中小型企业园区数据网络建设与分析

1、论中小型企业园区数据网络建设与分析一、前言部分1、园区数据网络建设对企业发展的好处。2、目前中小企业园区数据网络建设的现状：参差不齐，有的规格很高、 有的很简陋。3、这种现状带来的弊端。二、一个具体的案例1、整个方案的设计，包括项目背景、需求分析、具体方案等；突出表现以下几个部分：根据列出的需求一条一条来分析，要实现这些功能，需要用 到的技术，再对这些技术来进行分析和对比，分析出各种手 段的优势和劣势，最后得出这个结果的过程。对pix、2950、3550这三块最重要设备如何在这个网络中使 用，在这些设备上都进行了哪些配置，这些配置起到什么作 用。三、根据案例进行抽象，对中小企业园区数据网建设进

2、行建模。1、列举出中小企业对园区数据网需要达到的常用的功能。用防火墙进行内外网的隔离。内部网络部门之间用valn隔离。在防火墙上配置地址映射以保护主机。访问控制列表。无线覆盖公共区域，单独划分vlan，此valn建DHCP机制。上网行为管理。病毒防治2、3、对这些需要达到的功能，逐项进行分析，分析好之后拿出通用的解决 方案。对分项的解决方案进行汇总，建立起一个中小企业园区数据网建设的 基本模型。一、前言1.1概述格罗莫夫(Gregory Gromov)曾经说过:网络本身是一种计算机科学概念。”不 过，现在有了更丰富的注解。注解之一就是，网络本身更具有经济学内涵。在现代经济学中有规模效益理论，就

3、是通过扩大经济规模，来降低单位成 本。虽然扩大规模仍然是降低成本的根本途径，但是伴随经济规格的扩大也增 加了 协调成本，即与企业相关的信息交流的代价。在很多情况下，企业的生产 经营并不是孤立进行的，其需要在内部生产部门之间与外部市场之间达到充分的 信息交流，才能维系正常的生产经营，尤其是在规模不断扩大的情况下，如果仍 然延续传统的信息交流手段，则信息交流代价急剧增长。由此造成单位生产成本 不降反升，从而制约着现代经济规模。随着科技进步，网络技术成为信息沟通 的重要手段，世界正因为有了互联网而变得越来越小；世界级的企业也越来越依 赖于网络技术，扩大和巩固其市场地位。网络在规模经济中正以不可替代的

4、优势， 扮演着利用信息资源，协调生产成本，提高经济效益，的重要角色。从网络在企 业生产、流通、服务等关键环节起的重要作用来看，其更多超出了技术领域，而 深具经济学内涵。随着网络技术，信息通信领域的长足发展，网络经济，知识经济再不是IT 等高科技行业的专利，传统制造业正利用其行业特点，汲取网络技术精华，努力 创造着制造业的又一个春天。未来是美好的，但现实不可回避。大多数企业对电 子商务的一般认识是电子商务能帮助企业进行网上购物、网上交易，仅是一种新 兴的企业运作模式，比较适用于商业型企业、贸易公司、批发配送公司，孰不知 电子商务已对传统的制造业形成了巨大冲击。制造企业对市场的反应速度取决于自身的

5、信息网络水平。在电子商务朝代， 产品的个性化情况非常普遍，很多制造型的中小企业都是以生产某一种或者某 几种产品为主，尤其是在中国，很多都是劳动密集型企业，这些企业的生产出来 的产品很多存活周期不长，都要随着使用者的流行因素的变化而变化，而使用者 的时尚和潮流总是千变万化，捉摸不定。生产商要在短时间内捕获市场信息并作 出适宜反馈，确实有难度。传统企业在对市场的反馈速度上明显过慢。究其主要 原因是企业没有将供应商和客户纳入到企业自身的供应链中，没能及时知道下游 客户（主要是经销商和批发商）的库存情况、市场情况，没有让上游的供应商及 时了解企业原材料的库存情况、成套情况。在供应商、商家、客户三者之间

6、没有 形成一个有效的环路，由此造成了商家对市场的反应迟缓，导致商机的错失。有 了网络的协助，我们企业从原材料的采购、产品设计，到定单处理和产品的发送， 均可以用小时为单位来追踪。同时利用互联网技术不仅可以全面监控下游客户每 日的进、销、存情况，及时进行补货，而且可以让上游的供应商及时知道企业原 料的库存情况，及时补充，将存货量保持在最低水平。1.2现状我国注册的中小企业数量为将近1000万家，占我国企业总数的99%，其工 业产值占全国工业产值的60%左右。因此，中小企业的网络建设不仅关系到中 小企业自身的生存，还将对我国经济的未来发展产生重大而又深远的影响。数据业务和互联网业务的高速增长推动着

7、中小企业数据网络的建设。赛迪顾 问调查表明，当前我国中小企业数据网络的建设有了新的发展，但是目前中小企 业数据网络的发展可以用参差不齐来概括。据调查显示，没有建立内部局域网的 企业中，小企业数量最多。在建立了内部局域网的中小企业中，内部局域网连网 终端数在5-20个的企业占31.8%，连网终端在20-100个的占17.0%，多于100 个的仅占5.4%。这说明我国目前的中小企业计算机应用还处于单机应用为主的 状况，信息资源的共享程度还不够高。同样的调查还显示，计划建立自己网站的 中小企业比例最多，达到42.7%，相比之下，只有37.9%的企业已经建立自己的 网站。可见，已经建立网站的企业相对比

8、较少，这将限制他们电子商务乃至整个 信息化的发展和提高。从以上数据比较可以看出，我国中小企业网络建设仍然存在巨大的发展潜力， 特别是外部网和互联网相关应用建设仍然滞后。于此同时，我们也应该可以看到，随着我国经济的高速发展，随着国外企业 不断进入中国，我国中小企业的信息化建设不容乐观，必将面临各种危机和挑战。1）WTO带来强烈冲击。互联网时代的市场竞争正从传统的产品、服务竞争延伸到信息化水平的竞 争，产品结构的调整、市场与销售网络体系的变革将以互联网基础架构为平 台。随着我国加入WTO,国外各种类型的公司已经带着各自的产品、服务和 解决方案进入我国市场，我国中小企业将面临强烈的挑战和生存危机，因

9、此 应尽快提高自身的信息化水平。2）市场的全球竞争。市场的全球化竞争已成为趋势。对于中小企业来说，在调整发展战略时， 必须考虑到市场的全球竞争战略，而这一切将以信息化平台为基础，以网络 通畅为保证。通过建立各种虚拟网（VPN）和内部园区网络（Extranet），建立企业全球 信息网络是未来企业网络应对市场全球竞争的一种策略。事实上，目前许多 国外中小企业在开拓全球市场也较多采用这种解决方案，将遍布全球的分支 机构连接起来。3）寻求进一步发展任何企业要想寻求进一步发展，必须尽快上网。通过企业网络建设可以实 现以下功能：信息共享与集散地：实现企业内外部的信息、资源的共享与交互。企业形象与社会公共关

10、系：树立和推广企业形象，开拓社会公共关系。电子商务：电子商务是未来经济发展的大趋势，目标是实现交易信息 的网络化和电子化，它是面向企业的互联网高级功能，是未来互联网 发展的主导方向之一，目前已经出现端倪，阿里巴巴每月上亿元的交 易量就是明证，而且目前所有的银行、证券、保险等金融机构都已经 开通网上银行、网上交易、网上划帐等基于网络的应用，大大方便了 人民群众的工作和生活，推进了社会经济的发展。从上述调查的数据显示，中小企业对于数据网络的建设虽然面临很多机会和挑 战，但是鉴于我国中小企业的目前不少企业的连网应用仍局限在文件共享等初级 阶段，与信息化建设的目标相差甚远的状况，就中小企业而言，网络建

11、设的困难 还是客观存在的，主要表现在以下方面：1）资金投入大我国的中小企业大多数集中在劳动密集型产业，有很多企业都是白手 起家，从手工作坊一步一步发展起来的，企业中的资金都投入到企业的进 一步发展和壮大中。另一方面，网络建设成本相对企业资金实力较高。除企业组建内部网 实现内部资源共享（文件、服务器、打印机等）的成本较低外，建设Extranet 和开发网站以及电子商务平台费用较高，同时由于目前我国中小企业员工 的层次相对较低，他们对网络技术了解不够，网络建设、运营维护和管理 等等方面需要较大的投入。2）地区发展不平衡我国的中小企业比较集中的区域在浙江、江苏、广东、福建等地，同 时我们也应该注意到

12、，这些地方的很多中小企业都是所谓的“乡镇企业”， 企业上网带有明显的地域特性，其活跃程度受地域经济发展水平的影响较 大。数据显示，企业上网较为活跃的地区主要分布在北京、广东、山东、 上海等当前经济比较发达的地区，而江浙一带的企业上网却比较少，而江 浙一带的企业在中国的中小企业中占了相当的一部分比例。3）企业对网络以及网络应用的认识不清许多企业注册域名、建立网站不是为了通过建立信息化平台推进企业 电子商务应用，而是出于追赶企业上网潮流，甚至于是为了应付检查和为 了评比的需要，初期的投入和建设完成之后，企业网络后期投入不足，企 业网络和网站没有更新和维护，导致企业网络形同虚设，毫无任何经济效 益和

13、战略意义。一个重要的表现就是不重视或不知道如何开发和利用网络 资源来为企业提供高水准的服务。网站建好后，忽视对网站内容的日常更 新与形象推广。另一个表现就是网站信息不丰富，不能深层次地利用网络资源对企业内外部的各种资源进行全方位整合。3）企业网络建设缺乏长远战略规划我们现在有很多中小企业建设整个园区数据网络的起因是因为需要上 一套系统，例如财务系统、OA系统、CRM系统等等，然后草草的找一个电 脑公司，要求其为建设园区数据网络，殊不知，企业网络建设从内部资源共 享到资源整合再到电子商务，需要有一个长远的发展目标和规划，这个目标 和规划应该是从实现企业信息化的高度出发的，而不是从某一个或者几个部

14、 门级的应用软件的实施需要出发去进行网络建设，这就是典型的应用水平不 高，经营观念没有适应互联网发展，没有真正的面向网络经济的流程管理的 表现。这样的方式和方法必定将制约我们企业的信息化进程，也必定会抑制 我们中小企业的发展和国际化进程。4）需要整套方案之所以出现上述的种种困难和挑战，关键的问题除了中小企业决策者 对企业信息化重要程度的认知水平有重要的关系之外，与为中小企业提供 解决方案的企业自身的能力和高度也息息相关。我们经常可以看到，为中小企业提供企业网络建设解决方案时，系统 集成商常常不能提供整套的应用解决方案，经常是某一个企业销售一种产 品，而且在销售这种产品的时候没有对整个网络的需求

15、和能力做仔细的分 项，更多的是从商务利益层面出发，这就导致很多中小企业的网络建设好 之后没有整体性，网络缺乏健壮性，很脆弱，经常出现故障，网络中存在 很多的瓶颈，因为网络中很多设备在工作都是各自为政，网络建设的时候 对网络设备的协调性和兼容性缺乏一个全盘的考虑导致的，企业不仅需要 网络平台，更需要的是平台上可以为企业带来实际效益的业务流程和模 式。由于缺乏对企业应用和流程的了解，系统集成商很难为企业提供主动 式解决方案。二、园区数据网建设案例项目背景集团公司新的工业园区竣工在即，作为一个与时俱进的企业，企业的管理者 们提出了实施电子商务，实现企业对产品、原材料、非生产性产品、服务类等 的电子化

16、、网络化采购，公司与各职能部门有组织、有计划地统一管理，减少 流通环节，降低成本，提高效率，使企业在管理上通过电子商务的实施达到更 高水平的需求，要求要综合考虑 集团公司对网络安全、网络管理、可靠性、可 管理性、可扩展性和高性能的特殊需要，提出适合 集团公司的工业园区网络解 决方案。需求分析1、内部网络各个职能部门在逻辑上要求相互隔离集团公司总部主要下设四个职能部门：生产制造部、公司管理部、 市场营销部和财务部。四个部门的网络逻辑上既相互独立又在一定条件 下相互能访问，如公司管理部的人员能定时查看生产制造部或市场营销 部的情况，但生产制造部的人员却不能访问公司管理部的特定资源等。2、所有的计算

17、机终端、服务器等信息设备必须要联网原来很多部门有内部网络，而内部网络之间没有连起来，现在要 求内部网络取消，所有部门的计算机终端、服务器、打印机等设备必须 联到这张园区数据网上来。另外，所有厂房里面的终端设备，也必须要联起来，因为厂房比 较分散，我们需要用物理链路将各个厂房连在一起，汇聚到一个点上。3、园区内部网络必须与互联网对接园区数据网上的很多终端需要联上互联网，以满足收发email、 上网进行信息查询、商务实时沟通等需求。4、作为一个企业的内部网络，在与互联网对接的时候，为了保证安全和网络的管 理，要求用防火期将内网与外网隔离。公司内存在多台服务器，有些是财务部的服务器，有些是整个公司的

18、共享资源 服务器、邮件服务器、ERP服务器等，要求将这些服务器设置在恰当的逻辑位置上， 既能让服务器资源利用率最高，又要考虑到安全问题。作为一个企业的内部网络，在与互联网对接的时候，为了保证安全和网络的管 理，要求用防火期将内网与外网隔离。三、具体方案：根据公司的实际应用情况，网络解决方案快速以太网骨干的方式。快速以太网骨干100Mbps）具有以下特点：高性能，全交换100Mbps连接高流量服务器10/100Mbps或10Mbps连接桌面用户一采用光缆支持较长距离，可做室外厂房及办公楼间连接 可扩展性强一空余的GBIC插槽提供低成本的千兆连接一配线间交换机可通过千兆堆叠扩充用户数目系统安全，保

19、密性高一适合企业的高性能专门的防火墙解决方案Cisco Secure PIX Firewall 506一虚拟专网VPN及支持各种加密算法 一按需划分虚拟网络，管理得心应手 ACLs, TACACS+，基于交换机端口的安全性管理简单一全网中低端交换机配置为单一集群（Cluster）统一管理，单一 IP地址管理域，单一管 理对象或：使用专门的网管软件系统Cisco Works for Windows一基于Cisco IOS的统一人机命令界面保护投资一随着公司业务的发展，所有网络设备均可在升级和扩展原有网络后继续使用此网络方案成本较低，网络结构易于搭建和管理，兼顾了企业多方面应用。具体拓扑如 图所示

20、。可以看出，思科公司具有第三层交换功能的Catalyst 3524交换机是这一网络的 核心设备，Catalyst 3524提供了 24个10/100Mbps自适应的快速以太网端口和2个千兆以 太网端口，Catalyst 2924提供了 24个10/100Mbps以太网端口，为用户提供了更多选择， 用于对工作站数量和速率有不同要求的应用环境。Catalyst 3524和Catalyst 2924之间分 别利用两个百兆端口通过Cisco FEC （快速以太网通道，Fast Ethernet Channel）连接成 高达400Mbps的无阻塞通道，为桌面10/100Mbps应用提供足够带宽。同时，为

21、保证主服务 器群的高速数据传输，主干交换机Catalyst 3524又以100Mbps带宽分别与各台服务器相 连，使下级工作站对服务器的大量数据访问得以畅通无阻，解决了服务器端口的瓶颈效应。一安全性是网络设计中一项不可忽视的因素。此网络方案的安全性包含了广域网和局域网 两方面。在广域网方面，路由器的Cisco IOS防火墙或Cisco Secure PIX Firewall 506 严密把守，对进出网络的数据流量、数据内容进行安全检查和分析处理，防止非法用户侵 入到内部局域网。另外，ACLs，TACACS+等技术也提高了网络安全的应用选择。在局域网方 面，思科局域网交换机能够进行端口安全设置，

22、将设备与端口绑定，防止假冒身份的非法 用户通过网络中其它交换机接入。一中型制造业网络的管理由 CVSM(Cisco Visual Switch Manager)或 Cisco Works forWindows承担，它们都是窗口式管理工具，易学易用CVSM是一套基于WEB的免费配置管 理软件，最多可管理16台Cisco的中低端交换机。用户可在熟悉的浏览器界面下对思科交 换机系列产品实施配置和监控，避免了对交换机操作系统命令的直接介入。如果需要，系 统管理还可以采用基于Windows的Cisco Works管理软件。拓扑如下图所示:四、VPN解决方案传统的企业专网是通过租用点到点的长途DDN链路组

23、建而成的。不仅建设周期长，投资大，费用 高，而且一旦长途链路发生故障，维护起来也很困难，可能会影响整个网络的正常通讯。虚拟专网VPN（Virtual Private Network）则很好的解决了上述问题。VPN是指在共用网络上建立专 用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建 设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的 数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通 过相应的加密和认证技术来保证用户内部网络数据在公网上安全传

24、输，从而真正实现网络数据的专有性。虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络 对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连 接，进行数据的传输。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使 用专用网络进行通讯，所以得名虚拟专用网络。使用VPN技术可以解决在当今远程通讯量 日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进 行及时和有效的通讯的问题。目前VPN使用的隧道技术主要包括：

25、点对点隧道协议（PPTP）PPTP协议允许对IP，IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企 业IP网络或公共互联网络发送。第2层隧道协议（L2TP）L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传 递的任意网络发送，如IP，X.25，桢中继或ATM。安全IP（IPSec）隧道模式IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或 公共IP互联网络如Internet发送。目前公司的VPN系统是通过 Windows系统自带的VPN服务，在总部设立一台 VPNserver，允许分公司通过公共网络以用户名

26、、密码的方式与总部服务器的连接，如图所 示：Challenge = Session ID, Cha Henge StringResponse = MD5 HashfSeaaion ID, Challenge String, User Password), User Nam已Authenticating Device但是在这种利用操作系统自带的VPN服务建立起来的系统毕竟不是专业VPN网络解决方 案，作为一个大型企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的 要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同 分支机构之间的资源共享;又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求:1.用户验证VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案 还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。地址管理VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。数据加密对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该 信息。密钥管理VPN方案必须能够生成并更新客户端和服务器的加密密钥。多协议支持VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。