中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

1、第9卷%第8期軟件導(dǎo)刊2010年8月Software Guide中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)高榕（湖北大學(xué)知行學(xué)院計(jì)算機(jī)系，湖北武漢430062）摘要：通過對(duì)中小型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)現(xiàn)狀的分析，結(jié)合一個(gè)典型的企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)的實(shí)際案例，闡述了根據(jù)某企業(yè)的需求為該企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)制定的設(shè)計(jì)方案和實(shí)施方案，包括：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、設(shè)備選型分析、IP 編址方案設(shè)計(jì)、綜合布線設(shè)計(jì)等方面。并就中小型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)提出一些有特點(diǎn)的建設(shè)思路。整個(gè)方案較好地解決了實(shí)用性、先進(jìn)性、可管理性的平衡問題，實(shí)現(xiàn)了整個(gè)企業(yè)園區(qū)范圍的聯(lián)網(wǎng)。關(guān)鍵詞：企業(yè)園區(qū)網(wǎng)；中小企業(yè)；VLAN ；交換機(jī)中圖分類號(hào)：TP393.09文獻(xiàn)標(biāo)

2、識(shí)碼：A文章編號(hào)：1672-7800（2010）080123030引言近年來，中小企業(yè)的迅猛發(fā)展，為中小企業(yè)的信息化提出可靠性；企業(yè)內(nèi)部網(wǎng)絡(luò)中實(shí)現(xiàn)高效的路由選擇；在企業(yè)網(wǎng)絡(luò)出口對(duì)數(shù)據(jù)流量進(jìn)行一定的控制；能夠使用較少的公網(wǎng)IP 接入Internet 。該企業(yè)的具體環(huán)境如下：企業(yè)具有2個(gè)辦公地點(diǎn)，且相距較遠(yuǎn)；A 辦公地點(diǎn)具有的部門較多，例如業(yè)務(wù)部、財(cái)務(wù)部、綜合部等，為主要的辦公場(chǎng)所，因此這部分的交換網(wǎng)絡(luò)對(duì)可用性和可靠性要求較高；B 辦公地點(diǎn)只有較少辦公人員，但是了更高的需求。然而，中小企業(yè)信息化基礎(chǔ)的園區(qū)網(wǎng)建設(shè)水平良莠不齊。從現(xiàn)狀來看，我國中小企業(yè)對(duì)于網(wǎng)絡(luò)的建設(shè)其實(shí)還僅僅處在起步階段，企業(yè)對(duì)網(wǎng)絡(luò)建

3、設(shè)缺乏長遠(yuǎn)規(guī)劃、建設(shè)需求含糊不清等諸多弊端，在很大程度上制約了中小企業(yè)信息化的推進(jìn)，也同樣限制了中小企業(yè)的發(fā)展。同時(shí)由于對(duì)企業(yè)的生產(chǎn)、管理、銷售活動(dòng)缺乏深入的了解，系統(tǒng)集成商很難為企業(yè)提供一體化完整的網(wǎng)絡(luò)建設(shè)方案，這就是導(dǎo)致很多中小企業(yè)的網(wǎng)絡(luò)在建設(shè)好后經(jīng)常出現(xiàn)故障的主要原因之一。鑒于這種情況，筆者通過一個(gè)典型的、制造型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)案例及建設(shè)過程的分析，就中小企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)進(jìn)行一些探討。Internet 的接入點(diǎn)在這里；公司已經(jīng)申請(qǐng)到了若干公網(wǎng)IP 地址，供企業(yè)內(nèi)網(wǎng)接入使用；公司內(nèi)部使用私網(wǎng)地址。1.2總體方案針對(duì)用戶提出的需求，逐項(xiàng)進(jìn)行深入分析，提出一個(gè)總體設(shè)計(jì)方案。（1）在接入層采用二

4、層交換機(jī)，并且要采取一定方式分隔廣播域，即在接入層交換機(jī)上劃分VLAN 可以實(shí)現(xiàn)對(duì)廣播域的分隔，劃分業(yè)務(wù)部VLANl0、財(cái)務(wù)部VLAN20、綜合部VLAN30，并分配接口。（2）核心交換機(jī)采用高性能的三層交換機(jī)，且采用雙核心互為備份的形式，接入層交換機(jī)分別通過2條上行鏈路連接到11.1企業(yè)園區(qū)網(wǎng)整體設(shè)計(jì)企業(yè)園區(qū)網(wǎng)需求分析某企業(yè)計(jì)劃建設(shè)自己的企業(yè)園區(qū)網(wǎng)絡(luò)，希望通過這個(gè)新建2臺(tái)核心交換機(jī)，由三層交換機(jī)采用SVI 方式實(shí)現(xiàn)VLAN 之間的路由，而交換機(jī)之間的鏈路配置為Trunk 鏈路。（3）2臺(tái)核心交換機(jī)之間也采用雙鏈路連接，并配置端口聚合以提高核心交換機(jī)之間的鏈路帶寬。（4）接入交換機(jī)的acces

5、s 端口上采用端口安全的方式實(shí)現(xiàn)對(duì)允許的連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性。（5）為了提高網(wǎng)絡(luò)的可靠性，整個(gè)交換網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)RSTP ，以避免環(huán)路可能造成的廣播風(fēng)暴等。（6）2臺(tái)三層交換機(jī)上配置路由接口，連接A 辦公地點(diǎn)的的網(wǎng)絡(luò)，提供一個(gè)安全、可靠、可擴(kuò)展、高效的網(wǎng)絡(luò)環(huán)境，將兩個(gè)辦公地點(diǎn)連接到一起，使企業(yè)內(nèi)能夠方便快捷地實(shí)現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)接入Internet 等目標(biāo)，實(shí)現(xiàn)公司內(nèi)部的信息保密隔離，以及對(duì)于公網(wǎng)的安全訪問。同時(shí)為了確保關(guān)鍵系統(tǒng)的正常、安全運(yùn)行，網(wǎng)絡(luò)必須具備如下的特性：采用先進(jìn)的網(wǎng)絡(luò)通信技術(shù)完成企業(yè)網(wǎng)絡(luò)的建設(shè)，連接2個(gè)相距較遠(yuǎn)的辦公地點(diǎn)；為了提高數(shù)據(jù)的傳輸效率，在整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)控制

6、廣播域的范圍；在整個(gè)企業(yè)集團(tuán)內(nèi)實(shí)現(xiàn)資源共享，并保證骨干網(wǎng)絡(luò)的高作者簡介：高榕（1981），男，湖北荊州人，湖北大學(xué)知行學(xué)院助教，研究方向?yàn)榫W(wǎng)絡(luò)互連、信息安全。·124·軟件導(dǎo)刊2010年路由器RA ，RA 和RB 分別配置接口IP 地址，在三層交換機(jī)的路由接口和RA ，以及RB 的內(nèi)網(wǎng)接口上啟用RIP 路由協(xié)議，實(shí)現(xiàn)全網(wǎng)互通。（7）RA 和RB 的廣域網(wǎng)接口上配置PPP 協(xié)議并提供一定的安全性，并用PAP 認(rèn)證提高安全性。（8）2臺(tái)三層交換機(jī)上配置缺省路由，指向RA ，RA 上配置缺省路南指向RB ，RB 上配置靜態(tài)路由指向連接到互聯(lián)網(wǎng)的下一跳地址。（9）用NAT （網(wǎng)絡(luò)地

7、址轉(zhuǎn)換）方式，實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)僅僅用少量公網(wǎng)IP 地址到互聯(lián)網(wǎng)的訪問。（10）通過ACL （訪問控制列表）實(shí)現(xiàn)在RB 上對(duì)內(nèi)網(wǎng)到外網(wǎng)的訪問控制，要求不允許財(cái)務(wù)部訪問互聯(lián)網(wǎng)，業(yè)務(wù)部只能訪問WWW 和FTP 服務(wù)，而綜合部只能訪問WWW 服務(wù)，其余訪問不受控制。通過以上分析和選擇，該企業(yè)總體網(wǎng)絡(luò)拓?fù)洌鐖D1；設(shè)備清單如表1；企業(yè)規(guī)劃VLAN 和IP 詳細(xì)配置如表2 。圖1企業(yè)總體拓?fù)浣Y(jié)構(gòu)圖表1設(shè)備優(yōu)選清單設(shè)備數(shù)量路由器（R1762模塊化路由器）3臺(tái)三層交換機(jī)（RG-S3760系列雙協(xié)議棧多層交換機(jī)）2臺(tái)二層交換機(jī)（RG-S2126系列安全堆疊網(wǎng)管型交換機(jī)）2臺(tái)PC 機(jī)3臺(tái)或3臺(tái)以上直連線（國際標(biāo)準(zhǔn)T5

8、68B ）5根交叉線（國際標(biāo)準(zhǔn)T568A ）7根V.35線纜1根表2本企業(yè)IP 詳細(xì)配置設(shè)備號(hào)端口號(hào)或VLAN 號(hào)1. 3設(shè)備選型通過對(duì)目前市場(chǎng)上設(shè)備的性能分析，結(jié)合企業(yè)實(shí)際和對(duì)網(wǎng)絡(luò)擴(kuò)展性的考慮，以及基于高性能、全交換，可擴(kuò)展性強(qiáng)，系統(tǒng)安全，保密性高，管理簡單，保護(hù)投資的選擇原則，選擇了以下3款設(shè)備。（1）銳捷RGS3760系列機(jī)架式多層交換機(jī)，可以為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了Ipv4Ipv6的多層交換、端到端的服務(wù)質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿足高速、安全、多業(yè)務(wù)的下一代企業(yè)網(wǎng)需求。（2）銳捷RGS2126系列以太網(wǎng)交換機(jī)，基于高背板的全線速設(shè)計(jì)，提供智能流分類和完

9、善的服務(wù)質(zhì)量（QoS ）以及組播管理特性，使其在企業(yè)級(jí)網(wǎng)絡(luò)多種應(yīng)用中，實(shí)施靈活多樣的ACL 訪問控制和安全防范；同時(shí)，配合靈活的堆疊功能，使得本地高密度端口可隨時(shí)被智能集中管理，方便較大規(guī)模網(wǎng)絡(luò)用戶在接入層的數(shù)據(jù)集中管理；另外，針對(duì)不同的管理手段，分別提供了SNMP 、Telnet 、Web 和Console 口等多種管理方式。（3）銳捷R1762模塊化路由器，采用模塊化結(jié)構(gòu)設(shè)計(jì)，具有1個(gè)網(wǎng)絡(luò)語音模塊插槽，支持種類豐富、功能齊全、高密度的網(wǎng)絡(luò)語音模塊，可實(shí)現(xiàn)更多的組合應(yīng)用。采用64位的微處理器技術(shù)，CPU 為PowerPC 通訊專用處理器，主頻高達(dá)到266MHz ，固化兩個(gè)10100M 快速以

10、太口，2個(gè)高速同步口，操作系統(tǒng)使用銳捷網(wǎng)絡(luò)公司擁有自主知識(shí)產(chǎn)權(quán)的RGNOS ，同時(shí)提供豐富的網(wǎng)絡(luò)安全特性，支持啞終端接入服務(wù)器功能；提供完備的冗余備份解決方案，支持VoIP 特性、IP 組播協(xié)議，支持Ipv4Ipv6，有豐富的QoS 特性，為中小型企業(yè)提供高性價(jià)比的三網(wǎng)合一解決方案。2整體實(shí)施與配置2.1布線建設(shè)（1）首先通過PC 連接console 線用超級(jí)終端在交換機(jī)上啟用生成樹，然后再根據(jù)圖1企業(yè)網(wǎng)絡(luò)總體拓?fù)鋱D布線，完成網(wǎng)絡(luò)的基本硬件建設(shè)。（2）RA 、RB 、Internet 為路由器，路由器Internet 用于模擬互聯(lián)網(wǎng)，上面的Loopback 端口模擬互聯(lián)網(wǎng)上主機(jī)，用于測(cè)試使用；

11、RA 和RB 之間用V . 35線纜連接。（3）SWA和SWB為三層交換機(jī)，SWA、SWB和RA 之間用直通線連接，SWA和SWB之間用兩根交叉線連接。（4）SW1和SW2為二層交換機(jī)，SW1、SW2和SWA、SWB之間用交叉線連接。（5）PC 機(jī)和二層交換機(jī)SW1和SW2之間均用直通線連接。2. 2關(guān)鍵配置步驟第一步：在四臺(tái)交換機(jī)SWA、SWB、SW1、SW2上分別創(chuàng)建VLAN10、20、30，并分別命名為yewubu 、caiwubu 、zonghebu 。第二步：在交換機(jī)SW1和SW2上分別將610端口、1115端口、1620端口劃分到VALN10、20、30中。第8期高榕：中小型企業(yè)園

12、區(qū)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)·125·第三步：把交換機(jī)SW1和SW2上連接SWA和SWB的端口設(shè)置為Trunk 模式。第四步：把兩臺(tái)三層交換機(jī)（SWA、SWB）之間的F01和3結(jié)束語通過本設(shè)計(jì)方案在該企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)中的順利實(shí)施，本F02端口配置為聚合端口。第五步：在4臺(tái)交換機(jī)上配置RSTP ，指定SWA和SWB分別為根網(wǎng)橋和備份根網(wǎng)橋。第六步：在接入交換機(jī)的access 端口鏈路上實(shí)現(xiàn)端口安全，最大連接數(shù)量為4個(gè)，當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap 通知。第七步：在三層交換機(jī)SWA和SWB上配置SVI 實(shí)現(xiàn)方案體現(xiàn)出了經(jīng)濟(jì)實(shí)用、技術(shù)成熟、擴(kuò)展性好、便于管理等特性。同時(shí)本設(shè)計(jì)方

13、案滿足了相關(guān)企業(yè)的需求，受到用戶的一致好評(píng)，產(chǎn)生了良好的經(jīng)濟(jì)效益和社會(huì)效益。參考文獻(xiàn)：123456馮博琴，陳文革計(jì)算機(jī)網(wǎng)絡(luò)（第二版）M . 北京：高等教育出版社，2006.雷震甲網(wǎng)絡(luò)工程師教程（第二版）M . 北京：清華大學(xué)出版社，VLAN 間的路由。第八步：在三層交換機(jī)SWA和SWB的路由端口、RA 和RB 和模擬Internet 的路由器上配置接口IP 地址。第九步：RA 和RB 配置廣域網(wǎng)鏈路，啟用PPP 協(xié)議和配置2006.謝希仁計(jì)算機(jī)網(wǎng)絡(luò)教程M . 北京：人民郵電出版社，2002. 汪裕才中小型企業(yè)的快速InternetIntranet建設(shè)J . 西南民族大學(xué)學(xué)報(bào)（自然版），2003

14、（4）.趙立軍校園網(wǎng)與信息化建設(shè)的探討J . 北京工商大學(xué)學(xué)報(bào)自然科學(xué)版，2003（6）.戴永務(wù)，張賢澳中小企業(yè)信息化問題的探討J . 情報(bào)科學(xué)，2001（3）.（責(zé)任編輯：卓光）PAP 認(rèn)證。第十步：運(yùn)用RIPv2路由協(xié)議，在企業(yè)內(nèi)網(wǎng)實(shí)現(xiàn)全網(wǎng)路由互通，用靜態(tài)路由實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問。第十一步：在路由器RB 上做NAT 實(shí)現(xiàn)內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問，可用的公網(wǎng)IP 地址包括201. 10. 8. 324201. 10. 8. 1024。第十二步：為了控制內(nèi)網(wǎng)對(duì)互聯(lián)網(wǎng)的訪問，在路由器RB 上做控制訪問列表。Design And Implementation of Small an Medium-S

15、 ize Enterprise NetworkAbstract ：In this paper, analysising the small and medium-size enterprise network construction. It introduces the design and implementa -tion of programs for the construction of the small and medium-size enterprise network, Combining with a typical enterprise network con -stru

16、ction of actual cases. According to the needs of the enterprise, it includes the network topology design, equipment selection analysis, IP addressing design, cabling design, etc. At the same time this paper made the small and medium enterprise campus network construc -tion features of the constructio