商務(wù)公司整體網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

黃永吉 成都師范學(xué)院

大量商務(wù)公司為順應(yīng)當(dāng)前市場規(guī)律和趨勢，大力實(shí)現(xiàn)電子商務(wù)的推進(jìn)和發(fā)展。與原來的商業(yè)模式相比，它在運(yùn)行成本、商品流通速度以及利潤率等方面都有很大的優(yōu)勢。此外，商務(wù)公司通過以實(shí)現(xiàn)電子商務(wù)發(fā)展為目標(biāo)，在這基礎(chǔ)上，將公司網(wǎng)站建設(shè)、內(nèi)部管理、交易安全等職能融合為一體。這樣一舉多得，既能擴(kuò)展商務(wù)公司在線上交易的業(yè)務(wù)，也可以加快公司內(nèi)部的信息化建設(shè)，提高綜合競爭力。

1 路由設(shè)計(jì)

公司中的路由通過設(shè)計(jì)的以簡化，即網(wǎng)絡(luò)不需要運(yùn)行動(dòng)態(tài)路由協(xié)議，利用VLAN見的路由進(jìn)行跳轉(zhuǎn)，最后通過防火墻進(jìn)行NAT轉(zhuǎn)化，最后連入互聯(lián)網(wǎng)。

其具體實(shí)現(xiàn)如下，在核心層添加各個(gè)部門VLAN，無線接入用戶VLAN到數(shù)據(jù)中心VLAN相互之間的路由，添加到出口設(shè)備的默認(rèn)路由。添加出口路由到需要被外網(wǎng)訪問的服務(wù)器的路由，添加VPN接入用戶到應(yīng)用服務(wù)器群的路由，最后由防火墻進(jìn)行NAT轉(zhuǎn)換完成互聯(lián)網(wǎng)的接入。

2 可擴(kuò)展性設(shè)計(jì)

接入層交換機(jī)預(yù)留端口并進(jìn)行布線，這樣新添加的終端設(shè)備可直接插上網(wǎng)線到預(yù)留的端口即可，但這還需要第二點(diǎn)中提及的IP 編址預(yù)留，它才能獲得一個(gè)合適的IP 地址，若第一二點(diǎn)不能滿足，則新添加終端設(shè)備將不得不連接到一個(gè)不合適的交換機(jī)，獲得一個(gè)不合適的IP，造成連線與IP規(guī)劃的混亂，或者新添加設(shè)備根本無法接入。

3 虛擬專用網(wǎng)

虛擬專用網(wǎng)絡(luò)(VPN)的功能是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問。

根據(jù)需求，總共需要兩條隧道，一條是遠(yuǎn)程接入用戶隧道，一條是分公司接入隧道。對于站點(diǎn)到站點(diǎn)VPN，采用IPSEC，編址部分參考IP編址一節(jié)。對于遠(yuǎn)程接入用戶，采用SSL VPN，編址部分參考IP編址一節(jié)。在出口路由器和出口防火墻上同時(shí)開啟VPN功能，優(yōu)先使用防火墻上VPN功能。VPN接入用戶和遠(yuǎn)程站點(diǎn)僅能訪問公司網(wǎng)絡(luò)中心。在邏輯上所有VPN遠(yuǎn)程訪問都相當(dāng)于是公司的某個(gè)部門。對于一些特殊的信息資源，比如有關(guān)商品營銷的信息、核心管理信息等，需要特殊權(quán)限，以確保安全性和保密性要得到最高的保證。通過VPN的角色進(jìn)行劃分，劃分不用的VPN接入后的權(quán)限?？蓞⒖紙D1。

4 網(wǎng)絡(luò)安全及穩(wěn)定設(shè)計(jì)

由于涉及非常重要的商業(yè)機(jī)密，商務(wù)公司對于網(wǎng)絡(luò)安全應(yīng)當(dāng)有非常高的要求。無論是網(wǎng)絡(luò)中心設(shè)置還是服務(wù)器擺放都需要經(jīng)過安全驗(yàn)證，此外對于維護(hù)上也有著嚴(yán)苛的要求。

在Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)服務(wù)器上都連接有入侵檢測，通過內(nèi)容交換機(jī)和通用交換機(jī)將數(shù)據(jù)得以分流，再通過鏈路負(fù)載均衡設(shè)備以及防火墻連入網(wǎng)絡(luò)。最大程度上保護(hù)自身的安全性和穩(wěn)定性。

網(wǎng)絡(luò)交換機(jī)都經(jīng)過獨(dú)特設(shè)計(jì)具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點(diǎn)。而且具有強(qiáng)大的運(yùn)行維護(hù)能力，能有效降低運(yùn)營商的運(yùn)維成本。支持RS-232本地管理口及Telnet、WEB、SNMP 代理，遠(yuǎn)程監(jiān)控可根據(jù)運(yùn)營商的不同要求，使用不同的管理方案，支持SNMP協(xié)議的全網(wǎng)集中網(wǎng)管。交換機(jī)能夠提供全中文菜單或圖形配置方式，為交換機(jī)的管理和配置提供了極大的便利。提供了故障告警和日志功能，可通過機(jī)箱面板上指示燈直觀地了解設(shè)備的運(yùn)行狀態(tài)。

此外，為了幫助網(wǎng)管人員輕松實(shí)現(xiàn)對眾多網(wǎng)絡(luò)設(shè)備的管理、及時(shí)排查網(wǎng)絡(luò)故障和提高用戶管理的效率，讓有限的IT運(yùn)維人員精力和IT預(yù)算投入到最關(guān)鍵的資源的維護(hù)和保障中，切實(shí)降低復(fù)雜IT環(huán)境的管理難度。系統(tǒng)可以對于每個(gè)客戶上下行的帶寬上限加以限定，防止個(gè)別客戶占用過多網(wǎng)絡(luò)資源。還能對不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級，以保證重要數(shù)據(jù)能得到更好的服務(wù)。最大程度上確保網(wǎng)絡(luò)安全和穩(wěn)定可靠。

5 網(wǎng)絡(luò)系統(tǒng)使用安全分析與設(shè)計(jì)

商務(wù)公司的網(wǎng)絡(luò)系統(tǒng)使用安全，也是重要的設(shè)計(jì)內(nèi)容，因?yàn)榧夹g(shù)上的安全再強(qiáng)大，也需要輔以使用上的安全規(guī)范。

在整體安全性上來看，內(nèi)網(wǎng)出口處有防火墻，可為內(nèi)網(wǎng)的整體防護(hù)提供安全措施。數(shù)據(jù)中心也設(shè)置了防火墻，讓網(wǎng)絡(luò)中心始終擁有很高的安全性。

為了防范ARP攻擊，網(wǎng)內(nèi)除終端設(shè)備外，所有設(shè)備的ARP表有可信的第三方發(fā)布（位于網(wǎng)絡(luò)中心的安全設(shè)備），該ARP表綁定所有重要設(shè)備MAC與IP。此外在匯聚、核心交換設(shè)備設(shè)置由硬件實(shí)現(xiàn)ACL，對病毒進(jìn)行過濾和殺滅。結(jié)合網(wǎng)絡(luò)攻擊的檢測系統(tǒng)，能夠抵御日益增多的內(nèi)部網(wǎng)絡(luò)攻擊，并且自動(dòng)對用戶做出相應(yīng)的控制動(dòng)作，保證網(wǎng)絡(luò)安全。

對于手機(jī)用戶、電腦用戶等，都采用六元素的自動(dòng)綁定、靜態(tài)綁定、動(dòng)態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時(shí)身份唯一，并且避免了IP沖突。除不需身份認(rèn)證的設(shè)備外，其他設(shè)備入網(wǎng)均需一次身份認(rèn)證，根據(jù)認(rèn)證結(jié)果發(fā)放權(quán)限，同時(shí)某些重要應(yīng)用服務(wù)器可能還需要進(jìn)一步的身份認(rèn)證。

在支付安全，需要驗(yàn)證手機(jī)號碼并且使用較高安全級別的密碼，作為加密憑證。存儲支付數(shù)據(jù)的服務(wù)器也被安置在安全位置，進(jìn)出由密碼控制。確保支付信息的安全可靠。

6 總結(jié)

商務(wù)公司為適應(yīng)當(dāng)前市場規(guī)律和趨勢，大力實(shí)現(xiàn)電子商務(wù)的推進(jìn)和發(fā)展，將公司網(wǎng)站建設(shè)、內(nèi)部管理、交易安全等職能融合為一體。通過這種一舉多得規(guī)劃設(shè)計(jì)，既能擴(kuò)展商務(wù)公司在線上交易的業(yè)務(wù)，也可以加快公司內(nèi)部的信息化建設(shè)，提高綜合競爭力。

本課題對商務(wù)公司整體網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)進(jìn)行研究，從商務(wù)公司整體網(wǎng)絡(luò)的基本結(jié)構(gòu)搭建出發(fā)，圍繞公司網(wǎng)站建設(shè)、內(nèi)部管理、交易安全等方面，進(jìn)行一系列規(guī)劃與設(shè)計(jì)，最終形成適應(yīng)商務(wù)公司發(fā)展與運(yùn)行的商務(wù)網(wǎng)絡(luò)體系結(jié)構(gòu)。

在對于商務(wù)公司整體網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)中，遵循了先進(jìn)性、可靠性、實(shí)用性、安全性、可擴(kuò)充性等五大原則。設(shè)計(jì)中使用了Cisco 2960 、Cisco 3560交換機(jī)、Cisco PIX防火墻以及其他先進(jìn)的服務(wù)器，這些關(guān)鍵部件在硬件上都是十分先進(jìn)、可靠的，通過利用Cisco PIX防火墻將內(nèi)外網(wǎng)分隔，附加VPN訪問內(nèi)網(wǎng)以及各線路均有備份，可以一定程度上確保安全性。各交換機(jī)都有冗余接口以及線路，確保以后擴(kuò)展上不會(huì)受到影響，具有很強(qiáng)的可擴(kuò)展性。

公司整體網(wǎng)絡(luò)能夠保證穩(wěn)定、可靠、數(shù)據(jù)傳輸不受影響。保證在少部分設(shè)備或者其他故障之下，不會(huì)使整個(gè)網(wǎng)絡(luò)崩潰。核心級設(shè)備在出問題的時(shí)候，可以通過備份設(shè)備，實(shí)現(xiàn)隔離并有效的進(jìn)行恢復(fù)，具有強(qiáng)大的健壯性?？梢酝ㄟ^有效的網(wǎng)絡(luò)帶寬控制技術(shù)和服務(wù)質(zhì)量保證技術(shù)，滿足了公司對于不同數(shù)據(jù)傳輸?shù)男枰Ｖ鞲删W(wǎng)絡(luò)的帶寬達(dá)到萬兆級別。公司整體網(wǎng)絡(luò)具備強(qiáng)大的保密性、完整性、可用性、可審核性。關(guān)鍵設(shè)備具有備份系統(tǒng)，并且通過防火墻等手段防范網(wǎng)絡(luò)攻擊。可以及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，有效的控制網(wǎng)絡(luò)設(shè)備，及時(shí)的對異常網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程控制且操作簡單、方便管理與維護(hù)。能夠?yàn)楣就獠刻厥庥脩籼峁┌踩Ｃ艿男畔?，?shí)現(xiàn)高速安全的廣域網(wǎng)數(shù)據(jù)傳輸。該設(shè)計(jì)對于電子商務(wù)、網(wǎng)絡(luò)規(guī)劃等學(xué)科研究有一定的參考和借鑒意義。