大型企业网间网设计与实现

大型企业网间网设计与实现

一、引言：

在网络技术不断开展的今天，大型企业网络建设面临多种网络

技术的选择。选择怎样的网络技术来满足企业未来开展的需要，是摆在各大企业面前的一个课题。

虽然网络技术在飞速开展，但企业网络建设有其内在规律，把握这些内在的规律，将有助于指导大

型企业的网络建设。

本文定义的大型企业网络是跨地域和有层次的网络。企业的网络层次和行政结构相对应，网络

层次在二层或三层以上，网络连接可能是跨地市、跨省的，也可能是全国范围的。例如，银行、国

税系统，民航、铁路、政府办公系统等都是跨地域，多层次系统，在网络建设上都有其共同的特点。

从总体上说，企业网络涉及到系统软件平台、硬件平台，布线系统，局域网建设，广域网建设，应

用软件（包括业务应用和刑'W效劳等）、网络平安，网络管理等方方面面。

一、企业网络建设过程的几个阶段

企业网络建设总体上分为设计阶段、实施阶段和网络管理维护

阶段。从网络设计的角度来讲，分为应用驱动法和基础设施法。应用驱动法是采用根据应用需求，

从工作组网络、楼宇网络、园区网络到广域网络的由近到远的设计方法。基础设施法是根据根本的

网络规划，采用从广域网络、园区网络到楼宇网络的由远及近的设计方法。

企业网络建设过程分为如下几个阶段：

1、需求分析阶段。

通常大型企业在网络建设中己有局部的网络环境，这些网络环

境能满足当时网络应用的需要。但网络可能是一个个孤立的小岛，只能在局部范围内实现网络应用

及资源共享，企业网络没有形成一个整体。企业网络规划时，要考虑网络建设的整体性，既要保护

原有的投资，又要在网络技术的选型上有前瞻性。网络需求分析主要是根据企业业务开展需求和企

业信息技术应用需求，提出企业网络建设的总体目标和关健技术指标。

企业网络需求分析包含如下几方面：

■网络标准和协议要求。

■全网络信息点分布需求，包括局域网布线结构要求，广域网传输介质要求。

■网络层次划分及网络拓扑结构要求。

■结合应用的网络设备处理能力和带宽要求。

■局域网和广域网要求。

■Internet接入，外网接入，防火墙技术要求。

■企业网络应用要求。

■网络设备选型要求。

■网络应用和网络技术的关系（如多媒体、IP话音和网络结构的要求）。

■网络可靠性、扩展性和平安性要求。

■网络管理要求。

2、网络规划阶段。

企业网络规划是从企业网络需求分析到企业网逻辑设计中间必经阶段，主要根据企业网络需

求分析得出别离的、外在的技术指标（如用户数、桌面微机的站点数、最大响应时间要求等等）。

运用企业网络本身内在的规律和关联算法，得出整个企业网络内在的技术框架和技术指标（如桌面

带宽要求、主干带宽要求、效劳器处理性能要求等等）。

3、网络逻辑设计阶段。

网络逻辑设计阶段主要根据企业网络需求分析结果，杈据企业网络规划的内在技术指标，按照

计算机网络设计的经验和方法，在现有的可行的网络技术范围内，设计企业网络的连接结构、协议

结构以及每个网络的功能结构。

企业网络设计主要确定网络的连接结构，网络节点的类型、功能和容量。网络传输链路的类

型和容量，以及网络平安控制结构和网络管理结构。

4、网络物理设计阶段。

网络物理设计主要确定实施网络逻辑设计方案的厂家产品的类型、数量和具体配置，以及与

网络翌辑设计方案中连接结构相吻合的物理拓扑结构。

5、络实施阶段。

网络实施阶段主要是采购所需的硬件设备和软件系统，以及安装、调试和测试网络系统。

6、络维护和扩展阶段。

在企业网络通过测试之后，网络就进入了运行、维护和扩展阶段。企业网络的运行维护阶段

的主要工作是对企业网络的口常维护和管理，包括网络配置管理、性能管理、故障管理、平安管理

和用户帐户管理，对企业网络的预防性测试和容量的规划。

二、企业网络层次结构分析及其模块化设计思想

大型企业网络层次结构与企业的行政结构相对应，一般至少有

二层，也有三层和四层结构。多于四层的结构作为远程访问效劳层看待。我们从网络的层次划分上

分析探讨多层网络模块化设计思想。

大多数企业网络都可以被层次性划分为三个逻辑效劳单元(Backbone)、区域网(Distribute)

和访问网(Local-access)。骨干网的主要目的在于完成分布于不同区域或逻辑组的路由最优化

通信；区域网主要是完成网络流量的平安控制机制，以使骨干网和访问网环境隔离开来；访问

网主要是支持客户机对效劳器的访问。

2.1模块化网络设计方法

模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。

实质上，模块化方式把网络划分为一个个子网，因此网络节点和流量变得更容易管理。层次化

的设计方法同时也使网络的扩展更容易处理，因为新的子网模块和新的网络技术能被更容易集

成进整个系统中，而不破坏已存在的骨干网。

层次设计方法可为网络带来以下三个优点：

1、层次性网络的可扩展性

可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可

扩展性是因为它可以让你用模块化方式扩展网络，而不会遇到非层次性网络或平面性网络很快

所遇上的问题。但是，层次性网络同时也提出了一定的问题需要仔细考虑。这些问题包括：虚

电路的费用，层次设计(尤其是网状拓扑)的内在夏杂联系，以及需要额外的路由器接口来划

分网络层次。

为了获得层次性网络结构的优点，你必须使你的网络层次结构充分与你所在地区的拓扑

相符合。设计取决于你所使用的包交换模式，以及你所想要的容错能力、网络性能和网络造价。

2、层次性网络的可管理性

•使网络简单化一一通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网

络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止播送风暴、路由循环等其他

潜在问题的内在保护机制。

•使设计更灵活一一层次化设计使得骨干网和区域网之间的包交换形式更具灵活性C很多网络都

得益于使用混合方式来构造整个网络架构。在大多数情况下，可在骨干网局部使用专线而在区

域网或本地网接入局部使用包交换效劳。

•使路由器管理更容易一一由于层次化网络结构使网络分层，相对缩小的网络区域使路由器的邻

居或对等通信端数量减少，因此路由器的配置变得简单化。

3、优化播送和多点播送的流量控制

在包交换网络中，减少路由器之间播送信息量的最直接方法就是使用更少数目的路由器

组，通过层次化模块设计可以较好地控制网络中的播送。通常在包交换网络中最常见的路由器

之间的播送信息流量是路由更新信息，如果在一个区域或一个层次中有太多的路曰器，那么就

会因为播送的原因而造成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的播送作出

限制。

根据这种层次化网络设计思想的原则，我们可以把企业Intranet网络工程的整个网络体系

结构分为以下三层或四层结构二级或三级网络主干：即日企业中心节点与二级节点组成一级主

干网络，由二级节点和三级节点构成二级网络，三级节点和四级节点构成三级网络。如下列图

2.1所示：

图2.1

2.2评估一级主干网络的效劳

如图2.1所示的一级主干网络所能提供的功能特性包括如下几个局部：

•主干网络带宽管理：

为了优化主干网络的操作，路由器提供几种性能调节方法，如优先权队列管理和数据压缩,

动态路由协议权值定义，动态路由协议发包时间间隔优化，协议本地确认等优化和节省广域网

带宽，

•数据传输路径优化

路由器最主要的特点之一是在逻辑网络环境内，自动选择最优路径传输信息。

路由器依靠路由协议（静态和各类动态路由协议）完成最优路径查找工作。路由协议是在

网络第三层上操作，并且各类网络协议有相应路由协议支持。

路由收敛问题：路径选择涉及的相关问题是路由收敛。当网络发生变化时，如主干网上路

由器关机或故障，或通信线路的故障，或主干网上路由器配置变化等，都会引起路由表的改变,

这种改变过程引起网络不能正常工作。因此，选择收敛速度快的动态路由协议和防止路由慢收

敛问题是网络设计的关键问题之一。

•优化传输队列

主干网上信息传输可以分成不同的优先级别，将重要的信息定为高优先级别，优先传输。

路由器可以对诸如不同协议类型，不同传输层协议，不同的应用类型设定不同的传输优先级。

对IF协议来讲，在网络应用层，可对诸如TELNET,等应用进行传输队列优先权的设定，以确保

重要数据优先传输。对传输队列的优化是在各类协议及子协议基础上进行，如下列图所示：

Router

Traffic

Prioritv-

UDP

High

BridgedLAT

priorily

DECnct

Medium

TCP

Priority

TclnclFTP

Nomalpriority

ALLOTHER

TRAFFICLowpriority

PriorityOutputQueuing

负载均衡

路由器支持多链路的负载均衡，最多可支持四条负载均衡链路，

每条链路的负载阀值可以调整。

•路径备份

一级主干网上传输的都是重要信息，一级主干网的路径备份就

特别重要。考虑到投资本钱，不要求主干网上所有路由器都双链路

连接，而只考虑主干网上各中间节点到中心节点的双链路连接，各

中间节点之间可以无链路连接。各中间节点之间的通信都跨越全国

中心的路由器实现。因此，全国中心路由器必须具备强大的处理能

力。

2.3评估二级主干网络的效劳

如图2.1所示，我们对二级主干网络作如下评估。

•区域和效劳过滤

信息流的过滤是建立在区域的划分和效劳类型上。来自区域内部

的信息不必要跨越广域网一级主干网络，这样可以减缓一级主干网

络的通信压力。同时，在区域内部可以针对网络效劳类型(如

TELNET,等)和网段地址作访问控制，这样可确保重要数据

的访问平安性。在路由器中，设置access-list,路由器判定满足条

件的信息包通过网络。

•基于策略的信息分发

基于策略的信息分发的目的是确保传输性能和信息的完整

性。在网间网中，这种策略可以定义成一个规则或一组规则，以此来控制跨越广域主干的端对

端的数据传输。例如一个部门，它可能有三种网络协议要跨越主干，但只希望携带重要应用的

一种特殊的协议快速通过主干。另一部门，由于主干网络过于繁忙，此时只允许e-mail跨越主

干等。

•路由协议的一致性

我们建议一级和二级广域网主干动态路由协议应是一致的，并采用开放的路由协议如ISIS

或BGP4或OSPF。采用那种动态路由协议，要根据企业的网络结构和部门间的隶属关系确定。

•介质转换

介质转换技术是将不同网络链路层上的帧的格式转换为另一网络帧的格式，例如以态网与令牌

环网的转换。由于区域内网络环境较为复杂，厂家必须有相应的设备支持。

2.4评估接入访问效劳

接入访'可效劳包含如下内容：

•网络增值地址

网络增值地址(helpernetworkaddress)是用来解决一些特殊的信息传输，使得原来是播送

方式的传输变为多点传输。这样，可以减少网络的播送压力和路由器的负载。例如，Novell客户

端原来通过播送方式查找它的效劳器，而如果效劳器不在本网段，播送信息必须通过路由器。使

用helperaddress后，就允许在一个网络上的节点直接向另一个网络上的效劳器发送信息，而不

用经过路由器。

•网段

局部访问效劳的根本要求是将网络分成若干网段，每个网段实施各自的信息传输策略，通过

路由器从而实现各网段播送信息的相互隔离，减少主干网络的拥塞。确定网段，是通过子网掩码

实现的。灵活的网段划分，通过路由器access-list网段地址过滤，可以实现灵活的网络平安访

问控制策略。

•播送和多点播送

如上所说，路由器能隔离网段的播送信息。然而，如果需要，路由器可以中继播送。通过路由

器中继某些播送以到达一定的目的。IP的多点播送是从一个站点向指定的多个目的站点发布信

息，而不是向每个站点发布信息。IP的多点播送为视频会议，股票交易等提供出色的效劳。参与

多点播送的计算机,必须运行IGMP协议。路由器配置IGM算机ternetGroupManagementProtocol)

后，可以实现位于不同网段内的计算机的多点播送。

•平安策略

如果所有信息被所有员工随意访问得到，那么平安侵犯和不正当

的文件访问就不可防止。为了防止这些问题，路由器要做如下工作：

•防止局部网络信息不正当地进入网络主干

•防止网络主干的信息不正当进入部门或工作组

实现这两大功能的手段是路由的包过滤。一方面，包过滤能控制未受权的用户访问，增加平安

性，同时能减少网络的拥塞，减少网络问题的发生。

路由器有一整套信息过滤策略。如对地址的访问过滤，对协议的访问过滤，对应用层的访问过

滤。具体地说，

•在以太网环境下，有一台主机能Telnet到Internet的某一台主机，不允许Internet上该主机

Telnet到这台主机上,但可以作SMTP的访问。

•只允许一个网段通过OSPF动态路由协议，其它网段OSPF被禁止。

•限止某些主机访问某些网段。

•限止某些网段访问另一些网段。

上述访问控制手段是常用的方法。另外还有远程访问控制，通常采用认证机制。对于MODEM访

问方式的站点，可采用TACACS(TerminalAccessControllerAccessControlSystem)

认证机制。对电话拨号站点，运行ppp协议，可采用chap或pap认证机制。

•路由器查找

主机必须知道其网关地址才能通过路由器访问别的网段。可以

用人工或动态路由的方式配置主机的网关地址。主机至少有一个路由

器局域网端口地址作为其网关地址。但是，当有多个路由器时，主机

如何确定其网关地址呢？一般来说，主机选择那台能到达目的站点最

佳路径的路由器作为其网关，这种情况涉及路由器的查找。支持这种

查找的相关协议

有以下几种：

•EndSystem-to-lntermediateSystem(ESTS)协议

•ICMPRoutingDiscoveryProtocol(IRDP)协议

•ProxyAddressResolutionProtocol(ARP)协议

•OSPF和RIP协议

通过对上述网络分层效劳的分析，我们得出结论：对于大型企业Intranet网络工程来说，

要想建设成为一个全国性的、网络性能优良的、网络控制极为灵活的、具有很强扩展能力和升级

能力的大型企业综合性网络，那么在网络设计中就必须采用层次化的网络设计思想。

二、企业广域网链路选择

我们从理论上分析了大型企业网络的层次结构和动态路由协议。通常企业租用ISP的通信

线路，按照设计好的层次结构进行广域连接。在申请通信线路时要综合考虑企业业务需求、QOS、

运行维护费用等多种因素。

ISP提供多种通信链路来满足企业用户非实时网络应用的需求，如X.25,DDN,帧中继，PSTN

等。也可以选择拨号VPN技术，专线VPN技术。也可使用标记交换技术，MPLS技术等。选择通

信类型要根据运营本钱和运营效率综合考虑。

对于广域网上实现语音、图像等多媒体应用的广域网DDN,FrameRelay和ATM都能实现，

但从运行费用和效劳质量保证来看，采用ATM作广域链路是较好的选择。目前，国内ISP没有

开放ATM业务，但企业如有需要可以申请ATM效劳。

三、企业园区局域网设计

(1)企业园区局域网络采用虚拟交换网络

从网络的性价比来看，企业的局域网络逻辑结构采用交换虚拟网技术已是大势所趋。

交换虚拟网络是基于ATM和局域网交换机为平台的技术，其目标是真正建立一个可以满足未

来多媒体信息处理时代需要的企业网络。

从长远角度看，采用交换虚拟网络技术可以降低组建企业网的本钱、提高信息技术与企业开

展的适应能力。交换虚拟网可以满足企业网络在以下儿个方面对计算机网络的需求：

•通过交换技术，向最终用户提供更高的带宽。

•可以向不同用户、不同应用提供所需的效劳质量保证的网络效劳。

•提供完整的网络管理和控制系统，控制网络本钱，特别是隐含的网络本钱开销，例如网络管

理、网络控制等方面的开销。

•在外围提供前面的网络互连和系统集成方案，提供端到端的解决方案，提高网络互连性和可

靠性，减少网络扩展的本钱。

•构造虚拟工作组网络以支持虚拟工作组工作。

(2)企业局域网络的主干交换

企业局域网络主干的作用就是互连网络的各个局部，传递分布到网络各个局部的数据流。主干

网必须具有高效率、高可用性特征，在主干上任何一点不合理的延迟都是灾难性的！

采用ATM交换技术可以提供边缘交换机之间的高速连通性、可靠性和效劳质量保证，以及支持

多种数据流类型，如IP、IPX、DECneto利用ATM技术的高效拥挤控制和流量控制，高可用性和功

能全面的网络控制，动态用户组管理及有效的流量管理，满足大批量数据传输对带宽的需求，同时

满足多媒体应用对不同类型信息流和不同效劳质量的需求。

采用千兆以太网技术可以提供极高的网络主干带宽，并融合传统的以太网技术和交换技术，给

终端用户提供满足应用需求的带宽。虽然在带宽上满足终端用户的需求，但在网络的流量管理上和

效劳质量上不及ATMo

企业局域网络还可以采用第三层或第四层交换技术，以满足网络主干在性能上的需求。

(3)企业园区楼宇网络设计

企业园区楼宇设计必须基于建筑物内已有的或者可能设置的布线结构进行设计，同时要考虑

每个喽宇内信息资源中心的设置，局域网之间的数据通信类型和可能通信量，局域网之间需要设置

的平安访问控制策略，确定网络互连模式和结构。楼宇内设计采用路由互连技术、ATM交换互连网

技术和虚拟局域网组网技术。

楼宇网络设计需要考虑如下问题：

•楼宇内部如果没有干扰，而且传输距离在100米之内，一般采用双绞线作为网络的传输媒体。

如果楼宇内部有电磁干扰，可以采用光纤作为传输媒体。如果楼宇内部的传输距离大于100米,

可以采用互连设备的级联，也可以采用光纤作为传输媒体。

•在采用同一局域网技术的工作组网络互连时，如果可以共享带宽，而且无平安控制需要，只是

由于工作组网络覆盖的距离不够，则可以采用级联集线器的方式扩展网络。

•在采用同一种局域网技术的工作组网络互连时，如果各个工作组需要独立的传输带宽，则通过

局域网交换机连接。

•采用不同局域网技术的工作组网络互连时，如果互连的工作组网络较少，各个工作组之间无需

提供平安访问控制，而且，各个工作组网络之间需要提供快速连接，则采用支持多种局域网接

口的交换机。

•采用不同的局域网技术的工作组网络互连时，如果互连的工作组网络数量较多，各个工作组网

络内部有较大的播送报文，或工作组网络之间需要有较为严格的平安访问控制，且在工作组之

间没有多媒体应用，则采用路由器互连各个工作组网络。

•如果，作组站点的地埋分布，与具它，作组网络站点地埋分布重复，则需要在同一地埋区域采

用同一局域网交换机连接不同工作组网络站点，通过交换机构成符合工作组划分的虚拟网络。

•对于具有多媒体应用的点到点站点网络效劳质量保证的传输信道，采用ATM技术，到桌面采用

25MATM连接。

•效劳器设备接入：采用光纤155MATM接入或光纤100M以太网接入。重点终端用户采用光纤接

入核心交换机，实现平安传输。

(4)企业园区虚拟局域网

网络厂商相继开发了“开放”互联技术VTP(VLANTrunkingProtocol),支持的标准是ISL、

802.IQ,MPLSoATM交换机和局域网交换机为虚拟局域网提供了基础平台。虚拟局域网为企业局域

网络带来的三个好处是：

•在最大限度地减少对路由器依赖的基础上，有效地控制局域网内

的播送流量，提高站点的传输效率。

•减少由于网络站点的增加、移动和更改而增加的网络线护本钱。

•业务部门工作组的逻辑组合更为灵活。

在VLAN的划分中，都与“群组〃这个概念有关。群组是指局域网交换机的一个集合。每个交

换机支持的群组数目有一定的限制。因此，在网络规划时，必须考虑业务部门逻辑工作组的数量,

并选择相应的交换机型号，使得交换机的VLAN数量和处理性能满足业务应用需要。一个群组可以

包括全网中不同交换机的端口，每个群组可以看作是一个独立的通信域。如果不使用路由功能，则

一个群组中的通信量不能转发到另一个群组中，群组的特征如下：

(1)一个群组是一个播送域；

(2)一个群组是交换机物理端口的集合；

(3)群组可以跨越多个交换机；

(4)群组不能相互重叠，即每个端口只能属于一个群组；

(5)群组之间的帧可以通过路由转发；

(6)同一群组中不同的VLAN的帧也可以通过路由转发。

群组的概念实际上是基于以端口为基础的VLANo还有其它类型的VLAN划分：

(1)基于MAC地址的VLAN划分，这种VLAN划分方法灵活，但管理复杂；

(2)基于协议规则的VLAN划分，把具有相同的第三层协议网络站点归并成一个VLANo

这些站点连接的交换机端口构成一个播送域，以减少在同一网络环境下不同协灰栈之间的相

互干扰。选择不同的协议类型构成不同的VLAN：1、所有IP协议流量；2、所有IPX协议流量；3、

所有DECnet协议流量；所有AppleTtalk流量；4、所有指定以太类型的流量；5、所有携带指定源

点和目的点SAP(效劳访问点)报头的流量；6、所有携带指定SNAP(子网访问协议)类型的流量。

(3)基于网络地址的VLAN。

用IP地址和IP网络掩码划分网段。

(4)基于用户定义规则的VLAN。

四、企业网络与外网连接

企业网络与外网的连接发生在企业网络的各个层次上，其中

包括Inlernet接入等。我们称企业内部网为内网，企业外部网为外网。显然，内网和外网间加

装防火墙。

通常，内网和外网间采用静态路由或缺省路由。内网和外网的信息访问通过防火墙进行过

滤。

内网和外网的连接如下列图所示：

五、企业网络的可靠性

企业网络的可靠性表达在网络链路备份和设备的备份上。对可靠性较高的要求意味着有较大

的资金投入。由于企业业务运行模式各不相同，可靠性的要求会不同。

对于银行企业、电信移动通信运营商、电信级长话计费系统、ISP运营商和铁路客票系统等

大型