一種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)深化設(shè)計(jì)

王聰穎，朱文秀

（天津市中環(huán)系統(tǒng)工程有限責(zé)任公司，天津300060）

由于西藏航空成都基地網(wǎng)絡(luò)復(fù)雜，隨著業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)管理的任務(wù)必定會(huì)日益繁重，所以在網(wǎng)絡(luò)設(shè)計(jì)中，必須建立一套全面的網(wǎng)絡(luò)管理解決方案。 網(wǎng)絡(luò)設(shè)備必須采用智能化、可管理的設(shè)備，同時(shí)采用先進(jìn)的網(wǎng)絡(luò)管理軟件， 實(shí)現(xiàn)先進(jìn)的管理，最終實(shí)現(xiàn)監(jiān)控、監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，合理分配網(wǎng)絡(luò)資源、動(dòng)態(tài)配置網(wǎng)絡(luò)負(fù)載、迅速確定網(wǎng)絡(luò)故障等。 通過(guò)先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運(yùn)行性能、可靠性，簡(jiǎn)化網(wǎng)絡(luò)的維護(hù)工作，從而為辦公、管理提供最有力的保障。

西藏航空成都基地的用戶涉及生產(chǎn)的各環(huán)節(jié)與部門(mén)，為了保證生產(chǎn)的順利進(jìn)行，防止網(wǎng)絡(luò)攻擊、惡意流量影響正常的網(wǎng)絡(luò)運(yùn)行，在所有骨干節(jié)點(diǎn)上配置了相應(yīng)的安全產(chǎn)品。 西藏航空成都基地網(wǎng)絡(luò)骨干建設(shè)完成后，必須具備很高的安全性，因此在設(shè)備選擇上要充分考慮到該設(shè)備具備防止DOS 攻擊及傳統(tǒng)病毒攻擊的能力，同時(shí)具備防止內(nèi)部黑客惡意攻擊的能力。要求在異常突發(fā)大流量的情況下，核心交換設(shè)備具備良好的安全性能， 在大面積病毒發(fā)作的情況下，核心傳輸系統(tǒng)能完成數(shù)據(jù)轉(zhuǎn)發(fā)，同時(shí)網(wǎng)絡(luò)管理系統(tǒng)能對(duì)目標(biāo)設(shè)備進(jìn)行可控操作。骨干節(jié)點(diǎn)設(shè)備，均具備很強(qiáng)的抗病毒和惡意攻擊能力，在配備相應(yīng)的措施后，能使之形成一整套安全保障協(xié)防體系。

這些安全產(chǎn)品的應(yīng)用，要有效地保證用戶網(wǎng)絡(luò)系統(tǒng)與流量的安全，可以大大提高針對(duì)安全事件的響應(yīng)能力，從而提高系統(tǒng)的可管理性和整個(gè)安全系統(tǒng)的性價(jià)比，也使管理員對(duì)網(wǎng)絡(luò)的控制程度達(dá)到靈活迅速和高效，極大提高計(jì)算機(jī)網(wǎng)絡(luò)的堅(jiān)固性。

1 網(wǎng)絡(luò)總體結(jié)構(gòu)設(shè)計(jì)

根據(jù)西藏航空成都基地的實(shí)際情況，在網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)中，將采用模塊化的網(wǎng)絡(luò)體系結(jié)構(gòu)。 根據(jù)網(wǎng)絡(luò)系統(tǒng)中不同的功能將整個(gè)網(wǎng)絡(luò)系統(tǒng)分為功能相對(duì)獨(dú)立的模塊，整體網(wǎng)絡(luò)功能通過(guò)增加或刪除模塊來(lái)進(jìn)行調(diào)整， 模塊劃分以邏輯上功能相近為原則，模塊可獨(dú)立擴(kuò)展，也可在網(wǎng)絡(luò)上方便地添加不同的模塊，而不影響其他模塊的網(wǎng)絡(luò)互聯(lián)，模塊之間的連接通過(guò)局域網(wǎng)核心節(jié)點(diǎn)設(shè)備實(shí)現(xiàn)。

較大規(guī)模的網(wǎng)絡(luò)設(shè)計(jì)通常要遵循層次化設(shè)計(jì)模型。 根據(jù)西藏航空成都基地的特點(diǎn)，使用層次化的思想， 將西藏航空成都基地網(wǎng)絡(luò)分為核心層、接入層。 核心層主要承擔(dān)高速數(shù)據(jù)交換的任務(wù)，同時(shí)要為各匯聚節(jié)點(diǎn)提供最佳傳輸通道。 接入層的主要任務(wù)是完成用戶的接入，它直接和用戶連接，可能遭受ARP 風(fēng)暴、MAC 掃描、ICMP 風(fēng)暴、帶寬攻擊等等攻擊方式，對(duì)安全性的要求很高，另一方面必須提供靈活的用戶管理手段。

通過(guò)層次化的網(wǎng)絡(luò)設(shè)計(jì)，網(wǎng)絡(luò)的不同層次設(shè)備承擔(dān)不同的任務(wù)，使整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)清晰，便于維護(hù)和管理，便于以后的網(wǎng)絡(luò)擴(kuò)展。本次網(wǎng)絡(luò)總體架構(gòu)分為辦公樓與酒店樓兩部分，兩部分的網(wǎng)絡(luò)物理隔離，辦公樓里的部分信息系統(tǒng)也采用隔離的獨(dú)立網(wǎng)絡(luò)[1]。

2 核心骨干節(jié)點(diǎn)規(guī)劃設(shè)計(jì)

核心節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備需要高速運(yùn)送整個(gè)西藏航空成都基地企業(yè)的流量，設(shè)備承載的壓力較大。 因此核心節(jié)點(diǎn)的建設(shè)，通常必須遵循以下幾個(gè)原則：①必須能夠提供故障隔離功能；②必須具有迅速升級(jí)能力；③必須具有較少的時(shí)延和好的可管理性。

作為西藏航空成都基地企業(yè)網(wǎng)絡(luò)的最高級(jí)節(jié)點(diǎn)，負(fù)責(zé)各種業(yè)務(wù)數(shù)據(jù)流量的轉(zhuǎn)發(fā)，是整個(gè)園區(qū)網(wǎng)最核心部分，它的性能、可靠性將極大地影響整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。 核心節(jié)點(diǎn)設(shè)備必須能滿足核心節(jié)點(diǎn)高可靠性、高穩(wěn)定性及高性能等方面的需求[2]。

3 網(wǎng)絡(luò)方案設(shè)計(jì)

根據(jù)西藏航空成都基地網(wǎng)絡(luò)建設(shè)需求以及上文結(jié)構(gòu)規(guī)劃和設(shè)備選擇，本次西藏航空成都基地網(wǎng)絡(luò)方案如圖1 所示。

圖1 網(wǎng)絡(luò)方案結(jié)構(gòu)Fig.1 Network scheme structure

網(wǎng)絡(luò)按照模塊化、層次化結(jié)構(gòu)設(shè)計(jì)。 在本方案中，具體組網(wǎng)如下：

核心節(jié)點(diǎn)設(shè)備選擇萬(wàn)兆核心路由交換機(jī)， 部分子系統(tǒng)核心交換機(jī)，每個(gè)節(jié)點(diǎn)配置千兆接口板實(shí)現(xiàn)節(jié)點(diǎn)之間的互連。 二級(jí)節(jié)點(diǎn)接入層交換機(jī)選擇交換機(jī)配置千兆兆光口實(shí)現(xiàn)與核心節(jié)點(diǎn)設(shè)備之間的千兆兆連接。酒店客用網(wǎng)絡(luò)為實(shí)現(xiàn)移動(dòng)終端上網(wǎng)的需求，在有線網(wǎng)絡(luò)的基礎(chǔ)上擴(kuò)展無(wú)線網(wǎng)絡(luò)，每個(gè)AP 互聯(lián)至樓層POE 交換機(jī)并實(shí)現(xiàn)供電。 無(wú)線AP 采用雙頻設(shè)計(jì)同時(shí)滿足2.4 G 與5 G 移動(dòng)終端接入，并采用最新無(wú)線協(xié)議，有效提高用戶訪問(wèn)網(wǎng)絡(luò)速度。在酒店辦公網(wǎng)與酒店客用網(wǎng)中心各配置一套智能管理中心系統(tǒng)（iMC），實(shí)現(xiàn)對(duì)全網(wǎng)所有網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理[3]。

4 總體路由策略

在網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的建設(shè)中，無(wú)論是大型的Internet 骨干網(wǎng)絡(luò)還是企業(yè)內(nèi)部的Intranet， 系統(tǒng)內(nèi)部路由協(xié)議的選擇是非常重要的，因而不同路由協(xié)議的選擇與不同路由策略實(shí)現(xiàn)可以直接或間接地影響系統(tǒng)通信的效率，特別是對(duì)路由表的收斂性的影響與廣域網(wǎng)線路帶寬的利用率的影響會(huì)非常大。

從路由表建立的機(jī)制上講， 我們可以將通過(guò)2種方法完成。 一是手工建立路由表，即采用靜態(tài)路由；二是由路由設(shè)備自動(dòng)完成路由表，即采用動(dòng)態(tài)路由協(xié)議。 對(duì)于本次西藏航空成都基地網(wǎng)絡(luò)設(shè)計(jì)，必須提出合理的路由規(guī)劃設(shè)計(jì)。 針對(duì)西藏航空成都基地的局域網(wǎng)絡(luò)和廣域網(wǎng)絡(luò)的情況，分別提出如下的設(shè)計(jì)，對(duì)局域網(wǎng)絡(luò)的路由的規(guī)劃：現(xiàn)有的西藏航空成都基地的網(wǎng)絡(luò)沒(méi)有采用路由協(xié)議，目前是一個(gè)大的二層的交換的網(wǎng)絡(luò)。 如果繼續(xù)采用這種方式，隨著ERP 系統(tǒng)在網(wǎng)絡(luò)中的實(shí)施和應(yīng)用， 網(wǎng)絡(luò)中的VLAN 數(shù)量， 以及每個(gè)VLAN 中的用戶數(shù)量都會(huì)有很大的增長(zhǎng)， 對(duì)于一個(gè)網(wǎng)絡(luò)來(lái)說(shuō)， 如果有過(guò)多的VLAN 穿透骨干，而且在新的拓?fù)涞慕Y(jié)構(gòu)下，會(huì)在二層形成環(huán)路，同時(shí)如果因?yàn)樵O(shè)備的異?；蛘卟《镜谋l(fā)，會(huì)形成二層的廣播風(fēng)暴，會(huì)使核心節(jié)點(diǎn)設(shè)備的性能急劇下降。 因此，在本次的網(wǎng)絡(luò)的改造中，具體的IGP 路由協(xié)議的選擇設(shè)計(jì)為使用OSPF。

整個(gè)西藏航空成都基地網(wǎng)絡(luò)的路由規(guī)劃主要為局域網(wǎng)的路由規(guī)劃。 西藏航空成都基地網(wǎng)絡(luò)系統(tǒng)對(duì)外界互聯(lián)網(wǎng)而言是一個(gè)獨(dú)立自治域。 為了保證全網(wǎng)路由的一致性和可達(dá)性，保證冗余鏈路之間的互為備份和負(fù)載分擔(dān)，需要啟用IGP 路由協(xié)議。 我們建議在全網(wǎng)配置統(tǒng)一的IGP 路由協(xié)議[4]。

5 IP 地址及VLAN 規(guī)劃

IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP 地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。 IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。

IP 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對(duì)于本期IP 地址的分配應(yīng)該盡可能地利用申請(qǐng)到的地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。

IP 地址的分配和網(wǎng)絡(luò)組織、路由策略以及網(wǎng)絡(luò)管理等都有密切的關(guān)系，具體的IP 地址分配將通常在工程實(shí)施時(shí)統(tǒng)一規(guī)劃實(shí)施，這里主要描述IP 地址分配的原則。

主要的原則描述為IP 地址分配要盡量給每個(gè)生產(chǎn)廠分配連續(xù)的IP 地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP 地址空間，有利于路由聚合以及安全控制。

IP 地址的規(guī)劃與劃分應(yīng)該考慮到西藏航空成都基地各節(jié)點(diǎn)的發(fā)展，能夠滿足未來(lái)發(fā)展的需要；即要滿足本期工程對(duì)IP 地址的需求，同時(shí)要充分考慮未來(lái)業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須采用VLSM（變長(zhǎng)掩碼）技術(shù)，保證IP地址的利用效率；采用CIDR 技術(shù)，這樣可以減小路由器路由表的大小， 加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小；在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback 地址、設(shè)備間互連地址。 充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率。

IP 地址規(guī)劃應(yīng)該是西藏航空成都基地企業(yè)網(wǎng)絡(luò)整體規(guī)劃的一部分，即IP 地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來(lái)考慮。 IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對(duì)應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃[5]。

6 結(jié)語(yǔ)

對(duì)于西藏航空成都基地網(wǎng)絡(luò)系統(tǒng)，良好的層次設(shè)計(jì)為網(wǎng)絡(luò)的可靠性、網(wǎng)絡(luò)性能和網(wǎng)絡(luò)的可擴(kuò)展性都提供了良好的保障。 目前，網(wǎng)絡(luò)面臨的是不斷增長(zhǎng)的對(duì)性能和可擴(kuò)充性的需要。 除此之外，網(wǎng)絡(luò)還必須保證提供一些關(guān)鍵特性，例如高可用性、可管理性和靈活性等。 隨著網(wǎng)絡(luò)上承載的業(yè)務(wù)應(yīng)用系統(tǒng)的增多和新技術(shù)的推出，如何設(shè)計(jì)網(wǎng)絡(luò)和如何滿足這些不斷增長(zhǎng)的需求，我們建設(shè)的是提供一個(gè)高性能的、具有擴(kuò)充能力的，能為新增業(yè)務(wù)應(yīng)用系統(tǒng)提供基礎(chǔ)環(huán)境的網(wǎng)絡(luò)系統(tǒng)，以提供更大的靈活性和網(wǎng)絡(luò)增長(zhǎng)的潛力。