企業內部網絡系統建設及管理

江澤峰

（中國電信股份有限公司廣東分公司，廣東 汕頭 515000）

21 世紀是信息化的時代，計算機網絡技術的發展為國內企業繁榮發展提供了巨大的機會，網絡已經成為企業獲取信息的重要途徑。在這樣的形勢下，企業單位迫切需要建立企業內部網絡系統，在提高企業管理效率，為各類應用系統提供安全、穩定、可靠的工作環境，滿足各種數據傳輸的需求、降低成本，為實現企業在21世紀成為市場的贏家，在信息化方面奠定了堅實的基礎。

1 企業內部網絡設計原則

1.1 網絡的安全可靠性

電信行業企業內部相關行業軟件的運行，以及各部門資料的共享都要依靠企業內網平臺，一旦內網出現故障，比如：中斷或阻塞，將直接影響企業業務的正常運轉，可見，可靠性在電信企業內部網絡建設中是至關重要的。

1.2 網絡的可管理性

企業內部網絡設計要簡單、合理、易于開發，便于維護。當出現網絡故障時要易于排除，以有效保障公司業務正常開展。

1.3 靈活性及可擴展性

隨著企業內部業務的開展，客戶端數量會逐步增加，這終將導致企業內網規模的進一步擴大，于是這就要求在設計網絡時要為日后的網絡擴展做好準備，使最終的設計有足夠的彈性，在實際設計時，要在設備選型、網絡設計和應用系統建設中充分體現這一原則。

2 企業內部網絡構架

對于電信企業內部運行的相關管理系統，涉及到企業內部的眾多部門，數據需要在各部門之間傳遞，來完成相應的管理功能。基于以上分析，我們在設計網絡架構時，采用全交換三層網絡結構，從整體上可以將網絡劃分為核心層，匯聚層，接入層三個層次，在此基礎上為企業各部門劃分專屬VLAN，同時在匯聚層采用三層核心交換機實現企業VLAN網絡之間的通信，這將大大改善了VLAN間通信質量，三層交換機具有路由和交換兩種功能，而VLAN間通信就是通過其中的路由功能來實現的（圖1所示）。

3 企業內部網絡技術設計

3.1 核心層設計

核心層通常部署兩臺核心三層交換機，以實現內網負載均衡和單點失效保護，核心交換機通常部署在企業中心機房。在企業核心三層交換機上對各部門客戶端將進行帶寬控制，以有效利用網絡資源。

3.2 匯聚層設計

匯聚層是指樓層交換機，通常部署在企業辦公樓的各樓層間，匯聚層通常采用無網關協議二層交換機，匯聚層應使用與核心層相同結構的冗余節點備份連接，每個匯聚交換機同時接入到兩個核心交換機，以實現最快速的路由收斂并避免黑洞產生。當一臺接入交換機上行鏈路故障時，所有流量將從另一側的交換機上行，以增強網絡的可用性。如果一個樓層匯聚交換機的端口不夠用時，可以放置多臺交換機，通過堆疊的方式虛擬成一臺更多端口的匯聚交換機。對于可靠性要求高的網絡，也可在匯聚層放置冗余設備，以實現該層設備的負載均衡和單點失效保護。

3.3 接入層設計

三層架構中的接入層通常是指各部門辦公室接入交換機，通常部署在各部門工作區內，每臺接入層交換機與一臺或者多臺匯聚層交換機連接。桌面客戶端通過網線接入該層。在接入層采用二層交換機，并做一定措施分隔網絡風暴。當內網用戶的數量增加時，可通過在接入層增加交換機，直接與匯聚層交換機相連提供擴展。

在接入層為企業內網各部門客戶端統一安裝windows2003操作系統，同時全網采用域管理模式，優點是可以為企業不同的用戶配置不同的訪問權限，例如，公司主管，網絡的訪問權限就應較大，可以訪問核心部門的共享資源，以確保內網安全。

4 企業內部網IP分配與VLAN劃分

4.1 基于IP地址劃分VLAN

企業內部網IP規劃是指為企業內部網絡中的所有硬件設備，包括路由器、交換機、服務器、客戶端，分配一個唯一的IP地址，并為其指定適當的VLAN，且為了以后的管理與擴展考慮，IP地址要符合網絡設計規范，還要有規律，容易記憶。此外，由于企業有若干個部門使用內網，將來的組織結構也可能有進一步的變化，因此，有必要對IP地址進行劃分，來建立若干個子網，制定靈活、可擴展、安全的IP地址分配策略，以便于網絡管理和增強網絡安全性。最后，在以上基礎上，還要建立一張企業內部有效的IP地址、MAC地址、用戶名、主機名、所屬部門、網絡端口的對應表格。這樣，在排除故障時，可以通過此表格，快速地定位出相應IP地址所對應的主機和人員，為以后企業網絡日常的維護管理提供了有效保障。

VLAN（Virtual Local Area Network）即虛擬局域網，是一種將局域網內的設備從邏輯上劃分為不同網段的技術，VLAN可以將網絡劃分為不同功能相對獨立的工作組，從而實現虛擬工作組（單元）的數據交換技術。同一個VLAN中的成員都共享廣播，一個VLAN內部的廣播和單播流量被限制在本VLAN之內，不同VLAN之間廣播信息相互隔離。從而，將整個網絡邏輯地而不是物理地劃分成多個廣播域。隔離了廣播風暴有助于控制網絡流量、簡化網絡管理、可以隔離各個不同VLAN之間的通訊來提高網絡的安全性。

4.2 企業內部網采用VLAN的優點

(1)簡化網絡管理，限制廣播域。即使同一交換機上連接的計算機，如果不處于同一VLAN，也不能互相訪問，從而有效控制網絡流量。

(2)提高內網安全性。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。如果想連接，需要通路由器或三層交換機等三層設備。

(3)靈活構建虛擬工作組。用VLAN劃分不同的用戶到不同的工作組。同一工作組的不必局限于某一個固定的物理范圍，網絡構建和維護更方便靈活。

5 網絡設備的選擇

5.1 核心層

采用兩個CiscoCatalyst4500交換機，提供冗余鏈路以實現內網負載均衡。

5.2 匯聚層

采用兩個CiscoCatalyst3750E交換機，其提供自動配置智能網絡服務功能、支持融合網絡模式，能夠完美處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路。

5.3 接入層

為各部門采用CiscoCatalyst2940交換機，其可在整個網絡范圍中提供企業級智能服務、先進的IP路由和以太網供電功能。由于接入層交換機的作用主要是提供終端用戶連接到網絡，因此，必須具有高端口密度和低成本特性。

6 企業內部網使用及管理

企業內部各部門客戶端及服務器操作系統要及時更新系統補丁（包括系統漏洞補丁、安全補丁），以確保內網終端設備的正常運行。同時，要制定相應的上網策略進行帶寬管理、接入控制、上網行為控制、外設管理等功能。相應的管理策略如下：

對于U盤、移動硬盤等移動設備在接入公司內網之前，必須先進行查毒，殺毒檢測；

任何人未經同意，不得使用其它部門的電腦；

對郵箱中的可疑郵件不要隨意打開，要先進行病毒檢測；

外來人員不得把終端設備（例如：筆記本等）接入企業內網；

上網人員不得瀏覽與工作無關的網站，不得上網下載或以其他方式帶入任何未經批準使用的程序；

在企業核心三層交換機上對各部門客戶端將進行帶寬控制，以有效利用網絡資源；對企業的核心業務數據要定期做好備份與更新；

結語

目前，計算機網絡的應用正處于一個飛速發展的時期，為適應網絡的不斷發展和企業未來發展的需要，加強企業內部網絡建設是非常有必要的。企業應該結合自身實際情況，確定本單位的具體建設目標和實施方案，同時還要建設有效的使用和管理機制，充分發展企業內部網絡的效果，這樣才能增強企業的競爭力，使企業始終處于不敗之地。

[1]張晶，中小型企業網絡系統設計方案[J].黑龍江科技信息，2007.04X.

[2]羅晶，淺談企業網絡系統建設 [J].理論界，2010(05).