張 猛，曲 佳

(長春大學(xué) 電子信息工程學(xué)院，長春 130022)

中型企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計

張 猛，曲 佳

(長春大學(xué) 電子信息工程學(xué)院，長春 130022)

為了實(shí)現(xiàn)對企業(yè)內(nèi)部業(yè)務(wù)的監(jiān)控，企業(yè)各部門要幫助總部實(shí)現(xiàn)不同的地區(qū)管理功能，具有實(shí)時性，實(shí)現(xiàn)網(wǎng)絡(luò)一體化。本設(shè)計方案是中型企業(yè)核心網(wǎng)絡(luò)設(shè)計。采用OSI七層模型進(jìn)行分析，劃分VLAN來區(qū)分不同的部門，使用Eth-trunk來對物理鏈路進(jìn)行捆綁，實(shí)現(xiàn)增強(qiáng)帶寬與可靠性，運(yùn)用OSPF，BGP等協(xié)議來進(jìn)行數(shù)據(jù)的傳遞，形成一個整體的網(wǎng)絡(luò)架構(gòu)。

OSI七層模型；物理鏈路；協(xié)議；架構(gòu)

0 引言

企業(yè)局域網(wǎng)可以實(shí)現(xiàn)企業(yè)內(nèi)部資源的共享、降低企業(yè)經(jīng)營成本、提高企業(yè)的運(yùn)作效率。并且可以由搭建局域網(wǎng)拓展出更多的業(yè)務(wù)，更好地實(shí)現(xiàn)不同部門之間的互訪，也可以更好地提高公司的業(yè)務(wù)能力，減輕公司負(fù)擔(dān)。同時，網(wǎng)絡(luò)的應(yīng)用可以遠(yuǎn)程操控來達(dá)到預(yù)期的目的，免去了長途跋涉，同時也可以監(jiān)督公司人員上班的情況，更好管理企業(yè)內(nèi)部的人員，也可以保持企業(yè)的聯(lián)動性，實(shí)現(xiàn)企業(yè)內(nèi)部的信息能夠快速通知，不用浪費(fèi)人力來通知，因此搭建企業(yè)網(wǎng)絡(luò)是一個企業(yè)必不可少的。搭建企業(yè)網(wǎng)絡(luò)不僅僅需要對網(wǎng)絡(luò)進(jìn)行規(guī)劃，還要進(jìn)行可行性分析，同時也要支持可擴(kuò)展，為公司的網(wǎng)絡(luò)規(guī)模擴(kuò)大打下良好的基礎(chǔ)。企業(yè)網(wǎng)絡(luò)的搭建可以更好地管理公司，節(jié)約時間和成本[1]。

1 中型企業(yè)網(wǎng)絡(luò)需求分析

我們將通過eNSP軟件搭建出總體的拓?fù)鋱D，并且使用在不同的分層結(jié)構(gòu)，采用不同的協(xié)議來實(shí)現(xiàn)相應(yīng)的功能，比如，使用二層數(shù)據(jù)鏈路層使用技術(shù)Eth-trunk技術(shù)來解決帶寬不夠用的問題，也可以采用生成樹STP配置不同的實(shí)例實(shí)現(xiàn)網(wǎng)絡(luò)備份的問題，通過使用三層網(wǎng)絡(luò)層技術(shù)如OSPF協(xié)議可以讓處于同一AS內(nèi)的路由器建立鄰接關(guān)系，來實(shí)現(xiàn)在OSPF內(nèi)實(shí)現(xiàn)LSDB的統(tǒng)一，也可以使用BGP協(xié)議讓不同的AS內(nèi)的主機(jī)實(shí)現(xiàn)通信，使用DHCP可以動態(tài)的學(xué)習(xí)到IP地址， 并且使用MPLS-VPN技術(shù)實(shí)現(xiàn)不同站點(diǎn)的通信的問題[5]。

(1) 企業(yè)網(wǎng)絡(luò)的設(shè)計內(nèi)容

第一步：配置物理層，使用eNSP軟件搭建出完整的拓?fù)鋱D，劃分出分公司與總公司，以及不同的部門。

第二步：配置數(shù)據(jù)鏈路層。首先，將路由器與交換機(jī)的IP地址配置完善，在交換機(jī)上劃分VLAN。使用MSTP技術(shù)通過創(chuàng)建不同的實(shí)例來實(shí)現(xiàn)負(fù)載均衡的作用，同時可以使用PPP協(xié)議認(rèn)證來提高網(wǎng)絡(luò)的安全性，防止其他惡意破壞的用戶攻擊。

第三步：配置網(wǎng)絡(luò)層。首先，在同一個AS內(nèi)使用OSPF協(xié)議讓不同的設(shè)備在同一區(qū)域內(nèi)建立鄰接關(guān)系，并且可以配置區(qū)域密碼認(rèn)證跨AS區(qū)域?qū)崿F(xiàn)通信將使用BGP。

第四步：配置IP業(yè)務(wù)特性。通過使用DHCP來讓DHCP客戶端向DHCP服務(wù)器動態(tài)地請求網(wǎng)絡(luò)配置信息，DHCP服務(wù)器根據(jù)策略返回相應(yīng)的配置信息。

第五步：配置網(wǎng)絡(luò)安全特性。企業(yè)網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信時，需要保障數(shù)據(jù)傳輸?shù)陌踩煽亢途W(wǎng)絡(luò)的性能，通過ACL可以根據(jù)需求來定義過濾的條件以及匹配條件后執(zhí)行的動作。

(2)企業(yè)網(wǎng)絡(luò)設(shè)計的具體實(shí)施方案

大連總部內(nèi)使用交換機(jī)LSW1，LSW2，LSW3，LSW1與LSW2作為核心交換機(jī)來使用，并且在大連總部內(nèi)部使用R1路由器作為連接運(yùn)營商的出口路由器。使用DDN專線來讓運(yùn)營商與大連總部相連，并且使用幀中繼技術(shù)來實(shí)現(xiàn)大連總部與哈爾濱分部直線連接。

在運(yùn)營商網(wǎng)絡(luò)內(nèi)運(yùn)行OSPF協(xié)議來實(shí)現(xiàn)網(wǎng)絡(luò)LSA的交互，并且與大連總部和分部之間使用不同的自治系統(tǒng)AS，在不同AS間使用BGP來進(jìn)行信息的交互。在長春分部使用MPLS-VPN技術(shù)來實(shí)現(xiàn)兩個站點(diǎn)的通信的問題。并且同樣使用DHCP可以動態(tài)地獲取IP地址省去人工配置IP地址的工作量。

2 中型企業(yè)網(wǎng)絡(luò)架構(gòu)的解決方案

(1)物理層的解決方案

通過eNSP軟件模擬搭建出具體的中型企業(yè)網(wǎng)絡(luò)架構(gòu)，在接入層使用百兆以太網(wǎng)交換機(jī)接入主機(jī)，再匯聚到三層交換機(jī)，使用路由器隔離廣播域，可以在此拓?fù)涞幕A(chǔ)上達(dá)到公司的目的，也可以使用鏈路聚合將多條物理鏈路捆綁在一起成為一條邏輯鏈路，因此可以增強(qiáng)帶寬，同時也可以提高可靠性和負(fù)載分擔(dān)。

(2)數(shù)據(jù)鏈路層解決方案

VLAN技術(shù)可以將一個局域網(wǎng)劃分成多個廣播域。使用MUX-VLAN技術(shù)既可以實(shí)現(xiàn)各個部門之間的網(wǎng)絡(luò)互通，又可以與重要的部門隔離，因此使用這樣的方法既可以保證網(wǎng)絡(luò)安全，也可以便于網(wǎng)絡(luò)的管理和優(yōu)化。

在此網(wǎng)絡(luò)中，為了提高網(wǎng)絡(luò)可靠性，交換網(wǎng)絡(luò)使用冗余鏈路。即Eth-trunk技術(shù)，這樣既可以提高網(wǎng)絡(luò)的帶寬又可以實(shí)現(xiàn)網(wǎng)絡(luò)的可靠性。然而，冗余鏈路會給交換網(wǎng)絡(luò)帶來環(huán)路，并導(dǎo)致廣播風(fēng)暴以及MAC地址表震蕩等相關(guān)問題，因此會影響公司之間的通信[2]。因此，我將使用STP生成樹協(xié)議來解決產(chǎn)生的臨時環(huán)路的問題，同時可以為鏈路做備份實(shí)現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性。在鏈路中也將采用PPP協(xié)議，來保障鏈路的安全性，由于PAP協(xié)議中密碼是以明文的方式進(jìn)行傳輸，而CHAP協(xié)議是通過哈希后的密碼進(jìn)行傳輸，這將大大增加網(wǎng)絡(luò)的安全性。

(3)應(yīng)用層解決方案

本網(wǎng)絡(luò)內(nèi)使用OSPF協(xié)議，它在設(shè)計上保證了無路由環(huán)路。由于RIP協(xié)議存在跳數(shù)的限制，因此，可擴(kuò)展性不如OSPF好，OSPF可以支持在一個AS內(nèi)劃分多個區(qū)域，由于業(yè)務(wù)的需求需要更多的路由器，導(dǎo)致網(wǎng)絡(luò)中的流量不斷上漲，而OSPF的這個特點(diǎn)將會很好地解決這個問題，并且，OSPF協(xié)議可以分區(qū)域的特點(diǎn)，對網(wǎng)絡(luò)進(jìn)行一個更合理的管理。因此，OSPF協(xié)議可以與其他的協(xié)議同時使用于地理覆蓋很廣的網(wǎng)絡(luò)，不同的路由器之間可以采取認(rèn)證的模式，這將大大增強(qiáng)網(wǎng)絡(luò)的可靠性，這是RIP協(xié)議所不具備的。

在本網(wǎng)絡(luò)內(nèi)還使用了BGP，由于建立了不同的AS，可以將不同AS建立關(guān)系，在AS之間傳遞路由，來保證數(shù)據(jù)傳遞的可靠性，而BGP協(xié)議使用TCP作為應(yīng)用層協(xié)議，由于其建立過程需要三次建立握手，從而更大的程度上保證不同AS間的可靠性。

(4)企業(yè)網(wǎng)絡(luò)的安全性的解決方案

通過訪問控制列表ACL，可以定義過濾網(wǎng)絡(luò)設(shè)備的規(guī)則，通過ACL可以對不同的網(wǎng)段進(jìn)行過濾，將需要的網(wǎng)段進(jìn)行處理，并且可以讓設(shè)備根據(jù)這些定義的規(guī)則對數(shù)據(jù)包進(jìn)行控制，也可以針對不同類型的報文進(jìn)行不同方式的處理，可以在一定程度上實(shí)現(xiàn)訪問網(wǎng)絡(luò)、限制網(wǎng)絡(luò)流量，并且可以不占用過多的帶寬，從而實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的最大的利用率。AAA是一種提供認(rèn)證、授權(quán)和計費(fèi)的安全技術(shù)。該技術(shù)可以用于驗(yàn)證用戶帳戶是否合法，授權(quán)用戶可以訪問的服務(wù)，并記錄用戶使用網(wǎng)絡(luò)資源的情況。例如，企業(yè)總部需要對服務(wù)器的資源訪問進(jìn)行控制，只有通過認(rèn)證的用戶才能訪問特定的資源，并對用戶使用資源的情況進(jìn)行記錄。

3 中型企業(yè)網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)計

(1)企業(yè)局域網(wǎng)的設(shè)計

總公司內(nèi)為防止核心層出現(xiàn)轉(zhuǎn)發(fā)擁塞，可以使用鏈路聚合的技術(shù)即Eth-trunk來實(shí)現(xiàn)，而以太網(wǎng)聚合會增加帶寬，因此通過使用靜態(tài)LACP的模式，主動端與被動端協(xié)商最大的活躍接口，以最小值的最大活躍數(shù)進(jìn)行協(xié)商，協(xié)商活躍端口號。在某條活動鏈路出現(xiàn)故障時，流量可以切換到其他活動的成員鏈路上，并且也可以使用備份鏈路，一旦其中一條鏈路出現(xiàn)故障，備份鏈路將立即轉(zhuǎn)為活動鏈路，當(dāng)出現(xiàn)故障的鏈路已經(jīng)不存在任何問題時，可以切換回活動鏈路。因此這可以大大提高鏈路的可靠性[4]。

廣播域過大，造成廣播流量過大。因此，VLAN技術(shù)可以隔離廣播域，也可以實(shí)現(xiàn)不同VLAN間相互通信的功能。在企業(yè)中，需要部分的部門內(nèi)的員工實(shí)現(xiàn)通信，而有些部門的員工不可以實(shí)現(xiàn)通信，并且部門與部門之間也不可以實(shí)現(xiàn)通信。

雖然STP生成樹協(xié)議也可以解決鏈路中存在的臨時環(huán)路問題，但是，網(wǎng)絡(luò)拓?fù)涞氖諗克俣忍?。由于一個局域網(wǎng)內(nèi)全部的VLAN都需要同時共享一棵生成樹，因此，VLAN之間無法實(shí)現(xiàn)數(shù)據(jù)流量的負(fù)載分擔(dān)，鏈路在被堵塞后將不載任何流量，這將造成帶寬浪費(fèi)，還有可能存在VLAN之間的報文無法正常的實(shí)現(xiàn)通信。由于MSTP既可以快速收斂，又可以提供給數(shù)據(jù)轉(zhuǎn)發(fā)的多條冗余的鏈路，即可以創(chuàng)建實(shí)例，這將極大地改變網(wǎng)絡(luò)的可擴(kuò)展性。

(2)中型企業(yè)廣域網(wǎng)的設(shè)計

PPP協(xié)議是一種點(diǎn)到點(diǎn)鏈路層協(xié)議，可用于廣域網(wǎng)中，PPP協(xié)議存在三個協(xié)議簇，即網(wǎng)絡(luò)控制協(xié)議簇、網(wǎng)絡(luò)層控制協(xié)議簇、認(rèn)證協(xié)議簇。在建立PPP的建鏈的過程中，如果鏈路層的參數(shù)已經(jīng)協(xié)商不成功，則PPP連接建立不成功，退回到Dead的階段，如果鏈路層參數(shù)協(xié)商成功，則PPP進(jìn)入認(rèn)證階段。在LCP使用魔術(shù)字用于檢測鏈路是否出現(xiàn)環(huán)路等特殊的情況，如果兩端魔術(shù)字相同，則繼續(xù)發(fā)送魔術(shù)字直到不同為止才可以建立鏈路[3]。

幀中繼網(wǎng)絡(luò)通過虛電路來連接網(wǎng)絡(luò)兩端的幀中繼設(shè)備。每一條虛電路用數(shù)據(jù)鏈路連接即DLCI標(biāo)識符來標(biāo)識不同的虛電路，DLCI只對本地的接口和與之直接相連的對端的接口有效，幀中繼的地址的映射是將對方設(shè)備的協(xié)議地址與本端的DLCI進(jìn)行關(guān)聯(lián)，上層協(xié)議可以更方便地根據(jù)對方的協(xié)議地址查找到對方的設(shè)備。

(3)可靠性與安全特性的設(shè)計

雙向轉(zhuǎn)發(fā)檢測BFD的應(yīng)用。BFD的應(yīng)用可以快速檢測到相鄰設(shè)備之間的通信故障，因此，這將減小設(shè)備故障對業(yè)務(wù)的影響，提高網(wǎng)絡(luò)的可靠性。虛擬路由冗余協(xié)議VRRP是一種基本的容錯協(xié)議，它將同一廣播域的一組路由器聯(lián)合組合一臺虛擬的路由設(shè)備，稱之為一個備份組。使用一定的機(jī)制保證當(dāng)主機(jī)的下一跳路由設(shè)備出現(xiàn)故障時，及時將業(yè)務(wù)切換到備份路由設(shè)備，從而保持通訊的連續(xù)性和可靠性。這兩者結(jié)合使用將可以增加VRRP的收斂。

(4)MPLS VPN的應(yīng)用

MPLS VPN是一種三層虛擬專用網(wǎng)絡(luò)。私網(wǎng)交換需要跨越MPLS骨干網(wǎng)絡(luò)。因此，需要進(jìn)行MPLS轉(zhuǎn)發(fā)。MPLS是運(yùn)營商提供的服務(wù)，用戶設(shè)備不知道MPLS，通過MPLS可以與站點(diǎn)之間實(shí)現(xiàn)通信。BGP/MPLS IP VPN使用VPN target來控制VPN路由信息的發(fā)布。每個VPN實(shí)例關(guān)聯(lián)一個或多個VPN Target，RD用來區(qū)分使用相同地址空間的IPV4前綴，并且RD可以讓每一個運(yùn)營商可以獨(dú)立地分配RD值，為了站點(diǎn)之間可以實(shí)現(xiàn)通信，因此需要RD全局唯一。

(5)DHCP的應(yīng)用

為了解決計算機(jī)數(shù)量的劇增且位置不固定，以及計算機(jī)數(shù)量與地理位置的變化會引起IP的地址頻繁變化和IP地址不足的問題，可以在路由器中配置全局的地址池，讓所有的主機(jī)都可以在這個地址池內(nèi)選擇地址來使用，并且DHCP的服務(wù)器可以根據(jù)主機(jī)的MAC地址進(jìn)行綁定，如果地址池中不存在可分配的IP地址，則一次查詢過期的地址、發(fā)生沖突的IP地址。如果找到可以使用的IP地址，則進(jìn)行分配。

4 結(jié)語

為了能夠冗余，我們將采用Eth-trunk技術(shù)來實(shí)現(xiàn)鏈路的捆綁。為防止冗余所帶來的可能出現(xiàn)網(wǎng)絡(luò)臨時環(huán)路的問題，我們將采用生成樹技術(shù)來實(shí)現(xiàn)進(jìn)行實(shí)例的劃分，并且可以讓大連總部中的各個部門通過不同的鏈路去訪問分公司，Eth-trunk技術(shù)還可以實(shí)現(xiàn)備份的目的，當(dāng)其中的一條鏈路發(fā)生故障的時候，可以快速地進(jìn)行備份，不會因鏈路中斷導(dǎo)致故障。在路由層面，我們使用了OSPF與BGP的協(xié)議，由于OSPF協(xié)議可以在一個AS內(nèi)分成不同的區(qū)域，劃分不同的功能來更好地實(shí)現(xiàn)網(wǎng)絡(luò)的劃分，并且使用BGP來劃分總部、分部與運(yùn)營商，在此基礎(chǔ)上，大連總部內(nèi)的人事部與財務(wù)部可以通過不同的路徑來訪問其他分部。

[1] 胡程.中小型貿(mào)易企業(yè)網(wǎng)絡(luò)設(shè)備數(shù)據(jù)獲取系統(tǒng)的設(shè)計與實(shí)現(xiàn)[M].北京：高等教育出版社，2001: 392-432.

[2] 張曉明.IP地址子網(wǎng)劃分原理及應(yīng)用[J].太原大學(xué)學(xué)報,2011,45(1):114-115.

[3] 張琦.大中型企業(yè)網(wǎng)絡(luò)會計信息系統(tǒng)的設(shè)計與實(shí)現(xiàn)[M].北京：電子工業(yè)出版社,2012:60-83.

[4] 程林.輕松明白網(wǎng)絡(luò)IP地址以及子網(wǎng)劃分問題[J].網(wǎng)絡(luò)與信息，2009，23(7)：19.

[5] 于翔海.中小型企業(yè)信息網(wǎng)絡(luò)安全架構(gòu)淺析[D].長春：吉林大學(xué).

責(zé)任編輯：程艷艷

Design of Network Architecture for Middle-sized Enterprises

ZHANG Meng，QU Jia

(College of Electronic Information Engineering, Changchun University, Changchun 130022, China)

In order to implement internal business monitoring, all departments of the enterprise should help the headquarter to realize different regional management functions, which has the real-time property, achieving the integration of network. The scheme is a core network design for middle-sized enterprises. OSI seven layer model is adopted to make an analysis, different departments are divided by VLAN, physical link is bound by Eth-trunk to enhance the bandwidth and the reliability, and data transfer is realized by OSPF and BGP protocols to form a whole framework.

OSI seven layer model； physical link； protocol； framework

2017-07-20

張猛(1972-)，男，吉林雙遼人，副教授，碩士，主要從事控制工程、電子信息處理方面研究。

TN915.85

B

1009-3907(2017)08-0010-03