王正

（中国中元国际工程有限公司）

中元公司网络升级改造规划与实施

王正

（中国中元国际工程有限公司）

论文论述了中元公司网络升级改造方案，涉及网络设备选型，互联网接口扩充，网络地址规划，虚拟局域网划分，访问控制列表的运用，第三层交换技术，链路聚合的应用以及虚拟专用网络技术的运用。

虚拟局域网；访问控制列表；虚拟专用网络

1　网络升级改造需求分析

企业网络信息化改造的首要环节就是对信息化系统进行详细规划，以便掌握企业网络的网络规模、网络需求、网络结构、网络安全策略以及网络发展需求，然后，根据企业自身实际情况规划出合理的升级改造和实施解决方案。

1.1公司现有网络和信息化系统状况

中元公司网络系统建设于2002年，主干网络为千兆以太网，快速以太网络交换到桌面，布线采用超五类非屏蔽双绞线和6芯多模光纤，Internet网络出口带宽为20M。

核心交换机采用的是凯创8600核心交换机，拥有32G的背板带宽，最大32个千兆端口或者128个百兆端口。

接入交换机采用凯创2402，二层交换机拥有24个百兆端口。

防火墙采用netscreen 204，拥有4个10M/100M自适应端口，最大吞吐容量400M。

Active Directory域控制器服务器，DNS服务器和DHCP服务器为HP DL380G3，运行windows server 2003。

各种专业软件授权服务器和应用系统服务器为HP DL380G3，运行windows server 2003。

网络端口1500个，主要分布在公司1号、2号、3号、4号办公楼中。

中元公司原有网络拓扑如图1所示。

图1　中元公司原网络拓扑图

1.2现有网络系统存在的问题

1）网络性能：百兆端口交换到桌面已经不能满足企业数据传输的需要，而且服务器的千兆网卡只能接在百兆端口的交换机上，导致了服务器的带宽瓶颈，发挥不出应有的性能。

2）接入带宽：Internet的接入带宽只有20M，已经不能满足企业办公的需求，而且只有一条接入线路，一旦出现故障，整个企业都将无法访问互联网。

3）网络端口：网络端口数量不足，由于网络建设较早，公司的规模发展又快，原有的网络端口数量严重不足。

4）服务器性能：服务器老旧，性能不足，运行的操作系统也已经过时。

5）网络安全：原有防火墙功能单一，性能不足，无法应对日新月异的网络安全威胁。

1.3升级改造的需求

1）高带宽的需求

随着中元公司企业规模的快速发展和对信息技术应用的日益提高，公司网络上运行的各种应用也越来越多，网络不仅要跑日常网上办公自动化系统、网页浏览、电子邮件收发等传统数据业务，还要承载网络视频会议，协同办公系统，统一通信（即时消息）等对带宽和延时要求都很高的数据业务，使得网络处理的数据量大大增加。这就需要加强网络核心交换机处理能力，核心交换机至少要支持千兆交换，最好能够支持万兆交换，接入层交换机也要具备千兆交互能力，满足千兆交换到桌面，从而满足今后公司网络发展的需要。

2）高性能的需求

随着公司规模的不断扩大，网络节点数不断增多，网络规模越来越大，跨部门同时协作应用多来越多，对网络设备性能提出了很高的要求。要能快速处理网络传输数据，能够满足跨部门的应用请求，所以接入交换机最好要支持第三层交换和堆叠技术，核心交换机支持多种服务模块的扩展，以满足今后公司发展的需要。

3）高可靠性需求

随着公司业务的发展，越来越多业务将利用网络来进行处理，网络的畅通无中断将成为企业正常运营的保证。所以网络设计要保证通信线路的通畅无中断，这就要求网络设备的可靠性和链路的可靠性。设备可靠性，可通过配备冗余电源和引擎来保证；链路可靠性，可通过增加Internet出口线路、布线配置冗余线路，采用链路聚合技术来保证。

4）高安全性需求

随着技术的发展，网络攻击手段和病毒种类越来越多，为了保障企业网络安全，降低安全威胁给企业带来的损失。这就要求建立完善的安全防御体系，同时也对网络安全设备提出了很高的要求；要求安全设备要同时具备处理防病毒、防网络攻击、入侵检测及网络应用识别的能力。

1.4升级改造目标

为了保证公司网络数据、语音、视频的安全和高效，建成集数据、语音、视频为一体的网络，具体目标如下。

1）实用性：按照实际需求，在保证技术可行性的前提下，选择性价比高、售后服务好，管理方便的设备；

2）可靠性：从网络结构、设计方案、设备选择、技术服务、备件供应等方面考虑，确保网络系统可靠性；

3）安全性：整体统一规划，从各个环节入手建立完整的网络系统安全体系；

4）优化投资：网络系统既能满足将来公司的发展需求，又能充分利用现有网络系统资源，使网络系统升级能够平滑过渡，从而降低改造成本。

2　网络升级改造总体设计方案

2.1总体设计

中元公司原有网络拓扑为星型拓扑结构。星型网络拓扑与总线型网络相比网络性能高、故障率低，与环型网络拓扑结构相比易扩展，与网状拓扑结构相比成本低且易于维护管理，所以本次改造仍将采用星型网络拓扑，并将重新对核心层、汇聚层和接入层进行设计优化。改造后的网络拓扑图如图2所示。

图2　中元公司改造后的拓扑图

在网络边界上部署1台UTM防火墙，负责链路负载均衡、互联网流量管控、入侵检测、VPN连接、NAT转换和安全策略转发，以及应用识别和上网行为管理。UTM防火墙通过千兆光纤与核心交换机相连接。

核心层配备1台配置冗余电源和模块的核心交换机，确保主干网络的稳定可靠，启用访问控制列表对访问权限进行控制。

接入层堆叠交换机，通过2条千兆光纤运用端口聚合技术与核心交换机相连接，既提高了连接带宽，又实现了线路冗余。

服务器采用千兆网卡用六类双绞线直接与核心交换机相连接，保证了访问性能和速度，避免出现访问瓶颈。

升级改造方案运用一系列先进成熟的技术，基本上满足了公司的需求。

2.2Internet网络出口设计

中元公司原来只有一条光环新网的Internet网络出口线路，接口带宽也只有20M，这样的带宽已经远远不能满足公司日常办公的需要，导致员工访问互联网，速度非常缓慢，严重影响办公效率，而且一旦这条线路出现故障，将导致整个公司都无法访问互联网。新的设计将会增加一条电信通的带宽100M的Internet出口线路，并且原有的光环新网的线路带宽也将增加到100M。这样既能保证在一条线出现路故障时，另一条线路能够正常访问互联网，同时也能满足公司网上日常办公的需要。

2.3核心层设计

中元公司原有核心交换机扩展能力不足，性能也已落后，而且只有1个处理引擎和1个电源，很容易引发单点故障，导致整个局域网瘫痪。本设计方案将会采购1台新的核心交换机来替换这台老设备，并给新核心交换机配备双引擎和冗余电源，提升网络可靠性，新核心具备扩展万兆交换能力并且支持IPV6协议，方便以后的扩展和升级。核心层运用链路汇聚技术通过千兆光纤与接入层交换机相连接。

2.4汇聚层和接入层设计

中元公司原有网络交换机采用级联方式，即几台接入层将交换机上联到核心交换机，这种方式的网路性能低下，而且容易出现单点故障，网络可靠性非常低。本方案接入层将采用堆叠交换机，每组堆叠交换机通过链路汇聚技术将千兆光纤直接与核心交换机连接。这样降低了网络的复杂度和布线施工的难度，同时还提供了线路冗余，提高了网络的可靠性。新的接入层堆叠交换机具备全端口限速全千兆交互，并且支持全端口POE供电，上联模块扩展等功能，以便今后网络升级和扩展。

2.5网络安全设计

中元公司原有网络防火墙为ASIC架构，对网络层威胁处理能力较强，但是面对如今越来越多的应用层威胁则显得力不从心，同时缺乏灵活的流量和带宽控制。新的方案将采购1台UTM统一管理设备来替代老的防火墙。新的UTM设备采用多核架构，具备灵活高效的流量管理和监控，具备攻击防护和入侵检测，支持链路负载均衡和多种VPN协议，设备配有冗余电源，提高了稳定性和可靠性，同时配有扩展插槽方便日后升级和扩展。

2.6服务器方案设计

中元公司原有服务器比较老旧，一些应用软件还需要在老系统上运行，这就导致服务器的安全可靠性下降，一旦旧设备出现故障将导致应用系统无法使用。为了解决上述问题，改造方案将新购一批双路高性能机架服务器，替换老旧的服务器，并利用虚拟化技术，把一些老服务器系统迁移到虚拟机中运行，这样既保证了系统的正常运行，同时减少了机房空间的占用和能源的消耗。

3　网络升级改造的实施

3.1设备选型

中元公司信息化系统升级改造工程的硬件包括：网络安全设备，核心交换机，接入交换机，服务器等。设备不一定选最先进最好的，但一定选最适合的，要本着先进性、可靠性、实用性、安全性、可扩展性及符合国际标准等原则进行选择。

3.1.1网络安全设备

网络安全设备是抵御各种网络攻击的重要武器，是企业网络防护的不可或缺的组成部分，其重要功能有：隔离不同网络，防止内部信息的外泄；强化网络安全策略，对来自外部、内部的网络违规和入侵行为进行检测和集中监控；防止外部用户对内网的非法访问。

此次改造采用的网络安全设备为山石网科UTM SG-6000-G5150全新一代多核安全网关，其基于角色、深度应用的安全架构突破了传统防火墙只能基于IP和端口的防范限制。处理器模块化设计可以提升整体处理能力，突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限，其处理能力高达8～10Gbps，为网络提供基于角色、深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防御等安全服务。

3.1.2核心交换机

核心层是整个系统的中枢，核心层网络设备要求运行稳定、交换能力强、可靠性高，能够实现高冗余、高带宽、多层交换，可提供网络安全控制机制、有扩展升级的能力。本次核心交换机选用思科6506核心交换机。

3.1.3接入层交换机

接入层采用堆叠交换机，提供线速全千兆交换，双链路上行到核心交换机时，采用链路聚合技术，不仅提供了线路冗余，同时还提高了传输带宽，增强了网络的可靠性。本次接入层交换机采用思科3750X堆叠交换机。

3.1.4服务器选型

由于要用到虚拟化技术整合老旧服务器，所以对服务器的体积、CPU、硬盘和内存要求较高，本次选择惠普2U机架式服务器HP ProLiant DL380p Gen8。

3.2局域网IP地址和VLAN划分

3.2.1局域网IP地址和VLAN划分原则

局域网络的IP地址规划和VLAN划分是非常重要的，合理的IP地址规划，不仅可以减少网络压力，还可为今后网络扩展带来便利；同样VLAN的划分也非常关键，基于端口划分的VLAN可以有效地抑制局域网的广播风暴。中元公司IP和VLAN采用按照公司部门来划分。

3.2.2VLAN的具体配置实现

1）在核心交换机上定义VTP域和服务模式Server

Core6506 # vtp mode server

Core6506 # vtp domain zhongyuan

2）在核心交换机上创建VLAN并配置IP地址和子网掩码

Core6506 （config） # interface vlan 100

Core6506 （config-if） # ip address 172.16.16.1 255.255.252.0

其他VLAN的创建和配置类似。

3）在核心交换机上给VLAN指定DHCP服务器地址。

Core6506 （config） # interface vlan 100

Core6506 （config-if） # ip helper-address 172.16.4.41

Core6506 （config-if） # ip helper-address 172.16.4.42

其他VLAN指定的DHCP服务器地址同上。

4）在核心交换机上把连接堆叠交换机的端口配置成trunk端口并封装802.1Q

Core6506 （config） # int gi 2/1

Core6506 （config-if） # switchport mode trunk

Core6506 （config-if） # switchport trunk encapsulation dotlq

其他连接堆叠交换机的端口配置类似。

5）在接入层堆叠交换机上指定VTP域并配置VTP服务模式Client

SW3750X-L1 # vtp mode client

SW3750X-L1 # vtp domain zhongyuan

其他接入层交换机配置方法同上。

6）在接入层堆叠交换机上与核心交换机上联端口配置成trunk端口并封装802.1Q

SW3750X-L1 （config） # int gi 1/1/1

SW3750X-L1 （config-if） # switchport mode trunk

SW3750X-L1 （config-if） # switchport trunk encapsulation dotlq

其他接入层交换机的上联端口配置类似。

7）把接入层堆叠交换机的端口划入VLAN

SW3750X-L1 （config） # int gi 1/0/1

SW3750X-L1 （config） # switchport mode access

SW3750X-L1 （config-if） # switchport mode vlan l00

其他各交换机各VLAN端口的配置类似。

3.3链路聚合的配置实现

1）在核心交换机对应接入交换机的端口上配置链路聚合

Core6506 （config） # port-channel load-balance src-dst-ip

Core6506 （config） # interface range gi 2/1-2

Core6506 （config-if-range） # switchport mode trunk

Core6506 （config-if-range） # switchport trunk encapsulation dotlq

Core6506 （config-if-range） # channel-group 1 mode on

其他核心交换机的聚合端口设置类似。

2）在接入层堆叠交换机对应核心交换机的端口上配置链路聚合

SW3750X-L1 （config） # port-channel load-balance src-dst-ip

SW3750X-L1 （config） # interface range gi 1/1/1-2

SW3750X-L1 （config-if-range） # switchport mode trunk

SW3750X-L1 （config-if-range） # switchport trunkencapsulation dotlq

SW3750X-L1 （config-if-range） # channel-group 1 mode on

其他接入层堆叠交换机的聚合端口设置类似。

3）显示链路聚合状态信息

Core6506 # show etherchannel summary

Core6506 # show etherchannel detail

3.4创建和应用ACL访问控制列表规则

1）创建ACL访问控制列表规则

Core6506 （config） # ip access-list extended VLAN 100

Core6506 （config-ext-nacl） # permit tcp any any gt 6890

Core6506 （config-ext-nacl） # permit tcp any any lt 6902

Core6506 （config-ext-nacl） # permit ip 172.16.16.0 0.0.3.255 172.16.4.0 0.0.3.255

Core6506 （config-ext-nacl） # permit ip 172.16.16.0 0.0.3.255 172.16.108.0 0.0.3.255

Core6506 （config-ext-nacl） # permit ip 172.16.16.0 0.0.3.255 172.16.0.0 0.0.3.255

Core6506 （config-ext-nacl） # deny ip 172.16.16.0 0.0.3.255 172.16.0.0 0.0.255.255

Core6506 （config-ext-nacl） #permit ip any any

其他规则配置类似。

2）在VLAN端口上应用ACL访问控制列表规则

Core6506 （config） # interface vlan 100

Core6506 （config-if） # ip access-group VLAN 100 in其他VLAN端口配置类似。

3.5UTM防火墙配置

3.5.1Internet接口设置

防火墙使用安全域（Zone）来对网络流量的安全需求进行区分和标识，它内置了常用预定义的安全域，这里使用设备的Untrust域（非可信安全域）和Trust域（可信安全域）。ethernet0/0接口用来连接核心交换机，ethernet0/1连接电信通的链路，ethernet0/2连接光环新网的链路，如图3所示。

3.5.2网络地址转换NAT

源NAT主要是用于内网用户访问Internet；目的NAT则相反，常用于Internet用户访问内网服务器。内网用户在上网时，如果从ethernet0/2接口转发，则其数据包源地址被转换为ethernet0/2接口的IP地址；类似地，若从ethernet0/3转发，则源地址被转换为ethernet0/3接口的IP地址，如图4所示。

3.5.3VPN配置

1）分支机构IPSec VPN设置

需要配置分支机构IP地址、子网掩码、加密方式和预共享密钥，建立隧道接口和绑定隧道配置如图5所示。

图3　Internet网络接口IP

图4　网络地址转换NAT

图5　IPSec VPN配置

2）SSL移动VPN配置

需要配置SSL VPN名称、接入用户、出接口、服务端口、隧道接口和地址池，如图6所示。

图6　SSL VPN配置信息

3.5.4防火墙策略

本项目启用了已下策略：SSL VPN和IPSec VPN用户可以访问内网所有资源；开启FTP服务器的FTP端口；开启公司网站服务器的HTTP端口；开启邮件服务器的HTTP，SMTP，POP3，IMAP协议端口；普通员工上班时间不能上外网等策略，具体策略如图7所示。

3.5.5病毒过滤

配置病毒过滤功能后，设备能够探测各种病毒威胁，例如蠕虫、木马、恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。

本项目中，将病毒库配置为每日自动升级，并针对FTP，HTTP，IMAP4，POP3以及SMTP五种数据包进行病毒扫描过滤，同时对网络中病毒攻击行为进行了统计，如图8所示。

图7　防火墙策略

3.5.6入侵防御

入侵防御系统（Intrusion Prevention System）简称IPS，能够实时监控多种网络入侵并根据配置对网络攻击进行入侵防御等操作。本项目中，开启IPS特征库自动升级，并对所有支持协议的数据包开启了入侵检测和防御功能。检测出入侵行为后，按照严重级别不同采取记录日志、重置连接甚至彻底阻断的处理方式。本项目IPS配置策略如图9所示。

图8　防火墙病毒过滤配置

图9　防火墙IPS入侵防御设置

3.5.7攻击防护

本项目中，分别在内网所在的Trust安全域以及外网所在的Untrust安全域，开启了全部类型的攻击（Syn flood攻击/ICMP flood 攻击/UDP flood 攻击/ARP spoofing 攻击/IP spoofing 攻击/IP scan 攻击/Port scan 攻击/WinNuke 攻击/ IP fragment 攻击/IP option 攻击/Ping of death 攻击/Smurf/ Fraggle 攻击/Land attack 攻击/大ICMP包攻击等）防御功能，并且使用了系统默认的阀值，如图10所示。

4　结束语

图10　防火墙攻击防护设置

本文围绕中元公司网络升级改造的规划与实施的论题展开论述，通过分析中元公司原有网络信息化系统情况，指出了原有网络信息化系统存在的问题，在明确中元公司对信息化系统升级的需求和目标后，结合目前先进成熟的网络和信息化技术，制定出了经济可行的适合中元公司的信息化系统升级规划方案，该方案包括对网络拓扑的改造，交换机、防火墙和服务器的选型。

方案的实施过程中，通过运用虚拟局域网VLAN技术，消除局域网内网络广播风暴；运用第三层交换技术，保证不同虚拟局域网VLAN客户端能够通信；运用ACL访问控制列表技术，保证了局域网中访问的安全性；通过链路聚合技术，使得网络核心层与接入层的传输带宽翻倍的同时实现了链路冗余，提高了局域网网络可靠性；通过运用虚拟专用网络VPN技术，实现了异地协同办公和远程办公；通过部署统一通信软件，使得协同办公的沟通更加便捷，提高了办公效率；通过服务器虚拟化技术，使得服务器的利用率更高，资源分配更合理，同时节省机房空间和能源能耗。

【1】王达.Cisco/H3C交换机配置与管理完全手册［M］.北京 ：中国水利水电出版社，2009.

【2】王达.Cisco/H3C交换机高级配置与管理技术手册［M］.中国水利水电出版社，2012.

【3】王春海.宋涛，VPN网络组建案例实录.第2版［M］.科学出版社，2011.

【4】秦柯.Cisco IPSec VPN实战指南［M］.人民邮电出版社，2012.

【5】马春光.郭方方，防火墙、入侵检测与VPN［M］.北京邮电大学出版社，2008.

【6】史宝会.中小型企业网络组建与管理［M］.北京 ：人民邮电出版社，2008.

【7】张裕生.陈建军，企业网络搭建及应用［M］.北京 ：北京：高等教育出版社，2010.

【8】黄劲荣.校园网升级改造的分析、设计与实现［D］.广东工业大学，2005.

Planning and Implementation of Network System Upgrade of IPPR Corporation

WANG Zheng
（China IPPR International Engineering Co.， Ltd）

This paper attempts to discuss from the planning and implementation of network system upgrade in China IPPR International Engineering Corporation， this upgrading and renovation plan involves equipment selection， Internet interface expansion， network address layout， VLAN division， ACL application， the third layer switch technique， Link Aggregation application， VPN technique application.

VLAN； ACL； VPN