摘 要：在大數(shù)據(jù)及云計(jì)算時(shí)代，網(wǎng)絡(luò)已經(jīng)成為企業(yè)發(fā)展的重要平臺(tái)。 為了更好地滿(mǎn)足業(yè)務(wù)的開(kāi)展，降低IT系統(tǒng)的復(fù)雜性，提高網(wǎng)絡(luò)性能、靈活性和可管理性，云計(jì)算已經(jīng)進(jìn)入實(shí)質(zhì)的商業(yè)部署時(shí)期。本文基于云平臺(tái)的架構(gòu)下，對(duì)某科技公司的網(wǎng)絡(luò)需求進(jìn)行分析，并給出了完整的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)方案。

關(guān)鍵詞：大數(shù)據(jù)；云計(jì)算；網(wǎng)絡(luò)規(guī)劃

隨著信息時(shí)代的到來(lái)，企業(yè)的生存和競(jìng)爭(zhēng)環(huán)境發(fā)生了根本性的變化，企業(yè)信息化無(wú)論是作為戰(zhàn)略手段還是戰(zhàn)術(shù)手段，都在企業(yè)經(jīng)營(yíng)中發(fā)揮著舉足輕重的作用，利用信息化手段提高企業(yè)競(jìng)爭(zhēng)力、提高企業(yè)運(yùn)作效率已經(jīng)成為必然的發(fā)展趨勢(shì)。而隨著企業(yè)信息化建設(shè)的逐步推進(jìn)，信息系統(tǒng)所面對(duì)的問(wèn)題也越來(lái)越復(fù)雜，雖然投入的資源不斷增加，但仍然無(wú)法應(yīng)對(duì)越來(lái)越多的IT問(wèn)題，云計(jì)算的應(yīng)用模式為這種創(chuàng)新提供了技術(shù)支撐。

1 項(xiàng)目背景分析

新業(yè)科技公司這幾年的業(yè)務(wù)不斷發(fā)展壯大，在國(guó)內(nèi)建立了分部，為了更好地促進(jìn)分部業(yè)務(wù)的發(fā)展以及與總部的交流，公司計(jì)劃建設(shè)小型數(shù)據(jù)中心及云計(jì)算服務(wù)平臺(tái)。通過(guò)智慧園區(qū)網(wǎng)絡(luò)統(tǒng)一規(guī)劃，完成企業(yè)網(wǎng)絡(luò)的規(guī)劃；實(shí)現(xiàn)園區(qū)網(wǎng)絡(luò)的有線互聯(lián)互通，并通過(guò)詳細(xì)地勘設(shè)計(jì)，完成園區(qū)網(wǎng)絡(luò)中無(wú)線網(wǎng)絡(luò)通訊，并在園區(qū)網(wǎng)絡(luò)中實(shí)施網(wǎng)絡(luò)出口規(guī)劃，保障園區(qū)網(wǎng)絡(luò)安全；通過(guò)搭建數(shù)據(jù)中心，實(shí)施云計(jì)算網(wǎng)絡(luò)的部署。

2 云計(jì)算融合網(wǎng)絡(luò)業(yè)務(wù)需求說(shuō)明

新業(yè)科技網(wǎng)絡(luò)公司網(wǎng)絡(luò)項(xiàng)目規(guī)劃與建設(shè)中，需求如下：在本部與分部均需要部署無(wú)線網(wǎng)絡(luò)，滿(mǎn)足移動(dòng)辦公的需求；部署防止環(huán)路、數(shù)據(jù)負(fù)載均衡等相關(guān)策略，確保接入層業(yè)務(wù)安全、可靠；在出口部署認(rèn)證、流控、VPN等相關(guān)策略，確保出口數(shù)據(jù)安全、可靠；總部與分部之間部署冗余和鏈路加密等功能，實(shí)現(xiàn)安全可靠的數(shù)據(jù)傳輸；分部核心交換機(jī)部署虛擬化組網(wǎng)，提高網(wǎng)絡(luò)健壯性；總部交換機(jī)做冗余網(wǎng)關(guān)，為總部用戶(hù)及云計(jì)算平臺(tái)提供高可用的網(wǎng)絡(luò)接入服務(wù)等。

3 云計(jì)算網(wǎng)絡(luò)服務(wù)環(huán)境搭建

規(guī)劃是構(gòu)建云計(jì)算解決方案重要的第一步，在規(guī)劃時(shí)，需要對(duì)當(dāng)前數(shù)據(jù)中心資產(chǎn)和運(yùn)行流程創(chuàng)建完整的文檔，需要描述數(shù)據(jù)中心中現(xiàn)有的設(shè)備之間的關(guān)系并考慮如何部署未來(lái)的新設(shè)備。數(shù)據(jù)中心中包括大量的服務(wù)器和設(shè)備，首先需要收集這些硬件資產(chǎn)的信息，以及這些資產(chǎn)之間的關(guān)系。

（1）云計(jì)算管理平臺(tái)搭建。根據(jù)在服務(wù)器上提供的VMware WorkStation 12虛擬化軟件、Windows2008 R2和Centos7鏡像安裝操作系統(tǒng)，分配硬盤(pán)空間，設(shè)置網(wǎng)絡(luò)橋接模式，按照要求創(chuàng)建云主機(jī)，（2）應(yīng)用部署。Windows2008 R2系統(tǒng)配置。安裝FTP服務(wù)，新建一個(gè)FTP站點(diǎn)。在Windows 2008 R2的DNS服務(wù)管理；配置安裝 Windows Server Backup 服務(wù)；配置安全策略；配置http服務(wù)，建立一個(gè)web站點(diǎn)；配置企業(yè)CA證書(shū)服務(wù)，為http提供證書(shū)實(shí)現(xiàn)WEB站點(diǎn)的https訪問(wèn)。

4 云計(jì)算融合網(wǎng)絡(luò)部署

（1）虛擬局域網(wǎng)及IPv4地址部署。為了減少?gòu)V播，提高網(wǎng)絡(luò)健壯性，需要合理規(guī)劃并配置IP地址和vlan，為隔離廣播風(fēng)暴、病毒攻擊，在交換機(jī)端口上開(kāi)啟廣播風(fēng)暴抑制。（2）MSTP及VRRP部署。在交換機(jī)配置MSTP防止環(huán)路形成廣播風(fēng)暴；要求實(shí)現(xiàn)分流效果。配置VRRP，實(shí)現(xiàn)主機(jī)的網(wǎng)關(guān)冗余。（3）DHCP服務(wù)。在S2、S3上開(kāi)啟DHCP服務(wù)，使得總部的部門(mén)能通過(guò)DHCP的方式獲取IP地址。為了防御動(dòng)態(tài)環(huán)境局域網(wǎng)ARP欺騙，在S1交換機(jī)部署DHCP Snooping+IP Source guard+arp-check功能。（4）路由協(xié)議部署?？偛颗c分部使用OSPF協(xié)議組網(wǎng)。其中S2、S3、S6、R2、R3、AC1、AC2、EG1、EG2使用RIP，R2、R3、R1、VSU使用OSPF；要求網(wǎng)絡(luò)具有安全性、穩(wěn)定性。優(yōu)化OSPF相關(guān)配置，以盡量加快OSPF收斂。（5）廣域網(wǎng)鏈路配置?？偛柯酚善髋c分部路由器間屬于廣域網(wǎng)鏈路，需要使用PPP鏈路協(xié)議進(jìn)行安全保護(hù)。（6）PBR配置與部署?？紤]到分部到總部間有2條廣域網(wǎng)線路，為合理利用帶寬，規(guī)劃從分部去往總部的HTTP數(shù)據(jù)通過(guò)R1-R2的線路轉(zhuǎn)發(fā)，從分部去往總部的SSH數(shù)據(jù)通過(guò)R1-R3的線路轉(zhuǎn)發(fā)。為達(dá)到上述目的，采用PBR來(lái)實(shí)現(xiàn)。

5 移動(dòng)互聯(lián)網(wǎng)絡(luò)組建與優(yōu)化

在“互聯(lián)網(wǎng)+”時(shí)代下，員工移動(dòng)辦公已經(jīng)成為一種趨勢(shì)，公司總部與分部需要部署移動(dòng)互聯(lián)網(wǎng)絡(luò)。公司實(shí)現(xiàn)移動(dòng)辦公管理，不受時(shí)間和空間的限制，提高了工作效率。同時(shí)為了保證無(wú)線用戶(hù)的安全，需要進(jìn)行無(wú)線網(wǎng)絡(luò)安全及性能優(yōu)化配置。

（1）無(wú)線網(wǎng)絡(luò)基礎(chǔ)部署。使用AC1、AC2為總部AP和無(wú)線用戶(hù)的DHCP服務(wù)器，為總部和分部創(chuàng)建 SSID，調(diào)整分部?jī)蓚€(gè)AP的功率。（2）AC熱備部署。AP與AC1、AC2均建立隧道；當(dāng)AP與主用AC失去連接時(shí)能無(wú)縫切換至備用AC并提供服務(wù)。（3）無(wú)線安全部署.無(wú)線用戶(hù)接入無(wú)線網(wǎng)絡(luò)時(shí)需要采用基于WPA2加密方式，為避免無(wú)線網(wǎng)絡(luò)被非法用戶(hù)通過(guò)SSID搜索到，并建立非法連接，分部需要禁用AP廣播SSID，隱藏?zé)o線SSID；為了防御無(wú)線局域網(wǎng)ARP欺騙影響用戶(hù)上網(wǎng)體驗(yàn)，在總部配置無(wú)線環(huán)境ARP欺騙防御功能。（4）無(wú)線性能優(yōu)化。限制分部無(wú)線每用戶(hù)下載和上傳速率；總部無(wú)線用戶(hù)啟用集中轉(zhuǎn)發(fā)模式，分公司無(wú)線用戶(hù)啟用本地轉(zhuǎn)發(fā)模式。

6 園區(qū)網(wǎng)絡(luò)安全部署

公司總部與分部無(wú)線用戶(hù)需要通過(guò)獨(dú)立的互聯(lián)網(wǎng)線路訪問(wèn)外網(wǎng)資源，同時(shí)針對(duì)訪問(wèn)資源進(jìn)行用戶(hù)身份認(rèn)證與信息審計(jì)監(jiān)督。

（1）出口NAT部署。總部出口網(wǎng)關(guān)上配置訪問(wèn)控制列表，設(shè)置員工訪問(wèn)權(quán)限；在總部EG1上配置，使公司總部的SSH服務(wù)可以通過(guò)互聯(lián)網(wǎng)被訪問(wèn)。（2）Web Portal用戶(hù)認(rèn)證部署。在總部網(wǎng)關(guān)EG2上啟用Web Portal認(rèn)證服務(wù)；應(yīng)用流量控制部署，針對(duì)訪問(wèn)外網(wǎng)HTTP流量限速每用戶(hù)流量。（3）用戶(hù)行為策略部署。在EG2設(shè)置總部?jī)?nèi)網(wǎng)用戶(hù)瀏覽器訪問(wèn)權(quán)限；禁止總部?jī)?nèi)網(wǎng)用戶(hù)下載受限的文件；在EG1上開(kāi)啟防ARP及流量攻擊功能，用于過(guò)濾ARP攻擊流量，內(nèi)網(wǎng)ARP泛洪時(shí)，設(shè)備限每個(gè)IP地址的ARP報(bào)文每秒不超過(guò)30個(gè)，避免ARP報(bào)文影響設(shè)備的其他處理。

7 結(jié)語(yǔ)

基于云平臺(tái)的企業(yè)網(wǎng)的建設(shè)，使得企業(yè)內(nèi)部的IT基礎(chǔ)設(shè)施以及各類(lèi)軟件應(yīng)用未來(lái)能夠運(yùn)得更加靈活。云管理平臺(tái)能讓企業(yè)IT基礎(chǔ)架構(gòu)更迅速、更輕松地部署高性能的Windows與Linux 虛擬機(jī)，為服務(wù)器系統(tǒng)合并、軟件開(kāi)發(fā)與測(cè)試、高可用性和負(fù)載均衡打造了一個(gè)可快速采用虛擬化的完美云計(jì)算平臺(tái)，提高企業(yè)對(duì)資源實(shí)際利用率，從而有效降低企業(yè)基礎(chǔ)設(shè)施運(yùn)營(yíng)管理成本，增強(qiáng)企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力。

參考文獻(xiàn)：

[1]孫道遠(yuǎn).工程環(huán)境下網(wǎng)絡(luò)設(shè)備調(diào)試與優(yōu)化的研究[J].寧波職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2018.4.

[2]李鵬.跨區(qū)域企業(yè)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[J].輕工科技，2014.10.

[3]朱永滔.企業(yè)網(wǎng)規(guī)劃設(shè)計(jì)與實(shí)現(xiàn) [J].電腦迷，2015.5.

作者簡(jiǎn)介：翁業(yè)林（1981-），男，江蘇儀征人，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。