中小企业网络的构建

当今的垃圾邮件和病毒传播速度快、范围广，通过对ZJFR的2010年4月22日至5月12日期间的邮件统计分析，有效邮件的比例仅为0.63%，而垃圾信息的比例高达98.94%，这就要求采取自适应的系统，以快速响应的方法来保护邮件服务的正常运行。反垃圾邮件网关是只对邮件数据包进行过滤的防火墙，该产品主要有梭子鱼(Barracuda)、迈克菲(McAfee)等，两款产品都基于Linux系统，通过“蜜罐”原理，经过多层过滤机制，二者对垃圾邮件的识别率分别达到了98%和99%。ZJFR采用的McAfeeEmail and Web Security Appliance 3000型号，运行的系统为5.5版本，从采用后的跟踪结果来看，也验证了其有效的防护性能。

2.5 其它

其它的与硬件有关的部分，如网络线路采用了康普(CommScope)SYSTIMAX 6类双绞线，而一些公用的打印输出设备，则通过配置IP地址，在交换机上定义访问策略，保证了拥有许可权限用户的访问。

3 软件

3.1 操作系统

网络操作系统(Network Operating System，NOS)，是向网络计算机提供网络通信和网络资源共享功能的操作系统。通常网络操作系统都是运行在服务器之上的，所以有时也把它称为服务器操作系统。博士论文，交换机。目前使用较多的是Windows、UNIX、Linux等。UNIX是通用、多用户、多任务的分时操作系统，具有移植性好、高可靠性的特点，主要用在大型设备上；源代码开放的Linux，具备许多UNIX的功能和特点，却无需UNIX的高额费用，但是应用软件支持不足；全球最大的软件开发商Microsoft开发的Windows系列，因为其具备统一的图形窗口界面和操作方法，有着易用性和兼容性、丰富的应用程序等特点，性价比也高，因此拥有最大的用户群。根据权威市场调研机构Net Application于2010年5月的统计数据，Windows市场份额为91.28%，而Linux只有1.13%，因此，Windows平台在中小网络组建中成为首选。

作为最新版本的服务器操作系统，Windows Server 2008包括了以下几个版本：Standard(标准)、Enterprise(企业)、Datacenter(数据中心)、Web(WEB服务器)、Itanium(安腾版)[5]。其中Itanium版本针对Itanium CPU，而WEB版则只包含了WEB应用部分，因此，选择的局限在前三者。在硬件允许的前提下，决定其选择的主要因素往往是价格，而企业版从性价比来说，往往成为最优选择。对于每个版本，同时存在32位和64位平台，随着64位时代的到来，64位计算架构已是大势所趋，其寻址内存大大增加，突破4G内存的限制。以ZJFR采用的企业版为例，其支持多达8个CPU，对内存的支持也达到了2TB。博士论文，交换机。

活动目录是Windows Server 2008网络体系的基本结构模型，也是其核心支柱。活动目录是动态的，以树状层次结构，包含服务功能的目录，经过安装后，服务器升级为域控制器。ZJFR网络以申请的域名zjfr.cn为基础(备案号为：浙ICP备05004506号)，建立DNS服务器srv.zjfr.cn，采用IP地址为115.238.61.200，并以此为核心来实现网络的组建。

3.2 DNS、IIS与网站建设

DNS是负责把难记的IP地址转换成简明易记的域名，DNS服务器在网络组建中是一项重要的内容，承担了域名解析的任务，它由各种资源记录组成，其中常用的为主机记录和邮件交换器记录。

由于WEB服务可以轻松地实现信息共享和资源分享，通过超文本传输协议，基于请求/响应模式，使得访问客户极易实现与网站的交互操作。而Windows Server 2008所附带的Internet InformationServer (IIS)7.0则是目前最流行的WEB服务器产品之一，它提供了一个图形界面的管理工具，用于监视和配置Internet服务，很多应用系统，也是基于它来实现，如Exchange Server2007等。由于IIS7采用了模块化思路，在降低安全隐患的同时，性能也得到了增强，ZJFR的网站www.zjfr.cn亦采用它进行创建。其它的WEB服务器系统还有WebSphere、Apache等。对应申请的域名，分别在两台服务器上建立主机记录：

www.zjfr.cn 192.168.0.200

www.zjfr.com 192.168.0.201

由于具备两个域名，需要对各个域名向主域名产生映射，因此在www.zjfr.com上的default.htm文件中进行定义，从而实现向主域名www.zjfr.cn的自动跳转：

根据林业调查规划、森林资源和环境监测的需要，ZJFR的网站以浙江省森林资源为特色，包括了中心概况、新闻动态、通知公告、技术规程、项目成果、林业科技、下载中心、技术论坛等内容，极大地宣传了林业调查工作，也方便了基层林业部门的信息访问需求。博士论文，交换机。

3.3 邮件系统

邮件作为日常工作中不可缺少的内容，成为业务联系的主要途径之一，而采用自己的域名作为邮件后缀创建自己的邮件服务器更是具有诱惑力。邮件交换器记录是用于将域名映射为交换或转发邮件的计算机名称，该MX记录用于在目标地址中使用DNS域名为客户机的访问定位邮件服务器。电子邮件在发送与接收过程中都要遵循SMTP和POP3协议，它们分别负责电子邮件的发送和接收，所使用的TCP端口分别为25和110。采用115.238.61.201，建立了邮件服务器mail.zjfr.com，并搭建了邮局@zjfr.com。

Microsoft Exchange Server 2007作为全新的信息管理平台，它的主要功能是信息管理和协同作业[6]。它可以集成Windows Server 2008的用户库，不仅可以通过OutlookExpress进行收发操作，也可以采用Microsoft OWA进行管理，访问方式为https://mail.zjfr.com/owa。

3.4 数据库系统与磁盘存储配额空间

在常用的关系型数据库中，Oracle和SQL Server为主流产品。相比于Oracle高昂的购买费用、日常维护成本以及使用的复杂性，SQL Server在中小型规模表现出了高性价比，在功能、可伸缩性、性能、易用程度上都成为理想的选择。不仅网站需要通过数据库来存贮数据，瑞星杀毒软件的日志也需要保存，另外，主要业务数据都利用它进行存储管理并提供访问服务。SQL Server 也拥有多个产品系列，常用的主要有Standard、Enterprise等，而每个版本又分为X86、X64和IA64不同的类型，以满足不同的需要[7]。根据操作系统平台，服务器的环境以及业务数据量的需要，ZJFR选购的是标准版(Microsoft SQL Server 2008 Standard Edition X64/2 Proc)。

利用Windows 的NTFS功能，按照磁盘配额的方式根据不同用户的需求，在IBM DS3200上为每位员工划分了独立的磁盘空间，并设置了磁盘配额限制和警告级别，以利用其RAID10的安全性，保证工作人员数据的异地备份数量，避免重要文件因意外故障而损坏或丢失。

3.5 病毒防护

计算机病毒由于其传染、破坏、隐蔽、触发等特点，成为威胁网络安全的主要因素之一，因此利用反病毒软件，对其进行监控识别、扫描、清除成为网络安全的重要保障。常见的反病毒软件主要有瑞星(Rising)和诺顿(Norton)等。而拥有自主知识产权的国产软件瑞星，不仅拥有全面的产品系列，并成为微软MAPP(Microsoft Active Protection Program)的合作伙伴，因此对Microsoft 产品系列具备及时跟踪更新的优势。瑞星的软件分为个人和企业两种不同的版本，企业版本根据用户规模不同，也分为不同的级别。ZJFR所采用的Rising 2010企版，包括了系统中心、服务器端、客户端、管理控制台等组成部分，从而实现了同一管理的安全策略，保障了整个网络的安全。

4 网络拓扑结构

建筑物综合布线(Premises Distribution System,PDS)是建筑技术与信息技术相结合的产物，也是网络组建的工程基础。一般将网络划分为工作区、水平布线、干线、设备间、管理、建筑群等子系统[8-9]，根据所选择的硬件设备和软件系统, 以康普6类非屏蔽双绞线为连接线路，最后形成网络拓扑结构(见图1)。由于组建的网络为千兆速率，与百兆速率相比，对应的网络设备端口密度大，功率高，散发的热量也大，因此，保证在正常温度环境下，是其稳定运行的重要保障条件。由于建筑里所有的工作区距离设备间(中心机房)的距离均在100米以内，因此，在布线工程中，并未将干线与水平线进行区分，而是由工作区直接到设备间，这样不仅节省了成本，也保证了网络的稳定性。传统的分支交换机一般属于管理子系统范畴，多采用了建筑中的弱电井存放，这很难保证网络设备的温度条件以及无尘要求。

4.1 服务器地址

对于WEB和邮件服务器，由于在物理位置上都位于网络内部，采用的也是私有地址，因此，在路由器上采用NAT技术与公网地址进行了转换，分别为：

192.168.0.200/115.238.61.200

192.168.0.201/115.238.61.201

数据库服务器和一些公用的输出设备，则仅限于内部访问，因此，只设置私有地址，并与服务器公用一个网段。

4.2 防火墙安装模式

对所有的防火墙设备，为了降低管理的复杂程度，均采用了透明(transparent)模式，这样增加了设备的独立性，其改动也不会影响其它的网络设备。为了对其管理，在Juniper SSG520M上，通过对VLAN1设置地址115.238.61.194；在McAfee Email and Web Security 3000上设置IP地址192.168.0.101，分别对这些设备进行日常维护。

4.3 VLAN划分

由于核心交换机采用了2台Cisco Catalyst 3750G-48T-S堆叠而成，为了避免网络广播风暴，并对不同部门的访问权限进行不同区分，按照不同的职能部门，对端口进行了VLAN划分。基于端口是从物理层进行的划分方式，也是最常用的方式，配置起来也最为简单，详细定义如表1。

另外，为了防止IP地址的非法盗用，避免用户随意修改地址而引起冲突，在交换机上对MAC和IP地址进行了绑定，从而实现了专人专用IP的管理制度。以交换机1上的11号端口为例，其MAC地址为0024.7e6b.c854，IP地址为192.168.10.5，在交换机上配置如下：

图1 网络拓扑结构图

表1 VLAN划分表

(1) 建立MAC地址访问控制列表

mac access-list extended mac1011

permithost 0024.7e6b.c854 any

permitany host 0024.7e6b.c854

(2) 建立IP地址访问控制列表

ip access-list extended ip1011

permitip host 192.168.10.5 any

permitip any host 192.168.10.5

(3) 在端口上应用定义的访问列表

interface GigabitEthernet1/0/11

switchportaccess vlan 10

ipaccess-group ip1011 in

macaccess-group mac1011 in

同理，可以对所有的与交换机连接的设备进行端口、MAC、IP三者的绑定操作。

5 讨论

本文只是针对中小企业规模的机构进行了论述，在此基础上，适当降低设备和系统配置，可以在工作组级别上实现，而提高硬件和软件系统的级别，也可以扩充到大型企业级规模。诚然，技术是网络组建的主要考虑因素，在网络的组建中，也是尽量选择高性能的设备；但是网络的构建往往受到经费的制约，因此，高的性价比才是综合考虑的依据。另外，设备采购方式、地方政策等多种非技术因素的影响，有时候也起着重要的作用，因此，网络的构建应该综合考虑各种因素。另外在网络组建设备的选择中，重要的经验还有：

(1) 厂家的品牌因素：网络的核心设备决定了整个系统的稳定性，因此，厂商的口碑因素有着很大影响，如IBM、Cisco、Microsoft等，这些公司具备优秀的产品性能、良好的售后服务、雄厚的研发实力等。

(2)整合成本：在网络建设中，包括了多种设备及系统软件，正是因为组成部分的多元化，会带来一系列的整合问题，如高昂的维护成本、设备之间的兼容性问题、设备之间速率的瓶颈等。因此，采用同一品牌的设备，有着明显的优势，如ZJFR的网络核心构架主要采用了Cisco的设备等。博士论文，交换机。

(3)普及度的影响:移植成本、培训成本、管理成本低，这是大众化产品的优势。如在软件系统上，主要采用了微软的系统平台，在打印输出设备上，主要采用HP的产品等。

另外，在网络的建设上也需要采取分步骤、分阶段、分主次的实施思路；同时，还需要重视管理的作用，尤其是管理制度在网络运营中的作用。

参考文献：
[1]翁卫松,陈春雷.浅谈省级森林资源监测中心网络的构建[J].华东森林经理,2003,17(2):67-70.
[2]王庆春,吴彦,王艾树.中小型企业网的构建及应用[J].软件导刊,2009,8(8):136-137.
[3]美David Hucaby &Steve McQuerry著,张辉译.Cisco现场手册:路由器配置[M].北京:人民邮电出版社,2002.
[4]王达.Cisco/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[5]赵江,张锐.非常网管—Windows Server 2008配置与应用指南[M].北京:人民邮电出版社,2008.
[6]李蔚泽.精通Exchange Server 2007企业信息平台实战彻底攻略[M].北京:清华大学出版社,2008.
[7]RobinDewson著，董明等译.SQL Server 2008基础教程[M].北京:人民邮电出版社,2009.
[8]郭绍华.综合布线系统[J].电源技术应用,2009,12(9):10-12.
[9]黎连业.网络工程与综合布线系统[M].北京:清华大学出版社,1997.
 

 2/2   首页 上一页 1 2