前 言

    IP協議是網絡發展的一個重要推動力，它已經有很長的歷史，是與Internet同步成長起來的網絡協議。在過去，IP協議并非主導的網絡協議。但是進入八十年代末和九十年代，特別是進入九十年代，隨著Internet的爆炸性增長，IP協議得到了廣泛的應用。越來越多的應用程序，例如萬維網技術，電子郵件，文件傳輸，等等。所以，IP協議成為主導協議已經不可能逆轉，這是市場的選擇，也是用戶的選擇。以IP技術為核心的金融網絡，將為基于數據、語音、視頻業務的廣泛應用提供堅實的基礎。

    同時隨著IP網絡發展越來越龐大、IP應用越來越多樣化，在銀行交換機也由以前的單純的局域網應用逐漸向城域及廣域發展，導致其應用也越來越復雜化。目前，單靠產品已經不能很好的滿足銀行的實際需求，更重要的是提出完善的解決方案。邁普公司具有多年來從事數據通信和網絡技術的開發和服務經驗，基于銀行的實際應用環境，開發了一系列貼近于用戶的產品，同樣，我們的宗旨是貼近客戶、貼近應用。

    本方案書從技術層面就如何為金融企業構建一個千兆到樓層、百兆到桌面、便于管理的、可控的、高性能的智能網絡做一闡述。本方案內容組織如下：

    第一部分 銀行網絡發展趨勢及需求分析，對銀行發展趨勢及網絡需求進行分析;

    第二部分 提出金融行業以太網建設總體方案設計，介紹各個技術層面的設計原則;

    第三部分 金融行業以太網建設的詳細設計，針對銀行的特點和實際情況對詳細解決方案進行剖析。

    1. 銀行網絡發展趨勢及需求分析

    在這里，我們根據邁普公司多年來的經驗，對銀行網絡的發展趨勢進行分析。

    1.1. 銀行網絡發展中設備以及通信帶寬的發展

    追溯根源，銀行從最初的電子化到現在，都是由業務拉動網絡的發展，隨著網絡的發展，網絡對帶寬、設備的要求越來越高，可以從以下發展圖示中看到銀行網絡發展的軌道：

    銀行互聯網絡的發展大致經過了三個階段，目前正處在由串行通信互聯到IP網絡化階段過渡的時期，目前大多的廣域網通信帶寬在64K到2M之間，網絡的互聯以傳統路由器和低性能交換機、HUB為主。

    可以看到，下一代網絡將向交換機發展，目前在東南沿海等經濟相對發達、應用相對多樣的地區已經有少數銀行開始采用基于寬帶的廣域網互聯，從儲蓄所到中心全部采用光纖接入。在該網絡上可以方便的實現寬帶的視頻應用，但這種方案的推廣需要完善解決交換機的安全以及QoS策略。

    1.2. 目前銀行網絡發展趨勢縱向劃分

    前面已經提到，銀行網絡是由業務的發展來帶動的。目前的網絡早已不僅僅為傳統的儲蓄和對公業務提供支撐，網上銀行、電話銀行、中間業務等等不同業務共用一個企業網絡。細化起來，可以將銀行目前的發展方向細化為幾個方面，如下圖：

    可以看到，主要有5個方面的發展：

    管理集中

    管理集中是網絡規模擴大的必要管理手段，先進的網絡管理平臺、設備的集中管理、集群管理成為網絡設備的重要功能指標。

    多業務集成

    多種不同的業務共用同一個物理的網絡平臺，對網絡設備的服務質量、安全控制提出的更高的要求。

    寬帶化

    銀行業務的特殊性導致寬帶化的進程受安全性要求的限制，但寬帶化仍然是必然的趨勢。

    數據和應用集中

    這與管理集中是相輔相成的，是企業網絡向系統性整體性發展的體現。

    網絡化

    這里所說的網絡化，指的是網絡逐漸向邊緣延伸，同時與外部網絡的聯系越來越緊密。

    在這五個方面發展的同時，網絡的安全性、可靠性等性能指標也成為網絡的重要一環。

    1.3. 需求分析

    金融網絡最原始的需求來自于業務的開展和資源共享的需要，隨著金融企業業務范圍的擴大和業務產品的增多，更高速、更可靠、更安全以及更方便的網絡和業務管理已經成為新時期金融企業網絡的關注重點。

    銀行聯網應用分為：業務應用和辦公應用。業務應用包括零售、會計、信用卡、國際結算、電子聯行、收付清算等對銀行至關重要的核心應用系統;辦公應用主要是基于郵件系統、辦公自動化系統、依賴此種機制的各種報表系統和管理系統，以及未來可能發展的數字電話、視頻網絡、以及其它新型的滿足辦公管理需求的聯網應用。

    局域網絡的建設主要涉及到不同業務之間的VLAN劃分、VLAN之間的互通需求，以及與廣域網絡的無縫連接。

    本方案考慮了以上的網絡情況，并采用了邁普以太網交換機，實現千兆到樓層、百兆到桌面的全網解決方案。并增加了如MAC地址綁定、端口鏡像、包過濾等內網安全技術，支持802.1x內部網絡管理認證、用戶分級管理的管理功能。

    2. 總體方案設計

    2.1. 總體設計原則

    省級分行數據中心局域網，一方面作為整個銀行網絡系統一級網上的一個節點，另一方面又是省內網絡系統的中心匯聚點，從全國銀行網絡系統的角度來看起到承上啟下的作用。針對金融企業業務數據通信量和辦公數據通信量大的情況，采用適當的經濟型的邁普網絡通信產品實現完善的網絡接入解決方案，在網絡設計構建中，應始終堅持以下建網原則：

    高可靠性

    網絡系統的穩定可靠是應用系統正常運行的關鍵保證，在網絡設計中選用高可靠性網絡產品，設備充分考慮冗余、容錯能力和備份，同時合理設計網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持系統的正常運行。主干網絡設備的主要部件必須支持帶電熱插拔，在萬一出現局部故障時應不影響網絡其它部分的運行，并且故障便于診斷和排除。充分體現計算機網絡的高可靠性。

    技術先進性和實用性

    保證滿足金融核心業務應用系統業務的同時，又要體現出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮網絡應用的現狀和未來發展趨勢。

    高性能

    骨干網絡性能是整個網絡良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息(數據、語音、圖象)的高質量傳輸，才能使網絡不成為業務開展的瓶頸。

    標準開放性

    支持國際上通用標準的網絡協議、國際標準的大型的動態路由協議等開放協議，有利于以保證與其它網絡(如Internet、友商企業等其它網絡)之間的平滑連接互通，以及將來網絡的擴展。

    靈活性及可擴展性

    根據未來業務的增長和變化，網絡可以平滑地擴充和升級，減少最大程度的減少對網絡架構和現有設備的調整。

    可管理性

    對網絡實行集中監測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析，及可提供故障自動報警。

    安全性

    制訂統一的網絡安全策略，整體考慮網絡平臺的安全性。

    兼容性和經濟性

    兼容性，能夠最大限度地保證金融企業現有各種計算機軟、硬件資源的可用性和連續性，為不同的現存網絡提供互聯和升級的手段，保證各種在用計算機系統，包括工作站、服務器和微機等設備的互連入網，充分利用現有計算機資源，發揮主干網的優勢。經濟性，就是在充分利用現有資源的情況下，最大限度地降低網絡系統的總體投資。有計劃、有步驟地實施，在保證網絡整體性能的前提下，充分利用現有的網絡設備或做必要的升級。

    2.2. 技術策略及原則

    為切實達到以上的網絡設計原則，使金融網絡系統具有良好的擴展性和靈活的接入能力，并易于管理，易于維護，在網絡設計及構建中始終應遵循如下方面技術策略及原則：

    統一標準

    網絡的互聯及互通關鍵是對相同標準的遵循，要實現網絡業務能融合到一起，實現數據、語音、視頻業務的融合，就必須統一標準。

    統一平臺

    從開放性、發展性、成熟性等方面來看，只有IP技術才能成為統一平臺網絡構建的標準。而在具體實施中，必須統一規劃IP地址及各種應用，采用開放的技術及國際標準，如路由協議、安全標準、接入標準和網絡管理平臺等，才能保證實現網絡的統一，并確保網絡的可擴展性。

    2.3. 網絡分層的原則

    為減少網絡中各部分的相關性，便于網絡的實施及管理，在網絡的構建中，從整體上可以將網絡劃分為核心層、匯聚層、接入層等三個層次。

    1、核心層

    負責完成網絡各匯聚節點之間的互聯及完成高效的數據傳輸、交換、轉發及路由分發。

    2、匯聚層

    負責將各種接入業務集中起來，除了進行局部數據的交換、轉發以外，通過高速接口將數據輸送到核心層去，在更大的范圍內進行數據的路由以及處理。

    3、接入層

    設備提供各種標準接口將數據接入到網絡中，完成基本的業務系統之間的隔離和安全性控制、認證管理等功能。

    3. 詳細方案設計

    3.1. 大型金融機構辦公大樓局域網解決方案

    3.1.1. 網絡拓撲圖

    圖1 大型金融機構辦公大樓局域網解決方案拓撲圖

    3.1.2. 方案分析

    本解決方案把網絡分為三級網絡：核心層、匯聚層、接入層。

    對于規模大的大型金融機構辦公大樓局域網絡，需要建立一個核心的交換平臺，使用兩臺MyPower S4196B三層交換機作為網絡的中心核心層，通過千兆鏈路匯聚來自樓層的MyPower S4196B上行數據。兩臺MyPower S4196B通過多個千兆GE鏈路TRUNK互相作為冗余備份，共同作為網絡的核心交換。

    在匯聚層選擇MyPower S4196B產品進行樓層匯聚，最大可提供96個100M端口接入，作為相鄰3個樓層的樓層匯聚，使用2路千兆上行連接到核心交換的兩臺MyPower S4196B上。用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。

    在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入，實現100兆到桌面。

    邁普系列數據通信產品支持統一的網管平臺，通過邁普的DeviceMaster網管軟件(NT/2000平臺)，應用標準網管協議SNMP，可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術，只需設定一臺主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址，大大節約管理地址的分配。同時，整個方案中的各系列交換機都內置了802.1x本地認證功能，能對各信息點的接入用戶進行認證并對其流量進行限制;通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術，能為整個大樓構建一個千兆到樓層、百兆到桌面、便于管理的、可控的、高性能的智能網絡。

    3.1.3. 方案特點

    集群化管理

    可以采用邁普DeviceMaster管理軟件對MyPower S4196B、MyPower S3026G進行集群化的圖形管理，只需要設定一臺主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理;整個集群只需使用一個管理IP地址，大大節約管理地址的分配;初始化時從交換機無須做任何參數配置，整個網絡拓撲由主交換機自動發現，大大的減少了網絡維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網絡管理平臺的集成，實現管理集中。

    劃分多工作組群

    MyPower S4196B交換路由器提供VLAN與VLAN之間的數據轉發，通過它，可以將辦公大樓的接入用戶劃分為多個工作組群，組與組之間可以通過二層交換機進行連接。同時，MyPower S3026G進行對工作組群之間的交互控制。

    安全性高

    目前作為應用在局域網中的設備，MyPower S4196B支持802.1x、用戶分級管理，可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用端口號等多種方式結合對數據流進行訪問控制、MAC地址綁定，防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系，保證網絡機密性。

    性價比高

    在大樓核心采用高性價比的MyPower S4196B路由交換機，最大提供96個100M以太口，提供全線速三層交換，是組建大型金融機構辦公網絡的最佳網絡設備。

    可靠性好

    MyPower S4196B和MyPower S3026G采用雙電源冗余供電，還可根據需要進行網絡鏈路的冗余備份，保證系統的不間斷運行。

    易維護

    MyPower S4196B和MyPower S3026G提供中文和英文雙語集成的基于Web配置方式，只需要對網絡有簡單的了解就可以對它進行方便的配置，同時，它還支持shell、telnet、snmp等多種管理方式。端口支持MDI/MDI-X極性自動識別，無須技術人員考慮網線是直連網線還是交叉。