1、中小型企業(yè)網(wǎng)絡(luò)解決方案的設(shè)計(jì)與實(shí)施2011年11月1日班級(jí)：網(wǎng)絡(luò)一班姓名：彭京龍學(xué)號(hào)： 10104023中小型企業(yè)網(wǎng)絡(luò)解決方案的設(shè)計(jì)與實(shí)施1 網(wǎng)絡(luò)建設(shè)現(xiàn)狀及需求分析我大多數(shù)企業(yè)網(wǎng)絡(luò)的現(xiàn)狀分析 在網(wǎng)絡(luò)技術(shù) 11 迅速發(fā)展的今天，信息化已成為國(guó)際化得的發(fā)展趨勢(shì)， 網(wǎng)絡(luò)作為國(guó)民經(jīng)濟(jì)信息化的基礎(chǔ)， 企業(yè)規(guī)范化組網(wǎng)建設(shè)受到國(guó)家和企業(yè)的廣泛重視。企業(yè)信息化，企業(yè)網(wǎng)絡(luò)的建設(shè)是基礎(chǔ)，從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和應(yīng)用發(fā)展的現(xiàn)狀來看，企業(yè)的經(jīng)營(yíng)和合作都是是跨地區(qū)的， 甚至跨國(guó)界的， 它們之間的信息同步是非常重要的， 所以需要通過互聯(lián)網(wǎng)來將它們連在一起，以達(dá)到信息和資源的共享。今年來我國(guó)注冊(cè)的中小企業(yè)數(shù)量不斷的增多，已達(dá) 1

2、000 萬家，占我國(guó)企業(yè)總數(shù)的 99，其工業(yè)產(chǎn)值占全國(guó)工業(yè)產(chǎn)值的60左右。因此，中小企業(yè)的網(wǎng)絡(luò)建設(shè)不僅關(guān)系到中小企業(yè)自身的生存和利益， 還將對(duì)我國(guó)經(jīng)濟(jì)的未來發(fā)展產(chǎn)生重大而又深遠(yuǎn)的影響。數(shù)據(jù)業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)的高速增長(zhǎng)將推動(dòng)著企業(yè)網(wǎng)絡(luò)的建設(shè)。據(jù)調(diào)查顯示，沒有建立內(nèi)部局域網(wǎng)的企業(yè)中，小企業(yè)數(shù)量最多。在建立了內(nèi)部局域網(wǎng)的中小企業(yè)中，內(nèi)部局域網(wǎng)連網(wǎng)終端數(shù)在5-20 個(gè)的企業(yè)占 31.8%，連網(wǎng)終端在20-100 個(gè)的占 17.0%，多于 100個(gè)的僅占 5.4%。這說明我國(guó)目前的中小企業(yè)計(jì)算機(jī)應(yīng)用還處于零散的單機(jī)應(yīng)用的狀況為主，面臨信息資源的共享程度和計(jì)算機(jī)普及及計(jì)算機(jī)的使用率還不夠高。同樣的調(diào)查還顯示

3、， 在我國(guó)電腦應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理組織， 58%無嚴(yán)格的調(diào)存管理制度，59%無應(yīng)急措施，48%無事故發(fā)生后的系統(tǒng)恢復(fù)方案。 因此，我們應(yīng)該在積極進(jìn)行企業(yè)網(wǎng)建設(shè)的同時(shí)，就應(yīng)借鑒國(guó)外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗(yàn)，建設(shè)完善網(wǎng)絡(luò)安全體系，將企業(yè)網(wǎng)中可能出現(xiàn)的危險(xiǎn)和漏洞降到最低。從以上數(shù)據(jù)比較可以看出， 我國(guó)中小企業(yè)網(wǎng)絡(luò)建設(shè)仍然存在巨大的發(fā)展?jié)摿Γ?我們應(yīng)將建立功能性，實(shí)用性，兼容性，前瞻性，安全性，可擴(kuò)展性和經(jīng)濟(jì)性等原則做為企業(yè)網(wǎng)的重點(diǎn)。2、從具體幾方面分析企業(yè)的需求業(yè)務(wù)需求業(yè)務(wù)需求分析的目標(biāo)是明確企業(yè)的業(yè)務(wù)類型，應(yīng)用系統(tǒng)軟件種類，以及他們對(duì)網(wǎng)絡(luò)功能指標(biāo)（如帶寬、服務(wù)質(zhì)量）的要求。業(yè)務(wù)需求是企

4、業(yè)建網(wǎng)中的首要環(huán)節(jié)，是進(jìn)行網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的基本依據(jù)。通過業(yè)務(wù)需求分析要為以下方面提供決策依據(jù)：（ 1） 需實(shí)現(xiàn)或改進(jìn)的企業(yè)網(wǎng)絡(luò)功能有哪些（ 2） 需要集成的企業(yè)應(yīng)用有哪些（ 3） 需要電子郵件服務(wù)嗎（ 4） 需要 WEB 服務(wù)嗎（ 5） 需要上網(wǎng)嗎？帶寬是多少？（ 6） 需要視頻服務(wù)嗎（ 7） 需要什么樣的數(shù)據(jù)共享模式（ 8） 需要多大的帶寬范圍（ 9） 簡(jiǎn)化投入的資金規(guī)模是多少管理需求網(wǎng)絡(luò)的管理是企業(yè)建網(wǎng)不可或缺的方面， 網(wǎng)絡(luò)是否按照設(shè)計(jì)目標(biāo)提供穩(wěn)定的服務(wù)主要依靠有效的網(wǎng)絡(luò)管理。高校的管理策略能提高網(wǎng)絡(luò)的運(yùn)營(yíng)效率，建網(wǎng)之初就應(yīng)該重視這些策略。通過管理需求分析要為以下方面提供決策依據(jù)：（ 1）

5、是否需要對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理，遠(yuǎn)程管理可以幫助網(wǎng)絡(luò)管理員利用遠(yuǎn)程控制軟件管理網(wǎng)絡(luò)設(shè)備，使網(wǎng)絡(luò)工作更方便，更高效。（ 2）誰來負(fù)責(zé)網(wǎng)絡(luò)管理（ 3）需要哪些管理功能， 如需不需要計(jì)費(fèi)，是否要為網(wǎng)絡(luò)建立域，選擇什么樣的域模式等；（ 4）選擇哪個(gè)供應(yīng)商的網(wǎng)管軟件，是否有詳細(xì)的評(píng)估；（ 5）選擇哪個(gè)供應(yīng)商的網(wǎng)絡(luò)設(shè)備，其可管理性如何；（ 6）需不需要跟蹤和分析處理網(wǎng)絡(luò)運(yùn)行信息；（ 7）將網(wǎng)管控制臺(tái)配置在何處？（ 8）是否采用了易于管理的設(shè)備和布線方式安全性需求安全性需求企業(yè)安全性需求分析要明確以下幾點(diǎn)：企業(yè)的敏感性數(shù)據(jù)的安全級(jí)別及其分布情況網(wǎng)絡(luò)用戶的安全級(jí)別及其權(quán)限可能存在的安全漏洞，這些漏洞對(duì)本系統(tǒng)的影響

6、程這些漏洞對(duì)本系統(tǒng)的影響網(wǎng)絡(luò)設(shè)備的安全功能要求網(wǎng)絡(luò)系統(tǒng)軟件的安全評(píng)估應(yīng)用系統(tǒng)安全要求采用什么樣的殺毒軟件采用什么樣的防火墻技術(shù)方案網(wǎng)絡(luò)遵循的安全規(guī)范和達(dá)到的安全級(jí)別通信量需求PC連接： 14.4KB/S-56KB/S壓縮視頻： 256KB/S 以上文件服務(wù)： 100KB/S 以上非壓縮視頻：2M 以上未來有沒有對(duì)高帶寬服務(wù)的要求需不需要寬帶接入方式，本地能夠提供的寬帶接入方式有哪些哪些用戶經(jīng)常對(duì)網(wǎng)絡(luò)訪問有特殊的要求，哪些用戶需要經(jīng)常訪問Internet哪些服務(wù)器有較大的連接數(shù)哪些網(wǎng)絡(luò)設(shè)備能提供合適的帶寬且性價(jià)比較高，需要使用什么樣的傳輸介質(zhì)服務(wù)器和網(wǎng)絡(luò)應(yīng)用能夠支持負(fù)載均衡嗎網(wǎng)絡(luò)擴(kuò)展性需求分析網(wǎng)

7、絡(luò)的擴(kuò)展性有兩層含義，其一是指新的部門能夠簡(jiǎn)單地接入現(xiàn)有網(wǎng)絡(luò)；其二是指新的應(yīng)用能夠無縫地在現(xiàn)有網(wǎng)絡(luò)上運(yùn)行擴(kuò)展性分析要明確以下指標(biāo)企業(yè)需求的新增長(zhǎng)點(diǎn)有哪些已有的網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)資源有哪些哪些設(shè)備需要淘汰，哪些設(shè)備還可以保留網(wǎng)絡(luò)節(jié)點(diǎn)和布線的預(yù)留比率是多少哪些設(shè)備便于網(wǎng)絡(luò)擴(kuò)展主機(jī)設(shè)備的升級(jí)性能操作系統(tǒng)平臺(tái)的升級(jí)性能網(wǎng)絡(luò)環(huán)境需求網(wǎng)絡(luò)環(huán)境需求是對(duì)企業(yè)的地理環(huán)境和人文布局進(jìn)行網(wǎng)絡(luò)環(huán)境需求是對(duì)企業(yè)的地理環(huán)境和人文布局進(jìn)行實(shí)地勘察以確定網(wǎng)絡(luò)規(guī)模、 地理分劃， 以便在拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)和結(jié)構(gòu)化綜合布線設(shè)計(jì)中做出決策。網(wǎng)絡(luò)環(huán)境需求分析需要明確下列指標(biāo)：園區(qū)內(nèi)的建筑群位置建筑物內(nèi)的弱電井位置各部分辦公區(qū)的分布情況各工作區(qū)

8、內(nèi)的信息點(diǎn)數(shù)目和布線規(guī)模3、中小企業(yè)常用解決方案網(wǎng)絡(luò)基礎(chǔ)架構(gòu)同大型企業(yè)相比， 中小企業(yè)的規(guī)模較小， 應(yīng)用的類型少而且比較簡(jiǎn)單， 因此其網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)相對(duì)簡(jiǎn)單， 實(shí)現(xiàn)起來比較容易一些， 投資也會(huì)少得多。 從目前的網(wǎng)絡(luò)技術(shù)和應(yīng)用的發(fā)展趨勢(shì)來看，對(duì)于中小企業(yè)，采用基于TCP/IP 協(xié)議組的以太交換網(wǎng)模式是最適合的。經(jīng)過幾年的發(fā)展，以太交換技術(shù)和產(chǎn)品都十分成熟，網(wǎng)絡(luò)的實(shí)現(xiàn)和管理都很簡(jiǎn)單，維護(hù)量也小，并且可以向未來的發(fā)展進(jìn)行平滑的升級(jí)和過渡。1通信子網(wǎng)的架構(gòu)中小企業(yè)的網(wǎng)絡(luò)通常由單個(gè)節(jié)點(diǎn)構(gòu)成，網(wǎng)絡(luò)工作站數(shù)量較少且接入比較集中，因此核心網(wǎng)絡(luò)設(shè)備選擇 100M的以太交換機(jī)就可以了。所有的網(wǎng)絡(luò)工作站和應(yīng)用服務(wù)器

9、通過五類雙絞線接入到交換機(jī)中構(gòu)成一個(gè)集中接入的星型網(wǎng)絡(luò)結(jié)構(gòu)，每一臺(tái)計(jì)算機(jī)可以獨(dú)占100M的帶寬。當(dāng)中心交換設(shè)備需要由多個(gè)交換機(jī)構(gòu)成時(shí)，建議交換機(jī)選擇可以堆疊的交換機(jī)，可堆疊的交換機(jī)之間進(jìn)行交換時(shí)利用帶寬很高的內(nèi)部總線，可以保證每臺(tái)接入的計(jì)算機(jī)都具有100M的帶寬。當(dāng)工作站到中心交換設(shè)備的距離超過100m時(shí)，可以在工作站和中心交換機(jī)之間設(shè)置一臺(tái)交換機(jī)， 以級(jí)聯(lián)的方式與中心交換機(jī)連接，工作站接入到級(jí)聯(lián)的交換機(jī)中，不過這些工作站只能共享 100M的傳輸帶寬。網(wǎng)絡(luò)連接的簡(jiǎn)單示意圖見圖1由于以太網(wǎng)以數(shù)據(jù)廣播的方式進(jìn)行工作，當(dāng)一個(gè)網(wǎng)絡(luò)中的工作站較多時(shí)，網(wǎng)絡(luò)通道就變得比較擁塞，網(wǎng)絡(luò)的性能也就隨之較低。為了改

10、善這種情況，可以采用VLAN技術(shù)將一個(gè)網(wǎng)絡(luò)劃分為幾個(gè)邏輯上相互獨(dú)立的虛擬局域網(wǎng)，即VLAN。通過 VLAN技術(shù)，廣播信息被限制在每個(gè) VLAN中，而不再是整個(gè)網(wǎng)絡(luò)，并且各個(gè)子網(wǎng)之間不能直接通信，不但可以減輕網(wǎng)絡(luò)負(fù)載，而且可以提高網(wǎng)絡(luò)通信的安全性。如果希望用VLAN技術(shù)來規(guī)劃整個(gè)網(wǎng)絡(luò)，那么在選擇交換機(jī)時(shí)，要求設(shè)備必須支持802.1Q 標(biāo)準(zhǔn)，這樣可以跨越交換機(jī)來定義同一個(gè)VLAN，也可以在 VLAN中使用多個(gè)廠家的產(chǎn)品。劃分了 VLAN后，各 VLAN之間的通信需要第三層設(shè)備的支持。實(shí)現(xiàn)的方法是在網(wǎng)絡(luò)中設(shè)置路由器或三層交換機(jī)。傳統(tǒng)的路由器基于軟件，協(xié)議復(fù)雜， 數(shù)據(jù)轉(zhuǎn)發(fā)速度比較慢；而三層交換機(jī)集成了

11、第二層的數(shù)據(jù)交換技術(shù)和第三層的數(shù)據(jù)轉(zhuǎn)發(fā)技術(shù)，特別是它對(duì)于數(shù)據(jù)包的轉(zhuǎn)發(fā)是通過硬件來完成的，處理效率非常高，完全可以匹配局域網(wǎng)高速的傳輸速度。用 VLAN技術(shù)的網(wǎng)絡(luò)時(shí)，最優(yōu)的選擇是以三層交換機(jī)作為網(wǎng)絡(luò)核心。因此， 在構(gòu)建采2.Internet接入對(duì) Internet資源的訪問，最終都是通過資源所具有的惟一的公有IP 地址實(shí)現(xiàn)的。對(duì)于一個(gè)內(nèi)部網(wǎng)絡(luò)，每一臺(tái)工作站和應(yīng)用服務(wù)器的IP 地址均為內(nèi)部專有的地址，以這樣的IP地址是不能訪問Internet資源的。 因此，要實(shí)現(xiàn)一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)Internet的訪問， 必須在內(nèi)部網(wǎng)絡(luò)和Internet之間設(shè)置一個(gè)具有網(wǎng)絡(luò)地址轉(zhuǎn)換功能（ NAT）的設(shè)備， 對(duì)于從內(nèi)部

12、網(wǎng)絡(luò)向外發(fā)出的IP 數(shù)據(jù)包， NAT設(shè)備可以將數(shù)據(jù)包中所包含的源IP 地址和源TCP/IP 端口號(hào)等信息轉(zhuǎn)換為可以在Internet上使用的公有IP 地址和可能改變的TCP/UDP端口號(hào)；而當(dāng)Internet主機(jī)響應(yīng)的數(shù)據(jù)包流入內(nèi)部網(wǎng)絡(luò)時(shí)，NAT將數(shù)據(jù)包中包含的目的IP 地址和目的TCP/UDP號(hào)等信息轉(zhuǎn)換為專有IP 地址和最初的TCP/UDP端口號(hào)，從而對(duì)外部屏蔽了內(nèi)部網(wǎng)絡(luò)的 IP 地址。3.選擇自己的接入方式企業(yè)可以根據(jù)自己的需要來選擇相應(yīng)的Internet接入模式，如果允許登錄Internet的工作站數(shù)量少， 并且只是進(jìn)行信息的瀏覽，可以選擇撥號(hào)的方式。在一臺(tái)計(jì)算機(jī)上安裝相應(yīng)的代理軟件作

13、為代理服務(wù)器， 由代理服務(wù)器執(zhí)行地址轉(zhuǎn)換的功能，代理服務(wù)器通過Modem、ISDN或 ADSL等接入設(shè)備與 Internet進(jìn)行連接，其他的工作站則通過代理服務(wù)器對(duì)Internet進(jìn)行訪問。 最簡(jiǎn)單的例子， 在一個(gè)小型的內(nèi)部網(wǎng)絡(luò)中，選擇一臺(tái)基于Windows 98 或 Windows2000 的工作站作為代理服務(wù)器，啟用這臺(tái)計(jì)算機(jī)中Windows 98/2000 內(nèi)嵌的 Internet連接共享功能，就可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)對(duì)Internet的訪問了。這種方式的投資很小，也不需租用專線的費(fèi)用，但這種方式只適用于小型的網(wǎng)絡(luò)，而且只能對(duì)Internet的資源進(jìn)行訪問，不能向外部發(fā)布信息。另外一種模式就是

14、企業(yè)通過租用電信部門的專線將自己的內(nèi)部網(wǎng)絡(luò)與Internet形成相對(duì)固定的連接，這樣不但可以充分利用Internet上的信息資源和各類服務(wù)，而且可以通過Internet 有限制地向外部公布或發(fā)布企業(yè)信息，也就說要將企業(yè)的網(wǎng)絡(luò)逐步向Intranet 過渡。在這種接入模式中， 由于是內(nèi)部專有網(wǎng)絡(luò)與公用網(wǎng)絡(luò)進(jìn)行連接，因此需要在內(nèi)部網(wǎng)絡(luò)的邊界處設(shè)置一臺(tái)路由器，路由器工作在網(wǎng)絡(luò)層，它可以根據(jù)網(wǎng)絡(luò)層分組的IP 地址通過查找路由表確定分組輸出的路徑， 從而實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)的互通。在內(nèi)部網(wǎng)絡(luò)安全方面，需要在網(wǎng)絡(luò)中設(shè)置一個(gè)防火墻， 防火墻一端連接邊界路由器，一端與內(nèi)部網(wǎng)絡(luò)的交換機(jī)相連。所有的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的

15、通信都必須通過防火墻進(jìn)行檢查和連接，通過在防火墻中制定相應(yīng)的訪問策略， 可以有效地將不符合規(guī)則的數(shù)據(jù)包阻隔在內(nèi)部網(wǎng)絡(luò)之外，防止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問； 同時(shí)防火墻也可以防止內(nèi)部工作站對(duì)外部網(wǎng)絡(luò)進(jìn)行的不安全訪問。防火墻可以以透明模式和 NAT模式兩種方式工作， 如果網(wǎng)絡(luò)中存在NAT設(shè)備，可以將防火墻設(shè)置為透明的工作模式； 如果網(wǎng)絡(luò)中沒有 NAT設(shè)備，那么可以利用防火墻的NAT功能進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。 由于防火墻的 NAT功能由硬件完成， 其處理速度比起軟件要快得多，因此如果網(wǎng)絡(luò)中的原有的 NAT功能由軟件實(shí)現(xiàn)，建議將防火墻設(shè)置為NAT模式，并禁用由軟件實(shí)現(xiàn)的NAT功能。 服務(wù)器設(shè)置方面， 除

16、了要設(shè)置 Web服務(wù)器外， 企業(yè)可以根據(jù)需要設(shè)置相應(yīng)的電子郵件服務(wù)器、 FTP 服務(wù)器和 DNS服務(wù)器。這些服務(wù)器不僅能讓內(nèi)部網(wǎng)絡(luò)訪問而且要提供外部網(wǎng)絡(luò)的訪問。 將它們放置在防火墻的非軍事區(qū)，從而將網(wǎng)絡(luò)中的應(yīng)用服務(wù)器與外部訪問完全隔離開來，提高了內(nèi)部網(wǎng)絡(luò)的可靠性。服務(wù)器的選擇服務(wù)器是網(wǎng)絡(luò)的重要組成部分，服務(wù)器的性能往往決定了網(wǎng)絡(luò)應(yīng)用的性能。一般情況下，由于網(wǎng)絡(luò)產(chǎn)品的功能、性能與價(jià)格是成正比的，因此，要根據(jù)具體的需求和應(yīng)用程度來選擇服務(wù)器。對(duì)于關(guān)鍵業(yè)務(wù)的數(shù)據(jù)庫(kù)服務(wù)器或者Web/Mail 服務(wù)器通常選擇性能較高的企業(yè)級(jí) PC服務(wù)器，而 DHCP/WINS服務(wù)器、防病毒服務(wù)器、 DNS服務(wù)器和代理服

17、務(wù)器由于工作負(fù)載較小，用配置較高的 PC或部門級(jí)的 PC服務(wù)器來擔(dān)當(dāng)就可以了。4.有效利用 VPN 技術(shù)目前，防火墻產(chǎn)品通常都集成了VPN功能，這也為遠(yuǎn)程用戶和企業(yè)的分支機(jī)構(gòu)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源提供了一個(gè)非常好的途徑。通常情況下， 一個(gè)網(wǎng)絡(luò)要提供遠(yuǎn)程用戶或分支機(jī)構(gòu)進(jìn)行訪問的能力需要采用遠(yuǎn)程訪問服務(wù)器、Modem池、電話交換機(jī)以及足夠的通信線路來構(gòu)造專門的遠(yuǎn)程訪問系統(tǒng)，這樣做不但需要較大的投資，而且通信的安全性也得不到足夠的保證。而在 VPN方式下， VPN客戶端（遠(yuǎn)程用戶或分支機(jī)構(gòu)）和設(shè)置在內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器（防火墻或?qū)Ｓ玫?VPN服務(wù)器）使用隧道協(xié)議， 利用 Internet或公用網(wǎng)

18、絡(luò)建立一條“隧道”作為傳輸通道， 同時(shí) VPN連接采用身份認(rèn)證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過程中受到偵聽和篡改， 從而保證了數(shù)據(jù)的完整性、機(jī)密性和合法性。通過 VPN方式，企業(yè)可以利用現(xiàn)有的網(wǎng)絡(luò)資源實(shí)現(xiàn)遠(yuǎn)程用戶和分支機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問，不但節(jié)省了大量的資金， 而且具有很高的安全性。 這種方式對(duì)中小企業(yè)的 Intranet尤其適用， 實(shí)現(xiàn)起來也比較方便。 VPN服務(wù)器可以由內(nèi)部網(wǎng)絡(luò)的防火墻來擔(dān)當(dāng)。對(duì)于客戶端，如果為遠(yuǎn)程用戶，可以利用Windows98 或 Windows 2000 系統(tǒng)中內(nèi)嵌的虛擬專用網(wǎng)絡(luò)(VPN)功能，也可以安裝專業(yè)的VPN客戶端軟件；如果為分支機(jī)構(gòu)的小型辦公網(wǎng)絡(luò)，可以

19、在分支機(jī)構(gòu)網(wǎng)絡(luò)的邊緣處設(shè)置一個(gè)具有VPN功能的性能相對(duì)較低的防火墻，這樣可以實(shí)現(xiàn)在兩個(gè)網(wǎng)絡(luò)之間利用Internet或公用網(wǎng)絡(luò)進(jìn)行安全通信。5.網(wǎng)絡(luò)安全(1).電源的安全電源不僅是一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)能夠運(yùn)行的最基本條件，同時(shí)電源的安全也是計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行的最基本要素。 這里電源的安全不僅要求為所有的工作站、 服務(wù)器和網(wǎng)絡(luò)設(shè)備提供一個(gè)高質(zhì)量的電源， 同時(shí)還要設(shè)置良好的接地系統(tǒng)。 對(duì)于服務(wù)器和網(wǎng)絡(luò)設(shè)備還要設(shè)置不間斷電源（ UPS）裝置，這不但可以增加網(wǎng)絡(luò)的連續(xù)運(yùn)行能力，而且可以防止因?yàn)橥蝗粩嚯妼?duì)網(wǎng)絡(luò)硬件造成的損壞。 特別是服務(wù)器， 如果正在運(yùn)行的服務(wù)器突然斷電， 不但硬件設(shè)備可能出現(xiàn)問題，而且操作系統(tǒng)

20、或應(yīng)用因?yàn)闆]有正常關(guān)閉可能導(dǎo)致數(shù)據(jù)不能提交或系統(tǒng)不能正常啟動(dòng)，甚至造成服務(wù)器或應(yīng)用的癱瘓。這是任何一個(gè)企業(yè)都不愿看到的。在網(wǎng)絡(luò)建設(shè)和維護(hù)中， 電源是最穩(wěn)定的一個(gè)部分， 一般情況下， 它不會(huì)隨著應(yīng)用的發(fā)展頻繁地升級(jí)， 因此，中小企業(yè)在構(gòu)建自己的網(wǎng)絡(luò)系統(tǒng)時(shí)， 進(jìn)行相應(yīng)的投資建立一個(gè)安全的電源系統(tǒng)是非常值得的。(2).數(shù)據(jù)存儲(chǔ)的安全保存在服務(wù)器中的數(shù)據(jù)是網(wǎng)絡(luò)應(yīng)用的核心，如果由于服務(wù)器磁盤故障造成數(shù)據(jù)的損壞或丟失， 可能會(huì)造成無法估量的損失。因此必須采取相應(yīng)的容錯(cuò)及災(zāi)難恢復(fù)手段來加強(qiáng)服務(wù)器存儲(chǔ)系統(tǒng)的可靠性。目前，構(gòu)建服務(wù)器存儲(chǔ)系統(tǒng)使用最廣泛的技術(shù)是 RAID。 RAID 的實(shí)現(xiàn)策略主要是用多個(gè)磁盤驅(qū)動(dòng)

21、器替換單一的大容量的磁盤驅(qū)動(dòng)器， 并將數(shù)據(jù)在各個(gè)磁盤上進(jìn)行分布存放并支持同時(shí)在多個(gè)磁盤進(jìn)行并行讀寫，同時(shí)利用冗余的磁盤空間將數(shù)據(jù)從錯(cuò)誤中恢復(fù)。由于服務(wù)器中構(gòu)成RAID 的磁盤通常為熱插拔磁盤，因此磁盤出現(xiàn)故障時(shí)，可以不停機(jī)地對(duì)故障進(jìn)行修復(fù)，增加了網(wǎng)絡(luò)系統(tǒng)的連續(xù)工作能力。RAID分為好幾個(gè)級(jí)別，每個(gè)級(jí)別在I/O 性能和安全性方面各具特點(diǎn)，其中RAID1 和 RAID5 使用最多。RAID1磁盤鏡像。它由磁盤對(duì)組成，每一個(gè)工作盤都有對(duì)應(yīng)的鏡像盤，保存著和工作盤完全相同的數(shù)據(jù)拷貝。 當(dāng)對(duì)邏輯塊進(jìn)行寫入操作時(shí)，工作盤和鏡像盤都進(jìn)行實(shí)時(shí)更新。如果磁盤對(duì)中任一個(gè)磁盤失敗，所有的讀寫請(qǐng)求立刻會(huì)轉(zhuǎn)移到另一塊磁

22、盤上。因此它具有最高的可靠性，但它的 I/O 性能和空間利用率不高，只用50%，適用于訪問量不大但比較注重?cái)?shù)據(jù)安全性的應(yīng)用環(huán)境。 從性能價(jià)格比看， 中小企業(yè)網(wǎng)絡(luò)的應(yīng)用服務(wù)器采用RAID1 是非常合適的選擇。RAID5沒有獨(dú)立校驗(yàn)盤的奇偶校驗(yàn)碼磁盤陣列。RAID5 采用了獨(dú)立存取技術(shù)，校驗(yàn)信息分布在陣列內(nèi)的所有磁盤上， 如果陣列中有一個(gè)磁盤失敗，這個(gè)盤中的數(shù)據(jù)可以通過其他盤中的數(shù)據(jù)根據(jù)校驗(yàn)碼進(jìn)行異或運(yùn)算獲得。RAID5 至少需要3 塊磁盤構(gòu)成，每一塊磁盤上都要占用 1/N 的空間存放校驗(yàn)信息 （ N為構(gòu)成 RAID5 的磁盤數(shù)量） 。由于采用了獨(dú)立存取技術(shù)，RAID5對(duì)于大、小批量的數(shù)據(jù)讀寫性能

23、都很好，適用于訪問量很大的系統(tǒng)。在中小企業(yè)構(gòu)建網(wǎng)絡(luò)時(shí)，可以將 Web服務(wù)器或數(shù)據(jù)庫(kù)服務(wù)器的存儲(chǔ)系統(tǒng)設(shè)置為RAID5?？梢愿鶕?jù) RAID 的應(yīng)用級(jí)別來選擇相應(yīng)的服務(wù)器，這樣配置起來更方便一些。(3) 防病毒設(shè)置計(jì)算機(jī)病毒一直是困擾著計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的最大問題之一。隨著計(jì)算機(jī)技術(shù)的不斷進(jìn)步，計(jì)算機(jī)病毒也不斷地向智能化和網(wǎng)絡(luò)化發(fā)展，具有更強(qiáng)大的攻擊力和破壞性，從以往的破壞軟件系統(tǒng)到現(xiàn)在的攻擊硬件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，尤其是借助于發(fā)展迅速的Internet 和Intranet ，計(jì)算機(jī)病毒可以通過各種渠道迅速地蔓延并實(shí)施破壞。如果沒有防范措施的話，一個(gè)企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)很容易因?yàn)橛?jì)算機(jī)病毒的攻擊而陷入癱瘓。這

24、對(duì)于一個(gè)企業(yè)而言， 后果可能是致命的。 因此中小企業(yè)同樣需要采取相應(yīng)的防病毒措施來保證網(wǎng)絡(luò)系統(tǒng)不受病毒的侵害?？梢圆扇∫韵聝煞N措施：（ 1）為每臺(tái)工作站和服務(wù)器安裝單機(jī)版的防病毒軟件，每臺(tái)計(jì)算機(jī)定時(shí)地下載病毒碼信息并進(jìn)行更新。 這種方式投資小， 但是病毒碼信息更新不及時(shí)或不同步， 不能對(duì)最新的病毒做出及時(shí)的響應(yīng)，可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)受到病毒的侵害。（ 2）安裝網(wǎng)絡(luò)防毒系統(tǒng)。 這種方式采用客戶機(jī) / 服務(wù)器方式， 選擇一臺(tái)微機(jī)或應(yīng)用服務(wù)器安裝網(wǎng)絡(luò)防病毒系統(tǒng)的服務(wù)器端軟件，并通過Internet利用防毒系統(tǒng)的在線更新功能實(shí)時(shí)地進(jìn)行病毒碼信息的更新。網(wǎng)絡(luò)中的所有計(jì)算機(jī)和服務(wù)器均安裝防毒系統(tǒng)的客戶端軟件，

25、利用服務(wù)器端獲得最新的病毒碼信息對(duì)計(jì)算機(jī)進(jìn)行病毒掃描。這種方式雖然投資較大，但是對(duì)病毒碼信息進(jìn)行實(shí)時(shí)的更新，可以保證網(wǎng)絡(luò)不受到病毒的侵害，控制病毒的大肆傳播。(4) 防火墻設(shè)置企業(yè)構(gòu)建了Intranet，實(shí)現(xiàn)了與Internet的接軌，雖然為企業(yè)業(yè)務(wù)的開展和日常的工作、學(xué)習(xí)帶來了極大的方便，但是我們不得不面對(duì)的一個(gè)問題就是實(shí)現(xiàn)了與Internet的接入， 企業(yè)的內(nèi)部網(wǎng)絡(luò)就完全地暴露在外界了，也就可能受到各種有意或無意的攻擊。因此建立企業(yè)的Intranet，必須建立網(wǎng)絡(luò)的防火墻系統(tǒng)來保證內(nèi)部網(wǎng)絡(luò)的安全。由于在Internet 接入部分已經(jīng)對(duì)防火墻的功能和工作方式進(jìn)行了相關(guān)的介紹，這里就不再進(jìn)行過

26、多的描述了。(5) 網(wǎng)絡(luò)的安全教育保證網(wǎng)絡(luò)的安全不僅需要通過相應(yīng)的技術(shù)手段從硬件和軟件著手對(duì)網(wǎng)絡(luò)資源進(jìn)行保護(hù)， 對(duì)網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)的安全教育同樣重要。首先， 要建立一套完整的網(wǎng)絡(luò)管理規(guī)定和網(wǎng)絡(luò)使用方法， 并要求網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)使用人員必須嚴(yán)格遵守，否則的話， 再先進(jìn)的網(wǎng)絡(luò)安全技術(shù)也不能阻止人為因素對(duì)網(wǎng)絡(luò)安全造成的威脅。其次，加強(qiáng)對(duì)網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)使用人員的培訓(xùn)，讓他們明白什么是可以做的，什么是嚴(yán)禁做的，可能產(chǎn)生的嚴(yán)重后果是什么。對(duì)網(wǎng)絡(luò)了解得越多，自我約束的能力也就越強(qiáng)。第三，制定合適的網(wǎng)絡(luò)安全策略，既不能讓網(wǎng)絡(luò)用戶無限制地使用網(wǎng)絡(luò)，也不能對(duì)用戶限定得太死，引發(fā)用戶設(shè)法繞過網(wǎng)絡(luò)安全系統(tǒng)、鉆網(wǎng)絡(luò)安

27、全策略空子的現(xiàn)象。制定一種讓網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶都樂于接受的安全策略，可以讓網(wǎng)絡(luò)用戶在使用網(wǎng)絡(luò)的過程中逐步把網(wǎng)絡(luò)當(dāng)成工作中的一個(gè)得力工具，從而自覺地維護(hù)網(wǎng)絡(luò)的安全。6. 網(wǎng)絡(luò)管理大型企業(yè)的網(wǎng)絡(luò)通常都通過功能完善的專業(yè)網(wǎng)管系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行管理，這個(gè)投資對(duì)于中小企業(yè)來說可能是無法承擔(dān)的。事實(shí)上， 由于中小企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，一般不需要對(duì)網(wǎng)絡(luò)的流量、 網(wǎng)絡(luò)設(shè)備的狀態(tài)和端口設(shè)置等信息進(jìn)行實(shí)時(shí)的控制和檢查。網(wǎng)絡(luò)管理員可能對(duì)網(wǎng)絡(luò)的連通性、 IP 地址的設(shè)置情況和需要時(shí)能對(duì)設(shè)備進(jìn)行設(shè)置更為關(guān)心一些，而這些工作利用Windows 98/2000系統(tǒng)包含的Ping 、 Ipconfig/Winipcfg、 T

28、elnet等實(shí)用工具就可以完成4.中小企業(yè)網(wǎng)絡(luò)解決方案樣例小型企業(yè)基礎(chǔ)信息網(wǎng)絡(luò)internet路由由路由路由交換機(jī)交換機(jī)交換機(jī)PCPCPCPCPCPCPCPCPC方案規(guī)模：方案適用于100300 臺(tái)電腦聯(lián)網(wǎng)方案投資在2 7 萬人民幣方案設(shè)備： H3C 3600S2100MSR 20方案收益：高性價(jià)比：出口路由器提供防火墻功能，最大限度節(jié)省企業(yè)投資，網(wǎng)絡(luò)設(shè)備選擇能夠讓中小企業(yè)低投資擁有高性能、經(jīng)濟(jì)網(wǎng)絡(luò)。簡(jiǎn)單易用：結(jié)構(gòu)簡(jiǎn)單、安裝快速、簡(jiǎn)單，維護(hù)無需配置專職人員?？蓴U(kuò)展性：靈活的網(wǎng)絡(luò)架構(gòu)，能夠根據(jù)用戶需要隨時(shí)擴(kuò)展，并能夠保護(hù)已有投資。5、網(wǎng)絡(luò)設(shè)備的選購(gòu)網(wǎng)卡選購(gòu)網(wǎng)卡作為最基礎(chǔ)的網(wǎng)絡(luò)設(shè)備，它對(duì)網(wǎng)絡(luò)性能的

29、影響是最徹底的。雖然在一般的家庭網(wǎng)絡(luò)中， 網(wǎng)卡的影響好像并不大， 但如果是大型網(wǎng)絡(luò)和服務(wù)器網(wǎng)絡(luò)， 則對(duì)于整個(gè)網(wǎng)絡(luò)的性能發(fā)揮是非常重要的。1 技術(shù)方面的選擇（ 1）選擇廣泛認(rèn)可的網(wǎng)卡芯片（ 2）選擇適當(dāng)?shù)木W(wǎng)卡類型（ 3）根據(jù)應(yīng)用選擇相應(yīng)的網(wǎng)卡技術(shù)2.制造方面的選擇（ 1）一看材料2）二看工藝（ 3）三看布線（ 4）四看晶振的選材（ 5）五看元件的選擇(6)六看金手指的工藝交換機(jī)選購(gòu)指南交換機(jī)是局域網(wǎng)的最主要設(shè)備， 所以它的選擇對(duì)于整個(gè)局域網(wǎng)來說都是至關(guān)重要的，特別是牌核心層的骨干交換機(jī)。在選購(gòu)時(shí)應(yīng)養(yǎng)生考慮以下幾個(gè)方面(1) 端口帶寬是一個(gè)交換機(jī)的最基本技術(shù)指標(biāo)，反映了交換機(jī)的網(wǎng)絡(luò)連接性能(2)

30、支持的標(biāo)準(zhǔn)和協(xié)議(3) 背板帶寬(4) 數(shù)據(jù)轉(zhuǎn)發(fā)方式(5) MAC 地址記憶(6) 可擴(kuò)展性能(7) 是否具有網(wǎng)管功能(8) 對(duì) 10Gbps技術(shù)的支持(9) 服務(wù)支持路由器選購(gòu)指南路由器的選購(gòu)主要從以下幾個(gè)方面加以考慮。（1）路由協(xié)議（2）背板能力（3）丟包率（4）轉(zhuǎn)發(fā)延時(shí)（5）路由表容量（6）擴(kuò)展能力（7）可靠性（8）安全性（9）管理方式（10）網(wǎng)管能力防火墻選購(gòu)指南（ 1） 防火墻的產(chǎn)品分類標(biāo)準(zhǔn)較多， 在邊界防火墻中， 如果從硬件結(jié)構(gòu)來看， 基本上有兩大類：路由器集成式和硬件獨(dú)立式防火墻。（2）LAN端口類型和數(shù)量（ 3）協(xié)議支持（ 4）訪問控制配置（ 5）自身的安全性（ 6）防御功能(

31、7) 連接性能（ 8）管理功能（9）記錄和報(bào)表功能（ 10）靈活的可擴(kuò)展和可升級(jí)性（ 11）協(xié)同工作能力（ 12）品牌的知名度服務(wù)器選購(gòu)指南服務(wù)器是一個(gè)非常復(fù)雜的網(wǎng)絡(luò)設(shè)備，所涉及的技術(shù)非常復(fù)雜，所以很難一下介紹清楚，盡管如此，筆者還是在此總結(jié)了也下基本的服務(wù)器選購(gòu)方面的注意事項(xiàng)。（1）適當(dāng)?shù)奶幚砥骷軜?gòu)（2）適當(dāng)?shù)目蓴U(kuò)展能力（3）適當(dāng)?shù)姆?wù)器架構(gòu)（4）對(duì)新技術(shù)的支持（5）合適的品牌UPS選購(gòu)指南（1）選擇知名的品牌（2）選擇適當(dāng)?shù)?UPS種類（3）選擇適當(dāng)?shù)墓β嗜萘浚?）高可靠性（5）高抗干擾性6、主流設(shè)備的型號(hào)及報(bào)價(jià)家用寬帶路由TP-Link TL-R406￥90netcore 磊科 NR20

32、5S￥ 55水星 MR804￥46水星 MR808￥ 86TP-Link TL-R410+￥160netcore 磊科 NR218￥168TP-Link TL-R478+￥850TP-Link TD-8820增強(qiáng)型￥120D-Link DI-504M￥66思科 BEFSR41￥400TP-Link TL-R860+￥250華碩 RX3041Xv2￥ 85D-Link DI-504￥86TP-Link TL-R1660+￥320netcore 磊科 NR205P￥55迅捷 FR48￥ 99netcore 磊科 NR235P￥269思科 1841￥4500TP-Link TL-R460+￥220飛

33、魚星 VE1260￥1680企業(yè)網(wǎng)吧路由TP-Link TL-R483￥450netcore 磊科 NR238￥238艾泰 840E￥880維盟 WQR-925￥588netcore 磊科 NR256￥450H3C ER3200￥2000維盟 WQR-945￥880TP-Link TL-ER5120￥1700思科 2811￥ 7500TP-Link TL-R4238￥1180P-LINK TD-89402增強(qiáng)型￥148思科 1841C/K9￥3400D-Link DI-7200￥ 1400D-Link DIR-110￥300飛魚星 VE982￥598騰達(dá) TEI602￥420netcore 磊

34、科 NR285P￥599TP-Link TL-R4299G￥2580華為 AR1220W-S新品維盟 FBM-220￥450電信骨干路由思科￥13500博達(dá)通信 7208E￥ 78565銳捷網(wǎng)絡(luò)￥480000博達(dá)通信 7606￥ 81000RSR-04E-BASE-DC-1GE思科 7206VXR/400/2FE￥87800銀河風(fēng)云 Tritium￥ 85000GSR80-14H3C SR6608(AC)￥88000思科 7301￥70000銳捷網(wǎng)絡(luò) RG-R3740￥78125艾泰 HIPER UTT6830G￥80000邁普 MP7500￥77777Hillstone SR-560￥109

35、814邁普 MP3780￥90600交換機(jī)H3C S5500-28C-SI-AC￥13500H3C S5024P￥3300TP-Link TL-SF1008+￥70netcore 磊科 NS108￥ 68思科 WS-C6509-E￥59000netcore 磊科 NSD1324F￥1850TP-Link TL-SF1024￥410華為 S1026T￥1200華為 S2326TP-EI(AC)￥ 2200TP-Link TL-SL1226￥600H3C S1526￥ 1050H3C LS-3600-28TP-SI￥4900思科 WS-C4506￥27000TP-Link TL-SF1016S￥300netcore 磊科 NS105￥55華為 S5700-