企業(yè)內(nèi)部網(wǎng)絡建設淺析

［摘要］ 企業(yè)內(nèi)部網(wǎng)絡是企業(yè)中十分重要的基礎設施，本文提出企業(yè)內(nèi)部網(wǎng)絡建設應遵循統(tǒng)一規(guī)劃、高可用性、高性能、高擴展性、高安全性和高可維護性等原則，并闡述內(nèi)部網(wǎng)絡建設的主要內(nèi)容，著重討論了網(wǎng)絡平臺的建設。
　?。坳P鍵詞］ 企業(yè)內(nèi)部網(wǎng)絡； 基礎設施
　　企業(yè)內(nèi)部網(wǎng)絡是企業(yè)中十分重要的基礎設施，可以實現(xiàn)企業(yè)內(nèi)部相關部門及下屬單位的數(shù)據(jù)共享、互聯(lián)互通，為各類應用系統(tǒng)提供安全、穩(wěn)定、可靠的工作環(huán)境，滿足各種數(shù)據(jù)傳輸?shù)男枨?。本文從?nèi)部網(wǎng)絡的建設原則、建設內(nèi)容著手，闡述如何建立企業(yè)內(nèi)部網(wǎng)絡，著重討論了網(wǎng)絡平臺的建設。
　　
　?。苯ㄔO原則
　　
　　企業(yè)內(nèi)部網(wǎng)絡建設應遵循以下原則：統(tǒng)一規(guī)劃、高可用性、高性能、高擴展性、高安全性和高可維護性。
　　統(tǒng)一規(guī)劃：明確內(nèi)部網(wǎng)絡在規(guī)劃期內(nèi)的規(guī)模，確定總體需求，既能滿足企業(yè)當前需求，又充分考慮將來整個網(wǎng)絡系統(tǒng)的投資保護和對新應用的支持。
　　高可用性：要求關鍵網(wǎng)絡設備具有單點失效保護，能夠?qū)崿F(xiàn)故障預警、報警，以及良好的故障應急處理能力。如在出現(xiàn)有限個數(shù)的交換機、防火墻等設備故障等情況下，內(nèi)部網(wǎng)絡可以繼續(xù)工作，不影響業(yè)務處理。
　　高性能：內(nèi)部網(wǎng)絡傳輸?shù)男畔㈩愋椭饕幸曨l、語音、業(yè)務數(shù)據(jù)及管理數(shù)據(jù)等。為了及時、迅速地處理網(wǎng)絡上傳送的各種數(shù)據(jù)，網(wǎng)絡設備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡高吞吐能力，滿足各種應用對網(wǎng)絡帶寬的需求。
　　高擴展性：由于內(nèi)部網(wǎng)絡是一個長期使用重要的基礎設施。日后隨著企業(yè)規(guī)模擴大和業(yè)務量的增長，對內(nèi)部網(wǎng)絡性能的需求可能會超出預期，當內(nèi)部網(wǎng)絡的處理能力不夠時，要求可以在原有網(wǎng)絡架構的基礎上實現(xiàn)靈活擴展。這要求網(wǎng)絡設備必須符合國際標準和支持業(yè)界統(tǒng)一標準的相關接口，選擇廣泛應用的網(wǎng)絡標準協(xié)議，能夠與各級下屬單位網(wǎng)絡、ＩＳＰ網(wǎng)絡以及其他相關網(wǎng)絡實現(xiàn)可靠的互聯(lián)。
　　高安全性：具有良好的網(wǎng)絡安全能力和應用靈活的安全策略。通過網(wǎng)絡分區(qū)、防火墻策略、入侵檢測、終端準入等手段來加強網(wǎng)絡的安全性。
　　高可維護性：維護便捷簡單，盡量減少設備宕機檢修時間，特別是減少進行故障修復、網(wǎng)絡擴展和變更時的宕機時間，能夠提供友好、全面的監(jiān)控工具，減少網(wǎng)絡管理的漏洞風險，增強網(wǎng)絡管理維護性能。
　　
　?。步ㄔO內(nèi)容
　　
　　企業(yè)內(nèi)部網(wǎng)絡建設主要內(nèi)容包括：網(wǎng)絡平臺、ＩＰ地址劃分、中心機房網(wǎng)絡分區(qū)、桌面安全管理、網(wǎng)絡安全、網(wǎng)絡管理及運維。
　?。玻本W(wǎng)絡平臺
　　企業(yè)內(nèi)部網(wǎng)絡平臺建設通常有兩種架構：二層架構和三層架構。二層架構包括：核心層、匯聚層。三層架構包括：核心層、匯聚層和接入層。由于技術進步，目前用于組網(wǎng)的交換機基本上具有三層交換功能，因此不用過多考慮二層交換和三層交換之間路由的問題。
　　核心層通常部署兩臺核心交換機，實現(xiàn)負載均衡和單點失效保護，核心交換機通常部署在企業(yè)中心機房。
　　匯聚層通常指樓層交換機，通常部署在樓層弱電間，每個匯聚交換機同時接入到兩個核心交換機，以增強網(wǎng)絡的可用性。如果一個樓層匯聚交換機的端口不夠用時，可以放置多臺交換機，通過堆疊的方式虛擬成一臺更多端口的匯聚交換機。對于穩(wěn)定性要求高的網(wǎng)絡，亦可以在匯聚層放置冗余設備，以實現(xiàn)該層設備的負載均衡和單點失效保護。二層架構中該層具有接入和匯聚雙重作用，桌面客戶端通過樓層布線或者網(wǎng)線接入該層。
　　三層架構中的接入層通常是指辦公室接入交換機，通常部署在工作區(qū)配線架或者弱電間，每臺接入層交換機與一臺或者多臺匯聚層交換機連接。對于穩(wěn)定性要求高的網(wǎng)絡，亦可以在接入層放置冗余設備，以實現(xiàn)該層設備的負載均衡和單點失效保護。桌面客戶端通過樓層布線或者網(wǎng)線接入該層。
　　兩種架構的差別主要在于二層架構中沒有接入層，其匯聚層具有接入和匯聚雙重作用。
　?。玻保倍蛹軜嫷膬?yōu)缺點
　?。玻保保眱?yōu)點
　　可用性高。匯聚層（也是接入層）直接雙上聯(lián)核心，減少中間環(huán)節(jié)。傳輸路徑短，數(shù)據(jù)流從一個區(qū)域到另一個區(qū)域，路徑只需經(jīng)過“接入→核心→接入”，數(shù)據(jù)就可以傳輸?shù)綄Χ?，?yōu)化了網(wǎng)絡路徑。
　　性能高。匯聚層（也是接入層）直接與核心交換機相連，帶寬的收斂比小，實際分配給每一個終端的帶寬大，保證時延最小。
　　２．１．１．２缺點
　　擴展性弱。當用戶的數(shù)量增加時，需要在匯聚層增加交換機接入核心交換機，或者通過在匯聚層增加交換機，使用堆疊方式或級聯(lián)方式實現(xiàn)。
　　安全性低。安全策略只可以分布在匯聚層交換機和核心交換機上。
　　可維護性低。網(wǎng)絡變更往往影響到核心交換機。
　?。玻保踩龑蛹軜嫷膬?yōu)缺點
　　２．１．２．１優(yōu)點
　　可擴展性強。當用戶的數(shù)量增加時，可通過在接入層增加交換機，直接與匯聚層交換機相連提供擴展，擴展變更僅影響限定在此區(qū)域的匯聚層交換機，不會影響核心交換機。
　　安全性高。安全策略可以分布在接入交換機、匯聚層交換機和核心交換機上。
　　可維護性高。網(wǎng)絡變更對核心交換機影響小，除了新增匯聚層交換機，需要對核心交換機進行配置外，一般只影響到匯聚層交換機。匯聚層交換機故障，只會影響匯聚區(qū)域內(nèi)的接入，其他匯聚區(qū)域不受影響。
　?。玻保玻踩秉c
　　可用性低。數(shù)據(jù)傳輸路徑變長，數(shù)據(jù)流從一個區(qū)域到另一個區(qū)域，需要經(jīng)過“接入→匯聚→核心→匯聚→接入”，才能將數(shù)據(jù)傳輸?shù)綄Χ?，增加了路徑的物理長度。
　　性能低。帶寬相應降低，雖然匯聚到核心可通過鏈路捆綁或萬兆接口的方式增加帶寬，但仍會出現(xiàn)當區(qū)域之間的數(shù)據(jù)互通時，匯聚層到核心層帶寬爭用的問題。
　　２．１．３綜合分析
　　綜上所述，兩種架構優(yōu)缺點對比見表1。
　　
　　表１僅為二層架構與三層架構之間的相對對比，不是對兩種架構性質(zhì)的絕對分析。實際應用中，二層架構更加適用于樓宇等接入密度較高的內(nèi)部網(wǎng)絡建設，三層架構更加適用于物理范圍廣、接入密度低的內(nèi)部網(wǎng)絡建設。
　　二層架構和三層架構并不沖突，可以同時運用于一個內(nèi)部網(wǎng)絡建設中，如對于接入密度較高的區(qū)域，客戶端直接接入?yún)R聚層； 對于接入密度較低的區(qū)域，客戶端接入接入層。
　?。玻玻桑械刂穭澐?br/> 　　由于企業(yè)有若干個部門和若干個下屬單位，將來組織結構也可能有變化，有必要對ＩＰ地址進行劃分，來建立若干個子網(wǎng)，制定靈活、可擴展、安全的ＩＰ地址分配策略，以便于網(wǎng)絡管理和增強網(wǎng)絡安全性。
　?。玻持行臋C房網(wǎng)絡分區(qū)
　　中心機房是一個十分重要的區(qū)域，需要對中心機房進行網(wǎng)絡區(qū)域劃分，以增強網(wǎng)絡的安全性。通常劃分幾大區(qū)域：核心交換區(qū)、Ｉｎｔｅｒｎｅｔ訪問接入?yún)^(qū)、廣域網(wǎng)互聯(lián)區(qū)、ＤＭＺ區(qū)、服務器區(qū)等。
　　２．４桌面安全管理
　　內(nèi)部網(wǎng)絡絕大多數(shù)攻擊來自于企業(yè)內(nèi)部，所以桌面安全管理十分重要。桌面安全管理包括：安全接入控制、安全策略管理、資產(chǎn)管理、軟件分發(fā)、補丁管理、員工行為管理。
　　２．５網(wǎng)絡安全
　　內(nèi)部網(wǎng)絡既要滿足內(nèi)部辦公的需要，又要滿足與因特網(wǎng)實現(xiàn)數(shù)據(jù)交換的需要。特別是，保證距離企業(yè)總部物理距離較遠的下屬單位能夠有效地訪問內(nèi)部網(wǎng)絡。各種場景讓網(wǎng)絡安全相對復雜，網(wǎng)絡安全建設主要包括但不限于：
　?。ǎ保?接入交換機的安全。包括：端口安全控制、端口流量控制、廣播抑制、防范ＤＨＣＰ攻擊、防范ＡＲＰ欺騙／中間人攻擊技術、配置Ｖｌａｎ ＡＣＬ等。
　?。ǎ玻?網(wǎng)絡設備自身的安全。網(wǎng)絡設備某些缺省設置會導致安全漏洞，變更這些設置。
　?。ǎ常?防火墻策略。制定精細的防火墻安全策略，不同端口根據(jù)區(qū)域不同劃分不同的安全級別。
　?。ǎ矗?入侵監(jiān)測／防御系統(tǒng)。使用先進的、專用的入侵監(jiān)測／防御設備，實現(xiàn)主動監(jiān)測和防御，并及時將相關信息傳送到網(wǎng)管區(qū)域，能對用戶常用的通訊內(nèi)容進行審計。
　?。玻毒W(wǎng)絡管理及運維系統(tǒng)
　　網(wǎng)絡管理及運維系統(tǒng)的建設包括但不限于：基礎資源管理（如計算資源等）、網(wǎng)絡資源管理（包括拓撲查看、配置管理、設備性能監(jiān)控及告警、資產(chǎn)管理等）、用戶管理、業(yè)務管理、ＶＬＡＮ管理、ＡＣＬ配置管理、流量分析、ＱoＳ管理、用戶接入管理、用戶行為審計等。
　　以上是企業(yè)內(nèi)部網(wǎng)絡建設的主要內(nèi)容，其中， “ 桌面安全管理”、“ 網(wǎng)絡安全”和“網(wǎng)絡管理及運維系統(tǒng)”等內(nèi)容可以參照ＩＴＩＬ、ＩＳＯ ２０００等標準進行建設。
　　綜上所述，企業(yè)在進行內(nèi)部網(wǎng)絡建設時，需要根據(jù)實際情況，參照本文的建設原則和建設內(nèi)容來進行。