摘要：隨著信息技術以及網絡技術的快速發展，中小型園區網的設計與實現對現代網絡技術的要求日益增加。本文從網絡建設的需求分析出發，提出了構建現代中小型園區網的思路，運用科學的 IP 規劃方案，構建具有高安全性、高可靠性、易維護性和可擴展性的園區網絡。

關鍵詞：網絡；規劃；設計；安全性

目前，中國正在逐步轉變經濟增長方式，提升產業結構，各地方城市正努力打造一個個中、小型園區，用于集中發展經濟產業，而發展信息化是實現一個園區創新發展的必要條件。組建一個高穩定性、強壯性、安全性、可管理性的計算機網絡平臺；提供多業務、多協議、多服務的計算機網絡體系；實現工業生產、科研、行政管理和內外通信等目標的計算機園區網絡基礎應用；繼而緊隨信息社會不斷前進的步伐，擴充建設擬定遠程網絡應用、信息資源庫、園區內 IP 電話系統、視頻點播、多媒體服務、數字化辦公及園區“一卡通”應用系統等。

一、系統需求分析

1. 配置簡單方便：為了保證客戶端使用的便利性，將采用便于管理和配置的客戶端以及服務器系統。

2. 設備支持廣泛：選擇能夠適應更多設備的操作系統。

3. 可靠性和穩定性：在網絡建設時，要求網絡設備必須要具有可靠性和穩定性，從而防止網絡系統的癱瘓，并且在網絡系統的規劃中要求能夠提供網絡設備的冗余和備份功能。

4. 可管理性：系統需要具備較多的管理工具，以便于網絡管理員對整個網絡進行監管。

5. 更低的成本：網絡的設計必須考慮到經濟成本，必須具備實用性和經濟性。去選擇高性價比的設備。

6. 擴展性：一個易于擴展的網絡系統才能適應當今的發展。所有系統的設計要求采用主流的操作系統及應用軟件以保障該系統可以在未來幾年內適應公司的業務發展需求，便于促進網絡的擴展和企業的結構的變化。

7. 安全性：網絡安全是網絡使用中至關重要的一部分，它直接關系到網絡的正常使用

二、網絡解決方案設計

1. 接入層認證設計：接入層認證設計使用 802.1X 的安全認證訪問技術。

2. 接入層的安全特性設計：在公共網絡和內部網絡之間必須要有防火墻 ( 軟件的或者硬件的 )，以確保園區網絡的安全性。

3. 接入層管理成熟度設計：接入層的交換機的首要條件是必須具備良好的適應能力以面對惡劣的環，但對設備的功能要求不能過高，穩定運行是其主要的性能指標。

1. 匯聚層業務支持能力設計：交換設備支持二層、三層、四層協議，支持單播路由協議，如 RIPv2、OSPFv2、BGP4 等。

2. 匯聚層可靠性設計：選擇 3 層設備，可大大減輕核心層設備的路由壓力，有效平衡路由流量。

3. 匯聚層擴展性設計：匯聚層應選擇性價比高的設備，并且功能和性能不能太低。

1. 核心層性能設計：核心層的網絡交換機一定要功能性強，本設計從接入層到匯聚層到核心層，依次采用智能二層交換機、千兆智能路由交換機以及萬兆骨干智能路由交換機。整網具備良好的硬件基礎和性價比，完全提供高效的網絡性能，保證未來 3 － 5 年仍然不落后，保證運營網絡即使大數據流量情況下的暢通無阻。

2. 核心層擴展性設計：禁止采用任何降低核心層交換機的處理能力，或者增加分組交換延遲時間的方法，應避免增加核心層路由器配置的復雜性。對網絡中每個目的地具備充分的可達性以及足夠的路由信息來進行交換。發往網絡中任何設備的數據包，核心層的路由器不應使用默認路徑來到達內部的目的地；聚合路徑可用于減少核心層路由表大小。

3. 核心層可靠性設計：核心層設備必須使用雙機冗余熱備份，也可使用負載均衡功能，來改善網絡性能。從接入層到匯聚層再到核心層均采用雙千兆設計屬性，更是在增加網絡帶寬的情況下，增加了網絡的可靠性。

4.IP 地址規劃與 VLAN 劃分：在網絡的建設中，IP 規劃及VLAN 的劃分也是至關重要的一部分。合理的劃分可使網絡更加高效可靠地運行。本文使用 C 類 IPV4 網絡地址對園區進行地址劃分，確保其在今后較長時間內有良好的可擴展性。

1. 網絡的主要安全隱患主要包括：病毒以及木馬進行破壞；不法分子利用惡意軟件以及外網的非法入侵；私密文件或郵件被非法竊取、訪問以及操作；關鍵部門訪問非法網站和敏感信息泄露；備份數據和存儲媒體的丟失，被不法分子利用；來自網絡中不明黑客攻擊；

2. 實現網絡的安全對策：

(1) 利用特定的系統安全軟件以保護用戶以及記錄關鍵操作。這樣不僅可以避免外來非法用戶對網絡的入侵，也能實時對客戶端用戶使用情況加以掌控，更能讓管理員利用網絡的改造針對性的服務器、客戶端進行全方位的控制。因此需要建設良好的環境來保障園區物理設備的安全、安裝防病毒服務器、加強企業對網絡資源的管理。

(2) 防火墻部署設計：由于園區網與電信網絡是直接光纖接入，經由防火墻分為 DMZ 區域和普通區域。防火墻上做 NAT 轉換，分別給客戶機端的地址段。分為防火墻接客戶區和 DMZ 內主要有各類的服務器，內網主要由 3 層交換機作為核心交換機，下面有兩臺

2.層交換機做接入。

(3) 用戶身份識別：對用戶訪問的內容進行控制以及快速的去定位到入侵者或者用戶，提供園區網追蹤網絡攻擊者。

(4) 廣播攻擊和病毒抑制：廣播攻擊的抑制是由 ET 系統和交換機聯動實現的。

本文對園區網絡的規劃與設計基本完善，特別是在對高速骨干網絡技術及應用等方面展開分析和討論，還特別對網絡系統的安全問題做了詳細的防范設置。只是網絡發展較為迅速，難免會出現個別應用系統跟不上時代的步伐，需要逐步進行優化。

[1]陳桂英.校園網建設芻議 [J].內蒙古民族大學學報 ，2008(4):44-45.

[2]馮蕾蕾.廣播發射臺公共無線局域網建設 [J].有線電視技術 ，2013，20(11):92-95.

[3]田建勇.析星型拓撲設計組建校園局域網 [J].安順學院學報 ，2011，13(1):90-93.

[4]姚青梅.企業內部網絡的構建 [J].煉油與化工 ，2012，23(4):38-40+63-64.

[5]劉屏.跨區域大型企業主干網絡建設初探 [J].電子商務 ，2013(2):40-41+56.