企业局域网的规划与设计_图文

1、第 11卷 第 6期 2009年 12月滁 州 学 院 学 报JOURNAL OF CHUZHOU UNIVERSI TY Vol. 11No. 6 Dec . 2009作者简介 :许昌军 (1972- , 男 , 安徽全椒人 , 信息管理师 。 收稿日期 :2009 09 10企业局域网的规划与设计许昌军(滁州市烟草专卖局 , 安徽 滁州 239000摘 要 :企业信息化建设的需求 , 使得 局域网的建设成了各单位急需解决的问题 。 文章以笔者所在企业滁州 市 烟草公司的网络现 状和应用需求为目标 , 详细阐述了局域网的规划与设 计过程中的网络技术和设备选型 , 对 网 络管理过程中的 V

2、LA N 划分和安全访问控制等进行了具体分析和 设计 , 并提出了总体解决方案 。 关键词 :企业局域网 ; 拓扑结 构 ; 规划 ; 防火墙中图分类号 :T P 393. 1 文献标识码 :A 文章编号 :1673 1794(2009 06 0108 030 引言经过近几年烟草信息化的 建设 , 滁州 市烟草公 司的计 算机硬件数量从最初的几台已 发展到 三百余 台 , 运 行方式 从单机运行发展到可以进行远 程访问、 传 输等计算 机综合 网络的应用 , 为 加快 滁州 市烟 草公 司信 息化 建设 的步 伐 , 有必要尽快规划建立一套快速、 高 效的滁 州市烟草 公司局 域网网络系统 ,

3、 实现 销售 专卖 等各 种信 息的 合理 组织、 流 动 , 提高公司的经营、 专卖、 管理的整体水平。信息化系统的 主要 业务 应用 包括 :办 公 自动 化系 统、 营销业务系统、 信息管理系 统、 专卖管 理系统、 网上 交易系 统、 电视电话 会议 系统。根 据新 的业 务需 求 , 需 要对 滁州 市烟草公司局域 网进 行综 合性 规划 和 设计。下 面从 网络 设计原则 , 网络总体拓扑结 构 , 虚拟网 络设计 , 网络 安全设 计几个方面讨论笔者所在单位的局域网建设。1 设计原则根据滁州市烟草公司目前 的需求 和未来 的发展 , 在设 计和建设滁州市烟草公司局域 网过程 中

4、, 坚持全局 统一规 划 , 既做到与滁 州市 烟草 公司 信息 化长 远发 展相 适应 , 又 坚持分步实施、 稳 步实 施的 策略。根 据行 业 要求 , 必 须严 格按照国家烟草专 卖局 制定 的烟 草行 业信 息网 的建 设原 则和标准 , 将此网建设成一 个起点 高、 安全可 靠、 易 于扩充 和升级的网络系统。具体包括 :1. 1 高性能与技术先进性具有较高的数据通信能力 和较大 的带宽 , 并在 主干网 上提供较强的可扩展性 , 以 适应未 来烟草 企业的发 展和技 术升级的需要。1. 2 高可靠性具有高可靠性 , 高 稳定 性和 足够 的冗 余 , 提 供拓 扑结 构及设备的冗

5、余和备份 , 为 了防止 局部故 障引起整 个网络 系统的瘫 痪 , 在 网 络 骨 干 上 要 提 供 备 份 链 路 , 提 供 冗 余 路由。1. 3 安全性包括设备安全和信息安全 , 滁 州市烟 草公司局 域网作 为一 个支持众多用户、 同时 和 IN T ER NET 、 行 业广域 网存 在连 接的网络 , 网络安全性在 整个网 络中是 个很重 要的问题 , 需要采用一 定手 段控 制网 络的 安全 性 , 以保 证网 络正 常运 行。1. 4 可管理性局域网网 络系统遍布全公 司各个 职能单位 , 随 着业务 的不 断发展 , 网络管理的 任务必 定会日益 繁重。因 此在网 络设

6、 计中 , 必须 建立 一个 全面 的网 络管 理解 决方 案 , 最终 能够实现监控 、 监测 整个 网络 的运 行状 况 , 合理 分配 网络 资源 、 动态配置网络负载 , 可以迅速确定网络故障。 1. 5 经济性应以较高 的性能价格比构 建网络 系统 , 使资金 的投入 产出 比达到最大值。采用的设 备和技 术应具有 前瞻性 , 在 可预见的未来 的设备改造中 , 要保证 现有设 备能最 大程度 的 被继 续 使用 , 使目 前的 设 备投 资未 来 也能 发挥 较 大的 作用 。1. 6 可扩充性 、 开放性 和互连性随着用户 应用规模的不断 扩大 , 要求网 络可以 方便地 扩充

7、容量 , 支持 更多 的用 户应 用 ; 随着 网络 技术 的不 断发 展 , 网络必须能 够平 滑地 过渡 到新 的技 术和 设备 , 保 证用 户现 有的投资。在结构上真正 实现开 放 , 基 于国际 开放式 标准 , 为未来的业务发展奠定基础。 2 网络总体结构设计 2. 1 网络技术和产品选择从目前流行的局 域网、 城域 网技 术的 应用 来 看 , 网络 主干 大多采用千 兆以 太网 甚至 万兆 以太 网。根 据本 网的 应用 需求 , 采用 主 干千 兆 , 百兆 交换 桌面 的三 层设 计思 路 , 确定千兆以太网作为网 络总体 结构 , 且具 有可扩展 性、 经济性和可管 理

8、性等 , 从 而满 足上 述设 计原 则 , 能够 快速 升级 到万兆以太网。经过调研和比较 , CISCO 公司的 产品解 决方案 具有较 高的性能价格 比 , 同时考虑到前期网络设备也是 CISCO 产 品 , 本方案的设备仍继续考虑 CISCO 公司产品。2. 2 网络拓扑结构设计目前 , 最佳管理的园区 网通常 是按照 分级模型 来设计 的 1。本文设计的局域网也是 基于分 级模型 , 网络 总体拓 扑结构如图 1所示。其 中 , 核 心 /汇 聚层 交换 机 采用 两台 CISCO 4507R, 接入层交 换机 全部为 CISCO 2950T 。各接 入层交换机通过千 兆多 模光 纤

9、或 双绞 线分 别接 到两 台核 心 /汇聚层交换 机 CISCO 4507R, 实 现主 干链 路 的冗 余和 数据流量的均衡 分布。 局域 网络 通过 一台 防火 墙和 路由 器与 Internet 和烟草行业网互连。图 1 网络拓扑图在这个方案中 , 由接入层交换机 CISCO 2950T 来完成 数据包的解析和计算 , 由两台 CISCO 4507R 交换机来完成 同一网段内的数据包转 发和不 同网段 V L AN 之间 的数据 路由 , 整个网络数据流向 合理。通 过核心 层的链路 冗余和 设备 冗余 , 可 以 实现 数 据的 快速 转 发和 全网 的 链路 冗余 (生成树 Spa

10、nning T ree , 排除 了单 一故障 点 , 保证 了网络 应用的安全稳定。3 网络管理对于本文的行 业局 域网 , 整 个网 络系 统的 管 理 , 实行 集中与分散的网 络管 理结 构体 系是 非 常重 要的。在 设计 方案中 , 将使 用多 种网络 设备 , 如 三层 交换机、 防 火墙、 路 由器等 , 这样形 成了 一个 比较 复杂 的网 络 , 故对 网络 管理 需求也 非 常迫 切。 考 虑 到本 方 案 中 主 要 采 用 的 设 备 是 CISCO 产品 , 因 此规 划采 用 CI SCO W ORK S 2000管 理软 件来实现设备的管理。通过该 网管软 件

11、, 网络管理 员可以 通过远程登录和图 形化 界面 的网 络管 理系 统管 理整 个局 域网 , 包括局域网的 VL A N 设置、 网络设备的监控等 2。 网络管理是基于 IP 地 址的管 理 , 因此 IP 地址 的合理 分配 , 既 是保 证 网络 顺 利运 行和 网 络资 源有 效 利用 的关 键 , 也对网络的有效管理 起着非 常重要 的作用。合 理的地 址规划是使连续 的地 址尽 量集 中在 一 个区 域内。核 心层 应类似于一个区 域或 一个 节点 , 被 分配 一段 连续 的地 址 , 接入某一区域的节点 IP 地 址范围 应集中 在该区域 的地址 范围附近。由于篇幅有限 ,

12、不再具体论述 IP 地址分配。为了便 于 网络 管 理 , 还 需 要在 I P 地 址 规划 时 , 进行 VL A N (V ir tual LA N , 虚拟网 络 划分。 V L AN 是局域网规 划中的重要组成部分 , 也是 衡量局 域网优 劣的重要 特征之 一。 VL A N 是在交换环境中、 为了克服网 络物理分 段的限 制而建立的逻辑网络段划分技 术 , 它能在 物理网络 的基础 上 , 根据需要灵 活的 划分 出许 多逻 辑网 络、 建立 逻辑 专用 网络 , 从而摆脱地域限制 , 并使 网络更 具安全 性和畅 通性、 更便于管 理、 带 宽更 有 保证 等。 VL A N

13、的划 分 方 法 有多 种 , 可以按照 IP 地址来 划分、 按照端口 来划分、 按照 M A C 地址划分或者按照协议来划分。 ,网络 环境是一个 全 交换 网络 , 而 且核 心层 /汇聚 层交 换机 CISCO 4507R 是一款具有三层交换功 能的交 换机 , 可以完 成各 V LA N 之间信 息的 转发。在 V L A N 地 址分 配时 , 每 个 V LA N 规模要适当。 本方案 中 , 采用 基于端 口和 IP 地 址结 合方法 来划 分 V L A N, 将每 个 下属 部 门划 分 为 一个 VL A N , 每个 V L A N 的规模限制 在半个 C 类网段 ,

14、即 子网 掩码 采用 255. 255. 255. 128。这 样 每 个部 门 最 多 可容 纳 125台计算机 , 不但可以减小广播风暴发 生的机率 , 提高网 络效 率 , 同时也方便管理。根据滁州 市烟草公司的组 织结构 和应用情 况 , 整个网 络 划分为 12个 V LA N 。在 V LA N 配置时还要进行以下几 个步 骤 :设置 V T P 管理 域、 配 置 干道 链 路 (T runk 、 创建 VL A N 、 将交 换 机 端 口 划 入 相 应 V L AN 和 配 置 三 层 交 换等 3。 4 网络安全设计网络的安 全策略在实现时 主要针 对两种情 况 , 一种

15、是 网络 系统 自 身的 安 全 问 题 , 如 路 由 器 的 安 全 隐 患、 匿 名 F T P 的安全隐患、 T ELN ET 的安全 隐患等 ; 另 一种是 给用 户提供的各种 服 务是 否安 全 , 主要 体现 在网 络应 用上 , 如 用户 的数据或 信息 在网 络传 递过 程中 的安 全控 制 4。第 一种 情况可以通过 对各 种关 键系 统设 备的 加以 控制 来消 除。而第二种 的网 络应 用系 统的 安全 需要 从多 个方 面考 虑 , 主要 包含 访问 控制、 检查 安全 漏洞、 攻击 监控、 加 密通 讯、 认证、 备份 和恢复、 多层防御、 设立安全监控中心等。 从

16、局域网 本身的安全控制 , 主要 从以下 几个方 面来考 虑 :划分 V L A N 。利用中心交换机 上高性能 路由模 块的管 理和 控制 , 控制内部 各 V L AN 间的 访问 ; 对于 重要部 门的 网段 , 例如公司领导、 财务等重 要部门 以及数据 中心等 , 其 接入 交换机可以考虑通过 M AC 过滤方 式对接 入 P C 终端 进行 限制 ; 通过配置交换机的 A ccess-list 访 问控制列 表 , 实现 进出数据的安全访问。在内部 网上 , 可以 通过 CISCO 4507上的多层交换模 块的访 问控 制功能 对各 个网段 间的 访问 进行安全控制 ; 在内部网

17、与外部 网络之 间的安 全控制 主要 采用防火墙技术。图 2 防火墙连接示意图防火墙系统的 性能 与防 火墙 部署 和合 理配 置密 切相 关。为了保护 商业机密 , 需要 避免外 部网络 用户和 内部网 络未 经授权的用户访问。本方 案中 , 将所有 商业数 据库服 务器 置于内部网络 , 同时将存 储资源 代码和 存储私 人信息 的主 机也放在内网 , 以确 保数据 安全。而将 那些既 允许内 部主机又允许 外部网络用户可 以访问 的 , 并 且要保 证安全 2如邮 109许昌军 :企业局域网的规划与设计务器、 电子商务系统 (前端 、 应用网关等。 5 结束语综上所述 , 滁州市烟草 公

18、司所 规划的 网络拓扑 结构图如图 3 所示。图 3 整体网络拓扑结构图通过图 3的拓扑结构图 , 可以看 出企业 局域网 建设是 一项系统工程 , 涉及 内容 非常 广 , 本文 只是 针对 笔者 所在 单位的企业网 在建设和规划过 程中需 求分析、 网络 总体结 构、 网络管理和 网络 安全 等一 些常 见的 问题 进行 了阐 述 , 对于网络操作 系 统部 署、 存储 系统 的设 计、 数据 库等 方面 内 容都 没 有涉 及 到 , 这些 问 题都 有待 进 一步 在工 作 中摸 索、 研究。参 考 文 献 1 谢 希 仁 . 计算 机 网络 (第 4版 M . 北京 :电 子 工 业出 版社 , 2003.2 萧文龙 , 林松儒 . 最新 计算机 网络技 术与 应用 M . 北 京 :科学出版社 , 2009.3 美 K ar en Webb. 组建 Cisco 多层交换网络 M . 李逢天译 .北京 :人民邮电出版社 , 2000.4 张 宏 . 网络安全基础 M . 北京 :机械工业出版社 , 2004. 5 刘鲁川 . Cis co C atalys