企业局域网的规划与设计

JOURNALOFCHUZHOUUNIVERSITYVol.11No.6　Dec.2009　

企业局域网的规划与设计

许昌军

(滁州市烟草专卖局,安徽滁州239000)

摘　要:企业信息化建设的需求,使得局域网的建设成了各单位急需解决的问题。文章以笔者所在企业滁州市烟草公司的网络现状和应用需求为目标,详细阐述了局域网的规划与设计过程中的网络技术和设备选型,对网络管理过程中的VLAN划分和安全访问控制等进行了具体分析和设计,并提出了总体解决方案。关键词:企业局域网;拓扑结构;规划;防火墙中图分类号:TP393.1　　　文献标识码:A　　　文章编号:167321794(2009)0620108203

0　引言

为一个支持众多用户、同时和INTERNET、行业广域网存在连接的网络,网络安全性在整个网络中是个很重要的问题,需要采用一定手段控制网络的安全性,以保证网络正常运行。1.4　可管理性经过近几年烟草信息化的建设,滁州市烟草公司的计算机硬件数量从最初的几台已发展到三百余台,运行方式从单机运行发展到可以进行远程访问、传输等计算机综合网络的应用,为加快滁州市烟草公司信息化建设的步伐,有必要尽快规划建立一套快速、高效的滁州市烟草公司局域网网络系统,实现销售专卖等各种信息的合理组织、流动,提高公司的经营、专卖、管理的整体水平。信息化系统的主要业务应用包括:办公自动化系统、营销业务系统、信息管理系统、专卖管理系统、网上交易系统、电视电话会议系统。根据新的业务需求,需要对滁州市烟草公司局域网进行综合性规划和设计。下面从网络设计原则,网络总体拓扑结构,虚拟网络设计,网络安全设计几个方面讨论笔者所在单位的局域网建设。

1　设计原则

局域网网络系统遍布全公司各个职能单位,随着业务的不断发展,网络管理的任务必定会日益繁重。因此在网络设计中,必须建立一个全面的网络管理解决方案,最终能够实现监控、监测整个网络的运行状况,合理分配网络资源、动态配置网络负载,可以迅速确定网络故障。

1.5　经济性

应以较高的性能价格比构建网络系统,使资金的投入产出比达到最大值。采用的设备和技术应具有前瞻性,在可预见的未来的设备改造中,要保证现有设备能最大程度的被继续使用,使目前的设备投资未来也能发挥较大的作用。

1.6　可扩充性、开放性和互连性

根据滁州市烟草公司目前的需求和未来的发展,在设计和建设滁州市烟草公司局域网过程中,坚持全局统一规划,既做到与滁州市烟草公司信息化长远发展相适应,又坚持分步实施、稳步实施的策略。根据行业要求,必须严格按照国家烟草专卖局制定的烟草行业信息网的建设原则和标准,将此网建设成一个起点高、安全可靠、易于扩充和升级的网络系统。具体包括:

1.1　高性能与技术先进性

随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投资。在结构上真正实现开放,基于国际开放式标准,为未来的业务发展奠定基础。

2　网络总体结构设计2.1　网络技术和产品选择

具有较高的数据通信能力和较大的带宽,并在主干网上提供较强的可扩展性,以适应未来烟草企业的发展和技术升级的需要。

1.2　高可靠性

从目前流行的局域网、城域网技术的应用来看,网络主干大多采用千兆以太网甚至万兆以太网。根据本网的应用需求,采用“主干千兆,百兆交换桌面”的三层设计思路,确定千兆以太网作为网络总体结构,且具有可扩展性、经济性和可管理性等,从而满足上述设计原则,能够快速升级到万兆以太网。

经过调研和比较,CISCO公司的产品解决方案具有较

高的性能价格比,同时考虑到前期网络设备也是CISCO产品,本方案的设备仍继续考虑CISCO公司产品。

具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,在网络骨干上要提供备份链路,提供冗余路由。

1.3　安全性

包括设备安全和信息安全,滁州市烟草公司局域网作　　作者简介:许昌军(1972-),男,安徽全椒人,信息管理师。收稿日期:2009209210

　许昌军:企业局域网的规划与设计

109

2.2　网络拓扑结构设计网络环境是一个全交换网络,而且核心层/汇聚层交换机

CISCO4507R是一款具有三层交换功能的交换机,可以完

目前,最佳管理的园区网通常是按照分级模型来设计

的[1]。本文设计的局域网也是基于分级模型,网络总体拓扑结构如图1所示。其中,核心/汇聚层交换机采用两台

CISCO4507R,接入层交换机全部为CISCO2950T。各接

成各VLAN之间信息的转发。在VLAN地址分配时,每个VLAN规模要适当。本方案中,采用基于端口和IP地址结合方法来划分VLAN,将每个下属部门划分为一个

VLAN,每个VLAN的规模限制在半个C类网段,即子网

入层交换机通过千兆多模光纤或双绞线分别接到两台核心/汇聚层交换机CISCO4507R,实现主干链路的冗余和数据流量的均衡分布。局域网络通过一台防火墙和路由器与Internet和烟草行业网互连。

掩码采用255.255.255.128。这样每个部门最多可容纳

125台计算机,不但可以减小广播风暴发生的机率,提高网

络效率,同时也方便管理。

根据滁州市烟草公司的组织结构和应用情况,整个网络划分为12个VLAN。在VLAN配置时还要进行以下几个步骤:设置VTP管理域、配置干道链路(Trunk)、创建

VLAN、将交换机端口划入相应VLAN和配置三层交

换等[3]。

4　网络安全设计

网络的安全策略在实现时主要针对两种情况,一种是

图1　网络拓扑图

网络系统自身的安全问题,如路由器的安全隐患、匿名

FTP的安全隐患、TELNET的安全隐患等;另一种是给用

在这个方案中,由接入层交换机CISCO2950T来完成

数据包的解析和计算,由两台CISCO4507R交换机来完成同一网段内的数据包转发和不同网段VLAN之间的数据路由,整个网络数据流向合理。通过核心层的链路冗余和设备冗余,可以实现数据的快速转发和全网的链路冗余(生成树SpanningTree),排除了单一故障点,保证了网络应用的安全稳定。

3　网络管理

户提供的各种服务是否安全,主要体现在网络应用上,如用户的数据或信息在网络传递过程中的安全控制[4]。第一种情况可以通过对各种关键系统设备的加以控制来消除。而第二种的网络应用系统的安全需要从多个方面考虑,主要包含访问控制、检查安全漏洞、攻击监控、加密通讯、认证、备份和恢复、多层防御、设立安全监控中心等。

从局域网本身的安全控制,主要从以下几个方面来考虑:划分VLAN。利用中心交换机上高性能路由模块的管理和控制,控制内部各VLAN间的访问;对于重要部门的网段,例如公司领导、财务等重要部门以及数据中心等,其接入交换机可以考虑通过MAC过滤方式对接入PC终端进行限制;通过配置交换机的Access-list访问控制列表,实现进出数据的安全访问。在内部网上,可以通过CISCO

4507上的多层交换模块的访问控制功能对各个网段间的

对于本文的行业局域网,整个网络系统的管理,实行集中与分散的网络管理结构体系是非常重要的。在设计方案中,将使用多种网络设备,如三层交换机、防火墙、路由器等,这样形成了一个比较复杂的网络,故对网络管理需求也非常迫切。考虑到本方案中主要采用的设备是

CISCO产品,因此规划采用CISCOWORKS2000管理软

件来实现设备的管理。通过该网管软件,网络管理员可以通过远程登录和图形化界面的网络管理系统管理整个局域网,包括局域网的VLAN设置、网络设备的监控等

[2]

访问进行安全控制;在内部网与外部网络之间的安全控制主要采用防火墙技术。

。

网络管理是基于IP地址的管理,因此IP地址的合理分配,既是保证网络顺利运行和网络资源有效利用的关键,也对网络的有效管理起着非常重要的作用。合理的地址规划是使连续的地址尽量集中在一个区域内。核心层应类似于一个区域或一个节点,被分配一段连续的地址,接入某一区域的节点IP地址范围应集中在该区域的地址范围附近。由于篇幅有限,不再具体论述IP地址分配。为了便于网络管理,还需要在IP地址规划时,进行VLAN(VirtualLAN,虚拟网络)划分。VLAN是局域网规划中的重要组成部分,也是衡量局域网优劣的重要特征之一。VLAN是在交换环境中、为了克服网络物理分段的限制而建立的逻辑网络段划分技术,它能在物理网络的基础上,根据需要灵活的划分出许多逻辑网络、建立逻辑专用网络,从而摆脱地域限制,并使网络更具安全性和畅通性、更便于管理、带宽更有保证等。VLAN的划分方法有多种,可以按照IP地址来划分、按照端口来划分、按照MAC地址划分或者按照协议来划分。

在滁州市烟草公司局域网中,网络基于TCP/IP协议,

图2　防火墙连接示意图

防火墙系统的性能与防火墙部署和合理配置密切相关。为了保护商业机密,需要避免外部网络用户和内部网络未经授权的用户访问。本方案中,将所有商业数据库服务器置于内部网络,同时将存储资源代码和存储私人信息的主机也放在内网,以确保数据安全。而将那些既允许内部主机又允许外部网络用户可以访问的,并且要保证安全

的服务器或设备放在DMZ区(如图2所示),例如邮件服

110

　许昌军:企业局域网的规划与设计

务器、电子商务系统(前端)、应用网关等。

5　结束语

综上所述,滁州市烟草公司所规划的网络拓扑结构图如图3所示。

通过图3的拓扑结构图,可以看出企业局域网建设是一项系统工程,涉及内容非常广,本文只是针对笔者所在单位的企业网在建设和规划过程中需求分析、网络总体结构、网络管理和网络安全等一些常见的问题进行了阐述,对于网络操作系统部署、存储系统的设计、数据库等方面内容都没有涉及到,这些问题都有待进一步在工作中摸索、研究。

[参　考　文　献]

[1]　谢希仁.计算机网络(第4版)[M].北京:电子工业出版

社,2003.

[2]　萧文龙,林松儒.最新计算机网络技术与应用[M].北京:科

学出版社,2009.

[3]　[美]KarenWebb.组建Cisco多层交换网络[M].李逢天译.

北京:人民邮电出版社,2000.

[4]　张　宏.网络安全基础[M].北京:机械工业出版社,2004.[5]　刘鲁川.CiscoCatalyst系列交换机的使用与组网技术[M].

图3　整体网络拓扑结构图北京:清华大学出版社,2002.

(上接第102页)

ACompoundBinomialRiskModelwithInvestmentandInterference

ZHUHongling

(DepartmentofMathematics,ChuzhouUniversity,Chuzhou239000,China)

Abstract:Withtheinfluenceofinvestmentandrandominterferencebroughttocompoundbinomialrisk

model,anewriskmodelisproposed.Accordingtosomehypotheses,thecharacteristicsofthenewmodelareanalyzed.Thegeneralexpressionandupperestimateoftheultimateruinprobabilityareob2tained.

Keywords:investment;compoundbinomialriskmodel;ultimateruinprobability