局域网设计方案材料

宁夏银行新办公大楼局域网建设方案

一．总体设计原则

基于宁夏银行目前现状和未来业务发展的要求，在网络扩容设计

构建中，需要根据现有网络环境和网络改造需求，制定详细的技术方

案，满足我行新办公大楼的需求（办公、生产、信贷、资金管理，互

联网等各项业务和特殊部门和岗位的特殊网络需求），并充分考虑网

络的性能、可靠性、可管理性和可扩充性。根据上述需求，在制定技

术方案时，考虑到银监局对金融信息化系统的要求，现提出两套设计

方案：

公一套网，互联网一套网，互不链接。这样的网络设计
（一） 生产办公和互联网纯物理隔离的两套网络，即：生产办

（二） 生产办公和互联网用逻辑隔离的方式实现，即整个新大

楼建设一套局域网，所有网内节点都可上生产办公和上

互联网络，用逻辑隔离的方式实现管理。此设计方案费

用较少，管理方便。

两套设计方案都必须具有如下性能：

1.1系统的高可靠性

网络系统的稳定可靠是应用系统正常运行的关键保证。系统的高

可靠性体现在合理的网络架构，高可靠性网络产品，可靠的网络备份

1.2系统的高安全性
伴随金融信息化的不断深入，行业内部之间的信息交换将更加频繁。本项目建成后，此网络将面对信息安全的不断挑战。管理信息网络中传输的数据将包含管理和经营的涉密信息，对安全性有很高的要求。因此，新办公大楼网络安全服务功能在本项目中至关重要，需要考虑到业务系统关键数据的完整性和安全性。网络架构需要具有完整安全体系防护的服务能力，以确保员工生产、办公和用户、合作伙伴的信息安全，降低经营风险。

1.3系统的统一性
新办公大楼的网络架构的构造、网络规划和网络管理都建立在“一 新办公大楼局域网是我行整体网络信息系统的个整体”的基础之上。

新大楼的网络系统是一个覆盖生产办公管理信息系统的网络平台，其上会有许多不同厂商开发的计算机设备和应用系统同时运行。为了
使这些系统能够稳定、可靠、高效的正常运作，所有的系统必须遵循
。因此，整个网络系统应在国家的许可下完共同的规则（标准）
全采用符合国际（或国家）通用的、开放的标准网络协议和技术，保
证我行的网络系统及运行其上的应用系统的正常工作，以及与其它网
络的互联互通。

1.5 灵活性和可扩展性
作为承载平台的网络系统必须能够随着应用系统的变化而自由缩

放。所以建设的网络系统必须具备良好的灵活性及可扩展性，即网络

架构在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速

的业务发展和变化的业务需求对基础架构的要求。

1.6整体网络可管理性

新办公大楼网络系统应建设成为我行整体网络信息系统的管理子系

统，随时有效监控全行的整个网络信息系统，保障生产办公等各项业

务的顺利进行。

1.7网络技术的先进性和成熟性

网络建设必须具有一定的前瞻性，技术上具有总体先进性，同时考虑

到网络的稳定运行需求，技术选择必须考虑成熟性与先进性相结合。

具体设计方案见附件

附件：

1方案描述

1.1网络拓扑设计

1.1.1设计策略

在进行网络设计时，应根据应用需求和设计原则制定设计策略，在设计网络时，所制定的设计策略如下：

采用模块化设计思想的优势主要为增加新的功能模块时，只需对该模块进行设首先，网络设计采用模块化设计思想，将网络划分为几个大的功能模块。

块进行修改，与故障排除。

第二，在设计中要充分考虑到技术的成熟性与先进性。采用成熟的网络技术，能够充分保证网络的健壮性；同时，采用较为先进的技术，能够使网络能够满足应用较长时间的需求。

第三，在设计网络拓扑结构时应采用冗余结构，保证系统的可用性和可靠性。除网络线路和设备要有冗余外，关键设备还具有冗余的处理器、风扇、电源、交换备板等，保证整个网络的可用性和可靠性。

第四，保证网络的安全性。网络安全是极其重要的，在设计中从设备、网络、系统等级别进行了安全考虑，保证了整个网络的安全和应用系统的初步安全。

1.1.2分层设计原则

宁夏银行网络按照网络核心层、接入层进行设计，每个层次实现相对独立

的功能，保障了网络在每个层次上的平行扩展，实现网络在服务功能、规模上的

扩展能力。

1.核心层：提供高速的三层交换骨干。

? 核心层不进行终端系统的连接；

? 核心层不实施影响高速交换性能的ACL等功能。

2.接入层：提供Layer2的网络接入，通过VLAN定义实现接入的隔离。

在接入层设计时，应考虑以下几点：

? 接入层接入端口规划容量应根据实际使用情况考虑扩展性；

? 各功能分区的接入层相对；

? 不同类型的接入层应各自分开，连接到对应功能区的分布层。

性能需求的增加，在园区网的设计中，局域网逐渐开始采用两层物理结构进行网随着网络设备与布线成本的降低，网络维护成本的增加，以及用户对网络

间的稳定可靠。例如：在系统与接入层设备之间，接入层设备与核心层设备之间，

都必须采用冗余的连接，以消除单点故障。

1.1.3网络拓扑结构

型的网络拓扑。

? 核心区：

核心区是宁夏银行大楼的网络核心，同时设备还担负着业务管理，安全隔离

等分布层的职能，从而完成稳定的业务汇聚，核心交换机之间可以通过万兆接口

捆绑互联提升核心区的高性能和高可靠性，核心区建议使用2台S9505E核心

交换机组成，每台设备均配置了FW、无线控制器模块，从而实现边界安全的防

御和大楼内无线AP接入管理

防火墙插卡模块的使用可以消除局域网接入层对上层网络的安全隐患，也相

当于在交换机每个千兆光电端口前免费部署了一台虚拟的防火墙。

? 局域网接入区：

楼层接入区负责本楼层各个业务部门的信息点接入，同时也担负着业务控制，

安全控制等分布层的职能。楼层接入区建议使用千兆接入。

接入层设备通过冗余的光纤分别连接上层核心交换机形成可靠的高速核心

网络。

将会成为办公及生产网络不可或缺的接入方案。本次H3C推荐的核心交换机支持WLAN无线控制器模块，在设备上扩展该模块后，可以平滑的使网络具备瘦另外，随着基于无线技术的业务（如WifiPhone）不断丰富，WLAN 网络

府机构使用WLAN技术布置无线城域网，进行承载部分业务，诸如：电子

政备、消防、信息等等，如：美国费城、荷兰阿姆斯特丹等。

无线局域网技术经过十几年的发展，已经历了三代技术及产品的发展。

第一代无线局域网主要是采用FatAP（即“胖”AP），每一台AP都要单独进行配置，费时、费力、费成本；
第二代无线局域网融入了无线网关功能但还是不能集中进行管理和配置，其管理性和性以及对有线的依赖成为了第一代和第二代WLAN产品发展的瓶颈，由于这一代技术的AP储存了大量的网络和安全的配置，包括加密的钥匙，
Radius client的安全密码(secret)等，而AP又是分散在建筑物中的各个位置，一旦AP的配置被盗取读出并修改，其无线网络系统就失去了安全性。另外由于AC或无线网关的硬件多数是基于Pentium架构的，所以当用户接入数量(IPsessions)增多时，无线网的性能会急剧下降，时常会发生掉线或死机情况。

在这样的环境下，基于无线交换机技术的第三代WLAN产品应运而生。

第三代无线局域网采用无线交换机和FITAP（即“瘦”AP）的架构，对传统WLAN设备的功能做了重新划分，将密集型的无线网络和安全处理功能转移到集中的WLAN 交换机中实现，间自适应、无线安管、RF监测、无缝漫游以及Qos。同时加入了许多重要新功能，，使得无线局域网的网络AP

性能、网络管理和安全管理能力得以大幅提高。

FATAP 与FITAP 两种组网方案对比

目前网络组建依然沿袭传统的设备堆叠的方式，当网络中需要什么功能的设

备就新添置一台设备，即在原有的设备基础上不停的叠加新的设备，如无线、防

火墙、IPS、语音、应用加速等等，如此以往，当网络需求的功能越来越多时，

需要新增加的设备也就越来越多，整个网络就像糖葫芦串一样，一旦网络出现故

障，需要排查的节点太多，不但会浪费大量时间，也使得用户重复投资严重，另

外，这种组网将耗费大量的机房空间和电力、网络管理复杂，即总拥有成本（TCO）

非常高。

H3C魔方矩阵式组网是在H3C核心网络设备上可以集成各种防火墙、无线、

IPS、应用加速、统一通信等模块，可以按需功能扩展；另外，此方式还有很强

的虚拟化能力，可以根据业务的需要将一张物理网络虚拟成多张业务网，轻松面

对业务扩展需要。相对传统组网方式，不但降低用户投资，而且统一管理，方便

维护。

1.1.4宁夏银行资金部特殊的网络拓扑结构

帧中继帧中继

网络拓扑

100M

100M

2M主线路 K备份线路