基于中型企业应用的网络工程解决方案.doc

资源描述

1、基于中型企业应用的网络工程解决方案摘要：信息化浪潮风起云涌的今天，企业内部网络的建设已经成为提升企业核心竞争力的关键因素。企业网已经越来越多地被人们提到，利用网络技术，现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络，而其中绝大多数都是中型企业。目前我国企业尤其是中型企业网络建设正在如火如荼地开展着，据IDC预测：在下个5年中，中企业的网络建设将以每年15%的速度增长。关键词：中型企业网络工程解决方案中型企业网络工程所要实现的主要功能1、资源共享功能网络内的各个桌面用户可共享数据库、共

2、享打印机，实现办公自动化系统中的各项功能。2、通信服务功能：最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网问。支持多媒体组播，具有卓越的服务质量保证功能。4、远程VPN拨入访问功能：系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。型企业应用的网络基础同大型企业相比，中型企业的规模较型，应用的类型少而且比较简单，因此其网络的基础架构相对简单，实现起来比较容易一些，投资也会少得多。从目前的网络技术和应用的发展趋势来看，对于中型企业，采用基于TCP/IP协议组的以太交换网模式是最适合的。经过几年的发展，以太交换技术和产品都十分成熟，网络

3、的实现和管理都很简单，维护量也型，并且可以向未来的发展进行平滑的升级和过渡。中型企业通信子网的架构中型企业的网络通常由单个节点构成，网络工作站数量较少且接入比较集中，因此核心网络设备选择100M的以太交换机就可以了。所有的网络工作站和应用服务器通过五类双绞线接入到交换机中构成一个集中接入的星型网络结构，每一台计算机可以独占100M的带宽。当中心交换设备需要由多个交换机构成时，建议交换机选择可以堆叠的交换机，可堆叠的交换机之间进行交换时利用带宽很高的内部总线，可以保证每台接入的计算机都具有100M的带宽。当工作站到中心交换设备的距离超过100m时，可以在工作站和中心交换机之间设置一台交换机，以

4、级联的方式与中心交换机连接，工作站接入到级联的交换机中，不过这些工作站只能共享100M的传输宽。中型企业网络工程服务器的选择服务器是网络的重要组成部分，服务器的性能往往决定了网络应用的性能。一般情况下，由于网络产品的功能、性能与价格是成正比的，因此，要根据具体的需求和应用程度来选择服务器。对于关键业务的数据库服务器或者Web/Mail服务器通常选择性能较高的企业级PC服务器，而DHCP/WINS服务器、防病毒服务器、DNS服务器和代理服务器由于工作负载较型，用配置较高的PC或部门级的PC服务器来担当就可以了。4.有效利用VPN技术目前，防火墙产品通常都集成了VPN功能，这也为远程用户和企业的

5、分支机构访问企业内部网络资源提供了一个非常好的途径。通常情况下，一个网络要提供远程用户或分支机构进行访问的能力需要采用远程访问服务器、Modem池、电话交换机以及足够的通信线路来构造专门的远程访问系统，这样做不但需要较大的投资，而且通信的安全性也得不到足够的保证。而在VPN方式下，VPN客户端（远程用户或分支机构）和设置在内部网络边界的VPN服务器（防火墙或专用的VPN服务器）使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而保证了数据的完整性、机密性和合法性。通过VPN方式，企业可以利用

6、现有的网络资源实现远程用户和分支机构对内部网络资源的访问，不但节省了大量的资金，而且具有很高的安全性。这种方式对中型企业的Intranet尤其适用，实现起来也比较方便。VPN服务器可以由内部网络的防火墙来担当。对于客户端，如果为远程用户，可以利用Windows 98或Windows 2000系统中内嵌的虚拟专用网络(VPN)功能，也可以安装专业的VPN客户端软件；如果为分支机构的型型办公网络，可以在分支机构网络的边缘处设置一个具有VPN功能的性能相对较低的防火墙，这样可以实现在两个网络之间利用Internet或公用网络进行安全通信。(1). 电源的安全电源不仅是一个计算机网络能够运行的最基本

7、条件，同时电源的安全也是计算机网络安全运行的最基本要素。这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源，同时还要设置良好的接地系统。对于服务器和网络设备还要设置不间断电源（UPS）装置，这不但可以增加网络的连续运行能力，而且可以防止因为突然断电对网络硬件造成的损坏。特别是服务器，如果正在运行的服务器突然断电，不但硬件设备可能出现问题，而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动，甚至造成服务器或应用的瘫痪。这是任何一个企业都不愿看到的。在网络建设和维护中，电源是最稳定的一个部分，一般情况下，它不会随着应用的发展频繁地升级，因此，中型企业

8、在构建自己的网络系统时，进行相应的投资建立一个安全的电源系统是非常值得的。(2). 数据存储的安全保存在服务器中的数据是网络应用的核心，如果由于服务器磁盘故障造成数据的损坏或丢失，可能会造成无法估量的损失。因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。目前，构建服务器存储系统使用最广泛的技术是RAID。RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器，并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写，同时利用冗余的磁盘空间将数据从错误中恢复。由于服务器中构成RAID的磁盘通常为热插拔磁盘，因此磁盘出现故障时，可以不停机地对故障进行修复，

9、增加了网络系统的连续工作能力。RAID分为好几个级别，每个级别在I/O性能和安全性方面各具特点，RAID1磁盘镜像。它由磁盘对组成，每一个工作盘都有对应的镜像盘，保存着和工作盘完全相同的数据拷贝。当对逻辑块进行写入操作时，工作盘和镜像盘都进行实时更新。如果磁盘对中任一个磁盘失败，所有的读写请求立刻会转移到另一块磁盘上。因此它具有最高的可靠性，但它的I/O性能和空间利用率不高，只用50%，适用于访问量不大但比较注重数据安全性的应用环境。从性能价格比看，中型企业网络的应用服务器采用RAID1是非常合适的选择。RAID5没有独立校验盘的奇偶校验码磁盘阵列。RAID5采用了独立存取技术，校验信息分布在

10、阵列内的所有磁盘上，如果阵列中有一个磁盘失败，这个盘中的数据可以通过其他盘中的数据根据校验码进行异或运算获得。RAID5至少需要3块磁盘构成，每一块磁盘上都要占用1/N的空间存放校验信息（N为构成RAID5的磁盘数量）。由于采用了独立存取技术， RAID5对于大、型批量的数据读写性能都很好，适用于访问量很大的系统。在中型企业构建网络时，可以将Web服务器或数据库服务器的存储系统设置为RAID5。可以根据RAID的应用级别来选择相应的服务器，这样配置起来更方便一些。(3)防病毒设置计算机病毒一直是困扰着计算机和网络系统的最大问题之一。随着计算机技术的不断进步，计算机病毒也不断地向智能化和网络化发

11、展，具有更强大的攻击力和破坏性，从以往的破坏软件系统到现在的攻击硬件系统和网络系统，尤其是借助于发展迅速的Internet和Intranet，计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。如果没有防范措施的话，一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。这对于一个企业而言，后果可能是致命的。因此中型企业同样需要采取相应的防病毒措施来保证网络系统不受病毒的侵害。可以采取以下两种措施：（1）为每台工作站和服务器安装单机版的防病毒软件，每台计算机定时地下载病毒码信息并进行更新。这种方式投资型，但是病毒码信息更新不及时或不同步，不能对最新的病毒做出及时响应，可能导致网络系统受到病毒的侵

12、害。（2）安装网络防毒系统。这种方式采用客户机/服务器方式，选择一台微机或应用服务器安装网络防病毒系统的服务器端软件，并通过Internet利用防毒系统的在线更新功能实时地进行病毒码信息的更新。网络中的所有计算机和服务器均安装防毒系统的客户端软件，利用服务器端获得最新的病毒码信息对计算机进行病毒扫描。这种方式虽然投资较大，但是对病毒码信息进行实时的更新，可以保证网络不受到病毒的侵害，控制病毒的大肆传播。(4)防火墙设置企业构建了Intranet，实现了与Internet的接轨，虽然为企业业务的开展和日常的工作、学习带来了极大的方便，但是我们不得不面对的一个问题就是实现了与Internet的接

13、入，企业的内部网络就完全地暴露在外界了，也就可能受到各种有意或无意的攻击。因此建立企业的Intranet，必须建立网络的防火墙系统来保证内部网络的安全。由于在Internet接入部分已经对防火墙的功能和工作方式进行了相关的介绍，这里就不再进行过多的描述了。(5)网络的安全教育保证网络的安全不仅需要通过相应的技术手段从硬件和软件着手对网络资源进行保护，对网络用户进行网络的安全教育同样重要。首先，要建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守，否则的话，再先进的网络安全技术也不能阻止人为因素对网络安全造成的威胁。其次，加强对网络管理员和网络使用人员的培训，

14、让他们明白什么是可以做的，什么是严禁做的，可能产生的严重后果是什么。对网络了解得越多，自我约束的能力也就越强。第三，制定合适的网络安全策略，既不能让网络用户无限制地使用网络，也不能对用户限定得太死，引发用户设法绕过网络安全系统、钻网络安全策略空子的现象。制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具，从而自觉地维护网络的安全。6.网络管理大型企业的网络通常都通过功能完善的专业网管系统对网络进行管理，这个投资对于中型企业来说可能是无法承担的。事实上，由于中型企业的网络结构比较简单，一般不需要对网络的流量、网络设备的状态和端

15、口设置等信息进行实时的控制和检查。网络管理员可能对网络的连通性、IP地址的设置情况和需要时能对设备进行设置更为关心一些，而这些工作利用Windows 98/2000系统包含的Ping、Ipconfig/Winipcfg、Telnet等实用工具就可以完成中型企业网络工程设计原则1、实用性和经济性系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。2、先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。3、靠性和稳定性在考虑技术先进性和开放性

16、的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。4、安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，应充分考虑安全性，针对型型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。5、可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用

17、，提高网络的易用性。中型企业网的设计为了满足中型型企业的需求及长远利益，中型型企业网络系统设备应依据上述网络设计原则进行选型，在网络设备方面选用国内外领先的网络互联厂商的产品，其产品与服务通过智能、安全及可靠的网络将信息设备连为一体，具有很好的可靠性和稳定性。选用高性能、功能全面的千兆网络产品解决方案，利用千兆以太网技术建网，网络中心交换机选用多功能千兆网管型交换机，完全满足中型型企业内办公和其他应用的需要。在中心交换机下方可根据实际情况级联智能型或基本型交换机，来满足不同的中型型企业网用户的不同需要，另外考虑到企业内部存在不方便布线地点或移动性很强的用户接入问题，在某些特定的区域设计了无线信

18、号覆盖，通过无线接入点和系列无线网卡，以11M的带宽高速连上企业网。整个企业网通过宽带路由器实现与INTERNET连接，以确保能以常见接入方式INTERNET，并能支持局域网上网权限限制。组建中型企业网，可考虑使用以下几个方面的技术：1、带宽聚合技术：在两台交换机间提供链路的聚合，提供并行带宽，将多条物理上的连接组成一条逻辑通路（Trunk）。主要功能包括成倍增加带宽和为线路冗余提供可靠性。实现核心网络连接的线路冗余和平衡负载。2、灵活的带宽控制技术：每个端口的输入和输出带宽根据实际需求进行灵活的控制，达到不让某一台或一组工作站占用网络过多带宽的目的。3、采用MAC地址限制技术：最大可以设置2

19、56个MAC地址绑定，实现网络PORT接入的安全保护同时酌情采用802.1X技术，实现对用户接入的访问控制，进一步提高网络安全性。4、支持VLAN的划分：基于端口VLAN和支持跨交换机802.1Q 的VLAN，增强网络的灵活性，提高网络安全，控制广播风暴。5、支持无线WEP加密技术：对于无线产品的安全性有较好的保障，支持WEP 256位的加密，很大程度上杜绝了非法用户在无线覆盖区域内的接入。参考文献 1 石淑华计算机网络安全技术人民邮电出版社2008 2 刘江网络安全机密与解决方案清华大学出版社 2003 3 戴英侠计算机网络安全清华大学出版社 2005 4 贾鹏局域网网络服务器配置人民邮电出版社 2001

展开阅读全文