中级工程师论文中小型企业信息网络系统建设综述

　　建设内容：构建中型企业的计算机局域网，搭建安全的网络访问出口和网络服务体系，实现管理网、生产网、安防网之间的安全隔离和逻辑互通，具体包 括设备部署、安装、调试、测试和用户培训等;对企业管理网、安防网和生产网等有线及无线网络的深化设计、IP规划和配置，建立良好的网络管理机制，满足网 络系统信息的存储与备份，维保服务及为完成本建设内容内容所必须的各项工作。

　　【摘 要】随着信息化技术日新月异的发展，中小型企业信息网络承载的业务也越来越多，网络构建也越来越复杂，很多还要上行下传，管理网生产网安防网都有建设。本文从实践出发，比较全面地描述中小型企业信息网络系统建设内容、原则以及实施方案等，为中小型企业信息化建设提供参考。

　　【关键词】中级工程师论文,中小型企业,信息化,网络系统

　　一、建设内容概述

　　(一)建设目标

　　建设目标：建设覆盖全企业所有建筑物的高速企业局域网络，满足企业目前及未来5年内信息化、自动化、智能化相关系统的需求，保证局域网能与企业广域网之间进行数据信息的准确、完整、快速、安全地传递，能够通过安全机制访问互联网，保证提供安全畅通的信息传输渠道。

　　(二)建设原则

　　1.实用性：系统的配置和设计应最大限度的满足企业的相关业务系统的各项需求，充分考虑长远发展。

　　2.安全性：系统需提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作。

　　3.可靠性：系统须能有效避免单点故障，最大限度地减少故障出现的可能性，同时保障网络能在最短时间内修复。系统通过完备的网络策略，保障网络物理及逻辑设计的可靠性。

　　4.先进性：系统结构设计、系统配置、系统管理方式等方面应采用国际上先进、成熟、实用的技术。通过智能化管理平台构建智能化管理网络，提升内部的管理效率以及对外的服务水平。

　　5.可管理性：整个系统须易于管理和维护，配置易学易用，并可以进行远程管理和故障诊断。建立统一的网络管理平台，实现对有线无线接入网络设备、网络策略、网络协议的多级维护，实现便捷管理。

　　6.可扩充性：充分考虑到未来技术和业务的发展，支持核心业务系统的不断扩展，保证网络设备可以扩充和升级，保护投资。

　　7.规范性：采用国际及行业开放的技术标准和产品，设备的各种接口满足开放性和标准化原则，保证在系统集成、互联和扩展时能够相互兼容。

　　(三)建设依据

　　依据与本建设内容有关的国家、地方及国外工程技术规范标准;参照国际上通行的管理方法，在国内外规范标准发生矛盾时，以国内规范标准为准。

　　二、总体实施方案

　　本次建设内容涉及企业广域网、互联网及内部网络的各个区域。

　　具体包括：协助企业与线路运营商的衔接，完成线路的调试工作;负责完成企业确立网络建设方案;负责完成IP地址、VLAN及设备命名等数据参数 的规划与分配的解决方案;协助广域端口参数的确立;负责完成路由交换设备广域端口、局域端口的设置和路由策略的设计等，以及其它保证网络完整性的相应集成 工作。

　　无线网络系统包括：协助完成无线AP点的位置规划及设备安装调试;负责完成无线AP所用到的数据参数的规划;负责实现无线AP接入点的安全访问控制及高效的可管理性;负责实现无线AP下挂终端与内网各个区域间及互联网等网络间的互联互通。

　　网络安全体系括：广域网出口、互联网出口及内网各个区域间的网络访问限制;从网络安全、主机安全、网络应用、防病毒、接入认证、数据安全几个层面对安全进行全面防护，同时要进行安全的集中管理。

　　网络管理体系包括：规划企业的网络管理体系，建立企业的综合统一网络管理平台，实现对网络系统的有效监控和预警，实现网络系统的故障管理、事件 管理、性能管理，拓扑管理和链路流量管理;实现对主机故障和性能指标的监控管理、事件管理;建立综合报表平台，实现网络管理、主机管理、服务流程管理的报 表系统。

　　(一)实施流程

　　实施流程分为如下四个阶段：准备阶段、网络建设、系统调试、测试运行

　　(二)环境调研

　　环境调研分为两部分：基础环境调研、网络结构调研。

　　基础环境调研包括：机房平面图、新增机柜位置、运营商机柜位置、地板承重、供电环境、走线方式、机房温湿度等;

　　网络结构调研主要包括：新企业区内网各个区域网络拓扑图、设备类型、型号数量及设备配置、端口类型、终端数量等。

　　(三)设备订货

　　将购置设备及时、无故障、顺利的运抵合同中规定的安装或联调现场，并负责故障设备的返修工作。

　　(四)详细方案编写

　　工程前期调研结束后，根据用户的要求以及调研结果，进行详细技术方案的设计和编写工作，包括详尽的安装顺序及技术参数，以作为现场施工安装的依据。

　　(五)设备到货及验收

　　设备到货验收的主要内容包括：1.设备已全部送达至用户指定机房;2.依照《设备到货验收报告》对设备进行核对，并记录产品序列号;3.设备加电测试;4.设备随箱资料整理;5.确认设备到货内容无误后，实施人员与用户共同签署《设备到货验收报告》。

　　(六)设备安装调试

　　设备到货验收完成后，实施人员在用户技术人员的监督指导下，将设备部署到各指定机房指定位置。进行现场设备的安装、施工和调试工作。工作过程和内容主要包括：

　　1.到达施工现场，向用户方配合人员介绍施工安排

　　2.设备安装上架、加固、接地等工作

　　3.终端设备和系统安装、调试完成，双方签署有关安装完成的证明书

　　4.详细解释并移交技术文件、配置手册等给节点配合人员 　　5.通过《测试报告》测试内容后，实施人员与用户共同签署《测试报告》，并需用户盖章确认。

　　(七)网络联调测试

　　设备安装调试完成后展开联调，进一步确认系统的每一部分都符合建设要求。

　　(八)系统联调测试

　　网络联调完成后，承载系统模拟真实生产环境，对各个生产区域进行功能测试，进一步完善网络安全设备访问控制策略。

　　(九)用户培训

　　在实施过程中，现场对相关技术人员进行培训。使用户维护及技术人员能够最直观的感受。培训的主要内容包括：工程实施技术培训;设备安装、配置培训;日常维护管理知识培训;简单故障的判断和处理方法。

　　(十)系统初验

　　设备安装、调试达到技术规范书规定的指标后，建设内容组将进行系统的验收测试(初验)，以确保系统涉及的各个分区域和其他区域及广域网和互联网间的通信都能通畅无阻，安全设备能提供有效的安全防护，如果发现问题，将及时解决。

　　在初验前建设内容组将向用户提交初验的验收规范(包括建设内容、指标、方式和测试仪器等)，用户方可根据技术规范书的有关规定进行修改和补充， 经双方协商确认后形成验收文件作为验收依据。验收测试合格后， 双方签署验收协议， 设备入网开通试运行。

　　(十一)系统试运行

　　系统初验通过后，进入试运行阶段，试运行时间为3个月。在试运行期内建设内容组将跟踪设备运行状态，及时发现并解决问题，消除故障隐患。

　　(十二)系统终验

　　系统试运行结束后，双方应进行系统的终验工作，以确保解决了前期测试和验收中遗留的问题，并满足了用户的所有需求。在全部达到要求时，双方签署最终验收文件。在终验完成后，将提供详细的终验报告，报告经用户方确认后，现场验收即告完成，系统进入质量保证期阶段。

　　(十三)网络出口组网及路由协议规划

　　1.广域网出口规划

　　企业广域网网络采用双出口设计，使用两台高性能路由器(含IPS板卡)+双防火墙分别上行至中烟公司广域网。

　　2.互联网出口规划

　　为了保证接入Internet后的安全性，在网络内部与出口之间设置防火墙、入侵检测、防毒墙等安全设备。SSL VPN设备放置在DMZ区域中。

　　互联网出口区部署一台高性能防火墙设备，以路由方式工作，将互联网出口划分为三个安全区域，保护内部终端和服务器不受外部非法攻击和访问，同时对DMZ区的Web和邮件等服务器提供有限访问保护，Internet以及企业内网用户均可正常访问DMZ区中的设备。

　　IPS的连接方式为双路连接，即：IPS分别连接两台物理核心交换机，在提高数据转发性能的同时，也可避免单链路或其中一台核心故障(端口或机框)而导致的互联网业务中断。

　　结合互联网业务和运营商互联网专线的特点，互联网出口路由协议规划如下：(1)在出口防火墙配置缺省静态路由指向运营商城域网设备;(2)出口防火墙向内起OSPF动态路由协议，并将向外的缺省静态路由引入OSPF。

　　三、QoS规划

　　本次网络规划时在提供充足带宽的前提下，还需要实施端到端的QoS机制。

　　我们可以用丢弃率、时延、时延抖动等几个关键参数来描述一个业务的QoS，当一个网络提供某类QoS的服务时，就是在网络中的结点设备上设置该类业务的带宽、发送优先级、丢弃优先级等来控制业务的丢弃率、时延、时延抖动等业务参数在承诺的范围内。

　　四、QoS设计原则

　　企业网络系统的QoS设计符合下面的原则：

　　差异性：为不同用户，不同业务提供不同的QoS保证;

　　可管理：灵活的带宽控制;

　　经济性：有效利用网络资源，包括带宽、VLAN、端口等;

　　高可用性：设计备份路径，采用具备热备份、热插拔能力的设备，并对关键的网络节点进行冗余备份;

　　可扩展性：采用能够在带宽、业务种类增加时平滑扩容、升级的设备。

　　五、QoS部署策略

　　企业网络系统的设计要求符合下列QoS设计特点：

　　吞吐量达到万兆级，完全保障正常带宽，且能轻松应对突发带宽;可用硬件实现业务优先级等级区分，QoS处理不占用设备CPU资源，不会影响性 能;毫秒级保护倒换机制，保证链路中断后快速自愈，视频、语音业务的中断与恢复在50ms内完成，人类感官无法察觉，数据业务几乎无丢包;具有硬件的带宽 预留机制，保障企业关键业务的畅通无阻;

　　具有先进的流控与反压机制，具备虚拟输出队列机制。

　　六、无线网络实施手册

　　(一)整网逻辑拓扑图

　　本建设内容基础网络系统已实现千兆到桌面，万兆连接核心。在汇聚交换机上分别部署一套无线控制器，作为整个无线局域网络的中央管理控制器。

　　(二)无线用户认证解决方案

　　针对无线用户，无线控制器作为802.1x认证的终结点，iMC认证计费系统作为最后的鉴权点，当用户在AP内进行切换时，此时的主要工作由无线交换机进行统一调度，当用户在不同的端口下的不同AP的覆盖范围时，此时用户不会再次触发认证。

　　(三)无线网络安全解决方案

　　企业新企业区无线局域网络主要服务于企业办公人员以及外来单位办公人员，也是规模的公众型网络，网络安全问题在建网时必须充分考虑，安全方式主 要侧重几个方面：用户安全、网络安全，而在园区网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如：MAC地址)及用户的帐号、密 码，而对于企业内部用户来，帐号信息都是一个实名原则，与员工实名信息进行关联的，这样本无线网络中着重考虑使用无线网络的空口信息的安全机制，同时也要 考虑与无线相关的有线网络的安全问题;

　　(四)无线AP供电解决方案

　　由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对于室外覆盖主要采用AP放在室外，对AP的本地供电问题难度更大。基于标准的802.3af实现对 AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达100米，满足实际组网的要求。

　　通过部署网络隔离(防火墙)系统、入侵防御(IPS)、防病毒系统、安全审计系统这几个系统，来实现对企业安全系统的设计。