江澤峰
(中國電信股份有限公司廣東分公司,廣東 汕頭 515000)
21 世紀(jì)是信息化的時代,計算機網(wǎng)絡(luò)技術(shù)的發(fā)展為國內(nèi)企業(yè)繁榮發(fā)展提供了巨大的機會,網(wǎng)絡(luò)已經(jīng)成為企業(yè)獲取信息的重要途徑。在這樣的形勢下,企業(yè)單位迫切需要建立企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng),在提高企業(yè)管理效率,為各類應(yīng)用系統(tǒng)提供安全、穩(wěn)定、可靠的工作環(huán)境,滿足各種數(shù)據(jù)傳輸?shù)男枨?、降低成本,為實現(xiàn)企業(yè)在21世紀(jì)成為市場的贏家,在信息化方面奠定了堅實的基礎(chǔ)。
電信行業(yè)企業(yè)內(nèi)部相關(guān)行業(yè)軟件的運行,以及各部門資料的共享都要依靠企業(yè)內(nèi)網(wǎng)平臺,一旦內(nèi)網(wǎng)出現(xiàn)故障,比如:中斷或阻塞,將直接影響企業(yè)業(yè)務(wù)的正常運轉(zhuǎn),可見,可靠性在電信企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)中是至關(guān)重要的。
企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計要簡單、合理、易于開發(fā),便于維護。當(dāng)出現(xiàn)網(wǎng)絡(luò)故障時要易于排除,以有效保障公司業(yè)務(wù)正常開展。
隨著企業(yè)內(nèi)部業(yè)務(wù)的開展,客戶端數(shù)量會逐步增加,這終將導(dǎo)致企業(yè)內(nèi)網(wǎng)規(guī)模的進一步擴大,于是這就要求在設(shè)計網(wǎng)絡(luò)時要為日后的網(wǎng)絡(luò)擴展做好準(zhǔn)備,使最終的設(shè)計有足夠的彈性,在實際設(shè)計時,要在設(shè)備選型、網(wǎng)絡(luò)設(shè)計和應(yīng)用系統(tǒng)建設(shè)中充分體現(xiàn)這一原則。
對于電信企業(yè)內(nèi)部運行的相關(guān)管理系統(tǒng),涉及到企業(yè)內(nèi)部的眾多部門,數(shù)據(jù)需要在各部門之間傳遞,來完成相應(yīng)的管理功能?;谝陨戏治?,我們在設(shè)計網(wǎng)絡(luò)架構(gòu)時,采用全交換三層網(wǎng)絡(luò)結(jié)構(gòu),從整體上可以將網(wǎng)絡(luò)劃分為核心層,匯聚層,接入層三個層次,在此基礎(chǔ)上為企業(yè)各部門劃分專屬VLAN,同時在匯聚層采用三層核心交換機實現(xiàn)企業(yè)VLAN網(wǎng)絡(luò)之間的通信,這將大大改善了VLAN間通信質(zhì)量,三層交換機具有路由和交換兩種功能,而VLAN間通信就是通過其中的路由功能來實現(xiàn)的(圖1所示)。
核心層通常部署兩臺核心三層交換機,以實現(xiàn)內(nèi)網(wǎng)負載均衡和單點失效保護,核心交換機通常部署在企業(yè)中心機房。在企業(yè)核心三層交換機上對各部門客戶端將進行帶寬控制,以有效利用網(wǎng)絡(luò)資源。
匯聚層是指樓層交換機,通常部署在企業(yè)辦公樓的各樓層間,匯聚層通常采用無網(wǎng)關(guān)協(xié)議二層交換機,匯聚層應(yīng)使用與核心層相同結(jié)構(gòu)的冗余節(jié)點備份連接,每個匯聚交換機同時接入到兩個核心交換機,以實現(xiàn)最快速的路由收斂并避免黑洞產(chǎn)生。當(dāng)一臺接入交換機上行鏈路故障時,所有流量將從另一側(cè)的交換機上行,以增強網(wǎng)絡(luò)的可用性。如果一個樓層匯聚交換機的端口不夠用時,可以放置多臺交換機,通過堆疊的方式虛擬成一臺更多端口的匯聚交換機。對于可靠性要求高的網(wǎng)絡(luò),也可在匯聚層放置冗余設(shè)備,以實現(xiàn)該層設(shè)備的負載均衡和單點失效保護。
三層架構(gòu)中的接入層通常是指各部門辦公室接入交換機,通常部署在各部門工作區(qū)內(nèi),每臺接入層交換機與一臺或者多臺匯聚層交換機連接。桌面客戶端通過網(wǎng)線接入該層。在接入層采用二層交換機,并做一定措施分隔網(wǎng)絡(luò)風(fēng)暴。當(dāng)內(nèi)網(wǎng)用戶的數(shù)量增加時,可通過在接入層增加交換機,直接與匯聚層交換機相連提供擴展。
在接入層為企業(yè)內(nèi)網(wǎng)各部門客戶端統(tǒng)一安裝windows2003操作系統(tǒng),同時全網(wǎng)采用域管理模式,優(yōu)點是可以為企業(yè)不同的用戶配置不同的訪問權(quán)限,例如,公司主管,網(wǎng)絡(luò)的訪問權(quán)限就應(yīng)較大,可以訪問核心部門的共享資源,以確保內(nèi)網(wǎng)安全。
企業(yè)內(nèi)部網(wǎng)IP規(guī)劃是指為企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有硬件設(shè)備,包括路由器、交換機、服務(wù)器、客戶端,分配一個唯一的IP地址,并為其指定適當(dāng)?shù)腣LAN,且為了以后的管理與擴展考慮,IP地址要符合網(wǎng)絡(luò)設(shè)計規(guī)范,還要有規(guī)律,容易記憶。此外,由于企業(yè)有若干個部門使用內(nèi)網(wǎng),將來的組織結(jié)構(gòu)也可能有進一步的變化,因此,有必要對IP地址進行劃分,來建立若干個子網(wǎng),制定靈活、可擴展、安全的IP地址分配策略,以便于網(wǎng)絡(luò)管理和增強網(wǎng)絡(luò)安全性。最后,在以上基礎(chǔ)上,還要建立一張企業(yè)內(nèi)部有效的IP地址、MAC地址、用戶名、主機名、所屬部門、網(wǎng)絡(luò)端口的對應(yīng)表格。這樣,在排除故障時,可以通過此表格,快速地定位出相應(yīng)IP地址所對應(yīng)的主機和人員,為以后企業(yè)網(wǎng)絡(luò)日常的維護管理提供了有效保障。
VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是一種將局域網(wǎng)內(nèi)的設(shè)備從邏輯上劃分為不同網(wǎng)段的技術(shù),VLAN可以將網(wǎng)絡(luò)劃分為不同功能相對獨立的工作組,從而實現(xiàn)虛擬工作組(單元)的數(shù)據(jù)交換技術(shù)。同一個VLAN中的成員都共享廣播,一個VLAN內(nèi)部的廣播和單播流量被限制在本VLAN之內(nèi),不同VLAN之間廣播信息相互隔離。從而,將整個網(wǎng)絡(luò)邏輯地而不是物理地劃分成多個廣播域。隔離了廣播風(fēng)暴有助于控制網(wǎng)絡(luò)流量、簡化網(wǎng)絡(luò)管理、可以隔離各個不同VLAN之間的通訊來提高網(wǎng)絡(luò)的安全性。
(1)簡化網(wǎng)絡(luò)管理,限制廣播域。即使同一交換機上連接的計算機,如果不處于同一VLAN,也不能互相訪問,從而有效控制網(wǎng)絡(luò)流量。
(2)提高內(nèi)網(wǎng)安全性。不同VLAN不能直接通信,杜絕了廣播信息的不安全性。如果想連接,需要通路由器或三層交換機等三層設(shè)備。
(3)靈活構(gòu)建虛擬工作組。用VLAN劃分不同的用戶到不同的工作組。同一工作組的不必局限于某一個固定的物理范圍,網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。
采用兩個CiscoCatalyst4500交換機,提供冗余鏈路以實現(xiàn)內(nèi)網(wǎng)負載均衡。
采用兩個CiscoCatalyst3750E交換機,其提供自動配置智能網(wǎng)絡(luò)服務(wù)功能、支持融合網(wǎng)絡(luò)模式,能夠完美處理來自接入層設(shè)備的所有通信量,并提供到核心層的上行鏈路。
為各部門采用CiscoCatalyst2940交換機,其可在整個網(wǎng)絡(luò)范圍中提供企業(yè)級智能服務(wù)、先進的IP路由和以太網(wǎng)供電功能。由于接入層交換機的作用主要是提供終端用戶連接到網(wǎng)絡(luò),因此,必須具有高端口密度和低成本特性。
企業(yè)內(nèi)部各部門客戶端及服務(wù)器操作系統(tǒng)要及時更新系統(tǒng)補?。òㄏ到y(tǒng)漏洞補丁、安全補?。?,以確保內(nèi)網(wǎng)終端設(shè)備的正常運行。同時,要制定相應(yīng)的上網(wǎng)策略進行帶寬管理、接入控制、上網(wǎng)行為控制、外設(shè)管理等功能。相應(yīng)的管理策略如下:
對于U盤、移動硬盤等移動設(shè)備在接入公司內(nèi)網(wǎng)之前,必須先進行查毒,殺毒檢測;
任何人未經(jīng)同意,不得使用其它部門的電腦;
對郵箱中的可疑郵件不要隨意打開,要先進行病毒檢測;
外來人員不得把終端設(shè)備(例如:筆記本等)接入企業(yè)內(nèi)網(wǎng);
上網(wǎng)人員不得瀏覽與工作無關(guān)的網(wǎng)站,不得上網(wǎng)下載或以其他方式帶入任何未經(jīng)批準(zhǔn)使用的程序;
在企業(yè)核心三層交換機上對各部門客戶端將進行帶寬控制,以有效利用網(wǎng)絡(luò)資源;對企業(yè)的核心業(yè)務(wù)數(shù)據(jù)要定期做好備份與更新;
目前,計算機網(wǎng)絡(luò)的應(yīng)用正處于一個飛速發(fā)展的時期,為適應(yīng)網(wǎng)絡(luò)的不斷發(fā)展和企業(yè)未來發(fā)展的需要,加強企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)是非常有必要的。企業(yè)應(yīng)該結(jié)合自身實際情況,確定本單位的具體建設(shè)目標(biāo)和實施方案,同時還要建設(shè)有效的使用和管理機制,充分發(fā)展企業(yè)內(nèi)部網(wǎng)絡(luò)的效果,這樣才能增強企業(yè)的競爭力,使企業(yè)始終處于不敗之地。
[1]張晶,中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案[J].黑龍江科技信息,2007.04X.
[2]羅晶,淺談企業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè) [J].理論界,2010(05).