某二级支行网络的设计与实现

某二级支行网络的设计与实现

  • 绪论
    • 背景概述
    • 银行网络发展现状
    • 银行网络发展趋势
  • 总体设计方案
    • 需求分析
    • 设计目标
    • 设计原则
    • 总体拓扑图
    • 拓扑说明
    • IP地址及VLAN规划
      • 各功能子区之间IP地址及VLAN规划
      • 各功能子区之内IP地址及VLAN规划
    • 路由协议选择
      • 外部网关协议选择
      • 内部网关协议选择
    • 网络设备选型
  • 网络安全设计
    • 安全威胁分析
    • 安全技术部署
  • 网络模拟实现
    • 模拟器介绍
    • 功能实现
      • 运行维护区
      • 楼层接入区
      • 前置机服务区
      • 中间业务外联区
      • 核心生产区
      • 广域网接入区
      • DWDM区
      • 网银区
      • 核心交换区
  • 网络测试
  • 结论

绪论

背景概述

伴随着计算机互联网技术的日渐成熟,包括金融行业在内众多社会领域都受到前所未有的冲击与革新,生活中随处可见互联网+金融的产品,譬如:第三方支付、 P2P 网贷、在线金融产品销售和金融电子商务等逐渐被客户和市场所接受,金融系统数据,应用的集中化已然成为一种主流趋势。

数据的集中化,不断发展的传统业务需求与创新型业务需求以及运营复杂难度的上升等给银行网络建设带来新的技术挑战。站在商业银行角度来看,其网络规划与建设和银行正常的业务运作与开展息息相关,一个银行网络的规划与设计会直接左右网络的连通性,稳定性,网络的可扩展性,鲁棒性,网络安全以及网络的性能,从而间接影响银行业务的正常开展及将来业务的拓展。

银行网络发展现状

改革开放以来,在全球信息化的浪潮涌动下,现阶段我国已经进入了全信息化时代,我国现阶段的人民群众对于网络的欲求与依赖也在不断增加,对于网络服务质量也越来越看重。在此背景下,国内各类企业网络的发展也得到强有力的助推,特别是一些大中型企业、银行金融部门、邮电行业等领域的网络相关应用更为广泛且需求更加精细化和多样化。

中国银行(BOC)从1996年开始投入网上银行的开发,于1997年建成自己的网页,1998年开始提供网上银行的相关业务。目前,中国银行,工商银行,建设银行,招商银行,光大银行等几家银行的总行及其部分分行已经将网上金融业务全面部署,其余小型地方性银行机构也逐渐部署并开展网上银行业务,开始重新规划和调整企业机构网络。但是目前我国在网上金融领域的发展还处于不太成熟的阶段,发展缓慢,仍有很多问题亟待解决,比如网上经融业务的种类还比较匮乏,服务质量不佳,交互速度较慢,手续复杂等,这当然关系到相关软件的开发,但在根本上还是离不开企业网络的合理规划和完善,需从根本上提高相关业务的交互速度。

传统的银行网络系统是由大量的二层交换设备和少量的三层路由设备组成,是典型的三层网络架构模式,每个层次着重特定的网络功能,对网络的接入,转发,交换等功能进行逐一实现。网络流量以纵向型流量为主,从底层的接入到核心的转发依次对接,在每一层实现特定的网络功能特性,采用分布式处理的方式完成整个网络的正常运转。这种比较规范的层次化网络架构较原先的扁平化网络架构有着较多的优势,比如:板块划分明确,分工细化,数据走向清晰明了,而且有着较高的稳定性和冗余保证,同时后期的网络架构的拓展也比较容易实现。像这种中规中矩的层次化网络架构在很长一段时间里是银行网络规划和部署的首选模型,目前也依然有着不少银行采用这种传统的网络架构,但是随着银行规模的不断扩大,银行业务的需求上升,加上一些虚拟化技术的不断发展,传统的层次化网络架构已经逐渐无法满足银行正常业务的需求。

银行网络发展趋势

20世纪90年代末以来,我国银行业结合自身的业务需求和系统特点,在行业标准和规范的指引下,借鉴国外的先进经验,在业务连续性体系建设上取得了长足的进步。随着银行相关业务的持续推进,网络融合的持续发展。就银行的网络规划与设计的体系而言,为保证银行业务的连续性以及运转的可靠性和安全性,今后的网络架构会依次按照图1-1的网络框架进行演进。
某二级支行网络的设计与实现_第1张图片

总体设计方案

需求分析

本文主要以某支行的网络为原型进行银行网络的规划和设计,经前期调研和考察发现需要建立IP网络和存储网络。在IP网络中,按业务功能和安全需要分为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等)连接相应的主机、服务器、pc机等设备,每个网络区域的汇聚/接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。

根据主要业务需要可以将IP网络主要分为以下功能区域:核心交换区、核心生产区、前置机服务器区、楼层接入区、网银区、DWDM区、广域网接入区、中间业务外联区、运行维护区等九个区域。

银行网络架构注重灵活性、规范性、高可用性、可扩展性、安全性和易管理性,具体体现在以下四个方面:

(1)提供稳定可靠的网络环境,保障银行业务业务的高可用性及业务连续性;

(2)对银行新的业务/应用需求快速响应,满足业务的扩充和变革需求;

(3)成本有效,服务创新与业务目标紧密结合;

(4)高效的网络运行管理,有效的网络风险控制。

设计目标

从网络工程的观点出发,按照标准化、模块化、层次化结构的原则进行银行网络的规划和设计,根据企业具体业务需求将整体网络功能模块规划为:核心交换区、核心生产区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、DWDM区、中间业务外联区等功能模块。在各分区边界部署防火墙,确保访问的安全,实现高性能、高安全、高扩展和易管理的网络银行解决方案。同时根据网络构建的基本要求和准则,从技术基础、方案选择、构建方法等方面进行系统分析,在此基础上进行银行网络拓扑结构的设计,使用Microsoft Visio软件进行整体拓扑的规划设计,并运用华为eNSP模拟器进行网络设备底层基础配置以及部分安全功能仿真。

设计原则

(1) 高可靠性:确保整个网络有较高的鲁棒性,在冗余性上有多重保障,保证正常业务的运转不会因单点故障而受到影响;

(2) 高性能:首先作为银行网络就必然要具备较高的传输性能,较高的网络吞吐量,较强的设备性能,保证网络在高负荷运转的情况下依旧可以支撑起相关业务的正常开展和运行;

(3) 扩展性:网络架构并不是一成不变的,而是以企业的业务需求为主导因素去逐渐扩展和完善的,这就要求网络架构的规划能够支持后续新增设备,并且可以和各种公网相连,可以充分利用现有的网络中的硬件资源,保护现有网络投资;

(4) 开放性:网络设计需要满足相应的开放性要求,因为现有的网络架构绝大多数都是异构化网络,是由多个不同厂商一起构建而成,所以设计时需要能够支持不同厂商的设备的接入;

(5) 安全性:网络安全始终是网络设计中必须要考虑的要素,一个不可或缺的要素,因为这关系到企业业务的运行安全,企业信息的安全乃至整个企业的存亡,所以在网络设计中需从设备的部署方案以及设备的配置方式入手,保障网络安全;

(6) 易管理:一个好的网络设计必须是方便管理的网络体系,让网络管理可以随时了解网络的整体运转状态,业务的流向以及设备的工作状态。

总体拓扑图

逻辑拓扑设计图如图2-1所示;物理拓扑设计图如图2-2所示:
某二级支行网络的设计与实现_第2张图片
某二级支行网络的设计与实现_第3张图片

拓扑说明

参考国内外同行业的组网模型以天津银行东丽支行的网络为原型,按照标准化、模块化、层次化结构的原则进行银行网络的规划与设计。改变现状原有网络架构过于扁平化、安全性低的现状,并且根据具体的业务需求将整个网络按照相应的功能划分为以下九个区域:核心交换区、核心生产区、前置机区、网银区、运行维护区、楼层接入区、广域网接入区(下联区)、中间业务外联区、DWDM区。在重要分区边界部署防火墙,确保访问的安全,实现整体网络的高性能、高安全、高扩展和易管理。各个分区所负责的业务如下:

核心交换区:为整个网络中的各功能子区提供核心路由交换;

核心生产区:部署银行相关生产服务和以及生产数据的存储网络;

前置机服务器区:部署各种业务前置机的专用区域;

楼层接入区:主要负责本地办公用户的网络接入;

网银区:负责和总行的外联专线的对接以及部署网上银行业务的服务器;

DWDM区域:负责连接生产中心和灾备中心的传输系统区域;

广域网接入区:部署下联各区县支行的骨干网路由器,负责和下联支行进行互联;

中间业务外联区:通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务;

运行维护区:部署用于管理和维护整体网络的业务系统。

IP地址及VLAN规划

各功能子区之间IP地址及VLAN规划

在对功能子区之间的网络进行IP地址规划时需要注意其规模大小和所需的可用IP地址数量进行规划,本着易管理、方便汇总、最大化利用以及方便记忆的原则,对整个网络的各功能子区之间的互联网段以及用到SVI地方的VLAN进行规划,因核心交换机连接各功能子区之间的网段以及各功能子区汇聚层的双机热备中间的互联网段皆为安全性等级要求较高的网段,为了避免网络被渗透后的仿冒IP地址攻击,互联网段的掩码长度都规划为30,确保互联网段内除了已经使用的可用的IP之外再无可用IP地址,具体的规划如表2-1所示:
某二级支行网络的设计与实现_第4张图片

各功能子区之内IP地址及VLAN规划

处在每一个功能子区内部的网段需要根据每一个功能子区所负责的业务种类,以及区域内部对于地址的需求数量进行合理规划。要充分利用VLSM算法对掩码进行合理规划,使得网段被最大化利用,在一些安全性要求比较高,以及所负责业务比较重要的网段或区域进行和功能子区一样的划分原则进行处理,确保在重要的网段内部除了已经在使用的IP地址之外,再无其余可用的同网段IP从而确保对应网段的安全,避免地址仿冒攻击以及针对网段的各类泛洪攻击,具体功能子区内部的网段规划如表2-2所示:
某二级支行网络的设计与实现_第5张图片

路由协议选择

路由器的路由是决定要遵循哪条路径并选择最佳路径的过程。路由器可以获取相关路由条目的手段可以分为三种:第一就是物理链路的直连获得的直连路由条目;第二就是通过管理员手动配置静态路由,当然静态路由一般不会使用在大型网络中,因为静态路由的配置是需要单条逐一进行配置,在大型网络中,路由的数量是非常庞大的,用静态路由逐一进行配置可行性不高且易出错,灵活性不够,可拓展性也比较差;第三是通过动态的路由协议进行获取相关的路由条目,学习到达目的网段的路由,从而实现正常的通信,以下就可选的动态路由协议进行详细分析。

外部网关协议选择

根据路由协议的运行范围,可以将路由协议划分为内部网关协议和外部网关协议,内部网关协议运行在一个AS之内,实现一个AS之内的网络互通,而外部网关协议运行在多个AS之间,用来在AS之间传递路由信息实现AS之间的通信,在本次银行网络规划案例中,因规划的功能子区中有个别功能区需要和公网进行通信,比如广域网接入区,网银区和第三方业务外联区都需要和公网进行业务数据的对接,所以需要考虑相应的外部网关协议部署在这样的功能子区。最早的外部网关协议是由BBN技术公司的EricC.Rosen及DavidL.Mills在1982年提出的EGP协议,在1984年的时候被正式规范。刚开始的EGP协议只能在AS之间简单地传递路由信息,不会对路由进行任何优选,也没有考虑如何在AS之间避免路由环路等问题,所以后来又被IETF边界网关协议工作组制定的BGP协议逐渐代替,且目前已经被广泛使用。相比于EGP,BGP更具有路由协议的特征,如下:

(1)邻居的发现与邻居关系的建立;

(2)路由的获取,优选和通告;

(3)提供路由环路避免机制,并能够高效传递路由,维护大量的路由信息;

(4)在不完全信任的AS之间提供丰富的路由控制能力。

因而在部署广域网的相关连通业务时,BGP协议已然成为首选,因其可靠的并且可以跨越设备的邻居关系建立过程,以及选择性的宣告网段的特性,加上其拥有的丰富的路由属性可以对路由的传递进行详细的把控,让数据在跨越公网进行通信时变得可靠很多。所以在本银行网络的设计和规划中,需要和外网进行通信或者进行关键业务对接的功能子区和外联节点之间使用的BGP路由协议,将内部需要和外部通信的网段进行选择性通告,避免将内部网段全部通告给外部节点,从而实现隐蔽内网网络结构和网络信息的作用,提升网络安全性。

内部网关协议选择

内部网关协议按照其路由算法可以分为距离矢量路由协议、链路状态路由协议以及混合型的路由协议。其中距离矢量路由协议包含RIP V1和RIP V2,链路状态路由协议包含OSPF和ISIS,混合型的路由协议有思科私有的EIGRP。因现在的网络都趋向于异构化,也即同一个网络中会使用多种厂商的设备,要实现不同厂商设备之间的对接,私有的一些路由协议一般不会考虑使用,故以下的路由协议对比分析中不会讨论EIGRP协议。

首先从距离矢量路由协议进行分析,RIP协议计算路由度量值的方式是用数跳数的方式进行,在有多条去同一个目的网段的条目时,会优先选择跳数比较小的,其最大的跳数为15跳,也即如果一个网络环境中运行RIP路由协议,单个路由器的最大网络半径就是15个网段,超出这个范围,则为路由不可达,所以在支持的网络规模上有很大的限制。其次,因为RIP的工作原理就是周期性给相连的设备发送自己的路由表的副本,这个周期为30秒,相比较其他的路由协议,RIP的收敛速度就是相对慢很多,所以在大型企业的组网中一般不会选择RIP作为底层的IGP协议实现网络互通。

链路状态的路由协议主要有OSPF和ISIS协议,二者在收敛速度上都要比距离矢量类型的路由协议快,也都适用于大型的企业网络,但是其具体的应用场景可以根据以下几点进行对比分析:

(1)区域结构
OSPF有丰富的区域分类,以及明确的区域拓扑,所有的常规区域都围绕骨干区域,通过ABR交互区域之间的信息,并且还会有stub,nssa,totally stub 和totally nssa的区域属性,适合对区域划分要明确,并且有要求的企业网络架构。
而ISIS区域划分比简单,对于搭建网络而言,所有的连续的建立了level2邻接关系的设备组成的区域就是骨干区域,其余区域通过中间的L1/2路由器互联。并且level1的主机所在区域默认不能学习到其他区域的明细路由,除非手动将level2的路由泄露进level1,ISIS比较适用于对于区域划分要求不高,只需要做全网全通的大型DC底层或者ISP底层。

(2)对路由的控制
采用OSPF的路由器彼此交换并保存整个网络的链路信息, 从而掌握全网的拓扑结构, 并自动计算出路由,并且能够对路由有丰富的路由策略来控制,适用于企业网络,而ISIS相对OSPF,支持的路由策略较少,控制起来相对复杂,首先得进行路由泄露,否则level1 区域的设备只能通过默认路由访问,控制策略不足。

(3)路由承载能力
理论上,OSPF能够承载1万条路由,ISIS能够承载2万条路由,所以ISIS更加适用于底层逻辑拓扑相对简单,不需要过多路由策略维护,但是承载路由条目较多的ISP底层或者数据中心底层,而OSPF更适合层次化的网络规划,对于路由的承载力要求不是太高的企业网和园区网中。

(4)后期的维护和可扩展性

后期维护:
由于大多数工程师对 OSPF 的熟知度更多一点,进行维护时也更有针对性,便于维护。

可扩展性:
由于现网中大多数企业在进行协议部署时, 一般情况下都会选择部署OSPF协议, 如果组网之间进行合并, 可以通过虚连接将网络之间的骨干区域进行互联, 实现网络的扩展。

综上,就链路状态类型的动态路由协议的选择,OSPF要相对更加适合本方案的设计,因为不同的功能子区因承载业务的种类不同,设备的硬件要求也不尽相同,为了实现层次化的网络部署,OSPF的一些特殊区域如stub,nssa,totally stub 和totally nssa可以实现路由域的层次化设计,其实OSPF对于路由的可控程度也比较丰富,可以支持对于路由的精准调控。

网络设备选型

计算机网络架构是企业重要的IT基础架构,是承载企业经营,管理数据的通信管道,其网络设备的具体硬件选型需满足企业网络业务发展和安全生产运行,并且兼顾优化IT固定资产资源配置的要求。根据本设计案例中需满足的具体业务要求为主要目标,以功能要求,性能要求,高可靠性要求以及可扩展性要求为参考点进行设备选型,本案例选型均为华为系列产品。

普通功能子区的接入层设备选择华为S5700系列二层千兆以太网交换机,此产品是华为公司自主研发的二层千兆以太网交换机,提供灵活的全千兆接入以及万兆上行端口。基于高性能硬件芯片和华为公司统一的VRP软件平台,具备大容量、高密度千兆端口,可提供万兆上行,充分满足企业用户的园区网接入、汇聚、IDC千兆接入以及千兆到桌面等多种应用场景。

核心生产区接入层设备因为需要连接公司的存储阵列,在带宽以及交换性能上要比普通区域要求更高,故选择华为OceanStor SNS2624光纤交换机,此产品是专门为关键存储业务打造的网络基础架构。当前关键业务存储环境要求更高的一致性,可预测性和性能来满足不断增长的业务需求,而面对爆炸性的数据增长,存储网络需要更高的IO容量来应对大量的数据、应用和工作负载。除此之外,用户对可用性的整体预期也在不断提高,希望能够随时随地通过任何应用接入和使用应用。为满足这些动态多变而且不断增长的业务需求,企业需要快速部署并且扩展应用。SNS2624光纤交换机可以提供高达32Gbps的高性能要求,通过32Gpbs链路实现每秒1亿次输入/输出操作(IOPS),以及更高的运行稳定性,以支持大规模虚拟化,更大型的云基础架构以及不断增长的闪存存储环境。

一般功能区汇聚层设备选择华为S7700系列三层交换机,此产品是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机,目前广泛引用于园区网络,数据中心核心或者汇聚节点,可组建高可靠,业务易扩展、易管理的企业网络。支持硬件CPU通道队列,防火墙功能模块,在汇聚层为企业业务增加安全保障,保护企业核心免受DDoS攻击与各种安全威胁。

核心生产区的汇聚层设备选择华为S9706交换机,该产品是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设计开发的高端智能T比特核心路由交换机。该产品基于华为公司自主研发的通用路由平台VRP开发,在提供高性能的L2/L3层交换服务基础上,进一步融合了MPLS VPN、硬件IPv6、桌面云、视频会议、无线等多种网络业务,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。目前该产品广泛应用于园区以及数据中心网络核心或者汇聚节点。

整体网络架构的核心设备选择S12700系列交换机,S12700系列交换机是华为公司面向下一代园区网核心而专门设计和开发的敏捷交换机,具有以下特性:支持灵活快速满足客户定制需求;采用全可编程架构,满足用户灵活快速的定制需求,助力用户将网络平滑演进至SDN(Software-Defined Networking);基于华为公司自主研发的通用路由平台VRP,在提供高性能的L2/L3交换服务基础上,进一步融合了MPLS VPN、桌面云、视频会议等多种网络业务;提供CSS2交换网硬件集群(主控1+N备份)等多种高可靠技术。目前该产品广泛应用于园区网络和数据中心网络核心节点。

网络设计方案中用到的路由器选型为NetEngine40E系列全业务路由器,此产品提供业界最大容量的2T路由线卡,成熟的广域SDN方案,自研Solar芯片和VRP软件平台,具备高性能、低功耗、可演进等特性,独创的IP硬管道技术满足关键业务低时延、高可靠的需求,可应用于企业广域网核心节点、大型企业接入节点、园区互联与汇聚节点和各种大型IDC网络出口。

防火墙选择华为USG6600系列下一代防火墙,此产品是面向大中型企业、机构及下一代数据中心推出的万兆园区下一代防火墙。USG6600支持业界最多的6300+应用识别,集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏等多种安全功能于一体,开启多重防护下仍保持高性能,帮助企业构筑面向未来的下一代网络安全防护。

网络安全设计

安全威胁分析

一个完善的企业网络设计除了底层基本的业务连通以外还需要完善的,合理的网络安全规划,保障企业网络可以有着较高的安全性,稳定性以及可靠性。就目前而言,计算机网络安全的威胁因素主要来自于以下几点:

(1)内部安全隐患
主要包括计算机用户自身的安全意识缺乏,使用计算机不规范,未及时更新系统,没有开启PC相关安全功能,比如Windows防火墙未开启或者未安装杀毒软件等导致的安全隐患;除此之外还有公司内部的管理漏洞,对于网络安全的整体解决方案总会有一种说法就是“三分技术,七分管理”,由此可见,一个良好的安全管理条例也是保障网络安全的重要环节,所以企业内部的管理漏洞对于计算机网络体系而言也是一个很大的安全漏洞。

(2)外部安全隐患
来自外部的安全隐患主要包括以下几点:

① 蠕虫、病毒、木马入侵
随着计算机网络技术的不断发展,各类恶意代码也应运而生,而且破坏力度也越来越大,造成的后果也越发严重,其隐蔽性和抗压性也在不断上升,这会成为威胁网络安全的主要外来因素。

② 物理因素
恶劣的外部物理环境有时也会导致网络设备的故障,致使企业中一些关键业务中断,导致网络正常运行受阻,从而间接威胁网络安全。

③ 非法访问
非法访问主要指的是非授权用户利用工具或者通过编写计算机程序来突破计算机网络的访问控制权限,从未进行一些非法操作。

④ 黑客攻击
黑客进行一些前期的扫描,进而对一些扫描出来的漏洞发起攻击,致使网络的正常运行收到破坏,导致一些信息被窃取,关键信息泄露甚至整个计算机系统瘫痪。

安全技术部署

根据以上计算机网络系统面临的安全威胁分析,本文对于银行网络规划的安全设计将根据不同的网络层次进行设计和部署,具体如下:

(1)二层安全技术
二层网络受到的网络攻击相对而言要少很多,更多的就是针对于ARP协议学习过程进行欺骗,从而进行中间人攻击,使得原来的正常的数据走向发生变化,数据会先转发给攻击者的中间设备,然后由中间设备进行二次转发到达原来的目的地,这样所有的数据都会流经攻击者的中间设备,会导致数据泄露,数据篡改等后果。针对这样的攻击,可以在二层交换机上开启端口安全功能,使交换机将正常连接到交换机上的终端的MAC地址,连接的接口以及所属的VLAN作为参数汇总成端口安全表,从而实现对终端的安全认证,后续没有在表格之内的MAC要接入网络时会被拒绝,从而避免了中间人攻击。

二层网络还会受到的基于STP系列协议工作原理的攻击,比如给二层网络中发送优先级异常高的BPDU,会导致STP协议中的根桥的位置被抢占,从而导致整体逻辑拓扑发生更改,致使数据全部流向新的根桥做中转,同样也会导致数据的泄露和篡改。应对这样的攻击可以在运行着RSTP或者MSTP协议的交换机的指定端口上配置根桥保护,其工作原理是当非根交换机收到优先级高于当前根桥的BPDU报文时,会将自己的端口状态置为Discarding状态,不会将优先级高的BPDU传入网络中,从而避免二层网络的震荡。

RSTP协议为了便于用户接入网络时可以快速获取相应的网络服务,专门给连接用户的接口规定了一个端口角色——边缘端口。这个端口角色有一个特性就是端口从刚开始的状态到达可以正常工作的状态是不经历时延的,同样,边缘端口的启动与关闭并不会触发RSTP协议的拓扑变更处理机制,可以实现即插即用的需求。但是这个端口角色也会有弊端,如果有攻击者向边缘端口发送仿冒的BPDU报文时,边缘端口的属性就彻底丧失,变成普通的端口,如果伪造的BPDU的优先级足够高就很有可能会抢占原有的根桥的位置,造成根抢占攻击。应对这样的协议漏洞,解决方法就是在运行着RSTP或者MSTP的二层设备的系统视图下开启BPDU保护功能,结合已经指定了的边缘端口共同发挥作用,工作原理就是配置了BPDU以后,边缘端口收到BPDU 报文以后会直接自动关闭边缘端口,防止伪造的BPDU进入网络。

对于STP系列协议来说,网络的临时性拓扑变化都是需要考虑的,所以STP系列协议有一个专门用于处理网络拓扑发生变化时的一个功能型报文——TC报文。其作用就是加快交换机的MAC地址表的刷新,从而快速收敛形成新的二层工作路径。针对于二层的攻击其实也可以从此处入手,假如持续以高频率给二层网络发送TC报文,将会导致全二层网络设备都在频繁地进行MAC地址表的刷新与再学习操作,会很大程度消耗设备的系统性能,甚至DOWN机从而对整体网络的运行造成影响。针对此类攻击的解决手段是在二层交换机上配置TC保护功能,其工作原理就是设置一个设备处理TC报文的频率阈值,超过阈值的报文将不会再处理,从而保护设备不受TC报文的攻击。

(2)三层安全技术
网络层的安全威胁主要是基于路由条目的学习和传递过程的,主要形式有仿冒IP地址攻击,各类报文泛洪攻击,数据侦听,数据拦截,扫描攻击等,为了应对多种多样的网络层攻击,本案例主要从以下几个方面进行三层安全技术的设计:

路由协议开启认证,本规划案例汇总使用到的路由协议主要有OSPF和BGP,二者都可以支持认证,开启路由协议的认证以后,具体的信息是以加密的形式传递的,而且即使信息被截取,还原的可能性也极低,故可以在安全性要求比较高的链路上开启路由协议的认证功能确保网络的安全性。

NAT技术的应用可以使得私网和公网IP地址和端口进行转换,从内网访问外网时可以对私网地址进行转换使得内外网之间的通信可以正常进行,但是NAT技术除了在内外网边界处可以使用之外还可以适用于一些重要服务器的地址隐藏,也即让内网人员拿到的内网的服务器地址其实也是转换前的地址,比如在本案例中的网银区和中间业务外联区中,网络搭建使用了双层防火墙,将公共服务器置于两层防火墙的DMZ区域,内外网用户访问时地址做了双重转换,隐藏了服务器的真实地址,进一步提升了服务器的安全性。

路由策略的使用可以对网络中的路由条目的传递以及数据的走向进行合理规划,对于一些安全性要求比较高的功能子区,可以访问的网段要进行限制,可以采用Router-Policy工具进行路由传递的调整,如果需要对连通性进行调整,可以使用此工具对通信双方的路由条目的学习进行干涉,使得双方学习不到彼此的网段,自然就无法正常的通信,此工具还可以使用在和广域网对接时对于网布网段的引入场景,比如在本案例中的广域网接入区,要和各下联网点实现业务互通,就必然需要将部分网段引入进内部路由协议,让内部需要和广域网接入区对接的功能子区学习到对应的网段,但是也不能完全将BGP的路由条目导入进OSPF协议,因为外部的网段的数量是十分庞大的,企业内部的设备无法承载过多的路由条目,所以在进行路由重分发时需要选择性引入,这时便可以使用Router-Policy工具进行合理规划,使需要被企业内网知道的网络引入进OSPF协议,避免学习过多的外部路由,同样当企业网络需要和别的第三方业务对接时,只需将内网需要和第三方合作伙伴对接的网段结合Router-Policy工具重分发进外部路由协议即可,从而隐藏公司内部网络结构和一些核心网段,提升安全性。

除了路由策略之外,另外一个进行路由控制的手段就是基于转发层面的策略路由,这种安全手段针对的是数据的转发,不针对路由信息学习和传递。利用此方法可以实现网络连通性的规划与调整,比如针对安全性要求比较高的功能子区而言,可以有权限访问的网段可以利用策略路由里面的Trffic-Filter工具结合ACL进行访问控制,在本案例规划中,广域网接入区就采用了ACL结合Traffic-Filter工具在端口下对广域网接入区的下联设备可访问的内部网段做了规划,从业务需求来分析,广域网接入区只需要访问前置交换区即可,故在ACL的设置只放行了从广域网接入区到达前置服务区的流量,别的网段并未放行,从而避免了从广域网接入区可能有的来自外网的威胁。

(3)防火墙的使用
“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,既能阻断网络中的各种攻击又能保证正常通信报文的通过。在本规划案例中在一些机密性和安全性要求比较高的功能子区中均有部署防火墙,比如核心生产区,中间业务外联区以及网银区。通过在防火墙上部署大量安全策略实现网络安全设计,实现有效的、合理的、规范的区域间访问控制。在本案例中的防火墙都使用了双机热备方案,因为银行企业网络对于网络安全性的需求相比较于普通的企业网络要更加精细,方案需要更加完善,而且银行企业中有大量关键的生产数据以及对应的存储网络等,这就要求银行的网络部署要更加趋向于数据中心网络的部署而不是普通的企业园区网,所以对于防火墙的要求也会高出一个档次。对于防火墙这种衔接内网和外网的设备的可靠性和稳定性提出了更高的要求,为了满足这样的要求,本规划案例中使用到防火墙的地方均使用了双机热备方案,两台防火墙一主一备,在主防火墙出现故障时,备用防火墙可在最短的时间内,且无需中断原有运行业务的基础上完成业务的迁移,保证业务连续性的基础上也提供了同等的安全性保障。

网络模拟实现

模拟器介绍

本案例采用的模拟器为华为的eNSP模拟器,是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,该平台通过对真实网络设备的仿真模拟,帮助用户快速熟悉华为数通系列产品,了解并掌握相关产品的操作和配置。eNSP模拟器在运行时主页面如图4-1所示(已打开综合拓扑):
某二级支行网络的设计与实现_第6张图片

功能实现

运行维护区

运行维护主要是放置一些用于监管和维护网络正常运行的应用服务器,主要包括AC服务器,Agile-Controller服务器和E-sight服务器,三台服务连接到一台S7700系列交换机,需要将三台服务划分在不同的VLAN下,用交换机的SVI当做每台服务器的网关并且在S7700交换机上运行OSPF从而实现和核心交换区以及其余区域的联通性,但是因为运行维护区需要对整体网络进行监管和维护,其安全性要求也是非常高,所以在运行维护区的S7700交换机上的和核心交换区连接的接口下,使用Traffic-Filter工具调用一条用于阻断其他功能区访问运行维护区流量的高级ACL,防止其余功能子区的访问流量进入运行维护区。同时为了防止二层环路,在本规划案例中也使用了MSTP协议进行二层防环。运行维护区S7700交换机设备的具体配置如下所示:

运维区S7700交换机命名、VLAN创建及MSTP域配置:

sysname yunwei-SW
#
undo info-center enable
#
vlan batch 10 100 200 300
#
stp region-configuration
 region-name core
 instance 1 vlan 10 20 30 32 40 42 50
 instance 2 vlan 21 31 33 41 43 51
 instance 3 vlan 52 60 62 81 88
 instance 4 vlan 53 61 63 71 82
 active region-configuration

运维区S7700交换机SVI、物理接口类型及所属VLAN配置:

interface Vlanif10
 ip address 172.16.10.2 255.255.255.252
#
interface Vlanif100
 ip address 192.168.10.254 255.255.255.0
#
interface Vlanif200
 ip address 192.168.20.254 255.255.255.0
#
interface Vlanif300
 ip address 192.168.30.254 255.255.255.0
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
 traffic-filter inbound acl 3000
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 100
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 200
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 300

运维区S7700交换机ACL和OSPF配置:

acl number 3000
 rule 5 deny icmp destination 192.168.10.0 0.0.0.255
 rule 10 deny icmp destination 192.168.20.0 0.0.0.255
 rule 15 deny icmp destination 192.168.30.0 0.0.0.255
#
ospf 1 router-id 11.11.11.11
 area 0.0.0.0
  network 172.16.10.2 0.0.0.0
 area 0.0.0.10
  network 192.168.10.254 0.0.0.0
  network 192.168.20.254 0.0.0.0
  network 192.168.30.254 0.0.0.0

楼层接入区

楼层接入区主要负责本地办公用户的网络接入,在网络连通性上使用OSPF协议实现和核心交换机的网络连通性进而访问别的功能子区,为了本地用户的上网需求,故楼层接入区需要和网银区互联,利用运营商专线满足用户访问外网的诉求,同时本地办公用户还需要和广域网接入区互联,使得用户可以访问本银行的一些下联网点,同时考虑到本地办公用户的数量以及流动性较大的特性,办公用户的IP地址是通过DHCP获取的,为了避免单一网关可能带来的单点故障对网络稳定性的影响,也采用了VRRP协议实现网关的冗余和负载,此外因本区域的汇聚交换机和核心层的三层交换机在物理上成环,故采用MSTP协议进行二层防环。MSTP及OSPF的配置类似运行维护区S7700交换机配置,DHCP及VRRP的具体配置如下所示:

DHCP全局地址池配置:

ip pool a
 gateway-list 192.168.40.254
 network 192.168.40.0 mask 255.255.255.0
 lease day 2 hour 0 minute 0
 dns-list 8.8.8.8
#
ip pool b
 gateway-list 192.168.50.254
 network 192.168.50.0 mask 255.255.255.0
 lease day 2 hour 0 minute 0
 dns-list 8.8.8.8
#
ip pool c
 gateway-list 192.168.60.254
 network 192.168.60.0 mask 255.255.255.0
 lease day 2 hour 0 minute 0
 dns-list 8.8.8.8
#

VRRP及DHCP调用配置:

interface Vlanif400
 ip address 192.168.40.251 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.40.254
 vrrp vrid 1 priority 120
 vrrp vrid 1 preempt-mode timer delay 15
 vrrp vrid 1 track interface Vlanif20 reduced 30
 dhcp select global
#
interface Vlanif500
 ip address 192.168.50.251 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.50.254
 vrrp vrid 2 priority 120
 vrrp vrid 2 preempt-mode timer delay 15
 vrrp vrid 2 track interface Vlanif20 reduced 30
 dhcp select global
#
interface Vlanif600
 ip address 192.168.60.251 255.255.255.0
 vrrp vrid 3 virtual-ip 192.168.60.254
 dhcp select global
#

前置机服务区

前置机的使用更多的是在银行,证券,运营商等地,因为这些企业需要对外提供各种各样的接口服务,而有的服务需要和企业内部的一些后台程序或者核心功能区进行对接,如果和外部的第三方企业对接的时候直接将自己的核心功能区域或者是系统的后台程序和对方相连接,企业网络安全性无法保证,所以需要一些中间设备,并且在这些中间设备上运行一些软件实现从内网连接到第三方服务的客户端为其提供服务,担任着从本企业内部核心或者系统后台到达客户端的中间角色,这些中间设备就叫做前置机。

在本规划案例中,前置机服务区就是专门用来部署前置机的区域,为广域网接入区的下联网点和网银区的公共服务器以及楼层接入区的本地用户提供前置服务。考虑到前置服务区的流量交互需求,故也使用VRRP技术避免单一网关带来的业务不稳定性。因本区域的汇聚交换机和核心交换区的核心交换机在物理上成环,故采用MSTP技术进行防环。同时为了保证和其余功能子区的网络连通性,也许在此功能子区的汇聚设备上运行OSPF协议。具体配置类似运行维护区及楼层接入区。

中间业务外联区

中间业务外联区的主要作用是通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务,因为此区域是直接和广域网相连,故在此区域使用防火墙对进出本区域的流量进行过滤和监管,保障企业内部安全。因为和第三方合作伙伴的部分业务需要和公司内部核心的生产数据对接,为了保障内部核心生产网络的安全性,在此区域采用一台通讯前置机完成和第三方合作厂商的外联业务对接,且通讯前置机需要和企业内网的前置服务区可以通信,从中获取相应的数据为中间业务提供服务,也即在中间业务外联区中的通讯前置机是第三方合作厂商和公司内网之间的中间设备。为了保障其安全性,采用了双层防火墙,且每层防火墙组开启双机热备的安全方案。将通讯前置机置于双层防火墙中间的DMZ区域,内网和外网用户访问时都需要经过地址转换,不管是对内还是对外,都隐藏了其真实的地址,此方案可以充分保障通讯前置机的安全性,相比单层防火墙,这种方案可以避免通讯前置服务器被渗透攻击以后被当做跳板进而对公司内网的正常运转造成破坏。和外网对接的路由协议使用BGP,对需要和外网通信的内网网段进行选择性宣告,从而避免内部其余核心网络被外网知晓。因为中间业务外联区无需知晓别的功能子区的明细网段以及别的区域引入的外部路由,所以设置此区域为Totally-Nssa区域。因总体设计拓扑规模较大,无法将所有的功能子区的功能模拟配置在一个总拓扑中运行,故对此区域单独设计了拓扑并做了相应配置,具体拓扑设计和设备的配置如下:

(1)中间业务外联区分支拓扑设计如图4-7所示:
某二级支行网络的设计与实现_第7张图片
(2)外联区防火墙核心配置如下所示:
防火墙HRP配置:

 hrp enable
 hrp interface GigabitEthernet1/0/2 remote 40.0.0.2
 hrp mirror session enable

防火墙端口安全区域分配、OSPF特殊区域配置:

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
 add interface GigabitEthernet1/0/1
 add interface GigabitEthernet1/0/2
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/3
#
ospf 1 router-id 41.41.41.41
 area 0.0.0.0
  network 40.0.0.1 0.0.0.0
  network 172.16.40.0 0.0.0.255
  network 172.16.41.0 0.0.0.255
 area 0.0.0.40
  network 192.168.91.0 0.0.0.255
  nssa no-summary

防火墙安全策略配置

security-policy
 rule name z2q
  source-zone dmz
  destination-zone trust
  source-address 192.168.90.1 32
  destination-address 172.16.30.0 30
  destination-address 172.16.31.0 30
  destination-address 172.16.32.0 30
  destination-address 172.16.33.0 30
  action permit
 rule name L2T
  source-zone trust
  destination-zone local
  action permit
 rule name D2L
  source-zone dmz
  destination-zone local
  action permit
 rule name YW2TX
  source-zone trust
  destination-zone dmz
  source-address 172.16.10.0 30
  destination-address 192.168.90.1 32
  action permit
# 

防火墙BGP配置

bgp 65001
 peer 44.44.44.44 as-number 65001
 peer 45.45.45.45 as-number 65001
 peer 45.45.45.45 connect-interface LoopBack0
 #
 ipv4-family unicast
  undo synchronization
  network 192.168.90.0
  network 192.168.90.1 255.255.255.255
  peer 44.44.44.44 enable
  peer 45.45.45.45 enable
#

防火墙NAT Server配置

 nat server TXqianzhi 0 protocol icmp global 157.69.1.10 inside 192.168.90.1
 nat server Txqianzhi1 1 protocol icmp global 157.69.2.10 inside 192.168.90.1 no-reverse

外联区出口路由器1的配置

bgp 65001
 peer 43.43.43.43 as-number 65001
 peer 43.43.43.43 connect-interface LoopBack0
 peer 157.68.1.2 as-number 65002
 #
 ipv4-family unicast
  undo synchronization
  network 157.69.1.0 255.255.255.0
  peer 43.43.43.43 enable
  peer 43.43.43.43 next-hop-local
  peer 157.68.1.2 enable
#
ospf 1 router-id 45.45.45.45
 area 0.0.0.40
  network 157.69.1.2 0.0.0.0
  network 45.45.45.45 0.0.0.0
  network 42.0.0.1 0.0.0.0
  nssa
#
ip route-static 0.0.0.0 0.0.0.0 157.69.1.1

第三方路由器的配置

bgp 65002
 peer 157.68.1.1 as-number 65001
 peer 157.68.2.1 as-number 65001
 #
 ipv4-family unicast
  undo synchronization
  network 15.15.15.0 255.255.255.0
  peer 157.68.1.1 enable
  peer 157.68.2.1 enable
#
ip route-static 0.0.0.0 0.0.0.0 157.68.1.1
ip route-static 0.0.0.0 0.0.0.0 157.68.2.1 preference 80

核心生产区

核心生产区的主要功能是部署银行相关生产服务和以及生产数据的存储网络,此功能区关系到整个银行业务的运转,以及关键性业务数据的存储,是整个银行网络设计方案中安全性和隐蔽性要求最高的一个功能子区。此功能区无需和其余外网连通,只需要和DWDM区域进行相连,用于当原有银行网络发生各类大型故障或者入侵攻击导致原有网络无法正常运转时进行关键数据的快速转移,将各类关键性业务数据快速迁移至灾备中心,防止企业核心机密数据受到损害或者泄露。同时为了保证此功能分区的安全性,在分区边界处部署了一组主备防火墙用于过滤其他功能子区的流量进入本区域,但是为了使得网络管理可以对整体网络的实时流量进行监控以及对网络的整体维护,防火墙策略中需要放行来自运行维护区的流量,同时为了让前置服务区的前置机可以给外网用户以及本地用户提供相应服务,核心生产区也需要放行来自前置交换机的流量使其可以访问部分核心生产数据。具防火墙体安全策略、OSPF、VRRP、SVI等配置均已在上文讲解。因总体设计拓扑规模较大,无法将所有的功能子区的功能模拟配置在一个总拓扑中运行,故对此区域单独设计了拓扑并做了相应配置,拓扑设计具体如图4-15所示:
某二级支行网络的设计与实现_第8张图片

广域网接入区

广域网接入区的主要功能是部署下联各区县支行的骨干网路由器,负责和下联支行进行互联,包括同城各个网点之间的网络连接。因考虑到本区域和下联网点相连接时会利用公网进行企业内部数据的传递,故可以利用运营商的骨干网络搭建MPLS VPN通道实现内网数据在公网中的传输,对于企业网络而言,企业的CE设备只需和运营商PE设备间运行路由协议,将内网需要通告的网段告知PE设备即可,远程下联网点以及各级下联支行就可以知道本网络的明细网段从而实现远程的企业内部数据传输,在本区域中企业的CE设备和运营商的PE设备之间的运行的协议选择了BGP协议进行部署,因其建立邻居时使用的是TCP协议进行建立,邻居关系安全可靠,此外还可以选择性的宣告内网网段,除了将需要外网知道的网段宣告进BGP协议之外,无需宣告所有的内网网段,这样可以对企业内网的核心网段进行隐藏和保护,从而提升网络整体安全性。为了避免下联网点被入侵后对内网安全造成威胁,在本区域面向核心的边界处的路由器上配置了高级ACL用于阻止从广域网接入区到达楼层接入区以及前置机服务区之外的流量。其余基本配置见上文讲解,ACL具体配置及调用如下所示:

高级ACL配置:

acl number 3000  
 rule 5 permit icmp destination 192.168.70.0 0.0.0.255 
 rule 6 permit icmp destination 192.168.40.0 0.0.0.255 
 rule 7 permit icmp destination 172.16.10.2 0.0.0.0
 rule 10 permit icmp destination 192.168.80.0 0.0.0.255 
 rule 15 deny icmp 

高级ACL接口下调用

interface GigabitEthernet0/0/0
 ip address 192.168.183.11 255.255.255.0 
 vrrp vrid 1 virtual-ip 192.168.183.1
 vrrp vrid 1 priority 120
 vrrp vrid 1 preempt-mode timer delay 15
 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30
 vrrp vrid 1 track interface GigabitEthernet0/0/2 reduced 30
 traffic-filter inbound acl 3000                 //调用
#

DWDM区

DWDM也即密集型光波复用,是一种可以用在现有的光纤骨干网上提高带宽的激光技术,也即在同一根物理链路中使用多种光信号进行传播,实现链路的复用。原有的TDM(光纤单波传输时分复用)技术可以提供的商业传输的最大速率是40Gbps,而且价格不菲。在SDH(同步数字体系)技术的基础上,光纤传播容量得到了大幅度的提升,当前的DWDM技术(也称OTN技术)可以提供的商业应用速度已经达到了3.2Tbps。目前DWDM技术在数据中心网络或者拥有存储网络的大型企业网络中应用较多,主要用来实现大批量数据的快速迁移,实现大量核心数据的灾备转移。华为针对此方案给出的硬件设备有OptiX OSN 1800V 多业务光传送平台,此设备可支持OTN/PKT/SDH统一交换功能,以太网、TDM、专线等2M~100G全业务接入,并集成MPLS-TP功能,解决城域网络以下光纤资源不足的问题,为金融,媒资,政府,能源,教育等提供了低成本、高效的业务传输方案。但在此设计方案中因无法在模拟器中实现光传送平台业务模拟,故采用华为NetEngine40E系列全业务路由器模拟网络通信,DWDM区域内部使用一个S5720快速交换机实现和灾备中心的链接,为了实现多网关和链路负载,DWDM内部也配置了VRRP技术,具体技术配置参见上文。

网银区

网银区主要负责和总行的外联专线的对接,以及部署网上银行业务的服务器给外网用户提供网银服务,除此之外网银区还需满足在楼层接入区的本地办公人员的上网需求。处在网银区的两台公共服务器需要和前置服务区相连获取相关服务,同时为了保证网银区的公共服务器的安全,防火墙的部署方案和中间业务外联区的部署方案完全一致,靠近外网一次的一组防火墙主要用于过滤来自外网访问公共服务的流量以及负责内网用户访问外网的地址转换,内层防火墙是为了放行来自楼层接入区的访问外网的流量以及从网银区发出的公共服务器访问前置服务区的流量,同时也将网银区的公共服务器的地址进行隐藏,也即在靠近内网的这组防火墙上面也做针对于网银区服务器的地址转换,让内网用户知晓的是转换前的地址,从而实现对网银区服务器真实IP的隐藏,提升整体安全性。因总体设计拓扑规模较大,无法将所有的功能子区的功能模拟配置在一个总拓扑中运行,故对此区域单独设计了拓扑并做了相应配置,具体如下:

(1)网银区分支拓扑如图4-18所示:
某二级支行网络的设计与实现_第9张图片
(2)网银区公共服务对内及对外地址转换配置如下所示:
防火墙对外地址转换配置:

 nat server WEBserver 0 protocol icmp global 202.101.95.10 inside 192.168.181.2
 nat server CFCAserver 1 protocol icmp global 202.101.96.10 inside 192.168.181.3

Easy IP配置:

nat address-group nei 0
 mode pat
 section 0 202.101.95.2 202.101.95.2
#
nat-policy
 rule name nei2wai
  source-zone dmz
  destination-zone untrust
  source-address 192.168.40.0 24
  action nat address-group nei

核心交换区

核心交换区是整个企业网络架构的心脏,承载着所有功能子区之间的路由交换功能,提供高性能,高效率,高稳定性,高可靠性的核心数据转发,针对不同的功能子区划分不同的VLAN,使用SVI技术实现和每一个功能子区的三层互联,运行的底层IGP协议为OSPF,且核心交换区的逻辑区域为Area 0,也即骨干区域,其余功能子区的区域划分详见整体逻辑设计图。在OSPF协议中,任何常规化区域包含特殊区域之间的通信都需要经过骨干区域做转发,也即核心交换区域是所有功能子区之间通信的桥梁。因核心交换区的整体转发速率决定着整个网络的工作性能,网络吞吐量等整体网络性能参数,为保证其高速稳定的数据转发,故在核心交换区并无规划和部署任何安全策略,仅有基于SVI的IP地址配置及OSPF协议配置,此外为了满足整体网络的高带宽需求和保证网络稳定性的需求,在两台核心交换机之间使用了Eth-trunk链路捆绑技术,具体方案使用了静态LACP捆绑方案,核心配置如下:

(1)核心交换机的MSTP域及生成树实例根桥配置如下所示
核心交换机MSTP域及单生成树实例根桥的配置:

stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root primary
stp instance 4 root secondary
#
lacp priority 0
#
stp region-configuration
 region-name core
 instance 1 vlan 10 20 30 32 40 42 50
 instance 2 vlan 21 31 33 41 43 51
 instance 3 vlan 52 60 62 81 88
 instance 4 vlan 53 61 63 71 82
 active region-configuration

核心交换机的Eth-trunk配置:

interface Eth-Trunk1
 port link-type access
 port default vlan 88
 mode lacp-static
 lacp preempt enable
 max active-linknumber 2
 lacp preempt delay 15
#
interface GigabitEthernet0/0/1
 eth-trunk 1
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#
interface GigabitEthernet0/0/3
 eth-trunk 1
 lacp priority 60000

网络测试

为检测一些模拟实现的网络功能是否生效,需要对一些安全方案、网络连通性、地址转换和地址获取情况等进行测试,具体的测试项目如下:
(1)运行维护区对所有功能子区的访问情况,具体见图5-1至图5-7:
某二级支行网络的设计与实现_第10张图片
某二级支行网络的设计与实现_第11张图片
某二级支行网络的设计与实现_第12张图片
某二级支行网络的设计与实现_第13张图片
某二级支行网络的设计与实现_第14张图片
某二级支行网络的设计与实现_第15张图片
某二级支行网络的设计与实现_第16张图片
(2)楼层接入区的本地用户的地址获取情况,具体见图5-8所示:
某二级支行网络的设计与实现_第17张图片
(3)楼层接入区访问外网的连通性及地址转换情况,具体见图5-9至图5-10:
某二级支行网络的设计与实现_第18张图片
某二级支行网络的设计与实现_第19张图片

(4)楼层接入区访问前置服务区的连通性,具体见图5-11:
某二级支行网络的设计与实现_第20张图片

(5)楼层接入区访问网银区公共服务器的连通性,具体见图5-12:
某二级支行网络的设计与实现_第21张图片

(6)楼层接入区和广域网接入区的连通性,具体见图5-13:
某二级支行网络的设计与实现_第22张图片

(7)中间业务外联区中的通讯前置机和前置服务区的连通性,具体见图5-14:
某二级支行网络的设计与实现_第23张图片

(8)中间业务外联区外网用户访问通讯前置机的连通性,具体见图5-15:
某二级支行网络的设计与实现_第24张图片

(9)核心生产区和DWDM区域的连通性,具体见图5-16:
某二级支行网络的设计与实现_第25张图片

(10)广域网接入区下联网点和前置服务区连通性,具体见图5-17:
某二级支行网络的设计与实现_第26张图片

(11)网银区中WEB服务器和CFCA服务器和前置服务区的连通性,具体见图5-18至图5-19:
某二级支行网络的设计与实现_第27张图片
某二级支行网络的设计与实现_第28张图片

(12)网银区外网用户访问WEB服务器和CFCA服务器的连通性具体见图5-20:
某二级支行网络的设计与实现_第29张图片

结论

一家银行企业的网络建设是非常重要的,其网络规划与设计的好坏直接关乎银行网络的连通性,稳定性,可靠性以及网络架构的后期可扩展性,从而间接影响银行业务的正常开展和后期新增业务的拓展。银行网络的规划不同于普通企业园区网络的规划,园区网更加注重用户接入网络的规划和设计、不同工作部门或者工作分区的业务需求分析、为满足对应的业务需求而部署对应的底层网络服务,包括用户访问外网时的网络安全方案设计等。而银行网络的整体架构类似于数据中心网络架构,本银行网络规划案例以“两地三中心”的网络架构为原型进行设计,所谓“两地三中心”指的就是整体的网络架构主要由一个主用的数据中心和一个同城的备份数据中心以及一个异地的灾备中心构成,本案例主要使用了一组主备的生产和存储网络,也即在案例中规划的核心生产区和DWDM区。

此外银行网络更加注重分布式的业务处理,针对不同的业务种类和需求有对应的功能子区负责,因此每一个功能子区对于网络的需求各不相同。同时银行网络对于整体网络安全性的要求也远高于普通的园区网,所以在银行网络规划和设计时,除了满足单一功能子区的应用需求而部署的底层互通网络之外,还需要设计周密的安全方案,在安全性要求比较高的功能子区之内设计详细周密的网络安全方案,尤其是和外网进行对接的区域,比如像本案例中的中间业务外联区以及网银区,这两个部门都是直接和广域网进行对接的区域,需要强有力的安全策略保证内网安全,在了解了一些业内同行的企业网络规划案例后,对这两个区域部署了一种现网中目前使用较多的网络安全设计,也即双层防火墙设计,其作用主要是为了保证双层防火墙中间的公共服务器的安全,从流量过滤和地址转换两个层面上进行上进行双重安全保障。

注:项目涉及的所有设备的完整配置脚会在后续相关系列博客中更新

你可能感兴趣的:(华为,学习,网络协议)