企业信息化项目中,网络与安全是其中相当重要的一个环节,按实施过程可分为实施前设计、实施中优化调整、实施后服务管理。从具体实施上看,就是对于原网络结构的优化调整(网络改造)和贯穿整个实施过程的网络管理。
一、网络现状
1.网络结构、网络设备、网络出口、网络管理水平参差不齐。
企业对于网络的需求不同,因此人员配置和人员技能水平也不尽相同。对网络要求高的单位,网络结构较为清楚,网络设备的设置较为合理www.cechina.cn,网络人员对自身网络有一定了解,能基本满足本单位需求控制工程网版权所有,解决大部份常见故障。而对于网络要求不高的单位,甚至没有兼职的网管人员,网络管理处于自生自灭状态。
大多数企业的内部局域网是根据企业发展而逐步扩充的,初步构建时,可能并没有考虑到未来的新的应用CONTROL ENGINEERING China版权所有,只为满足构建时的需要,当新的应用出现时,往往采取追加设备投入,进行简单的网络扩展,因此内部局域网的规模越建越大,网络拓扑结构越来越复杂。重复建设、难于管理、故障频繁,各种问题不一而足。
使用到的网络设备包括集线器、两层交换机、NAT转换设备、家用路由器(非正规意义上的路由器)、可网管型交换机、企业级三层交换机等
有的企业在出口处放置集线器作为接入设备,此类设备包转发速度较慢、经常出现死机等故障,严重影响日常工作;有的企业在接入交换机后端再接驳核心交换机,从设备运用上看形成了设备重复,增加了链路故障和节点故障:有的企业由于自身运行的需要,在接入交换机后端接驳NAT(网络地址转换设备),用于实现网络隔离,这样一来严重降低了网络速度。多数企业均未使用防火墙,业务用计算机中系统几乎没有安全配置控制工程网版权所有,杀毒软件版本较低,甚至未安装杀毒软件,局域网内病毒流行,造成重要文档丢失、损坏现象时有发生,内部网络拥塞,网络品质严重下降。
2.对于应用的需求逐步增大。
推进企业信息化,提出了几个新的应用,包括使用VPN技术,实现异地分支机构远程访问企业(总部)数据中心;网络版杀毒软件的运用,减小病毒对全网的影响,确保出口带宽;网络设备管理软件的运用,提高发现网络故障点的能力,监控网络设备状况与网络设备流量。
其他可能的应用包括网络视频会议,异地容灾备份,多链路负载均衡等。
二、网络改造
(一)优化调整布线系统
目前企业在用网络布线系统是经过多次网络升级而形成的。常见情况为布线走向不清、无明显标识、重复布线。为满足企业信息化实施的需求,必须对在用布线系统进行归类,将专业应用与一般应用的布线进行分离。主要为以下几个步骤:
1.重新标识在用网络布线。
2.调整各类线缆走向。
3.将专业应用布线与一般应用布线分离。
(二)调整网络设备
目前企业网络设备使用情况较为混乱。有的企业将集线器作为核心交换机使用,减低了网络速度,同时集线器故障多发,经常造成网络中断;有的企业为实现重要应用与一般应用分开,线路中加设NAT设备,无法实现外网访入;有的企业在接入交换机下加设多个交换机或集线器,反而在降低网络速度的同时www.cechina.cn,增加了故障点;多数企业均未架设防火墙,因此单位内部信息相当于对INTERNET上所有人公开,甚至包括重要的财务数据。
因此,必须进行以下优化与调整。
1.上线使用防火墙,运用策略限制非法流量,阻隔网络非法访问。
2.核心交换机使用包转发率更高的交换机,并不是集线器。
3.取消NAT设备的使用,而将重要应用(如财务应用)单独接驳在防火墙上,实现与一般应用分开。
4.减少不必使用的网络设备,减少故障点。
5.减少集线器的使用,换用交换机。提高设备转发速率。
6.减少家用路由器的使用,换用交换机,提高网络整体性能。
(三)将VLAN应用到各产业集团网络
1.按行政单位划分不同子网,进行IP地址重新规划。
2.基于IP地址规划,每个行政单位分配若干C类IP地址段,形成企业全网IP地址分配表。
3.各行政单位新增的防火墙、信息中心的新增设备,均划入单独VLAN,形成核心设备网络管理IP段。
4.各行政单位使用的IP地址段中,区分重要应用和一般应用,分别使用不同的IP段地址。
5.将不同的网络应用放在不同的C类地址中,如现行的网络应用从属于本单位的第一个C类地址开始,未来视频的应用从第四个C类地址开始,第五个C类地址预留,而不是所有应用顺序使用。
三、网络管理
(一)现状分析
较规范网络管理主要在以下几个方面:
1.使用专业网络设备管理软件,企业的信息中心能及时发现ARP欺骗,实时监控网络设备状况,网络出现硬件故障实时报警并由立刻提示故障点。
2.使用瑞星或其他网络版杀毒软件,当企业网络出现病