徐娟XU Juan

（铜陵有色金属集团股份有限公司，铜陵 244000）

（Tongling Nonferrous Metals Group Co.，Ltd.，Tongling 244000，China）

0 引言

当今世界已经迈入了一个信息无处不在的时代，而企业局域网则是信息化建设的一个基础平台。如何构建高效、安全的计算机网络，已经成为众多企业需要认真思考的问题。

1 系统设计基准

1.1 安全基准 设计系统时要充分考虑网络安全的问题，保证系统安全，防止被人为破坏。包括系统的快速查询以及其故障的排除，传输内容的保密及完整，外部非法侵入的防范，内部人员的越级操作的防止等等。

1.2 可靠性、稳定性基准 系统的设计需要采用稳定可靠的网络架构，才能保证整个网络系统的稳定运行；而系统的建设应采用主流的产品，以此保证系统的高质量和其稳定性；还要采用较成熟的技术提升系统的稳定性，同时设备本身也需要具备很好的容错性及热备份性；要确保每个接口与应用公认的标准兼容，同时保证第二层和第三层接口连接的可靠性。

1.3 先进性基准 局域网的设计要与实际紧密结合，立足于前沿技术，使系统能满足各种数据传输的要求，保证系统具有较长远的生命力，满足将来系统升级的要求。

1.4 易管理性基准 全部网络设备应可通过统一的网络管理工作站实现统一的图形化网络管理。网络管理界面应简单有效，可通过直观有效的网络图形来完成网络状况的分析和故障点的判断。

1.5 可扩充性、兼容性的基准 设计网络方案时，要在满足当前需要的前提下，充分考虑到未来的应用，使网络系统具有良好的可扩充性与兼容性。

1.6 高性能、可移植性基准 网络系统的设计应该充分地发挥软硬件和网络的处理能力，以及最优系统整体性能，最大化网络运行效率等。而可移植性是确保系统在不同平台下正常运行的重要保证。

2 网络架构设计

2.1 核心层 核心层是为点与点之间提供最佳的传输宽带。核心层需要强大的3 层交换功能。其中核心层与汇聚层之间不能存在2 层的生成树环路，只有通过智能的3层路由协议如OSPF 来实现路径的选择以及在核心层上的多条路径的负载均衡。

2.2 汇聚层 汇聚层是为接入层提供基于策略的连接，通过工作组的网段化和网络问题的隔离，一定程度上也能够防止它们影响到核心层。汇聚层实现接入层虚网之间的互联并能够控制接入层对核心层的访问，保证核心层的可靠性和稳定性。除此之外，汇聚层还可以通过两条上行线路连接到核心层，以保证线路的冗余。

2.3 接入层 接入层是用户最终的网路接入点。它具有以共享、独享或交换贷款的方式为用户提供入网的接口。接入层则采用TPLINK 网络交换机，连接各工作站。

接入层通过上行（100Mbps 快速以太网、千兆以太网）连接到汇聚层。虚网中继协议（802.1Q）、快速收敛技术以及每个VLAN 的生成树（Spanning Tree）技术可以实现在冗余线路上的负载均衡和上行线路故障时的快速恢复。接入层一般通过2 层交换技术来实现。

3 企业局域网实施方案

按照“核心层-汇聚层-接入层”的结构组建树型局域网。因考虑到局域网中有财务、人力资源、档案等需要高安全、高保密的资源系统，网络安全和隔离十分重要。因此，对INTERNET 接口处采用硬件防火墙，并结合网管软件，规范用户访问INTERNET 行为；同时核心层和汇聚层采用华为智能弹性架构三层交换机实现VLAN 划分。

3.1 防火墙技术的运用 有关资料表明，目前在互联网上大约有20%以上的用户曾遭受过黑客的困扰。因此，人们越来越注重网络安全。

防火墙能够提升机构内部网络的安全性。防火墙的防御系统决定了外界可以访问内部哪些服务以及外界的哪些人可以访问内部的服务等等。而防火墙也必须允许所授权的数据能够通过，并且防火墙本身也要能够避免渗透。

针对不同资源提供不同安全级别的保护，可以考虑构建一个叫做DMZ 的区域。所谓的DMZ（Demilitarized Zone），也称非防护区或非军事区。DMZ 可以理解为一个不同于外网或内网的特殊网络区域。DMZ 内通常放置一些不含机密信息的公用服务器，如：Web、Mail、FTP 等。这样可以在保证内网机密信息安全性的前提下，使来自外网的访问者也可以访问DMZ 中的服务。

如果局域网内部服务器不向公网提供资源服务，则只需在核心交换机和INTERNET 之间的接入口增加一台网络防火墙即可。

如果局域网内部服务器向公网提供资源服务，如向INETERNET 提供虚拟主机、VPN 远程访问、WEB、FTP、MAIL 等服务，则应将服务器群直接接入防火墙的DMZ 区域内。

3.2 VLAN 规划和划分 单一广播域的缺点将直接影响网络的安全稳定和信息化系统的可靠性，为此，必须要进行VLAN 规划，将整个网络划分成若干个广播域。

对于企业内部的子网，网络站点相对固定，可采用基于端口的虚拟子网的划分，这种方式配置简单，便于维护。将每个楼座作为一个独立的子网，划入一个VLAN 中，通过网络中心的核心交换机来实现VLAN 之间的通信。也可以创建所谓的连接关系组，将其分配给不同职能的部门。这类连接关系组甚至可以相互重迭，并可以根据部门和职务的性质来组织，如，具有高级权限的用户既可以属于自身的私有网络，又可属于其他共享网络。

规划好VLAN 之后，就要确定选择何种VLAN 划分方式。这里的划分是指技术层面上的，表示技术实现类型。在具体应用时，应根据网络的实际状况和所要达到的功能灵活选择。中小型网络一般选用基于端口的VLAN、基于MAC 地址的VLAN 或基于IP 地址的VLAN。

3.3 IRF 智能弹性架构 IRF（Intelligent Resilient Framework），即智能弹性架构。它可以帮助用户设计和实施高可用性、高可扩展性的千兆以太网核心和汇聚主干，对大型局域网有较高的实用性。

运用IRF 技术，可以将多台千兆三层交换机互联在一起，形成分布式交换架构，作为一个逻辑交换实体运行。从管理和配置的角度看，一个分布式交换架构看起来就像一台交换设备。从性能的角度看，分布式交换架构中的每台交换机都能针对其端口上的第二层/第三层流量通信业务制定本地转发决策，它向用户提供一种新型的堆叠技术。

支持IRF 的多台交换设备互相连接起来形成一个“联合设备”，这样无论在管理还是在使用上，就成为了一个整体。这样既可以通过增加设备来扩展端口数量和交换能力，同时也增加了整个“联合设备”的可靠性。

和传统的堆叠技术相比，IRF 是一种更为强大的堆叠技术，除了可以做到扩展端口、统一管理之外，IRF 在高可靠性、冗余备份方面比传统堆叠有了更大的提高。IRF 技术可以容许全局范围内的跨设备链路聚合，提供全面的链路级保护。同时IRF 技术实现了跨设备的三层路由冗余，可以支持多种单播路由协议、组播路由协议的分布式处理，真正实现了多种路由协议的热备份技术。

[1]杨建秋.企业局域网规划与管理[J].宁夏科技，2003（05）.

[2]赵丽芳，王兵.企业局域网网络安全运维方案[J].科技情报开发与经济，2007（36）.

[3]刘巍.企业局域网网速减慢的解决办法[J].科技信息，2009（06）.