1、中小企業(yè)網(wǎng)絡設計需求分析（上）2008年06月17日 星期二 15:26網(wǎng)絡基礎架構(gòu)同大型企業(yè)相比，中小企業(yè)的規(guī)模較小，應用的類型少而且比較簡單，因此其網(wǎng)絡的基礎架構(gòu)相對簡單，實現(xiàn)起來比較容易一些，投資也會少得多。從目前的網(wǎng)絡技術(shù)和應用的發(fā)展趨勢來看，對于中小企業(yè)，采用基于TCP/IP協(xié)議組的以太交換網(wǎng)模式是最適合的。經(jīng)過幾年的發(fā)展，以太交換技術(shù)和產(chǎn)品都十分成熟，網(wǎng)絡的實現(xiàn)和管理都很簡單，維護量也小，并且可以向未來的發(fā)展進行平滑的升級和過渡。1通信子網(wǎng)的架構(gòu) 中小企業(yè)的網(wǎng)絡通常由單個節(jié)點構(gòu)成，網(wǎng)絡工作站數(shù)量較少且接入比較集中，因此核心網(wǎng)絡設備選擇100M的以太交換機就可以了。所有的網(wǎng)絡工作站和

2、應用服務器通過五類雙絞線接入到交換機中構(gòu)成一個集中接入的星型網(wǎng)絡結(jié)構(gòu)，每一臺計算機可以獨占100M的帶寬。當中心交換設備需要由多個交換機構(gòu)成時，建議交換機選擇可以堆疊的交換機，可堆疊的交換機之間進行交換時利用帶寬很高的內(nèi)部總線，可以保證每臺接入的計算機都具有100M的帶寬。當工作站到中心交換設備的距離超過100m時，可以在工作站和中心交換機之間設置一臺交換機，以級聯(lián)的方式與中心交換機連接，工作站接入到級聯(lián)的交換機中，不過這些工作站只能共享100M的傳輸帶寬。網(wǎng)絡連接的簡單示意圖見圖1 由于以太網(wǎng)以數(shù)據(jù)廣播的方式進行工作，當一個網(wǎng)絡中的工作站較多時，網(wǎng)絡通道就變得比較擁塞，網(wǎng)絡的性能也就隨之較低

3、。為了改善這種情況，可以采用VLAN技術(shù)將一個網(wǎng)絡劃分為幾個邏輯上相互獨立的虛擬局域網(wǎng)，即VLAN。通過VLAN技術(shù)，廣播信息被限制在每個VLAN中，而不再是整個網(wǎng)絡，并且各個子網(wǎng)之間不能直接通信，不但可以減輕網(wǎng)絡負載，而且可以提高網(wǎng)絡通信的安全性。如果希望用VLAN技術(shù)來規(guī)劃整個網(wǎng)絡，那么在選擇交換機時，要求設備必須支持802.1Q標準，這樣可以跨越交換機來定義同一個VLAN，也可以在VLAN中使用多個廠家的產(chǎn)品。劃分了VLAN后，各VLAN之間的通信需要第三層設備的支持。實現(xiàn)的方法是在網(wǎng)絡中設置路由器或三層交換機。傳統(tǒng)的路由器基于軟件，協(xié)議復雜，數(shù)據(jù)轉(zhuǎn)發(fā)速度比較慢；而三層交換機集成了第二層

4、的數(shù)據(jù)交換技術(shù)和第三層的數(shù)據(jù)轉(zhuǎn)發(fā)技術(shù)，特別是它對于數(shù)據(jù)包的轉(zhuǎn)發(fā)是通過硬件來完成的，處理效率非常高，完全可以匹配局域網(wǎng)高速的傳輸速度。因此，在構(gòu)建采用VLAN技術(shù)的網(wǎng)絡時，最優(yōu)的選擇是以三層交換機作為網(wǎng)絡核心。 23.Internet接入 對Internet資源的訪問，最終都是通過資源所具有的惟一的公有IP地址實現(xiàn)的。對于一個內(nèi)部網(wǎng)絡，每一臺工作站和應用服務器的IP地址均為內(nèi)部專有的地址，以這樣的IP地址是不能訪問Internet資源的。因此，要實現(xiàn)一個內(nèi)部網(wǎng)絡對Internet的訪問，必須在內(nèi)部網(wǎng)絡和Internet之間設置一個具有網(wǎng)絡地址轉(zhuǎn)換功能（NAT）的設備，對于從內(nèi)部網(wǎng)絡向外發(fā)出的IP

5、數(shù)據(jù)包，NAT設備可以將數(shù)據(jù)包中所包含的源IP地址和源TCP/IP端口號等信息轉(zhuǎn)換為可以在Internet上使用的公有IP地址和可能改變的TCP/UDP端口號；而當Internet主機響應的數(shù)據(jù)包流入內(nèi)部網(wǎng)絡時，NAT將數(shù)據(jù)包中包含的目的IP地址和目的TCP/UDP號等信息轉(zhuǎn)換為專有IP地址和最初的TCP/UDP端口號，從而對外部屏蔽了內(nèi)部網(wǎng)絡的IP地址。4.選擇自己的接入方式 企業(yè)可以根據(jù)自己的需要來選擇相應的Internet接入模式，如果允許登錄Internet的工作站數(shù)量少，并且只是進行信息的瀏覽，可以選擇撥號的方式。在一臺計算機上安裝相應的代理軟件作為代理服務器，由代理服務器執(zhí)行地址轉(zhuǎn)

6、換的功能，代理服務器通過Modem、ISDN或ADSL等接入設備與Internet進行連接，其他的工作站則通過代理服務器對Internet進行訪問。最簡單的例子，在一個小型的內(nèi)部網(wǎng)絡中，選擇一臺基于Windows 98或Windows 2000的工作站作為代理服務器，啟用這臺計算機中Windows 98/2000內(nèi)嵌的Internet連接共享功能，就可以實現(xiàn)內(nèi)部網(wǎng)絡對Internet的訪問了。這種方式的投資很小，也不需租用專線的費用，但這種方式只適用于小型的網(wǎng)絡，而且只能對Internet的資源進行訪問，不能向外部發(fā)布信息。 另外一種模式就是企業(yè)通過租用電信部門的專線將自己的內(nèi)部網(wǎng)絡與Inte

7、rnet形成相對固定的連接，這樣不但可以充分利用Internet上的信息資源和各類服務，而且可以通過Internet有限制地向外部公布或發(fā)布企業(yè)信息，也就說要將企業(yè)的網(wǎng)絡逐步向Intranet過渡。在這種接入模式中，由于是內(nèi)部專有網(wǎng)絡與公用網(wǎng)絡進行連接，因此需要在內(nèi)部網(wǎng)絡的邊界處設置一臺路由器，路由器工作在網(wǎng)絡層，它可以根據(jù)網(wǎng)絡層分組的IP地址通過查找路由表確定分組輸出的路徑，從而實現(xiàn)兩個網(wǎng)絡的互通。在內(nèi)部網(wǎng)絡安全方面，需要在網(wǎng)絡中設置一個防火墻，防火墻一端連接邊界路由器，一端與內(nèi)部網(wǎng)絡的交換機相連。所有的內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的通信都必須通過防火墻進行檢查和連接，通過在防火墻中制定相應的訪問

8、策略，可以有效地將不符合規(guī)則的數(shù)據(jù)包阻隔在內(nèi)部網(wǎng)絡之外，防止外界對內(nèi)部網(wǎng)絡資源的非法訪問；同時防火墻也可以防止內(nèi)部工作站對外部網(wǎng)絡進行的不安全訪問。防火墻可以以透明模式和NAT模式兩種方式工作，如果網(wǎng)絡中存在NAT設備，可以將防火墻設置為透明的工作模式；如果網(wǎng)絡中沒有NAT設備，那么可以利用防火墻的NAT功能進行網(wǎng)絡地址轉(zhuǎn)換。由于防火墻的NAT功能由硬件完成，其處理速度比起軟件要快得多，因此如果網(wǎng)絡中的原有的NAT功能由軟件實現(xiàn)，建議將防火墻設置為NAT模式，并禁用由軟件實現(xiàn)的NAT功能。服務器設置方面，除了要設置Web服務器外，企業(yè)可以根據(jù)需要設置相應的電子郵件服務器、FTP服務器和DNS服

9、務器。這些服務器不僅能讓內(nèi)部網(wǎng)絡訪問而且要提供外部網(wǎng)絡的訪問。將它們放置在防火墻的非軍事區(qū)，從而將網(wǎng)絡中的應用服務器與外部訪問完全隔離開來，提高了內(nèi)部網(wǎng)絡的可靠性。服務器的選擇 服務器是網(wǎng)絡的重要組成部分，服務器的性能往往決定了網(wǎng)絡應用的性能。一般情況下，由于網(wǎng)絡產(chǎn)品的功能、性能與價格是成正比的，因此，要根據(jù)具體的需求和應用程度來選擇服務器。對于關(guān)鍵業(yè)務的數(shù)據(jù)庫服務器或者Web/Mail服務器通常選擇性能較高的企業(yè)級PC服務器，而DHCP/WINS服務器、防病毒服務器、DNS服務器和代理服務器由于工作負載較小，用配置較高的PC或部門級的PC服務器來擔當就可以了。中小企業(yè)網(wǎng)絡設計需求分析（下）2

10、008年06月17日 星期二 15:325。有效利用VPN技術(shù)目前，防火墻產(chǎn)品通常都集成了VPN功能，這也為遠程用戶和企業(yè)的分支機構(gòu)訪問企業(yè)內(nèi)部網(wǎng)絡資源提供了一個非常好的途徑。通常情況下，一個網(wǎng)絡要提供遠程用戶或分支機構(gòu)進行訪問的能力需要采用遠程訪問服務器、Modem池、電話交換機以及足夠的通信線路來構(gòu)造專門的遠程訪問系統(tǒng)，這樣做不但需要較大的投資，而且通信的安全性也得不到足夠的保證。而在VPN方式下，VPN客戶端（遠程用戶或分支機構(gòu)）和設置在內(nèi)部網(wǎng)絡邊界的VPN服務器（防火墻或?qū)Ｓ玫腣PN服務器）使用隧道協(xié)議，利用Internet或公用網(wǎng)絡建立一條“隧道”作為傳輸通道，同時VPN連接采用身份

11、認證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過程中受到偵聽和篡改，從而保證了數(shù)據(jù)的完整性、機密性和合法性。通過VPN方式，企業(yè)可以利用現(xiàn)有的網(wǎng)絡資源實現(xiàn)遠程用戶和分支機構(gòu)對內(nèi)部網(wǎng)絡資源的訪問，不但節(jié)省了大量的資金，而且具有很高的安全性。這種方式對中小企業(yè)的Intranet尤其適用，實現(xiàn)起來也比較方便。VPN服務器可以由內(nèi)部網(wǎng)絡的防火墻來擔當。對于客戶端，如果為遠程用戶，可以利用Windows 98或Windows 2000系統(tǒng)中內(nèi)嵌的虛擬專用網(wǎng)絡(VPN)功能，也可以安裝專業(yè)的VPN客戶端軟件；如果為分支機構(gòu)的小型辦公網(wǎng)絡，可以在分支機構(gòu)網(wǎng)絡的邊緣處設置一個具有VPN功能的性能相對較低的防火墻，這樣可以

12、實現(xiàn)在兩個網(wǎng)絡之間利用Internet或公用網(wǎng)絡進行安全通信。6。網(wǎng)絡安全(1). 電源的安全 電源不僅是一個計算機網(wǎng)絡能夠運行的最基本條件，同時電源的安全也是計算機網(wǎng)絡安全運行的最基本要素。這里電源的安全不僅要求為所有的工作站、服務器和網(wǎng)絡設備提供一個高質(zhì)量的電源，同時還要設置良好的接地系統(tǒng)。對于服務器和網(wǎng)絡設備還要設置不間斷電源（UPS）裝置，這不但可以增加網(wǎng)絡的連續(xù)運行能力，而且可以防止因為突然斷電對網(wǎng)絡硬件造成的損壞。特別是服務器，如果正在運行的服務器突然斷電，不但硬件設備可能出現(xiàn)問題，而且操作系統(tǒng)或應用因為沒有正常關(guān)閉可能導致數(shù)據(jù)不能提交或系統(tǒng)不能正常啟動，甚至造成服務器或應用的癱瘓

13、。這是任何一個企業(yè)都不愿看到的。 在網(wǎng)絡建設和維護中，電源是最穩(wěn)定的一個部分，一般情況下，它不會隨著應用的發(fā)展頻繁地升級，因此，中小企業(yè)在構(gòu)建自己的網(wǎng)絡系統(tǒng)時，進行相應的投資建立一個安全的電源系統(tǒng)是非常值得的。(2). 數(shù)據(jù)存儲的安全 保存在服務器中的數(shù)據(jù)是網(wǎng)絡應用的核心，如果由于服務器磁盤故障造成數(shù)據(jù)的損壞或丟失，可能會造成無法估量的損失。因此必須采取相應的容錯及災難恢復手段來加強服務器存儲系統(tǒng)的可靠性。目前，構(gòu)建服務器存儲系統(tǒng)使用最廣泛的技術(shù)是RAID。RAID的實現(xiàn)策略主要是用多個磁盤驅(qū)動器替換單一的大容量的磁盤驅(qū)動器，并將數(shù)據(jù)在各個磁盤上進行分布存放并支持同時在多個磁盤進行并行讀寫，同

14、時利用冗余的磁盤空間將數(shù)據(jù)從錯誤中恢復。由于服務器中構(gòu)成RAID的磁盤通常為熱插拔磁盤，因此磁盤出現(xiàn)故障時，可以不停機地對故障進行修復，增加了網(wǎng)絡系統(tǒng)的連續(xù)工作能力。RAID分為好幾個級別，每個級別在I/O性能和安全性方面各具特點，其中RAID1和RAID5使用最多。RAID1磁盤鏡像。它由磁盤對組成，每一個工作盤都有對應的鏡像盤，保存著和工作盤完全相同的數(shù)據(jù)拷貝。當對邏輯塊進行寫入操作時，工作盤和鏡像盤都進行實時更新。如果磁盤對中任一個磁盤失敗，所有的讀寫請求立刻會轉(zhuǎn)移到另一塊磁盤上。因此它具有最高的可靠性，但它的I/O性能和空間利用率不高，只用50%，適用于訪問量不大但比較注重數(shù)據(jù)安全性的

15、應用環(huán)境。從性能價格比看，中小企業(yè)網(wǎng)絡的應用服務器采用RAID1是非常合適的選擇。RAID5沒有獨立校驗盤的奇偶校驗碼磁盤陣列。RAID5采用了獨立存取技術(shù)，校驗信息分布在陣列內(nèi)的所有磁盤上，如果陣列中有一個磁盤失敗，這個盤中的數(shù)據(jù)可以通過其他盤中的數(shù)據(jù)根據(jù)校驗碼進行異或運算獲得。RAID5至少需要3塊磁盤構(gòu)成，每一塊磁盤上都要占用1/N的空間存放校驗信息（N為構(gòu)成RAID5的磁盤數(shù)量）。由于采用了獨立存取技術(shù)， RAID5對于大、小批量的數(shù)據(jù)讀寫性能都很好，適用于訪問量很大的系統(tǒng)。在中小企業(yè)構(gòu)建網(wǎng)絡時，可以將Web服務器或數(shù)據(jù)庫服務器的存儲系統(tǒng)設置為RAID5。可以根據(jù)RAID的應用級別來選

16、擇相應的服務器，這樣配置起來更方便一些。(3)防病毒設置計算機病毒一直是困擾著計算機和網(wǎng)絡系統(tǒng)的最大問題之一。隨著計算機技術(shù)的不斷進步，計算機病毒也不斷地向智能化和網(wǎng)絡化發(fā)展，具有更強大的攻擊力和破壞性，從以往的破壞軟件系統(tǒng)到現(xiàn)在的攻擊硬件系統(tǒng)和網(wǎng)絡系統(tǒng)，尤其是借助于發(fā)展迅速的Internet和Intranet，計算機病毒可以通過各種渠道迅速地蔓延并實施破壞。如果沒有防范措施的話，一個企業(yè)的計算機網(wǎng)絡很容易因為計算機病毒的攻擊而陷入癱瘓。這對于一個企業(yè)而言，后果可能是致命的。因此中小企業(yè)同樣需要采取相應的防病毒措施來保證網(wǎng)絡系統(tǒng)不受病毒的侵害?？梢圆扇∫韵聝煞N措施：（1）為每臺工作站和服務器安

17、裝單機版的防病毒軟件，每臺計算機定時地下載病毒碼信息并進行更新。這種方式投資小，但是病毒碼信息更新不及時或不同步，不能對最新的病毒做出及時的響應，可能導致網(wǎng)絡系統(tǒng)受到病毒的侵害。（2）安裝網(wǎng)絡防毒系統(tǒng)。這種方式采用客戶機/服務器方式，選擇一臺微機或應用服務器安裝網(wǎng)絡防病毒系統(tǒng)的服務器端軟件，并通過Internet利用防毒系統(tǒng)的在線更新功能實時地進行病毒碼信息的更新。網(wǎng)絡中的所有計算機和服務器均安裝防毒系統(tǒng)的客戶端軟件，利用服務器端獲得最新的病毒碼信息對計算機進行病毒掃描。這種方式雖然投資較大，但是對病毒碼信息進行實時的更新，可以保證網(wǎng)絡不受到病毒的侵害，控制病毒的大肆傳播。(4)防火墻設置 企

18、業(yè)構(gòu)建了Intranet，實現(xiàn)了與Internet的接軌，雖然為企業(yè)業(yè)務的開展和日常的工作、學習帶來了極大的方便，但是我們不得不面對的一個問題就是實現(xiàn)了與Internet的接入，企業(yè)的內(nèi)部網(wǎng)絡就完全地暴露在外界了，也就可能受到各種有意或無意的攻擊。因此建立企業(yè)的Intranet，必須建立網(wǎng)絡的防火墻系統(tǒng)來保證內(nèi)部網(wǎng)絡的安全。由于在Internet接入部分已經(jīng)對防火墻的功能和工作方式進行了相關(guān)的介紹，這里就不再進行過多的描述了。(5)網(wǎng)絡的安全教育 保證網(wǎng)絡的安全不僅需要通過相應的技術(shù)手段從硬件和軟件著手對網(wǎng)絡資源進行保護，對網(wǎng)絡用戶進行網(wǎng)絡的安全教育同樣重要。首先，要建立一套完整的網(wǎng)絡管理規(guī)定和網(wǎng)絡使用方法，并要求網(wǎng)絡管理員和網(wǎng)絡使用人員必須嚴格遵守，否則的話，再先進的網(wǎng)絡安全技術(shù)也不能阻止人為因素對網(wǎng)絡安全造成的威脅。其次，加強對網(wǎng)絡管理員和網(wǎng)絡使用人員的培訓，讓他們明白什么是可以做的，什么是嚴禁做的，可能產(chǎn)生的嚴重后果是什么。對網(wǎng)絡了解得越多，自我約束的能力也就越強。第三，制定合適的網(wǎng)絡安全策略，既不能讓網(wǎng)絡用戶無限制地使用網(wǎng)絡，也不能對用戶限定得太死，引發(fā)用戶設法繞過網(wǎng)絡安全系統(tǒng)、鉆網(wǎng)絡安全策略空子的現(xiàn)象。制定一種