大型集团公司广域网的规划设计.docx

大型集团公司广域网的规划设计柏建明 1，麻恒瑞 2（1. 中色(宁夏)东方集团有限公司，石嘴山 753000；2.中国有色矿业集团有限公司，北京 100029）摘要：提出一种针对大型集团公司进行计算机广域网规划和设计的方法，对一般大型集团公司的广域网建设提供方案指导。 以系统性和扩展性为前提，对广域网网络拓扑，IP 地址空间，路由方式进行系统规划和设计；结合 IPSEC VPN 和E1 专线技术，对广域网硬件设备和软件资源的部署、网络框架的稳固性和安全性进行针对性的探讨。关键词：广域网； 网络拓扑； IP 地址； 专线引言大型集团公司一般总部和子公司跨地域分布，为 实现集团总公司对各下属子公司的信息化管控和资源 共享， 需要在集团总公司统一规划下建设各子公司的 计算机通信网络； 并联通各公司之间的局域网信息孤 岛，以保证各子公司同集团总公司之间的生产、管理数接口专线。本文 VPN 链路以 IPSec VPN 为主；广域网0专线采用 SDH 网络的 E1 接口专线，置命令以华三公司的配置格式为主。涉及到的设备配1.2广域网网络拓扑及设备部署集团公司的信息化资源部署在集团总部， 各子公司直接同总部联系， 使用总部提供的资源 ， 例如：OA，ERP 等，子公司之间的业务交流通过总部的信息化资据（例如 OA、ERP 等）能快速安全的传递。本文将从网络拓扑规划、IP 地址空间分配、路由及链路方式几个方面展开说明，为一般集团公司基于 VPN 和专线的广域 网建设提供框架性的建议和方法（本文也适用于分公司众多的大型企业，为方便描述，本文以集团总公司和 子公司的关系为例）。源平台交流。广域网中各公司局域网内部运行 OSPF 路由协议，广域网互连部位配置静态路由，由此主动隔离子公司相互之间的网络，各子公司业务通信使用总部平台。 网络拓扑及设备部署见图 1。图 1 中网络拓扑及设备部署说明：（1）各公司配置 1 台路由器做为广域网的接入路由 器；配置 1 台边界防火墙，实现各公司内部网络和 In- ternet 的安全隔离，同时作为公司的 VPN 网关设备。（2）规模较大的子公司租赁专线连接集团总部，并 根据需要确定专线带宽， 在 Inetnet 线路上配置 IPSec广域网主体设计11.1广域网技术路线集团公司广域网建设遵循集团总部统一规划、子公司分步实施的指导思想，网络的设计必须考虑到标准化、可扩展性以及可靠性和兼容性。网 络 的 IP 地 址 空 间 采 用 A 类私有地址空间 VPN 方式作为备份链路连接总部；规模较小的子公司只在 Inetnet 线路上配置 IPSec VPN 连接总部。2全网 IP 地址2.1 IP 地址总体划分方法合理的规划、 分配各子公司以及集团总部的 IP 地 址，将有效地降低各自计算机网络的建设和维护成本，提（10.0.0.0/8）进行地址规划和分配。要求不高的子公司可以采用 VPN 方式连接总公司，规模较大的子公司建议采用专线方式连接总公司。 目前，常见的 VPN 主要包括 IPSec VPN、SSL VPN 和 MPLS VPN 这三类；公司间专线主要是 SDH 网络专线以及扩展后的 MSTP 网络 ? ? CPOS 155MSONE#$S% I’(!)’!(Z*E1E1 VPN ? ? ? ?A? ?B? ?C Z*E1E1 IPS! VPN图 1 广域网网络拓扑及设备部署 $ 3 2 = ?KK C ?3# $% ? 13 ?,n= !2’ ? ?()1*+*+*+*,2!!+2’-+*+*1*+*./+0+1,2!!+2!!+2!!+*2 ? 11*+-+*+*,2!!+2’-+*+*1*+-.1!+0+1,2!!+2!!+2!!+*2 ? 21*+13+*+*,2!!+2’-+*+*1*+13.23+0+1,2!!+2!!+2!!+*+++++++++2 ?1*+2’-+*+*,2!!+2’-+*+*1*+2’-.2!!+0+1,2!!+2!!+2!!+*31 $ 3 ’ = ? ?KK C ?3# $% 1 ’ ?4n= 32’ ? ?()1*+*+*+*,2!!+2!2+*+*1*+*.3+0+1,2!!+2!!+2!!+*2 ? 11*+’+*+*,2!!+2!2+*+*1*+’./+0+1,2!!+2!!+2!!+*2 ? 21*+-+*+*,2!!+2!2+*+*1*+-.11+0+1,2!!+2!!+2!!+*+++++++++2 ?331*+2!2+*+*,2!!+2!2+*+*1*+2!2.2!!+0+1,2!!+2!!+2!!+*实践与经验高网络的扩展性。 出于安全和维护方面的考虑，各公司应仔细考