中小型園區網的設計與實現

摘 要:現代企業網已經從早期的簡單的數據共享發展到全方位的內部共享，從過去單一地理位置的網絡發展到全球各個分支網絡的互聯。中小型園區網絡的設計與實現對技術的要求越來越高。在此從網絡建設各個方面的需求分析入手，在深刻領悟并運用VLAN精髓的基礎上，利用科學的IP規劃方案，提出了現代中小型園區網的建設思路。該網絡具有高安全性、高可靠性、可擴展、易維護等一系列優點。關鍵詞:網絡; IP; VLAN; 園區網

中圖分類號:TN919-34文獻標識碼:A

文章編號:1004-373X(2010)22-0152-04

Design and Implementation of Small Campus Network

GU Xin-yan1， MENG Qing-wei2

(1. City College， Xi’an Jiaotong University， Xi’an 710016， China; 2. ZTE Corporation， Xi’an 710065， China)

Abstract: The simple data-sharing networks of the enterprises in previous period have been developed into the internal source sharing networks of the modern enterprises. That is， the single location networks have been evolved into interconnect branch networks around the world. Therefore， the technology requirements for the design and implementation of small campus networks have become increasingly critical. Proceeding from the analysis of the demands of networking in all aspects， based on the use ofthe idea of establishing the modern small campus network is proposed with the scientific IP planning based on the deep comprehension and application of VLAN in essence. The network has a number of advantages of high security， high reliability， easy maintenance and scalability.Keywords: network; IP; VLAN; campus network

收稿日期:2010-05-20

對于現代辦公的場所，智能化必不可少，包括綜合布線、視頻監控、會議電視、智能門禁、一卡通消費、安防報警、自動OA等弱電集成，而信息化業務正是智能建筑的要素之一，本方案主要就在辦公大樓內部署信息化網絡的方案進行描述。

擬訂某公司的新建辦公大樓作為局域網建設的模型。設定大樓共5層高，每層建設有弱電間一個，整個大樓設中心機房一間，規劃信息接入點共150個(即150臺計算機終端)。大樓的局域網建設自己的內網，辦公業務內網是新大樓及后勤服務配套設施內各單位數據通信的主要平臺，為各種辦公應用系統提供高效、可靠、安全的通信途徑。向樓內用戶提供內部辦公、內部辦公商務、部署各類內網服務器等，同時，可靈活設置大樓內用戶權限，限定用戶訪問互聯網的權限。

假設此辦公大樓的內部網絡又可按照所屬的部門、職能、安全重要程度分為許多子網(即VLAN)，包括:財務子網、領導子網、辦公室子網、市場部子網、各類服務器子網等。通過VLAN技術的應用可以將這些用戶區分開來。

1 建設效果

1.1 先進性

新建辦公樓的信息網絡必須滿足日新月異的信息化發展及新業務的開展，要求所用設備支持所有國際通用標準，良好的售后服務。數據網絡設備須選用具有國際的的先進水平，均為業界領先并且應用廣泛的高性能交換機。

1.2 安全性

由于以太網的廣播特性，某臺計算機感染病毒后會在局域網中散播，因此在設備選擇上須重視設備對病毒包的抑制過濾能力、ACL能力、對用戶終端的控制手段等。所選用的數據網絡設備均支持豐富的ACL訪問控制列表，對用戶進行線速的數據包過濾。此外，根據客戶需求還可以在用戶側進行PORT-MAC地址捆綁、MAC地址-IP地址捆綁等功能，有效得對網絡內部的用戶、地址進行控制和管理。

1.3 高可用性/可靠性

網絡設備具有良好的可靠性保證，可熱插拔的模塊，快速的恢復機制，冗余及負載均衡的電源系統，控制模塊的冗余等。

通過VRRP與STP技術實現網絡結構的冗余，確保不因為單條線路的故障而導致整個網絡系統的失效，并且確保在某條線路故障時對系統性能的影響也能最小。

1.4 可擴展性和可升級性

實施的網絡具有良好的擴展性(拓撲結構、線卡等)，整個網絡可以在各層擴充設備，并通過網管系統進行統一管理。為今后的網絡擴展留有足夠的空間，必須具有高度的可擴充性，可有效地對用戶提供投資保護。

1.5 易管理和易維護性

通過網管軟件的安裝對整個網絡提供實時端口級的管理，拓撲管理、LAN的配置和管理，并提供各種管理策略，有效地對整個網絡進行管理、控制和維護。為網絡提供完善的管理、配置、故障、性能、統計管理。可選擇結合業界領先的集群管理技術，做到交換機即插即用，大大簡化了配置過程，為日后擴容提供了便利。

2 建設方案

2.1 方案概述

既然內部網絡可按照所屬的部門、職能、安全重要程度分為許多VLAN子網，包括:財務子網、領導子網、辦公室子網、市場部子網、各類服務器子網等。在方案設計中，基于安全的重要程度和要保護的對象，可以在交換機上劃分為4個虛擬局域網(VLAN)，即:各類服務器子網、財務子網、領導子網、其他子網。不同的局域網分屬不同的廣播域，由于財務子網、領導子網、中心服務器子網屬于重要網段，因此在中心交換機上將這些網段各自劃分為一個獨立的廣播域，而將其他的工作站劃分在一個相同的網段。

2.2 設計思想

設計思想為:采用高速、高性能的網絡主干;網絡根據需要劃分不同的虛擬網;虛擬網之間的數據交換通過集中的路由功能實現;網絡主干應有極強的擴充能力，網絡性能不會因為網絡的擴充而降低;與廣域的路由器和主機配合實現廣域上網絡資源的備份和數據分流;保障局域網上的安全性;

2.3 方案描述

由于局域網中存在多個不同安全級別的網絡用戶，例如財務系統和普通的一般工作機器，因此從安全的角度看應該將這些用戶進行隔離。一個最基本的工具就是VLAN，對不同的網絡用戶進行隔離。更復雜一些的方案是通過VPN等。在目前的技術情況下，一般是使用VLAN進行隔離居多。

為使得用戶可以訪問公司內部，或者外部的一些公共資源，雖然通過VLAN可以進行物理層面的隔離，但是希望他們在IP層是互通的，為此需要對不同的用戶/主機分配IP地址。

對大型網絡，可以通過不同的樓層為單位進行IP地址的分配，這樣可以獲得比較好的地址匯聚能力，可以減少對路由表的需求。另外一種比較可行的方案是使用DHCP自動地址分配策略，減少網絡使用的復雜度。

根據以上對網絡的分析以及方便擴容的原則，規劃整個網絡分為核心層和接入層兩級架構:

(1) 在辦公樓的中心機房選用配置1臺中興通訊的ZXR10 GER02作為出口路由器，上聯至防火墻實現百兆接入Internet;

(2) 選用1臺中興通訊的ZXR10 T40G作為核心層路由交換機，通過高密度的千兆光接口板匯聚接入交換機設備，通過百兆電接口板連接各類服務器;

(3)在每個樓層部署1臺中興通訊ZXR10 2852S作為接入層交換機，通過千兆光纖上聯至核心交換機，通過百兆雙絞線下聯用戶計算機終端;網絡拓撲圖如圖1所示。

圖1 網絡拓撲結構

中興通訊的接入級以太網交換機支持4K個標準VLAN，可基于端口、MAC地址、各種策略來劃分VLAN，能提供48個固定的10M/100M 以太網口和2個固定的1 000 M光口和2個固定的10 M/100 M/1 000 M自適應電口。本方案中采用在接入交換機2852S上基于端口劃分VLAN的方式，使各類用戶都可以接入網絡，VLAN號和VLAN名稱規劃如表1所示。

在核心交換機ZXR10 T40G上建立各個子網的VLAN網關，各子網內可以相互通信，但子網間的通信必須通過網關實現，網管人員可以通過訪問控制列表ACL來靈活調整VLAN間的互訪關系，從而達到限制用戶行為的目的。

在給不同的用戶群劃分完VLAN之后，還需要為不同的VLAN內的用戶分配不同的IP地址，不同的子網IP地址也是不同的，局域網內的IP地址一般選用私網IP(關于IP地址的內容詳見后面章節)，考慮到以后的擴容，本次為每個網段分配1個C類地址，即每個子網的可用IP地址數為254個。各子網的IP地址規劃如表2所示。

出口路由器GER采用先進的Crossbar交換結構以及高性能的網絡處理器技術，以中小型路由器的體積，提供32 Gb/s的大容量交換能力，支持多個2.5 Gb/s POS、GE、FE、155M POS等高速端口以及高密度的E1接口，支持靈活的組網方式。可以提供2個用戶接口插槽供用戶選擇，充分滿足用戶分步建設的需求，ZXR10 GER路由器具有良好的擴展性，可充分保護用戶的投資。GER采用硬件實現強大的NAT功能，NAT并發會話數高達1M，可以作為高性能的NAT網關產品。

表1 VLAN號和VLAN名稱規劃

VLAN 編號VLAN名實現功能

2server各類服務器子網

3leader領導子網

4finance財務子網

5other其他子網

表2 各子網的IP地址規劃

VLAN編號VLAN名實現功能地址劃分掩碼網關

2server各類服務器子網192.168.2.1-192.168.2.254255.255.255.0192.168.2.1

3leader領導子網192.168.3.1-192.168.3.254255.255.255.0192.168.3.1

4finance財務子網192.168.4.1-192.168.4.254255.255.255.0192.168.4.1

5other其他子網192.168.5.1-192.168.5.254255.255.255.0192.168.5.1

整個網絡采用了先進的以太交換網絡技術、高速的桌面接入能力實現了網絡數據傳輸的高效性，同時整個網絡具有開放性、標準化的網絡體系，支持各種異構計算機網絡之間的互連。另外，該網絡方案還具有以下特點:

(1) 整個系統具有較高的性能價格比，并能夠很好地保護用戶投資。對于入駐的業主也可以有所選擇，根據業主需求構建內部網絡;

(2) 具有前瞻性、先進性和可擴展性， 要滿足未來10年業務的需求，具備軟件可升級、端口可支持萬兆、設備支持MPLS等擴展性;

(3) 具有開展業務的靈活性，適應業務模式和業務量的變化要求，網絡設備支持各種路由協議，并具備平滑升級的能力;

(4) 具備很高可靠性和安全性，在多個層次上實現安全訪問控制;能夠對根據需要對不同用戶、不同應用、不同接入方式統一進行認證;可以對關鍵應用系統進行隔離和訪問控制;對外網(互聯網和合作伙伴)進行隔離和訪問控制;具有DOS和DDOS防護能力等深層防御能力;

(5) 選擇的軟硬件產品應具有一定的通用性，采用標準的技術、結構、系統組件和用戶接口。

3 IP地址規劃原則

網絡地址、域名統一規劃:由于IP地址及域名尚未確定，本次方案中只簡要提出IP分配及域名規劃的原則。域名規劃要注意層次性和一致性。內部域名、外部域名要分別設置，能體現組織結構并易于管理。

地址分配要遵循原則:簡單性。地址的分配應該簡單，避免在主干上采用復雜的掩碼方式;連續性。為同一個網絡區域分配連續的網絡地址，便于采用SUMMARIZATION及CIDR(CLASSLESS INTER-DOMA IN ROUTING)技術縮減路由表的表項，提高路由器的處理效率;可擴充性。為一個網絡區域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然能夠保持地址的連續性;靈活性。地址分配不應該基于某個網絡路由策略的優化方案，應該便于多數路由策略在該地址分配方案上實現優化;可管理性。地址的分配應該有層次，某個局部的變動不要影響上層、全局;安全性。網絡內應按工作內容劃分成不同網段即子網以便進行管理。

3.1 地址規劃

IP地址的總體劃分規則如下:

(1)技術方案上講，采用VLSM變長子網掩碼創建分層的子網，利用CIDR減少路由器中路由表中路由數量，提高總體網絡性能。

(2)根據IP網絡的應用領域不同和網絡層次的位置不同，采用不同的IP地址規劃策略。

子網劃分允許系統管理員更好的利用現有的地址空間。例如:有8個網絡，每個網絡有30個主機。原來需要8個Class C地址，現在用子網劃分，一個Class C地址就夠了。因為子網在Internet上是不可見的，所以:路由表會減少，內部網根據需求可以劃分多個子網，不需要浪費地址空間和增加Internet路由表;子網的震蕩不會影響Internet，RIPv1只允許一個子網掩碼，RFC1009允許在一個路由域內有多個子網掩碼。當有多個子網掩碼備用，就稱為可變長子網掩碼。

沒有VLSM，一個子網掩碼只能提供給一個網絡。這樣就限制了子網上的主機數。舉一個VLSM的例子:

① 假設有一個C類地址:192.214.11.0，需要把它分成3個子網，其中一個子網要求有100臺主機。另外兩個子網各50臺主機。

②理論上你可以使用256個地址，從192.214.11.0到192.214.11.255。但是如果沒有VLSM，很難完成期望的劃分。如果沒有VLSM，可有兩種選擇:使用255.255.255.128把地址劃分為各有128臺主機的2個子網，或者用掩碼255.255.255.192把網絡劃分成有64臺主機的4個子網。難以滿足上面提出的需求。

③如果使用VLSM，可以使用掩碼128把地址分成128臺主機的兩個子網，再用掩碼192進一步把第2個地址分成各64臺主機兩個子網。

VLSM允許設計者為特定的需求分割地址空間。每個站點傳送一個聚合的子網地址到其他的站點。

同樣，一個Supernet是用一個普通的網絡前綴和掩碼來表示一組網絡。一個Supernet的地址是由一對地址/掩碼組成的，前綴指的是相鄰網絡地址組中的第一個IP地址，掩碼是要小于自然掩碼長度。

例如，一組連續的地址:192.32.0.0到192.32.3.0。Supernet的地址是192.32.0.0(第一個IP地址)，掩碼是255.255.252.0。在RFC1517-1520文檔中，Class InterDomain Routing (CIDR)是一種地址規劃。CIDR脫離了傳統的A/B/C類地址。在CIDR中，一個IP網絡由一個前綴表示，這個前綴是一個IP地址中的最左邊的相鄰有效位的表示。CIDR可以把相鄰的具體路由集中在一個通告中，被稱為“聚合”。

CIDR允許路由器更充分聚合路由選擇信息。路由表中的一條紀錄可以代表許多網絡。這大大減小路由表的規模，并且直接轉化為地址空間的可擴展性。

地址規劃的基本思想:通常合理的地址規劃是使連續的地址盡量集中在一個區域內。因此，整個核心層應象一個區域或一個省一樣，被分配一段連續的地址。更進一步，連接進某一區域的省的IP地址范圍應集中在該區域的地址范圍附近。

廣域網連接:如果廣域網連接采用路由協議，則應使用30位掩碼。點對點的連接只需兩個主機地址，因此不需更大的地址空間。具體設計實施規則:

第一層:以網絡匯接區域來劃分。

根據網絡匯接分布的地理區域來劃分大塊連續的IP地址空間;有利于路由協議的計算和地址匯聚。

在首期網絡工程內的地址劃分需要考慮網絡的接入層的擴展;需要為網絡的擴展預留地址空間。

第二層:在區域接入網內，以網絡功能來劃分。

可以根據不同的應用和網絡功能來劃分，如:用戶網絡接入地址;數據服務器地址空間和網絡管理操作。可以從號碼上識別出應用和功能;

根據具體地址空間，可以給出每個區域和接入層的地址空間。在地址分配中需要的從地址的應用類型上給出規則:路由器 loopback 地址，每臺路由器需要一個30位掩碼的IP地址;點到點的廣域網鏈路，需要30位最小的子網;局域網地址按照主機接入數量和設備數量來分配子網空間;根據網絡IP地址的應用類型，從總體上將可利用的IP地址劃分成如下4種類型，劃分方案如表3所示。

表3 劃分方案

應用類型IP地址子網掩碼

網間網互連192.168.x.x255.255. 255.0

帶內管理192.168.x.x255.255. 255.0

數據服務器172.16.1.x255.255. 255.0

網絡用戶10.x. x.x255.255. 0.0

(1) 網間網互連網絡。

由于網間網互連網絡是負責IP網絡核心、匯聚以及接入3層設備的互連，屬于機密性的管理網絡，所以要和用戶IP地址有嚴格的區分，該部分網絡采用192.168.x.x的30位子網掩碼的點到點連接的子網，以增加網絡的安全性、可管理性和IP地址的利用率。

(2) 帶內管理網絡。

由于帶內管理網絡是負責全部網絡連接設備的管理，也屬于機密性的管理網絡，所以要和網間網互連網絡一樣，要和用戶IP地址有嚴格的區分，該部分網絡也采用192.168.x.x的24位子網掩碼的C類子網，同時，以結合3層分層結構進行帶內管理地址的分配。

(3) 數據服務器網絡。

數據服務器網絡是全網的應用數據服務核心，所以采用從172.16.x.x中拿出一段作為數據服務器網絡地址，該部分的地址規劃要和應用的模式和分布情況進一步設計。

(4) 用戶網絡。

用戶網絡的IP地址是整個網絡用戶的終端IP地址，是整個網絡IP地址劃分中的核心部分，該部分IP地址要嚴格按照網絡的分層結構劃分出分層子網，同時，要預留網絡的擴展網段，以利于網絡規模的擴展。

3.2 地址分配

地址劃分是優化路由處理的重要組成部分。在寬帶IP網絡中，初步設計采用保留的地址(10.X.X.X，172.X.X.X，192.168.X.X)，地址按區域劃分。

在地址分配過程中，各節點的保留IP地址應盡量保持連續性以便于內部路由管理，同樣，整個網絡內部也應盡量保持CIDR(無級域間路由)地址塊的連續性，保留IP地址的使用應為將來網絡發展留有余地，以便于網絡的統一規劃。IP的地址分配主要考慮:合法的IP地址應由統一的網管中心分配使用;地址分配方案應與原有網絡地址分配方案統一考慮，原有網絡地址分配盡量保持不變; 地址分配應本著簡化路由選擇，充分利用地址空間，兼顧今后網絡發展，便于業務管理等原則進行;地址分配方案可以考慮可變長子網掩碼技術;充分考慮未來在若干節點的系統可擴充性;充分反映IP網絡的拓撲層次結構;有利于路由協議的配置，地址歸納和自治域的設定;方便網絡管理;在各個層次都預留地址以適應不同層次的擴容。

4 結 語

現代辦公模式較傳統辦公室模式的革命性變化促進了企業網的形成。隨著經濟的飛速發展，中小型企業在整個國民經濟中占有越來越重要的地位，但是中小型企業的信息技術水平卻相對較弱。本文對中小型園區網建設的各個要素進行分析，提出了一套完整的中小型園區網的建網方案。該方案兼顧了安全性、可靠性、可用性、易維護性等各個方面，很好地滿足了現代辦公模式對整個企業網的功能需求，并對設備選擇和IP地址劃分給出了常用分配原則和參考方法。

參考文獻

[1]王立春.VLAN技術及其在大學校園網中的應用[J].科技資訊，2007(6):155-157.

[2]沈大林.中小型企業網組建與維護[M].北京:中國鐵道出版社，2007.

[3]李文琴，汪大清.VLAN技術在組建校園網中的應用[J].計算機與現代化，2007(5):76-78.

[4]王寶智.局域網設計與組網實用教程[M].北京:清華大學出版社，2004.

[5]馮昊.交換機/路由器的配置與管理[M].北京:清華大學出版社，2005.

[6]馮博琴.計算機網絡[M].北京:高等教育出版社，2007.

[7]吳學毅.計算機網絡規劃與設計[M].北京:機械工業出版社，2009.

[8]苗鳳君.局域網技術與組網工程[M].北京:清華大學出版社，2010.

[9]余明輝，汪雙頂.中小型網絡組建技術[M].北京:人民郵電出版社，2009.

[10]吳建勝.路由交換技術[M].北京:清華大學出版社，2010.