中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計與實現(xiàn)

中小型企業(yè)園區(qū)網(wǎng)絡(luò)設(shè)計與實現(xiàn)

0中小企業(yè)網(wǎng)絡(luò)建設(shè)缺乏規(guī)劃和規(guī)劃近年來，中小企業(yè)的快速發(fā)展為中小企業(yè)的計算機科學(xué)提出了更高的需求。然而,中小企業(yè)信息化基礎(chǔ)的園區(qū)網(wǎng)建設(shè)水平良莠不齊。從現(xiàn)狀來看,我國中小企業(yè)對于網(wǎng)絡(luò)的建設(shè)其實還僅僅處在起步階段,企業(yè)對網(wǎng)絡(luò)建設(shè)缺乏長遠規(guī)劃、建設(shè)需求含糊不清等諸多弊端,在很大程度上制約了中小企業(yè)信息化的推進,也同樣限制了中小企業(yè)的發(fā)展。同時由于對企業(yè)的生產(chǎn)、管理、銷售活動缺乏深入的了解,系統(tǒng)集成商很難為企業(yè)提供一體化完整的網(wǎng)絡(luò)建設(shè)方案,這就是導(dǎo)致很多中小企業(yè)的網(wǎng)絡(luò)在建設(shè)好后經(jīng)常出現(xiàn)故障的主要原因之一。鑒于這種情況,筆者通過一個典型的、制造型企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)案例及建設(shè)過程的分析,就中小企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)進行一些探討。1企業(yè)公園網(wǎng)絡(luò)的整體設(shè)計1.1企業(yè)網(wǎng)絡(luò)的特性某企業(yè)計劃建設(shè)自己的企業(yè)園區(qū)網(wǎng)絡(luò),希望通過這個新建的網(wǎng)絡(luò),提供一個安全、可靠、可擴展、高效的網(wǎng)絡(luò)環(huán)境,將兩個辦公地點連接到一起,使企業(yè)內(nèi)能夠方便快捷地實現(xiàn)網(wǎng)絡(luò)資源共享、全網(wǎng)接入Internet等目標,實現(xiàn)公司內(nèi)部的信息保密隔離,以及對于公網(wǎng)的安全訪問。同時為了確保關(guān)鍵系統(tǒng)的正常、安全運行,網(wǎng)絡(luò)必須具備如下的特性:(1)采用先進的網(wǎng)絡(luò)通信技術(shù)完成企業(yè)網(wǎng)絡(luò)的建設(shè),連接2個相距較遠的辦公地點;(2)為了提高數(shù)據(jù)的傳輸效率,在整個企業(yè)網(wǎng)絡(luò)內(nèi)控制廣播域的范圍;(3)在整個企業(yè)集團內(nèi)實現(xiàn)資源共享,并保證骨干網(wǎng)絡(luò)的高可靠性;(4)企業(yè)內(nèi)部網(wǎng)絡(luò)中實現(xiàn)高效的路由選擇;(5)在企業(yè)網(wǎng)絡(luò)出口對數(shù)據(jù)流量進行一定的控制;(6)能夠使用較少的公網(wǎng)IP接入Internet。該企業(yè)的具體環(huán)境如下:(1)企業(yè)具有2個辦公地點,且相距較遠;(2)A辦公地點具有的部門較多,例如業(yè)務(wù)部、財務(wù)部、綜合部等,為主要的辦公場所,因此這部分的交換網(wǎng)絡(luò)對可用性和可靠性要求較高;(3)B辦公地點只有較少辦公人員,但是Internet的接入點在這里;(4)公司已經(jīng)申請到了若干公網(wǎng)IP地址,供企業(yè)內(nèi)網(wǎng)接入使用;(5)公司內(nèi)部使用私網(wǎng)地址。1.2對3家第三方設(shè)備的對接針對用戶提出的需求,逐項進行深入分析,提出一個總體設(shè)計方案。(1)在接入層采用二層交換機,并且要采取一定方式分隔廣播域,即在接入層交換機上劃分VLAN可以實現(xiàn)對廣播域的分隔,劃分業(yè)務(wù)部VLANl0、財務(wù)部VLAN20、綜合部VLAN30,并分配接口。(2)核心交換機采用高性能的三層交換機,且采用雙核心互為備份的形式,接入層交換機分別通過2條上行鏈路連接到2臺核心交換機,由三層交換機采用SVI方式實現(xiàn)VLAN之間的路由,而交換機之間的鏈路配置為Trunk鏈路。(3)2臺核心交換機之間也采用雙鏈路連接,并配置端口聚合以提高核心交換機之間的鏈路帶寬。(4)接入交換機的access端口上采用端口安全的方式實現(xiàn)對允許的連接數(shù)量的控制,以提高網(wǎng)絡(luò)的安全性。(5)為了提高網(wǎng)絡(luò)的可靠性,整個交換網(wǎng)絡(luò)內(nèi)實現(xiàn)RSTP,以避免環(huán)路可能造成的廣播風(fēng)暴等。(6)2臺三層交換機上配置路由接口,連接A辦公地點的路由器RA,RA和RB分別配置接口IP地址,在三層交換機的路由接口和RA,以及RB的內(nèi)網(wǎng)接口上啟用RIP路由協(xié)議,實現(xiàn)全網(wǎng)互通。(7)RA和RB的廣域網(wǎng)接口上配置PPP協(xié)議并提供一定的安全性,并用PAP認證提高安全性。(8)2臺三層交換機上配置缺省路由,指向RA,RA上配置缺省路南指向RB,RB上配置靜態(tài)路由指向連接到互聯(lián)網(wǎng)的下一跳地址。(9)用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)方式,實現(xiàn)企業(yè)內(nèi)網(wǎng)僅僅用少量公網(wǎng)IP地址到互聯(lián)網(wǎng)的訪問。(10)通過ACL(訪問控制列表)實現(xiàn)在RB上對內(nèi)網(wǎng)到外網(wǎng)的訪問控制,要求不允許財務(wù)部訪問互聯(lián)網(wǎng),業(yè)務(wù)部只能訪問WWW和FTP服務(wù),而綜合部只能訪問WWW服務(wù),其余訪問不受控制。通過以上分析和選擇,該企業(yè)總體網(wǎng)絡(luò)拓撲,如圖1;設(shè)備清單如表1;企業(yè)規(guī)劃VLAN和IP詳細配置如表2。1.3遵循低板、模塊化、智能流的特性,通過對目前市場上設(shè)備的性能分析,結(jié)合企業(yè)實際和對網(wǎng)絡(luò)擴展性的考慮,以及基于高性能、全交換,可擴展性強,系統(tǒng)安全,保密性高,管理簡單,保護投資的選擇原則,選擇了以下3款設(shè)備。(1)銳捷RG-S3760系列機架式多層交換機,可以為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了Ipv4/Ipv6的多層交換、端到端的服務(wù)質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管,最大化滿足高速、安全、多業(yè)務(wù)的下一代企業(yè)網(wǎng)需求。(2)銳捷RG-S2126系列以太網(wǎng)交換機,基于高背板的全線速設(shè)計,提供智能流分類和完善的服務(wù)質(zhì)量(QoS)以及組播管理特性,使其在企業(yè)級網(wǎng)絡(luò)多種應(yīng)用中,實施靈活多樣的ACL訪問控制和安全防范;同時,配合靈活的堆疊功能,使得本地高密度端口可隨時被智能集中管理,方便較大規(guī)模網(wǎng)絡(luò)用戶在接入層的數(shù)據(jù)集中管理;另外,針對不同的管理手段,分別提供了SNMP、Telnet、Web和Console口等多種管理方式。(3)銳捷R1762模塊化路由器,采用模塊化結(jié)構(gòu)設(shè)計,具有1個網(wǎng)絡(luò)/語音模塊插槽,支持種類豐富、功能齊全、高密度的網(wǎng)絡(luò)/語音模塊,可實現(xiàn)更多的組合應(yīng)用。采用64位的微處理器技術(shù),CPU為PowerPC通訊專用處理器,主頻高達到266MHz,固化兩個10/100M快速以太口,2個高速同步口,操作系統(tǒng)使用銳捷網(wǎng)絡(luò)公司擁有自主知識產(chǎn)權(quán)的RGNOS,同時提供豐富的網(wǎng)絡(luò)安全特性,支持啞終端接入服務(wù)器功能;提供完備的冗余備份解決方案,支持VoIP特性、IP組播協(xié)議,支持Ipv4/Ipv6,有豐富的QoS特性,為中小型企業(yè)提供高性價比的三網(wǎng)合一解決方案。2全球?qū)嵤┖头峙?.1、rb、通信網(wǎng)(1)首先通過PC連接console線用超級終端在交換機上啟用生成樹,然后再根據(jù)圖1企業(yè)網(wǎng)絡(luò)總體拓撲圖布線,完成網(wǎng)絡(luò)的基本硬件建設(shè)。(2)RA、RB、Internet為路由器,路由器Internet用于模擬互聯(lián)網(wǎng),上面的Loopback端口模擬互聯(lián)網(wǎng)上主機,用于測試使用;RA和RB之間用V.35線纜連接。(3)SW-A和SW-B為三層交換機,SW-A、SW-B和RA之間用直通線連接,SW-A和SW-B之間用兩根交叉線連接。(4)SW-1和SW-2為二層交換機,SW-1、SW-2和SW-A、SW-B之間用交叉線連接。(5)PC機和二層交換機SW-1和SW-2之間均用直通線連接。2.2實現(xiàn)方案和步驟第一步:在四臺交換機SW-A、SW-B、SW-1、SW-2上分別創(chuàng)建VLAN10、20、30,并分別命名為yewubu、caiwubu、zonghebu。第二步:在交換機SW-1和SW-2上分別將6-10端口、11-15端口、16-20端口劃分到VALN10、20、30中。第三步:把交換機SW-1和SW-2上連接SW-A和SW-B的端口設(shè)置為Trunk模式。第四步:把兩臺三層交換機(SW-A、SW-B)之間的F0/1和F0/2端口配置為聚合端口。第五步:在4臺交換機上配置RSTP,指定SW-A和SW-B分別為根網(wǎng)橋和備份根網(wǎng)橋。第六步:在接入交換機的access端口鏈路上實現(xiàn)端口安全,最大連接數(shù)量為4個,當違例產(chǎn)生時,將關(guān)閉端口并發(fā)送一個Trap通知。第七步:在三層交換機SW-A和SW-B上配置SVI實現(xiàn)VLAN間的路由。第八步:在三層交換機SW-A和SW-B的路由端口、RA和RB和模擬Internet的路由器上配置接口IP地址。第九步:RA和RB配置廣域網(wǎng)鏈路,啟用PPP協(xié)議和配置PAP認證。第十步:運用RIPv2路由協(xié)議,在企業(yè)內(nèi)網(wǎng)實現(xiàn)全網(wǎng)路由互通,用靜態(tài)路由實現(xiàn)企業(yè)內(nèi)網(wǎng)到互聯(lián)網(wǎng)的訪問。第十一步:在路由器RB上做NAT實現(xiàn)