中小型园区网的规划与设计

摘要：随着信息技术以及网络技术的快速发展，中小型园区网的设计与实现对现代网络技术的要求日益增加。本文从网络建设的需求分析出发，提出了构建现代中小型园区网的思路，运用科学的 IP 规划方案，构建具有高安全性、高可靠性、易维护性和可扩展性的园区网络。

关键词：网络；规划；设计；安全性

目前，中国正在逐步转变经济增长方式，提升产业结构，各地方城市正努力打造一个个中、小型园区，用于集中发展经济产业，而发展信息化是实现一个园区创新发展的必要条件。组建一个高稳定性、强壮性、安全性、可管理性的计算机网络平台；提供多业务、多协议、多服务的计算机网络体系；实现工业生产、科研、行政管理和内外通信等目标的计算机园区网络基础应用；继而紧随信息社会不断前进的步伐，扩充建设拟定远程网络应用、信息资源库、园区内 IP 电话系统、视频点播、多媒体服务、数字化办公及园区“一卡通”应用系统等。

一、系统需求分析

1. 配置简单方便：为了保证客户端使用的便利性，将采用便于管理和配置的客户端以及服务器系统。

2. 设备支持广泛：选择能够适应更多设备的操作系统。

3. 可靠性和稳定性：在网络建设时，要求网络设备必须要具有可靠性和稳定性，从而防止网络系统的瘫痪，并且在网络系统的规划中要求能够提供网络设备的冗余和备份功能。

4. 可管理性：系统需要具备较多的管理工具，以便于网络管理员对整个网络进行监管。

5. 更低的成本：网络的设计必须考虑到经济成本，必须具备实用性和经济性。去选择高性价比的设备。

6. 扩展性：一个易于扩展的网络系统才能适应当今的发展。所有系统的设计要求采用主流的操作系统及应用软件以保障该系统可以在未来几年内适应公司的业务发展需求，便于促进网络的扩展和企业的结构的变化。

7. 安全性：网络安全是网络使用中至关重要的一部分，它直接关系到网络的正常使用

二、网络解决方案设计

1. 接入层认证设计：接入层认证设计使用 802.1X 的安全认证访问技术。

2. 接入层的安全特性设计：在公共网络和内部网络之间必须要有防火墙 ( 软件的或者硬件的 )，以确保园区网络的安全性。

3. 接入层管理成熟度设计：接入层的交换机的首要条件是必须具备良好的适应能力以面对恶劣的环，但对设备的功能要求不能过高，稳定运行是其主要的性能指标。

1. 汇聚层业务支持能力设计：交换设备支持二层、三层、四层协议，支持单播路由协议，如 RIPv2、OSPFv2、BGP4 等。

2. 汇聚层可靠性设计：选择 3 层设备，可大大减轻核心层设备的路由压力，有效平衡路由流量。

3. 汇聚层扩展性设计：汇聚层应选择性价比高的设备，并且功能和性能不能太低。

1. 核心层性能设计：核心层的网络交换机一定要功能性强，本设计从接入层到汇聚层到核心层，依次采用智能二层交换机、千兆智能路由交换机以及万兆骨干智能路由交换机。整网具备良好的硬件基础和性价比，完全提供高效的网络性能，保证未来 3 － 5 年仍然不落后，保证运营网络即使大数据流量情况下的畅通无阻。

2. 核心层扩展性设计：禁止采用任何降低核心层交换机的处理能力，或者增加分组交换延迟时间的方法，应避免增加核心层路由器配置的复杂性。对网络中每个目的地具备充分的可达性以及足够的路由信息来进行交换。发往网络中任何设备的数据包，核心层的路由器不应使用默认路径来到达内部的目的地；聚合路径可用于减少核心层路由表大小。

3. 核心层可靠性设计：核心层设备必须使用双机冗余热备份，也可使用负载均衡功能，来改善网络性能。从接入层到汇聚层再到核心层均采用双千兆设计属性，更是在增加网络带宽的情况下，增加了网络的可靠性。

4.IP 地址规划与 VLAN 划分：在网络的建设中，IP 规划及VLAN 的划分也是至关重要的一部分。合理的划分可使网络更加高效可靠地运行。本文使用 C 类 IPV4 网络地址对园区进行地址划分，确保其在今后较长时间内有良好的可扩展性。

1. 网络的主要安全隐患主要包括：病毒以及木马进行破坏；不法分子利用恶意软件以及外网的非法入侵；私密文件或邮件被非法窃取、访问以及操作；关键部门访问非法网站和敏感信息泄露；备份数据和存储媒体的丢失，被不法分子利用；来自网络中不明黑客攻击；

2. 实现网络的安全对策：

(1) 利用特定的系统安全软件以保护用户以及记录关键操作。这样不仅可以避免外来非法用户对网络的入侵，也能实时对客户端用户使用情况加以掌控，更能让管理员利用网络的改造针对性的服务器、客户端进行全方位的控制。因此需要建设良好的环境来保障园区物理设备的安全、安装防病毒服务器、加强企业对网络资源的管理。

(2) 防火墙部署设计：由于园区网与电信网络是直接光纤接入，经由防火墙分为 DMZ 区域和普通区域。防火墙上做 NAT 转换，分别给客户机端的地址段。分为防火墙接客户区和 DMZ 内主要有各类的服务器，内网主要由 3 层交换机作为核心交换机，下面有两台

2.层交换机做接入。

(3) 用户身份识别：对用户访问的内容进行控制以及快速的去定位到入侵者或者用户，提供园区网追踪网络攻击者。

(4) 广播攻击和病毒抑制：广播攻击的抑制是由 ET 系统和交换机联动实现的。

本文对园区网络的规划与设计基本完善，特别是在对高速骨干网络技术及应用等方面展开分析和讨论，还特别对网络系统的安全问题做了详细的防范设置。只是网络发展较为迅速，难免会出现个别应用系统跟不上时代的步伐，需要逐步进行优化。

[1]陈桂英.校园网建设刍议 [J].内蒙古民族大学学报 ，2008(4):44-45.

[2]冯蕾蕾.广播发射台公共无线局域网建设 [J].有线电视技术 ，2013，20(11):92-95.

[3]田建勇.析星型拓扑设计组建校园局域网 [J].安顺学院学报 ，2011，13(1):90-93.

[4]姚青梅.企业内部网络的构建 [J].炼油与化工 ，2012，23(4):38-40+63-64.

[5]刘屏.跨区域大型企业主干网络建设初探 [J].电子商务 ，2013(2):40-41+56.