摘要：隨著信息技術(shù)以及網(wǎng)絡(luò)技術(shù)的快速發(fā)展，中小型園區(qū)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)對(duì)現(xiàn)代網(wǎng)絡(luò)技術(shù)的要求日益增加。本文從網(wǎng)絡(luò)建設(shè)的需求分析出發(fā)，提出了構(gòu)建現(xiàn)代中小型園區(qū)網(wǎng)的思路，運(yùn)用科學(xué)的 IP 規(guī)劃方案，構(gòu)建具有高安全性、高可靠性、易維護(hù)性和可擴(kuò)展性的園區(qū)網(wǎng)絡(luò)。

關(guān)鍵詞：網(wǎng)絡(luò)；規(guī)劃；設(shè)計(jì)；安全性

目前，中國(guó)正在逐步轉(zhuǎn)變經(jīng)濟(jì)增長(zhǎng)方式，提升產(chǎn)業(yè)結(jié)構(gòu)，各地方城市正努力打造一個(gè)個(gè)中、小型園區(qū)，用于集中發(fā)展經(jīng)濟(jì)產(chǎn)業(yè)，而發(fā)展信息化是實(shí)現(xiàn)一個(gè)園區(qū)創(chuàng)新發(fā)展的必要條件。組建一個(gè)高穩(wěn)定性、強(qiáng)壯性、安全性、可管理性的計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)；提供多業(yè)務(wù)、多協(xié)議、多服務(wù)的計(jì)算機(jī)網(wǎng)絡(luò)體系；實(shí)現(xiàn)工業(yè)生產(chǎn)、科研、行政管理和內(nèi)外通信等目標(biāo)的計(jì)算機(jī)園區(qū)網(wǎng)絡(luò)基礎(chǔ)應(yīng)用；繼而緊隨信息社會(huì)不斷前進(jìn)的步伐，擴(kuò)充建設(shè)擬定遠(yuǎn)程網(wǎng)絡(luò)應(yīng)用、信息資源庫(kù)、園區(qū)內(nèi) IP 電話系統(tǒng)、視頻點(diǎn)播、多媒體服務(wù)、數(shù)字化辦公及園區(qū)“一卡通”應(yīng)用系統(tǒng)等。

一、系統(tǒng)需求分析

1. 配置簡(jiǎn)單方便：為了保證客戶端使用的便利性，將采用便于管理和配置的客戶端以及服務(wù)器系統(tǒng)。

2. 設(shè)備支持廣泛：選擇能夠適應(yīng)更多設(shè)備的操作系統(tǒng)。

3. 可靠性和穩(wěn)定性：在網(wǎng)絡(luò)建設(shè)時(shí)，要求網(wǎng)絡(luò)設(shè)備必須要具有可靠性和穩(wěn)定性，從而防止網(wǎng)絡(luò)系統(tǒng)的癱瘓，并且在網(wǎng)絡(luò)系統(tǒng)的規(guī)劃中要求能夠提供網(wǎng)絡(luò)設(shè)備的冗余和備份功能。

4. 可管理性：系統(tǒng)需要具備較多的管理工具，以便于網(wǎng)絡(luò)管理員對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)管。

5. 更低的成本：網(wǎng)絡(luò)的設(shè)計(jì)必須考慮到經(jīng)濟(jì)成本，必須具備實(shí)用性和經(jīng)濟(jì)性。去選擇高性價(jià)比的設(shè)備。

6. 擴(kuò)展性：一個(gè)易于擴(kuò)展的網(wǎng)絡(luò)系統(tǒng)才能適應(yīng)當(dāng)今的發(fā)展。所有系統(tǒng)的設(shè)計(jì)要求采用主流的操作系統(tǒng)及應(yīng)用軟件以保障該系統(tǒng)可以在未來(lái)幾年內(nèi)適應(yīng)公司的業(yè)務(wù)發(fā)展需求，便于促進(jìn)網(wǎng)絡(luò)的擴(kuò)展和企業(yè)的結(jié)構(gòu)的變化。

7. 安全性：網(wǎng)絡(luò)安全是網(wǎng)絡(luò)使用中至關(guān)重要的一部分，它直接關(guān)系到網(wǎng)絡(luò)的正常使用

二、網(wǎng)絡(luò)解決方案設(shè)計(jì)

1. 接入層認(rèn)證設(shè)計(jì)：接入層認(rèn)證設(shè)計(jì)使用 802.1X 的安全認(rèn)證訪問(wèn)技術(shù)。

2. 接入層的安全特性設(shè)計(jì)：在公共網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間必須要有防火墻 ( 軟件的或者硬件的 )，以確保園區(qū)網(wǎng)絡(luò)的安全性。

3. 接入層管理成熟度設(shè)計(jì)：接入層的交換機(jī)的首要條件是必須具備良好的適應(yīng)能力以面對(duì)惡劣的環(huán)，但對(duì)設(shè)備的功能要求不能過(guò)高，穩(wěn)定運(yùn)行是其主要的性能指標(biāo)。

1. 匯聚層業(yè)務(wù)支持能力設(shè)計(jì)：交換設(shè)備支持二層、三層、四層協(xié)議，支持單播路由協(xié)議，如 RIPv2、OSPFv2、BGP4 等。

2. 匯聚層可靠性設(shè)計(jì)：選擇 3 層設(shè)備，可大大減輕核心層設(shè)備的路由壓力，有效平衡路由流量。

3. 匯聚層擴(kuò)展性設(shè)計(jì)：匯聚層應(yīng)選擇性價(jià)比高的設(shè)備，并且功能和性能不能太低。

1. 核心層性能設(shè)計(jì)：核心層的網(wǎng)絡(luò)交換機(jī)一定要功能性強(qiáng)，本設(shè)計(jì)從接入層到匯聚層到核心層，依次采用智能二層交換機(jī)、千兆智能路由交換機(jī)以及萬(wàn)兆骨干智能路由交換機(jī)。整網(wǎng)具備良好的硬件基礎(chǔ)和性價(jià)比，完全提供高效的網(wǎng)絡(luò)性能，保證未來(lái) 3 － 5 年仍然不落后，保證運(yùn)營(yíng)網(wǎng)絡(luò)即使大數(shù)據(jù)流量情況下的暢通無(wú)阻。

2. 核心層擴(kuò)展性設(shè)計(jì)：禁止采用任何降低核心層交換機(jī)的處理能力，或者增加分組交換延遲時(shí)間的方法，應(yīng)避免增加核心層路由器配置的復(fù)雜性。對(duì)網(wǎng)絡(luò)中每個(gè)目的地具備充分的可達(dá)性以及足夠的路由信息來(lái)進(jìn)行交換。發(fā)往網(wǎng)絡(luò)中任何設(shè)備的數(shù)據(jù)包，核心層的路由器不應(yīng)使用默認(rèn)路徑來(lái)到達(dá)內(nèi)部的目的地；聚合路徑可用于減少核心層路由表大小。

3. 核心層可靠性設(shè)計(jì)：核心層設(shè)備必須使用雙機(jī)冗余熱備份，也可使用負(fù)載均衡功能，來(lái)改善網(wǎng)絡(luò)性能。從接入層到匯聚層再到核心層均采用雙千兆設(shè)計(jì)屬性，更是在增加網(wǎng)絡(luò)帶寬的情況下，增加了網(wǎng)絡(luò)的可靠性。

4.IP 地址規(guī)劃與 VLAN 劃分：在網(wǎng)絡(luò)的建設(shè)中，IP 規(guī)劃及VLAN 的劃分也是至關(guān)重要的一部分。合理的劃分可使網(wǎng)絡(luò)更加高效可靠地運(yùn)行。本文使用 C 類 IPV4 網(wǎng)絡(luò)地址對(duì)園區(qū)進(jìn)行地址劃分，確保其在今后較長(zhǎng)時(shí)間內(nèi)有良好的可擴(kuò)展性。

1. 網(wǎng)絡(luò)的主要安全隱患主要包括：病毒以及木馬進(jìn)行破壞；不法分子利用惡意軟件以及外網(wǎng)的非法入侵；私密文件或郵件被非法竊取、訪問(wèn)以及操作；關(guān)鍵部門訪問(wèn)非法網(wǎng)站和敏感信息泄露；備份數(shù)據(jù)和存儲(chǔ)媒體的丟失，被不法分子利用；來(lái)自網(wǎng)絡(luò)中不明黑客攻擊；

2. 實(shí)現(xiàn)網(wǎng)絡(luò)的安全對(duì)策：

(1) 利用特定的系統(tǒng)安全軟件以保護(hù)用戶以及記錄關(guān)鍵操作。這樣不僅可以避免外來(lái)非法用戶對(duì)網(wǎng)絡(luò)的入侵，也能實(shí)時(shí)對(duì)客戶端用戶使用情況加以掌控，更能讓管理員利用網(wǎng)絡(luò)的改造針對(duì)性的服務(wù)器、客戶端進(jìn)行全方位的控制。因此需要建設(shè)良好的環(huán)境來(lái)保障園區(qū)物理設(shè)備的安全、安裝防病毒服務(wù)器、加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理。

(2) 防火墻部署設(shè)計(jì)：由于園區(qū)網(wǎng)與電信網(wǎng)絡(luò)是直接光纖接入，經(jīng)由防火墻分為 DMZ 區(qū)域和普通區(qū)域。防火墻上做 NAT 轉(zhuǎn)換，分別給客戶機(jī)端的地址段。分為防火墻接客戶區(qū)和 DMZ 內(nèi)主要有各類的服務(wù)器，內(nèi)網(wǎng)主要由 3 層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)

2.層交換機(jī)做接入。

(3) 用戶身份識(shí)別：對(duì)用戶訪問(wèn)的內(nèi)容進(jìn)行控制以及快速的去定位到入侵者或者用戶，提供園區(qū)網(wǎng)追蹤網(wǎng)絡(luò)攻擊者。

(4) 廣播攻擊和病毒抑制：廣播攻擊的抑制是由 ET 系統(tǒng)和交換機(jī)聯(lián)動(dòng)實(shí)現(xiàn)的。

本文對(duì)園區(qū)網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)基本完善，特別是在對(duì)高速骨干網(wǎng)絡(luò)技術(shù)及應(yīng)用等方面展開(kāi)分析和討論，還特別對(duì)網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題做了詳細(xì)的防范設(shè)置。只是網(wǎng)絡(luò)發(fā)展較為迅速，難免會(huì)出現(xiàn)個(gè)別應(yīng)用系統(tǒng)跟不上時(shí)代的步伐，需要逐步進(jìn)行優(yōu)化。

[1]陳桂英.校園網(wǎng)建設(shè)芻議 [J].內(nèi)蒙古民族大學(xué)學(xué)報(bào) ，2008(4):44-45.

[2]馮蕾蕾.廣播發(fā)射臺(tái)公共無(wú)線局域網(wǎng)建設(shè) [J].有線電視技術(shù) ，2013，20(11):92-95.

[3]田建勇.析星型拓?fù)湓O(shè)計(jì)組建校園局域網(wǎng) [J].安順學(xué)院學(xué)報(bào) ，2011，13(1):90-93.

[4]姚青梅.企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)建 [J].煉油與化工 ，2012，23(4):38-40+63-64.

[5]劉屏.跨區(qū)域大型企業(yè)主干網(wǎng)絡(luò)建設(shè)初探 [J].電子商務(wù) ，2013(2):40-41+56.