实训工程项目实施指南.doc

网络工程实训综合项目指南n 前 言本综合项目实施指南包含如下几个主题：1、 模拟工程业务需求描述2、 模拟工程总体网络设计方案2.1、总体拓扑分析2.2、工程技术选型2.3、工程设备选型3、 模拟工程实施方案3.1、网络设备命名规范3.2、IP地址分配规范3.3、局域网络工程实施规范3.3.1、总部局域网络工程实施规范3.3.2、分部1局域网工程实施规范3.3.3、分部2局域网工程实施规范3.4、WAN工程实施规范3.4.1、物理连线与接口规范3.4.2、广域网链路协议和IP路由规范3.5、网络边界工程实施规范3.5.1、NAT工程实施规范3.5.2、ACL工程实施规范3.6、测试与验收4、工程进度与人员安排5、附件n 业务需求分析新的金融环境，新的金融业务需求，面对WTO的挑战，面对来自海外商业银行全方位的竞争，中国银行业正在积极应对：提供更具吸引力的金融产品，提高运作效率，科学减少风险，提高客户满意度，降低生产成本，同时更需要充分发挥本地优势和规模覆盖优势。所有新形势下的运作需求对金融数据网提出了更高的要求，金融数据集中、业务需整合、网络要合一等等；而作为直接与客户交互的网点级营业机构，虽然处在金融数据网络的边缘，其业务支持、可靠保障等等方面的要求却并不断递增，再加上其数量众多，地域分布广，是银行进入市场最前沿的竞争阵地。我国各大商业银行当前的网点在服务功能、业务种类、业绩、竞争能力等方面需要全面提升，网点质量的提升是银行整体提升服务价值和竞争力的重要手段之一。在这种行业信息化市场变革的大背景下，XX银行湖南省分行为提升自身的行业竞争力、抢占更多的市场空间和进一步扩大客户资源的覆盖规模，从近期开始不断地向社会上投放了大量的营业网点。比如7月份到9月份之间就陆续增加了师大树达学院、天马湖大公寓、科教新村、师大河边宿舍、五一广场新大新、五一广场平和堂、国际IT城、格兰康都、农大金岸公寓、生物机电东湖校区等ATM网点或自助银行。虽然，目前各大商业银行为提高自身的行业竞争力而不断提升服务功能、业务种类以及压缩运营成本，使得其网络系统平台早已超出当初承载纯核心生产业务的范畴，目前承载的业务品种与数据类型非常丰富，在保证传统生产类业务数据的同时，生产类的语音，管理类的影像以及办公类的视讯、语音甚至互联网的流量均成为网路上传输的常见数据。而xx银行湖南省分行近期所开通上述网点由于运营时间短，业务种类相对比较简单。比如：除格兰康都、国际IT城两网点具有管理类语音、监控业务，传统生产类业务之外；其他网点均只有传统生产类业务与管理类监控业务。这些网点的生产类业务与管理类业务都要求实时的传输到湖南分行东塘网络中心的相关数据库内进行保存。以上为“xx银行湖南省分行综合业务数据网络系统”的一个大概业务情况。也可以这么讲该业务需求分析就是本次综合实验的应用背景。根据该银行网络建设需求的分析，我们的总体网络设计方案如下：n 总体网络设计方案 总体拓扑结构该拓扑并非实际工程拓扑，而是在实际工程拓扑的基础之上结合本次实训所涉及到的基础知识以及实验环境而改写的。但基本上可以是“xx银行湖南省分行综合业务数据网络系统”项目的一个再现。该模拟工程拓扑再现了实际项目中树达学院与国际IT城两个远程金融网点与分行总部东塘办公营业点之间的网络连接。 东塘办公营业点是湖南分行的总部，其相应的工作部门、员工、办公场所以及所开展的金融业务在所有网点中是规模最大功能最齐全的。因此其本地网络采用具有可扩展性的层次化的交换网络架构：核心层与接入层。相关部门的业务通过接入层交换机连接，数据中心服务器连接在核心层交换机上。由于存在着远程节点与互联网业务，由边界路由器提供到远程网点与互联网的连接。 该行的远程网点主要是小型的ATM网点与自助型营业网点，因此其生产规模和业务种类相对比较小。如师大树达学院的ATM网点主要是一台ATM自动取款机和视频监控终端，因此该网点主要采用的是个单臂路由器架构的交换网络解决方案，即：一台接入层交换机负责接入ATM的生产业务与监控业务，并通过本地路由器的WAN连接与分行总部的数据中心进行数据交互。而国际IT城是一个自助式的营业网点，不仅金融业务种类多而且还有专人负责金融安全管理工作，因此有专门的接入层交换机负责生产业务，还有专门的交换机负责接入管理类的视频监控与语音业务。该网点同样有路由器负责到分行总部的WAN连接。 工程技术选型 金融行业的网络信息平台实际上是个典型的跨越若干区域的大型企业WAN网络。XX银行湖南分行的网络平台不管是从业务范围还是总体网络拓扑上看亦是如此，即连接了若干个本地局域网的WAN网络。 从总体拓扑图上可以看出该网络平台由若干局域网络、连接局域网的WAN链路、实现WAN链路连接和跨网段通讯的路由器以及提供internet接入的边界设备等技术模块组成，因此涉及到的相关支撑技术如下：l 局域网网络： VLAN，由于金融行业非常强调数据的安全，不同业务之间数据不能渗透， 因此不管是分行总部还是远程网点每一种业务类型对应一个vlan。有关vlan的具体规划见“局域网工程实施规范”部分。 TRUNK，由于网络中创建了若干了vlan，因此为保证网络在承载业务上的可扩展性，在交换网络设备之间（总部局域网）、交换设备与路由器之间（远程网点）采用trunk链路来同时承载来自不同的vlan的数据。有关trunk的具体规划见“局域网工程实施规范”部分。 VTP（如果是非cisco设备则选用gvrp），为保证总部交换网络中vlan信息的一致，部署vtp技术来实现vlan在交换机之间的同步。有关VTP的具体规划见“局域网工程实施规范”部分。 VLAN间路由，由于远程网点的业务数据需要通过路由器与总部数据中心进行交互。总部的办公或业务数据也有与外网通信或与数据中心交互的需求，因此要涉及到跨网段通信即vlan间路由。远程网点的vlan间路由解决方案是单臂路由器vlan间路由，总部网络的vlan间路由解决方案是三层交换机上vlan间路由；从这里也可以知道，即总部交换网络中的核心层交换机是一台三层交换机。有关VLAN间路由的具体规划见“局域网工程实施规范”部分。l WAN链路技术 E1专线，由于远程网点与总部数据中心要求实施的数据交互，并且还有对带宽和延迟要求比较高的视频与语音业务，再加上金融数据对安全性要求也非常高等特点。因此选用带宽、延迟、安全、可靠性以及成本等方面都比较合适的E1专线技术。在本次中所有远程网点与东塘总部之间都是采用E1线路。有关E1专线的具体规划见“WAN工程实施规范”部分。l 路由技术 静态路由，虽然路由协议技术除了静态路由之外还有许多的其他的动态路由协议，比如：RIP、EIGRP、OSPF、ISIS等。并且静态路由相对于动态路由存在着许多的不足，但其配置和管理非常简单与直观的特点还是使得它在众多的实际工程项目中得到应用，尤其是路由网络结构非常简单的中小型企业网中。在“xx银行湖南省分行综合业务数据网络系统”项目中也确确实实采用的是静态路由来为远程网点与总部数据之间的交互提供路由。有关静态路由的具体规划见“WAN工程实施规范”部分。l 安全控制技术 NAT，由于该行办公区涉及非金融关键业务的用户可以上互联网，并且内部数据所携带的私有地址是不允许上外网的。因此，在提供INTERNET接入的边界路由器上要实施NAT，负责将到外网去的数据中的内部地址转换为公网地址以便保证到外网的访问。有关NAT的具体规划见“网络边界工程实施规范”部分。 ACL，根据业务需求分析可知，该网络中只允许涉及非金融关键业务的办公区用户数据上网；并且数据中心的各种业务服务器只允许提供给来自相关业务的数据访问。因此必须要用ACL来保证上述需求的实现。有关ACL的具体规划见“网络边界工程实施规范”部分。 工程设备选型考虑到我公司实现该模拟工程的实验设备的实际情况，该模拟工程中的设备选型与“xx银行湖南省分行综合业务数据网络系统”项目中实际用到的设备完全不同。此处的涉及到的网络设备均是我司实验室的实际设备，但所体现出的设备选型的思路与实际工程中设备选型的思路是完全一致的。设备选型的基本思路如下：根据客户的网络业务需求来选择相关的支撑技术，根据相关的技术来选择相关的实现设备。本模拟工程中涉及到的设备有下列几种：l 交换设备： Catalyst3560：做为分行总部交换网络中的核心层交换机。连接了低端的接入层交换机与边界路由器以及数据中心的各种服务器。Catalyst3560交换机是cisco目前主流的一款三层交换机。在技术选型部分所涉及到相关交换技术均能支持。有关Catalyst3560交换机的具体特性可以查阅cisco的官方网站（ 、）。 Catalyst2950：在总部交换网络与远程网点中的接入层交换机。为各种业务数据提供了接入。Catalyst2950交换机是cisco入门级的企业网络交换机，只具有二层功能。其具体的特性可以查阅cisco的官方网站（ 、）。l 路由器设备： Cisco3640：部署在总部，做为INTERNET接入的边界路由器，同时还提供了到远程网点的WAN连接。Cisco3640路由器是一款用在中小型企业网总部或大型企业远程节点的中低端模块化路由器，含有4个插槽，可以插入4个带有局域网或广域网接口的NM模块。在该模拟工程中本设备所插用的接口模块在“WAN工程实施规范”部分会有详细介绍。 Cisco2500：部署在国际IT城等远程网点负责提供到总部网络WAN连接的路由设备。Cisco2500是cisco早期的入门级企业WAN网络接入设备，属于固定接口配置的设备。在其面板上往往集成了两个WAN接口和一到两个LAN接口。该产品目前cisco已经停止生产和销售。 Cisco4500：部署在师大树达学院网点提供到总部网络的WAN连接，其以太网接口支持单臂路由器vlan间路由解决方案。改产品是cisco非常早期的模块化路由器，具体接口配置以实施室设备为准。目前已经停止生产与销售。n 模拟工程实施方案 网络设备命名规范为了在今后的管理和优化过程便于对网络系统中的资源和物理设备进行维护与配置，我们必须要对该网络中的所有设备进行规范化的系统命名。其规划如下：l 网络设备命名所有网络设备的主机名格式为：AAAABCDDDDEAAAA：地理区域，如：东塘网络中心 - WLZX，国际IT城 - GJITB: 表示设备厂商编码。如：C - 思科，H - 华为，H3 - 华3，B - 博达C: 设备类型编码标志位。如：r - 路由器 s - 交换机DDDD：设备型号位标志位。如：3640、3560。E:设备序号，在主机名格式中前几个参数均相同时用来区分不同的设备，这种情况往往出现在有多台相同性质的设备的情况下。如网络中心相同性质的接入层交换机就有两台。根据上述命名规范可知，该模拟工程中所有网络设备的主机名称如下：网络设备主机名称网络中心核心层交换机WLZXCS3560网络中心接入层交换机WLZXCS2950-1WLZXCS2950-2师大树达学院交换机SDSDCS2950国际IT城交换机GJITCS2950-1GJITCS2950-2网络中心路由器WLZXCR3640师大树达学院路由器SDSDCR4500国际IT城路由器GJITCR2514l 服务器/主机和工作站命名 在模拟工程中不具备实验条件，由普通PC和路由器来模拟。故省略这一步工作。 IP地址分配规范计算机网络的主要目标就是实现资源共享与数据通信，但要实现这个目标必须要对访问的资源或者通信的目的地进行精确的定位，而在现如今绝大多数的网络是依赖于IP地址进行资源和目标的定位的。因此我们要给网络中的所有设备分配一个IP地址。由于该网络主要是XX银行湖南分行的内部网络只是涉及到少许上INTERNET的业务，因此，采用一个 的B类主网地址进行子网的划分就可以满足该网络IP地址的分配需求。在进行IP地址规划和分配时，我们要注意的一个原则就是按块划分的原则。l 网络中心IP地址分配情况：根据前期的需求分析可知，网络中心信息点的分布情况大概如下：非金融关键业务办公用户个信息点、VOIP语音电话设备50部、智能监控终端10个、营业厅金融业务办理终端25个。除此之外还包括三台数据库服务器，四台网络设备，核心交换机与路由器以及数据库服务器之间均采用三层链路。分配给网络中心的IP地址段为/24、/24以及/24，其中/24为局域网内信息点地址及设备互联地址，/24为设备管理地址（这里主要是交换机的管理地址，因为路由器任何接口地址都可以被用做其管理地址），/24为路由器上连接远程网点的WAN接口地址。具体分配如下：配置对象IP地址非金融关键业务办公用户网段：/25网关：/25语音设备网段：28/26网关：29/25金融业务生产网终端网段：92/27网关：93/27智能监控终端网段：24/28网关：25/28营帐serverWLZXCS3560 f0/2341/3042/30监控serverWLZXCS3560 f0/2245/3046/30OA serverWLZXCS3560 f0/2149/3050/30WLZXCR3640 E0/0WLZXCS3560 f0/2453/3054/30WLZXCR3640 S0/0/30WLZXCR3640 S0/1/30WLZXCS3560管理地址Int vlan1：/24WLZXCS2950-1管理地址Int vlan1：/24Default-gatway：WLZXCS2950-1管理地址Int vlan1：/24Default-gatway：l 师大树达学院IP地址分配情况：由于师大树达学院仅仅只是一个ATM网点，涉及到的业务也仅仅只是ATM取款机的金融业务与加强安全管理的视频监控业务。考虑到业务之间的隔离，那这两种业务数据分别对应两个独立的IP网段。分配给树达学院远程网点的IP地址段为：/28、6/28、2/28以及/24,其中/28为ATM设备地址，6/28为监控终端地址，2/28为交换机管理地址（这里主要是交换机的管理地址，因为路由器任何接口地址都可以被用做其管理地址），/24为边界路由器上连接数据中心的WAN接口地址。具体分配如下：配置对象IP地址金融业务网段：/28网关：/28监控业务网段：6/28网关：7/28SDSDCS2950管理地址Int vlan1：4/28Default-Getway：3SDSDCR2503 S0/30l 国际IT城IP地址分配情况：国际IT城自助银行网点的业务类型在树达学院业务类型的基础上多了一项保安管理人员与网络中心的语音业务。因此分配给该网点的IP地址段为28/28、44/28、60/28、76/28、92/28以及/24，其中28/28为金融生产网设备地址，44/28为语音设备地址，60/28为监控终端地址，/28、92/28为交换机管理地址（这里主要是交换机的管理地址，因为路由器任何接口地址都可以被用做其管理地址），/24为边界路由器上连接数据中心的WAN接口地址。具体分配如下：配置对象IP地址金融业务网段：28/28网关：29/28语音业务网段：44/28网关：45/28监控业务网段：60/28网关：61/28GJITCS2950-1管理地址Int vlan1：78/28Default-Getway：77GJITCS2950-2 管理地址Int vlan1：94/28Default-Getway：93GJITCR2503 S0/30l INTERNET的接口地址分配情况WLZXCR3640 internet接口 S0/3接口地址：/30NAT地址池：采用PAT技术模拟internet路由器接口 S0：/30E0：203.1.1./24 （测试地址）在前面的小节中对客户的相关业务需求进行了比较详细的分析，并对相关的支撑技术与支撑设备也进行了介绍。为保证客户的业务需求得到充分的满足与实现，下面对每个网络模块中所选择的技术方案到底如何实施进行详细的规范。技术支持人员（现场调试施工人员）严格按照此规范进行工程实施与配置。 局域网络工程实施规范l 网络中心局域网络工程实施规范Vlan：根据前面的业务需求与技术选型阶段的分析可知，该网络中心交换网络中加上包含管理地址的vlan在内共有五个vlan：Vlan编号Vlan名称对应地址1管理vlanname:（默认值）见IP地址规范部分2办公业务vlanname:bangong3金融业务vlanname：jinrong4语音业务vlanname：yuyin5监控业务vlanname：jiankong其中VLAN2与VLAN4在WLZXCS2950-1上有活动接口，端口f0/1-10属VLAN2，端口f0/11-20属VLAN4。VLAN3与VLAN5在WLZXCS2950-2上有活动接口，端口f0/1-10属VLAN3,端口f0/11-20属VLAN5。为保证每个交换机上vlan信息的一致，在交换网络中部署了VTP，其中WLZXCS3560为VTP server，WLZXCS2950-1与WLZXCS2950-2为VTP的client，VTP域名为WANGLUOZHONGXIN,VTP的口令为admin，不配置VTP的修剪。为保证VTP信息的正常交互，以及数据通信时同时承载来自多个vlan的数据，体现网络的可扩展性，交换机之间的所有链路均为trunk链路，具体接口参阅网络中心拓扑图。因为WLZXCS3560为三层交换机，业务流量中有vlan内部数据到外网去的情况，且为保证每个业务数据库服务器的安全，每个服务器对应一个独立的IP网段，再加上边界路由器也是三层设备，因此连接边界路由器、数据库服务器的接口均为三层路由接口，具体接口参数可参阅网络中心拓扑图。除此之外上述五个vlan的网关也位于该三层交换机上。l 树达学院网点局域网工程实施规范由于树达学院网点业务非常小，其网络规模仅仅只是个包含一台边界路由器和一台接入终端的二层交换机的单臂路由器架构的网络。因此，该网点局域网的支持技术的实施比较简单，主要就是划分vlan与单臂vlan间路由。该网点业务虽小，但同样存在的金融业务与监控业务，要保证业务数据上隔离，需要用到vlan。其中vlan2为金融业务vlan，vlan名称为jinrong，所包含的活动接口为f0/1-10；VLAN3为监控业务vlan，VLAN名称为jiankong，所包含的活动接口为f0/11-20。再加上个管理vlan-VLAN1,其名称为交换机的默认值。上述vlan的地址见“IP地址规范”部分。由于该网络中，只有边界路由SDSDCR4500具有三层路由功能，且VLAN2、VLAN3中的数据要实时地与远程网络中心的数据库进行交互，结合网络拓扑特点，SDSDCR4500采用子接口来为下面的VLAN提供网关（网关地址见“IP地址规范”部分）。SDSDCS2950交换机通过trunk链路与SDSDCR4500路由器相连。具体连接接口参阅本网点拓扑。l 国际IT城局域网工程实施规范该网点的是一个自助银行，因此业务规模较之纯ATM网点的要大，其对应的网络规模也要大。其金融业务有专门的接入交换机（GJITCS2950-1），并有专门的路由器以太网接口提供网关，因此该网点的金融业务无需用vlan进行逻辑上数据隔离。又因为安排有保安值班人员，为方便与分行总部之间的联系，在管理上除了视频监控外还有VOIP电话机。这两种业务都是由接入交换机（GJITCS2950-2）负责接入，为保证业务上隔离和策略传输，在GJITCS2950-2交换机上将这两种业务分别放入不同的vlan，vlan2为语音业务，vlan名称为：yuyin，其包含的接口为f0/1-10；vlan3为监控业务，vlan名称为：jiankong，其包含的接口为f0/11-20。两台交换机上的管理vlan均为默认的vlan1，其名称也为默认值。这些业务或vlan所对应地址见“IP地址分配规范”部分。由于该网络只有GJITCR2514路由器具有三层功能，结合业务流量要求和实际网络拓扑，由GJITCR2514的E0接口提供金融业务到网络中心的数据通信网关，该接口只对应一个业务网段无需做子口。而E1接口提供语音与监控业务到网络中心的数据通信网关，提供的是子接口网关解决方案。路由器上接口地址的分配见“IP地址分配规范”。交换机与路由器之间的连接接口可参阅该网点实际拓扑。 WAN工程实施规范该模拟工程网络是个典型的WAN网络，因此要涉及到相关的WAN链路的连接与实现。具体规范如下：l 物理连线与接口规范由于项目中两个远程网点均有传统的金融营帐数据与监控数据要与网络中心进行交换，而这些业务数据对传输的实时性、安全性、带宽都是要较高要求的，比如一路视频数据最小带宽就是338kbps，再考虑到性价比的问题，因此在本模拟工程的实际项目中网络中心与远程节点之间选用的是能满足上述各种要求的E1专线技术。但考虑到在本次实训课程中没有涉及到E1专线技术，我们在这里选择的是实验室环境下模拟专线的串口线进行连接。实验室连接这些串口线的接口是V.