企業(yè)內部網(wǎng)絡(luò )建設淺析

［摘要］ 企業(yè)內部網(wǎng)絡(luò )是企業(yè)中十分重要的基礎設施，本文提出企業(yè)內部網(wǎng)絡(luò )建設應遵循統一規劃、高可用性、高性能、高擴展性、高安全性和高可維護性等原則，并闡述內部網(wǎng)絡(luò )建設的主要內容，著(zhù)重討論了網(wǎng)絡(luò )平臺的建設。
　�。坳P(guān)鍵詞］ 企業(yè)內部網(wǎng)絡(luò )； 基礎設施

　　企業(yè)內部網(wǎng)絡(luò )是企業(yè)中十分重要的基礎設施，可以實(shí)現企業(yè)內部相關(guān)部門(mén)及下屬單位的數據共享、互聯(lián)互通，為各類(lèi)應用系統提供安全、穩定、可靠的工作環(huán)境，滿(mǎn)足各種數據傳輸的需求。本文從內部網(wǎng)絡(luò )的建設原則、建設內容著(zhù)手，闡述如何建立企業(yè)內部網(wǎng)絡(luò )，著(zhù)重討論了網(wǎng)絡(luò )平臺的建設。
　　
　�。苯ㄔO原則
　　
　　企業(yè)內部網(wǎng)絡(luò )建設應遵循以下原則：統一規劃、高可用性、高性能、高擴展性、高安全性和高可維護性。
　　統一規劃：明確內部網(wǎng)絡(luò )在規劃期內的規模，確定總體需求，既能滿(mǎn)足企業(yè)當前需求，又充分考慮將來(lái)整個(gè)網(wǎng)絡(luò )系統的投資保護和對新應用的支持。
　　高可用性：要求關(guān)鍵網(wǎng)絡(luò )設備具有單點(diǎn)失效保護，能夠實(shí)現故障預警、報警，以及良好的故障應急處理能力。如在出現有限個(gè)數的交換機、防火墻等設備故障等情況下，內部網(wǎng)絡(luò )可以繼續工作，不影響業(yè)務(wù)處理。
　　高性能：內部網(wǎng)絡(luò )傳輸的信息類(lèi)型主要有視頻、語(yǔ)音、業(yè)務(wù)數據及管理數據等。為了及時(shí)、迅速地處理網(wǎng)絡(luò )上傳送的各種數據，網(wǎng)絡(luò )設備必須具備高速處理能力，提供高速數據鏈路，保證網(wǎng)絡(luò )高吞吐能力，滿(mǎn)足各種應用對網(wǎng)絡(luò )帶寬的需求。
　　高擴展性：由于內部網(wǎng)絡(luò )是一個(gè)長(cháng)期使用重要的基礎設施。日后隨著(zhù)企業(yè)規模擴大和業(yè)務(wù)量的增長(cháng)，對內部網(wǎng)絡(luò )性能的需求可能會(huì )超出預期，當內部網(wǎng)絡(luò )的處理能力不夠時(shí)，要求可以在原有網(wǎng)絡(luò )架構的基礎上實(shí)現靈活擴展。這要求網(wǎng)絡(luò )設備必須符合國際標準和支持業(yè)界統一標準的相關(guān)接口，選擇廣泛應用的網(wǎng)絡(luò )標準協(xié)議，能夠與各級下屬單位網(wǎng)絡(luò )、ＩＳＰ網(wǎng)絡(luò )以及其他相關(guān)網(wǎng)絡(luò )實(shí)現可靠的互聯(lián)。
　　高安全性：具有良好的網(wǎng)絡(luò )安全能力和應用靈活的安全策略。通過(guò)網(wǎng)絡(luò )分區、防火墻策略、入侵檢測、終端準入等手段來(lái)加強網(wǎng)絡(luò )的安全性。
　　高可維護性：維護便捷簡(jiǎn)單，盡量減少設備宕機檢修時(shí)間，特別是減少進(jìn)行故障修復、網(wǎng)絡(luò )擴展和變更時(shí)的宕機時(shí)間，能夠提供友好、全面的監控工具，減少網(wǎng)絡(luò )管理的漏洞風(fēng)險，增強網(wǎng)絡(luò )管理維護性能。
　　
　�。步ㄔO內容
　　
　　企業(yè)內部網(wǎng)絡(luò )建設主要內容包括：網(wǎng)絡(luò )平臺、ＩＰ地址劃分、中心機房網(wǎng)絡(luò )分區、桌面安全管理、網(wǎng)絡(luò )安全、網(wǎng)絡(luò )管理及運維。
　�。玻�１網(wǎng)絡(luò )平臺
　　企業(yè)內部網(wǎng)絡(luò )平臺建設通常有兩種架構：二層架構和三層架構。二層架構包括：核心層、匯聚層。三層架構包括：核心層、匯聚層和接入層。由于技術(shù)進(jìn)步，目前用于組網(wǎng)的交換機基本上具有三層交換功能，因此不用過(guò)多考慮二層交換和三層交換之間路由的問(wèn)題。
　　核心層通常部署兩臺核心交換機，實(shí)現負載均衡和單點(diǎn)失效保護，核心交換機通常部署在企業(yè)中心機房。
　　匯聚層通常指樓層交換機，通常部署在樓層弱電間，每個(gè)匯聚交換機同時(shí)接入到兩個(gè)核心交換機，以增強網(wǎng)絡(luò )的可用性。如果一個(gè)樓層匯聚交換機的端口不夠用時(shí)，可以放置多臺交換機，通過(guò)堆疊的方式虛擬成一臺更多端口的匯聚交換機。對于穩定性要求高的網(wǎng)絡(luò )，亦可以在匯聚層放置冗余設備，以實(shí)現該層設備的負載均衡和單點(diǎn)失效保護。二層架構中該層具有接入和匯聚雙重作用，桌面客戶(hù)端通過(guò)樓層布線(xiàn)或者網(wǎng)線(xiàn)接入該層。
　　三層架構中的接入層通常是指辦公室接入交換機，通常部署在工作區配線(xiàn)架或者弱電間，每臺接入層交換機與一臺或者多臺匯聚層交換機連接。對于穩定性要求高的網(wǎng)絡(luò )，亦可以在接入層放置冗余設備，以實(shí)現該層設備的負載均衡和單點(diǎn)失效保護。桌面客戶(hù)端通過(guò)樓層布線(xiàn)或者網(wǎng)線(xiàn)接入該層。
　　兩種架構的差別主要在于二層架構中沒(méi)有接入層，其匯聚層具有接入和匯聚雙重作用。
　�。玻�１．１二層架構的優(yōu)缺點(diǎn)
　�。玻�１．１．１優(yōu)點(diǎn)
　　可用性高。匯聚層（也是接入層）直接雙上聯(lián)核心，減少中間環(huán)節。傳輸路徑短，數據流從一個(gè)區域到另一個(gè)區域，路徑只需經(jīng)過(guò)“接入→核心→接入”，數據就可以傳輸到對端，優(yōu)化了網(wǎng)絡(luò )路徑。
　　性能高。匯聚層（也是接入層）直接與核心交換機相連，帶寬的收斂比小，實(shí)際分配給每一個(gè)終端的帶寬大，保證時(shí)延最小。
　�。玻�１．１．２缺點(diǎn)
　　擴展性弱。當用戶(hù)的數量增加時(shí)，需要在匯聚層增加交換機接入核心交換機，或者通過(guò)在匯聚層增加交換機，使用堆疊方式或級聯(lián)方式實(shí)現。
　　安全性低。安全策略只可以分布在匯聚層交換機和核心交換機上。
　　可維護性低。網(wǎng)絡(luò )變更往往影響到核心交換機。
　�。玻�１．２三層架構的優(yōu)缺點(diǎn)
　�。玻�１．２．１優(yōu)點(diǎn)
　　可擴展性強。當用戶(hù)的數量增加時(shí)，可通過(guò)在接入層增加交換機，直接與匯聚層交換機相連提供擴展，擴展變更僅影響限定在此區域的匯聚層交換機，不會(huì )影響核心交換機。
　　安全性高。安全策略可以分布在接入交換機、匯聚層交換機和核心交換機上。
　　可維護性高。網(wǎng)絡(luò )變更對核心交換機影響小，除了新增匯聚層交換機，需要對核心交換機進(jìn)行配置外，一般只影響到匯聚層交換機。匯聚層交換機故障，只會(huì )影響匯聚區域內的接入，其他匯聚區域不受影響。
　�。玻�１．２．２缺點(diǎn)
　　可用性低。數據傳輸路徑變長(cháng)，數據流從一個(gè)區域到另一個(gè)區域，需要經(jīng)過(guò)“接入→匯聚→核心→匯聚→接入”，才能將數據傳輸到對端，增加了路徑的物理長(cháng)度。
　　性能低。帶寬相應降低，雖然匯聚到核心可通過(guò)鏈路捆綁或萬(wàn)兆接口的方式增加帶寬，但仍會(huì )出現當區域之間的數據互通時(shí)，匯聚層到核心層帶寬爭用的問(wèn)題。
　�。玻�１．３綜合分析
　　綜上所述，兩種架構優(yōu)缺點(diǎn)對比見(jiàn)表1。
　　
　　表１僅為二層架構與三層架構之間的相對對比，不是對兩種架構性質(zhì)的絕對分析。實(shí)際應用中，二層架構更加適用于樓宇等接入密度較高的內部網(wǎng)絡(luò )建設，三層架構更加適用于物理范圍廣、接入密度低的內部網(wǎng)絡(luò )建設。
　　二層架構和三層架構并不沖突，可以同時(shí)運用于一個(gè)內部網(wǎng)絡(luò )建設中，如對于接入密度較高的區域，客戶(hù)端直接接入匯聚層； 對于接入密度較低的區域，客戶(hù)端接入接入層。
　�。玻�２ＩＰ地址劃分
　　由于企業(yè)有若干個(gè)部門(mén)和若干個(gè)下屬單位，將來(lái)組織結構也可能有變化，有必要對ＩＰ地址進(jìn)行劃分，來(lái)建立若干個(gè)子網(wǎng)，制定靈活、可擴展、安全的ＩＰ地址分配策略，以便于網(wǎng)絡(luò )管理和增強網(wǎng)絡(luò )安全性。
　�。玻�３中心機房網(wǎng)絡(luò )分區
　　中心機房是一個(gè)十分重要的區域，需要對中心機房進(jìn)行網(wǎng)絡(luò )區域劃分，以增強網(wǎng)絡(luò )的安全性。通常劃分幾大區域：核心交換區、Ｉｎｔｅｒｎｅｔ訪(fǎng)問(wèn)接入區、廣域網(wǎng)互聯(lián)區、ＤＭＺ區、服務(wù)器區等。
　�。玻�４桌面安全管理
　　內部網(wǎng)絡(luò )絕大多數攻擊來(lái)自于企業(yè)內部，所以桌面安全管理十分重要。桌面安全管理包括：安全接入控制、安全策略管理、資產(chǎn)管理、軟件分發(fā)、補丁管理、員工行為管理。
　�。玻�５網(wǎng)絡(luò )安全
　　內部網(wǎng)絡(luò )既要滿(mǎn)足內部辦公的需要，又要滿(mǎn)足與因特網(wǎng)實(shí)現數據交換的需要。特別是，保證距離企業(yè)總部物理距離較遠的下屬單位能夠有效地訪(fǎng)問(wèn)內部網(wǎng)絡(luò )。各種場(chǎng)景讓網(wǎng)絡(luò )安全相對復雜，網(wǎng)絡(luò )安全建設主要包括但不限于：
　�。ǎ保� 接入交換機的安全。包括：端口安全控制、端口流量控制、廣播抑制、防范ＤＨＣＰ攻擊、防范ＡＲＰ欺騙／中間人攻擊技術(shù)、配置Ｖｌａｎ ＡＣＬ等。
　�。ǎ玻� 網(wǎng)絡(luò )設備自身的安全。網(wǎng)絡(luò )設備某些缺省設置會(huì )導致安全漏洞，變更這些設置。
　�。ǎ常� 防火墻策略。制定精細的防火墻安全策略，不同端口根據區域不同劃分不同的安全級別。
　�。ǎ矗� 入侵監測／防御系統。使用先進(jìn)的、專(zhuān)用的入侵監測／防御設備，實(shí)現主動(dòng)監測和防御，并及時(shí)將相關(guān)信息傳送到網(wǎng)管區域，能對用戶(hù)常用的通訊內容進(jìn)行審計。
　�。玻�６網(wǎng)絡(luò )管理及運維系統
　　網(wǎng)絡(luò )管理及運維系統的建設包括但不限于：基礎資源管理（如計算資源等）、網(wǎng)絡(luò )資源管理（包括拓撲查看、配置管理、設備性能監控及告警、資產(chǎn)管理等）、用戶(hù)管理、業(yè)務(wù)管理、ＶＬＡＮ管理、ＡＣＬ配置管理、流量分析、ＱoＳ管理、用戶(hù)接入管理、用戶(hù)行為審計等。
　　以上是企業(yè)內部網(wǎng)絡(luò )建設的主要內容，其中， “ 桌面安全管理”、“ 網(wǎng)絡(luò )安全”和“網(wǎng)絡(luò )管理及運維系統”等內容可以參照ＩＴＩＬ、ＩＳＯ ２０００等標準進(jìn)行建設。
　　綜上所述，企業(yè)在進(jìn)行內部網(wǎng)絡(luò )建設時(shí)，需要根據實(shí)際情況，參照本文的建設原則和建設內容來(lái)進(jìn)行。

【企業(yè)內部網(wǎng)絡(luò )建設淺析】相關(guān)文章：

淺析校園網(wǎng)絡(luò )建設對高中集體備課的影響11-18

CDMA網(wǎng)絡(luò )優(yōu)化淺析03-15

談企業(yè)內部控制建設03-19

網(wǎng)絡(luò )安全技術(shù)淺析03-21

淺析建設工程監理控制要點(diǎn)03-27

淺析金融保險專(zhuān)業(yè)建設02-28

淺析網(wǎng)絡(luò )交際中的語(yǔ)言變異11-18

網(wǎng)絡(luò )營(yíng)銷(xiāo)內涵與策略淺析03-24

淺析發(fā)展循環(huán)經(jīng)濟與完善制度建設03-19