本科毕业设计(论文)
论文题目:中央商务区的网络规划与设计
系 所: 计算机科学与技术系 专 业: 网络工程 学生姓名: 马赫 学生学号: 09110900202 指导教师: 杨英鹏 导师职称: 副教授 完成日期: 2013年4月28日
大连东软信息学院
Dalian Neusoft University of Information
大连东软信息学院毕业设计(论文) 摘要
中央商务区的网络规划与设计
摘 要
如今社会发展的脚步远远超出人们的想象,人们对信息量的需求越来越大,对信息安全的要求越来越高,本课题的设计目的在于,建立商务区网络架构,由于中央商务区是城市的金融重地,聚集了众多银行。在现在网络盛行的时代,银行每天接受的信息量是非常巨大的。所以首要任务就是在网络层与数据链路层保证巨大信息量的快速传输的同时,保障信息的安全。随着银行业务规模、分支机构和员工数量的不管扩大,跨区域沟通协作日益频繁,还有语音、视频、及时通讯整合与一个平台,需要良好的网络设计来实现各大金融机构“零距离”沟通。
在进行了全面周密的需求分析,网络架构的梳理与评估之后,使各大金融机构正常通信是最基本的保证,还要满足金融机构这一相对特殊的行业性质,满足其特殊的需求,形成在中央商务区的专用通信网,建立这样一套网络,还要考虑到IP地址和VLAN的划分,路由规划,冗余备份等因素,实现数据的快速传输,办公自动化,具有保密性,安全性和可用性的金融机构网络。
本篇论文首先会介绍为中央商务区的网络规划的设计原则和注意事项,其次针对用户的需求进行缜密的分析,对可行性进行良好的梳理与评估,站在用户的角度权衡整体策略的利弊所在,完善地设计配置命令,巧妙地设计网络拓扑,在最小的工作量下完成全额的工作。我还会对本次课题中所用到的技术和命令做简要的概述,以便大多数用户可以大概理解每种技术的特点。最后也会给出推荐设备的选购,给出一套在可以实现所有需求的基础上,还能保证大并发操作下不受影响的设备方案,供用户参考。
关键词:金融机构,网络构架,路由交换技术
I
大连东软信息学院毕业设计(论文) Abstract
Planning and Design of the Central Business
District Networks
Abstract
Now the steps of social development than people think, people's demand for information is more and more big, the demand for information security is more and more high, at the same time, the invasion of the hackers are more low technical requirements, a don't have received much education, as long as there are a few tools can easily invade others computer, the network in the prohibition of theft cases. In this \"with black for the strong, proud of black\" of the climate, information security has become a national security, economic development and social stability at the core of the protection.
This topic is designed, the establishment of business networking architecture, due to the central business district (CBD) is the city's financial area, brought together many Banks. In the reign of the era of the Internet banking now every day is very huge amount of information is acceptable to the bank. So the first task is in the network layer and data link layer to ensure the rapid transmission of huge amount of information at the same time, guarantee the security of the information. As bank business scale, the branches and the number of employees regardless of expanding, cross-regional communication increasingly frequent, and voice, video, timely communication integration with a platform, needs good network design to achieve \"zero distance\" major financial institutions.
In has carried on the comprehensive thorough needs analysis, carding and evaluation of network architecture, each big financial institutions to normal communication is the most basic guarantee, also to meet the relative nature of the particular industry, financial institutions to meet their special needs, formed in the central business district (CBD) dedicated communications network, building such a network, but also to the IP address and VLAN division, route planning, and factors such as redundancy, backup, realizes the fast data transmission, office automation, has the confidentiality, security and availability of the network financial institutions.
Key words: financial institutions, network architecture, routing switching technology.
II
大连东软信息学院毕业设计(论文) 目录
目 录
摘 要 .................................................................................................... I ABSTRACT........................................................................................... II 第1章 绪 论 ................................................................................... 1
1.1 论文研究主要内容 ........................................................................................ 1
1.1.1 安全问题 .................................................................................................................. 1 1.1.2 信息处理能力 .......................................................................................................... 1 1.1.3 冗余备份 .................................................................................................................. 1
1.2 国内外现状 .................................................................................................... 2
第2章 关键技术介绍 ....................................................................... 3
2.1路由协议的介绍 ............................................................................................. 3
2.1.1 OSPF协议 ................................................................................................................ 3 2.1.2 EIGRP协议 .............................................................................................................. 3 2.1.3 RIP协议 .................................................................................................................... 3 2.1.4 BGP协议 .................................................................................................................. 3
2.2 NAT与DHCP ................................................................................................. 3
2.2.1 NAT介绍 .................................................................................................................. 4 2.2.2 DHCP介绍 ............................................................................................................... 4
2.3 VLAN和VTP ................................................................................................. 5
2.3.1 VLAN介绍 ............................................................................................................... 5 2.3.2 VTP介绍 .................................................................................................................. 5
2.4 冗余热备份 .................................................................................................... 5 2.5 MPLS和VPN ................................................................................................. 6
2.5.1 MPLS介绍 ............................................................................................................... 6 2.5.2 VPN介绍 .................................................................................................................. 6
2.6 ACL ................................................................................................................. 6
III
大连东软信息学院毕业设计(论文) 目录
第3章 需求分析 ............................................................................... 7
3.1需求概述 ......................................................................................................... 7 3.2 需求分析 ........................................................................................................ 7 3.3 实际环境 ........................................................................................................ 7 3.4技术可行性 ..................................................................................................... 8
第4章 网络设计 ............................................................................... 9
4.1 设计指导思想和原则 .................................................................................... 9
4.1.1 指导思想 .................................................................................................................. 9 4.1.2 设计原则 .................................................................................................................. 9
4.2 构架概述 ........................................................................................................ 9
4.2.1 模拟环境 .................................................................................................................. 9 4.2.2 构架概述 .................................................................................................................. 9
4.3 需求设计 ....................................................................................................... 12
4.3.1 VLAN划分 ............................................................................................................. 12 4.3.2 IP地址划分 ............................................................................................................ 12 4.3.3 DHCP协议 ............................................................................................................. 13 4.3.4 网络协议 ................................................................................................................ 13 4.3.5 SNMP SERVER ...................................................................................................... 13 4.3.6 ACL访问控制 ........................................................................................................ 13 4.3.7 VPN应用 ................................................................................................................ 13
第5章 功能实现 .............................................................................. 14
5.1 VLAN和VTP ................................................................................................ 14 5.2 网络协议 ........................................................................................................................ 14 5.3 冗余备份 ....................................................................................................................... 14 5.4 DHCP .............................................................................................................................. 14 5. 5 VPN ................................................................................................................................ 14 5. 6 NAT和ACL ................................................................................................................ 14
IV
大连东软信息学院毕业设计(论文) 目录
5. 7 SNMP-SERVER .......................................................................................................... 15
第6章 性能测试 .............................................................................. 16
6.1 VLAN同步: ................................................................................................ 16 6.2全网互通: .................................................................................................... 16 6.3 DHCP检测..................................................................................................... 17 6.4 NAT翻译检测 ............................................................................................... 17 6.5 NTP 同步 ....................................................................................................... 17
第7章 设备选购 .............................................................................. 18
7.1核心层交换机 ................................................................................................ 18 7.2汇聚层交换机 ................................................................................................ 18 7.3接入层交换机 ................................................................................................ 19 7.4 路由器 ........................................................................................................... 20 7.5 防火墙 ........................................................................................................... 21 7.6 服务器 ........................................................................................................... 21
第8章 结 论 .................................................................................. 23 参考文献 .............................................................................................. 24 致 谢 .................................................................................................. 25
V
大连东软信息学院毕业设计(论文)
第1章 绪 论
随着银行业务规模、分支机构和员工数量的不断增长,跨区域沟通协作日益频繁,中央商务区这样金融机构聚集地的网络规划与构架俨然成为了一项重要的工作项目,一次对网络构架良好的梳理与评估,对需求的缜密分析,制定切实可行的总体规划等一系列的工作涵盖了银行网络建设的各个层面,上至网络整体规划,下至数据中心、广域网、数据安全等架构建设,统一部署服务器、存储、数据库和应用系统,确保客户数据万无一失的前提下,为金融中心向客户提供高效连贯的优质服务。
1.1 论文研究主要内容
由于中央商务区是城市金融命脉,在保证所有金融机构能够互联互通的基础上,首要任务就是其网络的完全性,不间断性,快速性以及处理信息的能力,需要用到很多路由交换方面的技术。本课题主要结合中央商务区这一特殊区域进行针对的设计。中央商务区建设目标包括:以提高全行的网络安全对最大并发事件的处理为根本,以管理者对网络的管理为中心,并且以限制网络带宽的手段以提高对不同用户和不用应用进行限制以保证工作效率。
1.1.1 安全问题
保证安全问题是中央商务区网络构架的首要任务,由于全行网络应用的复杂性,
一旦网络出现问题,将会有一系列的工作,需要较多的技术支持人员去解决,与此同时由于缺乏对服务流程的管理,管理人员也难以了解工作的进度。安全软件在运行、存储中是不能保障安全的,软件运行时的很多重要信息都会在某个时间清晰地出现于计算机的存储中,因而不法分子窃取并利用这些信息是有机可乘的,所以需要采用硬件设备才能保障安全。
1.1.2 信息处理能力
银行网络处理信息的能力和速率在这个领域中是最受用户关注的,面对庞大的用户群体,用户关心的就是能否在任何时间段都可以进行畅通无阻的交易,同时,在各个金融企业之间,因为网络问题不能通畅的进行各个金融企业之间数据的相互传输造成的损失是巨大的,其损失对用户和企业乃至政府的而言将会是无法估量的。
1.1.3 冗余备份
众所周知,由于自然灾害和人为因素,极有可能造成数据的丢失,而对于金融机构而言,丢失数据是绝对不能被允许的,而有些会导致数据丢失的原因又是无法预知的,在这种情况面前,我们能做的第一大要点就是要定时甚至在每一笔交易之后都将数据进
-1-
大连东软信息学院毕业设计(论文)
行备份,这样才能保证将在不可预知的情况下丢失数据有效率的还原,保证用户的财产不受影响。
1.2 国内外现状
面对日益严峻的网络安全形势,我国银行业将围绕自主可控、持续发展、科技创新
三大战略加强信息科技建设。网络银行已经占据了人们的生活,为了方便人们的生活,网络问题对银行等金融机构有着巨大的考验,现在的银行需要更大的存储空间,更完善的安全机制,以及对突发问题快速处理的能力。
在银行骨干网络中,路由器和交换机都是CISCO的产品。路由器包括7513、7597、3662、3661、5300等,交换机包括6506、6509、4003、4006、2948、3548等系列。在每台路由器上都配置了统一的网管地址,在总行目前有一个简易网管系统可管理到骨干路由器。
同时,随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得供不应求。事实上,我国的IP地址数量远远小于国外,国内的IP地址非常有限,一般用户几乎申请不到整段的C类IP地址。在其他ISP运营商那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,可见IP地址也是一项需要解决的问题。
-2-
大连东软信息学院毕业设计(论文)
第2章 关键技术介绍
2.1路由协议的介绍
本课题考虑到企业内部的网络互连将用到OSPF,EIGRP,RIP三个IGP协议,以及外部大个金融企业和运营商之间的链接还要用到BGP协议。
2.1.1 OSPF协议
OSPF(Open Shortest Path First)开放式最短路径优先协议,是IGP(Interior Gateway Protocol)内部网关协议,用在单一的自制系统内决策路由,它是一个基于链路状态的路由协议,通过路由器之间相互通告网络接口状态简历链路状态数据库,生成最短路径树,从而构造出最有效率的路由。
2.1.2 EIGRP协议
EIGRP(Enhanced Interior Gateway Routing Protocol) 增强内部网关路由线路协议,是内部网关路由协议。是Cisco公司私有的协议EIGRP结合了链路状态和距离矢量型路由选择协议,采用弥散修正算法(DUAL)来实现快速收敛,可以不发送定期的路由更新信息以减少其对带宽的过多占用,他的优点包括快速收敛和减少带宽占用,支持多种网络层协议,无缝的链接数据链路层协议和拓扑结构。
2.1.3 RIP协议
RIP(Routing Information Protocol)路由信息协议,是内部网关协议。它可以通过不断的交换信息让路由器动态的适应网络链接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等,从而挑选出最佳路由
2.1.4 BGP协议
BGP(border gateway protocol)边界网关协议,是基于TCP之上的一种自制系统和路由协议,BGP是唯一一种用来处理Internet这样的大规模网络的网络协议,也是唯一能将不相关路由域间的多路连接够妥善处理好的协议。BGP的构建,可以说是在EGP的经验之上。BGP系统的主要功能是和其他的 BGP 系统交换网络可达信息。网络可达信息包括列出的自治系统(AS)的信息。这些信息有效地构造了AS互联的拓扑图并最大程度的清楚了路由环路。
2.2 NAT与DHCP
随着接入Internet的计算机数量的不断猛增,IP地址资源的需求量已然出现了前所未有的危机。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在ISP运营商那边,即使一个用户拥有成百上千个节点的
-3-
大连东软信息学院毕业设计(论文)
局域网,在申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,现有的这种情况使IP地址根本无法满足网络用户的需求,在这种形势的影响下,NAT技术油然而生。IP地址必须遵循地址规划和分配的原则,一个IP地址要只对应一台数据通讯设备同一个网络区域分配连续的网络地址等,为了方便分配与管理,DHCP将会发挥它的巨大作用。
2.2.1 NAT介绍
NAT( Network Address Translation )有三种实现方式,即端口多路复用、动态转换Dynamic Nat和静态转换Static Nat,如表2.1所示。
表2.1 NAT三种实现方式
是指将内部网络的私有IP地址和为公有IP地址的一个转化的过程,静态转换 IP地址对是不可改变的,一个外网地址只能针对一个内网地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 是指在做网址的公有和私有地址转化的时候,公有的IP将从设定的范围内随机挑选,所有被授权访问上Internet的私有IP地址可随机转动态转换 换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机端口多路复用 均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 2.2.2 DHCP介绍 动态主机设置协议(Dynamic Host Configuration Protocol)是一个局域网的网络协议,以UDP协议作为基础进行工作,主要的用途有两个:第一,给内部网络或网络服务供应商自动分配IP地址;第二,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。
-4-
大连东软信息学院毕业设计(论文)
2.3 VLAN和VTP
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。将企业中的网段划分为一段或者很多段虚拟的网段,使网络的安全和管理都得到了一个质的飞跃,控制不必要的数据广播。在共享网络中,每一个物理的网段都是一个广播域。而在交换网络中,广播域可以是任意选定的MAC地址的虚拟网段组成的。这样,网络中工作组的划分将,完全根据管理功能来划分,共享网络中的地理位置限制彻底的突破。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。
2.3.1 VLAN介绍
VLAN(Virtual Local Area Network)的中文名为\"虚拟局域网\"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。
2.3.2 VTP介绍
VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。这个协议时CISCO私有的。有的时候,由于企业等网络的规模过大,VLAN的划分配置的工作量是非常大的,这个时候就可以使用VTP协议,把一台交换机配置成VTP Server端, 其余交换机配置成Client端,这样他们可以自动学习到server端上的VLAN 信息。
2.4 冗余热备份
随着Internet的日益普及,人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心,如果路由器发生了的故障,导致的将是本地网络的瘫痪,如果是故障路由器恰好是骨干区域的路由器,所造成的损失和影响的范围也是难以估计的。因此,对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常。
HSRP介绍:热备份路由器协议HSRP(Hot Standby Router Protocol)的设计目标是支
持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。
-5-
大连东软信息学院毕业设计(论文)
2.5 MPLS和VPN
VPN属于远程访问技术,简单地说就是利用公网链路架设私有网络,外地员工在当地连上互联网后,通过互联网找到VPN服务器,然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。为异地办公提供了最稳定的保证。
2.5.1 MPLS介绍
多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议,诸如ATM 和IP。它提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。
2.5.2 VPN介绍
虚拟专用网络(Virtual Private Network)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
2.6 ACL
访问控制列表(Access Control List) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
-6-
大连东软信息学院毕业设计(论文)
第3章 需求分析
3.1需求概述
1. 要求每家银行有各自的VLAN,各个金融机构之间可以相互通信,但是非同一家银
行不能访问该银行的行政部门。 2. 要求所有金融机构都可以访问Internet。
3. 要求每家金融机构的通讯设备都是采用自动获取的方式获取IP地址。 4. 要求每台通讯设备可以自动发现网络拓扑结构。
5. 能有效地发现、定位网络故障,给出排错建议与排错工具,形成整套的掌故发现、
警告与处理机制。
6. 结合使用用户认证、访问控制、数据传输、存储的保密行,控制对网络资源的访
问。
7. 要求异地办公的员工可以通过专用通道访问企业内部的网址,并且保证这些专用
通道的保密性和安全性。
3.2 需求分析
针对以上需求,要进行广泛全面的信息采集,支持主流厂商设备
Syslog解析、IDS、
SNA、防火墙、认证服务器、协议分析工具等时间信息的采集,各类网络故障以统一的格式显示并分类,并形成统一的故障级别。 1. 设备层
设备层包括与设备相关的环境信息和系统自身的运行信息,其中运行信息包括设备CPU的使用率和设备内存的使用情况及设备自身的提示、告警和错误信息。 2. 链路层
链路层包括线路状态、与广域网相关的2层拓扑的自动发现,线路流量的信息、线路的可用行信息、用于流量分析的详细分析。 3. IP层
设备相当于网络中的节点,链路有相当于线一样把各个节点物理串联起来,而IP路由又把这些物理的线路串联成一个个逻辑的通道,最终形成完整的通信网结构。IP层包括三层网络拓扑的自动发现,路由变化信息、动态路由。
3.3 实际环境
在网管功能方面,情况如下:
-7-
大连东软信息学院毕业设计(论文)
(1) 故障事件监测方面,现行的故障事件拓扑图的状态变化及或事件列的信息,然后根据各分行网管操作人员不同技术能力和经验寻找和修复故障; (2)
在性能管理方面,部份分行利用一些网管系统的性能管理功能定期对被管理的
网络设备收集性能数据(如:流量、错误传输比等),但是缺乏数据收集后的分析(如:服务水平报告),在这方面有进一步加强的地方; (3)
在配置管理方面,主要通过命令行接口进行远程配置。有些时候会利用
CiscoWorks2000对Cisco网络设备进行相关的配置; (4)
在安全管理方面,网管网段与其他网段的数据同样处理,导致网管信息的传输
不畅和网管主机的安全不易保证; (5) 作。
没有网管灾难备份,网络管理系统的短时间故障并不会影响日常银行服务的运
3.4技术可行性
针对以上需求,目前网络系统提供商如
CISCO、HP、CA、IBM等都提出了针对
不同运行平台、不同侧重点的网络管理软件,这些对于一般的网路管理来说,其功能性和方便性都是可以满足需求的,考虑到现在金融机构的核心层和汇聚层多数用的都是CISCO的设备,其中的各项协议等技术已经非常成熟,这样也可以采用CISCO私有的协议来更好的满足网络的安全性,可用性,不间断性。
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,思科网络做为世界知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在银行启用千兆备份线路。在银行启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等,思科网络充分考虑安全性,针对的各种应用,有多种的保护机制
如划分VLAN、
IP/MAC地址绑定过滤、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性
-8-
大连东软信息学院毕业设计(论文)
第4章 网络设计
4.1 设计指导思想和原则
4.1.1 指导思想
设计网络要遵循这样的主体思想,企业的局域网的内部成分分为三个部分,分别是接入层,汇聚层和核心层。
接入层:接入层是最底层。主要涉及到VLAN划分等。
汇聚层:汇聚层利用DHCP技术做了一个IP地址的划分,可以动态的划分给各个主机,其效果是同一个可以控制不同的部门之间可以或者不可以相互通信。
核心层:核心层应用路由协议将核心层与汇聚层链接起来。
4.1.2设计原则
(1) 先进性:与国际接轨,能支持未来包括IPv6在内的高性能需求。
(2) 安全性:有效的防止网络非法访问,保护关键数据不被非法窃取篡改或泄露。 (3) 可靠性:满足7×24×365个小时连续运行,永不DOWN机。
(4) 时效性:网络要保证各类业务数据流的及时传输,延迟要小,吞吐量要大。 (5) 可管理性:要有统一的网络管理平台实现对整个网络系统、设备、安全性、数据流量、性能等的监控和管理。
4.2 构架概述
4.2.1 模拟环境
实验中用到GNS3和Packet tracer来模拟实际的网络环境。
4.2.2 构架概述
在设计过程中将本区域的规划分成两个部分:一个是内部局域网,一个是通过Internet连接两个局域网的架构。由于模拟器的问题,内部局域网用GNS3这个软件来搭建,内部局域网分成三个层次:接入层、核心层和汇聚层。接入层用了个2台交换机、利用VLAN技术将银行划分成3个分行、汇聚层用两台三层交换机、在汇聚层做了DHCP技术,给每个分行每台主机分配地址,核心层放三台三层交换机,用于传递Internet的数据。
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机、通信设备为中心构成的网络。其它请求访问网络的机器与中心处理机之间都有这直联物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理。因此对中央节点的要求比较高。
-9-
大连东软信息学院毕业设计(论文)
星型拓扑结构的特点是:网络结构简单、易于维护和便于管理,集中式,每台入网机均需有物理线路与处理机互连,线路利用率低,处理机负载重,需处理所有的服务,因为任何两台入网机之间交换信息,都必须通过中心处理机,入网主机故障不影响整个网络的正常工作。因此对该网络支持的设备生产厂商需要有较好的技术支持。 局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机,商用机运行比较稳定,而且比较耐用,运算速度较快,较适于开发使用。 根据银行网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是,高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
图4.1 中央商务区的网络拓扑
如图4.1所示,上左右分别为3个独立的支行,而中间位ISP的核心交换机,三个独立的支行通过核心交换机实现相互的通信,应用BGP协议,期间还要用到MPLSVPN这样的设计可以充分的满足中央商务区对于网络安全架构的所有需求。
图4.2 分行1的网络拓扑
-10-
大连东软信息学院毕业设计(论文)
如图4.2所示,这是分行1的网络拓扑,内网采用EIGRP的网络协议进行通信,并且在汇聚层路由器作为DHCP服务器为下层路由器进行动态地址的分配。其中还要对通过其的流量进行服务质量(QOS)控制。
图4.3 分行2的网络拓扑
如图4.3所示,这是分行2的网络拓扑,内网采用RIP网络协议进行通信,R3上采用NAT,进行内外地址转换。
图4.4 分行3的网络拓扑
如图4.4所示,这是分行3的网络拓扑,内网采用OSPF的网络协议进行通信,上半部分用AREA0下半部分AREA1。
-11-
大连东软信息学院毕业设计(论文)
图4.5 冗余备份路由器
如图4.5所示,SW3和SW4作冗余热备份用,SW3为active,SW4为standby。
4.3 需求设计
针对上一章的需求,本章对整体需求做详细的设计。
4.3.1 VLAN划分
核心交换机对每个支行进行VLAN规划如表4.1
表4.1 VLAN划分
名称 支行1 支行1 支行1 支行2 支行2 支行2 支行3 支行3 支行3 部门 行政部 营业部 业务部 行政部 营业部 业务部 行政部 营业部 业务部 VLAN VLAN11 VLAN21 VLAN31 VLAN12 VLAN22 VLAN32 VLAN13 VLAN23 VLAN33 VLAN名 XZ1 YY1 YW1 XZ2 YY2 YW2 XZ3 YY3 YW3 VLAN11,VLAN12,VLAN13之间不能相互访问。
4.3.2 IP地址划分
IP地址划分如下表4.2
-12-
大连东软信息学院毕业设计(论文)
表4.2 IP地址划分 名称 分行1与核心层之间的IP 分行2与核心层之间的IP 分行3与核心层之间的IP 分行1 IP地址 分行2 IP地址 分行3 NAT外部IP地址 分行3 NAT内部IP地址 IP地址 10.1.1.x/24 10.2.2.x/24 10.3.3.x/24 110.1.1.x/30 120.1.1.x/30 130.1.1.x/30 192.168.1.x/30
4.3.3 DHCP协议
在每家支行的汇聚层交换机使用DHCP协议,为每家支行的每个通讯设备提供IP地址的自动获取。
4.3.4 网络协议
三家支行分别使用EIGRP,OSPF,RIP网络协议,是其可以自动发现网络,进行选路和转发,与运营商核心交换机之间使用BGP协议。
4.3.5 SNMP SERVER
使用SNMP SERVER,保证设备出现问题的时候会自动发送日志,给予网络管理者最时效、最直观的错误报告,以便于对问题最及时的排查与解决。
4.3.6 ACL访问控制
使用ACL访问控制列表,对于一些禁止访问的地址或网站进行限制,保证工作效率和数据的安全性。使营业部门的电脑禁止登陆Internet。
4.3.7 VPN应用
针对需求,要用到VPN技术,保证异地办公的员工可以通过特有的通道安全可靠的访问公司内部的网址。
-13-
大连东软信息学院毕业设计(论文)
第5章 功能实现
5.1 VLAN和VTP
要求三台核心交换机要以
SW1为server,SW2和SW3为client,使SW2和SW3
向SW1同步VLAN信息。
SW1(config)#vtp mode server SW1(config)#vlan 11…43
5.2 网络协议
每台设备自动获取网络拓扑结构,我们以在其中一台路由器做
OSPF为例
R1(config)#router ospf 1 R1(config)#router-id 1.1.1.1
R1(config-router)#net 10.3.3.x 0.0.0.0
5.3 冗余备份
冗余备份我们采取冗余热备份HSRP协议。
Rx(config) #standby 1 10.4.4.0
Rx(config) #standby 1 authentication md5 key-string 1 Rx(config) #standby 1 timers msec 200 1 Rx(config) #standby 1 preempt
5.4 DHCP
DHCP协议可以使每台设备通过请求获得IP地址。
Rx(config) #ip dhcp pool DHCP
Rx(config) #ip dhcp excluded-address 10.1.1.1
5. 5 VPN
异地员工可通过VPN实现与公司的远程连接。
Rx(config) #crypto isakmp key 0 123 address 10.1.1.2 Rx(config) #crypto isakmp transform-set 123 ah-md5-h esp-321 Rx(config) #crypto map net 1 ipsec-isakmp Rx(config-crypto-map) #set peer 10.1.1.2 Rx(config-crypto-map) #set transform-set 123 Rx(config-crypto-map) #match address 2
5. 6 NAT和ACL
运用nat实现内地址与外地址的转换。
Rx(config) #access-list 1 permit 10.3.3.x 0.0.0.255
Rx(config) #ip nat inside soucer 1 interface fastethernet0/0 overload Rx(config) #interface fastethernet0/2 Rx(config-if) #ip nat inside
-14-
大连东软信息学院毕业设计(论文)
Rx(config) #interface fastethernet0/0 Rx(config-if) #ip nat outside
5. 7 SNMP-SERVER
当设备出现问题的时候设备自动向管理者邮箱发送告警
Rx(config)#*********************************Rx(config) #snmp-server trap-source loopback0
-15-
大连东软信息学院毕业设计(论文)
第6章 性能测试
6.1 VLAN同步:
所有的Client端交换机通过VTP协议向Server端交换机同步VLAN信息。如图6.1所示。
图6.1 VLAN同步
6.2 全网互通:
全网通过路由协议可以PING同12.34.56.78外部Internet网络。如图6.2所示。
图6.2 全网互通
随机选取一台路由器确保该路由器的路由表中包含所有的路由。如图6.3所示。
图6.3 路由表
-16-
大连东软信息学院毕业设计(论文)
6.3 DHCP检测
选取一台通过DHCP自动获取IP地址的主机,检查是否向服务器申请到了IP地址。如图6.4所示
图6.4 IP地址获取
6.4 NAT翻译检测
在运用了NAT的主机上向外PING随机一个地址,再在NAT服务器上检查是否成功执行了NAT。如图6.5所示。
图6.5 NAT成功执行
6.5 NTP 同步
在NTP客户端使用show ntp status检查是否向服务端同步NTP。如图6.6所示。
图6.6 NTP同步成功
-17-
大连东软信息学院毕业设计(论文)
第7章 设备选购
7.1 核心层交换机
表7.1 核心交换机参数 名称 设备名称 参考价格 产品类别 品牌 产品类型 应用层级 传输速率 背板带宽 VLAN 网络管理 包转发率 MAC地址表 网络标准 端口结构 交换方式 扩展模块 传输模式 QOS 参数 CISCO WS-C6509-E 6W 交换机 CISCO(思科) 企业级交换机 四层 10/100/1000Mbps 720Gbps 支持 CiscoWorks2000,RM 387Mpps 64K IEEE 802.3,IEEE 8 模块化 存储-转发 9个模块化插槽 支持全双工 支持
7.2 汇聚层交换机
表7.2 汇聚层交换机参数 名称 参数 -18-
大连东软信息学院毕业设计(论文)
设备名称 参考价格 产品类别 品牌 产品类型 应用层级 传输速率 背板带宽 VLAN 网络管理 包转发率 MAC地址表 网络标准 端口结构 交换方式 端口数量 传输模式 产品内存
CISCO WS-C3750G-24TS-E1U 3W 交换机 CISCO(思科) 企业级交换机 三层 10/100Mbps 32Gbps 支持 SNMP,CLI,Web 38.7Mpps 12K IEEE 802.3,IEEE 8 非模块化 存储-转发 28个 支持全双工 DRAM内存:128MB 7.3 接入层交换机
表7.3 接入层交换机参数 名称 设备名称 参考价格 产品类别 品牌 产品类型 参数 CISCO WS-C3560-48TS-E 2万 交换机 CISCO(思科) 企业级交换机 -19-
大连东软信息学院毕业设计(论文)
应用层级 传输速率 背板带宽 VLAN 网络管理 包转发率 MAC地址表 网络标准 端口结构 交换方式 端口数量 传输模式 产品内存
三层 10/100Mbps 32Gbps 支持 SNMP,CLI,Web 13.1Mpps 12K IEEE 802.3,IEEE 8 非模块化 存储-转发 52个 支持全双工 DRAM内存:128MB 7.4 路由器
表7.4 路由器参数 名称 设备名称 产品类别 品牌 参考价格 端口结构 局域网接口 传输速率 防火墙 网络协议 Qos支持 参数 CISCO 7304 路由器 CISCO(思科) 6.8万 模块化 2个 10/100/1000Mbps 内置防火墙 IP,IPX,DLSW,App 支持 -20-
大连东软信息学院毕业设计(论文)
VPN支持 产品内存 处理器 产品尺寸
支持 最大DRAM内存:512M RM 7000 MIPS处理器 177.8×436×520mm 7.5 防火墙
表7.5 防火墙参数 名称 型号 参数 天融信NGFW4000-UF(TG-5130)(TOPSECNGFW4000-UF(TG-5130)) 价格 设备类型 并发连接 网络吞吐 网络端口 用户数限 适用环境 入侵检测 电源 安全标准 控制端口 管理 VP N支持 14.8万 企业级防火墙 2200000 6000 最大配置为26个接口 无用户数限制 工作温度:0℃-45℃、存储温 Dos、DdoS 双电源,缺省一个电源 FCC,CE console SNMP,WEB,命令行,远程管理 支持
7.6 服务器
型号:X3500
产品简述:通过新的四核处理器及更快的内存技术获得更好的性能,采用集成的解决方案管理您的IT资源,通过可升级内存,I/O和存储搭建稳定服务器平台,保护您的
-21-
大连东软信息学院毕业设计(论文)
IT投资。
市场价格:20000
详细参数:Xeon E55202.26Ghz四核最高支持1066MHz内存频率5.86 GT/s QPI8MB 3级缓存DDR3 内存2*2GB热插拔2.5\" SAS硬盘,标配146GB SAS硬盘*1 ServerRAID MR10iDVD-ROM双口千兆以太网3个PCI-Express Gen2 x8 插槽, 1个PCI-Express Gen2 x16插槽, 1个PCI-Express Gen1 x8 插槽,1个33MHz PCI插槽1 个串口, 1个显卡接口, 6个USB 2.0端口(4个背面、2个正面),3个RJ-45端口(2个以太网口,一个管理端口)IMM, 可选的远程管理920W热插拔电源,可选冗余3年有限保修,3年部件,3年人工,3年现场。
-22-
大连东软信息学院毕业设计(论文)
第8章 结 论
本次负责的事中央商务区的网络规划
因为要组网成功,真正能贴近实际,特别调查了中央商务的网点分布情况,从而清晰地为各个银行的发展服务,划分出简单实用的网络。
此次毕业设计主要任务是学会局域网的设计和应用,网络互连技术,以及网络互联中如何保证信息安全,通过理论与实践相结合,进一步加深理论知识,在课题的课程中老师讲解了如何用网络拓扑的设计,如何进行网络的布线。路由器及交换机的配置防火墙和网络检测器的IDS的安装和配置等等。在进行课题研究的过程中,真正学到了计算机网络技术。
此外在此次课题研究的过程中,分组完成一个网络系统的构建策划,包括项目的需求分析,网络拓扑图的制作以及网络搭建方案的编写。在这个过程中,了解整个项目的竞标和项目的开发的流程,一个团队中的成员合作很重要,靠一个人的力量很难完成一个大项目。但总之这次项目的经历真正锻炼了我解决实际问题的能力。
-23-
大连东软信息学院毕业设计(论文)
参考文献
[1] 多伊尔.TCP/IP 路由技术第一卷[M],葛建立,人民邮电出版社,2007.23~441 [2] 多伊尔.TCP/IP 路由技术第二卷[M],葛建立,人民邮电出版社,2007.13~151 [3] 康乐.网上银行网络安全架构探讨,2010.3.12
[4] 梁广民、王隆杰.思科网络实验室路由,交换实验指南[M],电子工业出版社,
2008.33~457
[5] Richard Froom.组建Cisco多层交换网络(BCMSN) [M],刘大伟等译,人民邮电出
版社,2008.16~457
[6] 高玉雷.中小型局域网组建与管理教程,机械工业出版社,2004.9 [7] 崔北亮.非常网管——网络管理从入门到精通,人民邮电出版社,2008.7. [8] 谢希仁.计算机网络(第五版),电子工业出版社,2012.5 [9] 史蒂文斯.TCP/IP详解卷1,机械工业出版社,2000.04 [10] 唐红.网络管理工程技术基础[M],科学出版社,1999年9月
[11] 夏云.现代计算机网络技术与应用——设计、开发、管理、维护[M],科学出版社,
1998年11月,354—390
[12] 李志蜀.计算机网络基础与应用[M],科学出版社,2000年9月 [13] 岑贤道等.网络管理协议与开发[M],清华大学出版社,1999年10月 [14] 王卫东.管理学——基于网络构建竞争优势[M],科学出版社,2004年8月 [15] 李艇.网络安全与管理综合实训教程,重庆大学出版社,2004年9月
[16] Cisco System Ltd.Cisco Info Center 3.6 for Real Time Event Management forbusiness
and services resurence[R],2003年8月
-24-
大连东软信息学院毕业设计(论文)
致 谢
值此本科学位论文完成之际,首先要感谢我的导师杨英鹏老师从一开始的论文方向的选定,到最后的整篇论文的完成,对我的指导师非常耐心的。同时也给我提供了大量资料和建议,细心地指出我的论文中出现的问题,和需要注重的细节,杨老师的诲人不倦一丝不苟的工作作风态度和严肃认真的治学风格给我留下深刻的印象,值得我永远学习。在此,谨向导师徐老师致以崇高的敬意和衷心的感谢。
我要感谢我的辅导员李宏新老师,李老师给了我生活以及学习上的帮助,给我们第一时间提供有用的信息,并且不厌其烦的给我们推荐工作,思想教育指导上也给我们不少帮助,包括所有计算机老师,都给学生们在生活和学习上莫大的帮助。
同时也要感谢一直帮助我的思科网络专家高俊峰,刘相禹,汤思远,樊瑞,是他们将我带入网络工程的门槛,从入门到现在基本上可以独立完成工作,我的进步与他们是分不开的。
我还要感谢在本课题进行过程中给以我帮助的同学,在他们的帮助下项目的进展才能够比较顺利,并对我的技术成长提供了非常多的帮助。
谢谢所有给以我帮助的人,感谢他们的鼓励和帮助。
-25-
大连东软信息学院毕业设计(论文)
大连东软信息学院
毕业设计(论文)原创承诺书
1、本人承诺:所提交的毕业设计(论文)是认真学习理解学校的《毕业设计(论文)工作规范》后,在教师的指导下,独立地完成了任务书中规定的内容,不弄虚作假,不抄袭别人的工作内容。
2、本人在毕业设计(论文)中引用他人的观点和研究成果,均在文中加以注释或以参考文献形式列出,对本文的研究工作做出重要贡献的个人和集体均已在文中注明。
3、在毕业设计(论文)中对侵犯任何方面知识产权的行为,由本人承担相应的法律责任。
4、本人完全了解学校关于保存、使用毕业设计(论文)的规定,即:按照学校要求提交论文和相关材料的印刷本和电子版本;同意学校保留毕业设计(论文)的复印件和电子版本,允许被查阅和借阅;学校可以采用影印、缩印或其他复制手段保存毕业设计(论文),可以公布其中的全部或部分内容。
5、本人完全了解《毕业(设计)论文工作规范》关于“学生毕业设计(论文)出现购买、他人代写、或者抄袭、剽窃等作假情形的,取消其学位申请资格;已经获得学位的,依法撤销其学位。取消学位申请资格或者撤销学位者,从处理决定之日起3年内,学校不再接受学生学位申请”的规定内容。
6、本人完全了解《学生手册》中关于在“毕业设计(论文)等环节中被认定抄袭他人成果者”不授予学士学位,并且“毕业学年因违纪受处分影响学位的学生不授予学士学位,并且无学士学位申请资格”的规定内容。
以上承诺的法律结果、不能正常毕业及其他不可预见的后果由学生本人承担!
学生本人签字: 年 月 日
因篇幅问题不能全部显示,请点此查看更多更全内容