目录
项目名称: 南京某银行支行内部网络整改方案
任务要求:
该银行内网已有很长时间未能更新技术,致使工作效率降低,现希望你组能给予一定的整改意见并设计方案。以下是该行负责人的谈话记录
负责人:我行的地址是在一栋办公楼的1到7楼,其中,一楼是营业大厅,设有8个窗口同时面向客户,并且大厅内提供自助取款机服务大众,但是自助机器不能干扰人工窗口;大厅设有大堂经理,他的权限最高,负责协调运营。2到7楼分属信用卡部、大客户部、行长办公室、副行长办公室、财务部、咨询部、IT运维等部门。运维部门的工程师有3位,所有网络设备应该由他们远程管理,拥有最高管理权,并且三人独立用户名。各个部门需要能够协调办公,互相通信。设有一台数据库服务器(可用PC代替),一台DNS服务器(PC代替)。行里除了咨询部,其他人都可以访问数据库和DNS,并且我们的员工除去IT部门都不懂技术,不会配置IP地址,希望能够解决。
需求分析:
客户要求:
①一楼是营业大厅,设有8个窗口同时面向客户;
我们设计了一楼交换机2,作为二级交换机。不仅可以同时面向多个客户,增强了网络的可扩展性,而且提升了网络的稳定性与安全性。若不设有二级交换机,则一楼的所有设备全部依赖于一楼交换机,当人工窗口发生故障或被侵入,自助取款机也会受到影响。而设立二级交换机之后,不仅可以扩充人工窗口数,也在一定程度上减少一楼交换机的数据流,缓解其负担,使数据通信更为安全快速。并且在维修与故障排查时,二级交换机的加入可以提高检测错误的效率,在维修过程中依旧保持自助取款机等的正常运行,具有一定的独立性。
②大厅内提供自助取款机服务大众,但是自助机器不能干扰人工窗口;
我们通过vlan划分满足这一需求。将人工窗口划为vlan10,自助取款机划为vlan20。此时两者之间不能通信,相互独立。同时由于我们在通信时使用了OSPF全网宣告。OSPF是真正的LOOP- FREE(无路由自环)路由协议。收敛速度快,能够在最短的时间内将路由变化传递到整个自治系统。将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。我们在一楼交换机加了ACL对自助取款机与人工窗口进行隔离。在平常状态下,两者是不能相互通信的,但如果在特殊时期,IT是可以通过撤销ACL实现相互通信的。同时我们使用了静态路由,减少系统开销,更具有稳定性与针对性。
③大厅设有大堂经理,他的权限最高,负责协调运营
大堂经理可以向下给人工窗口与自助取款机发送命令,但是人工窗口和自主取款机不可以向大堂经理实现通信。这样的单向通信不仅可以保证大堂经理在一楼的权限最高,实现协调运营,还实现了对网络的保护,下级不可以向上级通信与访问,体现了网络部件的相对独立性与层次性。我们采用deny tcp与deny icmp icmp-type echo-reply实现上述功能。
④2到7楼分属信用卡部、大客户部、行长办公室、副行长办公室、财务部、咨询部、IT运维等部门。各个部门需要能够协调办公,互相通信。
各部门相互通信,我们使用了全局宣告方法进行各部门与总体网络之间的通信。分别对一楼交换机2、一楼交换机、核心交换机、主路由器、2-8层交换机进行相关配置。其中,我们设置的2-8层交换机缓解了核心交换机的布线压力,将功能分区,不仅减轻了核心交换机的负载,还提升了整体网络的稳定性与安全性。
⑤运维部门的工程师有3位,所有网络设备应该由他们远程管理,拥有最高管理权,并且三人独立用户名。
我们为IT部门的三位工程师配置了三个独立的用户与密码。其中三个账户相互独立且拥有admin权限,可以远程访问局域内网的任意的网络设备。
⑥设有一台数据库服务器(可用PC代替),一台DNS服务器(PC代替)。行里除了咨询部,其他人都可以访问数据库和DNS
所有人都实现通信则在前面的全网宣告时已经配置成功了,此时只需要配置相关交换机对咨询部的访问进行隔离。我们依旧使用acl的icmp与tcp进行通信隔离,使得咨询部不可以访问数据库和DNS,而其他人都可以访问。
⑦并且我们的员工除去IT部门都不懂技术,不会配置IP地址,希望能够解决。
我们给每位涉及到的PC均手动配置了IP地址,子网掩码与网关。均采用静态IP,这不仅保证了每个部门的地址前24位都相同,提高相同部门之间通信的速度,还可以有助于网络故障排查时,快速定位出错机器,提高检测维修效率。像银行这样的需要极高安全性的网络时,静态IP的稳定性是强于动态IP的。并且银行网络里所涉及的设备并没有数量非常庞大且每个设备都重要,所以不存在地址的冗余与浪费。
对于用户,静态IP更具个性化,IP的不同代表所属部门不同,在通信时可以更清晰表达自己的部门。对于管理者,静态IP的稳定与固定,更便于管理控制与对工作失误的定位。也可以通过路由器,限制不同PC的访问Internet权限。
实际生活中需要考虑到的:
- 广域网的接入,实现与外界通信
我们使用PPP协议,它支持错误检测、选项协商、头部压缩以及使用HDLC类型帧格式(可选)的可靠传输。我们使用CHAP验证方法,对是否连通外网做模拟测试。CHAP在传输过程中不传输密码,取代密码的是hash(哈希值)。CHAP认证通过3次握手实现。CHAP主叫发出请求,被叫回复一个数据包,这个包里面有主叫发送的随机的哈希值,主叫在数据库中确认无误后发送一个连接成功的数据包连接。对于银行这样需要极高安全性的网络来说,CHAP验证无疑是最为适用的。同时我们通过NAT地址转换,将私有地址自动转换成公网地址。不仅对用户友好,无需自己配置,还有助于减缓可用的IP地址空间的枯竭。(在IPV4情况下)
- 备用路由器的设置,在紧急时刻维持运行。
我们在一楼交换机旁边设置了备用交换机。当黑客入侵或网络遭到破坏时,仍旧可以保持一楼的人工窗口与自助取款机的正常运行。保障了平时的运行不会因为网络的破坏而全线停止,减少一定的经济损失。同时,大堂经理仍旧可以控制人工窗口与自助取款机。而人工窗口与自助取款机的不相互通信在这个时候也保证了两者不会同时崩溃,为紧急时刻提供了缓冲时间与备选方案。
- 防火墙的设置,保障信息安全与网络稳定
其中F1060_17为主路由器与外网的防火墙,阻挡外网的入侵与攻击,同时又能阻挡银行内部的机密信息与客户隐私数据的外泄,保证银行内部局域网的信息安全。
备用路由器旁边的防火墙F1060_17则是在需要用到备用路由器时起到保护作用。防止黑客在控制了大堂经理后对自助取款机进行破坏。最后一道防线。
- 网络分层、权限分级,保证信息安全与网络稳定。
我们在权限方面,使用网络分层,权限分级的思想保护整个内部局域网的安全与稳定。
网络分层:IT部PC 在最高层1,可以向任意网络设备发送命令。大堂经理与各部门均为中间层2,不可以向IT最高层发送命令,但是可以接收上层命令,同层之间相互通信,向下层发送命令但不接受。但大堂经理是特殊的,他可以接收下层的反馈,便于实际维护。人工窗口与自助取款机是最底层3,只能接收各上层网络设备的命令但是无法向上发送数据。(除了大堂经理外)
权限分级:IT项目部可以通过Telnet远程访问任意一台内部局域网中的设备,权限等级最高为1。大堂经理也可以通过Telnet远程访问自主取款机和人工窗口,权限等级为2。
- 控制数据库与DNS的访问时间。
我们使用ACL 使某部门在限制时间内能够访问数据库或者DNS。由于银行内部的数据涉及商业机密与用户隐私安全,所以当IT部门不上班的时候应该关闭数据库与DNS的访问权限,防止黑客在无人监管的时候盗取数据或入侵破坏计算机与服务器。同时也可防止内部人员在无人监管时向外部发送机密信息与数据。这样的机制与功能的加入保证了信息安全且让数据库与DNS得到休息,延长使用寿命,减少系统崩溃概率,有助于维护系统的稳定性。
网路关键技术:
二级交换机:
二级交换机即二层交换机工作于OSI模型的第2层(数据链路层),故而称为二层交换机。二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。
VLAN技术:
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。一个VLAN就是一个广播域。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。
全网宣告OSPF技术:
最低0.47元/天 解锁文章
扫一扫
7579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
