企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)建設(shè)及管理

江澤峰

（中國電信股份有限公司廣東分公司，廣東 汕頭 515000）

21 世紀(jì)是信息化的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展為國內(nèi)企業(yè)繁榮發(fā)展提供了巨大的機(jī)會，網(wǎng)絡(luò)已經(jīng)成為企業(yè)獲取信息的重要途徑。在這樣的形勢下，企業(yè)單位迫切需要建立企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，在提高企業(yè)管理效率，為各類應(yīng)用系統(tǒng)提供安全、穩(wěn)定、可靠的工作環(huán)境，滿足各種數(shù)據(jù)傳輸?shù)男枨?、降低成本，為?shí)現(xiàn)企業(yè)在21世紀(jì)成為市場的贏家，在信息化方面奠定了堅(jiān)實(shí)的基礎(chǔ)。

1 企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)原則

1.1 網(wǎng)絡(luò)的安全可靠性

電信行業(yè)企業(yè)內(nèi)部相關(guān)行業(yè)軟件的運(yùn)行，以及各部門資料的共享都要依靠企業(yè)內(nèi)網(wǎng)平臺，一旦內(nèi)網(wǎng)出現(xiàn)故障，比如：中斷或阻塞，將直接影響企業(yè)業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，可見，可靠性在電信企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)中是至關(guān)重要的。

1.2 網(wǎng)絡(luò)的可管理性

企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)要簡單、合理、易于開發(fā)，便于維護(hù)。當(dāng)出現(xiàn)網(wǎng)絡(luò)故障時(shí)要易于排除，以有效保障公司業(yè)務(wù)正常開展。

1.3 靈活性及可擴(kuò)展性

隨著企業(yè)內(nèi)部業(yè)務(wù)的開展，客戶端數(shù)量會逐步增加，這終將導(dǎo)致企業(yè)內(nèi)網(wǎng)規(guī)模的進(jìn)一步擴(kuò)大，于是這就要求在設(shè)計(jì)網(wǎng)絡(luò)時(shí)要為日后的網(wǎng)絡(luò)擴(kuò)展做好準(zhǔn)備，使最終的設(shè)計(jì)有足夠的彈性，在實(shí)際設(shè)計(jì)時(shí)，要在設(shè)備選型、網(wǎng)絡(luò)設(shè)計(jì)和應(yīng)用系統(tǒng)建設(shè)中充分體現(xiàn)這一原則。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)架

對于電信企業(yè)內(nèi)部運(yùn)行的相關(guān)管理系統(tǒng)，涉及到企業(yè)內(nèi)部的眾多部門，數(shù)據(jù)需要在各部門之間傳遞，來完成相應(yīng)的管理功能。基于以上分析，我們在設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)時(shí)，采用全交換三層網(wǎng)絡(luò)結(jié)構(gòu)，從整體上可以將網(wǎng)絡(luò)劃分為核心層，匯聚層，接入層三個(gè)層次，在此基礎(chǔ)上為企業(yè)各部門劃分專屬VLAN，同時(shí)在匯聚層采用三層核心交換機(jī)實(shí)現(xiàn)企業(yè)VLAN網(wǎng)絡(luò)之間的通信，這將大大改善了VLAN間通信質(zhì)量，三層交換機(jī)具有路由和交換兩種功能，而VLAN間通信就是通過其中的路由功能來實(shí)現(xiàn)的（圖1所示）。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)設(shè)計(jì)

3.1 核心層設(shè)計(jì)

核心層通常部署兩臺核心三層交換機(jī)，以實(shí)現(xiàn)內(nèi)網(wǎng)負(fù)載均衡和單點(diǎn)失效保護(hù)，核心交換機(jī)通常部署在企業(yè)中心機(jī)房。在企業(yè)核心三層交換機(jī)上對各部門客戶端將進(jìn)行帶寬控制，以有效利用網(wǎng)絡(luò)資源。

3.2 匯聚層設(shè)計(jì)

匯聚層是指樓層交換機(jī)，通常部署在企業(yè)辦公樓的各樓層間，匯聚層通常采用無網(wǎng)關(guān)協(xié)議二層交換機(jī)，匯聚層應(yīng)使用與核心層相同結(jié)構(gòu)的冗余節(jié)點(diǎn)備份連接，每個(gè)匯聚交換機(jī)同時(shí)接入到兩個(gè)核心交換機(jī)，以實(shí)現(xiàn)最快速的路由收斂并避免黑洞產(chǎn)生。當(dāng)一臺接入交換機(jī)上行鏈路故障時(shí)，所有流量將從另一側(cè)的交換機(jī)上行，以增強(qiáng)網(wǎng)絡(luò)的可用性。如果一個(gè)樓層匯聚交換機(jī)的端口不夠用時(shí)，可以放置多臺交換機(jī)，通過堆疊的方式虛擬成一臺更多端口的匯聚交換機(jī)。對于可靠性要求高的網(wǎng)絡(luò)，也可在匯聚層放置冗余設(shè)備，以實(shí)現(xiàn)該層設(shè)備的負(fù)載均衡和單點(diǎn)失效保護(hù)。

3.3 接入層設(shè)計(jì)

三層架構(gòu)中的接入層通常是指各部門辦公室接入交換機(jī)，通常部署在各部門工作區(qū)內(nèi)，每臺接入層交換機(jī)與一臺或者多臺匯聚層交換機(jī)連接。桌面客戶端通過網(wǎng)線接入該層。在接入層采用二層交換機(jī)，并做一定措施分隔網(wǎng)絡(luò)風(fēng)暴。當(dāng)內(nèi)網(wǎng)用戶的數(shù)量增加時(shí)，可通過在接入層增加交換機(jī)，直接與匯聚層交換機(jī)相連提供擴(kuò)展。

在接入層為企業(yè)內(nèi)網(wǎng)各部門客戶端統(tǒng)一安裝windows2003操作系統(tǒng)，同時(shí)全網(wǎng)采用域管理模式，優(yōu)點(diǎn)是可以為企業(yè)不同的用戶配置不同的訪問權(quán)限，例如，公司主管，網(wǎng)絡(luò)的訪問權(quán)限就應(yīng)較大，可以訪問核心部門的共享資源，以確保內(nèi)網(wǎng)安全。

4 企業(yè)內(nèi)部網(wǎng)IP分配與VLAN劃分

4.1 基于IP地址劃分VLAN

企業(yè)內(nèi)部網(wǎng)IP規(guī)劃是指為企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有硬件設(shè)備，包括路由器、交換機(jī)、服務(wù)器、客戶端，分配一個(gè)唯一的IP地址，并為其指定適當(dāng)?shù)腣LAN，且為了以后的管理與擴(kuò)展考慮，IP地址要符合網(wǎng)絡(luò)設(shè)計(jì)規(guī)范，還要有規(guī)律，容易記憶。此外，由于企業(yè)有若干個(gè)部門使用內(nèi)網(wǎng)，將來的組織結(jié)構(gòu)也可能有進(jìn)一步的變化，因此，有必要對IP地址進(jìn)行劃分，來建立若干個(gè)子網(wǎng)，制定靈活、可擴(kuò)展、安全的IP地址分配策略，以便于網(wǎng)絡(luò)管理和增強(qiáng)網(wǎng)絡(luò)安全性。最后，在以上基礎(chǔ)上，還要建立一張企業(yè)內(nèi)部有效的IP地址、MAC地址、用戶名、主機(jī)名、所屬部門、網(wǎng)絡(luò)端口的對應(yīng)表格。這樣，在排除故障時(shí)，可以通過此表格，快速地定位出相應(yīng)IP地址所對應(yīng)的主機(jī)和人員，為以后企業(yè)網(wǎng)絡(luò)日常的維護(hù)管理提供了有效保障。

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種將局域網(wǎng)內(nèi)的設(shè)備從邏輯上劃分為不同網(wǎng)段的技術(shù)，VLAN可以將網(wǎng)絡(luò)劃分為不同功能相對獨(dú)立的工作組，從而實(shí)現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)。同一個(gè)VLAN中的成員都共享廣播，一個(gè)VLAN內(nèi)部的廣播和單播流量被限制在本VLAN之內(nèi)，不同VLAN之間廣播信息相互隔離。從而，將整個(gè)網(wǎng)絡(luò)邏輯地而不是物理地劃分成多個(gè)廣播域。隔離了廣播風(fēng)暴有助于控制網(wǎng)絡(luò)流量、簡化網(wǎng)絡(luò)管理、可以隔離各個(gè)不同VLAN之間的通訊來提高網(wǎng)絡(luò)的安全性。

4.2 企業(yè)內(nèi)部網(wǎng)采用VLAN的優(yōu)點(diǎn)

(1)簡化網(wǎng)絡(luò)管理，限制廣播域。即使同一交換機(jī)上連接的計(jì)算機(jī)，如果不處于同一VLAN，也不能互相訪問，從而有效控制網(wǎng)絡(luò)流量。

(2)提高內(nèi)網(wǎng)安全性。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。如果想連接，需要通路由器或三層交換機(jī)等三層設(shè)備。

(3)靈活構(gòu)建虛擬工作組。用VLAN劃分不同的用戶到不同的工作組。同一工作組的不必局限于某一個(gè)固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。

5 網(wǎng)絡(luò)設(shè)備的選擇

5.1 核心層

采用兩個(gè)CiscoCatalyst4500交換機(jī)，提供冗余鏈路以實(shí)現(xiàn)內(nèi)網(wǎng)負(fù)載均衡。

5.2 匯聚層

采用兩個(gè)CiscoCatalyst3750E交換機(jī)，其提供自動配置智能網(wǎng)絡(luò)服務(wù)功能、支持融合網(wǎng)絡(luò)模式，能夠完美處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路。

5.3 接入層

為各部門采用CiscoCatalyst2940交換機(jī)，其可在整個(gè)網(wǎng)絡(luò)范圍中提供企業(yè)級智能服務(wù)、先進(jìn)的IP路由和以太網(wǎng)供電功能。由于接入層交換機(jī)的作用主要是提供終端用戶連接到網(wǎng)絡(luò)，因此，必須具有高端口密度和低成本特性。

6 企業(yè)內(nèi)部網(wǎng)使用及管理

企業(yè)內(nèi)部各部門客戶端及服務(wù)器操作系統(tǒng)要及時(shí)更新系統(tǒng)補(bǔ)丁（包括系統(tǒng)漏洞補(bǔ)丁、安全補(bǔ)?。?，以確保內(nèi)網(wǎng)終端設(shè)備的正常運(yùn)行。同時(shí)，要制定相應(yīng)的上網(wǎng)策略進(jìn)行帶寬管理、接入控制、上網(wǎng)行為控制、外設(shè)管理等功能。相應(yīng)的管理策略如下：

對于U盤、移動硬盤等移動設(shè)備在接入公司內(nèi)網(wǎng)之前，必須先進(jìn)行查毒，殺毒檢測；

任何人未經(jīng)同意，不得使用其它部門的電腦；

對郵箱中的可疑郵件不要隨意打開，要先進(jìn)行病毒檢測；

外來人員不得把終端設(shè)備（例如：筆記本等）接入企業(yè)內(nèi)網(wǎng)；

上網(wǎng)人員不得瀏覽與工作無關(guān)的網(wǎng)站，不得上網(wǎng)下載或以其他方式帶入任何未經(jīng)批準(zhǔn)使用的程序；

在企業(yè)核心三層交換機(jī)上對各部門客戶端將進(jìn)行帶寬控制，以有效利用網(wǎng)絡(luò)資源；對企業(yè)的核心業(yè)務(wù)數(shù)據(jù)要定期做好備份與更新；

結(jié)語

目前，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用正處于一個(gè)飛速發(fā)展的時(shí)期，為適應(yīng)網(wǎng)絡(luò)的不斷發(fā)展和企業(yè)未來發(fā)展的需要，加強(qiáng)企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)是非常有必要的。企業(yè)應(yīng)該結(jié)合自身實(shí)際情況，確定本單位的具體建設(shè)目標(biāo)和實(shí)施方案，同時(shí)還要建設(shè)有效的使用和管理機(jī)制，充分發(fā)展企業(yè)內(nèi)部網(wǎng)絡(luò)的效果，這樣才能增強(qiáng)企業(yè)的競爭力，使企業(yè)始終處于不敗之地。

[1]張晶，中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案[J].黑龍江科技信息，2007.04X.

[2]羅晶，淺談企業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè) [J].理論界，2010(05).