中小型企業網絡設計探討

靳海花

[摘 要]針對絕大多數中小型企業集中辦公這一現實特點，就其網絡設計進行分析，以滿足中小型企業網絡實用性、安全性與擴展性的主要要求。

[關鍵詞]中小型企業；集中辦公；網絡設計；

隨著信息技術的發展，中小型企業的業務將進一步電子化，網絡已走進大大小小的企業，針對絕大多數中小型企業集中辦公這一現實特點，就其網絡設計進行分析，以滿足中小型企業網絡實用性、安全性與擴展性的主要要求。

一、網絡系統的要求

1.功能性：先進的體系結構和設備；成熟的技術；足夠的備份冗余；具備必要的容錯能力。

2.可擴展性：產品選型和設計時要考慮已經能預見升級方向，提供的擴展方案要保護現有設備投資。

3.實用性：對安全、管理和功能等方面的設計不應損害用戶使用網絡的便利性，不降低用戶網絡的業務服務質量和通訊性能，網絡功能和服務是方便實用、切實可行的。

4.可管理性：網絡的建設必須保證網絡運行的可管理性。要求可發現網絡拓撲、實時監控網絡性能、管理維護設備配置，并可迅速簡便地進行網絡故障的診斷。整個網絡系統必須滿足便于安裝、便于管理、便于維護、便于使用的要求。

5.安全性：網絡的各個環節要盡可能多的提供安全保密措施，以此來保證數據傳輸的可靠性。

6.經濟性：在滿足系統需求的前提下，節省投資，即選用性能價格比優的設備。

二、網絡拓撲結構

一個中小型企業具有多部門、多業務、多用戶的特點，為了滿足不同用戶、不同類型網絡應用程序的需要，應該采用分層架構設計，即核心層、分布層（匯聚層）和接入層。這樣一來，既簡化了交換網絡設計，又提高交換網絡的可擴展性。

1.核心層。核心層通常只有一臺交換機，核心層的功能主要是實現骨干網絡之間的優化傳輸，負責整個網絡的網內數據交換。核心層一直被認為是流量的最終承受者和匯聚者，所以要求核心交換機擁有較高的可靠性和性能。

2.分布層 。分布層一般是2～3臺交換機，主要負責連接接入層接點和核心層中心，匯集分散的接入點，擴大核心層設備的端口密度和種類，分布各區域數據流量，實現骨干網絡之間的優化傳輸。分布交換機還負責本區域內的數據交換，分布交換機一般與中心交換機同類型，仍需要較高的性能和比較豐富的功能。

3.接入層。接入層作為二層交換網絡，提供工作站等終端設備的網絡接入。接入層在整個網絡中部署交換機的數量最多，它具有即插即用的特性。

三、網絡vlan技術的應用

現行普通的網絡解決方案是建一個大局域網，所有電腦同出于一個局域網內，這樣的組網方式優點是非常簡單，而且技術上容易實現；但是隨著接入點的逐漸增多、業務對帶寬的需求和人們對網絡訪問速度需求的膨脹，這樣的組網方式缺點不可避免的暴露出來：廣播風暴大量產生會造成網絡擁塞，極大降低網絡訪問速度；數據傳輸是共享的，而一些關鍵部門的數據是不希望被大多數人知道或者是不能讓外人知道的，這是一個潛在的科技風險；方便數據傳輸的同時也容易造成病毒肆虐，從而影響整個局域網絡安全，這又是一個潛在的科技風險。例如局域網遭受ARP病毒攻擊，不僅影響安全還會造成網絡擁塞。

為此，提出一種新的組網方式，即采用虛擬局域網（vlan）技術組網。基于端口劃分VLAN工作組，不僅可以將每個組的廣播風暴限制在指定端口，做到隔離廣播風暴，而且VLAN工作組彼此不能直接通信，保證數據傳輸安全，也限制病毒在局域網內的傳播。通過這樣的組網方式，真正實現打造“千兆到樓宇，百兆到桌面”網絡環境的設計理念。

四、網絡的冗余性

一個好的中小型企業網絡設計方案目的是實現網絡訪問高速度、高可靠、高安全，設計鏈路和設備冗余是必要的。在網絡環境中設置這樣的冗余既可以避免單點故障造成的網絡癱瘓，也可以實現負載均衡，從而達到設計目的。

在設計時應考慮為網絡留有適當的冗余度，硬件設備應具備一定的冗余模塊，以提高網絡容錯能力。

接入層交換機與分布層交換機的連接采用鏈路冗余備份，分布層交換機與核心層交換機的連接是設備冗余——雙機熱備份。最后，核心層交換機通過邊界路由器接入Internet網，實現局域網與外網的連接。通過這樣的鏈路和設備冗余，從而達到網絡訪問高速度、高可靠、高安全目的。

接入層交換機和分布層交換機、分布層交換機和核心層交換機以及核心層交換機與路由器連接的本端端口都是線路連接的主干道，應設置為trunk口；核心層交換機與路由器連接的對端端口為該局域網的網關端口，其上加載的IP地址為該局域網的網關IP地址。

五、網絡設計的容錯性

1.設備容錯性：所選用設備必須具有全容錯結構，一臺設備中單個電源、單個風扇的故障不影響設備工作，單個模塊的故障不影響其它模塊的正常工作；設備應具有熱修復能力，即當設備的某些部件發生故障時，可以帶電更換而不影響設備其它部件工作，新更換部件可直接投入工作而不必重新引導整個設備。

2.網絡結構容錯：不能因某臺設備的故障而影響到整個主干網絡的正常運行；任意一條鏈路的中斷不能使得主干網絡的任何部分中斷工作。

六、安全防護

安全防護包括設備物理安全、網絡安全和日常維護等工作。具體情況如下：

設備物理安全：所有設備應放置在指定安全位置，做到防水、防火、防盜、防潮、防磁、防輻射、防雷擊、防靜電等。

網絡安全：局域網內采用劃分vlan工作組和要求接入點設備都安裝防病毒軟件來實現，邊界路由器通過設置ACL訪問控制列表來實現網絡安全。

日常維護：建立日常巡查制度，及時發現網絡運行中的故障并排除，甚至可以安裝網絡監測系統，如入侵防御系統（IPS），發現有人惡意接入網絡時能自動報警。

七、網絡設備的選型

網絡設備選型原則：可靠性、安全性、先進性、實用性、開放性、可擴充性和靈活性。

全網最好使用同一廠商網絡設備，這樣可以實現各種不同網絡設備的互相配合和補充，避免因不同廠商網絡產品規格不一，帶來的不必要的麻煩。硬件設備在質保期內應由供應商給予維護，網絡管理員應平時加強學習，總結常見故障及排除方法，熟練掌握交換機、路由器設備配置命令。