单位千兆局域网改造

2020-03-30 03:30谢建启
卫星电视与宽带多媒体 2020年1期
关键词:网络管理局域网

谢建启

【摘要】本研究主要是研究某单位的千兆网络系统改造,以力求让员工享受到最好的网络连接品质。本论文在结合现状和未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用戶满意的高质服务,同时还要注意逻辑上业务网和管理网必须分开。所以升级改造后的局域网应能提供多个网段的划分和VLAN隔离,并能做到灵活改变配置,以适应办公环境的调整和变化。

【关键词】网络管理;局域网;VLAN

近年互联网带宽不断提升,单位原有百兆局域网远远跟不上运营商带宽的节奏。单位大文件传输,大文件的上传、下载,也受限于百兆网络的瓶颈,严重影响工作效率。单位网络上所传输的信息以多媒体数据居多,网络使用者的行为模式也越来越复杂,如:P2P(Peer-to-Peer)、网络电视、视频等,使单位网络管理变得十分困难。因此,某单位原有的百兆网络已经不能满足使用需求,需要对整个网络进行改造,并将机房内服务器按照功能进行重新划分区域,便于集中管理。

1. 改造内容

第一,硬件替换需求:使用超五类以上网线、企业级千兆路由器、企业级千兆交换机、千兆网卡。第二,将改造将原有5类线全部更换为6类线,共整改线路百余条,更换网线接头200多个,将原有外网核心交换机和汇聚交换机设置VLAN,并配置了端口隔离,可以实现故障隔离,即当一用户发生网络故障时,不影响其他用户使用,由此极大的避免了全楼断网的情况。第三,IP规划:为防止IP冲突造成无法上网,统一规划IP,减少地址冲突导致的无法上网,无法办公等问题。实现资源共享、资源互通。第四,双网合一:为保障网络畅通,单位使用中国电信和中国移动两个运营商的宽带网络,相互备份,任何一个运营商网络出问题可以用另外一个运营商的网络。

2. 单位网络设计

某单位网络拓扑图如图1所示,在某单位的网络的建设中,主要分为两个办公区域,分别为办公楼1办公区和办公楼2办公区,办公楼1办公区是一些重要的办公室所在的区域,如财务科,机关党委处等,这些办公室是不允许办公楼2区域的办公室的未经许可访问,而这两个办公楼区域对外网和服务器的连接是不受限制的。

2.1 核心层交换设计

核心层的主要目的是尽可能快地交换数据。在整个网络区域中,汇聚层和核心层在某些地方会合二为一。当汇聚层上有两个或更多子网时,就需要设计核心层来连接这些子网。核心层负责传输穿过网络区域的数据流,核心层所处理的数据流比其它层次要大很多,应当能尽可能快地传输数据流。核心层主要提供以下功能:①连接各交换区段。②尽可能快地交换数据帧或数据包。

同时,本方案要求今后的网络均按千兆到桌面的要求设计的,所以在实际运行的网络流量由于网络应用类型、网络结构、主干链路速率、网络投资等多种因素将远不能达到这种情况下计算出来的数值,但在工程上,以上估算数值可作为网络主干或中心的交换容量的参考指标。

2.2 汇聚层网络设计

汇聚层位于接入层和核心层之间,汇聚层是接入层和核心层之间的分界点和通信点。这一层进行一些复杂的、消耗系统资源较大的数据包操作。接入层设备汇接到一台或者多台汇聚层设备上。汇聚层设备在接入层交换机之间提供第二层连接,同时提供第三层功能,支持路由选择和网络层服务。如果需要的话,在汇聚层还可以定义以怎样的方式对核心层进行访问。汇聚层必须决定用最快的方式来处理网络服务请求。汇聚层实现的主要功能包括:①VLAN聚合及VLAN间路由。②定义广播域和组播域。③访问列表、包过滤和排序、IP和MAC的绑定。

2.3 网络管理的策略

为避免员工的特定使用者占用大多数带宽,对于员工带宽管理的问题,提出三种管理方法:By Port:借由Service-Policy机制,可针对Interface限制每一个员工带宽使用大小,防止带宽资源被少数人或不重要的流量所独占,以保障每个使用者连接的基本带宽。By Service:需针对特定的服务(如:WEB、E-Mail、Peer to Peer)制定不同的带宽管理政策,进而达到有效带宽管理。管理上还可以采行双层式带宽管理,亦即结合上述两者来作管理。

2.4 VLAN网络管理的运作流程

VLAN,是由位于不同实体区域网段的设备组成。虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,就好像处于同一网段中一样。由于VLAN是将区域网内的设备采用逻辑方式而不是实体方式划分成一个个独立网段,所以它可以提供灵活的用户及主机的管理、带宽的分配以及网络资源最佳化等服务。从技术角度来看,VLAN一般有下列三种划分的方法:基于PORT管理的VLAN、基于MAC ADDRESS管理的VLAN以及基于协议的VLAN。VLAN技术中,一个VLAN 即为一个逻辑子网,也是一个逻辑上的广播域,他允许我们逻辑的子网划分从而取代实体的子网划分。通常用VLAN来提供更高的安全性和更加方便的管理。

单位总的办公楼每一个层楼分配一个交换机,每一个办公室划分为一个VLAN,每一个楼层上的VLAN划分到该楼层对应的交换机上。为了防止不法意图员工,意图恶意存取及入侵其他电脑。Edge Switch设置了Switch-port protect的VLAN功能,恶意存取及入侵功能遭到拦阻。不法意图员工,在Edge端被阻挡后,仍通过Core端企图恶意存取及入侵其他电脑。Core Switch设置了Private VLAN功能,恶意存取及入侵功能遭到拦阻不法意图使用者,仅可允许存取Internet。

3. 总结

公司网络系统是一个应用广泛且复杂的系统,因此在管理上除了要顾及各方面的应用整合之外,网络系统的安全管理更是一个重要的课题。从本文中我们了解以VLAN作为架构基础的管理特性及需求,进而讨论出相对应的网络管理策略,使我们可以在维持网络服务品质的同时,兼顾到某单位信息系统的安全性及公司的数据安全及保密性。

使用wireless fat-AP所衍生的信息安全问题仍旧未能在本研究中解决,若需要解决无线网络使用者彼此之间的信息安全问题,仍需使用成本较高的thin-AP架构,方能得到期望的信息安全管理层级,未来仍需对这方面多加研究,以求得成本较低且具备安全性的无线网络架构。

参考文献:

[1]高阳,陶皓琳.浅论我国公司信息化[M].北京:北京邮电大学出版社,2015.

[2]中国互联网络发展状况统计报告[R].北京:中国互联网络信息中心,2018.

猜你喜欢
网络管理局域网
计算机局域网组建及管理探讨
新时期企业网络管理的现状及对策研究
用无线路由器共享单位局域网
网络管理技术的应用分析
局域网存在的安全隐患及其防治策略