楊輝

摘要：隨著因特網(wǎng)的不斷發(fā)展和公司規(guī)模的不斷擴(kuò)大，構(gòu)建大型的Intranet廣域網(wǎng)已隨處可見，如何構(gòu)造一個(gè)高效、安全、經(jīng)濟(jì)的Intranet廣域網(wǎng)也成為了諸多大型組織和公司所關(guān)心的。本文簡單介紹了大型Intranet廣域網(wǎng)的網(wǎng)絡(luò)拓?fù)?，并在文章中列舉了一個(gè)應(yīng)用實(shí)例說明了一個(gè)大型Intranet廣域網(wǎng)的構(gòu)造過程。其中涉及線路選型，安全可靠性保證等內(nèi)容。

關(guān)鍵詞：英特網(wǎng)；Intranet；廣域網(wǎng)；網(wǎng)絡(luò)拓?fù)?/p>

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2013) 07-0000-02

1引言

隨著因特網(wǎng)的高速發(fā)展和公司及各大型組織規(guī)模的不斷壯大，傳統(tǒng)的公司間的數(shù)據(jù)傳輸模式已遠(yuǎn)不能滿足公司及組織發(fā)展的需要。在公司及其各分部之間建立一條跨越地區(qū)乃至國家的網(wǎng)絡(luò)線路就成了各大型公司及組織的當(dāng)務(wù)之急。而在網(wǎng)絡(luò)線路的設(shè)計(jì)過程中伴隨而來的是組織內(nèi)部間的數(shù)據(jù)安全性及傳輸可靠性的問題。本文通過實(shí)際案例說明了組織內(nèi)部的通信網(wǎng)絡(luò)的設(shè)計(jì)方案。Intranet，又稱為企業(yè)內(nèi)部網(wǎng)，是Internet技術(shù)在企業(yè)內(nèi)部的應(yīng)用，它實(shí)際上是采用Internet技術(shù)建立的企業(yè)內(nèi)部網(wǎng)絡(luò)[1]。

2組網(wǎng)案例分析

2.1業(yè)務(wù)背景及需求分析

2.1.1業(yè)務(wù)背景

該Intranet的應(yīng)用對(duì)象為一個(gè)大型政務(wù)機(jī)構(gòu)，其組織機(jī)構(gòu)包括1個(gè)總部、11個(gè)分部和109個(gè)基層單位，地理分布范圍達(dá)上千公里，需在總部和各分部均組建本地局域網(wǎng)，各本地網(wǎng)之間經(jīng)遠(yuǎn)程通信鏈路互聯(lián)，各基層單位則分別接入所屬分部。

2.1.2需求分析

本案例要求給出實(shí)現(xiàn)總部與各分部、分部與各基層單位互連通信的設(shè)計(jì)方案，其主要需求如下：

（1）總部和各分部均為本地局域網(wǎng)，各基層單位為單機(jī)工作站。

（2）高可靠性要求：任意鏈路或節(jié)點(diǎn)失效，系統(tǒng)其余部分的主路由仍可以正常運(yùn)行。

（3）信息傳輸?shù)牡蜁r(shí)延，高帶寬利用率需求。

（4）較高的安全性要求。

（5）盡可能低的構(gòu)建與運(yùn)行成本。

（6）信息流量的性質(zhì)：主要是具有突發(fā)性特征的數(shù)據(jù)，預(yù)期以后將加入語音和靜止圖像信息。

（7）整個(gè)機(jī)構(gòu)使用的IP地址為172.16.0.0。

2.2網(wǎng)絡(luò)設(shè)計(jì)方案

2.2.1網(wǎng)絡(luò)關(guān)鍵技術(shù)選型

（1）廣域網(wǎng)線路選型

中國移動(dòng)、電信、聯(lián)通、廣電等電信運(yùn)營商都已經(jīng)大規(guī)模建設(shè)了基于SDH的骨干光傳輸網(wǎng)絡(luò)。由于該案例中總部和分部距離很遠(yuǎn)，地理分布范圍達(dá)上千公里，同時(shí)由于“信息傳輸?shù)牡蜁r(shí)延，高帶寬利用率需求”，所以打算租用這些SDH的通信線路實(shí)現(xiàn)WAN的永久連接。具體的價(jià)格需要跟線路供應(yīng)商商談。

（2）VPN技術(shù)

該案例中為保證企業(yè)內(nèi)部的信息安全，同時(shí)由于線路過長，所以采用VPN技術(shù)來實(shí)現(xiàn)內(nèi)部信息安全的保證。選擇硬件設(shè)備的時(shí)候也要求支持該技術(shù)。

（3）VLAN技術(shù)

VLAN是邏輯上的網(wǎng)絡(luò)，可以避免實(shí)際網(wǎng)絡(luò)的許多缺點(diǎn)和限制，我們利用VLAN技術(shù)實(shí)現(xiàn)本案例中各個(gè)分部及其下屬各基層單位之間的聯(lián)系和安全性要求。11分部的11個(gè)VLAN再與總部相連接。

2.2.2廣域網(wǎng)設(shè)計(jì)

整體設(shè)計(jì)思路：針對(duì)該案例的“高可靠性需求：任意鏈路或節(jié)點(diǎn)失效，系統(tǒng)其余部分的主路由仍可以正常運(yùn)行”，該案例網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用以總部為中心的星型結(jié)構(gòu)，該廣域網(wǎng)以供應(yīng)商提供的SDH線路為基礎(chǔ)，以總部為中心，將11個(gè)分部的局域網(wǎng)連接起來。

由于該案例租用公用SDH網(wǎng)絡(luò)實(shí)現(xiàn)連接，為了保證廣域網(wǎng)內(nèi)部的信息傳遞的安全性，需要采用VPN技術(shù)建立通信信道。在所有要經(jīng)過公用網(wǎng)的地方都采用VPN建立通信隧道。整個(gè)廣域網(wǎng)內(nèi)采用網(wǎng)內(nèi)的IP實(shí)現(xiàn)Vlan，每個(gè)區(qū)域采用統(tǒng)一的外部IP連入Internet，對(duì)于區(qū)域內(nèi)的機(jī)器通過NAT實(shí)現(xiàn)內(nèi)外IP地址的轉(zhuǎn)換。在每一個(gè)路由器上安裝NAT軟件以實(shí)現(xiàn)網(wǎng)絡(luò)地址的轉(zhuǎn)換。

（1）廣域網(wǎng)路由協(xié)議

OSPF是由IETF開發(fā)的，它于1990年成為標(biāo)準(zhǔn)，現(xiàn)在大多數(shù)路由器廠商都支持OSPF，并且它已成為最主要的內(nèi)部網(wǎng)關(guān)協(xié)議。它不但具有較高的效率，而且有可靠的安全機(jī)制和良好的開放性[5]。

（2）總部的中心節(jié)點(diǎn)設(shè)計(jì)

由于總部是該廣域網(wǎng)的中心節(jié)點(diǎn)，總部與各分部之間要完成通信，各分部之間的通信也要通過總部中心節(jié)點(diǎn)來完成，同時(shí)總部也是整個(gè)廣域網(wǎng)的控制、管理和維護(hù)中心。

基于以上原因，要在總部配置兩臺(tái)匯接路由器，使廣域網(wǎng)的中心節(jié)點(diǎn)具有較高的包轉(zhuǎn)發(fā)和交換能力、足夠的接入端口種類和數(shù)量，同時(shí)具有較強(qiáng)的管理控制能力等功能。

（3）分部和下屬基層工作站的設(shè)計(jì)

為各分部配置一臺(tái)CISCO RV082路由器采用一個(gè)同步串口經(jīng)SDH和總部相連，并作為廣域網(wǎng)接入使用。對(duì)于109個(gè)基層的單機(jī)工作站，采用CISCO RV042通過區(qū)域SDH線路與就近分部的路由器相連。同時(shí)該兩款路由器都支持VPN和NAT。

（4）網(wǎng)絡(luò)拓?fù)鋱D：如下圖一所示

（5）設(shè)備連接示意圖：如下圖二所示

2.2.3網(wǎng)絡(luò)安全的設(shè)計(jì)

（1）Internet出口及防火墻區(qū)域設(shè)計(jì)

該案例中為廣域網(wǎng)設(shè)計(jì)統(tǒng)一的Internet出口，以確保對(duì)Internet訪問的控制和保護(hù)內(nèi)部企業(yè)網(wǎng)。

（2）網(wǎng)絡(luò)防病毒設(shè)計(jì)

在本案例中，為每一臺(tái)計(jì)算機(jī)安裝防病毒軟件，實(shí)時(shí)偵測病毒的入侵。

（3）VPN加密技術(shù)

本案例中采用的是IPSec DES加密技術(shù)和防篡改技術(shù)，組建行業(yè)VPN網(wǎng)絡(luò)，對(duì)雙向流動(dòng)的數(shù)據(jù)進(jìn)行加密，傳輸?shù)臄?shù)據(jù)就可以得到有效的保護(hù)。[6]

圖一總體網(wǎng)絡(luò)拓?fù)鋱D 圖二設(shè)備連接示意圖

3結(jié)束語

該設(shè)計(jì)方案在具體的線路及組網(wǎng)技術(shù)的選擇過程中還有一定的欠缺，需要在實(shí)際的應(yīng)用中去發(fā)現(xiàn)其中所存在的問題并及時(shí)的更正解決。本方案僅僅是諸多大型Intranet廣域網(wǎng)設(shè)計(jì)方案的一個(gè)雛形。

參考文獻(xiàn)：

[1]http://baike.baidu.com/view/21956.htm.

[2]http://www.zol.com.cn.

[3]蔣志洪,李遠(yuǎn)征,趙驟.基于Intranet方式的港口集成信息系統(tǒng)[J].水運(yùn)科學(xué)研究所學(xué)報(bào),2001(3).

[4]Tanenbaum A S Computer Networks (Fourth Edition).New York Pearson Hall Inc.2004.

[5]IETF Working Group on Integrated Services http://www.ietf org/htmlcharters/intser-charter html.

[6]Lian f l, et al Performance evaluation of control networks: Ethemet, Control Net,and Device Net.IEEE ControlMagazine,2001,Feb:66-83.