银行企业网站建设研究论文.docx
- 文档编号:5977079
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:59
- 大小:1.17MB
银行企业网站建设研究论文.docx
《银行企业网站建设研究论文.docx》由会员分享,可在线阅读,更多相关《银行企业网站建设研究论文.docx(59页珍藏版)》请在冰豆网上搜索。
银行企业网站建设研究论文
目录
1项目背景1
1.1项目背景1
1.2银行企业系统建设原则1
1.2.1先进性1
1.2.2标准性2
1.2.3兼容性2
1.2.4可升级可扩展性2
1.2.5安全性2
1.2.6可靠性3
1.2.7易操作性3
1.2.8可管理性3
1.3相关技术概述4
1.3.1广域网接入技术:
帧中继4
1.3.2配置动态路由:
RIP5
1.3.3以太网交换技术:
VLAN5
1.3.4动态主机设置协议:
DHCP6
1.3.5访问控制列表:
ACL7
1.3.6生成树协议:
STP8
1.3.7无线局域网:
WLAN8
1.3.8虚拟专用网络:
VPN9
1.3.9网络地址转换:
NAT10
1.4论文结构介绍11
2需求分析12
2.1项目概述12
2.2信息点分布13
2.3网络需求分析14
2.3.1网络环境需求分析14
2.3.2VLAN的需求划分14
2.3.3安全性需求分析16
2.3.4管理性需求分析16
2.4设备需求16
2.4.1客户端计算机需求分析16
2.4.2服务器端计算机需求分析17
2.4.3交换机与路由器需求分析17
3网络设计方案21
3.1系统架构概述网络拓扑结构介绍21
3.2布线逻辑方案22
3.3网络拓扑图24
3.4各层网络设计25
3.4.1核心层网络设计25
3.4.2汇聚层网络设计25
3.4.3接入层网络设计25
3.4.4广域网互联设计26
3.4.5冗余设计27
3.5IP地址的分配28
4网络安全与管理解决方案31
4.1网络安全解决方案31
4.1.1物理层安全31
4.1.2网络结构的安全分析31
4.1.3系统的安全分析31
4.1.4管理的安全分析31
4.2网络管理解决方案32
4.2.1网络管理协议和技术32
4.2.2网络管理的软件32
4.2.3网络管理的故障诊断和排除32
5实施方案33
5.1综合布线需求分析33
5.2综合布线系统结构33
5.2.1工作区子系统设计34
5.2.2水平子系统设计34
5.2.3管理子系统设计34
5.2.4干线子系统设计35
5.2.5设备间子系统设计35
5.2.6建筑群子系统设计35
5.3系统总体设计35
5.4系统结构设计描述36
5.5系统施工管理36
5.5.1施工前准备36
5.5.2设备及材料37
5.5.3施工过程管理37
5.5.4施工完成后质量的检查和验收37
5.5.5施工步骤37
5.6系统项目验收38
5.7系统项目费用预算40
5.7.1设备费用40
5.7.2项目费用41
5.8技术支持服务41
5.8.1售后服务41
5.8.2保证售后服务质量措施41
6方案实现43
6.1实现原理43
6.2关键配置命令43
6.2.1帧中继的配置命令43
6.2.2RIP的配置命令44
6.2.3ACL的配置命令45
6.2.4NAT的配置命令45
6.2.5VALN的配置命令45
6.2.6DHCP的配置命令46
6.2.7VPN的配置命令47
7方案测试49
7.1测试环境49
7.2测试记录49
7.2.1测试接口情况49
7.2.2vlan接口分配结果(部分)52
7.2.3DHCP分配测试,正常分配54
7.2.4ACL防火墙测试,正常54
7.2.5WLAN测试,正常56
7.2.6STP生成树测试,正常57
7.2.7NAT测试,正常59
7.2.8VPN测试,正常59
1项目背景
1.1项目背景
银行企业网指的是具有一定规模的网络系统,它可以是单座建筑的局域网,也可以是覆盖一个园区的园区网,还可以是跨地区的广域网,其覆盖的范围可以是数公里/数百公里甚至更广。
银行企业网是针对银行企业的特殊需求而构造的高效而又经济的信息传输和失误处理系统,能满足银行企业高效运作的需求。
银行企业网的建设目标是以信息技术为收短,把分布在不同地点的现有资源迅速结合成一种没有(或几乎没有)时间和空间约束,靠电子手段联系的统一指挥的经营实体,从而达到银行企业生存和发展的高效性、稳定性和长期性。
这样可以支撑银行企业信息系统的运作,共享各种资源,提高银行企业办公和集团生产效率,降低银行企业的总体运行费用。
为了适应业务的发展和国际化的需求,积极参与国家信息化进程,提高管理水平,发展全新的形象,公司准备建立一个现代化的机构内部网络,实现信息的共享、协作和通讯,并和属下各个部门互联,并在此基础上开发建设现代化的银行企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。
1.2银行企业系统建设原则
1.2.1先进性
随着计算机应用的不断普及和发展,计算机系统对网络性能的要求已经并将继续不断提高,高带宽、低延迟是对交换网络设备的基本要求。
网络交换设备应该提供从数据中心到楼层配线间直至桌面的高速网络连接,交换机必须具备无阻塞交换能力。
系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范。
1.2.2标准性
所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。
为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
全面支持IEEE工业标准:
802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:
IP的RIPV1/2,OSPF,BGP-4;信令标准:
H.323,RTP/CRTP。
支持:
IPsec、L2TP、GRE、MPLS-VPN规范。
支持多址广播协议:
IGMP,DVMRP,PIM-DM,PIM-SM;
网络管理协议:
SNMP,RMON,RMON2;
1.2.3兼容性
不同厂商的网络设备应能彼此兼容,以保证银行企业网络的正常、高效地运行。
为保证网络系统的开放性,网络中的主干交换设备应该能够支持基于国际标准或工业界事实标准的ATM、FDDI、快速以太网、千兆以太网等各种链路接口技术,能够在必要的时候与外部开放系统顺利实现互联。
1.2.4可升级可扩展性
随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。
在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。
设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。
1.2.5安全性
园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。
在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。
在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
1.2.6可靠性
硬件可靠性
系统的主要部件采用冗余结构,如:
传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。
软件可靠性
充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。
网络结构稳定性
当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。
1.2.7易操作性
有利于在网络中心完成银行企业网络的全局管理并配置相应的软件协助管理。
提供中文方式的图形用户界面,简单易学,方便实用。
1.2.8可管理性
基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。
在设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持RAP(远程分析端口)协议,实施充分的网络管理功能。
在设计原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。
1.3相关技术概述
1.3.1广域网接入技术:
帧中继
帧中继(FrameRelay)是一种用于连接计算机系统的面向分组的通信方法。
它主要用在公共或专用网上的局域网互联以及广域网连接。
大多数公共电信局都提供帧中继服务,把它作为建立高性能的虚拟广域连接的一种途径。
帧中继是进入带宽范围从56Kbps到1.544Mbps的广域分组交换网的用户接口。
帧中继技术:
1)帧中继技术主要用于传递数据业务,它使用一组规程将数据信息以帧的形式(简称帧中继协议)有效地进行传送。
它是广域网通信的一种方式。
2)帧中继所使用的是逻辑连接,而不是物理连接,在一个物理连接上可复用多个逻辑连接(即可建立多条逻辑信道),可实现带宽的复用和动态分配。
3)帧中继协议是对X.25协议的简化,因此处理效率很高,网络吞吐量高,通信时延低,帧中继用户的接入速率在64kbit/s至2Mbit/s,甚至可达到34Mbit/s。
4)帧中继的帧信息长度远比X.25分组长度要长,最大帧长度可达1600字节/帧,适合于封装局域网的数据单元,适合传送突发业务(如压缩视频业务、WWW业务等)。
帧中继方法在这种公共网方法中,每个场点仅需要一条专用(租用)线路和相联的路由器直至帧中继网。
这时,在其它网间的交换是在帧中继网内处理的。
来自多个用户的分组被多路复用到一条连到帧中继网上的线路,通过帧中继网它们被送到一个或多个目的站。
图1-1全网状的帧中继拓扑环境
1.3.2配置动态路由:
RIP
路由信息协议(RIP)是一种在网关与主机之间交换路由选择信息的标准。
RIP是一种内部网关协议。
在国家性网络中如当前的因特网,拥有很多用于整个网络的路由选择协议。
作为形成网络的每一个自治系统,都有属于自己的路由选择技术,不同的AS系统,路由选择技术也不同。
RIP是一种分布式的基于距离向量的路由选择协议,是因特网的标准协议,其最大的优点就是简单。
RIP协议要求网络中每一个路由器都要维护从它自己到其他每一个目的网络的距离记录。
RIP协议将“距离”定义为:
从一路由器到直接连接的网络的距离定义为1。
从一路由器到非直接连接的网络的距离定义为每经过一个路由器则距离加1。
“距离”也称为“跳数”。
RIP允许一条路径最多只能包含15个路由器,因此,距离等于16时即为不可达。
可见RIP协议只适用于小型互联网。
RIP的特点:
(1)仅和相邻的路由器交换信息。
如果两个路由器之间的通信不经过另外一个路由器,那么这两个路由器是相邻的。
RIP协议规定,不相邻的路由器之间不交换信息。
(2)路由器交换的信息是当前本路由器所知道的全部信息。
即自己的路由表。
(3)按固定时间交换路由信息,如,每隔30秒,然后路由器根据收到的路由信息更新路由表。
(也可进行相应配置使其触发更新)
1.3.3以太网交换技术:
VLAN
VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。
VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。
但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。
VLAN的优点:
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。
LAN分段可以防止广播风暴波及整个网络。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播。
这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
1.3.4动态主机设置协议:
DHCP
动态主机设置协议(DynamicHostConfigurationProtocol,DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:
给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。
DHCP使服务器能够动态地为网络中的其他服务器提供IP地址,通过使用DHCP,就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。
使用DHCP可以大大简化配置客户机的TCP/IP的工作,尤其是当某些TCP/IP参数改变时,如网络的大规模重建而引起的IP地址和子网掩码的更改。
DHCP使用客户/服务器模式,网络管理员建立一个或多个DHCP服务器,在这些服务器中保存了可以提供给客户机的TCP/IP配置信息。
这些信息包括网络客户的有效配置参数、分配给客户的有效IP地址池(其中包括为手工配置而保留的地址)、服务器提供的租约持续时间。
如果将TCP/IP网络上的计算机设定为从DHCP服务器获得IP地址,这些计算机则成为DHCP客户机。
启动DHCP客户机时,它与DHCP服务器通信以接收必要的TCP/IP配置信息。
该配置信息至少包含一个IP地址和子网掩码,以及与配置有关的租约。
1.3.5访问控制列表:
ACL
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。
这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
ACL可以限制网络流量、提高网络性能。
例如,ACL可以根据数据包的协议,指定数据包的优先级。
ACL提供对通信流量的控制手段。
例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。
ACL是提供网络安全访问的基本手段。
ACL允许主机A访问人力资源网络,而拒绝主机B访问。
ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。
目前有两种主要的ACL:
标准ACL和扩展ACL。
其他的还有标准MACACL、时间控制ACL、以太协议ACL、IPv6ACL等。
标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号。
标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
扩展ACL比标准ACL提供了更广泛的控制范围。
例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。
1.3.6生成树协议:
STP
STP-SpanningTreeProtocol(生成树协议)逻辑上断开环路,防止二层网络的广播风暴的产生。
当线路出现故障,断开的接口被激活,恢复通信,起备份线路的作用。
STP的作用是通过阻断冗余链路,使一个有回路的桥接网络修剪成一个无回路的树形拓扑结构。
STP将一个环形网络生成无环拓朴的步骤:
选择根网桥(RootBridge)
选择根网桥依据是:
网桥ID是唯一的,交换机之间选择BID值最小的交换机作为网络中的根网桥。
选择根端口(RootPorts)
选择根端口的依据是:
根路径成本最低,直连(上游)的网桥ID最小,端口(上游)ID最小。
选择指定端口(DesignatedPorts)
1.3.7无线局域网:
WLAN
无线局域网络(WirelessLocalAreaNetworks;WLAN)是相当便利的数据传输系统,它利用射频(RadioFrequency;RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身化、便利走天下」的理想境界
无线局域网拓扑结构概述:
基于IEEE802.11标准的无线局域网允许在局域网络环境中使用可以不必授权的ISM频段中的2.4或5.8GHz射频波段进行无线连接。
它们被广泛应用,从家庭到银行企业再到Internet接入热点。
无线局域网络的优点:
(1)灵活性和移动性。
在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。
无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。
(2)安装便捷。
无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。
(3)易于进行网络规划和调整。
对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。
重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。
(4)故障定位容易。
有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。
无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。
(5)易于扩展。
无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。
由于无线局域网有以上诸多优点,因此其发展十分迅速。
最近几年,无线局域网已经在银行企业、医院、商店、工厂和学校等场合得到了广泛的应用。
1.3.8虚拟专用网络:
VPN
虚拟专用网络(VirtualPrivateNetwork,简称VPN)指的是在公用网络上建立专用网络的技术。
其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、FrameRelay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。
它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。
L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
实现VPN,最关键部分是在公网上建立虚信道,而建立虚信道是利用隧道技术实现的,IP隧道的建立可以是在链路层和网络层。
第二层隧道主要是PPP连接,如PPTP,L2TP,其特点是协议简单,易于加密,适合远程拨号用户;第三层隧道是IPinIP,如IPSec,其可靠性及扩展性优于第二层隧道,但没有前者简单直接。
隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现VPN功能。
为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。
(1)PPTP(点到点隧道协议)是一种用于让远程用户拨号连接到本地的ISP,通过因特网安全远程访问公司资源的新型技术。
它能将PPP(点到点协议)帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。
PPTP使用TCP(传输控制协议)连接的创建,维护,与终止隧道,并使用GRE(通用路由封装)将PPP帧封装成隧道数据。
被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。
(2)L2TP协议:
L2TP是PPTP与L2F(第二层转发)的一种综合,他是由思科公司所推出的一种技术。
(3)IPSec协议:
是一个标准的第三层安全协议,它是在隧道外面再封装,保证了在传输过程中的安全。
IPSec的主要特征在于它可以对所有IP级的通信进行加密。
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术实现加解密。
密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。
使用者与设备认证及时最常用的是使用者名称与密码或卡片式认证等方式。
1.3.9网络地址转换:
NAT
网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。
当ISP提供的合法IP地址略少于网络内部的计算机数量时。
可以采用动态转换的方式。
端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation).采用端口多路复用方式。
内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
因此,目前网络中应用最多的就是端口多路复用方式。
1.4论文结构介绍
本论文共八章。
第一章是绪论,主要介绍课题的相关内容以及实现该系统所用到的关键技术等。
第二章是项目需求分析,主要从项目的总体概述、信息点分布、网络需求、设备需求这几个方面对项目的需求进行了分析。
第三章是网络设计方案,阐述了网络的总体架构是如何设计的。
第四章是网络安全与管理解决方案,网络安全方面介绍了物理层安全,网络结构的安全分析,系统的安全分析,管理的安全分析;网络管理方面介绍了网络管
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 企业 网站 建设 研究 论文