企业信息网络建设综述(共2篇)范文

第一篇

一、企业信息网络建设要求

尽管每个企业信息网络都有其独有的特性，但所有的企业信息网络还是具有共同的基本要求：①可靠性和可用性：企业信息网络应当24小时全年可靠可用，故障发生时可以被迅速隔离，且故障的修复对于最终用户应当透明；②响应性：企业信息网络应为各种业务应用和协议提供质量保证（QoS），并不影响桌面计算机的响应；③高效性：企业信息网络可以优化资源，尤其是带宽的使用，减少额外数据流开销，比如不必要的广播、服务定位和路由更新，应当使数据吞吐率在不增加硬件成本或不添加广域网服务的前提下得到提高；④可适应性：一个适应性强的企业信息网络利用层次化、开放式的结构可以容纳完全不同的协议、应用、硬件技术，从而实现不同业务程序的运行；⑤可访问性和安全性：一个可访问的企业信息网络允许通过多种方式连接，实现全业务接入，保持业务随时可以访问，同时网络的策略还能维护网络的完整性。

二、层次化设计企业信息网络

通过划分层次，可以将复杂的问题分解，是企业信息网络设计中基本的设计思想。可以分别从网络的结构方式对网络规模、网络功能、网络拓扑、网络构建块、网络地址划分层次。

（1）网络规模。对于企业信息网络而言可划分为：LAN（LocalAreaNetwork），微小型企业及工作组规模，一个房间到一栋建筑，由单个组织拥有和管理；CAN（CampusAreaNetwork），多个局域网的集合，由坐落在固定区域内的一栋或多栋建筑物组成，也是由单个组织拥有和管理，或每一处由组织的一部分拥有和管理。

（2）网络功能。企业信息网络的主要建设集中在OSI模型的2～4层，第二层交换在数据链路层进行，第三层交换在网络层进行，访问控制在二、三、四层实现，均可以使用软件或硬件的方式实现，在复杂的网络结构中，由于功能的硬件实现比软件迅速，一般在此使用多层交换机、路由器。

（3）网络流量的规划设计。网络通常与用户数和个人需求同步增长。这意味着用户的网络设计必须能够处理连接数目的增长，也能处理网络内部链路带宽。①利用桥接避免冲突，一般通过网桥／交换机提供端到端的双向带宽独占的通信模式；②对广播域进行分割，实现方式为划分VLAN或使用三层交换机、路由器。一个好的原则是一个广播域内不应超过240台设备，避免广播风暴；③流量可管理，企业信息网络应当使流量处于可管理的状态，使用纯交换技术，并对网络进行逻辑地址的划分，减少广播流量，制定流量的策略规划。

（4）网络服务规划设计。企业信息网络的应用是由连接在一起的服务所组成的，且连接的方式能提供高效的通信流。其服务可分为3类：本地服务、远程服务、企业服务，企业信息网络应当有效容纳这些服务，并有效规划。①本地服务，是同一个本地工作组可以访问的网络服务（例如：网络打印服务、工作组文件共享等）。这些服务流量的特征是保持在同一个广播域内，在第二层进行数据交换，不应出现在网络主干之上，即不进行三层路由；②远程服务，用户主动发起的，在其广播域之外的服务，例如文件应用程序、远程控制、IP电话、视频会议、互联网访问等，这些服务会跨越广播域，通信过程由第三层路由器转发；③企业服务，网络内所有用户都可以访问（例如企业级中央存储、企业级业务应用包，含ERP、PM、CRM、MIS、EMAIL以及内部网服务），这些服务一般都放置在接近网络逻辑中心的地方，以允许所有用户平等访问。依据企业服务的规模，这些服务可能在同一个广播域分组，也可能不分组。

（5）网络拓扑。解决任何系统设计的第一种方法是确定系统的主要模块。为了满足企业信息网络设计需求，数据报文服务和用户连接在一起，从而为用户优化带宽，确保可靠性和公正性。可以使用三层网络设计体系，模块化设计各层网络拓扑结构。①接入层（访问层）：接入层模块处理用户对网络的访问。通常，接入层由第二层交换机组成，虽然集线器也能代替交换机共享以太网段的带宽。在接入层使用交换式还是共享式第二层网络取决于用户的需求和开销。虚拟局域网（VLAN）可以配置成把用户按功能分组而不是按地理位置分组。在外层，接入层在用户和企业信息网络之间提供高密度的端口和廉价的访问，也能够通过广域网技术，例如ADSL、ISDN、DDN等，让远程场点访问网络；②集散层（分发层）：集散层是核心和接入层的边界。从逻辑角度上说，集散层的主要作用是把工作组中的用户聚合在一起，用来提供广播域之间的链接、VLAN间的路由选择及安全性。一般处理企业信息网络的第三层路由功能，主要实施措施有以下几项：路由协议的部署、访问策略的设置、为进入核心层的数据提供过滤功能、提供多种网络类型的数据接入转换以及防火墙的部署；③核心层：核心层和集散层模块一般绑定在一起，作为网络的主干存在。在这一层不会设置任何策略及路由选择。核心层最大的设计需求是获得尽可能快的转发速度和链路冗余保障可靠性。

（6）按分割网络构建模块：按照设备群和拓扑结构，在层次化企业信息网络实施过程中需要进一步把网络分割成网络构建块（交换块、核心块）。交换块：由一组具有二层和三层功能的交换机组（一组连接访问设备的分发设备）作为交换块，其可以跨越接入层和集散层。核心块：作为整个网络的集合点用来连接多个交换块，具有足够的处理能力和带宽处理主干上的大量通信流，尽可能提高速度和减小延迟，通过核心层设备进行桥接，使转发速率得到最大化，把路由选择留给集散层。

（7）科学合理规划网络地址分配方案。企业信息网络需要一种能够易于扩展的编址方案，以适用于网络的扩展需求。通过对可扩展型网络编址系统的认真计划和部署，可以避免在为企业添加新节点和新的网络时，现存的地址可能需要被重新分配，膨胀的路由表使路由器陷入困境。网络地址规划时可以适时考虑结合子网划分可变长度子网掩码（VLSM）、路由归纳、网络地址转换（NAT）、无编号IP地址、动态主机分配协议（DHCP）。

三、部门级交换式

以太网建设对于部门、小型公司的所需网络技术确定将要连接的设备数，通常要保证解决方案允许一定程度的增长。①确定将要连接的设备数，部署交换设备，让所有用户与之相连，这样构成的网络就能满足要求。由于设备的数量少，以及交换机的使用，冲突和广播流量不予考虑；②将来它可能投资购买本地文件服务器提供存储和备份，并对远程连接有实际需求，那么在网络增长时，只需要将添购的设备连入交换机，并在交换机上外联一部小型路由器，使之通过配置广域网接口，利用广域网与远端连接，并建立一条广域网冗余链路，配置为热备份路由。由于外联网络的单一性，在客户端指定路由器为默认网关，在交换块边界路由设置，即可实现接入层与集散层的结构设计，扩展简便。企业VLAN、VLAN间路由：

（1）VLAN将物理上的设备组和用户组通过逻辑的方式重新划分，为控制和减少网络管理开支提供有效的方法，并控制广播活动，支持工作组和网络的安全性。

（2）增加、移动或改变用户的位置。公司重组和人员流动带来的新的终端地址和集线器以及路由器的重新配置，成为网络管理中最大开销之一。VLAN用户位置的改变只简单将用户的终端插接到相应VLAN端口并简单配置即可，路由器配制不做任何修改。

（3）控制广播活动，通过应用及广播的数量确定VLAN的数目，使受广播活动影响的用户减少，通过VLAN将防火墙技术从路由器扩展到交换，大大减少广播流量，为用户流量释放带宽，弥补网络易受广播风暴影响的弱点。

（4）VLAN将网络划分为多个广播域是提高安全性的一个经济实惠和便于管理的技术，它可以限制VLAN网络用户的数目，拒绝用户在VLAN应用认证之前的连接，以及可以将空闲的端口配置到默认的低层服务的VLAN。在企业信息网络中可以通过路由器低成本实现VLAN间的通信，高效实现则可利用交换机路由模块进行交换。

四、业务扩展：WAN接入的设计、企业路由

随着使用IP协议和Web的应用软件不断增长，在企业信息网络中必须处理复杂的广域网，而广域网有复杂的环境，包括多种介质、多种协议以及其他网络的互联，通信发生在不同地域之间，信息传递需经过一条或多条广域网链路，特点是相对较低的通信流量、高延迟和高差错率，由于租用性质，广域网的设计需要将带宽的花费和效率优化处理。利用广域网技术和路由器连接多个企业事业部网络以支持新的业务开展，应当着重于通信流量的最佳化、提供多条冗余的路由、灾难恢复需要的后备拨号业务。在企业使用的事务中，利用广域网的流量包含：语音、传真、事务数据（SNA）、客户机／服务器数据、信息传递、文件传输、批量数据、网络管理、视频会议。通过收集需求，确定应使用的广域网线路。路由部署：企业信息网络拓扑结构主要为星型结构，在接入层与集散层间是平面的物理结构，冗余一般以二层交换VTP为主，链路状态稳定，带宽等资源基本相当，可以在内部信息网络中使用静态路由以及开销小的路由，进行手工指定或简单配置。在网络的外部接口进行路由配置的时候，可以依据距离矢量或链路状态决定使用何种协议，并依照外部接口的数量进行负载均衡与热备份，外部接口在规模较大，结构复杂的情况下可以使用OSPF协议，一般可使用IGRP协议，进行路由热备份时应在其先配置按需拨号。

五、网络安全：防火墙和ACL应用

在企业信息网络中，应尽可能保证业务数据的流通和优先性，必须设法拒绝不希望的访问连接，同时保障允许的访问连接正常、响应迅速、稳定，而通过设置密码、回叫信号设备以及硬件保密装置可以帮助做到这些，但这些缺乏基本的通信流量过滤的灵活性和特定的控制手段。在信息网络管理中，需要作出的策略往往是对用户、服务、数据流向、前端应用和数据流量进行灵活控制。

（1）使用路由器阻止特定通信流量。路由器提供基本的通信流量过滤能力，可将其作为安全解决方案的一部分，通过访问控制列表（AccessControlList，ACL）实现企业信息网络基本安全需求。ACL是一系列允许和拒绝陈述句的集合，通过条件筛选和逻辑判断，对数据包的协议或上层协议（网络层以上）进行控制。这些指令列表由类似于源地址、目的地址、端口号等特定指示条件决定路由器接收或拒绝数据包。通过ACL部署，可以做到：限制网络流量，提高网络性能，提供对特定类型数据的优先级；提供对通信流量的控制手段，限定或简化路由更新、限制某网段；提供网络访问的基本安全手段，基于筛选条件的安全认证；在路由接口处决定通信流量类型的过滤、筛选。

（2）部署企业防火墙，进一步保障企业信息安全。网络边界可部署多功能防火墙，实现高层协议应用的控制、过滤和攻击防范。专业防火墙能够在ACL列表过滤的基础上更精准地对网络用户和桌面计算机进行数据流量、数据安全控制。通过路由和NAT功能提供可控的互联网访问、映射企业内部服务器；开放特定服务器特定端口；对内网用户访问过程进行恶意代码检测，也可对用户收发的邮件中存在的病毒进行过滤。通过IPSECVPN功能，能够实现分部的安全互连，作为专线链路的补充和备份，防止专线链路故障导致异地部门的业务应用无法进行的情况发生。通过上网行为管理功能改善网络使用规范。对URL分类过滤，规范内网用户网页访问行为。行为审计功能，则记录内网用户访问的网页地址、BBS发表的言论内容、收发的邮件内容及其他上网行为。通过应用控制功能，保证用户的网络应用同实际业务的相关性，确保工作效率。

作者：洪光华单位：江西省烟草公司上饶市公司

第二篇

一、企业信息网络基础建设的现状

目前，我国多数企业信息网络基础建设仍处于初级阶段，不少企业网络均不配套，信息服务方面也跟不上，因而信息网络基础的建设对于企业生产和发展而言效果并不佳，这表明我国企业信息网络基础的建设工作仍有很长一段路要走，这对于我国这个发展中国家而言也属正常。

为了扭转这一现状，必须正视这一问题，认真进行实践经验的总结和交流，不断提高认识，以实际入手来进行改进。应认清当前形势，循序渐进地推动企业信息网络基础的建设，以科学化管理为基础，结合完善的管理体制及其健全的规章制度，将规范、标准的信息输入计算机中进行管理，同时，注意加强网络系统专业人才的引进及现有管理人员的培训，加大必要的资金投入，从而推动企业信息网络基础的高效建设。

二、以内联网为基础进行现代化企业信息网络基础的构建

作为一种以因特网TCP/IP协议为基础的万维网使用工具，内联网采用了一系列防入侵安全措施，为企业内部提供服务，并具有连接企业内部网络的因特网功能，且内联网不必从头进行建设，可以在现有网络软、硬件及服务器为基础，借助于因特网技术标准等来实现。因此，可以这么说，以内联网为基础的现代化企业信息网络不仅具备传统内部网络的安全性，还具备了因特网的灵活与开放性，既可对企业内部进行有效的管理，又能同外界进行足够的信息交流。基于内联网的企业信息网络可以进行形象招贴广告的提供，还可进行电子橱窗的建立以便进行产品的展示，既可以进行技术咨询的提供，还可负责售后服务，既实现了电子商品的交易，还实现了企业间、内部及其同用户之间的有效沟通和交流，因而实现了企业库存管理的大幅改善，并确保了决策支持、工艺、质量监督以及财务管理等管理功能的实现。

同时，企业不可忽视信息系统的安全问题，除了要采取防火墙等基本的安全防范技术外，企业还应当安排专门的部门和个人负责企业信息网络基础建设中的安全问题，制定完全的信息网络运行与维护制度，明确划分信息安全维护中的职责和权利，为企业的长远、可持续发展提供优良的网络环境。

三、结语

总之，我国企业在信息网络基础建设方面仍处于探索阶段，必须将已经取得的进展作为企业的新起点，借助于内联网相关技术及其应用方法，充分发挥企业的创造性，从而推动企业信息网络的基础建设，为企业市场竞争力的不断提高提供有效的信息及技术手段。

作者：陆春阳蔡雨杉单位：中国石油集团东方地球物理勘探有限责任公司信息技术中心