《中小企业网络设计需求分析》由会员分享,可在线阅读,更多相关《中小企业网络设计需求分析(5页珍藏版)》请在金锄头文库上搜索。
1、中小企业网络设计需求分析(上)2008 年 06 月 17 日 星期二 15:26网络基础架构同大型企业相比,中小企业的规模较小,应用的类型少而且比较简单,因此其网络的基础架构相对简单,实现起来比较容易一些,投资也会少得多。从目前的网络技术和应用的发展趋势来看,对于中小企业,采用基于 TCP/IP 协议组的以太交换网模式是最适合的。经过几年的发展,以太交换技术和产品都十分成熟,网络的实现和管理都很简单,维护量也小,并且可以向未来的发展进行平滑的升级和过渡。1通信子网的架构中小企业的网络通常由单个节点构成,网络工作站数量较少且接入比较集中,因此核心网络设备选择 100M 的以太交换机就可以了。所
2、有的网络工作站和应用服务器通过五类双绞线接入到交换机中构成一个集中接入的星型网络结构,每一台计算机可以独占 100M 的带宽。当中心交换设备需要由多个交换机构成时,建议交换机选择可以堆叠的交换机,可堆叠的交换机之间进行交换时利用带宽很高的内部总线,可以保证每台接入的计算机都具有 100M 的带宽。当工作站到中心交换设备的距离超过 100m 时,可以在工作站和中心交换机之间设置一台交换机,以级联的方式与中心交换机连接,工作站接入到级联的交换机中,不过这些工作站只能共享 100M 的传输带宽。网络连接的简单示意图见图 1由于以太网以数据广播的方式进行工作,当一个网络中的工作站较多时,网络通道就变得
3、比较拥塞,网络的性能也就随之较低。为了改善这种情况,可以采用 VLAN 技术将一个网络划分为几个逻辑上相互独立的虚拟局域网,即 VLAN。通过 VLAN 技术,广播信息被限制在每个 VLAN 中,而不再是整个网络,并且各个子网之间不能直接通信,不但可以减轻网络负载,而且可以提高网络通信的安全性。如果希望用 VLAN 技术来规划整个网络,那么在选择交换机时,要求设备必须支持 802.1Q 标准,这样可以跨越交换机来定义同一个 VLAN,也可以在VLAN 中使用多个厂家的产品。划分了 VLAN 后,各 VLAN 之间的通信需要第三层设备的支持。实现的方法是在网络中设置路由器或三层交换机。传统的路由
4、器基于软件,协议复杂,数据转发速度比较慢;而三层交换机集成了第二层的数据交换技术和第三层的数据转发技术,特别是它对于数据包的转发是通过硬件来完成的,处理效率非常高,完全可以匹配局域网高速的传输速度。因此,在构建采用 VLAN 技术的网络时,最优的选择是以三层交换机作为网络核心。 23.Internet 接入对 Internet 资源的访问,最终都是通过资源所具有的惟一的公有 IP 地址实现的。对于一个内部网络,每一台工作站和应用服务器的 IP 地址均为内部专有的地址,以这样的 IP 地址是不能访问 Internet 资源的。因此,要实现一个内部网络对 Internet 的访问,必须在内部网络和
5、 Internet 之间设置一个具有网络地址转换功能(NAT)的设备,对于从内部网络向外发出的 IP 数据包,NAT设备可以将数据包中所包含的源 IP 地址和源 TCP/IP 端口号等信息转换为可以在 Internet 上使用的公有 IP 地址和可能改变的 TCP/UDP 端口号;而当Internet 主机响应的数据包流入内部网络时,NAT 将数据包中包含的目的 IP 地址和目的 TCP/UDP 号等信息转换为专有 IP 地址和最初的 TCP/UDP 端口号,从而对外部屏蔽了内部网络的 IP 地址。4.选择自己的接入方式 企业可以根据自己的需要来选择相应的 Internet 接入模式,如果允许
6、登录Internet 的工作站数量少,并且只是进行信息的浏览,可以选择拨号的方式。在一台计算机上安装相应的代理软件作为代理服务器,由代理服务器执行地址转换的功能,代理服务器通过 Modem、ISDN 或 ADSL 等接入设备与 Internet 进行连接,其他的工作站则通过代理服务器对 Internet 进行访问。最简单的例子,在一个小型的内部网络中,选择一台基于 Windows 98 或 Windows 2000 的工作站作为代理服务器,启用这台计算机中 Windows 98/2000 内嵌的 Internet 连接共享功能,就可以实现内部网络对 Internet 的访问了。这种方式的投资很
7、小,也不需租用专线的费用,但这种方式只适用于小型的网络,而且只能对Internet 的资源进行访问,不能向外部发布信息。另外一种模式就是企业通过租用电信部门的专线将自己的内部网络与Internet 形成相对固定的连接,这样不但可以充分利用 Internet 上的信息资源和各类服务,而且可以通过 Internet 有限制地向外部公布或发布企业信息,也就说要将企业的网络逐步向 Intranet 过渡。在这种接入模式中,由于是内部专有网络与公用网络进行连接,因此需要在内部网络的边界处设置一台路由器,路由器工作在网络层,它可以根据网络层分组的 IP 地址通过查找路由表确定分组输出的路径,从而实现两个网
8、络的互通。在内部网络安全方面,需要在网络中设置一个防火墙,防火墙一端连接边界路由器,一端与内部网络的交换机相连。所有的内部网络与外部网络之间的通信都必须通过防火墙进行检查和连接,通过在防火墙中制定相应的访问策略,可以有效地将不符合规则的数据包阻隔在内部网络之外,防止外界对内部网络资源的非法访问;同时防火墙也可以防止内部工作站对外部网络进行的不安全访问。防火墙可以以透明模式和 NAT 模式两种方式工作,如果网络中存在 NAT 设备,可以将防火墙设置为透明的工作模式;如果网络中没有 NAT 设备,那么可以利用防火墙的 NAT 功能进行网络地址转换。由于防火墙的 NAT 功能由硬件完成,其处理速度比
9、起软件要快得多,因此如果网络中的原有的 NAT 功能由软件实现,建议将防火墙设置为 NAT 模式,并禁用由软件实现的 NAT 功能。服务器设置方面,除了要设置 Web 服务器外,企业可以根据需要设置相应的电子邮件服务器、FTP 服务器和 DNS 服务器。这些服务器不仅能让内部网络访问而且要提供外部网络的访问。将它们放置在防火墙的非军事区,从而将网络中的应用服务器与外部访问完全隔离开来,提高了内部网络的可靠性。服务器的选择服务器是网络的重要组成部分,服务器的性能往往决定了网络应用的性能。一般情况下,由于网络产品的功能、性能与价格是成正比的,因此,要根据具体的需求和应用程度来选择服务器。对于关键业
10、务的数据库服务器或者Web/Mail 服务器通常选择性能较高的企业级 PC 服务器,而 DHCP/WINS 服务器、防病毒服务器、DNS 服务器和代理服务器由于工作负载较小,用配置较高的 PC或部门级的 PC 服务器来担当就可以了。中小企业网络设计需求分析(下)2008 年 06 月 17 日 星期二 15:325。有效利用 VPN 技术目前,防火墙产品通常都集成了 VPN 功能,这也为远程用户和企业的分支机构访问企业内部网络资源提供了一个非常好的途径。通常情况下,一个网络要提供远程用户或分支机构进行访问的能力需要采用远程访问服务器、Modem 池、电话交换机以及足够的通信线路来构造专门的远程
11、访问系统,这样做不但需要较大的投资,而且通信的安全性也得不到足够的保证。而在 VPN 方式下,VPN 客户端(远程用户或分支机构)和设置在内部网络边界的 VPN服务器(防火墙或专用的 VPN 服务器)使用隧道协议,利用 Internet 或公用网络建立一条“隧道”作为传输通道,同时 VPN 连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证了数据的完整性、机密性和合法性。通过 VPN 方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。这种方式对中小企业的 Intranet 尤其适用,实现起来也比较方
12、便。VPN 服务器可以由内部网络的防火墙来担当。对于客户端,如果为远程用户,可以利用 Windows 98 或 Windows 2000 系统中内嵌的虚拟专用网络(VPN)功能,也可以安装专业的 VPN 客户端软件;如果为分支机构的小型办公网络,可以在分支机构网络的边缘处设置一个具有 VPN 功能的性能相对较低的防火墙,这样可以实现在两个网络之间利用Internet 或公用网络进行安全通信。6。网络安全(1). 电源的安全电源不仅是一个计算机网络能够运行的最基本条件,同时电源的安全也是计算机网络安全运行的最基本要素。这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源,同
13、时还要设置良好的接地系统。对于服务器和网络设备还要设置不间断电源(UPS)装置,这不但可以增加网络的连续运行能力,而且可以防止因为突然断电对网络硬件造成的损坏。特别是服务器,如果正在运行的服务器突然断电,不但硬件设备可能出现问题,而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动,甚至造成服务器或应用的瘫痪。这是任何一个企业都不愿看到的。在网络建设和维护中,电源是最稳定的一个部分,一般情况下,它不会随着应用的发展频繁地升级,因此,中小企业在构建自己的网络系统时,进行相应的投资建立一个安全的电源系统是非常值得的。(2). 数据存储的安全保存在服务器中的数据是网络应用的核心,
14、如果由于服务器磁盘故障造成数据的损坏或丢失,可能会造成无法估量的损失。因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。目前,构建服务器存储系统使用最广泛的技术是 RAID。RAID 的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器,并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写,同时利用冗余的磁盘空间将数据从错误中恢复。由于服务器中构成 RAID 的磁盘通常为热插拔磁盘,因此磁盘出现故障时,可以不停机地对故障进行修复,增加了网络系统的连续工作能力。RAID 分为好几个级别,每个级别在 I/O 性能和安全性方面各具特点,其中 RAID1 和 RAI
15、D5 使用最多。RAID1磁盘镜像。它由磁盘对组成,每一个工作盘都有对应的镜像盘,保存着和工作盘完全相同的数据拷贝。当对逻辑块进行写入操作时,工作盘和镜像盘都进行实时更新。如果磁盘对中任一个磁盘失败,所有的读写请求立刻会转移到另一块磁盘上。因此它具有最高的可靠性,但它的 I/O 性能和空间利用率不高,只用 50%,适用于访问量不大但比较注重数据安全性的应用环境。从性能价格比看,中小企业网络的应用服务器采用 RAID1 是非常合适的选择。RAID5没有独立校验盘的奇偶校验码磁盘阵列。RAID5 采用了独立存取技术,校验信息分布在阵列内的所有磁盘上,如果阵列中有一个磁盘失败,这个盘中的数据可以通过
16、其他盘中的数据根据校验码进行异或运算获得。RAID5 至少需要3 块磁盘构成,每一块磁盘上都要占用 1/N 的空间存放校验信息(N 为构成RAID5 的磁盘数量)。由于采用了独立存取技术, RAID5 对于大、小批量的数据读写性能都很好,适用于访问量很大的系统。在中小企业构建网络时,可以将 Web 服务器或数据库服务器的存储系统设置为 RAID5。可以根据 RAID 的应用级别来选择相应的服务器,这样配置起来更方便一些。(3)防病毒设置计算机病毒一直是困扰着计算机和网络系统的最大问题之一。随着计算机技术的不断进步,计算机病毒也不断地向智能化和网络化发展,具有更强大的攻击力和破坏性,从以往的破坏软件系统到现在的攻击硬件系统和网络系统,尤其是借助于发展迅速的 Internet 和 Intranet,计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。如果没有防范措施的话,一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。这对于一个企业而言,后果可能是致命的。因此中小企业同样需要采取相应的防病毒措施来保证网络系统不受病毒的侵害。可以采取以下两种措施
