一 引言
社會進(jìn)入信息時代后,要求企業(yè)用信息技術(shù)來強(qiáng)化企業(yè)的管理、生產(chǎn)和經(jīng)營,而企業(yè)要創(chuàng)造更多的經(jīng)濟(jì)效益就必須借助信息技術(shù)來提高企業(yè)的生產(chǎn)效率和管理水平,這不但適用于大型企業(yè),對占相當(dāng)比重的中小企業(yè)同樣適用。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護(hù)和管理都變得十分簡單和智能,豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價格,可以讓中小企業(yè)根據(jù)自身的情況,按照實(shí)際的經(jīng)濟(jì)條件來構(gòu)建自己的網(wǎng)絡(luò),用于網(wǎng)絡(luò)建設(shè)的投資對于企業(yè)而言不再成為一個負(fù)擔(dān)。
二 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需求分析與設(shè)計(jì)目標(biāo)
網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求,結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員索質(zhì),較為全面地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求,然后從網(wǎng)絡(luò)建設(shè)的角度,將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。
在網(wǎng)絡(luò)需求分析過程中,網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個網(wǎng)絡(luò)系統(tǒng)的功能和性能,而網(wǎng)絡(luò)設(shè)計(jì)者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。因此。如何正確地將用戶對網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。
將系統(tǒng)需求歸納為如下幾點(diǎn):
1 在該企業(yè)的總公司以及分公司各建立一個新的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,將該企業(yè)內(nèi)現(xiàn)有計(jì)算機(jī)以及外設(shè)連在一起工作。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購買和配置,客戶機(jī)應(yīng)利用現(xiàn)有各部門的計(jì)算機(jī),以保護(hù)原有投資和不影響正常工作。
2 該網(wǎng)絡(luò)系統(tǒng)能實(shí)現(xiàn)資源共享,包括軟件共享。文件共享,打印機(jī)共享。在外工作的員工可以透過internet安全訪問企業(yè)資源,遠(yuǎn)程辦公。
3 能高速接入Internet進(jìn)行工作,收發(fā)郵件,瀏覽網(wǎng)頁查找資料。建立企業(yè)對外網(wǎng)站,提供一個對外宣傳的平臺。提高企業(yè)知名度。
4 網(wǎng)絡(luò)管理:控制不同權(quán)限的員工使用Internet的方式和范圍。限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無關(guān)的活動。
5 安全性:對不同部門之間的相互訪問作限制,防止非法訪問,保護(hù)商業(yè)機(jī)密。預(yù)防計(jì)算機(jī)病毒,盡可能把病毒感染的幾率降到最低。使用防火墻,防止來自互聯(lián)網(wǎng)上的入侵。保障企業(yè)資源的安全。
6 可擴(kuò)展性:考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大,企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需預(yù)留擴(kuò)展空間。以便今后的網(wǎng)絡(luò)改造。
該IT企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)。就是在總公司和分公司分別建設(shè)局域網(wǎng),將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng),使用遠(yuǎn)程接入技術(shù)將公司與分公司之間連接起來,并使在外員工可隨時接入公司網(wǎng)絡(luò),從而建立起統(tǒng)一、快捷、高效的中型Intranet系統(tǒng),整個系統(tǒng)在安全、可靠、穩(wěn)定的前提下,符合經(jīng)濟(jì)的原則,即實(shí)現(xiàn)合理的投入,最大的產(chǎn)出。總體設(shè)計(jì)如下:
(1)以千兆以太網(wǎng)為主干網(wǎng),利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務(wù)器、信息中心采用千兆,與中心主交換機(jī)連接,其他部門采用100M網(wǎng)卡通過其他二級交換機(jī)接入主干網(wǎng)。
(2)網(wǎng)絡(luò)通過光纖接入Internet/ChinaNET,在公網(wǎng)上建立虛擬專用網(wǎng)(VPN):通過采用Web技術(shù)和Internet-VPN技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)。這樣,可以提供遠(yuǎn)程撥號訪問和通過Internet訪問兩種方式,來實(shí)現(xiàn)全國各分支機(jī)構(gòu)、相關(guān)部門以及公眾對公司信息的限制性訪問。
(3)網(wǎng)絡(luò)的安全機(jī)制:通過對網(wǎng)絡(luò)設(shè)備的配置,控制訪問列表等方式來加強(qiáng)網(wǎng)絡(luò)的安全性措施:更重要的是,在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處,采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及Web服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性。
(4)網(wǎng)絡(luò)中心設(shè)立WEB應(yīng)用服務(wù)器、E-MAIL服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器,實(shí)現(xiàn)WEB訪問、Internet接入、E-MAIL系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。
三 網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì)
3.1 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)
所謂拓?fù)涫且环N研究與大小、距離無關(guān)的幾何圖形特性的方法,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來討論網(wǎng)絡(luò)系統(tǒng)的連接形式,網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)洹M負(fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接。
該企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu),因?yàn)槠髽I(yè)規(guī)模不大,所以在設(shè)計(jì)上只劃分了兩層來設(shè)計(jì):核心層和接入層?偣镜墓ぷ髡敬蠹s為200人,考慮到規(guī)模較大而且該總公司的業(yè)務(wù)比較重要,核心層的設(shè)計(jì)上采用了兩臺千兆三層交換機(jī)作一個冗余備份,在這兩臺三層交換機(jī)之間作鏈路聚合。就算其中一個核心交換機(jī)當(dāng)機(jī),也可以保證網(wǎng)絡(luò)的瞬間恢復(fù),大大增加了網(wǎng)絡(luò)的可靠性。分公司由于規(guī)模較小。考慮到企業(yè)網(wǎng)絡(luò)設(shè)計(jì)上的實(shí)用性與經(jīng)濟(jì)性原則,核心層的設(shè)計(jì)只使用一臺千兆三層交換機(jī)。而在接入層的設(shè)計(jì)上,總分公司都使用多臺二層交換機(jī),100兆到桌面。服務(wù)器選擇擺放在信息中心,以便管理。為了防止企業(yè)外部對內(nèi)的攻擊,在路由器外部安裝硬件防火墻。
3.2 基于VLSM的子網(wǎng)劃分
該企業(yè)總公司有193人。分公司有99人。如果分別把各自所有的主機(jī)放到一個子網(wǎng)里,對企業(yè)的安全性管理極為不利,而且如果有站點(diǎn)更新(計(jì)算機(jī)的配置調(diào)整或增減計(jì)算機(jī))或發(fā)生故障,大量的廣播數(shù)據(jù)會嚴(yán)重影響網(wǎng)絡(luò)的整體性能。因此必須對這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。
VLSM(Variable Length Subnet masks)變長子網(wǎng)掩碼,是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號碼,不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長度,但一旦子網(wǎng)掩碼的長度確定了,它們就不變了。這個技術(shù)用于高效分配IP地址。
3.3 VLAN規(guī)劃
VLAN(Virtual LocaI Area Network)即虛擬局域網(wǎng),是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。
該企業(yè)不同的部門在不同的子網(wǎng)里,子網(wǎng)與子網(wǎng)之間不能訪問。也控制了廣播域太大的問題。但是局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問到該企業(yè)的任何部門了。所以,必須在交換機(jī)上劃分好VLAN,這樣,只要加強(qiáng)對交換機(jī)的保護(hù),不讓一般員工改變交換機(jī)的配置,就算他們更改自己電腦的IP和子網(wǎng)掩碼也無法訪問到其它部門了。
該企業(yè)的VLAN我們采取根據(jù)端口來劃分,這種劃分方式是現(xiàn)在最常用的。只要把同一個部門的端口全部劃分進(jìn)同一個VLAN就行了,而且還可以進(jìn)行跨交換機(jī)的端口VLAN劃分。也就是說不同交換機(jī)上的端口也可以在同一個VLAN里。這樣VLAN的劃分就不必要受到物理空間的限制,具有很好的靈活性。今后如果有人事調(diào)動或者部門擴(kuò)充。只要在交換機(jī)上作相應(yīng)的配置就可以了。
在該企業(yè)的VLAN端口配置中,各接入層的二層交換機(jī)與核心層的三層交換機(jī)之問的鏈路要配置成trunk鏈路,其他端口配置成access鏈路,這樣VLAN信息就可以在各二層交換機(jī)之間傳遞,不同交換機(jī)但是同一個VLAN的用戶就可以相互訪問了。
3.4 三層交換技術(shù)與鏈路聚合的應(yīng)用
該企業(yè)各部門處于不同的VLAN中,某些部門之間是需要互相訪問的,如果用傳統(tǒng)的路由器來完成VLAN問互訪,所有跨VLAN的數(shù)據(jù)必須通過路由器轉(zhuǎn)發(fā),路由的高延遲會引來用戶對網(wǎng)絡(luò)速度的抱怨,不使用三層交換技術(shù)的話,唯一的解決方法是添置昂貴的路由器,而隨著日后企業(yè)不斷擴(kuò)大部門問的流量會更加增多,到時可能又要投入更多資金更換更貴的路由器,這不符合企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的可擴(kuò)展性原則。
在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī),大大增快了網(wǎng)絡(luò)的速度。充分利用了現(xiàn)有資源,降低了網(wǎng)絡(luò)成本,增加了網(wǎng)絡(luò)的可擴(kuò)展性。而且。三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制,它的訪問列表的功能,可以實(shí)現(xiàn)不同VLAN間的單向或雙向通訊。
該企業(yè)的三層交換機(jī)位于整個局域網(wǎng)的核心部分,企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過核心三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā),所以核心交換機(jī)的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。
3.5 Internet接入設(shè)計(jì)及地址轉(zhuǎn)換技術(shù)應(yīng)用
在該企業(yè)的Internet接入設(shè)計(jì)部分,我們采用FTTB+LAN的方式。Fiber To The Building(FTTB,光纖到樓),它是利用數(shù)字寬帶技術(shù),光纖直接到樓內(nèi)機(jī)房,再通過高速以太網(wǎng)的形式到各個用戶。FTTB方式將傳統(tǒng)的語音信號和數(shù)據(jù)信號并網(wǎng)而行。是一種性價比最高的組網(wǎng)方式,采用的是專線接入,無需撥號,安裝簡便,可為用戶提供一個多媒體網(wǎng)絡(luò)環(huán)境以及低價高質(zhì)的共享專線上因特網(wǎng)的方式。這種接入方式具有很多優(yōu)勢:網(wǎng)絡(luò)上行下行速度高,而且可擴(kuò)展度高;因?yàn)槭枪饫w出口,所以網(wǎng)絡(luò)可靠、穩(wěn)定;可以使用固定IP,方便建立企業(yè)網(wǎng)站;性價比高,支持VPN技術(shù)等。
我們只要向ISP申請一條光纖接入Internet,把光纖拉到企業(yè)機(jī)房,將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上,再把路由器用雙絞線接到核心交換機(jī)上,然后分散接入到各部門交換機(jī)。這樣,就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的Internet接入方案。
在路由器上,我們除了要配置一條靜態(tài)路由器指向ISP之外。我們還需要對內(nèi)網(wǎng)IP地址做一個網(wǎng)絡(luò)地址轉(zhuǎn)換,地址轉(zhuǎn)換最初主要用來解決是IP地址短缺的問題。后來地址轉(zhuǎn)換技術(shù)有了更多的用途。逐漸顯示出它的優(yōu)勢。地址轉(zhuǎn)換設(shè)備提供幾乎無限的地址空間并隱藏內(nèi)部網(wǎng)絡(luò)尋址方案:如果更改了ISP或與另一個公司合并,則可以保持當(dāng)前的尋址方案,并在地址轉(zhuǎn)換設(shè)備上作任何必要的改變?墒沟刂饭芾砀菀祝凰有一個顯著的優(yōu)點(diǎn)是允許嚴(yán)格控制進(jìn)入和離開網(wǎng)絡(luò)的流量,更容易實(shí)施安全和商業(yè)策略。
3.6 VPN遠(yuǎn)程接入設(shè)計(jì)
虛擬專用網(wǎng)(Virtual Private Network,VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng),可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò),它與真實(shí)網(wǎng)絡(luò)的差別在于VPN以隔離方式通過共享公共通信基礎(chǔ)設(shè)施,提供了不與VPN網(wǎng)外用戶共享互聯(lián)點(diǎn)的排他性網(wǎng)絡(luò)通信環(huán)境。
對于該企業(yè)的內(nèi)聯(lián)網(wǎng)構(gòu)建,只要購買兩臺支持IPsec隧道協(xié)議的VPN防火墻,安裝在總公司和分公司兩個網(wǎng)絡(luò)邊界,然后對兩臺VPN防火墻進(jìn)行相關(guān)配置,當(dāng)建立起VPN連接后,這時總公司與分公司就相當(dāng)于處于同一個局域網(wǎng)中,這些配置對于員工來說這是透明的。而對于出差辦公或者SOHO辦公的員工,進(jìn)行VPN連接就必須在他們的計(jì)算機(jī)中安裝配套的VPN接入軟件,例如思科的VPN客戶端產(chǎn)品EASYVPN,當(dāng)要訪問公司資源時,通過一些簡單的配置。就可以進(jìn)行遠(yuǎn)程撥號連接。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng)VPN差不多,使用軟件或者硬件接入均可,這要視乎企業(yè)合作的程度與時問長短而定,它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問權(quán)限的設(shè)置,外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問資源的權(quán)限,所以我們要對VPN防火墻進(jìn)行相關(guān)設(shè)置,以屏蔽企業(yè)內(nèi)部網(wǎng),確保需要保護(hù)的內(nèi)部網(wǎng)資源的安全性。
四 總結(jié)
在本文中成功地應(yīng)用了較為先進(jìn)的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠(yuǎn)程接入等技術(shù)。使得網(wǎng)絡(luò)系統(tǒng)在性能、安全性、可管理性、擴(kuò)展性等方面領(lǐng)先于一般的企業(yè)網(wǎng)絡(luò)。本規(guī)劃設(shè)計(jì)方案只是一個計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案,在隨后的分期分批的項(xiàng)目實(shí)施過程中,由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化,會在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整,如:安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等,只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變,實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112154711.html