靳海花
[摘 要]针对绝大多数中小型企业集中办公这一现实特点,就其网络设计进行分析,以满足中小型企业网络实用性、安全性与扩展性的主要要求。
[关键词]中小型企业;集中办公;网络设计;
随着信息技术的发展,中小型企业的业务将进一步电子化,网络已走进大大小小的企业,针对绝大多数中小型企业集中办公这一现实特点,就其网络设计进行分析,以满足中小型企业网络实用性、安全性与扩展性的主要要求。
一、网络系统的要求
1.功能性:先进的体系结构和设备;成熟的技术;足够的备份冗余;具备必要的容错能力。
2.可扩展性:产品选型和设计时要考虑已经能预见升级方向,提供的扩展方案要保护现有设备投资。
3.实用性:对安全、管理和功能等方面的设计不应损害用户使用网络的便利性,不降低用户网络的业务服务质量和通讯性能,网络功能和服务是方便实用、切实可行的。
4.可管理性:网络的建设必须保证网络运行的可管理性。要求可发现网络拓扑、实时监控网络性能、管理维护设备配置,并可迅速简便地进行网络故障的诊断。整个网络系统必须满足便于安装、便于管理、便于维护、便于使用的要求。
5.安全性:网络的各个环节要尽可能多的提供安全保密措施,以此来保证数据传输的可靠性。
6.经济性:在满足系统需求的前提下,节省投资,即选用性能价格比优的设备。
二、网络拓扑结构
一个中小型企业具有多部门、多业务、多用户的特点,为了满足不同用户、不同类型网络应用程序的需要,应该采用分层架构设计,即核心层、分布层(汇聚层)和接入层。这样一来,既简化了交换网络设计,又提高交换网络的可扩展性。
1.核心层。核心层通常只有一台交换机,核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的网内数据交换。核心层一直被认为是流量的最终承受者和汇聚者,所以要求核心交换机拥有较高的可靠性和性能。
2.分布层 。分布层一般是2~3台交换机,主要负责连接接入层接点和核心层中心,汇集分散的接入点,扩大核心层设备的端口密度和种类,分布各区域数据流量,实现骨干网络之间的优化传输。分布交换机还负责本区域内的数据交换,分布交换机一般与中心交换机同类型,仍需要较高的性能和比较丰富的功能。
3.接入层。接入层作为二层交换网络,提供工作站等终端设备的网络接入。接入层在整个网络中部署交换机的数量最多,它具有即插即用的特性。
三、网络vlan技术的应用
现行普通的网络解决方案是建一个大局域网,所有电脑同出于一个局域网内,这样的组网方式优点是非常简单,而且技术上容易实现;但是随着接入点的逐渐增多、业务对带宽的需求和人们对网络访问速度需求的膨胀,这样的组网方式缺点不可避免的暴露出来:广播风暴大量产生会造成网络拥塞,极大降低网络访问速度;数据传输是共享的,而一些关键部门的数据是不希望被大多数人知道或者是不能让外人知道的,这是一个潜在的科技风险;方便数据传输的同时也容易造成病毒肆虐,从而影响整个局域网络安全,这又是一个潜在的科技风险。例如局域网遭受ARP病毒攻击,不仅影响安全还会造成网络拥塞。
为此,提出一种新的组网方式,即采用虚拟局域网(vlan)技术组网。基于端口划分VLAN工作组,不仅可以将每个组的广播风暴限制在指定端口,做到隔离广播风暴,而且VLAN工作组彼此不能直接通信,保证数据传输安全,也限制病毒在局域网内的传播。通过这样的组网方式,真正实现打造“千兆到楼宇,百兆到桌面”网络环境的设计理念。
四、网络的冗余性
一个好的中小型企业网络设计方案目的是实现网络访问高速度、高可靠、高安全,设计链路和设备冗余是必要的。在网络环境中设置这样的冗余既可以避免单点故障造成的网络瘫痪,也可以实现负载均衡,从而达到设计目的。
在设计时应考虑为网络留有适当的冗余度,硬件设备应具备一定的冗余模块,以提高网络容错能力。
接入层交换机与分布层交换机的连接采用链路冗余备份,分布层交换机与核心层交换机的连接是设备冗余——双机热备份。最后,核心层交换机通过边界路由器接入Internet网,实现局域网与外网的连接。通过这样的链路和设备冗余,从而达到网络访问高速度、高可靠、高安全目的。
接入层交换机和分布层交换机、分布层交换机和核心层交换机以及核心层交换机与路由器连接的本端端口都是线路连接的主干道,应设置为trunk口;核心层交换机与路由器连接的对端端口为该局域网的网关端口,其上加载的IP地址为该局域网的网关IP地址。
五、网络设计的容错性
1.设备容错性:所选用设备必须具有全容错结构,一台设备中单个电源、单个风扇的故障不影响设备工作,单个模块的故障不影响其它模块的正常工作;设备应具有热修复能力,即当设备的某些部件发生故障时,可以带电更换而不影响设备其它部件工作,新更换部件可直接投入工作而不必重新引导整个设备。
2.网络结构容错:不能因某台设备的故障而影响到整个主干网络的正常运行;任意一条链路的中断不能使得主干网络的任何部分中断工作。
六、安全防护
安全防护包括设备物理安全、网络安全和日常维护等工作。具体情况如下:
设备物理安全:所有设备应放置在指定安全位置,做到防水、防火、防盗、防潮、防磁、防辐射、防雷击、防静电等。
网络安全:局域网内采用划分vlan工作组和要求接入点设备都安装防病毒软件来实现,边界路由器通过设置ACL访问控制列表来实现网络安全。
日常维护:建立日常巡查制度,及时发现网络运行中的故障并排除,甚至可以安装网络监测系统,如入侵防御系统(IPS),发现有人恶意接入网络时能自动报警。
七、网络设备的选型
网络设备选型原则:可靠性、安全性、先进性、实用性、开放性、可扩充性和灵活性。
全网最好使用同一厂商网络设备,这样可以实现各种不同网络设备的互相配合和补充,避免因不同厂商网络产品规格不一,带来的不必要的麻烦。硬件设备在质保期内应由供应商给予维护,网络管理员应平时加强学习,总结常见故障及排除方法,熟练掌握交换机、路由器设备配置命令。