孫成衛(wèi)

摘要：當(dāng)前網(wǎng)絡(luò)傳輸技術(shù)的日益進(jìn)步以及網(wǎng)絡(luò)設(shè)備產(chǎn)品價(jià)格的不斷下調(diào)擴(kuò)大了企業(yè)對信息共享和數(shù)據(jù)傳輸?shù)男枨?，現(xiàn)階段各個企業(yè)都加大企業(yè)內(nèi)部局域網(wǎng)搭建的工作力度，旨在實(shí)現(xiàn)現(xiàn)代信息技術(shù)對企業(yè)發(fā)展的促進(jìn)作用，加快企業(yè)現(xiàn)代化發(fā)展的進(jìn)程。關(guān)于加快企業(yè)信息化發(fā)展局域網(wǎng)建設(shè)的必然選擇，企業(yè)局域網(wǎng)這一基礎(chǔ)平臺的搭建確保了企業(yè)現(xiàn)代信息管理、辦公自動化和現(xiàn)代化發(fā)展等一系列數(shù)據(jù)處理與應(yīng)用的有效實(shí)現(xiàn)。該文就中小型企業(yè)的實(shí)際應(yīng)用需求，探討了一個典型中小企業(yè)網(wǎng)絡(luò)系統(tǒng)的相關(guān)設(shè)計(jì)，技術(shù)配置以及IP地址規(guī)劃方面的問題。

關(guān)鍵詞：中小型企業(yè)；局域網(wǎng)；設(shè)計(jì)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）03-0055-02

1 企業(yè)局域網(wǎng)設(shè)計(jì)標(biāo)準(zhǔn)

實(shí)用性和經(jīng)濟(jì)性標(biāo)準(zhǔn)：企業(yè)網(wǎng)絡(luò)系統(tǒng)的搭建應(yīng)該深入貫徹注重實(shí)際應(yīng)用的原則，努力實(shí)現(xiàn)網(wǎng)站建設(shè)的經(jīng)濟(jì)性和實(shí)用性標(biāo)準(zhǔn)。

先進(jìn)性和成熟性標(biāo)準(zhǔn)：實(shí)現(xiàn)一個先進(jìn)成熟的網(wǎng)絡(luò)搭建設(shè)計(jì)，確保若干年后企業(yè)網(wǎng)絡(luò)建設(shè)仍保持有先進(jìn)水平的發(fā)展?jié)摿?，首先必須要考慮到國內(nèi)外先進(jìn)技術(shù)理念的分析運(yùn)用，其次要重視網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、設(shè)備以及工具的更新完善，保證網(wǎng)絡(luò)搭建設(shè)計(jì)的設(shè)施要求。

可靠性和穩(wěn)定性標(biāo)準(zhǔn)：

在保證網(wǎng)絡(luò)技術(shù)先進(jìn)性和經(jīng)濟(jì)實(shí)用性的前提下，網(wǎng)絡(luò)運(yùn)行的穩(wěn)定可靠性考慮同樣不可忽略，通過網(wǎng)絡(luò)系統(tǒng)管理、傳輸技術(shù)措施、網(wǎng)絡(luò)設(shè)備性能、設(shè)備廠商技術(shù)支持及維修能力、網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)等方面工作的加強(qiáng)，實(shí)現(xiàn)網(wǎng)絡(luò)搭建最大的平均無故障時(shí)間。

安全性和保密性標(biāo)準(zhǔn)：網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中的安全性和保密性是所有設(shè)計(jì)工作的重中之重，在保證網(wǎng)絡(luò)信息資源充分共享的前提下，更要關(guān)注信息資源的安全和保密，因此網(wǎng)絡(luò)搭建設(shè)計(jì)必須落實(shí)好針對不同網(wǎng)絡(luò)通信應(yīng)用環(huán)境所采取的訪問控制協(xié)議、系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等技術(shù)措施的完善工作。

可擴(kuò)展性和易維護(hù)性標(biāo)準(zhǔn)：為了確保網(wǎng)絡(luò)搭建設(shè)計(jì)的易維護(hù)性和可擴(kuò)展性，減少人員聘用方面的支出，實(shí)現(xiàn)網(wǎng)絡(luò)搭建的易用性，提高工作效率，要認(rèn)真考慮使用最少的投資和最簡單有效的技術(shù)手段完成網(wǎng)絡(luò)的搭建與規(guī)劃以適應(yīng)日新月異的經(jīng)濟(jì)發(fā)展需要。

2 企業(yè)局域網(wǎng)技術(shù)的應(yīng)用

企業(yè)網(wǎng)絡(luò)搭建的經(jīng)濟(jì)實(shí)用性，先進(jìn)成熟性，可靠穩(wěn)定性，安全保密性和可擴(kuò)展易維護(hù)性的實(shí)現(xiàn)與企業(yè)局域網(wǎng)技術(shù)的應(yīng)用密切相關(guān)，網(wǎng)絡(luò)技術(shù)的選取很大程度上決定了企業(yè)網(wǎng)絡(luò)搭建的整體性能。

2.1快速以太網(wǎng)技術(shù)

快速以太網(wǎng)技術(shù)具有拓?fù)浣Y(jié)構(gòu)簡單靈活，靈活性強(qiáng)，供選擇傳輸介質(zhì)多樣，施工簡單方便等優(yōu)點(diǎn)，這一當(dāng)前世界應(yīng)用最廣泛的組網(wǎng)技術(shù)毋庸置疑成為中小企業(yè)組網(wǎng)的第一選擇。

2.2 VLAN技術(shù)

虛擬局域網(wǎng)（VLAN）技術(shù)用于解決交換機(jī)以太網(wǎng)的廣播風(fēng)暴，為了減少參與廣播風(fēng)暴的設(shè)備數(shù)量，達(dá)到限制網(wǎng)絡(luò)廣播的目的，可以通過采用把網(wǎng)絡(luò)進(jìn)行劃分成多個VLAN的辦法實(shí)現(xiàn)。LAN分段的技術(shù)方法可以有效避免廣播風(fēng)暴波及整個網(wǎng)絡(luò)的情況出現(xiàn)。減少廣播流量在VLAN技術(shù)手段中的使用主要在于防火墻機(jī)制的建立以避免交換網(wǎng)絡(luò)中廣播風(fēng)暴波的出現(xiàn)。VLAN技術(shù)的使用中把用戶或交換端口設(shè)置在某個特定的VLAN組，通過利用此VLAN組于一個交換網(wǎng)中跨接多個交換機(jī)的方式使某個VLAN中的廣播保持傳送在VLAN之內(nèi)的狀態(tài)，而且互相相鄰的交換端口也僅能接收到特定VLAN發(fā)送出的廣播。這種方法不僅實(shí)現(xiàn)了廣播量的減少，還使用戶獲得了更多的帶寬應(yīng)用，一舉兩得。此外，虛擬網(wǎng)絡(luò)環(huán)境的創(chuàng)建也有賴于VLAN技術(shù)的運(yùn)用，企業(yè)通過網(wǎng)絡(luò)虛擬環(huán)境的搭建可以有效組合起不同地點(diǎn)不同網(wǎng)絡(luò)環(huán)境的不同用戶，這種網(wǎng)絡(luò)使用方式同樣與使用本地LAN時(shí)一樣靈活有效。在降低管理費(fèi)用方面，對于一些因業(yè)務(wù)情況發(fā)展經(jīng)常需要變更或移動工作站地理位置的公司而言，VLAN的使用可以有效降低因變更產(chǎn)生的管理費(fèi)。

2.3 DHCP

DHCP是Dynamic Host Configuration Protocol的英文縮寫，它的中文涵義也叫動態(tài)主機(jī)配置協(xié)議，它是一個利用UDP協(xié)議進(jìn)行工作的局域網(wǎng)網(wǎng)絡(luò)協(xié)議。使用DHCP可以實(shí)現(xiàn)默認(rèn)網(wǎng)關(guān)IP地址，IP地址，DNS服務(wù)器IP地址，子網(wǎng)掩碼及其他IP地址類型信息通過DHCP服務(wù)器成功提供DHCP客戶端。因此，它毋庸置疑地成為當(dāng)前提供網(wǎng)絡(luò)主機(jī)IP地址分配的最為廣泛應(yīng)用的方式之一。

DHCP的應(yīng)用環(huán)境一般為大型局域網(wǎng)絡(luò)環(huán)境，它的主要作用與IP地址的集中分配管理密切相關(guān)，涉及網(wǎng)絡(luò)環(huán)境中主機(jī)動態(tài)的Gateway地址、DNS服務(wù)器地址、IP地址等信息的獲取，旨在實(shí)現(xiàn)地址使用率的提高，一般情況下DHCP網(wǎng)絡(luò)協(xié)議主要發(fā)揮①為內(nèi)部網(wǎng)絡(luò)管理員或用戶進(jìn)行所有計(jì)算機(jī)的中央管理工作②為網(wǎng)絡(luò)服務(wù)供應(yīng)商或內(nèi)部網(wǎng)絡(luò)進(jìn)行IP地址的自動分配這兩個作用。

2.4 NAT

NAT作為 “Network Address Translation”的英文縮寫，中文涵義是“網(wǎng)絡(luò)地址轉(zhuǎn)換”， NAT用于 IP數(shù)據(jù)包經(jīng)過防火墻或路由器時(shí)對源IP地址或/和目的IP地址的重寫，它的普遍使用環(huán)境是有多臺主機(jī)但只通過一個公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡(luò)環(huán)境。NAT作為一個IETF標(biāo)準(zhǔn)，它通過允許一個整體機(jī)構(gòu)以一個公用IP地址形式出現(xiàn)在Internet上，實(shí)現(xiàn)了內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）轉(zhuǎn)變成合法網(wǎng)絡(luò)IP地址的翻譯。即NAT可以成功實(shí)現(xiàn)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中內(nèi)部節(jié)點(diǎn)與外部網(wǎng)絡(luò)通訊時(shí)公用地址對內(nèi)部地址在網(wǎng)關(guān)處的替換。在計(jì)算機(jī)網(wǎng)絡(luò)中 ，NAT可以實(shí)現(xiàn)只申請一個合法IP地址，就能把整個局域網(wǎng)中計(jì)算機(jī)接入Internet中，通過多臺計(jì)算機(jī)的Internet共享連接，很好避開了公共IP地址緊缺的麻煩。

2.5 ACL

ACL作為企業(yè)內(nèi)外網(wǎng)絡(luò)通信的第一道防護(hù)關(guān)卡，它可以通過網(wǎng)絡(luò)流量的過濾和訪問的控制來對網(wǎng)絡(luò)設(shè)備和服務(wù)器的保護(hù)產(chǎn)生作用，從而有效確保企業(yè)內(nèi)網(wǎng)的安全。它的英文全稱為Access Control Lists，中文涵義是訪問控制列表，位于路由器上，本質(zhì)上是應(yīng)用于路由器接口的指令列表。ACL指令列表可以通過類似于源地址、端口號、目的地址等特定指示條件來確定告訴路由器哪些數(shù)據(jù)包應(yīng)該是被接收還是被拒絕的，如此通過一些安全策略保障非授權(quán)用戶僅能對特定網(wǎng)絡(luò)資源進(jìn)行訪問，從而實(shí)現(xiàn)對訪問的控制。

3 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)作為整個網(wǎng)絡(luò)系統(tǒng)創(chuàng)建的基礎(chǔ)，網(wǎng)絡(luò)系統(tǒng)的可靠性，費(fèi)用支出，技術(shù)性能以及運(yùn)行效率與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)息息相關(guān)。因此，企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖的設(shè)計(jì)應(yīng)該緊密地與介質(zhì)訪問控制，傳輸介質(zhì)，網(wǎng)絡(luò)設(shè)備選型及地理環(huán)境分布等因素結(jié)合起來認(rèn)真考慮分析。

3.1企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)的原則

中小企業(yè)在設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的時(shí)候，應(yīng)重點(diǎn)從以下幾個方面考慮：經(jīng)濟(jì)性、靈活性、擴(kuò)展性、可靠性、易于管理和維護(hù)。拓?fù)浣Y(jié)構(gòu)的選擇很大程度上決定了網(wǎng)絡(luò)安裝和維護(hù)的費(fèi)用。

3.2企業(yè)網(wǎng)絡(luò)的主干網(wǎng)絡(luò)設(shè)計(jì)

應(yīng)根據(jù)企業(yè)需求分析的地理距離、信息量、數(shù)據(jù)負(fù)載的輕重而確定主干網(wǎng)絡(luò)技術(shù)的選擇。

主干網(wǎng)在一般情況下主要用于服務(wù)器群和建筑群的連接，作為網(wǎng)絡(luò)的主通道，主干網(wǎng)具備容納網(wǎng)絡(luò)上40%-60%信息流量的能力。光纖通常作為主干網(wǎng)用于連接建筑群的傳輸介質(zhì)，ATM、FDDI及千兆以太網(wǎng)是主干網(wǎng)技術(shù)的典型代表。結(jié)合到中小企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)原則和中小企業(yè)的實(shí)際需求，一般千兆以太網(wǎng)的主干網(wǎng)技術(shù)使用對于中小企業(yè)而言較為理想。

3.3企業(yè)網(wǎng)絡(luò)分布層/接入層設(shè)計(jì)

企業(yè)的外圍網(wǎng)采用怎樣的擴(kuò)充互聯(lián)方法決定了企業(yè)網(wǎng)絡(luò)中分布層的存在與否。一般情況下分布層的增加會提高成本，網(wǎng)絡(luò)信息流的特點(diǎn)事關(guān)企業(yè)網(wǎng)絡(luò)分布層的需要與否以及堆疊或級連分布層方式的采用。級連主要用于全網(wǎng)信息流較平均的環(huán)境中，因分布層交換機(jī)大都具有組播和初級QoS（服務(wù)質(zhì)量）管理能力，級連適合用于突發(fā)重負(fù)載（如VOD視頻點(diǎn)播）的處理，而堆疊則因具備充足的寬帶保證，通常用于本地信息流密集、全局信息負(fù)載相對較輕的情況。

3.4企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)圖

在準(zhǔn)確把握主干網(wǎng)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的前提下，做好企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)中的分組交換結(jié)點(diǎn)位置、結(jié)點(diǎn)間傳輸介質(zhì)、設(shè)備、結(jié)點(diǎn)間實(shí)現(xiàn)的協(xié)議、數(shù)據(jù)流量和傳輸速率以及結(jié)點(diǎn)數(shù)目的確定工作。同時(shí)應(yīng)該認(rèn)真結(jié)合網(wǎng)絡(luò)管理的實(shí)際需要，為達(dá)成全網(wǎng)的動態(tài)檢測和監(jiān)視，對結(jié)點(diǎn)進(jìn)行符合國際標(biāo)準(zhǔn)要求的網(wǎng)管模塊的加載。

4 IP地址規(guī)劃

由于當(dāng)前小型企業(yè)一般只有一個公用的IP地址，為了達(dá)成對外網(wǎng)的訪問，可以通過NAT地址轉(zhuǎn)換的使用實(shí)現(xiàn)全局地址對內(nèi)部地址的轉(zhuǎn)換。

網(wǎng)絡(luò)設(shè)備的具體配置

網(wǎng)絡(luò)核心交換機(jī)CORE1配置

CORE1是核心交換機(jī)，設(shè)置高級密碼密碼為shiyanmima，

密碼一般都需要進(jìn)行加密處理的步驟，當(dāng)CORE1核心交換機(jī)對VLAN10客戶進(jìn)行DHCP的提供服務(wù)時(shí)，默認(rèn)的網(wǎng)關(guān)是192.168.1.1。應(yīng)該為CORE1核心交換機(jī)建立一個shiyan的DHCP地址池運(yùn)用于網(wǎng)段是192.168.10.0/24的 VLAN10網(wǎng)絡(luò)，VLAN10網(wǎng)絡(luò)的DNS服務(wù)器為192.168.8.10，默認(rèn)網(wǎng)關(guān)是192.168.10.1。

通過把所有VLAN的Root設(shè)置為CORE1核心交換機(jī)，命令 spanning-tree vlan 1-10 root primary。在保留其他接口默認(rèn)模式的前提下，使用802.1Q封裝，實(shí)現(xiàn)端口Fa0/1到Fa0/6轉(zhuǎn)換為trunk端口的設(shè)置。在路由器的連接中，采用把FastEthernet0/24接口定義成三層路由接口的方式。在Ether channel 1組中添加GigabitEthernet0/2與GigabitEthernet0/1端口，為使對方接收到LACPDU報(bào)文，可以通過使用LACP（Link Aggregation Control Protocol，鏈路匯聚控制協(xié)議）active主動模式實(shí)現(xiàn)GigabitEthernet0/2與GigabitEthernet0/1端口主動往對方端口的發(fā)送。所有主機(jī)的對外訪問轉(zhuǎn)發(fā)到路由器可以經(jīng)由靜態(tài)路由的設(shè)置實(shí)現(xiàn)。通過訪問控制列表的定義，達(dá)成只有屬于VLAN1主機(jī)的IP地址可以經(jīng)過該訪問列表。

配置網(wǎng)絡(luò)路由器

路由器全局通過AAA服務(wù)的啟用，進(jìn)行默認(rèn)登錄組的設(shè)置，通過RADIUS，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)的采用，實(shí)現(xiàn)端口FastEthernet0/0 IP地址的配置，并使FastEthernet0/0端口設(shè)置成NAT轉(zhuǎn)換地址的內(nèi)部端口。企業(yè)為端口Serial0/0/0配置的IP地址是通過企業(yè)向ISP申請而來的公用IP地址，所對應(yīng)的接口配置為與外部網(wǎng)絡(luò)連接的NAT外部端口，路由器所配置完成的一個 shiyan NAT池，子網(wǎng)掩碼為/29，高地址也為66.66.66.66，低地址66.66.66.66，在NAT內(nèi)部的訪問列表為列表10，所映射的對應(yīng)地址池名稱為shiyan ，同時(shí)將地址復(fù)用利用其中。路由器兩條靜態(tài)路由的配置中，一條是所有未知數(shù)據(jù)包都經(jīng)由路由s0/0/0端口發(fā)出的，一條則是通往內(nèi)部網(wǎng)絡(luò)的。第一條中所有到192.168.0.0的數(shù)據(jù)包都將往172.16.1.2發(fā)送，第二條則用于從s0/0/0端口轉(zhuǎn)發(fā)出所有未知數(shù)據(jù)包。要想實(shí)現(xiàn)只允許192.168.1.0網(wǎng)段的用戶對其遠(yuǎn)程登錄，則可以通過“只有192.168.1.0/24 網(wǎng)段的用戶可以訪問”的ACL定義和telnet的控制訪問設(shè)置實(shí)現(xiàn)。

配置網(wǎng)絡(luò)接入層交換機(jī)MGR

access模式作為以太網(wǎng)端口FastEthernet0/1——FastEthernet0/20的配置方式，它在主機(jī)的接入中使用，同時(shí)，進(jìn)行Portfast的配置，在這個命令下，使用的條件必須滿足端口接的是host。