连晓
摘要:企业网络化建设作为信息化建设的基础日益受到重视,该文通过研究了企业内部网络相关网络技术,提出了一个内部网络设计的方案,根据现状和需求定义了该企业内部网络的设计稳定性和可靠性、应用可扩展性、带宽稳定性以及网络安全等原则,并在此基础上完成企业内部网络的设计与实现。
关键词:企业;网络规划;设计与实现
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)17-3994-02
1 研究背景与意义
自上个世纪90年代起,企业网络化建设作为信息化建设的基础日益受到重视,企业通过网络建设使用计算机来管理企业生产、经营和管理过程中的各类数据,以此来减轻人工负担并降低成本。但是由此产生的信息孤岛问题使越来越多的企业开始重视企业内部的网络化建设,但是在规划设计上大多数企业过于简单,导致实现中网络的可扩展性、安全性和稳定性等方面并没有得到充分应用。因而本文通过相关研究为企业探索构建一个可扩充、稳定的、相对安全的、并且可以支撑必要的网络应用的内部网络。
2 企业网络规划的关键技术
目前企业内部网络规划的关键技术主要包括网络标准(802.3标准)、网络拓扑结构、网络互联协议、网络互联设备等内容。其中在802.3标准协议集中定义了双绞线和光纤两种传输介质以及10 Mbps、100 Mbps、10000 Mbps、1 Gbps四种传输速度;网络拓扑结构用于描述网络设备的互联方式以及物理布局,典型结构包括星型结构、环形结构、总线结构和混合结构;目前流行的互联网协议主要有开放系统互联七层参考模型ISO/RM和TCP/IP网络互联协议族;网络互联设备主要包括集线器、中继器、交换器、路由器和网关,[1]交换机和路由器是常用的互联设备,交换机作用于数据链路层的地址进行数据交换,而路由器工作在网络层提供基于网络层地址的网络传输路径选择。
3 企业内部网络规划的设计
3.1企业网络规划设计的安全风险分析
针对企业网络的特点,企业网络建设过程中面临的安全风险主要包括网络物理是否安全、网络平台及系统是否安全、应用和管理是否安全等方面,这要求企业要制定健全安全管理制度,对于企业的网络拓扑结构、网络路由状况及环境进行合理的设计,及时修补系统可能出现的漏洞,对于在开发时以加密的方式解决应用安全性的威胁,此外企业需要建立新的安全机制以实现管理制度和管理解决方案的有效结合。
3.2企业网络规划设计的原则
基于对网络发展的需求分析和网络建设的要求分析,规划设计时首先要保证网络的稳定和可靠性,不仅要有可靠的网络设备和传输介质和施工质量,也要能够及时监测、处理网络运行中的问题;其次,设计要容易扩充,既能保证节点容易扩充,也能方便在网络上扩展应用;然后,要保证传输的带宽,使用具有更高带宽的设备和传输介质,满足未来包括视频、语音的应用;最后是网络安全控制和监测管理,要保证网络结构中重要节点的安全以及网络传输过程中信息的安全,进行有效的逻辑划分保证数据不会被窃取或者病毒感染,[2]此外,企业内部还应设置实时的网络监测和管理,这既包括被动的网络监听告警,也包括主动的网络状况探测和检测。
3.3企业内部网络规划的设计
首先,划分网络层次。按照网络的流量模式和终端用户的分组方式将网络划分为接入层、汇聚层和核心层三层,接入层直接面向用户连接,管理终端用户的网络接入,采用合理价格成本的设备,保证接入端口的数量并且能够易于扩展;汇聚层是多个接入层的汇聚点,需要接入性能更好的网络设备以保证大数据量的传输,主要用于集中处理接入层的通信数据,并将数据发送到核心层;[3]核心层是网络的主干部分,负责数据的快速转发。
其次,网络拓扑结构上混合星型拓扑结构和总线型拓扑结构结构的混合方式。在接入层采用星型结构,利于网络规模的扩充,考虑到未来可能提供的WiFi信号以及终端查询服务,可在实际建设中在各部门配置相应得交换机;在汇聚层,各个汇聚交换机之间采用总线的结构,便于逻辑结构的划分,对于核心层路由器可以隔离广播域,减少网络风暴的形成,设计时由三个路由器组成,其中有两个路由器分别与汇聚层相连,剩下一个与Internet网络相连。考虑到安全性要求,在内部网络和外部Internet间设立防火墙。三个路由器中每两个都相互连接,实现冗余连接,
最后,如果需要在企业外部访问企业内网,可以通过VPN技术进行接入, VPN可以通过隧道技术、加密技术和身份认证技术让任何两个节点之间都不是通过具体的物理链路进行连接的,而是建立在网络服务提供商提供的基于网络平台的虚拟逻辑链路,从而保证访问的安全性。
4 企业内部网络规划的实现
4.1企业网络规划设计原则的实现
网络建设的稳定可靠方面,在设计实现时核心骨干网节点采用冗余连接,用交换机隔离冲突域、路由器分离广播域;网络可扩展型方面在接入层采用星型结构,并且以交换机作为接入层的互联设备;传输带宽方面租用高速的ADSL专线,隔离广播域和冲突域,通过减少广播报文间接增加有效带宽,采用分层结构,保证核心层专注网络数据的传送,提高数据转发速度;在安全性和监测管理方面,使用VPN技术和VLAN划分,增加备份数据服务器,在内部网络和外网之间增加防火墙,为服务器增加UPS保障断电时可以正常关机,[4]监测方面增加网络管理节点,对网络状态实施监控或者使用VPN远程接入。
4.2企业内部网络规划的实现
对于企业的内部网络,首先对其三个层次的网络结构进行划分:在接入层将公司的各个行政部门例如财务部、人事部、销售部等分部门的网络接入,在汇聚层对包括对总公司各个部门的接入层进行汇聚以及对各接入层进行汇聚在核心层连接了服务器群和汇聚层,保证网络上的各种应用对数据的快速访问并提供服务器群到汇聚层的数据转发。endprint
在具体网络实现中为了提供更好的安全性,减少不必要的网络流量,应该把各个处于同一层次的节点使用VLAN进行隔离,运用VLAN对整个网络进行划分,路由器的配置中注意接口配置、动态路由协议配置和SNMP协议配置;最后为了保证企业内部网络安全的安全应该关闭多余的服务和端口、避免多个应用之间的相互影响、定期备份数据、控制信息的导入和导出、禁止内部网络直接与Internet相连,[5]对于特殊的外网需求采用VPN技术进行解决。
4.3企业内部网络实施的建议
在企业的内部网络的运行过程中,网络安全一直是企业内部网络规划和建设所需要重视的问题,据相关调查研究发现,目前企业内部网络运行过程中所受到的安全威胁,约60%的威胁额完全来自于系统内部,为保证企业内部网络设计和实施的安全,提出以下建议:
首先,企业尤其是中小型企业要尽量避免多个应用之间的相互影响,由于大多数小型企业受规模和资金限制,通常会在一个服务器或主机上安装多个应用或者在同一个数据库上安装多个应用的数据库系统,在此情况下如果一个应用被病毒感染时,会不可避免地造成其他应用也被感染,或者一个应用占用过多资源也会影响其它应用的运行。其次在建设过程中要关闭多余的服务和端口,以避免开放某些没有实际意义的服务和端口成为黑客攻击的目标。再次企业应该定期备份数据以避免数据的损坏和丢失,可采用RAID存储架构或者双机间的相互备份,确保数据的及时恢复以及应用的政策运行。最后要控制信息的导入和导出,并禁止内部网络直接与外网相连,通过专用计算机导入和导出信息以控制信息的对外流动性,在与外网连接时可以设置一个单独的局域网用于与外网相连接,通过设置防火墙避免内网和外网的直接连接可以有效防止信息泄露。
5 结束语
当前社会企业的信息化建设,尤其是网络的建设对于企业发展具有重要影响,该文通过研究了企业内部网络相关网络技术,提出了一个内部网络设计的方案以及稳定可靠、容易扩充、保证带宽、安全控制、监测管理等原则,在此基础上根据现状和需求从网络层次划分和网络拓扑结构两个方面规划了企业内部网络的设计方案,特别考虑到企业内部网络安全的相关问题,通过本文的研究为企业尤其是中小企业的内部网络建设提供一条经济可行的道路和实际建设的经验。
参考文献:
[1] 张胜.分布式企业内部网络的构建与分析[D].郑州:郑州大学,2009(5):10-15.
[2] 李长英.企业内部网络的规划设计与实现[D].吉林:吉林大学,201303:10-25
[3] 杨晓静,张玉,徐济仁,吕久明.协议TCP/IP和OSI/RM的深入分析[J].计算机工程,28(11):263-267.
[4] 曹胜华.集团企业网络架构及安全部署的设计与实现[D].长沙:中南大学,2010
[5] 谭忠理.试析企业网络安全的现状及安全策略[J].中国公共安全,2008,9(02-03):119-124.endprint