江澤峰

（中國電信股份有限公司廣東分公司，廣東 汕頭 515000）

21 世紀(jì)是信息化的時代，計算機網(wǎng)絡(luò)技術(shù)的發(fā)展為國內(nèi)企業(yè)繁榮發(fā)展提供了巨大的機會，網(wǎng)絡(luò)已經(jīng)成為企業(yè)獲取信息的重要途徑。在這樣的形勢下，企業(yè)單位迫切需要建立企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，在提高企業(yè)管理效率，為各類應(yīng)用系統(tǒng)提供安全、穩(wěn)定、可靠的工作環(huán)境，滿足各種數(shù)據(jù)傳輸?shù)男枨?、降低成本，為實現(xiàn)企業(yè)在21世紀(jì)成為市場的贏家，在信息化方面奠定了堅實的基礎(chǔ)。

1 企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計原則

1.1 網(wǎng)絡(luò)的安全可靠性

電信行業(yè)企業(yè)內(nèi)部相關(guān)行業(yè)軟件的運行，以及各部門資料的共享都要依靠企業(yè)內(nèi)網(wǎng)平臺，一旦內(nèi)網(wǎng)出現(xiàn)故障，比如：中斷或阻塞，將直接影響企業(yè)業(yè)務(wù)的正常運轉(zhuǎn)，可見，可靠性在電信企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)中是至關(guān)重要的。

1.2 網(wǎng)絡(luò)的可管理性

企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)計要簡單、合理、易于開發(fā)，便于維護。當(dāng)出現(xiàn)網(wǎng)絡(luò)故障時要易于排除，以有效保障公司業(yè)務(wù)正常開展。

1.3 靈活性及可擴展性

隨著企業(yè)內(nèi)部業(yè)務(wù)的開展，客戶端數(shù)量會逐步增加，這終將導(dǎo)致企業(yè)內(nèi)網(wǎng)規(guī)模的進一步擴大，于是這就要求在設(shè)計網(wǎng)絡(luò)時要為日后的網(wǎng)絡(luò)擴展做好準(zhǔn)備，使最終的設(shè)計有足夠的彈性，在實際設(shè)計時，要在設(shè)備選型、網(wǎng)絡(luò)設(shè)計和應(yīng)用系統(tǒng)建設(shè)中充分體現(xiàn)這一原則。

2 企業(yè)內(nèi)部網(wǎng)絡(luò)構(gòu)架

對于電信企業(yè)內(nèi)部運行的相關(guān)管理系統(tǒng)，涉及到企業(yè)內(nèi)部的眾多部門，數(shù)據(jù)需要在各部門之間傳遞，來完成相應(yīng)的管理功能?；谝陨戏治?，我們在設(shè)計網(wǎng)絡(luò)架構(gòu)時，采用全交換三層網(wǎng)絡(luò)結(jié)構(gòu)，從整體上可以將網(wǎng)絡(luò)劃分為核心層，匯聚層，接入層三個層次，在此基礎(chǔ)上為企業(yè)各部門劃分專屬VLAN，同時在匯聚層采用三層核心交換機實現(xiàn)企業(yè)VLAN網(wǎng)絡(luò)之間的通信，這將大大改善了VLAN間通信質(zhì)量，三層交換機具有路由和交換兩種功能，而VLAN間通信就是通過其中的路由功能來實現(xiàn)的（圖1所示）。

3 企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)設(shè)計

3.1 核心層設(shè)計

核心層通常部署兩臺核心三層交換機，以實現(xiàn)內(nèi)網(wǎng)負載均衡和單點失效保護，核心交換機通常部署在企業(yè)中心機房。在企業(yè)核心三層交換機上對各部門客戶端將進行帶寬控制，以有效利用網(wǎng)絡(luò)資源。

3.2 匯聚層設(shè)計

匯聚層是指樓層交換機，通常部署在企業(yè)辦公樓的各樓層間，匯聚層通常采用無網(wǎng)關(guān)協(xié)議二層交換機，匯聚層應(yīng)使用與核心層相同結(jié)構(gòu)的冗余節(jié)點備份連接，每個匯聚交換機同時接入到兩個核心交換機，以實現(xiàn)最快速的路由收斂并避免黑洞產(chǎn)生。當(dāng)一臺接入交換機上行鏈路故障時，所有流量將從另一側(cè)的交換機上行，以增強網(wǎng)絡(luò)的可用性。如果一個樓層匯聚交換機的端口不夠用時，可以放置多臺交換機，通過堆疊的方式虛擬成一臺更多端口的匯聚交換機。對于可靠性要求高的網(wǎng)絡(luò)，也可在匯聚層放置冗余設(shè)備，以實現(xiàn)該層設(shè)備的負載均衡和單點失效保護。

3.3 接入層設(shè)計

三層架構(gòu)中的接入層通常是指各部門辦公室接入交換機，通常部署在各部門工作區(qū)內(nèi)，每臺接入層交換機與一臺或者多臺匯聚層交換機連接。桌面客戶端通過網(wǎng)線接入該層。在接入層采用二層交換機，并做一定措施分隔網(wǎng)絡(luò)風(fēng)暴。當(dāng)內(nèi)網(wǎng)用戶的數(shù)量增加時，可通過在接入層增加交換機，直接與匯聚層交換機相連提供擴展。

在接入層為企業(yè)內(nèi)網(wǎng)各部門客戶端統(tǒng)一安裝windows2003操作系統(tǒng)，同時全網(wǎng)采用域管理模式，優(yōu)點是可以為企業(yè)不同的用戶配置不同的訪問權(quán)限，例如，公司主管，網(wǎng)絡(luò)的訪問權(quán)限就應(yīng)較大，可以訪問核心部門的共享資源，以確保內(nèi)網(wǎng)安全。

4 企業(yè)內(nèi)部網(wǎng)IP分配與VLAN劃分

4.1 基于IP地址劃分VLAN

企業(yè)內(nèi)部網(wǎng)IP規(guī)劃是指為企業(yè)內(nèi)部網(wǎng)絡(luò)中的所有硬件設(shè)備，包括路由器、交換機、服務(wù)器、客戶端，分配一個唯一的IP地址，并為其指定適當(dāng)?shù)腣LAN，且為了以后的管理與擴展考慮，IP地址要符合網(wǎng)絡(luò)設(shè)計規(guī)范，還要有規(guī)律，容易記憶。此外，由于企業(yè)有若干個部門使用內(nèi)網(wǎng)，將來的組織結(jié)構(gòu)也可能有進一步的變化，因此，有必要對IP地址進行劃分，來建立若干個子網(wǎng)，制定靈活、可擴展、安全的IP地址分配策略，以便于網(wǎng)絡(luò)管理和增強網(wǎng)絡(luò)安全性。最后，在以上基礎(chǔ)上，還要建立一張企業(yè)內(nèi)部有效的IP地址、MAC地址、用戶名、主機名、所屬部門、網(wǎng)絡(luò)端口的對應(yīng)表格。這樣，在排除故障時，可以通過此表格，快速地定位出相應(yīng)IP地址所對應(yīng)的主機和人員，為以后企業(yè)網(wǎng)絡(luò)日常的維護管理提供了有效保障。

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種將局域網(wǎng)內(nèi)的設(shè)備從邏輯上劃分為不同網(wǎng)段的技術(shù)，VLAN可以將網(wǎng)絡(luò)劃分為不同功能相對獨立的工作組，從而實現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)。同一個VLAN中的成員都共享廣播，一個VLAN內(nèi)部的廣播和單播流量被限制在本VLAN之內(nèi)，不同VLAN之間廣播信息相互隔離。從而，將整個網(wǎng)絡(luò)邏輯地而不是物理地劃分成多個廣播域。隔離了廣播風(fēng)暴有助于控制網(wǎng)絡(luò)流量、簡化網(wǎng)絡(luò)管理、可以隔離各個不同VLAN之間的通訊來提高網(wǎng)絡(luò)的安全性。

4.2 企業(yè)內(nèi)部網(wǎng)采用VLAN的優(yōu)點

(1)簡化網(wǎng)絡(luò)管理，限制廣播域。即使同一交換機上連接的計算機，如果不處于同一VLAN，也不能互相訪問，從而有效控制網(wǎng)絡(luò)流量。

(2)提高內(nèi)網(wǎng)安全性。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。如果想連接，需要通路由器或三層交換機等三層設(shè)備。

(3)靈活構(gòu)建虛擬工作組。用VLAN劃分不同的用戶到不同的工作組。同一工作組的不必局限于某一個固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護更方便靈活。

5 網(wǎng)絡(luò)設(shè)備的選擇

5.1 核心層

采用兩個CiscoCatalyst4500交換機，提供冗余鏈路以實現(xiàn)內(nèi)網(wǎng)負載均衡。

5.2 匯聚層

采用兩個CiscoCatalyst3750E交換機，其提供自動配置智能網(wǎng)絡(luò)服務(wù)功能、支持融合網(wǎng)絡(luò)模式，能夠完美處理來自接入層設(shè)備的所有通信量，并提供到核心層的上行鏈路。

5.3 接入層

為各部門采用CiscoCatalyst2940交換機，其可在整個網(wǎng)絡(luò)范圍中提供企業(yè)級智能服務(wù)、先進的IP路由和以太網(wǎng)供電功能。由于接入層交換機的作用主要是提供終端用戶連接到網(wǎng)絡(luò)，因此，必須具有高端口密度和低成本特性。

6 企業(yè)內(nèi)部網(wǎng)使用及管理

企業(yè)內(nèi)部各部門客戶端及服務(wù)器操作系統(tǒng)要及時更新系統(tǒng)補?。òㄏ到y(tǒng)漏洞補丁、安全補?。?，以確保內(nèi)網(wǎng)終端設(shè)備的正常運行。同時，要制定相應(yīng)的上網(wǎng)策略進行帶寬管理、接入控制、上網(wǎng)行為控制、外設(shè)管理等功能。相應(yīng)的管理策略如下：

對于U盤、移動硬盤等移動設(shè)備在接入公司內(nèi)網(wǎng)之前，必須先進行查毒，殺毒檢測；

任何人未經(jīng)同意，不得使用其它部門的電腦；

對郵箱中的可疑郵件不要隨意打開，要先進行病毒檢測；

外來人員不得把終端設(shè)備（例如：筆記本等）接入企業(yè)內(nèi)網(wǎng)；

上網(wǎng)人員不得瀏覽與工作無關(guān)的網(wǎng)站，不得上網(wǎng)下載或以其他方式帶入任何未經(jīng)批準(zhǔn)使用的程序；

在企業(yè)核心三層交換機上對各部門客戶端將進行帶寬控制，以有效利用網(wǎng)絡(luò)資源；對企業(yè)的核心業(yè)務(wù)數(shù)據(jù)要定期做好備份與更新；

結(jié)語

目前，計算機網(wǎng)絡(luò)的應(yīng)用正處于一個飛速發(fā)展的時期，為適應(yīng)網(wǎng)絡(luò)的不斷發(fā)展和企業(yè)未來發(fā)展的需要，加強企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)是非常有必要的。企業(yè)應(yīng)該結(jié)合自身實際情況，確定本單位的具體建設(shè)目標(biāo)和實施方案，同時還要建設(shè)有效的使用和管理機制，充分發(fā)展企業(yè)內(nèi)部網(wǎng)絡(luò)的效果，這樣才能增強企業(yè)的競爭力，使企業(yè)始終處于不敗之地。

[1]張晶，中小型企業(yè)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案[J].黑龍江科技信息，2007.04X.

[2]羅晶，淺談企業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè) [J].理論界，2010(05).