《大型企业网的设计与分析.docx》由会员分享,可在线阅读,更多相关《大型企业网的设计与分析.docx(3页珍藏版)》请在三一文库上搜索。
1、大型企业网的设计与分析摘要:企业信息化是现代企业的重要标志,然而如何组建一个高效、安全的企业网络,是许多企业亟待解决的问题。本文在对企业网组网技术进行分析的基础上,以某企业网络建设为背景,提出了搭建大型企业网的技术解决方案,通过构建企业VPN网络实现企业与其分支机构信息的安全共享,以期为大型企业网的组建提供理论及应用参考。关键词:企业网络;解决方案;拓扑结构;虚拟专用网1. 引言 企业网(enterprise network )是指在一个企业内部和一个企业与其相关联的企业之间建立的,为企业的经营活动提供服务的专用网或虚拟专用网。如果一个企业想要更加高速的发展,必须和外界保持紧密联系,企业内部实
2、现资源共享。有了这个认识,许多公司正致力于把它们分开的部门或工作组网络与公司内网络互连,使得公司内的所有计算机用户可以访问任何数据或计算资源。 2. 组网技术简介 (1) 虚拟局域网 虚拟局域网(Virtual Local Area Network,VLAN)是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组间的数据交换技术。VLAN该技术能有效地控制网络流量,防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤,提高网络的安全性。此外,VLAN技术还可以用于控制网络中不同部门、不同站点之间的互相访问,使网络的拓扑结构变得非常灵活 (2)端口
3、汇聚 端口汇聚通常也称为端口聚合,它是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组,该汇聚组内的多条物理链路被视为一条逻辑链路,从而增加了设备间级联的带宽,提高数据的吞吐量。参与汇聚的端口的基本配置必须保持一致。 (3)路由协议OSPF OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol, IGP),用于在单一自治系统(autonomous system,AS)内决策路由。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。OSPF具有支持大型网络、路由收敛快、占用网络资
4、源少等优点,在目前应用的路由协议中占有相当重要的地位。 (4)虚拟专用网 虚拟专用网(Virtual Private Network,VPN)是指通过特殊的加密的通讯协议在不安全的公用网络上建立一个安全、稳定的的私有连接,该技术代替了原来专门从电信申请拉专线或者租用光缆,降低了企业的成本,是网络安全的一大进步。 隧道技术是VPN的基本技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,目前,因特网上较为常见的隧道协议大致有两类:第二层隧道协议和第三层隧道协议。L2TP(Layer 2 Tunneling Protocol,二层隧道协议)目前使用较广泛,它
5、是虚拟私有拨号网(Virtual Private Dial-up Network,VPDN)隧道协议的一种。 L2TP还可根据特定的网络安全要求在L2TP之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。为了切实保证重要信息在Internet的传输过程中的安全,本系统在VPN网关中采用了加密解密技术:IPSEC技术。完整的IPSEC技术加上针对用户创建的隧道技术,实现了用户的安全接入。 3. 系统设计 为了组建一个能够满足公司网络规模不断增长,并且体系结构时有变化的企业网络,为了在保护前期投资的前提下,利用较先进的计算机通信技术和产品,系统设计遵循了高可靠性、可扩充
6、性、开放性及经济性投资的原则。 该企业共分为6个部门:公司高层,财务部,业务部,工程部,人事部以及工厂。为了提高内网的安全性,总部内分为多个网段,不同网段间的访问用路由解决。内网启用OSPF协议,强大的收敛速度保证网速的高速运行。总部通过路由器NAT(Network Address Translation,网络地址转换)功能上网;两台核心层的交换机做链路聚合,进行链路备份,提供链路的可靠性。这两台交换机分别连接这6个部门的汇聚层的交换机。通过购买固定IP,这些部门都能正常上网。WEB服务器对外开放,出差员工或者在家办公的人员,通过L2TP安全的通道访问公司服务器,防止匿名用户访问。图1为系统总
7、的拓扑结构图。 图1 系统总拓扑结构图 由于该公司在其他地方还有分支机构,故总部与分部通过外网互联。总部通过专有IP连入Internet,而分部通过拨号连入Internet。当然,总部和分部需要进行数据交换,并且确保数据的安全性。如果去电信部门申请拉取专线,其代价十分昂贵。这里采用常见的VPN IPSEC 协议,总部和分部间通过IPSEC技术建立安全的通道,进行数据传输,保证数据在公网上传输的安全。 由于IPsec标准模式只支持2端都是固定IP,也就是说总部和分部都必须有固定IP地址。但由于资金问题,分部不能申请固定IP。于是本系统采用了IPsec的野蛮模式解决此问题。图2为总部与分部互联的拓
8、扑结构图。 图2 总部与分部互联拓扑图 4. 总部IP地址规划 该企业存在着下列情况:业务量很大,经常需要与国外进行通信;人事部、工程部的正常上网流量不大;工厂每天要将数据报给财务部;公司高层和财务部访问优先。为了便于网络管理人员今后的网络维护和管理,将公司总部所有网络设备的管理IP和VLAN ID对照依次划分,并对每个VLAN进行描述。 划分后的每个部门管理VLAN ID如下表1,规划后的用户VLAN范围从VLNA 10VLNA 15,每个部门的管理IP地址段为一个C网段的地址,整个范围从192.168.10.2192.168.15.250。详细规划见表1: 表1 总部IP地址规划表 VLA
9、N ID范围 IP地址范围 区域 10 192.168.10.2250/24 公司高层 11 192.168.11.2250/24 财务部 12 192.168.12.2250/24 业务部 13 192.168.13.2250/24 工程部 14 192.168.14.2250/24 人事部 15 192.168.15.2250/24 工厂 便于以后扩展5. 网络设备的互联 总部与分部通过外网互联,运行VPNIPSEC。网络整体结构规划后,设备间互联IP地址以及VLAN的分配见表2: 表2 设备管理vlan相关信息 设备名称Vlan ID设备管理Ip地址/端口IP地址端口/所属vlan描述A
10、1 10.10.10.10/24GigabitEthernet3/0/1/alldestination_to BA1GigabitEthernet3/0/2/alldestination_to BRouterIPSECName属性destination_to 分部1B1 10.10.10.11/24GigabitEthernet3/0/1/alldestination_to AB1GigabitEthernet3/0/2/alldestination_to A分部1IPSECName属性destination_to A6. 结束语 现代企业要有一个高效的工作效率就必须规划建设一个高效而安全的企
11、业网。本文从实际应用的角度出发,较全面的分析了大型企业网设计与规划设计的总体思路,提出了一个切实可行的、高效而又安全的企业网解决方案。本文的创新点在于采用了IPsec的野蛮模式,实现了分支机构在没有申请固定IP的情况下与企业总部的互联。当然,网络技术的发展是永无止境的,我们需要不断的去学习与研究新的知识与技术,并能将其应用到企业网的建设之中。 参考文献: 【1】 杜润珍. VPN在企业网中的应用.山西通信科技,2005,(3):19-21; 【2】 高阳.计算机网络原理与实用技术.北京:清华大学出版社,2009; 【3】 赵姝.浅谈企业网的组建策略.电大理工,2007,(2):21-22; 【4】 Catherine Paquet(著),袁国忠(译).组建可扩展的CISCO互连网络.北京:人民邮电出版社,2007; 【5】 张琦.案例精解企业级网络构建.北京:电子工业出版社,2008; 【6】冼进.网络服务器的搭建、配置与应用.北京:电子工业出版社,2006; 【7】 邱敏. 中小型局域网的组网与管理.现代计算机(专业版),2007,(9):71-73.