园区网络设计

摘要：本文主要论述园区网的规划设计，园区网主要指大学校园网以及企业内部的网络，其主要特征是路由结构由一个单位来管理，本文讲述了园区网络规划设计中的网络结构设计、网络协议选取、网络安全规划三方面

关键词：园区网络；网络结构；安全规划

中图分类号：TP393 文献标识码：A 文章编号：1007-9599 (2011) 22-0000-02

Campus Network Design

Ji Jiaguan

(Guangzhou Baiyun International Airport Computer Information Management Center,Guangzhou 510470,China)

Abstract:This paper discusses the planning and design of campus network,campus network and the main campus of the University refers to the internal network,its main feature is the routing structure consists of a unit to manage,this paper describes the campus network planning and design of the network design,network protocol selection,network security planning in three areas.

Keywords:Campus network;Network structure;Security planning

一、网络结构设计

在完成网络的需求分析后，网络规划设计人员对网络系统逻辑结构设计的首要步骤是选取合适的网络结构，网络结构的概念不同于网络拓扑结构的概念，网络拓扑结构是指用数据链路互连各种设备的物理布局，就是用什么方式把网络中的设备终端连接起来。它的结构主要有总线结构、星型结构、环型结构等，在网络拓扑结构中，只有点和线，不会出现任何的设备和计算机节点，而网络结构主要是描述连接设备和计算机节点的连接关系。

园区网络不同于传统意义上的局域网，园区网不仅具有二层数据交换功能，同时具备三层路由甚至多层通信的功能。常见的局域网结构有下面几种。

（一）单核心园区网结构

单核心园区网结构一般适合于小型和对可用性要求不高的网络系统，其优点是网络系统的建设成本低，单核心园区网结构由一台三层交换设备构建局域网的核心，通过多台二层交换机为终端计算机提供接入节点。

（二）双核心园区网结构

双核心结构由两台具有三层或多层的交换设备构建园区网的核心，为终端计算机提供接入节点的接入层交换机和两台核心交换设备间都有链路连接，由于采用双核心的结构，可以提高用户对网络的访问速度，也避免了网络核心的单点失效，提高了网络的可用性，双核心园区网结构适合于小型和对可用性要求较高的网络系统。

（三）层次化园区网结构

层次化网络结构适合大型的，对性能和可用性要求较高的网络系统，层次结构根据功能要求的不同将网络分为了核心层、汇聚层、接入层。

在中大型的园区网建设中，为保证园区网的高性能，高可靠信，园区网一般采用双星型的网络结构，采用千兆光纤网和三层交换技术进行组网，采用层次化的方法来设计。根据层次化设计的原理，园区网可分为核心层、汇聚层、接入层三层。

核心层：核心层的功能主要是实现骨干网络之间的优化传输，完成园区网络内数据流的高速转发。园区网络的核心节点一般采用两台高性能路由交换机，实现双机冗余热备份及负载均衡，两台核心交换机之间采用多条千兆链路实现互联，同时通过两条以上千兆链路实现对园区内各个分布楼层汇聚层交换机的联接。

汇聚层：汇聚层作为园区网络平台的二级骨干部分，一方面要求和核心层保持高速可靠连接，另一方面汇聚大量的接入层设备，是部署安全控制和路由策略的重要位置，汇聚层交换机具有三层交换、访问控制、Qos等功能。

接入层：在接入层，通过配线间的工作组交换机为用户提供了接入网络的能力，将端口分布到用户桌面，并通过高速率链路实现和汇聚层交换机互联。接入层交换机为终端提供网络接入端口，接入层交换式一般具有VLAN划分、数据过滤，支持堆叠等功能。

二、网络协议选取

计算机网络的互联不仅是网络硬件的连接，还需要一组通信的规则来支持实体间的信息交换，就象人与人之间用某种语言一样，在网络上的各台计算机之间也有一种语言，这就是网络协议，网络协议是为计算机网络进行数据交换而建立的规则、标准或约定的集合。

下面介绍一些园区网系统使用较多的网络协议。

（一）TCP/IP

TCP/IP协议叫做传输控制/网际协议，又叫网络通讯协议，这个协议是Internet国际互联网络的基础。是当今应用最广泛、最流行的协议组，它包括TCP、IP、UDP、ICMP等多种功能的协议，TCP/IP是Intenet使用的网络协议，正因为Internet的广泛使用，使得TCP/IP成了园区网建设事实上的标准。

TCP/IP协议规定，网络上的每台主机都要有一个唯一的IP地址，所以在园区网的设计中要考虑到IP地址的规划，IP地址按使用范围的不同，可以分为私用地址和公有地址。私有地址（Private address）属于非注册地址，专门为组织机构内部使用，私有地址分为五类，分别是A类（10.0.0.0C10.255.255.255）、B类（172.16.0.0―172.31.255.255）、C类（192.168.0.0―192.168.255.255），私有地址只能在园区网内部使用，园区网内网用户要访问Internet就需要在网络边界的设备上进行内网私有IP地址和外网Internet公有IP地址的转换，即NAT转换。

（二）VLAN

VLAN中文名为虚拟局域网，VLAN是这样一种技术，它可把位于不同物理位置上的设备从逻辑上划分成一个个网段，从而实现不同物理位置上的设备进行网络广播访问。

VLAN在整个网络中通过网络交换设备建立虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域，与具体的物理网及地理位置无关。虚拟网技术把传统的广播域按需求分割成各个独立的子广播域，将广播限制在虚拟工作组中。由于广播域的缩小，增加了网络的安全性。虚拟网技术把传统的广播域按需求分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。

（三）路由协议选择

路由工作在OSI七层模型的第三层，路由是指路由器接收到数据包后根据数据包的目的地址进行定向并转发的过程，路由包含两个基本的方面：

1.通过路由算法确定数据流通的最佳路径

2.根据最优路径确定数据在网络中传输的步骤、经过的路由器及端口

路由表是路由器上存储的表，该表中存有到达特定网络终端的路径，路由表根据建立方式的不同可分为静态路由和动态路由两大类，静态路由是指由网络管理员手工配置的路由信息。动态路由是指路由器能够按照预定的路由算法自动地建立自己的路由表，并且能够根据实际实际情况的变化适时地进行调整。

常见的动态路由协议有：rip、ospf、igrp等，在园区网内网建设中，使用最多的动态路由协议是OSPF路由协议。

OSPF里最重要的概念之一是存在层次和区域。OSPF每个区域独立运行基本链路状态路由算法的一个副本。与把整个网络系统作为单个链路状态域相比，区域的拓扑结构更优越一些，它能隐藏起来，使之从区域外面不可见。同时其它区域的路由器也不需知道其区域外的拓扑结构，可以极大地减少路由选择流量。

园区网内部路由一般使用OSPF路由协议，而在与外部互连网的连接上，园区网连接外网端口较少，适宜采用采用静态路由，并把路由从相应区域注入OSPF域。

三、园区网安全规划

网络安全可以从不同角度进行解释。一般来说，网络安全包括信息安全和控制安全两部分。信息安全包含“信息的完整性、可用性、保密性和可用性”；控制安全则包含访问控制、身份认证、不可否认性和授权。网络安全是一门涉及密码计算、应用数学、计算机科学、通信技术等多种学科的综合性学科，在园区网的安全设计中，主要包含以下几个方面。

（一）网络协议安全

在网络系统中运行多种网络协议，包括应用服务协议，路由协议，局域网络协议等，网络设备如路由器、交换机和防火墙上也存在着很多服务，有些服务和协议是网络正常运行所必须的，这类协议和服务必须打开，而有些协议和服务是为网络系统的特殊要求增添的，这类协议和服务可以关闭，以减少网络收到攻击的入口。

（二）设备的安全性

网络系统由各种网络设备通过光纤、网线和无线电波等传输介质连接组成，网络设备的安全性包含设备的物理完好性和配置完好性两个方面，为了防止网络设备配置遭到篡改，影响网络的正常运行，就需要阻断对网络设备的非法访问和设置不同用户对网络设备进行配置的权限。

（三）园区网DMZ区设计

DMZ是英文“demilitarized zone”的缩写，一般称之为“隔离区”或“非军事化区”园区网络的DMZ区是非安全的Internet外部网和安全的内部网络之间的缓冲带，这个区域一般用来放置一些对外公开的服务器，如企业邮箱服务器，对外宣传网站服务器和OA办公服务器等。

园区网DMZ区的设计原则是根据各系统、应用和设备对安全性要求的不同来进行风险隔离，根据网络各区域对安全性要求的高低，把网络分为外网，DMZ区和内网三个层次，通过DMZ这一网络安全缓冲区，更加有效地保护了内部网络。

（四）网络出口安全

园区网的互联网出口安全与有效监控管理非常重要，园区网受到的来自外部互联网的安全威胁主要包括两个方面，一是来自互联网大规模爆发的电脑病毒，二是来自黑客发起网络攻击行为。为了应对来自互连网的安全威胁，园区网在与互联网连接的出口处都会配置一些安全设备，如防火墙、IDS和IPS等。

（五）用户的分级管理

在网络管理中，一般有许多不同角色的管理者，例如网管操作员，一般网络管理员，高级网络管理员，同时，根据网络的区域划分，也可分为区域级网络管理人员和中心级网络管理人员，这些网络管理人员根据其职责的不同和所管理的网络范围，功能的不同，应该具有不同的权限。因此，对网络上的用户进行分级管理，是十分必要的。