王聪颖，朱文秀

（天津市中环系统工程有限责任公司，天津300060）

由于西藏航空成都基地网络复杂，随着业务的不断发展，网络管理的任务必定会日益繁重，所以在网络设计中，必须建立一套全面的网络管理解决方案。 网络设备必须采用智能化、可管理的设备，同时采用先进的网络管理软件， 实现先进的管理，最终实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、迅速确定网络故障等。 通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。

西藏航空成都基地的用户涉及生产的各环节与部门，为了保证生产的顺利进行，防止网络攻击、恶意流量影响正常的网络运行，在所有骨干节点上配置了相应的安全产品。 西藏航空成都基地网络骨干建设完成后，必须具备很高的安全性，因此在设备选择上要充分考虑到该设备具备防止DOS 攻击及传统病毒攻击的能力，同时具备防止内部黑客恶意攻击的能力。要求在异常突发大流量的情况下，核心交换设备具备良好的安全性能， 在大面积病毒发作的情况下，核心传输系统能完成数据转发，同时网络管理系统能对目标设备进行可控操作。骨干节点设备，均具备很强的抗病毒和恶意攻击能力，在配备相应的措施后，能使之形成一整套安全保障协防体系。

这些安全产品的应用，要有效地保证用户网络系统与流量的安全，可以大大提高针对安全事件的响应能力，从而提高系统的可管理性和整个安全系统的性价比，也使管理员对网络的控制程度达到灵活迅速和高效，极大提高计算机网络的坚固性。

1 网络总体结构设计

根据西藏航空成都基地的实际情况，在网络系统的设计中，将采用模块化的网络体系结构。 根据网络系统中不同的功能将整个网络系统分为功能相对独立的模块，整体网络功能通过增加或删除模块来进行调整， 模块划分以逻辑上功能相近为原则，模块可独立扩展，也可在网络上方便地添加不同的模块，而不影响其他模块的网络互联，模块之间的连接通过局域网核心节点设备实现。

较大规模的网络设计通常要遵循层次化设计模型。 根据西藏航空成都基地的特点，使用层次化的思想， 将西藏航空成都基地网络分为核心层、接入层。 核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。 接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP 风暴、MAC 扫描、ICMP 风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的用户管理手段。

通过层次化的网络设计，网络的不同层次设备承担不同的任务，使整个网络结构清晰，便于维护和管理，便于以后的网络扩展。本次网络总体架构分为办公楼与酒店楼两部分，两部分的网络物理隔离，办公楼里的部分信息系统也采用隔离的独立网络[1]。

2 核心骨干节点规划设计

核心节点的网络设备需要高速运送整个西藏航空成都基地企业的流量，设备承载的压力较大。 因此核心节点的建设，通常必须遵循以下几个原则：①必须能够提供故障隔离功能；②必须具有迅速升级能力；③必须具有较少的时延和好的可管理性。

作为西藏航空成都基地企业网络的最高级节点，负责各种业务数据流量的转发，是整个园区网最核心部分，它的性能、可靠性将极大地影响整个网络的运行情况。 核心节点设备必须能满足核心节点高可靠性、高稳定性及高性能等方面的需求[2]。

3 网络方案设计

根据西藏航空成都基地网络建设需求以及上文结构规划和设备选择，本次西藏航空成都基地网络方案如图1 所示。

图1 网络方案结构Fig.1 Network scheme structure

网络按照模块化、层次化结构设计。 在本方案中，具体组网如下：

核心节点设备选择万兆核心路由交换机， 部分子系统核心交换机，每个节点配置千兆接口板实现节点之间的互连。 二级节点接入层交换机选择交换机配置千兆兆光口实现与核心节点设备之间的千兆兆连接。酒店客用网络为实现移动终端上网的需求，在有线网络的基础上扩展无线网络，每个AP 互联至楼层POE 交换机并实现供电。 无线AP 采用双频设计同时满足2.4 G 与5 G 移动终端接入，并采用最新无线协议，有效提高用户访问网络速度。在酒店办公网与酒店客用网中心各配置一套智能管理中心系统（iMC），实现对全网所有网络设备的统一管理[3]。

4 总体路由策略

在网络基础平台的建设中，无论是大型的Internet 骨干网络还是企业内部的Intranet， 系统内部路由协议的选择是非常重要的，因而不同路由协议的选择与不同路由策略实现可以直接或间接地影响系统通信的效率，特别是对路由表的收敛性的影响与广域网线路带宽的利用率的影响会非常大。

从路由表建立的机制上讲， 我们可以将通过2种方法完成。 一是手工建立路由表，即采用静态路由；二是由路由设备自动完成路由表，即采用动态路由协议。 对于本次西藏航空成都基地网络设计，必须提出合理的路由规划设计。 针对西藏航空成都基地的局域网络和广域网络的情况，分别提出如下的设计，对局域网络的路由的规划：现有的西藏航空成都基地的网络没有采用路由协议，目前是一个大的二层的交换的网络。 如果继续采用这种方式，随着ERP 系统在网络中的实施和应用， 网络中的VLAN 数量， 以及每个VLAN 中的用户数量都会有很大的增长， 对于一个网络来说， 如果有过多的VLAN 穿透骨干，而且在新的拓扑的结构下，会在二层形成环路，同时如果因为设备的异常或者病毒的爆发，会形成二层的广播风暴，会使核心节点设备的性能急剧下降。 因此，在本次的网络的改造中，具体的IGP 路由协议的选择设计为使用OSPF。

整个西藏航空成都基地网络的路由规划主要为局域网的路由规划。 西藏航空成都基地网络系统对外界互联网而言是一个独立自治域。 为了保证全网路由的一致性和可达性，保证冗余链路之间的互为备份和负载分担，需要启用IGP 路由协议。 我们建议在全网配置统一的IGP 路由协议[4]。

5 IP 地址及VLAN 规划

IP 地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP 地址进行统一规划并得到实施。 IP 地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。

IP 地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于本期IP 地址的分配应该尽可能地利用申请到的地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。

IP 地址的分配和网络组织、路由策略以及网络管理等都有密切的关系，具体的IP 地址分配将通常在工程实施时统一规划实施，这里主要描述IP 地址分配的原则。

主要的原则描述为IP 地址分配要尽量给每个生产厂分配连续的IP 地址空间；相同的业务和功能尽量分配连续的IP 地址空间，有利于路由聚合以及安全控制。

IP 地址的规划与划分应该考虑到西藏航空成都基地各节点的发展，能够满足未来发展的需要；即要满足本期工程对IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；地址分配是由业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM（变长掩码）技术，保证IP地址的利用效率；采用CIDR 技术，这样可以减小路由器路由表的大小， 加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；在公有地址有保证的前提下，尽量使用公有地址，主要包括设备loopback 地址、设备间互连地址。 充分合理利用已申请的地址空间，提高地址的利用效率。

IP 地址规划应该是西藏航空成都基地企业网络整体规划的一部分，即IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。 IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划[5]。

6 结语

对于西藏航空成都基地网络系统，良好的层次设计为网络的可靠性、网络性能和网络的可扩展性都提供了良好的保障。 目前，网络面临的是不断增长的对性能和可扩充性的需要。 除此之外，网络还必须保证提供一些关键特性，例如高可用性、可管理性和灵活性等。 随着网络上承载的业务应用系统的增多和新技术的推出，如何设计网络和如何满足这些不断增长的需求，我们建设的是提供一个高性能的、具有扩充能力的，能为新增业务应用系统提供基础环境的网络系统，以提供更大的灵活性和网络增长的潜力。