淺議企業局域網的構建

徐娟XU Juan

（銅陵有色金屬集團股份有限公司，銅陵 244000）

（Tongling Nonferrous Metals Group Co.，Ltd.，Tongling 244000，China）

0 引言

當今世界已經邁入了一個信息無處不在的時代，而企業局域網則是信息化建設的一個基礎平臺。如何構建高效、安全的計算機網絡，已經成為眾多企業需要認真思考的問題。

1 系統設計基準

1.1 安全基準 設計系統時要充分考慮網絡安全的問題，保證系統安全，防止被人為破壞。包括系統的快速查詢以及其故障的排除，傳輸內容的保密及完整，外部非法侵入的防范，內部人員的越級操作的防止等等。

1.2 可靠性、穩定性基準 系統的設計需要采用穩定可靠的網絡架構，才能保證整個網絡系統的穩定運行；而系統的建設應采用主流的產品，以此保證系統的高質量和其穩定性；還要采用較成熟的技術提升系統的穩定性，同時設備本身也需要具備很好的容錯性及熱備份性；要確保每個接口與應用公認的標準兼容，同時保證第二層和第三層接口連接的可靠性。

1.3 先進性基準 局域網的設計要與實際緊密結合，立足于前沿技術，使系統能滿足各種數據傳輸的要求，保證系統具有較長遠的生命力，滿足將來系統升級的要求。

1.4 易管理性基準 全部網絡設備應可通過統一的網絡管理工作站實現統一的圖形化網絡管理。網絡管理界面應簡單有效，可通過直觀有效的網絡圖形來完成網絡狀況的分析和故障點的判斷。

1.5 可擴充性、兼容性的基準 設計網絡方案時，要在滿足當前需要的前提下，充分考慮到未來的應用，使網絡系統具有良好的可擴充性與兼容性。

1.6 高性能、可移植性基準 網絡系統的設計應該充分地發揮軟硬件和網絡的處理能力，以及最優系統整體性能，最大化網絡運行效率等。而可移植性是確保系統在不同平臺下正常運行的重要保證。

2 網絡架構設計

2.1 核心層 核心層是為點與點之間提供最佳的傳輸寬帶。核心層需要強大的3 層交換功能。其中核心層與匯聚層之間不能存在2 層的生成樹環路，只有通過智能的3層路由協議如OSPF 來實現路徑的選擇以及在核心層上的多條路徑的負載均衡。

2.2 匯聚層 匯聚層是為接入層提供基于策略的連接，通過工作組的網段化和網絡問題的隔離，一定程度上也能夠防止它們影響到核心層。匯聚層實現接入層虛網之間的互聯并能夠控制接入層對核心層的訪問，保證核心層的可靠性和穩定性。除此之外，匯聚層還可以通過兩條上行線路連接到核心層，以保證線路的冗余。

2.3 接入層 接入層是用戶最終的網路接入點。它具有以共享、獨享或交換貸款的方式為用戶提供入網的接口。接入層則采用TPLINK 網絡交換機，連接各工作站。

接入層通過上行（100Mbps 快速以太網、千兆以太網）連接到匯聚層。虛網中繼協議（802.1Q）、快速收斂技術以及每個VLAN 的生成樹（Spanning Tree）技術可以實現在冗余線路上的負載均衡和上行線路故障時的快速恢復。接入層一般通過2 層交換技術來實現。

3 企業局域網實施方案

按照“核心層-匯聚層-接入層”的結構組建樹型局域網。因考慮到局域網中有財務、人力資源、檔案等需要高安全、高保密的資源系統，網絡安全和隔離十分重要。因此，對INTERNET 接口處采用硬件防火墻，并結合網管軟件，規范用戶訪問INTERNET 行為；同時核心層和匯聚層采用華為智能彈性架構三層交換機實現VLAN 劃分。

3.1 防火墻技術的運用 有關資料表明，目前在互聯網上大約有20%以上的用戶曾遭受過黑客的困擾。因此，人們越來越注重網絡安全。

防火墻能夠提升機構內部網絡的安全性。防火墻的防御系統決定了外界可以訪問內部哪些服務以及外界的哪些人可以訪問內部的服務等等。而防火墻也必須允許所授權的數據能夠通過，并且防火墻本身也要能夠避免滲透。

針對不同資源提供不同安全級別的保護，可以考慮構建一個叫做DMZ 的區域。所謂的DMZ（Demilitarized Zone），也稱非防護區或非軍事區。DMZ 可以理解為一個不同于外網或內網的特殊網絡區域。DMZ 內通常放置一些不含機密信息的公用服務器，如：Web、Mail、FTP 等。這樣可以在保證內網機密信息安全性的前提下，使來自外網的訪問者也可以訪問DMZ 中的服務。

如果局域網內部服務器不向公網提供資源服務，則只需在核心交換機和INTERNET 之間的接入口增加一臺網絡防火墻即可。

如果局域網內部服務器向公網提供資源服務，如向INETERNET 提供虛擬主機、VPN 遠程訪問、WEB、FTP、MAIL 等服務，則應將服務器群直接接入防火墻的DMZ 區域內。

3.2 VLAN 規劃和劃分 單一廣播域的缺點將直接影響網絡的安全穩定和信息化系統的可靠性，為此，必須要進行VLAN 規劃，將整個網絡劃分成若干個廣播域。

對于企業內部的子網，網絡站點相對固定，可采用基于端口的虛擬子網的劃分，這種方式配置簡單，便于維護。將每個樓座作為一個獨立的子網，劃入一個VLAN 中，通過網絡中心的核心交換機來實現VLAN 之間的通信。也可以創建所謂的連接關系組，將其分配給不同職能的部門。這類連接關系組甚至可以相互重迭，并可以根據部門和職務的性質來組織，如，具有高級權限的用戶既可以屬于自身的私有網絡，又可屬于其他共享網絡。

規劃好VLAN 之后，就要確定選擇何種VLAN 劃分方式。這里的劃分是指技術層面上的，表示技術實現類型。在具體應用時，應根據網絡的實際狀況和所要達到的功能靈活選擇。中小型網絡一般選用基于端口的VLAN、基于MAC 地址的VLAN 或基于IP 地址的VLAN。

3.3 IRF 智能彈性架構 IRF（Intelligent Resilient Framework），即智能彈性架構。它可以幫助用戶設計和實施高可用性、高可擴展性的千兆以太網核心和匯聚主干，對大型局域網有較高的實用性。

運用IRF 技術，可以將多臺千兆三層交換機互聯在一起，形成分布式交換架構，作為一個邏輯交換實體運行。從管理和配置的角度看，一個分布式交換架構看起來就像一臺交換設備。從性能的角度看，分布式交換架構中的每臺交換機都能針對其端口上的第二層/第三層流量通信業務制定本地轉發決策，它向用戶提供一種新型的堆疊技術。

支持IRF 的多臺交換設備互相連接起來形成一個“聯合設備”，這樣無論在管理還是在使用上，就成為了一個整體。這樣既可以通過增加設備來擴展端口數量和交換能力，同時也增加了整個“聯合設備”的可靠性。

和傳統的堆疊技術相比，IRF 是一種更為強大的堆疊技術，除了可以做到擴展端口、統一管理之外，IRF 在高可靠性、冗余備份方面比傳統堆疊有了更大的提高。IRF 技術可以容許全局范圍內的跨設備鏈路聚合，提供全面的鏈路級保護。同時IRF 技術實現了跨設備的三層路由冗余，可以支持多種單播路由協議、組播路由協議的分布式處理，真正實現了多種路由協議的熱備份技術。

[1]楊建秋.企業局域網規劃與管理[J].寧夏科技，2003（05）.

[2]趙麗芳，王兵.企業局域網網絡安全運維方案[J].科技情報開發與經濟，2007（36）.

[3]劉巍.企業局域網網速減慢的解決辦法[J].科技信息，2009（06）.