導(dǎo)語：行業(yè)專用網(wǎng)絡(luò)規(guī)劃建設(shè)論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1關(guān)鍵技術(shù)

在行業(yè)專用網(wǎng)絡(luò)規(guī)劃首先是各分支機(jī)構(gòu)的局域網(wǎng)規(guī)劃，然后是將所有局域網(wǎng)連接起來的廣域網(wǎng)規(guī)劃。涉及如下關(guān)鍵技術(shù)：（1）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)———規(guī)劃、選取一種合適的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來構(gòu)建行業(yè)專用網(wǎng)絡(luò)，即包括局域網(wǎng)又包括廣域網(wǎng)。（2）IP規(guī)劃———規(guī)劃適合的IP網(wǎng)段劃分及IP地址分配。（3）網(wǎng)絡(luò)安全規(guī)劃———規(guī)劃適合的網(wǎng)絡(luò)安全技術(shù)，確保行業(yè)專用網(wǎng)絡(luò)的安全、可靠運(yùn)行。

2拓?fù)浣Y(jié)構(gòu)

2.1局域網(wǎng)拓?fù)?/p>

局域網(wǎng)拓?fù)湟?guī)劃需要根據(jù)各分支機(jī)構(gòu)的實(shí)際情況來進(jìn)行規(guī)劃，通常根據(jù)各分支機(jī)構(gòu)在地域上分布劃分以下3類：（1）樓層———小型分支機(jī)構(gòu)，分布在一個(gè)完整或部分樓層。由于規(guī)模、空間分布小，通常只規(guī)劃接入交換設(shè)備，用戶終端直接連接接入交換設(shè)備，接入交換設(shè)備相連接，構(gòu)成整個(gè)局域網(wǎng)。（2）樓宇———中型分支機(jī)構(gòu)，分布在整個(gè)或部分樓宇。在每個(gè)樓層規(guī)劃多個(gè)邊緣接入交換設(shè)備，匯總到樓層的匯聚交換設(shè)備，再由樓層的匯聚交換設(shè)備接入到核心交換設(shè)備。（3）樓宇間———大型分支機(jī)構(gòu)，分布在多個(gè)樓宇之間。樓宇間拓?fù)浣Y(jié)構(gòu)的規(guī)劃基于（2）樓宇的拓?fù)浣Y(jié)構(gòu)，為多個(gè)樓宇各自的局域網(wǎng)接入到中心交換設(shè)備的拓?fù)浣Y(jié)構(gòu)。

2.2廣域網(wǎng)拓?fù)?/p>

廣域網(wǎng)拓?fù)湟?guī)劃主要規(guī)劃各分支機(jī)構(gòu)局域網(wǎng)，如何利用路由設(shè)備將空間上分布在各地的局域網(wǎng)相連接形成廣域網(wǎng)，通常行業(yè)專用網(wǎng)絡(luò)采用與其組織結(jié)構(gòu)圖相匹配的樹狀分層結(jié)構(gòu)。由于廣域網(wǎng)連接需要依托網(wǎng)絡(luò)運(yùn)營商，所以規(guī)劃時(shí)首先考慮的是各級(jí)之間網(wǎng)絡(luò)帶寬的分配，其次考慮重點(diǎn)分支機(jī)構(gòu)網(wǎng)絡(luò)回路的建設(shè)，以提高廣域局的可靠性。網(wǎng)絡(luò)帶寬規(guī)劃一般采用上層大于下層帶寬均值，小于下層帶寬之和的模式，如公式1所示。M下層平均≤M上層≤M下層之和公式1網(wǎng)絡(luò)回路規(guī)劃對(duì)于保證重點(diǎn)分支機(jī)構(gòu)局域網(wǎng)與廣域網(wǎng)的互聯(lián)互通是必須的，在規(guī)劃時(shí)應(yīng)充分考慮負(fù)載均衡與STP規(guī)劃。

3IP規(guī)劃

行業(yè)專用網(wǎng)絡(luò)IP規(guī)劃主要是選擇IP網(wǎng)段并進(jìn)行劃分，在劃分時(shí)即要規(guī)劃合適的子網(wǎng)段，不浪費(fèi)IP地址網(wǎng)段，又要充分考慮行業(yè)專用網(wǎng)絡(luò)的成長，為各分支機(jī)構(gòu)及下屬部門的發(fā)展預(yù)留充足的IP地址。

3.1IP規(guī)劃

根據(jù)IP地址的類別（Class）進(jìn)行IP地址分配的方法表現(xiàn)出越來越多的弊端，為了解決分類IP地址劃分帶來的地址浪費(fèi)，就需要使用子網(wǎng)劃分（Subnetting）的方法。主要是利用子網(wǎng)劃分技術(shù)，將二級(jí)IP地址通過子網(wǎng)劃分為三級(jí)IP地址。在劃分中遵守以下原則：（1）假設(shè)子網(wǎng)的主機(jī)號(hào)位數(shù)為N，則可用地址數(shù)為2N-2個(gè)，主機(jī)號(hào)全1為廣播地址，主機(jī)號(hào)全0為網(wǎng)絡(luò)地址。（2）假設(shè)每個(gè)子網(wǎng)需要?jiǎng)澐諽個(gè)IP地址，并且滿足2N-1≤Y≤2N，則主機(jī)號(hào)位數(shù)為N，子網(wǎng)掩碼位數(shù)為32-N。（3）假設(shè)子網(wǎng)號(hào)位數(shù)為M，則子網(wǎng)數(shù)為2M個(gè)。（4）假設(shè)需要?jiǎng)澐諼個(gè)子網(wǎng)，每個(gè)子網(wǎng)包括盡可能多的主機(jī)，并且滿足2M-1≤X≤2M，則子網(wǎng)號(hào)位數(shù)為M。

3.2VLSM與CIDR

VLSM和CIDR可以進(jìn)一步提高地址利用效率，緩解地址數(shù)量不足的問題。子網(wǎng)劃分存在以下的局限性：無法實(shí)現(xiàn)把網(wǎng)絡(luò)劃分為不同大小的子網(wǎng)，常常會(huì)浪費(fèi)許多主機(jī)地址。VLSM（VariableLengthSubnetMask，可變長子網(wǎng)掩碼），允許使用多個(gè)子網(wǎng)掩碼劃分子網(wǎng)，使組織的IP地址空間得到更有效的利用。CIDR（ClasslessInter-DomainRouting，無類域間路由)，可以消除了自然分類地址和子網(wǎng)劃分的界限，將網(wǎng)絡(luò)前綴相同的連續(xù)IP地址組成CIDR地址塊，同時(shí)支持強(qiáng)化地址匯聚。4.3NAT技術(shù)行業(yè)專用網(wǎng)絡(luò)是基于私有網(wǎng)絡(luò)做IP規(guī)劃的，優(yōu)勢是私有網(wǎng)絡(luò)內(nèi)的IP地址可以選擇任何私有網(wǎng)段進(jìn)行靈活劃分，但這樣的私有網(wǎng)絡(luò)由于IP地址與公網(wǎng)IP地址相沖突，所以是無法直接接入互聯(lián)網(wǎng)的。私有地址用戶若要訪問互聯(lián)網(wǎng)，就需要利用NAT技術(shù)提供私有地址到公有地址的轉(zhuǎn)換。NAT服務(wù)規(guī)劃在行業(yè)專用網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接的路由設(shè)備上，通過BasicNAT實(shí)現(xiàn)私有用戶通過行業(yè)專用網(wǎng)絡(luò)的固定公網(wǎng)IP訪問互聯(lián)網(wǎng)。通過規(guī)劃EasyIP實(shí)現(xiàn)私網(wǎng)用戶通過浮動(dòng)公網(wǎng)IP訪問互聯(lián)網(wǎng)。通過規(guī)劃NATServer實(shí)現(xiàn)公網(wǎng)用戶訪問行業(yè)專用網(wǎng)絡(luò)私網(wǎng)中的特定設(shè)備。

4安全規(guī)劃

行業(yè)專用網(wǎng)絡(luò)由于運(yùn)行、存儲(chǔ)著大量高價(jià)值信息，往往是黑客的重點(diǎn)攻擊目標(biāo)，所以行業(yè)專用網(wǎng)絡(luò)在規(guī)劃時(shí)就必須考慮網(wǎng)絡(luò)信息安全問題，網(wǎng)絡(luò)安全規(guī)劃是行業(yè)專用網(wǎng)絡(luò)規(guī)劃的重要組成部分[6-8]。

4.1防火墻

防火墻部署在行業(yè)專用網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間，或行業(yè)專用網(wǎng)內(nèi)部不同信息安全級(jí)別網(wǎng)絡(luò)之間，執(zhí)行網(wǎng)絡(luò)間通信安全策略。防火墻可以阻止行業(yè)專用網(wǎng)來自不可信網(wǎng)絡(luò)的攻擊，保護(hù)行業(yè)專用網(wǎng)絡(luò)中關(guān)鍵數(shù)據(jù)的完整性。防火墻技術(shù)的功能是：控制進(jìn)出網(wǎng)絡(luò)的信息流向和數(shù)據(jù)包，過濾不安全的服務(wù)；隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；提供使用和流量的日志和審計(jì)功能，部署NAT(NetworkAd-dressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)，邏輯隔離內(nèi)部網(wǎng)段，對(duì)外提供Web和FTP；實(shí)現(xiàn)集中的安全管理，提供VPN功能。

4.2IDS

入侵探測設(shè)備以旁路方式部署在行業(yè)專用網(wǎng)絡(luò)的重要部分，它自動(dòng)檢測入侵行為，監(jiān)測網(wǎng)絡(luò)流量和主機(jī)中的操作，通過基于特征或異常進(jìn)行入侵行為分析，并按預(yù)定的規(guī)則做出響應(yīng)，阻止指定的行為。入侵探測設(shè)備往往與防火墻配合部署，以連動(dòng)方式共同保護(hù)行業(yè)專用網(wǎng)絡(luò)的安全。

4.3病毒防治

行業(yè)專用網(wǎng)絡(luò)的病毒防治，主要是行業(yè)網(wǎng)絡(luò)內(nèi)部部署網(wǎng)絡(luò)版的系統(tǒng)漏洞補(bǔ)丁的分發(fā)和病毒查殺的病毒防治系統(tǒng)。即行業(yè)專用網(wǎng)絡(luò)內(nèi)部所有終端、服務(wù)器設(shè)備全部安裝病毒防治系統(tǒng)，管理人員通過病毒防治系統(tǒng)管理后臺(tái)規(guī)劃補(bǔ)丁升級(jí)、病毒查殺。

4.4容災(zāi)備份

容災(zāi)備份實(shí)現(xiàn)行業(yè)專用網(wǎng)絡(luò)中核心數(shù)據(jù)、系統(tǒng)的高可靠備份與恢復(fù)，它在行業(yè)專用網(wǎng)絡(luò)的規(guī)劃中主要考慮：如何在網(wǎng)絡(luò)系統(tǒng)遭到破壞后，以最快的速度恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，盡可能小地減少核心數(shù)據(jù)的損失。由于數(shù)據(jù)備份需要占用大量的網(wǎng)絡(luò)資源，系統(tǒng)備份相當(dāng)于重建另一套系統(tǒng)，所以容災(zāi)備份的規(guī)模與頻度并不是越大越快就越好，在它的建設(shè)中就要選擇一個(gè)成本與功能適合的合點(diǎn)，常用的選擇是：最小的成本、最大的安全備份。

5結(jié)語

行業(yè)專用網(wǎng)絡(luò)由于其特殊性，在建設(shè)之初就必須根據(jù)企事業(yè)行業(yè)的組織結(jié)構(gòu)的具體特點(diǎn)，在調(diào)研及需求分析的基礎(chǔ)上進(jìn)行充分、詳實(shí)的規(guī)劃。規(guī)劃包括：與行業(yè)組織結(jié)構(gòu)相匹配的網(wǎng)絡(luò)拓?fù)湟?guī)劃，行業(yè)專用網(wǎng)絡(luò)的IP規(guī)劃，在這兩項(xiàng)規(guī)劃完成之后具體網(wǎng)絡(luò)建設(shè)之前，利用網(wǎng)絡(luò)模擬軟件搭建虛擬網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)規(guī)劃進(jìn)行測試，確保不出現(xiàn)遺漏和失誤。行業(yè)專用網(wǎng)絡(luò)在規(guī)劃中還應(yīng)充分考慮其運(yùn)行的安全可靠性，在規(guī)劃階段就要利用動(dòng)態(tài)網(wǎng)絡(luò)防御的觀念，利用防火墻與入侵探測聯(lián)運(yùn)機(jī)制進(jìn)行行業(yè)專用網(wǎng)絡(luò)的安全體系設(shè)計(jì)，同時(shí)還要規(guī)劃容災(zāi)備份與病毒防治。

作者：王佳寶李宇昕張巍于琳琳史曉翠單位：武警黃金地質(zhì)研究所武警黃金教導(dǎo)大隊(duì)