曹頻

摘要：文章以企業(yè)網(wǎng)絡(luò)規(guī)劃與管理的理論知識為依據(jù)，以上海浦東建筑設(shè)計研究院有限公司網(wǎng)絡(luò)現(xiàn)狀為基礎(chǔ)，詳細(xì)分析企業(yè)網(wǎng)絡(luò)需求和改造方案，探討安全管理策略，從而組建個安全高速有效的企業(yè)網(wǎng)絡(luò)以滿足信息交流和業(yè)務(wù)開展。

關(guān)鍵詞：局域網(wǎng)；廣域網(wǎng)；網(wǎng)絡(luò)建設(shè)和改造；拓?fù)浣Y(jié)構(gòu)；VLAN

中圖分類號：TU712

文獻標(biāo)識碼：B

文章編號：1008-0422（2013）06-0113-02

1 概述

設(shè)計行業(yè)信息化是世界經(jīng)濟和社會發(fā)展的趨勢。近十年來設(shè)計行業(yè)隨著國家經(jīng)濟的發(fā)展、業(yè)務(wù)規(guī)模及人員規(guī)模的快速增長，隨之產(chǎn)生的管理需求不斷增加，而依靠傳統(tǒng)管理模式已無法滿足需求。在“十二五”期間，國內(nèi)建筑行業(yè)將加強信息基礎(chǔ)設(shè)施建設(shè)，提高企業(yè)信息系統(tǒng)安全水平；同時項目管理軟件等應(yīng)用系統(tǒng)的普及率不斷提高，逐步建立企業(yè)級的共享網(wǎng)絡(luò)以及完善相關(guān)的信息化標(biāo)準(zhǔn)成了設(shè)計院必備的信息化要求。本文以上海浦東建筑設(shè)計研究院有限公司為案例，探討設(shè)計院網(wǎng)絡(luò)規(guī)劃及管理方法。

上海浦東建筑設(shè)計研究院有限公司現(xiàn)已成為集建筑、市政、園林設(shè)計三位一體的綜合設(shè)計企業(yè)。公司設(shè)有十個設(shè)計部門，六個行政部門。由于公司業(yè)務(wù)需要及公司發(fā)展需求，目前在全國各地設(shè)有八個分公司及兩個辦事處。

根據(jù)企業(yè)信息化建設(shè)目標(biāo)和總體規(guī)劃，原有的網(wǎng)絡(luò)架構(gòu)不能滿足企業(yè)管理和信息化發(fā)展現(xiàn)狀，例如單一VLAN的地址已經(jīng)不夠分配，缺乏有效的安全策略，主干網(wǎng)帶寬只有百兆，隨著設(shè)計專業(yè)軟件的網(wǎng)絡(luò)需求增加，越來越多的業(yè)務(wù)需要使用互聯(lián)網(wǎng)絡(luò)，因此需進行全面的網(wǎng)絡(luò)規(guī)劃和改造。

2 現(xiàn)狀需求分析

由于現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)為單一的樹狀結(jié)構(gòu)，容易出現(xiàn)單點故障而引起所有網(wǎng)絡(luò)節(jié)點的正常運行；層次結(jié)構(gòu)不清晰，導(dǎo)致無法集中管理設(shè)備，造成維護極為不便；設(shè)備較老、品牌較雜、設(shè)備兼容性較差，網(wǎng)絡(luò)傳輸較慢，存在數(shù)據(jù)丟包現(xiàn)象；使用了大量的專業(yè)設(shè)計軟件網(wǎng)絡(luò)版，客戶端和服務(wù)端的訪問量與日俱增；設(shè)備無法控制網(wǎng)絡(luò)流量，客戶端訪問互聯(lián)網(wǎng)非常擁擠；無法有效避免ARP等局域網(wǎng)攻擊；客戶端操作系統(tǒng)補丁安裝不完全，殺毒軟件安裝不統(tǒng)一。

所以整體改造分為兩個主要方面：

（1）內(nèi)部網(wǎng)絡(luò)設(shè)備方面的改造：將現(xiàn)有的內(nèi)網(wǎng)互聯(lián)百兆主干網(wǎng)升級為千兆傳輸，在網(wǎng)絡(luò)出口核心連接廣域網(wǎng)處升級路由防火墻，更換現(xiàn)有的核心、樓層交換設(shè)備，按部門劃分VLAN，實現(xiàn)流量監(jiān)控。

（2）廣域網(wǎng)及系統(tǒng)服務(wù)方面的改造：構(gòu)建VPN實現(xiàn)與分公司互通，部署網(wǎng)絡(luò)行為管理，系統(tǒng)補丁分發(fā)，廣域網(wǎng)帶寬升級，建立企業(yè)統(tǒng)一通信郵箱，建立數(shù)據(jù)備份機制等。

3 規(guī)劃基本原則

基于對以上需求的深入理解，網(wǎng)絡(luò)建設(shè)應(yīng)遵循以下基本原則。

3.1 網(wǎng)絡(luò)設(shè)備應(yīng)首先滿足網(wǎng)絡(luò)中數(shù)據(jù)交換的要求，網(wǎng)絡(luò)主干的通訊鏈路帶寬能夠滿足應(yīng)用對網(wǎng)絡(luò)的性能要求。

通常網(wǎng)絡(luò)的負(fù)載流量主要是從邊緣設(shè)備到核心的數(shù)據(jù)交換。改善辦公網(wǎng)絡(luò)整體數(shù)據(jù)交換性能，應(yīng)該是首先擴充主干交換機的交換性能，增加邊緣設(shè)備到核心數(shù)據(jù)的通訊帶寬，以改善整個網(wǎng)絡(luò)的瓶頸，使得應(yīng)用軟件的性能和效率得到提高。除了考慮滿足網(wǎng)絡(luò)規(guī)模所要求的主干設(shè)備數(shù)據(jù)交換處理能力，以及邊緣設(shè)備到核心的鏈路帶寬外，對樓層交換機也有較高的性能要求。

網(wǎng)絡(luò)設(shè)備的選擇，尤其是網(wǎng)絡(luò)核心設(shè)備，應(yīng)該選擇可以配置冗余部件，可以冗余備份，設(shè)備損壞部件的更換可以進行在線操作，這樣可以使影響的時間降低到最小，以保證網(wǎng)絡(luò)可以在任何時間、任何地點提供信息訪問服務(wù)。與此同時，網(wǎng)絡(luò)設(shè)備還要求采用主流技術(shù)、開放的標(biāo)準(zhǔn)協(xié)議，能夠支持不同廠家、不同系列產(chǎn)品之間的相互無縫連接與通訊，減少設(shè)備互連的兼容問題以及網(wǎng)絡(luò)維護的費用。

在滿足現(xiàn)有規(guī)模的網(wǎng)絡(luò)用戶需求的同時，考慮到業(yè)務(wù)發(fā)展、規(guī)模的擴大，主干設(shè)備的選擇應(yīng)該具備強大的背板帶寬，足夠的負(fù)載容量。對于交換機來說，核心交換引擎應(yīng)該在可以滿足最大配置下，無阻塞地進行端口數(shù)據(jù)包交換，模塊的擴充不影響交換性能。

3.2 通過將網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。

根據(jù)網(wǎng)絡(luò)中工作組管理功能的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，大大提高網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個VLAN中客戶端不論它們實際與哪個交換機連接，它們之間的通訊象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸?shù)狡渌腣LAN中去。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。用戶可以自由地在企業(yè)網(wǎng)絡(luò)中移動辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊。

因此，劃分VLAN既可以增加網(wǎng)絡(luò)的靈活性，也可以有效地阻止VLAN內(nèi)的大量非法廣播，還能隔離VLAN之間的通訊，控制資源的訪問權(quán)限，提高網(wǎng)絡(luò)的安全性。同時在網(wǎng)絡(luò)設(shè)備上應(yīng)該可以進行基于協(xié)議、基于MAC地址、基于端口、基于IP地址的包過濾控制功能。

3.3 有效控制網(wǎng)絡(luò)的訪問。

合理的網(wǎng)絡(luò)安全控制可以使應(yīng)用環(huán)境中的信息資源得到有效保護。在進行安全方案設(shè)計時，應(yīng)考慮網(wǎng)絡(luò)物理是否安全、網(wǎng)絡(luò)平臺是否安全、系統(tǒng)是否安全、應(yīng)用是否安全、管理是否安全的風(fēng)險，對應(yīng)采取相應(yīng)的安全措施。這些風(fēng)險與這個局域網(wǎng)的結(jié)構(gòu)、系統(tǒng)應(yīng)用、網(wǎng)絡(luò)服務(wù)器等因素密切相關(guān)。

關(guān)鍵的應(yīng)用服務(wù)器、主干網(wǎng)絡(luò)設(shè)備，應(yīng)該只有系統(tǒng)管理人員才有操作、控制的權(quán)力。應(yīng)用客戶端只有訪問共享資源的權(quán)限，網(wǎng)絡(luò)應(yīng)該能夠阻止任何的非法操作。使網(wǎng)絡(luò)可以任意連接，又可以控制第二層、第三層控制網(wǎng)絡(luò)的訪問。同時，對連接用戶身份的認(rèn)證也是保障網(wǎng)絡(luò)安全要考慮的重要內(nèi)容。

4 網(wǎng)絡(luò)改造規(guī)劃設(shè)計

4.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（圖1）

整個網(wǎng)絡(luò)安全設(shè)計分成內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，通過一個防火墻隔離開來。防火墻上設(shè)置入侵監(jiān)測和DOS攻擊防護等安全防護特性，保證內(nèi)部用戶透明使用網(wǎng)絡(luò)資源和拒絕外部非法未授權(quán)用戶的探測和攻擊。防火墻上設(shè)置VPN功能，用戶可以通過使用IPSEC加密的安全通道連接到公司的防火墻，訪問公司內(nèi)部的網(wǎng)絡(luò)。

此次網(wǎng)絡(luò)改造主要針對網(wǎng)絡(luò)交換機層，改造中需要更換一臺核心交換機、一臺匯聚交換機、若干臺分布在各樓層的接入層設(shè)備。核心交換機采用H3C 5500-26C，設(shè)備具有24個千兆接口和4個SFP接口；匯聚交換機采用H3C 5100-16P，設(shè)備具有16個千兆接口及4個SFP接口；接入層交換機采用H3C3100-26TP-SI，具有24個10/100接口和2個千兆接口。

除了一臺核心三層交換機，因核心機房還有若干應(yīng)用服務(wù)器，為保證服務(wù)器高速連接到網(wǎng)絡(luò)中，緩解核心交換機轉(zhuǎn)發(fā)壓力，設(shè)計通過一臺5100-16P-SI交換機連接服務(wù)器組，與核心交換機的連接通過兩路以太網(wǎng)線捆綁互聯(lián)，保證設(shè)備間的高速、穩(wěn)定通信。

樓層接入交換機通過布放的超五類以太網(wǎng)線與核心交換機連接，其連接方式同樣使用兩路以太網(wǎng)線捆綁，以使接人層交換機快速、穩(wěn)定地與核心交換機互聯(lián)，達(dá)到冗余備份、負(fù)載均衡。

此次改造所有以太網(wǎng)交換機互聯(lián)均通過千兆接口。

4.2 VLAN規(guī)劃

由于內(nèi)部網(wǎng)絡(luò)是由多個部門組成，按照應(yīng)用部門之間需求進行統(tǒng)一通信控制，為了達(dá)到這種通信的要求，需要利用核心交換機對局域網(wǎng)進行VLAN劃分，從而達(dá)到部門之間通信的安全性。

網(wǎng)絡(luò)結(jié)構(gòu)及功能初步規(guī)劃包括以下幾個方面：設(shè)備連接規(guī)劃（千兆鏈路匯聚）；VLAN規(guī)劃（業(yè)務(wù)VLAN、管理VLAN）；IP地址規(guī)劃（設(shè)備管理IP、業(yè)務(wù)IP）；DHCP服務(wù)器規(guī)劃（多VLAN DHCP規(guī)劃）；接入層設(shè)備靜態(tài)MAC+端口綁定（防止ARP欺騙）；設(shè)備命名、管理服務(wù)、管理賬號規(guī)劃；內(nèi)部路由設(shè)計；訪問控制規(guī)劃（VLAN間安全、業(yè)務(wù)安全）。

公司內(nèi)部部門較多，按照設(shè)計必須每個VLAN對應(yīng)一個網(wǎng)段地址，為節(jié)約地址、達(dá)到地址的唯一性、可擴展性，采用了C類地址；DHCP服務(wù)由核心交換機實現(xiàn)地址動態(tài)分配。

由于涉及到多VLAN的環(huán)境，將會導(dǎo)致局域網(wǎng)計算機在網(wǎng)上鄰居看不到其他VLAN內(nèi)的計算機，為解決設(shè)計部門間互訪的要求，需將網(wǎng)絡(luò)系統(tǒng)模式提升為AD模式，同時架設(shè)WINS服務(wù)。

工作在網(wǎng)絡(luò)第二層的VLAN技術(shù)能將一組用戶歸納到一個廣播域當(dāng)中，從而限制廣播流量，提高帶寬利用率。同時缺省情況下不同VLAN之間用戶是不能相互訪問的。通訊通過三層設(shè)備轉(zhuǎn)發(fā)，這就便于實施訪問控制，提高數(shù)據(jù)的安全性。

在網(wǎng)絡(luò)用戶VLAN規(guī)劃方面，根據(jù)用戶所屬的部門，以及具體的網(wǎng)絡(luò)應(yīng)用權(quán)限來劃分出設(shè)計部門，財務(wù)及管理部門，其他行政部門，機房設(shè)備等VLAN。

具體VLAN分配原則制定后，根據(jù)VLAN內(nèi)用戶分布情況，在交換機上安排相應(yīng)的網(wǎng)絡(luò)端口，在不同交換機之間，如果需要交換同一VLAN的數(shù)據(jù)和信息，則在交換機互聯(lián)的端口上設(shè)置其工作在Trunk模式下，使其能轉(zhuǎn)發(fā)帶有802.1Q標(biāo)簽的不同VLAN的數(shù)據(jù)包。

4.3 安全管理規(guī)劃

結(jié)合實際情況，內(nèi)網(wǎng)安全規(guī)劃通過以下方法來預(yù)防及控制：按照部門或樓層等劃分相應(yīng)的VLAN，控制廣播及病毒泛濫；對設(shè)備設(shè)置管理用戶及密碼，并定期更改；及時更新系統(tǒng)補丁和防病毒軟件；通過IP+MAC+端口綁定未防止ARP攻擊；通過利用防火墻對客戶端進行訪問策略限制，保證網(wǎng)絡(luò)資源合理應(yīng)用。

局域網(wǎng)內(nèi)部路由，主要是為防火墻與內(nèi)網(wǎng)多個網(wǎng)段之間建立通信，因為內(nèi)網(wǎng)涉及多個網(wǎng)段，所以需要在三層交換機上面設(shè)置一條缺省路由到防火墻內(nèi)網(wǎng)接口，同時在防火墻上需要設(shè)置一條聚合路由指向三層交換機。

內(nèi)網(wǎng)客戶端訪問外網(wǎng)將通過在防火墻上實現(xiàn)訪問控制。防火墻將按照實際應(yīng)用需求設(shè)置開放相應(yīng)的服務(wù)策略。通過核心三層交換機和防火墻，定義相關(guān)的訪問控制列表及策略。

在網(wǎng)絡(luò)設(shè)備配置中，利用三層設(shè)備的ACL（訪問控制列表）功能，保護那些對網(wǎng)絡(luò)安全要求較高的主機、服務(wù)器以及特定的網(wǎng)段（例如財務(wù)）。ACL是手工配置在網(wǎng)絡(luò)設(shè)備上面的一組判斷條件，對于滿足條件的數(shù)據(jù)包，設(shè)備進行“轉(zhuǎn)發(fā)”或者“丟棄”的處理。ACL的主要作用是實施對網(wǎng)段的訪問控制，針對數(shù)據(jù)包的源地址和目的網(wǎng)絡(luò)地址的組合，通過在網(wǎng)絡(luò)設(shè)備上配置訪問控制過濾功能，提供網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)資源進行有效安全管理的技術(shù)。

預(yù)防網(wǎng)絡(luò)中ARP病毒攻擊，通過在接入層交換機上配置靜態(tài)MAC+端口綁定，預(yù)先設(shè)定接入層交換機端口連接到哪臺終端，以及終端網(wǎng)卡硬件MAC地址。

在服務(wù)器上安裝ServerProtect產(chǎn)品，可以提供集中式多重網(wǎng)域安裝及管理、遠(yuǎn)端安全管理、實時偵測并清除病毒、自動更新及傳送病毒碼文件等安全措施。在客戶端PC機上安裝OfficeScan產(chǎn)品，通過瀏覽器進行所有的設(shè)定及配置，可以提供遠(yuǎn)程安裝、主控臺集中管理客戶端掃描及清毒、對客戶端進行實時監(jiān)護等安全措施。

5 結(jié)語

通過部署和實施，改善了上海浦東建筑設(shè)計研究院的網(wǎng)絡(luò)改造方案，不僅能很好地解決現(xiàn)有網(wǎng)絡(luò)存在的問題，而且能兼顧未來更多的網(wǎng)絡(luò)應(yīng)用拓展，結(jié)合完善的安全管理策略，對整個網(wǎng)絡(luò)提供多級防護，保證局域網(wǎng)客戶端安全、穩(wěn)定、高速地實現(xiàn)信息訪問和數(shù)據(jù)交換，提高了設(shè)計效率，并且增強了在同行業(yè)中的競爭能力。