鄒江濱

（中移鐵通云南分公司，昆明 650011）

1 引言

自從李克強總理在政府工作報告中首次提出 互聯(lián)網+行動計劃。 互聯(lián)網+ 代表一種新的經濟形態(tài)，即充分發(fā)揮互聯(lián)網在生產要素配置中的優(yōu)化和集成作用，將互聯(lián)網的創(chuàng)新成果深度融合于經濟社會各領域之中，提升實體經濟的創(chuàng)新力和生產力，形成更廣泛的以互聯(lián)網為基礎設施和實現工具的經濟發(fā)展新形態(tài)。

企業(yè)參與到 互聯(lián)網+ 的前提是有自己的企業(yè)信息化基礎，而企業(yè)信息化的最基本的是企業(yè)局域網。

通過日常網絡維護中，發(fā)現目前大量企業(yè)的局域網構建的時候只考慮了一個基本的互通的網絡，很少考慮到網絡的可靠性和安全性；網絡中的數據配置沒有規(guī)劃，存在管理和后續(xù)擴展的問題；并且隨著無線接入技術的發(fā)展，大量無規(guī)劃的無線WIFI接入造成了企業(yè)信息的外泄。

本文從構建一個可靠性高的基礎網絡，并對其中的數據規(guī)劃提出建議，并結合網絡安全進行論述。考慮到目前無線WIFI的實際應用，提出了企業(yè)組建無線WIFI網絡的方案。并對企業(yè)網絡信息安全工作提出指導建議。

2 大中型企業(yè)局域網組網架構

圖1 企業(yè)組網圖

組網的原則：

（1）通常采用星型結構，在中心區(qū)域放置兩臺高性能的匯聚交換機。

（2）分公司或分支機構網絡上行至兩臺中心匯聚交換機。

（3）服務器通常放置在防火墻內部。

（4）局域網出網處部署DPI流量分析控制設備。

（5）通過VPN接入設備，對遠程辦公人員提供接入。

（6）如果企業(yè)對網絡安全性要求更高，可以將全部核心層和匯聚層的設備改為雙設備負荷分擔的方式。

圖中，分公司如果需租用長途電路連接至中心匯聚交換機，成本較高，可以采用MPLS-VPN接入的方式進行組網。

3 大中型企業(yè)局域網網絡數據規(guī)劃建議

一個好的網絡除了較好的網絡結構外，還需要好的數據規(guī)劃，以便于后續(xù)網絡的擴容、調整，以及訪問控制的策略的制定等。網絡的數據規(guī)劃主要有幾個方面，路由組織、IP地址規(guī)劃、VLAN規(guī)劃。

路由組織：較小的網絡可以采用靜態(tài)路由來規(guī)劃，但是中大型的網絡建議采用動態(tài)路由，以便實現路由層面的網絡保護和網絡維護的便捷性。企業(yè)局域網建議采用OSPF路由協(xié)議。

IP地址規(guī)劃原則：

（1）企業(yè)內部使用私網地址，三段私網地址：10.0.0.0/8；172.16.0.0/12；192.168.0.0/16。

（2）IP地址規(guī)劃的原則建議采用先大類業(yè)務、再區(qū)域的原則進行分配，這里的業(yè)務要求是區(qū)別較大的業(yè)務，比如內網辦公、互聯(lián)網業(yè)務、無線WIFI地址。

（3）不同業(yè)務采用不同的網段，將設備地址、用戶業(yè)務地址、服務器使用地址分開。

VLAN規(guī)劃原則：

（1）建議VLAN以部門來劃分，每個部門一個VLAN。

（2）應該將每個VLAN的終端數控制在100以內，以避免過大的廣播域，如果部門人數過多，可以分配多個VLAN來限制廣播域。

規(guī)劃范例：某大集團下屬10個公司，每個公司有財務部、綜合部、人力資源部、銷售部、采購部、生產中心6個部門；公司內部有幾臺服務器提供郵件、OA服務；公司經常有人出差，需外部辦公VPN接入內網。

設備之間互聯(lián)使用ip地址段172.16.1.0/24，每個互聯(lián)IP使用30位掩碼的互聯(lián)地址；設備之間啟用OSPF動態(tài)路由；辦公地址使用網段10.0.0.0/8，每個分公司分配4個C，如分公司A使用10.0.0.0/22、分公司B使用10.0.4.0/22等；每個分公司每個部門1個VLAN，每個VLAN分配半個C地址。公司內部服務器使用的地址段可以使用192.168.0.0/24；另外分配一段VPN接入地址池，192.168.1.0/24；每個業(yè)務后續(xù)的地址可以作為擴容使用。

4 大中型企業(yè)局域網網絡安全性

企業(yè)為了保障正常的辦公，需有一個強健的局域網，需從網絡接入、數據配置策略、安全管理設備等方面來保障網絡的安全性和可靠性。

4.1 網絡架構安全性

網絡的架構的安全主要是設備的主備和鏈路的冗余備份；通常核心設備采用主備的方式，接入鏈路通過異傳輸徑路雙上行至不同核心設備來實現冗余備份；網絡出口的可以接入兩家ISP來實現網絡出口的安全性。

企業(yè)內部的服務器通常存有大量的企業(yè)內部機密信息，為了安全性，通常應將此類服務器置于企業(yè)內部的防火墻。

還可以通過VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）技術來實現更高的可靠性，VRRP通常用在邊緣網絡，通過兩臺網關設備虛擬成一臺設備，實現網關的冗余備份。此類建設成本較高，建議對于非常重要的接入節(jié)點采用此技術；上圖中，可以對企業(yè)防火墻內部的服務器采用VRRP技術，以保證企業(yè)內部信息系統(tǒng)的高可靠性。

如果企業(yè)通過局域網部署了網絡電話等高時延敏感性業(yè)務，對鏈路中斷切換要求較高，可以采用BFD（Bidirectional Forwarding Detection雙向轉發(fā)檢測機制）可以提供毫秒級的檢測，可以實現鏈路的快速檢測，BFD通過與上層路由協(xié)議聯(lián)動，可以實現路由的快速收斂，確保業(yè)務的永續(xù)性。

4.2 數據配置策略

數據配置的策略應只保障每個團體或個人只有相應的權限范圍內的訪問需求。具體為：

（1）每個人的IP地址和MAC地址進行綁定，網絡較大的情況下可以部署DHCP服務器來進行管理。

（2）企業(yè)網絡設備應只有信息管理人員可以訪問。

（3）內部辦公的服務器應該只允許內部員工訪問，各部門內部的服務器只允許特定部門員工訪問。

（4）部門之間訪問存在限制，比如其他部門均不能訪問財務部。

（5）只允許部分用戶訪問外網。

（6）企業(yè)網站對外提供服務。

為了實現以上的策略，有以下方法：

（1）在各地市接入交換機上加訪問控制列表，限制部門之間的訪問。

（2）在設備登錄管理里面添加訪問控制列表，只允許信息管理人員的地址登錄。

（3）在企業(yè)內部防火墻上添加策略，只允許特定的部門IP地址訪問特定的服務器。

（4）除了在服務器外面的防火墻布置訪問控制外，還應該在特定重要的服務器上配置防火墻策略上只允許特定的IP訪問。

（5）在出口路由器上進行NAT配置允許特定的IP地址訪問外網。

（6）需對外提供服務的私網服務器，在出口路由器上只對相應的私網IP做相應服務的端口的公網映射，避免一對一的NAT；因為一對一的NAT會將內網服務器的全部服務端口映射至公網上，提供的端口越多，被攻破的風險越大。

4.3 部署安全管理設備

堡壘很多時候都是從內部被攻破的，除了前面的一些安全措施外，企業(yè)還應通過部署一些安全管理設備，如日志存儲設備、DPI（Deep Packet Inspection，深度包檢測技術）流控設備，加強企業(yè)內網的安全防護。

作為大中型企業(yè)，由于員工眾多，企業(yè)內部信息安全存在很大的風險，通過部署日志存儲系統(tǒng)，將出口路由器上的員工上網記錄做好存儲，以便在必要的時候進行追查。

DPI流控設備的工作原理是一種基于應用層的流量檢測和控制技術，當IP數據包、TCP或UDP數據流通過基于DPI技術的帶寬管理系統(tǒng)時，該系統(tǒng)通過深入讀取IP包載荷的內容來對OSI七層協(xié)議中的應用層信息進行重組，從而得到整個應用程序的內容，然后按照系統(tǒng)定義的管理策略對流量進行整形操作。通過DPI流控設備對局域網的流量、協(xié)議、用戶進行多維度的分析統(tǒng)計，可以及時發(fā)現異常流量的報文信息，并可以將部分影響帶寬和工作的協(xié)議進行限制，提升企業(yè)效益和工作效率；對后續(xù)的網絡規(guī)劃、信息安全都具有較大意義。

4.4 企業(yè)信息安全管理

前面提到的是一些網絡設備層面的網絡安全事項，此外，企業(yè)內部還應加強對信息安全的管理，以下是一些常用的信息安全管理事項：

（1）各種軟件的漏洞已經成為大規(guī)模網絡與信息安全事件和重大信息泄露事件的主要原因之一。針對計算機漏洞帶來的危害，安裝相應的補丁是最有效、也是最經濟的防范措施。而大型企業(yè)由于設備型號和軟件版本眾多，為了降低因為軟件漏洞造成的信息安全事件，企業(yè)應加強對企業(yè)涉及到的軟件進行管理，加強軟件應用系統(tǒng)的版本和補丁管理，定期對官方的一些漏洞補丁發(fā)布網站（如補天網butian.#）進行查看。

（2）加強各系統(tǒng)的賬號管理，包括分配、刪除、授權等方面，賬號的權限應該符合使用人員的職責，避免授權過高；企業(yè)員工離職和調離原崗位，需將相應系統(tǒng)的賬號進行刪除。

（3）由于現在單臺計算機性能較強和密碼破解軟件的強大，企業(yè)應加強系統(tǒng)的用戶密碼強度和有效期管理，密碼強度通常要求8位數字、字母、特殊字符混合組成，有效期通常3個月；企業(yè)最好是通過系統(tǒng)自動實現密碼強度和有效期管理。

5 大中型企業(yè)局域網無線網絡管理要求

隨著技術的發(fā)展，企業(yè)內部員工使用移動終端的越來越多，大量的員工有無線WIFI接入的需求，不管是接入企業(yè)內網辦公還是接入互聯(lián)網。

部分的員工為了工作和生活的便利，私接無線路由器，如將企業(yè)內網或互聯(lián)網通過無線路由器轉換為無線信號給筆記本終端和手機終端使用。此舉給公司信息安全帶來較大的隱患，存在外來人員隨意接入企業(yè)內網，公司涉密筆記本隨意接入互聯(lián)網等情況，而企業(yè)正常辦公也存在需要使用無線網絡的情況。

堵不如疏 ，建議企業(yè)可以建設一張無線接入網絡，將無線網絡納入網管和監(jiān)控。

圖2 無線組網圖

組網規(guī)劃：

（1）通過布放AP實現無線網絡的覆蓋。

（2）通過AC對全部AP進行集中管理監(jiān)控，分配IP地址。

（3）每個AP發(fā)送兩個SSID，如OA和Internet分別分配不同的IP地址，授權訪問不同的網絡，如果有更多需求可以分配更多的SSID來實現接入不同網絡。

（4）通過AC和RADIUS服務器對用戶進行管理，用戶登錄時使用各自的賬號。

6 結束語

本文是從日常工作中積累的相關知識，希望可以給企業(yè)信息化管理人員提供一定的指導建議。

[1] 滿昌勇.計算機網絡基礎[M].北京：清華大學出版社，2010.