中小企业网络的构建

中小企业网络的构建论文导读：网络作为企业信息化的重要组成平台。并在此基础上形成网络的拓扑结构。路由器作为互联网的节点设备。由于单个交换机的固定端口数量有限。服务器要求应该具有高可靠性和高可用性。网络操作系统(NetworkOperatingSystem 。关键词：网络，拓扑结构，路由器，交换机，服务器，操作系统0 引言我国信息化的方针是：统筹规划，资源共享。网络作为企业信息化的重要组成平台，与企业的业务结合越来越紧密，不仅可以提高管理的效率和水平，也为企业各类人员提供了丰富的信息服务。中小企业作为构成市场经济的主体，其网络的构建就显得尤为重要。企业网络是企业局域网与 Internet 相结合的信息交换平台，也就是说它主要有两个组成部分：互联网模块和局域网模块。鉴于对信息化建设的需求与建设中缺少范例平台的状况，在建设中存在着“散、乱、小”的现象，考虑到网络组建对企业发展的重要作用，本文以浙江省森林资源监测中心的网络建设为例，来详细说明其网络构建的原则、技术基础、方案选择、构建方法等，并在此基础上形成网络的拓扑结构。浙江省森林资源监测中心(为了方便起见，文中以后简称 ZJFR)于 2002 年在百兆局域网的基础上，通过租用杭州网通 HZCNC-BA-TX 的 1M 光纤与互联网进行了对接，并基于 HP NetServer LH3000 服务器，采用 Windows Server 2000 操作系统建立了WEB 和邮件服务，具备了最基本的网络构架1。目前，ZJFR 已有员工 72 人，随着业务的扩展，特别是大量空间数据的应用，原有的网络逐渐难以适应目前工作的需要。2010年 3 月，伴随新办公楼房的建成，兼顾网络建设的需要，对原有的网络硬件进行了换代扩建，对软件系统也进行了升级。现将网络的建设情况介绍如下，以飨读者。1 建网的原则企业网络的建设需要结合实际情况和当今的技术发展趋势，将现实需求和未来的发展方向相结合2，在一定的原则指导下进行，这些原则包括了：(1)先进性原则：采用先进成熟的技术，不仅有利于保护长远的投资，也降低了市场发展带来的风险；(2)独立性原则：网络结构的设置必须合理清晰，各个子系统内部的变更尽量不影响或少影响其它子系统的使用，以降低断网的几率，同样也便于日常的维护；(3)可扩充性原则：采用统一标准，保证良好的开放性，以便企业规模扩大时能够方便增加设备，同时，也可方便系统的升级换代。(4) 安全性原则：网络实现了信息共享，但需要针对不同信息类型和使用权限进行相应的隔离和过滤，以避免泄密和攻击等事件的发生。2 硬件设备2.1 路由器路由器作为互联网的节点设备，工作在网络层上，通过路由决定数据的转发，转发的策略也称作路由选择，这也是其名称的由来。由于它可作为不同网络之间互相连接的枢纽，因而成为基于 TCP/IP 协议的国际互联网络 Internet 的骨架。路由器的主要生产厂家有思科(Cisco)和华为等，而思科作为世界领先的互联网络厂商，不仅具有丰富的产品线，其独有的 IOS 系统，也成了业界规范。ZJFR 申请的互联网专线类型是浙江省电信有限公司的 10M 光纤，IP 地址分配资源如下：子网掩码：40网 关：93DNS ：56其中，92 和 07 为系统保留所用，所以实际可用的 IP地址为 13 个。由于地址数量的限制，局域网的 IP 地址采用了私有地址 192.168.x.y。当内部的客户机访问 Internet 时，此时的路由器作为网关，利用网络地址转换技术(NAT)，负责把私有地址转换为申请的有效地址，从而实现对公共网络的访问3。博士论文，交换机。目前使用的路由器为旧有的 Cisco 3725，对应申请的资源，在路由器上配置如下：interface FastEthernet0/0ip address 95 40interface FastEthernet0/1ip address 95 ip nat pool router 97 97 netmask 40ip nat inside source list 100 pool router overloadip nat inside source static 00 00ip nat inside source static 01 01ip route 93access-list 100 permit ip 55 any2.2 交换机传统的共享集线器，它是工作在 OSI 七层协议第一层上(物理层)，由于所有的网络用户共享同一带宽，随着用户数量的增多，会引起网络性能的下降，目前已逐渐退出市场；交换机的出现，则解决了集线器的瓶颈问题，它主要工作在第二层上(数据链路层)，由于交换机可以同时互不影响地传送信息包，从而提高了网络的实际吞吐量，在网络组建上，也表现出极大的灵活性；然而，由于所有的用户仍然处在同一广播域中，极易产生广播风暴，因此，VLAN(Virtual Bridged Local Area Network)技术的应用，就显得尤为重要，通过将网络划分为虚拟的 VLAN 网段，不仅可以强化网络管理和安全，也有效地控制了不必要的数据广播，由于不同 VLAN 网段间不可以直接通讯，必须借助于网络层来实现，所以它工作在第三层上4。由于单个交换机的固定端口数量有限，当其小于实际需求数量时，则需要多个交换机共同完成组网工作。多个交换机之间的连接主要有堆叠和级联两种方式。级联是通过网络端口来实现的，连接的结果是，不同的交换机仍然独立工作，级联数量的增多，必然也引起网络性能的下降；而堆叠则是通过专用的堆叠模块和线缆来完成，一般需要在同品牌设备间实现，在逻辑上它们共同组成一个网络管理设备，提高了端口密度和带宽。Cisco Catalyst 3750G-48T-S，作为一款适用于中型机构的创新千兆产品，其采用了独有的 StackWise 技术，具有高密度和 RIP、OSPF、EIGRP 等高级三层特性，在端口安全访问上也具有良好的功能，因此，ZJFR 购置了 2 台该设备，采用堆叠方式组成核心交换机。而同时，根据职能部门的划分情况，采用地址 192.168.x.y/24，进行了VLAN 划分(其中，x 为部门编号，y 为对应部门的客户端编号)。2.3 服务器及磁盘存储服务器要求应该具有高可靠性和高可用性，并具备容错技术，IBM 和 HP 无疑是服务器的首选品牌。与传统的通用塔式服务器相比，机架式对服务器的管理更具有优势，采用多电脑切换器 KVM(KeyBoard,Video and Mouse，KVM)以及电源分配单元(Power Distribution Unit，PDU)，结合机柜封装，可轻松部署、集成和管理，具有很大的灵活性。IBM X3650 M2，作为 IBM 的性能功耗比大幅提升的新一代 2U 服务器，采用了Intel 至强 5550 系列处理器，并最大支持 128G 的 DDR-3 内存。对应内部的 WEB、邮件和数据存储需要，ZJFR 采用了 3 台该设备，配置均为 2 个 4 核 X5500 处理器，16G内存，6 个 SAS 硬盘。正是由于采用了 64 位处理器技术，相对于传统的 32 位，使得可以进行更大范围的整数运算，也可以支持更大的内存。IBM DS3200 磁盘存储系统，采用了 3Gbps 的 SAS 接口，可安装 12 个 SAS 或SATA 硬盘，并且可以采用 EXP3000 进行扩展，借助 SAS HBA PCI-E 控制器，可轻松与服务器进行连接。因此，文件及数据库采用了该设备进行管理。配置为 12 个 1TB 的SATA 硬盘。RAID(Redundant Array of Independent Disk)，是“独立磁盘冗余阵列”的缩写，它允许将多个磁盘分组，可提供数据保护所必需的数据冗余，同时也可以改善性能，常用的 RAID 级别有 0、1 、5、10 等。RAID0 采用“条带”(striping)技术，允许从多个磁盘上同时存取信息，因而是一个没有冗余的高性能选择；RAID1 也被称为镜像，与 RAID0刚好相反，追求的是最大的冗余度，采用 2 个硬盘以双工的方式将一个磁盘上的数据同时复制到另外一个磁盘上，具备最高的数据安全性；RAID5 不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到组成 RAID5 的各个磁盘上，当 RAID5 的一个磁盘数据发生损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据，RAID5 可以理解为是 RAID0 和 RAID1 的折衷方案；RIAD10 则同时集中 0 和 1 的优点，不仅数据跨盘存取，而且每个磁盘都有一个镜像。比较 RAID 的各个级别，在综合考虑性能和安全性的基础上，对磁盘的阵列级别选择了 RAID10。2.4 防火墙防火墙是为了保护内部网络免受外部攻击的防护设备，它是一个广义上的称呼，根据防护的侧重点不同，主要分为传统的 DOS(拒绝服务攻击)防火墙和垃圾邮件防火墙等。(1) 传统的防火墙作为逻辑上的过滤器、限制器和分析器，防火墙已成为内部网络与互联网之间交互的必备的隔离安全保护层。在部署模式上，一般有工作在三层协议上的 NAT 和路由模式、基于二层协议的透明模式三种方式。在防火墙上，实现了以下功能：各种攻击行为的监测，如 Tear-drop、syn-flood、ping-of-death、udp-flood 等；设置外部用户对内部资源的访问权限，如只允许对 WEB 和邮件服务器相关端口的访问；约束内部用户对互联网资源的访问，如对一些游戏、股票、下载等端口的屏蔽等。在淘汰原有的 NetScreen-25 后，更换的设备采用了 Juniper SSG520M。博士论文，交换机。(2) 反垃圾邮件网关当今的垃圾邮件和病毒传播速度快、范围广，通过对 ZJFR 的 2010 年 4 月 22 日至5 月 12 日期间的邮件统计分析，有效邮件的比例仅为 0.63%，而垃圾信息的比例高达98.94%，这就要求采取自适应的系统，以快速响应的方法来保护邮件服务的正常运行。反垃圾邮件网关是只对邮件数据包进行过滤的防火墙，该产品主要有梭子鱼(Barracuda)、迈克菲(McAfee)等，两款产品都基于 Linux 系统，通过“蜜罐”原理，经过多层过滤机制，二者对垃圾邮件的识别率分别达到了 98%和 99%。ZJFR 采用的 McAfeeEmail and Web Security Appliance 3000 型号，运行的系统为 5.5 版本，从采用后的跟踪结果来看，也验证了其有效的防护性能。2.5 其它其它的与硬件有关的部分，如网络线路采用了康普(CommScope)SYSTIMAX 6 类双绞线，而一些公用的打印输出设备，则通过配置 IP 地址，在交换机上定义访问策略，保证了拥有许可权限用户的访问。3 软件3.1 操作系统网络操作系统(Network Operating System，NOS)，是向网络计算机提供网络通信和网络资源共享功能的操作系统。通常网络操作系统都是运行在服务器之上的，所以有时也把它称为服务器操作系统。博士论文，交换机。目前使用较多的是Windows、UNIX、Linux 等。UNIX 是通用、多用户、多任务的分时操作系统，具有移植性好、高可靠性的特点，主要用在大型设备上；源代码开放的 Linux，具备许多 UNIX的功能和特点，却无需 UNIX 的高额费用，但是应用软件支持不足；全球最大的软件开发商 Microsoft 开发的 Windows 系列，因为其具备统一的图形窗口界面和操作方法，有着易用性和兼容性、丰富的应用程序等特点，性价比也高，因此拥有最大的用户群。根据权威市场调研机构 Net Application 于 2010 年 5 月的统计数据，Windows 市场份额为91.28%，而 Linux 只有 1.13%，因此，Windows 平台在中小网络组建中成为首选。作为最新版本的服务器操作系统，Windows Server 2008 包括了以下几个版本：Standard(标准)、Enterprise(企业)、Datacenter(数据中心)、Web(WEB 服务器) 、Itanium(安腾版)5。其中 Itanium 版本针对 Itanium CPU，而 WEB 版则只包含了WEB 应用部分，因此，选择的局限在前三者。在硬件允许的前提下，决定其选择的主要因素往往是价格，而企业版从性价比来说，往往成为最优选择。对于每个版本，同时存在32 位和 64 位平台，随着 64 位时代的到来，64 位计算架构已是大势所趋，其寻址内存大大增加，突破 4G 内存的限制。以 ZJFR 采用的企业版为例，其支持多达 8 个 CPU，对内存的支持也达到了 2TB。博士论文，交换机。活动目录是 Windows Server 2008 网络体系的基本结构模型，也是其核心支柱。活动目录是动态的，以树状层次结构，包含服务功能的目录，经过安装后，服务器升级为域控制器。ZJFR 网络以申请的域名 为基础(备案号为：浙 ICP 备 05004506 号)，建立 DNS 服务器 ，采用 IP 地址为 00，并以此为核心来实现网络的组建。3.2 DNS、IIS 与网站建设DNS 是负责把难记的 IP 地址转换成简明易记的域名，DNS 服务器在网络组建中是一项重要的内容，承担了域名解析的任务，它由各种资源记录组成，其中常用的为主机记录和邮件交换器记录。由于 WEB 服务可以轻松地实现信息共享和资源分享，通过超文本传输协议，基于请求/响应模式，使得访问客户极易实现与网站的交互操作。而 Windows Server 2008 所附带的 Internet InformationServer (IIS)7.0 则是目前最流行的 WEB 服务器产品之一，它提供了一个图形界面的管理工具，用于监视和配置 Internet 服务，很多应用系统，也是基于它来实现，如 Exchange Server2007 等。由于 IIS7 采用了模块化思路，在降低安全隐患的同时，性能也得到了增强，ZJFR 的网站 亦采用它进行创建。其它的 WEB 服务器系统还有 WebSphere、Apache 等。对应申请的域名，分别在两台服务器上建立主机记录： 00 01由于具备两个域名，需要对各个域名向主域名产生映射，因此在 上的default.htm 文件中进行定义，从而实现向主域名 的自动跳转：根据林业调查规划、森林资源和环境监测的需要，ZJFR 的网站以浙江省森林资源为特色，包括了中心概况、新闻动态、通知公告、技术规程、项目成果、林业科技、下载中心、技术论坛等内容，极大地宣传了林业调查工作，也方便了基层林业部门的信息访问需求。博士论文，交换机。3.3 邮件系统邮件作为日常工作中不可缺少的内容，成为业务联系的主要途径之一，而采用自己的域名作为邮件后缀创建自己的邮件服务器更是具有诱惑力。邮件交换器记录是用于将域名映射为交换或转发邮件的计算机名称，该 MX 记录用于在目标地址中使用 DNS 域名为客户机的访问定位邮件服务器。电子邮件在发送与接收过程中都要遵循 SMTP 和 POP3 协议，它们分别负责电子邮件的发送和接收，所使用的 TCP 端口分别为 25 和 110。采用01，建立了邮件服务器 ，并搭建了邮局。Microsoft Exchange Server 2007 作为全新的信息管理平台，它的主要功能是信息管理和协同作业6。它可以集成 Windows Server 2008 的用户库，不仅可以通过OutlookExpress 进行收发操作，也可以采用 Microsoft OWA 进行管理，访问方式为/owa。3.4 数据库系统与磁盘存储配额空间在常用的关系型数据库中，Oracle 和 SQL Server 为主流产品。相比于 Oracle 高昂的购买费用、日常维护成本以及使用的复杂性，SQL Server 在中小型规模表现出了高性价比，在功能、可伸缩性、性能、易用程度上都成为理想的选择。不仅网站需要通过数据库来存贮数据，瑞星杀毒软件的日志也需要保存，另外，主要业务数据都利用它进行存储管理并提供访问服务。SQL Server 也拥有多个产品系列，常用的主要有Standard、Enterprise 等，而每个版本又分为 X86、X64 和 IA64 不同的类型，以满足不同的需要7。根据操作系统平台，服务器的环境以及业务数据量的需要，ZJFR 选购的是标准版(Microsoft SQL Server 2008 Standard Edition X64/2 Proc)。利用 Windows 的 NTFS 功能，按照磁盘配额的方式根据不同用户的需求，在 IBM DS3200 上为每位员工划分了独立的磁盘空间，并设置了磁盘配额限制和警告级别，以利用其 RAID10 的安全性，保证工作人员数据的异地备份数量，避免重要文件因意外故障而损坏或丢失。3.5 病毒防护计算机病毒由于其传染、破坏、隐蔽、触发等特点，成为威胁网络安全的主要因素之一，因此利用反病毒软件，对其进行监控识别、扫描、清除成为网络安全的重要保障。常见的反病毒软件主要有瑞星(Rising)和诺顿(Norton)等。而拥有自主知识产权的国产软件瑞星，不仅拥有全面的产品系列，并成为微软 MAPP(Microsoft Active Protection Program)的合作伙伴，因此对 Microsoft 产品系列具备及时跟踪更新的优势。瑞星的软件分为个人和企业两种不同的版本，企业版本根据用户规模不同，也分为不同的级别。ZJFR 所采用的 Rising 2010 企版，包括了系统中心、服务器端、客户端、管理控制台等组成部分，从而实现了同一管理的安全策略，保障了整个网络的安全。4 网络拓扑结构建筑物综合布线(Premises Distribution System,PDS)是建筑技术与信息技术相结合的产物，也是网络组建的工程基础。一般将网络划分为工作区、水平布线、干线、设备间、管理、建筑群等子系统8-9，根据所选择的硬件设备和软件系统, 以康普 6 类非屏蔽双绞线为连接线路，最后形成网络拓扑结构(见图 1)。由于组建的网络为千兆速率，与百兆速率相比，对应的网络设备端口密度大，功率高，散发的热量也大，因此，保证在正常温度环境下，是其稳定运行的重要保障条件。由于建筑里所有的工作区距离设备间(中心机房)的距离均在 100 米以内，因此，在布线工程中，并未将干线与水平线进行区分，而是由工作区直接到设备间，这样不仅节省了成本，也保证了网络的稳定性。传统的分支交换机一般属于管理子系统范畴，多采用了建筑中的弱电井存放，这很难保证网络设备的温度条件以及无尘要求。4.1 服务器地址对于 WEB 和邮件服务器，由于在物理位置上都位于网络内部，采用的也是私有地址，因此，在路由器上采用 NAT 技术与公网地址进行了转换，分别为：00/0001/01数据库服务器和一些公用的输出设备，则仅限于内部访问，因此，只设置私有地址，并与服务器公用一个网段。4.2 防火墙安装模式对所有的防火墙设备，为了降低管理的复杂程度，均采用了透明(transparent) 模式，这样增加了设备的独立性，其改动也不会影响其它的网络设备。为了对其管理，在Juniper SSG520M 上，通过对 VLAN1 设置地址 94；在 McAfee Email and Web Security 3000 上设置 IP 地址 01，分别对这些设备进行日常维护。4.3 VLAN 划分由于核心交换机采用了 2 台 Cisco Catalyst 3750G-48T-S 堆叠而成，为了避免网络广播风暴，并对不同部门的访问权限进行不同区分，按照不同的职能部门，对端口进行了 VLAN 划分。基于端口是从物理层进行的划分方式，也是最常用的方式，配置起来也最为简单，详细定义如表 1。另外，为了防止 IP 地址的非法盗用，避免用户随意修改地址而引起冲突，在交换机上对 MAC 和 IP 地址进行了绑定，从而实现了专人专用 IP 的管理制度。以交换机 1 上的 11号端口为例，其 MAC 地址为 0024.7e6b.c854，IP 地址为 ，在交换机上配置如下：图 1 网络拓扑结构图表 1 VLAN 划分表VLAN 部门 地址 网关 VLAN 部门 地址 网关1 公共 192.168.0.x/24 40 评估 192.168.40.x/24 10 信息 192.168.10.x/24 50 技术 192.168.50.x/24 20 资源 192.168.20.x/24 60 办公室 192.168.60.x/24 30 规划 192.168.30.x/24 70 领导 192.168.70.x/24 (1) 建立 MAC 地址访问控制列表mac access-list extended mac1011permithost 0024.7e6b.c854 anypermitany host 0024.7e6b.c854(2) 建立 IP 地址访问控制列表ip access-list extended ip1011permitip host anypermitip any host (3) 在端口上应用定义的访问列表interface GigabitEthernet1/0/11switchportaccess vlan 10ipaccess-group ip1011 inmacaccess-group mac1011 in同理，可以对所有的与交换机连接的设备进行端口、MAC、IP 三者的绑定操作。5 讨论本文只是针对中小企业规模的机构进行了论述，在此基础上，