在省级行业务网和监控专网之间部署一套防火墙设备，防火墙采用静态路由;安全监控专网规划单独的IP地址段(如：188.16.0.0/16)，通过防火墙的源IP地址和目的IP地址双向转换，实现业务网到监控网的访问，且业务网的路由表中不出现监控网的IP地址段路由，通过访问控制实现指定授权的IP访问视频管理设备。各级单位的三层交换机互联采用IP互联，并采用OSPF协议，将相关网段宣告到OSPF网络中实现路由的互通。

安全专网拓扑图

四、项目实现

江西省人民银行系统辖内共有1个省会中心支行，10个地市中心支行，79个县级行，共计90个单位，需建设安全专网将所有单位安全监控系统进行联网。

1.广域网线路实现

根据各级行的数据传输量，广域网线路选择租用业内技术成熟且费用较为实惠的MSTP线路，考虑到视频监控需要占用大量带宽资源，省级行到各市级行的广域网线路的带宽为20M，各市级行到县级行的广域网带宽为10M。

2.设备互联实现

省级行和各市级行互联接口均采用千兆光以太电口(SFP)，省级行三层交换机端口实现线路运营商专线接入的接口汇聚，省级行端采用以太端口并将端口设置为trunk模式，在省级行交换机上创建多个VLAN，每个VLAN对应一个地市级行，并在interface Vlan XXX上分配掩码为30位的IP地址，实现省级行到各市级行的IP层面的互联互通。省级行两台交换机使用虚拟化IRF技术增加网络的可靠性与性能。

各市级行端与县级行互联的端口设置为trunk，在各市级行端交换机的interface Vlan XXX下配置IP地址作为县级行的监控摄像头、硬盘录像机的网关地址。县级行的交换机则为二层接入设备，用于连接监控相关设备。市级行两台交换机使用虚拟化IRF技术增加网络的可靠性与性能。

省级行防火墙采用路由模式，用于逻辑隔离业务网与监控专网，防火墙外网接口用于连接安全监控专网的三层交换机，内网接口用于连接省级行业务网的核心交换机设备。

3.VLAN设计

4.IP地址规划

5.路由设计

省级行与各市级行的三层交换机采用三层互联，网络采用OSPF协议，使用单区域设计，将全网地址以network的方式宣告到网络中。

省级行业务网及监控专网的三层交换机与防火墙的互联线路采用三层互联，在交换机上通过静态的主机路由将下一跳指向防火墙设备，并将静态路由引入到OSPF中。 (责任编辑：admin)