大型企业信息化建设方案.docx
《大型企业信息化建设方案.docx》由会员分享,可在线阅读,更多相关《大型企业信息化建设方案.docx(14页珍藏版)》请在冰豆网上搜索。
大型企业信息化建设方案
大型企业网间网设计与实现
一、引言:
在网络技术不断发展的今天,大型企业网络建设面临多种网络技术的选择。
选择怎样的网络技术来满足企业未来发展的需要,是摆在各大企业面前的一个课题。
虽然网络技术在飞速发展,但企业网络建设有其内在规律,把握这些内在的规律,将有助于指导大型企业的网络建设。
本文定义的大型企业网络是跨地域和有层次的网络。
企业的网络层次和行政结构相对应,网络层次在二层或三层以上,网络连接可能是跨地市、跨省的,也可能是全国范围的。
例如,银行、国税系统,民航、铁路、政府办公系统等都是跨地域,多层次系统,在网络建设上都有其共同的特点。
从总体上说,企业网络涉及到系统软件平台、硬件平台,布线系统,局域网建设,广域网建设,应用软件(包括业务应用和WWW服务等)、网络安全,网络管理等方方面面。
一、企业网络建设过程的几个阶段企业网络建设总体上分为设计阶段、实施阶段和网络管理维护阶段。
从网络设计的角度来讲,分为应用驱动法和基础设施法。
应用驱动法是采用根据应用需求,从工作组网络、楼宇网络、园区网络到广域网络的由近到远的设计方法。
基础设施法是根据基本的网络规划,采用从广域网络、园区网络到楼宇网络的由远及近的设计方法。
企业网络建设过程分为如下几个阶段:
1、需求分析阶段。
通常大型企业在网络建设中已有部分的网络环境,这些网络环境能满足当时网络应用的需要。
但网络可能是一个个孤立的小岛,只能在局部范围内实现网络应用及资源共享,企业网络没有形成一个整体。
企业网络规划时,要考虑网络建设的整体性,既要保护原有的投资,又要在网络技术的选型上有前瞻性。
网络需求分析主要是根据企业业务发展需求和企业信息技术应用需求,提出企业网络建设的总体目标和关键技术指标。
企业网络需求分析包含如下几方面:
网络标准和协议要求。
全网络信息点分布需求,包括局域网布线结构要求,广域网传输介质要求。
网络层次划分及网络拓扑结构要求。
结合应用的网络设备处理能力和带宽要求。
局域网和广域网要求。
Internet接入,外网接入,防火墙技术要求。
企业网络应用要求。
网络设备选型要求。
网络应用和网络技术的关系(如多媒体、IP话音和网络结构的要求)。
网络可靠性、扩展性和安全性要求。
网络管理要求。
2、网络规划阶段。
企业网络规划是从企业网络需求分析到企业网逻辑设计中间必经阶段,主要根据企业网络需求分析得出分离的、外在的技术指标(如用户数、桌面微机的站点数、最大响应时间要求等等)。
运用企业网络本身内在的规律和关联算法,得出整个企业网络内在的技术框架和技术指标(如桌面带宽要求、主干带宽要求、服务器处理性能要求等等)。
3、网络逻辑设计阶段。
网络逻辑设计阶段主要根据企业网络需求分析结果,根据企业网络规划的内在技术指标,按照计算机网络设计的经验和方法,在现有的可行的网络技术范围内,设计企业网络的连接结构、协议结构以及每个网络的功能结构。
企业网络设计主要确定网络的连接结构,网络节点的类型、功能和容量。
网络传输链路的类型和容量,以及网络安全控制结构和网络管理结构。
4、网络物理设计阶段。
网络物理设计主要确定实施网络逻辑设计方案的厂家产品的类型、数量和具体配置,以及与网络逻辑设计方案中连接结构相吻合的物理拓扑结构。
5、络实施阶段。
网络实施阶段主要是采购所需的硬件设备和软件系统,以及安装、调试和测试网络系统。
6、络维护和扩展阶段。
在企业网络通过测试之后,网络就进入了运行、维护和扩展阶段。
企业网络的运行维护阶段的主要工作是对企业网络的日常维护和管理,包括网络配置管理、性能管理、故障管理、安全管理和用户帐户管理,对企业网络的预防性测试和容量的规划。
二、企业网络层次结构分析及其模块化设计思想大型企业网络层次结构与企业的行政结构相对应,一般至少有
二层,也有三层和四层结构。
多于四层的结构作为远程访问服务层看待。
我们从网络的层次划分上分析探讨多层网络模块化设计思想。
大多数企业网络都可以被层次性划分为三个逻辑服务单元(Backbone)、区域网(Distribute)和访问网(Local-access)。
骨干网的主要目的在于完成分布于不同区域或逻辑组的路由最优化通信;区域网主要是完成网络流量的安全控制机制,以使骨干网和访问网环境隔离开来;访问网主要是支持客户机对服务器的访问。
2.1模块化网络设计方法模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。
实质上,模块化方式把网络划分为一个个子网,因此网络节点和流量变得更容易管理。
层次化的设计方法同时也使网络的扩展更容易处理,因为新的子网模块和新的网络技术能被更容易集成进整个系统中,而不破坏已存在的骨干网。
层次设计方法可为网络带来以下三个优点:
1、层次性网络的可扩展性可扩展性是在包交换网络连接中使用层次性设计的主要优点。
层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络,而不会遇到非层次性网络或平面性网络很快所遇上的问题。
但是,层次性网络同时也提出了一定的问题需要仔细考虑。
这些问题包括:
虚电路的费用,层次设计(尤其是网状拓扑〕的内在复杂联系,以及需要额外的路由器接口来划分网络层次。
为了获得层次性网络结构的优点,你必须使你的网络层次结构充分与你所在地区的拓扑相符合。
设计取决于你所使用的包交换模式,以及你所想要的容错能力、网络性能和网络造价。
2、层次性网络的可管理性
•使网络简单化--通过把网络元素划分为小单元、层次化,降低了整个网络的复杂性。
这种网络单元的划分使故障诊断变得清晰和简单了,同时还可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。
•使设计更灵活--层次化设计使得骨干网和区域网之间的包交换形式更具灵活性。
很多网络都得益于使用混合方式来构造整个网络架构。
在大多数情况下,可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换服务。
・使路由器管理更容易一一由于层次化网络结构使网络分层,相对缩小的网络区域使路由器的邻居或对等通信端数量减少,因此路由器的配置变得简单化。
3、优化广播和多点广播的流量控制
在包交换网络中,减少路由器之间广播信息量的最直接方法就是使用更少数目的路由器组,通过层次化模块设计可以较好地控制网络中的广播。
通常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息,如果在一个区域或一个层次中有太多的路由器,那么就会因为广播的原因而造成网络瓶颈。
层次化的网络结构使你可以对区域网向骨干网的广播作出限制。
根据这种层次化网络设计思想的原则,我们可以把企业Intranet网络工
程的整个网络体系结构分为以下三层或四层结构二级或三级网络主干:
即由企业中心节点与二级节点组成一级主干网络,由二级节点和三级节点构成二级网络,三级节点和四级节点构成三级网络。
如下图2.1所示:
四级节点
四级节点
图2.1
2.2评估一级主干网络的服务
如图2.1所示的一级主干网络所能提供的功能特性包括如下几个部分:
主干网络带宽管理:
为了优化主干网络的操作,路由器提供几种性能调节方法,如优先权队列管理和数据压缩,动态路由协议权值定义,动态路由协议发包时间间隔优化,协议本地确认等优化和节省广域网带宽。
数据传输路径优化
路由器最主要的特点之一是在逻辑网络环境内,自动选择最优路径传输信
息。
路由器依靠路由协议(静态和各类动态路由协议)完成最优路径查找工作。
路由协议是在网络第三层上操作,并且各类网络协议有相应路由协议支持。
路由收敛问题:
路径选择涉及的相关问题是路由收敛。
当网络发生变化时,如主干网上路由器关机或故障,或通信线路的故障,或主干网上路由器配置变化等,都会引起路由表的改变,这种改变过程引起网络不能正常工作。
因此,选择收敛速度快的动态路由协议和避免路由慢收敛问题是网络设计的关键问题之一。
优化传输队列
主干网上信息传输可以分成不同的优先级别,将重要的信息定为高优先级
别,优先传输。
路由器可以对诸如不同协议类型,不同传输层协议,不同的应用类型设定不同的传输优先级。
对IP协议来讲,在网络应用层,可对诸如
TELNET,FTP,SMTP,WWW应用进行传输队列优先权的设定,以确保重要数据优
先传输。
对传输队列的优化是在各类协议及子协议基础上进行,如下图所示:
PriorityOutputQueuing
负载均衡
路由器支持多链路的负载均衡,最多可支持四条负载均衡链路,每条链路的负载阀值可以调整。
路径备份一级主干网上传输的都是重要信息,一级主干网的路径备份就特别重要。
考虑到投资成本,不要求主干网上所有路由器都双链路连接,而只考虑主干网上各中间节点到中心节点的双链路连接,各中间节点之间可以无链路连接。
各中间节点之间的通信都跨越全国中心的路由器实现。
因此,全国中心路由器必须具备强大的处理能力。
2.3评估二级主干网络的服务
如图2.1所示,我们对二级主干网络作如下评估。
区域和服务过滤信息流的过滤是建立在区域的划分和服务类型上。
来自区域内部的信息不必要跨越广域网一级主干网络,这样可以减缓一级主干网络的通信压力。
同时,在区域内部可以针对网络服务类型(如
TELNET,FTP,SMT等)和网段地址作访问控制,这样可确保重要数据的访问安全性。
在路由器中,设置access-list,路由器判定满足条件的信息包通过网络。
基于策略的信息分发基于策略的信息分发的目的是确保传输性能和信息的完整
性。
在网间网中,这种策略可以定义成一个规则或一组规则,以此来控制跨越广域主干的端对端的数据传输。
例如一个部门,它可能有三种网络协议要跨越主干,但只希望携带重要应用的一种特殊的协议快速通过主干。
另一部门,由于主干网络过于繁忙,此时只允许e-mail跨越主干等。
路由协议的一致性我们建议一级和二级广域网主干动态路由协议应是一致的,并采用开放的路由协议如ISIS或BGP4或OSPF采用那种动态路由协议,要根据企业的网络结构和部门间的隶属关系确定。
介质转换介质转换技术是将不同网络链路层上的帧的格式转换为另一网络帧的格式,例如以态网与令牌环网的转换。
由于区域内网络环境较为复杂,厂家必须有相应的设备支持。
2.4评估接入访问服务接入访问服务包含如下内容:
网络增值地址
网络增值地址(helpernetworkaddress)是用来解决一些特殊的信息传输,使得原来是广播方式的传输变为多点传输。
这样,可以减少网络的广播压力和路由器的负载。
例如,Novell客户端原来通过广播方式查找它的服务器,而如果服务器不在本网段,广播信息必须通过路由器。
使用helperaddress后,就允许在一个网络上的节点直接向另一个网络上的服务器发送信息,而不用经过路由器。
网段
局部访问服务的基本要求是将网络分成若干网段,每个网段实施各自的信息传输策略,通过路由器从而实现各网段广播信息的相互隔离,减少主干网络的拥塞。
确定网段,是通过子网掩码实现的。
灵活的网段划分,通过路由器access-list网段地址过滤,可以实现灵活的网络安全访问控制策略。
广播和多点广播如上所说,路由器能隔离网段的广播信息。
然而,如果需要,路由器可以中继广播。
通过路由器中继某些广播以达到一定的目的。
IP的多点广播是从一个站点向指定的多个目的站点发布信息,而不是向每个站点发布信息。
IP的多点广播为视频会议,股票交易等提供出色的服务。
参与多点广播的计算机,必须运行IGMP协议。
路由器配置IGMP(InternetGroupManagementProtocol)后,可以实现位于不同网段内的计算机的多点广播。
安全策略
如果所有信息被所有员工随意访问得到,那么安全侵犯和不正当的文件访问就不可避免。
为了避免这些问题,路由器要做如下工作:
防止局部网络信息不正当地进入网络主干防止网络主干的信息不正当进入部门或工作组实现这两大功能的手段是路由的包过滤。
一方面,包过滤能控制未受权的用户访问,增加安全性,同时能减少网络的拥塞,减少网络问题的发生。
路由器有一整套信息过滤策略。
如对地址的访问过滤,对协议的访问过滤,对应用层的访问过滤。
具体地说,
在以太网环境下,有一台主机能Telnet到Internet的某一台主机,不允许
Internet上该主机Telnet到这台主机上,但可以作SMTF的访问。
只允许一个网段通过OSPF动态路由协议,其它网段OSPF被禁止。
限止某些主机访问某些网段。
限止某些网段访问另一些网段。
上述访问控制手段是常用的方法。
另外还有远程访问控制,通常采用认证机制。
对于MODE访问方式的站点,可采用TACACS(TerminalAccessController
AccessControlSystem)
认证机制。
对电话拨号站点,运行ppp协议,可采用chap或pap认证机制。
路由器查找
主机必须知道其网关地址才能通过路由器访问别的网段。
可以用人工或动态路由的方式配置主机的网关地址。
主机至少有一个路由器局域网端口地址作为其网关地址。
但是,当有多个路由器时,主机如何确定其网关地址呢?
一般来说,主机选择那台能到达目的站点最佳路径的路由器作为其网关,这种情况涉及路由器的查找。
支持这种查找的相关协议
有以下几种:
EndSystem-to-lntermediateSystem(ES-IS)协议
ICMPRoutingDiscoveryProtocol(IRDP)协议
ProxyAddressResolutionProtocol(ARP)协议OSPF和RIP协议
通过对上述网络分层服务的分析,我们得出结论:
对于大型企业Intranet
网络工程来说,要想建设成为一个全国性的、网络性能优良的、网络控制极为灵活的、具有很强扩展能力和升级能力的大型企业综合性网络,那么在网络设计中
就必须采用层次化的网络设计思想。
二、企业广域网链路选择
我们从理论上分析了大型企业网络的层次结构和动态路由协议。
通常企业租用ISP的通信线路,按照设计好的层次结构进行广域连接。
在申请通信线
路时要综合考虑企业业务需求、QOS、运行维护费用等多种因素。
ISP提供多种通信链路来满足企业用户非实时网络应用的需求,如X.25QDN,帧中继,PSTN等。
也可以选择拨号VPN技术,专线VPN技术。
也可使用标记交换技术,MPLS技术等。
选择通信类型要根据运营成本和运营效率综合考虑。
对于广域网上实现语音、图像等多媒体应用的广域网DDN,FrameRelay
和ATM都能实现,但从运行费用和服务质量保证来看,采用ATM作广域链
路是较好的选择。
目前,国内ISP没有开放ATM业务,但企业如有需要可以
申请ATM服务。
三、企业园区局域网设计
(1)企业园区局域网络采用虚拟交换网络
从网络的性价比来看,企业的局域网络逻辑结构采用交换虚拟网技术已是大势所趋。
交换虚拟网络是基于ATM和局域网交换机为平台的技术,其目标是真正建立一个可以满足未来多媒体信息处理时代需要的企业网络。
从长远角度看,采用交换虚拟网络技术可以降低组建企业网的成本、提高信息技术与企业发展的适应能力。
交换虚拟网可以满足企业网络在以下几个方面对计算机网络的需求:
通过交换技术,向最终用户提供更高的带宽。
*可以向不同用户、不同应用提供所需的服务质量保证的网络服务。
•提供完整的网络管理和控制系统,控制网络成本,特别是隐含的网络成本开销,例如网络管理、网络控制等方面的开销。
*在外围提供前面的网络互连和系统集成方案,提供端到端的解决方案,提
高网络互连性和可靠性,减少网络扩展的成本。
构造虚拟工作组网络以支持虚拟工作组工作。
(2)企业局域网络的主干交换
企业局域网络主干的作用就是互连网络的各个部分,传递分布到网络各个部分的数据流。
主干网必须具有高效率、高可用性特征,在主干上任何一点不合理的延迟都是灾难性的!
采用ATM交换技术可以提供边缘交换机之间的高速连通性、可靠性和服务质量保证,以及支持多种数据流类型,如IP、IPX、DECnet。
利用ATM技术的高效拥挤控制和流量控制,高可用性和功能全面的网络控制,动态用户组管理及有效的流量管理,满足大批量数据传输对带宽的需求,同时满足多媒体应用对不同类型信息流和不同服务质量的需求。
采用千兆以太网技术可以提供极高的网络主干带宽,并融合传统的以太网技术和交换技术,给终端用户提供满足应用需求的带宽。
虽然在带宽上满足终端用户的需求,但在网络的流量管理上和服务质量上不及ATM。
企业局域网络还可以采用第三层或第四层交换技术,以满足网络主干在性能上的需求。
(3)企业园区楼宇网络设计
企业园区楼宇设计必须基于建筑物内已有的或者可能设置的布线结构进行设计,同时要考虑每个楼宇内信息资源中心的设置,局域网之间的数据通信类型和可能通信量,局域网之间需要设置的安全访问控制策略,确定网络互连模式和
结构。
楼宇内设计采用路由互连技术、ATM交换互连网技术和虚拟局域网组网
技术。
楼宇网络设计需要考虑如下问题:
•楼宇内部如果没有干扰,而且传输距离在100米之内,一般采用双绞线作为网络的传输媒体。
如果楼宇内部有电磁干扰,可以采用光纤作为传输媒体。
如果楼宇内部的传输距离大于100米,可以采用互连设备的级联,也可以采用光纤作为传输媒体。
*在采用同一局域网技术的工作组网络互连时,如果可以共享带宽,而且无安全控制需要,只是由于工作组网络覆盖的距离不够,则可以采用级联集线器的方式扩展网络。
•在采用同一种局域网技术的工作组网络互连时,如果各个工作组需要独立的传输带宽,则通过局域网交换机连接。
•采用不同局域网技术的工作组网络互连时,如果互连的工作组网络较少,各个工作组之间无需提供安全访问控制,而且,各个工作组网络之间需要提供快速连接,则采用支持多种局域网接口的交换机。
•采用不同的局域网技术的工作组网络互连时,如果互连的工作组网络数量较多,各个工作组网络内部有较大的广播报文,或工作组网络之间需要有较为严格的安全访问控制,且在工作组之间没有多媒体应用,则采用路由器互连各个工作组网络。
*如果工作组站点的地理分布,与其它工作组网络站点地理分布重复,则需要在同一地理区域采用同一局域网交换机连接不同工作组网络站点,通过交换机构成符合工作组划分的虚拟网络。
•对于具有多媒体应用的点到点站点网络服务质量保证的传输信道,采用ATM
技术,到桌面采用25MATM连接。
•服务器设备接入:
采用光纤155MATM接入或光纤100M以太网接入。
重点终端用户采用光纤接入核心交换机,实现安全传输。
(4)企业园区虚拟局域网
网络厂商相继开发了“开放”互联技术VTP(VLANTrunkingProtocol),支持的标准是ISL、802.1Q,MPLS。
ATM交换机和局域网交换机为虚拟局域网提供了基础平台。
虚拟局域网为企业局域网络带来的三个好处是:
在最大限度地减少对路由器依赖的基础上,有效地控制局域网内的广播流量,提高站点的传输效率。
减少由于网络站点的增加、移动和更改而增加的网络维护成本。
•业务部门工作组的逻辑组合更为灵活。
在VLAN的划分中,都与“群组”这个概念有关。
群组是指局域网交换机的一个集合。
每个交换机支持的群组数目有一定的限制。
因此,在网络规划时,必须考虑业务部门逻辑工作组的数量,并选择相应的交换机型号,使得交换机的VLAN数量和处理性能满足业务应用需要。
一个群组可以包括全网中不同交换机的端口,每个群组可以看作是一个独立的通信域。
如果不使用路由功能,则一个
群组中的通信量不能转发到另一个群组中,群组的特征如下:
(1)一个群组是一个广播域;
(2)一个群组是交换机物理端口的集合;
(3)群组可以跨越多个交换机;
(4)群组不能相互重叠,即每个端口只能属于一个群组;
(5)群组之间的帧可以通过路由转发;
(6)同一群组中不同的VLAN的帧也可以通过路由转发。
群组的概念实际上是基于以端口为基础的VLAN。
还有其它类型的VLAN划分:
(1)基于MAC地址的VLAN划分,这种VLAN划分方法灵活,但管理复杂;⑵基于协议规则的VLAN划分,把具有相同的第三层协议网络站点归并成一
个VLAN。
这些站点连接的交换机端口构成一个广播域,以减少在同一网络环境下不
同协议栈之间的相互干扰。
选择不同的协议类型构成不同的VLAN:
1、所有IP
协议流量;2、所有IPX协议流量;3、所有DECnet协议流量;所有AppleTtalk流量;4、所有指定以太类型的流量;5、所有携带指定源点和目的点SAP(服务访问点)报头的流量;&所有携带指定SNAP(子网访问协议)类型的流量。
(3)基于网络地址的VLAN。
用IP地址和IP网络掩码划分网段。
(4)基于用户定义规则的VLAN。
四、企业网络与外网连接
企业网络与外网的连接发生在企业网络的各个层次上,其中
包括Internet接入等。
我们称企业内部网为内网,企业外部网为外网。
显然,内网和外网间加装防火墙。
通常,内网和外网间采用静态路由或缺省路由。
内网和外网的信息访问通过防火墙进行过滤。
内网和外网的连接如下图所示:
五、企业网络的可靠性
企业网络的可靠性体现在网络链路备份和设备的备份上。
对可靠性较高的要求意味着有较大的资金投入。
由于企业业务运行模式各不相同,可靠性的要求会不同。
对于银行企业、电信移动通信运营商、电信级长话计费系统、ISP运营商和铁路客票系统等大型企业网络要求7*24小时服务。
这些大型网络要求网络中心节点不但有设备冗余备份,还要有系统异地容灾备份。
也就是说,在中心节点发生灾难时,不至于导致全网业务停顿和关键数据的丢失。
这就要求网络在设计上要充分考虑备份切换问题,尤其要考虑异地容灾备份切换问题。
对于同一地点的设备备份,无论是主机设备和网络设备,各厂商都有解决异地容灾备份问题,从如下几个方面着手:
1)建立多个备份网络中心节点。
建立多个备份网络中心节点的目的是一旦主中心节点发生灾难,可切换到备份中心。
备份中心将全权取代主中心的功能,而能保证全网继续运营。
切换的主要内容有系统资源,数据库资源,网络资源和应用资源。
主机系统资源的异地容灾备份各厂商有相应的解决方案。
如IBMHACGE,O
HPMC256天诺的Omni均能较好地解决异地数据备份问题。
2)广域网上,建立到备份中心的链路备份连接。
很显然,单纯的异地数据备份只能保证数据不丢失,而不能保证应用的正常进行。
因此,到备份中心节点的备份链路连接是十分必要的。
在有冗余链路的基础上,作链路的切换将是一个系统工程。
备份链路的切换与选择的广域网通信技术有密切的关系。
对于使用DDN专线的用户,在作备份切换时需另申请线路,这将是漫长的过程。
而采用虚电路的方式,通过网络管理软件就能实现虚电路的切换。
较成熟的技术是VPNVPDh技术,包交换技术X.25、FrameRelay和信元交换ATM。
3)大型企业备份中心节点的结构模型全国性企业的网
升级会员 