一 引言

　　社會(huì)進(jìn)入信息時(shí)代后，要求企業(yè)用信息技術(shù)來(lái)強(qiáng)化企業(yè)的管理、生產(chǎn)和經(jīng)營(yíng)，而企業(yè)要?jiǎng)?chuàng)造更多的經(jīng)濟(jì)效益就必須借助信息技術(shù)來(lái)提高企業(yè)的生產(chǎn)效率和管理水平，這不但適用于大型企業(yè)，對(duì)占相當(dāng)比重的中小企業(yè)同樣適用。網(wǎng)絡(luò)技術(shù)的發(fā)展使得網(wǎng)絡(luò)建設(shè)從基礎(chǔ)架構(gòu)到維護(hù)和管理都變得十分簡(jiǎn)單和智能，豐富的網(wǎng)絡(luò)產(chǎn)品線和不斷降低的價(jià)格，可以讓中小企業(yè)根據(jù)自身的情況，按照實(shí)際的經(jīng)濟(jì)條件來(lái)構(gòu)建自己的網(wǎng)絡(luò)，用于網(wǎng)絡(luò)建設(shè)的投資對(duì)于企業(yè)而言不再成為一個(gè)負(fù)擔(dān)。

二 企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需求分析與設(shè)計(jì)目標(biāo)

　　網(wǎng)絡(luò)需求分析就是根據(jù)企業(yè)信息技術(shù)應(yīng)用要求和企業(yè)的業(yè)務(wù)發(fā)展需求，結(jié)合企業(yè)現(xiàn)有設(shè)備狀況和人員索質(zhì)，較為全面地調(diào)查和分析企業(yè)在信息技術(shù)方面的技術(shù)需求，然后從網(wǎng)絡(luò)建設(shè)的角度，將這些需求轉(zhuǎn)換成構(gòu)造網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)系統(tǒng)能夠提供服務(wù)的需求。

　　在網(wǎng)絡(luò)需求分析過(guò)程中，網(wǎng)絡(luò)系統(tǒng)用戶往往從系統(tǒng)外部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的功能和性能，而網(wǎng)絡(luò)設(shè)計(jì)者往往從網(wǎng)絡(luò)系統(tǒng)內(nèi)部關(guān)注整個(gè)網(wǎng)絡(luò)系統(tǒng)的技術(shù)和結(jié)構(gòu)。因此。如何正確地將用戶對(duì)網(wǎng)絡(luò)系統(tǒng)功能和性能的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)系統(tǒng)技術(shù)和結(jié)構(gòu)的需求并給予量化表示是網(wǎng)絡(luò)需求分析的關(guān)鍵。

　　將系統(tǒng)需求歸納為如下幾點(diǎn)：

　　1 在該企業(yè)的總公司以及分公司各建立一個(gè)新的計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，將該企業(yè)內(nèi)現(xiàn)有計(jì)算機(jī)以及外設(shè)連在一起工作。服務(wù)器、連接設(shè)備、綜合布線等統(tǒng)一購(gòu)買和配置，客戶機(jī)應(yīng)利用現(xiàn)有各部門的計(jì)算機(jī)，以保護(hù)原有投資和不影響正常工作。

　　2 該網(wǎng)絡(luò)系統(tǒng)能實(shí)現(xiàn)資源共享，包括軟件共享。文件共享，打印機(jī)共享。在外工作的員工可以透過(guò)internet安全訪問(wèn)企業(yè)資源，遠(yuǎn)程辦公。

　　3 能高速接入Internet進(jìn)行工作，收發(fā)郵件，瀏覽網(wǎng)頁(yè)查找資料。建立企業(yè)對(duì)外網(wǎng)站，提供一個(gè)對(duì)外宣傳的平臺(tái)。提高企業(yè)知名度。

　　4 網(wǎng)絡(luò)管理：控制不同權(quán)限的員工使用Internet的方式和范圍。限制普通員工利用公司網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)無(wú)關(guān)的活動(dòng)。

　　5 安全性：對(duì)不同部門之間的相互訪問(wèn)作限制，防止非法訪問(wèn)，保護(hù)商業(yè)機(jī)密。預(yù)防計(jì)算機(jī)病毒，盡可能把病毒感染的幾率降到最低。使用防火墻，防止來(lái)自互聯(lián)網(wǎng)上的入侵。保障企業(yè)資源的安全。

　　6 可擴(kuò)展性：考慮到企業(yè)的發(fā)展與以后規(guī)模的擴(kuò)大，企業(yè)網(wǎng)絡(luò)設(shè)計(jì)需預(yù)留擴(kuò)展空間。以便今后的網(wǎng)絡(luò)改造。

　　該IT企業(yè)網(wǎng)絡(luò)建設(shè)的目標(biāo)。就是在總公司和分公司分別建設(shè)局域網(wǎng)，將互聯(lián)網(wǎng)技術(shù)引入企業(yè)內(nèi)部網(wǎng)，使用遠(yuǎn)程接入技術(shù)將公司與分公司之間連接起來(lái)，并使在外員工可隨時(shí)接入公司網(wǎng)絡(luò)，從而建立起統(tǒng)一、快捷、高效的中型Intranet系統(tǒng)，整個(gè)系統(tǒng)在安全、可靠、穩(wěn)定的前提下，符合經(jīng)濟(jì)的原則，即實(shí)現(xiàn)合理的投入，最大的產(chǎn)出�？傮w設(shè)計(jì)如下：

　　(1)以千兆以太網(wǎng)為主干網(wǎng)，利用第三層交換技術(shù)實(shí)現(xiàn)大型局域網(wǎng)的VLAN的劃分。規(guī)劃中服務(wù)器、信息中心采用千兆，與中心主交換機(jī)連接，其他部門采用100M網(wǎng)卡通過(guò)其他二級(jí)交換機(jī)接入主干網(wǎng)。

　　(2)網(wǎng)絡(luò)通過(guò)光纖接入Internet/ChinaNET，在公網(wǎng)上建立虛擬專用網(wǎng)(VPN)：通過(guò)采用Web技術(shù)和Internet-VPN技術(shù)以及信息加密技術(shù)實(shí)現(xiàn)電子商務(wù)。這樣，可以提供遠(yuǎn)程撥號(hào)訪問(wèn)和通過(guò)Internet訪問(wèn)兩種方式，來(lái)實(shí)現(xiàn)全國(guó)各分支機(jī)構(gòu)、相關(guān)部門以及公眾對(duì)公司信息的限制性訪問(wèn)。

　　(3)網(wǎng)絡(luò)的安全機(jī)制：通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備的配置，控制訪問(wèn)列表等方式來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性措施：更重要的是，在內(nèi)部網(wǎng)與公眾網(wǎng)的結(jié)合處，采用先進(jìn)的防火墻技術(shù)、代理服務(wù)器技術(shù)、以及Web服務(wù)器的口令驗(yàn)證、數(shù)據(jù)加密等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的安全性。

　　(4)網(wǎng)絡(luò)中心設(shè)立WEB應(yīng)用服務(wù)器、E-MAIL服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器，實(shí)現(xiàn)WEB訪問(wèn)、Internet接入、E-MAIL系統(tǒng)、域名解析、應(yīng)用系統(tǒng)等各種功能。

三 網(wǎng)絡(luò)具體規(guī)劃與設(shè)計(jì)

　　3.1 企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

　　所謂拓?fù)涫且环N研究與大小、距離無(wú)關(guān)的幾何圖形特性的方法，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)物理連接來(lái)討論網(wǎng)絡(luò)系統(tǒng)的連接形式，網(wǎng)絡(luò)中各站點(diǎn)相互連接的方法和形式稱為網(wǎng)絡(luò)拓?fù)�。拓�(fù)鋱D給出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和相互間的連接。

　　該企業(yè)局域網(wǎng)網(wǎng)絡(luò)主要采用了星型的拓?fù)浣Y(jié)構(gòu)，因?yàn)槠髽I(yè)規(guī)模不大，所以在設(shè)計(jì)上只劃分了兩層來(lái)設(shè)計(jì)：核心層和接入層。總公司的工作站大約為200人，考慮到規(guī)模較大而且該總公司的業(yè)務(wù)比較重要，核心層的設(shè)計(jì)上采用了兩臺(tái)千兆三層交換機(jī)作一個(gè)冗余備份，在這兩臺(tái)三層交換機(jī)之間作鏈路聚合。就算其中一個(gè)核心交換機(jī)當(dāng)機(jī)，也可以保證網(wǎng)絡(luò)的瞬間恢復(fù)，大大增加了網(wǎng)絡(luò)的可靠性。分公司由于規(guī)模較小�？紤]到企業(yè)網(wǎng)絡(luò)設(shè)計(jì)上的實(shí)用性與經(jīng)濟(jì)性原則，核心層的設(shè)計(jì)只使用一臺(tái)千兆三層交換機(jī)。而在接入層的設(shè)計(jì)上，總分公司都使用多臺(tái)二層交換機(jī)，100兆到桌面。服務(wù)器選擇擺放在信息中心，以便管理。為了防止企業(yè)外部對(duì)內(nèi)的攻擊，在路由器外部安裝硬件防火墻。

　　3.2 基于VLSM的子網(wǎng)劃分

　　該企業(yè)總公司有193人。分公司有99人。如果分別把各自所有的主機(jī)放到一個(gè)子網(wǎng)里，對(duì)企業(yè)的安全性管理極為不利，而且如果有站點(diǎn)更新(計(jì)算機(jī)的配置調(diào)整或增減計(jì)算機(jī))或發(fā)生故障，大量的廣播數(shù)據(jù)會(huì)嚴(yán)重影響網(wǎng)絡(luò)的整體性能。因此必須對(duì)這些主機(jī)進(jìn)行子網(wǎng)劃分控制廣播域的規(guī)模。

　　VLSM(Variable Length Subnet masks)變長(zhǎng)子網(wǎng)掩碼，是在標(biāo)準(zhǔn)的掩碼上面再劃分的子網(wǎng)的網(wǎng)絡(luò)號(hào)碼，不同子網(wǎng)的子網(wǎng)掩碼可能有不同的長(zhǎng)度，但一旦子網(wǎng)掩碼的長(zhǎng)度確定了，它們就不變了。這個(gè)技術(shù)用于高效分配IP地址。

　　3.3 VLAN規(guī)劃

　　VLAN(Virtual LocaI Area Network)即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。

　　該企業(yè)不同的部門在不同的子網(wǎng)里，子網(wǎng)與子網(wǎng)之間不能訪問(wèn)。也控制了廣播域太大的問(wèn)題。但是局域網(wǎng)內(nèi)的任何用戶只要稍微修改一下IP與子網(wǎng)掩碼就可以訪問(wèn)到該企業(yè)的任何部門了。所以，必須在交換機(jī)上劃分好VLAN，這樣，只要加強(qiáng)對(duì)交換機(jī)的保護(hù)，不讓一般員工改變交換機(jī)的配置，就算他們更改自己電腦的IP和子網(wǎng)掩碼也無(wú)法訪問(wèn)到其它部門了。

　　該企業(yè)的VLAN我們采取根據(jù)端口來(lái)劃分，這種劃分方式是現(xiàn)在最常用的。只要把同一個(gè)部門的端口全部劃分進(jìn)同一個(gè)VLAN就行了，而且還可以進(jìn)行跨交換機(jī)的端口VLAN劃分。也就是說(shuō)不同交換機(jī)上的端口也可以在同一個(gè)VLAN里。這樣VLAN的劃分就不必要受到物理空間的限制，具有很好的靈活性。今后如果有人事調(diào)動(dòng)或者部門擴(kuò)充。只要在交換機(jī)上作相應(yīng)的配置就可以了。

　　在該企業(yè)的VLAN端口配置中，各接入層的二層交換機(jī)與核心層的三層交換機(jī)之問(wèn)的鏈路要配置成trunk鏈路，其他端口配置成access鏈路，這樣VLAN信息就可以在各二層交換機(jī)之間傳遞，不同交換機(jī)但是同一個(gè)VLAN的用戶就可以相互訪問(wèn)了。

　　3.4 三層交換技術(shù)與鏈路聚合的應(yīng)用

　　該企業(yè)各部門處于不同的VLAN中，某些部門之間是需要互相訪問(wèn)的，如果用傳統(tǒng)的路由器來(lái)完成VLAN問(wèn)互訪，所有跨VLAN的數(shù)據(jù)必須通過(guò)路由器轉(zhuǎn)發(fā)，路由的高延遲會(huì)引來(lái)用戶對(duì)網(wǎng)絡(luò)速度的抱怨，不使用三層交換技術(shù)的話，唯一的解決方法是添置昂貴的路由器，而隨著日后企業(yè)不斷擴(kuò)大部門問(wèn)的流量會(huì)更加增多，到時(shí)可能又要投入更多資金更換更貴的路由器，這不符合企業(yè)網(wǎng)絡(luò)設(shè)計(jì)的可擴(kuò)展性原則。

　　在該企業(yè)的網(wǎng)絡(luò)核心層使用三層交換機(jī)，大大增快了網(wǎng)絡(luò)的速度。充分利用了現(xiàn)有資源，降低了網(wǎng)絡(luò)成本，增加了網(wǎng)絡(luò)的可擴(kuò)展性。而且。三層交換機(jī)還可以實(shí)現(xiàn)部分安全機(jī)制，它的訪問(wèn)列表的功能，可以實(shí)現(xiàn)不同VLAN間的單向或雙向通訊。

　　該企業(yè)的三層交換機(jī)位于整個(gè)局域網(wǎng)的核心部分，企業(yè)上網(wǎng)的流量、VLAN間的流量、VPN產(chǎn)生的流量全部都要經(jīng)過(guò)核心三層交換機(jī)進(jìn)行轉(zhuǎn)發(fā)，所以核心交換機(jī)的速度與穩(wěn)定性非常重要。冗余鏈路是提高網(wǎng)絡(luò)系統(tǒng)可用性的重要方法。

　　3.5 Internet接入設(shè)計(jì)及地址轉(zhuǎn)換技術(shù)應(yīng)用

　　在該企業(yè)的Internet接入設(shè)計(jì)部分，我們采用FTTB+LAN的方式。Fiber To The Building(FTTB，光纖到樓)，它是利用數(shù)字寬帶技術(shù)，光纖直接到樓內(nèi)機(jī)房，再通過(guò)高速以太網(wǎng)的形式到各個(gè)用戶。FTTB方式將傳統(tǒng)的語(yǔ)音信號(hào)和數(shù)據(jù)信號(hào)并網(wǎng)而行。是一種性價(jià)比最高的組網(wǎng)方式，采用的是專線接入，無(wú)需撥號(hào)，安裝簡(jiǎn)便，可為用戶提供一個(gè)多媒體網(wǎng)絡(luò)環(huán)境以及低價(jià)高質(zhì)的共享專線上因特網(wǎng)的方式。這種接入方式具有很多優(yōu)勢(shì)：網(wǎng)絡(luò)上行下行速度高，而且可擴(kuò)展度高；因?yàn)槭枪饫w出口，所以網(wǎng)絡(luò)可靠、穩(wěn)定；可以使用固定IP，方便建立企業(yè)網(wǎng)站；性價(jià)比高，支持VPN技術(shù)等。

　　我們只要向ISP申請(qǐng)一條光纖接入Internet，把光纖拉到企業(yè)機(jī)房，將光纖接入光纖收發(fā)器或者直接接入帶有光纖口的防火墻和路由器上，再把路由器用雙絞線接到核心交換機(jī)上，然后分散接入到各部門交換機(jī)。這樣，就實(shí)現(xiàn)了兩種不同傳輸介質(zhì)的企業(yè)網(wǎng)絡(luò)的Internet接入方案。

　　在路由器上，我們除了要配置一條靜態(tài)路由器指向ISP之外。我們還需要對(duì)內(nèi)網(wǎng)IP地址做一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換，地址轉(zhuǎn)換最初主要用來(lái)解決是IP地址短缺的問(wèn)題。后來(lái)地址轉(zhuǎn)換技術(shù)有了更多的用途。逐漸顯示出它的優(yōu)勢(shì)。地址轉(zhuǎn)換設(shè)備提供幾乎無(wú)限的地址空間并隱藏內(nèi)部網(wǎng)絡(luò)尋址方案：如果更改了ISP或與另一個(gè)公司合并，則可以保持當(dāng)前的尋址方案，并在地址轉(zhuǎn)換設(shè)備上作任何必要的改變。可使地址管理更容易；它還有一個(gè)顯著的優(yōu)點(diǎn)是允許嚴(yán)格控制進(jìn)入和離開網(wǎng)絡(luò)的流量，更容易實(shí)施安全和商業(yè)策略。

　　3.6 VPN遠(yuǎn)程接入設(shè)計(jì)

　　虛擬專用網(wǎng)(Virtual Private Network，VPN)是指在公共通信基礎(chǔ)設(shè)施上構(gòu)建的虛擬專用網(wǎng)，可以被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來(lái)的網(wǎng)絡(luò)，它與真實(shí)網(wǎng)絡(luò)的差別在于VPN以隔離方式通過(guò)共享公共通信基礎(chǔ)設(shè)施，提供了不與VPN網(wǎng)外用戶共享互聯(lián)點(diǎn)的排他性網(wǎng)絡(luò)通信環(huán)境。

　　對(duì)于該企業(yè)的內(nèi)聯(lián)網(wǎng)構(gòu)建，只要購(gòu)買兩臺(tái)支持IPsec隧道協(xié)議的VPN防火墻，安裝在總公司和分公司兩個(gè)網(wǎng)絡(luò)邊界，然后對(duì)兩臺(tái)VPN防火墻進(jìn)行相關(guān)配置，當(dāng)建立起VPN連接后，這時(shí)總公司與分公司就相當(dāng)于處于同一個(gè)局域網(wǎng)中，這些配置對(duì)于員工來(lái)說(shuō)這是透明的。而對(duì)于出差辦公或者SOHO辦公的員工，進(jìn)行VPN連接就必須在他們的計(jì)算機(jī)中安裝配套的VPN接入軟件，例如思科的VPN客戶端產(chǎn)品EASYVPN，當(dāng)要訪問(wèn)公司資源時(shí)，通過(guò)一些簡(jiǎn)單的配置。就可以進(jìn)行遠(yuǎn)程撥號(hào)連接。企業(yè)合作伙伴的企業(yè)外聯(lián)網(wǎng)與企業(yè)內(nèi)聯(lián)網(wǎng)VPN差不多，使用軟件或者硬件接入均可，這要視乎企業(yè)合作的程度與時(shí)問(wèn)長(zhǎng)短而定，它與企業(yè)內(nèi)聯(lián)網(wǎng)的主要區(qū)別在于用戶訪問(wèn)權(quán)限的設(shè)置，外聯(lián)網(wǎng)用戶通常只具備部分企業(yè)內(nèi)部網(wǎng)訪問(wèn)資源的權(quán)限，所以我們要對(duì)VPN防火墻進(jìn)行相關(guān)設(shè)置，以屏蔽企業(yè)內(nèi)部網(wǎng)，確保需要保護(hù)的內(nèi)部網(wǎng)資源的安全性。

四 總結(jié)

　　在本文中成功地應(yīng)用了較為先進(jìn)的VLAN、光纖接入、第三層交換、千兆核心交換、VPN遠(yuǎn)程接入等技術(shù)。使得網(wǎng)絡(luò)系統(tǒng)在性能、安全性、可管理性、擴(kuò)展性等方面領(lǐng)先于一般的企業(yè)網(wǎng)絡(luò)。本規(guī)劃設(shè)計(jì)方案只是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)現(xiàn)狀及網(wǎng)絡(luò)安全的解決方案，在隨后的分期分批的項(xiàng)目實(shí)施過(guò)程中，由于企業(yè)網(wǎng)絡(luò)環(huán)境、以及網(wǎng)絡(luò)應(yīng)用系統(tǒng)的變化，會(huì)在細(xì)節(jié)上根據(jù)實(shí)際情況進(jìn)行相應(yīng)的調(diào)整，如：安裝設(shè)備數(shù)量、設(shè)備安裝具體地點(diǎn)等，只要在總的布局、要求以及標(biāo)準(zhǔn)上保持不變，實(shí)施之后就能夠達(dá)到本方案的設(shè)計(jì)要求。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：遠(yuǎn)程接入企業(yè)網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

本文網(wǎng)址：http://www.oesoe.com/html/support/1112154711.html