规划设计一个银行办公大楼局域网.docx
《规划设计一个银行办公大楼局域网.docx》由会员分享,可在线阅读,更多相关《规划设计一个银行办公大楼局域网.docx(23页珍藏版)》请在冰点文库上搜索。
规划设计一个银行办公大楼局域网
目录
一、银行信息化建设背景的概述4
二、需求分析4
三、设计5
3.1网络建设原则5
3.2设计方案及策略7
3.3分层设计原则7
3.4网络拓扑图8
3.5防火墙设置.................................................................................................................................10
四、子网以及IP的划分11
4.1局域网接入方式11
4.2IP地址的划分及分配12
五、设备的选型13
六、不足之处20
一丶银行信息化建设背景的概述
随着社会不继更新,银行逐步朝企业化发展。
所面临的竞争环境发生了根本性的变化,原有的经营管理方式早已不适应剧烈竞争的要求。
例如:
客户的需求瞬息万变,技术创新不断加速,竞争日趋激烈。
在这种形势下,企业内部的管理必须转变,从粗放经营向成本控制转变,从部门管理到企业级协同管理转变。
只有这样,才能适应竞争形势的变化。
信息技术作为新技术革命的核心,不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度想经济各部门渗透,使其结构和效益发生根本性改变。
信息化已成为当代科学发展与社会进步的巨大推力。
在当今信息产业蓬勃发展的今天,信息已成为一种关键性的战略资源,计算机技术在人们的生活中已经起到了越来越重要的作用。
超市作为社会高速发展的产物,人们生活的依赖,它理应成为代表信息产业应用最成功的典范。
一个成功的超市集团不仅要在服务态度,产品质量上力争上游,还要实现集团内部的自动化管理,提高超市的运行效率和服务水准,并为管理者决策提供及时,准确,科学的依据。
计算机和网络已经成为各行各业在工作中的工具,是否掌握计算机的技术和应用,已经成为衡量一个从业者是否合格的重要标识。
随着计算机技术、网络技术的发展,网络设备的价格不断下降。
组建局域网网不仅是十分迫切的工作,可行性也非常高。
二丶需求分析
现代银行为了与现代消费以及信息流动接轨,在方便自身能够及时的获取外界的信息的同时,在其内部构建局域网以方便银行内部的信息资源共享与交流。
目前看来,中小规模局域网的需求特点和建网策略有以下几点:
1、网络核心高性能
近来随着网络用户数量和应用种类的不断增加,10/100M网络成本的不断下降,目前大部分用户的桌面系统均已采用百兆到桌面,网络主干则为百兆以太网络。
与以前的局域网络技术相比,百兆网络具备简单、高效、建设成本低等显著优势。
尤其是基于铜缆双绞线的百兆以太网络技术产品的推出,使百兆网络的建设成本进一步降低,百兆网络无疑已经成为建设企业网络核心的最佳之选。
2、智能化网络的发展
目前,用户的网络需要承载各种结合数据、语音、视频、图形图像等多种信息载体的应用,而它们对网络传输服务的需求是不同的,比如语音和视频信息的传输需要恒定的网络带宽,同时对网络的延时和延时抖动要求严格,图形图像信息则对网络带宽要求较高,即使传统的数据信息的传输对于不同的业务应用其网络服务要求也是不同的。
这样,网络需要能针对不同类型的应用来满足对传输服务质量的要求。
同时网络用户也需要能对不同业务应用和网络资源的访问进行安全控制。
解决网络服务质量和安全的关键在于网络的智能化,而且是从过去的智能化核心模式向从网络核心(核心交换机)到网络边缘(桌面交换机)端到端的智能化模式迁移。
3、网络的高可靠性
现在银行业务的运营与管理都是基于网络业务应用而实现的,网络系统稳定可靠的的运行是关键。
用户需要高可靠性的网络。
4、管理简单
网络用户数量和规模、网络承载的业务应用、网络技术和产品的采用都在不断的增加,这意味着网络的复杂度在不断增加,网络的管理成本和管理风险也在同步提高,尤其对于中小网络用户,所以他们更需要建设能够简单管理的网络。
5、网络安全
现在,中小企业不约而同地在建立企业经营信息管理系统,这些系统提供信息是企业核心的机密之一。
为保证这些重要信息,很多企业借助于操作系统和数据库口令机制。
但由于这些方法无法真正保证安全,会经常发生信息漏露。
同时,由于无法跟踪每个员工究竟使用哪些信息,事先无法做到有效的威慑和防范。
而就算事后通过其它途径得知时,以往没有证据而无法举证。
这些都严重地影响了企业的
正常运营,因此需要在交换机中加强安全模块和安全策略。
6、高投资高回报
实用性与先进性并举的高投资回报网络市场的竞争日趋激烈,用户将越来越注重网络投资的实效性,并根据企业现在和未来的实际业务需求渐进投入,建设高投资回报的网络。
三、设计
3.1网络建设原则
根据对网络建设需求的调研与分析,认为根据投资规模和当今网络技术的发展动态,其建设必须考虑以下原则:
高带宽及高性能
面向应用
可用性与可靠性
兼容性、开放性可扩充性
可管理性与可维护性
安全性
1.高带宽及高性能
银行网络承担了整个企业内部的数据通信,不仅需要为员工提供上网的需求,更进一步需要为现代化企业管理手段提供基础,因而其带宽及性能的要求非常高。
网络有着大量的网络用户,网络必须具备足够的带宽来支持这些用户。
此外,由于基于Internet的多媒体应用越来越丰富,现代化的教育应用手段对网络的传输速度、延迟等有着不同的需求。
因而网络的带宽性能以及对接入用户的服务质量性能的需求极高。
2.面向应用
企业园区网络必须符合当前企业信息应用的需求,并且能有效推动管理及业务应用的开发和利用。
随着Internet的不断发展,基于Internet的网络信息应用日新月异,这些新应用不仅意味着流量的增加,而且流量的特征发生了变化,因此,网络方案和设备必须要面向应用,支持多层次的面向应用服务,保证多媒体业务(如IP电话、VOD、视频会议等)数据流的可靠传输。
同时,这些多媒体业务的开展,不会影响整个网络的交换及路由性能。
3.可用性和可靠性
企业网络担负着整个公司的信息传输和服务的重任,其可用性和可靠性至关重要。
网络的有效性和可靠性,即它的可连续运行性是网络主干建设必须考虑的首要原则,从用户的角度考虑,当网络所需的服务不可用时,不管是何种原因,网络就不可靠了。
从另一角度看,当某种网络服务的响应时间变的变幻莫测时,网络系统也不可靠了。
为此在网络设计上考虑以下的技术:
选择的网络设备必需具有良好的可靠性保证,可热插拔的模块,快速的恢复机制等。
冗余及负载均衡的电源系统。
据研究,电源故障在实际系统中导致的系统故障比率高达60%之多,其它关键设备的冗余,如控制模块的冗余等。
网络结构的冗余,确保不因为单条线路的故障而导致整个网络系统的失效,并且确保在某条线路故障时对系统性能的影响也能最小。
负载均衡,网络设备能够根据不同的策略、充分利用不同的网络传输介质,提供网络负荷均衡功能,以充分利用带宽,以保证可用性。
此外,还应具备虚拟路由策略,以保证用户对网络利用的可靠性。
可靠性还表现在,网络设备应该采用开放的标准的协议和规范,以保证异种设备之间的互连互通及扩展性。
4.兼容性、开放性与可扩充性
设计方案中所选用的设备应能保证在将来进一步扩充企业信息系统中发挥作用,同时,现有的网络设备应尽可能在新建网络中得到应用,以免造成资源浪费。
所选用的软、硬件平台应具有开放性和通用性,能与当今大多数主流软、硬件系统相兼容,实现跨平台操作。
主要是适用建行内部业务系统(如OA系统)。
随着计算机网络应用的日益普及和进步,对网络系统的可伸缩性要求成为网络设计的一个重要考虑。
一个设计良好的网络系统应能方便地对其规模或技术进行扩充。
用户对网络资源的需求经常随着应用而发生变化,系统应具有一定的灵活性,为满足用户的不同需求而作灵活的系统配置和资源的再分配。
网络将会是一个不断增长的网络,包括它的规模,它的应用范围和服务内容将随着计算机应用的不断普及而不断增加。
网络规模的扩展,包括网络的地理分布、接入设备和用户的数量应用内容的扩展,网络将不仅仅担负数据传输的任务,包括其它视频和语音服务也会不断加入到网络中去。
这就要求主干网络设备必须扩展多种业务以及增值业务支持的能力。
网络容量的扩展,随着规模和应用的扩展网络的传输容量也必须能相应的增加。
在网络设备选择上,模块化的系统在扩展性方面有着固定式系统无法比拟的优越性。
整个系统的性能将能随着模块数量的增加而得到相应的增加,因此也就更能适应不同规模网络对设备的要求。
模块化的网络设备在多种技术的适应能力上也具有相当大的灵活性。
此外,网络的扩展性还表现在系统具有统一的管理平台,满足各种用户对应用的不同程度的需求,以及逐步升级的发展规划,避免系统性能的闲置和浪费,以保护投资。
5.可管理性与可维护性
设计方案所选用的设备应能保证在一个网络系统中,网络管理已经越来越受到人们的重视。
因为它关系到网络系统的使用效率、维护、监控以、系统资源的再分配以及费用的支出。
系统对网络环境的依赖性不断增加。
一方面由于网络中断而使业务被迫中止造成的损失会越来越大;另一方面由于越来越多的用户连入网络,对网络管理的要求提高了,以确保网络达到最高的效率。
网络管理系统应该具备集中式的管理功能,有效地对全网的设备、利用方式进行控制,此外可对整个网络的使用性能、使用效果进行地分析,以便管理人员有效地对网络资源进行分配,充分发挥网络的利用率。
此外,良好、标准的网络管理系统可以很好地集成管理多种设备,在极少的维护人员和较低的维护代价前提下,发挥网络的最大运行效果和投资效率。
6.安全性
安全性是任何一个网络所必须具备的重要特性,信息安全目前已受到越来越多的重视。
银行网络涉及不同的用户和应用,为保证网络的安全,避免来自网络内外的恶意或无意的攻击,必须采用完善的安全机制。
除了信息数据库本身所具备的安全控制外,网络结构、网络设备还应提供相应的安全控制机制:
防火墙:
有效地防止来自校外的网络安全威胁。
入侵探测系统:
通过网络和服务器的入侵探测分析,发现网络存在的安全漏洞,有效地预防安全问题产生。
用户认证:
通过各种用户验证措施,防止非法或非授权访问。
传输加密:
对所传输的数据进行压缩、加密,如虚拟网、无线网络信息传输加密。
安全策略控制:
制定各种策略和业务级别访问(SLA),对网络信息进行保护。
访问控制过滤(ACL):
根据各种协议信息对网络的流量进行过滤,对网络的访问进行有效的控制。
IP地址绑定:
采用ARP协议,对MAC地址和IP地址进行捆绑,防止IP地址盗用。
管理级别:
设置不同的网络管理级别权限,保证网络管理的安全进行。
防病毒系统:
计算机病毒随着网络有了更广的传播途径,有效的病毒防御措施是网络安全运行的保障。
目前,针对网络内部的安全性受到越来越多的重视,网络应该具备安全分析及测试的手段,对整个网络的数据传输进行监视、分析,得出整个网络的安全性报告,以有效地防止漏洞,保证网络的安全运行。
3.2设计方案及策略
在进行网络设计时,应根据应用需求和设计原则制定设计策略,在设计网络时,所制定的设计策略如下:
首先,网络设计采用模块化设计思想,将网络划分为几个大的功能模块。
采用模块化设计思想的优势主要为:
增加新的功能模块时,只需对该模块进行设计,不会对原有网络结构造成较大变化;现有功能模块发生变化时,只需对该模块进行修改,该模块的变化一般不会波及到整个网络;在网络的运行维护过程中,管理人员能够进行方便的管理,在出现故障时,也能够快速进行故障定位、诊断与故障排除。
第二,在设计中要充分考虑到技术的成熟性与先进性。
采用成熟的网络技术,能够充分保证网络的健壮性;同时,采用较为先进的技术,能够使网络能够满足应用较长时间的需求。
第三,在设计网络拓扑结构时应采用冗余结构,保证系统的可用性和可靠性。
除网络线路和设备要有冗余外,关键设备还具有冗余的处理器、风扇、电源、交换备板等,保证整个网络的可用性和可靠性。
第四,保证网络的安全性。
网络安全是极其重要的,在设计中从设备、网络、系统等级别进行了安全考虑,保证了整个网络的安全和应用系统的初步安全。
第五,根据本系统的特点,保证网络的可管理性。
3.3分层设计原则
银行网络按照网络核心层、接入层进行设计,每个层次实现相对独立的功能,保障了网络在每个层次上的平行扩展,实现网络在服务功能、规模上的扩展能力。
核心层:
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。
汇聚层:
是信息的汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚\传输\管理\分发处理.汇聚层为接入层提供基于策略的连接,如地址合并,协议过滤,路由服务,
接入层:
通常指网络中直接面向用户连接或访问的部分。
接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。
每一个层次结构内部均采用冗余的架构来保障该层功能的稳定可靠。
在相邻层次之间,同样需要采用冗余的连接来保障各层次结构之间的稳定可靠。
例如:
在系统与接入层设备之间,接入层设备与核心层设备之间,都必须采用冗余的连接,以消除单点故障。
3.4网络拓扑图
图(1-1)
图1-2
如图1-2筛选路由器模型是网络的第一道防线,功能是实施包过滤。
创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求,如果筛选路由器被黑客攻破,那么内部网络将变得十分危险。
图1-3
如图1-3双宿主堡垒主机模型可以构造更加安全的防火墙系统。
双宿主堡垒主机有两种网络接口,但是主机在两个端口之间直接转发信息的功能被关掉了。
在物理结构上强行使去往内部网络的信息必须经过堡垒主机。
由于堡垒主机是唯一能从外部网上直接访问的内部系统,所以有可能受到攻击的主机只有堡垒主机本身。
但是,如果允许用户注册到堡垒主机,那么整个内部网络上的主机都会受到攻击的威胁,所以一般禁止用户注册到堡垒主机。
图1-4
如图1-4屏蔽子网模型用了两个包过滤路由器和一个堡垒主机,他是最安全的防火墙系列之一,因为在定义了“中立区”网络后,它支持网络层和应用层安全功能。
网络管理员将堡垒主机、信息服务器、modem组及其它公用服务器放在DMZ网络中。
如果黑客想突破该防火墙,那么必须攻破以上三个单独的设备。
DMZ网络处于外部网和内部网络之间,严格禁止通过DMZ网络直接进行信息传输。
对于进来的信息,外面的路由器用于防范通常的外部攻击,并管理外部网络访问DMZ网络。
它只允许外部系统访问堡垒主机。
3.5防火墙设置
(1)允许外部的WWW客户访问指定的内部主机。
(2)允许外部的FTP会话与指定的内部主机连接。
(3)允许外部的Telne会话与指定的内部主机连接。
(4)允许外部的SMTP会话与指定的内部主机连接。
(5)允许所有外出的数据包。
(6)拒绝所有来自外部主机的数据包
防火墙的具体配置步骤如下:
1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上.
2.打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3.运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。
对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4.当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。
可以进行进一步的配置了。
5.输入命令:
enable,进入特权用户模式,此时系统提示为:
pixfirewall#。
6.输入命令:
configureterminal,进入全局配置模式,对系统进行初始化设置。
(1).首先配置防火墙的网卡参数(以只有1个LAN和1个WAN接口的防火墙配置为例)
Interfaceethernet0auto #0号网卡系统自动分配为WAN网卡,"auto"选项为系统自适应网卡类型
Interfaceethernet1auto
(2).配置防火墙内、外部网卡的IP地址
IPaddressinsideip_addressnetmask #Inside代表内部网卡
IPaddressoutsideip_addressnetmask #outside代表外部网卡
(3).指定外部网卡的IP地址范围:
global1ip_address-ip_address
(4).指定要进行转换的内部地址
nat1ip_addressnetmask
(5).配置某些控制选项:
conduitglobal_ipport[-port]protocolforeign_ip[netmask]
其中,global_ip:
指的是要控制的地址;port:
指的是所作用的端口,0代表所有端口;protocol:
指的是连接协议,比如:
TCP、UDP等;foreign_ip:
表示可访问的global_ip外部IP地址;netmask:
为可选项,代表要控制的子网掩码。
7.配置保存:
wrmem
8.退出当前模式
此命令为exit,可以任何用户模式下执行,执行的方法也相当简单,只输入命令本身即可。
它与Quit命令一样。
下面三条语句表示了用户从配置模式退到特权模式,再退到普通模式下的操作步骤。
pixfirewall(config)#exit
pixfirewall#exit
pixfirewall>
9.查看当前用户模式下的所有可用命令:
show,在相应用户模式下键入这个命令后,即显示出当前所有可用的命令及简单功能描述。
10.查看端口状态:
showinterface,这个命令需在特权用户模式下执行,执行后即显示出防火墙所有接口配置情况。
11.查看静态地址映射:
showstatic,这个命令也须在特权用户模式下执行,执行后显示防火墙的当前静态地址映射情况。
四丶子网以及IP的划分
4.1接入局域网方式
接入局域网的可选方式主要有:
光纤、DDN、ISDN、ADSL等。
1、光纤
光纤传输,即以光导纤维为介质进行的数据、信号传输。
光导纤维,不仅可用来传输模拟信号和数字信号,而且可以满足视频传输的需求。
光纤传输一般使用光缆进行,单根光导纤维的数据传输速率能达几Gbps,在不使用中继器的情况下,传输距离能达几十公里。
2、DDN与ISDN
这两种方式在近年来已不多见。
DDN是目接入Internet的一种方式,它是利用数字信道传输数据信号的数据传输网。
它的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道,既可用于计算机之间的通信,也可用于传送数字化传真,数字话音,数字图像信号或其它数字化信号。
ISDN是利用一条用户线路,就可以在上网的同时拨打电话、收发传真,就像两条电话线一样。
传输质量高:
由于采用端到端的数字传输,传输质量明显提高。
3、ADSL
ADSL:
是一种新的数据传输方式。
它因为上行和下行带宽不对称,因此称为非对称数字用户线环路。
它采用频分复用技术把普通的电话线分成了电话、上行和下行三个相对独立的信道,从而避免了相互之间的干扰。
即使边打电话边上网,也不会发生上网速率和通话质量下降的情况。
通常ADSL在不影响正常电话通信的情况下可以提供最高3.5Mbps的上行速度和最高24Mbps的下行速度。
4.2IP地址的规划及分配
IP地址的分配应遵循以下几个原则:
唯一性:
一个IP网络中不能有两个主机采用相同的IP地址
简单性:
地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项。
连续性:
连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提高路由算法的效率。
可扩展性:
地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
灵活性:
地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。
我们对内网的IP分配一般私有网络地址分配中定义的非Internet连接的网络地址,由Internet地址授权机构控制的IP地址分配方案中,留出了三类网络地址,给不连到Internet上的专用网使用。
它分别是:
A类:
10.0.0.0-10.255.255.255;B类:
172.16.0.0-172.31.255.255;C类:
192.168.0.0-192.168.255.255。
其中的一个私有地址网段是:
192.168.0.0是我们在内网IP分配中最常用的网段。
在申请的合法IP不足的情况下,企业网内网可以采用私有IP地址的网络地址分配方案。
我们确定了要使用的私有网段以后,进一步还要划分子网段,并与VLAN号部门相关联,把这做成一个对照表。
楼层
VLAN号
子网段
子网网关(VLANIP)
一层
VLAN1
192.168.1.0/24
192.168.1.1
二层
VLAN2
192.168.2.0/24
192.168.2.1
三层
VLAN3
192.168.3.0/24
192.168.3.1
四层
VLAN4
192.168.4.0/24
192.168.4.1
规划完子网与VLAN,接下来就要考虑内网用户IP的分配方式。
针对用户比较集中、信息点位置相对固定的情况,建议使用静态IP。
这对于日后的管理、维护、故障排查非常重要,管理员可以根据IP地址迅速确定主机所在位置。
使用静态IP,用户与联接交换机的端口处于同一VLAN。
为方便新的用户IP地址的分配,应做好现有用户IP地址的记录。
当用户变动较大,信息点数量无法准确计算时,建议使用动态IP。
动态IP的优势在于方便用户使用,用户只需要将网络属性中的IP地址栏设成自动获取,用户的本机IP、缺省网关、DNS、WINS等关键信息,会自动从DHCP服务器中得到。
五丶设备的选型
组成局域网的主要硬件设备有网卡、光纤等网络传输介质和中继器、路由器、交换机、防火墙等网络互连设备。
1.网卡:
网卡是工作在物理层的网路组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。
与网络交换数据、共享资源。
2.光纤:
光纤利用光在玻璃或塑料制成的纤维中的全反射原理而达成的光传导工具。
可采用多模光纤,多模光纤比起单模光纤而言价格便宜,适用于短距离的信号传输,单模光纤则多用于长距离传输。
3.路由器:
路由器是互联网的主要结点设备。
路由器通过路由决定数据的转发。
转发策略称为路由选择,这也是路由器名称的由来。
作为不同网络之间互相连接的枢纽,路由器统系构成了基于TCP/IP的国际互联网络Internet的主体脉络,也可以说,路由器构成了Internet的骨架。
它的处理速度是网络通信的主要瓶颈之一,它的可靠性则直接影响着网络互连的质量。
.
4.交换机:
网络节点上承载装置、交换级、控制和信令设备以及其他功能单元的集合体。
交换机能把用户线路、电信电路和(或)其他要互连的功能单元根据单个用户的请求连接起来。
5.服务器:
局域网中,一种运行管理软件以控制对网络或网络资源进行访问的计算机,并能够为在网络上的计算机提供资源使其犹如工作站那样地进行操作。
6.硬件防火墙:
硬件防火墙是指把防火墙程序做
升级会员 