徐娟XU Juan

（銅陵有色金屬集團(tuán)股份有限公司，銅陵 244000）

（Tongling Nonferrous Metals Group Co.，Ltd.，Tongling 244000，China）

0 引言

當(dāng)今世界已經(jīng)邁入了一個(gè)信息無(wú)處不在的時(shí)代，而企業(yè)局域網(wǎng)則是信息化建設(shè)的一個(gè)基礎(chǔ)平臺(tái)。如何構(gòu)建高效、安全的計(jì)算機(jī)網(wǎng)絡(luò)，已經(jīng)成為眾多企業(yè)需要認(rèn)真思考的問(wèn)題。

1 系統(tǒng)設(shè)計(jì)基準(zhǔn)

1.1 安全基準(zhǔn) 設(shè)計(jì)系統(tǒng)時(shí)要充分考慮網(wǎng)絡(luò)安全的問(wèn)題，保證系統(tǒng)安全，防止被人為破壞。包括系統(tǒng)的快速查詢以及其故障的排除，傳輸內(nèi)容的保密及完整，外部非法侵入的防范，內(nèi)部人員的越級(jí)操作的防止等等。

1.2 可靠性、穩(wěn)定性基準(zhǔn) 系統(tǒng)的設(shè)計(jì)需要采用穩(wěn)定可靠的網(wǎng)絡(luò)架構(gòu)，才能保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行；而系統(tǒng)的建設(shè)應(yīng)采用主流的產(chǎn)品，以此保證系統(tǒng)的高質(zhì)量和其穩(wěn)定性；還要采用較成熟的技術(shù)提升系統(tǒng)的穩(wěn)定性，同時(shí)設(shè)備本身也需要具備很好的容錯(cuò)性及熱備份性；要確保每個(gè)接口與應(yīng)用公認(rèn)的標(biāo)準(zhǔn)兼容，同時(shí)保證第二層和第三層接口連接的可靠性。

1.3 先進(jìn)性基準(zhǔn) 局域網(wǎng)的設(shè)計(jì)要與實(shí)際緊密結(jié)合，立足于前沿技術(shù)，使系統(tǒng)能滿足各種數(shù)據(jù)傳輸?shù)囊?，保證系統(tǒng)具有較長(zhǎng)遠(yuǎn)的生命力，滿足將來(lái)系統(tǒng)升級(jí)的要求。

1.4 易管理性基準(zhǔn) 全部網(wǎng)絡(luò)設(shè)備應(yīng)可通過(guò)統(tǒng)一的網(wǎng)絡(luò)管理工作站實(shí)現(xiàn)統(tǒng)一的圖形化網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理界面應(yīng)簡(jiǎn)單有效，可通過(guò)直觀有效的網(wǎng)絡(luò)圖形來(lái)完成網(wǎng)絡(luò)狀況的分析和故障點(diǎn)的判斷。

1.5 可擴(kuò)充性、兼容性的基準(zhǔn) 設(shè)計(jì)網(wǎng)絡(luò)方案時(shí)，要在滿足當(dāng)前需要的前提下，充分考慮到未來(lái)的應(yīng)用，使網(wǎng)絡(luò)系統(tǒng)具有良好的可擴(kuò)充性與兼容性。

1.6 高性能、可移植性基準(zhǔn) 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)應(yīng)該充分地發(fā)揮軟硬件和網(wǎng)絡(luò)的處理能力，以及最優(yōu)系統(tǒng)整體性能，最大化網(wǎng)絡(luò)運(yùn)行效率等。而可移植性是確保系統(tǒng)在不同平臺(tái)下正常運(yùn)行的重要保證。

2 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

2.1 核心層 核心層是為點(diǎn)與點(diǎn)之間提供最佳的傳輸寬帶。核心層需要強(qiáng)大的3 層交換功能。其中核心層與匯聚層之間不能存在2 層的生成樹環(huán)路，只有通過(guò)智能的3層路由協(xié)議如OSPF 來(lái)實(shí)現(xiàn)路徑的選擇以及在核心層上的多條路徑的負(fù)載均衡。

2.2 匯聚層 匯聚層是為接入層提供基于策略的連接，通過(guò)工作組的網(wǎng)段化和網(wǎng)絡(luò)問(wèn)題的隔離，一定程度上也能夠防止它們影響到核心層。匯聚層實(shí)現(xiàn)接入層虛網(wǎng)之間的互聯(lián)并能夠控制接入層對(duì)核心層的訪問(wèn)，保證核心層的可靠性和穩(wěn)定性。除此之外，匯聚層還可以通過(guò)兩條上行線路連接到核心層，以保證線路的冗余。

2.3 接入層 接入層是用戶最終的網(wǎng)路接入點(diǎn)。它具有以共享、獨(dú)享或交換貸款的方式為用戶提供入網(wǎng)的接口。接入層則采用TPLINK 網(wǎng)絡(luò)交換機(jī)，連接各工作站。

接入層通過(guò)上行（100Mbps 快速以太網(wǎng)、千兆以太網(wǎng)）連接到匯聚層。虛網(wǎng)中繼協(xié)議（802.1Q）、快速收斂技術(shù)以及每個(gè)VLAN 的生成樹（Spanning Tree）技術(shù)可以實(shí)現(xiàn)在冗余線路上的負(fù)載均衡和上行線路故障時(shí)的快速恢復(fù)。接入層一般通過(guò)2 層交換技術(shù)來(lái)實(shí)現(xiàn)。

3 企業(yè)局域網(wǎng)實(shí)施方案

按照“核心層-匯聚層-接入層”的結(jié)構(gòu)組建樹型局域網(wǎng)。因考慮到局域網(wǎng)中有財(cái)務(wù)、人力資源、檔案等需要高安全、高保密的資源系統(tǒng)，網(wǎng)絡(luò)安全和隔離十分重要。因此，對(duì)INTERNET 接口處采用硬件防火墻，并結(jié)合網(wǎng)管軟件，規(guī)范用戶訪問(wèn)INTERNET 行為；同時(shí)核心層和匯聚層采用華為智能彈性架構(gòu)三層交換機(jī)實(shí)現(xiàn)VLAN 劃分。

3.1 防火墻技術(shù)的運(yùn)用 有關(guān)資料表明，目前在互聯(lián)網(wǎng)上大約有20%以上的用戶曾遭受過(guò)黑客的困擾。因此，人們?cè)絹?lái)越注重網(wǎng)絡(luò)安全。

防火墻能夠提升機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻的防御系統(tǒng)決定了外界可以訪問(wèn)內(nèi)部哪些服務(wù)以及外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)等等。而防火墻也必須允許所授權(quán)的數(shù)據(jù)能夠通過(guò)，并且防火墻本身也要能夠避免滲透。

針對(duì)不同資源提供不同安全級(jí)別的保護(hù)，可以考慮構(gòu)建一個(gè)叫做DMZ 的區(qū)域。所謂的DMZ（Demilitarized Zone），也稱非防護(hù)區(qū)或非軍事區(qū)。DMZ 可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域。DMZ 內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器，如：Web、Mail、FTP 等。這樣可以在保證內(nèi)網(wǎng)機(jī)密信息安全性的前提下，使來(lái)自外網(wǎng)的訪問(wèn)者也可以訪問(wèn)DMZ 中的服務(wù)。

如果局域網(wǎng)內(nèi)部服務(wù)器不向公網(wǎng)提供資源服務(wù)，則只需在核心交換機(jī)和INTERNET 之間的接入口增加一臺(tái)網(wǎng)絡(luò)防火墻即可。

如果局域網(wǎng)內(nèi)部服務(wù)器向公網(wǎng)提供資源服務(wù)，如向INETERNET 提供虛擬主機(jī)、VPN 遠(yuǎn)程訪問(wèn)、WEB、FTP、MAIL 等服務(wù)，則應(yīng)將服務(wù)器群直接接入防火墻的DMZ 區(qū)域內(nèi)。

3.2 VLAN 規(guī)劃和劃分 單一廣播域的缺點(diǎn)將直接影響網(wǎng)絡(luò)的安全穩(wěn)定和信息化系統(tǒng)的可靠性，為此，必須要進(jìn)行VLAN 規(guī)劃，將整個(gè)網(wǎng)絡(luò)劃分成若干個(gè)廣播域。

對(duì)于企業(yè)內(nèi)部的子網(wǎng)，網(wǎng)絡(luò)站點(diǎn)相對(duì)固定，可采用基于端口的虛擬子網(wǎng)的劃分，這種方式配置簡(jiǎn)單，便于維護(hù)。將每個(gè)樓座作為一個(gè)獨(dú)立的子網(wǎng)，劃入一個(gè)VLAN 中，通過(guò)網(wǎng)絡(luò)中心的核心交換機(jī)來(lái)實(shí)現(xiàn)VLAN 之間的通信。也可以創(chuàng)建所謂的連接關(guān)系組，將其分配給不同職能的部門。這類連接關(guān)系組甚至可以相互重迭，并可以根據(jù)部門和職務(wù)的性質(zhì)來(lái)組織，如，具有高級(jí)權(quán)限的用戶既可以屬于自身的私有網(wǎng)絡(luò)，又可屬于其他共享網(wǎng)絡(luò)。

規(guī)劃好VLAN 之后，就要確定選擇何種VLAN 劃分方式。這里的劃分是指技術(shù)層面上的，表示技術(shù)實(shí)現(xiàn)類型。在具體應(yīng)用時(shí)，應(yīng)根據(jù)網(wǎng)絡(luò)的實(shí)際狀況和所要達(dá)到的功能靈活選擇。中小型網(wǎng)絡(luò)一般選用基于端口的VLAN、基于MAC 地址的VLAN 或基于IP 地址的VLAN。

3.3 IRF 智能彈性架構(gòu) IRF（Intelligent Resilient Framework），即智能彈性架構(gòu)。它可以幫助用戶設(shè)計(jì)和實(shí)施高可用性、高可擴(kuò)展性的千兆以太網(wǎng)核心和匯聚主干，對(duì)大型局域網(wǎng)有較高的實(shí)用性。

運(yùn)用IRF 技術(shù)，可以將多臺(tái)千兆三層交換機(jī)互聯(lián)在一起，形成分布式交換架構(gòu)，作為一個(gè)邏輯交換實(shí)體運(yùn)行。從管理和配置的角度看，一個(gè)分布式交換架構(gòu)看起來(lái)就像一臺(tái)交換設(shè)備。從性能的角度看，分布式交換架構(gòu)中的每臺(tái)交換機(jī)都能針對(duì)其端口上的第二層/第三層流量通信業(yè)務(wù)制定本地轉(zhuǎn)發(fā)決策，它向用戶提供一種新型的堆疊技術(shù)。

支持IRF 的多臺(tái)交換設(shè)備互相連接起來(lái)形成一個(gè)“聯(lián)合設(shè)備”，這樣無(wú)論在管理還是在使用上，就成為了一個(gè)整體。這樣既可以通過(guò)增加設(shè)備來(lái)擴(kuò)展端口數(shù)量和交換能力，同時(shí)也增加了整個(gè)“聯(lián)合設(shè)備”的可靠性。

和傳統(tǒng)的堆疊技術(shù)相比，IRF 是一種更為強(qiáng)大的堆疊技術(shù)，除了可以做到擴(kuò)展端口、統(tǒng)一管理之外，IRF 在高可靠性、冗余備份方面比傳統(tǒng)堆疊有了更大的提高。IRF 技術(shù)可以容許全局范圍內(nèi)的跨設(shè)備鏈路聚合，提供全面的鏈路級(jí)保護(hù)。同時(shí)IRF 技術(shù)實(shí)現(xiàn)了跨設(shè)備的三層路由冗余，可以支持多種單播路由協(xié)議、組播路由協(xié)議的分布式處理，真正實(shí)現(xiàn)了多種路由協(xié)議的熱備份技術(shù)。

[1]楊建秋.企業(yè)局域網(wǎng)規(guī)劃與管理[J].寧夏科技，2003（05）.

[2]趙麗芳，王兵.企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全運(yùn)維方案[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2007（36）.

[3]劉巍.企業(yè)局域網(wǎng)網(wǎng)速減慢的解決辦法[J].科技信息，2009（06）.