導語：行業專用網絡規劃建設論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1關鍵技術

在行業專用網絡規劃首先是各分支機構的局域網規劃，然后是將所有局域網連接起來的廣域網規劃。涉及如下關鍵技術：（1）網絡拓撲結構———規劃、選取一種合適的網絡拓撲結構來構建行業專用網絡，即包括局域網又包括廣域網。（2）IP規劃———規劃適合的IP網段劃分及IP地址分配。（3）網絡安全規劃———規劃適合的網絡安全技術，確保行業專用網絡的安全、可靠運行。

2拓撲結構

2.1局域網拓撲

局域網拓撲規劃需要根據各分支機構的實際情況來進行規劃，通常根據各分支機構在地域上分布劃分以下3類：（1）樓層———小型分支機構，分布在一個完整或部分樓層。由于規模、空間分布小，通常只規劃接入交換設備，用戶終端直接連接接入交換設備，接入交換設備相連接，構成整個局域網。（2）樓宇———中型分支機構，分布在整個或部分樓宇。在每個樓層規劃多個邊緣接入交換設備，匯總到樓層的匯聚交換設備，再由樓層的匯聚交換設備接入到核心交換設備。（3）樓宇間———大型分支機構，分布在多個樓宇之間。樓宇間拓撲結構的規劃基于（2）樓宇的拓撲結構，為多個樓宇各自的局域網接入到中心交換設備的拓撲結構。

2.2廣域網拓撲

廣域網拓撲規劃主要規劃各分支機構局域網，如何利用路由設備將空間上分布在各地的局域網相連接形成廣域網，通常行業專用網絡采用與其組織結構圖相匹配的樹狀分層結構。由于廣域網連接需要依托網絡運營商，所以規劃時首先考慮的是各級之間網絡帶寬的分配，其次考慮重點分支機構網絡回路的建設，以提高廣域局的可靠性。網絡帶寬規劃一般采用上層大于下層帶寬均值，小于下層帶寬之和的模式，如公式1所示。M下層平均≤M上層≤M下層之和公式1網絡回路規劃對于保證重點分支機構局域網與廣域網的互聯互通是必須的，在規劃時應充分考慮負載均衡與STP規劃。

3IP規劃

行業專用網絡IP規劃主要是選擇IP網段并進行劃分，在劃分時即要規劃合適的子網段，不浪費IP地址網段，又要充分考慮行業專用網絡的成長，為各分支機構及下屬部門的發展預留充足的IP地址。

3.1IP規劃

根據IP地址的類別（Class）進行IP地址分配的方法表現出越來越多的弊端，為了解決分類IP地址劃分帶來的地址浪費，就需要使用子網劃分（Subnetting）的方法。主要是利用子網劃分技術，將二級IP地址通過子網劃分為三級IP地址。在劃分中遵守以下原則：（1）假設子網的主機號位數為N，則可用地址數為2N-2個，主機號全1為廣播地址，主機號全0為網絡地址。（2）假設每個子網需要劃分Y個IP地址，并且滿足2N-1≤Y≤2N，則主機號位數為N，子網掩碼位數為32-N。（3）假設子網號位數為M，則子網數為2M個。（4）假設需要劃分X個子網，每個子網包括盡可能多的主機，并且滿足2M-1≤X≤2M，則子網號位數為M。

3.2VLSM與CIDR

VLSM和CIDR可以進一步提高地址利用效率，緩解地址數量不足的問題。子網劃分存在以下的局限性：無法實現把網絡劃分為不同大小的子網，常常會浪費許多主機地址。VLSM（VariableLengthSubnetMask，可變長子網掩碼），允許使用多個子網掩碼劃分子網，使組織的IP地址空間得到更有效的利用。CIDR（ClasslessInter-DomainRouting，無類域間路由)，可以消除了自然分類地址和子網劃分的界限，將網絡前綴相同的連續IP地址組成CIDR地址塊，同時支持強化地址匯聚。4.3NAT技術行業專用網絡是基于私有網絡做IP規劃的，優勢是私有網絡內的IP地址可以選擇任何私有網段進行靈活劃分，但這樣的私有網絡由于IP地址與公網IP地址相沖突，所以是無法直接接入互聯網的。私有地址用戶若要訪問互聯網，就需要利用NAT技術提供私有地址到公有地址的轉換。NAT服務規劃在行業專用網絡與互聯網相連接的路由設備上，通過BasicNAT實現私有用戶通過行業專用網絡的固定公網IP訪問互聯網。通過規劃EasyIP實現私網用戶通過浮動公網IP訪問互聯網。通過規劃NATServer實現公網用戶訪問行業專用網絡私網中的特定設備。

4安全規劃

行業專用網絡由于運行、存儲著大量高價值信息，往往是黑客的重點攻擊目標，所以行業專用網絡在規劃時就必須考慮網絡信息安全問題，網絡安全規劃是行業專用網絡規劃的重要組成部分[6-8]。

4.1防火墻

防火墻部署在行業專用網絡與互聯網之間，或行業專用網內部不同信息安全級別網絡之間，執行網絡間通信安全策略。防火墻可以阻止行業專用網來自不可信網絡的攻擊，保護行業專用網絡中關鍵數據的完整性。防火墻技術的功能是：控制進出網絡的信息流向和數據包，過濾不安全的服務；隱藏內部IP地址及網絡結構的細節；提供使用和流量的日志和審計功能，部署NAT(NetworkAd-dressTranslation，網絡地址轉換)，邏輯隔離內部網段，對外提供Web和FTP；實現集中的安全管理，提供VPN功能。

4.2IDS

入侵探測設備以旁路方式部署在行業專用網絡的重要部分，它自動檢測入侵行為，監測網絡流量和主機中的操作，通過基于特征或異常進行入侵行為分析，并按預定的規則做出響應，阻止指定的行為。入侵探測設備往往與防火墻配合部署，以連動方式共同保護行業專用網絡的安全。

4.3病毒防治

行業專用網絡的病毒防治，主要是行業網絡內部部署網絡版的系統漏洞補丁的分發和病毒查殺的病毒防治系統。即行業專用網絡內部所有終端、服務器設備全部安裝病毒防治系統，管理人員通過病毒防治系統管理后臺規劃補丁升級、病毒查殺。

4.4容災備份

容災備份實現行業專用網絡中核心數據、系統的高可靠備份與恢復，它在行業專用網絡的規劃中主要考慮：如何在網絡系統遭到破壞后，以最快的速度恢復網絡系統的正常運行，盡可能小地減少核心數據的損失。由于數據備份需要占用大量的網絡資源，系統備份相當于重建另一套系統，所以容災備份的規模與頻度并不是越大越快就越好，在它的建設中就要選擇一個成本與功能適合的合點，常用的選擇是：最小的成本、最大的安全備份。

5結語

行業專用網絡由于其特殊性，在建設之初就必須根據企事業行業的組織結構的具體特點，在調研及需求分析的基礎上進行充分、詳實的規劃。規劃包括：與行業組織結構相匹配的網絡拓撲規劃，行業專用網絡的IP規劃，在這兩項規劃完成之后具體網絡建設之前，利用網絡模擬軟件搭建虛擬網絡，對網絡規劃進行測試，確保不出現遺漏和失誤。行業專用網絡在規劃中還應充分考慮其運行的安全可靠性，在規劃階段就要利用動態網絡防御的觀念，利用防火墻與入侵探測聯運機制進行行業專用網絡的安全體系設計，同時還要規劃容災備份與病毒防治。

作者：王佳寶李宇昕張巍于琳琳史曉翠單位：武警黃金地質研究所武警黃金教導大隊