建設內(nèi)容：構(gòu)建中型企業(yè)的計算機局域網(wǎng)，搭建安全的網(wǎng)絡訪問出口和網(wǎng)絡服務體系，實現(xiàn)管理網(wǎng)、生產(chǎn)網(wǎng)、安防網(wǎng)之間的安全隔離和邏輯互通，具體包 括設備部署、安裝、調(diào)試、測試和用戶培訓等;對企業(yè)管理網(wǎng)、安防網(wǎng)和生產(chǎn)網(wǎng)等有線及無線網(wǎng)絡的深化設計、IP規(guī)劃和配置，建立良好的網(wǎng)絡管理機制，滿足網(wǎng) 絡系統(tǒng)信息的存儲與備份，維保服務及為完成本建設內(nèi)容內(nèi)容所必須的各項工作。

　　【摘 要】隨著信息化技術(shù)日新月異的發(fā)展，中小型企業(yè)信息網(wǎng)絡承載的業(yè)務也越來越多，網(wǎng)絡構(gòu)建也越來越復雜，很多還要上行下傳，管理網(wǎng)生產(chǎn)網(wǎng)安防網(wǎng)都有建設。本文從實踐出發(fā)，比較全面地描述中小型企業(yè)信息網(wǎng)絡系統(tǒng)建設內(nèi)容、原則以及實施方案等，為中小型企業(yè)信息化建設提供參考。

　　【關(guān)鍵詞】中級工程師論文,中小型企業(yè),信息化,網(wǎng)絡系統(tǒng)

　　一、建設內(nèi)容概述

　　(一)建設目標

　　建設目標：建設覆蓋全企業(yè)所有建筑物的高速企業(yè)局域網(wǎng)絡，滿足企業(yè)目前及未來5年內(nèi)信息化、自動化、智能化相關(guān)系統(tǒng)的需求，保證局域網(wǎng)能與企業(yè)廣域網(wǎng)之間進行數(shù)據(jù)信息的準確、完整、快速、安全地傳遞，能夠通過安全機制訪問互聯(lián)網(wǎng)，保證提供安全暢通的信息傳輸渠道。

　　(二)建設原則

　　1.實用性：系統(tǒng)的配置和設計應最大限度的滿足企業(yè)的相關(guān)業(yè)務系統(tǒng)的各項需求，充分考慮長遠發(fā)展。

　　2.安全性：系統(tǒng)需提供網(wǎng)絡層的安全手段防止系統(tǒng)外部成員的非法侵入以及操作人員的越級操作。

　　3.可靠性：系統(tǒng)須能有效避免單點故障，最大限度地減少故障出現(xiàn)的可能性，同時保障網(wǎng)絡能在最短時間內(nèi)修復。系統(tǒng)通過完備的網(wǎng)絡策略，保障網(wǎng)絡物理及邏輯設計的可靠性。

　　4.先進性：系統(tǒng)結(jié)構(gòu)設計、系統(tǒng)配置、系統(tǒng)管理方式等方面應采用國際上先進、成熟、實用的技術(shù)。通過智能化管理平臺構(gòu)建智能化管理網(wǎng)絡，提升內(nèi)部的管理效率以及對外的服務水平。

　　5.可管理性：整個系統(tǒng)須易于管理和維護，配置易學易用，并可以進行遠程管理和故障診斷。建立統(tǒng)一的網(wǎng)絡管理平臺，實現(xiàn)對有線無線接入網(wǎng)絡設備、網(wǎng)絡策略、網(wǎng)絡協(xié)議的多級維護，實現(xiàn)便捷管理。

　　6.可擴充性：充分考慮到未來技術(shù)和業(yè)務的發(fā)展，支持核心業(yè)務系統(tǒng)的不斷擴展，保證網(wǎng)絡設備可以擴充和升級，保護投資。

　　7.規(guī)范性：采用國際及行業(yè)開放的技術(shù)標準和產(chǎn)品，設備的各種接口滿足開放性和標準化原則，保證在系統(tǒng)集成、互聯(lián)和擴展時能夠相互兼容。

　　(三)建設依據(jù)

　　依據(jù)與本建設內(nèi)容有關(guān)的國家、地方及國外工程技術(shù)規(guī)范標準;參照國際上通行的管理方法，在國內(nèi)外規(guī)范標準發(fā)生矛盾時，以國內(nèi)規(guī)范標準為準。

　　二、總體實施方案

　　本次建設內(nèi)容涉及企業(yè)廣域網(wǎng)、互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡的各個區(qū)域。

　　具體包括：協(xié)助企業(yè)與線路運營商的銜接，完成線路的調(diào)試工作;負責完成企業(yè)確立網(wǎng)絡建設方案;負責完成IP地址、VLAN及設備命名等數(shù)據(jù)參數(shù) 的規(guī)劃與分配的解決方案;協(xié)助廣域端口參數(shù)的確立;負責完成路由交換設備廣域端口、局域端口的設置和路由策略的設計等，以及其它保證網(wǎng)絡完整性的相應集成 工作。

　　無線網(wǎng)絡系統(tǒng)包括：協(xié)助完成無線AP點的位置規(guī)劃及設備安裝調(diào)試;負責完成無線AP所用到的數(shù)據(jù)參數(shù)的規(guī)劃;負責實現(xiàn)無線AP接入點的安全訪問控制及高效的可管理性;負責實現(xiàn)無線AP下掛終端與內(nèi)網(wǎng)各個區(qū)域間及互聯(lián)網(wǎng)等網(wǎng)絡間的互聯(lián)互通。

　　網(wǎng)絡安全體系括：廣域網(wǎng)出口、互聯(lián)網(wǎng)出口及內(nèi)網(wǎng)各個區(qū)域間的網(wǎng)絡訪問限制;從網(wǎng)絡安全、主機安全、網(wǎng)絡應用、防病毒、接入認證、數(shù)據(jù)安全幾個層面對安全進行全面防護，同時要進行安全的集中管理。

　　網(wǎng)絡管理體系包括：規(guī)劃企業(yè)的網(wǎng)絡管理體系，建立企業(yè)的綜合統(tǒng)一網(wǎng)絡管理平臺，實現(xiàn)對網(wǎng)絡系統(tǒng)的有效監(jiān)控和預警，實現(xiàn)網(wǎng)絡系統(tǒng)的故障管理、事件 管理、性能管理，拓撲管理和鏈路流量管理;實現(xiàn)對主機故障和性能指標的監(jiān)控管理、事件管理;建立綜合報表平臺，實現(xiàn)網(wǎng)絡管理、主機管理、服務流程管理的報 表系統(tǒng)。

　　(一)實施流程

　　實施流程分為如下四個階段：準備階段、網(wǎng)絡建設、系統(tǒng)調(diào)試、測試運行

　　(二)環(huán)境調(diào)研

　　環(huán)境調(diào)研分為兩部分：基礎環(huán)境調(diào)研、網(wǎng)絡結(jié)構(gòu)調(diào)研。

　　基礎環(huán)境調(diào)研包括：機房平面圖、新增機柜位置、運營商機柜位置、地板承重、供電環(huán)境、走線方式、機房溫濕度等;

　　網(wǎng)絡結(jié)構(gòu)調(diào)研主要包括：新企業(yè)區(qū)內(nèi)網(wǎng)各個區(qū)域網(wǎng)絡拓撲圖、設備類型、型號數(shù)量及設備配置、端口類型、終端數(shù)量等。

　　(三)設備訂貨

　　將購置設備及時、無故障、順利的運抵合同中規(guī)定的安裝或聯(lián)調(diào)現(xiàn)場，并負責故障設備的返修工作。

　　(四)詳細方案編寫

　　工程前期調(diào)研結(jié)束后，根據(jù)用戶的要求以及調(diào)研結(jié)果，進行詳細技術(shù)方案的設計和編寫工作，包括詳盡的安裝順序及技術(shù)參數(shù)，以作為現(xiàn)場施工安裝的依據(jù)。

　　(五)設備到貨及驗收

　　設備到貨驗收的主要內(nèi)容包括：1.設備已全部送達至用戶指定機房;2.依照《設備到貨驗收報告》對設備進行核對，并記錄產(chǎn)品序列號;3.設備加電測試;4.設備隨箱資料整理;5.確認設備到貨內(nèi)容無誤后，實施人員與用戶共同簽署《設備到貨驗收報告》。

　　(六)設備安裝調(diào)試

　　設備到貨驗收完成后，實施人員在用戶技術(shù)人員的監(jiān)督指導下，將設備部署到各指定機房指定位置。進行現(xiàn)場設備的安裝、施工和調(diào)試工作。工作過程和內(nèi)容主要包括：

　　1.到達施工現(xiàn)場，向用戶方配合人員介紹施工安排

　　2.設備安裝上架、加固、接地等工作

　　3.終端設備和系統(tǒng)安裝、調(diào)試完成，雙方簽署有關(guān)安裝完成的證明書

　　4.詳細解釋并移交技術(shù)文件、配置手冊等給節(jié)點配合人員 　　5.通過《測試報告》測試內(nèi)容后，實施人員與用戶共同簽署《測試報告》，并需用戶蓋章確認。

　　(七)網(wǎng)絡聯(lián)調(diào)測試

　　設備安裝調(diào)試完成后展開聯(lián)調(diào)，進一步確認系統(tǒng)的每一部分都符合建設要求。

　　(八)系統(tǒng)聯(lián)調(diào)測試

　　網(wǎng)絡聯(lián)調(diào)完成后，承載系統(tǒng)模擬真實生產(chǎn)環(huán)境，對各個生產(chǎn)區(qū)域進行功能測試，進一步完善網(wǎng)絡安全設備訪問控制策略。

　　(九)用戶培訓

　　在實施過程中，現(xiàn)場對相關(guān)技術(shù)人員進行培訓。使用戶維護及技術(shù)人員能夠最直觀的感受。培訓的主要內(nèi)容包括：工程實施技術(shù)培訓;設備安裝、配置培訓;日常維護管理知識培訓;簡單故障的判斷和處理方法。

　　(十)系統(tǒng)初驗

　　設備安裝、調(diào)試達到技術(shù)規(guī)范書規(guī)定的指標后，建設內(nèi)容組將進行系統(tǒng)的驗收測試(初驗)，以確保系統(tǒng)涉及的各個分區(qū)域和其他區(qū)域及廣域網(wǎng)和互聯(lián)網(wǎng)間的通信都能通暢無阻，安全設備能提供有效的安全防護，如果發(fā)現(xiàn)問題，將及時解決。

　　在初驗前建設內(nèi)容組將向用戶提交初驗的驗收規(guī)范(包括建設內(nèi)容、指標、方式和測試儀器等)，用戶方可根據(jù)技術(shù)規(guī)范書的有關(guān)規(guī)定進行修改和補充， 經(jīng)雙方協(xié)商確認后形成驗收文件作為驗收依據(jù)。驗收測試合格后， 雙方簽署驗收協(xié)議， 設備入網(wǎng)開通試運行。

　　(十一)系統(tǒng)試運行

　　系統(tǒng)初驗通過后，進入試運行階段，試運行時間為3個月。在試運行期內(nèi)建設內(nèi)容組將跟蹤設備運行狀態(tài)，及時發(fā)現(xiàn)并解決問題，消除故障隱患。

　　(十二)系統(tǒng)終驗

　　系統(tǒng)試運行結(jié)束后，雙方應進行系統(tǒng)的終驗工作，以確保解決了前期測試和驗收中遺留的問題，并滿足了用戶的所有需求。在全部達到要求時，雙方簽署最終驗收文件。在終驗完成后，將提供詳細的終驗報告，報告經(jīng)用戶方確認后，現(xiàn)場驗收即告完成，系統(tǒng)進入質(zhì)量保證期階段。

　　(十三)網(wǎng)絡出口組網(wǎng)及路由協(xié)議規(guī)劃

　　1.廣域網(wǎng)出口規(guī)劃

　　企業(yè)廣域網(wǎng)網(wǎng)絡采用雙出口設計，使用兩臺高性能路由器(含IPS板卡)+雙防火墻分別上行至中煙公司廣域網(wǎng)。

　　2.互聯(lián)網(wǎng)出口規(guī)劃

　　為了保證接入Internet后的安全性，在網(wǎng)絡內(nèi)部與出口之間設置防火墻、入侵檢測、防毒墻等安全設備。SSL VPN設備放置在DMZ區(qū)域中。

　　互聯(lián)網(wǎng)出口區(qū)部署一臺高性能防火墻設備，以路由方式工作，將互聯(lián)網(wǎng)出口劃分為三個安全區(qū)域，保護內(nèi)部終端和服務器不受外部非法攻擊和訪問，同時對DMZ區(qū)的Web和郵件等服務器提供有限訪問保護，Internet以及企業(yè)內(nèi)網(wǎng)用戶均可正常訪問DMZ區(qū)中的設備。

　　IPS的連接方式為雙路連接，即：IPS分別連接兩臺物理核心交換機，在提高數(shù)據(jù)轉(zhuǎn)發(fā)性能的同時，也可避免單鏈路或其中一臺核心故障(端口或機框)而導致的互聯(lián)網(wǎng)業(yè)務中斷。

　　結(jié)合互聯(lián)網(wǎng)業(yè)務和運營商互聯(lián)網(wǎng)專線的特點，互聯(lián)網(wǎng)出口路由協(xié)議規(guī)劃如下：(1)在出口防火墻配置缺省靜態(tài)路由指向運營商城域網(wǎng)設備;(2)出口防火墻向內(nèi)起OSPF動態(tài)路由協(xié)議，并將向外的缺省靜態(tài)路由引入OSPF。

　　三、QoS規(guī)劃

　　本次網(wǎng)絡規(guī)劃時在提供充足帶寬的前提下，還需要實施端到端的QoS機制。

　　我們可以用丟棄率、時延、時延抖動等幾個關(guān)鍵參數(shù)來描述一個業(yè)務的QoS，當一個網(wǎng)絡提供某類QoS的服務時，就是在網(wǎng)絡中的結(jié)點設備上設置該類業(yè)務的帶寬、發(fā)送優(yōu)先級、丟棄優(yōu)先級等來控制業(yè)務的丟棄率、時延、時延抖動等業(yè)務參數(shù)在承諾的范圍內(nèi)。

　　四、QoS設計原則

　　企業(yè)網(wǎng)絡系統(tǒng)的QoS設計符合下面的原則：

　　差異性：為不同用戶，不同業(yè)務提供不同的QoS保證;

　　可管理：靈活的帶寬控制;

　　經(jīng)濟性：有效利用網(wǎng)絡資源，包括帶寬、VLAN、端口等;

　　高可用性：設計備份路徑，采用具備熱備份、熱插拔能力的設備，并對關(guān)鍵的網(wǎng)絡節(jié)點進行冗余備份;

　　可擴展性：采用能夠在帶寬、業(yè)務種類增加時平滑擴容、升級的設備。

　　五、QoS部署策略

　　企業(yè)網(wǎng)絡系統(tǒng)的設計要求符合下列QoS設計特點：

　　吞吐量達到萬兆級，完全保障正常帶寬，且能輕松應對突發(fā)帶寬;可用硬件實現(xiàn)業(yè)務優(yōu)先級等級區(qū)分，QoS處理不占用設備CPU資源，不會影響性 能;毫秒級保護倒換機制，保證鏈路中斷后快速自愈，視頻、語音業(yè)務的中斷與恢復在50ms內(nèi)完成，人類感官無法察覺，數(shù)據(jù)業(yè)務幾乎無丟包;具有硬件的帶寬 預留機制，保障企業(yè)關(guān)鍵業(yè)務的暢通無阻;

　　具有先進的流控與反壓機制，具備虛擬輸出隊列機制。

　　六、無線網(wǎng)絡實施手冊

　　(一)整網(wǎng)邏輯拓撲圖

　　本建設內(nèi)容基礎網(wǎng)絡系統(tǒng)已實現(xiàn)千兆到桌面，萬兆連接核心。在匯聚交換機上分別部署一套無線控制器，作為整個無線局域網(wǎng)絡的中央管理控制器。

　　(二)無線用戶認證解決方案

　　針對無線用戶，無線控制器作為802.1x認證的終結(jié)點，iMC認證計費系統(tǒng)作為最后的鑒權(quán)點，當用戶在AP內(nèi)進行切換時，此時的主要工作由無線交換機進行統(tǒng)一調(diào)度，當用戶在不同的端口下的不同AP的覆蓋范圍時，此時用戶不會再次觸發(fā)認證。

　　(三)無線網(wǎng)絡安全解決方案

　　企業(yè)新企業(yè)區(qū)無線局域網(wǎng)絡主要服務于企業(yè)辦公人員以及外來單位辦公人員，也是規(guī)模的公眾型網(wǎng)絡，網(wǎng)絡安全問題在建網(wǎng)時必須充分考慮，安全方式主 要側(cè)重幾個方面：用戶安全、網(wǎng)絡安全，而在園區(qū)網(wǎng)絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性(諸如：MAC地址)及用戶的帳號、密 碼，而對于企業(yè)內(nèi)部用戶來，帳號信息都是一個實名原則，與員工實名信息進行關(guān)聯(lián)的，這樣本無線網(wǎng)絡中著重考慮使用無線網(wǎng)絡的空口信息的安全機制，同時也要 考慮與無線相關(guān)的有線網(wǎng)絡的安全問題;

　　(四)無線AP供電解決方案

　　由于本次無線網(wǎng)中AP設備數(shù)量較多，AP布放位置根據(jù)實際覆蓋效果而調(diào)整，在已建設完成的建筑物上較難進行本地供電，對于室外覆蓋主要采用AP放在室外，對AP的本地供電問題難度更大�；�于標準的802.3af實現(xiàn)對 AP的供電。通過在匯集交換機處疊加一個供電電源或者內(nèi)嵌交換機內(nèi)，通過以太網(wǎng)線在傳輸數(shù)據(jù)同時給AP供電，供電距離達100米，滿足實際組網(wǎng)的要求。

　　通過部署網(wǎng)絡隔離(防火墻)系統(tǒng)、入侵防御(IPS)、防病毒系統(tǒng)、安全審計系統(tǒng)這幾個系統(tǒng)，來實現(xiàn)對企業(yè)安全系統(tǒng)的設計。