基于因特网的大型Intranet广域网构建.docVIP

　　基于因特网的大型Intranet广域网构建 基于因特网的大型Intra广域网构建 1引言 　　随着因特网的高速发展和公司及各大型组织规模的不断壮大，传统的公司间的数据传输模式已远不能满足公司及组织发展的需要。在公司及其各分部之间建立一条跨越地区乃至国家的网络线路就成了各大型公司及组织的当务之急。而在网络线路的设计过程中伴随而来的是组织内部间的数据安全性及传输可靠性的问题。本文通过实际案例说明了组织内部的通信网络的设计方案。Intra，又称为企业内部网，是Inter技术在企业内部的应用，它实际上是采用Inter技术建立的企业内部网络[1]。 　　2组网案例分析 　　2.1业务背景及需求分析 　　2.1.1业务背景 　　该Intra的应用对象为一个大型政务机构，其组织机构包括1个总部、11个分部和109个基层单位，地理分布范围达上千公里，需在总部和各分部均组建本地局域网，各本地网之间经远程通信链路互联，各基层单位则分别接入所属分部。 　　2.1.2需求分析 　　本案例要求给出实现总部与各分部、分部与各基层单位互连通信的设计方案，其主要需求如下： 　　（1）总部和各分部均为本地局域网，各基层单位为单机工作站。 　　（2）高可靠性要求：任意链路或节点失效，系统其余部分的主路由仍可以正常运行。 　　（3）信息传输的低时延，高带宽利用率需求。 　　（4）较高的安全性要求。 　　（5）尽可能低的构建与运行成本。 　　（6）信息流量的性质：主要是具有突发性特征的数据，预期以后将加入语音和静止图像信息。 　　（7）整个机构使用的IP地址为172.16.0.0。 　　2.2网络设计方案 　　2.2.1网络关键技术选型 　　（1）广域网线路选型 　　中国移动、电信、联通、广电等电信运营商都已经大规模建设了基于SDH的骨干光传输网络。由于该案例中总部和分部距离很远，地理分布范围达上千公里，同时由于信息传输的低时延，高带宽利用率需求，所以打算租本文由.L.收集整理用这些SDH的通信线路实现WAN的永久连接。具体的价格需要跟线路供应商商谈。 　　（2）VPN技术 　　该案例中为保证企业内部的信息安全，同时由于线路过长，所以采用VPN技术来实现内部信息安全的保证。选择硬件设备的时候也要求支持该技术。 　　（3）VLAN技术 　　VLAN是逻辑上的网络，可以避免实际网络的许多缺点和限制，我们利用VLAN技术实现本案例中各个分部及其下属各基层单位之间的联系和安全性要求。11分部的11个VLAN再与总部相连接。 　　2.2.2广域网设计 　　整体设计思路：针对该案例的高可靠性需求：任意链路或节点失效，系统其余部分的主路由仍可以正常运行，该案例网络拓扑结构采用以总部为中心的星型结构，该广域网以供应商提供的SDH线路为基础，以总部为中心，将11个分部的局域网连接起来。 　　由于该案例租用公用SDH网络实现连接，为了保证广域网内部的信息传递的安全性，需要采用VPN技术建立通信信道。在所有要经过公用网的地方都采用VPN建立通信隧道。整个广域网内采用网内的IP实现Vlan，每个区域采用统一的外部IP连入Inter，对于区域内的机器通过NAT实现内外IP地址的转换。在每一个路由器上安装NAT软件以实现网络地址的转换。 　　（1）广域网路由协议 　　OSPF是由IETF开发的，它于1990年成为标准，现在大多数路由器厂商都支持OSPF，并且它已成为最主要的内部网关协议。它不但具有较高的效率，而且有可靠的安全机制和良好的开放性[5]。 　　（2）总部的中心节点设计 　　由于总部是该广域网的中心节点，总部与各分部之间要完成通信，各分部之间的通信也要通过总部中心节点来完成，同时总部也是整个广域网的控制、管理和维护中心。 　　基于以上原因，要在总部配置两台汇接路由器，使广域网的中心节点具有较高的包转发和交换能力、足够的接入端口种类和数量，同时具有较强的管理控制能力等功能。 　　（3）分部和下属基层工作站的设计 　　为各分部配置一台CISCO RV082路由器采用一个同步串口经SDH和总部相连，并作为广域网接入使用。对于109个基层的单机工作站，采用CISCO RV042通过区域SDH线路与就近分部的路由器相连。同时该两款路由器都支持VPN和NAT。 　　（4）网络拓扑图：如下图一所示 　　（5）设备连接示意图：如下图二所示 　　2.2.3网络安全的设计 　　（1）Inter出口及防火墙区域设计 　　该案例中为广域网设计统一的Inter出口，以确保对Inter访问的控制和保护内部企业网。 　　（2）网络防病毒设计 　　在本案例中，为每一台计算机安装防病毒软件，实时侦测病毒的入侵。 　　（3）VPN加密技术 　　本案例中采用的是IPSec DES加密技术和防篡改技术，组建行业VPN网