一種計算機網絡系統深化設計

王聰穎，朱文秀

（天津市中環系統工程有限責任公司，天津300060）

由于西藏航空成都基地網絡復雜，隨著業務的不斷發展，網絡管理的任務必定會日益繁重，所以在網絡設計中，必須建立一套全面的網絡管理解決方案。 網絡設備必須采用智能化、可管理的設備，同時采用先進的網絡管理軟件， 實現先進的管理，最終實現監控、監測整個網絡的運行情況，合理分配網絡資源、動態配置網絡負載、迅速確定網絡故障等。 通過先進的管理策略、管理工具提高網絡的運行性能、可靠性，簡化網絡的維護工作，從而為辦公、管理提供最有力的保障。

西藏航空成都基地的用戶涉及生產的各環節與部門，為了保證生產的順利進行，防止網絡攻擊、惡意流量影響正常的網絡運行，在所有骨干節點上配置了相應的安全產品。 西藏航空成都基地網絡骨干建設完成后，必須具備很高的安全性，因此在設備選擇上要充分考慮到該設備具備防止DOS 攻擊及傳統病毒攻擊的能力，同時具備防止內部黑客惡意攻擊的能力。要求在異常突發大流量的情況下，核心交換設備具備良好的安全性能， 在大面積病毒發作的情況下，核心傳輸系統能完成數據轉發，同時網絡管理系統能對目標設備進行可控操作。骨干節點設備，均具備很強的抗病毒和惡意攻擊能力，在配備相應的措施后，能使之形成一整套安全保障協防體系。

這些安全產品的應用，要有效地保證用戶網絡系統與流量的安全，可以大大提高針對安全事件的響應能力，從而提高系統的可管理性和整個安全系統的性價比，也使管理員對網絡的控制程度達到靈活迅速和高效，極大提高計算機網絡的堅固性。

1 網絡總體結構設計

根據西藏航空成都基地的實際情況，在網絡系統的設計中，將采用模塊化的網絡體系結構。 根據網絡系統中不同的功能將整個網絡系統分為功能相對獨立的模塊，整體網絡功能通過增加或刪除模塊來進行調整， 模塊劃分以邏輯上功能相近為原則，模塊可獨立擴展，也可在網絡上方便地添加不同的模塊，而不影響其他模塊的網絡互聯，模塊之間的連接通過局域網核心節點設備實現。

較大規模的網絡設計通常要遵循層次化設計模型。 根據西藏航空成都基地的特點，使用層次化的思想， 將西藏航空成都基地網絡分為核心層、接入層。 核心層主要承擔高速數據交換的任務，同時要為各匯聚節點提供最佳傳輸通道。 接入層的主要任務是完成用戶的接入，它直接和用戶連接，可能遭受ARP 風暴、MAC 掃描、ICMP 風暴、帶寬攻擊等等攻擊方式，對安全性的要求很高，另一方面必須提供靈活的用戶管理手段。

通過層次化的網絡設計，網絡的不同層次設備承擔不同的任務，使整個網絡結構清晰，便于維護和管理，便于以后的網絡擴展。本次網絡總體架構分為辦公樓與酒店樓兩部分，兩部分的網絡物理隔離，辦公樓里的部分信息系統也采用隔離的獨立網絡[1]。

2 核心骨干節點規劃設計

核心節點的網絡設備需要高速運送整個西藏航空成都基地企業的流量，設備承載的壓力較大。 因此核心節點的建設，通常必須遵循以下幾個原則：①必須能夠提供故障隔離功能；②必須具有迅速升級能力；③必須具有較少的時延和好的可管理性。

作為西藏航空成都基地企業網絡的最高級節點，負責各種業務數據流量的轉發，是整個園區網最核心部分，它的性能、可靠性將極大地影響整個網絡的運行情況。 核心節點設備必須能滿足核心節點高可靠性、高穩定性及高性能等方面的需求[2]。

3 網絡方案設計

根據西藏航空成都基地網絡建設需求以及上文結構規劃和設備選擇，本次西藏航空成都基地網絡方案如圖1 所示。

圖1 網絡方案結構Fig.1 Network scheme structure

網絡按照模塊化、層次化結構設計。 在本方案中，具體組網如下：

核心節點設備選擇萬兆核心路由交換機， 部分子系統核心交換機，每個節點配置千兆接口板實現節點之間的互連。 二級節點接入層交換機選擇交換機配置千兆兆光口實現與核心節點設備之間的千兆兆連接。酒店客用網絡為實現移動終端上網的需求，在有線網絡的基礎上擴展無線網絡，每個AP 互聯至樓層POE 交換機并實現供電。 無線AP 采用雙頻設計同時滿足2.4 G 與5 G 移動終端接入，并采用最新無線協議，有效提高用戶訪問網絡速度。在酒店辦公網與酒店客用網中心各配置一套智能管理中心系統（iMC），實現對全網所有網絡設備的統一管理[3]。

4 總體路由策略

在網絡基礎平臺的建設中，無論是大型的Internet 骨干網絡還是企業內部的Intranet， 系統內部路由協議的選擇是非常重要的，因而不同路由協議的選擇與不同路由策略實現可以直接或間接地影響系統通信的效率，特別是對路由表的收斂性的影響與廣域網線路帶寬的利用率的影響會非常大。

從路由表建立的機制上講， 我們可以將通過2種方法完成。 一是手工建立路由表，即采用靜態路由；二是由路由設備自動完成路由表，即采用動態路由協議。 對于本次西藏航空成都基地網絡設計，必須提出合理的路由規劃設計。 針對西藏航空成都基地的局域網絡和廣域網絡的情況，分別提出如下的設計，對局域網絡的路由的規劃：現有的西藏航空成都基地的網絡沒有采用路由協議，目前是一個大的二層的交換的網絡。 如果繼續采用這種方式，隨著ERP 系統在網絡中的實施和應用， 網絡中的VLAN 數量， 以及每個VLAN 中的用戶數量都會有很大的增長， 對于一個網絡來說， 如果有過多的VLAN 穿透骨干，而且在新的拓撲的結構下，會在二層形成環路，同時如果因為設備的異常或者病毒的爆發，會形成二層的廣播風暴，會使核心節點設備的性能急劇下降。 因此，在本次的網絡的改造中，具體的IGP 路由協議的選擇設計為使用OSPF。

整個西藏航空成都基地網絡的路由規劃主要為局域網的路由規劃。 西藏航空成都基地網絡系統對外界互聯網而言是一個獨立自治域。 為了保證全網路由的一致性和可達性，保證冗余鏈路之間的互為備份和負載分擔，需要啟用IGP 路由協議。 我們建議在全網配置統一的IGP 路由協議[4]。

5 IP 地址及VLAN 規劃

IP 地址的合理規劃是網絡設計中的重要一環，大型計算機網絡必須對IP 地址進行統一規劃并得到實施。 IP 地址規劃的好壞，影響到網絡路由協議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將直接影響到網絡應用的進一步發展。

IP 地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。對于本期IP 地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現最佳的網絡內地址分配及業務流量的均勻分布。

IP 地址的分配和網絡組織、路由策略以及網絡管理等都有密切的關系，具體的IP 地址分配將通常在工程實施時統一規劃實施，這里主要描述IP 地址分配的原則。

主要的原則描述為IP 地址分配要盡量給每個生產廠分配連續的IP 地址空間；相同的業務和功能盡量分配連續的IP 地址空間，有利于路由聚合以及安全控制。

IP 地址的規劃與劃分應該考慮到西藏航空成都基地各節點的發展，能夠滿足未來發展的需要；即要滿足本期工程對IP 地址的需求，同時要充分考慮未來業務發展，預留相應的地址段；地址分配是由業務驅動，按照業務量的大小分配各地的地址段；IP地址的分配必須采用VLSM（變長掩碼）技術，保證IP地址的利用效率；采用CIDR 技術，這樣可以減小路由器路由表的大小， 加快路由器路由的收斂速度，也可以減小網絡中廣播的路由信息的大小；在公有地址有保證的前提下，盡量使用公有地址，主要包括設備loopback 地址、設備間互連地址。 充分合理利用已申請的地址空間，提高地址的利用效率。

IP 地址規劃應該是西藏航空成都基地企業網絡整體規劃的一部分，即IP 地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。 IP地址的規劃應盡可能和網絡層次相對應，應該是自頂向下的一種規劃[5]。

6 結語

對于西藏航空成都基地網絡系統，良好的層次設計為網絡的可靠性、網絡性能和網絡的可擴展性都提供了良好的保障。 目前，網絡面臨的是不斷增長的對性能和可擴充性的需要。 除此之外，網絡還必須保證提供一些關鍵特性，例如高可用性、可管理性和靈活性等。 隨著網絡上承載的業務應用系統的增多和新技術的推出，如何設計網絡和如何滿足這些不斷增長的需求，我們建設的是提供一個高性能的、具有擴充能力的，能為新增業務應用系統提供基礎環境的網絡系統，以提供更大的靈活性和網絡增長的潛力。