银行网络工程课设.docx

1、银行网络工程课设前 言随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依赖于信息系统。为了适应原有计算机网络的发展和扩大，以及适应各企业、事业部门筹建新的计算机网络，从事通信事业的部门和公司纷纷建立公用数据通信网络，增设各类数据通信服务项目。由于有了公用数据通信网作为基础后，想要筹建新的计算机网络时，只要根据使用者的要求和资源设置情况，制定较高级别的网络协议，并在相应主机系统上用本国相应协议的支持软件即可。一般地说，在公用数据通信网的基础上可以建立多个类型、功能、协议均不相同的计算机网络。因此，同一主机系统可以从用于不同的计算机网络，只要在同一主机中配

2、置不同的网络所需要的基本软件就可能做到这一点。更进一步，如果在不同计算机网络之间，群制定网络互连协议配置相应软件，就能构成更复杂的、规模更大的计算机网络。随着网络的逐步普及，银行的网络规划与设计是信息发展的必然选择，它不仅为现代化发展和办公自动化等一系列应用提供基本的操作平台，而且还能提供多种应用服务，使信息能准确的传送给各个系统，而银行的网络建设是一个局域网的建设，内部局域网的建设目前主要有虚拟局域网的技术（VLAN），还有访问控制列表（ACL）等。而通过广域网的传递数据主要应用的是虚拟专用网络（VPN）的技术。一、可行性论证报告1、用户需求：交易的网络化、系统化、快速化和货币数字是当前金融

3、业的特点, 这对金融信息系统的完善性提出了严格的要求。2、安全性：有制度、措施和标准，但不安全，也没有认真的执行，大部分流于形式，缺乏安全宣传教育；缺乏有效的监督检查措施；从根本上没有处理好发展与安全的关系。3、对储户信息的及时上传及备份，对银行内部信息的及时更新。4、主要对于各种网络设备的选型，ip地址的划分，以及路由器配置防火墙配置等。5、回顾网络技术的发展，从最开始的命令行管理方式到全中文WEB管理界面；网络从十兆、百兆发展到千兆；从有线网络到无线网络；从解决了网络最基本的信息共享需求，到全业务依托于互联网。但随着银行的人员增多，信息点的增加，银行的网络互联大多是通过设备连到信息点，这类

4、网络必然面临着众多问题，例如带宽资源分配、上网行为管理及无线网络安全等。二、用户需求分析报告1、银行网络系统规划背景与设计需求假设银行由银行总部和10个营业网点构成，营业网点遍布全市各区域。银行总部设办公室、人力资源部、计划财务部、市场营销部、客户服务中心、资金运营中心、会计结算部、资产评估部、资产管理中心、信息网络中心、党群工作部、安全保卫部、物业管理部等十多个部门，每个部门电脑用户情况如下：部门计划财务部市场营销部客户服务中心资金运营中心会计结算部资产评估部信息网络中心信息点数量35554540303525其他部门用户信息点数量为15个左右。各营业网点的电脑用户(包括自动柜员机)不超过20

5、台，银行数据中心设于银行总部信息网络中心。为保证银行业务的正常进行，须在全市范围内建设一个城市商业银行专用通信网，实现银行总部与各营业网点安全、可靠的互连互通。2、银行的网络建设目标1）在全市范围内建设一个银行专用通讯子网,2）建立一个多协议的数据网络,并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。3）在通讯子网上具有规模可扩充性,在计算机网上具有网络可升级性。4）网管系统应具有对整个通讯子网进行监控管理的能力,网管应用应当是统一的。5）实现银行总部与各营业网点信息安全，防止恶意攻击与破坏。6）具有数据的冗余备份，在发生灾害时能确保数据有效的恢复。三、工程设计方案一）方案设计目标

6、1.在全市范围内建设一个商业银行专用通讯子网,一个多协议的数据网络，并在所有的通讯子网接入节点上支持TCP/IP计算机网络协议。2.具备接入所有业务系统的能力，支持各业务系统所要求的计算机网络协议，而且具有多种常用网络协议的支持，保证在有新的业务应用时，可以提供有力的支持。3.在城区网上能够将业务、办公自动化集成在同一个网络中，以充分利用信道带宽。在保证目前应用的情况下，使网络具有一定的先进性，保护用户的投资。 4.具有相对完善的网管系统，能对计算机网络进行有效的监控管理，优化网络流量，提高网络运行的安全性，通过日志文件等多种手段，保证网络的高效运行。 通过以上几个目标的努力，使商业银行的计算

7、机网络具有更好的先进性、可靠性、安全性和可扩展性。二）方案设计原则2.1、先进性：网络技术应为当期国际同业中先进的，并能支持未来网络技术的高性能需求，并且在业界表现出较高的网络性能； 2.2、安全性：能有效防止网络的非法访问，保护关键的数据不被非法窃取、篡改或泄漏，使数据具有极高的安全性； 2.3、可靠性：整个网络系统应具有很高的安全可靠性，必须满足724365小时连续运行的要求。在通信故障发生时，网络设备可以快速自动地切换到备份链路或设备上； 2.4、实用性：整个网络系统要按照实用、好用的原则，使网络具有较高的实用性； 2.5、时效性：网络要保证各类业务数据流的及时传输，网络时效性要强，网络

8、延时要小，确证业务交易的实时高效完成。 2.6、完整性：网络系统应实现端到端的，能整合数据、语音和图象的多业务应用，需要在全网范围统一的实施安全策略、QoS策略、流量管理策略和系统管理策略的完整的一体化网络； 2.7、成熟性：本网络系统需要整合包括TCP/IP，语音和图象等多种网络技术，只有成熟的平台和解决方案并在国内的银行用户成功使用才可以保证关键业务系统有一个可靠的运行，以有利于业务发展； 2.8、可伸缩性：网络要具有面向未来的良好的伸缩性能，既能满足当前的需求，又能支持未来业务网点、业务量、业务种类的扩展和与其它机构或部门的连接等对网络的扩充性要求； 2.9、效益性：网络的投资应随网络的

9、伸缩能够持续发挥作用，保护网络的投资，充分发挥网络投资的最大效益； 2.10、可管理性：网络要应用统一的网络管理平台实现对整个网络系统、设备、安全性、数据流量、性能等的监控和管理，并可方便直观的进行远程管理和故障诊断。 2.11、可实施性：整个网络解决方案的实施要便于实际的实施，并在实施过程中要保证现有网络和切换的完整性和一致性，确保实施工作的正常、顺利。 三）方案说明3.1 广域网信息流量计算据统计，一个清算网点日平均处理同城票据为200笔，交易包的大小平均为512字节，每笔交易平均需要5次网络存取，并集中于一日的四个小时内发生。单个网点的通信量:用户数据量=交易笔数交易包字节数交易包往返次

10、数=2005125=512000字节占用网络带宽每个网点通信流量的平均值=用户数据量时间=5120008(43600)=284.4bps考虑到远程网络通信协议的开销和其他开销（如网管等），每个网点通信流量的平均值为284.42=568.8bps。城市商业银行营业网点的电脑用户(包括自动柜员机)不超过20台，按20台计算；营业网点与总行通信流量为：网点数每个网点的流量=20568.8bps=11.376kbps,考虑将来应用系统的增加等，可选用32k的DDN数据专线。同时，考虑到数据备份的需要，可申请ISDN专线用于银行营业网点与银行总部的备份。3.2 解决方案总体网络拓朴如下：城市商业银行的网

11、络建设结构3.3 银行总部网络 设备的采用、命名与连接3.3.1、银行总部核心部位用两台Quidway S6503高端多业务交换机，命名为S6503A 和S6503B,两台交换机用2根1000Base-T进行链路聚合，实现数据的快速交换和设备的冗余。3.3.2、接入广域网部份用两台Quidway R3680E-RPS模块化中心路由器,命名为R3680EA和R3680EB；核心交换机S6503A 和S6503B通过用R3680EA作为与营业网点的DDN接入，用R3680EB作ISDN备份链路接入路由。3.3.3、用一台Quidway SecPath 500F防火墙与S6503A相连，通过申请10

12、M的ADSL接入INTERNET，实现访问INTERNET与网上银行等业务的接入。用一台Quidway SecPath 10F 防火墙R3680EB相连，通过申请2M的ADSL接入INTERNET，实现访问INTERNET与网上银行等业务的接入备份。3.3.4、数据中心的汇聚层采用两台Quidway S3526C千兆三层交换机与核心交换机S6503A和S6503B相连，分别命名为S3526CA和S3526CB。3.3.5、各部门网点的汇聚层采用两台Quidway S3526C千兆三层交换机与核心交换机S6503A和S6503B，分别命名为S3526CC和S3526CD。3.3.6、网络管理平台

13、通过一台Quidway S1208千兆以太网交换机交换机接入S6503B。3.3.7、在核心层的核心交换机S6503A上连接Quidway SecEngine D200 入侵检测系统。3.4银行总部部门局域网 3.4.1、在部门汇聚层上采用两点S3526C交换机；S3526CC作为部门1至部门7的主交换机，作为部门8至部门13的从交换机（备用交换机），S3526CD作为部门8至部门13的主交换机，作为部门1至部门7的从交换机（备用交换机）。3.4.2、在S3526C上划分VLAN同时启动GVRP协议和STP协议，各个部门划分到不同的VLAN里，提高网络的性能。3.4.3、在S3526C上做访问

14、控制，提高部门间的信息安全。3.4.4、各部门接入层交换机均与两台汇聚层交换机S3526CC和S3526CD相连，链路采用trunk封装。3.4.5、将部门接入层交换机的端口划分到相应的VLAN。 3.5营业网点方案3.5.1、各营业网点的接入广域网部份用一台Quidway AR 28-09B模块化中心路由器作为与营业网点的DDN接入与ISDN备份链路接入路由。3.5.2、营业网点的电脑用户(包括自动柜员机)信息节点通过一台S2026C-SI交换机与AR 28-09B路由器通过100base-T相连。3.5.3、营业网点局域网可根据需求划分VLAN。四）IP划分与VLAN划分4.1全网IP划分

15、总部IP划分（掩码均为24）部门信息数量IP范围VLAN网关银行总部办公室1510.1.1.1-10.1.1.15210.1.1.254人力资源部1510.1.2.1-10.1.2.15310.1.2.254计划财务部3510.1.3.1-10.1.3.30410.1.3.254市场营销部5510.1.4.1-10.1.4.60510.1.4.254客户服务中心4510.1.5.1-10.1.5.40610.1.5.254资金运营中心4010.1.6.1-10.1.6.40710.1.6.254会计结算部3010.1.7.1-10.1.7.38810.1.7.254资产评估部3510.1.8.

16、1-10.1.8.35910.1.8.254资产管理中心1510.1.9.1-10.1.9.151010.1.9.254信息网络中心2510.1.10.1-10.1.10.201110.1.10.254党群工作部1510.1.11.1-10.1.11.151210.1.11.254安全保卫部1510.1.12.1-10.1.12.151310.1.12.254物业管理部1510.1.13.1-10.1.13.151410.1.13.254网管中心IP划分（掩码均为24）网管中心1510.1.14.1-10.1.14.151510.1.14.254数据中心1510.1.15.1-10.1.15.

17、151510.1.15.254营业点IP划分（掩码均为24）营业点信息数量IP范围网关营业点12010.2.1.1-10.2.1.2010.2.1.254营业点22010.2.2.1-10.2.2.2010.2.2.254营业点32010.2.3.1-10.2.3.2010.2.3.254营业点42010.2.4.1-10.2.4.2010.2.4.254营业点52010.2.5.1-10.2.5.2010.2.5.254营业点62010.2.6.1-10.2.6.2010.2.6.254营业点72010.2.7.1-10.2.7.2010.2.7.254营业点82010.2.8.1-10.2

18、.8.2010.2.8.254营业点92010.2.9.1-10.2.9.2010.2.9.254营业点102010.2.10.1-10.2.10.2010.2.10.2544.2设备IP划分（掩码均为30，int 表示interface）设备接口/逻辑端口IP地址设备接口/逻辑端口IP地址S6503Aint vlan 10010.1.100.1S3526CAint vlan 10110.1.100.2S6503Aint vlan 10110.1.100.5S3526CBint vlan 10110.1.100.6S6503Aint vlan 10210.1.100.9S3526CCint v

19、lan 10110.1.100.10S6503Aint vlan 10310.1.100.13S3526CDint vlan 10110.1.100.14S6503Aint vlan 10410.1.100.17防火墙1LAN 口10.1.100.18S6503Aint vlan 10510.1.100.21IDS10.1.100.22S6503Aint vlan 10610.1.100.25R3680EAint G0/110.1.100.26S6503Aint vlan 10710.1.100.29R3680EBint G0/110.1.100.30S6503Aint Virtual-Tem

20、plate 110.1.100.33S6503Bint Virtual-Template 110.1.100.34S6503Bint vlan 10010.1.101.1S3526CAint vlan 10210.1.101.2S6503Bint vlan 10110.1.101.5S3526CBint vlan 10210.1.101.6S6503Bint vlan 10210.1.101.9S3526CCint vlan 10210.1.101.10S6503Bint vlan 10310.1.101.13S3526CDint vlan 10210.1.101.14S6503Bint vl

21、an 10410.1.101.17R3680EAint G0/210.1.101.18S6503Bint vlan 10510.1.101.21R3680EBint G0/210.1.101.22五）关键技术的实现5.1、核心层的两台S6503交换机实现端口汇聚，增加S6503A与S6503B的互边链路的带宽，并且能够实现链路备份。5.2、在核心层的两台S6503交换机创建VLAN，启用GVRP协议。5.3、银行总部各部门汇聚层交换机S3526C划分各部门VLAN，同时启用GVRP协议。在部门交换机上启用GVRP协议，并把端口划分到相应的VLAN。5.4、银行营业网点与银行总部网络通过DDN专

22、线连接。5.5、在DDN接入路由器R3680EA上做策略路由；正常情况下：当数据来自营业网点1至营业网点5时，把数据向S6503A发送；当数据来自营业网点6至营业网点10时，把数据向S6503B发送。当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。 5.6、对银行营业网点与银行总部网络用ISDN做备份链路。5.7、在ISDN接入路由器R3680EB上做策略路由；正常情况下：当数据来自营业网点1至营业网点5时，把数据向S6503A发送；当数据来自营业网点6至营业网点10时，把数据向S6503B发送。当一台核心交换机发生故障时，所有数据转向另一台正常的交换机。 5.8、在核心层的两台S

23、3526C交换机上启用VRRP；VLAN2至VLAN7的数据在正常情况下网关指向S3526CC，当S3526CC出现异常时VLAN2至VLAN7的网关自动指向S3526CD；VLAN8至VLAN14的数据在正常情况下网关指向S3526CD，当S3526CD出现异常VLAN8至VLAN14的网关自动指向S3526CC。实现核心的负载均衡和避免单点故障。六） 方案特点 6.1、业务接入一体化；即：Quidway R3680E系列路由器网点解决方案可以综合实现IP、IPX、SNA等多协议接入，一体化接入ATM终端、哑终端、智能终端、OA以及IP语音等等。 6.2、网络安全一体化；通过Quidway

24、R3680E设备直接提供的多种二层、三层的VPN技术，例如：PPTP、L2TP、GRE、IPSEC、IKE等等，数据加密方面提供MD5、SHA、DES、3DES以及硬件序列加密卡等的支持，使得所有加密和VPN功能可以集成到一台路由设备上完成，不再需要添置加密机等设备，网点成本更低，同时安全性、可管理性更强，同时对应VPN以及加密需求。6.3、链路备份一体化；华为公司VRP网络操作系统专有的BACKUP CENTERTM (备份中心)技术，可以实现广泛的备份功能支持，可以实现物理链路之间、逻辑链路之间、物理链路与逻辑链路之间、以及设备间备份，保障网络的高可靠性。华为Qudiway 综合网点解决方

25、案提供拨号备份功能的同时，支持配置CALL BACK功能，从而使得解决方案整体安全性更上一层楼。 四、工程实施方案一）核心层配置4.1.1端口汇聚：S6503Aint e1/0/1S6503A-Ethernet1/0/1duplex fullS6503A-Ethernet1/0/1speed 1000S6503A-Ethernet1/0/1quitS6503Aint e1/0/2S6503A-Ethernet1/0/2duplex fullS6503A-Ethernet1/0/2speed 1000S6503A-Ethernet1/0/2quitS6503Alink-aggregation e

26、1/0/1 to e1/0/2 /进行端品汇聚5.1.2创建VLANS6503Avlan 2 /创建部门VLANS6503Avlan 3S6503Avlan 4S6503Avlan 5S6503Avlan 6S6503Avlan 145.1.3启用GVRPS6503Agvrp /启动GVRP协议S6503Aint e1/0/3 /在与3526C相连的端口S6503A-Ethernet1/0/3port link-type trunk /配聚 trunkS6503A-Ethernet1/0/3port trunk permit vlan all / 允许传送所有VLAN信息S6503A-Ethe

27、rnet1/0/3gvrp /在端口启用GVRP/S6503B的配置与S6503A相似。二）汇聚层配置5.2.1划分VLANS3526CCgvrp /启动GVRP为了学到VLAN信息S3526CCint e24 /与S6503A相连的端口S3526CC-Ethernet24port link-type trunkS3526CC-Ethernet24port trunk permit vlan allS3526CC-Ethernet24gvrp S3526CCvlan 2 /把端口划分到相应的VLAN中S3526CC-vlan2port e1S3526CCvlan 3S3526CC-vlan2p

28、ort e2S3526CCvlan 14S3526CC-vlan2port e135.2.2 VRRP 配置S3526CCint vlan 100 /逻辑端口S3526CC-Vlan-interface100ip add 10.1.100.1 255.255.255.0/S3525CC作为部门1 至部门7的主交换机/部门1的网关指向S3525CCS3526CC-Vlan-interface100vrrp vrid 1 virtual-ip 10.1.1.254S3526CC-Vlan-interface100vrrp vrid 1 priority 110S3526CC-Vlan-interf

29、ace100vrrp vrid 1 preempt timer-delay 5S3526CC-Vlan-interface100vrrp vrid 1 timer-advertise 3S3526CC-Vlan-interface100vrrp vrid 1 track int e 24 reduced 20/部门2的网关指向S3525CCS3526CC-Vlan-interface100vrrp vrid 2 virtual-ip 10.1.2.254S3526CC-Vlan-interface100vrrp vrid 2 priority 110S3526CC-Vlan-interface100vrrp vrid 2 preempt timer-delay 5S3526CC-Vlan-interface100vrrp vrid 2 timer-advertise 3S3526CC-Vlan-interface100vrrp vrid 2 track int e 24 reduced 20/S3525CC作为部门8 至部门13的从交换机/部门8的网关指向S3525CCS3526CC-Vlan-interface100vrrp vrid 8 virtual-ip 10.1.8.254S3526CC-Vlan-interf