我有兩位優秀的小兄弟畢業了,在他們的允許下,把這兩篇畢業論文寫成博客,作為網絡專業同學的參考!僅供參考,切勿用作其他用途!
論文一:網絡工程(計算機網絡)畢業論文+PPT【銀行內部網絡系統規划與設計】
論文二:網絡工程(計算機網絡)畢業論文+PPT【中學實驗樓綜合布線和無線網絡規划】
畢業設計(論文)
學生姓名: 學 號:
所在學院:
專 業:
設計(論文)題目: 某省銀行內部網絡系統規划與設計
指導教師:
@
2021 年 6 月 10 日
摘 要
某省銀行隨着業務的增加,為了適應業務發展需求需要對網絡系統進行新建,通過對銀行網絡規划與設計的研究,依據網絡規划設計原則和現有技術。本人對網絡系統設計采用層次化的結構,通過生成樹技術解決二層環路,利用路由策略優化網絡數據流量,采用vpn技術增加數據的安全性,以及采用雙機熱備應對突發狀況。本案例的網絡系統設計,增強了銀行網絡系統的穩定性,提高了數據的安全性,保障了傳輸的實時性和網絡的可靠性。
關鍵字:網絡優化,網絡熱備,網絡安全
第一章 引言
在互聯網+的時代背景下,銀行互聯網已成為企業發展的基礎,目前銀行互聯網的問題日漸嚴重,網絡安全,網絡結構等問題突出。銀行為了提高自身競爭力和適應這種新形勢下經濟市場環境變化所帶來的機遇與挑戰,就必須構建出適合自己銀行發展特點又能為其他企業提供借鑒意義服務外還有就是要建立一個內部局域網來滿足外部信息傳輸需求,從而達到資源共享利用優勢互補、互利共贏的目的。
1.1 項目研究背景
銀行對於網絡建設需要越來越高,要組建一個符合銀行需求,並為未來發展預留空間的可靠性與高效率銀行信息網絡,銀行網絡總體設計思路與工程藍圖就成為銀行網絡建設的核心任務。[1]
1.2 項目研究意義
實際意義上來說,銀行網絡規划與設計是一項系統工程,需要進行大量的數據收集和分析工作。本文以某銀行為例對其現有資源配置情況、網絡結構及布局等方面做出了詳細研究。通過對相關理論知識以及國內外經驗總結得出結論並提出自己一些見解;同時也為其他同類銀行在發展過程中提供一定參考建議;最后從實際意義來看,通過本次畢業論文寫作可以讓我認識到一個系統工程的重要性與必要性,從而更好地投入實踐當中去。
1.3 本文的主要工作
1.本人主要研究銀行內部網絡組建的必要性,介紹了我國現階段網絡拓撲結構和功能。
2.本人對銀行內部網絡進行分析,介紹了組建過程中的技術問題和需求,並根據實際情況制定出相應解決措施。
3.本人結合目前我國國情與實際情況對銀行現有設備、機房及服務器進行規划設計並部署在全國范圍內實施工作;根據銀行發展目標選擇最佳配置方式,確定最優配置架構和系統開發環境等條件滿足組建內部局域網絡需要實現資源共享利用,以保證構建出高效實用的內部網絡結構體系。
第二章 銀行網絡系統相關技術研究
2.1 常見路由協議分類
靜態路由:通過手工配置路由條目,形成路由表。
動態路由:通過宣告直連路由,各路由器之間相互交換路由條目,生成路由表。
圖2-2 路由協議
2.2 常見路由協議類型
2.2.1 內部網關協議
內部網關協議(IGP:Interior Gateway Protocol),最大的特點就是,運行在同一個AS(自治系統)內,擁有同一個AS自治系統號。[2]例如:RIP,OSPF,IS-IS等。
RIP協議
RIP是Routing Information Protocol(路由信息協議)的簡稱,是距離矢量協議。[3]
優點:適用於小型網絡,占用帶寬小,配置簡單。
缺點:在復雜的網絡中易產生環路,有最大跳數限制。
OSPF協議
開放式最短路徑優先OSPF(Open Shortest Path First)是鏈路狀態協議。[4]
IS-IS協議
中間系統到中間系統IS-IS(Intermediate System to Intermediate System)是鏈路狀態協議。[5]
IS-IS協議與OSPF協議對比:
相同點:
1.兩者均是鏈路狀態協議。
2.兩者都具有區域划分。
3.兩者網絡收斂快速,無環路。
4.兩者都有認證功能。
不同點:
1.IS-IS協議基於數據鏈路層,OSPF協議基礎ip層。
2.IS-IS協議支持類型少,不支持P-2-MP;OSPF協議支持類型多,NAMA,MA,P2P,P2MP。
2.2.2 域間路由協議
BGP協議
BGP(Border Gateway Protocol)邊界網關協議,是距離矢量協議。[6]
優點:冗余性高,擴展性強,無環路,路由屬性多,選路由規則多,易於和路由策略結合。
缺點:就是所有的路由協議選路是靠路由權值來實現,而權值是固定的。帶寬、端口、cost等,報文在整個internet傳遞過程中就會發生擁塞。
2.2.3 網絡系統常見協議
VLAN技術:虛擬局域網;
STP技術:生成樹協議;
VRRP技術:虛擬路由冗余協議;
VPN:虛擬專用網絡。
表2-1 網絡技術詳解
2.3 安全域和邊界
銀行網絡的經典結構就是基於安全域的網絡結構,一般包括銀行數據中心,銀行辦公內網,核心區,互聯區和Internet幾個部分。
銀行網絡各個區域之間通信受到限制,區域內部通信多不進行限制。
為了保障銀行的信息安全,我們應該從這幾個方面入手:
1、終端計算機。
2、互聯網出入口。
3、廣域網出入口。
4、銀行對外發布服務的DMZ服務器。
5、VPN和類似遠程連接設備。
2.4 網絡設計的方法和思路
網絡設計基本原則:
模塊化設計原則:根據所承載的功能區域來划分不同的模塊;
層次化設計原則:根據銀行需求設計網絡,選用二層,三層網絡模型。
圖3-1 網絡設計
模塊化的設計方法、層次化的設計方法。
層次化設計的優點:
節約成本、容易理解、有利於模塊化、有利於故障隔離;
模塊化設計優點:
將一個銀行網絡按照功能的不同,分為了不同的模塊,不同的模塊有不同的需求和特點;
每一個模塊相對獨立,可以單獨構建這個模塊里面需要的一些結構,模塊之間相互沒有影響;
便於擴容、管理,不同模塊有不同的安全策略。
圖3-2 網絡模塊化設計拓撲
DMZ:非軍事區域(官方稱呼),互聯網服務區或者互聯網隔離區(民間稱呼);
模塊的安全等級:
安全等級由低到高:陌生訪客–>分支機構–>DMZ–>數據中心/服務器群–>管理中心;
分支機構一般有固定的地址;
管理中心存儲着高權限的賬號,一旦被入侵,對整個網絡危害最大。
圖3-3 網絡層次化設計拓撲
圖3-4 層次化對比詳解
2.5 設計流程
圖3-5 設計流程
對於銀行來說,一般參照到IP連通這個步驟。
大部分銀行基本上可以完全參照這個流程來。
1.規划
組織策略:考慮銀行的組織架構,就是銀行有哪些部門。
業務策略:就是銀行當前的業務以及銀行未來需要發展的業務。
財務決策:銀行的財務情況,能拿多少錢出來,預算是多少。
2.簡要的網絡設計方案。
設計:根據業務需求客戶需要規划出網絡拓撲圖。
需求分析:就是根據組織策略,來考慮不同部門的網絡配置情況。
項目計划:考慮項目進度(開始時間、完成時間)、成本多少、質量達到什么標准。
設備選購:需要購買哪些設備。CPU 內存,吞吐量夠不夠,支持哪些協議,帶機數量不同的接入,他們的流量是不一樣的。
3.詳細設計的網絡方案
滿足銀行用戶現階段技術和業務上的需求。
4.實施:根據需求規划網絡
新建網絡:根據詳細設計方案,直接進行落實。
主要點:驗證/測試整個網絡是否滿足銀行在業務和技術上需求。
對現有網絡的改造:割接。
第三章 網絡系統設計
3.1 項目背景
某銀行是一家地方性商業銀行,創建於1985年,在全省各地市均建有二級行,各區縣建立的支行及網點已超過150個。隨着省行的網絡扁平化改造,所有的二級行、支行及網點均需要直接連接到省行,其網絡運行及維護的效率也得到了極大的提升。
為了保證網絡的穩定且方便維護,省行網絡分為核心區、業務區、互聯區、外聯區四個部分。其中:核心區作為全網的中心樞紐承擔了各類業務數據流量的轉發工作。業務區分別通過有線和無線網絡,為生產數據流(存/取款等相關數據)和辦公數據流(OA、視頻會議等與錢無關的數據)提供了服務。互聯區通過MSTP專線連接總行、全省所有的二級行、支行及網點。外聯區通過互聯網向用戶提供如網上銀行等線上服務,並對接第三方公司並提供相關服務;同時,省行的辦公人員也能通過外聯區訪問Internet。
各支行/網點的業務也包括生產和辦公兩類。其中,生產性的數據主要由ATM機等設備通過有線方式傳輸;辦公業務主要通過有線網絡提供服務。各支行/網點的交換機通過兩條MSTP專線分別將生產及辦公數據傳至省行。
某銀行的智慧網絡需要具備高速、可靠、安全的數據傳輸,實現高度集中計算和處理能力,為銀行可持續發展鑄就雄厚軟實力。同時,銀行希望在本次信息化業務建設方面,打通從供應商、采購物流、生產計划以及銷售管理等多業務之間的連接環節,從而提升銀行業務運營的標准化、智能化、高效化以及應對異常的能力。以上每項業務的運營對於網絡穩健性、智慧性要求都帶來挑戰,不僅需要可靠穩定的基礎網絡支撐,更需要統一管理運維體系保障其龐大的業務正常運營。
為了優化省行的網絡,為其它區域的網絡提供高效的保障服務,某銀行同時針對各個分支行、網點的網絡進行升級、改造和優化。其中,對省行進行全網改造,包括調整全網拓撲實現核心網絡虛擬化;保證網絡在宕機時能平滑切換,保障各項業務不中斷。多個支行和網點;同時部署網絡安全整體解決方案,改變之前上網行為管理難的問題,實現員工訪問網絡事后可溯源,省行和各支行/網點之間傳輸的數據實現加密等多項安全問題;構建安全高效的網絡出口,依托互聯網最大限度實現各業務安全、高效、快速的傳輸,創建新時代金融網絡環境,保障銀行各項業務的高效運營。
3.2 客戶需求
(1)各支行/網點的網絡通過MSTP專線訪問省行的業務區,實現生產和辦公業務互通。
(2)生產性數據,辦公數據,業務數據通過有線網絡傳輸,保證其穩定性。
(3)通過路由策略部署,實現生產和辦公數據按指定路徑進行分流和互相備份,保證充分利用現有網絡設備優化網絡結構。
(4)省行及各支行網點局域網內部部署防環、防攻擊、數據負載均衡等相關策略,確保局域網業務安全、可靠。
(5)保證省行特定服務器能通過外聯區對外提供服務、省行的用戶能正常上網,同時第三方公司能通過VPN訪問銀行特定資源。
3.3 項目方案設計
某銀行省行核心網以及營業網點網絡組建拓撲相關說明如下。
(1)兩台數據中心交換機作為省行核心區中的核心交換機,在網絡拓撲中的編號為S1和S2。
(2)兩台三層可控交換機作為省行業務區中的匯聚交換機,在網絡拓撲中的編號為S3和S4。
(3)兩台二層可控交換機作為省行業務區中的接入交換機,在網絡拓撲中的編號為S5和S6。
(6)省行通過互聯區和支行/網點的連接,使用兩台路由器接入,在網絡拓撲中的編號為R8和R9。
(7)省行外聯區中使用一台出口網關把省行的網絡接入互聯網(運營商網絡),在網絡拓撲中的編號為AR12。
(8)渭南市支行使用一台三層可控交換機作為支行的業務交換機,在網絡拓撲中的編號為S7。
(10)省行的外聯區通過寬帶鏈路接入運營商(Internet)路由器,運營商網絡中接入路由器在網絡拓撲中編號為R11。
(11)第三方公司使用一台出口網關作網絡出口,在網絡拓撲中編號為AR10。
圖4-1 某省銀行營業網點網絡組建拓撲
3.4 IP地址規划與設計
表4-2 網絡設備物理連接表
| 源設備名稱 | 設備接口 | 目標設備名稱 | 設備接口 |
|---|---|---|---|
| S1 | E1/0 | R12 | E0/0 |
| E1/1 | S3 | E1/1 | |
| E1/2 | S4 | E1/1 | |
| E0/2 | R8 | E0/0 | |
| E0/3 | R9 | G0/0 | |
| E0/0 | R9 | G0/0 | |
| S2 | E1/0 | R12 | G0/0 |
| E1/1 | S3 | E1/2 | |
| E1/2 | S4 | E1/2 | |
| E0/3 | R8 | G0/0 | |
| E0/2 | R9 | E0/0 | |
| E0/0 | S1 | E0/0 | |
| S3 | E0/0 | S4 | E0/0 |
| E0/2 | S5 | E0/0 | |
| E0/3 | S6 | E0/0 | |
| E1/1 | S1 | E1/1 | |
| E1/2 | S2 | E1/1 | |
| S4 | E0/0 | S3 | E0/0 |
| E0/2 | S5 | E0/1 | |
| E0/3 | S6 | E0/1 | |
| E1/1 | S1 | E1/2 | |
| E1/2 | S2 | E1/2 | |
| S5 | E0/3 | PC | E0 |
| E0/0 | S3 | E0/2 | |
| E0/1 | S4 | E0/2 | |
| E0/2 | PC | E0 | |
| S6 | E0/0 | S3 | E0/3 |
| E0/1 | S4 | E0/3 | |
| E0/2 | PC | E0/2 | |
| R8 | G2/0 | S7 | E0/0 |
| E0/0 | S1 | E0/2 | |
| G0/0 | S2 | E0/3 | |
| G1/0 | R9 | G1/0 | |
| R9 | G0/0 | S1 | E0/3 |
| E0/0 | S2 | E0/2 | |
| G2/0 | S7 | E0/1 | |
| G1/0 | R8 | G1/0 | |
| S7 | E0/2 | PC | E0 |
| E0/0 | R8 | G2/0 | |
| E0/1 | R9 | E0/1 | |
| R12 | E0/0 | S1 | E1/0 |
| G0/0 | S2 | E1/0 | |
| G1/0 | R11 | G0/0 | |
| R11 | E0/0 | R10 | E0/0 |
| G0/0 | R12 | EG1/0 | |
| R10 | G0/0 | PC | E0 |
| E0/0 | R11 | E0/0 |
表4-3 網絡設備名稱表
| 拓撲中設備名稱 | 備注 |
|---|---|
| S1 | 省行核心區核心交換機1 |
| S2 | 省行核心區核心交換機2 |
| S3 | 省行業務區匯聚交換機1 |
| S4 | 省行業務區匯聚交換機2 |
| S5 | 省行業務區接入交換機1 |
| S6 | 省行業務區接入交換機2 |
| R8 | 省行互聯區互聯路由器1 |
| R9 | 省行互聯區互聯路由器2 |
| S7 | 渭南市支行業務網中匯聚交換機 |
| R12 | 省行外聯區出口網關設備 |
| R11 | 運營商網絡中接入路由器 |
| R10 | 第三方公司出口路由器 |
表4-4 IPv4地址分配表
| 設備 | 接口或VLAN | VLAN名稱 | 二層或三層規划 | 說明 |
|---|---|---|---|---|
| S1 | E1/0 | \ | 10.1.3.1/30 | 互聯地址 |
| E1/1 | \ | 10.1.1.1/30 | 互聯地址 | |
| E1/2 | \ | 10.1.1.5/30 | 互聯地址 | |
| E0/2 | \ | 10.1.2.1/30 | 互聯地址 | |
| E0/3 | \ | 10.1.2.5/30 | 互聯地址 | |
| E0/0 | \ | 10.1.254.253/30 | OSPF100進程 | |
| Loopback 0 | \ | 10.1.0.1/32 | —— | |
| S2 | E1/0 | \ | 10.1.3.5/30 | 互聯地址 |
| E1/1 | \ | 10.1.1.13/30 | 互聯地址 | |
| E1/2 | \ | 10.1.1.13/30 | 互聯地址 | |
| E0/3 | \ | 10.1.2.9/30 | 互聯地址 | |
| E0/2 | \ | 10.1.2.13/30 | 互聯地址 | |
| E0/0 | \ | 10.1.254.254/30 | OSPF100進程 | |
| Loopback 0 | \ | 10.1.0.2/32 | —— | |
| S3 | VLAN 10 | Production | 192.1.10.252/24 | 生產有線地址 |
| VLAN 50 | YEWU | 192.1.50.252/24 | 業務區AP地址 | |
| VLAN 60 | USER | 192.1.60.252/24 | 辦公用戶地址 | |
| VLAN 100 | Manage | 192.1.100.252/24 | 設備管理 | |
| E1/1 | \ | 10.1.1.2/30 | 互聯地址 | |
| E1/2 | \ | 10.1.1.10/30 | 互聯地址 | |
| Loopback 0 | 10.1.0.3/3 | —— | ||
| S4 | VLAN 10 | Production | 192.1.10.253/24 | 生產/有線用戶地址 |
| VLAN 50 | YEWU | 192.1.50.253/24 | 業務區AP管理地址 | |
| VLAN 60 | USER | 192.1.60.253/24 | 辦公/無線用戶地址 | |
| VLAN 100 | Manage | 192.1.100.253/24 | 設備管理地址 | |
| E1/1 | \ | 10.1.1.6/30 | 互聯地址 | |
| E1/2 | \ | 10.1.1.14/30 | 互聯地址 | |
| Loopback 0 | \ | 10.1.0.4/32 | —— | |
| S5/S6 | VLAN 10 | Production | E0/2-3 | 生產/有線用戶地址 |
| VLAN 60 | YEWU | E0/3 | 業務區地址 | |
| VLAN 100 | Manage | 192.1.100.1/24 | 設備管理地址 | |
| R8 | E0/0 | \ | 10.1.2.2/30 | 互聯地址 |
| G0/0 | \ | 10.1.2.10/30 | 互聯地址 | |
| G1/0 | \ | 10.1.2.253/30 | 互聯地址 | |
| G2/0 | \ | 10.1.2.21/30 | 互聯地址 | |
| Loopback 0 | \ | 10.1.0.8/32 | —— | |
| R9 | G0/0 | \ | 10.1.2.6/30 | 互聯地址 |
| E0/0 | \ | 10.1.2.14/30 | 互聯地址 | |
| G1/0 | \ | 10.1.2.254/30 | 互聯地址 | |
| G2/0 | \ | 10.1.2.25/30 | 互聯地址 | |
| Loopback 0 | \ | 10.1.0.9/32 | —— | |
| S7 | E0/0 | \ | 10.1.2.22/30 | 互聯地址 |
| E0/1 | \ | 10.1.2.26/30 | 互聯地址 | |
| VLAN 410 | Production | 194.1.10.254/24 G0/11-20 | 生產/有線用戶地址 | |
| VLAN 450 | YEWU | 194.1.50.254/24 | 業務區AP管理地址 | |
| VLAN 460 | USER | 194.1.60.254/24 | 辦公/無線用戶地址 | |
| Loopback 0 | \ | 10.1.0.7/32 | —— | |
| R12 | E0/0 | \ | 10.1.3.2/30 | 互聯地址 |
| G0/0 | \ | 10.1.3.6/30 | 互聯地址 | |
| G1/0 | \ | 200.1.1.2/29 | 互聯地址 | |
| Tunnel0 | \ | 20.1.1.2/24 | GRE接口地址 | |
| Loopback 0 | \ | 10.1.0.12/32 | —— | |
| R11 | E0/0 | 200.2.1.1/29 | 互聯地址 | |
| G1/0 | \ | 200.1.1.1/29 | 互聯地址 | |
| Loopback 0 | \ | 10.1.0.11/32 | —— | |
| R10 | E0/0 | \ | 200.2.1.2/29 | 互聯地址 |
| G0/0 | \ | 172.16.1.10/24 | 網關地址 | |
| Tunnel0 | \ | 20.1.1.1/24 | GRE接口地址 | |
| Loopback 0 | \ | 10.1.0.10/32 | —— |
第四章網絡系統實施與配置
4.1 設備基礎信息配置與驗證
(1)根據網絡設備名稱表(表4-3),修訂所有設備名稱。
(2)依據網絡設備物理連接表(表4-1),配置設備接口描述信息。
4.2 網絡搭建與網絡冗余備份方案部署
4.2.1 全網IPv4地址部署
為了減少全網中廣播干擾,需要在全網規划和部署VLAN,需要實施的內容如下所示。
根據“網絡設備名稱表(表4-3)”、“IPv4地址分配表(表4-4)”中規划要求,在各設備上完成對應的VLAN、IP地址的配置。
(1)為方便實現對全網開展網絡管理功能,網絡管理員計划增設網管平台,網管平台的IP規划為172.16.0.254/24。
(2)為了實現網管平台后期上線后可用,需要在每台設備上部署SNMP功能,配置所有網絡設備的SNMP消息報告機制。其中,向主機172.16.0.254發送Trap消息版本采用V2C;讀寫的Community為“admin”;只讀的Community為“public”;開啟Trap消息通告。
代碼實現:
S1:
!
snmp-server host 172.16.0.254 traps version 2c ruijie
snmp-server host 172.16.0.254 traps version 2c public
snmp-server enable traps
snmp-server community ruijie rw
snmp-server community public ro
!
4.2.2 在局域網中部署環路規避方案
為避免網絡接入設備上出現環路,影響全網運行狀態。要求在網絡接入交換機S5、S6上進行防環處理。具體要求如下所示。
在連接PC機端口上開啟Portfast和BPDUguard防護功能。
全網的VLAN規划和配置合理,並在Trunk鏈路上不允許不必要VLAN中的數據流通過。
為了隔離網絡終端之間的二層互訪,需要在交換機S5、S6的E0/3端口上,啟用端口保護功能。
代碼實現:
S5/S6:
!
int e0/2
spanning-tree bpduguard enable
spanning-tree portfast
switchport port-security
int e0/1
switch mode trunk
switch trunk allow vlan only vlan 10,50,60,100
!
4.2.3 部署DHCP中繼與服務安全
(1)在交換機S3、S4上配置DHCP服務功能,使得網絡中的終端用戶通過DHCP方式獲取IP地址。
(2)省行的DHCP服務器搭建於S3/S4交換機上,為網絡中的用戶提供地址服務;網絡中用戶設備的租約為0.5天。
代碼實現:
S3/S4:
!
service dhcp
ip dhcp pool user1/user2
network 192.1.10.0/192.1.60.0 255.255.255.0
default-router 192.1.10.252/192.1.60.253
lease 0 12 0
!
(3)為了防御局域網中出現偽造DHCP服務器安全事件,需要在S5交換機上部署DHCP 的“Snooping”功能。其中,Snooping安全功能主要針對VLAN10中用戶。
代碼實現:
S5/S6:
!
ip dhcp snooping
ip dhcp snooping information vlan 10
int e0/1
ip dhcp snooping trust
!
4.2.4 部署MSTP及VRRP技術
在交換機S3、S4、S5、S6上配置MSTP防止二層環路。
(1)配置MSTP要求來自VLAN10、VLAN100中的數據流經過S3交換機轉發,一旦S3交換機失效時,經過S4交換機轉發。要求來自VLAN50、VLAN60中的數據流經過S4交換機轉發,一旦S4交換機失效時,經過S3交換機轉發。
其中,所配置的MSTP參數要求:name為admin;revision版本為1;實例1包含VLAN10,VLAN100;實例2包含VLAN50,VLAN60。
(2)配置S3交換機作為實例1的主根、實例2的從根;配置S4交換機作為實例2的主根、實例1的從根;其中,主根交換機的優先級為4096;從根交換機的優先級為8192。
代碼實現:
S4:
!
spanning-tree mst configuration
revision 1
name admin
instance 1 vlan 10, 20
instance 2 vlan 50, 60, 100
spanning-tree mst 1 priority 8192
spanning-tree mst 2 priority 4096
spanning-tree mode mst
!
S3:
!
spanning-tree mst configuration
revision 1
name admin
instance 1 vlan 10, 20
instance 2 vlan 50, 60, 100
spanning-tree mst 1 priority 4096
spanning-tree mst 2 priority 8192
spanning-tree mode mst
!
S5/S6:
!
spanning-tree mst configuration
revision 1
name admin
instance 1 vlan 10, 20
instance 2 vlan 50, 60, 100
spanning-tree mode mst
!
(3)在交換機S3和S4上配置VRRP,實現網絡中的主機的網關冗余,所配置的參數要求如表4所示。其中,在交換機S3、S4上設置各VRRP組中的高優先級設置為150,低優先級設置為120。
表4 S3和S4的VRRP參數表
| VLAN | VRRP備份組號(VRID) | VRRP虛擬IP |
|---|---|---|
| VLAN10 | 10 | 192.1.10.254 |
| VLAN50 | 50 | 192.1.50.254 |
| VLAN60 | 60 | 192.1.60.254 |
| VLAN100 | 100 | 192.1.100.254 |
代碼實現:
S4:
!
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 priority 120
int vlan 50
vrrp 50 ip 192.1.50.254
vrrp 50 priority 150
int vlan 60
vrrp 60 ip 192.1.60.254
vrrp 60 priority 150
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 priority 120
exi
!
S3:
!
int vlan 10
vrrp 10 ip 192.1.10.254
vrrp 10 priority 150
int vlan 50
vrrp 50 ip 192.1.50.254
vrrp 50 priority 120
int vlan 60
vrrp 60 ip 192.1.60.254
vrrp 60 priority 120
int vlan 100
vrrp 100 ip 192.1.100.254
vrrp 100 priority 150
exi
!
4.2.5 部署全網路由協議
在省行的核心區、業務區、互聯區以及各支行/網點之間,使用OSPF協議組網 ,具體要求如下。
(1)在省行的核心區與業務區(S1、S2、S3、S4)中,部署OSPF 100;使用單區域(區域0)部署。
(2)在省行的互聯區和各支行/網點(S1、S2、R8、R9、S7)連接上,部署OSPF200;使用多區域規划。其中,省行互聯區(S1、S2、R8、R9)屬於AREA 0;渭南市支行(R8、R9、S7)屬於AREA 1。
(3) 在省行業務區,要求VLAN100設備管理地址段不參與OSPF鄰居建立。
(4)在省行的業務區,要在交換機S3、S4的始發終端網段以及VLAN100設備管理地址段,均以重發布直連的方式注入路由。
(5)在交換機S1和S2之間啟用OSPF與BFD聯動,以達到迅速檢測對端中斷,快速實現備份,提高用戶網絡體驗。
(6)優化OSPF相關配置,以盡量加快OSPF收斂。
(7)重發布路由進OSPF中使用類型1。
(8)使用靜態路由實現省行的外聯區之間(R12、S1、S2)通信.
(9)使用靜態路由第三方公司之間通信。
(10)使用ISIS路由協議Internet區域(R12、R11、R10)之間通信。
代碼實現:
S1:
!
router ospf 100
router-id 1.1.1.1
redistribute ospf 200 metric-type 1 subnets route-map 10
network 10.1.0.1 0.0.0.0 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.1.1.4 0.0.0.3 area 0
network 10.1.254.252 0.0.0.3 area 0
default-information originate always metric-type 1
bfd all-interfaces
!
router ospf 200
router-id 11.11.11.11
redistribute ospf 100 metric-type 1 subnets
network 10.1.2.0 0.0.0.3 area 0
network 10.1.2.4 0.0.0.3 area 0
!
!
interface Ethernet0/0
no switchport
ip address 10.1.254.253 255.255.255.252
ip ospf network point-to-point
ip ospf bfd
bfd interval 500 min_rx 500 multiplier 3
no bfd echo
!
S2:
!
router ospf 100
router-id 2.2.2.2
redistribute ospf 200 metric-type 1 subnets
network 10.1.0.2 0.0.0.0 area 0
network 10.1.1.8 0.0.0.3 area 0
network 10.1.1.12 0.0.0.3 area 0
network 10.1.254.252 0.0.0.3 area 0
bfd all-interfaces
!
router ospf 200
router-id 22.22.22.22
redistribute ospf 100 metric-type 1 subnets route-map 10
network 10.1.2.8 0.0.0.3 area 0
network 10.1.2.12 0.0.0.3 area 0
default-information originate always metric-type 1
!
!
interface Ethernet0/0
no switchport
ip address 10.1.254.254 255.255.255.252
ip ospf network point-to-point
ip ospf bfd
bfd interval 500 min_rx 500 multiplier 3
no bfd echo
!
S3:
!
router ospf 100
router-id 3.3.3.3
redistribute connected metric-type 1 subnets
passive-interface Vlan10
passive-interface Vlan50
passive-interface Vlan60
passive-interface Vlan100
network 10.1.0.3 0.0.0.0 area 0
network 10.1.1.0 0.0.0.3 area 0
network 10.1.1.8 0.0.0.3 area 0
!
S4:
!
router ospf 100
router-id 4.4.4.4
redistribute connected metric-type 1 subnets route-map 10
network 10.1.0.4 0.0.0.0 area 0
network 10.1.1.4 0.0.0.3 area 0
network 10.1.1.12 0.0.0.3 area 0
!
R8:
!
router ospf 200
router-id 88.88.88.88
network 10.1.0.8 0.0.0.0 area 0
network 10.1.2.0 0.0.0.3 area 0
network 10.1.2.8 0.0.0.3 area 0
network 10.1.2.20 0.0.0.3 area 1
network 10.1.2.252 0.0.0.3 area 0
!
R9:
!
router ospf 200
router-id 99.99.99.99
network 10.1.0.9 0.0.0.0 area 0
network 10.1.2.4 0.0.0.3 area 0
network 10.1.2.12 0.0.0.3 area 0
network 10.1.2.24 0.0.0.3 area 1
network 10.1.2.252 0.0.0.3 area 0
!
S7:
!
router ospf 200
router-id 77.77.77.77
network 10.1.0.7 0.0.0.0 area 1
network 10.1.2.20 0.0.0.3 area 1
network 10.1.2.24 0.0.0.3 area 1
network 194.1.10.0 0.0.0.255 area 1
network 194.1.50.0 0.0.0.255 area 1
network 194.1.60.0 0.0.0.255 area 1
!
AR12:
!
router isis 1
net 49.0001.0000.0000.0012.00
metric-style wide
!
!
interface GigabitEthernet1/0
ip address 200.1.1.2 255.255.255.248
ip nat outside
ip router isis 1
negotiation auto
crypto map to_r1
!
AR11:
!
router isis 1
net 49.0001.0000.0000.0011.00
metric-style wide
log-adjacency-changes all
!
!
interface Ethernet0/0
ip address 200.2.1.1 255.255.255.248
ip router isis 1
duplex auto
!
interface GigabitEthernet0/0
ip address 200.1.1.1 255.255.255.248
ip router isis 1
media-type gbic
speed 1000
duplex full
negotiation auto
!
AR10:
!
router isis 1
net 49.0001.0000.0000.0010.00
metric-style wide
log-adjacency-changes all
!
!
interface Ethernet0/0
ip address 200.2.1.2 255.255.255.248
ip router isis 1
duplex auto
crypto map to_r3
!
4.2.6 部署部分區域路由選路
考慮到全網中數據分流需求以及實現網絡的負載均衡的目的,需要進行路由策略部署,具體要求如下所示。
(1)渭南市支行的原生產網段(VLAN 410)、辦公網段(VLAN 460)需要與省行的業務區、生產辦公區的業務互聯互通,需要在交換機S7本地以Network發布明細路由。因業務連通的需要,所有增加的網絡終端數據之間的通信,一並划入辦公網段進行轉發。
(2)在S3、S4交換機中引入路由時,需要進行路由標記。其中,生產網段(VLAN 10)標記為10;辦公網段(VLAN 60)標記為20。因業務連通需要,所有增加的網絡終端數據之間的通信,一並划入辦公網段進行路由標記,路由圖定義為SET_TAG。
(3)在S1、S2交換機上,要求通過OSPF雙進程實施重發布。其中,在OSPF 100進程發布至OSPF 200進程時,關聯路由圖定義為OSPF100_TO_OSPF200;在OSPF200進程發布至OSPF100進程時,關聯路由圖定義為OSPF200_TO_OSPF100。
(4)各路由圖以及連接的各接口中,凡是涉及COST值的調整,要求其值必須調整為5或10。
(6)通過部署策略,使得生產網段的業務(VLAN 410-VLAN 10)的主路徑為S7-R1-S1-S3-VSU;辦公網段的業務(VLAN 460-VLAN 60)的主路徑為S7-R2-S2-S4-VSU;並且要求來回路徑一致。
(7)在交換機S1連接S2、路由器R8連接R9的主鏈路或主設備發生故障時,可以無縫地切換到備用鏈路或備用設備上。
(8)配置省區業務區中的辦公數據(VLAN 60)訪問Internet的路徑為S4-S2-EG1;配置各支行/網點中的辦公數據(VLAN 460)訪問Internet的路徑為:S7-R2-S2-EG1
代碼實現:
S3:
!
route-map SET_TAG permit 10
match interface vlan 10
set tag 10
exit
route-map SET_TAG permit 20
match interface vlan 20
set tag 20
exit
route-map SET_TAG permit 30
match interface loop 0
set tag 30
exit
redistribute connected subnets metric-type 1 route -map SET_TAG
!
S1:
!
route-map OSPF200_TO_OSPF100 permit 10
match tag 10
set metric 10
exit
route-map OSPF200_TO_OSPF100 permit 20
match tag 20
exit
route-map OSPF200_TO_OSPF100 permit 30
match tag 30
exit
route-map OSPF100_TO_OSPF200 permit 10
match tag 100
set metric 10
route-map OSPF100_TO_OSPF200 permit 20
match tag 200
route-map OSPF100_TO_OSPF200 permit 30
match tag 300
rou ospf 20
redistribute ospf 21 metric-type 1 subnets route-map OSPF100_TO_OSPF200
rou ospf 21
redistribute ospf 20 metric-type 1 subnets route-map OSPF200_TO_OSPF100
!
S2:
!
route-map OSPF100_TO_OSPF200 permit 10
match tag 100
route-map OSPF100_TO_OSPF200 permit 20
match tag 200
set metric 10
route-map OSPF100_TO_OSPF200 permit 30
match tag 300
route-map OSPF200_TO_OSPF100 permit 10
match tag 10
route-map OSPF200_TO_OSPF100 permit 20
match tag 20
set metric 10
route-map OSPF200_TO_OSPF100 permit 30
match tag 30
rou ospf 20
redistribute ospf 21 metric-type 1 subnets route-map OSPF100_TO_OSPF200
rou ospf 21
redistribute ospf 20 metric-type 1 subnets route-map OSPF200_TO_OSPF100
!
4.3 實施出口安全防護與遠程接入
4.3.1 出口設備上部署NAT
出口設備上部署NAT ,具體配置參數如下。
(1)省行外聯區出口網關R12上進行NAT配置,實現省行業務區辦公網絡(VLAN 60、VLAN 460),通過NAPT方式將內網IP地址轉換到互聯網接口上。
NAT地址池與EG2的Gi0/4接口IP相同。
代碼實現:
R12
!
ip nat inside source list 60 interface GigabitEthernet1/0 overload
ip nat inside source list 460 interface GigabitEthernet1/0 overload
ip forward-protocol nd
!
access-list 460 permit 194.1.60.0 0.0.0.255
access-list 60 permit 192.1.60.0 0.0.0.255
!
!
interface Ethernet0/0
ip address 10.1.3.2 255.255.255.252
ip nat inside
duplex auto
!
interface GigabitEthernet0/0
ip address 10.1.3.6 255.255.255.252
ip nat inside
media-type gbic
speed 1000
duplex full
negotiation auto
!
interface GigabitEthernet1/0
ip address 200.1.1.2 255.255.255.248
ip nat outside
ip router isis 1
negotiation auto
crypto map to_r1
!
4.3.2 在出口設備上部署VPN安全
現今各種寬帶上網方式迅速發展,基於Internet構建集團的VPN網絡無疑是一種高性價比的方案。SSL VPN與IPSeeVPN是目前流行的兩類Internet 遠程安全接入技術JPSec VPN和SSL VPN各有優缺點。IPSec VPN提供完整的網絡層連接功能,因而是實現多專用網安全連接的最佳選項而SSL VPN的“零客戶端”架構特別適合於遠程用戶連接,用戶可通過任何Web瀏覽器訪問企業網Web應用。企業多分支VPN網絡適宜采用IPSec VPN技術連鎖企業建立IPSec VPN網絡,可以在廣域網環境下傳遞各種數據建立和局域網環境下相同的多種應用包括分布式會員系統、分部式ERP、分布式CRM分布式財務管理等[7]
為了實現某銀行與第三方公司之間互訪數據的安全性,針對來往數據使用VPN技術進行安全保障,具體規划如下所示。
(1)在網絡安全出口設備AR10與AR12之間,啟用GRE Over IPSec VPN嵌套功能。
(2) 配置IPSec使用靜態點對點模式;esp傳輸模式封裝協議;isakmp策略定義加密算法采用3des;散列算法采用md5;預共享密碼為ruijie;DH使用組2。轉換集myset定義加密驗證方式為esp-3des esp-md5-hmac,感興趣流ACL編號為103,加密圖定義為mymap。
代碼實現:
R10:
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key abc123 address 200.1.1.2
!
!
crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac
mode transport
!
!
crypto map to_r3 1 ipsec-isakmp
set peer 200.1.1.2
set transform-set 3des_sha
match address 101
!
interface Tunnel0
ip address 20.1.1.1 255.255.255.s0
tunnel source 200.2.1.2
tunnel destination 200.1.1.2
!
interface Ethernet0/0
ip address 200.2.1.2 255.255.255.248
ip router isis 1
duplex auto
crypto map to_r3
!
!
router rip
version 2
network 20.0.0.0
network 172.16.0.0
no auto-summary
!
!
access-list 101 permit gre host 200.2.1.2 host 200.1.1.2
!
R12:
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key abc123 address 200.2.1.2
!
!
crypto ipsec transform-set 3des_sha esp-3des esp-sha-hmac
mode transport
!
!
crypto map to_r1 1 ipsec-isakmp
set peer 200.2.1.2
set transform-set 3des_sha
match address 101
!
!
interface Tunnel0
ip address 20.1.1.2 255.255.255.0
tunnel source 200.1.1.2
tunnel destination 200.2.1.2
!
!
interface GigabitEthernet1/0
ip address 200.1.1.2 255.255.255.248
ip nat outside
ip router isis 1
negotiation auto
crypto map to_r1
!
router rip
version 2
redistribute static
network 20.0.0.0
no auto-summary
!
access-list 101 permit gre host 200.1.1.2 host 200.2.1.2
!
第五章 網絡系統測試
5.1 二層接入層測試
接入層測試主要是測試數據網底層網絡的優化配置查看state狀態是否為主備狀態,具體測試結果如下。
圖6-1 接入交換機S3網絡優化vrrp測試
接入交換機網絡優化防環測試mstp測試如圖6-2所示
5.2 三層路由功能測試
網絡連通性測試主要是測試數據網底層網絡的連通性查看路由表是否學習到路由條目,具體測試結果如下。
接入路由器R1網絡連通性測試如圖6-3所示
接入路由器R2網絡連通性測試如圖6-4所示
接入路由器R3網絡連通性測試如圖6-5所示
5.3 測試出口網絡連通性
出口路由器R12nat地址轉換過程測試如圖6-6所示
測試pc端到出口路由器的網絡連通性測試如圖6-7所示
結語
論文的結束意味着我在XX老師教導下的學習和生活即將結束!回首往事,我有很多感慨,但無論如何,這些真實的經歷是我生命中寶貴的回憶。在此,我要謝謝您無窮無盡的支持和幫助。
畢業設計給了我一個從不知道到不理解,從理解到創新的過程,這是一個非常有價值的過程經驗。這個畢業設計的好處不僅僅是對這個課題的初步研究,同時也為以后的工作打下了堅實的基礎,因為這個畢業設計,我對以后的工作也充滿了信心。
整個畢業過程由何老師負責管理,XX老師做事認真負責,作風嚴謹務實,從科學態度、待人處事等方面給了我很大的啟發和有益的影響。這使我始終保持着接近畢業設計的態度成功,非常謝謝您。
再次感謝所有幫過我指導過我的老師和所有同學在這四年來給自己的指導和幫助,是他們教會了我知識。
參考文獻
[1] 魏玉萍,信息與電腦(理論版). 企業內部局域網建設與應用. 2013
[2]秦璐璐. 基於Cortex-M3內核的嵌入式網絡終端的研究與設計[D]. 北京工業大學, 2009.
[3] 宋罹黎. 基於B/S與C/S混合模式的產品信息管理系統的設計與實現[D]. 北京工業大學, 2008.
[4] 宋罹黎. 基於B/S與C/S混合模式的產品信息管理系統的設計與實現[D]. 北京工業大學, 2008.
[5]商英俊. 流星余跡信道特征與組網技術仿真研究[D]. 西安電子科技大學.
[6]曹正如. 如何在體育有效教學中加強安全意識[J]. 考試周刊, 2009(47):166-167.
[7]陳偉基."企業多分支VPN網絡組建方案研究."廣東科技 .(2013):42-43.Print.
致謝
在本次論文的撰寫過程中,我得到了許多人的幫助,他們都能很好地解決此次設計當中遇到問題時由於個人知識及能力所帶來得困難。在此我要感謝XX老師對本專業研究方面給我們提供資料和支持。此外也要謝謝從開始選擇課題到最后完成本次畢業實驗所用使用哪種語言、如何去做一件事等一系列事情中給予我指導與幫助,這讓我更加明確自己的方向並在實際動手操作過程中有了很大提高;最后我要衷心地祝願各位領導及伙伴們身體健康萬事如意;事業發展有宇;樂善好施!
PPT
