銳捷關(guān)于平安證券的3G解決方案畢業(yè)設(shè)計論文

1、銳捷關(guān)于平安證券的3g解決方案摘要：如今有線網(wǎng)絡(luò)已經(jīng)日趨成熟，各種技術(shù)及應(yīng)用相繼產(chǎn)生，極大的滿足了人們的需求。隨著近年來無線終端和智能手機(jī)的普及，有線網(wǎng)絡(luò)的缺陷開始表露出來：成本高、覆蓋范圍小、開通周期長、機(jī)動性差。 為此各種網(wǎng)絡(luò)廠商推出自己的無線解決方案，例如：cisco的byod，銳捷的3g解決方案，juniper的無線解決方案等等?，F(xiàn)如今無線網(wǎng)絡(luò)呈大幅度增加趨勢，無線網(wǎng)絡(luò)的安全、穩(wěn)定性開始受到人們的關(guān)注，因此各種加密技術(shù)開始出現(xiàn)，無線設(shè)備的性能也開始大幅度提高。人們對于無線的需求促進(jìn)了相關(guān)產(chǎn)業(yè)鏈的發(fā)展，中國的3g網(wǎng)絡(luò)應(yīng)運(yùn)而生。目前國內(nèi)主要有三種接入方式：聯(lián)通的wcdma、移動的td-sc

2、dma、電信的cdma2000，就帶寬而言聯(lián)通毫無疑問是3g的主導(dǎo)者，為此其他運(yùn)營商的目光開始瞄準(zhǔn)4g、5g以致快速搶占市場。未來的無線網(wǎng)絡(luò)發(fā)展速度是驚人的，熟悉各種無線技術(shù)成為了網(wǎng)絡(luò)工作者的必修課程。關(guān)鍵詞：有線網(wǎng)絡(luò)；無線網(wǎng)絡(luò)；byod;網(wǎng)絡(luò)安全；銳捷；3g；ruijie on ping an securities 3g solutionabstract: now the wired network has become more mature, various technology and application have been produced, great to meet the

3、needs of the people. with the popularity of wireless terminal and intelligent mobile phone in recent years, defects of wired network began to show: high cost, coverage of small, long construction period, poor mobility.therefore various network manufacturers introduced wireless solutions, example: ci

4、sco byod, ruijie 3g solution, juniper wireless solutions. nowadays, wireless network is greatly increased, safety, stability of the wireless network has been paid attention , so all kinds of encryption technology began to appear, the performance of wireless equipment also began to increase.it promot

5、es the development of related industrial chain for wireless demand, the 3g network in china emerge as the times require. currently there are three access methods: unicom wcdma, mobile td-scdma, telecom cdma2000, leader of the unicom 3g no doubt in terms of bandwidth, so other operators eyes aimed at

6、 4g, 5g and occupy the market quickly. future wireless network development speed is breathtaking, be familiar with all kinds of wireless technology has become a required course for web workers.keywords: cable network; wireless network; byod; network security; 3g;引 言隨著3g技術(shù)及其業(yè)務(wù)的發(fā)展，相較2g、2.5g，其高速率、高安全性、

7、覆蓋廣、機(jī)動性強(qiáng)的特性無疑為銀行服務(wù)渠道的快速拓展提供了極大的便利。銳捷網(wǎng)絡(luò)作為業(yè)界領(lǐng)先的網(wǎng)絡(luò)解決方案及網(wǎng)絡(luò)服務(wù)提供商，已經(jīng)服務(wù)工、農(nóng)、中、建、人壽、人保等金融企業(yè)，憑借多年來積極分析、探索、研究3g技術(shù)，已經(jīng)使3g技術(shù)在金融企業(yè)的應(yīng)用成為可能。面對一個新挑戰(zhàn)、新機(jī)遇的時代，銳捷把構(gòu)建安全高效可靠的網(wǎng)絡(luò)作為實(shí)現(xiàn)的主要目標(biāo)。通過一系列的網(wǎng)絡(luò)技術(shù)，為公司的日常辦公、事務(wù)處理和輔助決策提供準(zhǔn)確、有效、廣泛、及時的信息支持，實(shí)現(xiàn)辦公現(xiàn)代化、信息資源化、傳輸網(wǎng)絡(luò)化和決策科學(xué)化；降低技術(shù)人才的勞動強(qiáng)度，提升技術(shù)人才的腦力價值，從而獲得更大的經(jīng)濟(jì)效益，加快企業(yè)現(xiàn)代化、信息化建設(shè)。 需求分析1.1需求概述 平

8、安證券是中國平安綜合金融服務(wù)集團(tuán)旗下的成員之一，深圳業(yè)務(wù)部擁有500名員工，公司有近400臺運(yùn)行windows xp/2007的計算機(jī)?？偛课挥谏钲?，分別在昆明、長沙等地設(shè)有分公司?？偛吭O(shè)有財務(wù)、銷售、it和人事四個部門，分公司由銷售、財務(wù)、it三個部門組成,人事的任命由總部統(tǒng)一管理。 平安證券的組織架構(gòu)如圖1.1所示：圖1.1 平安證券的組織架構(gòu)圖平安證券對網(wǎng)絡(luò)系統(tǒng)有極大的依賴性，內(nèi)部辦公以及業(yè)務(wù)都需要網(wǎng)絡(luò)的支持，因此實(shí)現(xiàn)一個安全、高效、穩(wěn)定的辦公網(wǎng)絡(luò)就顯得尤為重要。為了滿足各項業(yè)務(wù)的發(fā)展，使平安證券的網(wǎng)絡(luò)系統(tǒng)能夠在幾年內(nèi)保持先進(jìn)性和實(shí)用性，平安證券要求在項目的規(guī)劃和實(shí)施中采用先進(jìn)的網(wǎng)絡(luò)設(shè)備

9、，并實(shí)現(xiàn)公司所有信息資源的合法應(yīng)用及完善管理，使所有員工（除財務(wù)部）既能方便快捷地訪問內(nèi)部網(wǎng)絡(luò)資源，又能安全高效地訪問互聯(lián)網(wǎng)。1.2網(wǎng)絡(luò)總體要求 滿足企業(yè)信息化的要求，為各類應(yīng)用系統(tǒng)提供方便、快捷的信息通路。 良好的性能，能夠支持大容量和實(shí)時性的各類應(yīng)用。 能夠可靠地運(yùn)行，實(shí)現(xiàn)高可用性。 提高安全機(jī)制，滿足保護(hù)企業(yè)信息安全的要求。 具有較高的性價比。 未來升級擴(kuò)展容易，保護(hù)用戶投資。 操作簡單、易于維護(hù)管理。 1.3建設(shè)目標(biāo)實(shí)現(xiàn)平安證券給出的項目需求，建設(shè)一個暢通、高效、安全、穩(wěn)定、可擴(kuò)展的企業(yè)網(wǎng)，確保公司內(nèi)各種計算機(jī)應(yīng)用系統(tǒng)產(chǎn)生的大量信息能夠穩(wěn)定的傳輸，并支撐公司內(nèi)各類信息系統(tǒng)的運(yùn)行。能讓企

10、業(yè)員工最大限度地利用網(wǎng)絡(luò)資源，提高企業(yè)辦公效率，減輕it維護(hù)人員的工作量，降低網(wǎng)絡(luò)的運(yùn)行費(fèi)用，并提高網(wǎng)絡(luò)系統(tǒng)的整體運(yùn)行質(zhì)量，保護(hù)平安證券的投資。銳捷提出了3g解決方案，該方案提供最高的安全性，支持各種綁定策略，實(shí)現(xiàn)?？?、專人、專用，內(nèi)置支持國內(nèi)商用領(lǐng)域保密性最好的加密算法sm1，支持?jǐn)?shù)字證書與3g路由器綁定保證身份安全。并根據(jù)接入的不同場景切換不同的組網(wǎng)模式，3g路由器在匯聚端提供路由、加密界面分離，路由、加密一體化部署方式，滿足各種場景應(yīng)用需求。此次銳捷還安裝了運(yùn)維軟件，在匯聚端提供圖形化的管理界面，方便查看3g接入的隧道，在線用戶情況，3g流量情況，異常告警，減輕管理維護(hù)的工作量。規(guī)劃實(shí)施

11、的平安證券網(wǎng)絡(luò)包含深圳總部、昆明和長沙兩個分公部，其網(wǎng)絡(luò)建設(shè)需求如下： 昆明分公司、長沙分公司通過vpn虛擬專線連接深圳總部，實(shí)現(xiàn)深圳-昆明、深圳-長沙的網(wǎng)絡(luò)的互聯(lián)互通。 深圳總部通過一條以太網(wǎng)方式的寬帶接入鏈路（10m帶寬）連接到互聯(lián)網(wǎng)，提高訪問互聯(lián)網(wǎng)的速度。 深圳總部的內(nèi)部局域網(wǎng)絡(luò)采用全冗余結(jié)構(gòu)保障網(wǎng)絡(luò)的高可用性。 網(wǎng)絡(luò)總體架構(gòu)要求高效、健壯、安全，具有良好的可擴(kuò)展性。 網(wǎng)絡(luò)設(shè)計為模塊化的拓?fù)浣Y(jié)構(gòu)，總部統(tǒng)一進(jìn)行規(guī)劃和管理，全網(wǎng)采用統(tǒng)一的網(wǎng)絡(luò)方案和策略。 每個分公司的網(wǎng)絡(luò)自成體系。 深圳總部的局域網(wǎng)規(guī)劃使用vlan、vtp、stp等交換技術(shù)，提高網(wǎng)絡(luò)的安全性和可靠性。 網(wǎng)絡(luò)互聯(lián)要求使用收斂速

12、度快、效率高的路由協(xié)議，保證總部和分公司網(wǎng)絡(luò)之間的可達(dá)性和穩(wěn)定性。 方案設(shè)計2.1 整體規(guī)劃 按照平安證券的網(wǎng)絡(luò)需求，銳捷計劃對平安公司的網(wǎng)絡(luò)進(jìn)行詳細(xì)規(guī)劃。首先確定總部及分部的拓?fù)?，設(shè)備的型號、命名、連接情況，并規(guī)劃好ip地址，使網(wǎng)絡(luò)具備邏輯的連通性。其次選擇實(shí)用性和通用性俱佳的網(wǎng)絡(luò)技術(shù)，評估網(wǎng)絡(luò)技術(shù)的合理性及實(shí)施后的益處。再次建立冗余備份鏈路，確保各種網(wǎng)絡(luò)服務(wù)和信息系統(tǒng)的正常運(yùn)行，不會因?yàn)榫W(wǎng)絡(luò)故障而無法訪問。 銳捷3g解決方案總體設(shè)計原則是開放性、實(shí)用性、安全性、穩(wěn)定性、可擴(kuò)展性，并采用層次化結(jié)構(gòu)設(shè)計。本次網(wǎng)絡(luò)建設(shè)主要涉及深圳、昆明、長沙三個地區(qū)，其中深圳有四個部門：銷售部、財務(wù)部、it部、

13、人事部，昆明和長沙有三個部門：銷售部、財務(wù)部、it部。平安證券的財務(wù)部是敏感部門，因此使用策略禁止訪問互聯(lián)網(wǎng)。2.1.1 拓?fù)鋱D平安證券網(wǎng)絡(luò)拓?fù)鋱D分為三個部分：總部拓?fù)鋱D，移動車拓?fù)鋱D，分部拓?fù)鋱D。拓?fù)鋱D設(shè)計為層次化結(jié)構(gòu)：接入層、匯聚層、核心層，接入層負(fù)責(zé)底層數(shù)據(jù)的連接；匯聚層搜集接入層流出的數(shù)據(jù)，并承擔(dān)大量的協(xié)議和服務(wù)；核心層負(fù)責(zé)三層的數(shù)據(jù)包轉(zhuǎn)發(fā)、交換、尋址。這樣設(shè)計分散了數(shù)據(jù)流量的負(fù)擔(dān)，易于排錯和管理，且每層分工明確。具體拓?fù)鋱D如下：圖2.1總部拓?fù)鋱D圖2.2移動車拓?fù)鋱D圖2.3分部拓?fù)鋱D2.1.2 設(shè)備清單、命名和連接平安證券的網(wǎng)絡(luò)項目中使用的路由、交換設(shè)備將全部采用銳捷的產(chǎn)品。詳細(xì)型號

14、如表2-1：序號型號描述數(shù)量說明備注1rg-s2628g-p24口10/100m自適應(yīng)端口2個sfp/gt光電復(fù)用口（sfp為千兆/百兆口）1個擴(kuò)展槽最大提供370w poe供電背板帶寬：49.6g8接入交換機(jī)深圳總部6臺，昆明和長沙公司各1臺2rg-s3760e-2424口10/100m 2個sfp/gt光電復(fù)用口1個擴(kuò)展槽交流電源支持r p s2會聚交換機(jī)深圳總部2臺3rsr50e-80主控引擎插槽 2個內(nèi)存 1gmbflash 512mb背板帶寬 56gbps轉(zhuǎn)發(fā)性能 4.5mpps24mpps固化三層以太路由業(yè)務(wù)接口 4ge（光電復(fù)用）控制臺口 1個（rj45接口）業(yè)務(wù)模塊插槽 8個

15、（nmx標(biāo)準(zhǔn)插槽）1核心層路由深圳總部1臺4rg-rsr20-04固定wan以太口：2fesic插槽：4aux口：1配置口：1硬件加密：支持sdram：缺省128m性能：280kpps2分部路由器昆明、長沙各1臺5rg-rsr10-02固定端口： 2個10/100m快速以太口1個console端口模塊插槽： 2個sic網(wǎng)絡(luò)/語音模塊插槽存儲模塊：flash：缺省32msdram：缺省64m3移動車3g路由移動車3臺6rg-ap220-e射頻設(shè)計：雙射頻卡設(shè)計傳輸協(xié)議：支持802.11b/g/n和802.11a/n同時工作工作頻段：2.4ghz和5.8ghz傳輸速率：單射頻卡最大提供300mbp

16、s接入速率，整機(jī)最大提供600mbps接入速率3ap深圳總部3臺7cisco asa 5505企業(yè)級防火墻 并發(fā)連接數(shù)：25000 網(wǎng)絡(luò)吞吐量：150mbps安全過濾帶寬：100mbps用戶數(shù)限制：10 網(wǎng)絡(luò)端口：8 控制端口：console,rj-45 vpn支持：支持 管理：思科安全管理器(cs-manager),web 1防火墻深圳總部1臺8cisco ucs c210 m1內(nèi)存類型：ddr3 最大內(nèi)存容量：96gb 存儲 硬盤接口類型：sata/sas 最大硬盤容量：8tb 內(nèi)部硬盤架數(shù)：最大支持16塊小型sff/sas/sata硬盤 熱插拔盤位：支持熱插拔 raid模式：raid 0

17、，1，5，6，10，50，60 網(wǎng)絡(luò)控制器：雙千兆網(wǎng)卡 2服務(wù)器深圳總部2臺表2-1設(shè)備清單平安證券在網(wǎng)絡(luò)新建中使用的設(shè)備主要包括3種類型：二層交換機(jī)、三層交換機(jī)和路由器，設(shè)備放置的地點(diǎn)在3個地方：深圳、昆明和長沙，因此，為了便于管理，我們提出設(shè)備的命名統(tǒng)一使用如下格式：設(shè)備類型地點(diǎn)縮寫編號。設(shè)備命名如表2-2：公司名稱設(shè)備默認(rèn)名稱設(shè)備修改名稱深圳switch2s-sz-02深圳switch3s-sz-03深圳switch4s-sz-04深圳switch5s-sz-05深圳switch6s-sz-06深圳switch7s-sz-07深圳三層switch2s3-sz-02深圳三層switch3s

18、3-sz-03深圳ap1ap-sz-xs深圳ap2ap-sz-it深圳ap3ap-sz-rs深圳server1web+dns深圳server2aaa深圳fire wallfm深圳router0r1-sz-00長沙switch8s-cs-08長沙router2r2-cs-02昆明switch9s-km-09昆明router3r3-km-03移動車router4r4-ydc-04移動車router5r5-ydc-05移動車router6r6-ydc-06表2-2設(shè)備命名設(shè)備連接設(shè)計要求必須統(tǒng)一標(biāo)準(zhǔn)的、嚴(yán)格的連接規(guī)范，便于網(wǎng)絡(luò)工程的順利實(shí)施與運(yùn)行管理。設(shè)備連接表如表2-3：連接設(shè)備名稱端口被連接設(shè)備

19、名稱端口r1-sz-00s0/3/0廣域網(wǎng)設(shè)備s0r1-sz-00f0/1聯(lián)通聯(lián)通lacr2-cs-02s0/2/0廣域網(wǎng)設(shè)備s1r3-km-03s0/2/0廣域網(wǎng)設(shè)備s2r2-cs-02f0/0s-cs-08f0/3r3-km-03f0/0s-km-09f0/3r1-sz-00f0/0fmf0/1fmf0/0s3-sz-02f0/5s3-sz-02f0/1s3-sz-03f0/1s3-sz-02f0/2s3-sz-03f0/2s3-sz-02f0/3s-sz-06f0/3s3-sz-02f0/4s-sz-07f0/4s3-sz-02f0/7web+dnsweb+dnss3-sz-02f0/6

20、aaaaaas3-sz-03f0/3s-sz-07f0/3s3-sz-03f0/4s-sz-06f0/4s-sz-06f0/1s-sz-02f0/2s-sz-06f0/2s-sz-03f0/2s-sz-03f0/3ap-sz-xsap-sz-xss-sz-07f0/1s-sz-04f0/2s-sz-04f0/3ap-sz-itap-sz-its-sz-07f0/2s-sz-05f0/2s-sz-05f0/3ap-sz-rsap-sz-rs表2-3設(shè)備連接2.1.3網(wǎng)段與vlan規(guī)劃平安證券網(wǎng)絡(luò)的網(wǎng)段劃分遵循3個依據(jù)：地點(diǎn)、部門和功能，這樣可以使網(wǎng)絡(luò)結(jié)構(gòu)更清晰，各個分公司和職能部門的隔離也更加安

21、全，降低了日后維護(hù)的工作量。在深圳總部接入路由器r1-sz-00和fm防火墻使用192.168.1.0/24網(wǎng)段；fm防火墻與三層交換機(jī)s3-sz-02使用192.168.0.0/24的網(wǎng)段；深圳總部接；深圳總部接入路由器r1-sz-00和長沙分公司r2-cs-02，昆明分公司r3-km-03之間使用221.221.221.0/24的公網(wǎng)；深圳總部財務(wù)部（vlan100）使用172.22.0.0/24的網(wǎng)段；深圳總部銷售部（vlan200）使用172.22.1.0/24的網(wǎng)段；深圳總部it（vlan300）使用172.22.2.0/24的網(wǎng)段；深圳總部人事部（vlan400）使用172.22.

22、3.0/24的網(wǎng)段；深圳總部web+dns服務(wù)器使用172.22.4.0/24網(wǎng)段；深圳總部aaa服務(wù)器使用172.22.5.0/24網(wǎng)段；移動車使用172.22.6.0/24網(wǎng)段；昆明分公司使用192.168.0.0/26的網(wǎng)段；長沙分公司使用192.168.0.0/26的網(wǎng)段。在平安證券項目中，必須要劃分vlan，因?yàn)閯澐痔摂M局域網(wǎng)可以分割局域網(wǎng)內(nèi)的廣播域，解決局域網(wǎng)內(nèi)廣播占用資源過多的問題，達(dá)到提高網(wǎng)絡(luò)性能的目的。其中vlan命名的規(guī)范為：部門的拼音縮寫。vlan劃分如表2-4：地點(diǎn)vlan名稱vlan的內(nèi)容vlan包含的端口深圳總部vlan100cw財務(wù)部s-sz-02 f0/0-24

23、vlan200xs銷售部s-sz-03 f0/0-24vlan300itit部s-sz-04 f0/0-24vlan400待添加的隱藏文字內(nèi)容1rs人事部s-sz-05 f0/0-24昆明分公司vlan100cw財務(wù)部f0/0-f0/7vlan200xs銷售部f0/8-f0/15vlan300itit部f0/16-f0/24長沙分公司vlan100cw財務(wù)部f0/0-f0/7vlan200xs銷售部f0/8-f0/15vlan300itit部f0/16-f0/24表2-4 vlan劃分2.1.4 ip地址的規(guī)劃 根據(jù)平安證券的實(shí)際情況和對新建網(wǎng)絡(luò)的需求，銳捷將對平安的所有ip 地址進(jìn)行規(guī)劃。銳

24、捷計劃采用b類私有地址，并分別對財務(wù)部、銷售部、it部、人事部進(jìn)行網(wǎng)段的劃分，初步規(guī)劃見表2-5：序號子網(wǎng)ip地址規(guī)劃備注1s3-sz-02fm192.168.0.0/24防火墻和三層交換機(jī)鏈路2fm- r1-sz-00192.168.1.0/24防火墻與總部路由器鏈路3深圳總部財務(wù)部17222.0.0/24每個b類地址的前10個（110）保留給交換機(jī)等使用，用戶計算機(jī)使用剩余的ip地址4深圳總部銷售部17222.1.0/245深圳總部it部17222.2.0/246深圳總部人事部17222.3.0/247昆明分公司192.168.0.0/268長沙分公司192.168.0.0/269深圳總部

25、aaa172.22.5.0/2410深圳總部web+dns172.22.4.0/2411移動車172.22.6.0/24表2-5 網(wǎng)段規(guī)劃在平安證券中，可以確定設(shè)備上端口和ip地址的具體使用情況如表2-6：設(shè)備名稱端口ip地址/掩碼備注r1-sz-00f0/0192.168.1.2/24f0/1172.22.6.1/24s0/3/0221.221.221.1/24公網(wǎng)ipfmf0/0192.168.0.2/24f0/1192.168.1.1/24s3-sz-02f0/5192.168.0.1/24f0/6172.22.5.2/24f0/7172.22.4.2/24vlan100172.22.0

26、.1/24vlan200172.22.1.1/24vlan300172.22.2.1/24vlan400172.22.3.1/24r3-km-03s0/2/0221.221.221.3/24公網(wǎng)ipf0/0.1192.168.0.1/26vlan100f0/0.2192.168.65/26vlan200f0/0.3192.168.129/26vlan300r2-cs-02s0/2/0221.221.221.2/24公網(wǎng)ipf0/0.1192.168.0.1/26vlan100f0/0.2192.168.65/26vlan200f0/0.3192.168.129/26vlan300aaae017

27、2.22.5.1/24web+dnse0172.22.4.1/24表2-6 端口ip劃分2.2 交換技術(shù)設(shè)計2.2.1 vtp設(shè)計平安證券網(wǎng)絡(luò)建設(shè)中使用的全部交換機(jī)都為銳捷的產(chǎn)品，在創(chuàng)建vlan過程中，工作量大、過程繁瑣，并且容易出錯，因此銳捷打算為交換機(jī)使用vlan中繼協(xié)議（vtp）。除此之外，交換機(jī)還將配置vtp修剪，其目的是減少在中繼端口上不必要的信息量，提高中繼鏈路的帶寬利用率，使網(wǎng)絡(luò)能夠高效穩(wěn)定地運(yùn)行；配置vtp口令保證vtp域的安全。我們對深圳總部的vtp規(guī)劃如下： vtp域名為pa。 vtp版本為v1。 vtp域口令為1234。 vtp修剪設(shè)為啟用。 vtp server包括s3

28、-sz-02、s3-sz-03。 vtp client包括s3-sz-0207。2.2.2 stp設(shè)計 平安證券深圳總部局域網(wǎng)采用全冗余結(jié)構(gòu)，在交換網(wǎng)絡(luò)中造成了大量的交換環(huán)路，可能會引發(fā)網(wǎng)絡(luò)中的廣播風(fēng)暴和橋表震蕩，因此必須在網(wǎng)絡(luò)中啟用stp協(xié)議，用來阻塞冗余鏈路，當(dāng)發(fā)生鏈路故障時，交換機(jī)會迅速啟動被阻塞的冗余鏈路，起到鏈路備份的作用。在公司的各個部門中，指定s3-sz-02為財務(wù)部（vlan100）、it部（vlan300）的根網(wǎng)橋，s3-sz-03為銷售部（vlan200）、人事部（vlan400）的根網(wǎng)橋，這樣實(shí)現(xiàn)了一定的負(fù)載均衡功能。 對于深圳總部的接入交換機(jī)，在其上啟用上行速鏈路（up

29、 link），以減少網(wǎng)絡(luò)拓?fù)渥兓瘯r（比如每一臺核心交換機(jī)故障）的重新收斂時間，減少用戶的斷網(wǎng)時間；同時，所有的接入交換機(jī)連接員工計算機(jī)的端口還將啟用快速端口（port fast），讓端口啟動時加電直接進(jìn)入到轉(zhuǎn)發(fā)階段，加快了網(wǎng)絡(luò)收斂的速度。2.2.3 ethernet channel設(shè)計 在深圳總部內(nèi)網(wǎng)的兩臺核心交換機(jī)之間設(shè)計了一條以太網(wǎng)通道，通道匯聚的鏈路使用了兩臺核心交換機(jī)s3-sz-02與s3-sz-03上的1、2端口，其目的是使數(shù)據(jù)在核心層高速轉(zhuǎn)發(fā)，并增加了兩臺核心交換機(jī)鏈路的帶寬，實(shí)現(xiàn)了冗余功能。同時，這條以太網(wǎng)通道也是兩臺核心交換機(jī)之間的trunk鏈路，是實(shí)現(xiàn)vlan之間通信的前提。

30、2.3 路由技術(shù)設(shè)計2.3.1 靜態(tài)路由與默認(rèn)路由設(shè)計設(shè)計 平安證券三層交換機(jī)與lns路由器之間的鏈路較為簡單，因此只需要使用靜態(tài)路由就可以實(shí)現(xiàn)其通信。靜態(tài)路由具有安全性高、優(yōu)先級大、占用cpu 處理時間少、易于配置等特點(diǎn)，因此減少了路由資源的消耗，從而達(dá)到了優(yōu)化網(wǎng)絡(luò)的目的。平安證券內(nèi)聯(lián)網(wǎng)中靜態(tài)路由規(guī)劃如下： 深圳總部的r1-sz-00路由路把目的是ip是172.22.0.0172.22.5.0的路由指向防火墻端口f0/1（192.168.1.1）。 深圳總部的fm防火墻把目的ip是172.22.0.0172.22.5.0的路由指向交換機(jī)端口f0/5(192.168.0.1)。 深圳總部的fm

31、防火墻把目的ip是172.22.6.0的路由指向路由器端口f0/0(192.168.1.2)。 深圳總部的fm防火墻設(shè)置默認(rèn)路由指向路由器端口f0/0(192.168.1.2) 深圳總部的s3-sz-02交換機(jī)把目的ip是172.22.6.0的路由指向防火墻端口f0/0(192.168.0.2)。 深圳總部的s3-sz-02交換機(jī)把目的ip是192.168.1.0的路由指向防火墻端口f0/0(192.168.0.2)。 深圳總部的s3-sz-02交換機(jī)設(shè)置默認(rèn)路由指向防火墻端口f0/0(192.168.0.2)平安證券內(nèi)聯(lián)網(wǎng)具體的靜態(tài)路由規(guī)劃如圖2.2所示：圖2.4 靜態(tài)路由的規(guī)劃平安深圳總部

32、以及昆明、長沙分公司的內(nèi)網(wǎng)要想訪問互聯(lián)網(wǎng)就必須配置一條默認(rèn)路由，否則發(fā)出的數(shù)據(jù)包將會丟失，如圖2-3所示： 圖2-5 默認(rèn)路由對于路由器r1-sz-00和r3-km-03、r2-cs-02而言，只有一個出口，簡單地使用一條默認(rèn)路由即可讓內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)。訪問互聯(lián)網(wǎng)的數(shù)據(jù)到達(dá)路由器后，將匹配這條默認(rèn)路由到達(dá)isp，通過isp實(shí)現(xiàn)對互聯(lián)網(wǎng)的訪問。2.3.2 nat設(shè)計為了實(shí)現(xiàn)內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)銳捷采用了nat技術(shù)。nat不僅僅解決了公網(wǎng)ip地址不足的問題，而且還能夠隱藏平安證券內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)，避免了來自網(wǎng)絡(luò)外部的攻擊，為公司網(wǎng)絡(luò)起到了一定的保護(hù)作用。平安證券深圳總部和昆明分公司均采用端口多路復(fù)用（pat

33、）技術(shù)接入互聯(lián)網(wǎng)，從深圳總部內(nèi)部網(wǎng)絡(luò)的172.22.1.0（vlan200）、172.22.2.0（vlan300）、172.22.3.0（vlan400）、172.22.4.0、172.22.5.0、172.22.6.0等網(wǎng)段通過pat技術(shù)在路由器r1-sz-00上轉(zhuǎn)換成ip地址為221.221.221.1/24訪問互聯(lián)網(wǎng)；昆明、長沙分公司內(nèi)部網(wǎng)絡(luò)的192.168.0.0/26網(wǎng)段采用 vpn專線接入，實(shí)現(xiàn)與總部內(nèi)網(wǎng)的互通；昆明分公司內(nèi)部網(wǎng)絡(luò)的192.168.0.0/26網(wǎng)段通過pat技術(shù)在路由器r3-km-03上轉(zhuǎn)換成ip地址為221.221.221.3/24訪問互聯(lián)網(wǎng)；長沙分公司內(nèi)部網(wǎng)絡(luò)

34、的192.168.0.0/24網(wǎng)段通過pat技術(shù)在路由器r2-cs-02上轉(zhuǎn)換成ip地址為221.221.221.2/24訪問互聯(lián)網(wǎng)。2.4 廣域網(wǎng)技術(shù)設(shè)計2.4.1廣域網(wǎng)設(shè)計 平安總部和昆明、長沙分部都有自己的互聯(lián)網(wǎng)出口，因此公司申請了三條10mbps的以太網(wǎng)寬帶，用來訪問互聯(lián)網(wǎng)。10mbps的帶寬足以滿足平安的業(yè)務(wù)和辦公需求。以下是申請到的公網(wǎng)ip地址，使用方法如表2-7：互聯(lián)網(wǎng)服務(wù)提供商電信連接設(shè)備路由器申請地址段221.221.221.0/24包含地址數(shù)3深圳總部路由器端占用地址221.221.221.1/24昆明分公司路由器端占用地址221.221.221.2/24長沙分公司路由器端

35、占用地址221.221.221.3/24isp端占用地址221.221.221.13/24深圳總部網(wǎng)關(guān)221.221.221.1昆明分公司網(wǎng)關(guān)221.221.221.2長沙分公司網(wǎng)關(guān)221.221.221.3表2-7 公網(wǎng)ip地址 由于isp是幀中繼網(wǎng)絡(luò)云，銳捷提出了在r1-sz-00、r3-km-03、r2-cs-02的廣域網(wǎng)接口上配置封裝幀中繼，并且建立兩個邏輯dlci 101和102,這樣isp運(yùn)營商就能設(shè)置pvc。具體如圖2-4所示：圖2-6幀中繼2.4.2 vpn設(shè)計圖2-7 vpn銳捷采用easy vpn技術(shù)實(shí)現(xiàn)深圳總部和昆明、長沙分部的互訪， vpn旨在不安全的互聯(lián)道路上開辟一條

36、虛擬的專線，如圖2-5所示。easy vpn將會結(jié)合aaa服務(wù)器進(jìn)行驗(yàn)證，首先aaa服務(wù)器指定lns（r1-sz-00）為管理路由器；其次在lns路由器上配置vpn，并把驗(yàn)證交給aaa服務(wù)器；再次需要分部pc機(jī)登錄vpn，當(dāng)驗(yàn)證通過時，lns會下發(fā)一個ip地址，并建立vpn，允許其訪問總部內(nèi)網(wǎng)資源。 vpn策略包含以下內(nèi)容： 允許昆明、長沙分公司內(nèi)部網(wǎng)絡(luò)與深圳總部內(nèi)部網(wǎng)絡(luò)172.22.0.0（vlan100）、172.22.1.0（vlan200）、172.22.2.0（vlan300）、172.22.3.0（vlan400）、172.22.6.0網(wǎng)段通過vpn技術(shù)進(jìn)行互訪。 允許深圳總部的員

37、工通過nat技術(shù)在路由器r1-sz-00上轉(zhuǎn)換成ip地址為221.221.221.1/24訪問互聯(lián)網(wǎng)。 允許昆明分公司的員工通過nat技術(shù)在路由器r3-km-03上轉(zhuǎn)換成ip地址為221.221.221.3/24訪問互聯(lián)網(wǎng)。 允許長沙分公司的員工通過nat技術(shù)在路由器r2-cs-02上轉(zhuǎn)換成ip地址為221.221.221.2/24訪問互聯(lián)網(wǎng)。 方案實(shí)施3.1 交換部分的實(shí)施3.1.1設(shè)備命名以及ethernet channel的配置交換機(jī)上配置主機(jī)名如下：switch(config)#hostname s3-sz-02switch(config)#hostname s-sz-02switch

38、(config)#hostname s-sz-03switch(config)#hostname s-cs-08switch(config)#hostname s-km-09router(config)#hostname r3-km-03router(config)#hostname r1-sz-00router(config)#hostname r2-cs-02其他設(shè)備命名同上。s3-sz-02上的ethernet channel配置如下： s3-sz-02(config)#interface range fastethernet 0/1 - 2s3-sz-02(config-if-rang

39、e)#switchport mode trunks3-sz-02(config-if-range)#channel-group 1 mode ons3-sz-03上ethernet channel配置同上3.1.2 交換機(jī)vtp，stp，vlan的配置深圳總部s3-sz-02的配置如下：s3-sz-02(config)#vtp domain pa s3-sz-02(config)#vtp version 1 s3-sz-02(config)#vtp mode server s3-sz-02(config)#vtp password 1234 s3-sz-02(config)#vtp pruni

40、ng s3-sz-02(config)#interface range f0/1 4 s3-sz-02(config-if-range)#switchport trunk encapsulation dot1qs3-sz-02(config-if-range)#switchport mode trunks3-sz-02(config)ends3-sz-02#vlan database s3-sz-02(vlan)#vlan 100 name cw s3-sz-02(vlan)#vlan 200 name xss3-sz-02(vlan)#vlan 300 name its3-sz-02(vla

41、n)#vlan 400 name rss3-sz-03配置同上s-sz-02的vtp與vlan配置如下：s-sz-02(config)#vtp domain pa s-sz-02(config)#vtp version 1 s-sz-02(config)#vtp password 1234 s-sz-02(config)#vtp mode client s-sz-02(config)#vtp pruning s-sz-02(config)#interface range f0/2 s-sz-02(config-if-range)#switchport mode trunks-sz-02(con

42、fig)exits-sz-02(config)#interface range f0/3 24 s-sz-02(config-if-range)#switchport access vlan100s-sz-02(config-if-range)no shutdowns-sz-02(config-if-range)exits-sz-02(config)#interface fa0/1s-sz-02(config-if)# switchport mode trunks-sz-02(config-if)no shutdowns-sz-02(config-if)exits-sz-03 s-sz-05配

43、置同上，需要注意的是端口劃分到不同的vlan。s-sz-08和s-sz-09上的vlan配置如下：s-km-09(config)#interface fastethernet 0/1s-km-09(config-if)#switchport access vlan 100s-km-09(config-if)#exits-km-09(config)#interface fastethernet 0/2s-km-09(config-if)#switchport access vlan 200s-km-09(config-if)#exits-km-09(config)#interface faste

44、thernet 0/4s-km-09(config-if)#switchport access vlan 300s-km-09(config-if)#exits-km-09(config)#interface fastethernet 0/3s-km-09(config-if)#switchport mode trunk s3-sz-02上的stp配置如下：s3-sz-02(config)#spanning-tree vlan 100 root primary s3-sz-02(config)#spanning-tree vlan 300 root primarys3-sz-02(config

45、)#spanning-tree vlan 100 priority 0s3-sz-02(config)#spanning-tree vlan 300 priority 0s3-sz-03上的pvst配置如下：s3-sz-03(config)#spanning-tree vlan 200 root primary s3-sz-03(config)#spanning-tree vlan 400 root primarys3-sz-03(config)#spanning-tree vlan 200 priority 0s3-sz-03(config)#spanning-tree vlan 400 p

46、riority 0s-sz-02上的stp配置如下：s-sz-02(config)#interface fastethernet 0/1s-sz-02(config-if)#spanning-tree portfast s-sz-02(config-if)#exits-sz-02(config)#interface range fastethernet 0/3 24s-sz-02(config-if-range)#spanning-tree portfast s-sz-03s-sz-05的快速端口的配置方法同上。s-sz-06和s-sz-07上的上行鏈路配置如下：s-bj-06(config)

47、#spanning-tree uplinkfasts3-sz-02的ip配置如下：s3-sz-02 (config)#ip routing s3-sz-02 (config)#interface vlan 100 s3-sz-02 (config-if)#ip address 172.22.0.1 255.255.255.0s3-sz-02 (config-if)#no shutdowns3-sz-02 (config)#interface vlan 200 s3-sz-02 (config-if)#ip address 172.22.1.1 255.255.255.0s3-sz-02 (co

48、nfig-if)#no shutdowns3-sz-02 (config)#interface vlan 300 s3-sz-02 (config-if)#ip address 172.22.2.1 255.255.255.0s3-sz-02 (config-if)#no shutdowns3-sz-02 (config)#interface vlan 400 s3-sz-02 (config-if)#ip address 172.22.3.1 255.255.255.0s3-sz-02 (config-if)#no shutdowns3-sz-02 (config)#interface f0

49、/5s3-sz-02 (config-if)#no switchport s3-sz-02 (config-if)#ip address 192.168.0.1 255.255.255.0s3-sz-02 (config-if)#no shutdown s3-sz-02 (config)#interface f0/7s3-sz-02 (config-if)#no switchport s3-sz-02 (config-if)#ip address 172.22.4.2 255.255.255.0s3-sz-02 (config-if)#no shutdown s3-sz-02 (config)

50、#interface f0/6s3-sz-02 (config-if)#no switchport s3-sz-02 (config-if)#ip address 172.22.5.2 255.255.255.0s3-sz-02 (config-if)#no shutdown 3.2 路由部分的實(shí)施3.2.1 靜態(tài)路由、默認(rèn)路由的配置昆明分公司r3-km-03的配置如下：r3-km-03（config）#interface s0/2/0r3-km-03(config-if)#ip address 221.221.221.3 255.255.255.0r3-km-03(config)#inter

51、face fastethernet 0/0.1r3-km-03(config-subif)#encapsulation dot1q 100r3-km-03(config-subif)#ip add 192.168.0.1 255.255.255.192r3-km-03(config-subif)#ip nat inside r3-km-03(config-subif)#exitr3-km-03(config)#interface fastethernet 0/0.2r3-km-03(config-subif)#encapsulation dot1q 200r3-km-03(config-sub

52、if)#ip add 192.168.0.65 255.255.255.192r3-km-03(config-subif)#ip nat inside r3-km-03(config-subif)#exitr3-km-03(config)#interface fastethernet 0/0.3r3-km-03(config-subif)#encapsulation dot1q 300r3-km-03(config-subif)#ip add 192.168.0.129 255.255.255.192r3-km-03(config-subif)#exitr3-km-03(config)#ip

53、dhcp pool vlan100r3-km-03(dhcp-config)#network 192.168.0.0 255.255.255.192r3-km-03(dhcp-config)#default-router 192.168.0.1 r3-km-03(dhcp-config)#dns-server 172.22.4.1r3-km-03(dhcp-config)#exitr3-km-03(config)#ip dhcp pool vlan200r3-km-03(dhcp-config)#network 192.168.0.64 255.255.255.192r3-km-03(dhcp-config)#default-router 192.168.0.65r3-km-03(dhcp-config)#dns-server 172.22.4.1r3-km-03(dhcp-config)#exitr3-km-03(config)#ip dhcp pool vlan300r3-km-03(dhcp-config)#network 192.168.0.128 255.255.255.192r3-km-03(dhcp-config)#default-router 192.168.0.129r3-km-03(dh