企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)淺析
時(shí)間:
唐凌遙 1由 分享
[摘要] 企業(yè)內(nèi)部網(wǎng)絡(luò)是企業(yè)中十分重要的基礎(chǔ)設(shè)施,本文提出企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)應(yīng)遵循統(tǒng)一規(guī)劃、高可用性、高性能、高擴(kuò)展性、高安全性和高可維護(hù)性等原則,并闡述內(nèi)部網(wǎng)絡(luò)建設(shè)的主要內(nèi)容,著重討論了網(wǎng)絡(luò)平臺(tái)的建設(shè)。
?。坳P(guān)鍵詞] 企業(yè)內(nèi)部網(wǎng)絡(luò); 基礎(chǔ)設(shè)施
企業(yè)內(nèi)部網(wǎng)絡(luò)是企業(yè)中十分重要的基礎(chǔ)設(shè)施,可以實(shí)現(xiàn)企業(yè)內(nèi)部相關(guān)部門(mén)及下屬單位的數(shù)據(jù)共享、互聯(lián)互通,為各類(lèi)應(yīng)用系統(tǒng)提供安全、穩(wěn)定、可靠的工作環(huán)境,滿足各種數(shù)據(jù)傳輸?shù)男枨?。本文從?nèi)部網(wǎng)絡(luò)的建設(shè)原則、建設(shè)內(nèi)容著手,闡述如何建立企業(yè)內(nèi)部網(wǎng)絡(luò),著重討論了網(wǎng)絡(luò)平臺(tái)的建設(shè)。
?。苯ㄔO(shè)原則
企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)應(yīng)遵循以下原則:統(tǒng)一規(guī)劃、高可用性、高性能、高擴(kuò)展性、高安全性和高可維護(hù)性。
統(tǒng)一規(guī)劃:明確內(nèi)部網(wǎng)絡(luò)在規(guī)劃期內(nèi)的規(guī)模,確定總體需求,既能滿足企業(yè)當(dāng)前需求,又充分考慮將來(lái)整個(gè)網(wǎng)絡(luò)系統(tǒng)的投資保護(hù)和對(duì)新應(yīng)用的支持。
高可用性:要求關(guān)鍵網(wǎng)絡(luò)設(shè)備具有單點(diǎn)失效保護(hù),能夠?qū)崿F(xiàn)故障預(yù)警、報(bào)警,以及良好的故障應(yīng)急處理能力。如在出現(xiàn)有限個(gè)數(shù)的交換機(jī)、防火墻等設(shè)備故障等情況下,內(nèi)部網(wǎng)絡(luò)可以繼續(xù)工作,不影響業(yè)務(wù)處理。
高性能:內(nèi)部網(wǎng)絡(luò)傳輸?shù)男畔㈩?lèi)型主要有視頻、語(yǔ)音、業(yè)務(wù)數(shù)據(jù)及管理數(shù)據(jù)等。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的各種數(shù)據(jù),網(wǎng)絡(luò)設(shè)備必須具備高速處理能力,提供高速數(shù)據(jù)鏈路,保證網(wǎng)絡(luò)高吞吐能力,滿足各種應(yīng)用對(duì)網(wǎng)絡(luò)帶寬的需求。
高擴(kuò)展性:由于內(nèi)部網(wǎng)絡(luò)是一個(gè)長(zhǎng)期使用重要的基礎(chǔ)設(shè)施。日后隨著企業(yè)規(guī)模擴(kuò)大和業(yè)務(wù)量的增長(zhǎng),對(duì)內(nèi)部網(wǎng)絡(luò)性能的需求可能會(huì)超出預(yù)期,當(dāng)內(nèi)部網(wǎng)絡(luò)的處理能力不夠時(shí),要求可以在原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上實(shí)現(xiàn)靈活擴(kuò)展。這要求網(wǎng)絡(luò)設(shè)備必須符合國(guó)際標(biāo)準(zhǔn)和支持業(yè)界統(tǒng)一標(biāo)準(zhǔn)的相關(guān)接口,選擇廣泛應(yīng)用的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議,能夠與各級(jí)下屬單位網(wǎng)絡(luò)、ISP網(wǎng)絡(luò)以及其他相關(guān)網(wǎng)絡(luò)實(shí)現(xiàn)可靠的互聯(lián)。
高安全性:具有良好的網(wǎng)絡(luò)安全能力和應(yīng)用靈活的安全策略。通過(guò)網(wǎng)絡(luò)分區(qū)、防火墻策略、入侵檢測(cè)、終端準(zhǔn)入等手段來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性。
高可維護(hù)性:維護(hù)便捷簡(jiǎn)單,盡量減少設(shè)備宕機(jī)檢修時(shí)間,特別是減少進(jìn)行故障修復(fù)、網(wǎng)絡(luò)擴(kuò)展和變更時(shí)的宕機(jī)時(shí)間,能夠提供友好、全面的監(jiān)控工具,減少網(wǎng)絡(luò)管理的漏洞風(fēng)險(xiǎn),增強(qiáng)網(wǎng)絡(luò)管理維護(hù)性能。
?。步ㄔO(shè)內(nèi)容
企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)主要內(nèi)容包括:網(wǎng)絡(luò)平臺(tái)、IP地址劃分、中心機(jī)房網(wǎng)絡(luò)分區(qū)、桌面安全管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理及運(yùn)維。
?。玻本W(wǎng)絡(luò)平臺(tái)
企業(yè)內(nèi)部網(wǎng)絡(luò)平臺(tái)建設(shè)通常有兩種架構(gòu):二層架構(gòu)和三層架構(gòu)。二層架構(gòu)包括:核心層、匯聚層。三層架構(gòu)包括:核心層、匯聚層和接入層。由于技術(shù)進(jìn)步,目前用于組網(wǎng)的交換機(jī)基本上具有三層交換功能,因此不用過(guò)多考慮二層交換和三層交換之間路由的問(wèn)題。
核心層通常部署兩臺(tái)核心交換機(jī),實(shí)現(xiàn)負(fù)載均衡和單點(diǎn)失效保護(hù),核心交換機(jī)通常部署在企業(yè)中心機(jī)房。
匯聚層通常指樓層交換機(jī),通常部署在樓層弱電間,每個(gè)匯聚交換機(jī)同時(shí)接入到兩個(gè)核心交換機(jī),以增強(qiáng)網(wǎng)絡(luò)的可用性。如果一個(gè)樓層匯聚交換機(jī)的端口不夠用時(shí),可以放置多臺(tái)交換機(jī),通過(guò)堆疊的方式虛擬成一臺(tái)更多端口的匯聚交換機(jī)。對(duì)于穩(wěn)定性要求高的網(wǎng)絡(luò),亦可以在匯聚層放置冗余設(shè)備,以實(shí)現(xiàn)該層設(shè)備的負(fù)載均衡和單點(diǎn)失效保護(hù)。二層架構(gòu)中該層具有接入和匯聚雙重作用,桌面客戶端通過(guò)樓層布線或者網(wǎng)線接入該層。
三層架構(gòu)中的接入層通常是指辦公室接入交換機(jī),通常部署在工作區(qū)配線架或者弱電間,每臺(tái)接入層交換機(jī)與一臺(tái)或者多臺(tái)匯聚層交換機(jī)連接。對(duì)于穩(wěn)定性要求高的網(wǎng)絡(luò),亦可以在接入層放置冗余設(shè)備,以實(shí)現(xiàn)該層設(shè)備的負(fù)載均衡和單點(diǎn)失效保護(hù)。桌面客戶端通過(guò)樓層布線或者網(wǎng)線接入該層。
兩種架構(gòu)的差別主要在于二層架構(gòu)中沒(méi)有接入層,其匯聚層具有接入和匯聚雙重作用。
?。玻保倍蛹軜?gòu)的優(yōu)缺點(diǎn)
?。玻保保眱?yōu)點(diǎn)
可用性高。匯聚層(也是接入層)直接雙上聯(lián)核心,減少中間環(huán)節(jié)。傳輸路徑短,數(shù)據(jù)流從一個(gè)區(qū)域到另一個(gè)區(qū)域,路徑只需經(jīng)過(guò)“接入→核心→接入”,數(shù)據(jù)就可以傳輸?shù)綄?duì)端,優(yōu)化了網(wǎng)絡(luò)路徑。
性能高。匯聚層(也是接入層)直接與核心交換機(jī)相連,帶寬的收斂比小,實(shí)際分配給每一個(gè)終端的帶寬大,保證時(shí)延最小。
?。玻保保踩秉c(diǎn)
擴(kuò)展性弱。當(dāng)用戶的數(shù)量增加時(shí),需要在匯聚層增加交換機(jī)接入核心交換機(jī),或者通過(guò)在匯聚層增加交換機(jī),使用堆疊方式或級(jí)聯(lián)方式實(shí)現(xiàn)。
安全性低。安全策略只可以分布在匯聚層交換機(jī)和核心交換機(jī)上。
可維護(hù)性低。網(wǎng)絡(luò)變更往往影響到核心交換機(jī)。
?。玻保踩龑蛹軜?gòu)的優(yōu)缺點(diǎn)
?。玻保玻眱?yōu)點(diǎn)
可擴(kuò)展性強(qiáng)。當(dāng)用戶的數(shù)量增加時(shí),可通過(guò)在接入層增加交換機(jī),直接與匯聚層交換機(jī)相連提供擴(kuò)展,擴(kuò)展變更僅影響限定在此區(qū)域的匯聚層交換機(jī),不會(huì)影響核心交換機(jī)。
安全性高。安全策略可以分布在接入交換機(jī)、匯聚層交換機(jī)和核心交換機(jī)上。
可維護(hù)性高。網(wǎng)絡(luò)變更對(duì)核心交換機(jī)影響小,除了新增匯聚層交換機(jī),需要對(duì)核心交換機(jī)進(jìn)行配置外,一般只影響到匯聚層交換機(jī)。匯聚層交換機(jī)故障,只會(huì)影響匯聚區(qū)域內(nèi)的接入,其他匯聚區(qū)域不受影響。
?。玻保玻踩秉c(diǎn)
可用性低。數(shù)據(jù)傳輸路徑變長(zhǎng),數(shù)據(jù)流從一個(gè)區(qū)域到另一個(gè)區(qū)域,需要經(jīng)過(guò)“接入→匯聚→核心→匯聚→接入”,才能將數(shù)據(jù)傳輸?shù)綄?duì)端,增加了路徑的物理長(zhǎng)度。
性能低。帶寬相應(yīng)降低,雖然匯聚到核心可通過(guò)鏈路捆綁或萬(wàn)兆接口的方式增加帶寬,但仍會(huì)出現(xiàn)當(dāng)區(qū)域之間的數(shù)據(jù)互通時(shí),匯聚層到核心層帶寬爭(zhēng)用的問(wèn)題。
2.1.3綜合分析
綜上所述,兩種架構(gòu)優(yōu)缺點(diǎn)對(duì)比見(jiàn)表1。
表1僅為二層架構(gòu)與三層架構(gòu)之間的相對(duì)對(duì)比,不是對(duì)兩種架構(gòu)性質(zhì)的絕對(duì)分析。實(shí)際應(yīng)用中,二層架構(gòu)更加適用于樓宇等接入密度較高的內(nèi)部網(wǎng)絡(luò)建設(shè),三層架構(gòu)更加適用于物理范圍廣、接入密度低的內(nèi)部網(wǎng)絡(luò)建設(shè)。
二層架構(gòu)和三層架構(gòu)并不沖突,可以同時(shí)運(yùn)用于一個(gè)內(nèi)部網(wǎng)絡(luò)建設(shè)中,如對(duì)于接入密度較高的區(qū)域,客戶端直接接入?yún)R聚層; 對(duì)于接入密度較低的區(qū)域,客戶端接入接入層。
?。玻玻桑械刂穭澐?br/> 由于企業(yè)有若干個(gè)部門(mén)和若干個(gè)下屬單位,將來(lái)組織結(jié)構(gòu)也可能有變化,有必要對(duì)IP地址進(jìn)行劃分,來(lái)建立若干個(gè)子網(wǎng),制定靈活、可擴(kuò)展、安全的IP地址分配策略,以便于網(wǎng)絡(luò)管理和增強(qiáng)網(wǎng)絡(luò)安全性。
2.3中心機(jī)房網(wǎng)絡(luò)分區(qū)
中心機(jī)房是一個(gè)十分重要的區(qū)域,需要對(duì)中心機(jī)房進(jìn)行網(wǎng)絡(luò)區(qū)域劃分,以增強(qiáng)網(wǎng)絡(luò)的安全性。通常劃分幾大區(qū)域:核心交換區(qū)、Internet訪問(wèn)接入?yún)^(qū)、廣域網(wǎng)互聯(lián)區(qū)、DMZ區(qū)、服務(wù)器區(qū)等。
?。玻醋烂姘踩芾?br/> 內(nèi)部網(wǎng)絡(luò)絕大多數(shù)攻擊來(lái)自于企業(yè)內(nèi)部,所以桌面安全管理十分重要。桌面安全管理包括:安全接入控制、安全策略管理、資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、員工行為管理。
?。玻稻W(wǎng)絡(luò)安全
內(nèi)部網(wǎng)絡(luò)既要滿足內(nèi)部辦公的需要,又要滿足與因特網(wǎng)實(shí)現(xiàn)數(shù)據(jù)交換的需要。特別是,保證距離企業(yè)總部物理距離較遠(yuǎn)的下屬單位能夠有效地訪問(wèn)內(nèi)部網(wǎng)絡(luò)。各種場(chǎng)景讓網(wǎng)絡(luò)安全相對(duì)復(fù)雜,網(wǎng)絡(luò)安全建設(shè)主要包括但不限于:
?。ǎ保?接入交換機(jī)的安全。包括:端口安全控制、端口流量控制、廣播抑制、防范DHCP攻擊、防范ARP欺騙/中間人攻擊技術(shù)、配置Vlan ACL等。
?。ǎ玻?網(wǎng)絡(luò)設(shè)備自身的安全。網(wǎng)絡(luò)設(shè)備某些缺省設(shè)置會(huì)導(dǎo)致安全漏洞,變更這些設(shè)置。
?。ǎ常?防火墻策略。制定精細(xì)的防火墻安全策略,不同端口根據(jù)區(qū)域不同劃分不同的安全級(jí)別。
?。ǎ矗?入侵監(jiān)測(cè)/防御系統(tǒng)。使用先進(jìn)的、專(zhuān)用的入侵監(jiān)測(cè)/防御設(shè)備,實(shí)現(xiàn)主動(dòng)監(jiān)測(cè)和防御,并及時(shí)將相關(guān)信息傳送到網(wǎng)管區(qū)域,能對(duì)用戶常用的通訊內(nèi)容進(jìn)行審計(jì)。
?。玻毒W(wǎng)絡(luò)管理及運(yùn)維系統(tǒng)
網(wǎng)絡(luò)管理及運(yùn)維系統(tǒng)的建設(shè)包括但不限于:基礎(chǔ)資源管理(如計(jì)算資源等)、網(wǎng)絡(luò)資源管理(包括拓?fù)洳榭?、配置管理、設(shè)備性能監(jiān)控及告警、資產(chǎn)管理等)、用戶管理、業(yè)務(wù)管理、VLAN管理、ACL配置管理、流量分析、QoS管理、用戶接入管理、用戶行為審計(jì)等。
以上是企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的主要內(nèi)容,其中, “ 桌面安全管理”、“ 網(wǎng)絡(luò)安全”和“網(wǎng)絡(luò)管理及運(yùn)維系統(tǒng)”等內(nèi)容可以參照ITIL、ISO 2000等標(biāo)準(zhǔn)進(jìn)行建設(shè)。
綜上所述,企業(yè)在進(jìn)行內(nèi)部網(wǎng)絡(luò)建設(shè)時(shí),需要根據(jù)實(shí)際情況,參照本文的建設(shè)原則和建設(shè)內(nèi)容來(lái)進(jìn)行。
?。坳P(guān)鍵詞] 企業(yè)內(nèi)部網(wǎng)絡(luò); 基礎(chǔ)設(shè)施
企業(yè)內(nèi)部網(wǎng)絡(luò)是企業(yè)中十分重要的基礎(chǔ)設(shè)施,可以實(shí)現(xiàn)企業(yè)內(nèi)部相關(guān)部門(mén)及下屬單位的數(shù)據(jù)共享、互聯(lián)互通,為各類(lèi)應(yīng)用系統(tǒng)提供安全、穩(wěn)定、可靠的工作環(huán)境,滿足各種數(shù)據(jù)傳輸?shù)男枨?。本文從?nèi)部網(wǎng)絡(luò)的建設(shè)原則、建設(shè)內(nèi)容著手,闡述如何建立企業(yè)內(nèi)部網(wǎng)絡(luò),著重討論了網(wǎng)絡(luò)平臺(tái)的建設(shè)。
?。苯ㄔO(shè)原則
企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)應(yīng)遵循以下原則:統(tǒng)一規(guī)劃、高可用性、高性能、高擴(kuò)展性、高安全性和高可維護(hù)性。
統(tǒng)一規(guī)劃:明確內(nèi)部網(wǎng)絡(luò)在規(guī)劃期內(nèi)的規(guī)模,確定總體需求,既能滿足企業(yè)當(dāng)前需求,又充分考慮將來(lái)整個(gè)網(wǎng)絡(luò)系統(tǒng)的投資保護(hù)和對(duì)新應(yīng)用的支持。
高可用性:要求關(guān)鍵網(wǎng)絡(luò)設(shè)備具有單點(diǎn)失效保護(hù),能夠?qū)崿F(xiàn)故障預(yù)警、報(bào)警,以及良好的故障應(yīng)急處理能力。如在出現(xiàn)有限個(gè)數(shù)的交換機(jī)、防火墻等設(shè)備故障等情況下,內(nèi)部網(wǎng)絡(luò)可以繼續(xù)工作,不影響業(yè)務(wù)處理。
高性能:內(nèi)部網(wǎng)絡(luò)傳輸?shù)男畔㈩?lèi)型主要有視頻、語(yǔ)音、業(yè)務(wù)數(shù)據(jù)及管理數(shù)據(jù)等。為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的各種數(shù)據(jù),網(wǎng)絡(luò)設(shè)備必須具備高速處理能力,提供高速數(shù)據(jù)鏈路,保證網(wǎng)絡(luò)高吞吐能力,滿足各種應(yīng)用對(duì)網(wǎng)絡(luò)帶寬的需求。
高擴(kuò)展性:由于內(nèi)部網(wǎng)絡(luò)是一個(gè)長(zhǎng)期使用重要的基礎(chǔ)設(shè)施。日后隨著企業(yè)規(guī)模擴(kuò)大和業(yè)務(wù)量的增長(zhǎng),對(duì)內(nèi)部網(wǎng)絡(luò)性能的需求可能會(huì)超出預(yù)期,當(dāng)內(nèi)部網(wǎng)絡(luò)的處理能力不夠時(shí),要求可以在原有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上實(shí)現(xiàn)靈活擴(kuò)展。這要求網(wǎng)絡(luò)設(shè)備必須符合國(guó)際標(biāo)準(zhǔn)和支持業(yè)界統(tǒng)一標(biāo)準(zhǔn)的相關(guān)接口,選擇廣泛應(yīng)用的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議,能夠與各級(jí)下屬單位網(wǎng)絡(luò)、ISP網(wǎng)絡(luò)以及其他相關(guān)網(wǎng)絡(luò)實(shí)現(xiàn)可靠的互聯(lián)。
高安全性:具有良好的網(wǎng)絡(luò)安全能力和應(yīng)用靈活的安全策略。通過(guò)網(wǎng)絡(luò)分區(qū)、防火墻策略、入侵檢測(cè)、終端準(zhǔn)入等手段來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性。
高可維護(hù)性:維護(hù)便捷簡(jiǎn)單,盡量減少設(shè)備宕機(jī)檢修時(shí)間,特別是減少進(jìn)行故障修復(fù)、網(wǎng)絡(luò)擴(kuò)展和變更時(shí)的宕機(jī)時(shí)間,能夠提供友好、全面的監(jiān)控工具,減少網(wǎng)絡(luò)管理的漏洞風(fēng)險(xiǎn),增強(qiáng)網(wǎng)絡(luò)管理維護(hù)性能。
?。步ㄔO(shè)內(nèi)容
企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)主要內(nèi)容包括:網(wǎng)絡(luò)平臺(tái)、IP地址劃分、中心機(jī)房網(wǎng)絡(luò)分區(qū)、桌面安全管理、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理及運(yùn)維。
?。玻本W(wǎng)絡(luò)平臺(tái)
企業(yè)內(nèi)部網(wǎng)絡(luò)平臺(tái)建設(shè)通常有兩種架構(gòu):二層架構(gòu)和三層架構(gòu)。二層架構(gòu)包括:核心層、匯聚層。三層架構(gòu)包括:核心層、匯聚層和接入層。由于技術(shù)進(jìn)步,目前用于組網(wǎng)的交換機(jī)基本上具有三層交換功能,因此不用過(guò)多考慮二層交換和三層交換之間路由的問(wèn)題。
核心層通常部署兩臺(tái)核心交換機(jī),實(shí)現(xiàn)負(fù)載均衡和單點(diǎn)失效保護(hù),核心交換機(jī)通常部署在企業(yè)中心機(jī)房。
匯聚層通常指樓層交換機(jī),通常部署在樓層弱電間,每個(gè)匯聚交換機(jī)同時(shí)接入到兩個(gè)核心交換機(jī),以增強(qiáng)網(wǎng)絡(luò)的可用性。如果一個(gè)樓層匯聚交換機(jī)的端口不夠用時(shí),可以放置多臺(tái)交換機(jī),通過(guò)堆疊的方式虛擬成一臺(tái)更多端口的匯聚交換機(jī)。對(duì)于穩(wěn)定性要求高的網(wǎng)絡(luò),亦可以在匯聚層放置冗余設(shè)備,以實(shí)現(xiàn)該層設(shè)備的負(fù)載均衡和單點(diǎn)失效保護(hù)。二層架構(gòu)中該層具有接入和匯聚雙重作用,桌面客戶端通過(guò)樓層布線或者網(wǎng)線接入該層。
三層架構(gòu)中的接入層通常是指辦公室接入交換機(jī),通常部署在工作區(qū)配線架或者弱電間,每臺(tái)接入層交換機(jī)與一臺(tái)或者多臺(tái)匯聚層交換機(jī)連接。對(duì)于穩(wěn)定性要求高的網(wǎng)絡(luò),亦可以在接入層放置冗余設(shè)備,以實(shí)現(xiàn)該層設(shè)備的負(fù)載均衡和單點(diǎn)失效保護(hù)。桌面客戶端通過(guò)樓層布線或者網(wǎng)線接入該層。
兩種架構(gòu)的差別主要在于二層架構(gòu)中沒(méi)有接入層,其匯聚層具有接入和匯聚雙重作用。
?。玻保倍蛹軜?gòu)的優(yōu)缺點(diǎn)
?。玻保保眱?yōu)點(diǎn)
可用性高。匯聚層(也是接入層)直接雙上聯(lián)核心,減少中間環(huán)節(jié)。傳輸路徑短,數(shù)據(jù)流從一個(gè)區(qū)域到另一個(gè)區(qū)域,路徑只需經(jīng)過(guò)“接入→核心→接入”,數(shù)據(jù)就可以傳輸?shù)綄?duì)端,優(yōu)化了網(wǎng)絡(luò)路徑。
性能高。匯聚層(也是接入層)直接與核心交換機(jī)相連,帶寬的收斂比小,實(shí)際分配給每一個(gè)終端的帶寬大,保證時(shí)延最小。
?。玻保保踩秉c(diǎn)
擴(kuò)展性弱。當(dāng)用戶的數(shù)量增加時(shí),需要在匯聚層增加交換機(jī)接入核心交換機(jī),或者通過(guò)在匯聚層增加交換機(jī),使用堆疊方式或級(jí)聯(lián)方式實(shí)現(xiàn)。
安全性低。安全策略只可以分布在匯聚層交換機(jī)和核心交換機(jī)上。
可維護(hù)性低。網(wǎng)絡(luò)變更往往影響到核心交換機(jī)。
?。玻保踩龑蛹軜?gòu)的優(yōu)缺點(diǎn)
?。玻保玻眱?yōu)點(diǎn)
可擴(kuò)展性強(qiáng)。當(dāng)用戶的數(shù)量增加時(shí),可通過(guò)在接入層增加交換機(jī),直接與匯聚層交換機(jī)相連提供擴(kuò)展,擴(kuò)展變更僅影響限定在此區(qū)域的匯聚層交換機(jī),不會(huì)影響核心交換機(jī)。
安全性高。安全策略可以分布在接入交換機(jī)、匯聚層交換機(jī)和核心交換機(jī)上。
可維護(hù)性高。網(wǎng)絡(luò)變更對(duì)核心交換機(jī)影響小,除了新增匯聚層交換機(jī),需要對(duì)核心交換機(jī)進(jìn)行配置外,一般只影響到匯聚層交換機(jī)。匯聚層交換機(jī)故障,只會(huì)影響匯聚區(qū)域內(nèi)的接入,其他匯聚區(qū)域不受影響。
?。玻保玻踩秉c(diǎn)
可用性低。數(shù)據(jù)傳輸路徑變長(zhǎng),數(shù)據(jù)流從一個(gè)區(qū)域到另一個(gè)區(qū)域,需要經(jīng)過(guò)“接入→匯聚→核心→匯聚→接入”,才能將數(shù)據(jù)傳輸?shù)綄?duì)端,增加了路徑的物理長(zhǎng)度。
性能低。帶寬相應(yīng)降低,雖然匯聚到核心可通過(guò)鏈路捆綁或萬(wàn)兆接口的方式增加帶寬,但仍會(huì)出現(xiàn)當(dāng)區(qū)域之間的數(shù)據(jù)互通時(shí),匯聚層到核心層帶寬爭(zhēng)用的問(wèn)題。
2.1.3綜合分析
綜上所述,兩種架構(gòu)優(yōu)缺點(diǎn)對(duì)比見(jiàn)表1。
表1僅為二層架構(gòu)與三層架構(gòu)之間的相對(duì)對(duì)比,不是對(duì)兩種架構(gòu)性質(zhì)的絕對(duì)分析。實(shí)際應(yīng)用中,二層架構(gòu)更加適用于樓宇等接入密度較高的內(nèi)部網(wǎng)絡(luò)建設(shè),三層架構(gòu)更加適用于物理范圍廣、接入密度低的內(nèi)部網(wǎng)絡(luò)建設(shè)。
二層架構(gòu)和三層架構(gòu)并不沖突,可以同時(shí)運(yùn)用于一個(gè)內(nèi)部網(wǎng)絡(luò)建設(shè)中,如對(duì)于接入密度較高的區(qū)域,客戶端直接接入?yún)R聚層; 對(duì)于接入密度較低的區(qū)域,客戶端接入接入層。
?。玻玻桑械刂穭澐?br/> 由于企業(yè)有若干個(gè)部門(mén)和若干個(gè)下屬單位,將來(lái)組織結(jié)構(gòu)也可能有變化,有必要對(duì)IP地址進(jìn)行劃分,來(lái)建立若干個(gè)子網(wǎng),制定靈活、可擴(kuò)展、安全的IP地址分配策略,以便于網(wǎng)絡(luò)管理和增強(qiáng)網(wǎng)絡(luò)安全性。
2.3中心機(jī)房網(wǎng)絡(luò)分區(qū)
中心機(jī)房是一個(gè)十分重要的區(qū)域,需要對(duì)中心機(jī)房進(jìn)行網(wǎng)絡(luò)區(qū)域劃分,以增強(qiáng)網(wǎng)絡(luò)的安全性。通常劃分幾大區(qū)域:核心交換區(qū)、Internet訪問(wèn)接入?yún)^(qū)、廣域網(wǎng)互聯(lián)區(qū)、DMZ區(qū)、服務(wù)器區(qū)等。
?。玻醋烂姘踩芾?br/> 內(nèi)部網(wǎng)絡(luò)絕大多數(shù)攻擊來(lái)自于企業(yè)內(nèi)部,所以桌面安全管理十分重要。桌面安全管理包括:安全接入控制、安全策略管理、資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、員工行為管理。
?。玻稻W(wǎng)絡(luò)安全
內(nèi)部網(wǎng)絡(luò)既要滿足內(nèi)部辦公的需要,又要滿足與因特網(wǎng)實(shí)現(xiàn)數(shù)據(jù)交換的需要。特別是,保證距離企業(yè)總部物理距離較遠(yuǎn)的下屬單位能夠有效地訪問(wèn)內(nèi)部網(wǎng)絡(luò)。各種場(chǎng)景讓網(wǎng)絡(luò)安全相對(duì)復(fù)雜,網(wǎng)絡(luò)安全建設(shè)主要包括但不限于:
?。ǎ保?接入交換機(jī)的安全。包括:端口安全控制、端口流量控制、廣播抑制、防范DHCP攻擊、防范ARP欺騙/中間人攻擊技術(shù)、配置Vlan ACL等。
?。ǎ玻?網(wǎng)絡(luò)設(shè)備自身的安全。網(wǎng)絡(luò)設(shè)備某些缺省設(shè)置會(huì)導(dǎo)致安全漏洞,變更這些設(shè)置。
?。ǎ常?防火墻策略。制定精細(xì)的防火墻安全策略,不同端口根據(jù)區(qū)域不同劃分不同的安全級(jí)別。
?。ǎ矗?入侵監(jiān)測(cè)/防御系統(tǒng)。使用先進(jìn)的、專(zhuān)用的入侵監(jiān)測(cè)/防御設(shè)備,實(shí)現(xiàn)主動(dòng)監(jiān)測(cè)和防御,并及時(shí)將相關(guān)信息傳送到網(wǎng)管區(qū)域,能對(duì)用戶常用的通訊內(nèi)容進(jìn)行審計(jì)。
?。玻毒W(wǎng)絡(luò)管理及運(yùn)維系統(tǒng)
網(wǎng)絡(luò)管理及運(yùn)維系統(tǒng)的建設(shè)包括但不限于:基礎(chǔ)資源管理(如計(jì)算資源等)、網(wǎng)絡(luò)資源管理(包括拓?fù)洳榭?、配置管理、設(shè)備性能監(jiān)控及告警、資產(chǎn)管理等)、用戶管理、業(yè)務(wù)管理、VLAN管理、ACL配置管理、流量分析、QoS管理、用戶接入管理、用戶行為審計(jì)等。
以上是企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的主要內(nèi)容,其中, “ 桌面安全管理”、“ 網(wǎng)絡(luò)安全”和“網(wǎng)絡(luò)管理及運(yùn)維系統(tǒng)”等內(nèi)容可以參照ITIL、ISO 2000等標(biāo)準(zhǔn)進(jìn)行建設(shè)。
綜上所述,企業(yè)在進(jìn)行內(nèi)部網(wǎng)絡(luò)建設(shè)時(shí),需要根據(jù)實(shí)際情況,參照本文的建設(shè)原則和建設(shè)內(nèi)容來(lái)進(jìn)行。