企业网络的优化设计探讨

45
2023年6月下 第12期 总第408期
信息技术与应用
China Science & Technology Overview
0 引言
企业网络主要面向内部提供网络和信息服务，承载了各类信息系统如OA、ERP、电子邮件、合同、视频会议等的业务流。

随着近年来信息业务的快速增长，企业网络亟需解决网络数据包延时长、设备负荷大、链路流量超80%、各业务流不能隔离等问题，满足对企业正常业务的支撑。

为规划设计出一个稳定安全的企业网络，首先需要分
析其业务流的特点：一是根据业务类型、服务的对象等因素区分不同的业务流并配置不同的QoS 服务；二是保障各业务系统之间的安全隔离和网络安全问题。

由于建网时的资金限制、网络扩展等造成的网络结构不合理、设备使用不合理，导致网络使用效率低、设备负载不合理、网络运行不稳定，可以通过优化网络结构得到改善，从而提高网络资源的利用率[1]。

1 网络设计
从开始建设至今，企业网经过多次改造和扩容，其规
划设计也需要在原有网络基础上进行。

根据企业网的现状，划分了多个VLAN，部分VLAN 终结在汇聚设备上，部分VLAN 终结在核心设备上，业务VLAN 和NATIVE VLAN 没有分开设计，网络设备上配置多个secondary 地址，存在广播泛滥的风险；启用ARP 代理功能，存在路由混乱和攻击利用的风险，同时全网采用静态路由居多，不利于网络扩展和收敛；没有配置冗余；设备处理能力低；IP 地址规划
混乱，不利于路由聚合；网络结构不合理，且没考虑安全方面的相关设置[2]。

在网络规划设计之初，要根据现网存在的问题及后期
的发展需求，对全网进行分析，通过合理的管理手段和技术手段使得网络性能达到最佳。

2 设计原则
（1）经济型：兼顾设备性能和投资效益。

（2）兼容性：在设备选型和技术方案等方面尽可能选择开放性的产品和协议。

（3）扩展性：在满足当前网络需求的同时也要兼顾后
期企业的信息化发展，以适应大中型网络中复杂环境和网
络应用的需求。

3 设计架构
3.1 网络架构
目前企业网络设计一般采用3层网络模型：核心层、
汇聚层和接入层。

核心层确保高速转发，汇聚层作为网关并配置一些ACL 等安全策略，接入层满足各类终端的接入即可，每层对网络设备和链路都有不同的性能要求。

企
业网常用的网络架构如图1所示。

核
汇
接
图1 企业网常用的网络架构
冗余设计是网络稳定运行的保障。

一般从设备冗余和链
路冗余两方面入手，同时考虑路由设计的冗余。

基于这种星型结构，建议对核心设备进行冗余热备，防止核心设备宕机
导致整个网络瘫痪，建议核心和汇聚之间的链路采用双链路，满足负载分担和热备的目的，满足可靠性和带宽的需要。

高可用性设计包括设备高可用性、架构高可用性、网
络协议高可用性等。

设备高可用性设计主要从设备硬件角度考虑，如电源冗余即电源模块支持双路供电和不同的工作模式，风扇冗余、模块和接口冗余即关键设备配置冗余
收稿日期：2022-11-21
作者简介：程婷（1989—），女，陕西渭南人，硕士研究生，工程师，研究方向：网络通信。

企业网络的优化设计探讨
程 婷 苏云鹏
（青海油田公司信息服务中心，甘肃酒泉 736202）
摘 要：主要从企业网的实际业务出发，设计一个可靠稳定的网络需要从网络结构、IP 地址、路由规划、安全策略4个方面入手，
网络结构以经典的3层架构为主，结合高可用设计，IP 地址规划需结合VLAN 进行，路由规划以动态路由为主、静态路由为辅进行设计，安全策略是在业务测试正常后对网络进行一些安全加固。

在实际企业网中，结合企业网的特点和实际业务流进行网络规划，在一定程度上改善网络性能。

关键词：网络架构；IP 地址；路由规划；安全策略中图分类号：F560.8
文献标识码：A
文章编号：1671-2064(2023)12-0045-03
46
2023年6月下 第12期 总第408期
信息技术与应用
China Science & Technology Overview
接口模块、设备端口连接时须遵循冗余原则、关键连接要在接口模块上预留备用接口、双连接链路分布在不同接口板卡上，关键设备支持不中断业务升级（ISSU），不中断业务升级是指在不停机也不用中断网络服务的情况下升级网络设备上的软件[3]。

企业网承载着重要业务数据，对网络架构的完整性和
可靠性提出了更高的要求。

架构高可用性设计要点主要有：互联线路冗余，即对于模块化机箱式网络设备，均采用偶数板卡，尽量把互联线路分别连接到不同板卡上，做到板卡冗余。

网络设备间互联时，需通过将线路拆分到不同板卡或不同的Port-Group，做到板卡或芯片级冗余。

重要设备互联均采用交叉链路互联。

网络协议高可用，在企业网中部署的冗余技术有MSTP、
链路聚合、堆叠，MSTP 部署在接入层和汇聚层上，主要目的是防止二层环路，需要注意生成树应用的经典结构，对接入层设备开启边缘端口，确保收敛效果最佳，防止生成树协议的震荡导致网络不稳定的发生。

链路聚合就是将多条链路捆绑成一条，具有一定的负载分担能力，提升带宽的同时防止环路，一般结合堆叠技
术一起应用[4]。

BFD–配置BFD 检测两个转发点之间的故障，实现
链路的快速检测，通过与上层路由协议联动可以实现路由的快速收敛，确保业务的持久性。

针对所有OSPF 协议和连接外联单位的静态路由均启用BFD。

GR（Graceful Restart）是一种在主备引擎切换或动
态路由协议重启时保证转发业务不中断的机制。

建议针对所有OSPF 协议、双引擎设备以及与双引擎设备互联的设备启用GR。

NSF–启用NSF 特性，确保当路由器主用处理器切换到备用处理器时，二层和三层数据包可以继续传输。

3.2 IP 地址规划
在企业网中，IP 地址的合理规划是网络稳定运行的基
础。

IP 地址资源应进行全网统一管理分配，一般遵循以下原则：一是IP 地址分配应简单、易于管理，体现网络层次，降低网络管理和网络扩展的复杂性；二是IP 地址分配应具有一定的可扩展性，在网络规模扩展时尽可能地保
证地址聚合；三是IP 地址分配应具有连续性，易于路由聚合，提高路由算法的效率；四是IP 地址分配应具有灵活性，满足流量策略、安全策略、路由策略的优化，充分利用地址空间；五是充分考虑当前及未来的发展需求，满足后期IP 地址的使用需求。

在企业网中，建议根据业务划分IP 地址，设备的互
联地址和管理地址单独区分，尽可能确保IP 地址的连续性，同时结合VLSM，有利于路由汇总，减少路由器的规
模，提高转发效率。

企业网的VLAN 分为业务VLAN、管理VLAN、设备
互联VLAN，遵循易于识别、便于管理的原则。

VLAN 结合IP 地址一起规划，设备互联VLAN 和管理VLAN 具有明显
的区分，根据实际需求业务，VLAN 尽可能和IP 地址段有
一定的软规则，便于区分和故障处理。

特别注意业务VLAN 和NATIVE VLAN 分开设计且不使用默认的VLAN1。

业务VLAN 在通常情况下是按部门划分，将故障影
响限制在部门内部。

面向用户的接口设置为Access 接口
（无线除外）并划入对应的VLAN 中。

Trunk 则是上行链
路连接，华为设备在默认情况下只允许VLAN1通过，可以根据流量需求明细放行特定VLAN。

3.3 路由规划
路由是实现数据转发的关键。

路由从宏观上分为静态
路由和动态路由，静态路由是由管理员手动配置的，保存
在设备配置中，不占用设备的硬件资源，不能单独适用于
大型网络，主要表现为：一是静态路由配置量大，不易于网络扩展；二是路由维护难，出现故障时难以排查；三是无法自动学习选择路径，可能会造成业务中断；四是难以实现数据分流。

动态路由是通过在网络设备上运行动态路由协议生产
路由表格，可以结合网络当前的实际动态情况进行运算，实现路由的快速收敛和网络稳定，由于网络设备要运行大量的算法，对设备的性能要求比较高。

主流的动态路由协议有OSPF、EIGRP、RIP、BGP 等。

因此一般建议企业网采用动态路由为主、静态路由为
辅的设计。

动态路由采用OSPF 协议，核心节点和汇聚节点运行OSPF 协议，划分一个OSPF 区域，并确定OSPF 的进程号、版本号、路由标识（一般选用loopback 地址，其接口比物理接口稳定，并且Router ID 更好控制，避免冲突）、接口类型（一般配置为点对点类型，加快收敛）、timer（一般为默认值，根据需要决定是否修改）、
cost 值（根据实际环境需要决定是否修改）、OSPF 认证（OSPF 接口认证用于对网络进行一定程度的安全加固，根据实际环境考虑是否开启，建议先保证OSPF 邻居关系达到Full 状态再添加认证，如果无法达到Full 就一定是接口认证的配置问题，便于排错）、宣告接口及是否启用BFD（加快OSPF 的检测，实现链路快速切换）等。

接入
层与汇聚层通过二层打通，对于具有防火墙等安全设备的网络环境，考虑配置静态路由，实现全网互通。

对于大型网络，一般会考虑划分OSPF 多区域（见图2），不同的区域用Area ID 来区别，骨干区域是OSPF 的
区域中枢，Area ID 为0，非骨干区域必须都和骨干区域
相连，非骨干区域包括标准区域和特殊区域。

这样划分后，
信息技术与应用China Science & Technology Overview
计算只在区域内进行，区域之间只通OSPF的工作效率，并实现路由一般在企业网中较多采用带内管理的方式，利用现有网络资源对设备进行管理。

这种方式需要加强安全措施，如通过ACL进行登录源地址限制、定义多个用户名、分配不同的权限，开启用户名与密码认证等。

3.5 设备选型
设备选型需要根据业务需求、数据流量等条件选择转发性能、背板带宽、硬件板卡等因素合适的设备。

同时考虑低碳环保节能等因素，因地制宜选择满足业务需求、保
核心
汇聚
图2 大型企业网ospf规划
(Information Service Center of Qinghai Oilfield Company, Jiuquan Gansu 736202) Abstract:The paper mainly starts from the actual business of enterprise network, to design a reliable and stable network needs from network structure, IP address, routing planning, security strategy, network structure with classic three-layer architecture, combined with high available design, IP address planning combined with VLAN, routing planning mainly dynamic routing, static routing design, security strategy is in the business test of the network after normal some security reinforcement. In the actual enterprise network, combined with the characteristics of the enterprise network and the actual business flow of the network planning, to improve the network performance to a certain extent.
Key words:network architecture;IP address;routing planning;safe strategy
47
2023年6月下 第12期 总第408期。