中小企业网络组建与规划探讨

中小企业网络组建与规划探讨

作者：王华胜

来源：《硅谷》2010年第24期

摘要： 企业网络系统是一个非常庞大而复杂的系统，不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。

关键词： 网络组建；信息共享；网络安全

中图分类号：TP3文献标识码：A文章编号：1671－7597（2010）1220095－01

中小企业通过网络实现信息共享和信息资源整合，使整个企业在同一平台上办公，从而减少差错，提高工作效率，企业网络的建设是企业向信息化发展的必然选择。 1 网络组建原则

企业网络组建应注重以下几个因素：

1）先进性。先进的技术能带来更高的性能，在综合考虑各种投资条件下，兼顾技术成熟性、适用性，尽量采用先进的技术和设备来架构网络。2）开放性和互联性。企业网络的外部接入决定了网络必须遵循国际标准、开放性原则，采用标准协议和接口。3）可扩展性。由于网络技术日新月异，新建的网络应能进行网络阶段性升级，具有二次开发性。4）可靠性。企业网络需每天连续安全运行，故应选择高质量的产品，关键部件要有备份，可在线更换，消除单点故障，降低故障恢复时间。5）网络安全性。由于企业网的特殊性，网络的安全性在本次网络设计中是比较重要的，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。

2 硬件设备配置

1）服务器。网络服务器的功能和性能对局域网的应用能力有很大影响。域名服务器和数据库服务器是网络的中心环节。在中小型企业网中，可以把一台服务器同时作为域名服务器和Exchange服务器。如果企业内部所使用的数据库管理系统是C/S服务器方式，那么就需要一台专用数据库服务器。

2）集线器。集线器是网络的中心元件，所有的数据都要经过它分配给其它计算机。普通集线器即HUB由于其工作方式落后于交换式集线器，所以在资金充足的情况下，用交换机速

龙源期刊网 http://www.qikan.com.cn

度要快得多。目前10/100Mbps自适应共享式集线器性价比比较高，是中小型企业局域网非常好的选择。选择16端口和24端口集线器进行组合是比较灵活的解决方案。

3）网络适配器。网络适配器是网络通讯的主要瓶颈之一，其品质和兼容性的好坏将直接影响网络功能以及在网上运行应用软件的效果，只有优质、可靠的网卡才能保证网络传输的可靠性与高效性。由于服务器总线带宽很高，所以服务器适配器可选择100M自适应式的，工作站可选择10/100M自适应适配器。

4）路由器。计算机局域网与广域网通常采用路由器来实现互连。路由器工作在网络层，用于互连不同类型的网络，在源节点和目的节点之间为数据交换选择路由。 3 网络技术要点

1）减少时延。解决各个内部的局域网建设问题，其目的是要设计一个高速的交换局域网。从理论上将，数据包穿过路由器的时延要比穿过交换机的时延大得多，这是因为一个数据包穿过路由器时，路由器要对此数据包作第三层的处理，而数据包穿过交换机时，仅需第二层处理。故在设计方案时，应尽量减少路由模块，采用Router Server/Centralized Routing技术方案为宜。

2）支持VLAN。网路交换技术的灵魂是VLAN，因为VLAN能带来诸如广播控制、网路安全、性能提高、管理容易等优点。VLAN划分的技术通常有如下三种方式：Port Basis：交换机或路由器的一个或多个端口划分在一个VLAN之中。这种技术又称为Segment_based VLAN；Network Address Basis：这种方式是以网络层的地址为划分VLAN的基础，由此可用不同的网路协议划分不同的VLAN；User_Defined Basis：这种方式更灵活，既可按网路协议划分VLAN，又可按MAC地址划分VLAN。

目前，第一种（Port Basis）方式CAJUN、CISCO、3COM、BAY都支持，第三种方式MADGE支持。

3）支持多媒体应用。点对点的应用除了对带宽的要求外，已不存在多大的问题，而一点对多点的应用则需要多加考虑。网路设计和选型时应考虑设备应支持将交换机第二层的广播地址和第三层的D类IP广播地址建立映照关系的协议，以支持多媒体应用环境下的组播应用。Cisco采用CGMP协议来实现多媒体组播应用。

4）负载均衡。与LAN相比，广域网带宽远小于LAN，为了充分有效地利用广域网和局域网的带宽，让数据流合理地分配到2条线路或两台设备上，是保证该网能成为高速数据传输网络的关键。

5）系统热备份。设备之间的冗余备份应该是自动进行的，不需要系统管理员的外界干预。在VLAN/ELAN之内则采用Spanning Tree实现链路热备份；在ATMLANE上使用SSRP（Simple Server Redundancy Protocol）实现ATM局域网仿真服务的容错备份。

龙源期刊网 http://www.qikan.com.cn

4 内部网络安全规划

要提高网络安全性，最重要的有两点：一是从技术出发，做好内部网络的安全防护；二是增强每个员工的安全意识和掌握网络安全的基本技能。从以下三个方面给出解决方案。 1）制度和教育。在人员方面，制定严格的网络使用规章制度，包括员工终端的接入审批流程。制定规章制度是管理的一方面，推行和让员工接受并执行制度同样是重要的。 2）统一互联网出口。统一内部网的互联网出口，一方面从制度上不允许内网客户端直接上互联网，另一方面提供统一的互联网访问出口，在互联网出口架设防火墙，在互联网访问软件上指定允许访问的站点和端口，针对不同的岗位开放不同的访问权限，从而对互联网访问进行管理，避免互联网访问造成的安全隐患。

3）技术实现。通过管理支持802.1X的交换机。由交换机主动认证接入的终端设备，检查终端设备上是否安装客户端管理软件，或者其主机安全状况检查是否达标，则交换机可以发送指令，容许或拒绝其接入内部网络。将允许接入但不符合安全指标的终端隔离到一个隔离区，用户可以在隔离区修复安全状况，一旦安全修复完成，管理台通知交换机将该终端设备从隔离区切换到工作的VLAN之中。

局域网接入部分详细设计如下：1）通过对IP/MAC地址、VLAN的收集、规划，在内部网络的所有交换设备上配置IP/MAC地址绑定和VLAN策略；2）通过将Cisco二层智能交换的IOS升级到支持IEEE802.1X协议的版本，并启用该功能，以达到实现终端安全管理产品安全策略接入控制的网络要求；3）通过集中架设Cisco Secure ACS，来实现对Cisco二层智能交换和终端安全管理产品的协调联动；4）通过集中部署管理工具的终端接入服务器、Cisco Secure ACS服务器、数据库服务器，对所有内部网络所属的终端设备进行集中安全控管。 通过以上的安全规划，提高了企业IT管理的效率，使员工能够保持最新的安全补丁和病毒更新，控制非法终端接入，保护企业信息安全，扩大安全管理范围，提高企业整体安全。 参考文献：

[1]华为3COM技术有限公司，华为3COM网络学院教材，2004.