中型企业网络架构设计

张 猛，曲 佳

(长春大学 电子信息工程学院，长春 130022)

中型企业网络架构设计

张 猛，曲 佳

(长春大学 电子信息工程学院，长春 130022)

为了实现对企业内部业务的监控，企业各部门要帮助总部实现不同的地区管理功能，具有实时性，实现网络一体化。本设计方案是中型企业核心网络设计。采用OSI七层模型进行分析，划分VLAN来区分不同的部门，使用Eth-trunk来对物理链路进行捆绑，实现增强带宽与可靠性，运用OSPF，BGP等协议来进行数据的传递，形成一个整体的网络架构。

OSI七层模型；物理链路；协议；架构

0 引言

企业局域网可以实现企业内部资源的共享、降低企业经营成本、提高企业的运作效率。并且可以由搭建局域网拓展出更多的业务，更好地实现不同部门之间的互访，也可以更好地提高公司的业务能力，减轻公司负担。同时，网络的应用可以远程操控来达到预期的目的，免去了长途跋涉，同时也可以监督公司人员上班的情况，更好管理企业内部的人员，也可以保持企业的联动性，实现企业内部的信息能够快速通知，不用浪费人力来通知，因此搭建企业网络是一个企业必不可少的。搭建企业网络不仅仅需要对网络进行规划，还要进行可行性分析，同时也要支持可扩展，为公司的网络规模扩大打下良好的基础。企业网络的搭建可以更好地管理公司，节约时间和成本[1]。

1 中型企业网络需求分析

我们将通过eNSP软件搭建出总体的拓扑图，并且使用在不同的分层结构，采用不同的协议来实现相应的功能，比如，使用二层数据链路层使用技术Eth-trunk技术来解决带宽不够用的问题，也可以采用生成树STP配置不同的实例实现网络备份的问题，通过使用三层网络层技术如OSPF协议可以让处于同一AS内的路由器建立邻接关系，来实现在OSPF内实现LSDB的统一，也可以使用BGP协议让不同的AS内的主机实现通信，使用DHCP可以动态的学习到IP地址， 并且使用MPLS-VPN技术实现不同站点的通信的问题[5]。

(1) 企业网络的设计内容

第一步：配置物理层，使用eNSP软件搭建出完整的拓扑图，划分出分公司与总公司，以及不同的部门。

第二步：配置数据链路层。首先，将路由器与交换机的IP地址配置完善，在交换机上划分VLAN。使用MSTP技术通过创建不同的实例来实现负载均衡的作用，同时可以使用PPP协议认证来提高网络的安全性，防止其他恶意破坏的用户攻击。

第三步：配置网络层。首先，在同一个AS内使用OSPF协议让不同的设备在同一区域内建立邻接关系，并且可以配置区域密码认证跨AS区域实现通信将使用BGP。

第四步：配置IP业务特性。通过使用DHCP来让DHCP客户端向DHCP服务器动态地请求网络配置信息，DHCP服务器根据策略返回相应的配置信息。

第五步：配置网络安全特性。企业网络中的设备进行通信时，需要保障数据传输的安全可靠和网络的性能，通过ACL可以根据需求来定义过滤的条件以及匹配条件后执行的动作。

(2)企业网络设计的具体实施方案

大连总部内使用交换机LSW1，LSW2，LSW3，LSW1与LSW2作为核心交换机来使用，并且在大连总部内部使用R1路由器作为连接运营商的出口路由器。使用DDN专线来让运营商与大连总部相连，并且使用帧中继技术来实现大连总部与哈尔滨分部直线连接。

在运营商网络内运行OSPF协议来实现网络LSA的交互，并且与大连总部和分部之间使用不同的自治系统AS，在不同AS间使用BGP来进行信息的交互。在长春分部使用MPLS-VPN技术来实现两个站点的通信的问题。并且同样使用DHCP可以动态地获取IP地址省去人工配置IP地址的工作量。

2 中型企业网络架构的解决方案

(1)物理层的解决方案

通过eNSP软件模拟搭建出具体的中型企业网络架构，在接入层使用百兆以太网交换机接入主机，再汇聚到三层交换机，使用路由器隔离广播域，可以在此拓扑的基础上达到公司的目的，也可以使用链路聚合将多条物理链路捆绑在一起成为一条逻辑链路，因此可以增强带宽，同时也可以提高可靠性和负载分担。

(2)数据链路层解决方案

VLAN技术可以将一个局域网划分成多个广播域。使用MUX-VLAN技术既可以实现各个部门之间的网络互通，又可以与重要的部门隔离，因此使用这样的方法既可以保证网络安全，也可以便于网络的管理和优化。

在此网络中，为了提高网络可靠性，交换网络使用冗余链路。即Eth-trunk技术，这样既可以提高网络的带宽又可以实现网络的可靠性。然而，冗余链路会给交换网络带来环路，并导致广播风暴以及MAC地址表震荡等相关问题，因此会影响公司之间的通信[2]。因此，我将使用STP生成树协议来解决产生的临时环路的问题，同时可以为链路做备份实现网络的可扩展性。在链路中也将采用PPP协议，来保障链路的安全性，由于PAP协议中密码是以明文的方式进行传输，而CHAP协议是通过哈希后的密码进行传输，这将大大增加网络的安全性。

(3)应用层解决方案

本网络内使用OSPF协议，它在设计上保证了无路由环路。由于RIP协议存在跳数的限制，因此，可扩展性不如OSPF好，OSPF可以支持在一个AS内划分多个区域，由于业务的需求需要更多的路由器，导致网络中的流量不断上涨，而OSPF的这个特点将会很好地解决这个问题，并且，OSPF协议可以分区域的特点，对网络进行一个更合理的管理。因此，OSPF协议可以与其他的协议同时使用于地理覆盖很广的网络，不同的路由器之间可以采取认证的模式，这将大大增强网络的可靠性，这是RIP协议所不具备的。

在本网络内还使用了BGP，由于建立了不同的AS，可以将不同AS建立关系，在AS之间传递路由，来保证数据传递的可靠性，而BGP协议使用TCP作为应用层协议，由于其建立过程需要三次建立握手，从而更大的程度上保证不同AS间的可靠性。

(4)企业网络的安全性的解决方案

通过访问控制列表ACL，可以定义过滤网络设备的规则，通过ACL可以对不同的网段进行过滤，将需要的网段进行处理，并且可以让设备根据这些定义的规则对数据包进行控制，也可以针对不同类型的报文进行不同方式的处理，可以在一定程度上实现访问网络、限制网络流量，并且可以不占用过多的带宽，从而实现网络设备的最大的利用率。AAA是一种提供认证、授权和计费的安全技术。该技术可以用于验证用户帐户是否合法，授权用户可以访问的服务，并记录用户使用网络资源的情况。例如，企业总部需要对服务器的资源访问进行控制，只有通过认证的用户才能访问特定的资源，并对用户使用资源的情况进行记录。

3 中型企业网络逻辑结构设计

(1)企业局域网的设计

总公司内为防止核心层出现转发拥塞，可以使用链路聚合的技术即Eth-trunk来实现，而以太网聚合会增加带宽，因此通过使用静态LACP的模式，主动端与被动端协商最大的活跃接口，以最小值的最大活跃数进行协商，协商活跃端口号。在某条活动链路出现故障时，流量可以切换到其他活动的成员链路上，并且也可以使用备份链路，一旦其中一条链路出现故障，备份链路将立即转为活动链路，当出现故障的链路已经不存在任何问题时，可以切换回活动链路。因此这可以大大提高链路的可靠性[4]。

广播域过大，造成广播流量过大。因此，VLAN技术可以隔离广播域，也可以实现不同VLAN间相互通信的功能。在企业中，需要部分的部门内的员工实现通信，而有些部门的员工不可以实现通信，并且部门与部门之间也不可以实现通信。

虽然STP生成树协议也可以解决链路中存在的临时环路问题，但是，网络拓扑的收敛速度太慢。由于一个局域网内全部的VLAN都需要同时共享一棵生成树，因此，VLAN之间无法实现数据流量的负载分担，链路在被堵塞后将不载任何流量，这将造成带宽浪费，还有可能存在VLAN之间的报文无法正常的实现通信。由于MSTP既可以快速收敛，又可以提供给数据转发的多条冗余的链路，即可以创建实例，这将极大地改变网络的可扩展性。

(2)中型企业广域网的设计

PPP协议是一种点到点链路层协议，可用于广域网中，PPP协议存在三个协议簇，即网络控制协议簇、网络层控制协议簇、认证协议簇。在建立PPP的建链的过程中，如果链路层的参数已经协商不成功，则PPP连接建立不成功，退回到Dead的阶段，如果链路层参数协商成功，则PPP进入认证阶段。在LCP使用魔术字用于检测链路是否出现环路等特殊的情况，如果两端魔术字相同，则继续发送魔术字直到不同为止才可以建立链路[3]。

帧中继网络通过虚电路来连接网络两端的帧中继设备。每一条虚电路用数据链路连接即DLCI标识符来标识不同的虚电路，DLCI只对本地的接口和与之直接相连的对端的接口有效，帧中继的地址的映射是将对方设备的协议地址与本端的DLCI进行关联，上层协议可以更方便地根据对方的协议地址查找到对方的设备。

(3)可靠性与安全特性的设计

双向转发检测BFD的应用。BFD的应用可以快速检测到相邻设备之间的通信故障，因此，这将减小设备故障对业务的影响，提高网络的可靠性。虚拟路由冗余协议VRRP是一种基本的容错协议，它将同一广播域的一组路由器联合组合一台虚拟的路由设备，称之为一个备份组。使用一定的机制保证当主机的下一跳路由设备出现故障时，及时将业务切换到备份路由设备，从而保持通讯的连续性和可靠性。这两者结合使用将可以增加VRRP的收敛。

(4)MPLS VPN的应用

MPLS VPN是一种三层虚拟专用网络。私网交换需要跨越MPLS骨干网络。因此，需要进行MPLS转发。MPLS是运营商提供的服务，用户设备不知道MPLS，通过MPLS可以与站点之间实现通信。BGP/MPLS IP VPN使用VPN target来控制VPN路由信息的发布。每个VPN实例关联一个或多个VPN Target，RD用来区分使用相同地址空间的IPV4前缀，并且RD可以让每一个运营商可以独立地分配RD值，为了站点之间可以实现通信，因此需要RD全局唯一。

(5)DHCP的应用

为了解决计算机数量的剧增且位置不固定，以及计算机数量与地理位置的变化会引起IP的地址频繁变化和IP地址不足的问题，可以在路由器中配置全局的地址池，让所有的主机都可以在这个地址池内选择地址来使用，并且DHCP的服务器可以根据主机的MAC地址进行绑定，如果地址池中不存在可分配的IP地址，则一次查询过期的地址、发生冲突的IP地址。如果找到可以使用的IP地址，则进行分配。

4 结语

为了能够冗余，我们将采用Eth-trunk技术来实现链路的捆绑。为防止冗余所带来的可能出现网络临时环路的问题，我们将采用生成树技术来实现进行实例的划分，并且可以让大连总部中的各个部门通过不同的链路去访问分公司，Eth-trunk技术还可以实现备份的目的，当其中的一条链路发生故障的时候，可以快速地进行备份，不会因链路中断导致故障。在路由层面，我们使用了OSPF与BGP的协议，由于OSPF协议可以在一个AS内分成不同的区域，划分不同的功能来更好地实现网络的划分，并且使用BGP来划分总部、分部与运营商，在此基础上，大连总部内的人事部与财务部可以通过不同的路径来访问其他分部。

[1] 胡程.中小型贸易企业网络设备数据获取系统的设计与实现[M].北京：高等教育出版社，2001: 392-432.

[2] 张晓明.IP地址子网划分原理及应用[J].太原大学学报,2011,45(1):114-115.

[3] 张琦.大中型企业网络会计信息系统的设计与实现[M].北京：电子工业出版社,2012:60-83.

[4] 程林.轻松明白网络IP地址以及子网划分问题[J].网络与信息，2009，23(7)：19.

[5] 于翔海.中小型企业信息网络安全架构浅析[D].长春：吉林大学.

责任编辑：程艳艳

Design of Network Architecture for Middle-sized Enterprises

ZHANG Meng，QU Jia

(College of Electronic Information Engineering, Changchun University, Changchun 130022, China)

In order to implement internal business monitoring, all departments of the enterprise should help the headquarter to realize different regional management functions, which has the real-time property, achieving the integration of network. The scheme is a core network design for middle-sized enterprises. OSI seven layer model is adopted to make an analysis, different departments are divided by VLAN, physical link is bound by Eth-trunk to enhance the bandwidth and the reliability, and data transfer is realized by OSPF and BGP protocols to form a whole framework.

OSI seven layer model； physical link； protocol； framework

2017-07-20

张猛(1972-)，男，吉林双辽人，副教授，硕士，主要从事控制工程、电子信息处理方面研究。

TN915.85

B

1009-3907(2017)08-0010-03