網路建設
中小企業如何利用有限的資金來構造適合自己實際情況的網路系統呢?下面從網路基礎架構、Internet接入、網路安全以及網路管理四個方面進行闡述。
網路建設的重要性
目前,對於國內的中小企業而言,計算機技術的套用很大程度上還只是停留在單機套用的水平上,套用軟體也只是辦公軟體和簡單的資料庫套用。隨著企業信息化的逐步深入和企業自身發展的需求,在充分利用現有資源、不需要很大投資的基礎上,構建適合自身情況、滿足實際需求的網路系統是非常必要的,也是重要的。具體地講,主要體現在以下幾個方面:
1.社會進入資訊時代後,要求企業用信息技術來強化企業的管理、生產和經營,而企業要創造更多的經濟效益就必須藉助信息技術來提高企業的生產效率和管理水平,這不但適用於大型企業,對占相當比重的中小企業同樣適用。這也是促使中小企業建設網路系統的主要原因。
2.網路技術的發展使得網路建設從基礎架構到維護和管理都變得十分簡單和智慧型,豐富的網路產品線和不斷降低的價格,可以讓中小企業根據自身的情況,按照實際的經濟條件來構建自己的網路,用於網路建設的投資對於企業而言不再成為一個負擔。
3.各自為戰的單機套用逐步暴露出現有資源利用率低、信息冗餘大等問題,而解決這些問題的惟一途徑就是建設一個滿足套用需求的網路系統來實現資源的共享。
4.一個成功的企業不僅要了解世界,還要讓世界知道自己。實現這個目標的最佳途徑就是要利用Internet。通過Internet,企業不僅可以獲得大量的有價值的信息,同時也可以將企業的信息通過Internet發布到世界各地。
因此,中小企業進行計算機網路特別是Intranet的建設,不僅是信息社會發展的要求,也是自身發展所必須的。
網路建設簡介
中小企業如何利用有限的資金來構造適合自己實際情況的網路系統呢?下面從網路基礎架構、Internet接入、網路安全以及網路管理四個方面進行闡述。
網路基礎架構
同大型企業相比,中小企業的規模較小,套用的類型少而且比較簡單,因此其網路的基礎架構相對簡單,實現起來比較容易一些,投資也會少得多。從目前的網路技術和套用的發展趨勢來看,對於中小企業,採用基於TCP/IP協定組的以太交換網模式是最適合的。經過幾年的發展,以太交換技術和產品都十分成熟,網路的實現和管理都很簡單,維護量也小,並且可以向未來的發展進行平滑的升級和過渡。
1.通信子網的架構
中小企業的網路通常由單個節點構成,網路工作站數量較少且接入比較集中,因此核心網路設備選擇100M的以太交換機就可以了。所有的網路工作站和套用伺服器通過五類雙絞線接入到交換機中構成一個集中接入的星型網路結構,每一台計算機可以獨占100M的頻寬。當中心交換設備需要由多個交換機構成時,建議交換機選擇可以堆疊的交換機,可堆疊的交換機之間進行交換時利用頻寬很高的內部匯流排,可以保證每台接入的計算機都具有100M的頻寬。當工作站到中心交換設備的距離超過100m時,可以在工作站和中心交換機之間設定一台交換機,以級聯的方式與中心交換機連線,工作站接入到級聯的交換機中,不過這些工作站只能共享100M的傳輸頻寬。
由於乙太網以數據廣播的方式進行工作,當一個網路中的工作站較多時,網路通道就變得比較擁塞,網路的性能也就隨之較低。為了改善這種情況,可以採用VLAN技術將一個網路劃分為幾個邏輯上相互獨立的虛擬區域網路,即VLAN。通過VLAN技術,廣播信息被限制在每個VLAN中,而不再是整個網路,並且各個子網之間不能直接通信,不但可以減輕網路負載,而且可以提高網路通信的安全性。如果希望用VLAN技術來規劃整個網路,那么在選擇交換機時,要求設備必須支持802.1Q標準,這樣可以跨越交換機來定義同一個VLAN,也可以在VLAN中使用多個廠家的產品。
劃分了VLAN後,各VLAN之間的通信需要第三層設備的支持。實現的方法是在網路中設定路由器或三層交換機。傳統的路由器基於軟體,協定複雜,數據轉發速度比較慢;而三層交換機集成了第二層的數據交換技術和第三層的數據轉發技術,特別是它對於數據包的轉發是通過硬體來完成的,處理效率非常高,完全可以匹配區域網路高速的傳輸速度。因此,在構建採用VLAN技術的網路時,最優的選擇是以三層交換機作為網路核心。
2.伺服器的選擇
伺服器是網路的重要組成部分,伺服器的性能往往決定了網路套用的性能。一般情況下,由於網路產品的功能、性能與價格是成正比的,因此,要根據具體的需求和套用程度來選擇伺服器。對於關鍵業務的資料庫伺服器或者Web/Mail伺服器通常選擇性能較高的企業級PC伺服器,而DHCP/WINS伺服器、防病毒伺服器、DNS伺服器和代理伺服器由於工作負載較小,用配置較高的PC或部門級的PC伺服器來擔當就可以了。
Internet接入
對Internet資源的訪問,最終都是通過資源所具有的惟一的公有IP位址實現的。對於一個內部網路,每一台工作站和套用伺服器的IP位址均為內部專有的地址,以這樣的IP位址是不能訪問Internet資源的。因此,要實現一個內部網路對Internet的訪問,必須在內部網路和Internet之間設定一個具有網路地址轉換功能(NAT)的設備,對於從內部網路向外發出的IP數據包,NAT設備可以將數據包中所包含的源IP位址和源TCP/IP連線埠號等信息轉換為可以在Internet上使用的公有IP位址和可能改變的TCP/UDP連線埠號;而當Internet主機回響的數據包流入內部網路時,NAT將數據包中包含的目的IP位址和目的TCP/UDP號等信息轉換為專有IP位址和最初的TCP/UDP連線埠號,從而對外部禁止了內部網路的IP位址。
選擇自己的接入方式。
企業可以根據自己的需要來選擇相應的Internet接入模式,如果允許登錄Internet的工作站數量少,並且只是進行信息的瀏覽,可以選擇撥號的方式。在一台計算機上安裝相應的代理軟體作為代理伺服器,由代理伺服器執行地址轉換的功能,代理伺服器通過Modem、ISDN或ADSL等接入設備與Internet進行連線,其他的工作站則通過代理伺服器對Internet進行訪問。最簡單的例子,在一個小型的內部網路中,選擇一台基於Windows 98或Windows 2000的工作站作為代理伺服器,啟用這台計算機中Windows 98/2000內嵌的Internet連線共享功能,就可以實現內部網路對Internet的訪問了。這種方式的投資很小,也不需租用專線的費用,但這種方式只適用於小型的網路,而且只能對Internet的資源進行訪問,不能向外部發布信息。
另外一種模式就是企業通過租用電信部門的專線將自己的內部網路與Internet形成相對固定的連線,這樣不但可以充分利用Internet上的信息資源和各類服務,而且可以通過Internet有限制地向外部公布或發布企業信息,也就說要將企業的網路逐步向Intranet過渡。在這種接入模式中,由於是內部專有網路與公用網路進行連線,因此需要在內部網路的邊界處設定一台路由器,路由器工作在網路層,它可以根據網路層分組的IP位址通過查找路由表確定分組輸出的路徑,從而實現兩個網路的互通。在內部網路安全方面,需要在網路中設定一個防火牆,防火牆一端連線邊界路由器,一端與內部網路的交換機相連。所有的內部網路與外部網路之間的通信都必須通過防火牆進行檢查和連線,通過在防火牆中制定相應的訪問策略,可以有效地將不符合規則的數據包阻隔在內部網路之外,防止外界對內部網路資源的非法訪問;同時防火牆也可以防止內部工作站對外部網路進行的不安全訪問。防火牆可以以透明模式和NAT模式兩種方式工作,如果網路中存在NAT設備,可以將防火牆設定為透明的工作模式;如果網路中沒有NAT設備,那么可以利用防火牆的NAT功能進行網路地址轉換。由於防火牆的NAT功能由硬體完成,其處理速度比起軟體要快得多,因此如果網路中的原有的NAT功能由軟體實現,建議將防火牆設定為NAT模式,並禁用由軟體實現的NAT功能。伺服器設定方面,除了要設定Web伺服器外,企業可以根據需要設定相應的電子郵件伺服器、FTP伺服器和DNS伺服器。這些伺服器不僅能讓內部網路訪問而且要提供外部網路的訪問。將它們放置在防火牆的非軍事區,從而將網路中的套用伺服器與外部訪問完全隔離開來,提高了內部網路的可靠性。
有效利用VPN技術。
目前,防火牆產品通常都集成了VPN功能,這也為遠程用戶和企業的分支機構訪問企業內部網路資源提供了一個非常好的途徑。通常情況下,一個網路要提供遠程用戶或分支機構進行訪問的能力需要採用遠程訪問伺服器、Modem池、電話交換機以及足夠的通信線路來構造專門的遠程訪問系統,這樣做不但需要較大的投資,而且通信的安全性也得不到足夠的保證。而在VPN方式下,VPN客戶端(遠程用戶或分支機構)和設定在內部網路邊界的VPN伺服器(防火牆或專用的VPN伺服器)使用隧道協定,利用Internet或公用網路建立一條“隧道”作為傳輸通道,同時VPN連線採用身份認證和數據加密等技術避免數據在傳輸過程中受到偵聽和篡改,從而保證了數據的完整性、機密性和合法性。通過VPN方式,企業可以利用現有的網路資源實現遠程用戶和分支機構對內部網路資源的訪問,不但節省了大量的資金,而且具有很高的安全性。這種方式對中小企業的Intranet尤其適用,實現起來也比較方便。VPN伺服器可以由內部網路的防火牆來擔當。對於客戶端,如果為遠程用戶,可以利用Windows 98或Windows 2000系統中內嵌的虛擬專用網路(VPN)功能,也可以安裝專業的VPN客戶端軟體;如果為分支機構的小型辦公網路,可以在分支機構網路的邊緣處設定一個具有VPN功能的性能相對較低的防火牆,這樣可以實現在兩個網路之間利用Internet或公用網路進行安全通信。
網路安全
1. 電源的安全
電源不僅是一個計算機網路能夠運行的最基本條件,同時電源的安全也是計算機網路安全運行的最基本要素。這裡電源的安全不僅要求為所有的工作站、伺服器和網路設備提供一個高質量的電源,同時還要設定良好的接地系統。對於伺服器和網路設備還要設定不間斷電源(UPS)裝置,這不但可以增加網路的連續運行能力,而且可以防止因為突然斷電對網路硬體造成的損壞。特別是伺服器,如果正在運行的伺服器突然斷電,不但硬體設備可能出現問題,而且作業系統或套用因為沒有正常關閉可能導致數據不能提交或系統不能正常啟動,甚至造成伺服器或套用的癱瘓。這是任何一個企業都不願看到的。
在網路建設和維護中,電源是最穩定的一個部分,一般情況下,它不會隨著套用的發展頻繁地升級,因此,中小企業在構建自己的網路系統時,進行相應的投資建立一個安全的電源系統是非常值得的。
2. 數據存儲的安全
保存在伺服器中的數據是網路套用的核心,如果由於伺服器磁碟故障造成數據的損壞或丟失,可能會造成無法估量的損失。因此必須採取相應的容錯及災難恢復手段來加強伺服器存儲系統的可靠性。目前,構建伺服器存儲系統使用最廣泛的技術是RAID。RAID的實現策略主要是用多個磁碟驅動器替換單一的大容量的磁碟驅動器,並將數據在各個磁碟上進行分布存放並支持同時在多個磁碟進行並行讀寫,同時利用冗餘的磁碟空間將數據從錯誤中恢復。由於伺服器中構成RAID的磁碟通常為熱插拔磁碟,因此磁碟出現故障時,可以不停機地對故障進行修復,增加了網路系統的連續工作能力。RAID分為好幾個級別,每個級別在I/O性能和安全性方面各具特點,其中RAID1和RAID5使用最多。
RAID1—磁碟鏡像。它由磁碟對組成,每一個工作盤都有對應的鏡像盤,保存著和工作盤完全相同的數據拷貝。當對邏輯塊進行寫入操作時,工作盤和鏡像盤都進行實時更新。如果磁碟對中任一個磁碟失敗,所有的讀寫請求立刻會轉移到另一塊磁碟上。因此它具有最高的可靠性,但它的I/O性能和空間利用率不高,只用50%,適用於訪問量不大但比較注重數據安全性的套用環境。從性能價格比看,中小企業網路的套用伺服器採用RAID1是非常合適的選擇。
RAID5—沒有獨立校驗盤的奇偶校驗碼磁碟陣列。RAID5採用了獨立存取技術,校驗信息分布在陣列內的所有磁碟上,如果陣列中有一個磁碟失敗,這個盤中的數據可以通過其他盤中的數據根據校驗碼進行異或運算獲得。RAID5至少需要3塊磁碟構成,每一塊磁碟上都要占用1/N的空間存放校驗信息(N為構成RAID5的磁碟數量)。由於採用了獨立存取技術, RAID5對於大、小批量的數據讀寫性能都很好,適用於訪問量很大的系統。在中小企業構建網路時,可以將Web伺服器或資料庫伺服器的存儲系統設定為RAID5。
可以根據RAID的套用級別來選擇相應的伺服器,這樣配置起來更方便一些。
3.防病毒設定
計算機病毒一直是困擾著計算機和網路系統的最大問題之一。隨著計算機技術的不斷進步,計算機病毒也不斷地向智慧型化和網路化發展,具有更強大的攻擊力和破壞性,從以往的破壞軟體系統到現在的攻擊硬體系統和網路系統,尤其是藉助於發展迅速的Internet和Intranet,計算機病毒可以通過各種渠道迅速地蔓延並實施破壞。如果沒有防範措施的話,一個企業的計算機網路很容易因為計算機病毒的攻擊而陷入癱瘓。這對於一個企業而言,後果可能是致命的。因此中小企業同樣需要採取相應的防病毒措施來保證網路系統不受病毒的侵害。可以採取以下兩種措施:
(1)為每台工作站和伺服器安裝單機版的防病毒軟體,每台計算機定時地下載病毒碼信息並進行更新。這種方式投資小,但是病毒碼信息更新不及時或不同步,不能對最新的病毒做出及時的回響,可能導致網路系統受到病毒的侵害。
(2)安裝網路防毒系統。這種方式採用客戶機/伺服器方式,選擇一台微機或套用伺服器安裝網路防病毒系統的伺服器端軟體,並通過Internet利用防毒系統的線上更新功能實時地進行病毒碼信息的更新。網路中的所有計算機和伺服器均安裝防毒系統的客戶端軟體,利用伺服器端獲得最新的病毒碼信息對計算機進行病毒掃描。這種方式雖然投資較大,但是對病毒碼信息進行實時的更新,可以保證網路不受到病毒的侵害,控制病毒的大肆傳播。
4.防火牆設定
企業構建了Intranet,實現了與Internet的接軌,雖然為企業業務的開展和日常的工作、學習帶來了極大的方便,但是我們不得不面對的一個問題就是實現了與Internet的接入,企業的內部網路就完全地暴露在外界了,也就可能受到各種有意或無意的攻擊。因此建立企業的Intranet,必須建立網路的防火牆系統來保證內部網路的安全。由於在Internet接入部分已經對防火牆的功能和工作方式進行了相關的介紹,這裡就不再進行過多的描述了。
5.網路的安全教育
保證網路的安全不僅需要通過相應的技術手段從硬體和軟體著手對網路資源進行保護,對網路用戶進行網路的安全教育同樣重要。首先,要建立一套完整的網路管理規定和網路使用方法,並要求網路管理員和網路使用人員必須嚴格遵守,否則的話,再先進的網路安全技術也不能阻止人為因素對網路安全造成的威脅。其次,加強對網路管理員和網路使用人員的培訓,讓他們明白什麼是可以做的,什麼是嚴禁做的,可能產生的嚴重後果是什麼。對網路了解得越多,自我約束的能力也就越強。第三,制定合適的網路安全策略,既不能讓網路用戶無限制地使用網路,也不能對用戶限定得太死,引發用戶設法繞過網路安全系統、鑽網路安全策略空子的現象。制定一種讓網路管理員和網路用戶都樂於接受的安全策略,可以讓網路用戶在使用網路的過程中逐步把網路當成工作中的一個得力工具,從而自覺地維護網路的安全。
網路管理
大型企業的網路通常都通過功能完善的專業網管系統對網路進行管理,這個投資對於中小企業來說可能是無法承擔的。事實上,由於中小企業的網路結構比較簡單,一般不需要對網路的流量、網路設備的狀態和連線埠設定等信息進行實時的控制和檢查。網路管理員可能對網路的連通性、IP位址的設定情況和需要時能對設備進行設定更為關心一些,而這些工作利用Windows 98/2000系統包含的Ping、Ipconfig/Winipcfg、Telnet等實用工具就可以完成。
結束語
不論是大型企業還是中小型企業,建設網路系統都要以滿足套用的需求作為最終目的,尤其是中小企業在進行網路建設時一定要處理好網路性能和投資的關係,既不能為了節省投資而犧牲性能、影回響用,也不能不顧實際的經濟條件而盲目追新、超前投資。一個好的計算機網路系統不僅僅是技術先進、安全性好,更重要的還在於套用。只有套用上去了,才能促進網路系統的進一步發展,推動企業信息化建設的進程,從而增強企業的綜合實力,更好地適應信息社會的發展。
後續
網路普及的趨勢是不可避免的,同時也創造了一批網路服務企業,而傳統企業也開始轉向網路發展,如今的網際網路大時代是不可阻擋的趨勢,網路的發展促進了信息的加速傳播,利大於弊。