中小企业网络的构建-论文

1、中小企业网络的构建论文导读：网络作为企业信息化的重要组成平台。并在此基础上形成网络的拓扑结构。路由器作为互联网的节点设备。由于单个交换机的固定端口数量有限。服务器要求应该具有高可靠性和高可用性。网络操作系统(NetworkOperatingSystem。关键词：网络，拓扑结构，路由器，交换机，服务器，操作系统0 引言我国信息化的方针是：统筹规划，资源共享。网络作为企业信息化的重要组成平台，与企业的业务结合越来越紧密，不仅可以提高管理的效率和水平，也为企业各类人员提供了丰富的信息服务。中小企业作为构成市场经济的主体，其网络的构建就显得尤为重要。企业网络是企业局域网与Internet相结合的信息交

2、换平台，也就是说它主要有两个组成部分：互联网模块和局域网模块。鉴于对信息化建设的需求与建设中缺少范例平台的状况，在建设中存在着“散、乱、小”的现象，考虑到网络组建对企业发展的重要作用，本文以浙江省森林资源监测中心的网络建设为例，来详细说明其网络构建的原则、技术基础、方案选择、构建方法等，并在此基础上形成网络的拓扑结构。浙江省森林资源监测中心(为了方便起见，文中以后简称ZJFR)于2002年在百兆局域网的基础上，通过租用杭州网通HZCNC-BA-TX的1M光纤与互联网进行了对接，并基于HP NetServer LH3000服务器，采用Windows Server 2000操作系统建立了WEB和邮

3、件服务，具备了最基本的网络构架1。目前，ZJFR已有员工72人，随着业务的扩展，特别是大量空间数据的应用，原有的网络逐渐难以适应目前工作的需要。2010年3月，伴随新办公楼房的建成，兼顾网络建设的需要，对原有的网络硬件进行了换代扩建，对软件系统也进行了升级。现将网络的建设情况介绍如下，以飨读者。1 建网的原则企业网络的建设需要结合实际情况和当今的技术发展趋势，将现实需求和未来的发展方向相结合2，在一定的原则指导下进行，这些原则包括了：(1)先进性原则：采用先进成熟的技术，不仅有利于保护长远的投资，也降低了市场发展带来的风险；(2)独立性原则：网络结构的设置必须合理清晰，各个子系统内部的变更尽量

4、不影响或少影响其它子系统的使用，以降低断网的几率，同样也便于日常的维护；(3)可扩充性原则：采用统一标准，保证良好的开放性，以便企业规模扩大时能够方便增加设备，同时，也可方便系统的升级换代。(4) 安全性原则：网络实现了信息共享，但需要针对不同信息类型和使用权限进行相应的隔离和过滤，以避免泄密和攻击等事件的发生。2 硬件设备2.1路由器 路由器作为互联网的节点设备，工作在网络层上，通过路由决定数据的转发，转发的策略也称作路由选择，这也是其名称的由来。由于它可作为不同网络之间互相连接的枢纽，因而成为基于TCP/IP协议的国际互联网络Internet的骨架。路由器的主要生产厂家有思科(Cisco)

5、和华为等，而思科作为世界领先的互联网络厂商，不仅具有丰富的产品线，其独有的IOS系统，也成了业界规范。ZJFR申请的互联网专线类型是浙江省电信有限公司的10M光纤，IP地址分配资源如下：子网掩码：40网 关：93DNS ：56其中，92和07为系统保留所用，所以实际可用的IP地址为13个。由于地址数量的限制，局域网的IP地址采用了私有地址192.168.x.y。当内部的客户机访问Internet时，此时的路由器作为网关，利用网络地址转换技术(NA

6、T)，负责把私有地址转换为申请的有效地址，从而实现对公共网络的访问3。博士论文，交换机。目前使用的路由器为旧有的Cisco 3725，对应申请的资源，在路由器上配置如下：interface FastEthernet0/0ip address 95 40interface FastEthernet0/1ip address 95 ip nat pool router 97 97 netmask 40ip nat inside

7、source list 100 pool router overloadip nat inside source static 00 00ip nat inside source static 01 01ip route 93access-list 100 permit ip 55 any2.2 交换机传统的共享集线器，它是工作在OSI七层协议第一层上(物理层)，由于所有的网络用户共享同一带宽，随着用户数量

8、的增多，会引起网络性能的下降，目前已逐渐退出市场；交换机的出现，则解决了集线器的瓶颈问题，它主要工作在第二层上(数据链路层)，由于交换机可以同时互不影响地传送信息包，从而提高了网络的实际吞吐量，在网络组建上，也表现出极大的灵活性；然而，由于所有的用户仍然处在同一广播域中，极易产生广播风暴，因此，VLAN(Virtual Bridged Local Area Network)技术的应用，就显得尤为重要，通过将网络划分为虚拟的VLAN网段，不仅可以强化网络管理和安全，也有效地控制了不必要的数据广播，由于不同VLAN网段间不可以直接通讯，必须借助于网络层来实现，所以它工作在第三层上4。由于单个交换机

9、的固定端口数量有限，当其小于实际需求数量时，则需要多个交换机共同完成组网工作。多个交换机之间的连接主要有堆叠和级联两种方式。级联是通过网络端口来实现的，连接的结果是，不同的交换机仍然独立工作，级联数量的增多，必然也引起网络性能的下降；而堆叠则是通过专用的堆叠模块和线缆来完成，一般需要在同品牌设备间实现，在逻辑上它们共同组成一个网络管理设备，提高了端口密度和带宽。Cisco Catalyst 3750G-48T-S，作为一款适用于中型机构的创新千兆产品，其采用了独有的StackWise技术，具有高密度和RIP、OSPF、EIGRP等高级三层特性，在端口安全访问上也具有良好的功能，因此，ZJFR购

10、置了2台该设备，采用堆叠方式组成核心交换机。而同时，根据职能部门的划分情况，采用地址192.168.x.y/24，进行了VLAN划分(其中，x为部门编号，y为对应部门的客户端编号)。2.3 服务器及磁盘存储 服务器要求应该具有高可靠性和高可用性，并具备容错技术，IBM和HP无疑是服务器的首选品牌。与传统的通用塔式服务器相比，机架式对服务器的管理更具有优势，采用多电脑切换器KVM(KeyBoard,Video and Mouse，KVM)以及电源分配单元(Power Distribution Unit，PDU)，结合机柜封装，可轻松部署、集成和管理，具有很大的灵活性。IBM X3650 M2，作

11、为IBM的性能功耗比大幅提升的新一代2U服务器，采用了Intel至强5550系列处理器，并最大支持128G的DDR-3内存。对应内部的WEB、邮件和数据存储需要，ZJFR采用了3台该设备，配置均为2个4核X5500处理器，16G内存，6个SAS硬盘。正是由于采用了64位处理器技术，相对于传统的32位，使得可以进行更大范围的整数运算，也可以支持更大的内存。IBM DS3200 磁盘存储系统，采用了3Gbps 的SAS接口，可安装12个SAS或SATA硬盘，并且可以采用EXP3000进行扩展，借助SAS HBA PCI-E 控制器，可轻松与服务器进行连接。因此，文件及数据库采用了该设备进行管理。配

12、置为12个1TB的SATA硬盘。RAID(Redundant Array of Independent Disk)，是“独立磁盘冗余阵列”的缩写，它允许将多个磁盘分组，可提供数据保护所必需的数据冗余，同时也可以改善性能，常用的RAID级别有0、1、5、10等。RAID0采用“条带”(striping)技术，允许从多个磁盘上同时存取信息，因而是一个没有冗余的高性能选择；RAID1也被称为镜像，与RAID0刚好相反，追求的是最大的冗余度，采用2个硬盘以双工的方式将一个磁盘上的数据同时复制到另外一个磁盘上，具备最高的数据安全性；RAID5不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到

13、组成RAID5的各个磁盘上，当RAID5的一个磁盘数据发生损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据，RAID5可以理解为是RAID0和RAID1的折衷方案；RIAD10则同时集中0和1的优点，不仅数据跨盘存取，而且每个磁盘都有一个镜像。比较RAID的各个级别，在综合考虑性能和安全性的基础上，对磁盘的阵列级别选择了RAID10。2.4 防火墙 防火墙是为了保护内部网络免受外部攻击的防护设备，它是一个广义上的称呼，根据防护的侧重点不同，主要分为传统的DOS(拒绝服务攻击)防火墙和垃圾邮件防火墙等。(1) 传统的防火墙作为逻辑上的过滤器、限制器和分析器，防火墙已成为内部网络与互联

14、网之间交互的必备的隔离安全保护层。在部署模式上，一般有工作在三层协议上的NAT和路由模式、基于二层协议的透明模式三种方式。在防火墙上，实现了以下功能：各种攻击行为的监测，如Tear-drop、syn-flood、ping-of-death、udp-flood等；设置外部用户对内部资源的访问权限，如只允许对WEB和邮件服务器相关端口的访问；约束内部用户对互联网资源的访问，如对一些游戏、股票、下载等端口的屏蔽等。在淘汰原有的NetScreen-25后，更换的设备采用了Juniper SSG520M。博士论文，交换机。(2) 反垃圾邮件网关当今的垃圾邮件和病毒传播速度快、范围广，通过对ZJFR的20

15、10年4月22日至5月12日期间的邮件统计分析，有效邮件的比例仅为0.63%，而垃圾信息的比例高达98.94%，这就要求采取自适应的系统，以快速响应的方法来保护邮件服务的正常运行。反垃圾邮件网关是只对邮件数据包进行过滤的防火墙，该产品主要有梭子鱼(Barracuda)、迈克菲(McAfee)等，两款产品都基于Linux系统，通过“蜜罐”原理，经过多层过滤机制，二者对垃圾邮件的识别率分别达到了98%和99%。ZJFR采用的McAfeeEmail and Web Security Appliance 3000型号，运行的系统为5.5版本，从采用后的跟踪结果来看，也验证了其有效的防护性能。2.5 其

16、它 其它的与硬件有关的部分，如网络线路采用了康普(CommScope)SYSTIMAX 6类双绞线，而一些公用的打印输出设备，则通过配置IP地址，在交换机上定义访问策略，保证了拥有许可权限用户的访问。3 软件3.1 操作系统网络操作系统(Network Operating System，NOS)，是向网络计算机提供网络通信和网络资源共享功能的操作系统。通常网络操作系统都是运行在服务器之上的，所以有时也把它称为服务器操作系统。博士论文，交换机。目前使用较多的是Windows、UNIX、Linux等。UNIX是通用、多用户、多任务的分时操作系统，具有移植性好、高可靠性的特点，主要用在大型设备上；源

17、代码开放的Linux，具备许多UNIX的功能和特点，却无需UNIX的高额费用，但是应用软件支持不足；全球最大的软件开发商Microsoft开发的Windows系列，因为其具备统一的图形窗口界面和操作方法，有着易用性和兼容性、丰富的应用程序等特点，性价比也高，因此拥有最大的用户群。根据权威市场调研机构Net Application于2010年5月的统计数据，Windows市场份额为91.28%，而Linux只有1.13%，因此，Windows平台在中小网络组建中成为首选。作为最新版本的服务器操作系统，Windows Server 2008包括了以下几个版本：Standard(标准)、Enterp

18、rise(企业)、Datacenter(数据中心)、Web(WEB服务器)、Itanium(安腾版)5。其中Itanium版本针对Itanium CPU，而WEB版则只包含了WEB应用部分，因此，选择的局限在前三者。在硬件允许的前提下，决定其选择的主要因素往往是价格，而企业版从性价比来说，往往成为最优选择。对于每个版本，同时存在32位和64位平台，随着64位时代的到来，64位计算架构已是大势所趋，其寻址内存大大增加，突破4G内存的限制。以ZJFR采用的企业版为例，其支持多达8个CPU，对内存的支持也达到了2TB。博士论文，交换机。活动目录是Windows Server 2008网络体系的基本结

19、构模型，也是其核心支柱。活动目录是动态的，以树状层次结构，包含服务功能的目录，经过安装后，服务器升级为域控制器。ZJFR网络以申请的域名为基础(备案号为：浙ICP备05004506号)，建立DNS服务器，采用IP地址为00，并以此为核心来实现网络的组建。3.2 DNS、IIS与网站建设DNS是负责把难记的IP地址转换成简明易记的域名，DNS服务器在网络组建中是一项重要的内容，承担了域名解析的任务，它由各种资源记录组成，其中常用的为主机记录和邮件交换器记录。由于WEB服务可以轻松地实现信息共享和资源分享，通过超文本传输协议，基于请求/响应模式，使得访问客户极易实现与网站的

20、交互操作。而Windows Server 2008所附带的Internet InformationServer (IIS)7.0则是目前最流行的WEB服务器产品之一，它提供了一个图形界面的管理工具，用于监视和配置Internet服务，很多应用系统，也是基于它来实现，如Exchange Server2007等。由于IIS7采用了模块化思路，在降低安全隐患的同时，性能也得到了增强，ZJFR的网站亦采用它进行创建。其它的WEB服务器系统还有WebSphere、Apache等。对应申请的域名，分别在两台服务器上建立主机记录： 00 01由于具备两个域名，需要

21、对各个域名向主域名产生映射，因此在上的default.htm文件中进行定义，从而实现向主域名的自动跳转：<meta http-equiv="refresh"content="0.1;url=">根据林业调查规划、森林资源和环境监测的需要，ZJFR的网站以浙江省森林资源为特色，包括了中心概况、新闻动态、通知公告、技术规程、项目成果、林业科技、下载中心、技术论坛等内容，极大地宣传了林业调查工作，也方便了基层林业部门的信息访问需求。博士论文，交换机。3.3 邮件系统邮件作为日常工作中不可缺少的内容，成为业务联系的主要途径之一，而采用自己的域名作为邮

22、件后缀创建自己的邮件服务器更是具有诱惑力。邮件交换器记录是用于将域名映射为交换或转发邮件的计算机名称，该MX记录用于在目标地址中使用DNS域名为客户机的访问定位邮件服务器。电子邮件在发送与接收过程中都要遵循SMTP和POP3协议，它们分别负责电子邮件的发送和接收，所使用的TCP端口分别为25和110。采用01，建立了邮件服务器，并搭建了邮局。Microsoft Exchange Server 2007作为全新的信息管理平台，它的主要功能是信息管理和协同作业6。它可以集成Windows Server 2008的用户库，不仅可以通过OutlookExpress进行收发操作，

23、也可以采用Microsoft OWA进行管理，访问方式为3.4 数据库系统与磁盘存储配额空间在常用的关系型数据库中，Oracle和SQL Server为主流产品。相比于Oracle高昂的购买费用、日常维护成本以及使用的复杂性，SQL Server在中小型规模表现出了高性价比，在功能、可伸缩性、性能、易用程度上都成为理想的选择。不仅网站需要通过数据库来存贮数据，瑞星杀毒软件的日志也需要保存，另外，主要业务数据都利用它进行存储管理并提供访问服务。SQL Server 也拥有多个产品系列，常用的主要有Standard、Enterprise等，而每个版本又分为X86、X64和IA64不同的类型，以满足

24、不同的需要7。根据操作系统平台，服务器的环境以及业务数据量的需要，ZJFR选购的是标准版(Microsoft SQL Server 2008 Standard Edition X64/2 Proc)。利用Windows 的NTFS功能，按照磁盘配额的方式根据不同用户的需求，在IBM DS3200上为每位员工划分了独立的磁盘空间，并设置了磁盘配额限制和警告级别，以利用其RAID10的安全性，保证工作人员数据的异地备份数量，避免重要文件因意外故障而损坏或丢失。3.5 病毒防护计算机病毒由于其传染、破坏、隐蔽、触发等特点，成为威胁网络安全的主要因素之一，因此利用反病毒软件，对其进行监控识别、扫描、清

25、除成为网络安全的重要保障。常见的反病毒软件主要有瑞星(Rising)和诺顿(Norton)等。而拥有自主知识产权的国产软件瑞星，不仅拥有全面的产品系列，并成为微软MAPP(Microsoft Active Protection Program)的合作伙伴，因此对Microsoft 产品系列具备及时跟踪更新的优势。瑞星的软件分为个人和企业两种不同的版本，企业版本根据用户规模不同，也分为不同的级别。ZJFR所采用的Rising 2010企版，包括了系统中心、服务器端、客户端、管理控制台等组成部分，从而实现了同一管理的安全策略，保障了整个网络的安全。4 网络拓扑结构建筑物综合布线(Premises

26、Distribution System,PDS)是建筑技术与信息技术相结合的产物，也是网络组建的工程基础。一般将网络划分为工作区、水平布线、干线、设备间、管理、建筑群等子系统8-9，根据所选择的硬件设备和软件系统, 以康普6类非屏蔽双绞线为连接线路，最后形成网络拓扑结构(见图1)。由于组建的网络为千兆速率，与百兆速率相比，对应的网络设备端口密度大，功率高，散发的热量也大，因此，保证在正常温度环境下，是其稳定运行的重要保障条件。由于建筑里所有的工作区距离设备间(中心机房)的距离均在100米以内，因此，在布线工程中，并未将干线与水平线进行区分，而是由工作区直接到设备间，这样不仅节省了成本，也保证了

27、网络的稳定性。传统的分支交换机一般属于管理子系统范畴，多采用了建筑中的弱电井存放，这很难保证网络设备的温度条件以及无尘要求。4.1 服务器地址对于WEB和邮件服务器，由于在物理位置上都位于网络内部，采用的也是私有地址，因此，在路由器上采用NAT技术与公网地址进行了转换，分别为：00/0001/01数据库服务器和一些公用的输出设备，则仅限于内部访问，因此，只设置私有地址，并与服务器公用一个网段。4.2 防火墙安装模式对所有的防火墙设备，为了降低管理的复杂程度，均采用了透明(transparent)模式，这

28、样增加了设备的独立性，其改动也不会影响其它的网络设备。为了对其管理，在Juniper SSG520M上，通过对VLAN1设置地址94；在McAfee Email and Web Security 3000上设置IP地址01，分别对这些设备进行日常维护。4.3 VLAN划分由于核心交换机采用了2台Cisco Catalyst 3750G-48T-S堆叠而成，为了避免网络广播风暴，并对不同部门的访问权限进行不同区分，按照不同的职能部门，对端口进行了VLAN划分。基于端口是从物理层进行的划分方式，也是最常用的方式，配置起来也最为简单，详细定义如表1。另外

29、，为了防止IP地址的非法盗用，避免用户随意修改地址而引起冲突，在交换机上对MAC和IP地址进行了绑定，从而实现了专人专用IP的管理制度。以交换机1上的11号端口为例，其MAC地址为0024.7e6b.c854，IP地址为，在交换机上配置如下：图1 网络拓扑结构图表1 VLAN划分表VLAN部门地址网关 VLAN部门地址网关1公共192.168.0.x/2440评估192.168.40.x/2410信息192.168.10.x/2450技术192.168.50.x/24

30、20资源192.168.20.x/2460办公室192.168.60.x/2430规划192.168.30.x/2470领导192.168.70.x/24(1) 建立MAC地址访问控制列表mac access-list extended mac1011 permithost 0024.7e6b.c854 any permitany host 0024.7e6b.c854(2) 建立IP地址访问控制列表ip access-list extended ip1011 permitip host any permitip any host (3) 在端口上应用定义的访问列表interface GigabitEthernet1/0/11 switchportaccess vlan 10 ipaccess-group ip1011 in macaccess-group mac1011 in同理，可以对所有的与交换机连接的设备进行端口、MAC、IP三者的绑定操作。5 讨论本文只是针对中小企业规模的机构进行了论述，在此基础上，适当降低设备和系统配置，可以在工作组级别上实现