謝建啟

【摘要】本研究主要是研究某單位的千兆網(wǎng)絡(luò)系統(tǒng)改造，以力求讓員工享受到最好的網(wǎng)絡(luò)連接品質(zhì)。本論文在結(jié)合現(xiàn)狀和未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計(jì)合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)，同時(shí)還要注意邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開。所以升級(jí)改造后的局域網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和VLAN隔離，并能做到靈活改變配置，以適應(yīng)辦公環(huán)境的調(diào)整和變化。

【關(guān)鍵詞】網(wǎng)絡(luò)管理;局域網(wǎng);VLAN

近年互聯(lián)網(wǎng)帶寬不斷提升，單位原有百兆局域網(wǎng)遠(yuǎn)遠(yuǎn)跟不上運(yùn)營(yíng)商帶寬的節(jié)奏。單位大文件傳輸，大文件的上傳、下載，也受限于百兆網(wǎng)絡(luò)的瓶頸，嚴(yán)重影響工作效率。單位網(wǎng)絡(luò)上所傳輸?shù)男畔⒁远嗝襟w數(shù)據(jù)居多，網(wǎng)絡(luò)使用者的行為模式也越來越復(fù)雜，如：P2P（Peer-to-Peer）、網(wǎng)絡(luò)電視、視頻等，使單位網(wǎng)絡(luò)管理變得十分困難。因此，某單位原有的百兆網(wǎng)絡(luò)已經(jīng)不能滿足使用需求，需要對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行改造，并將機(jī)房?jī)?nèi)服務(wù)器按照功能進(jìn)行重新劃分區(qū)域，便于集中管理。

1. 改造內(nèi)容

第一，硬件替換需求：使用超五類以上網(wǎng)線、企業(yè)級(jí)千兆路由器、企業(yè)級(jí)千兆交換機(jī)、千兆網(wǎng)卡。第二，將改造將原有5類線全部更換為6類線，共整改線路百余條，更換網(wǎng)線接頭200多個(gè)，將原有外網(wǎng)核心交換機(jī)和匯聚交換機(jī)設(shè)置VLAN，并配置了端口隔離，可以實(shí)現(xiàn)故障隔離，即當(dāng)一用戶發(fā)生網(wǎng)絡(luò)故障時(shí)，不影響其他用戶使用，由此極大的避免了全樓斷網(wǎng)的情況。第三，IP規(guī)劃：為防止IP沖突造成無法上網(wǎng)，統(tǒng)一規(guī)劃IP，減少地址沖突導(dǎo)致的無法上網(wǎng)，無法辦公等問題。實(shí)現(xiàn)資源共享、資源互通。第四，雙網(wǎng)合一：為保障網(wǎng)絡(luò)暢通，單位使用中國(guó)電信和中國(guó)移動(dòng)兩個(gè)運(yùn)營(yíng)商的寬帶網(wǎng)絡(luò)，相互備份，任何一個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)出問題可以用另外一個(gè)運(yùn)營(yíng)商的網(wǎng)絡(luò)。

2. 單位網(wǎng)絡(luò)設(shè)計(jì)

某單位網(wǎng)絡(luò)拓?fù)鋱D如圖1所示，在某單位的網(wǎng)絡(luò)的建設(shè)中，主要分為兩個(gè)辦公區(qū)域，分別為辦公樓1辦公區(qū)和辦公樓2辦公區(qū)，辦公樓1辦公區(qū)是一些重要的辦公室所在的區(qū)域，如財(cái)務(wù)科，機(jī)關(guān)黨委處等，這些辦公室是不允許辦公樓2區(qū)域的辦公室的未經(jīng)許可訪問，而這兩個(gè)辦公樓區(qū)域?qū)ν饩W(wǎng)和服務(wù)器的連接是不受限制的。

2.1 核心層交換設(shè)計(jì)

核心層的主要目的是盡可能快地交換數(shù)據(jù)。在整個(gè)網(wǎng)絡(luò)區(qū)域中，匯聚層和核心層在某些地方會(huì)合二為一。當(dāng)匯聚層上有兩個(gè)或更多子網(wǎng)時(shí)，就需要設(shè)計(jì)核心層來連接這些子網(wǎng)。核心層負(fù)責(zé)傳輸穿過網(wǎng)絡(luò)區(qū)域的數(shù)據(jù)流，核心層所處理的數(shù)據(jù)流比其它層次要大很多，應(yīng)當(dāng)能盡可能快地傳輸數(shù)據(jù)流。核心層主要提供以下功能：①連接各交換區(qū)段。②盡可能快地交換數(shù)據(jù)幀或數(shù)據(jù)包。

同時(shí)，本方案要求今后的網(wǎng)絡(luò)均按千兆到桌面的要求設(shè)計(jì)的，所以在實(shí)際運(yùn)行的網(wǎng)絡(luò)流量由于網(wǎng)絡(luò)應(yīng)用類型、網(wǎng)絡(luò)結(jié)構(gòu)、主干鏈路速率、網(wǎng)絡(luò)投資等多種因素將遠(yuǎn)不能達(dá)到這種情況下計(jì)算出來的數(shù)值，但在工程上，以上估算數(shù)值可作為網(wǎng)絡(luò)主干或中心的交換容量的參考指標(biāo)。

2.2 匯聚層網(wǎng)絡(luò)設(shè)計(jì)

匯聚層位于接入層和核心層之間，匯聚層是接入層和核心層之間的分界點(diǎn)和通信點(diǎn)。這一層進(jìn)行一些復(fù)雜的、消耗系統(tǒng)資源較大的數(shù)據(jù)包操作。接入層設(shè)備匯接到一臺(tái)或者多臺(tái)匯聚層設(shè)備上。匯聚層設(shè)備在接入層交換機(jī)之間提供第二層連接，同時(shí)提供第三層功能，支持路由選擇和網(wǎng)絡(luò)層服務(wù)。如果需要的話，在匯聚層還可以定義以怎樣的方式對(duì)核心層進(jìn)行訪問。匯聚層必須決定用最快的方式來處理網(wǎng)絡(luò)服務(wù)請(qǐng)求。匯聚層實(shí)現(xiàn)的主要功能包括：①VLAN聚合及VLAN間路由。②定義廣播域和組播域。③訪問列表、包過濾和排序、IP和MAC的綁定。

2.3 網(wǎng)絡(luò)管理的策略

為避免員工的特定使用者占用大多數(shù)帶寬，對(duì)于員工帶寬管理的問題，提出三種管理方法：By Port：借由Service-Policy機(jī)制，可針對(duì)Interface限制每一個(gè)員工帶寬使用大小，防止帶寬資源被少數(shù)人或不重要的流量所獨(dú)占，以保障每個(gè)使用者連接的基本帶寬。By Service：需針對(duì)特定的服務(wù)（如：WEB、E-Mail、Peer to Peer）制定不同的帶寬管理政策，進(jìn)而達(dá)到有效帶寬管理。管理上還可以采行雙層式帶寬管理，亦即結(jié)合上述兩者來作管理。

2.4 VLAN網(wǎng)絡(luò)管理的運(yùn)作流程

VLAN，是由位于不同實(shí)體區(qū)域網(wǎng)段的設(shè)備組成。雖然VLAN所連接的設(shè)備來自不同的網(wǎng)段，但是相互之間可以進(jìn)行直接通信，就好像處于同一網(wǎng)段中一樣。由于VLAN是將區(qū)域網(wǎng)內(nèi)的設(shè)備采用邏輯方式而不是實(shí)體方式劃分成一個(gè)個(gè)獨(dú)立網(wǎng)段，所以它可以提供靈活的用戶及主機(jī)的管理、帶寬的分配以及網(wǎng)絡(luò)資源最佳化等服務(wù)。從技術(shù)角度來看，VLAN一般有下列三種劃分的方法：基于PORT管理的VLAN、基于MAC ADDRESS管理的VLAN以及基于協(xié)議的VLAN。VLAN技術(shù)中，一個(gè)VLAN 即為一個(gè)邏輯子網(wǎng)，也是一個(gè)邏輯上的廣播域，他允許我們邏輯的子網(wǎng)劃分從而取代實(shí)體的子網(wǎng)劃分。通常用VLAN來提供更高的安全性和更加方便的管理。

單位總的辦公樓每一個(gè)層樓分配一個(gè)交換機(jī)，每一個(gè)辦公室劃分為一個(gè)VLAN，每一個(gè)樓層上的VLAN劃分到該樓層對(duì)應(yīng)的交換機(jī)上。為了防止不法意圖員工，意圖惡意存取及入侵其他電腦。Edge Switch設(shè)置了Switch-port protect的VLAN功能，惡意存取及入侵功能遭到攔阻。不法意圖員工，在Edge端被阻擋后，仍通過Core端企圖惡意存取及入侵其他電腦。Core Switch設(shè)置了Private VLAN功能，惡意存取及入侵功能遭到攔阻不法意圖使用者，僅可允許存取Internet。

3. 總結(jié)

公司網(wǎng)絡(luò)系統(tǒng)是一個(gè)應(yīng)用廣泛且復(fù)雜的系統(tǒng)，因此在管理上除了要顧及各方面的應(yīng)用整合之外，網(wǎng)絡(luò)系統(tǒng)的安全管理更是一個(gè)重要的課題。從本文中我們了解以VLAN作為架構(gòu)基礎(chǔ)的管理特性及需求，進(jìn)而討論出相對(duì)應(yīng)的網(wǎng)絡(luò)管理策略，使我們可以在維持網(wǎng)絡(luò)服務(wù)品質(zhì)的同時(shí)，兼顧到某單位信息系統(tǒng)的安全性及公司的數(shù)據(jù)安全及保密性。

使用wireless fat-AP所衍生的信息安全問題仍舊未能在本研究中解決，若需要解決無線網(wǎng)絡(luò)使用者彼此之間的信息安全問題，仍需使用成本較高的thin-AP架構(gòu)，方能得到期望的信息安全管理層級(jí)，未來仍需對(duì)這方面多加研究，以求得成本較低且具備安全性的無線網(wǎng)絡(luò)架構(gòu)。

參考文獻(xiàn)：

[1]高陽(yáng)，陶皓琳.淺論我國(guó)公司信息化[M].北京：北京郵電大學(xué)出版社，2015.

[2]中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[R].北京：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，2018.