企業基礎網絡架構及升級

王誠

摘要

隨著全球網絡通訊的快速發展，不斷推動著世界經濟的增長。企業需要建設高效快速的基礎網絡平臺，才能有效夠提升自身核心競爭力，在競爭如此激烈的市場中占得先機。一個現代化的企業信息化程度如何，必須要有先進的基礎網絡，一個先進的基礎網絡需要做到的不僅僅是網絡速度快，還包含了基礎網絡的承載能力、穩定性以及安全性，這樣才能夠成為企業快速發展的翅膀。下面本文就企業如何構建一個先進的基礎網絡平臺進行簡單分析。

【關鍵詞】網絡架構 企業網絡 信息化

1 企業基礎網絡架構

每一個企業都應該有一套高效、安全、可擴展的基礎網絡平臺。基礎網絡整體包含樓層配線、接入區、服務器區、核心區、外聯區，按照網絡的結構劃分為核心層、接入層。核心區采用核心交換機承載整個集團的業務數據交換;在外聯區用防火墻作為主出口設備，在防護內網安全同時承擔著外部分支公司、機構與母公司的VPN鏈接;在接入層使用接入交換機和AP實現無線和有線一體化覆蓋，滿足企業大量的業務系統運行。

基礎網絡建設總體需求如下：

（1）為實現網絡內的高速互聯，采用高性能模塊化交換機，交換機之間采用千兆光纖鏈路方式連接;樓層全部無線AP覆蓋，可用智能手機等無線設備接入，滿足移動辦公需求。

（2）為了保證內部網絡的安全與規范使用，采用防火墻設備防止外部非法侵入和惡意攻擊，使用上網行為、流量控制管理設備規范上網行為并控制每個IP上網的數據流量分配，保證網絡的平穩運行。

（3）通過多種VPN方式連接分公司，實現內部OA辦公、通信、視頻會議、移動辦公等要求。

（4）為了滿足網絡的高可靠性、高帶寬、可擴展的要求，每層弱電間進行網絡規范建設，配套網絡機柜和語音、網絡配線架，到核心設備的線路全部采用橋架鋪設。

2 基礎網絡構架升級

隨著整個網絡承擔著企業大量業務數據的交換，包括視頻會議、分公司的視頻監控數據等音視頻數據的傳輸，特別是分公司的業務系統通過VPN功能實現與集團之間業務數據的交換。現有核心硬件設備基本都在單點狀態下運行著大量的業務系統，如果在出現網絡系統故障時就無法保證業務系統的不間斷性，從而造成一定的影響和損失。同時，由于業務數據增長越來越快，在面臨數據處理高峰時，我們也要有一定的手段應付突如其來的數據沖擊。針對以上核心問題，我們要做到有備無患，在現有網絡基礎上投入最少的資金，使用最合理的解決方案，逐步建立以核心設備冗余、數據安全備份、業務系統不間斷運行為基礎的災備管理系統，補充和完善集團信息化平臺系統。具體做法如下：

2.1 基礎網絡

企業的基礎網絡，網絡核心部分在企業的數據機房，企業網絡的絕大部分數據流都要通過網絡核心部分的設備交換處理;網絡核心部分還承擔著不同的VLAN之間相互路由功能。如果網絡核心的設備出現了設備故障，企業的整個網絡就會無法使用。可以看出，網絡核心的設備，在企業的整個基礎網絡里起到了關鍵作用，網絡核心設備具備可靠性高、性能強大的特性。為了讓網絡核心部分更加穩定和可靠，避免因為網絡核心部分設備出現問題使得整個網絡癱瘓。那就需要將網絡核心部分做一個備份，就是做一套一模一樣的配置進行互備，萬一主設備出現問題，備用設備會馬上啟動，能夠對基礎網絡核心部分進行保障。

2.2 網絡核心

采用2臺核心交換機，使用CSS技術實現雙機冗余災備。每臺提供2塊8端口萬兆集群業務子卡，支持縱向虛擬化方案，核心、匯聚、接入層設備虛擬化為一個管理網元，支持：路由協議多實例，策略路由;廣播風暴抑制功能;風暴控制支持shutdown端口或拒絕轉發的安全策略下發;靜態路由。每臺配置雙主控，雙電源;光接口板;十兆/百兆/千兆以太網電接口板。

2.3 外聯區的建設

本次將現網絡改造為雙設備、雙鏈路結構，通過采用來自不同運營商的互聯網資源，當任何一個節點出現線路或設備故障而不會影響整體網絡的運行，實現網絡的冗余架構。

采用2臺VPN防火墻實現雙機冗余災備功能，實現對內網的設備及用戶提供安全防護。通過其內置的SSLVPN及IPsecVPN功能模塊為所有外部子公司和外出移動辦公人員，建立安全的隧道鏈接到公司內部網絡中。提供的遠程SSL VPN訪問，便于外出人員進行服務器登錄辦公，并對分支機構提供IPsecVPN通道，實現遠端機構的連通。此VPN隧道為加密型，可以安全的傳輸OA、數據、視頻、語音等網絡數據，可實現與企業總部和各分公司的日常通信要求。

每臺VPN防火墻采用多核架構，支持8個千兆電口，4個千兆光口，最大接口數：26個千兆接口+4個萬兆接口;防火墻吞吐量為：5Gbps;IPSEC VPN隧道數高達4000條;全面 NAI功能，對多種應用層協議支持ALG功能包括ILS、DNS、PPTP、SIP等;能夠基于時間、用戶/用戶組、應用層協議、地理位置、IP地址、端口、內容安全統一界面進行安全策略配置;支持BFD鏈路檢測，支持BFD與VRRP聯動實現雙機快速切換，支持BFD與OSPF聯動實現雙機快速切。

2.4 接入層的建設

在企業總部根據現網的部署要求和使用情況，增加接入交換機和無線Ap設備，并結合現有設備實現功能需求;各分支機構通過己有設備適當升級和擴容，實現VPN鏈路的冗余災備。

3 總結

此網絡構架可實現了內部高性能轉發;網絡出口采用了雙ISP接入，通過負載均衡設備實現了Intemet的冗余接入，鏈路負載;實現對內網用戶訪問互聯網的嚴控控制，包括URI、內容、帶寬;通過防火墻IPsec VPN實現鏈路的備份，做到了安全，穩定;實現各分公司通過Ipsec VPN與企業總部實現安全互聯，企業內部信息安全訪問。通過不同的vlan來區分不同的業務，通過acl策略設置實現不同業務之間網絡互通的差異性。

參考文獻

[1]王順林，陳一芳.“互聯網+”物流信息安全管理的用戶行為路徑優化研究[J].科技管理研究，2018，38（16）：183-189.

[2]梅新婭，黃軟斕.基于共享的網絡化知識組織方法研究[J].圖書館學刊，2018，40（04）：123-127+142.