银行网络工程课设.docx

银行网络工程课设.docx

《银行网络工程课设.docx》由会员分享，可在线阅读，更多相关《银行网络工程课设.docx（22页珍藏版）》请在冰豆网上搜索。

银行网络工程课设

前言

随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依赖于信息系统。

为了适应原有计算机网络的发展和扩大，以及适应各企业、事业部门筹建新的计算机网络，从事通信事业的部门和公司纷纷建立公用数据通信网络，增设各类数据通信服务项目。

由于有了公用数据通信网作为基础后，想要筹建新的计算机网络时，只要根据使用者的要求和资源设置情况，制定较高级别的网络协议，并在相应主机系统上用本国相应协议的支持软件即可。

一般地说，在公用数据通信网的基础上可以建立多个类型、功能、协议均不相同的计算机网络。

因此，同一主机系统可以从用于不同的计算机网络，只要在同一主机中配置不同的网络所需要的基本软件就可能做到这一点。

更进一步，如果在不同计算机网络之间，群制定网络互连协议配置相应软件，就能构成更复杂的、规模更大的计算机网络。

随着网络的逐步普及，银行的网络规划与设计是信息发展的必然选择，它不仅为现代化发展和办公自动化等一系列应用提供基本的操作平台，而且还能提供多种应用服务，使信息能准确的传送给各个系统，而银行的网络建设是一个局域网的建设，内部局域网的建设目前主要有虚拟局域网的技术（VLAN），还有访问控制列表（ACL）等。

而通过广域网的传递数据主要应用的是虚拟专用网络（VPN）的技术。

一、可行性论证报告

1、用户需求：

交易的网络化、系统化、快速化和货币数字是当前金融业的特点,这对金融信息系统的完善性提出了严格的要求。

2、安全性：

有制度、措施和标准，但不安全，也没有认真的执行，大部分流于形式，缺乏安全宣传教育；缺乏有效的监督检查措施；从根本上没有处理好发展与安全的关系。

3、对储户信息的及时上传及备份，对银行内部信息的及时更新。

4、主要对于各种网络设备的选型，ip地址的划分，以及路由器配置防火墙配置等。

5、回顾网络技术的发展，从最开始的命令行管理方式到全中文WEB管理界面；网络从十兆、百兆发展到千兆；从有线网络到无线网络；从解决了网络最基本的信息共享需求，到全业务依托于互联网。

但随着银行的人员增多，信息点的增加，银行的网络互联大多是通过设备连到信息点，这类网络必然面临着众多问题，例如带宽资源分配、上网行为管理及无线网络安全等。

二、用户需求分析报告

1、银行网络系统规划背景与设计需求

假设银行由银行总部和10个营业网点构成，营业网点遍布全市各区域。

银行总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十多个部门，每个部门电脑用户情况如下：

部

门

计划财务部

市场营销部

客户服务中心

资金运营中心

会计结算部

资产评估部

信息网络中心

信息点数量

35

55

45

40

30

35

25

其他部门用户信息点数量为15个左右。

各营业网点的电脑用户（包括自动柜员机）不超过20台，银行数据中心设于银行总部信息网络中心。

为保证银行业务的正常进行，须在全市范围内建设一个城市商业银行专用通信网，实现银行总部与各营业网点安全、可靠的互连互通。

2、银行的网络建设目标

1）在全市范围内建设一个银行专用通讯子网,

2）建立一个多协议的数据网络,并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。

3）在通讯子网上具有规模可扩充性,在计算机网上具有网络可升级性。

4）网管系统应具有对整个通讯子网进行监控管理的能力,网管应用应当是统一的。

5）实现银行总部与各营业网点信息安全，防止恶意攻击与破坏。

6）具有数据的冗余备份，在发生灾害时能确保数据有效的恢复。

三、工程设计方案

一）方案设计目标

1.在全市范围内建设一个商业银行专用通讯子网,一个多协议的数据网络，并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。

2.具备接入所有业务系统的能力，支持各业务系统所要求的计算机网络协议，而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有力的支持。

3.在城区网上能够将业务、办公自动化集成在同一个网络中，以充分利用信道带宽。

在保证目前应用的情况下，使网络具有一定的先进性，保护用户的投资。

4.具有相对完善的网管系统，能对计算机网络进行有效的监控管理，优化网络流量，提高网络运行的安全性，通过日志文件等多种手段，保证网络的高效运行。

通过以上几个目标的努力，使商业银行的计算机网络具有更好的先进性、可靠性、安全性和可扩展性。

二）方案设计原则

2.1、 先进性：

网络技术应为当期国际同业中先进的，并能支持未来网络技术的高性能需求，并且在业界表现出较高的网络性能；

2.2、安全性：

能有效防止网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性；

2.3、可靠性：

整个网络系统应具有很高的安全可靠性，必须满足7×24×365小时连续运行的要求。

在通信故障发生时，网络设备可以快速自动地切换到备份链路或设备上；

2.4、实用性：

整个网络系统要按照实用、好用的原则，使网络具有较高的实用性；

2.5、时效性：

网络要保证各类业务数据流的及时传输，网络时效性要强，网络延时要小，确证业务交易的实时高效完成。

2.6、完整性：

网络系统应实现端到端的，能整合数据、语音和图象的多业务应用，需要在全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络；

2.7、成熟性：

本网络系统需要整合包括TCP/IP，语音和图象等多种网络技术，只有成熟的平台和解决方案并在国内的银行用户成功使用才可以保证关键业务系统有一个可靠的运行，以有利于业务发展；

2.8、可伸缩性：

网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求；

2.9、效益性：

网络的投资应随网络的伸缩能够持续发挥作用，保护网络的投资，充分发挥网络投资的最大效益；

2.10、可管理性：

网络要应用统一的网络管理平台实现对整个网络系统、设备、安全性、数据流量、性能等的监控和管理，并可方便直观的进行远程管理和故障诊断。

2.11、可实施性：

整个网络解决方案的实施要便于实际的实施，并在实施过程中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺利。

三）方案说明

3.1广域网信息流量计算

据统计，一个清算网点日平均处理同城票据为200笔，交易包的大小平均为512字节，每笔交易平均需要5次网络存取，并集中于一日的四个小时内发生。

单个网点的通信量:

用户数据量=交易笔数×交易包字节数×交易包往返次数

=200×512×5

=512000字节占用网络带宽

每个网点通信流量的平均值=用户数据量÷时间

=512000×8÷（4×3600）

=284.4bps

考虑到远程网络通信协议的开销和其他开销（如网管等），

每个网点通信流量的平均值为284.4×2=568.8bps。

城市商业银行营业网点的电脑用户（包括自动柜员机）不超过20台，按20台计算；

营业网点与总行通信流量为：

网点数×每个网点的流量=20×568.8bps=11.376kbps,考虑将来应用系统的增加等，可选用32k的DDN数据专线。

同时，考虑到数据备份的需要，可申请ISDN专线用于银行营业网点与银行总部的备份。

3.2解决方案

总体网络拓朴如下：

城市商业银行的网络建设结构

3.3银行总部网络

设备的采用、命名与连接

3.3.1、银行总部核心部位用两台Quidway®S6503高端多业务交换机，命名为S6503A和S6503B,两台交换机用2根1000Base-T进行链路聚合，实现数据的快速交换和设备的冗余。

3.3.2、接入广域网部份用两台Quidway®R3680E-RPS模块化中心路由器,命名为R3680EA和R3680EB；核心交换机S6503A和S6503B通过用R3680EA作为与营业网点的DDN接入，用R3680EB作ISDN备份链路接入路由。

3.3.3、用一台Quidway®SecPath500F防火墙与S6503A相连，通过申请10M的ADSL接入INTERNET，实现访问INTERNET与网上银行等业务的接入。

用一台Quidway®SecPath10F防火墙R3680EB相连，通过申请2M的ADSL接入INTERNET，实现访问INTERNET与网上银行等业务的接入备份。

3.3.4、数据中心的汇聚层采用两台Quidway®S3526C千兆三层交换机与核心交换机S6503A和S6503B相连，分别命名为S3526CA和S3526CB。

3.3.5、各部门网点的汇聚层采用两台Quidway®S3526C千兆三层交换机与核心交换机S6503A和S6503B，分别命名为S3526CC和S3526CD。

3.3.6、网络管理平台通过一台QuidwayS1208千兆以太网交换机交换机接入S6503B。

3.3.7、在核心层的核心交换机S6503A上连接Quidway®SecEngineD200入侵检测系统。

3.4银行总部部门局域网

3.4.1、在部门汇聚层上采用两点S3526C交换机；S3526CC作为部门1至部门7的主交换机，作为部门8至部门13的从交换机（备用交换机），S3526CD作为部门8至部门13的主交换机，作为部门1至部门7的从交换机（备用交换机）。

3.4.2、在S3526C上划分VLAN同时启动GVRP协议和STP协议，各个部门划分到不同的VLAN里，提高网络的性能。

3.4.3、在S3526C上做访问控制，提高部门间的信息安全。

3.4.4、各部门接入层交换机均与两台汇聚层交换机S3526CC和S3526CD相连，链路采用trunk封装。

3.4.5、将部门接入层交换机的端口划分到相应的VLAN。

3.5营业网点方案

3.5.1、各营业网点的接入广域网部份用一台Quidway®AR28-09B模块化中心路由器作为与营业网点的DDN接入与ISDN备份链路接入路由。

3.5.2、营业网点的电脑用户（包括自动柜员机）信息节点通过一台S2026C-SI交换机与AR28-09B路由器通过100base-T相连。

3.5.3、营业网点局域网可根据需求划分VLAN。

四）IP划分与VLAN划分

4.1全网IP划分

总部IP划分（掩码均为24）

部门

信息数量

IP范围

VLAN

网关

银行总部办公室

15

10.1.1.1-10.1.1.15

2

10.1.1.254

人力资源部

15

10.1.2.1-10.1.2.15

3

10.1.2.254

计划财务部

35

10.1.3.1-10.1.3.30

4

10.1.3.254

市场营销部

55

10.1.4.1-10.1.4.60

5

10.1.4.254

客户服务中心

45

10.1.5.1-10.1.5.40

6

10.1.5.254

资金运营中心

40

10.1.6.1-10.1.6.40

7

10.1.6.254

会计结算部

30

10.1.7.1-10.1.7.38

8

10.1.7.254

资产评估部

35

10.1.8.1-10.1.8.35

9

10.1.8.254

资产管理中心

15

10.1.9.1-10.1.9.15

10

10.1.9.254

信息网络中心

25

10.1.10.1-10.1.10.20

11

10.1.10.254

党群工作部

15

10.1.11.1-10.1.11.15

12

10.1.11.254

安全保卫部

15

10.1.12.1-10.1.12.15

13

10.1.12.254

物业管理部

15

10.1.13.1-10.1.13.15

14

10.1.13.254

网管中心IP划分（掩码均为24）

网管中心

15

10.1.14.1-10.1.14.15

15

10.1.14.254

数据中心

15

10.1.15.1-10.1.15.15

15

10.1.15.254

营业点IP划分（掩码均为24）

营业点

信息数量

IP范围

网关

营业点1

20

10.2.1.1-10.2.1.20

10.2.1.254

营业点2

20

10.2.2.1-10.2.2.20

10.2.2.254

营业点3

20

10.2.3.1-10.2.3.20

10.2.3.254

营业点4

20

10.2.4.1-10.2.4.20

10.2.4.254

营业点5

20

10.2.5.1-10.2.5.20

10.2.5.254

营业点6

20

10.2.6.1-10.2.6.20

10.2.6.254

营业点7

20

10.2.7.1-10.2.7.20

10.2.7.254

营业点8

20

10.2.8.1-10.2.8.20

10.2.8.254

营业点9

20

10.2.9.1-10.2.9.20

10.2.9.254

营业点10

20

10.2.10.1-10.2.10.20

10.2.10.254

4.2设备IP划分（掩码均为30，int表示interface）

设备

接口/逻辑端口

IP地址

设备

接口/逻辑端口

IP地址

S6503A

intvlan100

10.1.100.1

S3526CA

intvlan101

10.1.100.2

S6503A

intvlan101

10.1.100.5

S3526CB

intvlan101

10.1.100.6

S6503A

intvlan102

10.1.100.9

S3526CC

intvlan101

10.1.100.10

S6503A

intvlan103

10.1.100.13

S3526CD

intvlan101

10.1.100.14

S6503A

intvlan104

10.1.100.17

防火墙1

LAN口

10.1.100.18

S6503A

intvlan105

10.1.100.21

IDS

10.1.100.22

S6503A

intvlan106

10.1.100.25

R3680EA

intG0/1

10.1.100.26

S6503A

intvlan107

10.1.100.29

R3680EB

intG0/1

10.1.100.30

S6503A

intVirtual-

Template1

10.1.100.33

S6503B

intVirtual-

Template1

10.1.100.34

S6503B

intvlan100

10.1.101.1

S3526CA

intvlan102

10.1.101.2

S6503B

intvlan101

10.1.101.5

S3526CB

intvlan102

10.1.101.6

S6503B

intvlan102

10.1.101.9

S3526CC

intvlan102

10.1.101.10

S6503B

intvlan103

10.1.101.13

S3526CD

intvlan102

10.1.101.14

S6503B

intvlan104

10.1.101.17

R3680EA

intG0/2

10.1.101.18

S6503B

intvlan105

10.1.101.21

R3680EB

intG0/2

10.1.101.22

五）关键技术的实现

5.1、核心层的两台S6503交换机实现端口汇聚，增加S6503A与S6503B的互边链路的带宽，并且能够实现链路备份。

5.2、在核心层的两台S6503交换机创建VLAN，启用GVRP协议。

5.3、银行总部各部门汇聚层交换机S3526C划分各部门VLAN，同时启用GVRP协议。

在部门交换机上启用GVRP协议，并把端口划分到相应的VLAN。

5.4、银行营业网点与银行总部网络通过DDN专线连接。

5.5、在DDN接入路由器R3680EA上做策略路由；

正常情况下：

当数据来自营业网点1至营业网点5时，把数据向S6503A发送；当数据来自营业网点6至营业网点10时，把数据向S6503B发送。

当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。

5.6、对银行营业网点与银行总部网络用ISDN做备份链路。

5.7、在ISDN接入路由器R3680EB上做策略路由；

正常情况下：

当数据来自营业网点1至营业网点5时，把数据向S6503A发送；当数据来自营业网点6至营业网点10时，把数据向S6503B发送。

当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。

5.8、在核心层的两台S3526C交换机上启用VRRP；

VLAN2至VLAN7的数据在正常情况下网关指向S3526CC，当S3526CC出现异常时VLAN2至VLAN7的网关自动指向S3526CD；

VLAN8至VLAN14的数据在正常情况下网关指向S3526CD，当S3526CD出现异常VLAN8至VLAN14的网关自动指向S3526CC。

实现核心的负载均衡和避免单点故障。

六）方案特点

6.1、业务接入一体化；即：

QuidwayR3680E系列路由器网点解决方案可以综合实现IP、IPX、SNA等多协议接入，一体化接入ATM终端、哑终端、智能终端、OA以及IP语音等等。

6.2、网络安全一体化；通过QuidwayR3680E设备直接提供的多种二层、三层的VPN技术，例如：

PPTP、L2TP、GRE、IPSEC、IKE等等，数据加密方面提供MD5、SHA、DES、3DES以及硬件序列加密卡等的支持，使得所有加密和VPN功能可以集成到一台路由设备上完成，不再需要添置加密机等设备，网点成本更低，同时安全性、可管理性更强，同时对应VPN以及加密需求。

6.3、链路备份一体化；华为公司VRP网络操作系统专有的BACKUPCENTERTM（备份中心）技术，可以实现广泛的备份功能支持，可以实现物理链路之间、逻辑链路之间、物理链路与逻辑链路之间、以及设备间备份，保障网络的高可靠性。

华为Qudiway综合网点解决方案提供拨号备份功能的同时，支持配置CALLBACK功能，从而使得解决方案整体安全性更上一层楼。

四、工程实施方案

一）核心层配置

4.1.1端口汇聚：

[S6503A]inte1/0/1

[S6503A-Ethernet1/0/1]duplexfull

[S6503A-Ethernet1/0/1]speed1000

[S6503A-Ethernet1/0/1]quit

[S6503A]inte1/0/2

[S6503A-Ethernet1/0/2]duplexfull

[S6503A-Ethernet1/0/2]speed1000

[S6503A-Ethernet1/0/2]quit

[S6503A]link-aggregatione1/0/1toe1/0/2//进行端品汇聚

5.1.2创建VLAN

[S6503A]vlan2//创建部门VLAN

[S6503A]vlan3

[S6503A]vlan4

[S6503A]vlan5

[S6503A]vlan6

……

[S6503A]vlan14

5.1.3启用GVRP

[S6503A]gvrp//启动GVRP协议

[S6503A]inte1/0/3//在与3526C相连的端口

[S6503A-Ethernet1/0/3]portlink-typetrunk//配聚trunk

[S6503A-Ethernet1/0/3]porttrunkpermitvlanall//允许传送所有VLAN信息

[S6503A-Ethernet1/0/3]gvrp//在端口启用GVRP

//S6503B的配置与S6503A相似。

二）汇聚层配置

5.2.1划分VLAN

[S3526CC]gvrp//启动GVRP为了学到VLAN信息

[S3526CC]inte24//与S6503A相连的端口

[S3526CC-Ethernet24]portlink-typetrunk

[S3526CC-Ethernet24]porttrunkpermitvlanall

[S3526CC-Ethernet24]gvrp

[S3526CC]vlan2//把端口划分到相应的VLAN中

[S3526CC-vlan2]porte1

[S3526CC]vlan3

[S3526CC-vlan2]porte2

……

[S3526CC]vlan14

[S3526CC-vlan2]porte13

5.2.2VRRP配置

[S3526CC]intvlan100//逻辑端口

[S3526CC-Vlan-interface100]ipadd10.1.100.1255.255.255.0

//S3525CC作为部门1至部门7的主交换机

//部门1的网关指向S3525CC

[S3526CC-Vlan-interface100]vrrpvrid1virtual-ip10.1.1.254

[S3526CC-Vlan-interface100]vrrpvrid1priority110

[S3526CC-Vlan-interface100]vrrpvrid1preempttimer-delay5

[S3526CC-Vlan-interface100]vrrpvrid1timer-advertise3

[S3526CC-Vlan-interface100]vrrpvrid1trackinte24reduced20

//部门2的网关指向S3525CC

[S3526CC-Vlan-interface100]vrrpvrid2virtual-ip10.1.2.254

[S3526CC-Vlan-interface100]vrrpvrid2priority110

[S3526CC-Vlan-interface100]vrrpvrid2preempttimer-delay5

[S3526CC-Vlan-interface100]vrrpvrid2timer-advertise3

[S3526CC-Vlan-interface100]vrrpvrid2trackinte24reduced20

……

//S3525CC作为部门8至部门13的从交换机

//部门8的网关指向S3525CC

[S3526CC-Vlan-interface100]vrrpvrid8virtual-ip10.1.8.254

[S3526CC-Vlan-interf