1、論中小型企業園區數據網絡建設與分析一、前言部分1、園區數據網絡建設對企業發展的好處。2、目前中小企業園區數據網絡建設的現狀：參差不齊，有的規格很高、 有的很簡陋。3、這種現狀帶來的弊端。二、一個具體的案例1、整個方案的設計，包括項目背景、需求分析、具體方案等；突出表現以下幾個部分：根據列出的需求一條一條來分析，要實現這些功能，需要用 到的技術，再對這些技術來進行分析和對比，分析出各種手 段的優勢和劣勢，最后得出這個結果的過程。對pix、2950、3550這三塊最重要設備如何在這個網絡中使 用，在這些設備上都進行了哪些配置，這些配置起到什么作 用。三、根據案例進行抽象，對中小企業園區數據網建設進

2、行建模。1、列舉出中小企業對園區數據網需要達到的常用的功能。用防火墻進行內外網的隔離。內部網絡部門之間用valn隔離。在防火墻上配置地址映射以保護主機。訪問控制列表。無線覆蓋公共區域，單獨劃分vlan，此valn建DHCP機制。上網行為管理。病毒防治2、3、對這些需要達到的功能，逐項進行分析，分析好之后拿出通用的解決 方案。對分項的解決方案進行匯總，建立起一個中小企業園區數據網建設的 基本模型。一、前言1.1概述格羅莫夫(Gregory Gromov)曾經說過:網絡本身是一種計算機科學概念。”不 過，現在有了更豐富的注解。注解之一就是，網絡本身更具有經濟學內涵。在現代經濟學中有規模效益理論，就

3、是通過擴大經濟規模，來降低單位成 本。雖然擴大規模仍然是降低成本的根本途徑，但是伴隨經濟規格的擴大也增 加了 協調成本，即與企業相關的信息交流的代價。在很多情況下，企業的生產 經營并不是孤立進行的，其需要在內部生產部門之間與外部市場之間達到充分的 信息交流，才能維系正常的生產經營，尤其是在規模不斷擴大的情況下，如果仍 然延續傳統的信息交流手段，則信息交流代價急劇增長。由此造成單位生產成本 不降反升，從而制約著現代經濟規模。隨著科技進步，網絡技術成為信息溝通 的重要手段，世界正因為有了互聯網而變得越來越小；世界級的企業也越來越依 賴于網絡技術，擴大和鞏固其市場地位。網絡在規模經濟中正以不可替代的

4、優勢， 扮演著利用信息資源，協調生產成本，提高經濟效益，的重要角色。從網絡在企 業生產、流通、服務等關鍵環節起的重要作用來看，其更多超出了技術領域，而 深具經濟學內涵。隨著網絡技術，信息通信領域的長足發展，網絡經濟，知識經濟再不是IT 等高科技行業的專利，傳統制造業正利用其行業特點，汲取網絡技術精華，努力 創造著制造業的又一個春天。未來是美好的，但現實不可回避。大多數企業對電 子商務的一般認識是電子商務能幫助企業進行網上購物、網上交易，僅是一種新 興的企業運作模式，比較適用于商業型企業、貿易公司、批發配送公司，孰不知 電子商務已對傳統的制造業形成了巨大沖擊。制造企業對市場的反應速度取決于自身的

5、信息網絡水平。在電子商務朝代， 產品的個性化情況非常普遍，很多制造型的中小企業都是以生產某一種或者某 幾種產品為主，尤其是在中國，很多都是勞動密集型企業，這些企業的生產出來 的產品很多存活周期不長，都要隨著使用者的流行因素的變化而變化，而使用者 的時尚和潮流總是千變萬化，捉摸不定。生產商要在短時間內捕獲市場信息并作 出適宜反饋，確實有難度。傳統企業在對市場的反饋速度上明顯過慢。究其主要 原因是企業沒有將供應商和客戶納入到企業自身的供應鏈中，沒能及時知道下游 客戶（主要是經銷商和批發商）的庫存情況、市場情況，沒有讓上游的供應商及 時了解企業原材料的庫存情況、成套情況。在供應商、商家、客戶三者之間

6、沒有 形成一個有效的環路，由此造成了商家對市場的反應遲緩，導致商機的錯失。有 了網絡的協助，我們企業從原材料的采購、產品設計，到定單處理和產品的發送， 均可以用小時為單位來追蹤。同時利用互聯網技術不僅可以全面監控下游客戶每 日的進、銷、存情況，及時進行補貨，而且可以讓上游的供應商及時知道企業原 料的庫存情況，及時補充，將存貨量保持在最低水平。1.2現狀我國注冊的中小企業數量為將近1000萬家，占我國企業總數的99%，其工 業產值占全國工業產值的60%左右。因此，中小企業的網絡建設不僅關系到中 小企業自身的生存，還將對我國經濟的未來發展產生重大而又深遠的影響。數據業務和互聯網業務的高速增長推動著

7、中小企業數據網絡的建設。賽迪顧 問調查表明，當前我國中小企業數據網絡的建設有了新的發展，但是目前中小企 業數據網絡的發展可以用參差不齊來概括。據調查顯示，沒有建立內部局域網的 企業中，小企業數量最多。在建立了內部局域網的中小企業中，內部局域網連網 終端數在5-20個的企業占31.8%，連網終端在20-100個的占17.0%，多于100 個的僅占5.4%。這說明我國目前的中小企業計算機應用還處于單機應用為主的 狀況，信息資源的共享程度還不夠高。同樣的調查還顯示，計劃建立自己網站的 中小企業比例最多，達到42.7%，相比之下，只有37.9%的企業已經建立自己的 網站。可見，已經建立網站的企業相對比

8、較少，這將限制他們電子商務乃至整個 信息化的發展和提高。從以上數據比較可以看出，我國中小企業網絡建設仍然存在巨大的發展潛力， 特別是外部網和互聯網相關應用建設仍然滯后。于此同時，我們也應該可以看到，隨著我國經濟的高速發展，隨著國外企業 不斷進入中國，我國中小企業的信息化建設不容樂觀，必將面臨各種危機和挑戰。1）WTO帶來強烈沖擊。互聯網時代的市場競爭正從傳統的產品、服務競爭延伸到信息化水平的競 爭，產品結構的調整、市場與銷售網絡體系的變革將以互聯網基礎架構為平 臺。隨著我國加入WTO,國外各種類型的公司已經帶著各自的產品、服務和 解決方案進入我國市場，我國中小企業將面臨強烈的挑戰和生存危機，因

9、此 應盡快提高自身的信息化水平。2）市場的全球競爭。市場的全球化競爭已成為趨勢。對于中小企業來說，在調整發展戰略時， 必須考慮到市場的全球競爭戰略，而這一切將以信息化平臺為基礎，以網絡 通暢為保證。通過建立各種虛擬網（VPN）和內部園區網絡（Extranet），建立企業全球 信息網絡是未來企業網絡應對市場全球競爭的一種策略。事實上，目前許多 國外中小企業在開拓全球市場也較多采用這種解決方案，將遍布全球的分支 機構連接起來。3）尋求進一步發展任何企業要想尋求進一步發展，必須盡快上網。通過企業網絡建設可以實 現以下功能：信息共享與集散地：實現企業內外部的信息、資源的共享與交互。企業形象與社會公共關

10、系：樹立和推廣企業形象，開拓社會公共關系。電子商務：電子商務是未來經濟發展的大趨勢，目標是實現交易信息 的網絡化和電子化，它是面向企業的互聯網高級功能，是未來互聯網 發展的主導方向之一，目前已經出現端倪，阿里巴巴每月上億元的交 易量就是明證，而且目前所有的銀行、證券、保險等金融機構都已經 開通網上銀行、網上交易、網上劃帳等基于網絡的應用，大大方便了 人民群眾的工作和生活，推進了社會經濟的發展。從上述調查的數據顯示，中小企業對于數據網絡的建設雖然面臨很多機會和挑 戰，但是鑒于我國中小企業的目前不少企業的連網應用仍局限在文件共享等初級 階段，與信息化建設的目標相差甚遠的狀況，就中小企業而言，網絡建

11、設的困難 還是客觀存在的，主要表現在以下方面：1）資金投入大我國的中小企業大多數集中在勞動密集型產業，有很多企業都是白手 起家，從手工作坊一步一步發展起來的，企業中的資金都投入到企業的進 一步發展和壯大中。另一方面，網絡建設成本相對企業資金實力較高。除企業組建內部網 實現內部資源共享（文件、服務器、打印機等）的成本較低外，建設Extranet 和開發網站以及電子商務平臺費用較高，同時由于目前我國中小企業員工 的層次相對較低，他們對網絡技術了解不夠，網絡建設、運營維護和管理 等等方面需要較大的投入。2）地區發展不平衡我國的中小企業比較集中的區域在浙江、江蘇、廣東、福建等地，同 時我們也應該注意到

12、，這些地方的很多中小企業都是所謂的“鄉鎮企業”， 企業上網帶有明顯的地域特性，其活躍程度受地域經濟發展水平的影響較 大。數據顯示，企業上網較為活躍的地區主要分布在北京、廣東、山東、 上海等當前經濟比較發達的地區，而江浙一帶的企業上網卻比較少，而江 浙一帶的企業在中國的中小企業中占了相當的一部分比例。3）企業對網絡以及網絡應用的認識不清許多企業注冊域名、建立網站不是為了通過建立信息化平臺推進企業 電子商務應用，而是出于追趕企業上網潮流，甚至于是為了應付檢查和為 了評比的需要，初期的投入和建設完成之后，企業網絡后期投入不足，企 業網絡和網站沒有更新和維護，導致企業網絡形同虛設，毫無任何經濟效 益和

13、戰略意義。一個重要的表現就是不重視或不知道如何開發和利用網絡 資源來為企業提供高水準的服務。網站建好后，忽視對網站內容的日常更 新與形象推廣。另一個表現就是網站信息不豐富，不能深層次地利用網絡資源對企業內外部的各種資源進行全方位整合。3）企業網絡建設缺乏長遠戰略規劃我們現在有很多中小企業建設整個園區數據網絡的起因是因為需要上 一套系統，例如財務系統、OA系統、CRM系統等等，然后草草的找一個電 腦公司，要求其為建設園區數據網絡，殊不知，企業網絡建設從內部資源共 享到資源整合再到電子商務，需要有一個長遠的發展目標和規劃，這個目標 和規劃應該是從實現企業信息化的高度出發的，而不是從某一個或者幾個部

14、 門級的應用軟件的實施需要出發去進行網絡建設，這就是典型的應用水平不 高，經營觀念沒有適應互聯網發展，沒有真正的面向網絡經濟的流程管理的 表現。這樣的方式和方法必定將制約我們企業的信息化進程，也必定會抑制 我們中小企業的發展和國際化進程。4）需要整套方案之所以出現上述的種種困難和挑戰，關鍵的問題除了中小企業決策者 對企業信息化重要程度的認知水平有重要的關系之外，與為中小企業提供 解決方案的企業自身的能力和高度也息息相關。我們經常可以看到，為中小企業提供企業網絡建設解決方案時，系統 集成商常常不能提供整套的應用解決方案，經常是某一個企業銷售一種產 品，而且在銷售這種產品的時候沒有對整個網絡的需求

15、和能力做仔細的分 項，更多的是從商務利益層面出發，這就導致很多中小企業的網絡建設好 之后沒有整體性，網絡缺乏健壯性，很脆弱，經常出現故障，網絡中存在 很多的瓶頸，因為網絡中很多設備在工作都是各自為政，網絡建設的時候 對網絡設備的協調性和兼容性缺乏一個全盤的考慮導致的，企業不僅需要 網絡平臺，更需要的是平臺上可以為企業帶來實際效益的業務流程和模 式。由于缺乏對企業應用和流程的了解，系統集成商很難為企業提供主動 式解決方案。二、園區數據網建設案例項目背景集團公司新的工業園區竣工在即，作為一個與時俱進的企業，企業的管理者 們提出了實施電子商務，實現企業對產品、原材料、非生產性產品、服務類等 的電子化

16、、網絡化采購，公司與各職能部門有組織、有計劃地統一管理，減少 流通環節，降低成本，提高效率，使企業在管理上通過電子商務的實施達到更 高水平的需求，要求要綜合考慮 集團公司對網絡安全、網絡管理、可靠性、可 管理性、可擴展性和高性能的特殊需要，提出適合 集團公司的工業園區網絡解 決方案。需求分析1、內部網絡各個職能部門在邏輯上要求相互隔離集團公司總部主要下設四個職能部門：生產制造部、公司管理部、 市場營銷部和財務部。四個部門的網絡邏輯上既相互獨立又在一定條件 下相互能訪問，如公司管理部的人員能定時查看生產制造部或市場營銷 部的情況，但生產制造部的人員卻不能訪問公司管理部的特定資源等。2、所有的計算

17、機終端、服務器等信息設備必須要聯網原來很多部門有內部網絡，而內部網絡之間沒有連起來，現在要 求內部網絡取消，所有部門的計算機終端、服務器、打印機等設備必須 聯到這張園區數據網上來。另外，所有廠房里面的終端設備，也必須要聯起來，因為廠房比 較分散，我們需要用物理鏈路將各個廠房連在一起，匯聚到一個點上。3、園區內部網絡必須與互聯網對接園區數據網上的很多終端需要聯上互聯網，以滿足收發email、 上網進行信息查詢、商務實時溝通等需求。4、作為一個企業的內部網絡，在與互聯網對接的時候，為了保證安全和網絡的管 理，要求用防火期將內網與外網隔離。公司內存在多臺服務器，有些是財務部的服務器，有些是整個公司的

18、共享資源 服務器、郵件服務器、ERP服務器等，要求將這些服務器設置在恰當的邏輯位置上， 既能讓服務器資源利用率最高，又要考慮到安全問題。作為一個企業的內部網絡，在與互聯網對接的時候，為了保證安全和網絡的管 理，要求用防火期將內網與外網隔離。三、具體方案：根據公司的實際應用情況，網絡解決方案快速以太網骨干的方式。快速以太網骨干100Mbps）具有以下特點：高性能，全交換100Mbps連接高流量服務器10/100Mbps或10Mbps連接桌面用戶一采用光纜支持較長距離，可做室外廠房及辦公樓間連接 可擴展性強一空余的GBIC插槽提供低成本的千兆連接一配線間交換機可通過千兆堆疊擴充用戶數目系統安全，保

19、密性高一適合企業的高性能專門的防火墻解決方案Cisco Secure PIX Firewall 506一虛擬專網VPN及支持各種加密算法 一按需劃分虛擬網絡，管理得心應手 ACLs, TACACS+，基于交換機端口的安全性管理簡單一全網中低端交換機配置為單一集群（Cluster）統一管理，單一 IP地址管理域，單一管 理對象或：使用專門的網管軟件系統Cisco Works for Windows一基于Cisco IOS的統一人機命令界面保護投資一隨著公司業務的發展，所有網絡設備均可在升級和擴展原有網絡后繼續使用此網絡方案成本較低，網絡結構易于搭建和管理，兼顧了企業多方面應用。具體拓撲如 圖所示

20、。可以看出，思科公司具有第三層交換功能的Catalyst 3524交換機是這一網絡的 核心設備，Catalyst 3524提供了 24個10/100Mbps自適應的快速以太網端口和2個千兆以 太網端口，Catalyst 2924提供了 24個10/100Mbps以太網端口，為用戶提供了更多選擇， 用于對工作站數量和速率有不同要求的應用環境。Catalyst 3524和Catalyst 2924之間分 別利用兩個百兆端口通過Cisco FEC （快速以太網通道，Fast Ethernet Channel）連接成 高達400Mbps的無阻塞通道，為桌面10/100Mbps應用提供足夠帶寬。同時，為

21、保證主服務 器群的高速數據傳輸，主干交換機Catalyst 3524又以100Mbps帶寬分別與各臺服務器相 連，使下級工作站對服務器的大量數據訪問得以暢通無阻，解決了服務器端口的瓶頸效應。一安全性是網絡設計中一項不可忽視的因素。此網絡方案的安全性包含了廣域網和局域網 兩方面。在廣域網方面，路由器的Cisco IOS防火墻或Cisco Secure PIX Firewall 506 嚴密把守，對進出網絡的數據流量、數據內容進行安全檢查和分析處理，防止非法用戶侵 入到內部局域網。另外，ACLs，TACACS+等技術也提高了網絡安全的應用選擇。在局域網方 面，思科局域網交換機能夠進行端口安全設置，

22、將設備與端口綁定，防止假冒身份的非法 用戶通過網絡中其它交換機接入。一中型制造業網絡的管理由 CVSM(Cisco Visual Switch Manager)或 Cisco Works forWindows承擔，它們都是窗口式管理工具，易學易用CVSM是一套基于WEB的免費配置管 理軟件，最多可管理16臺Cisco的中低端交換機。用戶可在熟悉的瀏覽器界面下對思科交 換機系列產品實施配置和監控，避免了對交換機操作系統命令的直接介入。如果需要，系 統管理還可以采用基于Windows的Cisco Works管理軟件。拓撲如下圖所示:四、VPN解決方案傳統的企業專網是通過租用點到點的長途DDN鏈路組

23、建而成的。不僅建設周期長，投資大，費用 高，而且一旦長途鏈路發生故障，維護起來也很困難，可能會影響整個網絡的正常通訊。虛擬專網VPN（Virtual Private Network）則很好的解決了上述問題。VPN是指在共用網絡上建立專 用網絡的技術。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個結點之間的連接并沒有傳統專網建 設所需的點到點的物理鏈路，而是架構在公用網絡服務商ISP所提供的網絡平臺之上的邏輯網絡。用戶的 數據是通過ISP在公共網絡（Internet）中建立的邏輯隧道（Tunnel），即點到點的虛擬專線進行傳輸的。通 過相應的加密和認證技術來保證用戶內部網絡數據在公網上安全傳

24、輸，從而真正實現網絡數據的專有性。虛擬專用網絡允許遠程通訊方，銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設施以安全的方式與位于企業局域網端的企業服務器建立連接。虛擬專用網絡 對用戶端透明，用戶好象使用一條專用線路在客戶計算機和企業服務器之間建立點對點連 接，進行數據的傳輸。雖然VPN通訊建立在公共互聯網絡的基礎上，但是用戶在使用VPN時感覺如同在使 用專用網絡進行通訊，所以得名虛擬專用網絡。使用VPN技術可以解決在當今遠程通訊量 日益增大，企業全球運作廣泛分布的情況下，員工需要訪問中央資源，企業相互之間必須進 行及時和有效的通訊的問題。目前VPN使用的隧道技術主要包括：

25、點對點隧道協議（PPTP）PPTP協議允許對IP，IPX或NetBEUI數據流進行加密，然后封裝在IP包頭中通過企 業IP網絡或公共互聯網絡發送。第2層隧道協議（L2TP）L2TP協議允許對IP，IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳 遞的任意網絡發送，如IP，X.25，楨中繼或ATM。安全IP（IPSec）隧道模式IPSec隧道模式允許對IP負載數據進行加密，然后封裝在IP包頭中通過企業IP網絡或 公共IP互聯網絡如Internet發送。目前公司的VPN系統是通過 Windows系統自帶的VPN服務，在總部設立一臺 VPNserver，允許分公司通過公共網絡以用戶名

26、、密碼的方式與總部服務器的連接，如圖所 示：Challenge = Session ID, Cha Henge StringResponse = MD5 HashfSeaaion ID, Challenge String, User Password), User Nam已Authenticating Device但是在這種利用操作系統自帶的VPN服務建立起來的系統畢竟不是專業VPN網絡解決方 案，作為一個大型企業在選用一種遠程網絡互聯方案時都希望能夠對訪問企業資源和信息的 要求加以控制，所選用的方案應當既能夠實現授權用戶與企業局域網資源的自由連接，不同 分支機構之間的資源共享;又能夠確保企業數據在公共互聯網絡或企業內部網絡上傳輸時安全性不受破壞.因此，最低限度，一個成功的VPN方案應當能夠滿足以下所有方面的要求:1.用戶驗證VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。另外，方案 還必須能夠提供審計和記費功能，顯示何人在何時訪問了何種信息。地址管理VPN方案必須能夠為用戶分配專用網絡上的地址并確保地址的安全性。數據加密對通過公共互聯網絡傳遞的數據必須經過加密，確保網絡其他未授權的用戶無法讀取該 信息。密鑰管理VPN方案必須能夠生成并更新客戶端和服務器的加密密鑰。多協議支持VPN方案必須支持公共互聯網絡上普遍使用的基本協議，包括IP，IPX等。