【正文】 關(guān)鍵詞 ： 交換技術(shù) ； 路由技術(shù) ； 廣域網(wǎng)技術(shù) ； 防火墻 Implementation of Small and Mediumsized Enterprise Network Abstract: This project is to Guangdong a information technology pany to design a highly reliable enterprise work. Enable secure access to wide area works, publish enterprise information, munication, munication with the outside world, the field of scientific research which they can use Inter remote access to corporate resources and the internal exchange visits and other mon business tasks and pany includes guangdong Corporation, shenzhen dialect Division and dongguang Division in three parts, guangdong Corporation Management Centre for the entire work. As the head office and branch office physically farther apart, in a wide area work use routing technology implemented on the basis of the entire local area work interoperability, in the use of the access layer switch technology for terminal access. In addition to these technologies, in the border deployment of firewall, deployed in the threelayer switch access control list (ACL) for internal access control, deployment of routing data distribution on the core router. Key words: Switching Technology。 Wan Technology。社會進步要求企業(yè)必須改變現(xiàn)有的落后管理體制、管理方法和手段，建立現(xiàn)代企業(yè)的新形象，建立本企業(yè)的自動化管理信息系統(tǒng)（即公司局域網(wǎng)），以提高管理水平，增加經(jīng)濟效應(yīng)。 因此，有必要建設(shè)好中小型企業(yè)建設(shè)信息網(wǎng)絡(luò)，以達到最 大限度地實現(xiàn)信息資源共享，并使用電子信息的傳遞取代紙面文件、材料的傳送，逐步實現(xiàn)“無紙辦公，改變傳統(tǒng)的工作模式，進一步提高工作效率。 廣東某信息技術(shù)公司網(wǎng)絡(luò)分析 廣東 某 信息技術(shù)公司是一家一級系統(tǒng)集成商，總部在廣東。隨著公司經(jīng)營的規(guī)模和范圍不斷擴大，在不久前在深圳和東莞分別成立了分部，為了方便企業(yè)分部和企業(yè)總部之間的交流，節(jié)省辦公的開銷，提高公司的管理水平，廣東 某 信息技術(shù)公司迫切需要建設(shè)一個高可靠性的局域網(wǎng)來適應(yīng)網(wǎng)絡(luò)經(jīng)濟的飛速發(fā)展。 3 工程集成方法 本工程實現(xiàn)的是一個解決子公司與母公司連為一體的中小型企業(yè)網(wǎng)絡(luò)項目，該項目從實際需求出發(fā)，擴展傳統(tǒng)的信息交換方式，借助計算機網(wǎng)絡(luò)技術(shù)來實現(xiàn)企業(yè)內(nèi)部大量信息的安全、高效的傳輸和共享。本項目還將通過在企業(yè)網(wǎng)邊界部署邊界網(wǎng)關(guān)實現(xiàn)內(nèi)部部分員工的上網(wǎng)需求，并在相應(yīng)設(shè)備上設(shè)置 ACL 來實現(xiàn)不同部門的數(shù)據(jù)流的管理，以此保障部門間的數(shù)據(jù)安全。 為了總部和分部高速的互聯(lián)，分部在總部和分部部署了加速設(shè)備。 為了 幫助企業(yè)建立以用戶識別、應(yīng)用識別、終端識別為基礎(chǔ)的授權(quán)、流控、審計的管理方案，并通過技術(shù)手段進一步強化組織的上網(wǎng)安全及上網(wǎng)速度。 隨著信息技術(shù)的快速發(fā)展，極大地推動了網(wǎng)絡(luò)應(yīng)用的普及，新型的組網(wǎng)技術(shù)也層出不窮。本項目基本能實現(xiàn)企業(yè)的組網(wǎng)需求，但受限于技術(shù)的有限，難免有些不足的部分，今后自己一定學(xué)習(xí)新的技術(shù)，使這個工程更加完善。 (2) 總部和分部所有員工上網(wǎng)需要密碼認證，并且對每個人的上網(wǎng)行為進行審計。 (4) 為了提高工作效率，實行對每個人進行流量控制，公司高層不做流量控制。 (6) 對移動辦公人員不同的人員的接入訪問不同權(quán)限的資源。 (8) 分部訪問總部的服務(wù)器這些關(guān)鍵業(yè)務(wù)續(xù)進行加速。最后要保證所選的設(shè)備具有升級的空間，采用模塊化的設(shè)備，能夠根據(jù)企業(yè)發(fā)展的新需求，選購相應(yīng)的模塊，以滿足用戶新功能的添加。 (2) FTP 服務(wù)需求，作為企業(yè)信息資源共享的方式，便于管理層發(fā)布資料以供部門下載學(xué)習(xí) 。 (4)DNS 服務(wù)需求，作為企業(yè)辦公業(yè)務(wù)終端訪問 Inter， 獲取域名解析的途徑。 企業(yè)設(shè)計要求分析 (1)實用性 該工程不僅能夠為計算機網(wǎng)絡(luò)系統(tǒng)服務(wù)，而且也應(yīng)當能夠很容易加入樓宇控制部分，實現(xiàn)智能化大樓。 (3)擴展性 本工程系統(tǒng)遵循工程設(shè)計規(guī)范，采用三層設(shè)計方法，具備很好的擴展能力。 可行性分析 對于該企業(yè)的實現(xiàn)，由于沒有真實設(shè)備的條件，我采用思科所開發(fā)的模擬器去配 5 置實現(xiàn)。 (1)采用一臺 Cisco 2900 路由器去模擬深圳分部和廣東總部的 Inter 對接。 (3)采用 Cisco 3750 模擬三層交換機來實現(xiàn)核心層的模擬。 (5)采用模擬器自帶的虛擬 PC 進行網(wǎng)絡(luò)測試。 3 企業(yè)網(wǎng)絡(luò)總體設(shè)計 總體設(shè)計是企業(yè)網(wǎng)建設(shè)的總體思路，是建好該企業(yè)網(wǎng)的核心任務(wù)，對于這個企業(yè)網(wǎng)絡(luò)總體的設(shè)計，我首先與公司的高層之間進行交流，得知公司對其所實現(xiàn)的企業(yè)網(wǎng)絡(luò)的總體需求，同時對于公司業(yè)務(wù)的劃分和公司發(fā)展的趨勢，在布置信息點時能全面的考慮其拓展性，再結(jié)合公司結(jié)構(gòu)的特點，采用相應(yīng)設(shè)備和技術(shù)的選型。 第二，我們采用主流 的 OSPF[3]協(xié)議作為三層設(shè)備學(xué)習(xí)路由的方式，該協(xié)議具有開放性，被廣大廠商支持，將總部核心設(shè)備劃分到骨干區(qū)域（區(qū)域 0），將長葛分部劃分到標準區(qū)域（區(qū)域 10）。 第三，實現(xiàn)鏈路冗余后，我們要采用 STP 機制來避免廣播風(fēng)暴的產(chǎn)生，通過在總部核心層和匯聚層設(shè)備上開啟 STP，通過其協(xié)議的動態(tài)收斂來實現(xiàn)鏈路邏輯的阻塞，避免環(huán)路的產(chǎn)生。 第五，采用 ACL[4]來實現(xiàn)業(yè)務(wù)之間的三層隔離，同時根據(jù)業(yè)務(wù)需求，做出相應(yīng)的配置管理。 6 第七，對于企業(yè)功能需求的分析，我們在企業(yè)總部搭建服務(wù)器來實現(xiàn)相應(yīng)功能的實現(xiàn)。 第九，采用深信服的 NGAF 下一代防火墻，對內(nèi)網(wǎng)的服務(wù)器從應(yīng)用層進行保護，同時，對內(nèi)網(wǎng)的 PC 進行保護。 企業(yè)設(shè)計基本原則 企業(yè)網(wǎng)絡(luò)設(shè)計一般應(yīng)遵守下列原則： 實用性和經(jīng)濟性：企業(yè)網(wǎng)設(shè)計時應(yīng)能滿足企業(yè)目前對網(wǎng)絡(luò)應(yīng)用的各種要求，充分實現(xiàn)企業(yè)內(nèi)部管理、辦理業(yè)務(wù)、辦公和科研的網(wǎng)絡(luò)化、信息化要求，使網(wǎng)絡(luò)的整體性得到充分發(fā)揮。 高可靠性和穩(wěn)定性：一個實用的系統(tǒng)同時必須是可靠的，本設(shè)計通過合理而先進的網(wǎng)絡(luò)系統(tǒng)設(shè)計及軟、硬件的優(yōu)化選型，以保證系統(tǒng)的可靠性與容錯性。 企業(yè)網(wǎng)絡(luò)拓撲圖 廣東 某 信息技術(shù) 公司總部在廣州，在東莞和深圳 分別設(shè)有分公司。 網(wǎng)絡(luò)拓撲分析 該企業(yè)網(wǎng)絡(luò)總部從結(jié)構(gòu)上分為三層 :核心層、匯聚層和接入層。還需提供即插即用的特性，同時應(yīng)該把接入層設(shè)計的非常易于使用和維護。匯聚層主要由三層交換機組成，提供對網(wǎng)絡(luò)流量模式控制、對用戶的訪問控制，對用戶的網(wǎng)絡(luò)管理以及路由協(xié)議網(wǎng)絡(luò)通告控制。 核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負載均衡或負載分擔(dān)特性的設(shè)備實現(xiàn)負荷均衡。 圖 1 網(wǎng)絡(luò)設(shè)計 總圖 The general plan of work design 整體設(shè)備規(guī)劃 實現(xiàn)本企業(yè)網(wǎng)的核心功能共應(yīng)用到路由器、交換機，網(wǎng)絡(luò)設(shè)備的選擇應(yīng)該是網(wǎng)絡(luò)構(gòu)件中最為重要的一塊，一般來說企業(yè)網(wǎng)絡(luò)的搭建中設(shè)備應(yīng)該采用招投標的方式來進行優(yōu)化選擇。企業(yè)網(wǎng)的設(shè)備選型原則如下： （ 1）代表目前網(wǎng)絡(luò)系統(tǒng)設(shè)備的先進水平； （ 2）具備較強的安全性； （ 3）具備優(yōu)良的 RAS 性能 :可靠性、可用性、可維護性； （ 4）具備優(yōu)良的可擴充性和升級能力； 本網(wǎng)絡(luò)設(shè)計采用的網(wǎng)絡(luò)產(chǎn)品來自世界最大的網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商 Cisco 公司以及國內(nèi)非常有名的前沿網(wǎng)絡(luò)供應(yīng)商深信服。 (2)提供快速以太網(wǎng)（每秒鐘傳輸 100MB）或千兆位以太網(wǎng)（每秒鐘傳輸 1000MB）選擇，視您的價格和性能需要而定。 (4)可選以太網(wǎng)供電 (PoweroverEther) 功能，最大限度地降低所需的網(wǎng)絡(luò)設(shè)備電氣布線需求 ， 設(shè)備如圖 32 所示： Cisco Catalyst Express 500 圖 2 思科 500 Catalyst Express 500 Cisco Catalyst 3750 Catalyst 3750 系列的核心是思科 StackWise 技術(shù)，它是一種創(chuàng)新性的堆疊架構(gòu)，提供了一個 32Gbps 的堆疊互聯(lián)，連接多達 9 臺交換機，并將它們整合為一個統(tǒng)一的、邏輯的、針對融合而優(yōu)化的設(shè)備，從而讓客戶可以更加放心地部署語音、視頻和數(shù)據(jù)應(yīng)用。 設(shè)備如圖 33 所示： 圖 3 思科 3750 Cisco Catalyst 3750 Cisco 2900 路由器 Cisco 2900 系列以現(xiàn)有 Cisco 2800 系列集成多業(yè)務(wù)路由器的一流產(chǎn)品為基礎(chǔ)，提供四種平臺（圖 1）： Cisco 290 291 2921 和 2951 集成多業(yè)務(wù)路由器。此外，這些平臺還支持業(yè)界最廣泛的有線和無線連接選項，如 T1/E T3/E3。 SANGFOR SG M5000 深信服科技推出中國第一款專業(yè)上網(wǎng)優(yōu)化管理產(chǎn)品 SG（ Inter Access Management），得益于深信服提供的專業(yè)上網(wǎng)行為管理技術(shù)和業(yè)界性能最強的處理平臺，已有超過 16000 多家 大 客戶選擇了深信服上網(wǎng)行為管理產(chǎn)品 。到目前為止，深信服的 SG 產(chǎn)品已擁有十余項發(fā)明專利，并以大量創(chuàng)新技術(shù)和應(yīng)用始終引領(lǐng)著中國上網(wǎng)行為管理技術(shù)的發(fā)展方向。 圖 5 深信服上網(wǎng)優(yōu)化 5000 Sangfor SG 5000 SANGFOR NGAF NGAF(Next Generation Application Firewall)獨創(chuàng)的應(yīng)用可視化引擎，可以根據(jù)應(yīng)用的行為和特征實現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議，擺脫了過去只能通過 IP 地址來控制的尷尬，即使加密過的數(shù)據(jù)流也能應(yīng)付自如。據(jù)國際權(quán)威調(diào)查機構(gòu) FROST amp。 贏得的 12 客戶的一致好評。 圖 8 深信服廣域網(wǎng)加速 Sangfor WOC SANGFOR AD 深信服 AD(Application Delivery)系列應(yīng)用交付設(shè)備，使您的業(yè)務(wù)發(fā)布更加快速、穩(wěn)定，大幅度提升應(yīng)用的訪問體驗。同時，深信服 AD 系列應(yīng)用交付產(chǎn)品通過商業(yè)分析（ BI）功能幫助用戶進行商業(yè)決策和網(wǎng)絡(luò)優(yōu)化，實現(xiàn)業(yè)務(wù)的智能交付。 商業(yè)智能分析功能（ BI）通過提供資源訪問者的訪問時間分布規(guī)律、地域分布 特 13 性以及對各類應(yīng)用的訪問偏好，幫助在此基礎(chǔ)之上對網(wǎng)絡(luò)、物流、業(yè)務(wù)流程、產(chǎn)品設(shè)計、商業(yè)策略等方面進行調(diào)整和優(yōu)化 ， 通過網(wǎng)絡(luò)技術(shù)促進業(yè)務(wù)發(fā)展。好的地址規(guī)劃同科學(xué)的分層網(wǎng)絡(luò)拓撲設(shè)計相輔相承，共同組成整體的網(wǎng)絡(luò)設(shè)計解決方案。 IP 地址規(guī)劃原則： (1)簡單性：地址的分配應(yīng)該簡單，避免在主干上采用復(fù)雜的掩碼方式； (2)連續(xù)性：為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)及 CIDR[5](Classless InterDomain Routing)技術(shù)縮減路由表的表項，提高路由器的處理效率； (3)可擴充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機數(shù)量增加時仍然能夠 保持地址的連續(xù)性； (4)靈活性：地址分配不應(yīng)該基于某個網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化； (5)可管理性：地址的分配應(yīng)該有層次，某個局部的變動不要影響上層、全局。 （ 5 位） 業(yè)務(wù) 位（ 3 位）子網(wǎng)位 主機 地區(qū)代碼表，如表 2 所示： 表 2 地區(qū)代碼表 Table 2 Area code table 地址位代碼 地址 IP 地址段 備注 14 地址位代碼 地址 IP 地址段 備注 0 骨干 ： 1