行业专用网络规划建设论文

时间:2022-03-10 02:54:01

行业专用网络规划建设论文

1关键技术

在行业专用网络规划首先是各分支机构的局域网规划,然后是将所有局域网连接起来的广域网规划。涉及如下关键技术:(1)网络拓扑结构———规划、选取一种合适的网络拓扑结构来构建行业专用网络,即包括局域网又包括广域网。(2)IP规划———规划适合的IP网段划分及IP地址分配。(3)网络安全规划———规划适合的网络安全技术,确保行业专用网络的安全、可靠运行。

2拓扑结构

2.1局域网拓扑

局域网拓扑规划需要根据各分支机构的实际情况来进行规划,通常根据各分支机构在地域上分布划分以下3类:(1)楼层———小型分支机构,分布在一个完整或部分楼层。由于规模、空间分布小,通常只规划接入交换设备,用户终端直接连接接入交换设备,接入交换设备相连接,构成整个局域网。(2)楼宇———中型分支机构,分布在整个或部分楼宇。在每个楼层规划多个边缘接入交换设备,汇总到楼层的汇聚交换设备,再由楼层的汇聚交换设备接入到核心交换设备。(3)楼宇间———大型分支机构,分布在多个楼宇之间。楼宇间拓扑结构的规划基于(2)楼宇的拓扑结构,为多个楼宇各自的局域网接入到中心交换设备的拓扑结构。

2.2广域网拓扑

广域网拓扑规划主要规划各分支机构局域网,如何利用路由设备将空间上分布在各地的局域网相连接形成广域网,通常行业专用网络采用与其组织结构图相匹配的树状分层结构。由于广域网连接需要依托网络运营商,所以规划时首先考虑的是各级之间网络带宽的分配,其次考虑重点分支机构网络回路的建设,以提高广域局的可靠性。网络带宽规划一般采用上层大于下层带宽均值,小于下层带宽之和的模式,如公式1所示。M下层平均≤M上层≤M下层之和公式1网络回路规划对于保证重点分支机构局域网与广域网的互联互通是必须的,在规划时应充分考虑负载均衡与STP规划。

3IP规划

行业专用网络IP规划主要是选择IP网段并进行划分,在划分时即要规划合适的子网段,不浪费IP地址网段,又要充分考虑行业专用网络的成长,为各分支机构及下属部门的发展预留充足的IP地址。

3.1IP规划

根据IP地址的类别(Class)进行IP地址分配的方法表现出越来越多的弊端,为了解决分类IP地址划分带来的地址浪费,就需要使用子网划分(Subnetting)的方法。主要是利用子网划分技术,将二级IP地址通过子网划分为三级IP地址。在划分中遵守以下原则:(1)假设子网的主机号位数为N,则可用地址数为2N-2个,主机号全1为广播地址,主机号全0为网络地址。(2)假设每个子网需要划分Y个IP地址,并且满足2N-1≤Y≤2N,则主机号位数为N,子网掩码位数为32-N。(3)假设子网号位数为M,则子网数为2M个。(4)假设需要划分X个子网,每个子网包括尽可能多的主机,并且满足2M-1≤X≤2M,则子网号位数为M。

3.2VLSM与CIDR

VLSM和CIDR可以进一步提高地址利用效率,缓解地址数量不足的问题。子网划分存在以下的局限性:无法实现把网络划分为不同大小的子网,常常会浪费许多主机地址。VLSM(VariableLengthSubnetMask,可变长子网掩码),允许使用多个子网掩码划分子网,使组织的IP地址空间得到更有效的利用。CIDR(ClasslessInter-DomainRouting,无类域间路由),可以消除了自然分类地址和子网划分的界限,将网络前缀相同的连续IP地址组成CIDR地址块,同时支持强化地址汇聚。4.3NAT技术行业专用网络是基于私有网络做IP规划的,优势是私有网络内的IP地址可以选择任何私有网段进行灵活划分,但这样的私有网络由于IP地址与公网IP地址相冲突,所以是无法直接接入互联网的。私有地址用户若要访问互联网,就需要利用NAT技术提供私有地址到公有地址的转换。NAT服务规划在行业专用网络与互联网相连接的路由设备上,通过BasicNAT实现私有用户通过行业专用网络的固定公网IP访问互联网。通过规划EasyIP实现私网用户通过浮动公网IP访问互联网。通过规划NATServer实现公网用户访问行业专用网络私网中的特定设备。

4安全规划

行业专用网络由于运行、存储着大量高价值信息,往往是黑客的重点攻击目标,所以行业专用网络在规划时就必须考虑网络信息安全问题,网络安全规划是行业专用网络规划的重要组成部分[6-8]。

4.1防火墙

防火墙部署在行业专用网络与互联网之间,或行业专用网内部不同信息安全级别网络之间,执行网络间通信安全策略。防火墙可以阻止行业专用网来自不可信网络的攻击,保护行业专用网络中关键数据的完整性。防火墙技术的功能是:控制进出网络的信息流向和数据包,过滤不安全的服务;隐藏内部IP地址及网络结构的细节;提供使用和流量的日志和审计功能,部署NAT(NetworkAd-dressTranslation,网络地址转换),逻辑隔离内部网段,对外提供Web和FTP;实现集中的安全管理,提供VPN功能。

4.2IDS

入侵探测设备以旁路方式部署在行业专用网络的重要部分,它自动检测入侵行为,监测网络流量和主机中的操作,通过基于特征或异常进行入侵行为分析,并按预定的规则做出响应,阻止指定的行为。入侵探测设备往往与防火墙配合部署,以连动方式共同保护行业专用网络的安全。

4.3病毒防治

行业专用网络的病毒防治,主要是行业网络内部部署网络版的系统漏洞补丁的分发和病毒查杀的病毒防治系统。即行业专用网络内部所有终端、服务器设备全部安装病毒防治系统,管理人员通过病毒防治系统管理后台规划补丁升级、病毒查杀。

4.4容灾备份

容灾备份实现行业专用网络中核心数据、系统的高可靠备份与恢复,它在行业专用网络的规划中主要考虑:如何在网络系统遭到破坏后,以最快的速度恢复网络系统的正常运行,尽可能小地减少核心数据的损失。由于数据备份需要占用大量的网络资源,系统备份相当于重建另一套系统,所以容灾备份的规模与频度并不是越大越快就越好,在它的建设中就要选择一个成本与功能适合的合点,常用的选择是:最小的成本、最大的安全备份。

5结语

行业专用网络由于其特殊性,在建设之初就必须根据企事业行业的组织结构的具体特点,在调研及需求分析的基础上进行充分、详实的规划。规划包括:与行业组织结构相匹配的网络拓扑规划,行业专用网络的IP规划,在这两项规划完成之后具体网络建设之前,利用网络模拟软件搭建虚拟网络,对网络规划进行测试,确保不出现遗漏和失误。行业专用网络在规划中还应充分考虑其运行的安全可靠性,在规划阶段就要利用动态网络防御的观念,利用防火墙与入侵探测联运机制进行行业专用网络的安全体系设计,同时还要规划容灾备份与病毒防治。

作者:王佳宝李宇昕张巍于琳琳史晓翠单位:武警黄金地质研究所武警黄金教导大队