商务公司整体网络规划与设计

黄永吉 成都师范学院

大量商务公司为顺应当前市场规律和趋势，大力实现电子商务的推进和发展。与原来的商业模式相比，它在运行成本、商品流通速度以及利润率等方面都有很大的优势。此外，商务公司通过以实现电子商务发展为目标，在这基础上，将公司网站建设、内部管理、交易安全等职能融合为一体。这样一举多得，既能扩展商务公司在线上交易的业务，也可以加快公司内部的信息化建设，提高综合竞争力。

1 路由设计

公司中的路由通过设计的以简化，即网络不需要运行动态路由协议，利用VLAN见的路由进行跳转，最后通过防火墙进行NAT转化，最后连入互联网。

其具体实现如下，在核心层添加各个部门VLAN，无线接入用户VLAN到数据中心VLAN相互之间的路由，添加到出口设备的默认路由。添加出口路由到需要被外网访问的服务器的路由，添加VPN接入用户到应用服务器群的路由，最后由防火墙进行NAT转换完成互联网的接入。

2 可扩展性设计

接入层交换机预留端口并进行布线，这样新添加的终端设备可直接插上网线到预留的端口即可，但这还需要第二点中提及的IP 编址预留，它才能获得一个合适的IP 地址，若第一二点不能满足，则新添加终端设备将不得不连接到一个不合适的交换机，获得一个不合适的IP，造成连线与IP规划的混乱，或者新添加设备根本无法接入。

3 虚拟专用网

虚拟专用网络(VPN)的功能是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

根据需求，总共需要两条隧道，一条是远程接入用户隧道，一条是分公司接入隧道。对于站点到站点VPN，采用IPSEC，编址部分参考IP编址一节。对于远程接入用户，采用SSL VPN，编址部分参考IP编址一节。在出口路由器和出口防火墙上同时开启VPN功能，优先使用防火墙上VPN功能。VPN接入用户和远程站点仅能访问公司网络中心。在逻辑上所有VPN远程访问都相当于是公司的某个部门。对于一些特殊的信息资源，比如有关商品营销的信息、核心管理信息等，需要特殊权限，以确保安全性和保密性要得到最高的保证。通过VPN的角色进行划分，划分不用的VPN接入后的权限。可参考图1。

4 网络安全及稳定设计

由于涉及非常重要的商业机密，商务公司对于网络安全应当有非常高的要求。无论是网络中心设置还是服务器摆放都需要经过安全验证，此外对于维护上也有着严苛的要求。

在Web服务器、应用服务器、数据服务器上都连接有入侵检测，通过内容交换机和通用交换机将数据得以分流，再通过链路负载均衡设备以及防火墙连入网络。最大程度上保护自身的安全性和稳定性。

网络交换机都经过独特设计具备防尘、防潮、防静电等多种适于在楼道安装和使用的特点。而且具有强大的运行维护能力，能有效降低运营商的运维成本。支持RS-232本地管理口及Telnet、WEB、SNMP 代理，远程监控可根据运营商的不同要求，使用不同的管理方案，支持SNMP协议的全网集中网管。交换机能够提供全中文菜单或图形配置方式，为交换机的管理和配置提供了极大的便利。提供了故障告警和日志功能，可通过机箱面板上指示灯直观地了解设备的运行状态。

此外，为了帮助网管人员轻松实现对众多网络设备的管理、及时排查网络故障和提高用户管理的效率，让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中，切实降低复杂IT环境的管理难度。系统可以对于每个客户上下行的带宽上限加以限定，防止个别客户占用过多网络资源。还能对不同的用户数据设定业务优先级，以保证重要数据能得到更好的服务。最大程度上确保网络安全和稳定可靠。

5 网络系统使用安全分析与设计

商务公司的网络系统使用安全，也是重要的设计内容，因为技术上的安全再强大，也需要辅以使用上的安全规范。

在整体安全性上来看，内网出口处有防火墙，可为内网的整体防护提供安全措施。数据中心也设置了防火墙，让网络中心始终拥有很高的安全性。

为了防范ARP攻击，网内除终端设备外，所有设备的ARP表有可信的第三方发布（位于网络中心的安全设备），该ARP表绑定所有重要设备MAC与IP。此外在汇聚、核心交换设备设置由硬件实现ACL，对病毒进行过滤和杀灭。结合网络攻击的检测系统，能够抵御日益增多的内部网络攻击，并且自动对用户做出相应的控制动作，保证网络安全。

对于手机用户、电脑用户等，都采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了IP冲突。除不需身份认证的设备外，其他设备入网均需一次身份认证，根据认证结果发放权限，同时某些重要应用服务器可能还需要进一步的身份认证。

在支付安全，需要验证手机号码并且使用较高安全级别的密码，作为加密凭证。存储支付数据的服务器也被安置在安全位置，进出由密码控制。确保支付信息的安全可靠。

6 总结

商务公司为适应当前市场规律和趋势，大力实现电子商务的推进和发展，将公司网站建设、内部管理、交易安全等职能融合为一体。通过这种一举多得规划设计，既能扩展商务公司在线上交易的业务，也可以加快公司内部的信息化建设，提高综合竞争力。

本课题对商务公司整体网络的规划与设计进行研究，从商务公司整体网络的基本结构搭建出发，围绕公司网站建设、内部管理、交易安全等方面，进行一系列规划与设计，最终形成适应商务公司发展与运行的商务网络体系结构。

在对于商务公司整体网络规划与设计中，遵循了先进性、可靠性、实用性、安全性、可扩充性等五大原则。设计中使用了Cisco 2960 、Cisco 3560交换机、Cisco PIX防火墙以及其他先进的服务器，这些关键部件在硬件上都是十分先进、可靠的，通过利用Cisco PIX防火墙将内外网分隔，附加VPN访问内网以及各线路均有备份，可以一定程度上确保安全性。各交换机都有冗余接口以及线路，确保以后扩展上不会受到影响，具有很强的可扩展性。

公司整体网络能够保证稳定、可靠、数据传输不受影响。保证在少部分设备或者其他故障之下，不会使整个网络崩溃。核心级设备在出问题的时候，可以通过备份设备，实现隔离并有效的进行恢复，具有强大的健壮性。可以通过有效的网络带宽控制技术和服务质量保证技术，满足了公司对于不同数据传输的需要。主干网络的带宽达到万兆级别。公司整体网络具备强大的保密性、完整性、可用性、可审核性。关键设备具有备份系统，并且通过防火墙等手段防范网络攻击。可以及时有效的发现网络中的异常流量，有效的控制网络设备，及时的对异常网络设备进行远程控制且操作简单、方便管理与维护。能够为公司外部特殊用户提供安全保密的信息，实现高速安全的广域网数据传输。该设计对于电子商务、网络规划等学科研究有一定的参考和借鉴意义。