设计院网络规划及管理方法探讨

摘要：文章以企业网络规划与管理的理论知识为依据，以上海浦东建筑设计研究院有限公司网络现状为基础，详细分析企业网络需求和改造方案，探讨安全管理策略，从而组建个安全高速有效的企业网络以满足信息交流和业务开展。

关键词：局域网；广域网；网络建设和改造；拓扑结构；VLAN

中图分类号：TU712

文献标识码：B

文章编号：1008-0422（2013）06-0113-02

1 概述

设计行业信息化是世界经济和社会发展的趋势。近十年来设计行业随着国家经济的发展、业务规模及人员规模的快速增长，随之产生的管理需求不断增加，而依靠传统管理模式已无法满足需求。在“十二五”期间，国内建筑行业将加强信息基础设施建设，提高企业信息系统安全水平；同时项目管理软件等应用系统的普及率不断提高，逐步建立企业级的共享网络以及完善相关的信息化标准成了设计院必备的信息化要求。本文以上海浦东建筑设计研究院有限公司为案例，探讨设计院网络规划及管理方法。

上海浦东建筑设计研究院有限公司现已成为集建筑、市政、园林设计三位一体的综合设计企业。公司设有十个设计部门，六个行政部门。由于公司业务需要及公司发展需求，目前在全国各地设有八个分公司及两个办事处。

根据企业信息化建设目标和总体规划，原有的网络架构不能满足企业管理和信息化发展现状，例如单一VLAN的地址已经不够分配，缺乏有效的安全策略，主干网带宽只有百兆，随着设计专业软件的网络需求增加，越来越多的业务需要使用互联网络，因此需进行全面的网络规划和改造。

2 现状需求分析

由于现有网络结构为单一的树状结构，容易出现单点故障而引起所有网络节点的正常运行；层次结构不清晰，导致无法集中管理设备，造成维护极为不便；设备较老、品牌较杂、设备兼容性较差，网络传输较慢，存在数据丢包现象；使用了大量的专业设计软件网络版，客户端和服务端的访问量与日俱增；设备无法控制网络流量，客户端访问互联网非常拥挤；无法有效避免ARP等局域网攻击；客户端操作系统补丁安装不完全，杀毒软件安装不统一。

所以整体改造分为两个主要方面：

（1）内部网络设备方面的改造：将现有的内网互联百兆主干网升级为千兆传输，在网络出口核心连接广域网处升级路由防火墙，更换现有的核心、楼层交换设备，按部门划分VLAN，实现流量监控。

（2）广域网及系统服务方面的改造：构建VPN实现与分公司互通，部署网络行为管理，系统补丁分发，广域网带宽升级，建立企业统一通信邮箱，建立数据备份机制等。

3 规划基本原则

基于对以上需求的深入理解，网络建设应遵循以下基本原则。

3.1 网络设备应首先满足网络中数据交换的要求，网络主干的通讯链路带宽能够满足应用对网络的性能要求。

通常网络的负载流量主要是从边缘设备到核心的数据交换。改善办公网络整体数据交换性能，应该是首先扩充主干交换机的交换性能，增加边缘设备到核心数据的通讯带宽，以改善整个网络的瓶颈，使得应用软件的性能和效率得到提高。除了考虑满足网络规模所要求的主干设备数据交换处理能力，以及边缘设备到核心的链路带宽外，对楼层交换机也有较高的性能要求。

网络设备的选择，尤其是网络核心设备，应该选择可以配置冗余部件，可以冗余备份，设备损坏部件的更换可以进行在线操作，这样可以使影响的时间降低到最小，以保证网络可以在任何时间、任何地点提供信息访问服务。与此同时，网络设备还要求采用主流技术、开放的标准协议，能够支持不同厂家、不同系列产品之间的相互无缝连接与通讯，减少设备互连的兼容问题以及网络维护的费用。

在满足现有规模的网络用户需求的同时，考虑到业务发展、规模的扩大，主干设备的选择应该具备强大的背板带宽，足够的负载容量。对于交换机来说，核心交换引擎应该在可以满足最大配置下，无阻塞地进行端口数据包交换，模块的扩充不影响交换性能。

3.2 通过将网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

根据网络中工作组管理功能的划分可以突破共享网络中的地理位置限制，大大提高网络规划和重组的管理功能。在同一个VLAN中客户端不论它们实际与哪个交换机连接，它们之间的通讯象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。用户可以自由地在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

因此，划分VLAN既可以增加网络的灵活性，也可以有效地阻止VLAN内的大量非法广播，还能隔离VLAN之间的通讯，控制资源的访问权限，提高网络的安全性。同时在网络设备上应该可以进行基于协议、基于MAC地址、基于端口、基于IP地址的包过滤控制功能。

3.3 有效控制网络的访问。

合理的网络安全控制可以使应用环境中的信息资源得到有效保护。在进行安全方案设计时，应考虑网络物理是否安全、网络平台是否安全、系统是否安全、应用是否安全、管理是否安全的风险，对应采取相应的安全措施。这些风险与这个局域网的结构、系统应用、网络服务器等因素密切相关。

关键的应用服务器、主干网络设备，应该只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。使网络可以任意连接，又可以控制第二层、第三层控制网络的访问。同时，对连接用户身份的认证也是保障网络安全要考虑的重要内容。

4 网络改造规划设计

4.1 网络拓扑结构（图1）

整个网络安全设计分成内部网络和外部网络，通过一个防火墙隔离开来。防火墙上设置入侵监测和DOS攻击防护等安全防护特性，保证内部用户透明使用网络资源和拒绝外部非法未授权用户的探测和攻击。防火墙上设置VPN功能，用户可以通过使用IPSEC加密的安全通道连接到公司的防火墙，访问公司内部的网络。

此次网络改造主要针对网络交换机层，改造中需要更换一台核心交换机、一台汇聚交换机、若干台分布在各楼层的接入层设备。核心交换机采用H3C 5500-26C，设备具有24个千兆接口和4个SFP接口；汇聚交换机采用H3C 5100-16P，设备具有16个千兆接口及4个SFP接口；接入层交换机采用H3C3100-26TP-SI，具有24个10/100接口和2个千兆接口。

除了一台核心三层交换机，因核心机房还有若干应用服务器，为保证服务器高速连接到网络中，缓解核心交换机转发压力，设计通过一台5100-16P-SI交换机连接服务器组，与核心交换机的连接通过两路以太网线捆绑互联，保证设备间的高速、稳定通信。

楼层接入交换机通过布放的超五类以太网线与核心交换机连接，其连接方式同样使用两路以太网线捆绑，以使接人层交换机快速、稳定地与核心交换机互联，达到冗余备份、负载均衡。

此次改造所有以太网交换机互联均通过千兆接口。

4.2 VLAN规划

由于内部网络是由多个部门组成，按照应用部门之间需求进行统一通信控制，为了达到这种通信的要求，需要利用核心交换机对局域网进行VLAN划分，从而达到部门之间通信的安全性。

网络结构及功能初步规划包括以下几个方面：设备连接规划（千兆链路汇聚）；VLAN规划（业务VLAN、管理VLAN）；IP地址规划（设备管理IP、业务IP）；DHCP服务器规划（多VLAN DHCP规划）；接入层设备静态MAC+端口绑定（防止ARP欺骗）；设备命名、管理服务、管理账号规划；内部路由设计；访问控制规划（VLAN间安全、业务安全）。

公司内部部门较多，按照设计必须每个VLAN对应一个网段地址，为节约地址、达到地址的唯一性、可扩展性，采用了C类地址；DHCP服务由核心交换机实现地址动态分配。

由于涉及到多VLAN的环境，将会导致局域网计算机在网上邻居看不到其他VLAN内的计算机，为解决设计部门间互访的要求，需将网络系统模式提升为AD模式，同时架设WINS服务。

工作在网络第二层的VLAN技术能将一组用户归纳到一个广播域当中，从而限制广播流量，提高带宽利用率。同时缺省情况下不同VLAN之间用户是不能相互访问的。通讯通过三层设备转发，这就便于实施访问控制，提高数据的安全性。

在网络用户VLAN规划方面，根据用户所属的部门，以及具体的网络应用权限来划分出设计部门，财务及管理部门，其他行政部门，机房设备等VLAN。

具体VLAN分配原则制定后，根据VLAN内用户分布情况，在交换机上安排相应的网络端口，在不同交换机之间，如果需要交换同一VLAN的数据和信息，则在交换机互联的端口上设置其工作在Trunk模式下，使其能转发带有802.1Q标签的不同VLAN的数据包。

4.3 安全管理规划

结合实际情况，内网安全规划通过以下方法来预防及控制：按照部门或楼层等划分相应的VLAN，控制广播及病毒泛滥；对设备设置管理用户及密码，并定期更改；及时更新系统补丁和防病毒软件；通过IP+MAC+端口绑定未防止ARP攻击；通过利用防火墙对客户端进行访问策略限制，保证网络资源合理应用。

局域网内部路由，主要是为防火墙与内网多个网段之间建立通信，因为内网涉及多个网段，所以需要在三层交换机上面设置一条缺省路由到防火墙内网接口，同时在防火墙上需要设置一条聚合路由指向三层交换机。

内网客户端访问外网将通过在防火墙上实现访问控制。防火墙将按照实际应用需求设置开放相应的服务策略。通过核心三层交换机和防火墙，定义相关的访问控制列表及策略。

在网络设备配置中，利用三层设备的ACL（访问控制列表）功能，保护那些对网络安全要求较高的主机、服务器以及特定的网段（例如财务）。ACL是手工配置在网络设备上面的一组判断条件，对于满足条件的数据包，设备进行“转发”或者“丢弃”的处理。ACL的主要作用是实施对网段的访问控制，针对数据包的源地址和目的网络地址的组合，通过在网络设备上配置访问控制过滤功能，提供网络管理人员对网络资源进行有效安全管理的技术。

预防网络中ARP病毒攻击，通过在接入层交换机上配置静态MAC+端口绑定，预先设定接入层交换机端口连接到哪台终端，以及终端网卡硬件MAC地址。

在服务器上安装ServerProtect产品，可以提供集中式多重网域安装及管理、远端安全管理、实时侦测并清除病毒、自动更新及传送病毒码文件等安全措施。在客户端PC机上安装OfficeScan产品，通过浏览器进行所有的设定及配置，可以提供远程安装、主控台集中管理客户端扫描及清毒、对客户端进行实时监护等安全措施。

5 结语

通过部署和实施，改善了上海浦东建筑设计研究院的网络改造方案，不仅能很好地解决现有网络存在的问题，而且能兼顾未来更多的网络应用拓展，结合完善的安全管理策略，对整个网络提供多级防护，保证局域网客户端安全、稳定、高速地实现信息访问和数据交换，提高了设计效率，并且增强了在同行业中的竞争能力。