企業計算機網絡改造

姚明

（新疆五鑫銅業有限責任公司阜康831500）

企業計算機網絡改造

姚明

（新疆五鑫銅業有限責任公司阜康831500）

通過對我公司計算機網絡進行合理化構建架構，解決了改造前內網病毒攻擊無法控制，外網訪問無法審計等問題，實現了網絡架構的標準化和合理化，滿足了用戶需求及對上網計算機的可管理性。

計算機網絡架構改造上網行為管理

1 前言

隨著計算機網絡技術的飛速發展，企業內部網已經成為現代企業必不可少的一部分，設計和建立好企業局域網對企業信息化工作至關重要。

2 改造前網絡狀況

整個公司辦公網絡計算機直接或通過HUB連接到兩臺不可設置的二層中心交換機，兩臺中心交換機通過級聯進行連接，服務器通過一個二層交換機連入中心交換機，宿舍區域（包括專家樓、1號宿舍樓、2號宿舍樓）通過其中一個二層交換機接入中心交換機，宿舍區域交換機全部通過級聯進行連接，中心交換機中的一個通過防火墻連入internet網，租用帶寬為30 M。

此網絡架構運行出現的問題，所有的計算機處于同一網段，發生局域網病毒造成范圍較大，幾乎癱瘓；服務器組暴露在局域網內，容易受到攻擊；中心交換機通過級聯進行連接，出現故障后，造成范圍較大，特別是宿舍網絡，全部是級聯，連接至后面的交換機受前級交換機影響很大，網絡運行嚴重受制約；無法對內網用戶進行合理管理；無法對所以上網用戶進行上網審計，管理；整個網絡網速很慢，包括外網和內網。

改造前網絡拓撲圖見圖1。

圖1 改造前網絡拓撲圖

3 問題分析

⑴全部上網計算機接入二層交換機，會造成二層交換機負荷較大，無法滿足用戶數據交換能力，是造成內網數據傳輸慢的主要原因。

⑵各個交換機大部分是通過級聯進行連接和二層中心交換機交換能力產生瓶頸是造成上外網緩慢的主要原因。

⑶各個部門相互間沒有應有的保護，是沒有可管理的三層交換機。

⑷服務器暴露在內網內，是沒有設置服務器防火墻。

⑸整個網絡易受局域網病毒攻擊，是各個部門在同一網段下，沒有合理劃分網段造成的。

⑹整個網絡沒有三層功能，無法實現網絡控制等安全機制。

4 網絡架構改造

針對上述問題，采用招標方式購買如下設備，三層交換機4臺，核心交換機1臺，可管理的二層交換機4臺，上網行為管理設備一臺，內網防火墻一臺，具體安裝位置見圖2。

圖2 網絡架構改造安裝圖

通過2臺辦公樓三層交換機，1臺廠區三層交換機對辦公部門劃分VLAN，使得各個部門的廣播域控制在自己部門內，當然如果有局域網病毒攻擊，也可以控制在最小范圍內。

服務器組前安裝內網防護墻，設置策略，讓特定的用戶訪問特定的服務器，沒有權限的用戶無法訪問任何服務器。

宿舍網通過一臺三層交換機和3臺可管理的二層交換機，合理劃分網段，糾正架構錯誤。

辦公網，服務器組，宿舍網接入核心交換機，核心交換機功能強大，完全有能力處理數據交換負荷。

在防火墻和核心交換機間安裝一臺上網行為管理，進行所有用戶的上網管理。

5 應用效果

通過以上設備安裝及設置,網絡帶寬大大提高，局域網內實現千兆網速，網絡主干交換機的交換性能有了很大的提高，使各種應用的訪問速度大大提高，同時網絡的復雜程度降低，故障率大大降低，便于管理員的日常管理和維護；通過連接方式和升級部分設備的方法解決了辦公樓，宿舍樓，廠區，服務器組等的網絡訪問速度慢的問題；網絡實現了三層的功能，劃分了VLAN一隔離IP廣播，可以支持安全訪問機制。

[1]國家標準《電子計算機機房設計規范》（GB50174-93）.

收稿：2014-03-14