1、封面V摘要本文以工商银行网络建设为背景,根据这个行业的特定要求做的一个企业网络解决方案。首先通过和银行的接触,了解该银行网络建设的具体需求;然后再需求的基础上,对局域网网络的结构进行分析和设计;最后利用 VLAN 和防火墙来保证企业局域网网络的安全。关键词:局域网;网络拓扑结构;VLAN;防火墙VI目 录摘要 .V1引言 .12 工商银行局域网建设的需求 .12.1 局域网建设的网络需求 .12.2 局域网建设的系统需求 .33 工商银行局域网建设的分析与设计 .33.1 网络拓扑原理 .33.2 局域网网建设分析 .43.3 局域网网建设设计 .53.4 网线连接设计 .94 工商银行局域网
2、建设的安全策略 .104.1 VLAN 设置 .104.2 防火墙的设置 .134.3 VPN 设置 .145 总结和展望 .16参考文献 .1711引言近几年来,随着我国金融体制改革的进一步深化和市场经济的不断发展,金融业的竞争越来越激烈,为社会和客户提供全方位的服务成为提高银行服务水平和加强银行自身竞争力的关键。为了适应银行业日益激烈的竞争,为了给客户提供更加快速、便捷、安全的服务,在工商银行总行的统一领导下,工商银行各省级分行在完成省域数据集中的基础上开始进行全国数据大集中工程。而构建工商银行一级分行稳定、安全、高效、开放的数据交换网络平台,并在此平台上运行统一的业务系统,这是实现全国数
3、据大集中工作的前提和基础。同时,随着工商银行管理规范化、信息化的不断发展,也对工商银行一级分行骨干网络的建设提出了更高的要求 1。 。本文主要是针对于数据包进行过滤的,端口设置,划分 VLAN 等多种形式来设计网络的安全,即所有进出的数据包进行检查是通过数据包过滤技术来控制,这种控制可以阻止那些不符合既定规则数据包的传输。基于数据包捕获的个人防火墙,对计算机的网络安全起到很好地保护作用这样就能大量降低计算机被入侵的几率,因此,防火墙的数据包捕获具有很强的现实意义。同时采取星型和总线型的混合型网络拓扑结构也为企业带来了极大的方便。企业的企业网建设在企业本身信息传递的及时性,传递信息时的数据安全性
4、都有巨大的实际意义,对于本人的网络建设知识也是一个很好的积累。2 工商银行局域网建设的需求2.1 局域网建设的网络需求本人所在工商银行的网络建于 2005 年,当时建设的目标是为了满足省域数据集中和 ABIS(综合业务系统)在全省推广的要求,设备投入主要集中在省市县骨干网络的建设上,基本没有考虑生产、办公和开发等各逻辑功能区分区运行的需求。随着工商银行业务的不断发展,原先的网络在控制、管理和安全性等方面暴露出越来越多的问题,同时,随着远程教育、视频会议等对时延、带宽等要求较高的应用在工商银行推广,原有的网络也很难满足这些应用的要求。为了满足工商银行全国数据大集中的要求,为了满足工商银行管理信息
5、化发展2的要求,也为了进一步提高省域骨干网络的安全性、可靠性和可管理性,确立了中国工商银行江西省分行骨干网改造项目。系统主干采用万兆以太网 10000M 交换,下属子网采用千兆以太网,网络协议采用 TCP/IP 协议,在设计整个企业网络时,考虑视频、数据、语音等综合应用 。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,子房机交换机采用双导交换机,核心交换机和子房机交换机都支持 VLAN 功能。都能较好的解决突发数据量增加和密集服务请求的实时响应等问题。本系统处理的信息包括数据、语音和图像等,因此要考虑实时性问题,特别要考虑包括实时监控在内的视频信息传送等方面的实
6、时性要求。管理楼的主机房中的 UPS 电源的配备,能保证主机房及财务部门因临时断电而造成不必要的麻烦,同时也保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;通过联想的智能防火墙对网络带宽进行统一分配,分配原则根据 VLAN 的划分,以充分利用网络带宽,提高了网络的运行效率。数据集中存放、管理、有效共享、统一安全备份,可以在远程控制的形式对主机进行维护。图 2-1 为银行局域网主干拓扑图。主要是通过一级网络和二级网络进行有效的互连,在安全方面也体现出了分级结构,而每一级都通过路由进行中转。图 2-1 企业网主干拓扑图32.2 局域网建设的系统需求(1)广泛的设备支持:在网
7、络建设中所选择的操作系统及选择的服务应尽量广泛的支持各种硬件设备,在这里选择的是微软公司的 WINDOWS2003 SERVER 版,数据库采用 SQL2005;(2)稳定性及可靠性:系统的运行应具有高稳定性,保障 7*24 的高性能无故障运行。(3)配置简单方便:所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;采用微软公司的 XP 系统以及 WIN7 系统,不仅保证了客户端的方便性,也保证了平时服务的方便性;(4)安全性:在系统的设计、实现及应用上应采用多种安全手段保障网络安全;一方面采用防火墙的形式,另一方面对整个企业网进行 VLAN 划分,按部门把企业的 IP 分
8、为不同的 IP 分段。网络还应具有开放性、可扩展性及兼容性,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和集团的结构变更。(5)可管理性:系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本:系统设计应尽量降低整个系统的成本。3 工商银行局域网建设的分析与设计3.1 网络拓扑原理在此次大型企业网的设计中,设计网络拓扑结构的方法采用的是层次化“模型” 。如图 3-1 层次模型网络拓扑原理。4图 3-1 层次模型网络拓扑原理3.2 局域网网建设分析网络拓扑结构采用的“层次化”模型,小的网络拓扑结构采用星型结构。对于每个层次都设计了特定的
9、功能。比如我们把办公楼分为一层网络系统,四大生产车间分为一层系统,仓储体系分成一层系统。层次结构与星型结构组合设计不仅能够应用于企业的局域。对于这个拓扑结构的设计是为了方便管理和规划,对于每个层级的设计都会有一个管理员进行分管,管理员的职能就是对不同的层级进行分管,这样就大大的提高了网络系统的可维护性。层次化模型的好处:(1)节省网络建设成本在网络维护和建设的过程中,可分层次的进行建设和维护。(2)对网络功能易于扩展在网络设计中,模块化具有的特性使得在扩大网络的使用范围和功能增加时,也限制在子网中,而不会蔓延到网络的其他层的子网中。5(3)对网络易于排错层次化设计要以把企业网分成若干个子网,这
10、样的设计对于网络管理来说排错的过程中就简化了程序。层次设计网络拓扑图如图 3-2 所示。图 3-2 层次设计网络拓扑图3.3 局域网网建设设计(1)骨干核心层网络设计本论文中所涉及到的企业的网络骨干网就要是因为各车间和部门之间的距离比较远,在设计的过程中还要保证调整数据路由转发,以及维护全网路由的计算。还包括企业的使用人员数量比较多。企业的业务应用模块比较复杂,对于骨干网的设计所使用的硬件也就要求的非常高,在整个网络建设中我们采用了性能相对高的神州数码品牌。我们采用的这款 DCRS-7500 的神码产品主要功能是管理模块、交换模块以及电源模块都可以相互交换使用。这样就大大的提高了设备的使用率,
11、让设备能更好的为网络服务,为客户服务,这个设备的电源模块、风扇、管理模块等都可以冗余备份,在安全方面也就提高了保障,出问题之后也就可以通过还原的形式进行操作,对于设备的温度也是一个比较重要的问题,而我们选用的这款设备的法度传感器可以随时监控各个部件的工作温度,得出结果。从插槽方面也大大提高了商品密度和插槽利用率。6为了确保在巨大的网络通信负载下始终能够轻松实现第二层和第三层交换,采用 3 台神州数码 DCRS-7508 核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。如图 3-5 所示。图 3-3 骨干核心层设计网络拓扑原理图(2)核心层网络设计为了保障企业网络的稳定运行,企业的
12、网络核心层主要是数据交换和与骨干心层网络之间的路由转发。从办公楼主机房开始向仓储机房、空分机房、净化机房设了核心层网络光纤,采用了 DCRS-7508 核心路由交换机做为主机房的中转设备。业网中各分机房也同样使用了相同的设备,这样就会有机的进行整个网络的互通。体设计实施如下:1. 主机房网络规划主机房中共设计了四台机柜,设置如下:机柜 1 存放 ERP 服务器和 ROS 服务器:ERP 服务器的 IP 地址设置为192.168.4.201,功能主要是存放用友软件系统及企业运营过程中的数据;ROS服务器 IP 地址设置为 192.168.0.1,外网 IP 地址根据服务商提供的 IP 为221.
13、194.149.55,这样就可以让企业中所有计算机可以连接到国际互联网。同7时把这两个服务器的内部网线连接到硬件防火墙上的 VLAN1 端口上。这样的设置有效的保证了网络的安全。机柜 2 存放邮件服务器和 WEB 服务器:邮件服务器的 IP 地址设置为192.168.4.200,并把这台服务器设置成了上网代理。其他所有计算机都可以通过这台服务器来进行上网。并把这个服务器的网络与防火墙的 VLAN2 端口进行连接。机柜 3 存放监控服务器,IP 地址设置为 192.168.4.210,并和监控系统主机进行连接,管控企业所有的监牢摄像头。与防火墙的 VLAN3 端口进行连接。机柜 4 存放信息发面
14、服务器,IP 地址设置为 192.168.4.220,并把防火墙的VLAN4 端口进行连接。2. 主机房网线铺设主机房采用防火、防静电地板,地板下面设置了专用网线桥架,所有的网络连接线都是通过桥架通向各子机房,桥架采用密封设计。并进行了防水、防火等材料进行对网络桥架进行保护。3. 主机房防火、防雷设计设计了符合国家标准的机房防雷电连接线,首先在主机房所在楼房的一楼地下设计了电流导线,电流导线分为两部分,一部分与原有楼房的电流导线进行连接,另一部分将导体连接地下二米处,使雷电直接传导到地下,进而能保护机房网络的安全。(3)汇聚层网络设计为了完成企业网中各车间和部门子网的连接入,设计了多业务提供能力,为企业用户提供了高性价比的组网方式。首先在主机房中设计了 DMZ 服务器,通过路由及防火墙与 INTERNET 进行连接;通过路由与种车间和部门的子机房进行连接,直到管理桌面。如图 3-4 汇聚层网络设计拓扑原理图。
