中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計與實現(xiàn)

1、第9卷%第8期軟件導(dǎo)刊2010年8月Software GuideVol.9No.8Aug. 2010中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計與實現(xiàn)高榕（湖北大學(xué)知行學(xué)院計算機系，湖北武漢430062）摘要：通過對中小型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)現(xiàn)狀的分析，結(jié)合一個典型的企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)的實際案例，闡述了根據(jù)某企業(yè)的需求為該企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)制定的設(shè)計方案和實施方案，包括：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計、設(shè)備選型分析、IP 編址方案設(shè)計、綜合布線設(shè)計等方面。并就中小型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)提出一些有特點的建設(shè)思路。整個方案較好地解決了實用性、先進性、可管理性的平衡問題，實現(xiàn)了整個企業(yè)園區(qū)范圍的聯(lián)網(wǎng)。關(guān)鍵詞：企業(yè)園區(qū)網(wǎng)；中小企業(yè)；VLAN ；交換

2、機中圖分類號：TP393.09文獻標(biāo)識碼：A文章編號：1672-7800（2010）080123030引言近年來，中小企業(yè)的迅猛發(fā)展，為中小企業(yè)的信息化提出可靠性；企業(yè)內(nèi)部網(wǎng)絡(luò)中實現(xiàn)高效的路由選擇；在企業(yè)網(wǎng)絡(luò)出口對數(shù)據(jù)流量進行一定的控制；能夠使用較少的公網(wǎng)IP 接入Internet 。該企業(yè)的具體環(huán)境如下：企業(yè)具有2個辦公地點，且相距較遠(yuǎn)；A 辦公地點具有的部門較多，例如業(yè)務(wù)部、財務(wù)部、綜合部等，為主要的辦公場所，因此這部分的交換網(wǎng)絡(luò)對可用性和可靠性要求較高；B 辦公地點只有較少辦公人員，但是了更高的需求。然而，中小企業(yè)信息化基礎(chǔ)的園區(qū)網(wǎng)建設(shè)水平良莠不齊。從現(xiàn)狀來看，我國中小企業(yè)對于網(wǎng)絡(luò)的建設(shè)

3、其實還僅僅處在起步階段，企業(yè)對網(wǎng)絡(luò)建設(shè)缺乏長遠(yuǎn)規(guī)劃、建設(shè)需求含糊不清等諸多弊端，在很大程度上制約了中小企業(yè)信息化的推進，也同樣限制了中小企業(yè)的發(fā)展。同時由于對企業(yè)的生產(chǎn)、管理、銷售活動缺乏深入的了解，系統(tǒng)集成商很難為企業(yè)提供一體化完整的網(wǎng)絡(luò)建設(shè)方案，這就是導(dǎo)致很多中小企業(yè)的網(wǎng)絡(luò)在建設(shè)好后經(jīng)常出現(xiàn)故障的主要原因之一。鑒于這種情況，筆者通過一個典型的、制造型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)案例及建設(shè)過程的分析，就中小企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)進行一些探討。Internet 的接入點在這里；公司已經(jīng)申請到了若干公網(wǎng)IP 地址，供企業(yè)內(nèi)網(wǎng)接入使用；公司內(nèi)部使用私網(wǎng)地址。1.2總體方案針對用戶提出的需求，逐項進行深入分析，提出一

4、個總體設(shè)計方案。（1）在接入層采用二層交換機，并且要采取一定方式分隔廣播域，即在接入層交換機上劃分VLAN 可以實現(xiàn)對廣播域的分隔，劃分業(yè)務(wù)部VLANl0、財務(wù)部VLAN20、綜合部VLAN30，并分配接口。（2）核心交換機采用高性能的三層交換機，且采用雙核心互為備份的形式，接入層交換機分別通過2條上行鏈路連接到11.1企業(yè)園區(qū)網(wǎng)整體設(shè)計企業(yè)園區(qū)網(wǎng)需求分析某企業(yè)計劃建設(shè)自己的企業(yè)園區(qū)網(wǎng)絡(luò)，希望通過這個新建2臺核心交換機，由三層交換機采用SVI 方式實現(xiàn)VLAN 之間的路由，而交換機之間的鏈路配置為Trunk 鏈路。（3）2臺核心交換機之間也采用雙鏈路連接，并配置端口聚合以提高核心交換機之間的鏈

5、路帶寬。（4）接入交換機的access 端口上采用端口安全的方式實現(xiàn)對允許的連接數(shù)量的控制，以提高網(wǎng)絡(luò)的安全性。（5）為了提高網(wǎng)絡(luò)的可靠性，整個交換網(wǎng)絡(luò)內(nèi)實現(xiàn)RSTP ，以避免環(huán)路可能造成的廣播風(fēng)暴等。（6）2臺三層交換機上配置路由接口，連接A 辦公地點的的網(wǎng)絡(luò)，提供一個安全、可靠、可擴展、高效的網(wǎng)絡(luò)環(huán)境，將兩個辦公地點連接到一起，使企業(yè)內(nèi)能夠方便快捷地實現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)接入Internet 等目標(biāo)，實現(xiàn)公司內(nèi)部的信息保密隔離，以及對于公網(wǎng)的安全訪問。同時為了確保關(guān)鍵系統(tǒng)的正常、安全運行，網(wǎng)絡(luò)必須具備如下的特性：采用先進的網(wǎng)絡(luò)通信技術(shù)完成企業(yè)網(wǎng)絡(luò)的建設(shè)，連接2個相距較遠(yuǎn)的辦公地點；為了提高

6、數(shù)據(jù)的傳輸效率，在整個企業(yè)網(wǎng)絡(luò)內(nèi)控制廣播域的范圍；在整個企業(yè)集團內(nèi)實現(xiàn)資源共享，并保證骨干網(wǎng)絡(luò)的高作者簡介：高榕（1981），男，湖北荊州人，湖北大學(xué)知行學(xué)院助教，研究方向為網(wǎng)絡(luò)互連、信息安全。·124·軟件導(dǎo)刊2010年路由器RA ，RA 和RB 分別配置接口IP 地址，在三層交換機的路由接口和RA ，以及RB 的內(nèi)網(wǎng)接口上啟用RIP 路由協(xié)議，實現(xiàn)全網(wǎng)互通。（7）RA 和RB 的廣域網(wǎng)接口上配置PPP 協(xié)議并提供一定的安全性，并用PAP 認(rèn)證提高安全性。（8）2臺三層交換機上配置缺省路由，指向RA ，RA 上配置缺省路南指向RB ，RB 上配置靜態(tài)路由指向連接到互聯(lián)網(wǎng)的

7、下一跳地址。（9）用NAT （網(wǎng)絡(luò)地址轉(zhuǎn)換）方式，實現(xiàn)企業(yè)內(nèi)網(wǎng)僅僅用少量公網(wǎng)IP 地址到互聯(lián)網(wǎng)的訪問。（10）通過ACL （訪問控制列表）實現(xiàn)在RB 上對內(nèi)網(wǎng)到外網(wǎng)的訪問控制，要求不允許財務(wù)部訪問互聯(lián)網(wǎng)，業(yè)務(wù)部只能訪問WWW 和FTP 服務(wù)，而綜合部只能訪問WWW 服務(wù)，其余訪問不受控制。通過以上分析和選擇，該企業(yè)總體網(wǎng)絡(luò)拓?fù)?，如圖1；設(shè)備清單如表1；企業(yè)規(guī)劃VLAN 和IP 詳細(xì)配置如表2 。圖1企業(yè)總體拓?fù)浣Y(jié)構(gòu)圖表1設(shè)備優(yōu)選清單設(shè)備數(shù)量路由器（R1762模塊化路由器）3臺三層交換機（RG-S3760系列雙協(xié)議棧多層交換機）2臺二層交換機（RG-S2126系列安全堆疊網(wǎng)管型交換機）2臺PC

8、機3臺或3臺以上直連線（國際標(biāo)準(zhǔn)T568B ）5根交叉線（國際標(biāo)準(zhǔn)T568A ）7根V.35線纜1根表2本企業(yè)IP 詳細(xì)配置設(shè)備號端口號或VLAN 號IP 地址F0/24/24SW-AVLAN10/24VLAN20/24VLAN30/24F0/24/24SW-BVLAN10/24VLAN20/24VLAN30/24F1/0/24RA F1//24S1/2/32RB

9、F1/0/24S1/2/32InternetF1/0/24L0/241. 3設(shè)備選型通過對目前市場上設(shè)備的性能分析，結(jié)合企業(yè)實際和對網(wǎng)絡(luò)擴展性的考慮，以及基于高性能、全交換，可擴展性強，系統(tǒng)安全，保密性高，管理簡單，保護投資的選擇原則，選擇了以下3款設(shè)備。（1）銳捷RGS3760系列機架式多層交換機，可以為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了Ipv4Ipv6的多層交換、端到端的服務(wù)質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿足高速、安全、多業(yè)務(wù)的下一代企業(yè)網(wǎng)需求。（2）銳捷RGS2126系列以太網(wǎng)交換機，基于高背

10、板的全線速設(shè)計，提供智能流分類和完善的服務(wù)質(zhì)量（QoS ）以及組播管理特性，使其在企業(yè)級網(wǎng)絡(luò)多種應(yīng)用中，實施靈活多樣的ACL 訪問控制和安全防范；同時，配合靈活的堆疊功能，使得本地高密度端口可隨時被智能集中管理，方便較大規(guī)模網(wǎng)絡(luò)用戶在接入層的數(shù)據(jù)集中管理；另外，針對不同的管理手段，分別提供了SNMP 、Telnet 、Web 和Console 口等多種管理方式。（3）銳捷R1762模塊化路由器，采用模塊化結(jié)構(gòu)設(shè)計，具有1個網(wǎng)絡(luò)語音模塊插槽，支持種類豐富、功能齊全、高密度的網(wǎng)絡(luò)語音模塊，可實現(xiàn)更多的組合應(yīng)用。采用64位的微處理器技術(shù)，CPU 為PowerPC 通訊專用處理器，主頻高達(dá)到266MH

11、z ，固化兩個10100M 快速以太口，2個高速同步口，操作系統(tǒng)使用銳捷網(wǎng)絡(luò)公司擁有自主知識產(chǎn)權(quán)的RGNOS ，同時提供豐富的網(wǎng)絡(luò)安全特性，支持啞終端接入服務(wù)器功能；提供完備的冗余備份解決方案，支持VoIP 特性、IP 組播協(xié)議，支持Ipv4Ipv6，有豐富的QoS 特性，為中小型企業(yè)提供高性價比的三網(wǎng)合一解決方案。2整體實施與配置2.1布線建設(shè)（1）首先通過PC 連接console 線用超級終端在交換機上啟用生成樹，然后再根據(jù)圖1企業(yè)網(wǎng)絡(luò)總體拓?fù)鋱D布線，完成網(wǎng)絡(luò)的基本硬件建設(shè)。（2）RA 、RB 、Internet 為路由器，路由器Internet 用于模擬互聯(lián)網(wǎng)，上面的Loopback 端

12、口模擬互聯(lián)網(wǎng)上主機，用于測試使用；RA 和RB 之間用V . 35線纜連接。（3）SWA和SWB為三層交換機，SWA、SWB和RA 之間用直通線連接，SWA和SWB之間用兩根交叉線連接。（4）SW1和SW2為二層交換機，SW1、SW2和SWA、SWB之間用交叉線連接。（5）PC 機和二層交換機SW1和SW2之間均用直通線連接。2. 2關(guān)鍵配置步驟第一步：在四臺交換機SWA、SWB、SW1、SW2上分別創(chuàng)建VLAN10、20、30，并分別命名為yewubu 、caiwubu 、zonghebu 。第二步：在交換機SW1和SW2上分別將610端口、1115端口、1620端口劃分到VALN10、20

13、、30中。第8期高榕：中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計與實現(xiàn)·125·第三步：把交換機SW1和SW2上連接SWA和SWB的端口設(shè)置為Trunk 模式。第四步：把兩臺三層交換機（SWA、SWB）之間的F01和3結(jié)束語通過本設(shè)計方案在該企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)中的順利實施，本F02端口配置為聚合端口。第五步：在4臺交換機上配置RSTP ，指定SWA和SWB分別為根網(wǎng)橋和備份根網(wǎng)橋。第六步：在接入交換機的access 端口鏈路上實現(xiàn)端口安全，最大連接數(shù)量為4個，當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap 通知。第七步：在三層交換機SWA和SWB上配置SVI 實現(xiàn)方案體現(xiàn)出了經(jīng)濟實用、技術(shù)成熟、擴展

14、性好、便于管理等特性。同時本設(shè)計方案滿足了相關(guān)企業(yè)的需求，受到用戶的一致好評，產(chǎn)生了良好的經(jīng)濟效益和社會效益。參考文獻：123456馮博琴，陳文革計算機網(wǎng)絡(luò)（第二版）M . 北京：高等教育出版社，2006.雷震甲網(wǎng)絡(luò)工程師教程（第二版）M . 北京：清華大學(xué)出版社，VLAN 間的路由。第八步：在三層交換機SWA和SWB的路由端口、RA 和RB 和模擬Internet 的路由器上配置接口IP 地址。第九步：RA 和RB 配置廣域網(wǎng)鏈路，啟用PPP 協(xié)議和配置2006.謝希仁計算機網(wǎng)絡(luò)教程M . 北京：人民郵電出版社，2002. 汪裕才中小型企業(yè)的快速InternetIntranet建設(shè)J . 西

15、南民族大學(xué)學(xué)報（自然版），2003（4）.趙立軍校園網(wǎng)與信息化建設(shè)的探討J . 北京工商大學(xué)學(xué)報自然科學(xué)版，2003（6）.戴永務(wù)，張賢澳中小企業(yè)信息化問題的探討J . 情報科學(xué)，2001（3）.（責(zé)任編輯：卓光）PAP 認(rèn)證。第十步：運用RIPv2路由協(xié)議，在企業(yè)內(nèi)網(wǎng)實現(xiàn)全網(wǎng)路由互通，用靜態(tài)路由實現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問。第十一步：在路由器RB 上做NAT 實現(xiàn)內(nèi)網(wǎng)對外網(wǎng)的訪問，可用的公網(wǎng)IP 地址包括201. 10. 8. 324201. 10. 8. 1024。第十二步：為了控制內(nèi)網(wǎng)對互聯(lián)網(wǎng)的訪問，在路由器RB 上做控制訪問列表。Design And Implementation of

16、Small an Medium-S ize Enterprise NetworkAbstract ：In this paper, analysising the small and medium-size enterprise network construction. It introduces the design and implementa -tion of programs for the construction of the small and medium-size enterprise network, Combining with a typical enterprise

17、network con -struction of actual cases. According to the needs of the enterprise, it includes the network topology design, equipment selection analysis, IP addressing design, cabling design, etc. At the same time this paper made the small and medium enterprise campus network construc -tion features of