從時代新材網絡項目淺談計算機網絡割接升級的改造

摘要：該文主要闡明了網絡升級改造的規劃思路和技術方案，以親身參與公司網絡升級項目為例，探討了現網存在問題和應對措施及如何建設一個高可靠性、可擴展性、安全性、可管理性的網絡。

關鍵詞：廣域網；網絡技術；網絡建設；安全策略；網絡管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)04-0800-03

網絡升級改造建設方案，先要從自己的業務的需要出發，對單位的IT進行統一的規劃，規劃和實施的原則一般為“服務業務，統一規劃和分布實施”。其次從網絡的總體架構開始分析，確定子網、資源子網、網絡安全子系統和存儲子系統之間的關系，確定數據庫及應用軟件系統與網絡、服務器以及存儲子系統之間的關系，最后要在對網絡協議選型、IP地址規劃、安全策略設計、網絡管理設計、網絡環境設計、網絡設備選型等各方面作出詳細的分析之后，最終才能建設一個高可靠性、可擴展性、安全性、可管理性的網絡。

1 網絡建設總體設計方案

總體設計方案直接影響網絡升級項目的成敗。一般先從公司網絡現狀，公司網絡總體結構，對現網存在問題進行分析，制定項目目標，在此分析的基礎上設計出總體方案。

1.1 公司網絡現狀及存在問題

公司現有近千臺計算機及設備與網絡相連，網絡已具備相當的規模。

經過幾年的信息化建設，公司已完成且正式運行的系統有： WEB、MRPII、PDM、電子商務采購系統、財務系統等。隨著信息系統的不斷投入使用，對網絡的傳輸速率、網絡管理、信息系統的規劃提出了更高的要求。

目前的網絡交換產品基本上采用的是聯想天工系列的產品，共有40余臺，樓與樓及樓層間均采用62.5/125um的多模光纖，主干只使用了100M通道匯聚技術。

對VLAN的劃分是完全基于MAC的方式來進行的。網絡交換產品與現有主流交換廠商某些協議上無法兼容，為網絡擴展帶來障礙。

各VLAN間的通訊是通過重復加載MAC元素來實現的，而不是通過三層路由；且網上的廣播量大。用戶容易遭受病毒和蠕蟲攻擊。

1.2 項目目標

根據業務運行的高可靠性、高擴展性、高安全性、可管理性等方面需求，公司網絡改造項目制定出以下目標:

1) 對公司核心網絡的結構進行層次化和模塊化的改造調整，建立明確的功能區域; 整個網絡結構控制在三級交換的范圍，形成核心交換機、樓宇匯聚交換機、桌面交換機三層結構；

2) 對公司的接入安全及核心網絡進行優化改造

3) 樓宇間之主干帶寬提升至千兆，并采用聚合技術，提高網絡傳輸速度；

4) 按地域劃分VLAN，減小廣播包的影響范圍，提高網絡對異常狀況的抗擊能力；

5) 進一步強化網絡內部和邊界安全，逐步實現對來自內部和外部的任何非法操作和任何攻擊的監控和防范；

6) 網絡具有良好的可擴展性：隨著網絡規模和應用的擴展，網絡的總體架構和管理模式不會受到影響。

1.3 網絡結構設計方案

公司改造后的網絡總體結構是典型的三級結構：其中核心層交換機為思科高性能的路由交換機Catalyst 6509，該設備配置了24口1000M光纖模塊連接6臺匯聚層交換機，配置了48口10/100/1000M自適應電口模塊連接服務器（如主域服務器、ISA服務器、公司認證服務器等），匯聚層交換機為6臺Catalyst 3560，每臺交換機配置了2個1000M光纖端口通過鏈路聚合的方式上聯至核心交換機，還配置了24個10/100/1000M自適應電口與接入層交換機相連接；接入層交換機為若干臺Catalyst 2960，該交換機配置了2個10/100/1000M自適應電口上聯至匯聚層交換機，另外配置了24個10/100M電口供用戶提供接入。天融信防火墻防止互聯網對內部局域網的端口攻擊；代理服務器Isa提供內部上網權限控制；接入層設備作為接入用戶的802.1x的認證代理，與radius認證服務器和AD域集成，按照用戶業務單元或者部門動態下發VLAN。網絡拓樸見如圖1。

1.4 路由協議設計及IP地址規劃

鏈路狀態路由選擇協議用于大型網絡中，因為它們更新路由選擇表的方法占用的網絡資源較小，本次網絡項目采用OSPF作為全網的路由協議。

為了便于網絡的管理，根據用戶所屬地域或組織單位來劃分IP與VLAN

例如172.23.0.0的B類地址劃分了6個接入子網，每個子網對應一個Vlan和對應的組織單元。

2 操作系統平臺設計

公司服務器、主機大多是Windows操作系統，因此系統架構基于活動目錄平臺搭建，采用微軟的Windows2003活動目錄建立了統一的身份管理平臺；可統一管理域用戶和計算機、打印機等對象。在活動目錄平臺下可實現用戶權限的統一分配和安全管理，使得網絡中的各種網絡對象可以得到有效的管理。

2.1 活動目錄的設計及部署

由于用戶的信息（比如域帳戶）都是存在活動目錄數據庫中，因此不需要在每個客戶端上創建帳戶信息。通過將計算機加入到域中，即可賦予不同的用戶通過不同的計算機登陸，而不需要在每臺計算機上創建用戶帳戶。

公司網改采用域的管理模式，與下級部門使用同一個TLB.com.cn域。以實現員工信息的集中化管理。具體示意圖如圖2。

3 網絡安全設計

3.1 終端內部安全設計

網絡內部的安全實現的設計思想是，首先根據一定的劃分原則將內部網絡用戶劃分到不同的VLAN，工作Vlan區、修復Vlan區及訪客Vlan區等幾個VLAN，每個Vlan分配獨立的IP地址空間。根據應用的需要，對VLAN之間的通訊進行控制。

通過交換機的動態VLAN管理（802.1x＋Radius）的功能完成網絡管理員對用戶端口認證和授權的管理，防止以太網端口即插即用造成的潛在威脅，提高系統的可維護性。

通過這種方式可以防止非本公司人員通過辦公室的以太網端口連入內部網，給內部網絡造成威脅。

并對可以正常接入局域網計算機的健康狀態進行檢查（主要包括：系統補丁、防病毒軟件狀態、文件共享設置等進行檢查）。對于不符合安全策略的終端進行隔離，只有在修復區將漏洞修復完之后，才能切換到工作區得到工作區的IP地址，訪問工作相關的網絡資源。具體示意圖如圖3所示。

3.2 局域網邊界安全設計

公司局域網的邊界安全由內、外兩道防火墻組成，采用硬件天融信防火墻與ISA應用防火墻建立了企業級背靠背的防火墻體系，通過安全規則的設置，禁止外網直接訪問內部局域網；內網通過NAT（ 地址轉換）實現與互聯網的連接。具體示意圖如下圖4所示。

3.3 網絡割接技術方案

如果說方案是基本，那么割接就是項目的保障，公司網改造項目方案的具體實現。

3.3.1 網絡割接方案設計

網絡割接準備工作，割接前期的準備工作包含機房電源、空調、電纜、光纜、設備機架等各就各位，制訂割接方案，方案要描述割接中需要進行的各項任務，還包含各項任務的時間表。為保證公司網絡的正常運作，割接方案必須以不能影響現有業務的正常運行為第一大原則

公司網改一般是在舊網的基礎上升級，所以一定要定義了兩網并存的割接方案，通過路由建立兩網互連，在割接階段，兩網客戶能夠享有同樣的訪問權限。

3.3.2 割接步驟

第一步：為保證網絡的過渡，做正式割接之前，按照機房搬遷后的網絡結構設計，建設基礎架構平臺，檢查路由協議、聯通性，測試業務系統的正常運作，確認，保證新的網絡平臺與老網絡平臺實現互聯互通。

第二步：安裝并配置好Radius服務器，并從Windows域控服務器中同步所有用戶資料信息，將用戶從老交換機逐步連接至新的交換機。

第三步：網絡割接注意事項

1) 按照影響用戶使用最小、風險最小原則，采用客戶端分步遷入新網。

2) 為保證關鍵系統正常運行，公司新機房運營商和子公司光纖在全部客戶遷入新網后最后熔接。

4 結束語

網絡改造工程高質的完成，關鍵在于對自己需求的了解，有超前的網絡技術整體設計方案支撐，從規格、管理軟件、安全防護等方面進行整合和統一，加上網絡割接的保障，大幅度提升整個網絡的安全性與可管理性。把網絡系統從單純的運營成本轉變為有核心競爭力的應用基礎。

參考文獻：

[1] 陳鳴.網絡工程設計教程：系統集成方法[M].2版.北京:機械工業出版社，2008.

[2] 謝希仁.計算機網絡[M].5版.北京:電子工業出版社，2008.

[3] CCNP學習指南.組建可擴展的Cisco互連網絡（BSCI）[M].3版.

[4] 袁連海，董文.局域網組建與維護[M].北京:人民郵電出版社，2004.

[5] 鐘小平，張金石.網絡服務器配置與應用[M].2版.北京:人民郵電出版社，2004.

[6] 雷震甲.網絡工程師教程[M].2版.北京:清華大學出版社，2006.