淺談公司局域網組網方案與實現

摘 要：因特網(Internet)是信息化社會的基礎和核心。自20世紀70年代初誕生以來，已發展成為開放的、互聯的、遍及世界的最大的計算機網絡系統。因特網是一個使世界上不同類型的計算機能交換各類數據的通信媒介。本文主要分析公司局域網組網方案與實現。

關鍵詞：公司； 局域網； 組網； 方案

中圖分類號：TS976.4 文獻標識碼：A 文章編號：1006-3315（2012）07-172-001

當今，公司局域網網絡技術比起以前有了長足的發展，網絡已經逐漸與人們的工作、生活相結合，同時網絡安全問題也變得日益突出。為了應付當前出現的各種網絡安全問題，網絡安全技術及軟硬件設備層出不窮。安全技術覆蓋了計算機網絡的方方面面。安全技術變得紛繁復雜起來，這對網絡安全技術的應用來說帶來了挑戰。對于網絡安全我們所看重的往往是單個應用點，這就容易忽略某些層次的安全問題。園區網絡接入層安全問題就是在這種環境下日益顯現出來的。網絡安全技術從應用方面來看，主要分為面向終端系統的網絡安全技術和面向網絡基礎架構的安全技術。

一、公司局域網組網的常用技術

拓撲結構的選擇是組建網絡的關鍵之一，拓撲結構決定了網絡的布局和傳輸介質的訪問控制方式，而傳輸介質在決定網絡中信號傳輸速率的同時，也提供了相關接口標準。目前，比較流行的局域網有交換式以太網、ATM、FDDI以及快速以太網等，下面對這些網絡技術特點做一簡單的介紹和類比，以便設計中加以選擇。FDDI是一種高速光纖網，其介質訪問方式與IEEE802.5標準中對應部分類似，但FDDI采用了多個數據幀的訪問方式，提高了信道的利用率。(1)技術成熟且完全標準化。自1987年以來，ISO與ANSI制定了X3T9.5等一系列標準，這些標準使FDDI得到了大力推廣。(2)容錯性好，采用雙環結構，一主一副，互為備份，使容錯性得到充分發揮。(3)價格較貴，且短期內不會有顯著下降。(4)由于網絡拓撲結構及網絡設備復用性等原因，FDDI升級至ATM或千兆以太網較為困難。

在接入網絡的計算機中，有時會出現大量發送數據幀的現象。這一般是由于主機受到病毒影響或網卡出現故障。一旦出現廣播風暴，交換機的資源會被大量占用，數據幀的轉發性能受到極大的負面影響。在網絡設備管理方面，由于網絡設備數量較大，管理員不得不記憶大量的網絡設備IP地址和密碼，但時間一長很多不常用的網絡設備的地址和密碼就會被忘記，不僅給管理工作造成了很多麻煩，而且降低了工作效率。管理員在不同的網絡設備之間切換操作界面時往往會大量執行同一步驟。例如：管理員需要配置A、B、C三臺網絡設備，他必須針對三臺網絡設備都執行登錄命令并輸入相應用戶名及密碼。如果主機數量很多，就會降低管理員的操作效率。管理員在管理相關網絡設備之前往往無法了解管理端口的運行狀態，如果主機的服務癱瘓了，操作之前無法得知。

二、公司局域網組網方案與實現

一個公司網絡同組建一個網吧或者家庭網絡是不同的。因為組建公司網絡所需的技術含量要比前者要高，其中包括了VPN技術、虛擬局域網技術等等。

1.公司網絡的結構選擇

公司網絡的構建是一個系統性的工程，涉及到網絡拓撲規劃、設備選型、綜合布線等多方面的知識。

1.1能夠及時得知接入交換機的運行狀態，并根據運行狀態分析網絡運行是否存在ARP欺騙攻擊、DHCP欺騙攻擊、廣播風暴攻擊行為。對攻擊信息的分析要做到全面準確。對于交換機的運行狀態獲取，需要覆蓋多個接入層樓宇，并且對交換機的日志能夠持久存儲以備查閱。

1.2能夠確定攻擊源在接入交換機中的位置，并進行隔離使其無法影響其他上網主機，對于已處理的主機可以進行解除隔離。隔離操作的執行需要做到直接簡便高效。攻擊主機的位置確定對用戶需要做到透明。

1.3設備的控制需要對網絡管理員透明化，提供對多廠商交換設備的支持，控制功能需要使用公共標準協議，能夠監控接入設備的服務狀態和IP可達狀態，并將這些狀態呈獻給網絡管理員。對于網絡管理員作出的針對攻擊主機的操作，能夠將其轉化為交換設備可以識別的指令。

1.4提供安全的用戶登錄驗證功能，能夠讓用戶使用除靜態用戶名密碼之外的第三種認證方式，保障用戶登錄信息達到不可猜測、無法破解、登錄參數無法重復使用，有效防范賬戶密碼被盜取。

1.5能夠提供基本的用戶權限功能，管理員、維護員和普通用戶三層管理權限，分別對應全部操作權限、后期維護權限、日志查看權限。對網絡管理員需要提供對接入網絡設備日志信息和攻擊主機信息的查詢，對管理員權限的用戶除提供查詢功能之外，還要提供對攻擊主機進行隔離和解除隔離的操作功能。對于維護員來說，除了提供查詢功能外，只允許其具備對已隔離攻擊主機的解除隔離操作。上網用戶不具備系統的操作權限，只具備攻擊主機信息的查詢功能。這些設備需要通過網絡連接到遠程控制服務器，并且支持TELNET和SNMP協議對接入設備的控制。數據庫服務器既可以集成到遠程控制系統服務器中，也可以單獨運行，但基于性能及安全的考慮，最好與WEB應用服務器隔離運行，只要WEB應用服務器網絡可達即可。

2.公司網絡中的安全規劃

隨著黑客對網絡的攻擊和威脅日益增長，公司逐步將網絡安全問題放置到了首位。有些攻擊或威脅不是一般簡單的防火墻等設備可以抵制的。例如攜帶后門程序的蠕蟲病毒是簡單的防火墻/VPN安全體系所無法對付的。因此，建議采用立體多層次的安全系統架構。這種多層次的安全體系不僅要求在網絡邊界設置防火墻/VPN，而且還要設置針對網絡病毒和垃圾郵件等應用層攻擊的防護措施，這種主動防護可以將攻擊內容完全阻擋在公司內部網絡之外。

參考文獻：

[1]田增國，劉晶晶，張召賢編著.組網技術與網絡管理[M].清華大學出版社，2009.02

[2]王懷宇，李燕玲，劉鳳田主編.大學信息技術基礎[M].河北大學出版社，2009.08.

[3]楊永川，黃淑華，魏春光編著.邊用邊學局域網組網[M].機械工業出版社，2007.6