中小企业网络的构建

论文导读：网络作为企业信息化的重要组成平台。并在此基础上形成网络的拓扑结构。路由器作为互联网的节点设备。由于单个交换机的固定端口数量有限。服务器要求应该具有高可靠性和高可用性。网络操作系统(NetworkOperatingSystem。
关键词：网络，拓扑结构，路由器，交换机，服务器，操作系统
 

0 引言

我国信息化的方针是：统筹规划，资源共享。网络作为企业信息化的重要组成平台，与企业的业务结合越来越紧密，不仅可以提高管理的效率和水平，也为企业各类人员提供了丰富的信息服务。中小企业作为构成市场经济的主体，其网络的构建就显得尤为重要。企业网络是企业局域网与Internet相结合的信息交换平台，也就是说它主要有两个组成部分：互联网模块和局域网模块。

鉴于对信息化建设的需求与建设中缺少范例平台的状况，在建设中存在着“散、乱、小”的现象，考虑到网络组建对企业发展的重要作用，本文以浙江省森林资源监测中心的网络建设为例，来详细说明其网络构建的原则、技术基础、方案选择、构建方法等，并在此基础上形成网络的拓扑结构。

浙江省森林资源监测中心(为了方便起见，文中以后简称ZJFR)于2002年在百兆局域网的基础上，通过租用杭州网通HZCNC-BA-TX的1M光纤与互联网进行了对接，并基于HP NetServer LH3000服务器，采用Windows Server 2000操作系统建立了WEB和邮件服务，具备了最基本的网络构架[1]。目前，ZJFR已有员工72人，随着业务的扩展，特别是大量空间数据的应用，原有的网络逐渐难以适应目前工作的需要。2010年3月，伴随新办公楼房的建成，兼顾网络建设的需要，对原有的网络硬件进行了换代扩建，对软件系统也进行了升级。现将网络的建设情况介绍如下，以飨读者。

1 建网的原则

企业网络的建设需要结合实际情况和当今的技术发展趋势，将现实需求和未来的发展方向相结合[2]，在一定的原则指导下进行，这些原则包括了：

(1)先进性原则：采用先进成熟的技术，不仅有利于保护长远的投资，也降低了市场发展带来的风险；

(2)独立性原则：网络结构的设置必须合理清晰，各个子系统内部的变更尽量不影响或少影响其它子系统的使用，以降低断网的几率，同样也便于日常的维护；

(3)可扩充性原则：采用统一标准，保证良好的开放性，以便企业规模扩大时能够方便增加设备，同时，也可方便系统的升级换代。

(4) 安全性原则：网络实现了信息共享，但需要针对不同信息类型和使用权限进行相应的隔离和过滤，以避免泄密和攻击等事件的发生。

2 硬件设备

2.1路由器

路由器作为互联网的节点设备，工作在网络层上，通过路由决定数据的转发，转发的策略也称作路由选择，这也是其名称的由来。由于它可作为不同网络之间互相连接的枢纽，因而成为基于TCP/IP协议的国际互联网络Internet的骨架。路由器的主要生产厂家有思科(Cisco)和华为等，而思科作为世界领先的互联网络厂商，不仅具有丰富的产品线，其独有的IOS系统，也成了业界规范。

ZJFR申请的互联网专线类型是浙江省电信有限公司的10M光纤，IP地址分配资源如下：

子网掩码：255.255.255.240

网 关：115.238.61.193

DNS ：202.101.172.35

202.101.172.46

其中，115.238.61.192和115.238.61.207为系统保留所用，所以实际可用的IP地址为13个。由于地址数量的限制，局域网的IP地址采用了私有地址192.168.x.y。当内部的客户机访问Internet时，此时的路由器作为网关，利用网络地址转换技术(NAT)，负责把私有地址转换为申请的有效地址，从而实现对公共网络的访问[3]。博士论文，交换机。目前使用的路由器为旧有的Cisco 3725，对应申请的资源，在路由器上配置如下：

interface FastEthernet0/0

ip address 115.238.61.195 255.255.255.240

interface FastEthernet0/1

ip address 192.168.0.195 255.255.255.0

ip nat pool router 115.238.61.197 115.238.61.197 netmask 255.255.255.240

ip nat inside source list 100 pool router overload

ip nat inside source static 192.168.0.200 115.238.61.200

ip nat inside source static 192.168.0.201 115.238.61.201

ip route 0.0.0.0 0.0.0.0 115.238.61.193

access-list 100 permit ip 192.168.0.0 0.0.255.255 any

2.2 交换机

传统的共享集线器，它是工作在OSI七层协议第一层上(物理层)，由于所有的网络用户共享同一带宽，随着用户数量的增多，会引起网络性能的下降，目前已逐渐退出市场；交换机的出现，则解决了集线器的瓶颈问题，它主要工作在第二层上(数据链路层)，由于交换机可以同时互不影响地传送信息包，从而提高了网络的实际吞吐量，在网络组建上，也表现出极大的灵活性；然而，由于所有的用户仍然处在同一广播域中，极易产生广播风暴，因此，VLAN(Virtual Bridged Local Area Network)技术的应用，就显得尤为重要，通过将网络划分为虚拟的VLAN网段，不仅可以强化网络管理和安全，也有效地控制了不必要的数据广播，由于不同VLAN网段间不可以直接通讯，必须借助于网络层来实现，所以它工作在第三层上[4]。

由于单个交换机的固定端口数量有限，当其小于实际需求数量时，则需要多个交换机共同完成组网工作。多个交换机之间的连接主要有堆叠和级联两种方式。级联是通过网络端口来实现的，连接的结果是，不同的交换机仍然独立工作，级联数量的增多，必然也引起网络性能的下降；而堆叠则是通过专用的堆叠模块和线缆来完成，一般需要在同品牌设备间实现，在逻辑上它们共同组成一个网络管理设备，提高了端口密度和带宽。

Cisco Catalyst 3750G-48T-S，作为一款适用于中型机构的创新千兆产品，其采用了独有的StackWise技术，具有高密度和RIP、OSPF、EIGRP等高级三层特性，在端口安全访问上也具有良好的功能，因此，ZJFR购置了2台该设备，采用堆叠方式组成核心交换机。而同时，根据职能部门的划分情况，采用地址192.168.x.y/24，进行了VLAN划分(其中，x为部门编号，y为对应部门的客户端编号)。

2.3 服务器及磁盘存储

服务器要求应该具有高可靠性和高可用性，并具备容错技术，IBM和HP无疑是服务器的首选品牌。与传统的通用塔式服务器相比，机架式对服务器的管理更具有优势，采用多电脑切换器KVM(KeyBoard,Video and Mouse，KVM)以及电源分配单元(Power Distribution Unit，PDU)，结合机柜封装，可轻松部署、集成和管理，具有很大的灵活性。IBM X3650 M2，作为IBM的性能功耗比大幅提升的新一代2U服务器，采用了Intel至强5550系列处理器，并最大支持128G的DDR-3内存。对应内部的WEB、邮件和数据存储需要，ZJFR采用了3台该设备，配置均为2个4核X5500处理器，16G内存，6个SAS硬盘。正是由于采用了64位处理器技术，相对于传统的32位，使得可以进行更大范围的整数运算，也可以支持更大的内存。

IBM DS3200 磁盘存储系统，采用了3Gbps 的SAS接口，可安装12个SAS或SATA硬盘，并且可以采用EXP3000进行扩展，借助SAS HBA PCI-E 控制器，可轻松与服务器进行连接。因此，文件及数据库采用了该设备进行管理。配置为12个1TB的SATA硬盘。

RAID(Redundant Array of Independent Disk)，是“独立磁盘冗余阵列”的缩写，它允许将多个磁盘分组，可提供数据保护所必需的数据冗余，同时也可以改善性能，常用的RAID级别有0、1、5、10等。RAID0采用“条带”(striping)技术，允许从多个磁盘上同时存取信息，因而是一个没有冗余的高性能选择；RAID1也被称为镜像，与RAID0刚好相反，追求的是最大的冗余度，采用2个硬盘以双工的方式将一个磁盘上的数据同时复制到另外一个磁盘上，具备最高的数据安全性；RAID5不对存储的数据进行备份，而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上，当RAID5的一个磁盘数据发生损坏后，利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据，RAID5可以理解为是RAID0和RAID1的折衷方案；RIAD10则同时集中0和1的优点，不仅数据跨盘存取，而且每个磁盘都有一个镜像。比较RAID的各个级别，在综合考虑性能和安全性的基础上，对磁盘的阵列级别选择了RAID10。

2.4 防火墙

防火墙是为了保护内部网络免受外部攻击的防护设备，它是一个广义上的称呼，根据防护的侧重点不同，主要分为传统的DOS(拒绝服务攻击)防火墙和垃圾邮件防火墙等。

(1) 传统的防火墙

作为逻辑上的过滤器、限制器和分析器，防火墙已成为内部网络与互联网之间交互的必备的隔离安全保护层。在部署模式上，一般有工作在三层协议上的NAT和路由模式、基于二层协议的透明模式三种方式。在防火墙上，实现了以下功能：①各种攻击行为的监测，如Tear-drop、syn-flood、ping-of-death、udp-flood等；②设置外部用户对内部资源的访问权限，如只允许对WEB和邮件服务器相关端口的访问；③约束内部用户对互联网资源的访问，如对一些游戏、股票、下载等端口的屏蔽等。在淘汰原有的NetScreen-25后，更换的设备采用了Juniper SSG520M。博士论文，交换机。

 1/2    1 2 下一页 尾页