某银行专用网设计方案共15页.docx
- 文档编号:7871393
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:16
- 大小:2.37MB
某银行专用网设计方案共15页.docx
《某银行专用网设计方案共15页.docx》由会员分享,可在线阅读,更多相关《某银行专用网设计方案共15页.docx(16页珍藏版)》请在冰豆网上搜索。
某银行专用网设计方案共15页
课程设计报告(bàogào)
课程设计题目(tímù):
某银行专用网设计方案
专业:
网络工程
班级:
姓名:
学号:
指导(zhǐdǎo)教师:
2015年月日
目录(mùlù)
1、课程设计的目的(mùdì)及要求
对于一个银行系统,首先是要满足银行的基本业务需求,银行网络分布在不同的省市,不同的省市又有不同地域的地方分支,而对于银行的网络系统,这是一个特别复杂又有服务需求的。
同时银行在进行通信以及业务扩展之间都需要有网络的支持。
因此某一个银行具有自身的网络结构规划是十分有必要的。
其次在一个基本网络规划中,需要分析用户的基本需求,应对客户的需求设计与之相适应的网络地址。
银行是一个对通信有很高的安全性需求的服务系统,客户的账户操作,业务之间的合作交流这些都需要网络的扩展,因此在设计的时候需要有合适的网络安全技术。
2、设计内容
2.1分析
银行的银行在发展中不断扩大,不再是单一的区域,所以有许多的区域,又需要负责将所有的区域用广域网的技术接入起来。
根据银行的地理位置和需求的分析,可以根据用帧中继的广域网接入技术将某市A,B连接起来,这样连接既保证了传输的可靠性,又减低了成本。
而某市C由于距离总部的地理位置近,所以直接用PPP连接的方式。
由于银行的内部服务器的安全性,所有的内部网络都严格控制,不能让外网直接通信,但是又出于跟外网通信,又允许某部分的主机可以访问外网。
银行的员工可以访问内部网络的服务器,实现实时的服务器的数据更新。
这样不会照成数据的出错。
但是外网的主机只能访问内部WEB服务器的HTTP,可以实现查询自己的账户信息。
2.2局域网设计(shèjì)的优越性:
局域网是由一组相互连接具有通信能力的计算机组成的,并分布在较小地理范围内的计算机网络,不少人没有意识到建立局域网带来的巨大收益:
共享光驱、打印机、MODEM、系统资源、数据库资源,它通常建立在计算机较集中(jízhōng)的政府部门、学校、研究所、大中小型银行(yínháng)、服务型单位内。
局域网(Local AreaNetwork,简称LAN)是将小区域内的各种通讯设备互连在一起的通信网络,从这个定义可引出局域。
网络的三个属性:
1、局域网是一个通信网络,从协议层次的观点看,包含着下三层的功能。
将链接到局网的数据通信设备加上高层协议和网络软件组成为计算机网络。
我们称为计算机局域网。
2、这里指的数据通信设备是广义的,包括计算机、终端、各种外围设备等。
3、这里指的小区域可以是一建筑物内,一个校园或者大至几十公里直径范围的一个区域。
任何一个网络的网络设计的网络层次都应采取核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)三个网络层次的设计理念。
使用层次清晰的网络模式,一是方便日后的升级,二是可以减少维护成本。
三层交换与VLAN结合
三层交换技术,也称多层交换技术或IP交换技术,是相对于二层交换技术提出的,因工作在OSI七层网络标准模型中的第三层而得名。
传统的路由器也工作在第三层,它可以处理大量的跨越IP子网的数据包,但是它的转发效率比较低,而三层交换技术在网络标准模型中的第三层实现了分组的高速转发,效率大大提高。
简单地说,三层交换技术就是“二层交换技术+路由转发”。
它的出现,解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。
它不受网络用户的物理位置限制,而是根据用户需求进行网络分段。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1q协议标准草案。
不同VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此,使用VLAN技术,结合数据链路层和网络层的交换设备,可搭建安全可靠的网络。
划分VLAN的目的:
一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。
二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。
三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。
在划分VLAN时,要考虑VLAN对于网络流量的影响,单个VLAN不宜过大。
2.3建设(jiànshè)的优点(yōudiǎn)以及(yǐjí)目标
1、资源共享:
如办公室里有若干台计算机,只有一台打印机与其一台计算机相连,这样就只有这台计算机才能使用打印功能,如计算机连接成局域网,每台计算机都能使用打印功能,还有半成品车间和成品车间的数据共享等。
2、快速通信:
如决策部门的有关决定文件,能迅速的发送到各相关部门的计算机中,银行单位内部之间信息沟通方便、可靠、快速。
3、分布处理:
采用网络技术共享每台计算机上的信息资源,从而降低了银行单位的成本,提高了工作效率。
4、保护您的投资:
我们谁都感叹过,计算机发展太快了!
上半年才买的机器,如今就已成为过时的机器了员工都抱怨机器跑的太慢,影响工作效率!
能不慢吗?
现如今的软件越来越多,同时身躯也越来越庞大,动不动几十兆上百兆,加上几个大点的图片、动画。
5、银行局域网络能
将有效地、合理地分配您的存取设备,快速地进行文件传输!
从而以必要投资解决机器运行缓慢而故障频生的问题。
3、网络设计原则
3.1原则概要
1.把握好技术先进性与应用简易性之间的平衡。
2.具有良好的升级扩展能力。
3.具有较高的可靠性和安全性。
4.产品功能与实际应用需求相匹配。
5.尽可能选择成熟、标准化的技术和产品。
精简功能设计的产品不但可以(kěyǐ)在满足大多数需求的情况下有效降低成本,而且还能够提高系统的稳定性和易维护性。
恰当运用以太网的不同标准和功能,以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据,可以非常简单地升级到百兆、千兆的速率,而且具有很高的稳定性和可管理性。
以太网提供了多种标准和功能。
比如10Mbps、100Mbps、1000Mbps不同速率的标准,双绞线、光纤等不同介质的标准,以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。
(1)高性能
随着业务的增加和计算机技术的发展,接入局域网的用户将越来越多,终端和工作站的处理能力越来越强,以及图形图像和多媒体的应用越来越广泛,要求每个用户实际可用带宽(dàikuān)很高才能使网络通信流畅,网络将成为提供多种业务的统一网络平台,并应该为不同的业务提供服务质量保证(QoS)。
因此,设计方案时充分了考虑将来业务量的增大,保证当前及今后一定时期内网络的高效与通畅。
(2)可扩展性
网络要能满足用户当前需求以及将来需求的增长、新技术发展等变化。
因此在保护原有的投资同时,要保证用户数的增加,以及用户随时随地增加设备、增加网络功能等。
随着应用规模的发展,系统能灵活方便地进行硬件或软件系统的扩展和升级。
在网络设计时应考虑到网络在未来几年中的发展,使得网络的扩展可以在现有网络的基础上通过简单的增加设备和提高电路带宽的方法来解决(jiějué),以适应不断增长的业务需求,保护本次网络建设的投资。
(3)可靠性和安全性
网络的可靠性是网络设计中需要考虑的一个主要原则。
作为信息系统应用的依赖和基础,要求系统连续安全可靠地运行,所以在系统结构设计中选用高可靠性网络产品,合理设计网络架构,尽可能利用成熟技术,网络关键部分要制定可靠的网络备份策略,对于重要的网络节点应采用先进可靠的容错技术,以保证网络系统具有故障自愈的能力,最大限度地支持专网内各业务系统的正常运行。
安全性:
通过VPN网络、内外网隔离、加密、防火墙等技术。
3.2绿色组建原则
从Internet接入的网络接入公司防火墙,实现公司内部信息的安全传输,内部资料的有效保护。
再而接入路由端口,考虑到公司未来发展的规划,链接多个路由,划分子网,同时每个端口实现NAT内部地址池的选择,对于公,在技术设备选择上充分符合绿色的新型概念,设备接口的选择适合现今需求同时又不会太耗费资金,服务器的能够管理公司的日常服务等等;既满足于现在的基本办公需求,同时对于公司未来的发展具有一定的空间,
3.2.1最优布局(bùjú)
公司的位置的选择,对应于不同的地理位置可以有不同的网络选择,选择最适合,最能接受,并且最具有使用效率的网络配置方案和网络配置设施。
在基本布局的模式(móshì)下反复排查基本设备的使用存在隐患,该条件下的使用率,布局之下的基本维护成本,有效利用资源,最大化资源利用率。
3..2.2最优网络(wǎngluò)构建
基于最优的网络设备之下,实现最优的网络布局,各个部门之间相互独立又具有自己独有的访问权限,以及访问外网的方式,内部平台的对话,共享,学习。
在物理条件因素下造成的突发事故采取什么措施,公司网络是否有完整的应对方案。
访问期间私密信息的保护制度,访问方式。
有效的利用现有资源实现办公效率最大化,设备利用率最大化。
3.3安全问题分析
3.3.1正面保护
安全团队收集的数据和分析信息越多,其资料库越容易成为攻击者的目标。
随着安全分析的不断深入,处理人员必须知道,分析得到的数据要比公司数据更有吸引力,原因就在于这种数据掌握着揭示银行防御机制的秘密。
如果银行的安全工具还不如网络本身更安全,它就会成为可被攻击者利用的一个漏洞。
例如,基于胖客户端的工具可以带来安全威胁,这是因为笔记本电脑上往往携带着大量的数据,而该种设备又有可能失窃或被渗透。
在数据中心找到一个安全位置来存放安全数据有助于减少这些漏洞。
3.3.2整合数据分析
分析人员以整合数据和评估数据源为基础,可以进一步改善数据质量和数据分析的质量。
如果将数据源组合在一起,分析人员会发现问题出在哪里,并认识到自己并没有扫描所有的主机,甚至会发现有的网络竟然不受控制,而且也没有得到完整的日志。
3.3.3针对于关键基础架构的安全问题
在考虑到银行需要时,找到应当持续监视的关键银行资产变得相对容易。
银行的关键资产,不管是证书服务器还是特定的本地驱动,安全管理者都应当监视并分析其变化。
可以将变化分为系统变化(或配置变化)以及商业知识的变化。
由于这些关键系统不应当有很多变化,所以发现问题不会花费太多时间。
而对变化进行分组可以节省大量时间。
3.3.4确定具体存在(cúnzài)的安全问题
在部署(bùshǔ)安全措施时,不可"抄袭".对银行(yínháng)来说,理解自己所处的位置及被攻击的地方是很重要的。
不同的银行有不同的攻击者,因而需要制定对付这些攻击者的具体措施。
银行需要衡量每位员工容易在哪些方面暴露,确定或至少猜测一下关于银行数据的特征和攻击者会如何攻击的特定信息,强化关于银行具体业务的安全方法。
这就是"具体问题具体分析".
4、网络服务器
数据中心服务器浪费了大量的能源。
原因在于数据中心的服务器是按照其峰值容量、性能和可靠性来进行部署和配置的,这通常是在牺牲效率。
这种浪费增加了不必要的资本和运营支出,并可能导致有限资源(特别是电力和空间)被耗尽,从而导致银行可能支付了超出其数据中心实际需要的能源的情况。
对于拥有50名用户而且要求运行大量存储和计算的用户来说,用一台LC3服务器和一台性能超强部门级服务器的LH3服务器可能更为合适,其中LC3用作用户管理和打印服务器,LH3作为应用程序服务器。
LH3其卓越的数据吞吐性能和强大的计算能力可将您的数据库系统和CAD制图等应用系统发挥到极至,可以支持双CPU和容纳12块Ultra2SCSI硬盘,使您的计算机数据库管理信息系统等可以发挥到最佳性能
5、设计
5.1IP地址规划
部门
公有地址数
IP网段
IP地址范围
总部
30
192.168.1.0/27
192.168.1.1—31
支行3
20
192.168.1.32/27
192.168.1.33—63
支行2
10
192.168.1.64/28
192.168.1.65—79
支行1
10
192.168.1.80/28
192.168.1.81—95
帧中继网段
4
192.168.1.96/29
192.168.1.97--103
6、绘画拓扑图
7、相关实验(shíyàn)代码
R1的配置(pèizhì)
R1(config)#interfaceSerial0/0/0
R1(config)#ipaddress192.168.1.97255.255.255.248
R1(config)#encapsulationframe-relayietf
R1(config)#frame-relayinterface-dlci101
R1(config)#frame-relayinterface-dlci102
R1(config)#frame-relayinterface-dlci103
R1(config)#clockrate64000
ipdomain-name
#interfaceFastEthernet0/0
noipaddress
iphelper-address192.168.20.2
ipnatinside
duplexauto
speedauto
#interfaceFastEthernet0/1
ipaddress192.168.1.1255.255.255.224
ipnatinside
duplexauto
speedauto
#interfaceSerial0/0/0
ipaddress192.168.1.97255.255.255.248
encapsulationframe-relayietf
frame-relayinterface-dlci101
frame-relayinterface-dlci102
frame-relayinterface-dlci103
clockrate64000
#interfaceSerial0/0/0.12point-to-point
noipaddress
shutdown
#interfaceSerial0/0/1
ipaddress210.10.1.1255.255.255.252
encapsulationppp
pppauthenticationchap
#routereigrp100
redistributestatic
passive-interfaceSerial0/0/1
network210.10.1.0
network192.168.1.0
noauto-summary
#ipnatpoolbank192.168.1.1192.168.1.254netmask255.255.255.0
#ipnatinsidesourcelist1poolbank
#linecon0
passwordcisco
login
#linevty04
passwordcisco
login
transportinputssh
ra的配置(pèizhì)
#hostnamera
#ipdhcpexcluded-address192.168.1.65
#ipdhcppoolbank1
network192.168.1.64255.255.255.240
default-router192.168.1.65
dns-server192.168.1.2
#ipdomain-name
#interfaceFastEthernet0/0
ipaddress192.168.1.65255.255.255.240
duplexauto
speedauto
#interfaceFastEthernet0/1
noipaddress
duplexauto
speedauto
shutdown
#interfaceSerial0/0/0
ipaddress192.168.1.98255.255.255.248
encapsulationframe-relayietf
frame-relaymapip192.168.1.97201broadcast
frame-relaymapip192.168.1.99203broadcast
frame-relaymapip192.168.1.100204broadcast
frame-relayinterface-dlci201
frame-relayinterface-dlci203
frame-relayinterface-dlci204
clockrate64000
#interfaceSerial0/0/1
noipaddress
shutdown
#interfaceVlan1
noipaddress
shutdown
#routereigrp100
redistributestatic
network192.168.1.960.0.0.7
network192.168.1.640.0.0.15
noauto-summary
#iproute0.0.0.00.0.0.0Serial0/0/0
Rb的配置(pèizhì)
#hostnamerb
#ipdhcpexcluded-address192.168.1.81
#ipdhcppoolbank2
network192.168.1.80255.255.255.240
default-router192.168.1.81
dns-server192.168.1.2
#ipdomain-name
#interfaceFastEthernet0/0
ipaddress192.168.1.81255.255.255.240
iphelper-address192.168.1.65
#interfaceSerial0/0/0
ipaddress192.168.1.99255.255.255.248
encapsulationframe-relayietf
frame-relaymapip192.168.1.97301broadcast
frame-relaymapip192.168.1.98302broadcast
frame-relaymapip192.168.1.100304broadcast
frame-relayinterface-dlci301
frame-relayinterface-dlci302
frame-relayinterface-dlci304
clockrate64000
#routereigrp102
redistributestatic
network192.168.1.960.0.0.7
noauto-summary
#routereigrp100
redistributestatic
network192.168.1.960.0.0.7
network192.168.1.800.0.0.15
noauto-summary
#iproute0.0.0.00.0.0.0Serial0/0/0
Rc的配置(pèizhì)
#ipdomain-name
#interfaceFastEthernet0/0
ipaddress192.168.1.33255.255.255.224
#interfaceSerial0/0/0
ipaddress192.168.1.100255.255.255.248
encapsulationframe-relayietf
frame-relaymapip192.168.1.97401broadcast
frame-relaymapip192.168.1.98402broadcast
frame-relaymapip192.168.1.99403broadcast
frame-relayinterface-dlci401
frame-relayinterface-dlci402
frame-relayinterface-dlci403
#routereigrp100
redistributestatic
network192.168.1.960.0.0.7
network192.168.1.320.0.0.31
noauto-summary
#iproute0.0.0.00.0.0.0192.168.1.97
iproute192.168.1.0255.255.255.0FastEthernet0/0
iproute192.168.2.0255.255.255.0FastEthernet0/0
rc局域网的三层交换机的配置(pèizhì)
#hostnameSwitch
#ipdhcpexcluded-address192.168.1.1
#ipdhcpexcluded-address192.168.2.1
#ipdhcppoolvlan10
network192.168.1.0255.255.255.0
default-router192.168.1.1
dns-server192.168.1.2
#ipdhcppoolvlan20
network192.168.2.0255.255.255.0
default-router192.168.2.1
dns-server192.168.1.2
#interfaceFastEthernet0/2
switchportaccessvlan10
switchporttrunkencapsulationdot1q
switchportmodetrunk
#interfaceFastEthernet0/3
switchportaccessvlan20
switchporttrunkencapsulationdot1q
相应(xiāngyīng)switchportmodetrunk配置VTP协议
#vtpmodeserver
#vtpdomaincisco
#vtppassword
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 专用网 设计方案 15