企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)改造

姚明

（新疆五鑫銅業(yè)有限責(zé)任公司阜康831500）

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)改造

姚明

（新疆五鑫銅業(yè)有限責(zé)任公司阜康831500）

通過(guò)對(duì)我公司計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行合理化構(gòu)建架構(gòu)，解決了改造前內(nèi)網(wǎng)病毒攻擊無(wú)法控制，外網(wǎng)訪問(wèn)無(wú)法審計(jì)等問(wèn)題，實(shí)現(xiàn)了網(wǎng)絡(luò)架構(gòu)的標(biāo)準(zhǔn)化和合理化，滿足了用戶需求及對(duì)上網(wǎng)計(jì)算機(jī)的可管理性。

計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)改造上網(wǎng)行為管理

1 前言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，企業(yè)內(nèi)部網(wǎng)已經(jīng)成為現(xiàn)代企業(yè)必不可少的一部分，設(shè)計(jì)和建立好企業(yè)局域網(wǎng)對(duì)企業(yè)信息化工作至關(guān)重要。

2 改造前網(wǎng)絡(luò)狀況

整個(gè)公司辦公網(wǎng)絡(luò)計(jì)算機(jī)直接或通過(guò)HUB連接到兩臺(tái)不可設(shè)置的二層中心交換機(jī)，兩臺(tái)中心交換機(jī)通過(guò)級(jí)聯(lián)進(jìn)行連接，服務(wù)器通過(guò)一個(gè)二層交換機(jī)連入中心交換機(jī)，宿舍區(qū)域（包括專家樓、1號(hào)宿舍樓、2號(hào)宿舍樓）通過(guò)其中一個(gè)二層交換機(jī)接入中心交換機(jī)，宿舍區(qū)域交換機(jī)全部通過(guò)級(jí)聯(lián)進(jìn)行連接，中心交換機(jī)中的一個(gè)通過(guò)防火墻連入internet網(wǎng)，租用帶寬為30 M。

此網(wǎng)絡(luò)架構(gòu)運(yùn)行出現(xiàn)的問(wèn)題，所有的計(jì)算機(jī)處于同一網(wǎng)段，發(fā)生局域網(wǎng)病毒造成范圍較大，幾乎癱瘓；服務(wù)器組暴露在局域網(wǎng)內(nèi)，容易受到攻擊；中心交換機(jī)通過(guò)級(jí)聯(lián)進(jìn)行連接，出現(xiàn)故障后，造成范圍較大，特別是宿舍網(wǎng)絡(luò)，全部是級(jí)聯(lián)，連接至后面的交換機(jī)受前級(jí)交換機(jī)影響很大，網(wǎng)絡(luò)運(yùn)行嚴(yán)重受制約；無(wú)法對(duì)內(nèi)網(wǎng)用戶進(jìn)行合理管理；無(wú)法對(duì)所以上網(wǎng)用戶進(jìn)行上網(wǎng)審計(jì)，管理；整個(gè)網(wǎng)絡(luò)網(wǎng)速很慢，包括外網(wǎng)和內(nèi)網(wǎng)。

改造前網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)圖1。

圖1 改造前網(wǎng)絡(luò)拓?fù)鋱D

3 問(wèn)題分析

⑴全部上網(wǎng)計(jì)算機(jī)接入二層交換機(jī)，會(huì)造成二層交換機(jī)負(fù)荷較大，無(wú)法滿足用戶數(shù)據(jù)交換能力，是造成內(nèi)網(wǎng)數(shù)據(jù)傳輸慢的主要原因。

⑵各個(gè)交換機(jī)大部分是通過(guò)級(jí)聯(lián)進(jìn)行連接和二層中心交換機(jī)交換能力產(chǎn)生瓶頸是造成上外網(wǎng)緩慢的主要原因。

⑶各個(gè)部門(mén)相互間沒(méi)有應(yīng)有的保護(hù)，是沒(méi)有可管理的三層交換機(jī)。

⑷服務(wù)器暴露在內(nèi)網(wǎng)內(nèi)，是沒(méi)有設(shè)置服務(wù)器防火墻。

⑸整個(gè)網(wǎng)絡(luò)易受局域網(wǎng)病毒攻擊，是各個(gè)部門(mén)在同一網(wǎng)段下，沒(méi)有合理劃分網(wǎng)段造成的。

⑹整個(gè)網(wǎng)絡(luò)沒(méi)有三層功能，無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)控制等安全機(jī)制。

4 網(wǎng)絡(luò)架構(gòu)改造

針對(duì)上述問(wèn)題，采用招標(biāo)方式購(gòu)買(mǎi)如下設(shè)備，三層交換機(jī)4臺(tái)，核心交換機(jī)1臺(tái)，可管理的二層交換機(jī)4臺(tái)，上網(wǎng)行為管理設(shè)備一臺(tái)，內(nèi)網(wǎng)防火墻一臺(tái)，具體安裝位置見(jiàn)圖2。

圖2 網(wǎng)絡(luò)架構(gòu)改造安裝圖

通過(guò)2臺(tái)辦公樓三層交換機(jī)，1臺(tái)廠區(qū)三層交換機(jī)對(duì)辦公部門(mén)劃分VLAN，使得各個(gè)部門(mén)的廣播域控制在自己部門(mén)內(nèi)，當(dāng)然如果有局域網(wǎng)病毒攻擊，也可以控制在最小范圍內(nèi)。

服務(wù)器組前安裝內(nèi)網(wǎng)防護(hù)墻，設(shè)置策略，讓特定的用戶訪問(wèn)特定的服務(wù)器，沒(méi)有權(quán)限的用戶無(wú)法訪問(wèn)任何服務(wù)器。

宿舍網(wǎng)通過(guò)一臺(tái)三層交換機(jī)和3臺(tái)可管理的二層交換機(jī)，合理劃分網(wǎng)段，糾正架構(gòu)錯(cuò)誤。

辦公網(wǎng)，服務(wù)器組，宿舍網(wǎng)接入核心交換機(jī)，核心交換機(jī)功能強(qiáng)大，完全有能力處理數(shù)據(jù)交換負(fù)荷。

在防火墻和核心交換機(jī)間安裝一臺(tái)上網(wǎng)行為管理，進(jìn)行所有用戶的上網(wǎng)管理。

5 應(yīng)用效果

通過(guò)以上設(shè)備安裝及設(shè)置,網(wǎng)絡(luò)帶寬大大提高，局域網(wǎng)內(nèi)實(shí)現(xiàn)千兆網(wǎng)速，網(wǎng)絡(luò)主干交換機(jī)的交換性能有了很大的提高，使各種應(yīng)用的訪問(wèn)速度大大提高，同時(shí)網(wǎng)絡(luò)的復(fù)雜程度降低，故障率大大降低，便于管理員的日常管理和維護(hù)；通過(guò)連接方式和升級(jí)部分設(shè)備的方法解決了辦公樓，宿舍樓，廠區(qū)，服務(wù)器組等的網(wǎng)絡(luò)訪問(wèn)速度慢的問(wèn)題；網(wǎng)絡(luò)實(shí)現(xiàn)了三層的功能，劃分了VLAN一隔離IP廣播，可以支持安全訪問(wèn)機(jī)制。

[1]國(guó)家標(biāo)準(zhǔn)《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-93）.

收稿：2014-03-14