江泽峰
(中国电信股份有限公司广东分公司,广东 汕头 515000)
21 世纪是信息化的时代,计算机网络技术的发展为国内企业繁荣发展提供了巨大的机会,网络已经成为企业获取信息的重要途径。在这样的形势下,企业单位迫切需要建立企业内部网络系统,在提高企业管理效率,为各类应用系统提供安全、稳定、可靠的工作环境,满足各种数据传输的需求、降低成本,为实现企业在21世纪成为市场的赢家,在信息化方面奠定了坚实的基础。
电信行业企业内部相关行业软件的运行,以及各部门资料的共享都要依靠企业内网平台,一旦内网出现故障,比如:中断或阻塞,将直接影响企业业务的正常运转,可见,可靠性在电信企业内部网络建设中是至关重要的。
企业内部网络设计要简单、合理、易于开发,便于维护。当出现网络故障时要易于排除,以有效保障公司业务正常开展。
随着企业内部业务的开展,客户端数量会逐步增加,这终将导致企业内网规模的进一步扩大,于是这就要求在设计网络时要为日后的网络扩展做好准备,使最终的设计有足够的弹性,在实际设计时,要在设备选型、网络设计和应用系统建设中充分体现这一原则。
对于电信企业内部运行的相关管理系统,涉及到企业内部的众多部门,数据需要在各部门之间传递,来完成相应的管理功能。基于以上分析,我们在设计网络架构时,采用全交换三层网络结构,从整体上可以将网络划分为核心层,汇聚层,接入层三个层次,在此基础上为企业各部门划分专属VLAN,同时在汇聚层采用三层核心交换机实现企业VLAN网络之间的通信,这将大大改善了VLAN间通信质量,三层交换机具有路由和交换两种功能,而VLAN间通信就是通过其中的路由功能来实现的(图1所示)。
核心层通常部署两台核心三层交换机,以实现内网负载均衡和单点失效保护,核心交换机通常部署在企业中心机房。在企业核心三层交换机上对各部门客户端将进行带宽控制,以有效利用网络资源。
汇聚层是指楼层交换机,通常部署在企业办公楼的各楼层间,汇聚层通常采用无网关协议二层交换机,汇聚层应使用与核心层相同结构的冗余节点备份连接,每个汇聚交换机同时接入到两个核心交换机,以实现最快速的路由收敛并避免黑洞产生。当一台接入交换机上行链路故障时,所有流量将从另一侧的交换机上行,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于可靠性要求高的网络,也可在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。
三层架构中的接入层通常是指各部门办公室接入交换机,通常部署在各部门工作区内,每台接入层交换机与一台或者多台汇聚层交换机连接。桌面客户端通过网线接入该层。在接入层采用二层交换机,并做一定措施分隔网络风暴。当内网用户的数量增加时,可通过在接入层增加交换机,直接与汇聚层交换机相连提供扩展。
在接入层为企业内网各部门客户端统一安装windows2003操作系统,同时全网采用域管理模式,优点是可以为企业不同的用户配置不同的访问权限,例如,公司主管,网络的访问权限就应较大,可以访问核心部门的共享资源,以确保内网安全。
企业内部网IP规划是指为企业内部网络中的所有硬件设备,包括路由器、交换机、服务器、客户端,分配一个唯一的IP地址,并为其指定适当的VLAN,且为了以后的管理与扩展考虑,IP地址要符合网络设计规范,还要有规律,容易记忆。此外,由于企业有若干个部门使用内网,将来的组织结构也可能有进一步的变化,因此,有必要对IP地址进行划分,来建立若干个子网,制定灵活、可扩展、安全的IP地址分配策略,以便于网络管理和增强网络安全性。最后,在以上基础上,还要建立一张企业内部有效的IP地址、MAC地址、用户名、主机名、所属部门、网络端口的对应表格。这样,在排除故障时,可以通过此表格,快速地定位出相应IP地址所对应的主机和人员,为以后企业网络日常的维护管理提供了有效保障。
VLAN(Virtual Local Area Network)即虚拟局域网,是一种将局域网内的设备从逻辑上划分为不同网段的技术,VLAN可以将网络划分为不同功能相对独立的工作组,从而实现虚拟工作组(单元)的数据交换技术。同一个VLAN中的成员都共享广播,一个VLAN内部的广播和单播流量被限制在本VLAN之内,不同VLAN之间广播信息相互隔离。从而,将整个网络逻辑地而不是物理地划分成多个广播域。隔离了广播风暴有助于控制网络流量、简化网络管理、可以隔离各个不同VLAN之间的通讯来提高网络的安全性。
(1)简化网络管理,限制广播域。即使同一交换机上连接的计算机,如果不处于同一VLAN,也不能互相访问,从而有效控制网络流量。
(2)提高内网安全性。不同VLAN不能直接通信,杜绝了广播信息的不安全性。如果想连接,需要通路由器或三层交换机等三层设备。
(3)灵活构建虚拟工作组。用VLAN划分不同的用户到不同的工作组。同一工作组的不必局限于某一个固定的物理范围,网络构建和维护更方便灵活。
采用两个CiscoCatalyst4500交换机,提供冗余链路以实现内网负载均衡。
采用两个CiscoCatalyst3750E交换机,其提供自动配置智能网络服务功能、支持融合网络模式,能够完美处理来自接入层设备的所有通信量,并提供到核心层的上行链路。
为各部门采用CiscoCatalyst2940交换机,其可在整个网络范围中提供企业级智能服务、先进的IP路由和以太网供电功能。由于接入层交换机的作用主要是提供终端用户连接到网络,因此,必须具有高端口密度和低成本特性。
企业内部各部门客户端及服务器操作系统要及时更新系统补丁(包括系统漏洞补丁、安全补丁),以确保内网终端设备的正常运行。同时,要制定相应的上网策略进行带宽管理、接入控制、上网行为控制、外设管理等功能。相应的管理策略如下:
对于U盘、移动硬盘等移动设备在接入公司内网之前,必须先进行查毒,杀毒检测;
任何人未经同意,不得使用其它部门的电脑;
对邮箱中的可疑邮件不要随意打开,要先进行病毒检测;
外来人员不得把终端设备(例如:笔记本等)接入企业内网;
上网人员不得浏览与工作无关的网站,不得上网下载或以其他方式带入任何未经批准使用的程序;
在企业核心三层交换机上对各部门客户端将进行带宽控制,以有效利用网络资源;对企业的核心业务数据要定期做好备份与更新;
目前,计算机网络的应用正处于一个飞速发展的时期,为适应网络的不断发展和企业未来发展的需要,加强企业内部网络建设是非常有必要的。企业应该结合自身实际情况,确定本单位的具体建设目标和实施方案,同时还要建设有效的使用和管理机制,充分发展企业内部网络的效果,这样才能增强企业的竞争力,使企业始终处于不败之地。
[1]张晶,中小型企业网络系统设计方案[J].黑龙江科技信息,2007.04X.
[2]罗晶,浅谈企业网络系统建设 [J].理论界,2010(05).