实训工程项目实施指南

1网络工程实训综合项目指南前言本综合项目实施指南包含如下几个主题：1、模拟工程业务需求描述2、模拟工程总体网络设计方案2.1、总体拓扑分析2.2、工程技术选型2.3、工程设备选型3、模拟工程实施方案3.1、网络设备命名规范3.2、IP地址分配规范3.3、局域网络工程实施规范3.3.1、总部局域网络工程实施规范3.3.2、分部1局域网工程实施规范3.3.3、分部2局域网工程实施规范3.4、WAN工程实施规范3.4.1、物理连线与接口规范3.4.2、广域网链路协议和IP路由规范3.5、网络边界工程实施规范3.5.1、NAT工程实施规范3.5.2、ACL工程实施规范3.6、测试与验收4、工程进度与人员安排5、附件业务需求分析新的金融环境，新的金融业务需求，面对WTO的挑战，面对来自海外商业银行全方位的竞争，中国银行业正在积极应对：提供更具吸引力的金融产品，提高运作2效率，科学减少风险，提高客户满意度，降低生产成本，同时更需要充分发挥本地优势和规模覆盖优势。所有新形势下的运作需求对金融数据网提出了更高的要求，金融数据集中、业务需整合、网络要合一等等；而作为直接与客户交互的网点级营业机构，虽然处在金融数据网络的边缘，其业务支持、可靠保障等等方面的要求却并不断递增，再加上其数量众多，地域分布广，是银行进入市场最前沿的竞争阵地。我国各大商业银行当前的网点在服务功能、业务种类、业绩、竞争能力等方面需要全面提升，网点质量的提升是银行整体提升服务价值和竞争力的重要手段之一。在这种行业信息化市场变革的大背景下，XX银行湖南省分行为提升自身的行业竞争力、抢占更多的市场空间和进一步扩大客户资源的覆盖规模，从近期开始不断地向社会上投放了大量的营业网点。比如7月份到9月份之间就陆续增加了师大树达学院、天马湖大公寓、科教新村、师大河边宿舍、五一广场新大新、五一广场平和堂、国际IT城、格兰康都、农大金岸公寓、生物机电东湖校区等ATM网点或自助银行。虽然，目前各大商业银行为提高自身的行业竞争力而不断提升服务功能、业务种类以及压缩运营成本，使得其网络系统平台早已超出当初承载纯核心生产业务的范畴，目前承载的业务品种与数据类型非常丰富，在保证传统生产类业务数据的同时，生产类的语音，管理类的影像以及办公类的视讯、语音甚至互联网的流量均成为网路上传输的常见数据。而xx银行湖南省分行近期所开通上述网点由于运营时间短，业务种类相对比较简单。比如：除格兰康都、国际IT城两网点具有管理类语音、监控业务，传统生产类业务之外；其他网点均只有传统生产类业务与管理类监控业务。这些网点的生产类业务与管理类业务都要求实时的传输到湖南分行东塘网络中心的相关数据库内进行保存。以上为“xx银行湖南省分行综合业务数据网络系统”的一个大概业务情况。也可以这么讲该业务需求分析就是本次综合实验的应用背景。根据该银行网络建设需求的分析，我们的总体网络设计方案如下：3总体网络设计方案总体拓扑结构该拓扑并非实际工程拓扑，而是在实际工程拓扑的基础之上结合本次实训所涉及到的基础知识以及实验环境而改写的。但基本上可以是“xx银行湖南省分行综合业务数据网络系统”项目的一个再现。监控数据语音数据E1专线E1专线SiSiXX银行湖南省分行综合业务数据网络系统总体拓扑师大树达学院ATM网点湖南分行东塘总部S0/0S0/0S0/0S0/1FE0/0FE0/0FE0/1FE0/24FE0/24FE0/24国际it城自助银行网点生产数据监控数据生产网语音数据监控数据E0/0FE0/242322212021FE0/24FE0/24办公数据生产数据OAserver监控server营帐serverCisco3640Cisco2503Cisco2503Cat2950Cat2950Cat2950Cat2950Cat2950S0/3internetS0/0监控数据语音数据E1专线E1专线SiSiXX银行湖南省分行综合业务数据网络系统总体拓扑师大树达学院ATM网点湖南分行东塘总部S0/0S0/0S0/0S0/1FE0/0FE0/0FE0/1FE0/24FE0/24FE0/24国际it城自助银行网点生产数据监控数据生产网语音数据监控数据E0/0FE0/242322212021FE0/24FE0/24办公数据生产数据OAserver监控server营帐serverCisco3640Cisco2503Cisco2503Cat2950Cat2950Cat2950Cat2950Cat2950S0/3internetinternetS0/0该模拟工程拓扑再现了实际项目中树达学院与国际IT城两个远程金融网点与分行总部东塘办公营业点之间的网络连接。4东塘办公营业点是湖南分行的总部，其相应的工作部门、员工、办公场所以及所开展的金融业务在所有网点中是规模最大功能最齐全的。因此其本地网络采用具有可扩展性的层次化的交换网络架构：核心层与接入层。相关部门的业务通过接入层交换机连接，数据中心服务器连接在核心层交换机上。由于存在着远程节点与互联网业务，由边界路由器提供到远程网点与互联网的连接。该行的远程网点主要是小型的ATM网点与自助型营业网点，因此其生产规模和业务种类相对比较小。如师大树达学院的ATM网点主要是一台ATM自动取款机和视频监控终端，因此该网点主要采用的是个单臂路由器架构的交换网络解决方案，即：一台接入层交换机负责接入ATM的生产业务与监控业务，并通过本地路由器的WAN连接与分行总部的数据中心进行数据交互。而国际IT城是一个自助式的营业网点，不仅金融业务种类多而且还有专人负责金融安全管理工作，因此有专门的接入层交换机负责生产业务，还有专门的交换机负责接入管理类的视频监控与语音业务。该网点同样有路由器负责到分行总部的WAN连接。工程技术选型金融行业的网络信息平台实际上是个典型的跨越若干区域的大型企业WAN网络。XX银行湖南分行的网络平台不管是从业务范围还是总体网络拓扑上看亦是如此，即连接了若干个本地局域网的WAN网络。从总体拓扑图上可以看出该网络平台由若干局域网络、连接局域网的WAN链路、实现WAN链路连接和跨网段通讯的路由器以及提供internet接入的边界设备等技术模块组成，因此涉及到的相关支撑技术如下：局域网网络：VLAN，由于金融行业非常强调数据的安全，不同业务之间数据不能渗透，因此不管是分行总部还是远程网点每一种业务类型对应一个vlan。有关vlan的具体规划见“局域网工程实施规范”部分。5TRUNK，由于网络中创建了若干了vlan，因此为保证网络在承载业务上的可扩展性，在交换网络设备之间（总部局域网）、交换设备与路由器之间（远程网点）采用trunk链路来同时承载来自不同的vlan的数据。有关trunk的具体规划见“局域网工程实施规范”部分。VTP（如果是非cisco设备则选用gvrp），为保证总部交换网络中vlan信息的一致，部署vtp技术来实现vlan在交换机之间的同步。有关VTP的具体规划见“局域网工程实施规范”部分。VLAN间路由，由于远程网点的业务数据需要通过路由器与总部数据中心进行交互。总部的办公或业务数据也有与外网通信或与数据中心交互的需求，因此要涉及到跨网段通信即vlan间路由。远程网点的vlan间路由解决方案是单臂路由器vlan间路由，总部网络的vlan间路由解决方案是三层交换机上vlan间路由；从这里也可以知道，即总部交换网络中的核心层交换机是一台三层交换机。有关VLAN间路由的具体规划见“局域网工程实施规范”部分。WAN链路技术E1专线，由于远程网点与总部数据中心要求实施的数据交互，并且还有对带宽和延迟要求比较高的视频与语音业务，再加上金融数据对安全性要求也非常高等特点。因此选用带宽、延迟、安全、可靠性以及成本等方面都比较合适的E1专线技术。在本次中所有远程网点与东塘总部之间都是采用E1线路。有关E1专线的具体规划见“WAN工程实施规范”部分。路由技术静态路由，虽然路由协议技术除了静态路由之外还有许多的其他的动态路由协议，比如：RIP、EIGRP、OSPF、ISIS等。并且静态路由相对于动态路由存在着许多的不足，但其配置和管理非常简单与直观的特点还是使得它在众多的实际工程项目中得到应用，尤其是路由网络结构非常简单的中小型企业网中。在“xx银行湖南省分行综合业务数据网络系统”项目中也确确实实采用的是静态路由来为远程网点与总部数据之间的交互提供路由。有关静态路由的具体规划见“WAN工程实施规范”部分。6安全控制技术NAT，由于该行办公区涉及非金融关键业务的用户可以上互联网，并且内部数据所携带的私有地址是不允许上外网的。因此，在提供INTERNET接入的边界路由器上要实施NAT，负责将到外网去的数据中的内部地址转换为公网地址以便保证到外网的访问。有关NAT的具体规划见“网络边界工程实施规范”部分。ACL，根据业务需求分析可知，该网络中只允许涉及非金融关键业务的办公区用户数据上网；并且数据中心的各种业务服务器只允许提供给来自相关业务的数据访问。因此必须要用ACL来保证上述需求的实现。有关ACL的具体规划见“网络边界工程实施规范”部分。工程设备选型考虑到我公司实现该模拟工程的实验设备的实际情况，该模拟工程中的设备选型与“xx银行湖南省分行综合业务数据网络系统”项目中实际用到的设备完全不同。此处的涉及到的网络设备均是我司实验室的实际设备，但所体现出的设备选型的思路与实际工程中设备选型的思路是完全一致的。设备选型的基本思路如下：根据客户的网络业务需求来选择相关的支撑技术，根据相关的技术来选择相关的实现设备。本模拟工程中涉及到的设备有下列几种：交换设备：Catalyst3560：做为分行总部交换网络中的核心层交换机。连接了低端的接入层交换机与边界路由器以及数据中心的各种服务器。Catalyst3560交换机是cisco目前主流的一款三层交换机。在技术选型部分所涉及到相关交换技术均能支持。有关Catalyst3560交换机的具体特性可以查阅cisco的官方网站（、）。7Catalyst2950：在总部交换网络与远程网点中的接入层交换机。为各种业务数据提供了接入。Catalyst2950交换机是cisco入门级的企业网络交换机，只具有二层功能。其具体的特性可以查阅cisco的官方网站（、）。路由器设备：Cisco3640：部署在总部，做为INTERNET接入的边界路由器，同时还提供了到远程网点的WAN连接。Cisco3640路由器是一款用在中小型企业网总部或大型企业远程节点的中低端模块化路由器，含有4个插槽，可以插入4个带有局域网或广域网接口的NM模块。在该模拟工程中本设备所插用的接口模块在“WAN工程实施规范”部分会有详细介绍。Cisco2500：部署在国际IT城等远程网点负责提供到总部网络WAN连接的路由设备。Cisco2500是cisco早期的入门级企业WAN网络接入设备，属于固定接口配置的设备。在其面板上往往集成了两个WAN接口和一到两个LAN接口。该产品目前cisco已经停止生产和销售。Cisco4500：部署在师大树达学院网点提供到总部网络的WAN连接，其以太网接口支持单臂路由器vlan间路由解决方案。改产品是cisco非常早期的模块化路由器，具体接口配置以实施室设备为准。目前已经停止生产与销售。模拟工程实施方案网络设备命名规范为了在今后的管理和优化过程便于对网络系统中的资源和物理设备进行维护与配置，我们必须要对该网络中的所有设备进行规范化的系统命名。其规划如下：网络设备命名所有网络设备的主机名格式为：[AAAA][B][C][DDDD][E]AAAA：地理区域，如：东塘网络中心----WLZX，国际IT城----GJIT8B:表示设备厂商编码。如：C----思科，H----华为，H3----华3，B----博达C:设备类型编码标志位。如：r----路