打开文本图片集

摘要：银行大楼的未来规划设计用防火墙、IDS/IPS、WIDS/WIPS等设备来进行数据加密、入侵检测等安全防范措施，采用Qos、路由策略来控制路由传输，使用IRF、VRRP等堆叠技术保证网络稳定性的基础下，该企业与运营商、合作企业网站、无线终端等客户建立连接并进行多站点交流来实现商业银行大楼的基本金融需求，本文结合多种设备及技术以期能够为现代银行大楼的健康发展提供有效的参考。

关键词：网络规划设计，网络配置，Qos，网络安全

1 引言

在当今数字化时代，网络已经变得与企业运营密不可分，它是一个企业不可或缺的关键元素。网络是信息、资源和人员之间的桥梁，为企业提供了广泛的机会和无限的可能性。银行作为现代经济体系的关键组成部分，担负着资金中介和存款保护、支付结算、财务中介和金融咨询面、外汇贸易、存款保险等都多方面的重要作用，它们是经济体系的支柱之一，对个人、企业和整个国家的经济繁荣都具有深远的影响。当前，各个银行业正经历数字化转型，以适应现代金融市场的变化和客户需求。

网络建设对于银行的重要性不可低估，它直接关系到银行的业务运作、客户服务、安全性和未来发展。银行的业务运作高度依赖于网络。网络是银行内部各个部门之间、分支机构之间以及银行与客户之间进行信息传输和交易的主要通道。无论是转账、存款、取款、贷款审批还是交易处理，都需要网络的支持。同时，银行通过网络为客户提供了便捷的服务渠道，包括在线银行、移动银行、电子支付等。因此，网络建设必须强调数据安全和隐私保护，网络安全措施，如防火墙、加密、入侵检测系统和访问控制，是确保客户数据不被盗取或滥用的关键。

总的来说，网络建设对于银行的重要性不仅仅是业务的支持，更是安全性、客户服务和未来发展的关键因素。银行必须不断投资于网络基础设施的建设和维护，以确保它们在竞争激烈的金融市场中保持领先地位，并为客户提供安全、高效的金融服务。

2 需求分析

某市商业银行搬迁至新楼，该行现有9个部门约120余人，大楼目前有5层，银行上联2个本市数据中心，1个同城异地灾备中心，下联7家地市支行，40多家网点，该市商业银行主要包括普通业务（例如传统的用户存取款、贷款等业务）、历史交易数据的存储业务、中间业务（代收代付和一些电子商务业务）、OA办公业务等几个方面。

大楼网络设计首先应确保按照银行的需求实现网络互通，同时兼顾网络安全性。网络规划要考虑银行业务的敏感性，通过ACL、NAT、设置防火墙、入侵检测系统、数据加密等多个措施来确保网络安全。同时，不同的部门之间流量访问也需要确保安全性和隐私保护。不同部门、不同业务应拥有独立的网络环境，确保彼此之间的数据不会混杂或被非授权人员访问。

该设计包含有线网络设计及无线网络设计两个方面。除满足银行内部通信之外，还应该考虑银行与数据中心、商业合作企业网站、无线终端等多站点的连接。银行的业务量通常较大，保证良好的带宽是实现高效、安全、创新金融服务的基础。有线网络设计方面，需要在核心层的交换机上使用较大带宽来支持同时进行的多个交易和数据传输。为减少不必要的报文流量与业务负担，在技术层面上银行内部网络拟定采用Qos技术、路由策略实现对数据传输进行的有效控制。在硬件层面上使用兼容性好、最大承载10000Mbit/s宽带的xGe接口来直接提升业务的处理效果。无线网络设计方面，需为大楼提供良好的无线网络覆盖，以更好满足员工和客户对移动办公的需求。最后设置一个设备管理器，通过SNMP、SMI、MIB等网络管理协议来对整个内网进行统一、简便的管理，减少后期运营维护的成本与难度加强整体网络的稳定性。

3  网络设计

银行大楼网络规划如图1所示。

3.1 设备选择

①接入层设备选择

外网Internet、防灾中心、外联机构、AP设备、移动终端等用户端路由器和AP设备为接入层设备，对于银行的终端设备来说使用的企业上网速度达到20M/秒，部分设备要求带宽更高的50M/秒，可选用48端口的1000Mbps交换机适配。可采用华三公司的IE4320-52S的交换机设备，其背板带宽为336Gbps/s，传输速率为252Mpps，可满足要求。

②汇聚层设备选择

UD_SW1、UD_SW2设备为汇聚层设备，下连均为两个接入交换机，考虑到银行业务拓展需要扩充2台接入交换机的情况，交换容量=4*93.75=375（Gbit/s），包转发率=4*142.848=571.392（Mpps），可采用华三公司的S6520X-30HC-EI设备，其交换容量2.56Tbps/s，包转发率1260Mpps可满足要求。

③核心层设备选择

核心层有数据中心、防灾中心、防火墙、AC无线设备、服务器、SNMP设备、WR1、WR2、SW1、SW2等核心设备。方案中使用两个核心交换机，交换容量=2*375=750（Gbit/s），包转发率=2*571.392=1142.784（Mpps）。可采用华三公司的S6800-54Q交换机，交换容量为4.8Tbps/96Tbps，包转发率为2000Mpps，可满足要求。

3.2 有线网络设计

1）动态路由协议

核心路由器WR1、WR2采用了内部网关协议OSPF和域间路由协议BGP两大核心动态路由协议，在减少手动配置的情况下为全局实现路由互通，依靠协议自带的SPF算法机制有效的防止路由环路的出现并选出最优的路由路径以此来大幅减少穿越型路由的出现。OSPF协议总共划分了3个区域，AREA0区域主要是让内网核心路由器和数据中心进行OSPF和BGP等路由的交互学习、AREA1区域的划分可以有效的减少网络中链路状态数据包在全网范围内的广播减轻SNMP设备的管理压力、AREA100则依靠OSPF的LSA3报文只携带路由信息的机制让其他地市支行只知道内网的路由而不知道具体的拓扑情况，起到一定的安全作用。OSPF与BGP之间存在相互引入保证整个实现企业内部OSPF通信技术与运营商BGP通信技术之间的正常互访，为企业通过有效合理的上网服务。

2）路由服务SNMP

路由器ZH_R1设备使用SNMP简单网络管理协议来对内网设备进行统一管理，在出现路由问题时能根据该协议进行及时的调整，同时还具有文件读写等功能。开启RADIUS认证/计费模块对客户端进行流量的观察与处理，并使用DAE功能加强RADIUS。

3）DHCP配置

在CORE_SW1交换机上配置四个全局地址池根据VLAN分别为PC、AP、Phone分配IP地址，SW1交换机设备的DCHP服务可以有效服务于AC无线设备的上线和对AP终端设备进行IP地址的分发。

4）流量控制分析

通过ACL、路由策略等方法能基于源IP地址、目标IP地址等条件来决定数据包的转发路径，从而保证网络的健康和定向访问，而Qos可以根据不同的应用程序、用户或数据流的优先级分配带宽，确保关键业务的低延迟和高带宽，终端设备能够发挥最大的效果。

3.3 无线网络设计

该银行现有9个部门约120余人，大楼目前有5层，大概有202个无线终端，一个无线AP连接10到15台无线终端比较合理，总体需要18个AP。银行大楼采用FIT AP+AC（集中式）架构进行部署，将AC旁挂在核心交换机上，采用吸顶式AP，该架构下通过AC集中管理多个AP。无线网络使用2.4GHz频段和5GHz频段。为防止非法用户接入，AP需要支持802.1x认证。核心WLAN无线技术设备AC采取配置两个AP组分别为不同AP提供无线网络IP地址与服务，同时在无线的基础外还开启了RADIUS模式并作为NAS设备响应处理DAE客户端的认证/计费请求。无线网络设计拓扑如图2所示。

核心交换机作为DHCP服务器为AP和终端分配IP地址，使用iMC作为RADIUS服务器无线网络用户进行认证、授权和计费，对无线网络用户进行远程802.1X认证，客户端链路层认证使用开放式系统认证。通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全，加密套件采用CCMP。

3.4 网络安全设计

1）防火墙

防火墙FW1、FW2实施冗余防火墙和灾难恢复计划，以确保网络的连续可用性。防火墙的安全配置策略包括以下几个方面，第一，访问控制列表（ACL）配置。设定ACL，仅允许授权的IP地址或端口通过防火墙，限制未经授权的访问。第二，应用层过滤。配置防火墙以监测和控制应用程序和协议，以确保只有安全的流量进入网络。第三，反病毒和恶意软件扫描。集成反病毒和恶意软件扫描引擎，阻止携带恶意软件的文件或流量进入网络。第四，入侵检测和入侵防御系统 （IDS/IPS）。启用IDS来检测潜在入侵，IPS用于主动阻止入侵尝试。第五，VPN支持。提供安全的虚拟专用网络（VPN）连接选项，以允许员工远程访问网络。第六，日志记录和监控。 启用详细的日志记录，监控网络流量和安全事件，以及及时响应潜在问题。第七，双因素认证。对高权限用户实施双因素认证，提高访问控制的安全性。定期更新和维护： 更新防火墙的操作系统和规则集，及时修补已知漏洞。

2）IPSEC VPN建立

IPsec VPN是一种安全通信协议，用于建立加密的虚拟专用网络，以确保银行敏感信息的保密性和完整性。结合银行业务的特殊性，需要进行身份验证配置，使用数字证书或强密码确保双向身份验证。同时，选择选择强大的加密算法（如AES），并启用完整性检查。在访问控制方面，制定访问策略，仅允许授权用户和流量通过VPN。启用详细的日志记录和实时监控，以便检测异常活动。

4  结束语

商业银行大楼网络规划设计是一个复杂而关键的任务，需要深入的专业知识和经验。在本次规划设计中，我们运用了网络规划专业的技术和策略，确保了商业银行大楼网络的可靠性、安全性和高效性。我们综合考虑了商业银行大楼的特点和需求，设计了一个灵活的网络架构，可满足银行内外的通信需求，并支持未来的业务扩展和技术迭代。其次，我们采用了高级的网络技术和协议来保证网络的稳定性和安全性。通过安全策略的实施，我们有效地防范了部分网络攻击和数据泄露的风险。总的来说，通过网络规划专业的设计，确认了商业银行大楼现代化的网络环境成功被建立。不过不能完全抵御外网的攻击和设备性能降低的情况都可能造成网络出现问题，所以对网络和设备的运营维护仍是重要的一环。

参考文献：

[1] 张同涛.银行网络系统的研究与设计[J].  2019.

[2] 熊锦胜，彭立阳.中小银行互联网IPv6建设实践[J].金融科技时代， 2021.DOI：10.3969/j.issn.2095-0799.2021.03.007.

[3] 杨爱华，张茂红.Web 应用防火墙在网上银行系统中的应用[J].计算机与网络， 2019， 45（4）：4.DOI：CNKI：SUN：JSYW.0.2019-04-061.

[4] 潘金龙，黄海华.企业局域网设计与网络安全探讨[J].IT经理世界， 2020.DOI：10.3969/j.issn.1007-9440.2020.07.066.

[5] 阳敏辉.中小企业无线局域网的规划设计研究[J].石河子科技， 2020（2）：2.DOI：CNKI：SUN：SHZK.0.2020-02-015.

作者简介：汤广鑫（2002—），男，汉族，四川成都人，本科；研究方向：网络规划，邮箱：2230449878@qq.com；刘彬（1982—），男，汉族，四川资阳人，网络安全高级工程师，讲师，硕士学位，研究方向：局域网规划与设计，邮箱：36637345@qq.com。