企业内部网络建设浅析

企业内部网络建设浅析企业内部网络建设浅析

中国论文联盟*编辑。［

企业内部网络建设浅析

强网络管理维护性能。

２建设内容

企业内部网络建设主要内容包括：网络平台、ＩＰ地址划分、中心机房网络分区、桌面平安管理、网络平安、网络管理及运维。

２．１网络平台

企业内部网络平台建设通常有两种架构：二层架构和三层架构。二层架构包括：核心层、汇聚层。三层架构包括：核心层、汇聚层和接入层。由于技术进步，目前用于组网的交换机基本上具有三层交换功能，因此不用过多考虑二层交换和三层交换之间路由的问题。

核心层通常部署两台核心交换机，实现负载均衡和单点失效爱护，核心交换机通常部署在企业中心机房。

汇聚层通常指楼层交换机，通常部署在楼层弱电间，每个汇聚交换机同时接入到两个核心交换机，以增加网络的可用性。假如一个楼层汇聚交换机的端口不够用时，可以放置多台交换机，通过堆叠的方式虚拟成一台更多端口的汇聚交换机。对于稳定性要求高的网络，亦可以在汇聚层放置冗余设备，以实现该层设备的负载均衡和单点失效爱护。二层架构中该层具有接入和汇聚双重作用，桌面客户端通过楼层布线或者网线接入该层。

三层架构中的接入层通常是指办公室接入交换机，通常部署在工作区配线架或者弱电间，每台接入层交换机与一台或者多台汇聚层交换机连接。对于稳定性要求高的网络，亦可以在接入层放置冗余设备，以实现该层设备的负载均衡和单点失效爱护。桌面客户端通过楼层布线或者网线接入该层。

两种架构的差别主要在于二层架构中没有接入层，其汇聚层具有接入和汇聚双重作用。

２．１．１二层架构的优缺点

２．１．１．１优点

可用性高。汇聚层（也是接入层）直接双上联核心，削减中间环节。传输路径短，数据流从一个区域到另一个区域，路径只需经过"接入核心接入'，数据就可以传输到对端，优化了网络路径。

性能高。汇聚层（也是接入层）直接与核心交换机相连，带宽的收敛比小，实际安排给每一个终端的带宽大，保证时延最小。

２．１．１．２缺点

扩展性弱。当用户的数量增加时，需要在汇聚层增加交换机接入核心交换机，或者通过在汇聚层增加交换机，使用堆叠方式或级联方式实现。

企业内部网络建设浅析

平安性低。平安策略只可以分布在汇聚层交换机和核心交换机上。

可维护性低。网络变更往往影响到核心交换机。

２．１．２三层架构的优缺点

２．１．２．１优点

可扩展性强。当用户的数量增加时，可通过在接入层增加交换机，直接与汇聚层交换机相连供应扩展，扩展变更仅影响限定在此区域的汇聚层交换机，不会影响核心交换机。

平安性高。平安策略可以分布在接入交换机、汇聚层交换机和核心交换机上。

可维护性高。网络变更对核心交换机影响小，除了新增汇聚层交换机，需要对核心交换机进行配置外，一般只影响到汇聚层交换机。汇聚层交换机故障，只会影响汇聚区域内的接入，其他汇聚区域不受影响。

２．１．２．２缺点

可用性低。数据传输路径变长，数据流从一个区域到另一个区域，需要经过"接入汇聚核心汇聚接入'，才能将数据传输到对端，增加了路径的物理长度。

性能低。带宽相应降低，虽然汇聚到核心可通过链路捆绑或万兆接口的方式增加带宽，但仍会消失当区域之间的数据互通时，汇聚层到核心层带宽争用的问题。

２．１．３综合分析

综上所述，两种架构优缺点对比见表1。

表１仅为二层架构与三层架构之间的相对对比，不是对两种架构性质的肯定分析。实际应用中，二层架构更加适用于楼宇等接入密度较高的内部网络建设，三层架构更加适用于物理范围广、接入密度低的内部网络建设。

二层架构和三层架构并不冲突，可以同时运用于一个内部网络建设中，如对于接入密度较高的区域，客户端直接接入汇聚层；对于接入密度较低的区域，客户端接入接入层。

２．２ＩＰ地址划分

由于企业有若干个部门和若干个下属单位，将来组织结构也可能有变化，有必要对ＩＰ地址进行划分，来建立若干个子网，制定敏捷、可扩展、平安的ＩＰ地址安排策略，以便于网络管理和增加网络平安性。

２．３中心机房网络分区

中心机房是一个非常重要的区域，需要对中心机房进行网络区域划分，以增加网络的平安性。通常划分几大区域：核心交换区、Ｉｎｔｅｒｎｅｔ

企业内部网络建设浅析

访问接入区、广域网互联区、ＤＭＺ区、服务器区等。

２．４桌面平安管理

内部网络绝大多数攻击来自于企业内部，所以桌面平安管理非常重要。桌面平安管理包括：平安接入掌握、平安策略管理、资产管理、软件分发、补丁管理、员工行为管理。

２．５网络平安

内部网络既要满意内部办公的需要，又要满意与因特网实现数据交换的需要。特殊是，保证距离企业总部物理距离较远的下属单位能够有效地访问内部网络。各种场景让网络平安相对简单，网络平安建设主要包括但不限于：

（１）接入交换机的平安。包括：端口平安掌握、端口流量掌握、广播抑制、防范ＤＨＣＰ攻击、防范ＡＲＰ哄骗／中间人攻击技术、配置ＶｌａｎＡＣＬ等。

（２）网络设备自身的平安。网络设备某些缺省设置会导致平安漏洞，变更这些设置。

（３）防火墙策略。制定精细的防火墙平安策略，不同端口依据区域不同划分不同的平安级别。

（４）入侵监测／防备系统。使用先进的、专用的入侵监测／防备设备，实现主动监测和防备，并准时将相关信息传送到网管区域，能对用户常用的通讯内容进行审计。

２．６网络管理及运维系统

网络管理及运维系统的建设包括但不限于：基础资源管理（如计算资源等）、网络资源管理（包括拓扑查看、配置管理、设备性能监控及告警、资产管理等）、用户管理、业务管理、ＶＬＡＮ管理、ＡＣＬ配置管理、流量分析、ＱoＳ管理、用户接入管理、用户行为审计等。

以上是企业内部网络建设的主要内容，