单位网络改造

摘要：分析了单位网络组建、维护已近十年，需改造和实施方案选定的原因。

关键词：网络拓扑；交换机；路由器；架构。

中图分类号：TP308 文献标识码：A文章编号：1009-3044(2007)15-30689-01

The Unit Network Transforms

PING Long-mei

（Network Center, Suzhou Chinese Medicine Hospital ,Suzhou 215003, China）

Abstract:The unit network has been created and maintained for about ten years.It must been Transformed.

Key words:Network analysis situs;Hub;Router; Construction.

这篇文章是基于解决本人所在单位网络急需改造问题的过程所写。方案基本思路是：经济、简单的改善网络安全状况，希望对有类似情况的同行有所帮助。

1 改造前

1.1 首先介绍一下我单位的网络情况，网络拓扑如图1所示：

图1 中医院网络拓扑图

网络状况如下所述：

本单位办公楼共有七栋，接至交换机、路由器的线路混乱，接点表明。Cisco路由器几台，陆续添加。Intel4600交换机6台（不可网管），须更换。服务器若干台；

1.2 原网络状况描述

原机房网络照片如图2所示：

图2

原网络由于是一点点地加工作站、服务器。网线并非专业人士布置，从机房到下面各幢楼之间的线路，hub节点上网线一片混乱，搞不清哪根连到哪儿，网络得不到充分的利用。

网管人员每天都在忙着查哪个点的交换器坏了、查哪根是通到不同机器的那一根网线。我们杀毒，打补丁，抓木马，重装系统，就像一个消防队员，还得负责单位系统维护、医院网站维护、硬件故障判断、线路故障判断，工作量可想而知。网络改造势在必行了。

2 改造后

2.1 新规划的网络扑图

经过一番调查，学习，请专业人士考察，制定了方案，晚上加了几次班予以实施。新规划的网络扑图如图3所示：

图3 改造后的网络拓扑图

2.2 改造后的照片

如图4所示：

图4改造后的照片

2.3 改造重点

这次的重点是启用了一台Cisco2620路由器的三层架构，六个可网管交换器设置如下：

sysname xxxxxxxxxxxxx

#

radius scheme system

server-type huawei

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

domain system

radius-scheme system

access-limit disable

state active

vlan-assignment-mode integer

idle-cut disable

self-service-url disable

messenger time disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key huawei

#

temperature-limit 0 20 80

#

dhcp server ip-pool 11

network xx.xx.xx.xx mask 255.255.255.0

gateway-list xx.xx.xx.xx

#

dhcp server ip-pool 12

network xx.xx.xx.xx mask 255.255.255.0

gateway-list xx.xx.xx.xx

#

dhcp server ip-pool 13

network xx.xx.xx.xx mask 255.255.255.0

gateway-list xx.xx.xx.xx

#

dhcp server ip-pool 14

network xx.xx.xx.xx mask 255.255.255.0

gateway-list xx.xx.xx.xx

#

dhcp server ip-pool 15

network xx.xx.xx.xx mask 255.255.255.0

gateway-list xx.xx.xx.xx

#

dhcp server ip-pool 16

3 改造总结

网络改造完成后，至今没有发生大面积病毒传染造成网络运行不畅，网络一下子清静了许多。

可见在以前一点点增加网络量但规划不好的单位，如果重新铺设网络已成为不可能，请专业人士规划并小规模实施改造也可以一定程度的保证网络安全运行。这对经济能力有限的单位或是要搬家的单位特别有参考意义，除此之外，其实还有很多地方可以完善：

3.1 架设ISA防火墙

作为网络接入的冗余措施，更能对数据流进行精细的检查、控制，比如：

a) 对外，更有效的防止各种各样的攻击，入侵检测；

b) 对内，可以进行BT控制，QQ控制，网络游戏的控制。

c) 恶意插件，恶意网站。

3.2 网络版杀毒软件、个人防火墙的安装

例如：Symantec Client Security、卡巴斯基、。这样可以避免用户自行关闭杀毒软件或者防火墙软件，在网络安全上产生漏洞。

其实路由器的功能还很强大，比如SSL的验证，VPN的实施，大家可以充分挖掘Cisco设备的潜力。

3.3 关于网络规模与资金投入的思考

网络安全问题是要解决的，但是应该怎样看待这个问题呢？置之不理是断然不行的，但是为此大量的投入也是需要慎重考虑的，笔者就曾经见过一些中小学建网，买设备非Cisco，华为，Symantec等名牌不用，非专业防火墙不用，但是作为一个规模一般的校园网在设备上投入如此之大，确实有些浪费，不如把这些资金用到网络管理人员、员工的培训上，做到以人为本，充分激发工作人员的劳动积极性，才能让网络在有限的条件下，保证最大的安全性。

参考文献：

[1]陈星 胡啸 国际信息安全标准热点问题与发展趋势 《信息技术与标准化》2003年12期

[2]李守鹏 吴希唐 信息安全评估中的重要概念 《计算机安全》2000年

[3]中国信息安全产品测试认证中心 国家标准GB/T 18336-2001介绍

[4]ISO17799(BS7799)

[5]ITSEC (the information technology security evaluation criteria version 1.2)1991

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。