某市商业银行网络优化方案

　　一、网络现状分析

　　某市商业银行网络结构分为两个出口，一个出口为到总行的线路，通过双线接入方式实现线路和设备冗余;另外一个出口为到人民银行线路，通过双线接入方式实线路和设备冗余。原计划是通过冗余实现热备，但是通过对网络物理结构和设备配置进行分析，发现该商业银行到人民银行线路无法实现热备。

　　² 两台UTM-200防火墙没有做到设备冗余，只是简单的使用静态路由切换，防火墙会话表等相关的状态信息不能实时相互备份，当有一条线路故障或者设备故障之后网络会不通。

　　² 两台外联到人民银行MSR3011路由器没有做双机热备，只是简单的使用静态路由进行备份。

　　² 路由器、防火墙没有配置Loopback地址，没有配置登录安全口令，不符合总行及银监局相关规定。

　　² 防火墙使用的是透明模式，无法实现双机实时备份需求及过滤功能。

　　²路由器、防火墙使用的IP地址不规范，设备间互联地址有27位掩码，也有30位掩码，不符合要求。

　　二、优化建议

　　针对上述问题做如下优化调整：

　　u 网络物理结构调整

　　² 两台路由器之间连接一根网线，用作VRRP协议HELLO报文的检测。

　　² 两台防火墙之间也同样连接一根网线，用作防火墙热备使用，备份防火墙状态信息，如ASPF检测信息，会话表信息等。

　　u IP地址规范调整

　　² 两台路由器和防火墙之间分别配置上loopback地址，同时规范设备间互联地址。

　　² 互联地址统一使用28位子网掩码的IP地址，其中四个地址用在路由器和防火墙互联接口上，其余两个地址用作VRRP协议的VID虚地址。

　　u 设备配置调整

　　² 两台路由器根据规范，修改并配置上与防火墙互联接口地址和VRRP相关参数。

　　² 防火墙把透明模式更改为路由模式并配置上与路由器和核心交换机之间互联接口地址和VRRP相关参数(基础参数配置略)。

　　² 修改核心交换机和防火墙之间的互联地址，并配置上VRRP相关参数。

　　² 路由器、防火墙、核心交换机使用静态路由，下一跳地址指向VID地址。

　　² 对所有设备登录管理口令进行配置，对网络设备的登录权限进行严格管理。

优化后的网络结构如下图所示：

　　三、优化后测试

　　² 手动断开MSR3011-A到U200-A之间的线缆，通过Tracertc测试，网络可以切换到备线上。

　　² 手动断开U200-A到S5500-A之间的线缆，通过Tracertc测试，网络可以切换到备线上。

　　² 手动将MSR3011-A设备断电，通过Tracertc测试，网络可以切换到备线上。

　　² 手动将U200-A设备断电，通过Tracertc测试，网络可以切换到备线上。

　　² 最后测试该行到人民银行的广域网线路。将MSR3011-A断电，通过Tracertc测试，网络可以切换到联通备线上。

　　通过上述网络优化，增强了该行网络的可靠性和安全性，为该行的业务运行提供了更好的保障。

2016年01月