基于VLAN技术的银行网络设计与组建.docx

1、基于VLAN技术的银行网络设计与组建封面摘要本文以工商银行网络建设为背景，根据这个行业的特定要求做的一个企业网络解决方案。首先通过和银行的接触，了解该银行网络建设的具体需求；然后再需求的基础上，对局域网网络的结构进行分析和设计；最后利用VLAN和防火墙来保证企业局域网网络的安全。关键词：局域网；网络拓扑结构；VLAN；防火墙目 录摘要 V1引言 12 工商银行局域网建设的需求 12.1 局域网建设的网络需求 12.2 局域网建设的系统需求 33 工商银行局域网建设的分析与设计 33.1 网络拓扑原理 33.2局域网网建设分析 43.3局域网网建设设计 53.4网线连接设计 94 工商银行局域网

2、建设的安全策略 104.1 VLAN 设置 104.2 防火墙的设置 134.3 VPN 设置 145 总结和展望 16参考文献 171引言近几年来，随着我国金融体制改革的进一步深化和市场经济的不断发展，金融业的竞争越来越激烈，为社会和客户提供全方位的服务成为提高银行服务水平和加强银行自身竞争力的关键。为了适应银行业日益激烈的竞争，为了给客户提供更加快速、便捷、安全的服务，在工商银行总行的统一领导下，工商银行各省级分行在完成省域数据集中的基础上开始进行全国数据大集中工程。而构建工商银行一级分行稳定、安全、高效、开放的数据交换网络平台，并在此平台上运行统一的业务系统，这是实现全国数据大集中工作的

3、前提和基础。同时，随着工商银行管理规范化、信息化的不断发展，也对工商银行一级分行骨干网络的建设提出了更高的要求1。本文主要是针对于数据包进行过滤的，端口设置，划分 VLAN 等多种形式来设计网络的安全，即所有进出的数据包进行检查是通过数据包过滤技术来控制，这种控制可以阻止那些不符合既定规则数据包的传输。基于数据包捕获的个人防火墙，对计算机的网络安全起到很好地保护作用这样就能大量降低计算机被入侵的几率，因此，防火墙的数据包捕获具有很强的现实意义。同时采取星型和总线型的混合型网络拓扑结构也为企业带来了极大的方便。企业的企业网建设在企业本身信息传递的及时性，传递信息时的数据安全性都有巨大的实际意义，

4、对于本人的网络建设知识也是一个很好的积累。2 工商银行局域网建设的需求2.1 局域网建设的网络需求 本人所在工商银行的网络建于2005年，当时建设的目标是为了满足省域数据集中和ABIS(综合业务系统)在全省推广的要求，设备投入主要集中在省市县骨干网络的建设上，基本没有考虑生产、办公和开发等各逻辑功能区分区运行的需求。随着工商银行业务的不断发展，原先的网络在控制、管理和安全性等方面暴露出越来越多的问题，同时，随着远程教育、视频会议等对时延、带宽等要求较高的应用在工商银行推广，原有的网络也很难满足这些应用的要求。为了满足工商银行全国数据大集中的要求，为了满足工商银行管理信息化发展的要求，也为了进一

5、步提高省域骨干网络的安全性、可靠性和可管理性，确立了中国工商银行江西省分行骨干网改造项目。系统主干采用万兆以太网 10000M 交换，下属子网采用千兆以太网，网络协议采用 TCP/IP 协议，在设计整个企业网络时，考虑视频、数据、语音等综合应用 。交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机采用三层交换机，子房机交换机采用双导交换机，核心交换机和子房机交换机都支持 VLAN 功能。都能较好的解决突发数据量增加和密集服务请求的实时响应等问题。本系统处理的信息包括数据、语音和图像等，因此要考虑实时性问题，特别要考虑包括实时监控在内的视频信息传送等方面的实时性要求。管理楼的主机房中

6、的 UPS 电源的配备，能保证主机房及财务部门因临时断电而造成不必要的麻烦，同时也保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转；通过联想的智能防火墙对网络带宽进行统一分配，分配原则根据 VLAN 的划分，以充分利用网络带宽，提高了网络的运行效率。数据集中存放、管理、有效共享、统一安全备份，可以在远程控制的形式对主机进行维护。图 2-1为银行局域网主干拓扑图。 主要是通过一级网络和二级网络进行有效的互连，在安全方面也体现出了分级结构，而每一级都通过路由进行中转。图 2-1 企业网主干拓扑图2.2 局域网建设的系统需求 （1）广泛的设备支持：在网络建设中所选择的操作系统及

7、选择的服务应尽量广泛的支持各种硬件设备，在这里选择的是微软公司的 WINDOWS2003 SERVER 版，数据库采用 SQL2005； （2）稳定性及可靠性：系统的运行应具有高稳定性，保障 7*24 的高性能无故障运行。 （3）配置简单方便：所有的客户端和服务器系统应该是易于配置和管理的，并保障客户端的方便使用；采用微软公司的 XP 系统以及 WIN7 系统，不仅保证了客户端的方便性，也保证了平时服务的方便性； （4）安全性：在系统的设计、实现及应用上应采用多种安全手段保障网络安全；一方面采用防火墙的形式，另一方面对整个企业网进行 VLAN 划分，按部门把企业的IP 分为不同的 IP 分段。

8、网络还应具有开放性、可扩展性及兼容性，保障系统能够适应未来几年公司的业务发展需求，便于网络的扩展和集团的结构变更。 （5）可管理性：系统中应提供尽量多的管理方式和管理工具，便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本：系统设计应尽量降低整个系统的成本。3 工商银行局域网建设的分析与设计3.1 网络拓扑原理 在此次大型企业网的设计中，设计网络拓扑结构的方法采用的是层次化“模型”。如图 3-1 层次模型网络拓扑原理。图 3-1 层次模型网络拓扑原理3.2局域网网建设分析 网络拓扑结构采用的“层次化”模型，小的网络拓扑结构采用星型结构。对于每个层次都设计了特定的功能。比如我们把办公楼

9、分为一层网络系统，四大生产车间分为一层系统，仓储体系分成一层系统。层次结构与星型结构组合设计不仅能够应用于企业的局域。对于这个拓扑结构的设计是为了方便管理和规划，对于每个层级的设计都会有一个管理员进行分管，管理员的职能就是对不同的层级进行分管，这样就大大的提高了网络系统的可维护性。层次化模型的好处： （1）节省网络建设成本在网络维护和建设的过程中，可分层次的进行建设和维护。 （2）对网络功能易于扩展在网络设计中，模块化具有的特性使得在扩大网络的使用范围和功能增加时，也限制在子网中，而不会蔓延到网络的其他层的子网中。 （3）对网络易于排错层次化设计要以把企业网分成若干个子网，这样的设计对于网络管

10、理来说排错的过程中就简化了程序。 层次设计网络拓扑图如图 3-2 所示。图 3-2 层次设计网络拓扑图3.3局域网网建设设计（1）骨干核心层网络设计 本论文中所涉及到的企业的网络骨干网就要是因为各车间和部门之间的距离比较远，在设计的过程中还要保证调整数据路由转发，以及维护全网路由的计算。还包括企业的使用人员数量比较多。企业的业务应用模块比较复杂，对于骨干网的设计所使用的硬件也就要求的非常高，在整个网络建设中我们采用了性能相对高的神州数码品牌。 我们采用的这款 DCRS-7500 的神码产品主要功能是管理模块、交换模块以及电源模块都可以相互交换使用。这样就大大的提高了设备的使用率，让设备能更好的

11、为网络服务，为客户服务，这个设备的电源模块、风扇、管理模块等都可以冗余备份，在安全方面也就提高了保障，出问题之后也就可以通过还原的形式进行操作，对于设备的温度也是一个比较重要的问题，而我们选用的这款设备的法度传感器可以随时监控各个部件的工作温度，得出结果。从插槽方面也大大提高了商品密度和插槽利用率。 为了确保在巨大的网络通信负载下始终能够轻松实现第二层和第三层交换，采用3 台神州数码 DCRS-7508 核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。如图 3-5 所示。图3-3 骨干核心层设计网络拓扑原理图（2）核心层网络设计 为了保障企业网络的稳定运行，企业的网络核心层主要是

12、数据交换和与骨干心层网络之间的路由转发。从办公楼主机房开始向仓储机房、空分机房、净化机房设了核心层网络光纤，采用了 DCRS-7508 核心路由交换机做为主机房的中转设备。 业网中各分机房也同样使用了相同的设备，这样就会有机的进行整个网络的互通。体设计实施如下： 1. 主机房网络规划 主机房中共设计了四台机柜，设置如下： 机柜 1 存放 ERP 服务器和 ROS 服务器：ERP 服务器的 IP 地址设置为192.168.4.201，功能主要是存放用友软件系统及企业运营过程中的数据；ROS服务器 IP 地址设置为 192.168.0.1，外网 IP 地址根据服务商提供的 IP 为221.194.

13、149.55，这样就可以让企业中所有计算机可以连接到国际互联网。同时把这两个服务器的内部网线连接到硬件防火墙上的 VLAN1 端口上。这样的设置有效的保证了网络的安全。 机柜 2 存放邮件服务器和 WEB 服务器：邮件服务器的 IP 地址设置为192.168.4.200，并把这台服务器设置成了上网代理。其他所有计算机都可以通过这台服务器来进行上网。并把这个服务器的网络与防火墙的 VLAN2 端口进行连接。 机柜 3 存放监控服务器，IP 地址设置为 192.168.4.210，并和监控系统主机进行连接，管控企业所有的监牢摄像头。与防火墙的 VLAN3 端口进行连接。机柜 4 存放信息发面服务器

14、，IP 地址设置为 192.168.4.220，并把防火墙的VLAN4 端口进行连接。 2. 主机房网线铺设 主机房采用防火、防静电地板，地板下面设置了专用网线桥架，所有的网络连接线都是通过桥架通向各子机房，桥架采用密封设计。并进行了防水、防火等材料进行对网络桥架进行保护。 3. 主机房防火、防雷设计设计了符合国家标准的机房防雷电连接线，首先在主机房所在楼房的一楼地下设计了电流导线，电流导线分为两部分，一部分与原有楼房的电流导线进行连接，另一部分将导体连接地下二米处，使雷电直接传导到地下，进而能保护机房网络的安全。（3）汇聚层网络设计 为了完成企业网中各车间和部门子网的连接入，设计了多业务提供

15、能力，为企业用户提供了高性价比的组网方式。首先在主机房中设计了 DMZ 服务器，通过路由及防火墙与 INTERNET 进行连接；通过路由与种车间和部门的子机房进行连接，直到管理桌面。如图 3-4汇聚层网络设计拓扑原理图。图 3-4 汇聚层网络设计拓扑原理图（4）接入层网络设计 在企业网的设计中还考虑了安全控制和 QOS 提供能力，并对其进行了完整的规划与设计，这样的设计给汇聚层和骨干层设备带来了巨大的压力。针对这个问题，采用硬件屏蔽的形式，采用 DCRS-2026B 智能宽带接入交换机是能满足高安全。这样具备传统二层交换机大容量、高性能等优点。主要设置内容如下： 1. 端口带宽限制设置 第一步

16、：进入全配置模式。 Switch# config terminal 第二步：指定欲配置的接口。 Switch(config)# interface interface-id 第三步：配置端口带宽控制。通常情况下，应当进行双向限制。 第四步：返回特权配置模式。 Switch(config-if)# end 第五步：显示并校验该接口当前的配置。 Switch# show interface interface-id 第六步：保存带宽限制配置。 Switch# copy running-config startup-config 2. 端口镜像设置 端口镜像设置分类如表 3.1 端口镜像分类:表 3

17、.1 端口镜像分类设 备IPMask端 口办公室机房PC1192.168.1.101255.255.255.0交换机 e0/0/1空分机房PC2192.168.1.102255.255.255.0交换机 e0/0/2净化机房 PC3192.168.1.103255.255.255.0交换机 e0/0/3仓储机房 PC4192.168.1.104255.255.255.0交换机 e0/0/43.4网线连接设计 1.材料选择 （1）相应长度的双绞线。我使用最多的是 5 类和超 5 类（传输速率 100Mbps）非屏蔽双绞线（Unshielded Twisted Pair，UTP-5），布此类线时应

18、注意使网线尽量避开电磁干扰，并且规定双绞线的最大长度不超过 100m。 （2）RJ-45 接头：俗称水晶头，顶端有 8 个金属刀口。双绞线两端必须先压制 RJ-45接头，然后才能与集线器或者计算机网卡上的 RJ-45 接口相连。有时，当网线长度不够时，还可以利用 RJ-45 延长插座来串接另一条网线。 2.工具 （1）RJ-45 压线/切线/剥线钳：具有压线、切线与剥线的多功能专用钳。 （2）网线测试仪（Link Tester）：用来测试接好的网线的同断。 3.接口标准 为了方便网络连接，对于双绞线的制作，国际上规定了 EIA/TIA 568A 和 568B 两种接口标准，这两个标准是当前公认

19、的双绞线的制作标准。事实上，568A 标准就是将568B 标准的 1 号线和 3 号线对调，2 号线和 6 号线对调。我们日常用到的跳线有两种类型：平行线（又称直通线）和交叉线（又称级连线）。它们的制作方法如下： （1）平行线：将双绞线的两端都按照 568B 标准（或都按照 568A 标准）整理线序，压入 RJ-45 水晶头内。 （2）交叉线：双绞线一端接头制作时采用 568B 标准，另一端则采用 568A 标准。 事实上，平行线也可以不按照上述标准制作，只要两端芯线顺序一致即可，但这样制作出来的平行线不符合国际压线标准，使用时会影响网络速度，所以要按照国际标准压线。 4.制作步骤 （1）用

20、RJ-45 压线钳的切线槽口剪裁适当长度的双绞线。 （2）用 RJ-45 压线钳的剥线口将双绞线一端的外层保护壳剥下约 1.5cm，按照相应的接口标准（568A 或 568B），使 8 根芯线平行排列，整理完毕用斜口钳将芯线顶端剪齐。 （3）将水晶头有弹片的一侧向下放置，然后将排好线序的双绞线水平插入水晶头的线槽中，注意导线顶端应插到底，一免压线时水晶头上的金属刀口与导线接触不良。 （4）确认导线的线序正确且到位后，将水晶头放入压线钳的 RJ-45 夹槽中，再用力压紧，使水晶头加紧在双绞线上。至此，网线一端的水晶头就压制好了。 （5）同理，制作双绞线的另一头接头。此处注意，如果制作的是交叉线，

21、两端接头的线序应不同。 （6）使用网线测试仪来测试制作的网线是否连通。防止存在断路导致无法通信，或短路损坏网卡或集线器。4 工商银行局域网建设的安全策略4.1 VLAN 设置 我们把企业局域网利用设备从逻辑上划分成 12 个网段，从而实现虚拟工作组的数据交换技术。VLAN 要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个 LAN 划分成多个逻辑的 VLAN，每个 VLAN 是一个广播域，VLAN 内的主机间通信就和在一个 LAN 内一样，而 VLAN 间则不能直接互通，这样，广播报文被限制在一个 VLAN 内，这样就大大的增加了局域网内部的此信息安全性。 将各部门划属不

22、同的 VLAN，它们之间是不能通信的，这样能有效避免部门间的越权访问，特别是象资产管理部这样的数据比较敏感的部门，对于那些与他不属于一个VLAN 的电脑是无法访问它的。同时，这样还防止广播风暴的发生，避免过多广播包占据带宽造成网络拥塞。另外，VLAN 为网络管理带来了很大的方便，将每个部门划分为一个 VLAN，每个 VLAN 内的客户终端需求是基本相似的，对于故障排查或者软件升级等都比较方便，大大提高了网络管理人员的工作效率。 各个VLAN之间数据的传输，必须经过 trunk 链路。Trunk 是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器。基于端口汇聚

23、的功能，允许交换机与交换机、交换机与路由器、交换机与主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提高整个网络的能力。Trunk 端口一般为交换机和交换机之间的级联端口，用于传递所有VLAN信息。图 4-1 VLAN 划分结构图 配置三层交换机创建 VLAN。 主要涉及到以下几个方面。 1、设置 VTP DOMAIN VTP DOMAIN COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan

24、database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模

25、式 2、配置中继COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#swit

26、chport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl COM(config-if)#switchport mode trunk 3、创建 VLAN COM(vlan)#Vlan 10 name COUNTER 创建了一个编号为10名字为COUNTER的 VLAN COM(vlan)#Vlan 11 name MARKET 创建了一个编号为11名字为MARKET的 VLAN COM

27、(vlan)#Vlan 12 name MANAGING 创建了一个编号为12名字为MANAGING的VLAN 4.2 防火墙的设置 企业网对外网的安全设置是一个非常重要的问题，这方面的安全我们使用防火墙来进行屏蔽外网的攻击，对过对防火墙的安全设备来实现着管理者的安全策略，有效地维护这企业保护网络的安全。本次企业网建设我们采用 Cisco PIX 防火墙。如图 4-2 防火墙示意图图 4-2 防火墙示意图 当使用具有 3 个接口的防火墙时，就至少产生了 3 个网络，描述如下： 1. 内部区域（内网）设置 网络计算机 计算机网络 安等级进行划分，主要分为销售部门区域、供应部门区域、财务部门区域、

28、综合办公部门区域、生产部门区域、机动部门区域等。这样就有效的实现网络数据的安全。 2. 外部区域（外网）设置 设置了只有部分用户可以访问外网内容的权限，这样就大大的降低了外网以企业数据的安全性，主要设置方法因涉及到企业的安全性，这里略。 3. 深度数据包处理。 针对于这方面的处理就是在寻找攻击异常行为的同时，对数据流的状态进行有效记录。这些数据包都编辑上独立的编号，要求以极高的速度分析、检测，以避免应用时带来时延。 4. IP/URL 过滤。 URL 过滤是一项重要的操作，通过这方面的设置可以阻止通常的脚本类型的攻击，一旦应用流量是明文格式，就必须检测 HTTP 请求的 URL 部分，这就需要

29、一种方案不仅能检查 RUL，还能检查请求的其余部分。 5. TCP/IP 终止。 应用层攻击涉及多种数据包，并且常常涉及不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。 6. 访问网络进程跟踪。 这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能通常借助于 TDI 层的网络数据拦截，得到操作网络数据报的进程的详细信息加以实现。4.3 VPN 设置 公司员工可能需要经常出差或者在外办公，需要通过公网访问公司网络，这时数据在公网上传播就很不安全，所以我们需要一条专门的通道来安全传输信息，这就是VPN（虚

30、拟专用网）。 作为一个公网上的一个临时连接，VPN 的作用是巨大的。他是一条在公共网络中最安全稳定的隧道。虚拟专用网对企业局域网的扩张带来了非常大的影响，这样的设计就可以在异地也可以向在同一个局域网中访问得到一样的效果。一个企业的虚拟专用网解决方案减少了上网的费用。 VPN 业务都是基于隧道技术实现的。VPN 主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。如图 4-3 VPN 原理示意图：图 4-3 VPN 原理示意图 #三楼交换机 IP 地址 ping 192.168.1.251 telnet 192.168.1.251 px99 fujinxin enkangnai

31、erzonghelou_3600_52C#查询 mac 地址 vlan、接口对应表show mac-address-table | include “mac 地址”config terminalvlan 3switchport interface ethernet 0/0/3quitWrite#推出交换机系统Quit 在本方案中，我们采用 ip-VPN 技术。Ip-VPN 是指在运行 ip 协议的网络上实现VPN。该 VPN 技术的实现是通过隧道（tunnel）进行连接。借助隧道 VPN 使我们能够完全控制数据流，隧道提供了一层名副其实的安全保障。目前各种 VPN 安全协议中，IPsec 的保密性是最好的。IPsec 使用了 IPsec 隧道模式，在这种隧道模式中，用户的数据包加密后，封装进新的 ip。这样在新的数据包中，分别以开通器和终端器的地址掩蔽用户和宿主服务器的地址。 我们选用的 ASA5500 系列防火墙具有 VPN 功能，所以不需要额外购买 VPN 设备。利用 Cisco ASA 5500 系列，不需要增加成本，也不需要提高设计、部署或运作的复杂性，就能够将访问控制、应用检测和威胁防御作为 VPN 解决方案的一部分。管理员只需制定一个网络策略，就可以既提高安全性，又保持网络环境的可访问性。