银行企业网站建设研究论文-毕业论文.doc

1、> 目 录 1 项目背景 1 1.1项目背景 1 1.2银行企业系统建设原则 1 1.2.1先进性 1 1.2.2标准性 2 1.2.3兼容性 2 1.2.4可升级可扩展性 2 1.2.5安全性 2 1.2.6可靠性 3 1.2.7易操作性 3 1.2.8可管理性 3 1.3相关技术概述 4 1.3.1广域网接入技术：帧中继 4 1.3.2配置动态路由：RIP 5 1.3.3以太网交换技术：VLAN 5 1.3.4动态主机设置协议：DHCP 6 1.3.5访问控制列表:ACL 7 1.3.6生成树协议：STP 8 1.3.7无线局域网：WLA

2、N 8 1.3.8虚拟专用网络：VPN 9 1.3.9网络地址转换：NAT 10 1.4论文结构介绍 11 2 需求分析 12 2.1项目概述 12 2.2信息点分布 13 2.3网络需求分析 14 2.3.1网络环境需求分析 14 2.3.2 VLAN的需求划分 14 2.3.3安全性需求分析 16 2.3.4管理性需求分析 16 2.4设备需求 16 2.4.1客户端计算机需求分析 16 2.4.2服务器端计算机需求分析 17 2.4.3交换机与路由器需求分析 17 3 网络设计方案 21 3.1系统架构概述网络拓扑结构介绍 21 3.2布线逻辑方案

3、 22 3.3网络拓扑图 24 3.4各层网络设计 25 3.4.1核心层网络设计 25 3.4.2汇聚层网络设计 25 3.4.3 接入层网络设计 25 3.4.4广域网互联设计 26 3.4.5冗余设计 27 3.5 IP地址的分配 28 4 网络安全与管理解决方案 31 4.1网络安全解决方案 31 4.1.1物理层安全 31 4.1.2网络结构的安全分析 31 4.1.3系统的安全分析 31 4.1.4管理的安全分析 31 4.2网络管理解决方案 32 4.2.1网络管理协议和技术 32 4.2.2网络管理的软件 32 4.2.3网络管理的故障诊断

4、和排除 32 5 实施方案 33 5.1综合布线需求分析 33 5.2综合布线系统结构 33 5.2.1工作区子系统设计 34 5.2.2 水平子系统设计 34 5.2.3管理子系统设计 34 5.2.4干线子系统设计 35 5.2.5 设备间子系统设计 35 5.2.6 建筑群子系统设计 35 5.3 系统总体设计 35 5.4 系统结构设计描述 36 5.5系统施工管理 36 5.5.1施工前准备 36 5.5.2设备及材料 37 5.5.3施工过程管理 37 5.5.4 施工完成后质量的检查和验收 37 5.5.5 施工步骤 37 5.6 系统项目验

5、收 38 5.7 系统项目费用预算 40 5.7.1 设备费用 40 5.7.2项目费用 41 5.8 技术支持服务 41 5.8.1 售后服务 41 5.8.2 保证售后服务质量措施 41 6 方案实现 43 6.1实现原理 43 6.2关键配置命令 43 6.2.1 帧中继的配置命令 43 6.2.2 RIP的配置命令 44 6.2.3 ACL的配置命令 45 6.2.4 NAT的配置命令 45 6.2.5 VALN的配置命令 45 6.2.6 DHCP的配置命令 46 6.2.7 VPN的配置命令 47 7 方案测试 49 7.1测试环境 49

6、7.2测试记录 49 7.2.1 测试接口情况 49 7.2.2 vlan接口分配结果（部分） 52 7.2.3 DHCP分配测试,正常分配 54 7.2.4 ACL防火墙测试，正常 54 7.2.5 WLAN测试,正常 56 7.2.6 STP生成树测试，正常 57 7.2.7 NAT测试，正常 59 7.2.8 VPN测试，正常 59 I 1 项目背景 1.1项目背景 银行企业网指的是具有一定规模的网络系统，它可以是单座建筑的局域网，也可以是覆盖一个园区的园区网，还可以是跨地区的广域网，其覆盖的范围可以是数公里/数百公里甚至更广。 银行企业网是针

7、对银行企业的特殊需求而构造的高效而又经济的信息传输和失误处理系统，能满足银行企业高效运作的需求。银行企业网的建设目标是以信息技术为收短，把分布在不同地点的现有资源迅速结合成一种没有（或几乎没有）时间和空间约束，靠电子手段联系的统一指挥的经营实体，从而达到银行企业生存和发展的高效性、稳定性和长期性。这样可以支撑银行企业信息系统的运作，共享各种资源，提高银行企业办公和集团生产效率，降低银行企业的总体运行费用。 为了适应业务的发展和国际化的需求，积极参与国家信息化进程，提高管理水平，发展全新的形象，公司准备建立一个现代化的机构内部网络，实现信息的共享、协作和通讯，并和属下各个部门互联，并在此基础上

8、开发建设现代化的银行企业应用系统，实现智能型、信息化、快节奏、高效率的管理模式。 1.2银行企业系统建设原则 1.2.1先进性 随着计算机应用的不断普及和发展，计算机系统对网络性能的要求已经并将继续不断提高，高带宽、低延迟是对交换网络设备的基本要求。网络交换设备应该提供从数据中心到楼层配线间直至桌面的高速网络连接，交换机必须具备无阻塞交换能力。系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范。 1.2.2标准性 所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不

9、同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。 全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP。 支持：IPsec、L2TP、GRE、MPLS-VPN规范。 支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM； 网络管理协议：SNMP，RMON，RMON2； 1.2.3兼容性 不同厂商的网络设备应能彼此兼容，以保证银行企业网络的

10、正常、高效地运行。 为保证网络系统的开放性，网络中的主干交换设备应该能够支持基于国际标准或工业界事实标准的ATM、FDDI、快速以太网、千兆以太网等各种链路接口技术，能够在必要的时候与外部开放系统顺利实现互联。 1.2.4可升级可扩展性 随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。 1.2.5安全性 园区网络设备上应该可以进行基于协议、基于Mac地址、

11、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。 1.2.6可靠性 硬件可靠性 系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器），采用CLUSTER技术,支持双机或多机高可用结构；配备不间断电源等。 软件可靠性 充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；

12、并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。 网络结构稳定性 当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。 1.2.7易操作性 有利于在网络中心完成银行企业网络的全局管理并配置相应的软件协助管理。提供中文方式的图形用户界面，简单易学，方便实用。 1.2.8可管理性 基于Web的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持 RAP (远程分析端口) 协议，实施充分

13、的网络管理功能。在设计原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。 1.3相关技术概述 1.3.1广域网接入技术：帧中继 帧中继（ Frame Relay）是一种用于连接计算机系统的面向分组的通信方法。它主要用在公共或专用网上的局域网互联以及广域网连接。大多数公共电信局都提供帧中继服务，把它作为建立高性能的虚拟广域连接的一种途径。帧中继是进入带宽范围从56Kbps到1．544Mbps的广域分组交换网的用户接口。 帧中继技术：1）帧中继技术主要用于传递数据业务，它使用一组规程将数据信息以帧的形式（简称帧中继协议）有效地进行传送。它是广域网通信的一种

14、方式。2）帧中继所使用的是逻辑连接，而不是物理连接，在一个物理连接上可复用多个逻辑连接（即可建立多条逻辑信道），可实现带宽的复用和动态分配。3）帧中继协议是对X.25协议的简化，因此处理效率很高，网络吞吐量高，通信时延低，帧中继用户的接入速率在64kbit/s至2Mbit/s，甚至可达到34Mbit/s。4）帧中继的帧信息长度远比X.25分组长度要长，最大帧长度可达1600字节/帧，适合于封装局域网的数据单元，适合传送突发业务（如压缩视频业务、WWW业务等）。 帧中继方法 在这种公共网方法中，每个场点仅需要一条专用（租用）线路和相联的路由器直至帧中继网。这时，在其它网间的交换是在帧中继网内处

15、理的。来自多个用户的分组被多路复用到一条连到帧中继网上的线路，通过帧中继网它们被送到一个或多个目的站。 图1-1 全网状的帧中继拓扑环境 1.3.2配置动态路由：RIP 路由信息协议（RIP）是一种在网关与主机之间交换路由选择信息的标准。RIP 是一种内部网关协议。在国家性网络中如当前的因特网，拥有很多用于整个网络的路由选择协议。作为形成网络的每一个自治系统，都有属于自己的路由选择技术，不同的 AS 系统，路由选择技术也不同。 RIP是一种分布式的基于距离向量的路由选择协议，是因特网的标准协议，其最大的优点就是简单。RIP协议要求网络中每一个路由器都要维护从它自己到其他每

16、一个目的网络的距离记录。RIP协议将“距离”定义为：从一路由器到直接连接的网络的距离定义为1。从一路由器到非直接连接的网络的距离定义为每经过一个路由器则距离加1。“距离”也称为“跳数”。RIP允许一条路径最多只能包含15个路由器，因此，距离等于16时即为不可达。可见RIP协议只适用于小型互联网。 RIP的特点 : （1） 仅和相邻的路由器交换信息。如果两个路由器之间的通信不经过另外一个路由器，那么这两个路由器是相邻的。RIP协议规定，不相邻的路由器之间不交换信息。 （2） 路由器交换的信息是当前本路由器所知道的全部信息。即自己的路由表。 （3） 按固定时间交换路由信息，如，每隔30

17、秒，然后路由器根据收到的路由信息更新路由表。（也可进行相应配置使其触发更新） 1.3.3以太网交换技术：VLAN VLAN（Virtual Local Area Network）的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。 VLAN的优点： 限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建

18、立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。 成本高昂的网络升级需求减

19、少，现有带宽和上行链路的利用率更高，因此可节约成本。 将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。 VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。 1.3.4动态主机设置协议：DHCP 动态主机设置协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段。 DHCP使服务器能够动态地为网络中的其他服务器提供IP地址，通过使用

20、DHCP，就可以不给Intranet网中除DHCP、DNS和WINS服务器外的任何服务器设置和维护静态IP地址。使用DHCP可以大大简化配置客户机的TCP／IP的工作，尤其是当某些TCP／IP参数改变时，如网络的大规模重建而引起的IP地址和子网掩码的更改。 DHCP使用客户/服务器模式，网络管理员建立一个或多个DHCP服务器，在这些服务器中保存了可以提供给客户机的TCP／IP配置信息。这些信息包括网络客户的有效配置参数、分配给客户的有效IP地址池(其中包括为手工配置而保留的地址)、服务器提供的租约持续时间。 如果将TCP／IP网络上的计算机设定为从DHCP服务器获得IP地址，这些计算机

21、则成为DHCP客户机。启动DHCP客户机时，它与DHCP服务器通信以接收必要的TCP／IP配置信息。该配置信息至少包含一个IP地址和子网掩码，以及与配置有关的租约。 1.3.5访问控制列表:ACL 访问控制列表（Access Control List，ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。 ACL可以限制网络流量、提高网络性能。例如，ACL可以根据数据包的协议，指定数据包的优先级。 ACL提供对

22、通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。 目前有两种主要的ACL:标准ACL和扩展ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及20

23、00~2699之间的数字作为表号。 标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。 　　 扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。 1.3.6生成树协议：STP STP － Spanning Tree Protocol（生成树协议）逻辑上断开环路，防止二层网络的广播风暴的产生。当线路出现故障，断开的接口被激活，恢复通信，起备份

24、线路的作用。 STP的作用是通过阻断冗余链路，使一个有回路的桥接网络修剪成一个无回路的树形拓扑结构。 STP将一个环形网络生成无环拓朴的步骤： 选择根网桥（Root Bridge） 选择根网桥依据是：网桥ID是唯一的，交换机之间选择BID值最小的交换机作为网络中的根网桥。 选择根端口（Root Ports） 选择根端口的依据是：根路径成本最低，直连（上游）的网桥ID最小，端口（上游）ID最小。 选择指定端口（Designated Ports） 1.3.7无线局域网：WLAN 无线局域网络(Wireless Local Area Networks； WLAN)是相当便利的数

25、据传输系统，它利用射频(Radio Frequency； RF)的技术，取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到「信息随身化、便利走天下」的理想境界 无线局域网拓扑结构概述：基于IEEE802.11标准的无线局域网允许在局域网络环境中使用可以不必授权的ISM频段中的2.4或5.8GHz射频波段进行无线连接。它们被广泛应用，从家庭到银行企业再到Internet接入热点。 无线局域网络的优点： （1) 灵活性和移动性。在有线网络中，网络设备的安放位置受网络位置的限制，而无线局域网在无线信号覆盖区域内的任何一个位置都

26、可以接入网络。无线局域网另一个最大的优点在于其移动性，连接到无线局域网的用户可以移动且能同时与网络保持连接。 （2） 安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量，一般只要安装一个或多个接入点设备，就可建立覆盖整个区域的局域网络。 （3）易于进行网络规划和调整。对于有线网络来说，办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程，无线局域网可以避免或减少以上情况的发生。 (4) 故障定位容易。有线网络一旦出现物理故障，尤其是由于线路连接不良而造成的网络中断，往往很难查明，而且检修线路需要付出很大的代价。无线网络则很容易定位故障，

27、只需更换故障设备即可恢复网络连接。 (5) 易于扩展。无线局域网有多种配置方式，可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络，并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点，因此其发展十分迅速。最近几年，无线局域网已经在银行企业、医院、商店、工厂和学校等场合得到了广泛的应用。 1.3.8虚拟专用网络：VPN 虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公

28、用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。 实现VPN，最关键部分是在公网上建立虚信道，而建

29、立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。 隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。 (1) PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。P

30、PTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。 (2) L2TP协议：L2TP是PPTP与L2F（第二层转发）的一种综合，他是由思科公司所推出的一种技术。 (3) IPSec协议：是一个标准的第三层安全协议，它是在隧道外面再封装，保证了在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密。 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术实现加解密。密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不

31、被窃取。使用者与设备认证及时最常用的是使用者名称与密码或卡片式认证等方式。 1.3.9网络地址转换：NAT 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 静态转换是指将

32、内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用

33、Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。 1.4论文结构介绍 本论文共八章。第一章是绪论，主要介绍课题的相关内容以及实现该系统所用到的关键技术等。第二章是项目需求分析，主要从项目的总体概述、信息点分布、网络

34、需求、设备需求这几个方面对项目的需求进行了分析。第三章是网络设计方案,阐述了网络的总体架构是如何设计的。第四章是网络安全与管理解决方案，网络安全方面介绍了物理层安全,网络结构的安全分析,系统的安全分析,管理的安全分析；网络管理方面介绍了网络管理的常用协议，常用网络管理软件，网络管理的故障诊断及排除方法。第五章是实施方案，详细的阐述了综合布线的需求和结构和总体设计以及具体实施方案。第六章是方案现，用对关键的配置命令的分析展示了方案是如何逐步实现的。第七章是系统测试，主要通过基于网络设计的测试来说明系统的可行性和稳定性。第八章是结束语，是对本次工作的一个总结以及对系统未来的一个展望。

35、 2项目需求分析 2.1项目概述 该项目主要是为一家跨区域的大型集团银行企业设计网络规划方案。 本项目以一个大型银行企业的网络规划为背景，实现网络规划设计和模拟，同时完成详细的网络实施方案。该公司为一家跨区域的大型集团银行企业。在4个跨广域网的区域HQ, Sub-company1，Sub-company2和Sub-company3进行管理和运作。其中HQ为该公司的总部。公司为了实现总部和3个分公司的联网，向ISP租用了基于帧中继的广域网络。需要利用帧中继技术实现分别位于这三个区域的路由器的互联。为了维护银行企业总部网站，1台Web服务器及1台数据库服务器位于HQ区域，Sub-co

36、mpany1，Sub-company2及Sub-company3能够很容易的访问到该Web服务器。并且对于数据库服务器有限的访问权限(只有2个子公司的财务部能够访问)另外，HQ区域有3个网段分别对应三个部分(研发部，行政部，人事部)，而且研发部需要分配5个Vlan实现各研发小组的独立，每个小组需要至少8个地址。行政部和人事部均有2个Vlan，每个Vlan配置3个地址。Sub-company1有3个部门(产品部，商务部1，财务部)全通过有线网络进行互联。其中产品部需要划分出3个Vlan，每个Vlan包括10台主机；商务部1分出5个Vlan，每个Vlan包括8台主机; 财务部分出1个Vlan，包括

37、5台主机。Sub-company2有3个部门 (服务部，商务部2,财务部)，其中服务部通过有线网络进行互联，而商务部2通过无线网络和服务部互通。另外，服务部需要划分出2个Vlan，每个Vlan包括6台主机；商务部2分出4个Vlan，每个Vlan包括3台主机。财务部分出1个Vlan，包括5台主机。Sub-company3有2个部门 (商务部3, 技术支持部)，其中商务部3通过无线网络进行互联。另外，技术支持部需要划分出2个Vlan，每个Vlan包括6台主机。 2.2信息点分布 该银行企业是通过职能部门进行不同的信息点分布，其中按照每个部门的需求，来决定分布的数量。还有各部门距离网络中心的距离

38、通过这个表格，我们可以清晰的分析整个公司的信息点还有各部门的距离计算预算。一下是对公司信息点的分析，如下表所示： 表2-1 银行企业信息点分布 公司 部门 功能分布 信息点 信息点合计 距核心网络距离 HQ 研发部 研发小组1 10 50 200m 研发小组2 10 200m 研发小组3 10 200m 研发小组4 10 200m 研发小组5 10 200m 行政部 行政分布1 3 6 500m 行政分布2 3 500m 人事部 人事分布1 3 6 800m 人事分布2 3 800m Sub-company1

39、 产品部 产品分布1 10 30 300m 产品分布2 10 300m 产品分布3 10 300m 商务部1 商务部1分布1 8 40 700m 商务部1分布2 8 700m 商务部1分布3 8 700m 商务部1分布4 8 700m 商务部1分布5 8 700m 财务部1 财务部1 5 5 650m Sub-company2 服务部 服务部分布1 6 12 300m 服务部分布2 6 300m 商务部2 商务部2分布1 3 12 600m 商务部2分布2 3 600m 商务部2分布3 3

40、 600m 商务部2分布4 3 600m 财务部2 财务部2 5 5 650m Sub-company3 商务部3 商务部3 3 3 300m 技术支持部 技术支持部1 6 12 200m 技术支持部2 6 200m 合计 181 13000m 2.3网络需求分析 2.3.1网络环境需求分析 随着银行企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证银行企业正常的生产运营的关键。现代银行企业网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备

41、份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在银行企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。 2.3.2 VLAN的需求划分 本银行企业根据需求一共划分了29个vlan。一个VLAN可以根据不同的部门、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动，VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了

42、网络管理的问题，能实现网络监督与管理的自动化，从而更有效的进行网络监控。 采用静态VLAN：基于端口的VLAN,用户主机属于哪个VLAN是根据交换机端口属于哪个VLAN而定的。网络管理员首先把交换机端口分配到不同的VLAN内，根据规划把用户的主机与相应的端口相连，这样就把用户分配到了对应VLAN内。具体的划分如下表： 表2-2 vlan的划分 公司 部门 子网名称 网段IP 网关IP 备注 HQ 服务器 服务器子网 192.168.10.0/24 192.168.10.1 Vlan10 研发部 研发部子网1 192.168.11.0/24 192.168.1

43、1.1 Vlan11 研发部子网2 192.168.12.0/24 192.168.12.1 Vlan12 研发部子网3 192.168.13.0/24 192.168.13.1 Vlan13 研发部子网4 192.168.14.0/24 192.168.14.1 Vlan14 研发部子网5 192.168.15.0/24 192.168.15.1 Vlan15 行政部 行政部子网1 192.168.16.0/24 192.168.16.1 Vlan16 行政部子网2 192.168.17.0/24 192.168.17.1 Vlan17

44、人事部 人事部子网1 192.168.18.0/24 192.168.18.1 Vlan18 人事部子网2 192.168.19.0/24 192.168.19.1 Vlan19 Sub-company1 产品部 产品部子网1 192.168.20.0/24 192.168.20.1 Vlan20 产品部子网2 192.168.21.0/24 192.168.21.1 Vlan21 产品部子网3 192.168.22.0/24 192.168.22.1 Vlan22 商务部1 商务部1子网1 192.168.23.0/24 192.168.2

45、3.1 Vlan23 商务部1子网2 192.168.24.0/24 192.168.24.1 Vlan24 商务部1子网3 192.168.25.0/24 192.168.25.1 Vlan25 商务部1子网4 192.168.26.0/24 192.168.26.1 Vlan26 商务部1子网5 192.168.27.0/24 192.168.27.1 Vlan27 财务部1 财务部1子网1 192.168.41.0/24 192.168.41.1 Vlan41 Sub-company2 服务部 服务部子网1 192.168.28.0/2

46、4 192.168.28.1 Vlan28 服务部子网2 192.168.29.0/24 192.168.29.1 Vlan29 商务部2 商务部2子网1 192.168.30.0/24 192.168.30.1 Vlan30 商务部2子网2 192.168.31.0/24 192.168.31.1 Vlan31 商务部2子网3 192.168.32.0/24 192.168.32.1 Vlan32 商务部2子网4 192.168.33.0/24 192.168.33.1 Vlan33 财务部2 财务部2子网2 192.168.42.0/24

47、 192.168.42.1 Vlan42 Sub-company3 商务部3 商务部3子网1 192.168.34.0/24 192.168.34.1 Vlan34 技术支持部 技术支持部子网1 192.168.35.0/24 192.168.35.1 Vlan35 技术支持部子网2 192.168.36.0/24 192.168.36.1 Vlan36 2.3.3安全性需求分析 传统银行企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决银行

48、企业网络的安全问题。在银行企业网络已经成为公司生产运营的重要组成部分的今天，现代银行企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证银行企业网络的稳定运行。 分公司只有财务部才能访问公司总部数据库服务器。需要在HQ的路由器防火墙上做一个acl列表。 分公司Sub-company3需要与总公司间用IPsec VPN来传输数据。 2.3.4管理性需求分析 现代的大型银行企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。比如ERP系统。 2.4设备需求

49、 2.4.1客户端计算机需求分析 经过集团内各公司所提交的需求表的反馈，确认集团共需客户端计算机的PC数量是190套；根据业务的需求分析，从硬件划分为两种配置： （1）普通办公PC：适用于财务部、人事、生产等普通办公部门的应用，无需独立显卡，标配主流的CPU、内存、硬盘、网卡、LCD显示器。 总数量140台。 （2）研发部门PC：适用于技术、设计、绘图等办公部门的应用，考虑其业务要求，需选购比现主流标配的性能更优越的硬件性能，需配置1GB显存以上的独立显卡。总数量50台。 2.4.2服务器端计算机需求分析 经过集团内各公司所提交的需求表的反馈，确认集团共需服务器端计算机数量是3台

50、选择为HP ProLiant DL580 G7(QS434A) 。惠普DL580 G7可以说在性能方面是普通服务器所不能比拟的，而且采用了4U机架式结构搭配最高四路至强处理器设计，使得整体的性能得到了大大的提升，并且可以提供更好的扩展能力。惠普ProLiant DL580 G7(QS434A)采用4U机架式结构设计，主要针对银行企业高端应用。采用Intel至强E7-4800服务器芯片组。标配核心频率为1.86GHz，拥有18MB三级缓存，最大可支持四路英特尔至强处理器。内存方面，标配32GB(8x4GB)PC3-10600E DDR3 内存，标配32内存插槽,添加内存扩展卡可支持64个内存插