某某银行专用网设计方案 .doc

1、课程设计报告课程设计题目：某银行专用网设计方案 专 业：班 级：姓 名：学 号: 指导教师: 年 月 日一、课程设计的目的及要求（一）目的：在了解组建局域网的相关理论知识及局域网中路由器及交换机等的基本配置，并熟悉局域网中的网络工作原理的基础上，进一步掌握路由器及交换机的相关理论和高级配置等，通过分析和设计实现跨区域网络的组建。通过本次课程设计让学生能够综合运用所学的路由器和交换机技术的知识解决并能设计一个实际问题，进一步熟练掌握高级路由的相关理论及配置，组建跨区域网络的设计实现过程，从而进一步提高学生的分析问题和解决问题的能力以及学生的实践能力。 （二）要求： 本课程设计是通过设计一个银行专

2、用网实现跨区域网络的组建，具体有如下要求：1）从考虑费用代价出发，进行设备选型和综合布线，并进行IP地址规划；2） 此专用网设计方案要求是跨局域网之间的连接，所以需要选择接入技术，实现广域技术的连接；3）设计出详细的拓扑图，将各个局域网之间相连，设计专用网时按照分层模型进行规划，指定核心区，接入区等；4）实现广域网上的技术ppp、帧中继和HDLC技术等；5）实现LAN和WAN上的路由器配置，选择合适的路由协议，并对路由器的安全进行配置；6）实现LAN和WAN上的交换机配置，包括二层和三层交换机的安全配7）对中间设备进行统一管理，并实现远程登陆管理；8）实现DHCP服务，本地网络的动态IP和远程

3、动态IP分配服务；9）对网络上的数据流进行控制，配置ACL。二、课程设计的内容（一）建设跨区域网络的必要性 就企业而言，无论什么企业，在发展的过程中都会不断壮大，不再是单一的一个区域。当企业发展到拥有分支机构、电子商务业务或需要跨国运营的规模时，单个局域网已不足以满足其业务需求。广域网接入已成为当今大型企业的重要需求。WAN的三大特征：WAN连接的设备跨越的地理区域通常比LAN广；WAN使用运营商（如电话公司、有线电视公司、卫星系统和网络提供商）提供的服务；WAN使用各种串行连接向大型地理区域提供接入技术。建设跨区域网络是一个不断发展扩大的企业网络的必然趋势。（二）跨区域网络设计原则 在设计跨

4、区域网络时，对于局域网组建的原则也应考虑。首先应当考虑的是节约成本，对于网络布线，设备的选用等都要考虑到其性价比，好的布线与设备选用也会大大减少维护管理人员的数量及费用。在系统功能方面,应遵循一些基本原则： 1. 实用性：完全满足所支持的数据、多媒体等系统的传输速率和传输标准的要求。系统可为数据及高清晰度图像信息提供高速(100Mpbs以上)及带宽(100MHz以上)的传输能力，并完全满足千兆以太网以及ATM的需求。 2.开放式结构：能支持综合信息(话音、数据、多媒体)传输和连接，实现多种设备配线的兼容。本综合布线系统能支持所有的数据处理(计算机)的供应商的产品，支持各种计算机网络的高速和低速

5、的数据通讯，可以传输所有标准的模拟和数字的话音信号，可以传输模拟图像、数字图像以及会议电视等的多媒体信号。 3.可扩展性：能在设备布局和需要发生变化时实施灵活的线路管理。大楼内所有弱电系统服务的各种拓扑结构的管理网络计算机、数据终端设备、传真绘图等图形图像设备以及话音设备等插入标准插座内，当这些设备的位置发生变化时，只需作一些简单的跳线，而不需敷设和安装新的电缆和插座。 能够保证系统很容易的扩充和升降而不必更动整体配线系统。由于每个子系统都是相互独立的单元组，对每个分支单元系统的改动都不会影响其它子系统。 4.维护方便：提供有效的工具和手段，能够简单、方便进行线路故障的分析、检测和故障隔离，当

6、故障发生时，可迅速找到故障点并加以排除。 5.适应性强：具有适应未来的需求，平稳过渡到增强型分布技术的智能型大楼布线系统，并能实现大楼与国际互连网(Internet)等信息高速公路连接的需求。在设计上还应遵循一些设原则： 1.具有先进性与前瞻性 对于布线系统的设计全部采用现代的概念、技术方法和产品；所选用的布线产品遵循统一的通信协议标准及建筑规范，具有良好的开放性，适于未来的扩展及升级。采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型要是先进和系列化的，系统应是可扩充的。便于进行升级换代。通过Intranet/Internet的建立，加速国内外院校之间的信息交流。 2.具有成熟性

7、和实用性 对于系统所采用的概念、技术、器材应该非常成熟的，系统完全能够在现在和将来适应技术的发展，能够真正满足使用要求；应当从实际情况出发，使之达到使用方便且能发挥效益的目的。采用成熟的技术和产品来建设该系统。要能将新系统与已有的系统兼容，保持资源的连续性和可用性。系统是安全的，可靠的。使用相当方便，不需要太多的培训即可容易的使用和维护。 3.具有良好的灵活性和扩展性 应采用全模块化结构，能够满足灵活通用的要求，在系统修改、设备移位时，不必更换布线，仅在管理系统中的配线架上就可解决，布线系统的质量保证更多达20年，并具有充分的扩展能力。从而保证了用户的现有投资不被浪费，同时在不长时间中断系统工

8、作的情况下进行便捷和经济的变更及扩展。（三）网络系统设计（1）系统构成 该银行专网应是为办公、运营和管理服务的综合性网络系统。该系统网络通常由以下几部分组成： 1. 网络主干，用于连接总部与各分支的广域网接入技术，提供总部对各分支的访问，及各分支间的通信和数据交换等，主干的选型和设计是信息系统网络的主要工作之一。 2. 局域网络系统，主要包括主机系统和应用软件系统。其中对于主机系统，网络中心的服务器和分布在各个LAN上的服务器是网络资源的载体，它的投资和建设也是信息系统网络建设的重要工作。而应用软件系统 ，包括网上Web公共信息发布系统、办公自动化系统、管理信息系统、电子邮件系统、行政办公系统

9、、人事管理系统和财务系统等专用的系统。我们认为更主要的是建设内部的Intranet系统。 3. 出口（通讯）系统，是指将企业网络与Internet等广域网络相连接的系统。（2）网络基本结构设计 1.主干网采用帧中继接入技术，帧中继是一种高效而灵活的WAN技术。帧中继是一种成本效益高的解决方案，使用帧中继时，用户只需为本地环路以及网络提供商购买的带宽付费，节点之间的距离无关紧要，并且它支持众多用户共享带宽。在网络设计方面，虚电路提供了很高的灵活性。 2.各局域网主干设备采用一台Cisco路由器及几台100/1000M自适应全双工交换机，连接局域网内部各部门。3.为了便于网络管理，抑制网络风暴，提

10、高网络安全性能，对局域网划分为虚拟子网（VLAN），通过路由交换机本身线速的路由能力建立起VLAN之间的高速连接。 4.用总部路由器将整个企业专网连入Internet。5.在需进行动态获取地址的部门设置一台DHCP服务器用于动态获取IP地址，或将路由器及三层交换机设置成DHCP服务器。6.在总部网络中心配置两台网络服务器： 1台服务器用作Web Server、DNS Server；1台用作备用DNS Server、E-mail Server、 FTP等。 （4）网络实现功能 本网络除了能够实现文件打印服务、网络数据通信、企业网络管理系统等一般网络的基本功能外，外部网络还可实现基于Intrane

11、t/Internet的信息服务。提供Internet的访问、电子邮件服务等功能，还可提供远程访问的功能，同时可以在Internet上发布信息。 1.DHCP功能 对于总部及各分支的主机配置静态IP过于麻烦，浪费时间，因此利用DHCP功能，为每台PC机动态获取IP地址，节省人力，时间。2.IP地址规划 对于组建企业网，最基本的就是要节约成本，节省公有IP地址。因此，对于该企业所申请到的公有地址块，应将其按照总部及各分支的要求，规划IP地址，分配所需的公有IP。3.动态NAT 在本课程设计中，总部内部网均使用了私有IP地址，而实际生活中，私有IP地址不能在Internet中通信，因此需通过配置NA

12、T，将私有地址转化成公有地址。由于需转化的用户很多，并且不能允许外部网进入到内部网中，因此应配置动态NAT5.扩展ACL 在端口中添加访问控制列表，以添加约束，各支行能访问外网，但应阻止外网对企业内部的数据等的访问，保证一些机密数据信息的保密性和安全性。 6.远程控制访问 远程控制访问给网络管理人员提供了很多方便，可通过在总部的管理PC访问分支的路由器，以实现对其的管理。但为了安全起见，应实现SSH以保护远程管理访问，SSH数据流是以密文方式发送，这种连接提供了很高的隐私性和会话完整性。三、绘制拓扑结构图四、详细步骤（一）IP地址规划1、整个专网申请到一个200.20.20.0/24的网络地址

13、块部门公有地址数IP网段IP地址范围总部20200.20.20.0/2720.1-20.30支行115200.20.20.32/2720.33-20.62支行28200.20.20.80/2820.81-20.94支行310200.20.20.64/2820.65-20.78帧中继网段4200.20.20.96/2920.97-20.1022、与路由器连接的外部网段210.10.1.0/24210.20.2.0/24 （二）总部与分支的跨区域组建 该专网中设置一个总部及三个分支，四部分通过帧中继实现通信。 1.首先分别为四个路由器中接入网云的接口添加已规划好的公有IP地址（200.20.20.

14、96/29网段）。2.在每个路由器中添加动态帧中继。3.设置网云。实现路由器间的通信。 (三)总部的设置对于总部局域网，简单的设置了两台交换机（Switch1和Switch2）与路由器相连。在总部内部使用私有地址块（192.168.10.0/24和192.168.20.0/24），其中Switch1连接192.168.10.0/24网络，Switch2连接192.168.20.0/24网络。1.在总部局域网中，各部门IP地址均由服务器动态分配。在Switch2上连接一台DHCP服务器，实现跨网段的地址分配，使与Switch1相连的主机获得192.168.10.0/24网段的IP地址，而与Swi

15、tch2相连的主机获得192.168.20.0/24网段的IP地址。为了实现跨网段的地址分配，路由器需配置中继代理。2.由于本局域网内使用私有IP地址，因此为了能访问外网，需通过配置NAT进行地址转换。NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。在该局域网中，可以将已规划的200.20.20.0/27网段的IP地址作为将转化成的公有地址。 在总部中，只对192.168.10.0/24网段配置了NAT，因此只有该网段

16、可访问外网，其他网段只能在局域网内通信。并在192.168.10.0/24网段中的PC机设置了一台专门的PC，用来对各分支的远程访问。 （四）分支的设置 1.支行1 在支行1中简单的添加了一台交换机及两台PC。（1）DHCP配置。在支行1中也通过DHCP动态分配IP，将路由器设置为DHCP服务器，为其主机分配200.20.20.32/27网段的IP地址。（2）静态路由。由于支行1通过总部路由器与总部通信，而在总部中使用了NAT，支行1到达NAT转换的公有网段，动态路由协议无法识别，因此需在支行路由器中添加一条到达200.20.20.0/27网段的静态路由。这时总部才能够访问到支行1。（3）AC

17、L配置。路由器上的访问控制列表（ACL）是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用，还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于企业内网和外网之间，是外网与内网进行通信时的第一道屏障，所以即使在网络系统安装了防火墙产品后，仍然有必要对路由器的访问控制列表进行缜密的设计，来对企业内网包括防火墙本身实施保护。 要实现支行1能够访问外网，但阻止外网进入支行内网，需在支行1路由器上添加一条单向访问的ACL。（4）远程访问控制。远程管理为网络管理人员提供了很多方便，同时为了更加安全，在路由器中设置了ssh方式作为

18、远程访问方式，并设置远程登录路由器的口令。2.支行2 支行2与支行1的设置基本相同，在支行2中添加一台三层交换机与路由器相连，并将三层交换机设置成DHCP服务器，用来动态分配IP地址。 3.支行3 支行3的设置也与支行1基本相同。五、路由器或交换机配置的代码（一）路由器配置代码 （1）总部路由器 1、路由器命名： Router(config)#hostname R0 2、设置路由器加密使能口令： R0 (config)#enable secret 123 3、设置远程访问虚拟终端口令： R0(config)#line vty 0 4 R0(config-line)#password abc R

19、0 (config-line)#login R0 (config-line)#exit 4、配置帧中继：R0(config)#interface Serial0/0R0(config-if)#encapsulation frame-relayR0(config-if)#frame-relay lmi-type ciscoR0(config-if)#frame-relay interface-dlci 102 5、配置： R0(config)#ip nat pool aa 200.20.20.1 200.20.20.30netmask 255.255.255.224R0(config)#acce

20、ss-list 1 permit 192.168.10.0 0.0.0.255R0(config)#ip nat inside source list 1 pool aaR0(config)#int fa1/0R0(config-if)#ip nat insideR0(config-if)#exitR0(config)#int se0/1R0(config-if)#ip nat outsideR0(config-if)#exit R0(config)#ip nat pool bb 200.20.20.1 200.20.20.30 netmask 255.255.255.224R0(config

21、)#access-list 2 permit 192.168.10.0 0.0.0.255R0(config)#ip nat inside source list 2 pool bbR0(config)#int fa1/0R0(config-if)#ip nat insideR0(config-if)#exitR0(config)#int se0/0R0(config-if)#ip nat outsideR0(config-if)#exit 6、配置DHCP中继代理R0(config)#interface FastEthernet1/0R0(config-if)#ip helper-addre

22、ss 192.168.20.254 7、配置动态路由协议（eigrp）R0(config)#route eigrp 100R0(config-router)#no auto-summary R0(config-router)#network 200.20.20.96 0.0.0.7R0(config-router)#network 210.10.1.0 0.0.0.255R0(config-router)#exit （2）支行路由器 与总部路由器配置基本相同，需配置帧中继，动态路由协议，不需配置NAT，除此之外，需配置ACL，SSH远程登录等 1、配置单向ACL R1(config)#acce

23、ss-list 101 deny icmp 200.20.20.32 0.0.0.31 210.20.2.0 0.0.0.255 echoreplyR1(config)#access-list 101 permit icmp any anyR1(config)#access-list 101 permit tcp any anyR1(config)#int serial0/0R1(config-if)#ip access-group 101 out 2、将R1配置成DHCP服务器R1(config)#ip dhcp excluded-address 200.20.20.33R1(config)

24、#ip dhcp pool LAN-POOL2R1(dhcp-config)#network 200.20.20.32 255.255.255.224R1(dhcp-config)#default-router 200.20.20.33R1(dhcp-config)#end 3、配置SSH R1(config)#hostname R1 R1(config)#ip domain-name R1(config)#crypto key generate rsa R1(config)#line vty 0 4 R1(config-line)#no transport input R1(config-l

25、ine)#transport input ssh R1(config-line)#password 123 R1(config-line)#login R1(config-line)#exit 4、添加静态路由 R1(config)#ip route 200.20.20.0 255.255.255.224 200.20.20.97 R2、R3配置与R1基本相同。（二）三层交换机配置代码 1、命名交换机： Switch(config)#hostname DistributeSwitch1 2、设置加密使能口令： DistributeSwitch1(config)#enable secret ci

26、sco123 3、设置远程登录口令： DistributeSwitch1(config)#line vty 0 4 DistributeSwitch1(config-line)#password cisco DistributeSwitch1(config-line)#login DistributeSwitch1(config-line)#exit 4、为接口配置IP： DistributeSwitch1(config)#int fa0/1 DistributeSwitch1(config-if)#no switchport DistributeSwitch1(config-if)#ip a

27、ddress 200.20.20.90 255.255.255.252 DistributeSwitch1(config-if)#no shutdown 5、为Vlan1添加IP： DistributeSwitch1(config)#int vlan 1 DistributeSwitch1(config-if)#ip address 200.20.20.81 255.255.255.248 DistributeSwitch1(config-if)#no shutdown 6、将三层交换机设置为DHCP服务器：DistributeSwitch1(config)#ip dhcp excluded-

28、address 200.20.20.81DistributeSwitch1(config)#ip dhcp pool LAN-POOL1DistributeSwitch1(dhcp-config)#network 200.20.20.80 255.255.255.248DistributeSwitch1 (dhcp-config)#default-router 200.20.20.81DistributeSwitch1 (dhcp-config)#end 7、配置动态路由协议： DistributeSwitch1(config)#route eigrp 100 DistributeSwitch

29、1(config-router)#no auto-summary DistributeSwitch1(config-router)#network 200.20.20.88 0.0.0.3DistributeSwitch1(config-router)#network 200.20.20.80 0.0.0.7六、显示最终的结果1、帧中继实现实现R0、R1、R2、R3之间的通信2、总部的远程登录PC可远程访问到各支行远程登录PC通过ssh远程登录到支行1的路由器R1上：3、内部网通过NAT地址转换与外部网通信（PC9为外部网某终端）NAT表：4、DHCP动态IP地址分配通过DHCP服务器分别动态

30、分配给PC0网段192.168.10.0/24中的IP地址，分配给PC11网段192.168.20.0/24中的IP地址。PC0：PC11：5、ACL设置通过配置单向ACL，实现各支行对外部网的访问，但阻止外部网访问内部PC。支行1某PC2能够访问外部网PC7，但PC7不能访问PC2：七、课程设计总结在本次课程设计的设计过程中，由于是初次组建跨区域网络，各方面均存在着许多不足，另外，在整个设计的过程中，时间也比较仓促。因此，该局域网必然会存在一些缺陷和不足。因为对银行网的整个网络体系不够熟悉，在分析时未能做到完全满足各种网络需求。虽然在虚拟环境中可以基本实现，但与实际情况还是有一定差异。尽管该

31、跨区域网络存在着很多不足，但均能实现各基本功能，在设计过程中，考虑到了IP地址规划的问题，并通过对私有地址进行转换，实现对外部网的访问。在该专网中还考虑到地址的分配问题，在总部设置服务器来实现跨网段的地址分配，而在各支行中通过将路由器及三层交换机设置成DHCP服务器来完成地址的动态分配。在本专网中还通过设置ACL实现了专网对外部网的单向访问。本课程设计还有许多需要改善的地方，例如设备间链路的冗余问题，带宽分配等；由于是专网，必须要使用私有IP地址，因而没有考虑到开销；对于总部与分支之间的相互通信考虑的也不够周全，并且还需增加许多网络功能以便满足银行专网的各种需求，如DNS、Email、HTTP等。通过一周的课程设计，对课本中所学的理论知识有了更深的理解，并能够将前后所学相联系，在考虑问题的全面性与成熟度方面有了进步，并提高了动手实践能力，对今后的实际操作有很大帮助。- 11 -