XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 1 目 錄 第一章 前言 .3 第二章 需求分析 .3 第三章 方案設(shè)計原則 .4 3.1網(wǎng)絡(luò)可靠性通過下述的設(shè)計思路來實(shí)現(xiàn) . 4 3.2先進(jìn)性可以通過下述的設(shè)計思路來實(shí)現(xiàn) . 5 3.3網(wǎng)絡(luò)安全性通過下述設(shè)計思路來實(shí)現(xiàn) . 5 3.4網(wǎng)絡(luò)可伸縮性通過下述的設(shè)計思路來實(shí)現(xiàn) . 5 3.5網(wǎng)絡(luò)集中管理通過下述設(shè)計思路來實(shí)現(xiàn) . 6 3.6網(wǎng)絡(luò)高度融合性通過下述的設(shè)計思路來實(shí)現(xiàn) . 6 第四章 網(wǎng)絡(luò)架構(gòu)設(shè)計 .6 4.1北京網(wǎng)絡(luò)中心的建設(shè) . 6 4.1.1 廣域網(wǎng)設(shè)計 .7 4.1.2 局域網(wǎng)設(shè)計 .8 4.2省級網(wǎng)絡(luò)中心的建設(shè) . 8 4.2.1 廣域網(wǎng)的設(shè)計 .8 4.2.2 局域網(wǎng)的設(shè)計 .8 4.3 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 . 9 第五章 網(wǎng)絡(luò)資源的規(guī)劃 . 10 5.1 設(shè)備的命名規(guī)則與用途 . 10 5.1.1 節(jié)點(diǎn)代碼 . 10 5.1.2 設(shè)備命名規(guī)則 . 10 5.1.3 設(shè)備用途描述 .11 5.2 VLAN編號及用途說明 . 11 5.3 IP地址規(guī)劃 . 11 5.4 QOS 實(shí)施 . 13 5.4.1 可選擇的工具 . 13 5.4.2 實(shí)現(xiàn) . 14 5.5 網(wǎng)絡(luò)安全 . 18 5.5.1 Internet 接入安全解決方案 . 18 5.5.2 LAN 安全解決方案 . 19 5.5.3 遠(yuǎn)程接入解決方案 . 19 5.5.4 終端用戶安全解決方案 . 19 5.5.5 WAN 安全解決方案 . 19 5.6 路由策略 . 19 第六章 VOIP 系統(tǒng) . 20 6.1 概述 . 20 6.2北京網(wǎng)絡(luò)中心的 VOIP建設(shè) . 21 6.3省級中心的 VOIP建設(shè) . 22 6.4 VOIP 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 . 23 第七章 視頻會議系統(tǒng) . 23 7.1 概述 . 23 7.2XX人壽公司的視頻會議系統(tǒng)架構(gòu) . 25 7.3 視頻會議網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 . 26 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 2 第八章 基于 IP 的呼叫中心 . 26 8.1 概述 . 26 8.2XX人壽公司的 IPCC架構(gòu) . 29 8.3應(yīng)用事例 . 30 8.4 IPCC 中心拓?fù)浣Y(jié)構(gòu)圖 . 31 第九章 數(shù)據(jù)存儲與災(zāi) 難備份系統(tǒng) . 31 9.1概述 . 31 9.2XX人壽的 SAN網(wǎng)絡(luò)架構(gòu) . 32 9.3XX人壽保險公司異地備份架構(gòu) . 33 9.4 數(shù)據(jù)存儲與異地備份系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖 . 34 附錄： 相關(guān)設(shè)備介紹 . 34 10.1 CISCO7200 路由器 . 34 10.2 CISCO3800 路由器 . 38 10.3 CISCO2800 路由器 . 43 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 3 第一章 前言 隨著保險業(yè)的快速發(fā)展和越來越激烈的競爭，建立一個先進(jìn)的通信平臺對所有的保險公司來說都是非常重要的。 對于當(dāng)前的中國保險企業(yè)而言， IT 已不單是一個應(yīng)用工 具而是一個戰(zhàn)略性的武器。 IT 與保險業(yè)相結(jié)合，不僅可以防范風(fēng)險、降底營運(yùn)成本，而且還會大大提高保險企業(yè)的管理決策能力，增強(qiáng)盈利能力，從而提升保險企業(yè)的核心競爭力。 保險 IT 應(yīng)用的投資重點(diǎn)正在朝著數(shù)據(jù)管理集中化、管理決策信息等方向發(fā)展。保險業(yè)信息化的需求發(fā)生了很大的變化，保險業(yè) IT 服務(wù)已從單純的設(shè)備供應(yīng)、安裝維護(hù)，轉(zhuǎn)向深層次的保險企業(yè)信息技術(shù)應(yīng)用顧問服務(wù)和業(yè)務(wù)信息化全面解決方案的支持；從代理產(chǎn)品和技術(shù)轉(zhuǎn)向自主產(chǎn)權(quán)的核心業(yè)務(wù)軟件產(chǎn)品的提供。也就是說，保險公司的信息化需求已逐漸由“ 硬 ” 向 “ 軟 ” 過渡，且軟件與服務(wù)的需求 比重在逐年遞增?，F(xiàn)階段，保險行業(yè)已建立了各類業(yè)務(wù)系統(tǒng)， 例如： 核心業(yè)務(wù)處理系統(tǒng)、會計核算和財務(wù)管理系統(tǒng)、精算系統(tǒng)、代理人管理系統(tǒng)、 CALLCENTER 系統(tǒng)、輔助銷售系統(tǒng)以及辦公自動化系統(tǒng)等 ， 部門之間、分支機(jī)構(gòu)之間 產(chǎn)生 大量業(yè)務(wù)數(shù)據(jù) ；各種應(yīng)用系統(tǒng)的實(shí)施，例如： ERP 和 CRM 等；大量的多媒體的數(shù)據(jù)，例如： 客戶服務(wù)中心（ IPCC）、 IP 語音和視頻會議。所有的這些數(shù)據(jù)都要集成到統(tǒng)一的 基礎(chǔ)網(wǎng)絡(luò) 中，基礎(chǔ)網(wǎng)絡(luò)平臺的擔(dān)負(fù)著保險企業(yè)的生產(chǎn)平臺、 辦公自動化平臺、 管理平臺和服務(wù)平臺的重任 。 第二章 需求分析 XX 人壽保險公司是最新成 立的一家保險企業(yè)，作為一家全新的保險企業(yè)，信息化的建設(shè)與各類業(yè)務(wù)系統(tǒng)的建立有著同樣重要的意義。 XX 人壽保險公司基礎(chǔ)通信網(wǎng)絡(luò)建設(shè)將覆蓋全國范圍內(nèi)，對全國范圍的業(yè)務(wù)數(shù)據(jù)進(jìn)行大集中，基礎(chǔ)通信網(wǎng)絡(luò)將承載 全國范圍業(yè)務(wù)數(shù)據(jù)、 VOIP 和視頻會議等多媒體數(shù)據(jù)、基于 IP 技術(shù)的呼叫中心數(shù)據(jù)（ IPCC）、辦公自動化數(shù)據(jù)、 ERP 和 CRM等管理數(shù)據(jù) 以及用于異地備份的存儲數(shù)據(jù) 。 在全國范圍內(nèi)建設(shè)一個集中、高效、XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 4 一致的數(shù)據(jù)平臺，為各級機(jī)構(gòu)提供業(yè)務(wù)分析、業(yè)務(wù)推進(jìn)及業(yè)務(wù)監(jiān)管等多種信息服務(wù)奠定堅(jiān)實(shí)的數(shù)據(jù)基礎(chǔ) 。 XX 人壽保險公司的信息化建設(shè)分多 期進(jìn)行，第一期的網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的范圍涉及 公司總部和省級分公司。 第三章 方案設(shè)計原則 XX 人壽保險公司基礎(chǔ)網(wǎng)絡(luò)設(shè)施的 建設(shè)目標(biāo)是將 這個網(wǎng)絡(luò)平臺 建成為集 業(yè)務(wù)、管理、辦公及服務(wù) 為一體先進(jìn)、可靠、安全及具有高承載能力的統(tǒng)一的數(shù)據(jù)通信平臺，實(shí)現(xiàn)“數(shù)字 XX 人壽 、 統(tǒng)一 XX 人壽 、未來 XX 人壽 ”的遠(yuǎn)景目標(biāo)。 基于以上的建立目標(biāo)， XX 人壽基礎(chǔ)網(wǎng)絡(luò)平臺 的設(shè)計原則為： 1) 可靠性 原則 2) 先進(jìn)性 原則 3) 安全性原則 4) 可伸縮性原則 5) 可管理性原則 6) 融合性原則 3.1 網(wǎng)絡(luò)可靠性通過下述的設(shè)計思路來 實(shí)現(xiàn) 公司總部采用兩臺路由器 來實(shí)現(xiàn)熱備份 ； 省級中心 通過雙鏈路連接到 公司總部 ； 省級中心通過雙 ISP 與公司總部互聯(lián)； 采用兩臺具有冗余熱備份的防火墻； 實(shí)現(xiàn)數(shù)據(jù)異地災(zāi)難備份； 合理采用靜態(tài)路由，提高可靠性。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 5 3.2 先進(jìn)性可以通過下述的設(shè)計思路來實(shí)現(xiàn) 網(wǎng)絡(luò)設(shè)備的先進(jìn)性 ，采用集數(shù)據(jù)、語音、安全于一個平臺的網(wǎng)絡(luò)設(shè)備 ； 公司網(wǎng)絡(luò) 可以啟用 MPLS 功能，使 MPLS VPN 為公司內(nèi)部以及公司與合作伙伴之間業(yè)務(wù)數(shù)據(jù)提供服務(wù) ； 公司網(wǎng)絡(luò) 可以提供 IPV6 服務(wù)，可以平滑 與 下一代互聯(lián)網(wǎng) 接軌 ； 公司網(wǎng)絡(luò) 提供強(qiáng)大的 QoS 保證機(jī)制。 3.3 網(wǎng)絡(luò)安全性通過下述設(shè)計思 路來 實(shí)現(xiàn) 建立公司內(nèi)部的網(wǎng)絡(luò)安全策略 在 公司總部 的網(wǎng)絡(luò)出口處設(shè)置了強(qiáng)大的防火墻； 在 公司總部的核心 交換機(jī)配置一塊防火墻模塊； 對所有重要事件進(jìn)行 log； 限制對設(shè)備的 SNMP 和 TELNET； 采用 SSH 和 SNMPv3 對網(wǎng)絡(luò)設(shè)備進(jìn)行管理； 采用 NTP 協(xié)議對全網(wǎng)的設(shè)備進(jìn)行同步； 對不安全的端口上將路由協(xié)議進(jìn)行 Passive，防止不必要的路由泄露； 對網(wǎng)絡(luò)設(shè)備的 User 和 Privilege 狀態(tài)進(jìn)行存取控制； 所有的網(wǎng)絡(luò)設(shè)備都支持 802.1x 協(xié)議； 通過路由協(xié)議對網(wǎng)絡(luò)中所有的設(shè)備進(jìn)行驗(yàn)證。 3.4 網(wǎng)絡(luò)可伸縮性通過下 述的設(shè)計思路來 實(shí)現(xiàn) 公司 網(wǎng)絡(luò)采用明顯的“核心 分布”層次結(jié)構(gòu)； 簡單而有效的 IP 地址分配策略； 采用可靠和可擴(kuò)展的 IGP 路由協(xié)議； XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 6 公司網(wǎng)絡(luò)未來多核心的設(shè)計思路； 網(wǎng)絡(luò)設(shè)備的可擴(kuò)充性。 3.5 網(wǎng)絡(luò)集中管理通過下述設(shè)計思路來 實(shí)現(xiàn) 采用先進(jìn)的、可跨平臺的網(wǎng)絡(luò)管理軟件； 為中央網(wǎng)絡(luò)管理系統(tǒng)配有專門的管理網(wǎng)段； 從中央網(wǎng)管網(wǎng)段可以到達(dá)所有設(shè)備； 3.6 網(wǎng)絡(luò)高度融合性通過下述的設(shè)計思路來實(shí)現(xiàn) 業(yè)務(wù)平臺、辦公平臺、服務(wù)平臺和管理平臺的高度融合； 數(shù)據(jù)、語音、視頻的高度融合； 傳統(tǒng)呼叫中心技術(shù)與基于 IP 的客戶服務(wù)中心的技 術(shù)融合； 網(wǎng)絡(luò)設(shè)備的功能高度融合，把數(shù)據(jù)、語音和安全融合到統(tǒng)一單一的平臺。 第四章 網(wǎng)絡(luò)架構(gòu)設(shè)計 本著“網(wǎng)絡(luò)高效、可靠、科學(xué)運(yùn)營并最大程度上保護(hù)網(wǎng)絡(luò)投資，適應(yīng)未來業(yè)務(wù)發(fā)展”的原則，我們按照四級網(wǎng)絡(luò)結(jié)構(gòu) 建設(shè)，其中北京為網(wǎng)絡(luò)系統(tǒng)核心，二級為省會中心，三層分布在各個地 市 級城市 ，四級則分布在縣級 城市 。 本期 的基礎(chǔ)網(wǎng)絡(luò)平臺建設(shè)包括北京網(wǎng)絡(luò)中心的建設(shè)（一級中心）、省級網(wǎng)絡(luò)中心（二級中心）的建設(shè)以及一二級網(wǎng)絡(luò)的互聯(lián)。 4.1 北京 網(wǎng)絡(luò)中心的建設(shè) 北京網(wǎng)絡(luò)中心是 XX 人壽信息化平臺的核心節(jié)點(diǎn)，這個核心節(jié)點(diǎn)負(fù)責(zé)處理來自全國的范圍內(nèi) 的所有數(shù)據(jù)，數(shù)據(jù)的來源包括各種業(yè)務(wù)數(shù)據(jù)、辦公數(shù)據(jù)、多媒體數(shù)據(jù)、管理數(shù)據(jù)、 ERP、 CRM 等應(yīng)用數(shù)據(jù)、 客戶服務(wù)數(shù)據(jù) 及未來用于異地備份的XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 7 存儲網(wǎng)絡(luò)數(shù)據(jù) 。 基于以上數(shù)據(jù)大集中的需求， 對北京網(wǎng)絡(luò)中心的 網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)環(huán)境提出了極高的要求。 我們從以下幾個方面考慮北京網(wǎng)絡(luò)中心的建立： 第一、北京網(wǎng)絡(luò)中心的核心網(wǎng)絡(luò)設(shè)備要具有 很強(qiáng)的數(shù)據(jù)處理性能 很高的物理可靠性 提供業(yè)界領(lǐng)先的網(wǎng)絡(luò)技術(shù) 提供高帶寬的線路接入 第二、網(wǎng)絡(luò)結(jié)構(gòu)的可靠性 北京網(wǎng)絡(luò)中心采用兩臺核心設(shè)備提供網(wǎng)絡(luò)的熱備份 主干線路和備份線路分別接入不同的 ISP 數(shù)據(jù)的存儲系統(tǒng)和異地備份系統(tǒng)部署 第三、網(wǎng)絡(luò)環(huán)境 的安全性 在 Internet 入口部署功能強(qiáng)大的防火墻 在網(wǎng)絡(luò)中心局域網(wǎng)的核心交換機(jī)上部署防火墻模塊 在網(wǎng)絡(luò)中心部署網(wǎng)絡(luò)準(zhǔn)入控制體系 對于北京的網(wǎng)絡(luò)中心，我們的建設(shè)目標(biāo)是高性能、高可靠性和純凈的網(wǎng)絡(luò)環(huán)境。 4.1.1 廣域網(wǎng)設(shè)計 基于以上的建設(shè)目標(biāo)，我們強(qiáng)烈建議 XX 人壽廣域網(wǎng)骨干 采用 155M 的 SDH，擯棄 N*2M 的接入方式。這樣的設(shè)計是基于以下考慮： 數(shù)據(jù)大集中需要有足夠帶寬的支持； N*2M 的接入方式雖然在初期的資金投入比 155M SDH 接入要少，但隨著隨著公司 業(yè)務(wù)的不斷發(fā)展， N*2M 的接入方式會是整個公司策略實(shí)施的瓶頸。當(dāng)公司業(yè)務(wù)發(fā)展到一定的程度，公司還是要采用 155M SDH 接入，這樣，多口 2M 的業(yè)務(wù)XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 8 板會被淘汰，而且重新利用率非常的低； N*2M 的接入方式增加了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)管理的復(fù)雜性； N*2M 的接入方式 占用了更多的網(wǎng)絡(luò) 物理 資源 。 備份線路采用 2個 PRI 線路接入。 4.1.2 局域網(wǎng)設(shè)計 北京網(wǎng)絡(luò)中心的局域網(wǎng)采用雙核心網(wǎng)絡(luò)交換機(jī) 進(jìn)行熱備份 ， 保證局域網(wǎng)絡(luò)的可靠性，同時在核心交換機(jī)上配置防火墻模塊，保證局域網(wǎng)內(nèi)部的安全性。在資金充裕的情況下，可以實(shí)施網(wǎng)絡(luò)準(zhǔn)入 控制體系。 對核心業(yè)務(wù)的數(shù)據(jù)部署存儲區(qū)域網(wǎng)絡(luò)（ SAN），同時采用虛擬 SAN（ VSAN）技術(shù)對網(wǎng)絡(luò)資源提供投資保護(hù)。對核心業(yè)務(wù)數(shù)據(jù)進(jìn)行異地備份 ，根據(jù)距離的遠(yuǎn)近可采用 DWDM（ 100 公里以內(nèi)） 或SDH（數(shù)千公里） 技術(shù)實(shí)現(xiàn)。 4.2 省級網(wǎng)絡(luò)中心的建設(shè) 省級網(wǎng)絡(luò)中心是整個 XX人壽基礎(chǔ)網(wǎng)絡(luò)的二級中心， 從行政上來考慮，每個省的網(wǎng)絡(luò)中心處理的業(yè)務(wù)量占全國業(yè)務(wù)量的 1/32。 所以，二級網(wǎng)絡(luò)中心的 建設(shè)有兩個方面的意義。首先， 二級網(wǎng)絡(luò)中心是省內(nèi)所有數(shù)據(jù)的匯接處，是一個省內(nèi)信息系統(tǒng)的核心。其次，二級網(wǎng)絡(luò)中心起著承上啟下的作用。 4.2.1 廣域網(wǎng)的設(shè)計 省級網(wǎng)絡(luò)中心與北京網(wǎng)絡(luò)中心的廣域網(wǎng)連接采用 2M SDH 的接入。 備份線路采用 ISDN BRI 接入，備份接入全部采用回?fù)芗夹g(shù)，保證接入的安全性，同時，對撥號連接進(jìn)行 CHAP 驗(yàn)證。 4.2.2 局域網(wǎng)的設(shè)計 二級 網(wǎng)絡(luò)中心的局域網(wǎng)采用雙核心網(wǎng)絡(luò)交換機(jī)進(jìn)行熱備份，保證局域網(wǎng)絡(luò)的可靠性 。網(wǎng)絡(luò)內(nèi)部通過 VLAN 對部門 以及進(jìn)行邏輯隔離，也可以對各種業(yè)務(wù)進(jìn)行隔離，后者的 VLAN 技術(shù)是基于子網(wǎng)的 VLAN 技術(shù)。 通過 802.1x 對用戶接入進(jìn)行XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 9 認(rèn)證。 為了配合 XX 人壽網(wǎng)絡(luò)的多業(yè)務(wù)融合性目標(biāo)，我們建議二級網(wǎng)絡(luò)中心的路 由器是一臺全業(yè)務(wù)路由器，這個路由器要把數(shù)據(jù)、多媒體以及安全等功能集成到一個平臺上。 我們建議目前二級網(wǎng)絡(luò)中心的路由器采用低端的路由器，隨著業(yè)務(wù)量的增加我們可以升級二級網(wǎng)絡(luò)中心的路由器，同時把替換下來的低端路由器重新利用到地市級或縣級網(wǎng)絡(luò)。 4.3 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 10 第五章 網(wǎng)絡(luò)資源的規(guī)劃 5.1 設(shè)備的命名規(guī)則與用途 5.1.1 節(jié)點(diǎn)代碼 Site Site Code 北京 BJ 上海 SH 廣州 GZ Site 代碼是地點(diǎn)名的拼音縮寫而成。上圖是以北京、上海和廣州為例的示意表。 5.1.2 設(shè)備命名規(guī)則 W-BJ-7206-A W-BJ-7206-B 以上示意圖表示了設(shè)備名稱結(jié)構(gòu)。上圖表示了 以 Cisco 7206 為例 ， XX人壽北京網(wǎng)絡(luò)中心用于廣域網(wǎng)通信的路由器名稱。 WAN Site Code Equipment Type Active(主 ) WAN Site Code Equipment Type Backup（備） XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 11 5.1.3 設(shè)備用途描述 Site Device Device Name Usage 北京 7206 W- BJ-7206-A Level-1 core router 北京 6509 L-BJ-6509-B Level-1 backup core switch 5.2 VLAN編號及用途說明 作為一個規(guī)則， VLAN 編號以 Site 基準(zhǔn)，即 VLAN 號在一個 Site 內(nèi)是唯一的，并且，統(tǒng)一的 VLAN 編號法有助于消除歧意和有助于排錯。 一般地，采用下面的 VLAN 編號規(guī)則： VLAN1 用于管理網(wǎng)段； VLAN2-VLAN10 用于設(shè)備互連網(wǎng)段； VLAN11-VLAN50 用于 各種業(yè)務(wù)子系統(tǒng)； VLAN51-VLAN100 用于 Server hosting。 Site Equipment VLAN Usage 北京 L-BJ-6509-A VLAN1 Management subnet VLAN2 Uplink to 7206 VLAN11 核心業(yè)務(wù)處理系統(tǒng) VLAN20 會計核算和財務(wù)管理系統(tǒng) VLAN25 代理人管理系統(tǒng) VLAN30 精算系統(tǒng) VLAN40 辦公自動化系統(tǒng) VLAN50 輔助銷售系統(tǒng) VLAN51 財務(wù)服務(wù)器 以上表格以北京為例，表達(dá)了劃分 VLAN 的思想。此表格不代表最終設(shè)計結(jié)果。 5.3 IP地址規(guī)劃 為了有效使用 IP 地址，必須對 IP 地址進(jìn)行子網(wǎng)化，通過對每個 area 用VLSM(可變長子網(wǎng)掩 碼 )進(jìn)行地址分配可以最大限度的利用 IP 地址。 XX 人壽采用私有地址段 10.0.0.0/8 作為全網(wǎng)互連的 IP 地址網(wǎng)段。 每個省XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 12 分配兩個 Class B 的地址段，其中奇數(shù)段用于 WAN 互連，偶數(shù)段用于 LAN 的互連。地 市 級 中心 按需 分配 256 個 Class C 的地址段。 下表是以行政省為單位的 IP 地址分配，其中北京 WAN 的 IP 地址用于連接總部到各省及北京本地區(qū) WAN 的連接。 LAN 的 IP 地址只用于北京本地區(qū)使用。 Site WAN/LAN IP Address First byte Second byte Third byte Fourth byte Mask 北京 WAN 10 1 0 0 16 LAN 10 2 0 0 16 上海 WAN 10 3 0 0 16 LAN 10 4 0 0 16 山西 WAN 10 9 0 0 16 LAN 10 10 0 0 16 Site WAN IP Address First byte Second byte Third byte Fourth byte Mask 山西至 臨汾 WAN 10 9 0 4 30 臨汾至 鄉(xiāng)寧 WAN 10 9 1 4 30 Site LAN IP Address First byte Second byte Third byte Fourth byte Mask 臨汾 LAN 10 10 1014 0 24 鄉(xiāng)寧 LAN 10 10 10 32 28 此表格是體現(xiàn) IP 地址分配的思想，不代表最終設(shè)計結(jié)果。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 13 5.4 QoS 實(shí)施 5.4.1 可選擇的工具 在 XX保險公司網(wǎng)內(nèi)對 traffic 進(jìn)行 prioritization 和 rate control 有多種方法。 CoS 只能提供差分服務(wù)：在網(wǎng)絡(luò)邊緣對每個 packet 進(jìn)行分類，骨干網(wǎng)對分類過的 packet 提供有區(qū)別的服務(wù)。 QoS 則能夠提供更好和更可預(yù)測的網(wǎng)絡(luò)服務(wù)，包括： 支持獨(dú)占的帶寬 減少丟包率 避免或解決網(wǎng)絡(luò)擁塞 設(shè)置 traffic 在全網(wǎng) 的優(yōu)先級 要在 XX 保險公司網(wǎng)上建立端到端的 CoS 服務(wù)結(jié)構(gòu)，主要可以采用的技術(shù)手段有： IP precedence classification Committed Access Rate Weighted Random Early Detection 1、 IP Precedence for Traffic Classification IP precedence Classification 在網(wǎng)絡(luò)邊緣進(jìn)行，利用 IPv4 包頭的Type-of-Service 3 個比特對每一個 IP 包依據(jù)其地址進(jìn)行優(yōu)先級分類。最多可以將 traffic 分為 6 個等級。在核心利用不同的 Queuing 技術(shù)對不同等級的traffic 進(jìn)行不同的處理，使得不同的服務(wù)級別得到體現(xiàn)。 2、 用 CAR限制接入的帶寬 Committed Access Rate 提供一種手段來提供承諾的帶寬和限制帶寬使用，在此同時，提供處理超出承諾帶寬以外流量的策略。 CAR 可以 配置在 二級 網(wǎng) 以 下XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 14 的 路由器 ，可以基于接入的端口、 IP地址以及傳輸層的端口號進(jìn)行分類。 CAR 采用令牌桶的算法進(jìn)行流量整形。對于超出的流量， CAR 利用 extended burst 定義閾值，超過閾值的流量降低優(yōu)先級或丟掉。 CAR 的策略選項(xiàng)包括： Firm CAR 超出的流量被丟棄 CAR + Premium 超出的流量被標(biāo)為更低的優(yōu)先級 CAR + Best Effort 超出的流量有一個突發(fā)的閾值，再超出該閾值的流量被丟棄 Per Application CAR 不同的 CAR 策略作用于不同的應(yīng)用。比如，重 要的應(yīng)用采用 CAR + Premium 策略，多媒體應(yīng)用采用 CAR + Best Effort 策略。 3、 用 WRED進(jìn)行擁塞管理 采用 WRED 進(jìn)行擁塞管理。 WRED 在網(wǎng)絡(luò)的瓶頸處監(jiān)視并緩解網(wǎng)絡(luò)的擁塞。 XX保險公司的網(wǎng)絡(luò) 瓶頸可能出現(xiàn)的地方主要是 各級網(wǎng)絡(luò)中心 WAN 連接的地方。 WRED監(jiān)視網(wǎng)絡(luò)的負(fù)載，當(dāng)擁塞開始剛出現(xiàn)時，它就開始有選擇的丟棄一些包以降低流量。其結(jié)果是，數(shù)據(jù)源覺察到丟包，就開始降低發(fā)包的速率，從而避免了擁塞。 WRED 丟包的策略為：低優(yōu)先級的流先丟，以保證高優(yōu)先級的流可以順暢通過。 在可能發(fā) 生擁塞的端口運(yùn)行 WRED 和 DRR 是避免擁塞的較好的選擇。 5.4.2 實(shí)現(xiàn) 在具體實(shí)現(xiàn)中，為了達(dá)到最好的效率，需要對任務(wù)進(jìn)行分工。因?yàn)?CoS 是一個需要消耗很多處理器資源的應(yīng)用，所以這一任務(wù)分配在 各級中心 路由器上運(yùn)行，以減少對單獨(dú)路由器的壓力。 實(shí)現(xiàn)基于 CoS 的差分服務(wù)結(jié)構(gòu)需要 4 個步驟： XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 15 入口的帶寬限制在 二級以下的 路由器和 各級 LAN 核心交換機(jī) 上實(shí)現(xiàn)，同時完成入口 traffic 的 Classification。針對不同的用戶策略進(jìn)行分類。 對需要提供帶寬保證的流量，如 多媒體 Traffic，在 各級路由器 和 LAN 核 心交換機(jī) 上按 IP地址進(jìn)行 Classification，將這類流量的 IP Precendence 值置為高，其它流量置為低。 各級 WAN 設(shè)備也需要 做 帶寬管理的工作 ，采用 CAR，對各種業(yè)務(wù)以及應(yīng)用 按照一定的 比例 對其進(jìn)行帶寬限制。 二級以上的 路由器完成 CoS 的管理工作，進(jìn)行有差別的服務(wù)質(zhì)量保證。 出口設(shè)備， 作 WRED 設(shè)置，預(yù)告丟棄可能造成擁塞的非重要 IP 包 。入口、出口設(shè)備對帶寬的限制保護(hù)了網(wǎng)絡(luò)免于擁塞，使得網(wǎng)絡(luò)具有很高的可擴(kuò)展性。 CAR 采用了一個令牌桶的算法進(jìn)行流量整形，原理示意圖如下： 當(dāng)數(shù) 據(jù)流出時， token 從桶中相應(yīng)流出。 Token 以恒定速率補(bǔ)充到桶中，這個速率就是承諾的帶寬。桶中可以有的最多 token 數(shù)目就是一般突發(fā)數(shù)據(jù)長度。當(dāng)數(shù)據(jù)到達(dá)時，如果桶中的 token 數(shù)目不夠數(shù)據(jù)的長度，這時， Extended 突發(fā)容量就起作用了。 (burst capability 可以通過設(shè)置 extended burst value 大于 normal burst value 來達(dá)到 )。 Extended 突發(fā)可以讓突發(fā)的數(shù)據(jù)借用一些 token，這樣可以以一種類似 RED的方式丟棄 packet，而不是直接丟棄掉。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 16 在端口上 配置的策略作用于 traffic，可能的動作包括： Transmit：發(fā)送出去這些包。 Set precendence andTransimt：設(shè)置 IP 包頭中 ToS 域的值，以對 traffic進(jìn)行分類。這種分類分為 2 種， color 和 recolor，后者指對 traffic 進(jìn)行重新分類。 Drop：丟棄數(shù)據(jù)包。 Continue：繼續(xù)測試 CAR 的下一條語句。 Set precendence and continue：設(shè)置 IP 包頭的 ToS 的值，然后繼續(xù)測試下一條語句。 下面是設(shè)置 normal burst(NB)和 extended burst(EB)值的公式： NB = rate * time / 8 EB = 2 * NB 這里 rate 是 Committed bandwidth， time 一般設(shè)為 0.5 秒。 2、 配置 WRED 在城域網(wǎng)可能發(fā)生瓶頸的地方配置 WRED，從 整個 XX 人壽網(wǎng)絡(luò) 來看，可能發(fā)生瓶頸的地方是 WAN 的匯聚接口 。 RED(隨機(jī)早期丟棄 )是利用 TCP 窗口機(jī)制而采用的擁塞避免技術(shù)，通過在擁塞發(fā)生前隨機(jī)丟棄一些包， RED 通知數(shù)據(jù)源，可能要發(fā)生擁塞，請降低速率。 WRED依據(jù) IP precendence 來丟棄數(shù)據(jù)包 ，以保證優(yōu)先級高的 traffic 得到服務(wù)保證。WRED 一般配置在核心路由器上，而不是接入路由器。 在本網(wǎng)絡(luò)中 WRED 配置在二級以上的 WAN 路由器上。 WRED 的處理流程如下： 計算平均的隊(duì)列長度 如果平均隊(duì)列長度小于域值下限，將到來的包放入隊(duì)列中 如果平均隊(duì)列長度在域值的下限和上限之間，是否丟棄該包取決于這個包XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 17 的優(yōu)先級 如果平均隊(duì)列長度大于域值的上限，則丟棄該包。 下面是在 北京網(wǎng)絡(luò)中心核心路由器上的 POS 鏈路上的 WRED 的 Sample Configuration： interface pos 2/0 ip address 10.1.1.1 255.255.255.252 random-detect 雖然可以修改隊(duì)列度的域值，但 Cisco 不推薦這么做，因?yàn)?，缺省?WRED配置是已被證明是高效的了。 舉例說明： 北京網(wǎng)絡(luò)中心的核心業(yè)務(wù)系統(tǒng)服務(wù)器的 IP 地址為 10.2.1.10 ，上海用于處理核心業(yè)務(wù)系統(tǒng)的 VLAN 為 10.4.1.32/28,現(xiàn)在用 QoS 來保證北京與上海之間的核心業(yè)務(wù)系統(tǒng)的優(yōu)先級為最高，帶寬為 500K。 北京中心路由器配置： class-map match-all SH-TO-BJ match access-group 100 class-map match-all BJ-TO-SH match access-group 101 ! policy-map TO_BJ class SH-TO-BJ bandwidth 500 set ip precedence 5 class class-default fair-queue policy-map TO_SH XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 18 class BJ-TO-SH bandwidth 500 set ip precedence 5 class class-default fair-queue ! interface GEthernet1/0/1 description BJ LAN ip address 10.2.10.1 255.255.255.252 service-policy output TO_BJ ! interface POS1/0/0.1 description BJ to SH ip address 10.1.1.1 255.255.255.252 service-policy output TO_SH ! access-list 100 permit ip 10.4.1.32 255.255.255.240 host 10.2.1.10 precedence critical access-list 101 permit ip host 10.2.1.10 10.4.1.32 255.255.255.240 precedence critical 上海分公司也做相應(yīng)的配置 5.5 網(wǎng)絡(luò)安全 在具體實(shí)施公司網(wǎng)絡(luò)的安全保護(hù)前，必須詳細(xì)編寫 XX 人壽公司的網(wǎng)絡(luò)安全策略。 公司的安全策略是實(shí)施和管理公司網(wǎng)絡(luò)安全的準(zhǔn)則。 5.5.1 Internet 接入安全解決方案 XX 人壽公司在 公司網(wǎng)絡(luò)的 Internet 接入點(diǎn)配置兩臺防火墻和兩臺 IDS，防火墻與 IDS 各自之間可以 fail-over。 XX 人壽保險公司企業(yè)網(wǎng)絡(luò)項(xiàng)目建議書 19 5.5.2 LAN 安全解決方案 在局域網(wǎng)中的核心交換機(jī)上配置防火墻和 IDS 模塊，控制 VLAN 間的網(wǎng)絡(luò)安全。 5.5.3 遠(yuǎn)程接入解決方案 在公司總部部署 VPN 集中器，并且在客戶端安裝 VPN client 軟件，使遠(yuǎn)程用戶與公司之間傳輸?shù)臄?shù)據(jù)得到安全的保護(hù)。 針對遠(yuǎn)程用戶部署訪問控制服務(wù)，對每個遠(yuǎn)程接入的用戶進(jìn)行安全的認(rèn)證。 5.5.4 終端用戶安全 解決方案 公司統(tǒng)一部署防病毒軟件，如果資金允許可以在公司內(nèi)部部署準(zhǔn)入控制系統(tǒng)。 局域網(wǎng)中的終端用戶 必須經(jīng)過 802.1x 認(rèn)證才可以訪問網(wǎng)絡(luò)。 5.5.5 WAN 安全解決方案 在路由器之間進(jìn)行 MD5 認(rèn)證；