一 引言
社会进入信息时代后,要求企业用信息技术来强化企业的管理、生产和经营,而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平,这不但适用于大型企业,对占相当比重的中小企业同样适用。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让中小企业根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于企业而言不再成为一个负担。
二 企业网络设计需求分析与设计目标
网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求,结合企业现有设备状况和人员索质,较为全面地调查和分析企业在信息技术方面的技术需求,然后从网络建设的角度,将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。
在网络需求分析过程中,网络系统用户往往从系统外部关注整个网络系统的功能和性能,而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此。如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。
将系统需求归纳为如下几点:
1 在该企业的总公司以及分公司各建立一个新的计算机网络基础设施,将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置,客户机应利用现有各部门的计算机,以保护原有投资和不影响正常工作。
2 该网络系统能实现资源共享,包括软件共享。文件共享,打印机共享。在外工作的员工可以透过internet安全访问企业资源,远程办公。
3 能高速接入Internet进行工作,收发邮件,浏览网页查找资料。建立企业对外网站,提供一个对外宣传的平台。提高企业知名度。
4 网络管理:控制不同权限的员工使用Internet的方式和范围。限制普通员工利用公司网络进行业务无关的活动。
5 安全性:对不同部门之间的相互访问作限制,防止非法访问,保护商业机密。预防计算机病毒,尽可能把病毒感染的几率降到最低。使用防火墙,防止来自互联网上的入侵。保障企业资源的安全。
6 可扩展性:考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间。以便今后的网络改造。
该IT企业网络建设的目标。就是在总公司和分公司分别建设局域网,将互联网技术引入企业内部网,使用远程接入技术将公司与分公司之间连接起来,并使在外员工可随时接入公司网络,从而建立起统一、快捷、高效的中型Intranet系统,整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。总体设计如下:
(1)以千兆以太网为主干网,利用第三层交换技术实现大型局域网的VLAN的划分。规划中服务器、信息中心采用千兆,与中心主交换机连接,其他部门采用100M网卡通过其他二级交换机接入主干网。
(2)网络通过光纤接入Internet/ChinaNET,在公网上建立虚拟专用网(VPN):通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样,可以提供远程拨号访问和通过Internet访问两种方式,来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。
(3)网络的安全机制:通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施:更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。
(4)网络中心设立WEB应用服务器、E-MAIL服务器、DNS服务器、数据库服务器、文件服务器,实现WEB访问、Internet接入、E-MAIL系统、域名解析、应用系统等各种功能。
三 网络具体规划与设计
3.1 企业网络拓扑结构设计
所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法,网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接。
该企业局域网网络主要采用了星型的拓扑结构,因为企业规模不大,所以在设计上只划分了两层来设计:核心层和接入层。总公司的工作站大约为200人,考虑到规模较大而且该总公司的业务比较重要,核心层的设计上采用了两台千兆三层交换机作一个冗余备份,在这两台三层交换机之间作链路聚合。就算其中一个核心交换机当机,也可以保证网络的瞬间恢复,大大增加了网络的可靠性。分公司由于规模较小。考虑到企业网络设计上的实用性与经济性原则,核心层的设计只使用一台千兆三层交换机。而在接入层的设计上,总分公司都使用多台二层交换机,100兆到桌面。服务器选择摆放在信息中心,以便管理。为了防止企业外部对内的攻击,在路由器外部安装硬件防火墙。
3.2 基于VLSM的子网划分
该企业总公司有193人。分公司有99人。如果分别把各自所有的主机放到一个子网里,对企业的安全性管理极为不利,而且如果有站点更新(计算机的配置调整或增减计算机)或发生故障,大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。
VLSM(Variable Length Subnet masks)变长子网掩码,是在标准的掩码上面再划分的子网的网络号码,不同子网的子网掩码可能有不同的长度,但一旦子网掩码的长度确定了,它们就不变了。这个技术用于高效分配IP地址。
3.3 VLAN规划
VLAN(Virtual LocaI Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
该企业不同的部门在不同的子网里,子网与子网之间不能访问。也控制了广播域太大的问题。但是局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以,必须在交换机上划分好VLAN,这样,只要加强对交换机的保护,不让一般员工改变交换机的配置,就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。
该企业的VLAN我们采取根据端口来划分,这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了,而且还可以进行跨交换机的端口VLAN划分。也就是说不同交换机上的端口也可以在同一个VLAN里。这样VLAN的划分就不必要受到物理空间的限制,具有很好的灵活性。今后如果有人事调动或者部门扩充。只要在交换机上作相应的配置就可以了。
在该企业的VLAN端口配置中,各接入层的二层交换机与核心层的三层交换机之问的链路要配置成trunk链路,其他端口配置成access链路,这样VLAN信息就可以在各二层交换机之间传递,不同交换机但是同一个VLAN的用户就可以相互访问了。
3.4 三层交换技术与链路聚合的应用
该企业各部门处于不同的VLAN中,某些部门之间是需要互相访问的,如果用传统的路由器来完成VLAN问互访,所有跨VLAN的数据必须通过路由器转发,路由的高延迟会引来用户对网络速度的抱怨,不使用三层交换技术的话,唯一的解决方法是添置昂贵的路由器,而随着日后企业不断扩大部门问的流量会更加增多,到时可能又要投入更多资金更换更贵的路由器,这不符合企业网络设计的可扩展性原则。
在该企业的网络核心层使用三层交换机,大大增快了网络的速度。充分利用了现有资源,降低了网络成本,增加了网络的可扩展性。而且。三层交换机还可以实现部分安全机制,它的访问列表的功能,可以实现不同VLAN间的单向或双向通讯。
该企业的三层交换机位于整个局域网的核心部分,企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。
3.5 Internet接入设计及地址转换技术应用
在该企业的Internet接入设计部分,我们采用FTTB+LAN的方式。Fiber To The Building(FTTB,光纤到楼),它是利用数字宽带技术,光纤直接到楼内机房,再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行。是一种性价比最高的组网方式,采用的是专线接入,无需拨号,安装简便,可为用户提供一个多媒体网络环境以及低价高质的共享专线上因特网的方式。这种接入方式具有很多优势:网络上行下行速度高,而且可扩展度高;因为是光纤出口,所以网络可靠、稳定;可以使用固定IP,方便建立企业网站;性价比高,支持VPN技术等。
我们只要向ISP申请一条光纤接入Internet,把光纤拉到企业机房,将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上,再把路由器用双绞线接到核心交换机上,然后分散接入到各部门交换机。这样,就实现了两种不同传输介质的企业网络的Internet接入方案。
在路由器上,我们除了要配置一条静态路由器指向ISP之外。我们还需要对内网IP地址做一个网络地址转换,地址转换最初主要用来解决是IP地址短缺的问题。后来地址转换技术有了更多的用途。逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案:如果更改了ISP或与另一个公司合并,则可以保持当前的寻址方案,并在地址转换设备上作任何必要的改变。可使地址管理更容易;它还有一个显著的优点是允许严格控制进入和离开网络的流量,更容易实施安全和商业策略。
3.6 VPN远程接入设计
虚拟专用网(Virtual Private Network,VPN)是指在公共通信基础设施上构建的虚拟专用网,可以被认为是一种从公共网络中隔离出来的网络,它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施,提供了不与VPN网外用户共享互联点的排他性网络通信环境。
对于该企业的内联网构建,只要购买两台支持IPsec隧道协议的VPN防火墙,安装在总公司和分公司两个网络边界,然后对两台VPN防火墙进行相关配置,当建立起VPN连接后,这时总公司与分公司就相当于处于同一个局域网中,这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工,进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件,例如思科的VPN客户端产品EASYVPN,当要访问公司资源时,通过一些简单的配置。就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业内联网VPN差不多,使用软件或者硬件接入均可,这要视乎企业合作的程度与时问长短而定,它与企业内联网的主要区别在于用户访问权限的设置,外联网用户通常只具备部分企业内部网访问资源的权限,所以我们要对VPN防火墙进行相关设置,以屏蔽企业内部网,确保需要保护的内部网资源的安全性。
四 总结
在本文中成功地应用了较为先进的VLAN、光纤接入、第三层交换、千兆核心交换、VPN远程接入等技术。使得网络系统在性能、安全性、可管理性、扩展性等方面领先于一般的企业网络。本规划设计方案只是一个计算机网络现状及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于企业网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:远程接入企业网络规划与设计
相关文章
