姚明

（新疆五鑫铜业有限责任公司阜康831500）

企业计算机网络改造

姚明

（新疆五鑫铜业有限责任公司阜康831500）

通过对我公司计算机网络进行合理化构建架构，解决了改造前内网病毒攻击无法控制，外网访问无法审计等问题，实现了网络架构的标准化和合理化，满足了用户需求及对上网计算机的可管理性。

计算机网络架构改造上网行为管理

1 前言

随着计算机网络技术的飞速发展，企业内部网已经成为现代企业必不可少的一部分，设计和建立好企业局域网对企业信息化工作至关重要。

2 改造前网络状况

整个公司办公网络计算机直接或通过HUB连接到两台不可设置的二层中心交换机，两台中心交换机通过级联进行连接，服务器通过一个二层交换机连入中心交换机，宿舍区域（包括专家楼、1号宿舍楼、2号宿舍楼）通过其中一个二层交换机接入中心交换机，宿舍区域交换机全部通过级联进行连接，中心交换机中的一个通过防火墙连入internet网，租用带宽为30 M。

此网络架构运行出现的问题，所有的计算机处于同一网段，发生局域网病毒造成范围较大，几乎瘫痪；服务器组暴露在局域网内，容易受到攻击；中心交换机通过级联进行连接，出现故障后，造成范围较大，特别是宿舍网络，全部是级联，连接至后面的交换机受前级交换机影响很大，网络运行严重受制约；无法对内网用户进行合理管理；无法对所以上网用户进行上网审计，管理；整个网络网速很慢，包括外网和内网。

改造前网络拓扑图见图1。

图1 改造前网络拓扑图

3 问题分析

⑴全部上网计算机接入二层交换机，会造成二层交换机负荷较大，无法满足用户数据交换能力，是造成内网数据传输慢的主要原因。

⑵各个交换机大部分是通过级联进行连接和二层中心交换机交换能力产生瓶颈是造成上外网缓慢的主要原因。

⑶各个部门相互间没有应有的保护，是没有可管理的三层交换机。

⑷服务器暴露在内网内，是没有设置服务器防火墙。

⑸整个网络易受局域网病毒攻击，是各个部门在同一网段下，没有合理划分网段造成的。

⑹整个网络没有三层功能，无法实现网络控制等安全机制。

4 网络架构改造

针对上述问题，采用招标方式购买如下设备，三层交换机4台，核心交换机1台，可管理的二层交换机4台，上网行为管理设备一台，内网防火墙一台，具体安装位置见图2。

图2 网络架构改造安装图

通过2台办公楼三层交换机，1台厂区三层交换机对办公部门划分VLAN，使得各个部门的广播域控制在自己部门内，当然如果有局域网病毒攻击，也可以控制在最小范围内。

服务器组前安装内网防护墙，设置策略，让特定的用户访问特定的服务器，没有权限的用户无法访问任何服务器。

宿舍网通过一台三层交换机和3台可管理的二层交换机，合理划分网段，纠正架构错误。

办公网，服务器组，宿舍网接入核心交换机，核心交换机功能强大，完全有能力处理数据交换负荷。

在防火墙和核心交换机间安装一台上网行为管理，进行所有用户的上网管理。

5 应用效果

通过以上设备安装及设置,网络带宽大大提高，局域网内实现千兆网速，网络主干交换机的交换性能有了很大的提高，使各种应用的访问速度大大提高，同时网络的复杂程度降低，故障率大大降低，便于管理员的日常管理和维护；通过连接方式和升级部分设备的方法解决了办公楼，宿舍楼，厂区，服务器组等的网络访问速度慢的问题；网络实现了三层的功能，划分了VLAN一隔离IP广播，可以支持安全访问机制。

[1]国家标准《电子计算机机房设计规范》（GB50174-93）.

收稿：2014-03-14