基于云平台的企业网规划与设计研究

摘 要：在大数据及云計算时代，网络已经成为企业发展的重要平台。 为了更好地满足业务的开展，降低IT系统的复杂性，提高网络性能、灵活性和可管理性，云计算已经进入实质的商业部署时期。本文基于云平台的架构下，对某科技公司的网络需求进行分析，并给出了完整的网络规划与设计方案。

关键词：大数据；云计算；网络规划

随着信息时代的到来，企业的生存和竞争环境发生了根本性的变化，企业信息化无论是作为战略手段还是战术手段，都在企业经营中发挥着举足轻重的作用，利用信息化手段提高企业竞争力、提高企业运作效率已经成为必然的发展趋势。而随着企业信息化建设的逐步推进，信息系统所面对的问题也越来越复杂，虽然投入的资源不断增加，但仍然无法应对越来越多的IT问题，云计算的应用模式为这种创新提供了技术支撑。

1 项目背景分析

新业科技公司这几年的业务不断发展壮大，在国内建立了分部，为了更好地促进分部业务的发展以及与总部的交流，公司计划建设小型数据中心及云计算服务平台。通过智慧园区网络统一规划，完成企业网络的规划；实现园区网络的有线互联互通，并通过详细地勘设计，完成园区网络中无线网络通讯，并在园区网络中实施网络出口规划，保障园区网络安全；通过搭建数据中心，实施云计算网络的部署。

2 云计算融合网络业务需求说明

新业科技网络公司网络项目规划与建设中，需求如下：在本部与分部均需要部署无线网络，满足移动办公的需求；部署防止环路、数据负载均衡等相关策略，确保接入层业务安全、可靠；在出口部署认证、流控、VPN等相关策略，确保出口数据安全、可靠；总部与分部之间部署冗余和链路加密等功能，实现安全可靠的数据传输；分部核心交换机部署虚拟化组网，提高网络健壮性；总部交换机做冗余网关，为总部用户及云计算平台提供高可用的网络接入服务等。

3 云计算网络服务环境搭建

规划是构建云计算解决方案重要的第一步，在规划时，需要对当前数据中心资产和运行流程创建完整的文档，需要描述数据中心中现有的设备之间的关系并考虑如何部署未来的新设备。数据中心中包括大量的服务器和设备，首先需要收集这些硬件资产的信息，以及这些资产之间的关系。

（1）云计算管理平台搭建。根据在服务器上提供的VMware WorkStation 12虚拟化软件、Windows2008 R2和Centos7镜像安装操作系统，分配硬盘空间，设置网络桥接模式，按照要求创建云主机，（2）应用部署。Windows2008 R2系统配置。安装FTP服务，新建一个FTP站点。在Windows 2008 R2的DNS服务管理；配置安装 Windows Server Backup 服务；配置安全策略；配置http服务，建立一个web站点；配置企业CA证书服务，为http提供证书实现WEB站点的https访问。

4 云计算融合网络部署

（1）虚拟局域网及IPv4地址部署。为了减少广播，提高网络健壮性，需要合理规划并配置IP地址和vlan，为隔离广播风暴、病毒攻击，在交换机端口上开启广播风暴抑制。（2）MSTP及VRRP部署。在交换机配置MSTP防止环路形成广播风暴；要求实现分流效果。配置VRRP，实现主机的网关冗余。（3）DHCP服务。在S2、S3上开启DHCP服务，使得总部的部门能通过DHCP的方式获取IP地址。为了防御动态环境局域网ARP欺骗，在S1交换机部署DHCP Snooping+IP Source guard+arp-check功能。（4）路由协议部署。总部与分部使用OSPF协议组网。其中S2、S3、S6、R2、R3、AC1、AC2、EG1、EG2使用RIP，R2、R3、R1、VSU使用OSPF；要求网络具有安全性、稳定性。优化OSPF相关配置，以尽量加快OSPF收敛。（5）广域网链路配置。总部路由器与分部路由器间属于广域网链路，需要使用PPP链路协议进行安全保护。（6）PBR配置与部署。考虑到分部到总部间有2条广域网线路，为合理利用带宽，规划从分部去往总部的HTTP数据通过R1-R2的线路转发，从分部去往总部的SSH数据通过R1-R3的线路转发。为达到上述目的，采用PBR来实现。

5 移动互联网络组建与优化

在“互联网+”时代下，员工移动办公已经成为一种趋势，公司总部与分部需要部署移动互联网络。公司实现移动办公管理，不受时间和空间的限制，提高了工作效率。同时为了保证无线用户的安全，需要进行无线网络安全及性能优化配置。

（1）无线网络基础部署。使用AC1、AC2为总部AP和无线用户的DHCP服务器，为总部和分部创建 SSID，调整分部两个AP的功率。（2）AC热备部署。AP与AC1、AC2均建立隧道；当AP与主用AC失去连接时能无缝切换至备用AC并提供服务。（3）无线安全部署.无线用户接入无线网络时需要采用基于WPA2加密方式，为避免无线网络被非法用户通过SSID搜索到，并建立非法连接，分部需要禁用AP广播SSID，隐藏无线SSID；为了防御无线局域网ARP欺骗影响用户上网体验，在总部配置无线环境ARP欺骗防御功能。（4）无线性能优化。限制分部无线每用户下载和上传速率；总部无线用户启用集中转发模式，分公司无线用户启用本地转发模式。

6 园区网络安全部署

公司总部与分部无线用户需要通过独立的互联网线路访问外网资源，同时针对访问资源进行用户身份认证与信息审计监督。

（1）出口NAT部署。总部出口网关上配置访问控制列表，设置员工访问权限；在总部EG1上配置，使公司总部的SSH服务可以通过互联网被访问。（2）Web Portal用户认证部署。在总部网关EG2上启用Web Portal认证服务；应用流量控制部署，针对访问外网HTTP流量限速每用户流量。（3）用户行为策略部署。在EG2设置总部内网用户浏览器访问权限；禁止总部内网用户下载受限的文件；在EG1上开启防ARP及流量攻击功能，用于过滤ARP攻击流量，内网ARP泛洪时，设备限每个IP地址的ARP报文每秒不超过30个，避免ARP报文影响设备的其他处理。

7 结语

基于云平台的企业网的建设，使得企业内部的IT基础设施以及各类软件应用未来能够运得更加灵活。云管理平台能让企业IT基础架构更迅速、更轻松地部署高性能的Windows与Linux 虚拟机，为服务器系统合并、软件开发与测试、高可用性和负载均衡打造了一个可快速采用虚拟化的完美云计算平台，提高企业对资源实际利用率，从而有效降低企业基础设施运营管理成本，增强企业在市场中的竞争力。

参考文献：

[1]孙道远.工程环境下网络设备调试与优化的研究[J].宁波职业技术学院学报，2018.4.

[2]李鹏.跨区域企业网的设计与实现[J].轻工科技，2014.10.

[3]朱永滔.企业网规划设计与实现 [J].电脑迷，2015.5.

作者简介：翁业林（1981-），男，江苏仪征人，硕士，讲师，研究方向：计算机网络技术。