建设目标
在本方案中，我们力争做到在充分分析中海石油财务有限责任公司网络系统改造项目现阶段实际需要的基础上，考虑未来几年之内的发展状况，结合我们自身的资源和技术优势，提出一个相对来说比较完整、全面、具有较高的可实施性、技术领先又切合实际的长期建设规划。特别是结合中国体育总局的“规范”要求和实际系统的实施，为构造安全的计算机系统进行充分的论证。

我们深知，随着中海石油财务有限责任公司业务的稳健发展，这只是整个工程的第一步，正如建造一幢大厦，在打下第一块基石之前，就应该有一个完整的建设蓝图。我们真切地希望通过我们的努力，能够为各位领导提供最具价值的参考建议，并且通过我们之间的密切合作，为未来的业务需求打下坚实的基础。

在本方案的设计过程中，我们认真体会中海石油财务有限责任公司网络系统改造项目的实际需求和海油机构的信息系统安全要求，并且从中得到了启发。我们的目标是为您建设一个稳定、高效、先进、安全、可维护性强的网络系统。
需求分析

此次中海石油财务有限责任公司网络系统改造项目信息系统建设是一个在以有系统上衍生出来的一套扩展网络系统，网络总的设计原则是为网络提供备份功能，通过网络设备实现自动切换，新系统和原有系统提供无缝对接。通过新架设的网络设备对新规划的在网络系统提供冗余备份，对所有设备进行管理。整个网络系统达到高速、可靠。针对于此，我们首先从三方面描述贵公司提出的网络系统设计需求，包括：系统规模需求、系统结构及功能需求和系统设备需求。然后，结合公司多年从事系统集成的经验以及对体彩公司未来发展前景的理解来总结网络系统的设计需求。

系统整体架构

核心网络设备是两台高性能 cisco WS-C4948-E 交换机

隔离网络设备是两台 cisco ASA5520-BUN-K9 防火墙

边缘网络设备两台 cisco CISCO2911

核心交换机采用两台 WS-C4948-E ，同时使用 Spanning-Tree 技术提供交换网络冗余连接。两台核心交换机之间采用 2 个 1000M 端口互相连接，利用 CISCO GEC 技术使中心交换机之间的链路带宽达到 2000M 。同时，每台交换机通过千兆端口连接到每台被管理设备端口。 WS-C4948-E 采用 HSRP 技术使两台交换机之间互为备份，应用（前置机）流量通过划分 VLAN 到核心交换机，与交换机连接所有设备端口工作在二层。交换机与防火墙之间运行路由选择协议为静态。 WS-C4948-E 支持 CISCO 的智能交换技术以及其他的多种技术，满足了中海石油财务有限责任公司的现有的网络需求。

隔离防火墙采用四台 ASA5520-BUN-K9+SSM-4GE 板卡，防火墙采用主备模式，划分为 2 组应用，共划分为 10 个区域，其中第 1 组防火墙 6 个端口划分 6 个区域， 3 个端口连接交换机内区域， 3 个端口连接路由器外区域。其中第 2 组防火墙 4 个端口划分 4 个区域， 2 个端口连接交换机内区域， 2 个端口连接路由器外区域。每台防火墙使用 2 端口作为故障倒换端口，使用 Failover 技术提供防火墙冗余连接 , 防火墙之间的冗于类型为主备模式 , 实现了故障切换 , 为将网络中的设备出现故障的可能性降至最低提供了一种方法。根据业务的实际需求设置相应的策略 , 允许特定流量进入应用（前置机）网络 , 拒绝其它流量进出。 设备管理方式采用 Telnet 的管理地址。 防火墙运行路由选择协议为静态路由。

边缘路由器采用两台思科 CISCO2911 ，为本次项目提供 2M 专线接入 . 其中一个 100M 接口与防火墙相连 , 一个 100M 接口与另一个路由器互连 , 串型接口与银行端部分相连 . 内网接口 IP 构成设备管理地址 , 路由器运行路由选择协议为静态路由。

前置机冗余部署

为保证前置机业务的不间断性，为每台前置机配置了一台备用机，以满足当前置机出现故障时能够得到及时切换。同时每台前置机通过两条链路连接至核心交换机避免因为链路故障而导致前置机以及核心交换机的频繁切换。

设备冗余 ：前置机双机冷备，手动切换。

线路冗余 ：前置机双链路连接至主、备核心交换机，链路自动切换。

核心交换机热备份部署

核心交换机是负责数据交换的主要设备，同时承载前置机到网络的接入，因此在核心交换上进行 HSRP 热备份部署，对数据交换的持续性是一种有效的手段。

设备及链路冗余 ：双核心交换机 HSRP 热备份，设备或线路出现故障后自动进行切换。
防火墙热备份部署

防火墙为前置机及银行端数据提供网络安全功能，两台防火墙之间采用主 --- 备方式形成热备份组，组 1 负责对银行端 1 、 2 、 3 的数据进行安全防护，组 2 负责对银行端 4 、 5 的数据进行安全防护。一旦网络出现设备或者线路故障时，防火墙会相应进行切换，以避免数据终端。

设备冗余 ：当主防火墙出现物理故障或者上级主交换机出现物理故障时，防火墙会发生主备切换。切换动作自动进行，前端机及路由器不会发生切换。

线路冗余 ：主、备防火墙至主、备核心交换均有线路，互为备份，当此线路出现故障时会自动切换至备用线路。

路由器热备份部署

为了保证到银行端网络的连通性，采用两台路由器采用主、备的热备份方式，分别接入一条广域网专线，互为备份，没两台路由器到两台防火墙采用桥接的连接方式，可灵活的实现路由器及防火墙故障引起的切换。

 

设备冗余 ：双路由器采用 HSRP 进行热备份，当主路由器出现故障时，会自动进行主备切换，备份路由器使用备份线路继续转发数据。

线路冗余 ：双广域网线路可保证在一条线路失效的情况下数据不中断，同时路由器与防火墙间也存在备用线路，每台路由器与主、备防火墙间都连有连接，当由于防火墙或者到防火墙的线路发生故障时，主路由器会采用另外一条链路与备用防火墙进行通信，而不用切换至备用路由器，这样就减少了因故障导致路由器以及专线切换的范围。