中小型企業(yè)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)綜述

【摘 要】隨著信息化技術(shù)日新月異的發(fā)展，中小型企業(yè)信息網(wǎng)絡(luò)承載的業(yè)務(wù)也越來越多，網(wǎng)絡(luò)構(gòu)建也越來越復(fù)雜，很多還要上行下傳，管理網(wǎng)生產(chǎn)網(wǎng)安防網(wǎng)都有建設(shè)。本文從實踐出發(fā)，比較全面地描述中小型企業(yè)信息網(wǎng)絡(luò)系統(tǒng)建設(shè)內(nèi)容、原則以及實施方案等，為中小型企業(yè)信息化建設(shè)提供參考。

【關(guān)鍵詞】中小型企業(yè) 信息化 網(wǎng)絡(luò)系統(tǒng)

一、建設(shè)內(nèi)容概述

建設(shè)內(nèi)容：構(gòu)建中型企業(yè)的計算機局域網(wǎng)，搭建安全的網(wǎng)絡(luò)訪問出口和網(wǎng)絡(luò)服務(wù)體系，實現(xiàn)管理網(wǎng)、生產(chǎn)網(wǎng)、安防網(wǎng)之間的安全隔離和邏輯互通，具體包括設(shè)備部署、安裝、調(diào)試、測試和用戶培訓(xùn)等；對企業(yè)管理網(wǎng)、安防網(wǎng)和生產(chǎn)網(wǎng)等有線及無線網(wǎng)絡(luò)的深化設(shè)計、IP規(guī)劃和配置，建立良好的網(wǎng)絡(luò)管理機制，滿足網(wǎng)絡(luò)系統(tǒng)信息的存儲與備份，維保服務(wù)及為完成本建設(shè)內(nèi)容內(nèi)容所必須的各項工作。

（一）建設(shè)目標

建設(shè)目標：建設(shè)覆蓋全企業(yè)所有建筑物的高速企業(yè)局域網(wǎng)絡(luò)，滿足企業(yè)目前及未來5年內(nèi)信息化、自動化、智能化相關(guān)系統(tǒng)的需求，保證局域網(wǎng)能與企業(yè)廣域網(wǎng)之間進行數(shù)據(jù)信息的準確、完整、快速、安全地傳遞，能夠通過安全機制訪問互聯(lián)網(wǎng)，保證提供安全暢通的信息傳輸渠道。

（二）建設(shè)原則

1.實用性：系統(tǒng)的配置和設(shè)計應(yīng)最大限度的滿足企業(yè)的相關(guān)業(yè)務(wù)系統(tǒng)的各項需求，充分考慮長遠發(fā)展。

2.安全性：系統(tǒng)需提供網(wǎng)絡(luò)層的安全手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級操作。

3.可靠性：系統(tǒng)須能有效避免單點故障，最大限度地減少故障出現(xiàn)的可能性，同時保障網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。系統(tǒng)通過完備的網(wǎng)絡(luò)策略，保障網(wǎng)絡(luò)物理及邏輯設(shè)計的可靠性。

4.先進性：系統(tǒng)結(jié)構(gòu)設(shè)計、系統(tǒng)配置、系統(tǒng)管理方式等方面應(yīng)采用國際上先進、成熟、實用的技術(shù)。通過智能化管理平臺構(gòu)建智能化管理網(wǎng)絡(luò)，提升內(nèi)部的管理效率以及對外的服務(wù)水平。

5.可管理性：整個系統(tǒng)須易于管理和維護，配置易學(xué)易用，并可以進行遠程管理和故障診斷。建立統(tǒng)一的網(wǎng)絡(luò)管理平臺，實現(xiàn)對有線無線接入網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)策略、網(wǎng)絡(luò)協(xié)議的多級維護，實現(xiàn)便捷管理。

6.可擴充性：充分考慮到未來技術(shù)和業(yè)務(wù)的發(fā)展，支持核心業(yè)務(wù)系統(tǒng)的不斷擴展，保證網(wǎng)絡(luò)設(shè)備可以擴充和升級，保護投資。

7.規(guī)范性：采用國際及行業(yè)開放的技術(shù)標準和產(chǎn)品，設(shè)備的各種接口滿足開放性和標準化原則，保證在系統(tǒng)集成、互聯(lián)和擴展時能夠相互兼容。

（三）建設(shè)依據(jù)

依據(jù)與本建設(shè)內(nèi)容有關(guān)的國家、地方及國外工程技術(shù)規(guī)范標準；參照國際上通行的管理方法，在國內(nèi)外規(guī)范標準發(fā)生矛盾時，以國內(nèi)規(guī)范標準為準。

二、總體實施方案

本次建設(shè)內(nèi)容涉及企業(yè)廣域網(wǎng)、互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)的各個區(qū)域。

具體包括：協(xié)助企業(yè)與線路運營商的銜接，完成線路的調(diào)試工作；負責完成企業(yè)確立網(wǎng)絡(luò)建設(shè)方案；負責完成IP地址、VLAN及設(shè)備命名等數(shù)據(jù)參數(shù)的規(guī)劃與分配的解決方案；協(xié)助廣域端口參數(shù)的確立；負責完成路由交換設(shè)備廣域端口、局域端口的設(shè)置和路由策略的設(shè)計等，以及其它保證網(wǎng)絡(luò)完整性的相應(yīng)集成工作。

無線網(wǎng)絡(luò)系統(tǒng)包括：協(xié)助完成無線AP點的位置規(guī)劃及設(shè)備安裝調(diào)試；負責完成無線AP所用到的數(shù)據(jù)參數(shù)的規(guī)劃；負責實現(xiàn)無線AP接入點的安全訪問控制及高效的可管理性；負責實現(xiàn)無線AP下掛終端與內(nèi)網(wǎng)各個區(qū)域間及互聯(lián)網(wǎng)等網(wǎng)絡(luò)間的互聯(lián)互通。

網(wǎng)絡(luò)安全體系括：廣域網(wǎng)出口、互聯(lián)網(wǎng)出口及內(nèi)網(wǎng)各個區(qū)域間的網(wǎng)絡(luò)訪問限制；從網(wǎng)絡(luò)安全、主機安全、網(wǎng)絡(luò)應(yīng)用、防病毒、接入認證、數(shù)據(jù)安全幾個層面對安全進行全面防護，同時要進行安全的集中管理。

網(wǎng)絡(luò)管理體系包括：規(guī)劃企業(yè)的網(wǎng)絡(luò)管理體系，建立企業(yè)的綜合統(tǒng)一網(wǎng)絡(luò)管理平臺，實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的有效監(jiān)控和預(yù)警，實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的故障管理、事件管理、性能管理，拓撲管理和鏈路流量管理；實現(xiàn)對主機故障和性能指標的監(jiān)控管理、事件管理；建立綜合報表平臺，實現(xiàn)網(wǎng)絡(luò)管理、主機管理、服務(wù)流程管理的報表系統(tǒng)。

（一）實施流程

實施流程分為如下四個階段：準備階段、網(wǎng)絡(luò)建設(shè)、系統(tǒng)調(diào)試、測試運行

（二）環(huán)境調(diào)研

環(huán)境調(diào)研分為兩部分：基礎(chǔ)環(huán)境調(diào)研、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)研。

基礎(chǔ)環(huán)境調(diào)研包括：機房平面圖、新增機柜位置、運營商機柜位置、地板承重、供電環(huán)境、走線方式、機房溫濕度等；

網(wǎng)絡(luò)結(jié)構(gòu)調(diào)研主要包括：新企業(yè)區(qū)內(nèi)網(wǎng)各個區(qū)域網(wǎng)絡(luò)拓撲圖、設(shè)備類型、型號數(shù)量及設(shè)備配置、端口類型、終端數(shù)量等。

（三）設(shè)備訂貨

將購置設(shè)備及時、無故障、順利的運抵合同中規(guī)定的安裝或聯(lián)調(diào)現(xiàn)場，并負責故障設(shè)備的返修工作。

（四）詳細方案編寫

工程前期調(diào)研結(jié)束后，根據(jù)用戶的要求以及調(diào)研結(jié)果，進行詳細技術(shù)方案的設(shè)計和編寫工作，包括詳盡的安裝順序及技術(shù)參數(shù)，以作為現(xiàn)場施工安裝的依據(jù)。

（五）設(shè)備到貨及驗收

設(shè)備到貨驗收的主要內(nèi)容包括：1.設(shè)備已全部送達至用戶指定機房；2.依照《設(shè)備到貨驗收報告》對設(shè)備進行核對，并記錄產(chǎn)品序列號；3.設(shè)備加電測試；4.設(shè)備隨箱資料整理；5.確認設(shè)備到貨內(nèi)容無誤后，實施人員與用戶共同簽署《設(shè)備到貨驗收報告》。

（六）設(shè)備安裝調(diào)試

設(shè)備到貨驗收完成后，實施人員在用戶技術(shù)人員的監(jiān)督指導(dǎo)下，將設(shè)備部署到各指定機房指定位置。進行現(xiàn)場設(shè)備的安裝、施工和調(diào)試工作。工作過程和內(nèi)容主要包括：

1.到達施工現(xiàn)場，向用戶方配合人員介紹施工安排

2.設(shè)備安裝上架、加固、接地等工作

3.終端設(shè)備和系統(tǒng)安裝、調(diào)試完成，雙方簽署有關(guān)安裝完成的證明書

4.詳細解釋并移交技術(shù)文件、配置手冊等給節(jié)點配合人員

5.通過《測試報告》測試內(nèi)容后，實施人員與用戶共同簽署《測試報告》，并需用戶蓋章確認。

（七）網(wǎng)絡(luò)聯(lián)調(diào)測試

設(shè)備安裝調(diào)試完成后展開聯(lián)調(diào)，進一步確認系統(tǒng)的每一部分都符合建設(shè)要求。

（八）系統(tǒng)聯(lián)調(diào)測試

網(wǎng)絡(luò)聯(lián)調(diào)完成后，承載系統(tǒng)模擬真實生產(chǎn)環(huán)境，對各個生產(chǎn)區(qū)域進行功能測試，進一步完善網(wǎng)絡(luò)安全設(shè)備訪問控制策略。

（九）用戶培訓(xùn)

在實施過程中，現(xiàn)場對相關(guān)技術(shù)人員進行培訓(xùn)。使用戶維護及技術(shù)人員能夠最直觀的感受。培訓(xùn)的主要內(nèi)容包括：工程實施技術(shù)培訓(xùn)；設(shè)備安裝、配置培訓(xùn)；日常維護管理知識培訓(xùn)；簡單故障的判斷和處理方法。

（十）系統(tǒng)初驗

設(shè)備安裝、調(diào)試達到技術(shù)規(guī)范書規(guī)定的指標后，建設(shè)內(nèi)容組將進行系統(tǒng)的驗收測試（初驗），以確保系統(tǒng)涉及的各個分區(qū)域和其他區(qū)域及廣域網(wǎng)和互聯(lián)網(wǎng)間的通信都能通暢無阻，安全設(shè)備能提供有效的安全防護，如果發(fā)現(xiàn)問題，將及時解決。

在初驗前建設(shè)內(nèi)容組將向用戶提交初驗的驗收規(guī)范（包括建設(shè)內(nèi)容、指標、方式和測試儀器等），用戶方可根據(jù)技術(shù)規(guī)范書的有關(guān)規(guī)定進行修改和補充， 經(jīng)雙方協(xié)商確認后形成驗收文件作為驗收依據(jù)。驗收測試合格后， 雙方簽署驗收協(xié)議， 設(shè)備入網(wǎng)開通試運行。

（十一）系統(tǒng)試運行

系統(tǒng)初驗通過后，進入試運行階段，試運行時間為3個月。在試運行期內(nèi)建設(shè)內(nèi)容組將跟蹤設(shè)備運行狀態(tài)，及時發(fā)現(xiàn)并解決問題，消除故障隱患。

（十二）系統(tǒng)終驗

系統(tǒng)試運行結(jié)束后，雙方應(yīng)進行系統(tǒng)的終驗工作，以確保解決了前期測試和驗收中遺留的問題，并滿足了用戶的所有需求。在全部達到要求時，雙方簽署最終驗收文件。在終驗完成后，將提供詳細的終驗報告，報告經(jīng)用戶方確認后，現(xiàn)場驗收即告完成，系統(tǒng)進入質(zhì)量保證期階段。

（十三）網(wǎng)絡(luò)出口組網(wǎng)及路由協(xié)議規(guī)劃

1.廣域網(wǎng)出口規(guī)劃

企業(yè)廣域網(wǎng)網(wǎng)絡(luò)采用雙出口設(shè)計，使用兩臺高性能路由器（含IPS板卡）+雙防火墻分別上行至中煙公司廣域網(wǎng)。

2.互聯(lián)網(wǎng)出口規(guī)劃

為了保證接入Internet后的安全性，在網(wǎng)絡(luò)內(nèi)部與出口之間設(shè)置防火墻、入侵檢測、防毒墻等安全設(shè)備。SSL VPN設(shè)備放置在DMZ區(qū)域中。

互聯(lián)網(wǎng)出口區(qū)部署一臺高性能防火墻設(shè)備，以路由方式工作，將互聯(lián)網(wǎng)出口劃分為三個安全區(qū)域，保護內(nèi)部終端和服務(wù)器不受外部非法攻擊和訪問，同時對DMZ區(qū)的Web和郵件等服務(wù)器提供有限訪問保護，Internet以及企業(yè)內(nèi)網(wǎng)用戶均可正常訪問DMZ區(qū)中的設(shè)備。

IPS的連接方式為雙路連接，即：IPS分別連接兩臺物理核心交換機，在提高數(shù)據(jù)轉(zhuǎn)發(fā)性能的同時，也可避免單鏈路或其中一臺核心故障（端口或機框）而導(dǎo)致的互聯(lián)網(wǎng)業(yè)務(wù)中斷。

結(jié)合互聯(lián)網(wǎng)業(yè)務(wù)和運營商互聯(lián)網(wǎng)專線的特點，互聯(lián)網(wǎng)出口路由協(xié)議規(guī)劃如下：（1）在出口防火墻配置缺省靜態(tài)路由指向運營商城域網(wǎng)設(shè)備；（2）出口防火墻向內(nèi)起OSPF動態(tài)路由協(xié)議，并將向外的缺省靜態(tài)路由引入OSPF。

三、QoS規(guī)劃

本次網(wǎng)絡(luò)規(guī)劃時在提供充足帶寬的前提下，還需要實施端到端的QoS機制。

我們可以用丟棄率、時延、時延抖動等幾個關(guān)鍵參數(shù)來描述一個業(yè)務(wù)的QoS，當一個網(wǎng)絡(luò)提供某類QoS的服務(wù)時，就是在網(wǎng)絡(luò)中的結(jié)點設(shè)備上設(shè)置該類業(yè)務(wù)的帶寬、發(fā)送優(yōu)先級、丟棄優(yōu)先級等來控制業(yè)務(wù)的丟棄率、時延、時延抖動等業(yè)務(wù)參數(shù)在承諾的范圍內(nèi)。

四、QoS設(shè)計原則

企業(yè)網(wǎng)絡(luò)系統(tǒng)的QoS設(shè)計符合下面的原則：

差異性：為不同用戶，不同業(yè)務(wù)提供不同的QoS保證；

可管理：靈活的帶寬控制；

經(jīng)濟性：有效利用網(wǎng)絡(luò)資源，包括帶寬、VLAN、端口等；

高可用性：設(shè)計備份路徑，采用具備熱備份、熱插拔能力的設(shè)備，并對關(guān)鍵的網(wǎng)絡(luò)節(jié)點進行冗余備份；

可擴展性：采用能夠在帶寬、業(yè)務(wù)種類增加時平滑擴容、升級的設(shè)備。

五、QoS部署策略

企業(yè)網(wǎng)絡(luò)系統(tǒng)的設(shè)計要求符合下列QoS設(shè)計特點：

吞吐量達到萬兆級，完全保障正常帶寬，且能輕松應(yīng)對突發(fā)帶寬；可用硬件實現(xiàn)業(yè)務(wù)優(yōu)先級等級區(qū)分，QoS處理不占用設(shè)備CPU資源，不會影響性能；毫秒級保護倒換機制，保證鏈路中斷后快速自愈，視頻、語音業(yè)務(wù)的中斷與恢復(fù)在50ms內(nèi)完成，人類感官無法察覺，數(shù)據(jù)業(yè)務(wù)幾乎無丟包；具有硬件的帶寬預(yù)留機制，保障企業(yè)關(guān)鍵業(yè)務(wù)的暢通無阻；

具有先進的流控與反壓機制，具備虛擬輸出隊列機制。

六、無線網(wǎng)絡(luò)實施手冊

（一）整網(wǎng)邏輯拓撲圖

本建設(shè)內(nèi)容基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)已實現(xiàn)千兆到桌面，萬兆連接核心。在匯聚交換機上分別部署一套無線控制器，作為整個無線局域網(wǎng)絡(luò)的中央管理控制器。

（二）無線用戶認證解決方案

針對無線用戶，無線控制器作為802.1x認證的終結(jié)點，iMC認證計費系統(tǒng)作為最后的鑒權(quán)點，當用戶在AP內(nèi)進行切換時，此時的主要工作由無線交換機進行統(tǒng)一調(diào)度，當用戶在不同的端口下的不同AP的覆蓋范圍時，此時用戶不會再次觸發(fā)認證。

（三）無線網(wǎng)絡(luò)安全解決方案

企業(yè)新企業(yè)區(qū)無線局域網(wǎng)絡(luò)主要服務(wù)于企業(yè)辦公人員以及外來單位辦公人員，也是規(guī)模的公眾型網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題在建網(wǎng)時必須充分考慮，安全方式主要側(cè)重幾個方面：用戶安全、網(wǎng)絡(luò)安全，而在園區(qū)網(wǎng)絡(luò)中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性（諸如：MAC地址）及用戶的帳號、密碼，而對于企業(yè)內(nèi)部用戶來，帳號信息都是一個實名原則，與員工實名信息進行關(guān)聯(lián)的，這樣本無線網(wǎng)絡(luò)中著重考慮使用無線網(wǎng)絡(luò)的空口信息的安全機制，同時也要考慮與無線相關(guān)的有線網(wǎng)絡(luò)的安全問題；

（四）無線AP供電解決方案

由于本次無線網(wǎng)中AP設(shè)備數(shù)量較多，AP布放位置根據(jù)實際覆蓋效果而調(diào)整，在已建設(shè)完成的建筑物上較難進行本地供電，對于室外覆蓋主要采用AP放在室外，對AP的本地供電問題難度更大?；跇藴实?02.3af實現(xiàn)對AP的供電。通過在匯集交換機處疊加一個供電電源或者內(nèi)嵌交換機內(nèi)，通過以太網(wǎng)線在傳輸數(shù)據(jù)同時給AP供電，供電距離達100米，滿足實際組網(wǎng)的要求。

通過部署網(wǎng)絡(luò)隔離（防火墻）系統(tǒng)、入侵防御（IPS）、防病毒系統(tǒng)、安全審計系統(tǒng)這幾個系統(tǒng)，來實現(xiàn)對企業(yè)安全系統(tǒng)的設(shè)計。