某人寿保险公司网络系统建设方案

目录第一章前言3第二章需求分析3第三章方案设计原则431网络可靠性通过下述的设计思路来实现432先进性可以通过下述的设计思路来实现533网络安全性通过下述设计思路来实现534网络可伸缩性通过下述的设计思路来实现535网络集中管理通过下述设计思路来实现636网络高度融合性通过下述的设计思路来实现6第四章网络架构设计641北京网络中心的建设6411广域网设计7412局域网设计842省级网络中心的建设8421广域网的设计8422局域网的设计843企业网络拓扑结构图9第五章网络资源的规划951设备的命名规则与用途9511节点代码9512设备命名规则9513设备用途描述1052VLAN编号及用途说明1053IP地址规划1154QOS实施12541可选择的工具12542实现1455网络安全18551INTERNET接入安全解决方案18552LAN安全解决方案18553远程接入解决方案18554终端用户安全解决方案18555WAN安全解决方案1956路由策略19第六章VOIP系统1961概述1962北京网络中心的VOIP建设2163省级中心的VOIP建设2264VOIP网络拓扑结构图22第七章视频会议系统2271概述2272XX人寿公司的视频会议系统架构2473视频会议网络拓扑结构图25第八章基于IP的呼叫中心2581概述2582XX人寿公司的IPCC架构2783应用事例2984IPCC中心拓扑结构图29第九章数据存储与灾难备份系统3091概述3092XX人寿的SAN网络架构3093XX人寿保险公司异地备份架构3194数据存储与异地备份系统拓扑结构图32附录相关设备介绍32101CISCO7200路由器32102CISCO3800路由器36103CISCO2800路由器41第一章前言随着保险业的快速发展和越来越激烈的竞争，建立一个先进的通信平台对所有的保险公司来说都是非常重要的。对于当前的中国保险企业而言，IT已不单是一个应用工具而是一个战略性的武器。IT与保险业相结合，不仅可以防范风险、降底营运成本，而且还会大大提高保险企业的管理决策能力，增强盈利能力，从而提升保险企业的核心竞争力。保险IT应用的投资重点正在朝着数据管理集中化、管理决策信息等方向发展。保险业信息化的需求发生了很大的变化，保险业IT服务已从单纯的设备供应、安装维护，转向深层次的保险企业信息技术应用顾问服务和业务信息化全面解决方案的支持；从代理产品和技术转向自主产权的核心业务软件产品的提供。也就是说，保险公司的信息化需求已逐渐由“硬”向“软”过渡，且软件与服务的需求比重在逐年递增。现阶段，保险行业已建立了各类业务系统，例如核心业务处理系统、会计核算和财务管理系统、精算系统、代理人管理系统、CALLCENTER系统、辅助销售系统以及办公自动化系统等，部门之间、分支机构之间产生大量业务数据；各种应用系统的实施，例如ERP和CRM等；大量的多媒体的数据，例如客户服务中心（IPCC）、IP语音和视频会议。所有的这些数据都要集成到统一的基础网络中，基础网络平台的担负着保险企业的生产平台、办公自动化平台、管理平台和服务平台的重任。第二章需求分析XX人寿保险公司是最新成立的一家保险企业，作为一家全新的保险企业，信息化的建设与各类业务系统的建立有着同样重要的意义。XX人寿保险公司基础通信网络建设将覆盖全国范围内，对全国范围的业务数据进行大集中，基础通信网络将承载全国范围业务数据、VOIP和视频会议等多媒体数据、基于IP技术的呼叫中心数据（IPCC）、办公自动化数据、ERP和CRM等管理数据以及用于异地备份的存储数据。在全国范围内建设一个集中、高效、一致的数据平台，为各级机构提供业务分析、业务推进及业务监管等多种信息服务奠定坚实的数据基础。XX人寿保险公司的信息化建设分多期进行，第一期的网络基础设施建设的范围涉及公司总部和省级分公司。第三章方案设计原则XX人寿保险公司基础网络设施的建设目标是将这个网络平台建成为集业务、管理、办公及服务为一体先进、可靠、安全及具有高承载能力的统一的数据通信平台，实现“数字XX人寿、统一XX人寿、未来XX人寿”的远景目标。基于以上的建立目标，XX人寿基础网络平台的设计原则为1可靠性原则2先进性原则3安全性原则4可伸缩性原则5可管理性原则6融合性原则31网络可靠性通过下述的设计思路来实现公司总部采用两台路由器来实现热备份；省级中心通过双链路连接到公司总部；省级中心通过双ISP与公司总部互联；采用两台具有冗余热备份的防火墙；实现数据异地灾难备份；合理采用静态路由，提高可靠性。32先进性可以通过下述的设计思路来实现网络设备的先进性，采用集数据、语音、安全于一个平台的网络设备；公司网络可以启用MPLS功能，使MPLSVPN为公司内部以及公司与合作伙伴之间业务数据提供服务；公司网络可以提供IPV6服务，可以平滑与下一代互联网接轨；公司网络提供强大的QOS保证机制。33网络安全性通过下述设计思路来实现建立公司内部的网络安全策略在公司总部的网络出口处设置了强大的防火墙；在公司总部的核心交换机配置一块防火墙模块；对所有重要事件进行LOG；限制对设备的SNMP和TELNET；采用SSH和SNMPV3对网络设备进行管理；采用NTP协议对全网的设备进行同步；对不安全的端口上将路由协议进行PASSIVE，防止不必要的路由泄露；对网络设备的USER和PRIVILEGE状态进行存取控制；所有的网络设备都支持8021X协议；通过路由协议对网络中所有的设备进行验证。34网络可伸缩性通过下述的设计思路来实现公司网络采用明显的“核心分布”层次结构；简单而有效的IP地址分配策略；采用可靠和可扩展的IGP路由协议；公司网络未来多核心的设计思路；网络设备的可扩充性。35网络集中管理通过下述设计思路来实现采用先进的、可跨平台的网络管理软件；为中央网络管理系统配有专门的管理网段；从中央网管网段可以到达所有设备；36网络高度融合性通过下述的设计思路来实现业务平台、办公平台、服务平台和管理平台的高度融合；数据、语音、视频的高度融合；传统呼叫中心技术与基于IP的客户服务中心的技术融合；网络设备的功能高度融合，把数据、语音和安全融合到统一单一的平台。第四章网络架构设计本着“网络高效、可靠、科学运营并最大程度上保护网络投资，适应未来业务发展”的原则，我们按照四级网络结构建设，其中北京为网络系统核心，二级为省会中心，三层分布在各个地市级城市，四级则分布在县级城市。本期的基础网络平台建设包括北京网络中心的建设（一级中心）、省级网络中心（二级中心）的建设以及一二级网络的互联。41北京网络中心的建设北京网络中心是XX人寿信息化平台的核心节点，这个核心节点负责处理来自全国的范围内的所有数据，数据的来源包括各种业务数据、办公数据、多媒体数据、管理数据、ERP、CRM等应用数据、客户服务数据及未来用于异地备份的存储网络数据。基于以上数据大集中的需求，对北京网络中心的网络设备、网络结构、网络环境提出了极高的要求。我们从以下几个方面考虑北京网络中心的建立第一、北京网络中心的核心网络设备要具有很强的数据处理性能很高的物理可靠性提供业界领先的网络技术提供高带宽的线路接入第二、网络结构的可靠性北京网络中心采用两台核心设备提供网络的热备份主干线路和备份线路分别接入不同的ISP数据的存储系统和异地备份系统部署第三、网络环境的安全性在INTERNET入口部署功能强大的防火墙在网络中心局域网的核心交换机上部署防火墙模块在网络中心部署网络准入控制体系对于北京的网络中心，我们的建设目标是高性能、高可靠性和纯净的网络环境。411广域网设计基于以上的建设目标，我们强烈建议XX人寿广域网骨干采用155M的SDH，摈弃N2M的接入方式。这样的设计是基于以下考虑数据大集中需要有足够带宽的支持；N2M的接入方式虽然在初期的资金投入比155MSDH接入要少，但随着随着公司业务的不断发展，N2M的接入方式会是整个公司策略实施的瓶颈。当公司业务发展到一定的程度，公司还是要采用155MSDH接入，这样，多口2M的业务板会被淘汰，而且重新利用率非常的低；N2M的接入方式增加了网络拓扑结构和网络管理的复杂性；N2M的接入方式占用了更多的网络物理资源。备份线路采用2个PRI线路接入。412局域网设计北京网络中心的局域网采用双核心网络交换机进行热备份，保证局域网络的可靠性，同时在核心交换机上配置防火墙模块，保证局域网内部的安全性。在资金充裕的情况下，可以实施网络准入控制体系。对核心业务的数据部署存储区域网络（SAN），同时采用虚拟SAN（VSAN）技术对网络资源提供投资保护。对核心业务数据进行异地备份，根据距离的远近可采用DWDM（100公里以内）或SDH（数千公里）技术实现。42省级网络中心的建设省级网络中心是整个XX人寿基础网络的二级中心，从行政上来考虑，每个省的网络中心处理的业务量占全国业务量的1/32。所以，二级网络中心的建设有两个方面的意义。首先，二级网络中心是省内所有数据的汇接处，是一个省内信息系统的核心。其次，二级网络中心起着承上启下的作用。421广域网的设计省级网络中心与北京网络中心的广域网连接采用2MSDH的接入。备份线路采用ISDNBRI接入，备份接入全部采用回拨技术，保证接入的安全性，同时，对拨号连接进行CHAP验证。422局域网的设计二级网络中心的局域网采用双核心网络交换机进行热备份，保证局域网络的可靠性。网络内部通过VLAN对部门以及进行逻辑隔离，也可以对各种业务进行隔离，后者的VLAN技术是基于子网的VLAN技术。通过8021X对用户接入进行认证。为了配合XX人寿网络的多业务融合性目标，我们建议二级网络中心的路由器是一台全业务路由器，这个路由器要把数据、多媒体以及安全等功能集成到一个平台上。我们建议目前二级网络中心的路由器采用低端的路由器，随着业务量的增加我们可以升级二级网络中心的路由器，同时把替换下来的低端路由器重新利用到地市级或县级网络。43企业网络拓扑结构图第五章网络资源的规划51设备的命名规则与用途511节点代码SITESITECODE北京BJ上海SH广州GZSITE代码是地点名的拼音缩写而成。上图是以北京、上海和广州为例的示意表。512设备命名规则WBJ7206AWBJ7206B以上示意图表示了设备名称结构。上图表示了以CISCO7206为例，XX人寿北京网络中心用于广域网通信的路由器名称。513设备用途描述SITEDEVICEDEVICENAMEUSAGE北京7206WBJ7206ALEVEL1COREROUTER北京6509LBJ6509BLEVEL1BACKUPWANSITECODEEQUIPMENTTYPEACTIVE主WANSITECODEEQUIPMENTTYPEBACKUP（备）CORESWITCH52VLAN编号及用途说明作为一个规则，VLAN编号以SITE基准，即VLAN号在一个SITE内是唯一的，并且，统一的VLAN编号法有助于消除歧意和有助于排错。一般地，采用下面的VLAN编号规则VLAN1用于管理网段；VLAN2VLAN10用于设备互连网段；VLAN11VLAN50用于各种业务子系统；VLAN51VLAN100用于SERVERHOSTING。SITEEQUIPMENTVLANUSAGEVLAN1MANAGEMENTSUBNETVLAN2UPLINKTO7206VLAN11核心业务处理系统VLAN20会计核算和财务管理系统VLAN25代理人管理系统VLAN30精算系统VLAN40办公自动化系统北京LBJ6509AVLAN50辅助销售系统VLAN51财务服务器以上表格以北京为例，表达了划分VLAN的思想。此表格不代表最终设计结果。53IP地址规划为了有效使用IP地址，必须对IP地址进行子网化，通过对每个AREA用VLSM可变长子网掩码进行地址分配可以最大限度的利用IP地址。XX人寿采用私有地址段10000/8作为全网互连的IP地址网段。每个省分配两个CLASSB的地址段，其中奇数段用于WAN互连，偶数段用于LAN的互连。地市级中心按需分配256个CLASSC的地址段。下表是以行政省为单位的IP地址分配，其中北京WAN的IP地址用于连接总部到各省及北京本地区WAN的连接。LAN的IP地址只用于北京本地区使用。IPADDRESSSITEWAN/LANFIRSTBYTESECONDBYTETHIRDBYTEFOURTHBYTEMASKWAN1010016北京LAN1020016WAN1030016上海LAN1040016WAN1090016山西LAN10100016IPADDRESSSITEWANFIRSTBYTESECONDBYTETHIRDBYTEFOURTHBYTEMASK山西至临汾WAN1090430临汾至乡宁WAN1091430SITELANIPADDRESSFIRSTBYTESECONDBYTETHIRDBYTEFOURTHBYTEMASK临汾LAN10101014024乡宁LAN1010103228此表格是体现IP地址分配的思想，不代表最终设计结果。54QOS实施541可选择的工具在XX保险公司网内对TRAFFIC进行PRIORITIZATION和RATECONTROL有多种方法。COS只能提供差分服务在网络边缘对每个PACKET进行分类，骨干网对分类过的PACKET提供有区别的服务。QOS则能够提供更好和更可预测的网络服务，包括支持独占的带宽减少丢包率避免或解决网络拥塞设置TRAFFIC在全网的优先级要在XX保险公司网上建立端到端的COS服务结构，主要可以采用的技术手段有IPPRECEDENCECLASSIFICATIONCOMMITTEDACCESSRATEWEIGHTEDRANDOMEARLYDETECTION1、IPPRECEDENCEFORTRAFFICCLASSIFICATIONIPPRECEDENCECLASSIFICATION在网络边缘进行，利用IPV4包头的TYPEOFSERVICE3个比特对每一个IP包依据其地址进行优先级分类。最多可以将TRAFFIC分为6个等级。在核心利用不同的QUEUING技术对不同等级的TRAFFIC进行不同的处理，使得不同的服务级别得到体现。2、用CAR限制接入的带宽COMMITTEDACCESSRATE提供一种手段来提供承诺的带宽和限制带宽使用，在此同时，提供处理超出承诺带宽以外流量的策略。CAR可以配置在二级网以下的路由器，可以基于接入的端口、IP地址以及传输层的端口号进行分类。CAR采用令牌桶的算法进行流量整形。对于超出的流量，CAR利用EXTENDEDBURST定义阈值，超过阈值的流量降低优先级或丢掉。CAR的策略选项包括FIRMCAR超出的流量被丢弃CARPREMIUM超出的流量被标为更低的优先级CARBESTEFFORT超出的流量有一个突发的阈值，再超出该阈值的流量被丢弃PERAPPLICATIONCAR不同的CAR策略作用于不同的应用。比如，重要的应用采用CARPREMIUM策略，多媒体应用采用CARBESTEFFORT策略。3、用WRED进行拥塞管理采用WRED进行拥塞管理。WRED在网络的瓶颈处监视并缓解网络的拥塞。XX保险公司的网络瓶颈可能出现的地方主要是各级网络中心WAN连接的地方。WRED监视网络的负载，当拥塞开始刚出现时，它就开始有选择的丢弃一些包以降低流量。其结果是，数据源觉察到丢包，就开始降低发包的速率，从而避免了拥塞。WRED丢包的策略为低优先级的流先丢，以保证高优先级的流可以顺畅通过。在可能发生拥塞的端口运行WRED和DRR是避免拥塞的较好的选择。542实现在具体实现中，为了达到最好的效率，需要对任务进行分工。因为COS是一个需要消耗很多处理器资源的应用，所以这一任务分配在各级中心路由器上运行，以减少对单独路由器的压力。实现基于COS的差分服务结构需要4个步骤入口的带宽限制在二级以下的路由器和各级LAN核心交换机上实现，同时完成入口TRAFFIC的CLASSIFICATION。针对不同的用户策略进行分类。对需要提供带宽保证的流量，如多媒体TRAFFIC，在各级路由器和LAN核心交换机上按IP地址进行CLASSIFICATION，将这类流量的IPPRECENDENCE值置为高，其它流量置为低。各级WAN设备也需要做带宽管理的工作，采用CAR，对各种业务以及应用按照一定的比例对其进行带宽限制。二级以上的路由器完成COS的管理工作，进行有差别的服务质量保证。出口设备，作WRED设置，预告丢弃可能造成拥塞的非重要IP包。入口、出口设备对带宽的限制保护了网络免于拥塞，使得网络具有很高的可扩展性。CAR采用了一个令牌桶的算法进行流量整形，原理示意图如下当数据流出时，TOKEN从桶中相应流出。TOKEN以恒定速率补充到桶中，这个速率就是承诺的带宽。桶中可以有的最多TOKEN数目就是一般突发数据长度。当数据到达时，如果桶中的TOKEN数目不够数据的长度，这时，EXTENDED突发容量就起作用了。BURSTCAPABILITY可以通过设置EXTENDEDBURSTVALUE大于NORMALBURSTVALUE来达到。EXTENDED突发可以让突发的数据借用一些TOKEN，这样可以以一种类似RED的方式丢弃PACKET，而不是直接丢弃掉。在端口上配置的策略作用于TRAFFIC，可能的动作包括TRANSMIT发送出去这些包。SETPRECENDENCEANDTRANSIMT设置IP包头中TOS域的值，以对TRAFFIC进行分类。这种分类分为2种，COLOR和RECOLOR，后者指对TRAFFIC进行重新分类。DROP丢弃数据包。CONTINUE继续测试CAR的下一条语句。SETPRECENDENCEANDCONTINUE设置IP包头的TOS的值，然后继续测试下一条语句。下面是设置NORMALBURSTNB和EXTENDEDBURSTEB值的公式NBRATETIME/8EB2NB这里RATE是COMMITTEDBANDWIDTH，TIME一般设为05秒。2、配置WRED在城域网可能发生瓶颈的地方配置WRED，从整个XX人寿网络来看，可能发生瓶颈的地方是WAN的汇聚接口。RED随机早期丢弃是利用TCP窗口机制而采用的拥塞避免技术，通过在拥塞发生前随机丢弃一些包，RED通知数据源，可能要发生拥塞，请降低速率。WRED依据IPPRECENDENCE来丢弃数据包，以保证优先级高的TRAFFIC得到服务保证。WRED一般配置在核心路由器上，而不是接入路由器。在本网络中WRED配置在二级以上的WAN路由器上。WRED的处理流程如下计算平均的队列长度如果平均队列长度小于域值下限，将到来的包放入队列中如果平均队列长度在域值的下限和上限之间，是否丢弃该包取决于这个包的优先级如果平均队列长度大于域值的上限，则丢弃该包。下面是在北京网络中心核心路由器上的POS链路上的WRED的SAMPLECONFIGURATIONINTERFACEPOS2/0IPADDRESS10111255255255252RANDOMDETECT虽然可以修改队列度的域值，但CISCO不推荐这么做，因为，缺省的WRED配置是已被证明是高效的了。举例说明北京网络中心的核心业务系统服务器的IP地址为102110，上海用于处理核心业务系统的VLAN为104132/28,现在用QOS来保证北京与上海之间的核心业务系统的优先级为最高，带宽为500K。北京中心路由器配置CLASSMAPMATCHALLSHTOBJMATCHACCESSGROUP100CLASSMAPMATCHALLBJTOSHMATCHACCESSGROUP101POLICYMAPTO_BJCLASSSHTOBJBANDWIDTH500SETIPPRECEDENCE5CLASSCLASSDEFAULTFAIRQUEUEPOLICYMAPTO_SHCLASSBJTOSHBANDWIDTH500SETIPPRECEDENCE5CLASSCLASSDEFAULTFAIRQUEUEINTERFACEGETHERNET1/0/1DESCRIPTIONBJLANIPADDRESS102101255255255252SERVICEPOLICYOUTPUTTO_BJINTERFACEPOS1/0/01DESCRIPTIONBJTOSHIPADDRESS10111255255255252SERVICEPOLICYOUTPUTTO_SHACCESSLIST100PERMITIP104132255255255240HOST102110PRECEDENCECRITICALACCESSLIST101PERMITIPHOST102110104132255255255240PRECEDENCECRITICAL上海分公司也做相应的配置55网络安全在具体实施公司网络的安全保护前，必须详细编写XX人寿公司的网络安全策略。公司的安全策略是实施和管理公司网络安全的准则。551INTERNET接入安全解决方案XX人寿公司在公司网络的INTERNET接入点配置两台防火墙和两台IDS，防火墙与IDS各自之间可以FAILOVER。552LAN安全解决方案在局域网中的核心交换机上配置防火墙和IDS模块，控制VLAN间的网络安全。553远程接入解决方案在公司总部部署VPN集中器，并且在客户端安装VPNCLIENT软件，使远程用户与公司之间传输的数据得到安全的保护。针对远程用户部署访问控制服务，对每个远程接入的用户进行安全的认证。554终端用户安全解决方案公司统一部署防病毒软件，如果资金允许可以在公司内部部署准入控制系统。局域网中的终端用户必须经过8021X认证才可以访问网络。555WAN安全解决方案在路由器之间进行MD5认证；可以在公司总部和省级网络中心之间部署MPLSVPN；在路由器上关闭不需要的服务；以适当的级别登陆路由器。56路由策略考虑以下几个方面的原因，XX人寿公司的网络路由协议采用OSPF静态路由协议。OSPF是开放的IETF标准协议；OSPF已被证明是可靠的和可扩展的；高效的路由聚合和缺省路由机制在OSPF中是现存的；OSPF和MPLS的结合是被证明成功的，而ISIS和MPLS的结合需要对ISIS进行修改；静态路由具有很强的稳定性。一级和二级中心的路由器运行OSPF在AREA0中，二级中心到三级中心路由器以省为单位分别运行OSPF在AREA1AREA31，四级网络中心采用静态路由协议与三级网络中心互联。第六章VOIP系统61概述XX保险网络的建设很重要的一部分就是在数据网络上承载多媒体应用，XX保险公司的网络建设完成后，可提供很高的QOS等服务质量保障，这一切为XX保险公司构建系统内部数据、话音、视频等三网融合的网络提供了必要的网络平台。另一方面伴随着DSP技术的发展和基于H323、MGCP等多媒体协议的标准完善，各类提供基于IP平台的话音、视频设备大量涌现，语音、图像质量已达到令人满意的水平；同时基于VOIP的多种通信网关、客户端间的呼叫转移、语音EMAIL等智能语音业务，也极大丰富了话音这种传统人与人之间交流方式的业务拓展。从这两方面考虑，采用VOIP技术实现XX保险公司内部的语音业务，已是大势所趋。XX保险公司具备自行管理的PBX系统，提供内部话音服务；PBX系统与电信PSTN网互连，实现与公众网的交互，长途中继采用电信线路。这样XX保险公司的语音网实际是建筑在电信公网基础之上，存在长途话费昂贵、各类智能业务依靠电信提供，无法实施行业内部的诸如语音EMAIL等智能话音业务的问题。随着XX保险公司建成覆盖全国的IP网络，带宽可满足承载一定容量的VOIP电话的要求，所以从减少巨额长途花费、实现智能业务等几方面考虑，采用VOIP改造XX保险公司语音网。简单地说，VOIP的基本原理就是通过语音压缩的设备对我们的话音进行压缩编码处理，然后把这些语音数据根据相关协议进行打包，经过IP网络把数据包传输到目的地，再把这些语音数据包串起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由IP网络传送话音的目的。企业使用VOIP所获得的优势消除长途话费。企业成功使用VOIP语音网关之后，能够完全消除公司各分部之间高昂的跨国，跨区长途话费。新一代VOIP的外线打出功能还将覆盖面由公司内部各点之间扩大到城市与城市，国家与国家之间。清晰、稳定、低延时的话音质量。先进的拨号规划。先进的拨号规划和地址对应功能，令其轻而易举的连接到PBX交换机上，灵活且多样化的拨号通达各个目的地。节省带宽资源。电路交换电话消耗的带宽为64KBIT/S，而IP电话只需810KBIT/S，从而节省了带宽，降低了成本。便于集成智能。VOIP电话网集成了计算机网的智能模块，可以灵活地控制信令和连接，有利于各种增值业务的开发。开放的体系结构。IP电话的协议体系是开放式的，有利于各个厂商产品的标准化和之间的互相连通。多媒体业务的集成。IP电话网络同时支持语音、数据、图象的传输，为将来全面提供多媒体业务打下了基础。XX人寿网络VOIP的具体实施方案62北京网络中心的VOIP建设在北京网络中心的路由器上配置适当数量的语音端口适配器，通过这个语音端口适配器直接连接到公司的PBX交换机。路由器上的语音端口适配器执行的功能包括编解码器压缩、语音活动检测以及VOIP呼叫的分组功能。路由器在语音的网络中作为语音通信的网关。路由器通过与PBX交换机的连接，使公司的IP网与传统的PSTN互通。在公司总部部署适当数量的网守，在IP电话中，网守处于高层，是用来管理IP电话网关的。网守的主要功能区域管理由于IPPHONE网络正在发展中，网络的拓扑结构各种各样，考虑到目前的发展趋势，网守在结构上应能适应各种结构，既能支持单网守、单区域，也能支持多网守、多区域；在多区域情况下，各个区域即可以建立平等和直接的联系，也可通过上级网守联系。每个区域可配置多个网守，以用于备份和负荷分担。每个网关保存两个网守的地址，网关启动后定期向网守发RRQ登录，如果登录失败，则向另一网守登录。登录时网守保存网关的登录生存周期，超时后未重新收到网关的RRQ则认为网关故障，将其状态置为不可用。在XX保险公司的VOIP网络的初期规划中，我们部署为单区域语音网络，整个XX保险公司的VOIP网络集中管理。随着业务量的增加和业务范围的扩大，可以部署多区域的VOIP网络。地址解析网关接受被叫号码，接收完被叫号码后把号码送给网守，网守在路由表中查找目的网关的IP地址，找到目的网关后在ACF中返回其IP地址到本地的网关，网关根据目的网关的IP地址把语音数据通过XX人寿保险公司内部的IP网络传送到目的地。带宽管理由于每个网关接入到公司内部IP网络的带宽有限，为了避免在话务高峰期造成网络拥塞，影响所有的呼叫，网守可设定进行带宽管理。路由管理为了提高网络的可靠性和接通率，对话务流量进行分配，网守提供路由管理。在路由表中，每个区号可以对应多个路由，路由具有优先级，选路时先选高优先级路由，如果高优先级路由拥塞或不可达，再选低优先级的路由。63省级中心的VOIP建设在省级网络中心的路由器上配置适当数量的语音端口适配器，通过这个语音端口适配器直接连接到本地的PBX交换机。路由器上的语音端口适配器执行的功能包括编解码器压缩、语音活动检测以及VOIP呼叫的分组功能。路由器在语音的网络中作为语音通信的网关。省级网络中心的语音网关到公司总部的网络中心的网守注册，省级网络中心的语音通信管理由公司总部来集中管理。64VOIP网络拓扑结构图第七章视频会议系统71概述视讯会议（也称电视会议、会议电视、声像会议、视频会议等，下面我们统一称视讯会议）是集语音、图像、数据于一体的一种交互式多媒体通信业务，视讯会议实现了语音、图像、数据等信息综合在一起的远距离传输，使人们身处异地，利用视讯会议，即可以听到对方的声音，又可以看到对方的图像，甚至还可以共享数据，大大增强了异地开会的效果。交互式视讯会议系统一般由终端系统、传输线路、多点控制单元（MCU）等几部分组成。终端系统终端系统由终端编解码器以及摄像机、麦克风、电视机等外围设备组成。终端的作用是将某一会议点的实时图像信号、语音信号及相关的数据信号进行采集、压缩编码、多路复用后经传输线路送到MCU；同时将从传输线路上接收到的视讯信号进行分别解码处理，还原成会场的图像、语音及数据信号；视讯终端还要将本端的会议控制信号（如申请发言、申请主席等）传送到MCU；同时还需执行MCU对本端的控制指令。终端外围设备主要包括摄像设备、显示设备、音频输入/输出设备等，摄像设备通常由带云台的主摄像机、辅助摄像机和图文摄像机等组成。主摄像机通常用于摄取与会者的面孔等主要部分；辅助摄像机用于摄取主会场广角场面；图文摄像机（也通常称为视频展示台）用于摄图片、小型实物、文件等静止画片或物体。显示设备最简单的是使用电视机，目前大尺寸正投影、背投影设备通常在豪华的会议室使用较多。音频输入设备主要指麦克风，可以把麦克风直接接到视讯终端上，也可以通过调音台再接到视讯终端上，也可以把录象机、VCD、DVD的音视频号输入到终端。音频输出设备可以利用电视进行音频输出，也可以通过功放音响系统进行输出。终端控制设备，可以是一台PC机，也可以手持遥控器，用于终端系统的控制、维护、管理等功能，用户可以通过它来控制会议。多点控制单元多点控制单元（MULTIPROTOCOLCONTROLUNIT，简称MCU）是视讯会议的控制核心。当参加会议的终端数量多于2个时，通常需要经过MCU来进行控制。所有终端都要通过标准接口连接到MCU，MCU按照国际标准H320与H323系列建议的规定实现图像和语音的混合与交换，实现所有会场的控制等相关功能。MCU实现或多个信号汇接处理设备，包括图像、语音以及数据的汇集和处理，它是视讯会议的核心部件之一，基本功能如下（1）接收来自终端的视频、音频、控制等各种数据组合而成的数字流。（2）提取各方的音频分量并进行混合处理，即将数字音频信号混合相加，再变成数字流输出到各终端。（3）对视频和控制数据进行选择和切换处理。（4）发送需要的数字流到各终端。（5）提供多种会议控制方式。MCU是信息的汇接处理设备，完成多个终端之间的信息交换和信息处理。72XX人寿公司的视频会议系统架构XX人寿网络公司的视频会议系统采用H323通信协议。在北京网络中心部署一台MCU和适量的视频终端。也可以配备一台GK（网守），在H323系统中，GK是可选择的，它为H323端点提供呼叫控制服务。当系统中存在H323GK时，其必须提供以下四种服务地址翻译、带宽控制、许可控制与区管理功能。带宽管理、呼叫鉴权、呼叫控制信令和呼叫管理等为可选功能。随着人们对视讯系统业务特性及可管理特性等方面的要求的不断提高，GK在视讯系统中扮演的角色也益发重要。在各个省级公司配置视频终端。当公司的业务范围扩大后，在省级公司部署一台MCU，三级分公司的网络配备视频终端。所有公司内部的视频数据通过公司内部的IP网络传输。基于H323协议的MCU和视频终端可以直接连接到以太网交换机上。73视频会议网络拓扑结构图第八章基于IP的呼叫中心81概述呼叫中心（CALLCENTER），是以电话作为主要接入手段，结合传真、EMAIL、WEB等接入方式，快速、正确、亲切、友好地完成大规模信息分配和业务处理的客户服务中心（CUSTOMERCARECENTER）。它实际上是一种基于计算机与电话集成（COMPUTERTELEPHONYINTEGRATION），充分集成通信网、计算机网和信息领域的多项技术，并与企业连为一体的完整的综合信息服务系统。使用呼叫中心，能高质量、高效率、全方位地为用户提供多种服务，从而实现企业的成本最小化和利润最大化。中国保险行业市场竞争的日趋激烈，企业间的竞争将从基于产品的竞争转向基于客户资源的竞争。客户资源将替代传统的金融产品，成为企业关注的重点。为了生存与发展，中国保险企业尽快制定和实施CRM战略已经成为当务之急。呼叫中心是CRM的重要组成部分之一，基于IP的呼叫中心可以帮助各企业扩展传统的客户交互渠道，提高客户忠诚度并保持竞争力。与传统的呼叫中心相比，IPCC解决方案具有显著的商业优势。首先是地理位置不限。无论坐席的物理位置在哪里，只要他们能访问企业网络，就可以像现场一样操作，根据需要接受联络中心查询并作出响应。借助基于IP的虚拟电话中心，各企业可以更好地利用位于分支机构办公室的联络中心员工，允许他们像远程工作人员那样在家里工作。借助这种灵活的模式，各服务机构可以在需要的时候增加在线坐席的数量，因而能轻松、有效地实行“全天候”客户支持计划。第二，成本优势是IPCC的又一大特点。支持IP语音后，各服务机构可以将语音和数据网络合并成一个基础设施，不但可以降低购买和运作成本，还可以在任何一个地方培植和管理公司的商业规定，从而使客户在统一的服务策略下得到优质的服务。第三，IPCC可以将多媒体引入呼叫中心，用集成方式管理，使客户在所有交互渠道上获得一致的体验。这种方式不但能使客户交互更加个性化，还能提高整体客户满意度。第四，值得一提的是，IPCC解决方案不但允许企业以自己的步调采用基于IP的新应用，在呼叫中心方面，还可以与基于TDM的电话系统共存，从而保留了原有投资并可利用现有的IP数据基础设施。XX人寿公司的IPCC是建立在VOIP网络的基础上，IPCC部署在北京总部的网络中心。XX人寿公司IPCC建设完成后，将向国范围内的用户提供服务。之所以说IPCC是建立在VOIP网络的基础上，是因为XX人寿公司的VOIP网络为IPCC提供了通信的基础设施，包括通信介质，IP语音网关及网守。要成功的建立一个IPCC中心，需要硬件和软件两方面的结合，公司的VOIP网络为IPCC的建立提供了良好的硬件环境。一个IPCC中心是否能提供良好的客户服务，关键的因素主要体现在呼叫中心的软件功能和处理机制上。一个完整的IPCC中心包括硬件和软件两个方面。IPCC硬件方面的组件包括公司内部的IP网络VOIP网关每个IPCC解决方案均包括VOIP网关,该网关通过将模拟与数字语音转化为IP包并在PSTN与IP电话网络之间建立连接路径。网守为IP电话以及OIP网关等信IP语音设备提供了传统的PBX电话特性与功能（基本呼叫处理、信令与连接服务），同时也可以提供保持、转接、前转、会议、自动路径选择、快速拨号、上一号码重拨等辅助和改进型功能。呼叫接收控制可以确保在WAN链路带宽受到限制时能够维持语音服务质量（QOS）水平，同时在没有WAN带宽时可以自动将呼叫转接到PSTN。IP电话PC机用于安装坐席软件，是IPCC中心人员与客户交流的一种工具。IPCC软件方面的组件包括CTI软件CTI软件是呼叫中心的核心部分，它的作用是把来自TDM、INTERNET或IVR等各方面的用户信息以最优途径传送到坐席。IVR软件IVR软件的功能是处理来自用户的语音，对其进行预先设定的自动语音交互。82XX人寿公司的IPCC架构以CISCO公司提供的IPCC解决方案来构建XX人寿公司的IPCC中心。IPCC中心的硬件部署已经在公司的VOIP网络中实现，以公司内部的VOIP网络为基础，在北京总部网络中心部署功能强大的呼叫中心软件系统就可完成XX人寿公司的IPCC中心。在北京总部的网络中心部署CISCO公司的ICM系统。用户可以通过INTERNET或PSTN等多种途径来获得IPCC中心所提供的功能与服务。CISCOICM软件可使公司通过INTERNET或PSTN并利用ACD、IVR、WEB与EMAIL服务器、桌面应用等与其客户进行交互。基于网络,ICM软件可根据被叫号码、主叫号码、呼叫者输入的数字、以WEB形式提交的数据、从客户背景数据库获得的信息对每个客户进行区分。与此同时,系统根据从联系中心平台与座席桌面收集的实时状态信息获知哪些资源能够用来满足客户的需求。这种客户与联系中心信息结合后形成的数据由根据业务需求制定的路由脚本进行处理,可使ICM软件将每个联系信息路由到最佳的企业资源。同时,CISCO平台将为受理座席桌面提供客户相关信息。作为IPCC的一部分,ICM软件提供了ACD功能,包括对座席状态的监测与控制、联系信息的路由与排队、CTI功能、面向座席与管理员的实时数据以及用于管理的历史报告功能。具体的ICM系统组件包括ICM软件外设网关PGPG提供了ICM软件与一个系统组件之间的接口。IPCC包括用于CISCOCALLMANAGER的PG软件、IVR以及ICM软件CTI服务器。PG从一个外设收集信息并将数据提供给ICM平台,从而执行预选路由与后选路由功能,每个PG依据每个座席与联系访问的相关信息对事件进行跟踪,从而确保做出最精确的路由决策。ICM软件CTI服务器与座席桌面ICM软件的CTI组件可使用户实施全面的网络到桌面CTI战略,包括座席工作站的综合功能。基于服务器,ICM平台管理NTERNET、电信商网络、ACD、IVR、WEB服务器、业务应用、数据库以及ICM平台本身提供的实时与历史信息。此外,CTI服务器可在呼叫进行过程中随事件的出现为服务器实时提供座席、联系与客户数据。桌面系统CISCO解决方案带有一个完整的座席软电话,该软电话使用ACTIVEX控制和JAVA,提供对CTI服务器的完全访问,同时获得了电话系统的详细信息。因此,开发人员与联系中心管理人员无需进行复杂的编程或系统集成即可快速将CRM等应用集成进IPCC。ICM软件管理工作站AWICM管理工作站是与ICM环境相连的用户界面,可使系统管理员与操作管理员定义、修改或浏览路由脚本,管理系统配置,监控联系中心性能,定义并请求报告,确保系统安全性。专门设计的工具采用WINDOWS环境的术语和简单的“点击“命令,从而操作直观易学。83应用事例在上海的一位XX人寿的客户需要咨询XX人寿的某种保险的相关信息，他通过某种渠道得知XX人寿公司的全国统一的免费服务电话5555，客户利用家中的固定电话拨打5555。现在让我们查看一下IPCC整个的处理流程。1、客户拨打号码5555通过运营商的PSTN网络交换到了XX人寿公司的VOIP网关。2、VOIP网关收到这个呼叫，把这个呼叫从TDM协议转化为IP协议。3、VOIP网关将包含被拨号码、CLID以及CED的路径请求发送到CALLMANAGER。4、CALLMANAGER通过ICMPG将路径请求转发到ICM软件。5、ICM软件查询帐户信息并分析信息，以决定如何路由。6、ICM软件调用一个客户定义的路由程序来选择最合适的IPCC坐席，用于接收联系信息并通过PG将这一路径目的地信息发送到CALLMANAGER。7、PG的CTI服务器组件将客户背景数据以弹出屏幕的形式发送到受理坐席的桌面。8、CALLMANAGER指示VOIP网关将客户与受理坐席连接。9、VOIP网关建立语音连接。10、这为来自上海的客户连接到XX人寿的IPCC中心，享受IPCC中心所提供的优质服务。84IPCC中心拓扑结构图第九章数据存储与灾难备份系统91概述对于保险行业来说，业务数据固然是企业业务运行的血脉，是企业至关重要的资产。随着业务的深入开展，保险公司的数据会急剧增加，据统计，在过去的五年里，数据正在以每年200的速度增长，其规模已经从GB级向TB级膨胀，急剧增加的数据成了越来越麻烦的事情。这是因为大多数数据是一些一旦存储起来就永远不再或者不能更改的所谓“静态数据“，比如电子邮件存档、扫描图形文档、财务/合同文件、数码图像、在线音像出版物等等。为了满足不断增长的数据存储需求，企业需要增加存储容量来满足数据增长需求，同时为了满足快速访问的要求，信息主管一般会让所有数据能够在线访问，而不是离线存储。这样造成的结果就是企业在存储设备上的总体拥有成本TCO在不断上升。如果按传统的做法将经常不用的数据存放到成本较低的存储介质上，比如磁带库，则又会产生另外一个问题数据格式在更改后再迁移就比较麻烦，而且在追求快速、透明地访问存储系统上的数据的趋势面前，用备份方式存放到磁带系统上的解决方案是不可能满足要求的。因此，保险公司需要一个高效、快捷的存储解决方案。通过这个解决方案，保险公司可以动态、透明地访问电子邮件、X光扫描图形文档、财务/合同文件、数码图象、在线音像出版物等等大量静态数据，以充分发挥静态数据的整体效率。从网络架构上来看，目前的存储网络存在着物理资源上的很大浪费。企业的每个应用或业务系统的数据为了安全性的考虑，都建立了以业务为单位的、物理上相互独立的SAN，这样，就造成了设备上的浪费。92XX人寿的SAN网络架构在XX人寿的SAN部署中，为了避免上面所提到的物理资源的浪费，我们决定在北京总部网络中心SAN的部署中应用虚拟的存储区域网络VSAN。虚拟SAN（VSAN）功能的最重要目的是实现对大型SAN的更加有效、安全的管理。VSAN是一种在光纤通道交换阵列中实现更高安全性和可扩展性的机制。VSAN可以在物理上连接到同一个交换阵列的设备之间提供隔离，从而可以在一个共同的物理基础设施上创建多个逻辑SAN。与物理上相互隔离的SAN相比，VSAN可以提供更高的灵活性。将一个设备从一个VSAN转移到另外一个设备，只需要在端口级别进行配置，而不必进行物理移动。与单纯的“分区”技术相比，VSAN可以在数据帧传输的每个步骤上加强控制，而不是仅仅在交换阵列边缘进行控制，从而可以为流量的隔离提供一种更加完整的机制。交换阵列服务的VSAN分隔，可以将交换阵列的重新配置或错误限制在某一个VSAN中，从而可以大幅度降低网络的不稳定性。如果某个交换阵列功能，例如交换阵列最短路径优先（FSPF）协议发生了故障，故障的影响只限于该VSAN，而不会对交换阵列中的其他VSAN产生影响。VSAN还可以在不同的VSAN之间提供与物理隔离的SAN相同的隔离。流量不能穿越VSAN边界，而设备也不能位于多个VSAN中。VSAN的这种属性对于服务供应商环境非常重要，因为这种环境必须确保不同客户之间的完全隔离。因为每个VSAN分别运行自己的交换阵列服务，所以每个VSAN都拥有自己的分区服务器、名称服务器和FSPF，并可以用与没有VSAN功能的SAN一样的方式进行分区。VSAN可以让客户将一些不能充分利用端口的、物理上隔离的交换机基础设施整合成一个物理基础设施，并将其作为一个统一的逻辑设备进行管理，从而节约大量的资金。这种统一的基础设施不仅更加便于管理，而且从网络整体而言，它占用的端口数更少。93XX人寿保险公司异地备份架构为了保证XX人寿保险公司的业务持续的运行，建立公司数据异地备份系统是非常重要的一个方面。XX人寿保险公司的异地备份数据传输是通过公司内部的IP网络，这充分利用了公司的网络资源。北京数据中心的SAN是通过FIBRECHANNEL来实现的。为了让FIBRECHANNELFRAME通过公司的IP网传输到远端的备份中心，我们在北京中心的核心路由器上配置一块协议转换卡，把SAN的FIBRECHANNELFRAME封装到IP协议中，然后通过路由器把SAN的数据传送到远端，在远端的路由器上做相反的工作，还原SAN数据，存储到相应的介质上。SA