某A银行福州分行网络改造技术方案.doc

某A银行福州分行 网络改造技术方案 （去标识处理） 福建金科信息技术股份有限公司 年月  1. 某A银行福州分行网络规划 3 1.1. 福州分行本部网络结构描述 3 1.2. 福州分行辖内支行网络结构描述 4 2. 某A银行福州分行网络设备规划及连接方式 4 2.1. 福州分行本部网络设备规划及连接方式 4 2.2. 福州分行辖内支行网络设备规划及连接方式 9 3. 某A银行福州分行网络路由策略规划 10 3.1. 福州分行本部网络路由策略规划 10 3.2. 福州分行与支行之间的路由策略规划 13 4. 某A银行福州分行网络设备标识 14 4.1. 福州分行网络设备标识 14 4.2. 福州分行辖内支行设备标识 16 5. 某A银行福州分行网络设备互联以及IP地址规划 16 5.1. 福州分行本部网络设备互联以及IP地址规划 16 5.2. 福州分行辖内支行网络设备互联以及IP地址规划 24 6. 某A银行福州分行网络安全规划 25 6.1. 分区间访问关系 25 6.2. 分区安全级别 25 6.3. 访问控制规划 25 6.4. 访问控制区域 26 附件：网络设备配置模板 26  某A银行福州分行网络规划 改造后的某A银行福州分行网络结构如下图所示： 福州分行本部网络结构描述 福州分行采用两台高端交换机作为分行的核心，负责各区域间高性能的交换，在核心交换机上预留足够的槽位，满足未来功能和性能扩展。每个区域采用汇聚、接入的分层结构进行建设，各个区域采用统一型号的网络设备，对关键区域进行安全部署。 分行现有的服务器将按照用途部署到业务服务器和办公服务器区两个独立的区域，汇接后联入核心交换机。 分行上联和下联路由器分别采用双机双线路模式，并部署到两个不同的功能分区，分别接入核心交换机。 外联区采用二层交换机汇接外联路由器，通过外联防火墙，接入到核心交换机的外联分区，并对外联区进行重点安全防御。 新建网管区，负责分行网络安全管理和监控。 新建业务用户接入区和办公用户接入区，并通过部署网络接入认证系统，对不同的用户进行网络准入控制。 在核心交换机上部署安全插卡，负责各个区域之间的访问控制策略。对安全等级较高的关键区域进行重点防护。支行上联采用双设备、双线路模式。支行局域网内划分业务、办公两个网段，且分别接入两台局域网交换机 某A银行福州分行网络设备规划及连接方式 福州分行本部网络设备规划及连接方式 核心区 核心区由两台H3C S7506E交换机组成，用于连接管理区、业务服务器区、办公服务器区、上联区、下联区、内网用户接入区以及外联区。两台核心区交换机分别通过2个堆叠模块互联，使用IRF2技术形成逻辑的单台设备进行统一管理。两台核心区交换机各使用一条光纤连接两台管理区汇聚层交换机，呈口字型连接，核心区和管理区交换机都使用IRF2技术，区域互连的2条光纤配置成以太网通道。两台核心区交换机各使用一条光纤连接两台业务服务器区汇聚层交换机，呈口字型连接，核心区和业务服务器区交换机都使用IRF2技术，区域互连的2条光纤配置成以太网通道。两台核心区交换机各使用一条光纤连接两台办公服务器区汇聚层交换机，呈口字型连接，核心区和办公服务器区交换机都使用IRF2技术，区域互连的2条光纤配置成以太网通道。核心区主交换机使用一条光纤与测试区交换机连接，在核心区备交换机上留备份端口；两台核心区两台核心交换机与两台上联区接入路由器使用双绞线呈交叉方式互连。两台核心交换机与两台下联区接入路由器使用以太网双绞线呈交叉方式互连。两台核心交换机各使用一条光纤连接内网用户接入区两台汇聚层交换机，呈口字型连接。两台核心交换机各使用一条双绞线并行连接外联区的两台防火墙。 核心区交换机插槽及端口规划： 核心区交换机插槽使用原则为光纤板卡对应的插槽编号从小往大使用。电口以太网板卡对应的插槽编号从大往小使用。服务模块则从中间插槽往上下槽位使用。 设备名称 插槽编号 板卡名称 FZ_CORE_SW （主交换机） 0 LSQM1SRP1CB0（引擎） 1 LSQM1SRP1CB0（引擎） 2 LSQM1P24XGSC0（24口千兆+2口万兆光口以太网模块） 3 预留 4 LSQM1FWBSC0（防火墙模块） 5 预留 6 预留 7 LSQM1GT24SC0（24口千兆电口以太网模块） FZ_CORE_SW （备交换机） 0 LSQM1SRP1CB0（引擎） 1 LSQM1SRP1CB0（引擎） 2 LSQM1P24XGSC0（24口千兆+2口万兆光口以太网模块） 3 预留 4 LSQM1FWBSC0（防火墙模块） 5 预留 6 预留 7 LSQM1GT24SC0（24口千兆电口以太网模块） 管理区 管理区汇聚层由两