一 引言
社會進入信息時代后,要求企業用信息技術來強化企業的管理、生產和經營,而企業要創造更多的經濟效益就必須借助信息技術來提高企業的生產效率和管理水平,這不但適用于大型企業,對占相當比重的中小企業同樣適用。網絡技術的發展使得網絡建設從基礎架構到維護和管理都變得十分簡單和智能,豐富的網絡產品線和不斷降低的價格,可以讓中小企業根據自身的情況,按照實際的經濟條件來構建自己的網絡,用于網絡建設的投資對于企業而言不再成為一個負擔。
二 企業網絡設計需求分析與設計目標
網絡需求分析就是根據企業信息技術應用要求和企業的業務發展需求,結合企業現有設備狀況和人員索質,較為全面地調查和分析企業在信息技術方面的技術需求,然后從網絡建設的角度,將這些需求轉換成構造網絡系統以及網絡系統能夠提供服務的需求。
在網絡需求分析過程中,網絡系統用戶往往從系統外部關注整個網絡系統的功能和性能,而網絡設計者往往從網絡系統內部關注整個網絡系統的技術和結構。因此。如何正確地將用戶對網絡系統功能和性能的需求轉換成對網絡系統技術和結構的需求并給予量化表示是網絡需求分析的關鍵。
將系統需求歸納為如下幾點:
1 在該企業的總公司以及分公司各建立一個新的計算機網絡基礎設施,將該企業內現有計算機以及外設連在一起工作。服務器、連接設備、綜合布線等統一購買和配置,客戶機應利用現有各部門的計算機,以保護原有投資和不影響正常工作。
2 該網絡系統能實現資源共享,包括軟件共享。文件共享,打印機共享。在外工作的員工可以透過internet安全訪問企業資源,遠程辦公。
3 能高速接入Internet進行工作,收發郵件,瀏覽網頁查找資料。建立企業對外網站,提供一個對外宣傳的平臺。提高企業知名度。
4 網絡管理:控制不同權限的員工使用Internet的方式和范圍。限制普通員工利用公司網絡進行業務無關的活動。
5 安全性:對不同部門之間的相互訪問作限制,防止非法訪問,保護商業機密。預防計算機病毒,盡可能把病毒感染的幾率降到最低。使用防火墻,防止來自互聯網上的入侵。保障企業資源的安全。
6 可擴展性:考慮到企業的發展與以后規模的擴大,企業網絡設計需預留擴展空間。以便今后的網絡改造。
該IT企業網絡建設的目標。就是在總公司和分公司分別建設局域網,將互聯網技術引入企業內部網,使用遠程接入技術將公司與分公司之間連接起來,并使在外員工可隨時接入公司網絡,從而建立起統一、快捷、高效的中型Intranet系統,整個系統在安全、可靠、穩定的前提下,符合經濟的原則,即實現合理的投入,最大的產出。總體設計如下:
(1)以千兆以太網為主干網,利用第三層交換技術實現大型局域網的VLAN的劃分。規劃中服務器、信息中心采用千兆,與中心主交換機連接,其他部門采用100M網卡通過其他二級交換機接入主干網。
(2)網絡通過光纖接入Internet/ChinaNET,在公網上建立虛擬專用網(VPN):通過采用Web技術和Internet-VPN技術以及信息加密技術實現電子商務。這樣,可以提供遠程撥號訪問和通過Internet訪問兩種方式,來實現全國各分支機構、相關部門以及公眾對公司信息的限制性訪問。
(3)網絡的安全機制:通過對網絡設備的配置,控制訪問列表等方式來加強網絡的安全性措施:更重要的是,在內部網與公眾網的結合處,采用先進的防火墻技術、代理服務器技術、以及Web服務器的口令驗證、數據加密等技術實現網絡的安全性。
(4)網絡中心設立WEB應用服務器、E-MAIL服務器、DNS服務器、數據庫服務器、文件服務器,實現WEB訪問、Internet接入、E-MAIL系統、域名解析、應用系統等各種功能。
三 網絡具體規劃與設計
3.1 企業網絡拓撲結構設計
所謂拓撲是一種研究與大小、距離無關的幾何圖形特性的方法,網絡的拓撲結構是拋開網絡物理連接來討論網絡系統的連接形式,網絡中各站點相互連接的方法和形式稱為網絡拓撲。拓撲圖給出網絡服務器、工作站的網絡配置和相互間的連接。
該企業局域網網絡主要采用了星型的拓撲結構,因為企業規模不大,所以在設計上只劃分了兩層來設計:核心層和接入層。總公司的工作站大約為200人,考慮到規模較大而且該總公司的業務比較重要,核心層的設計上采用了兩臺千兆三層交換機作一個冗余備份,在這兩臺三層交換機之間作鏈路聚合。就算其中一個核心交換機當機,也可以保證網絡的瞬間恢復,大大增加了網絡的可靠性。分公司由于規模較小。考慮到企業網絡設計上的實用性與經濟性原則,核心層的設計只使用一臺千兆三層交換機。而在接入層的設計上,總分公司都使用多臺二層交換機,100兆到桌面。服務器選擇擺放在信息中心,以便管理。為了防止企業外部對內的攻擊,在路由器外部安裝硬件防火墻。
3.2 基于VLSM的子網劃分
該企業總公司有193人。分公司有99人。如果分別把各自所有的主機放到一個子網里,對企業的安全性管理極為不利,而且如果有站點更新(計算機的配置調整或增減計算機)或發生故障,大量的廣播數據會嚴重影響網絡的整體性能。因此必須對這些主機進行子網劃分控制廣播域的規模。
VLSM(Variable Length Subnet masks)變長子網掩碼,是在標準的掩碼上面再劃分的子網的網絡號碼,不同子網的子網掩碼可能有不同的長度,但一旦子網掩碼的長度確定了,它們就不變了。這個技術用于高效分配IP地址。
3.3 VLAN規劃
VLAN(Virtual LocaI Area Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
該企業不同的部門在不同的子網里,子網與子網之間不能訪問。也控制了廣播域太大的問題。但是局域網內的任何用戶只要稍微修改一下IP與子網掩碼就可以訪問到該企業的任何部門了。所以,必須在交換機上劃分好VLAN,這樣,只要加強對交換機的保護,不讓一般員工改變交換機的配置,就算他們更改自己電腦的IP和子網掩碼也無法訪問到其它部門了。
該企業的VLAN我們采取根據端口來劃分,這種劃分方式是現在最常用的。只要把同一個部門的端口全部劃分進同一個VLAN就行了,而且還可以進行跨交換機的端口VLAN劃分。也就是說不同交換機上的端口也可以在同一個VLAN里。這樣VLAN的劃分就不必要受到物理空間的限制,具有很好的靈活性。今后如果有人事調動或者部門擴充。只要在交換機上作相應的配置就可以了。
在該企業的VLAN端口配置中,各接入層的二層交換機與核心層的三層交換機之問的鏈路要配置成trunk鏈路,其他端口配置成access鏈路,這樣VLAN信息就可以在各二層交換機之間傳遞,不同交換機但是同一個VLAN的用戶就可以相互訪問了。
3.4 三層交換技術與鏈路聚合的應用
該企業各部門處于不同的VLAN中,某些部門之間是需要互相訪問的,如果用傳統的路由器來完成VLAN問互訪,所有跨VLAN的數據必須通過路由器轉發,路由的高延遲會引來用戶對網絡速度的抱怨,不使用三層交換技術的話,唯一的解決方法是添置昂貴的路由器,而隨著日后企業不斷擴大部門問的流量會更加增多,到時可能又要投入更多資金更換更貴的路由器,這不符合企業網絡設計的可擴展性原則。
在該企業的網絡核心層使用三層交換機,大大增快了網絡的速度。充分利用了現有資源,降低了網絡成本,增加了網絡的可擴展性。而且。三層交換機還可以實現部分安全機制,它的訪問列表的功能,可以實現不同VLAN間的單向或雙向通訊。
該企業的三層交換機位于整個局域網的核心部分,企業上網的流量、VLAN間的流量、VPN產生的流量全部都要經過核心三層交換機進行轉發,所以核心交換機的速度與穩定性非常重要。冗余鏈路是提高網絡系統可用性的重要方法。
3.5 Internet接入設計及地址轉換技術應用
在該企業的Internet接入設計部分,我們采用FTTB+LAN的方式。Fiber To The Building(FTTB,光纖到樓),它是利用數字寬帶技術,光纖直接到樓內機房,再通過高速以太網的形式到各個用戶。FTTB方式將傳統的語音信號和數據信號并網而行。是一種性價比最高的組網方式,采用的是專線接入,無需撥號,安裝簡便,可為用戶提供一個多媒體網絡環境以及低價高質的共享專線上因特網的方式。這種接入方式具有很多優勢:網絡上行下行速度高,而且可擴展度高;因為是光纖出口,所以網絡可靠、穩定;可以使用固定IP,方便建立企業網站;性價比高,支持VPN技術等。
我們只要向ISP申請一條光纖接入Internet,把光纖拉到企業機房,將光纖接入光纖收發器或者直接接入帶有光纖口的防火墻和路由器上,再把路由器用雙絞線接到核心交換機上,然后分散接入到各部門交換機。這樣,就實現了兩種不同傳輸介質的企業網絡的Internet接入方案。
在路由器上,我們除了要配置一條靜態路由器指向ISP之外。我們還需要對內網IP地址做一個網絡地址轉換,地址轉換最初主要用來解決是IP地址短缺的問題。后來地址轉換技術有了更多的用途。逐漸顯示出它的優勢。地址轉換設備提供幾乎無限的地址空間并隱藏內部網絡尋址方案:如果更改了ISP或與另一個公司合并,則可以保持當前的尋址方案,并在地址轉換設備上作任何必要的改變。可使地址管理更容易;它還有一個顯著的優點是允許嚴格控制進入和離開網絡的流量,更容易實施安全和商業策略。
3.6 VPN遠程接入設計
虛擬專用網(Virtual Private Network,VPN)是指在公共通信基礎設施上構建的虛擬專用網,可以被認為是一種從公共網絡中隔離出來的網絡,它與真實網絡的差別在于VPN以隔離方式通過共享公共通信基礎設施,提供了不與VPN網外用戶共享互聯點的排他性網絡通信環境。
對于該企業的內聯網構建,只要購買兩臺支持IPsec隧道協議的VPN防火墻,安裝在總公司和分公司兩個網絡邊界,然后對兩臺VPN防火墻進行相關配置,當建立起VPN連接后,這時總公司與分公司就相當于處于同一個局域網中,這些配置對于員工來說這是透明的。而對于出差辦公或者SOHO辦公的員工,進行VPN連接就必須在他們的計算機中安裝配套的VPN接入軟件,例如思科的VPN客戶端產品EASYVPN,當要訪問公司資源時,通過一些簡單的配置。就可以進行遠程撥號連接。企業合作伙伴的企業外聯網與企業內聯網VPN差不多,使用軟件或者硬件接入均可,這要視乎企業合作的程度與時問長短而定,它與企業內聯網的主要區別在于用戶訪問權限的設置,外聯網用戶通常只具備部分企業內部網訪問資源的權限,所以我們要對VPN防火墻進行相關設置,以屏蔽企業內部網,確保需要保護的內部網資源的安全性。
四 總結
在本文中成功地應用了較為先進的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠程接入等技術。使得網絡系統在性能、安全性、可管理性、擴展性等方面領先于一般的企業網絡。本規劃設計方案只是一個計算機網絡現狀及網絡安全的解決方案,在隨后的分期分批的項目實施過程中,由于企業網絡環境、以及網絡應用系統的變化,會在細節上根據實際情況進行相應的調整,如:安裝設備數量、設備安裝具體地點等,只要在總的布局、要求以及標準上保持不變,實施之后就能夠達到本方案的設計要求。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:遠程接入企業網絡規劃與設計
相關文章
