浅谈局域网构建的实用性和安全性

随着信息技术迅猛发展，网络和我们工作、生活联系越来越紧密，网上办公、网上学习已成为一种潮流，与此同时基于客户需求，如何建设一个相对实用、安全的局域网也成为越来越多企事业单位和网络工程师关注的话题。

一、局域网直接面向用户集群，搭建网络需总体筹划分析，力求做到实用好用。

（一）点位部署及物资采购

组建局域网首要任务是制定网络拓扑图和施工图。结合任务需求，明确各部门所需计算机台数、确定各个部门之间的连接关系、确定路由器、交换机及服务器所在位置，确定路由器与路由器之间的连接方式、交换机与路由器之间的连接方式、交换机与交换机之间的连接方式，测量布放光缆、布放网线距离，研究布线方式是否科学、考虑是否需要新建布线管道、分析施工的要点和难点，结合相关规划和测试的数据绘制网络拓扑图和施工图纸。在完成图纸绘制后，需接续完成设备器材采购，主要包括：一是考虑采购计算机的种类及数量；二是考虑需要购买的路由器、交换机型号及数量，目前，路由器和交换机常用的型号主要有华为、华三、思科等，在选用的时候要根据实际需要的接口数量、实际需要存储空间大小、路由器及交换机是位于底层还是中间层等情况来决定选用什么型号。另外，还要关注交换机是否需要路由功能（无需路由功能可选用二层交换机、需要路由功能则需要选用三层交换机）；同时，要根据经费预算情况及需求选择服务器。服务器主要有塔式、机架式、刀片式三种类型，其中塔式服务器和计算机主机大小相似，通常公司无单独机房，可直接将服务器放置在办公区域；机架式服务器布线较容易、利于后期维护，多用于有标准机房的场所；刀片式服务器可看作是一个服务器集群，成本低、适用于高密度计算机环境。三是考虑需要购买的各类线缆数量，主要包括电缆、光缆、尾纤、网线等，其中电缆常选用4-10平方毫米的电缆、光缆常选用多芯单模室外光缆、网线常选用超五类或六类无氧铜材质网线；四是考虑购买其他附属设施，如机柜、配线架、电源设备、光纤收发器、协议转换器、网线测试仪、网线巡障仪等各类工具仪表。通常无专门机房的公司选用综合机柜（集成PDU供电、防雷接地、配线模块、设备安装位等功能）。五是考虑购买网络安防设备。如硬件防火墙、漏洞扫描设备、入侵检测设备等。选用安防设备时要注意各设备之间的兼容性，同时要考虑后期数据库更新、维保保障有力的品牌，目前市场上比较常见有华为、华三、思科、启明星辰等。

（二）搭建架构及区域划分

一是优劣取舍决定网络架构。上面提到绘制网络拓扑图过程中必不可少要考虑的一点就是网络架构选择。网络建构主要有线型、树型、星型、环型、网型等。在构建网络时，通常根据客户实际需求进行优劣对比，从而选择适合客户需求的网络架构。如星型结构属于集中控制式网络，任何一点都和中心节点连接，访问控制设置简单且单节点故障不会影响全网，缺点是中心节点故障影响全网、需要缆线量较大。再比如树型结构属于分级式集中控制网络，节点易于扩充、寻找路径方便，缺点是根节点故障影响全网。

二是部门职能决定划分方式。以一个公司的人事部门、研发部门和销售部门的区域划分为例，划分局域网需要考虑的主要是公司三个部门之间、各部门和服务器之间的联系（这里提到的一个公司各个部门在同一个办公场地或者同一栋大楼内）。可通过交换机划分VLAN组的方式实现部门网络隔离，也可通过ACL（访问控制列表）及设置部门子网出口网关实现单个部门访问HTTP服务器、DHCP服务器、FTP服务器、DNS服务器的限制。

（三）地址分配及资源共享。

一是IP地址分配。根据局域网搭建时主机的数量，从而明确需要的IP地址数量。通常情况下，局域网构建需要IP的数量和主机的数量相同（排除一台主机MAC地址添加多个IP的情形）。局域网IP地址主要使用私网段IP地址，如A类地址中的10.0.0.0段、B類地址中的172.16.0.0段、C类地址中的192.168.0.0段（此段为局域网常用网段）。每台主机、路由器每个接口、三层交换机单个VLAN组网关都需要分配一个IP地址。在规划IP地址时要考虑后期扩展需求做到有所预留，IP地址分配计划做好后制定一张IP地址分配表，在设备配置和网络后期维护中都会便利很多。

二是网络资源共享。局域网共享资源主要有文件、短信息、打印设备、媒体视频等。局域网可设立一台服务器，通常通过搭建FTP服务器的方式实现文件资源共享，也可以通过简单的局域网通讯软件实现点到点通信和文件传送、共享（如大蚂蚁Bigant、飞鸽传书等通信软件都可实现此功能）。同时，连接打印机的计算机可通过打开计算机系统设备和打印机界面，设置共享用户名、更换打印机属性来实现打印机局域网间共享。上述提到的局域网内部文件、打印、扫描共享是局域网最为常见的应用，在学校、工厂等局域网中使用较为频繁，应用广泛。

二、局域网承载大量内部信息，网络安全手段需多管齐下，不断降低信息泄露风险。

（一）局域网访问DMZ区及外网常用技术

DMZ区即存放ftp/web/dhcp/dns服务器的特殊区域，这部分区域要为外网提供数据交互服务，在控制访问时需要允许其通过。如何实现局域网和DMZ区隔离，隐藏DMZ区的内部结构，目前常用的技术有NAT技术和数据包过滤技术，可通过防火墙、路由器等实现其功能。防火墙在实现NAT映射中，可以采取端口或者IP映射两种方式。同时，由于互联网公网地址相对紧张，很多企业都只租用单个公网IP，其内部局域网使用私有IP网段通信，需要访问外网时使用NAT技术，以租用的单个因特网IP地址外联。

（二）局域网安防设备搭建手段

局域网安防设备主要包括防火墙、漏洞扫描设备、补丁分发设备、准入控制设备和分级杀毒系统中心。在实际应用过程中，各种设备有实际的应用范围，如防火墙主要用于通过设置安全策略、制定规则、过滤部分数据流，防止恶意攻击。常用的技术有：○1端口绑定技术。利用端口绑定技术限定联网主机，防止非法主机连接网络，降低外来非法入侵风险。如华为交换机，要实现端口绑定，使用配置命令：[Huawei]user-bind static ip address192.168.170.54 mac-address 4986-4532-697F Interfaceethernet0/0/1 vlan 3，即可将MAC地址为4986-4532-697F的主机ip 192.168.170.54 、接口1、vlan3绑定在一起。○2加装防火墙。防火墙可实现内网设备和外网设备在数据流传输中的隔离，能控制哪些数据流通过、哪些数据流不允许通过，从而有效减小被攻击的风险。○3计算机终端安全设置。计算机尽量设置BIOS和系统开机双层密码，密码尽量采用字母、数字、特殊符号等8位以上字符。同时可对计算机操作系统SAM文件设置密码进行保护，防止恶意破坏。计算机要安装杀毒软件并及时更新病毒库，要启用软件防火墙，有效阻止部分恶意攻击。

（三）网络管理和防护中心建设

通常大型公司都会建设网络管理和防护中心，用来管理网络中各个设备、防范各种网络攻击。通常将网络管理和安防设备管理主机接入网络出口测，接入点常位于外部防火墙与内部计算机子网之间的中心交换机。管理主机需要安装的基本软件有操作系统、数据库系统、设备管理系统、流量监控系统、病毒防治系统。通常情况下，公司数据库服务器会单独做冗余备份，采取磁盘阵列存储并建设同步备份系统等方式，实现数据存储、备份、加密、分割及容错等功能。随着大容量IP数据包在网络上传输，网络管理和防护中心将在数据过滤管理、病毒综合查杀、入侵检测、安全审计等方面发挥越来重要的作用。

作者简介：王志伟（1985.10-），男，吉林敦化人，当前职务：助理工程师，当前职称：助理工程师，学历：大学本科，研究方向：信息通信技术。

推荐访问： 浅谈 实用性 局域网 安全性 构建

---