网络组建方案详解

网络组建方案详解

工作也有十个年头了，无论做甲方还是乙方时接触过大大小小的网络组建不少，很多都是大同小异，总结了下也方便为从事这块、将要从事这块或是对这块感兴趣朋友带来些启发。

基本形式，这是个非常通用以及基本的形态，家里、酒店、学校、中小企业等等都可能会用到。出口区域可以采用防火墙（同时充当出口路由器角色），出口路由器加防火墙（防火墙只起防护功能），或者就是不怕任何攻击就一台出口路由器的形式，当然最后一种也几乎就只有家庭组网才会采用这种形式。内部连接区域的话有两种方式，一种是下图中方式1，这种方式是非常标准的三层结构，内部终端的网关都由核心交换机充当，这样内部终端的通讯就通过核心来进行转发。终端如果要上互联网，则会将数据发送到核心，再由核心通过路由交由网络出口区域的设备发送到互联网上去。如果内部终端规模小、又想节约成本，那就可以采用方式2这种结构。这种结构下内部终端的网关直接由网络出口区域的设备充当（这里我们直接默认为路由器），其它交换机可以采用傻瓜式交换机用于连接终端设备，整个网络的路由交换压力全在出口路由器上。因此采用这种方式的前提是网络规模要很小。

进阶形态，说完基本形态，下面我们就来说说在基本形态上如何去优化网络内的结构。从网络结构的层面来说，如果通讯用的结构已近搭建完成，那么我们就要考虑如何去应付可能出现设备或是传输介质故障，因为一旦出现故障，就会导致故障点以下网络区域无法正常工作，这就是所谓的单点故障。为了应付这种情况，如下图，我们会采用双核心交换机通过热备协议（HSRP&VRRP）以及链路聚合方式（不同厂家设备称呼不同）实现主备关系，并且下联接入交换机通过两条网线或是光纤分别接在两台核心上。这样在热备协议的作用下，及时一台核心出现问题，或者是和下联接入交换机互连用的传输介质出现问题，都不会影响网络的正常使用。当然作为内部重中之重的服务器区域，也可以部署类似双核心的一样的双汇聚形式，并且每台服务器通过双网卡连接在双汇聚上，确保服务器组网络层面上在未发生大规模设备和传输介质瘫痪的情况下始终能够正常工作。

整体形态，介绍完基本形态和进阶形态后，下面我们就可以将这些合在一起并进一步完善整个网络的搭建。比如：1、为了确保服务器组的安全性，我们可以在服务器汇聚和核心之间根据情况增加内外防火墙。2、在核心和出口防火墙之

间增加上网行为管理对内终端进行上网管控。3、在出口防火墙旁边增加DMZ 区，提供外部WEB服务的同时，有不会影响到内网安全。4、如果存在其他分子公司的情况，为了使两地网络互通，可以采用IPsecVPN或是专线的形式如MSTP，当然具体允许分子公司的那些用户访问内部哪些内容，这个就需要出口防火墙做好访问控制了。5、如果存在公司用户在外部还需要访问公司内外资源的时候，可以采用SSLVPN的方式，一般好点的防火墙都可以开通SSLVPN功能，当然为了减少防火墙的工作压力，可以专门在DMZ区部署一台SSLVPN服务器。完成以上这些，那么整个完善的网络结构也就搭建好了。

最后给大家几点交换机配置的建议供参考。1、核心配置访问控制列表进行限制不同网段间的通讯（具体看情况），这样一旦某一网段有设备中毒，也能够将病毒限制在该网段内。2、接入交换机做端口隔离实现同一台交换机所有下联口下的设备无法互通，这样做是为了防止因某台终端设备出现问题而影响到同一网段下的其它终端。3、核心访问控制连接上根据实际情况可以禁止TCP445端口、UDP135-139端口。还有可以考虑适当的限制3389端口。前面几个是共享端口，后面那个是远程桌面端口。因为很多网上的攻击都会针对这些端口，如僵尸网络、SMB攻击、445端口入侵等等。