網絡企業

中小企業如何利用有限的資金來構造適合自己實際情況的網絡系統呢？下面從網絡基礎架構、Internet接入、網絡安全以及網絡管理四個方面進行闡述。

網絡建設的重要性

目前，對於國內的中小企業而言，計算機技術的應用很大程度上還只是停留在單機應用的水平上，應用軟件也只是辦公軟件和簡單的數據庫應用。隨着企業信息化的逐步深入和企業自身發展的需求，在充分利用現有資源、不需要很大投資的基礎上，構建適合自身情況、滿足實際需求的網絡系統是非常必要的，也是重要的。具體地講，主要體現在以下幾個方面：

1．社會進入信息時代後，要求企業用信息技術來強化企業的管理、生產和經營，而企業要創造更多的經濟效益就必須藉助信息技術來提高企業的生產效率和管理水平，這不但適用於大型企業，對佔相當比重的中小企業同樣適用。這也是促使中小企業建設網絡系統的主要原因。

2．網絡技術的發展使得網絡建設從基礎架構到維護和管理都變得十分簡單和智能，豐富的網絡產品線和不斷降低的價格，可以讓中小企業根據自身的情況，按照實際的經濟條件來構建自己的網絡，用於網絡建設的投資對於企業而言不再成為一個負擔。

3．各自為戰的單機應用逐步暴露出現有資源利用率低、信息冗餘大等問題，而解決這些問題的惟一途徑就是建設一個滿足應用需求的網絡系統來實現資源的共享。

4．一個成功的企業不僅要了解世界，還要讓世界知道自己。實現這個目標的最佳途徑就是要利用Internet。通過Internet，企業不僅可以獲得大量的有價值的信息，同時也可以將企業的信息通過Internet發佈到世界各地。

因此，中小企業進行計算機網絡特別是Intranet的建設，不僅是信息社會發展的要求，也是自身發展所必須的。

網絡建設簡介

中小企業如何利用有限的資金來構造適合自己實際情況的網絡系統呢？下面從網絡基礎架構、Internet接入、網絡安全以及網絡管理四個方面進行闡述。

同大型企業相比，中小企業的規模較小，應用的類型少而且比較簡單，因此其網絡的基礎架構相對簡單，實現起來比較容易一些，投資也會少得多。從目前的網絡技術和應用的發展趨勢來看，對於中小企業，採用基於TCP/IP協議組的以太交換網模式是最適合的。經過幾年的發展，以太交換技術和產品都十分成熟，網絡的實現和管理都很簡單，維護量也小，並且可以向未來的發展進行平滑的升級和過渡。

中小企業的網絡通常由單個節點構成，網絡工作站數量較少且接入比較集中，因此核心網絡設備選擇100M的以太交換機就可以了。所有的網絡工作站和應用服務器通過五類雙絞線接入到交換機中構成一個集中接入的星型網絡結構，每一台計算機可以獨佔100M的帶寬。當中心交換設備需要由多個交換機構成時，建議交換機選擇可以堆疊的交換機，可堆疊的交換機之間進行交換時利用帶寬很高的內部總線，可以保證每台接入的計算機都具有100M的帶寬。當工作站到中心交換設備的距離超過100m時，可以在工作站和中心交換機之間設置一台交換機，以級聯的方式與中心交換機連接，工作站接入到級聯的交換機中，不過這些工作站只能共享100M的傳輸帶寬。

由於以太網以數據廣播的方式進行工作，當一個網絡中的工作站較多時，網絡通道就變得比較擁塞，網絡的性能也就隨之較低。為了改善這種情況，可以採用VLAN技術將一個網絡劃分為幾個邏輯上相互獨立的虛擬局域網，即VLAN。通過VLAN技術，廣播信息被限制在每個VLAN中，而不再是整個網絡，並且各個子網之間不能直接通信，不但可以減輕網絡負載，而且可以提高網絡通信的安全性。如果希望用VLAN技術來規劃整個網絡，那麼在選擇交換機時，要求設備必須支持802.1Q標準，這樣可以跨越交換機來定義同一個VLAN，也可以在VLAN中使用多個廠家的產品。

劃分了VLAN後，各VLAN之間的通信需要第三層設備的支持。實現的方法是在網絡中設置路由器或三層交換機。傳統的路由器基於軟件，協議複雜，數據轉發速度比較慢；而三層交換機集成了第二層的數據交換技術和第三層的數據轉發技術，特別是它對於數據包的轉發是通過硬件來完成的，處理效率非常高，完全可以匹配局域網高速的傳輸速度。因此，在構建採用VLAN技術的網絡時，最優的選擇是以三層交換機作為網絡核心。

服務器是網絡的重要組成部分，服務器的性能往往決定了網絡應用的性能。一般情況下，由於網絡產品的功能、性能與價格是成正比的，因此，要根據具體的需求和應用程度來選擇服務器。對於關鍵業務的數據庫服務器或者Web/Mail服務器通常選擇性能較高的企業級PC服務器，而DHCP/WINS服務器、防病毒服務器、DNS服務器和代理服務器由於工作負載較小，用配置較高的PC或部門級的PC服務器來擔當就可以了。

Internet接入

對Internet資源的訪問，最終都是通過資源所具有的惟一的公有IP地址實現的。對於一個內部網絡，每一台工作站和應用服務器的IP地址均為內部專有的地址，以這樣的IP地址是不能訪問Internet資源的。因此，要實現一個內部網絡對Internet的訪問，必須在內部網絡和Internet之間設置一個具有網絡地址轉換功能（NAT）的設備，對於從內部網絡向外發出的IP數據包，NAT設備可以將數據包中所包含的源IP地址和源TCP/IP端口號等信息轉換為可以在Internet上使用的公有IP地址和可能改變的TCP/UDP端口號；而當Internet主機響應的數據包流入內部網絡時，NAT將數據包中包含的目的IP地址和目的TCP/UDP號等信息轉換為專有IP地址和最初的TCP/UDP端口號，從而對外部屏蔽了內部網絡的IP地址。

選擇自己的接入方式。

企業可以根據自己的需要來選擇相應的Internet接入模式，如果允許登錄Internet的工作站數量少，並且只是進行信息的瀏覽，可以選擇撥號的方式。在一台計算機上安裝相應的代理軟件作為代理服務器，由代理服務器執行地址轉換的功能，代理服務器通過Modem、ISDN或ADSL等接入設備與Internet進行連接，其他的工作站則通過代理服務器對Internet進行訪問。最簡單的例子，在一個小型的內部網絡中，選擇一台基於Windows 98或Windows 2000的工作站作為代理服務器，啓用這台計算機中Windows 98/2000內嵌的Internet連接共享功能，就可以實現內部網絡對Internet的訪問了。這種方式的投資很小，也不需租用專線的費用，但這種方式只適用於小型的網絡，而且只能對Internet的資源進行訪問，不能向外部發布信息。

另外一種模式就是企業通過租用電信部門的專線將自己的內部網絡與Internet形成相對固定的連接，這樣不但可以充分利用Internet上的信息資源和各類服務，而且可以通過Internet有限制地向外部公佈或發佈企業信息，也就説要將企業的網絡逐步向Intranet過渡。在這種接入模式中，由於是內部專有網絡與公用網絡進行連接，因此需要在內部網絡的邊界處設置一台路由器，路由器工作在網絡層，它可以根據網絡層分組的IP地址通過查找路由表確定分組輸出的路徑，從而實現兩個網絡的互通。在內部網絡安全方面，需要在網絡中設置一個防火牆，防火牆一端連接邊界路由器，一端與內部網絡的交換機相連。所有的內部網絡與外部網絡之間的通信都必須通過防火牆進行檢查和連接，通過在防火牆中制定相應的訪問策略，可以有效地將不符合規則的數據包阻隔在內部網絡之外，防止外界對內部網絡資源的非法訪問；同時防火牆也可以防止內部工作站對外部網絡進行的不安全訪問。防火牆可以以透明模式和NAT模式兩種方式工作，如果網絡中存在NAT設備，可以將防火牆設置為透明的工作模式；如果網絡中沒有NAT設備，那麼可以利用防火牆的NAT功能進行網絡地址轉換。由於防火牆的NAT功能由硬件完成，其處理速度比起軟件要快得多，因此如果網絡中的原有的NAT功能由軟件實現，建議將防火牆設置為NAT模式，並禁用由軟件實現的NAT功能。服務器設置方面，除了要設置Web服務器外，企業可以根據需要設置相應的電子郵件服務器、FTP服務器和DNS服務器。這些服務器不僅能讓內部網絡訪問而且要提供外部網絡的訪問。將它們放置在防火牆的非軍事區，從而將網絡中的應用服務器與外部訪問完全隔離開來，提高了內部網絡的可靠性。

目前，防火牆產品通常都集成了VPN功能，這也為遠程用户和企業的分支機構訪問企業內部網絡資源提供了一個非常好的途徑。通常情況下，一個網絡要提供遠程用户或分支機構進行訪問的能力需要採用遠程訪問服務器、Modem池、電話交換機以及足夠的通信線路來構造專門的遠程訪問系統，這樣做不但需要較大的投資，而且通信的安全性也得不到足夠的保證。而在VPN方式下，VPN客户端（遠程用户或分支機構）和設置在內部網絡邊界的VPN服務器（防火牆或專用的VPN服務器）使用隧道協議，利用Internet或公用網絡建立一條“隧道”作為傳輸通道，同時VPN連接採用身份認證和數據加密等技術避免數據在傳輸過程中受到偵聽和篡改，從而保證了數據的完整性、機密性和合法性。通過VPN方式，企業可以利用現有的網絡資源實現遠程用户和分支機構對內部網絡資源的訪問，不但節省了大量的資金，而且具有很高的安全性。這種方式對中小企業的Intranet尤其適用，實現起來也比較方便。VPN服務器可以由內部網絡的防火牆來擔當。對於客户端，如果為遠程用户，可以利用Windows 98或Windows 2000系統中內嵌的虛擬專用網絡(VPN)功能，也可以安裝專業的VPN客户端軟件；如果為分支機構的小型辦公網絡，可以在分支機構網絡的邊緣處設置一個具有VPN功能的性能相對較低的防火牆，這樣可以實現在兩個網絡之間利用Internet或公用網絡進行安全通信。

電源不僅是一個計算機網絡能夠運行的最基本條件，同時電源的安全也是計算機網絡安全運行的最基本要素。這裏電源的安全不僅要求為所有的工作站、服務器和網絡設備提供一個高質量的電源，同時還要設置良好的接地系統。對於服務器和網絡設備還要設置不間斷電源（UPS）裝置，這不但可以增加網絡的連續運行能力，而且可以防止因為突然斷電對網絡硬件造成的損壞。特別是服務器，如果正在運行的服務器突然斷電，不但硬件設備可能出現問題，而且操作系統或應用因為沒有正常關閉可能導致數據不能提交或系統不能正常啓動，甚至造成服務器或應用的癱瘓。這是任何一個企業都不願看到的。

在網絡建設和維護中，電源是最穩定的一個部分，一般情況下，它不會隨着應用的發展頻繁地升級，因此，中小企業在構建自己的網絡系統時，進行相應的投資建立一個安全的電源系統是非常值得的。

保存在服務器中的數據是網絡應用的核心，如果由於服務器磁盤故障造成數據的損壞或丟失，可能會造成無法估量的損失。因此必須採取相應的容錯及災難恢復手段來加強服務器存儲系統的可靠性。目前，構建服務器存儲系統使用最廣泛的技術是RAID。RAID的實現策略主要是用多個磁盤驅動器替換單一的大容量的磁盤驅動器，並將數據在各個磁盤上進行分佈存放並支持同時在多個磁盤進行並行讀寫，同時利用冗餘的磁盤空間將數據從錯誤中恢復。由於服務器中構成RAID的磁盤通常為熱插拔磁盤，因此磁盤出現故障時，可以不停機地對故障進行修復，增加了網絡系統的連續工作能力。RAID分為好幾個級別，每個級別在I/O性能和安全性方面各具特點，其中RAID1和RAID5使用最多。

RAID1—磁盤鏡像。它由磁盤對組成，每一個工作盤都有對應的鏡像盤，保存着和工作盤完全相同的數據拷貝。當對邏輯塊進行寫入操作時，工作盤和鏡像盤都進行實時更新。如果磁盤對中任一個磁盤失敗，所有的讀寫請求立刻會轉移到另一塊磁盤上。因此它具有最高的可靠性，但它的I/O性能和空間利用率不高，只用50%，適用於訪問量不大但比較注重數據安全性的應用環境。從性能價格比看，中小企業網絡的應用服務器採用RAID1是非常合適的選擇。

RAID5—沒有獨立校驗盤的奇偶校驗碼磁盤陣列。RAID5採用了獨立存取技術，校驗信息分佈在陣列內的所有磁盤上，如果陣列中有一個磁盤失敗，這個盤中的數據可以通過其他盤中的數據根據校驗碼進行異或運算獲得。RAID5至少需要3塊磁盤構成，每一塊磁盤上都要佔用1/N的空間存放校驗信息（N為構成RAID5的磁盤數量）。由於採用了獨立存取技術， RAID5對於大、小批量的數據讀寫性能都很好，適用於訪問量很大的系統。在中小企業構建網絡時，可以將Web服務器或數據庫服務器的存儲系統設置為RAID5。

可以根據RAID的應用級別來選擇相應的服務器，這樣配置起來更方便一些。

計算機病毒一直是困擾着計算機和網絡系統的最大問題之一。隨着計算機技術的不斷進步，計算機病毒也不斷地向智能化和網絡化發展，具有更強大的攻擊力和破壞性，從以往的破壞軟件系統到現在的攻擊硬件系統和網絡系統，尤其是藉助於發展迅速的Internet和Intranet，計算機病毒可以通過各種渠道迅速地蔓延並實施破壞。如果沒有防範措施的話，一個企業的計算機網絡很容易因為計算機病毒的攻擊而陷入癱瘓。這對於一個企業而言，後果可能是致命的。因此中小企業同樣需要採取相應的防病毒措施來保證網絡系統不受病毒的侵害。可以採取以下兩種措施：

（1）為每台工作站和服務器安裝單機版的防病毒軟件，每台計算機定時地下載病毒碼信息並進行更新。這種方式投資小，但是病毒碼信息更新不及時或不同步，不能對最新的病毒做出及時的響應，可能導致網絡系統受到病毒的侵害。

（2）安裝網絡防毒系統。這種方式採用客户機/服務器方式，選擇一台微機或應用服務器安裝網絡防病毒系統的服務器端軟件，並通過Internet利用防毒系統的在線更新功能實時地進行病毒碼信息的更新。網絡中的所有計算機和服務器均安裝防毒系統的客户端軟件，利用服務器端獲得最新的病毒碼信息對計算機進行病毒掃描。這種方式雖然投資較大，但是對病毒碼信息進行實時的更新，可以保證網絡不受到病毒的侵害，控制病毒的大肆傳播。

企業構建了Intranet，實現了與Internet的接軌，雖然為企業業務的開展和日常的工作、學習帶來了極大的方便，但是我們不得不面對的一個問題就是實現了與Internet的接入，企業的內部網絡就完全地暴露在外界了，也就可能受到各種有意或無意的攻擊。因此建立企業的Intranet，必須建立網絡的防火牆系統來保證內部網絡的安全。由於在Internet接入部分已經對防火牆的功能和工作方式進行了相關的介紹，這裏就不再進行過多的描述了。

保證網絡的安全不僅需要通過相應的技術手段從硬件和軟件着手對網絡資源進行保護，對網絡用户進行網絡的安全教育同樣重要。首先，要建立一套完整的網絡管理規定和網絡使用方法，並要求網絡管理員和網絡使用人員必須嚴格遵守，否則的話，再先進的網絡安全技術也不能阻止人為因素對網絡安全造成的威脅。其次，加強對網絡管理員和網絡使用人員的培訓，讓他們明白什麼是可以做的，什麼是嚴禁做的，可能產生的嚴重後果是什麼。對網絡瞭解得越多，自我約束的能力也就越強。第三，制定合適的網絡安全策略，既不能讓網絡用户無限制地使用網絡，也不能對用户限定得太死，引發用户設法繞過網絡安全系統、鑽網絡安全策略空子的現象。制定一種讓網絡管理員和網絡用户都樂於接受的安全策略，可以讓網絡用户在使用網絡的過程中逐步把網絡當成工作中的一個得力工具，從而自覺地維護網絡的安全。

大型企業的網絡通常都通過功能完善的專業網管系統對網絡進行管理，這個投資對於中小企業來説可能是無法承擔的。事實上，由於中小企業的網絡結構比較簡單，一般不需要對網絡的流量、網絡設備的狀態和端口設置等信息進行實時的控制和檢查。網絡管理員可能對網絡的連通性、IP地址的設置情況和需要時能對設備進行設置更為關心一些，而這些工作利用Windows 98/2000系統包含的Ping、Ipconfig/Winipcfg、Telnet等實用工具就可以完成。

不論是大型企業還是中小型企業，建設網絡系統都要以滿足應用的需求作為最終目的，尤其是中小企業在進行網絡建設時一定要處理好網絡性能和投資的關係，既不能為了節省投資而犧牲性能、影響應用，也不能不顧實際的經濟條件而盲目追新、超前投資。一個好的計算機網絡系統不僅僅是技術先進、安全性好，更重要的還在於應用。只有應用上去了，才能促進網絡系統的進一步發展，推動企業信息化建設的進程，從而增強企業的綜合實力，更好地適應信息社會的發展。 ^[1] 

後續

網絡普及的趨勢是不可避免的，同時也創造了一批網絡服務企業，而傳統企業也開始轉向網絡發展，如今的互聯網大時代是不可阻擋的趨勢，網絡的發展促進了信息的加速傳播，利大於弊。