商務公司整體網絡規劃與設計

黃永吉 成都師范學院

大量商務公司為順應當前市場規律和趨勢，大力實現電子商務的推進和發展。與原來的商業模式相比，它在運行成本、商品流通速度以及利潤率等方面都有很大的優勢。此外，商務公司通過以實現電子商務發展為目標，在這基礎上，將公司網站建設、內部管理、交易安全等職能融合為一體。這樣一舉多得，既能擴展商務公司在線上交易的業務，也可以加快公司內部的信息化建設，提高綜合競爭力。

1 路由設計

公司中的路由通過設計的以簡化，即網絡不需要運行動態路由協議，利用VLAN見的路由進行跳轉，最后通過防火墻進行NAT轉化，最后連入互聯網。

其具體實現如下，在核心層添加各個部門VLAN，無線接入用戶VLAN到數據中心VLAN相互之間的路由，添加到出口設備的默認路由。添加出口路由到需要被外網訪問的服務器的路由，添加VPN接入用戶到應用服務器群的路由，最后由防火墻進行NAT轉換完成互聯網的接入。

2 可擴展性設計

接入層交換機預留端口并進行布線，這樣新添加的終端設備可直接插上網線到預留的端口即可，但這還需要第二點中提及的IP 編址預留，它才能獲得一個合適的IP 地址，若第一二點不能滿足，則新添加終端設備將不得不連接到一個不合適的交換機，獲得一個不合適的IP，造成連線與IP規劃的混亂，或者新添加設備根本無法接入。

3 虛擬專用網

虛擬專用網絡(VPN)的功能是在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。

根據需求，總共需要兩條隧道，一條是遠程接入用戶隧道，一條是分公司接入隧道。對于站點到站點VPN，采用IPSEC，編址部分參考IP編址一節。對于遠程接入用戶，采用SSL VPN，編址部分參考IP編址一節。在出口路由器和出口防火墻上同時開啟VPN功能，優先使用防火墻上VPN功能。VPN接入用戶和遠程站點僅能訪問公司網絡中心。在邏輯上所有VPN遠程訪問都相當于是公司的某個部門。對于一些特殊的信息資源，比如有關商品營銷的信息、核心管理信息等，需要特殊權限，以確保安全性和保密性要得到最高的保證。通過VPN的角色進行劃分，劃分不用的VPN接入后的權限。可參考圖1。

4 網絡安全及穩定設計

由于涉及非常重要的商業機密，商務公司對于網絡安全應當有非常高的要求。無論是網絡中心設置還是服務器擺放都需要經過安全驗證，此外對于維護上也有著嚴苛的要求。

在Web服務器、應用服務器、數據服務器上都連接有入侵檢測，通過內容交換機和通用交換機將數據得以分流，再通過鏈路負載均衡設備以及防火墻連入網絡。最大程度上保護自身的安全性和穩定性。

網絡交換機都經過獨特設計具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點。而且具有強大的運行維護能力，能有效降低運營商的運維成本。支持RS-232本地管理口及Telnet、WEB、SNMP 代理，遠程監控可根據運營商的不同要求，使用不同的管理方案，支持SNMP協議的全網集中網管。交換機能夠提供全中文菜單或圖形配置方式，為交換機的管理和配置提供了極大的便利。提供了故障告警和日志功能，可通過機箱面板上指示燈直觀地了解設備的運行狀態。

此外，為了幫助網管人員輕松實現對眾多網絡設備的管理、及時排查網絡故障和提高用戶管理的效率，讓有限的IT運維人員精力和IT預算投入到最關鍵的資源的維護和保障中，切實降低復雜IT環境的管理難度。系統可以對于每個客戶上下行的帶寬上限加以限定，防止個別客戶占用過多網絡資源。還能對不同的用戶數據設定業務優先級，以保證重要數據能得到更好的服務。最大程度上確保網絡安全和穩定可靠。

5 網絡系統使用安全分析與設計

商務公司的網絡系統使用安全，也是重要的設計內容，因為技術上的安全再強大，也需要輔以使用上的安全規范。

在整體安全性上來看，內網出口處有防火墻，可為內網的整體防護提供安全措施。數據中心也設置了防火墻，讓網絡中心始終擁有很高的安全性。

為了防范ARP攻擊，網內除終端設備外，所有設備的ARP表有可信的第三方發布（位于網絡中心的安全設備），該ARP表綁定所有重要設備MAC與IP。此外在匯聚、核心交換設備設置由硬件實現ACL，對病毒進行過濾和殺滅。結合網絡攻擊的檢測系統，能夠抵御日益增多的內部網絡攻擊，并且自動對用戶做出相應的控制動作，保證網絡安全。

對于手機用戶、電腦用戶等，都采用六元素的自動綁定、靜態綁定、動態綁定相結合，可以確保用戶入網時身份唯一，并且避免了IP沖突。除不需身份認證的設備外，其他設備入網均需一次身份認證，根據認證結果發放權限，同時某些重要應用服務器可能還需要進一步的身份認證。

在支付安全，需要驗證手機號碼并且使用較高安全級別的密碼，作為加密憑證。存儲支付數據的服務器也被安置在安全位置，進出由密碼控制。確保支付信息的安全可靠。

6 總結

商務公司為適應當前市場規律和趨勢，大力實現電子商務的推進和發展，將公司網站建設、內部管理、交易安全等職能融合為一體。通過這種一舉多得規劃設計，既能擴展商務公司在線上交易的業務，也可以加快公司內部的信息化建設，提高綜合競爭力。

本課題對商務公司整體網絡的規劃與設計進行研究，從商務公司整體網絡的基本結構搭建出發，圍繞公司網站建設、內部管理、交易安全等方面，進行一系列規劃與設計，最終形成適應商務公司發展與運行的商務網絡體系結構。

在對于商務公司整體網絡規劃與設計中，遵循了先進性、可靠性、實用性、安全性、可擴充性等五大原則。設計中使用了Cisco 2960 、Cisco 3560交換機、Cisco PIX防火墻以及其他先進的服務器，這些關鍵部件在硬件上都是十分先進、可靠的，通過利用Cisco PIX防火墻將內外網分隔，附加VPN訪問內網以及各線路均有備份，可以一定程度上確保安全性。各交換機都有冗余接口以及線路，確保以后擴展上不會受到影響，具有很強的可擴展性。

公司整體網絡能夠保證穩定、可靠、數據傳輸不受影響。保證在少部分設備或者其他故障之下，不會使整個網絡崩潰。核心級設備在出問題的時候，可以通過備份設備，實現隔離并有效的進行恢復，具有強大的健壯性。可以通過有效的網絡帶寬控制技術和服務質量保證技術，滿足了公司對于不同數據傳輸的需要。主干網絡的帶寬達到萬兆級別。公司整體網絡具備強大的保密性、完整性、可用性、可審核性。關鍵設備具有備份系統，并且通過防火墻等手段防范網絡攻擊。可以及時有效的發現網絡中的異常流量，有效的控制網絡設備，及時的對異常網絡設備進行遠程控制且操作簡單、方便管理與維護。能夠為公司外部特殊用戶提供安全保密的信息，實現高速安全的廣域網數據傳輸。該設計對于電子商務、網絡規劃等學科研究有一定的參考和借鑒意義。