基于VLAN技术的银行网络设计与组建.docx
《基于VLAN技术的银行网络设计与组建.docx》由会员分享,可在线阅读,更多相关《基于VLAN技术的银行网络设计与组建.docx(19页珍藏版)》请在冰豆网上搜索。
基于VLAN技术的银行网络设计与组建
封面
摘要
本文以工商银行网络建设为背景,根据这个行业的特定要求做的一个企业网络解决方案。
首先通过和银行的接触,了解该银行网络建设的具体需求;然后再需求的基础上,对局域网网络的结构进行分析和设计;最后利用VLAN和防火墙来保证企业局域网网络的安全。
关键词:
局域网;网络拓扑结构;VLAN;防火墙
目录
摘要V
1引言1
2工商银行局域网建设的需求1
2.1局域网建设的网络需求1
2.2局域网建设的系统需求3
3工商银行局域网建设的分析与设计3
3.1网络拓扑原理3
3.2局域网网建设分析4
3.3局域网网建设设计5
3.4网线连接设计9
4工商银行局域网建设的安全策略10
4.1VLAN设置10
4.2防火墙的设置13
4.3VPN设置14
5总结和展望16
参考文献17
1引言
近几年来,随着我国金融体制改革的进一步深化和市场经济的不断发展,金融业的竞争越来越激烈,为社会和客户提供全方位的服务成为提高银行服务水平和加强银行自身竞争力的关键。
为了适应银行业日益激烈的竞争,为了给客户提供更加快速、便捷、安全的服务,在工商银行总行的统一领导下,工商银行各省级分行在完成省域数据集中的基础上开始进行全国数据大集中工程。
而构建工商银行一级分行稳定、安全、高效、开放的数据交换网络平台,并在此平台上运行统一的业务系统,这是实现全国数据大集中工作的前提和基础。
同时,随着工商银行管理规范化、信息化的不断发展,也对工商银行一级分行骨干网络的建设提出了更高的要求[1]。
。
本文主要是针对于数据包进行过滤的,端口设置,划分VLAN等多种形式来设计网络的安全,即所有进出的数据包进行检查是通过数据包过滤技术来控制,这种控制可以阻止那些不符合既定规则数据包的传输。
基于数据包捕获的个人防火墙,对计算机的网络安全起到很好地保护作用这样就能大量降低计算机被入侵的几率,因此,防火墙的数据包捕获具有很强的现实意义。
同时采取星型和总线型的混合型网络拓扑结构也为企业带来了极大的方便。
企业的企业网建设在企业本身信息传递的及时性,传递信息时的数据安全性都有巨大的实际意义,对于本人的网络建设知识也是一个很好的积累。
2工商银行局域网建设的需求
2.1局域网建设的网络需求
本人所在工商银行的网络建于2005年,当时建设的目标是为了满足省域数据集中和ABIS(综合业务系统)在全省推广的要求,设备投入主要集中在省市县骨干网络的建设上,基本没有考虑生产、办公和开发等各逻辑功能区分区运行的需求。
随着工商银行业务的不断发展,原先的网络在控制、管理和安全性等方面暴露出越来越多的问题,同时,随着远程教育、视频会议等对时延、带宽等要求较高的应用在工商银行推广,原有的网络也很难满足这些应用的要求。
为了满足工商银行全国数据大集中的要求,为了满足工商银行管理信息化发展的要求,也为了进一步提高省域骨干网络的安全性、可靠性和可管理性,确立了中国工商银行江西省分行骨干网改造项目。
系统主干采用万兆以太网10000M交换,下属子网采用千兆以太网,网络协议采用TCP/IP协议,在设计整个企业网络时,考虑视频、数据、语音等综合应用。
交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,子房机交换机采用双导交换机,核心交换机和子房机交换机都支持VLAN功能。
都能较好的解决突发数据量增加和密集服务请求的实时响应等问题。
本系统处理的信息包括数据、语音和图像等,因此要考虑实时性问题,特别要考虑包括实时监控在内的视频信息传送等方面的实时性要求。
管理楼的主机房中的UPS电源的配备,能保证主机房及财务部门因临时断电而造成不必要的麻烦,同时也保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;通过联想的智能防火墙对网络带宽进行统一分配,分配原则根据VLAN的划分,以充分利用网络带宽,提高了网络的运行效率。
数据集中存放、管理、有效共享、统一安全备份,可以在远程控制的形式对主机进行维护。
图2-1为银行局域网主干拓扑图。
主要是通过一级网络和二级网络进行有效的互连,在安全方面也体现出了分级结构,而每一级都通过路由进行中转。
图2-1企业网主干拓扑图
2.2局域网建设的系统需求
(1)广泛的设备支持:
在网络建设中所选择的操作系统及选择的服务应尽量广泛的支持各种硬件设备,在这里选择的是微软公司的WINDOWS2003SERVER版,数据库采用SQL2005;
(2)稳定性及可靠性:
系统的运行应具有高稳定性,保障7*24的高性能无故障运行。
(3)配置简单方便:
所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;采用微软公司的XP系统以及WIN7系统,不仅保证了客户端的方便性,也保证了平时服务的方便性;
(4)安全性:
在系统的设计、实现及应用上应采用多种安全手段保障网络安全;一方面采用防火墙的形式,另一方面对整个企业网进行VLAN划分,按部门把企业的IP分为不同的IP分段。
网络还应具有开放性、可扩展性及兼容性,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和集团的结构变更。
(5)可管理性:
系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本:
系统设计应尽量降低整个系统的成本。
3工商银行局域网建设的分析与设计
3.1网络拓扑原理
在此次大型企业网的设计中,设计网络拓扑结构的方法采用的是层次化“模型”。
如图3-1层次模型网络拓扑原理。
图3-1层次模型网络拓扑原理
3.2局域网网建设分析
网络拓扑结构采用的“层次化”模型,小的网络拓扑结构采用星型结构。
对于每个层次都设计了特定的功能。
比如我们把办公楼分为一层网络系统,四大生产车间分为一层系统,仓储体系分成一层系统。
层次结构与星型结构组合设计不仅能够应用于企业的局域。
对于这个拓扑结构的设计是为了方便管理和规划,对于每个层级的设计都会有一个管理员进行分管,管理员的职能就是对不同的层级进行分管,这样就大大的提高了网络系统的可维护性。
层次化模型的好处:
(1)节省网络建设成本
在网络维护和建设的过程中,可分层次的进行建设和维护。
(2)对网络功能易于扩展
在网络设计中,模块化具有的特性使得在扩大网络的使用范围和功能增加时,也限制在子网中,而不会蔓延到网络的其他层的子网中。
(3)对网络易于排错
层次化设计要以把企业网分成若干个子网,这样的设计对于网络管理来说排错的过程中就简化了程序。
层次设计网络拓扑图如图3-2所示。
图3-2层次设计网络拓扑图
3.3局域网网建设设计
(1)骨干核心层网络设计
本论文中所涉及到的企业的网络骨干网就要是因为各车间和部门之间的距离比较远,在设计的过程中还要保证调整数据路由转发,以及维护全网路由的计算。
还包括企业的使用人员数量比较多。
企业的业务应用模块比较复杂,对于骨干网的设计所使用的硬件也就要求的非常高,在整个网络建设中我们采用了性能相对高的神州数码品牌。
我们采用的这款DCRS-7500的神码产品主要功能是管理模块、交换模块以及电源模块都可以相互交换使用。
这样就大大的提高了设备的使用率,让设备能更好的为网络服务,为客户服务,这个设备的电源模块、风扇、管理模块等都可以冗余备份,在安全方面也就提高了保障,出问题之后也就可以通过还原的形式进行操作,对于设备的温度也是一个比较重要的问题,而我们选用的这款设备的法度传感器可以随时监控各个部件的工作温度,得出结果。
从插槽方面也大大提高了商品密度和插槽利用率。
为了确保在巨大的网络通信负载下始终能够轻松实现第二层和第三层交换,采用3台神州数码DCRS-7508核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。
如图3-5所示。
图3-3骨干核心层设计网络拓扑原理图
(2)核心层网络设计
为了保障企业网络的稳定运行,企业的网络核心层主要是数据交换和与骨干心层网络之间的路由转发。
从办公楼主机房开始向仓储机房、空分机房、净化机房设了核心层网络光纤,采用了DCRS-7508核心路由交换机做为主机房的中转设备。
业网中各分机房也同样使用了相同的设备,这样就会有机的进行整个网络的互通。
体设计实施如下:
1.主机房网络规划
主机房中共设计了四台机柜,设置如下:
机柜1存放ERP服务器和ROS服务器:
ERP服务器的IP地址设置为192.168.4.201,功能主要是存放用友软件系统及企业运营过程中的数据;ROS服务器IP地址设置为192.168.0.1,外网IP地址根据服务商提供的IP为221.194.149.55,这样就可以让企业中所有计算机可以连接到国际互联网。
同时把这两个服务器的内部网线连接到硬件防火墙上的VLAN1端口上。
这样的设置有效的保证了网络的安全。
机柜2存放邮件服务器和WEB服务器:
邮件服务器的IP地址设置为192.168.4.200,并把这台服务器设置成了上网代理。
其他所有计算机都可以通
过这台服务器来进行上网。
并把这个服务器的网络与防火墙的VLAN2端口进行连接。
机柜3存放监控服务器,IP地址设置为192.168.4.210,并和监控系统主机进行连接,管控企业所有的监牢摄像头。
与防火墙的VLAN3端口进行连接。
机柜4存放信息发面服务器,IP地址设置为192.168.4.220,并把防火墙的VLAN4端口进行连接。
2.主机房网线铺设
主机房采用防火、防静电地板,地板下面设置了专用网线桥架,所有的网络连接线都是通过桥架通向各子机房,桥架采用密封设计。
并进行了防水、防火等材料进行对网络桥架进行保护。
3.主机房防火、防雷设计
设计了符合国家标准的机房防雷电连接线,首先在主机房所在楼房的一楼地下设计了电流导线,电流导线分为两部分,一部分与原有楼房的电流导线进行连接,另一部分将导体连接地下二米处,使雷电直接传导到地下,进而能保护机房网络的安全。
(3)汇聚层网络设计
为了完成企业网中各车间和部门子网的连接入,设计了多业务提供能力,为企业用户提供了高性价比的组网方式。
首先在主机房中设计了DMZ服务器,通过路由及防火墙与INTERNET进行连接;通过路由与种车间和部门的子机房进行连接,直到管理桌面。
如图3-4汇聚层网络设计拓扑原理图。
图3-4汇聚层网络设计拓扑原理图
(4)接入层网络设计
在企业网的设计中还考虑了安全控制和QOS提供能力,并对其进行了完整的规划与设计,这样的设计给汇聚层和骨干层设备带来了巨大的压力。
针对这个问题,采用硬件屏蔽的形式,采用DCRS-2026B智能宽带接入交换机是能满足高安全。
这样具备传统二层交换机大容量、高性能等优点。
主要设置内容如下:
1.端口带宽限制设置
第一步:
进入全配置模式。
Switch#configterminal
第二步:
指定欲配置的接口。
Switch(config)#interfaceinterface-id
第三步:
配置端口带宽控制。
通常情况下,应当进行双向限制。
第四步:
返回特权配置模式。
Switch(config-if)#end
第五步:
显示并校验该接口当前的配置。
Switch#showinterfaceinterface-id
第六步:
保存带宽限制配置。
Switch#copyrunning-configstartup-config
2.端口镜像设置
端口镜像设置分类如表3.1端口镜像分类:
表3.1端口镜像分类
设备
IP
Mask
端口
办公室机房PC1
192.168.1.101
255.255.255.0
交换机e0/0/1
空分机房PC2
192.168.1.102
255.255.255.0
交换机e0/0/2
净化机房PC3
192.168.1.103
255.255.255.0
交换机e0/0/3
仓储机房PC4
192.168.1.104
255.255.255.0
交换机e0/0/4
3.4网线连接设计
1.材料选择
(1)相应长度的双绞线。
我使用最多的是5类和超5类(传输速率100Mbps)非屏蔽双绞线(UnshieldedTwistedPair,UTP-5),布此类线时应注意使网线尽量避开电磁干扰,并且规定双绞线的最大长度不超过100m。
(2)RJ-45接头:
俗称水晶头,顶端有8个金属刀口。
双绞线两端必须先压制RJ-45接头,然后才能与集线器或者计算机网卡上的RJ-45接口相连。
有时,当网线长度不够时,还可以利用RJ-45延长插座来串接另一条网线。
2.工具
(1)RJ-45压线/切线/剥线钳:
具有压线、切线与剥线的多功能专用钳。
(2)网线测试仪(LinkTester):
用来测试接好的网线的同断。
3.接口标准
为了方便网络连接,对于双绞线的制作,国际上规定了EIA/TIA568A和568B两种接口标准,这两个标准是当前公认的双绞线的制作标准。
事实上,568A标准就是将568B标准的1号线和3号线对调,2号线和6号线对调。
我们日常用到的跳线有两种类型:
平行线(又称直通线)和交叉线(又称级连线)。
它们的制作方法如下:
(1)平行线:
将双绞线的两端都按照568B标准(或都按照568A标准)整理线序,压入RJ-45水晶头内。
(2)交叉线:
双绞线一端接头制作时采用568B标准,另一端则采用568A标准。
事实上,平行线也可以不按照上述标准制作,只要两端芯线顺序一致即可,但这样制作出来的平行线不符合国际压线标准,使用时会影响网络速度,所以要按照国际标准压线。
4.制作步骤
(1)用RJ-45压线钳的切线槽口剪裁适当长度的双绞线。
(2)用RJ-45压线钳的剥线口将双绞线一端的外层保护壳剥下约1.5cm,按照相应的接口标准(568A或568B),使8根芯线平行排列,整理完毕用斜口钳将芯线顶端剪齐。
(3)将水晶头有弹片的一侧向下放置,然后将排好线序的双绞线水平插入水晶头的线槽中,注意导线顶端应插到底,一免压线时水晶头上的金属刀口与导线接触不良。
(4)确认导线的线序正确且到位后,将水晶头放入压线钳的RJ-45夹槽中,再用力压紧,使水晶头加紧在双绞线上。
至此,网线一端的水晶头就压制好了。
(5)同理,制作双绞线的另一头接头。
此处注意,如果制作的是交叉线,两端接头的线序应不同。
(6)使用网线测试仪来测试制作的网线是否连通。
防止存在断路导致无法通信,或短路损坏网卡或集线器。
4工商银行局域网建设的安全策略
4.1VLAN设置
我们把企业局域网利用设备从逻辑上划分成12个网段,从而实现虚拟工作组的数据交换技术。
VLAN要为了解决交换机在进行局域网互连时无法限制广播的问题。
这种技术可以把一个LAN划分成多个逻辑的VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内,这样就大大的增加了局域网内部的此信息安全性。
将各部门划属不同的VLAN,它们之间是不能通信的,这样能有效避免部门间的越权访问,特别是象资产管理部这样的数据比较敏感的部门,对于那些与他不属于一个VLAN的电脑是无法访问它的。
同时,这样还防止广播风暴的发生,避免过多广播包占据带宽造成网络拥塞。
另外,VLAN为网络管理带来了很大的方便,将每个部门划分为一个VLAN,每个VLAN内的客户终端需求是基本相似的,对于故障排查或者软件升级等都比较方便,大大提高了网络管理人员的工作效率。
各个VLAN之间数据的传输,必须经过trunk链路。
Trunk是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器。
基于端口汇聚的功能,允许交换机与交换机、交换机与路由器、交换机与主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量,大幅度提高整个网络的能力。
Trunk端口一般为交换机和交换机之间的级联端口,用于传递所有VLAN信息。
图4-1VLAN划分结构图
配置三层交换机创建VLAN。
主要涉及到以下几个方面。
1、设置VTPDOMAINVTPDOMAIN
COM#vlandatabase进入VLAN配置模式
COM(vlan)#vtpdomainCOM设置VTP管理域名称COM
COM(vlan)#vtpserver设置交换机为服务器模式
PAR1#vlandatabase进入VLAN配置模式
PAR1(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR1(vlan)#vtpClient设置交换机为客户端模式
PAR2#vlandatabase进入VLAN配置模式
PAR2(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR2(vlan)#vtpClient设置交换机为客户端模式
PAR3#vlandatabase进入VLAN配置模式
PAR3(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR3(vlan)#vtpClient设置交换机为客户端模式
2、配置中继
COM(config)#interfacegigabitEthernet2/1COM(config-if)#switchport
COM(config-if)#switchporttrunkencapsulationislCOM(config-if)#switchportmodetrunk
COM(config)#interfacegigabitEthernet2/2COM(config-if)#switchport
COM(config-if)#switchporttrunkencapsulationislCOM(config-if)#switchportmodetrunk
COM(config)#interfacegigabitEthernet2/3COM(config-if)#switchport
COM(config-if)#switchporttrunkencapsulationislCOM(config-if)#switchportmodetrunk
3、创建VLAN
COM(vlan)#Vlan10nameCOUNTER创建了一个编号为10名字为COUNTER的VLAN
COM(vlan)#Vlan11nameMARKET创建了一个编号为11名字为MARKET的VLAN
COM(vlan)#Vlan12nameMANAGING创建了一个编号为12名字为MANAGING的VLAN
4.2防火墙的设置
企业网对外网的安全设置是一个非常重要的问题,这方面的安全我们使用防火墙来进行屏蔽外网的攻击,对过对防火墙的安全设备来实现着管理者的安全策略,有效地维护这企业保护网络的安全。
本次企业网建设我们采用CiscoPIX防火墙。
如图4-2防火墙示意图
图4-2防火墙示意图
当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
1.内部区域(内网)设置网络计算机计算机网络
安等级进行划分,主要分为销售部门区域、供应部门区域、财务部门区域、综合办公部门区域、生产部门区域、机动部门区域等。
这样就有效的实现网络数据的安全。
2.外部区域(外网)设置
设置了只有部分用户可以访问外网内容的权限,这样就大大的降低了外网以企业数据的安全性,主要设置方法因涉及到企业的安全性,这里略。
3.深度数据包处理。
针对于这方面的处理就是在寻找攻击异常行为的同时,对数据流的状态进行有效记录。
这些数据包都编辑上独立的编号,要求以极高的速度分析、检测,以避免应用时带来时延。
4.IP/URL过滤。
URL过滤是一项重要的操作,通过这方面的设置可以阻止通常的脚本类型的攻击,一旦应用流量是明文格式,就必须检测HTTP请求的URL部分,这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。
5.TCP/IP终止。
应用层攻击涉及多种数据包,并且常常涉及不同的数据流。
流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。
6.访问网络进程跟踪。
这是防火墙技术的最基本部分,判断进程访问网络的合法性,进行有效拦截。
这项功能通常借助于TDI层的网络数据拦截,得到操作网络数据报的进程的详细信息加以实现。
4.3VPN设置
公司员工可能需要经常出差或者在外办公,需要通过公网访问公司网络,这时数据在公网上传播就很不安全,所以我们需要一条专门的通道来安全传输信息,这就是VPN(虚拟专用网)。
作为一个公网上的一个临时连接,VPN的作用是巨大的。
他是一条在公共网络中最安全稳定的隧道。
虚拟专用网对企业局域网的扩张带来了非常大的影响,这样的设计就可以在异地也可以向在同一个局域网中访问得到一样的效果。
一个企业的虚拟专用网解决方案减少了上网的费用。
VPN业务都是基于隧道技术实现的。
VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
如图4-3VPN原理示意图:
图4-3VPN原理示意图
#三楼交换机IP地址
ping192.168.1.251
telnet192.168.1.251
px99
fujinxin
en
kangnaier
zonghelou_3600_52C#
#查询mac地址vlan、接口对应表
showmac-address-table|include“mac地址”
configterminal
vlan3
switchportinterfaceethernet0/0/3
quit
Write
#推出交换机系统
Quit
在本方案中,我们采用ip-VPN技术。
Ip-VPN是指在运行ip协议的网络上实现VPN。
该VPN技术的实现是通过隧道(tunnel)进行连接。
借助隧道VPN使我们能够完全控制数据流,隧道提供了一层名副其实的安全保障。
目前各种VPN安全协议中,IPsec的保密性是最好的。
IPsec使用了IPsec隧道模式,在这种隧道模式中,用户的数据包加密后,封装进新的ip。
这样在新的数据包中,分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。
我们选用的ASA5500系列防火墙具有VPN功能,所以不需要额外购买VPN设备。
利用CiscoASA5500系列,不需要增加成本,也不需要提高设计、部署或运作的复杂性,就能够将访问控制、应用检测和威胁防御作为VPN解决方案的一部分。
管理员只需制定一个网络策略,就可以既提高安全性,又保持网络环境的可访问性。