决方案网络拓扑3(全MP1760系列使用模式)

　　

　　图3-3：全图3-3 MP1760系列使用模式

　　3.1.2 方案分析

　　1、新开网点无须使用MP8100，可直接通过MP2690或MP1760路由器接网点终端和ATM、OA以太网，通过DDN/FR等线路连接到市分行路由器。通过PSTN或ISDN线路备份上连到分行中心的拨号路由器，实现通信线路备份。该方式是以后银行连网发展趋势，可以扩展IP电话、安全等多种增值业务。

　　2、根据支行或营业部营业终端数目，确定在支行或营业部采用1或多台32异步口MP2690系列或MP1760系列路由器，或MP2690和MP1760配置8、16、32异步口，每个异步口对应1台终端。通过PSTN或ISDN线路备份上连到分行中心的拨号路由器，实现通信线路备份。

　　3、在前置机加载迈普专有终端服务程序，通过IP方式与县区支行、营业部网点和一般网点的MP2690或MP1760路由器对应，实现终端对前置机的访问。

　　4、在分行中心放置MasterPlan网管服务器，作为辖内网络设备的统一网管平台，同时在下属各三级网络节点的迈普路由器上配置网管代理，能实现对县区支行、营业部网点和一般网点的MP2690或MP1760路由器进行统一管理。

　　5、在分行中心放置高性能的MP3600路由器作为拨号接入服务器，能对三级节点实现通信线路的备份，满足前置机上收到分行中心后对拨号备份接入端口的大量需求。

　　6、MP2690系列路由器的网络处理能力、整机性能和端口密度都要高于MP1760系列路由器，但一般网点的数据通信量要小于县区支行和营业部，前者对网络设备的要求没有后者的高，综合建议采用模式1方式进行综合网络的接入，即在县区支行和营业部节点采用性能高、端口密度大的MP2690系列路由器，在一般网点采用性价比高的MP1760系列路由器。

　　7、可扩展的通信线路安全加密功能。建议的网络模式中，可按需扩展安全加密功能，在分行中心的Cisco75/72路由器后端放置安全加密机MPSec 3020，在网点路由器上安装硬件加密模块或升级成有VPN加密功能的IOS，就可轻松实现网点终端到分行前置机之间的安全加密通信，防止银行绝密的金融信息在传输中被窃取、篡改或重放，保证了数据的安全传输，实现宽带安全到网点的先进组网模式。

　　8、可扩展的IP语音功能。建议的网络模式中，可根据业务需要和线路情况按需扩展IP语音功能，在分行中心放置IP语音的关守设备，在县区支行、营业部网点和一般网点根据规模和需求合理部署小型网关、数字电话机和路由器VoIP模块，即可轻松实现分行辖内IP电话的互连互通，既可实现内部免费办公电话拨打，也可实现内、外部电话的互通，大幅降低用于生产的电话费用开支，还可平滑地与现有的客户服务呼叫中心系统相对接，全面节省从县区到地市农用电话费用的生产投入。

　　3.2 关键点解决方案

　　3.2.1 使用性价比高的网络设备

　　在分行辖内各级节点按规模和数据流量合理采用性价比高的迈普系列路由器。

　　处理能力高、端口密度大的高性能MP3600放于分行中心作为拨号接入路由器，解决需要大量拨号备份端口的需求。

　　处理能力高、模块丰富的MP2690系列路由器放于有大量数据流量的县区支行或营业部网点，满足该节点对设备的高性能和双以太口的需求。

　　处理能力足够、模块丰富的MP1760系列高性价比路由器放于数据流量不大的一般网点，满足一般网点的哑终端通过IP方式接入和双以太口的需求。

　　3.2.2 QoS技术应用

　　QoS技术是在有限的广域网络带宽下，当出现数据通信拥塞时，保障重要应用优先的一项技术。由于网点目前以终端交易为主，当网点其他IP通信量较大时，由于网点三级网络只有一条主干通信线路，各种业务数据混合在一条线路上运行，一旦出现通信拥塞，很可能造成前台终端交易不能正常办理，此时应配置QoS应用。

　　我们可把网点的业务应用按应用类别分为关键业务应用、一般业务应用、OA应用、VoIP应用和其他应用，给这五种应用分配合理的带宽和优先级别，同时给他们赋予传输的优先级别。一旦通信网络出现拥塞，将根据事前配置的QoS策略对数据根据带宽和优先级别有选择性的传输，保障关键业务的安全、及时、准确的传输。

　　3.2.3 通信线路的选择

　　经过比较各二级行所在地的数据服务提供商所能提供的各种数据线路，根据各地市不同的情况，我行接入网改造拟选用帧中继线路为主，宽带IP和裸光纤、电话拨号等线路为辅的方式。

　　3.2.3.1 帧中继线路

　　帧中继线路属于窄带接入，数据服务商提供的可使用带宽为16K--2M，主要由中国电信提供，但是资费偏高。

　　根据营业网点的业务量分析，在只有基本银行业务的营业网点，使用64K接入/32K PVC的帧中继线路就可以满足近几年内业务发展的需要；

　　对于有企业网应用需求的城区内支行和一部分县支行，建议直接采用光纤接入方式，在这条线路上开两条PVC：一条32K PVC的电路用做营业类数据传输;一条为64K PVC的电路用做企业网数据传输。

　　这样的电路既可以保证营业类和管理类数据都有足够的带宽，又不会因为管理类的突发大数据量影响营业类数据的通信。根据以后我行网络应用的发展，又可以随时提高线路带宽，保护现有的投资。

　　而且光纤线路传输质量远高于铜线，可以保证线路的稳定性和传输数据的可靠性。

　　二级行中心根据各地情况的不同，不使用原有一级骨干网线路，重新申请多条2M 的线路，分别接入到两台骨干网路由器上。

　　3.2.3.2 宽带IP线路

　　宽带IP是近期网络发展的热点，它具有带宽高、接入灵活、和价格相对低廉等特点，在不需要更换任何设备的情况下，就可以轻易将带宽从1M 提高到10M 甚至100M(视接入端口速率而定)。

　　在网点使用一条1M 带宽的线路，不但可以满足目前营业类和管理类业务的需要，而且可以满足将来新业务发展的需要。

　　但由于宽带IP线路在实现上有多种方式，所以在安全性方面需要多慎重考虑，在使用上比较复杂，目前只有少数金融部门将它做为业务专网来使用。

　　二级行中心只需使用一条足够带宽的宽带IP线路就可以与所有也使用宽带IP线路的网点相连。

　　3.2.3.3 裸光纤

　　对于一些数据服务商发展比较快的地市，如果性价比合适，可以采用裸光纤做为接入方式。

　　不管采用哪种接入方式，网点原来的线路可做为备份线路，保证接入网平台的可靠性，但由于原有线路速率的限制，而管理类业务的实时性要求又不高，所以一旦主线路出现故障，备份线路只保证营业类业务的可靠性，不进行管理类业务的传输。

　　3.2.3.4 电话备份

　　在网点还可以使用电话拨号线做为营业类网段的备份线路，同样在主线路中断后，只保证营业类数据的传输。

　　3.2.4系统可靠性解决

　　网络可靠性包括网络设备的备份和线路备份。

　　3.2.4.1 设备备份

　　设备备份采用冷备份方式，网点网络设备出现故障后由二级行科技部门用备用机到现场替换故障设备。

　　3.2.4.2 线路备份

　　接入网主线路采用帧中继或DDN等线路，备份线路采用PSTN或ISDN拨号线。

　　3.2.4.3 路由设计

　　在接入网平台改造后，增加了备用线路，为了实现主线路和备份线路之间的自动切换，采用了浮动静态路由技术，即在主线路上使用动态路由协议，在备份线路上使用静态路由协议，一旦主线路出现故障，通过路由的自动切换来实现线路自动备份。

　　目前常用的动态路由协议有：RIP2、OSPF、EIGRP、BGP等，根据我行内部IP地址分配方式，骨干网路由设计要求，各二级行接入网的规模和路由器的支持情况，建议在三级网络中选择开放型动态路由协议OSPF。

　　在三级网络节点主线路上使用OSPF路由协议，在备份线路上使用静态路由协议，并且将静态路由协议的优先级设置的低于OSPF协议。这样，在主、备线路均正常的情况下，数据传输将优先选择OSPF协议，见下图：

　　

　　主线路路由走向图

　　当主线路出现故障时，OSPF协议将失效，静态路由自动起作用。由于备份线路速率较低，只能满足营业类数据的通信需要，所以此时在路由器内只会有到营业网段的路由，没有到管理网段的路由。这样就是现了营业类网段的自动备份，管理类网段不做备份。见下图：

　　

　　备份线路路由走向图

　　3.2.5系统安全性解决

　　3.2.5.1 对网络设备和服务的保护

　　包括：

　　在所有路由器上设置控制台口令

　　在所有路由器上设置特权用户口令

　　在所有路由器上设置远程登录口令

　　在所有路由器上设置分级用户名和口令

　　在拨号接入路由器上为远程拨号访问设置不同的用户和口令，而且要求CHAP验证

　　所有口令加密

　　在所有路由器上只允许从网管远程登录到网络设备，而且各分行不能越级登录

　　对所有的路由信息进行过滤，保证路由器上只出现与应用系统要求相关的路由

　　3.2.5.2 对应用系统的保护

　　包括：

　　营业类网段不允许其他网段访问

　　营业类网段中不允许FTP、Telnet、Rlogin等向上访问，只允许中心下访问

　　对其他网段的保护根据具体情况所需设置

       作者： 迈普通信技术有限公司