企业内部网络建设浅析
唐凌遥 分享
[摘要] 企业内部网络是企业中十分重要的基础设施,本文提出企业内部网络建设应遵循统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性等原则,并阐述内部网络建设的主要内容,着重讨论了网络平台的建设。
[关键词] 企业内部网络; 基础设施
企业内部网络是企业中十分重要的基础设施,可以实现企业内部相关部门及下属单位的数据共享、互联互通,为各类应用系统提供安全、稳定、可靠的工作环境,满足各种数据传输的需求。本文从内部网络的建设原则、建设内容着手,阐述如何建立企业内部网络,着重讨论了网络平台的建设。
1建设原则
企业内部网络建设应遵循以下原则:统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。
统一规划:明确内部网络在规划期内的规模,确定总体需求,既能满足企业当前需求,又充分考虑将来整个网络系统的投资保护和对新应用的支持。
高可用性:要求关键网络设备具有单点失效保护,能够实现故障预警、报警,以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下,内部网络可以继续工作,不影响业务处理。
高性能:内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
高扩展性:由于内部网络是一个长期使用重要的基础设施。日后随着企业规模扩大和业务量的增长,对内部网络性能的需求可能会超出预期,当内部网络的处理能力不够时,要求可以在原有网络架构的基础上实现灵活扩展。这要求网络设备必须符合国际标准和支持业界统一标准的相关接口,选择广泛应用的网络标准协议,能够与各级下属单位网络、ISP网络以及其他相关网络实现可靠的互联。
高安全性:具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。
高可维护性:维护便捷简单,尽量减少设备宕机检修时间,特别是减少进行故障修复、网络扩展和变更时的宕机时间,能够提供友好、全面的监控工具,减少网络管理的漏洞风险,增强网络管理维护性能。
2建设内容
企业内部网络建设主要内容包括:网络平台、IP地址划分、中心机房网络分区、桌面安全管理、网络安全、网络管理及运维。
2.1网络平台
企业内部网络平台建设通常有两种架构:二层架构和三层架构。二层架构包括:核心层、汇聚层。三层架构包括:核心层、汇聚层和接入层。由于技术进步,目前用于组网的交换机基本上具有三层交换功能,因此不用过多考虑二层交换和三层交换之间路由的问题。
核心层通常部署两台核心交换机,实现负载均衡和单点失效保护,核心交换机通常部署在企业中心机房。
汇聚层通常指楼层交换机,通常部署在楼层弱电间,每个汇聚交换机同时接入到两个核心交换机,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络,亦可以在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。二层架构中该层具有接入和汇聚双重作用,桌面客户端通过楼层布线或者网线接入该层。
三层架构中的接入层通常是指办公室接入交换机,通常部署在工作区配线架或者弱电间,每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络,亦可以在接入层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。桌面客户端通过楼层布线或者网线接入该层。
两种架构的差别主要在于二层架构中没有接入层,其汇聚层具有接入和汇聚双重作用。
2.1.1二层架构的优缺点
2.1.1.1优点
可用性高。汇聚层(也是接入层)直接双上联核心,减少中间环节。传输路径短,数据流从一个区域到另一个区域,路径只需经过“接入→核心→接入”,数据就可以传输到对端,优化了网络路径。
性能高。汇聚层(也是接入层)直接与核心交换机相连,带宽的收敛比小,实际分配给每一个终端的带宽大,保证时延最小。
2.1.1.2缺点
扩展性弱。当用户的数量增加时,需要在汇聚层增加交换机接入核心交换机,或者通过在汇聚层增加交换机,使用堆叠方式或级联方式实现。
安全性低。安全策略只可以分布在汇聚层交换机和核心交换机上。
可维护性低。网络变更往往影响到核心交换机。
2.1.2三层架构的优缺点
2.1.2.1优点
可扩展性强。当用户的数量增加时,可通过在接入层增加交换机,直接与汇聚层交换机相连提供扩展,扩展变更仅影响限定在此区域的汇聚层交换机,不会影响核心交换机。
安全性高。安全策略可以分布在接入交换机、汇聚层交换机和核心交换机上。
可维护性高。网络变更对核心交换机影响小,除了新增汇聚层交换机,需要对核心交换机进行配置外,一般只影响到汇聚层交换机。汇聚层交换机故障,只会影响汇聚区域内的接入,其他汇聚区域不受影响。
2.1.2.2缺点
可用性低。数据传输路径变长,数据流从一个区域到另一个区域,需要经过“接入→汇聚→核心→汇聚→接入”,才能将数据传输到对端,增加了路径的物理长度。
性能低。带宽相应降低,虽然汇聚到核心可通过链路捆绑或万兆接口的方式增加带宽,但仍会出现当区域之间的数据互通时,汇聚层到核心层带宽争用的问题。
2.1.3综合分析
综上所述,两种架构优缺点对比见表1。
表1仅为二层架构与三层架构之间的相对对比,不是对两种架构性质的绝对分析。实际应用中,二层架构更加适用于楼宇等接入密度较高的内部网络建设,三层架构更加适用于物理范围广、接入密度低的内部网络建设。
二层架构和三层架构并不冲突,可以同时运用于一个内部网络建设中,如对于接入密度较高的区域,客户端直接接入汇聚层; 对于接入密度较低的区域,客户端接入接入层。
2.2IP地址划分
由于企业有若干个部门和若干个下属单位,将来组织结构也可能有变化,有必要对IP地址进行划分,来建立若干个子网,制定灵活、可扩展、安全的IP地址分配策略,以便于网络管理和增强网络安全性。
2.3中心机房网络分区
中心机房是一个十分重要的区域,需要对中心机房进行网络区域划分,以增强网络的安全性。通常划分几大区域:核心交换区、Internet访问接入区、广域网互联区、DMZ区、服务器区等。
2.4桌面安全管理
内部网络绝大多数攻击来自于企业内部,所以桌面安全管理十分重要。桌面安全管理包括:安全接入控制、安全策略管理、资产管理、软件分发、补丁管理、员工行为管理。
2.5网络安全
内部网络既要满足内部办公的需要,又要满足与因特网实现数据交换的需要。特别是,保证距离企业总部物理距离较远的下属单位能够有效地访问内部网络。各种场景让网络安全相对复杂,网络安全建设主要包括但不限于:
(1) 接入交换机的安全。包括:端口安全控制、端口流量控制、广播抑制、防范DHCP攻击、防范ARP欺骗/中间人攻击技术、配置Vlan ACL等。
(2) 网络设备自身的安全。网络设备某些缺省设置会导致安全漏洞,变更这些设置。
(3) 防火墙策略。制定精细的防火墙安全策略,不同端口根据区域不同划分不同的安全级别。
(4) 入侵监测/防御系统。使用先进的、专用的入侵监测/防御设备,实现主动监测和防御,并及时将相关信息传送到网管区域,能对用户常用的通讯内容进行审计。
2.6网络管理及运维系统
网络管理及运维系统的建设包括但不限于:基础资源管理(如计算资源等)、网络资源管理(包括拓扑查看、配置管理、设备性能监控及告警、资产管理等)、用户管理、业务管理、VLAN管理、ACL配置管理、流量分析、QoS管理、用户接入管理、用户行为审计等。
以上是企业内部网络建设的主要内容,其中, “ 桌面安全管理”、“ 网络安全”和“网络管理及运维系统”等内容可以参照ITIL、ISO 2000等标准进行建设。
综上所述,企业在进行内部网络建设时,需要根据实际情况,参照本文的建设原则和建设内容来进行。
[关键词] 企业内部网络; 基础设施
企业内部网络是企业中十分重要的基础设施,可以实现企业内部相关部门及下属单位的数据共享、互联互通,为各类应用系统提供安全、稳定、可靠的工作环境,满足各种数据传输的需求。本文从内部网络的建设原则、建设内容着手,阐述如何建立企业内部网络,着重讨论了网络平台的建设。
1建设原则
企业内部网络建设应遵循以下原则:统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。
统一规划:明确内部网络在规划期内的规模,确定总体需求,既能满足企业当前需求,又充分考虑将来整个网络系统的投资保护和对新应用的支持。
高可用性:要求关键网络设备具有单点失效保护,能够实现故障预警、报警,以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下,内部网络可以继续工作,不影响业务处理。
高性能:内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据,网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用对网络带宽的需求。
高扩展性:由于内部网络是一个长期使用重要的基础设施。日后随着企业规模扩大和业务量的增长,对内部网络性能的需求可能会超出预期,当内部网络的处理能力不够时,要求可以在原有网络架构的基础上实现灵活扩展。这要求网络设备必须符合国际标准和支持业界统一标准的相关接口,选择广泛应用的网络标准协议,能够与各级下属单位网络、ISP网络以及其他相关网络实现可靠的互联。
高安全性:具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。
高可维护性:维护便捷简单,尽量减少设备宕机检修时间,特别是减少进行故障修复、网络扩展和变更时的宕机时间,能够提供友好、全面的监控工具,减少网络管理的漏洞风险,增强网络管理维护性能。
2建设内容
企业内部网络建设主要内容包括:网络平台、IP地址划分、中心机房网络分区、桌面安全管理、网络安全、网络管理及运维。
2.1网络平台
企业内部网络平台建设通常有两种架构:二层架构和三层架构。二层架构包括:核心层、汇聚层。三层架构包括:核心层、汇聚层和接入层。由于技术进步,目前用于组网的交换机基本上具有三层交换功能,因此不用过多考虑二层交换和三层交换之间路由的问题。
核心层通常部署两台核心交换机,实现负载均衡和单点失效保护,核心交换机通常部署在企业中心机房。
汇聚层通常指楼层交换机,通常部署在楼层弱电间,每个汇聚交换机同时接入到两个核心交换机,以增强网络的可用性。如果一个楼层汇聚交换机的端口不够用时,可以放置多台交换机,通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络,亦可以在汇聚层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。二层架构中该层具有接入和汇聚双重作用,桌面客户端通过楼层布线或者网线接入该层。
三层架构中的接入层通常是指办公室接入交换机,通常部署在工作区配线架或者弱电间,每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络,亦可以在接入层放置冗余设备,以实现该层设备的负载均衡和单点失效保护。桌面客户端通过楼层布线或者网线接入该层。
两种架构的差别主要在于二层架构中没有接入层,其汇聚层具有接入和汇聚双重作用。
2.1.1二层架构的优缺点
2.1.1.1优点
可用性高。汇聚层(也是接入层)直接双上联核心,减少中间环节。传输路径短,数据流从一个区域到另一个区域,路径只需经过“接入→核心→接入”,数据就可以传输到对端,优化了网络路径。
性能高。汇聚层(也是接入层)直接与核心交换机相连,带宽的收敛比小,实际分配给每一个终端的带宽大,保证时延最小。
2.1.1.2缺点
扩展性弱。当用户的数量增加时,需要在汇聚层增加交换机接入核心交换机,或者通过在汇聚层增加交换机,使用堆叠方式或级联方式实现。
安全性低。安全策略只可以分布在汇聚层交换机和核心交换机上。
可维护性低。网络变更往往影响到核心交换机。
2.1.2三层架构的优缺点
2.1.2.1优点
可扩展性强。当用户的数量增加时,可通过在接入层增加交换机,直接与汇聚层交换机相连提供扩展,扩展变更仅影响限定在此区域的汇聚层交换机,不会影响核心交换机。
安全性高。安全策略可以分布在接入交换机、汇聚层交换机和核心交换机上。
可维护性高。网络变更对核心交换机影响小,除了新增汇聚层交换机,需要对核心交换机进行配置外,一般只影响到汇聚层交换机。汇聚层交换机故障,只会影响汇聚区域内的接入,其他汇聚区域不受影响。
2.1.2.2缺点
可用性低。数据传输路径变长,数据流从一个区域到另一个区域,需要经过“接入→汇聚→核心→汇聚→接入”,才能将数据传输到对端,增加了路径的物理长度。
性能低。带宽相应降低,虽然汇聚到核心可通过链路捆绑或万兆接口的方式增加带宽,但仍会出现当区域之间的数据互通时,汇聚层到核心层带宽争用的问题。
2.1.3综合分析
综上所述,两种架构优缺点对比见表1。
表1仅为二层架构与三层架构之间的相对对比,不是对两种架构性质的绝对分析。实际应用中,二层架构更加适用于楼宇等接入密度较高的内部网络建设,三层架构更加适用于物理范围广、接入密度低的内部网络建设。
二层架构和三层架构并不冲突,可以同时运用于一个内部网络建设中,如对于接入密度较高的区域,客户端直接接入汇聚层; 对于接入密度较低的区域,客户端接入接入层。
2.2IP地址划分
由于企业有若干个部门和若干个下属单位,将来组织结构也可能有变化,有必要对IP地址进行划分,来建立若干个子网,制定灵活、可扩展、安全的IP地址分配策略,以便于网络管理和增强网络安全性。
2.3中心机房网络分区
中心机房是一个十分重要的区域,需要对中心机房进行网络区域划分,以增强网络的安全性。通常划分几大区域:核心交换区、Internet访问接入区、广域网互联区、DMZ区、服务器区等。
2.4桌面安全管理
内部网络绝大多数攻击来自于企业内部,所以桌面安全管理十分重要。桌面安全管理包括:安全接入控制、安全策略管理、资产管理、软件分发、补丁管理、员工行为管理。
2.5网络安全
内部网络既要满足内部办公的需要,又要满足与因特网实现数据交换的需要。特别是,保证距离企业总部物理距离较远的下属单位能够有效地访问内部网络。各种场景让网络安全相对复杂,网络安全建设主要包括但不限于:
(1) 接入交换机的安全。包括:端口安全控制、端口流量控制、广播抑制、防范DHCP攻击、防范ARP欺骗/中间人攻击技术、配置Vlan ACL等。
(2) 网络设备自身的安全。网络设备某些缺省设置会导致安全漏洞,变更这些设置。
(3) 防火墙策略。制定精细的防火墙安全策略,不同端口根据区域不同划分不同的安全级别。
(4) 入侵监测/防御系统。使用先进的、专用的入侵监测/防御设备,实现主动监测和防御,并及时将相关信息传送到网管区域,能对用户常用的通讯内容进行审计。
2.6网络管理及运维系统
网络管理及运维系统的建设包括但不限于:基础资源管理(如计算资源等)、网络资源管理(包括拓扑查看、配置管理、设备性能监控及告警、资产管理等)、用户管理、业务管理、VLAN管理、ACL配置管理、流量分析、QoS管理、用户接入管理、用户行为审计等。
以上是企业内部网络建设的主要内容,其中, “ 桌面安全管理”、“ 网络安全”和“网络管理及运维系统”等内容可以参照ITIL、ISO 2000等标准进行建设。
综上所述,企业在进行内部网络建设时,需要根据实际情况,参照本文的建设原则和建设内容来进行。