我有两位优秀的小兄弟毕业了，在他们的允许下，把这两篇毕业论文写成博客，作为网络专业同学的参考！仅供参考，切勿用作其他用途！

设计(论文)题目： 某省银行内部网络系统规划与设计

某省银行随着业务的增加，为了适应业务发展需求需要对网络系统进行新建，通过对银行网络规划与设计的研究，依据网络规划设计原则和现有技术。本人对网络系统设计采用层次化的结构，通过生成树技术解决二层环路，利用路由策略优化网络数据流量，采用vpn技术增加数据的安全性，以及采用双机热备应对突发状况。本案例的网络系统设计，增强了银行网络系统的稳定性，提高了数据的安全性，保障了传输的实时性和网络的可靠性。

关键字：网络优化，网络热备，网络安全

在互联网+的时代背景下，银行互联网已成为企业发展的基础，目前银行互联网的问题日渐严重，网络安全，网络结构等问题突出。银行为了提高自身竞争力和适应这种新形势下经济市场环境变化所带来的机遇与挑战,就必须构建出适合自己银行发展特点又能为其他企业提供借鉴意义服务外还有就是要建立一个内部局域网来满足外部信息传输需求,从而达到资源共享利用优势互补、互利共赢的目的。

银行对于网络建设需要越来越高，要组建一个符合银行需求，并为未来发展预留空间的可靠性与高效率银行信息网络，银行网络总体设计思路与工程蓝图就成为银行网络建设的核心任务。[1]

实际意义上来说,银行网络规划与设计是一项系统工程,需要进行大量的数据收集和分析工作。本文以某银行为例对其现有资源配置情况、网络结构及布局等方面做出了详细研究。通过对相关理论知识以及国内外经验总结得出结论并提出自己一些见解;同时也为其他同类银行在发展过程中提供一定参考建议;最后从实际意义来看,通过本次毕业论文写作可以让我认识到一个系统工程的重要性与必要性,从而更好地投入实践当中去。

1.3 本文的主要工作

1.本人主要研究银行内部网络组建的必要性,介绍了我国现阶段网络拓扑结构和功能。
2.本人对银行内部网络进行分析,介绍了组建过程中的技术问题和需求,并根据实际情况制定出相应解决措施。
3.本人结合目前我国国情与实际情况对银行现有设备、机房及服务器进行规划设计并部署在全国范围内实施工作;根据银行发展目标选择最佳配置方式,确定最优配置架构和系统开发环境等条件满足组建内部局域网络需要实现资源共享利用,以保证构建出高效实用的内部网络结构体系。

2.1 常见路由协议分类

静态路由：通过手工配置路由条目，形成路由表。
动态路由：通过宣告直连路由，各路由器之间相互交换路由条目，生成路由表。

2.2 常见路由协议类型

优点：适用于小型网络，占用带宽小，配置简单。
缺点：在复杂的网络中易产生环路，有最大跳数限制。
1.两者均是链路状态协议。
2.两者都具有区域划分。
3.两者网络收敛快速，无环路。
4.两者都有认证功能。
1.IS-IS协议基于数据链路层，OSPF协议基础ip层。

优点：冗余性高，扩展性强，无环路，路由属性多，选路由规则多，易于和路由策略结合。
缺点：就是所有的路由协议选路是靠路由权值来实现，而权值是固定的。带宽、端口、cost等，报文在整个internet传递过程中就会发生拥塞。

2.2.3 网络系统常见协议

VLAN技术：虚拟局域网；
STP技术：生成树协议；
VRRP技术：虚拟路由冗余协议；
VPN：虚拟专用网络。
表2-1 网络技术详解

银行网络的经典结构就是基于安全域的网络结构，一般包括银行数据中心，银行办公内网，核心区，互联区和Internet几个部分。
银行网络各个区域之间通信受到限制，区域内部通信多不进行限制。
为了保障银行的信息安全，我们应该从这几个方面入手：
4、银行对外发布服务的DMZ服务器。
5、VPN和类似远程连接设备。

2.4 网络设计的方法和思路

模块化设计原则：根据所承载的功能区域来划分不同的模块；
层次化设计原则：根据银行需求设计网络，选用二层，三层网络模型。

模块化的设计方法、层次化的设计方法。
节约成本、容易理解、有利于模块化、有利于故障隔离；
将一个银行网络按照功能的不同，分为了不同的模块，不同的模块有不同的需求和特点；
每一个模块相对独立，可以单独构建这个模块里面需要的一些结构，模块之间相互没有影响；
便于扩容、管理，不同模块有不同的安全策略。

图3-2 网络模块化设计拓扑

DMZ：非军事区域（官方称呼），互联网服务区或者互联网隔离区（民间称呼）；
安全等级由低到高：陌生访客–>分支机构–>DMZ–>数据中心/服务器群–>管理中心；
分支机构一般有固定的地址；
管理中心存储着高权限的账号，一旦被入侵，对整个网络危害最大。

图3-3 网络层次化设计拓扑

图3-4 层次化对比详解

对于银行来说，一般参照到IP连通这个步骤。
大部分银行基本上可以完全参照这个流程来。
组织策略：考虑银行的组织架构，就是银行有哪些部门。
业务策略：就是银行当前的业务以及银行未来需要发展的业务。
财务决策：银行的财务情况，能拿多少钱出来，预算是多少。
2.简要的网络设计方案。
设计：根据业务需求客户需要规划出网络拓扑图。
需求分析：就是根据组织策略，来考虑不同部门的网络配置情况。
项目计划：考虑项目进度（开始时间、完成时间）、成本多少、质量达到什么标准。
设备选购：需要购买哪些设备。CPU 内存，吞吐量够不够，支持哪些协议，带机数量不同的接入，他们的流量是不一样的。
3.详细设计的网络方案
满足银行用户现阶段技术和业务上的需求。
4.实施：根据需求规划网络
新建网络：根据详细设计方案，直接进行落实。
主要点：验证/测试整个网络是否满足银行在业务和技术上需求。
对现有网络的改造：割接。

某银行是一家地方性商业银行，创建于1985年，在全省各地市均建有二级行，各区县建立的支行及网点已超过150个。随着省行的网络扁平化改造，所有的二级行、支行及网点均需要直接连接到省行，其网络运行及维护的效率也得到了极大的提升。
为了保证网络的稳定且方便维护，省行网络分为核心区、业务区、互联区、外联区四个部分。其中：核心区作为全网的中心枢纽承担了各类业务数据流量的转发工作。业务区分别通过有线和无线网络，为生产数据流（存/取款等相关数据）和办公数据流（OA、视频会议等与钱无关的数据）提供了服务。互联区通过MSTP专线连接总行、全省所有的二级行、支行及网点。外联区通过互联网向用户提供如网上银行等线上服务，并对接第三方公司并提供相关服务；同时，省行的办公人员也能通过外联区访问Internet。
各支行/网点的业务也包括生产和办公两类。其中，生产性的数据主要由ATM机等设备通过有线方式传输；办公业务主要通过有线网络提供服务。各支行/网点的交换机通过两条MSTP专线分别将生产及办公数据传至省行。
某银行的智慧网络需要具备高速、可靠、安全的数据传输，实现高度集中计算和处理能力，为银行可持续发展铸就雄厚软实力。同时，银行希望在本次信息化业务建设方面，打通从供应商、采购物流、生产计划以及销售管理等多业务之间的连接环节，从而提升银行业务运营的标准化、智能化、高效化以及应对异常的能力。以上每项业务的运营对于网络稳健性、智慧性要求都带来挑战，不仅需要可靠稳定的基础网络支撑，更需要统一管理运维体系保障其庞大的业务正常运营。
为了优化省行的网络，为其它区域的网络提供高效的保障服务，某银行同时针对各个分支行、网点的网络进行升级、改造和优化。其中，对省行进行全网改造，包括调整全网拓扑实现核心网络虚拟化；保证网络在宕机时能平滑切换，保障各项业务不中断。多个支行和网点；同时部署网络安全整体解决方案，改变之前上网行为管理难的问题，实现员工访问网络事后可溯源，省行和各支行/网点之间传输的数据实现加密等多项安全问题；构建安全高效的网络出口，依托互联网最大限度实现各业务安全、高效、快速的传输，创建新时代金融网络环境，保障银行各项业务的高效运营。

（1）各支行/网点的网络通过MSTP专线访问省行的业务区，实现生产和办公业务互通。
（2）生产性数据，办公数据，业务数据通过有线网络传输，保证其稳定性。
（3）通过路由策略部署，实现生产和办公数据按指定路径进行分流和互相备份，保证充分利用现有网络设备优化网络结构。
（4）省行及各支行网点局域网内部部署防环、防攻击、数据负载均衡等相关策略，确保局域网业务安全、可靠。
（5）保证省行特定服务器能通过外联区对外提供服务、省行的用户能正常上网，同时第三方公司能通过VPN访问银行特定资源。

某银行省行核心网以及营业网点网络组建拓扑相关说明如下。
（1）两台数据中心交换机作为省行核心区中的核心交换机，在网络拓扑中的编号为S1和S2。
（2）两台三层可控交换机作为省行业务区中的汇聚交换机，在网络拓扑中的编号为S3和S4。
（3）两台二层可控交换机作为省行业务区中的接入交换机，在网络拓扑中的编号为S5和S6。
（6）省行通过互联区和支行/网点的连接，使用两台路由器接入，在网络拓扑中的编号为R8和R9。
（7）省行外联区中使用一台出口网关把省行的网络接入互联网（运营商网络），在网络拓扑中的编号为AR12。
（8）渭南市支行使用一台三层可控交换机作为支行的业务交换机，在网络拓扑中的编号为S7。
（10）省行的外联区通过宽带链路接入运营商（Internet）路由器，运营商网络中接入路由器在网络拓扑中编号为R11。
（11）第三方公司使用一台出口网关作网络出口，在网络拓扑中编号为AR10。

图4-1 某省银行营业网点网络组建拓扑

3.4 IP地址规划与设计

表4-2 网络设备物理连接表

表4-3 网络设备名称表

4.1 设备基础信息配置与验证

（1）根据网络设备名称表（表4-3），修订所有设备名称。
（2）依据网络设备物理连接表（表4-1），配置设备接口描述信息。

4.2 网络搭建与网络冗余备份方案部署

为了减少全网中广播干扰，需要在全网规划和部署VLAN，需要实施的内容如下所示。
根据“网络设备名称表（表4-3）”、“IPv4地址分配表（表4-4）”中规划要求，在各设备上完成对应的VLAN、IP地址的配置。
（1）为方便实现对全网开展网络管理功能，网络管理员计划增设网管平台，网管平台的IP规划为172.16.0.254/24。
（2）为了实现网管平台后期上线后可用，需要在每台设备上部署SNMP功能，配置所有网络设备的SNMP消息报告机制。其中，向主机172.16.0.254发送Trap消息版本采用V2C；读写的Community为“admin”；只读的Community为“public”；开启Trap消息通告。

4.2.2 在局域网中部署环路规避方案

为避免网络接入设备上出现环路，影响全网运行状态。要求在网络接入交换机S5、S6上进行防环处理。具体要求如下所示。
全网的VLAN规划和配置合理，并在Trunk链路上不允许不必要VLAN中的数据流通过。
为了隔离网络终端之间的二层互访，需要在交换机S5、S6的E0/3端口上，启用端口保护功能。

（1）在交换机S3、S4上配置DHCP服务功能，使得网络中的终端用户通过DHCP方式获取IP地址。
（2）省行的DHCP服务器搭建于S3/S4交换机上,为网络中的用户提供地址服务；网络中用户设备的租约为0.5天。

（3）为了防御局域网中出现伪造DHCP服务器安全事件，需要在S5交换机上部署DHCP 的“Snooping”功能。其中，Snooping安全功能主要针对VLAN10中用户。

在交换机S3、S4、S5、S6上配置MSTP防止二层环路。
（1）配置MSTP要求来自VLAN10、VLAN100中的数据流经过S3交换机转发，一旦S3交换机失效时，经过S4交换机转发。要求来自VLAN50、VLAN60中的数据流经过S4交换机转发，一旦S4交换机失效时，经过S3交换机转发。
（2）配置S3交换机作为实例1的主根、实例2的从根；配置S4交换机作为实例2的主根、实例1的从根；其中，主根交换机的优先级为4096；从根交换机的优先级为8192。

（3）在交换机S3和S4上配置VRRP，实现网络中的主机的网关冗余，所配置的参数要求如表4所示。其中，在交换机S3、S4上设置各VRRP组中的高优先级设置为150，低优先级设置为120。

4.2.5 部署全网路由协议

在省行的核心区、业务区、互联区以及各支行/网点之间，使用OSPF协议组网 ，具体要求如下。
（1）在省行的核心区与业务区（S1、S2、S3、S4）中，部署OSPF 100；使用单区域（区域0）部署。
（2）在省行的互联区和各支行/网点（S1、S2、R8、R9、S7）连接上，部署OSPF200；使用多区域规划。其中，省行互联区（S1、S2、R8、R9）属于AREA 0；渭南市支行（R8、R9、S7）属于AREA 1。
（3） 在省行业务区，要求VLAN100设备管理地址段不参与OSPF邻居建立。
（4）在省行的业务区，要在交换机S3、S4的始发终端网段以及VLAN100设备管理地址段，均以重发布直连的方式注入路由。
（5）在交换机S1和S2之间启用OSPF与BFD联动，以达到迅速检测对端中断，快速实现备份，提高用户网络体验。
（6）优化OSPF相关配置，以尽量加快OSPF收敛。
（7）重发布路由进OSPF中使用类型1。
（8）使用静态路由实现省行的外联区之间（R12、S1、S2）通信.
（9）使用静态路由第三方公司之间通信。

4.2.6 部署部分区域路由选路

考虑到全网中数据分流需求以及实现网络的负载均衡的目的，需要进行路由策略部署，具体要求如下所示。
（1）渭南市支行的原生产网段（VLAN 410）、办公网段（VLAN 460）需要与省行的业务区、生产办公区的业务互联互通，需要在交换机S7本地以Network发布明细路由。因业务连通的需要，所有增加的网络终端数据之间的通信，一并划入办公网段进行转发。
（2）在S3、S4交换机中引入路由时，需要进行路由标记。其中，生产网段（VLAN 10）标记为10；办公网段（VLAN 60）标记为20。因业务连通需要，所有增加的网络终端数据之间的通信，一并划入办公网段进行路由标记，路由图定义为SET_TAG。
（4）各路由图以及连接的各接口中，凡是涉及COST值的调整，要求其值必须调整为5或10。
（7）在交换机S1连接S2、路由器R8连接R9的主链路或主设备发生故障时，可以无缝地切换到备用链路或备用设备上。

4.3 实施出口安全防护与远程接入

出口设备上部署NAT ，具体配置参数如下。
（1）省行外联区出口网关R12上进行NAT配置，实现省行业务区办公网络（VLAN 60、VLAN 460），通过NAPT方式将内网IP地址转换到互联网接口上。

4.3.2 在出口设备上部署VPN安全

现今各种宽带上网方式迅速发展，基于Internet构建集团的VPN网络无疑是一种高性价比的方案。SSL VPN与IPSeeVPN是目前流行的两类Internet 远程安全接入技术JPSec VPN和SSL VPN各有优缺点。IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。企业多分支VPN网络适宜采用IPSec VPN技术连锁企业建立IPSec VPN网络，可以在广域网环境下传递各种数据建立和局域网环境下相同的多种应用包括分布式会员系统、分部式ERP、分布式CRM分布式财务管理等[7]
为了实现某银行与第三方公司之间互访数据的安全性，针对来往数据使用VPN技术进行安全保障，具体规划如下所示。
（2） 配置IPSec使用静态点对点模式；esp传输模式封装协议；isakmp策略定义加密算法采用3des；散列算法采用md5；预共享密码为ruijie；DH使用组2。转换集myset定义加密验证方式为esp-3des esp-md5-hmac，感兴趣流ACL编号为103，加密图定义为mymap。

5.1 二层接入层测试

接入层测试主要是测试数据网底层网络的优化配置查看state状态是否为主备状态，具体测试结果如下。
图6-1 接入交换机S3网络优化vrrp测试

接入交换机网络优化防环测试mstp测试如图6-2所示

5.2 三层路由功能测试
网络连通性测试主要是测试数据网底层网络的连通性查看路由表是否学习到路由条目，具体测试结果如下。
接入路由器R1网络连通性测试如图6-3所示

接入路由器R2网络连通性测试如图6-4所示

接入路由器R3网络连通性测试如图6-5所示
5.3 测试出口网络连通性
出口路由器R12nat地址转换过程测试如图6-6所示

测试pc端到出口路由器的网络连通性测试如图6-7所示

论文的结束意味着我在XX老师教导下的学习和生活即将结束！回首往事，我有很多感慨，但无论如何，这些真实的经历是我生命中宝贵的回忆。在此，我要谢谢您无穷无尽的支持和帮助。
毕业设计给了我一个从不知道到不理解，从理解到创新的过程，这是一个非常有价值的过程经验。这个毕业设计的好处不仅仅是对这个课题的初步研究，同时也为以后的工作打下了坚实的基础，因为这个毕业设计，我对以后的工作也充满了信心。
整个毕业过程由何老师负责管理，XX老师做事认真负责，作风严谨务实，从科学态度、待人处事等方面给了我很大的启发和有益的影响。这使我始终保持着接近毕业设计的态度成功，非常谢谢您。
再次感谢所有帮过我指导过我的老师和所有同学在这四年来给自己的指导和帮助，是他们教会了我知识。

[1] 魏玉萍，信息与电脑(理论版). 企业内部局域网建设与应用. 2013
[2]秦璐璐. 基于Cortex-M3内核的嵌入式网络终端的研究与设计[D]. 北京工业大学, 2009.
[3] 宋罹黎. 基于B/S与C/S混合模式的产品信息管理系统的设计与实现[D]. 北京工业大学, 2008.
[4] 宋罹黎. 基于B/S与C/S混合模式的产品信息管理系统的设计与实现[D]. 北京工业大学, 2008.
[5]商英俊. 流星余迹信道特征与组网技术仿真研究[D]. 西安电子科技大学.
[6]曹正如. 如何在体育有效教学中加强安全意识[J]. 考试周刊, 6-167.

在本次论文的撰写过程中,我得到了许多人的帮助,他们都能很好地解决此次设计当中遇到问题时由于个人知识及能力所带来得困难。在此我要感谢XX老师对本专业研究方面给我们提供资料和支持。此外也要谢谢从开始选择课题到最后完成本次毕业实验所用使用哪种语言、如何去做一件事等一系列事情中给予我指导与帮助,这让我更加明确自己的方向并在实际动手操作过程中有了很大提高;最后我要衷心地祝愿各位领导及伙伴们身体健康万事如意;事业发展有宇;乐善好施!