【正文】 大連 東軟信息學院畢業(yè)設計（論文） 7 第 3 章 需求分析 需求 概述 1. 要求每家銀行有各自的 VLAN,各個金融 機構(gòu)之間可以相互通信，但是非同一家銀行不能訪問該銀行的行政部門。 2. 要求所有金融機構(gòu)都可以訪問 Inter。 3. 要求每家金融機構(gòu)的通訊設備都是采用自動獲取的方式獲取 IP 地址。 4. 要求每臺通訊設備可以自動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)。 5. 能有效地發(fā)現(xiàn)、定位網(wǎng)絡故障，給出排錯建議與排錯工具，形成整套的掌故發(fā)現(xiàn)、警告與處理機制。 6. 結(jié)合使用用戶認證、訪問控制、數(shù)據(jù)傳輸、存儲的保密行，控制對網(wǎng)絡資源的訪問。 7. 要求異地辦公的員工可以 通過專用通道訪問企業(yè)內(nèi)部的網(wǎng)址，并且保證這些專用通道的保密性和安全性。 需求分析 針對以上需求，要進行廣泛全面的信息采集，支持主流廠商設備 Syslog 解析、 IDS、SNA、防火墻、認證服務器、協(xié)議分析工具等時間信息的采集，各類網(wǎng)絡故障以統(tǒng)一的格式顯示并分類，并形成統(tǒng)一的故障級別。 1. 設備層 設備層包括與設備相關的環(huán)境信息和系統(tǒng)自身的運行信息，其中運行信息包括設備CPU 的使用率和設備內(nèi)存的使用情況及設備自身的提示、告警和錯誤信息。 2. 鏈路層 鏈路層 包括線路狀態(tài)、與廣域網(wǎng)相關的 2 層拓撲的自動發(fā)現(xiàn)，線 路流量的信息、線路的可用行信息、用于流量分析的詳細分析。 3. IP 層 設備相當于網(wǎng)絡中的節(jié)點，鏈路有相當于線一樣把各個節(jié)點物理串聯(lián)起來，而 IP路由又把這些物理的線路串聯(lián)成一個個邏輯的通道，最終形成完整的通信網(wǎng)結(jié)構(gòu)。 IP 層包括三層網(wǎng)絡拓撲的自動發(fā)現(xiàn)，路由變化信息、動態(tài)路由。 實際環(huán)境 在網(wǎng)管功能方面，情況如下： 大連 東軟信息學院畢業(yè)設計（論文） 8 (1) 故障事件監(jiān)測方面，現(xiàn)行的故障事件 拓撲圖的狀態(tài)變化及 或事件列的信息，然后根據(jù)各分行網(wǎng)管操作人員不同技術能力和經(jīng)驗 尋找和修復故障 ； (2) 在性能管理方面，部份分行利用一些網(wǎng)管系統(tǒng)的性能管理功能定期對被管理的網(wǎng)絡設備收集性能數(shù)據(jù) (如：流量、錯誤傳輸比等 )，但是缺乏數(shù)據(jù)收集后的分析 (如：服務水平報告 )，在這方面有進一步加強的地方； (3) 在配置管理方面，主要通過命令行接口進行遠程配置。有些時候會利用CiscoWorks20xx 對 Cisco 網(wǎng)絡設備進行相關的配置； (4) 在安全管理方面，網(wǎng)管網(wǎng)段與 其他 網(wǎng)段的數(shù)據(jù)同樣處理，導致網(wǎng)管信息的傳輸不暢和網(wǎng)管主機的安全不易保證； (5) 沒有網(wǎng)管災難備份， 網(wǎng)絡管理系統(tǒng)的短時間故障并不會影響日常銀行服務的運作。 技術可行性 針對以上需求，目前網(wǎng)絡系統(tǒng)提供商如 CISCO、 HP、 CA、 IBM 等都提出了針對不同運行平臺、不同側(cè)重點的網(wǎng)絡管理軟件，這些對于一般的網(wǎng)路管理來說，其功能性和方便性都是可以滿足需求的，考慮到現(xiàn)在金融機構(gòu)的核心層和匯聚層 多數(shù) 用的都是CISCO 的設備， 其中的各項協(xié)議等技術已經(jīng)非常成熟， 這樣 也可以采用 CISCO 私有的協(xié)議來更好的滿足網(wǎng)絡的安全性，可用性，不間斷性。 在考慮技術先進性和開放性的同時 ， 還應從系統(tǒng)結(jié)構(gòu)、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及保修能力等方面著手 ， 確保系統(tǒng)運行的可靠性和穩(wěn)定性 ， 達到最大的平均無故障時間 ，思科網(wǎng)絡做為世界 知名品牌 ， 網(wǎng)絡領導廠商 ， 其產(chǎn)品 的可靠性和穩(wěn)定性是一流的。為了保證骨干網(wǎng)絡平臺的健壯性和鏈路冗余性 ， 建議網(wǎng)絡實施時在銀行啟用千兆備份線路。在銀行啟用物理鏈路冗余機制 ， 保證任何一條線路出現(xiàn)故障后骨干網(wǎng)絡平臺的可用性 。 在網(wǎng)絡設計中，既考慮信息資源的充分共享， 更要注意信息的保護和隔離 ， 因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境 ， 采取不同的措施 ， 包括端口隔離、路由過濾、防 DDoS 拒絕服務攻擊、防 IP 掃描、系統(tǒng)安全機制、多種數(shù)據(jù)訪問權限控制等 ，思科 網(wǎng)絡充分考慮安全性 ， 針對的各種應用 ， VLAN、IP/MAC 地址綁定過濾 、 ACL、路由過濾、防 DDoS 拒絕服務攻擊、防 IP 掃描、 認證機制、 SSH 加密連接等具體技術提升整個網(wǎng)絡的安全性 大連 東軟信息學院畢業(yè)設計（論文） 9 第 4 章 網(wǎng)絡設計 設計指導思想和原則 指導思想 設計網(wǎng)絡要遵循這樣的主體思想， 企業(yè)的局域網(wǎng)的內(nèi)部成分分為三個部分，分別是接入層，匯聚層和核心層。 接入層：接入層是 最底層。主要涉及到 VLAN 劃分 等。 匯聚層：匯聚層利用 DHCP 技術做了一個 IP 地址的劃分，可以動態(tài)的劃分給各個主 機，其效果是同一個可以控制不同的部門之間可以或者不可以相互通信。 核心層：核心層應用路由協(xié) 議將核心層與匯聚層鏈接起來。 設計原則 (1) 先進性：與國際接軌，能支持未來包括 IPv6 在內(nèi)的高性能需求。 (2) 安全性：有效的防止網(wǎng)絡非法訪問，保護關鍵數(shù)據(jù)不被非法竊取篡改或泄露。 (3) 可靠性：滿足 7 24 365 個小時連續(xù)運行，永不 DOWN 機。 (4) 時效性：網(wǎng)絡要保證各類業(yè)務數(shù)據(jù)流的及時傳輸，延遲要小，吞吐量要大。 (5) 可管理性：要有統(tǒng)一的網(wǎng)絡管理平臺實現(xiàn)對整個網(wǎng)絡系統(tǒng)、設備、安全性、數(shù)據(jù)流量、性能等的監(jiān)控和管理。 構(gòu)架概述 模擬環(huán)境 實驗中用到 GNS3 和 Packet tracer 來模擬實 際的網(wǎng)絡環(huán)境。 構(gòu)架概述 在設計過程中將 本區(qū)域 的規(guī) 劃分成兩個部分 :一個是內(nèi)部局域網(wǎng) ,一個是通過 Inter連接兩個局域網(wǎng)的架構(gòu)。由于模擬器的問題 ,內(nèi)部局域網(wǎng)用 GNS3 這個軟件來搭建 ,內(nèi)部局域網(wǎng)分成三個層次 ： 接入層 、 核心層和匯聚層。接入層用了 個 2 臺交換機 、 利用 VLAN技術將銀行劃分成 3 個分行、 匯聚層用兩臺三層交換機 、 在匯聚層做了 DHCP 技術 ， 給每個 分行 每臺主機分配地址 ， 核心層放 三臺 三層交換機 ， 用于傳遞 Inter 的數(shù)據(jù)。 局域網(wǎng)采用星型網(wǎng)絡拓樸結(jié)構(gòu) ， 星型拓樸結(jié)構(gòu)為現(xiàn)在較為流行的一種網(wǎng)絡結(jié)構(gòu) ， 它是以一臺中心處理機 、通信設備為中心構(gòu)成的網(wǎng)絡 。 其它請求訪問網(wǎng)絡的機器與 中心處理機之間 都 有 這直聯(lián) 物理鏈路 ， 中心處理機采用分時或輪詢的方法為入網(wǎng)機器服務 ， 所有的數(shù)據(jù)必須經(jīng)過中心處理機。由于所有節(jié)點的往外傳輸都必須經(jīng)過中央節(jié)點來處理 。因此 對中央節(jié)點的要求比較高 。 大連 東軟信息學院畢業(yè)設計（論文） 10 星型拓撲結(jié)構(gòu)的特點是 ：網(wǎng)絡結(jié)構(gòu)簡單、易于維護和便于管理， 集中式 ， 每臺入網(wǎng)機均需有物理線路與處理機互連 ， 線路利用率低 ， 處理機負載重 ，需處理所有的服務，因為任何兩臺入網(wǎng)機之間交換信息 ， 都必須通過中心處理機 ， 入網(wǎng)主機故障不影響整個網(wǎng)絡的正常工作。因此對該網(wǎng) 絡支持的設備生產(chǎn)廠商需要有較好的技術支持。 局域網(wǎng)內(nèi)的所有工作節(jié)點通過雙絞線與交換機相連形成一個星型網(wǎng)絡。辦公電腦建議采用品牌的商用機 ， 商用機運行比較穩(wěn)定 ， 而且比較耐用 ， 運算速度較快 ， 較適于開發(fā)使用。 根據(jù)銀行網(wǎng)的總體需求 ， 結(jié)合對應用系統(tǒng)的考慮 ， 本次網(wǎng)絡建設的設計目標是 ， 高性能、高可靠性、高穩(wěn)定性、高安全性、易管理的萬兆骨干網(wǎng)絡平臺 。 圖 中央商務區(qū)的網(wǎng)絡拓撲 如圖 所示，上左右分別為 3 個獨立的支行，而中間位 ISP 的核心交換機，三個獨立的支行通過核心交換機實現(xiàn)相互的通信， 應用 BGP 協(xié)議，期間還 要用到 MPLSVPN這樣的設計可以充分的滿足中央商務區(qū)對于網(wǎng)絡安全架構(gòu)的所有需求。 圖 分行 1 的網(wǎng)絡拓撲 大連 東軟信息學院畢業(yè)設計（論文） 11 如圖 所示，這是分行 1 的網(wǎng)絡拓撲，內(nèi)網(wǎng)采用 EIGRP 的網(wǎng)絡協(xié)議進行通信，并且在匯聚層路由器作為 DHCP 服務器為下層路由器進行動態(tài)地址的分配。其中還要對通過其的流量進行服務質(zhì)量 (QOS)控制 。 圖 分行 2 的網(wǎng)絡拓撲 如圖 所示，這是分行 2 的網(wǎng)絡拓撲， 內(nèi)網(wǎng)采用 RIP 網(wǎng)絡協(xié)議進行通信， R3 上采用 NAT，進行內(nèi)外地址轉(zhuǎn)換。 圖 分行 3 的網(wǎng)絡拓撲 如圖 所示，這是分行 3 的 網(wǎng)絡拓撲， 內(nèi)網(wǎng)采用 OSPF 的網(wǎng)絡協(xié)議進行通信，上半部分用 AREA0 下半部分 AREA1。 大連 東軟信息學院畢業(yè)設計（論文） 12 圖 冗余備份路由器 如圖 所示， SW3 和 SW4 作冗余熱備份用 ,SW3 為 active,SW4 為 standby。 需求設計 針對上一章的需求，本章對整體需求做詳細的設計。 VLAN 劃 分 核心交換機對每個支行進行 VLAN 規(guī)劃 如表 表 VLAN 劃分 名稱 部門 VLAN VLAN 名 支行 1 行政部 VLAN11 XZ1 支行 1 營業(yè)部 VLAN21 YY1 支行 1 業(yè)務 部 VLAN31 YW1 支行 2 行政部 VLAN12 XZ2 支行 2 營業(yè)部 VLAN22 YY2 支行 2 業(yè)務部 VLAN32 YW2 支行 3 行政部 VLAN13 XZ3 支行 3 營業(yè)部 VLAN23 YY3 支行 3 業(yè)務部 VLAN33 YW3 VLAN11， VLAN12， VLAN13 之間不能相互訪問。 IP 地址劃分 IP 地址劃分如下表 大連 東軟信息學院畢業(yè)設計（論文） 13 表 IP 地址劃分 名稱 IP 地址 分行 1 與核心層之間的 IP 分行 2 與核心層之間的 IP 分行 3 與核心層之間的 IP 分行 1 IP 地址 分行 2 IP 地址 分行 3 NAT 外部 IP 地址 分行 3 NAT 內(nèi)部 IP 地址 DHCP 協(xié)議 在每家支行的匯聚層交換機使用 DHCP 協(xié)議，為每家支行的每個通訊設備提供 IP地址的自動獲取。 網(wǎng)絡協(xié)議 三家支行分別使用 EIGRP， OSPF， RIP 網(wǎng)絡協(xié)議，是其可以自動發(fā)現(xiàn)網(wǎng)絡，進行選路和轉(zhuǎn)發(fā)，與運 營商核心交換機之間使用 BGP 協(xié)議。 SNMP SERVER 使用 SNMP SERVER，保證設備出現(xiàn)問題的時候會自動發(fā)送日志，給予網(wǎng)絡管理者最時效、最直觀的 錯誤報告，以便于對問題最及時的排查與解決。 ACL 訪問控制 使用 ACL 訪問控制列表，對于一些禁止訪問的地址或網(wǎng)站進行限制，保證工作效率和數(shù)據(jù)的安全性。 使營業(yè)部門的電腦禁止登陸 Inter。 VPN 應用 針對需求，要用到 VPN 技術，保證異地辦公的員工可以通過特有的通道安全可靠的訪問公司內(nèi)部的網(wǎng)址。大連 東軟信息學院畢業(yè)設計（論文） 14 第 5 章 功能實現(xiàn) VLAN 和 VTP 要求三臺核心交換機要以 SW1 為 server， SW2 和 SW3 為 client，使 SW2 和 SW3向 SW1 同步 VLAN 信息。 SW1(config)vtp mode server SW1(config)vlan 11… 43 網(wǎng)絡協(xié)議 每臺設備自動獲取網(wǎng)絡拓撲結(jié)構(gòu)，我們以在其中一臺路由器做 OSPF 為例 R1(config)router ospf 1 R1(config)routerid R1(configrouter) 冗余備份 冗余備份我們采取冗余熱備份 HSRP 協(xié)議。 Rx(config) standby 1 Rx(config) standby 1 authentication md5 keystring 1 Rx(config) standby 1 timers msec 200 1 Rx(config) standby 1 preempt DHCP DHCP 協(xié)議可以使每臺設備通過請求獲得 IP 地址。 Rx(config) ip dhcp pool DHCP Rx(config) ip dhcp excludedaddress 5. 5 VPN 異地員工可通過 VPN 實現(xiàn)與公司的遠程連接。 Rx(config) crypto isakmp key 0 123 address Rx(config) crypto isakmp transformset 123 ahmd5h esp321 Rx(config) crypto map 1 ipsecisakmp Rx(configcryptomap) set peer Rx(configcryptomap) set transformset 123 Rx(configcryptomap) match address 2 5. 6 NAT和 ACL 運用 nat 實現(xiàn)內(nèi)地址與外地址的轉(zhuǎn)換。 Rx(config) accesslist 1 permit Rx(config) ip nat inside soucer 1 interface fastether0/0 overload Rx(config) interface fastether0/2 Rx(configif) ip nat insid