連曉

摘要：企業(yè)網(wǎng)絡(luò)化建設(shè)作為信息化建設(shè)的基礎(chǔ)日益受到重視，該文通過(guò)研究了企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)網(wǎng)絡(luò)技術(shù)，提出了一個(gè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)的方案，根據(jù)現(xiàn)狀和需求定義了該企業(yè)內(nèi)部網(wǎng)絡(luò)的設(shè)計(jì)穩(wěn)定性和可靠性、應(yīng)用可擴(kuò)展性、帶寬穩(wěn)定性以及網(wǎng)絡(luò)安全等原則，并在此基礎(chǔ)上完成企業(yè)內(nèi)部網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)。

關(guān)鍵詞：企業(yè)；網(wǎng)絡(luò)規(guī)劃；設(shè)計(jì)與實(shí)現(xiàn)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）17-3994-02

1 研究背景與意義

自上個(gè)世紀(jì)90年代起，企業(yè)網(wǎng)絡(luò)化建設(shè)作為信息化建設(shè)的基礎(chǔ)日益受到重視，企業(yè)通過(guò)網(wǎng)絡(luò)建設(shè)使用計(jì)算機(jī)來(lái)管理企業(yè)生產(chǎn)、經(jīng)營(yíng)和管理過(guò)程中的各類(lèi)數(shù)據(jù)，以此來(lái)減輕人工負(fù)擔(dān)并降低成本。但是由此產(chǎn)生的信息孤島問(wèn)題使越來(lái)越多的企業(yè)開(kāi)始重視企業(yè)內(nèi)部的網(wǎng)絡(luò)化建設(shè)，但是在規(guī)劃設(shè)計(jì)上大多數(shù)企業(yè)過(guò)于簡(jiǎn)單，導(dǎo)致實(shí)現(xiàn)中網(wǎng)絡(luò)的可擴(kuò)展性、安全性和穩(wěn)定性等方面并沒(méi)有得到充分應(yīng)用。因而本文通過(guò)相關(guān)研究為企業(yè)探索構(gòu)建一個(gè)可擴(kuò)充、穩(wěn)定的、相對(duì)安全的、并且可以支撐必要的網(wǎng)絡(luò)應(yīng)用的內(nèi)部網(wǎng)絡(luò)。

2 企業(yè)網(wǎng)絡(luò)規(guī)劃的關(guān)鍵技術(shù)

目前企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃的關(guān)鍵技術(shù)主要包括網(wǎng)絡(luò)標(biāo)準(zhǔn)（802.3標(biāo)準(zhǔn)）、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)互聯(lián)協(xié)議、網(wǎng)絡(luò)互聯(lián)設(shè)備等內(nèi)容。其中在802.3標(biāo)準(zhǔn)協(xié)議集中定義了雙絞線(xiàn)和光纖兩種傳輸介質(zhì)以及10 Mbps、100 Mbps、10000 Mbps、1 Gbps四種傳輸速度；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)用于描述網(wǎng)絡(luò)設(shè)備的互聯(lián)方式以及物理布局，典型結(jié)構(gòu)包括星型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、總線(xiàn)結(jié)構(gòu)和混合結(jié)構(gòu)；目前流行的互聯(lián)網(wǎng)協(xié)議主要有開(kāi)放系統(tǒng)互聯(lián)七層參考模型ISO/RM和TCP/IP網(wǎng)絡(luò)互聯(lián)協(xié)議族；網(wǎng)絡(luò)互聯(lián)設(shè)備主要包括集線(xiàn)器、中繼器、交換器、路由器和網(wǎng)關(guān)，[1]交換機(jī)和路由器是常用的互聯(lián)設(shè)備，交換機(jī)作用于數(shù)據(jù)鏈路層的地址進(jìn)行數(shù)據(jù)交換，而路由器工作在網(wǎng)絡(luò)層提供基于網(wǎng)絡(luò)層地址的網(wǎng)絡(luò)傳輸路徑選擇。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃的設(shè)計(jì)

3.1企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的安全風(fēng)險(xiǎn)分析

針對(duì)企業(yè)網(wǎng)絡(luò)的特點(diǎn)，企業(yè)網(wǎng)絡(luò)建設(shè)過(guò)程中面臨的安全風(fēng)險(xiǎn)主要包括網(wǎng)絡(luò)物理是否安全、網(wǎng)絡(luò)平臺(tái)及系統(tǒng)是否安全、應(yīng)用和管理是否安全等方面，這要求企業(yè)要制定健全安全管理制度，對(duì)于企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及環(huán)境進(jìn)行合理的設(shè)計(jì)，及時(shí)修補(bǔ)系統(tǒng)可能出現(xiàn)的漏洞，對(duì)于在開(kāi)發(fā)時(shí)以加密的方式解決應(yīng)用安全性的威脅，此外企業(yè)需要建立新的安全機(jī)制以實(shí)現(xiàn)管理制度和管理解決方案的有效結(jié)合。

3.2企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)的原則

基于對(duì)網(wǎng)絡(luò)發(fā)展的需求分析和網(wǎng)絡(luò)建設(shè)的要求分析，規(guī)劃設(shè)計(jì)時(shí)首先要保證網(wǎng)絡(luò)的穩(wěn)定和可靠性，不僅要有可靠的網(wǎng)絡(luò)設(shè)備和傳輸介質(zhì)和施工質(zhì)量，也要能夠及時(shí)監(jiān)測(cè)、處理網(wǎng)絡(luò)運(yùn)行中的問(wèn)題；其次，設(shè)計(jì)要容易擴(kuò)充，既能保證節(jié)點(diǎn)容易擴(kuò)充，也能方便在網(wǎng)絡(luò)上擴(kuò)展應(yīng)用；然后，要保證傳輸?shù)膸?，使用具有更高帶寬的設(shè)備和傳輸介質(zhì)，滿(mǎn)足未來(lái)包括視頻、語(yǔ)音的應(yīng)用；最后是網(wǎng)絡(luò)安全控制和監(jiān)測(cè)管理，要保證網(wǎng)絡(luò)結(jié)構(gòu)中重要節(jié)點(diǎn)的安全以及網(wǎng)絡(luò)傳輸過(guò)程中信息的安全，進(jìn)行有效的邏輯劃分保證數(shù)據(jù)不會(huì)被竊取或者病毒感染，[2]此外，企業(yè)內(nèi)部還應(yīng)設(shè)置實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)和管理，這既包括被動(dòng)的網(wǎng)絡(luò)監(jiān)聽(tīng)告警，也包括主動(dòng)的網(wǎng)絡(luò)狀況探測(cè)和檢測(cè)。

3.3企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃的設(shè)計(jì)

首先，劃分網(wǎng)絡(luò)層次。按照網(wǎng)絡(luò)的流量模式和終端用戶(hù)的分組方式將網(wǎng)絡(luò)劃分為接入層、匯聚層和核心層三層，接入層直接面向用戶(hù)連接，管理終端用戶(hù)的網(wǎng)絡(luò)接入，采用合理價(jià)格成本的設(shè)備，保證接入端口的數(shù)量并且能夠易于擴(kuò)展；匯聚層是多個(gè)接入層的匯聚點(diǎn)，需要接入性能更好的網(wǎng)絡(luò)設(shè)備以保證大數(shù)據(jù)量的傳輸，主要用于集中處理接入層的通信數(shù)據(jù)，并將數(shù)據(jù)發(fā)送到核心層；[3]核心層是網(wǎng)絡(luò)的主干部分，負(fù)責(zé)數(shù)據(jù)的快速轉(zhuǎn)發(fā)。

其次，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上混合星型拓?fù)浣Y(jié)構(gòu)和總線(xiàn)型拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)的混合方式。在接入層采用星型結(jié)構(gòu)，利于網(wǎng)絡(luò)規(guī)模的擴(kuò)充，考慮到未來(lái)可能提供的WiFi信號(hào)以及終端查詢(xún)服務(wù)，可在實(shí)際建設(shè)中在各部門(mén)配置相應(yīng)得交換機(jī)；在匯聚層，各個(gè)匯聚交換機(jī)之間采用總線(xiàn)的結(jié)構(gòu)，便于邏輯結(jié)構(gòu)的劃分，對(duì)于核心層路由器可以隔離廣播域，減少網(wǎng)絡(luò)風(fēng)暴的形成，設(shè)計(jì)時(shí)由三個(gè)路由器組成，其中有兩個(gè)路由器分別與匯聚層相連，剩下一個(gè)與Internet網(wǎng)絡(luò)相連?？紤]到安全性要求，在內(nèi)部網(wǎng)絡(luò)和外部Internet間設(shè)立防火墻。三個(gè)路由器中每?jī)蓚€(gè)都相互連接，實(shí)現(xiàn)冗余連接，

最后，如果需要在企業(yè)外部訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)，可以通過(guò)VPN技術(shù)進(jìn)行接入， VPN可以通過(guò)隧道技術(shù)、加密技術(shù)和身份認(rèn)證技術(shù)讓任何兩個(gè)節(jié)點(diǎn)之間都不是通過(guò)具體的物理鏈路進(jìn)行連接的，而是建立在網(wǎng)絡(luò)服務(wù)提供商提供的基于網(wǎng)絡(luò)平臺(tái)的虛擬邏輯鏈路，從而保證訪(fǎng)問(wèn)的安全性。

4 企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃的實(shí)現(xiàn)

4.1企業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)原則的實(shí)現(xiàn)

網(wǎng)絡(luò)建設(shè)的穩(wěn)定可靠方面，在設(shè)計(jì)實(shí)現(xiàn)時(shí)核心骨干網(wǎng)節(jié)點(diǎn)采用冗余連接，用交換機(jī)隔離沖突域、路由器分離廣播域；網(wǎng)絡(luò)可擴(kuò)展型方面在接入層采用星型結(jié)構(gòu)，并且以交換機(jī)作為接入層的互聯(lián)設(shè)備；傳輸帶寬方面租用高速的ADSL專(zhuān)線(xiàn)，隔離廣播域和沖突域，通過(guò)減少?gòu)V播報(bào)文間接增加有效帶寬，采用分層結(jié)構(gòu)，保證核心層專(zhuān)注網(wǎng)絡(luò)數(shù)據(jù)的傳送，提高數(shù)據(jù)轉(zhuǎn)發(fā)速度；在安全性和監(jiān)測(cè)管理方面，使用VPN技術(shù)和VLAN劃分，增加備份數(shù)據(jù)服務(wù)器，在內(nèi)部網(wǎng)絡(luò)和外網(wǎng)之間增加防火墻，為服務(wù)器增加UPS保障斷電時(shí)可以正常關(guān)機(jī)，[4]監(jiān)測(cè)方面增加網(wǎng)絡(luò)管理節(jié)點(diǎn)，對(duì)網(wǎng)絡(luò)狀態(tài)實(shí)施監(jiān)控或者使用VPN遠(yuǎn)程接入。

4.2企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃的實(shí)現(xiàn)

對(duì)于企業(yè)的內(nèi)部網(wǎng)絡(luò)，首先對(duì)其三個(gè)層次的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行劃分：在接入層將公司的各個(gè)行政部門(mén)例如財(cái)務(wù)部、人事部、銷(xiāo)售部等分部門(mén)的網(wǎng)絡(luò)接入，在匯聚層對(duì)包括對(duì)總公司各個(gè)部門(mén)的接入層進(jìn)行匯聚以及對(duì)各接入層進(jìn)行匯聚在核心層連接了服務(wù)器群和匯聚層，保證網(wǎng)絡(luò)上的各種應(yīng)用對(duì)數(shù)據(jù)的快速訪(fǎng)問(wèn)并提供服務(wù)器群到匯聚層的數(shù)據(jù)轉(zhuǎn)發(fā)。endprint

在具體網(wǎng)絡(luò)實(shí)現(xiàn)中為了提供更好的安全性，減少不必要的網(wǎng)絡(luò)流量，應(yīng)該把各個(gè)處于同一層次的節(jié)點(diǎn)使用VLAN進(jìn)行隔離，運(yùn)用VLAN對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行劃分，路由器的配置中注意接口配置、動(dòng)態(tài)路由協(xié)議配置和SNMP協(xié)議配置；最后為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)安全的安全應(yīng)該關(guān)閉多余的服務(wù)和端口、避免多個(gè)應(yīng)用之間的相互影響、定期備份數(shù)據(jù)、控制信息的導(dǎo)入和導(dǎo)出、禁止內(nèi)部網(wǎng)絡(luò)直接與Internet相連，[5]對(duì)于特殊的外網(wǎng)需求采用VPN技術(shù)進(jìn)行解決。

4.3企業(yè)內(nèi)部網(wǎng)絡(luò)實(shí)施的建議

在企業(yè)的內(nèi)部網(wǎng)絡(luò)的運(yùn)行過(guò)程中，網(wǎng)絡(luò)安全一直是企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃和建設(shè)所需要重視的問(wèn)題，據(jù)相關(guān)調(diào)查研究發(fā)現(xiàn)，目前企業(yè)內(nèi)部網(wǎng)絡(luò)運(yùn)行過(guò)程中所受到的安全威脅，約60%的威脅額完全來(lái)自于系統(tǒng)內(nèi)部，為保證企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)和實(shí)施的安全，提出以下建議：

首先，企業(yè)尤其是中小型企業(yè)要盡量避免多個(gè)應(yīng)用之間的相互影響，由于大多數(shù)小型企業(yè)受規(guī)模和資金限制，通常會(huì)在一個(gè)服務(wù)器或主機(jī)上安裝多個(gè)應(yīng)用或者在同一個(gè)數(shù)據(jù)庫(kù)上安裝多個(gè)應(yīng)用的數(shù)據(jù)庫(kù)系統(tǒng)，在此情況下如果一個(gè)應(yīng)用被病毒感染時(shí)，會(huì)不可避免地造成其他應(yīng)用也被感染，或者一個(gè)應(yīng)用占用過(guò)多資源也會(huì)影響其它應(yīng)用的運(yùn)行。其次在建設(shè)過(guò)程中要關(guān)閉多余的服務(wù)和端口，以避免開(kāi)放某些沒(méi)有實(shí)際意義的服務(wù)和端口成為黑客攻擊的目標(biāo)。再次企業(yè)應(yīng)該定期備份數(shù)據(jù)以避免數(shù)據(jù)的損壞和丟失，可采用RAID存儲(chǔ)架構(gòu)或者雙機(jī)間的相互備份，確保數(shù)據(jù)的及時(shí)恢復(fù)以及應(yīng)用的政策運(yùn)行。最后要控制信息的導(dǎo)入和導(dǎo)出，并禁止內(nèi)部網(wǎng)絡(luò)直接與外網(wǎng)相連，通過(guò)專(zhuān)用計(jì)算機(jī)導(dǎo)入和導(dǎo)出信息以控制信息的對(duì)外流動(dòng)性，在與外網(wǎng)連接時(shí)可以設(shè)置一個(gè)單獨(dú)的局域網(wǎng)用于與外網(wǎng)相連接，通過(guò)設(shè)置防火墻避免內(nèi)網(wǎng)和外網(wǎng)的直接連接可以有效防止信息泄露。

5 結(jié)束語(yǔ)

當(dāng)前社會(huì)企業(yè)的信息化建設(shè)，尤其是網(wǎng)絡(luò)的建設(shè)對(duì)于企業(yè)發(fā)展具有重要影響，該文通過(guò)研究了企業(yè)內(nèi)部網(wǎng)絡(luò)相關(guān)網(wǎng)絡(luò)技術(shù)，提出了一個(gè)內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)的方案以及穩(wěn)定可靠、容易擴(kuò)充、保證帶寬、安全控制、監(jiān)測(cè)管理等原則，在此基礎(chǔ)上根據(jù)現(xiàn)狀和需求從網(wǎng)絡(luò)層次劃分和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)兩個(gè)方面規(guī)劃了企業(yè)內(nèi)部網(wǎng)絡(luò)的設(shè)計(jì)方案，特別考慮到企業(yè)內(nèi)部網(wǎng)絡(luò)安全的相關(guān)問(wèn)題，通過(guò)本文的研究為企業(yè)尤其是中小企業(yè)的內(nèi)部網(wǎng)絡(luò)建設(shè)提供一條經(jīng)濟(jì)可行的道路和實(shí)際建設(shè)的經(jīng)驗(yàn)。

參考文獻(xiàn)：

[1] 張勝.分布式企業(yè)內(nèi)部網(wǎng)絡(luò)的構(gòu)建與分析[D].鄭州：鄭州大學(xué)，2009（5）：10-15.

[2] 李長(zhǎng)英.企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)與實(shí)現(xiàn)[D].吉林：吉林大學(xué)，201303：10-25

[3] 楊曉靜，張玉，徐濟(jì)仁，呂久明.協(xié)議TCP/IP和OSI/RM的深入分析[J].計(jì)算機(jī)工程，28（11）：263-267.

[4] 曹勝華.集團(tuán)企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計(jì)與實(shí)現(xiàn)[D].長(zhǎng)沙：中南大學(xué)，2010

[5] 譚忠理.試析企業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀及安全策略[J].中國(guó)公共安全，2008，9（02-03）：119-124.endprint