论文部分内容阅读
摘 要:为了适应市场经济的发展和满足用户对银行业务的需求,优化地市级银行的网络状况,提高银行网络的运行效率、安全等方面因素,文章设计了一个模拟的银行网络并加以优化,为各银行提供了网络设计模型。模拟中,原网络线路比较单一,设计不够冗余,负载比较严重,服务器的安全不够合理。需要在原有骨干线路上在进行拓扑优化,增添网络设备,设计路由和安全策略。最终能够实现设备间运行效率更高,数据的传输更加安全可靠,保证了重要服务器的安全。最后经过测试,优化后的网络无论在运行效率还是安全性方面都有显著的提高。
关键词:模型;拓扑优化;路由;安全策略
中图分类号:TP393
随着社会的发展和市场经济发展的需要,人们对于银行的业务需求越来越多,业务处理越来越复杂,简单的网络运行管理,已经无法满足银行快速的发展。银行网络的设计中,拓扑、路由和安全的设计关系着银行业务的处理效率[1]和数据安全[2]以及网络运行的可靠性等。
1 建设基础
1.1 网络现状
当前银行网络核心网络,以两台CISCO3550作为核心交换机,并启用三层,各区域之间通过单线程进行链接,比较简单,各区域之间也都是单线程连接非常简单。
1.2 存在的问题
旧网建设时采用的是当时先进的技术和优良的设备,但随着各种技术层出不穷,旧网在新的形势面前变得乏力。因此,有如下问题较为明显是急需改造设计中需要重点考虑[3,4]。
(1)网络冗余:旧网只是在总部对核心采用了备份。一旦某区域有一条线路断开,会导致该区域的瘫痪,无法工作。
(2)网络的负载均衡:旧网仅有一条主链路。在大规模的数据传递时会产生网络拥塞,导致网络瘫痪。
(3)旧线路的老化:由于当时技术条件的限制,加上时间的长久,在数据的传输上不是能够完全做到快速有效及时。
(4)内外部的信息交流:银行网络的建设重点就是安全性。应当对部门做一些安全策略。
(5)设备的不足:当前网络多区域共用一台防火墙,导致网络拥塞。
2 建设方案
通过对现有网络的分析,本次的设计方案在设备的选择上更加合理,充分利用IP地址,解决了地址浪费和不足的问题。路由方面全网动态和静态相结合,让各区域之间的工作效率更高。充分考虑信息的安全,做好设备间冗余和备份。
2.1 网络设计
整网按业务功能和安全需要分为不同的网络区域。各个区域部署独立的网络设备连接相应的主机、服务器等设备,网络区域的汇聚交换机再连接到核心交换机上。设计过程中,要避免过多的环路,充分考虑备份冗余和数据传输的效率以及各区域之间网络安全等[5,6]。
2.2 路由策略设计
为保持良好的扩展性,此次全网改造中,将使用OSPF动态路由协议代替静态路由协议。同时,由于全网采用的三层的分区结构设计,且每个功能区都有防火墙做完全隔离,因此功能区与核心交换之间仍然使用静态路由。对于新建的大型网络来说,选择一个合适的路由协议非常重要。路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
数据中心网络系统路由协议的选择要点如下:
(1)适用于实际网络结构,支持大规模的IP网络。
(2)路由选择的准确性。
(3)路由算法的简单、稳定,以减少由算法带来的网络流量。
(4)路由算法的迅速收敛。减少由收敛慢可能引起的路由环路。
(5)路由算法的灵活性。
(6)路由协议具有很好的可扩展性。
3 路由安全策略
3.1 下联区安全部署
ACL(Access Control List,访问控制列表)是路由器和交换机接口的指令列表,用来控制端口进出的数据包,其目的是为了对某种访问进行控制。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
ACL是整个网络安全环境构架的基础。哪些可以和银行内部进行交流,哪些银行部门可以与哪些银行部门互访或隔离,哪些数据信息需要什么要求才可以访问,都是由ACL进行设定。因此,对于ACL通常在网络的各个节点写好之后,会统一在建行总部留有备份,属于银行机密信息。ACL是安全方面的软防护,具体的设备及相关的安全设备(如防火墙等)则是安全方面的硬防护,软硬结合方可达到安全效益的最大化。
3.2 核心功能区及关键业务主机的安全
(1)应考虑在核心交换区与运维监控区、开发测试区等之间部署防火墙设备,并设置适当的访问策略。
(2)应考虑对生产业务区的关键业务主机、网银区的网站主机部署第二层的防护措施。
(3)网对数据中心内部的边界应部署防火墙进行隔离,园区网向数据中心内部的访问应限制在办公等功能区。
(4)应考虑在二层交换机上,采用相应的安全技术来保障和加强网络二层的安全,防范如MAC Flooding、VLAN Hopping等攻击。
3.3 网络设备自身的安全防护和加固
数据中心网络整体安全架构设计的基础上,加强网络设备自身的安全防护也非常重要,一旦网络设备自身的安全受到威胁,将会给带来非常严重的后果。思科的网络设备提供了很多功能来加强设备自身的安全防护,充分而合理的使用可以大大提高和加固这些设备自身的安全性。
思科路由器和多层交换机均有一些缺省开启的服务,很有可能会被非法利用,通过关闭这些服务,可以增强网络设备自身的安全,只有明确需要时才启用这些特性。
4 结束语
通过本次对银行网络拓扑规划和路由安全策略设计,解决了网络中线路比较单一、设计不够冗余、负载比较严重、服务器的安全不够合理、局域网之间通讯缓慢的问题。在原有骨干线路上在进行设计,增添一些网络设备,制定一些新的安全策略,运用动态路由协议和静态路由协议的结合,节约了大量成本。最终能够实现设备间运行效率更高,数据的传输更加安全可靠,保证了重要服务器的安全。
参考文献:
[1]隆重.某企业信息化建设网络系统设计原则[J].工业设计,2011(08).
[2]胡曦明,董淑福,郭荣平.新型分布式网络工程实验室的设计与建设[J].实验室研究与探索,2011(10).
[3]吴建平,林嵩,徐恪.可演进的新一代互联网体系结构研究进展[J].2012(06).
[4]尹本兵.一种基于信任证书管理的可信OSPF协议[D].北京邮电大学,2012(01).
[5]黄向农,曾毅夫,谭永欣.关于OSPF路由优化技术的探讨[J].实验技术与管理,2012(02).
[6]姚林燕.IGP-OSPF路由协议网络优化技术[J].电脑与电信,2012(02).
[7]于本成,陈彦,杨勇.ACL在中小型企业网络中的应用[J].软件工程师,2011(07).
[8]彭薇.ACL在网络管理中的应用[J].太原大学学报,2011(09).
[9]Thawatchai Chomsiri;Preecha Noiumkar The Theories for Analyzing Matched Packets on Cisco ACL Rules,The Proceedings of 2011 1st International Conference on Network and Electronics Engineering,2011-09-16.
作者简介:李道伟(1974-),男,江苏徐州人,本科,研究方向:网络管理。
作者单位:徐州工业职业技术学院,江苏徐州 221000
关键词:模型;拓扑优化;路由;安全策略
中图分类号:TP393
随着社会的发展和市场经济发展的需要,人们对于银行的业务需求越来越多,业务处理越来越复杂,简单的网络运行管理,已经无法满足银行快速的发展。银行网络的设计中,拓扑、路由和安全的设计关系着银行业务的处理效率[1]和数据安全[2]以及网络运行的可靠性等。
1 建设基础
1.1 网络现状
当前银行网络核心网络,以两台CISCO3550作为核心交换机,并启用三层,各区域之间通过单线程进行链接,比较简单,各区域之间也都是单线程连接非常简单。
1.2 存在的问题
旧网建设时采用的是当时先进的技术和优良的设备,但随着各种技术层出不穷,旧网在新的形势面前变得乏力。因此,有如下问题较为明显是急需改造设计中需要重点考虑[3,4]。
(1)网络冗余:旧网只是在总部对核心采用了备份。一旦某区域有一条线路断开,会导致该区域的瘫痪,无法工作。
(2)网络的负载均衡:旧网仅有一条主链路。在大规模的数据传递时会产生网络拥塞,导致网络瘫痪。
(3)旧线路的老化:由于当时技术条件的限制,加上时间的长久,在数据的传输上不是能够完全做到快速有效及时。
(4)内外部的信息交流:银行网络的建设重点就是安全性。应当对部门做一些安全策略。
(5)设备的不足:当前网络多区域共用一台防火墙,导致网络拥塞。
2 建设方案
通过对现有网络的分析,本次的设计方案在设备的选择上更加合理,充分利用IP地址,解决了地址浪费和不足的问题。路由方面全网动态和静态相结合,让各区域之间的工作效率更高。充分考虑信息的安全,做好设备间冗余和备份。
2.1 网络设计
整网按业务功能和安全需要分为不同的网络区域。各个区域部署独立的网络设备连接相应的主机、服务器等设备,网络区域的汇聚交换机再连接到核心交换机上。设计过程中,要避免过多的环路,充分考虑备份冗余和数据传输的效率以及各区域之间网络安全等[5,6]。
2.2 路由策略设计
为保持良好的扩展性,此次全网改造中,将使用OSPF动态路由协议代替静态路由协议。同时,由于全网采用的三层的分区结构设计,且每个功能区都有防火墙做完全隔离,因此功能区与核心交换之间仍然使用静态路由。对于新建的大型网络来说,选择一个合适的路由协议非常重要。路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。
数据中心网络系统路由协议的选择要点如下:
(1)适用于实际网络结构,支持大规模的IP网络。
(2)路由选择的准确性。
(3)路由算法的简单、稳定,以减少由算法带来的网络流量。
(4)路由算法的迅速收敛。减少由收敛慢可能引起的路由环路。
(5)路由算法的灵活性。
(6)路由协议具有很好的可扩展性。
3 路由安全策略
3.1 下联区安全部署
ACL(Access Control List,访问控制列表)是路由器和交换机接口的指令列表,用来控制端口进出的数据包,其目的是为了对某种访问进行控制。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。
ACL是整个网络安全环境构架的基础。哪些可以和银行内部进行交流,哪些银行部门可以与哪些银行部门互访或隔离,哪些数据信息需要什么要求才可以访问,都是由ACL进行设定。因此,对于ACL通常在网络的各个节点写好之后,会统一在建行总部留有备份,属于银行机密信息。ACL是安全方面的软防护,具体的设备及相关的安全设备(如防火墙等)则是安全方面的硬防护,软硬结合方可达到安全效益的最大化。
3.2 核心功能区及关键业务主机的安全
(1)应考虑在核心交换区与运维监控区、开发测试区等之间部署防火墙设备,并设置适当的访问策略。
(2)应考虑对生产业务区的关键业务主机、网银区的网站主机部署第二层的防护措施。
(3)网对数据中心内部的边界应部署防火墙进行隔离,园区网向数据中心内部的访问应限制在办公等功能区。
(4)应考虑在二层交换机上,采用相应的安全技术来保障和加强网络二层的安全,防范如MAC Flooding、VLAN Hopping等攻击。
3.3 网络设备自身的安全防护和加固
数据中心网络整体安全架构设计的基础上,加强网络设备自身的安全防护也非常重要,一旦网络设备自身的安全受到威胁,将会给带来非常严重的后果。思科的网络设备提供了很多功能来加强设备自身的安全防护,充分而合理的使用可以大大提高和加固这些设备自身的安全性。
思科路由器和多层交换机均有一些缺省开启的服务,很有可能会被非法利用,通过关闭这些服务,可以增强网络设备自身的安全,只有明确需要时才启用这些特性。
4 结束语
通过本次对银行网络拓扑规划和路由安全策略设计,解决了网络中线路比较单一、设计不够冗余、负载比较严重、服务器的安全不够合理、局域网之间通讯缓慢的问题。在原有骨干线路上在进行设计,增添一些网络设备,制定一些新的安全策略,运用动态路由协议和静态路由协议的结合,节约了大量成本。最终能够实现设备间运行效率更高,数据的传输更加安全可靠,保证了重要服务器的安全。
参考文献:
[1]隆重.某企业信息化建设网络系统设计原则[J].工业设计,2011(08).
[2]胡曦明,董淑福,郭荣平.新型分布式网络工程实验室的设计与建设[J].实验室研究与探索,2011(10).
[3]吴建平,林嵩,徐恪.可演进的新一代互联网体系结构研究进展[J].2012(06).
[4]尹本兵.一种基于信任证书管理的可信OSPF协议[D].北京邮电大学,2012(01).
[5]黄向农,曾毅夫,谭永欣.关于OSPF路由优化技术的探讨[J].实验技术与管理,2012(02).
[6]姚林燕.IGP-OSPF路由协议网络优化技术[J].电脑与电信,2012(02).
[7]于本成,陈彦,杨勇.ACL在中小型企业网络中的应用[J].软件工程师,2011(07).
[8]彭薇.ACL在网络管理中的应用[J].太原大学学报,2011(09).
[9]Thawatchai Chomsiri;Preecha Noiumkar The Theories for Analyzing Matched Packets on Cisco ACL Rules,The Proceedings of 2011 1st International Conference on Network and Electronics Engineering,2011-09-16.
作者简介:李道伟(1974-),男,江苏徐州人,本科,研究方向:网络管理。
作者单位:徐州工业职业技术学院,江苏徐州 221000