當前我國中小企業發展迅速,在國民經濟和社會發展中的地位和作用與日增強,據統計中小企業佔我國企業總數的99%以上,創造的產品和價值佔gdp的60%,中小企業以其靈活的執行機制和市場適應能力成為推動中國經濟社會發展的重要力量。
隨著資訊化時代的不斷發展,中小企業追求更高效的溝通和交流管理方式,擴大自身的生產運營規模,增強企業的市場競爭力。這就要求以資訊化為平台,以網路為承載媒介,提高企業的運作效率,降低運營成本,而網路建設無疑是其中最基本也是最重要的乙個環節。華為公司從經濟角度和企業規模角度將中小企業分為微型機構、小型機構、中小型機構和中型機構四種基礎網路架構,中小企業可以根據自身的實際需要選擇相應的網路建設方案。
對於安全、無線接入、語音有特殊要求的中小企業,華為公司提供高階安全解決方案、高階無線解決方案和高階語音解決方案,並提供網路管理解決方案,滿足不同層次中小企業的客戶需求,保證網路建設質量的同時最大程度的節省企業的投資成本。
中小企業需要著重解決企業基礎網路安全、業務部署靈活性和運維壓力太大的問題,華為公司針對企業運維痛點提供的解決方案包含使用者nac(***work access control)接入安全、園區邊界安全、分支與遠端接入、端到端語音部署、端到端無線部署、網路topo自動發現、伺服器遠端監控等方案,全面解決中小企業面臨的基礎網路安全和運維壓力。
目前50%以上的企業屬於微型機構,典型的微型機構是小企業或大企業的分支辦公室,這類機構通常為0~50資訊點構成,因為企業員工數量少,業務需求單一,對企業網路有很高的經濟性要求,對通訊裝置穩定度要求不高,只需要基礎網路能夠支撐工作基本需要的email、列印、終端互聯即可。
微型機構基礎網路場景以低端ar路由器為中心搭建公司網路,ar承擔作為企業閘道器,並支援web、列印、認證、email等業務接入,無線終端和有線終端的混合接入,同時ar路由器整合簡單防火牆功能,提供邊界安全。企業可以通過增加低成本交換機擴充套件接入範圍,以提公升擴充套件性。
圖2-1 微型機構基礎網路物理架構
核心層用於**各部門之間的流量。考慮到企業初期建設成本,採用ar200路由器作為核心層裝置,與微型企業內部伺服器區、dmz(demilitarized zone)區、inter***區和內部業務區進行互聯,支撐企業內外部的業務流量。
接入層是最靠近使用者的網路,為使用者提供各種接入方式,是終端、邊緣和ip**等裝置接入網路的第一層。一般都部署二層裝置,有線使用者通過s1700接入ar200,無線使用者通過ar200自帶的wlan功能進行無線接入。
微型機構通過ar獲取公網位址,實現與wan/inter***的互訪,可以採用設定ip靜態位址或ppp(point-to-point protocol)動態方式獲取公網位址。
通過ar200整合防火牆功能解決如下安全問題:
● 微型機構內、外網之間的訪問控制,實現微型機構內、外網的安全隔離。
● 外派員工與微型機構dmz區的訪問控制,實現外派員工與內網的安全隔離。
● 有線使用者資料業務:
s1700交換機作為二層接入裝置,通過vlan劃分使用者。ar路由器作為三層閘道器,通過dhcp(dynamic host configuration protocol)方式為有線使用者分配ip位址。企業可以根據自身分割槽情況,劃分多個ip位址段。
ar上行通過公網位址接入wan/inter***網路,通過ar做nat,進行私網位址到公網位址的轉換,實現有線使用者與wan/inter***網路的互訪。
● 無線使用者資料業務:
ar作為胖ap,無線使用者通過psk方式接入ar,ar路由器作為三層閘道器,通過dhcp方式為無線使用者分配ip位址。ar上行通過公網位址接入wan/inter***網路,通過ar做nat,進行私網位址到公網位址的轉換,實現無線使用者與wan/inter***網路的互訪。
● 外派員工資料業務:
外派員工通過ipsec vpn方式與微型機構建立隧道,實現外派員工與微型機構的互訪。可以在外派員工的電腦中安裝硬體或通過純軟體方式來實現ipsec vpn功能。
● 伺服器資料業務:
企業事先規劃好伺服器區和dmz的伺服器位址,伺服器使用靜態位址,內部伺服器區和dmz區的伺服器以ar作為閘道器。
考慮到微型機構人數有限,同城微型機構建議ar作為ag場景應用,使用者語音資訊到總部註冊,由總部統一分配號碼及管理。異地微型機構建議ar作為pbx(private branch exchange)場景應用,使用者語音資訊到pbx註冊,接入當地pstn(public switched telephone ***work)網路,具體內容請參見8 中小型機構高階語音解決方案。
微型機構通常人數有限,不建議對使用者接入進行許可權控制,如企業有特殊需求,可以採用華為公司nac方案,具體內容請參見6 中小型機構高階安全解決方案。
vlan是將lan內的裝置邏輯地而不是物理地劃分為乙個個網段,從而實現在乙個lan內隔離廣播域的技術。既隔離了廣播域,減少了廣播風暴,又增強了資訊的安全性。
● vlan通常根據業務需要進行規劃,需要隔離的埠配置不同的vlan,需要防止廣播域過大的地方配置vlan用於減小廣播域。
● vlan最好不要跨交換機,即使跨交換機,數目也需要限制。
● s1700根據接入位置為不同pc分配不同的vlan,不同s1700交換機採用不同的vlan,避免廣播域過大,利於問題及時定位。
● ip位址分為動態ip與靜態ip的選取,原則上伺服器、特殊終端裝置建議採用靜態ip。辦公用裝置建議使用dhcp動態獲取(如辦公用pc等)。
● ar200上行優選固定ip位址接入,其次選擇ppp方式接入。ar作為dhcp閘道器和dhcp server,為有線、無線使用者分配私網ip位址。
● 伺服器採用靜態ip位址接入。
dhcp部署的基本原則為固定ip位址段和動態分配ip位址段保持連續,按照業務區域進行dhcp位址的劃分,便於統一管理及問題定位。啟動dhcp安全功能,禁止非法dhcp server的架設和非法使用者的接入。
ar作為dhcp閘道器和dhcp server,為有線、無線使用者分配私網ip位址。有線使用者通過s1700交換機攜帶vlan資訊,ar終結vlan並給有線使用者分配私網ip位址。無線使用者通過psk方式接入ar,ar終結無線報文,作為無線使用者閘道器分配私網ip位址。
nat(***work address translation)用於實現私有網路和公有網路之間的互訪。微型機構內部使用私有ip位址,微型機構出口ar使用公網位址與外界通訊,ar需要部署nat特性,實現使用者側私網位址到網路側公網位址的轉換,實現使用者與wan/inter***的互訪。
ar部署防火牆功能,將wan/inter***區域劃分為untrust區域,公用伺服器區域劃分為dmz區,其他區域劃分為trust區域。允許trust區域和dmz區域互訪,允許untrust區域與dmz區域互訪,不允許trust區域和untrust區域之間的直接互訪。
基於安全考慮,建議ar部署arp(address resolution protocol)防攻擊功能,以防止非法的arp報文對網路的攻擊。
微型機構訪問wan/inter***通過ar的nat功能實現。
外派員工通過ipsec vpn訪問微型機構。建議採用esp封裝模式,封裝新的ip報文頭並對原始資料報文進行加密,更為安全。
ar和s1700交換機通過web網管進行配置管理及日常網路維護。
好品山東中小企業網路營銷解決方案
好品山東推薦閱讀 隨著電子商務程序的開展,中小企業利用網路營銷打造自己的品牌出現了各行各業的典範。這些原本處於市場底層的中小企業,有的甚至原本正值企業創辦之初,積極運用網路營銷這個平台,宣傳品牌文化,樹立品牌形象,在擴大銷售份額的同時也打響了自己的品牌。網路營銷蓬勃發展的同時,中小企業通過網路營銷打...
中小企業網路改造方案
網路改造方案 目錄一 目前的網路情況及特點 3 二 解決方案及效果 4 2.1 虛擬區域網 4 2.2 網路訪問控制 5 2.3 pc准入控制 5 3.4 上網行為管理 5 三 方案產品 6 四 改造後的網路拓撲結構圖及特點 7 4.1 改造後的網路拓撲結構圖 7 4.2 新拓撲圖的特點 7 目前的...
中小企業VLAN解決方案
三 如何選擇交換機產品 由於價效比高,結構靈活,因此交換機在網路產品市場上佔據了主導地位。交換機可分為兩種 廣域網交換機和區域網交換機。廣域網交換機主要應用於電信領域,提供通訊基礎平台。區域網交換機則應用於區域網路,用於連線終端裝置,如pc機及網路印表機等。交換機也可分為第二層交換機和第三層交換機,...