论文部分内容阅读
摘 要:某大型外资集团为了扩大生产规模和配合国家产业转型战略的需要,将集团搬迁到某市新建成的高新技术产业开发区,我作为该集团信息技术部门的技术骨干负责园区的规划设计工作。该网络建设项目总投资1800万元,历时10个月。在园区网络建设项目中我主要采用万兆核心、千兆汇聚层、百兆到桌面的三层结构以太网络设计方案,根据功能应用的不同分为服务器区、生产区、办公区、生活区等。通过双千兆光纤专线分别连接中国电信、中国联通Internet,在网络出口部署防火墙和上网行为管理设备,保护网络出口的安全。在内部网络通过实施网络准入控制,阻止非法接入行为,从而增强了内部网络的安全性。本文结合作者实际经验,以该项目为例,讨论了大中型无线网络规划与设计。
关键词:网络规划;分配;提供;覆盖
我在某大型外资集团信息技术部门工作,该集团是一家拥有50年建厂历史的大型制造业企业,年营业额近30亿元,随着集团业务的不断增长,原来的生产场地不能满足业务发展的需要,2016年为了配合国家产业转型战略的需要,将集团搬迁到某市新建成的高新技术产业开发区,我作为集团信息技术部门的技术骨干,负责园区网络的规划设计工作。该网络建设项目总投资1800万元,历时10个月。通过双千兆光纤专线分别连接中国电信、中国联通Internet,在网络出口部署防火墙和上网行为管理设备,保护网络出口的安全。在内部网络通过实施网络准入控制,阻止非法接入行为,从而增强了内部网络的安全性。集团90%的区域实现无线网络覆盖,生产办公区域实现2.4Ghz、5Ghz双频覆盖。为职员移动办公提供了便利。
下面以我负责规划设计的某大型外资集团园区网络建设项目为背景,介绍大中型无线网络规划与设计。
1、园区网络的总体情况
在项目的前期阶段,我进行了大量的需求收集和信息整理工作,并按照合理规划、适度先进、可靠性高的总体要求进行网络规划设计工作。
在集团园区网络建设项目中我主要采用万兆核心、千兆汇聚、百兆到桌面的三层结构以太网络设计方案。根据功能应用的不同分为服务器区、生产区、办公区、生活区等。根据各区域对安全性要求的不同,实施相应的网络安全策略。将生活区网络与生产办公区网络进行物理隔离,从而增强生产办公区域网络的安全性。通过配置Microsoft NPS+CA+DHCP+Cisco2960交换机相结合的方式,实施网络的准入控制。在NPS网络策略中配置VLAN属性,将通过认证的合法用户分配到相应的VLAN中,再对VLAN实施访问控制。多层次的保护内部网络的数据安全,防止数据泄漏,从而保护集团的知识产权。
核心层通过MPLS VPN配置GRE隧道的方式與异地子公司网络互联,使用IPSec做为备用线路,提高虚似专用网络的可用性和传输数据的安全性,并利用深信服WOC产品对数据流量进行压缩,减少了60%的通信流量。在网络出口处,通过配置Cisco 3825内置防火墙和Microsoft TMG 多重安全网关,保护网络出口的安全,以及配置QoS策略,为ERP、Email、视频会议等预留带宽。使用深信服上网行为管理设备控制和监视员工的上网行为,避免资源滥用。在所有计算机上安装Symantec SEP防病毒软件,利用Symantec SEP的USB端口管理功能,禁止USB存储设备的读写,从而防止数据被非法获取。所有网络设备均配置了冗余链路和配置STP、VRRP等协议,实现网络的高可用。
2、无线网络规划
在无线网络规划中,我采用H3C无线控制器和瘦AP组网的方式,进行无线网络的规划。为了减少投资,在该项目中,我尽可能继续使用原有的设备。为了保证与旧设备的兼容性,在产品选型中我采用了与原有设备同一产家,且技术成熟、知名度较高的H3C的产品。将原来的胖AP通过固件升级的方式升级为瘦AP,对不能进行升级的设备调配到其它区域中,如:将不能升级的胖AP调配到访客区,为客户提供Internet上网服务。从而最大化的保护原有的投资。
采用专业软件实地测试的方式,根据信号衰减的不同和用户分布情况,合理部署AP,通过无线控制器调整AP的发射功率和连接数,使无线性能达到最优。在生产办公区中,考虑到用户较为密集以及无线设备急剧增加的特点,且2.4Ghz仅有三个互不相干的信道,在实际应用中,无线用户密集的区域需要部署3-6个AP,无法避免信道干挠问题,为此,我综合考虑性价比等因素,选择了同时支持 2.4Ghz、5Ghz双频的AP产品,既保证与旧设备的兼容,又提供5Ghz的高带宽、高性能,从而满足了无线用户的接入需求。
3、旧设备利用
在园区网络建设项目中,由于经费的限制,及要求最大化的保护原有的投资,在网络规划设计中,我基于在公司多年的工作经验,对旧设备的状况和性能非常了解,有利于我对设备进行升级改造。在旧设备利用上,我将原有性能较好的核心层CISCO6506交换机依旧部署在核心层,并购买同一型号新的核心交机,在新旧交换机之间运行GLBP协议,增强了核心网络的性能,避免单点故障,实现了核心层的升级改造。对使用年限较久的cisco3550交换机分配到接入层使用。
4、IP地址规划
合理的规划VLAN和IP地址有利于安全策略的实施以及有利于网络扩展。在逻辑网络设阶段,我进行了大量的论证工作,使IP地址的规划能够满足设备接入以及今后扩展的需要。我采用了分区域、分功能和根据各区域对安全性要求不同的特点进行VLAN的IP地址规划。在项目中采用了A类地址段10.X.Y.Z进行规划,X代表各大区域,如服务器区、生产区、办公区、生活区;Y代表各楼层、部门等,Z为主机地址。为每个子网预留一定数量的IP地址,满足未来设备增加的需要。我申请了30个公网地址,为对外提供服务的Exchange Edge边沿服务器、Web Site、Sharepoint Edge服务器分配固定IP。通过NAT转换的方式为内部提供Internet访问。
通过项目组全体成员的不懈努力,于2016年12月集团园区网络建设项目按期完工,为集团的顺利搬迁提供了网络保障。在网络运行过程中我发现内部用户可以在自己的手机上输入D(windows活动目录)帐号和密码轻易连接上无线网络,对内部网络和数据安全构成威胁,为此,我进行深入分析和评估可能造成的后果,于是将无线网络认证方式改为EAP-LTS采用数字证书认证的方式,解决了无线网络的安全漏洞。因使用了大量的旧设备,虽然进行了新老设备的冗余配置,但在后期还是要提供备品备件,当设备损坏时能够及时进行更换。网络自运行以来,整体运行稳定,达到了预期的目标。现阶段我正在制定相应的网络安全制度,从制度上保证网络的安全。
作者简介
吴义芝(1977—),男,广州工商学院,讲师,主要研究方向:分布式计算,网络,信息系统项目管理。
(作者单位:广州工商学院)
关键词:网络规划;分配;提供;覆盖
我在某大型外资集团信息技术部门工作,该集团是一家拥有50年建厂历史的大型制造业企业,年营业额近30亿元,随着集团业务的不断增长,原来的生产场地不能满足业务发展的需要,2016年为了配合国家产业转型战略的需要,将集团搬迁到某市新建成的高新技术产业开发区,我作为集团信息技术部门的技术骨干,负责园区网络的规划设计工作。该网络建设项目总投资1800万元,历时10个月。通过双千兆光纤专线分别连接中国电信、中国联通Internet,在网络出口部署防火墙和上网行为管理设备,保护网络出口的安全。在内部网络通过实施网络准入控制,阻止非法接入行为,从而增强了内部网络的安全性。集团90%的区域实现无线网络覆盖,生产办公区域实现2.4Ghz、5Ghz双频覆盖。为职员移动办公提供了便利。
下面以我负责规划设计的某大型外资集团园区网络建设项目为背景,介绍大中型无线网络规划与设计。
1、园区网络的总体情况
在项目的前期阶段,我进行了大量的需求收集和信息整理工作,并按照合理规划、适度先进、可靠性高的总体要求进行网络规划设计工作。
在集团园区网络建设项目中我主要采用万兆核心、千兆汇聚、百兆到桌面的三层结构以太网络设计方案。根据功能应用的不同分为服务器区、生产区、办公区、生活区等。根据各区域对安全性要求的不同,实施相应的网络安全策略。将生活区网络与生产办公区网络进行物理隔离,从而增强生产办公区域网络的安全性。通过配置Microsoft NPS+CA+DHCP+Cisco2960交换机相结合的方式,实施网络的准入控制。在NPS网络策略中配置VLAN属性,将通过认证的合法用户分配到相应的VLAN中,再对VLAN实施访问控制。多层次的保护内部网络的数据安全,防止数据泄漏,从而保护集团的知识产权。
核心层通过MPLS VPN配置GRE隧道的方式與异地子公司网络互联,使用IPSec做为备用线路,提高虚似专用网络的可用性和传输数据的安全性,并利用深信服WOC产品对数据流量进行压缩,减少了60%的通信流量。在网络出口处,通过配置Cisco 3825内置防火墙和Microsoft TMG 多重安全网关,保护网络出口的安全,以及配置QoS策略,为ERP、Email、视频会议等预留带宽。使用深信服上网行为管理设备控制和监视员工的上网行为,避免资源滥用。在所有计算机上安装Symantec SEP防病毒软件,利用Symantec SEP的USB端口管理功能,禁止USB存储设备的读写,从而防止数据被非法获取。所有网络设备均配置了冗余链路和配置STP、VRRP等协议,实现网络的高可用。
2、无线网络规划
在无线网络规划中,我采用H3C无线控制器和瘦AP组网的方式,进行无线网络的规划。为了减少投资,在该项目中,我尽可能继续使用原有的设备。为了保证与旧设备的兼容性,在产品选型中我采用了与原有设备同一产家,且技术成熟、知名度较高的H3C的产品。将原来的胖AP通过固件升级的方式升级为瘦AP,对不能进行升级的设备调配到其它区域中,如:将不能升级的胖AP调配到访客区,为客户提供Internet上网服务。从而最大化的保护原有的投资。
采用专业软件实地测试的方式,根据信号衰减的不同和用户分布情况,合理部署AP,通过无线控制器调整AP的发射功率和连接数,使无线性能达到最优。在生产办公区中,考虑到用户较为密集以及无线设备急剧增加的特点,且2.4Ghz仅有三个互不相干的信道,在实际应用中,无线用户密集的区域需要部署3-6个AP,无法避免信道干挠问题,为此,我综合考虑性价比等因素,选择了同时支持 2.4Ghz、5Ghz双频的AP产品,既保证与旧设备的兼容,又提供5Ghz的高带宽、高性能,从而满足了无线用户的接入需求。
3、旧设备利用
在园区网络建设项目中,由于经费的限制,及要求最大化的保护原有的投资,在网络规划设计中,我基于在公司多年的工作经验,对旧设备的状况和性能非常了解,有利于我对设备进行升级改造。在旧设备利用上,我将原有性能较好的核心层CISCO6506交换机依旧部署在核心层,并购买同一型号新的核心交机,在新旧交换机之间运行GLBP协议,增强了核心网络的性能,避免单点故障,实现了核心层的升级改造。对使用年限较久的cisco3550交换机分配到接入层使用。
4、IP地址规划
合理的规划VLAN和IP地址有利于安全策略的实施以及有利于网络扩展。在逻辑网络设阶段,我进行了大量的论证工作,使IP地址的规划能够满足设备接入以及今后扩展的需要。我采用了分区域、分功能和根据各区域对安全性要求不同的特点进行VLAN的IP地址规划。在项目中采用了A类地址段10.X.Y.Z进行规划,X代表各大区域,如服务器区、生产区、办公区、生活区;Y代表各楼层、部门等,Z为主机地址。为每个子网预留一定数量的IP地址,满足未来设备增加的需要。我申请了30个公网地址,为对外提供服务的Exchange Edge边沿服务器、Web Site、Sharepoint Edge服务器分配固定IP。通过NAT转换的方式为内部提供Internet访问。
通过项目组全体成员的不懈努力,于2016年12月集团园区网络建设项目按期完工,为集团的顺利搬迁提供了网络保障。在网络运行过程中我发现内部用户可以在自己的手机上输入D(windows活动目录)帐号和密码轻易连接上无线网络,对内部网络和数据安全构成威胁,为此,我进行深入分析和评估可能造成的后果,于是将无线网络认证方式改为EAP-LTS采用数字证书认证的方式,解决了无线网络的安全漏洞。因使用了大量的旧设备,虽然进行了新老设备的冗余配置,但在后期还是要提供备品备件,当设备损坏时能够及时进行更换。网络自运行以来,整体运行稳定,达到了预期的目标。现阶段我正在制定相应的网络安全制度,从制度上保证网络的安全。
作者简介
吴义芝(1977—),男,广州工商学院,讲师,主要研究方向:分布式计算,网络,信息系统项目管理。
(作者单位:广州工商学院)