中央商务区网络的规划与设计毕业设计.doc

大连东软信息学院 本科毕业设计（论文）本科毕业设计（论文） 系系 所：所： 计算机科学与技术系 专专 业：业： 网络工程 学生姓名：学生姓名： 马赫 学生学号：学生学号： 09110900202 指导教师：指导教师： 杨英鹏 导师职称：导师职称： 副教授 完成日期：完成日期： 2013 年 4 月 28 日 论文题目论文题目：中央商务区的网络规划与设计 大连东软信息学院 Dalian Neusoft University of Information 中央商务区的网络规划与设计 摘 要 如今社会发展的脚步远远超出人们的想象，人们对信息量的需求越来越大，对信 息安全的要求越来越高，本课题的设计目的在于，建立商务区网络架构，由于中央商 务区是城市的金融重地，聚集了众多银行。在现在网络盛行的时代，银行每天接受的 信息量是非常巨大的。所以首要任务就是在网络层与数据链路层保证巨大信息量的快 速传输的同时，保障信息的安全。随着银行业务规模、分支机构和员工数量的不管扩 大，跨区域沟通协作日益频繁，还有语音、视频、及时通讯整合与一个平台，需要良 好的网络设计来实现各大金融机构“零距离”沟通。 在进行了全面周密的需求分析，网络架构的梳理与评估之后，使各大金融机构正 常通信是最基本的保证，还要满足金融机构这一相对特殊的行业性质，满足其特殊的 需求，形成在中央商务区的专用通信网，建立这样一套网络，还要考虑到 IP 地址和 VLAN 的划分，路由规划，冗余备份等因素，实现数据的快速传输，办公自动化，具 有保密性，安全性和可用性的金融机构网络。 本篇论文首先会介绍为中央商务区的网络规划的设计原则和注意事项，其次针对 用户的需求进行缜密的分析，对可行性进行良好的梳理与评估，站在用户的角度权衡 整体策略的利弊所在，完善地设计配置命令，巧妙地设计网络拓扑，在最小的工作量 下完成全额的工作。我还会对本次课题中所用到的技术和命令做简要的概述，以便大 多数用户可以大概理解每种技术的特点。最后也会给出推荐设备的选购，给出一套在 可以实现所有需求的基础上，还能保证大并发操作下不受影响的设备方案，供用户参 考。 关键词关键词：金融机构，网络构架，路由交换技术 Planning and Design of the Central Business District Networks Abstract Now the steps of social development than people think, peoples demand for information is more and more big, the demand for information security is more and more high, at the same time, the invasion of the hackers are more low technical requirements, a dont have received much education, as long as there are a few tools can easily invade others computer, the network in the prohibition of theft cases. In this “with black for the strong, proud of black“ of the climate, information security has become a national security, economic development and social stability at the core of the protection. This topic is designed, the establishment of business networking architecture, due to the central business district (CBD) is the citys financial area, brought together many Banks. In the reign of the era of the Internet banking now every day is very huge amount of information is acceptable to the bank. So the first task is in the network layer and data link layer to ensure the rapid transmission of huge amount of information at the same time, guarantee the security of the information. As bank business scale, the branches and the number of employees regardless of expanding, cross-regional communication increasingly frequent, and voice, video, timely communication integration with a platform, needs good network design to achieve “zero distance“ major financial institutions. In has carried on the comprehensive thorough needs analysis, carding and evaluation of network architecture, each big financial institutions to normal communication is the most basic guarantee, also to meet the relative nature of the particular industry, financial institutions to meet their special needs, formed in the central business district (CBD) dedicated communications network, building such a network, but also to the IP address and VLAN division, route planning, and factors such as redundancy, backup, realizes the fast data transmission, office automation, has the confidentiality, security and availability of the network financial institutions. Key words: financial institutions, network architecture, routing switching technology. 目 录 摘 要I ABSTRACTII 第 1 章 绪 论.1 1.1 论文研究主要内容.1 1.1.1 安全问题.1 1.1.2 信息处理能力.1 1.1.3 冗余备份.1 1.2 国内外现状.2 第 2 章 关键技术介绍.3 2.1 路由协议的介绍.3 2.1.1 OSPF 协议.3 2.1.2 EIGRP 协议.3 2.1.3 RIP 协议 3 2.1.4 BGP 协议.3 2.2 NAT 与 DHCP.3 2.2.1 NAT 介绍 4 2.2.2 DHCP 介绍4 2.3 VLAN 和 VTP.5 2.3.1 VLAN 介绍 .5 2.3.2 VTP 介绍.5 2.4 冗余热备份.5 2.5 MPLS 和 VPN.6 2.5.1 MPLS 介绍6 2.5.2 VPN 介绍.6 2.6 ACL .6 第 3 章 需求分析.7 3.1 需求概述.7 3.2 需求分析.7 3.3 实际环境.7 3.4 技术可行性.8 第 4 章 网络设计.9 4.1 设计指导思想和原则.9 4.1.1 指导思想.9 4.1.2 设计原则.9 4.2 构架概述.9 4.2.1 模拟环境.9 4.2.2 构架概述.9 4.3 需求设计.12 4.3.1 VLAN 划分 .12 4.3.2 IP 地址划分.13 4.3.3 DHCP 协议13 4.3.4 网络协议.13 4.3.5 SNMP SERVER 13 4.3.6 ACL 访问控制.13 4.3.7 VPN 应用.13 第 5 章 功能实现14 5.1 VLAN 和 VTP.14 5.2 网络协议14 5.3 冗余备份14 5.4 DHCP.14 5. 5 VPN.14 5. 6 NAT 和 ACL14 5. 7 SNMP-SERVER15 第 6 章 性能测试16 6.1 VLAN 同步：16 6.2 全网互通：16 6.3 DHCP 检测17 6.4 NAT 翻译检测.17 6.5 NTP 同步.17 第 7 章 设备选购18 7.1 核心层交换机18 7.2 汇聚层交换机18 7.3 接入层交换机19 7.4 路由器.20 7.5 防火墙.21 7.6 服务器.21 第 8 章 结 论23 参考文献24 致 谢25 第 1 章 绪 论 随着银行业务规模、分支机构和员工数量的不断增长，跨区域沟通协作日益频繁， 中央商务区这样金融机构聚集地的网络规划与构架俨然成为了一项重要的工作项目， 一次对网络构架良好的梳理与评估，对需求的缜密分析，制定切实可行的总体规划等 一系列的工作涵盖了银行网络建设的各个层面，上至网络整体规划，下至数据中心、 广域网、数据安全等架构建设，统一部署服务器、存储、数据库和应用系统，确保客 户数据万无一失的前提下，为金融中心向客户提供高效连贯的优质服务。 1.1 论文研究主要内容论文研究主要内容 由于中央商务区是城市金融命脉，在保证所有金融机构能够互联互通的基础上， 首要任务就是其网络的完全性，不间断性，快速性以及处理信息的能力，需要用到很 多路由交换方面的技术。本课题主要结合中央商务区这一特殊区域进行针对的设计。 中央商务区建设目标包括：以提高全行的网络安全对最大并发事件的处理为根本，以 管理者对网络的管理为中心，并且以限制网络带宽的手段以提高对不同用户和不用应 用进行限制以保证工作效率。 1.1.1 安全问题安全问题 保证安全问题是中央商务区网络构架的首要任务，由于全行网络应用的复杂性， 一旦网络出现问题，将会有一系列的工作，需要较多的技术支持人员去解决，与此同 时由于缺乏对服务流程的管理，管理人员也难以了解工作的进度。安全软件在运行、 存储中是不能保障安全的，软件运行时的很多重要信息都会在某个时间清晰地出现于 计算机的存储中，因而不法分子窃取并利用这些信息是有机可乘的，所以需要采用硬 件设备才能保障安全。 1.1.2 信息处理能力信息处理能力 银行网络处理信息的能力和速率在这个领域中是最受用户关注的，面对庞大的用 户群体，用户关心的就是能否在任何时间段都可以进行畅通无阻的交易，同时，在各 个金融企业之间，因为网络问题不能通畅的进行各个金融企业之间数据的相互传输造 成的损失是巨大的，其损失对用户和企业乃至政府的而言将会是无法估量的。 1.1.3 冗余备份冗余备份 众所周知，由于自然灾害和人为因素，极有可能造成数据的丢失，而对于金融机 构而言，丢失数据是绝对不能被允许的，而有些会导致数据丢失的原因又是无法预知 的，在这种情况面前，我们能做的第一大要点就是要定时甚至在每一笔交易之后都将 数据进行备份，这样才能保证将在不可预知的情况下丢失数据有效率的还原，保证用 户的财产不受影响。 1.2 国内外现状国内外现状 面对日益严峻的网络安全形势，我国银行业将围绕自主可控、持续发展、科技创 新三大战略加强信息科技建设。网络银行已经占据了人们的生活，为了方便人们的生 活，网络问题对银行等金融机构有着巨大的考验，现在的银行需要更大的存储空间， 更完善的安全机制，以及对突发问题快速处理的能力。 在银行骨干网络中，路由器和交换机都是 CISCO 的产品。路由器包括 7513、7597、3662、3661、5300 等，交换机包括 6506、6509、4003、4006、2948、3548 等系列。在每台路由器上都配置了统一的网管 地址，在总行目前有一个简易网管系统可管理到骨干路由器。 同时，随着接入 Internet 的计算机数量的不断猛增，IP 地址资源也就愈加显得供不 应求。事实上，我国的 IP 地址数量远远小于国外，国内的 IP 地址非常有限，一般用户 几乎申请不到整段的 C 类 IP 地址。在其他 ISP 运营商那里，即使是拥有几百台计算机 的大型局域网用户，当他们申请 IP 地址时，所分配的地址也不过只有几个或十几个 IP 地址。显然，这样少的 IP 地址根本无法满足网络用户的需求，可见 IP 地址也是一项需 要解决的问题。 第 2 章 关键技术介绍关键技术介绍 2.1 路由协议的介绍路由协议的介绍 本课题考虑到企业内部的网络互连将用到 OSPF，EIGRP,RIP 三个 IGP 协议，以及 外部大个金融企业和运营商之间的链接还要用到 BGP 协议。 2.1.1 OSPF 协议协议 OSPF(Open Shortest Path First)开放式最短路径优先协议，是 IGP(Interior Gateway Protocol)内部网关协议，用在单一的自制系统内决策路由，它是一个基于链路状态的路 由协议，通过路由器之间相互通告网络接口状态简历链路状态数据库，生成最短路径 树，从而构造出最有效率的路由。 2.1.2 EIGRP 协议协议 EIGRP(Enhanced Interior Gateway Routing Protocol) 增强内部网关路由线路协议， 是内部网关路由协议。是 Cisco 公司私有的协议 EIGRP 结合了链路状态和距离矢量型 路由选择协议，采用弥散修正算法（DUAL）来实现快速收敛，可以不发送定期的路由 更新信息以减少其对带宽的过多占用，他的优点包括快速收敛和减少带宽占用，支持 多种网络层协议，无缝的链接数据链路层协议和拓扑结构。 2.1.3 RIP 协议协议 RIP(Routing Information Protocol)路由信息协议，是内部网关协议。它可以通过不 断的交换信息让路由器动态的适应网络链接的变化，这些信息包括每个路由器可以到 达哪些网络，这些网络有多远等，从而挑选出最佳路由 2.1.4 BGP 协议协议 BGP(border gateway protocol)边界网关协议，是基于 TCP 之上的一种自制系统和路 由协议，BGP 是唯一一种用来处理 Internet 这样的大规模网络的网络协议，也是唯一 能将不相关路由域间的多路连接够妥善处理好的协议。BGP 的构建，可以说是在 EGP 的经验之上。BGP 系统的主要功能是和其他的 BGP 系统交换网络可达信息。网络可 达信息包括列出的自治系统(AS)的信息。这些信息有效地构造了 AS 互联的拓扑图并最 大程度的清楚了路由环路。 2.2 NAT 与与 DHCP 随着接入 Internet 的计算机数量的不断猛增，IP 地址资源的需求量已然出现了前所 未有的危机。事实上，除了中国教育和科研计算机网（CERNET）外，一般用户几乎 申请不到整段的 C 类 IP 地址。在 ISP 运营商那边，即使一个用户拥有成百上千个节点 的局域网，在申请 IP 地址时，所分配的地址也不过只有几个或十几个 IP 地址。显然， 现有的这种情况使 IP 地址根本无法满足网络用户的需求，在这种形势的影响下，NAT 技术油然而生。IP 地址必须遵循地址规划和分配的原则，一个 IP 地址要只对应一台数 据通讯设备同一个网络区域分配连续的网络地址等，为了方便分配与管理，DHCP 将 会发挥它的巨大作用。 2.2.1 NAT 介绍介绍 NAT( Network Address Translation )有三种实现方式，即端口多路复用、动态转换 Dynamic Nat 和静态转换 Static Nat，如表 2.1 所示。 表 2.1 NAT 三种实现方式 静态转换 是指将内部网络的私有 IP 地址和为公有 IP 地址的一个转化的过程， IP 地址对是不可改变的，一个外网地址只能针对一个内网地址。借助 于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务 器）的访问。 动态转换 是指在做网址的公有和私有地址转化的时候，公有的 IP 将从设定 的范围内随机挑选，所有被授权访问上 Internet 的私有 IP 地址可随机 转换为任何指定的合法 IP 地址。也就是说，只要指定哪些内部地址可 以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态 转换。动态转换可以使用多个合法外部地址集。当 ISP 提供的合法 IP 地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用 指改变外出数据包的源端口并进行端口转换，即端口地址转换 （PAT，Port Address Translation).采用端口多路复用方式。内部网络的 所有主机均可共享一个合法外部 IP 地址实现对 Internet 的访问，从而 可以最大限度地节约 IP 地址资源。同时，又可隐藏网络内部的所有主 机，有效避免来自 internet 的攻击。因此，目前网络中应用最多的就是 端口多路复用方式。 2.2.2 DHCP 介绍介绍 动态主机设置协议（Dynamic Host Configuration Protocol）是一个局域网的网络协 议，以 UDP 协议作为基础进行工作，主要的用途有两个：第一，给内部网络或网络服 务供应商自动分配 IP 地址；第二，给用户或者内部网络管理员作为对所有计算机作中 央管理的手段。 2.3 VLAN 和和 VTP 交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。将企业中的网段 划分为一段或者很多段虚拟的网段，使网络的安全和管理都得到了一个质的飞跃，控 制不必要的数据广播。在共享网络中，每一个物理的网段都是一个广播域。而在交换 网络中，广播域可以是任意选定的 MAC 地址的虚拟网段组成的。这样，网络中工作组 的划分将，完全根据管理功能来划分，共享网络中的地理位置限制彻底的突破。这种 基于工作流的分组模式，大大提高了网络规划和重组的管理功能。 2.3.1 VLAN 介绍介绍 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网“。VLAN 是一种将 局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。 2.3.2 VTP 介绍介绍 VTP（VLAN Trunking Protocol）：是 VLAN 中继协议，也被称为虚拟局域网干道 协议。这个协议时 CISCO 私有的。有的时候，由于企业等网络的规模过大，VLAN 的 划分配置的工作量是非常大的，这个时候就可以使用 VTP 协议，把一台交换机配置成 VTP Server 端, 其余交换机配置成 Client 端，这样他们可以自动学习到 server 端上的 VLAN 信息。 2.4 冗余热备份冗余热备份 随着 Internet 的日益普及，人们对网络的依赖性也越来越强。这同时对网络的稳定 性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高 数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心，如果路由器发生了 的故障，导致的将是本地网络的瘫痪，如果是故障路由器恰好是骨干区域的路由器， 所造成的损失和影响的范围也是难以估计的。因此，对路由器采用热备份是提高网络 可靠性的必然选择。在一个路由器完全不能工作的情况下，它的全部功能便被系统中 的另一个备份路由器完全接管，直至出现问题的路由器恢复正常。 HSRP 介绍：热备份路由器协议 HSRP（Hot Standby Router Protocol）的设计目标是 支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即 使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当 源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器 不出故障。 2.5 MPLS 和和 VPN VPN 属于远程访问技术，简单地说就是利用公网链路架设私有网络，外地员工在 当地连上互联网后，通过互联网找到 VPN 服务器，然后利用 VPN 服务器作为跳板进 入企业内网。为了保证数据安全，VPN 服务器和客户机之间的通讯数据都进行了加密 处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就 如同专门架设了一个专用网络一样。为异地办公提供了最稳定的保证。 2.5.1 MPLS 介绍介绍 多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数 据流量提供了目标、路由、转发和交换等能力。更特殊的是，它具有管理各种不同形 式通信流的机制。MPLS 独立于第二和第三层协议，诸如 ATM 和 IP。它提供了一种 方式，将 IP 地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。 2.5.2 VPN 介绍介绍 虚拟专用网络（Virtual Private Network)指的是在公用网络上建立专用网络的技术。 其之所以称为虚拟网，主要是因为整个 VPN 网络的任意两个节点之间的连接并没有传 统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如 Internet、ATM(异步传输模式)、Frame Relay（帧中继）等之上的逻辑网络，用户数据 在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的 专用网络的扩展。 2.6 ACL 访问控制列表（Access Control List） 是路由器和交换机接口的指令列表，用来控 制端口进出的数据包。ACL 适用于所有的被路由协议，如 IP、IPX、AppleTalk 等。这 张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某 种访问进行控制。 第 3 章 需求分析 3.1 需求概述需求概述 1.要求每家银行有各自的 VLAN,各个金融机构之间可以相互通信，但是非同一家 银行不能访问该银行的行政部门。 2.要求所有金融机构都可以访问 Internet。 3.要求每家金融机构的通讯设备都是采用自动获取的方式获取 IP 地址。 4.要求每台通讯设备可以自动发现网络拓扑结构。 5.能有效地发现、定位网络故障，给出排错建议与排错工具，形成整套的掌故发 现、警告与处理机制。 6.结合使用用户认证、访问控制、数据传输、存储的保密行，控制对网络资源的 访问。 7.要求异地办公的员工可以通过专用通道访问企业内部的网址，并且保证这些专 用通道的保密性和安全性。 3.2 需求分析需求分析 针对以上需求，要进行广泛全面的信息采集，支持主流厂商设备 Syslog 解析、 IDS、SNA、防火墙、认证服务器、协议分析工具等时间信息的采集，各类网络故障以 统一的格式显示并分类，并形成统一的故障级别。 1.设备层 设备层包括与设备相关的环境信息和系统自身的运行信息，其中运行信息包括设 备 CPU 的使用率和设备内存的使用情况及设备自身的提示、告警和错误信息。 2.链路层 链路层包括线路状态、与广域网相关的 2 层拓扑的自动发现，线路流量的信息、 线路的可用行信息、用于流量分析的详细分析。 3.IP 层 设备相当于网络中的节点，链路有相当于线一样把各个节点物理串联起来，而 IP 路由又把这些物理的线路串联成一个个逻辑的通道，最终形成完整的通信网结构。IP 层包括三层网络拓扑的自动发现，路由变化信息、动态路由。 3.3 实际环境实际环境 在网管功能方面，情况如下： (1)故障事件监测方面，现行的故障事件拓扑图的状态变化及或事件列的信息，然 后根据各分行网管操作人员不同技术能力和经验寻找和修复故障； (2)在性能管理方面，部份分行利用一些网管系统的性能管理功能定期对被管理的 网络设备收集性能数据(如：流量、错误传输比等)，但是缺乏数据收集后的分析(如： 服务水平报告)，在这方面有进一步加强的地方； (3)在配置管理方面，主要通过命令行接口进行远程配置。有些时候会利用 CiscoWorks2000 对 Cisco 网络设备进行相关的配置； (4)在安全管理方面，网管网段与其他网段的数据同样处理，导致网管信息的传输 不畅和网管主机的安全不易保证； (5)没有网管灾难备份，网络管理系统的短时间故障并不会影响日常银行服务的运 作。 3.4 技术可行性技术可行性 针对以上需求，目前网络系统提供商如 CISCO、HP、CA、IBM 等都提出了针对 不同运行平台、不同侧重点的网络管理软件，这些对于一般的网路管理来说，其功能 性和方便性都是可以满足需求的，考虑到现在金融机构的核心层和汇聚层多数用的都 是 CISCO 的设备，其中的各项协议等技术已经非常成熟，这样也可以采用 CISCO 私 有的协议来更好的满足网络的安全性，可用性，不间断性。 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系 统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达 到最大的平均无故障时间，思科网络做为世界知名品牌，网络领导厂商，其产品的可 靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实 施时在银行启用千兆备份线路。在银行启用物理链路冗余机制，保证任何一条线路出 现故障后骨干网络平台的可用性。 在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此 系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、 路由过滤、防 DDoS 拒绝服务攻击、防 IP 扫描、系统安全机制、多种数据访问权限控 制等，思科网络充分考虑安全性，针对的各种应用，有多种的保护机制如划分 VLAN、IP/MAC 地址绑定过滤、ACL、路由过滤、防 DDoS 拒绝服务攻击、防 IP 扫描、 802.1x 认证机制、SSH 加密连接等具体技术提升整个网络的安全性 第 4 章 网络设计网络设计 4.1 设计指导思想和原则设计指导思想和原则 4.1.1 指导思想指导思想 设计网络要遵循这样的主体思想，企业的局域网的内部成分分为三个部分，分别 是接入层，汇聚层和核心层。 接入层：接入层是最底层。主要涉及到 VLAN 划分等。 汇聚层：汇聚层利用 DHCP 技术做了一个 IP 地址的划分，可以动态的划分给各个 主机，其效果是同一个可以控制不同的部门之间可以或者不可以相互通信。 核心层：核心层应用路由协议将核心层与汇聚层链接起来。 4.1.2 设计原则设计原则 (1) 先进性：与国际接轨，能支持未来包括 IPv6 在内的高性能需求。 (2) 安全性：有效的防止网络非法访问，保护关键数据不被非法窃取篡改或泄露。 (3) 可靠性：满足 724365 个小时连续运行，永不 DOWN 机。 (4) 时效性：网络要保证各类业务数据流的及时传输，延迟要小，吞吐量要大。 (5) 可管理性：要有统一的网络管理平台实现对整个网络系统、设备、安全性、数 据流量、性能等的监控和管理。 4.2 构架概述构架概述 4.2.1 模拟环境模拟环境 实验中用到 GNS3 和 Packet tracer 来模拟实际的网络环境。 4.2.2 构架概述构架概述 在设计过程中将本区域的规划分成两个部分:一个是内部局域网,一个是通过 Internet 连接两个局域网的架构。由于模拟器的问题,内部局域网用 GNS3 这个软件来搭 建,内部局域网分成三个层次：接入层、核心层和汇聚层。接入层用了个 2 台交换机、 利用 VLAN 技术将银行划分成 3 个分行、汇聚层用两台三层交换机、在汇聚层做了 DHCP 技术，给每个分行每台主机分配地址，核心层放三台三层交换机，用于传递 Internet 的数据。 局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构， 它是以一台中心处理机、通信设备为中心构成的网络。其它请求访问网络的机器与中 心处理机之间都有这直联物理链路，中心处理机采用分时或轮询的方法为入网机器服 务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点 来处理。因此对中央节点的要求比较高。 星型拓扑结构的特点是：网络结构简单、易于维护和便于管理，集中式，每台入 网机均需有物理线路与处理机互连，线路利用率低，处理机负载重，需处理所有的服 务，因为任何两台入网机之间交换信息，都必须通过中心处理机，入网主机故障不影 响整个网络的正常工作。因此对该网络支持的设备生产厂商需要有较好的技术支持。 局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议 采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开 发使用。 根据银行网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标 是，高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。 图 4.1 中央商务区的网络拓扑 如图 4.1 所示，上左右分别为 3 个独立的支行，而中间位 ISP 的核心交换机，三个 独立的支行通过核心交换机实现相互的通信，应用 BGP 协议，期间还要用到 MPLSVPN 这样的设计可以充分的满足中央商务区对于网络安全架构的所有需求。 图 4.2 分行 1 的网络拓扑 如图 4.2 所示，这是分行 1 的网络拓扑，内网采用 EIGRP 的网络协议进行通信， 并且在汇聚层路由器作为 DHCP 服务器为下层路由器进行动态地址的分配。其中还要 对通过其的流量进行服务质量(QOS)控制。 图 4.3 分行 2 的网络拓扑 如图 4.3 所示，这是分行 2 的网络拓扑，内网采用 RIP 网络协议进行通信，R3 上 采用 NAT，进行内外地址转换。 图 4.4 分行 3 的网络拓扑 如图 4.4 所示，这是分行 3 的网络拓扑，内网采用 OSPF 的网络协议进行通信，上 半部分用 AREA0 下半部分 AREA1。 图 4.5 冗余备份路由器 如图 4.5 所示，SW3 和 SW4 作冗余热备份用,SW3 为 active,SW4 为 standby。 4.3 需求设计需求设计 针对上一章的需求，本章对整体需求做详细的设计。 4.3.1 VLAN 划分划分 核心交换机对每个支行进行 VLAN 规划如表 4.1 表 4.1 VLAN 划分 名称部门VLANVLAN 名 支行 1行政部VLAN11XZ1 支行 1营业部VLAN21YY1 支行 1业务部VLAN31YW1 支行 2行政部VLAN12XZ2 支行 2营业部VLAN22YY2 支行 2业务部VLAN32YW2 支行 3行政部VLAN13XZ3 支行 3营业部VLAN23YY3 支行 3业务部VLAN33YW3 VLAN11，VLAN12，VLAN13 之间不能相互访问。 4.3.2 IP 地址划分地址划分 IP 地址划分如下表 4.2 表 4.2 IP 地址划分 名称IP 地址 分行 1 与核心层之间的 IP10.1.1.x/24 分行 2 与核心层之间的 IP10.2.2.x/24 分行 3 与核心层之间的 IP10.3.3.x/24 分行 1 IP 地址110.1.1.x/30 分行 2 IP 地址120.1.1.x/30 分行 3 NAT 外部 IP 地址130.1.1.x/30 分行 3 NAT 内部 IP 地址192.168.1.x/30 4.3.3 DHCP 协议协议 在每家支行的汇聚层交换机使用 DHCP 协议，为每家支行的每个通讯设备提供 IP 地址的自动获取。 4.3.4 网络协议网络协议 三家支行分别使用 EIGRP，OSPF，RIP 网络协议，是其可以自动发现网络，进行 选路和转发，与运营商核心交换机之间使用 BGP 协议。 4.3.5 SNMP SERVER 使用 SNMP SERVER，保证设备出现问题的时候会自动发送日志，给予网络管理 者最时效、最直观的错误报告，以便于对问题最及时的排查与解决。 4.3.6 ACL 访问控制访问控制 使用 ACL 访问控制列表，对于一些禁止访问的地址或网站进行限制，保证工作效 率和数据的安全性。使营业部门的电脑禁止登陆 Internet。 4.3.7 VPN 应用应用 针对需求，要用到 VPN 技术，保证异地办公的员工可以通过特有的通道安全可靠 的访问公司内部的网址。 第 5 章 功能实现功能实现 5.1 VLAN 和和 VTP 要求三台核心交换机要以 SW1 为 server，SW2 和 SW3 为 client，使 SW2 和 SW3 向 SW1 同步 VLAN 信息。 SW1(config)#vtp mode server SW1(config)#vlan 1143 5.2 网络协议网络协议 每台设备自动获取网络拓扑结构，我们以在其中一台路由器做 OSPF 为例 R1(config)#router ospf 1 R1(config)#router-id R1(config-router)#net 10.3.3.x 5.3 冗余备份冗余备份 冗余备份我们采取冗余热备份 HSRP 协议。 Rx(config) #standby 1 Rx(config) #standby 1 authentication md5 key-string 1 Rx(config) #standby 1 timers msec 200 1 Rx(config) #standby 1 preempt 5.4 DHCP DHCP 协议可以使每台设备通过请求获得 IP 地址。 Rx(config) #ip dhcp pool DHCP Rx(config) #ip dhcp excluded-address 5. 5 VPN 异地员工可通过 VPN 实现与公司的远程连接。 Rx(config) #crypto isakmp key 0 123 address Rx(config) #crypto isakmp transform-set 123 ah-md5-h esp-321 Rx(config) #crypto map net 1 ipsec-isakmp Rx(config-crypto-map) #set peer Rx(config-crypto-map) #set transform-set 123 Rx(config-crypto-map) #match address 2 5. 6 NAT 和和 ACL 运用 nat 实现内地址与外地址的转换。 Rx(config) #access-list 1 permit 10.3.3.x 55 Rx(config) #ip nat inside soucer 1 interface fastethernet0/0 overload Rx(config) #interface fastethernet0/2 Rx(config-if) #ip nat inside Rx(config) #interface fastethernet0/0 Rx(config-if) #ip nat outside 5. 7 SNMP-SERVER 当设备出现问题的时候设备自动向管理者邮箱发送告警 Rx(config) #snmp-server contace 123 Rx(config) #snmp-server trap-source loopback0 第 6 章 性能测试 6.1 VLAN 同步：同步： 所有的 Client 端交换机通过 VTP 协议向 Server 端交换机同步 VLAN 信息。如图 6.1 所示。 图 6.1 VLAN 同步 6.2 全网互通：全网互通： 全网通过路由协议可以 PING 同 8 外部 Internet 网络。如图 6.2 所示。 图 6.2 全网互通 随机选取一台路由器确保该路由器的路由表中包含所有的路由。如图 6.3 所示。 图 6.3 路由表 6.3 DHCP 检测检测 选取一台通过 DHCP 自动获取 IP 地址的主机，检查是否向服务器申请到了 IP 地 址。如图 6.4 所示 图 6.4 IP 地址获取 6.4 NAT 翻译检测翻译检测 在运用了 NAT 的主机上向外 PING 随机一个地址，再在 NAT 服务器上检查是否 成功执行了 NAT。如图 6.5 所示。 图 6.5 NAT 成功执行 6.5 NTP 同步同步 在 NTP 客户端使用 show ntp status 检查是否向服务端同步 NTP。如图 6.6 所示。 图 6.6 NTP 同步成功 第 7 章 设备选购设备选购 7.1 核心层交换机核心层交换机 表 7.1 核心交换机参数 名称参数 设备名称CISCO WS-C6509-E 参考价格6W 产品类别交换机 品牌CISCO（思科） 产品类型企业级交换机 应用层级四层 传输速率10/100/1000Mbps 背板带宽720Gbps VLAN支持 网络管理CiscoWorks2000，RM 包转发率387Mpps MAC 地址表64K 网络标准IEEE 802.3，IEEE 8 端口结构模块化 交换方式存储-转发 扩展模块9 个模块化插槽 传输模式支持全双工 QOS支持 7.2 汇聚层交换机汇聚层交换机 表 7.2 汇聚层交换机参数 名称参数 设备名称CISCO WS-C3750G-24TS-E1U 参考价格3W 产品类别交换机 品牌CISCO（思科） 产品类型企业级交换机 应用层级三层 传输速率10/100Mbps 背板带宽32Gbps VLAN支持 网络管理SNMP，CLI，Web 包转发率38.7Mpps MAC 地址表12K 网络标准IEEE 802.3，IEEE 8 端口结构非模块化 交换方式存储-转发 端口数量28 个 传输模式支持全双工 产品内存DRAM 内存：128MB 7.3 接入层交换机接入层交换机 表 7.3 接入层交换机参数 名称参数 设备名称CISCO WS-C3560-48TS-E 参考价格2 万 产品类别交换机 品牌CISCO（思科） 产品类型企业级交换机 应用层级三层 传输速率10/100Mbps 背板带宽32Gbps VLAN支持 网络管理SNMP，CLI，Web 包转发率13.1Mpps MAC 地址表12K 网络标准IEEE 802.3，IEEE 8 端口结构非模块化 交换方式存储-转发 端口数量52 个 传输模式支持全双工 产品内存DRAM 内存：128MB 7.4 路由器路由器 表 7.4 路由器参数 名称参数 设备名称CISCO 7304 产品类别路由器 品牌CISCO（思科） 参考价格6.8 万 端口结构模块化 局域网接口2 个 传输速率10/100/1000Mbps 防火墙内置防火墙 网络协议IP，IPX，DLSW，App Qos 支持支持 VPN 支持支持 产品内存最大 DRAM 内存：512M 处理器RM 7000 MIPS 处理器 产品尺寸177.8436520mm 7.5 防火墙防火墙 表 7.5 防火墙参数 名称参数 型号天融信 NGFW4000-UF(TG-5130)(TOPSECNGFW4000- UF(TG-5130) 价格14.8 万 设备类型企业级防火墙 并发连接2200000 网络吞吐6000 网络端口最大配置为 26 个接口 用户数限无用户数限制 适用环境工作温度:0-45、存储温 入侵检测Dos、DdoS 电源双电源,缺省一个电源 安全标准FCC,CE 控制端口console 管理SNMP,WEB,命令行,远程管理 VP N 支持支持 7.6 服务器服务器 型号：X3500 产品简述：通过新的四核处理器及更快的内存技术获得更好的性能，采用集成的 解决方案管理您的 IT 资源，通过可升级内存，I/O 和存储搭建稳定服务器平台，保护 您的 IT 投资。 市场价格：20000 详细参数：Xeon E55202.26Ghz 四核最高支持 1066MHz 内存频率 5.86 GT/s QPI8MB 3 级缓存 DDR3 内存 2*2GB 热插拔 2.5“ SAS 硬盘，标配 146GB SAS 硬盘*1 ServerRAID MR10iDVD-ROM 双口千兆以太网 3 个 PCI-Express Gen2 x8 插槽, 1 个 PCI-Express Gen2 x16 插槽, 1 个 PCI-Express Gen1 x8 插槽，1 个 33MHz PCI 插槽 1 个 串口, 1 个显卡接口, 6 个 USB 2.0 端口(4 个背面、2 个正面)，3 个 RJ-45 端口(2 个以太 网口,一个管理端口)IMM, 可选的远程管理 920W 热插拔电源，可选冗余 3 年有限保修， 3 年部件，3 年人工，3 年现场。 第 8 章 结结 论论 本次负责的事中央商务区的网络规划 因为要组网成功，真正能贴近实际，特别调查了中央商务的网点分布情况，从而 清晰地为各个银行的发展服务，划分出简单实用的网络。 此次毕业设计主要任务是学会局域网的设计和应用，网络互连技术，以及网络互 联中如何保证信息安全，通过理论与实践相结合，进一步加深理论知识，在课题的课 程中老师讲解了如何用网络拓扑的设计，如何进行网络的布线。路由器及交换机的配 置防火墙和网络检测器的 IDS 的安装和配置等等。在进行课题研究的过程中，真正学 到了计算机网络技术。 此外在此次课