建設內容：構建中型企業的計算機局域網，搭建安全的網絡訪問出口和網絡服務體系，實現管理網、生產網、安防網之間的安全隔離和邏輯互通，具體包 括設備部署、安裝、調試、測試和用戶培訓等;對企業管理網、安防網和生產網等有線及無線網絡的深化設計、IP規劃和配置，建立良好的網絡管理機制，滿足網 絡系統信息的存儲與備份，維保服務及為完成本建設內容內容所必須的各項工作。

　　【摘 要】隨著信息化技術日新月異的發展，中小型企業信息網絡承載的業務也越來越多，網絡構建也越來越復雜，很多還要上行下傳，管理網生產網安防網都有建設。本文從實踐出發，比較全面地描述中小型企業信息網絡系統建設內容、原則以及實施方案等，為中小型企業信息化建設提供參考。

　　【關鍵詞】中級工程師論文,中小型企業,信息化,網絡系統

　　一、建設內容概述

　　(一)建設目標

　　建設目標：建設覆蓋全企業所有建筑物的高速企業局域網絡，滿足企業目前及未來5年內信息化、自動化、智能化相關系統的需求，保證局域網能與企業廣域網之間進行數據信息的準確、完整、快速、安全地傳遞，能夠通過安全機制訪問互聯網，保證提供安全暢通的信息傳輸渠道。

　　(二)建設原則

　　1.實用性：系統的配置和設計應最大限度的滿足企業的相關業務系統的各項需求，充分考慮長遠發展。

　　2.安全性：系統需提供網絡層的安全手段防止系統外部成員的非法侵入以及操作人員的越級操作。

　　3.可靠性：系統須能有效避免單點故障，最大限度地減少故障出現的可能性，同時保障網絡能在最短時間內修復。系統通過完備的網絡策略，保障網絡物理及邏輯設計的可靠性。

　　4.先進性：系統結構設計、系統配置、系統管理方式等方面應采用國際上先進、成熟、實用的技術。通過智能化管理平臺構建智能化管理網絡，提升內部的管理效率以及對外的服務水平。

　　5.可管理性：整個系統須易于管理和維護，配置易學易用，并可以進行遠程管理和故障診斷。建立統一的網絡管理平臺，實現對有線無線接入網絡設備、網絡策略、網絡協議的多級維護，實現便捷管理。

　　6.可擴充性：充分考慮到未來技術和業務的發展，支持核心業務系統的不斷擴展，保證網絡設備可以擴充和升級，保護投資。

　　7.規范性：采用國際及行業開放的技術標準和產品，設備的各種接口滿足開放性和標準化原則，保證在系統集成、互聯和擴展時能夠相互兼容。

　　(三)建設依據

　　依據與本建設內容有關的國家、地方及國外工程技術規范標準;參照國際上通行的管理方法，在國內外規范標準發生矛盾時，以國內規范標準為準。

　　二、總體實施方案

　　本次建設內容涉及企業廣域網、互聯網及內部網絡的各個區域。

　　具體包括：協助企業與線路運營商的銜接，完成線路的調試工作;負責完成企業確立網絡建設方案;負責完成IP地址、VLAN及設備命名等數據參數 的規劃與分配的解決方案;協助廣域端口參數的確立;負責完成路由交換設備廣域端口、局域端口的設置和路由策略的設計等，以及其它保證網絡完整性的相應集成 工作。

　　無線網絡系統包括：協助完成無線AP點的位置規劃及設備安裝調試;負責完成無線AP所用到的數據參數的規劃;負責實現無線AP接入點的安全訪問控制及高效的可管理性;負責實現無線AP下掛終端與內網各個區域間及互聯網等網絡間的互聯互通。

　　網絡安全體系括：廣域網出口、互聯網出口及內網各個區域間的網絡訪問限制;從網絡安全、主機安全、網絡應用、防病毒、接入認證、數據安全幾個層面對安全進行全面防護，同時要進行安全的集中管理。

　　網絡管理體系包括：規劃企業的網絡管理體系，建立企業的綜合統一網絡管理平臺，實現對網絡系統的有效監控和預警，實現網絡系統的故障管理、事件 管理、性能管理，拓撲管理和鏈路流量管理;實現對主機故障和性能指標的監控管理、事件管理;建立綜合報表平臺，實現網絡管理、主機管理、服務流程管理的報 表系統。

　　(一)實施流程

　　實施流程分為如下四個階段：準備階段、網絡建設、系統調試、測試運行

　　(二)環境調研

　　環境調研分為兩部分：基礎環境調研、網絡結構調研。

　　基礎環境調研包括：機房平面圖、新增機柜位置、運營商機柜位置、地板承重、供電環境、走線方式、機房溫濕度等;

　　網絡結構調研主要包括：新企業區內網各個區域網絡拓撲圖、設備類型、型號數量及設備配置、端口類型、終端數量等。

　　(三)設備訂貨

　　將購置設備及時、無故障、順利的運抵合同中規定的安裝或聯調現場，并負責故障設備的返修工作。

　　(四)詳細方案編寫

　　工程前期調研結束后，根據用戶的要求以及調研結果，進行詳細技術方案的設計和編寫工作，包括詳盡的安裝順序及技術參數，以作為現場施工安裝的依據。

　　(五)設備到貨及驗收

　　設備到貨驗收的主要內容包括：1.設備已全部送達至用戶指定機房;2.依照《設備到貨驗收報告》對設備進行核對，并記錄產品序列號;3.設備加電測試;4.設備隨箱資料整理;5.確認設備到貨內容無誤后，實施人員與用戶共同簽署《設備到貨驗收報告》。

　　(六)設備安裝調試

　　設備到貨驗收完成后，實施人員在用戶技術人員的監督指導下，將設備部署到各指定機房指定位置。進行現場設備的安裝、施工和調試工作。工作過程和內容主要包括：

　　1.到達施工現場，向用戶方配合人員介紹施工安排

　　2.設備安裝上架、加固、接地等工作

　　3.終端設備和系統安裝、調試完成，雙方簽署有關安裝完成的證明書

　　4.詳細解釋并移交技術文件、配置手冊等給節點配合人員 　　5.通過《測試報告》測試內容后，實施人員與用戶共同簽署《測試報告》，并需用戶蓋章確認。

　　(七)網絡聯調測試

　　設備安裝調試完成后展開聯調，進一步確認系統的每一部分都符合建設要求。

　　(八)系統聯調測試

　　網絡聯調完成后，承載系統模擬真實生產環境，對各個生產區域進行功能測試，進一步完善網絡安全設備訪問控制策略。

　　(九)用戶培訓

　　在實施過程中，現場對相關技術人員進行培訓。使用戶維護及技術人員能夠最直觀的感受。培訓的主要內容包括：工程實施技術培訓;設備安裝、配置培訓;日常維護管理知識培訓;簡單故障的判斷和處理方法。

　　(十)系統初驗

　　設備安裝、調試達到技術規范書規定的指標后，建設內容組將進行系統的驗收測試(初驗)，以確保系統涉及的各個分區域和其他區域及廣域網和互聯網間的通信都能通暢無阻，安全設備能提供有效的安全防護，如果發現問題，將及時解決。

　　在初驗前建設內容組將向用戶提交初驗的驗收規范(包括建設內容、指標、方式和測試儀器等)，用戶方可根據技術規范書的有關規定進行修改和補充， 經雙方協商確認后形成驗收文件作為驗收依據。驗收測試合格后， 雙方簽署驗收協議， 設備入網開通試運行。

　　(十一)系統試運行

　　系統初驗通過后，進入試運行階段，試運行時間為3個月。在試運行期內建設內容組將跟蹤設備運行狀態，及時發現并解決問題，消除故障隱患。

　　(十二)系統終驗

　　系統試運行結束后，雙方應進行系統的終驗工作，以確保解決了前期測試和驗收中遺留的問題，并滿足了用戶的所有需求。在全部達到要求時，雙方簽署最終驗收文件。在終驗完成后，將提供詳細的終驗報告，報告經用戶方確認后，現場驗收即告完成，系統進入質量保證期階段。

　　(十三)網絡出口組網及路由協議規劃

　　1.廣域網出口規劃

　　企業廣域網網絡采用雙出口設計，使用兩臺高性能路由器(含IPS板卡)+雙防火墻分別上行至中煙公司廣域網。

　　2.互聯網出口規劃

　　為了保證接入Internet后的安全性，在網絡內部與出口之間設置防火墻、入侵檢測、防毒墻等安全設備。SSL VPN設備放置在DMZ區域中。

　　互聯網出口區部署一臺高性能防火墻設備，以路由方式工作，將互聯網出口劃分為三個安全區域，保護內部終端和服務器不受外部非法攻擊和訪問，同時對DMZ區的Web和郵件等服務器提供有限訪問保護，Internet以及企業內網用戶均可正常訪問DMZ區中的設備。

　　IPS的連接方式為雙路連接，即：IPS分別連接兩臺物理核心交換機，在提高數據轉發性能的同時，也可避免單鏈路或其中一臺核心故障(端口或機框)而導致的互聯網業務中斷。

　　結合互聯網業務和運營商互聯網專線的特點，互聯網出口路由協議規劃如下：(1)在出口防火墻配置缺省靜態路由指向運營商城域網設備;(2)出口防火墻向內起OSPF動態路由協議，并將向外的缺省靜態路由引入OSPF。

　　三、QoS規劃

　　本次網絡規劃時在提供充足帶寬的前提下，還需要實施端到端的QoS機制。

　　我們可以用丟棄率、時延、時延抖動等幾個關鍵參數來描述一個業務的QoS，當一個網絡提供某類QoS的服務時，就是在網絡中的結點設備上設置該類業務的帶寬、發送優先級、丟棄優先級等來控制業務的丟棄率、時延、時延抖動等業務參數在承諾的范圍內。

　　四、QoS設計原則

　　企業網絡系統的QoS設計符合下面的原則：

　　差異性：為不同用戶，不同業務提供不同的QoS保證;

　　可管理：靈活的帶寬控制;

　　經濟性：有效利用網絡資源，包括帶寬、VLAN、端口等;

　　高可用性：設計備份路徑，采用具備熱備份、熱插拔能力的設備，并對關鍵的網絡節點進行冗余備份;

　　可擴展性：采用能夠在帶寬、業務種類增加時平滑擴容、升級的設備。

　　五、QoS部署策略

　　企業網絡系統的設計要求符合下列QoS設計特點：

　　吞吐量達到萬兆級，完全保障正常帶寬，且能輕松應對突發帶寬;可用硬件實現業務優先級等級區分，QoS處理不占用設備CPU資源，不會影響性 能;毫秒級保護倒換機制，保證鏈路中斷后快速自愈，視頻、語音業務的中斷與恢復在50ms內完成，人類感官無法察覺，數據業務幾乎無丟包;具有硬件的帶寬 預留機制，保障企業關鍵業務的暢通無阻;

　　具有先進的流控與反壓機制，具備虛擬輸出隊列機制。

　　六、無線網絡實施手冊

　　(一)整網邏輯拓撲圖

　　本建設內容基礎網絡系統已實現千兆到桌面，萬兆連接核心。在匯聚交換機上分別部署一套無線控制器，作為整個無線局域網絡的中央管理控制器。

　　(二)無線用戶認證解決方案

　　針對無線用戶，無線控制器作為802.1x認證的終結點，iMC認證計費系統作為最后的鑒權點，當用戶在AP內進行切換時，此時的主要工作由無線交換機進行統一調度，當用戶在不同的端口下的不同AP的覆蓋范圍時，此時用戶不會再次觸發認證。

　　(三)無線網絡安全解決方案

　　企業新企業區無線局域網絡主要服務于企業辦公人員以及外來單位辦公人員，也是規模的公眾型網絡，網絡安全問題在建網時必須充分考慮，安全方式主 要側重幾個方面：用戶安全、網絡安全，而在園區網絡中主要依附于用戶實體的屬性主要包括用戶使用的信息終端二層屬性(諸如：MAC地址)及用戶的帳號、密 碼，而對于企業內部用戶來，帳號信息都是一個實名原則，與員工實名信息進行關聯的，這樣本無線網絡中著重考慮使用無線網絡的空口信息的安全機制，同時也要 考慮與無線相關的有線網絡的安全問題;

　　(四)無線AP供電解決方案

　　由于本次無線網中AP設備數量較多，AP布放位置根據實際覆蓋效果而調整，在已建設完成的建筑物上較難進行本地供電，對于室外覆蓋主要采用AP放在室外，對AP的本地供電問題難度更大。基于標準的802.3af實現對 AP的供電。通過在匯集交換機處疊加一個供電電源或者內嵌交換機內，通過以太網線在傳輸數據同時給AP供電，供電距離達100米，滿足實際組網的要求。

　　通過部署網絡隔離(防火墻)系統、入侵防御(IPS)、防病毒系統、安全審計系統這幾個系統，來實現對企業安全系統的設計。