企业信息网络建设综述

企业信息网络建设综述
摘要：根据企业信息网络特点和建设要求，以层次化设计作为企业信息网络建设出发点，将复杂的问题分解，分别从网络规模、网络功能、网络拓扑、网络构建模块、网络地址划分层次进行网络建设。

并针对企业的不同业务需求，对部门级交换网络、部门间VLAN、企业外部W AN路由以及企业业务安全进行了阐述。

关键词：企业网络；信息网络；网络设计；网络建设；网络安全
0引言
企业信息网络为员工提供快速交换访问、企业资源计划（ERP）、客户资源管理（CRM）、项目管理（PM）、办公协同（IOA）、电子邮件、互联网访问、远程接入VPN、视频会议、IP电话等，能提高生产效率，降低生产成本。

企业信息网络是一个复杂的环境，牵涉到多种介质、多种协议，并且还能与某组织中心办公室外部的网络互联。

设计精良并仔细安装的网络能减少随着网络环境的发展带来的问题，包括速率升级、设备更换、网络冗余防范、访问控制的设计-实施-变更，保障网络连续运行。

正确设计和维护网络对企业正常运作非常重要。

一个设计和维护水平都较差的网络，会在与对手的竞争中面临许多危险。

1企业信息网络基本特点
设计一个复杂系统最困难的地方就是决定从哪里开始，也就是对
于最基本的企业信息网络而言所应该有的最基本的立足点和设计原则：①快速收敛，网络必须在最短的时间内找到源和目的之间的可用路径；②确定的路径，分组报文在网络中经过的路径在某种程度上应该是静止的。

如果网络中的路由经常发生变化，那么用户通过网络使用应用程序和服务时就难以稳定；③确定的错误恢复，当链接或设备失效，应当存在已知的错误恢复备份，这有助于排除疑难问题。

更重要的是，在网络出错的情况下，能创造一个稳定的环境；④规模和吞吐量具有扩展性，当网络需要的服务和信息逐渐增长时，网络会越来越大，需要更大的容量。

网络应该有足够的设计，以便允许网络中设备数目和设备连接链路容量的增长；⑤集中存储，企业信息网络必须能支持公共的文件和应用程序存储区域。

即提供一种环境，在这种环境下能以更低的代价支持这些服务；⑥更高效的信息传输，按照流量的二八原则，在当前，与早期的网络相比，传输模式明显不同，如今的网络设计必须基于如下假设，即20%的流量在局域网络内部进行，剩下的80%到达局域网络外的主机；⑦具有异种网络兼容性，支持多种协议。

企业信息网络（EIN）必须支持多种不同类型的网络协议，比如：IP、Novell IPX、Apple APPLETALK以及DECnet、VINES等，虽然当前网络主要为纯IP网络，但不能排除某些传统应用程序和主机需要其他类型的网络协议，并且在纯IP网络中，网络也必须支持高层协议；⑧组播支持，现有的网络必须支持组播。

组播是一种能使用户以更有效的方式进行传输和接收网络视频信息的机制。

在单个网络中把所有必须的功能都集成以满足需求是十分困难
的，而通过拓扑层以及构建块等将网络功能组件化，可以对网络功能进行修改重组，进而满足特定的网络设计要求。

2企业信息网络建设要求
尽管每个企业信息网络都有其独有的特性，但所有的企业信息网络还是具有共同的基本要求：①可靠性和可用性：企业信息网络应当24小时全年可靠可用，故障发生时可以被迅速隔离，且故障的修复对于最终用户应当透明；②响应性：企业信息网络应为各种业务应用和协议提供质量保证（QoS），并不影响桌面计算机的响应；③高效性：企业信息网络可以优化资源，尤其是带宽的使用，减少额外数据流开销，比如不必要的广播、服务定位和路由更新，应当使数据吞吐率在不增加硬件成本或不添加广域网服务的前提下得到提高；④可适应性：一个适应性强的企业信息网络利用层次化、开放式的结构可以容纳完全不同的协议、应用、硬件技术，从而实现不同业务程序的运行；⑤可访问性和安全性：一个可访问的企业信息网络允许通过多种方式连接，实现全业务接入，保持业务随时可以访问，同时网络的策略还能维护网络的完整性。

3层次化设计企业信息网络
通过划分层次，可以将复杂的问题分解，是企业信息网络设计中基本的设计思想。

可以分别从网络的结构方式对网络规模、网络功能、网络拓扑、网络构建块、网络地址划分层次。

（1）网络规模。

对于企业信息网络而言可划分为：LAN（Local Area Network），微小型企业及工作组规模，一个房间到一栋建筑，
由单个组织拥有和管理；CAN（Campus Area Network），多个局域网的集合，由坐落在固定区域内的一栋或多栋建筑物组成，也是由单个组织拥有和管理，或每一处由组织的一部分拥有和管理。

（2）网络功能。

企业信息网络的主要建设集中在OSI模型的2～4层，第二层交换在数据链路层进行，第三层交换在网络层进行，访问控制在二、三、四层实现，均可以使用软件或硬件的方式实现，在复杂的网络结构中，由于功能的硬件实现比软件迅速，一般在此使用多层交换机、路由器。

（3）网络流量的规划设计。

网络通常与用户数和个人需求同步增长。

这意味着用户的网络设计必须能够处理连接数目的增长，也能处理网络内部链路带宽。

①利用桥接避免冲突，一般通过网桥/交换机提供端到端的双向带宽独占的通信模式；②对广播域进行分割，实现方式为划分VLAN或使用三层交换机、路由器。

一个好的原则是一个广播域内不应超过240台设备，避免广播风暴；③流量可管理，企业信息网络应当使流量处于可管理的状态，使用纯交换技术，并对网络进行逻辑地址的划分，减少广播流量，制定流量的策略规划。

（4）网络服务规划设计。

企业信息网络的应用是由连接在一起的服务所组成的，且连接的方式能提供高效的通信流。

其服务可分为3类：本地服务、远程服务、企业服务，企业信息网络应当有效容纳这些服务，并有效规划。

①本地服务，是同一个本地工作组可以访问的网络服务（例如：网络打印服务、工作组文件共享等）。

这些服务流量的特征是保持在同一个广播域内，在第二层进行数据交换，不应
出现在网络主干之上，即不进行三层路由；②远程服务，用户主动发起的，在其广播域之外的服务，例如文件应用程序、远程控制、IP 电话、视频会议、互联网访问等，这些服务会跨越广播域，通信过程由第三层路由器转发；③企业服务，网络内所有用户都可以访问（例如企业级中央存储、企业级业务应用包，含ERP、PM、CRM、MIS、EMAIL以及内部网服务），这些服务一般都放置在接近网络逻辑中心的地方，以允许所有用户平等访问。

依据企业服务的规模，这些服务可能在同一个广播域分组，也可能不分组。

（5）网络拓扑。

解决任何系统设计的第一种方法是确定系统的主要模块。

为了满足企业信息网络设计需求，数据报文服务和用户连接在一起，从而为用户优化带宽，确保可靠性和公正性。

可以使用三层网络设计体系，模块化设计各层网络拓扑结构。

①接入层（访问层）：接入层模块处理用户对网络的访问。

通常，接入层由第二层交换机组成，虽然集线器也能代替交换机共享以太网段的带宽。

在接入层使用交换式还是共享式第二层网络取决于用户的需求和开销。

虚拟局域网（VLAN）可以配置成把用户按功能分组而不是按地理位置分组。

在外层，接入层在用户和企业信息网络之间提供高密度的端口和廉价的访问，也能够通过广域网技术，例如ADSL、ISDN、DDN等，让远程场点访问网络；②集散层（分发层）：集散层是核心和接入层的边界。

从逻辑角度上说，集散层的主要作用是把工作组中的用户聚合在一起，用来提供广播域之间的链接、VLAN间的路由选择及安全性。

一般处理企业信息网络的第三层路由功能，主要实施措施有以下几项：路由协议的部署、访问策
略的设置、为进入核心层的数据提供过滤功能、提供多种网络类型的数据接入转换以及防火墙的部署；③核心层：核心层和集散层模块一般绑定在一起，作为网络的主干存在。

在这一层不会设置任何策略及路由选择。

核心层最大的设计需求是获得尽可能快的转发速度和链路冗余保障可靠性。

（6）按分割网络构建模块：按照设备群和拓扑结构，在层次化企业信息网络实施过程中需要进一步把网络分割成网络构建块（交换块、核心块）。

交换块：由一组具有二层和三层功能的交换机组（一组连接访问设备的分发设备）作为交换块，其可以跨越接入层和集散层。

核心块：作为整个网络的集合点用来连接多个交换块，具有足够的处理能力和带宽处理主干上的大量通信流，尽可能提高速度和减小延迟，通过核心层设备进行桥接，使转发速率得到最大化，把路由选择留给集散层。

（7）科学合理规划网络地址分配方案。

企业信息网络需要一种能够易于扩展的编址方案，以适用于网络的扩展需求。

通过对可扩展型网络编址系统的认真计划和部署，可以避免在为企业添加新节点和新的网络时，现存的地址可能需要被重新分配，膨胀的路由表使路由器陷入困境。

网络地址规划时可以适时考虑结合子网划分可变长度子网掩码（VLSM）、路由归纳、网络地址转换（NAT）、无编号IP地址、动态主机分配协议（DHCP）。

4部门级交换式以太网建设
对于部门、小型公司的所需网络技术确定将要连接的设备数，通常要保证解决方案允许一定程度的增长。

①确定将要连接的设备数，部署交换设备，让所有用户与之相连，这样构成的网络就能满足要求。

由于设备的数量少，以及交换机的使用，冲突和广播流量不予考虑；
②将来它可能投资购买本地文件服务器提供存储和备份，并对远程连接有实际需求，那么在网络增长时，只需要将添购的设备连入交换机，并在交换机上外联一部小型路由器，使之通过配置广域网接口，利用广域网与远端连接，并建立一条广域网冗余链路，配置为热备份路由。

由于外联网络的单一性，在客户端指定路由器为默认网关，在交换块边界路由设置，即可实现接入层与集散层的结构设计，扩展简便。

企业VLAN、VLAN间路由：
（1）VLAN将物理上的设备组和用户组通过逻辑的方式重新划分，为控制和减少网络管理开支提供有效的方法，并控制广播活动，支持工作组和网络的安全性。

（2）增加、移动或改变用户的位置。

公司重组和人员流动带来的新的终端地址和集线器以及路由器的重新配置，成为网络管理中最大开销之一。

VLAN用户位置的改变只简单将用户的终端插接到相应VLAN端口并简单配置即可，路由器配制不做任何修改。

（3）控制广播活动，通过应用及广播的数量确定VLAN的数目，使受广播活动影响的用户减少，通过VLAN将防火墙技术从路由器扩展到交换，大大减少广播流量，为用户流量释放带宽，弥补网络易受广播风暴影响的弱点。

（4）VLAN将网络划分为多个广播域是提高安全性的一个经济实惠和便于管理的技术，它可以限制VLAN网络用户的数目，拒绝用户在VLAN应用认证之前的连接，以及可以将空闲的端口配置到默认的低层服务的VLAN。

在企业信息网络中可以通过路由器低成本实现VLAN间的通信，高效实现则可利用交换机路由模块进行交换。

5业务扩展：W AN接入的设计、企业路由
随着使用IP协议和Web的应用软件不断增长，在企业信息网络中必须处理复杂的广域网，而广域网有复杂的环境，包括多种介质、多种协议以及其他网络的互联，通信发生在不同地域之间，信息传递需经过一条或多条广域网链路，特点是相对较低的通信流量、高延迟和高差错率，由于租用性质，广域网的设计需要将带宽的花费和效率优化处理。

利用广域网技术和路由器连接多个企业外围事业部网络以支持新的业务开展，应当着重于通信流量的最佳化、提供多条冗余的路由、灾难恢复需要的后备拨号业务。

在企业使用的事务中，利用广域网的流量包含：语音、传真、事务数据（SNA）、客户机/服务器数据、信息传递、文件传输、批量数据、网络管理、视频会议。

通过收集需求，确定应使用的广域网线路。

路由部署：企业信息网络拓扑结构主要为星型结构，在接入层与集散层间是平面的物理结构，冗余一般以二层交换VTP为主，链路状态稳定，带宽等资源基本相当，可以在内部信息网络中使用静态路由以及开销小的路由，进行手工指定或简单配置。

在网络的外部接口进行路由配置的时候，可以依据距离矢量或链路状态决定使用何种协议，并依照外部接口的数量进行负载均衡与热备份，外部接口在规模较大，结构复杂的情况下可以使用OSPF协议，一般可使用IGRP协议，进行路由热备份时应在其先配置按需拨号。

6网络安全：防火墙和ACL应用
在企业信息网络中，应尽可能保证业务数据的流通和优先性，必须设法拒绝不希望的访问连接，同时保障允许的访问连接正常、响应迅速、稳定，而通过设置密码、回叫信号设备以及硬件保密装置可以帮助做到这些，但这些缺乏基本的通信流量过滤的灵活性和特定的控制手段。

在信息网络管理中，需要作出的策略往往是对用户、服务、数据流向、前端应用和数据流量进行灵活控制。

（1）使用路由器阻止特定通信流量。

路由器提供基本的通信流量过滤能力，可将其作为安全解决方案的一部分，通过访问控制列表（Access Control List，ACL）实现企业信息网络基本安全需求。

ACL是一系列允许和拒绝陈述句的集合，通过条件筛选和逻辑判断，对数据包的协议或上层协议（网络层以上）进行控制。

这些指令列表由类似于源地址、目的地址、端口号等特定指示条件决定路由器接收或拒绝数据包。

通过ACL部署，可以做到：限制网络流量，提高网络性能，提供对特定类型数据的优先级；提供对通信流量的控制手段，限定或简化路由更新、限制某网段；提供网络访问的基本安全手段，基于筛选条件的安全认证；在路由接口处决定通信流量类型的过滤、筛选。

（2）部署企业防火墙，进一步保障企业信息安全。

网络边界可部署多功能防火墙，实现高层协议应用的控制、过滤和攻击防范。

专业防火墙能够在ACL列表过滤的基础上更精准地对网络用户和桌面计算机进行数据流量、数据安全控制。

通过路由和NA T功能提供可控的互联网访问、映射企业内部服务器；开放特定服务器特定端口；对内网用户访问过程进行恶意代码检测，也可对用户收发的邮件中存在的病毒进行过滤。

通过IPSEC VPN功能，能够实现分部的安全互连，作为专线链路的补充和备份，防止专线链路故障导致异地部门的业务应用无法进行的情况发生。

通过上网行为管理功能改善网络使用规范。

对URL分类过滤，规范内网用户网页访问行为。

行为审计功能，则记录内网用户访问的网页地址、BBS发表的言论内容、收发的邮件内容及其他上网行为。

通过应用控制功能，保证用户的网络应用同实际业务的相关性，确保工作效率。

参考文献：
[1]陈显有.企业 2.0在企业中的应用前景和价值分析[J].软件导刊，2013（6）.。