631SJBH中小型企业的网络管理模式的方案设计

1.1、研究现状

我国很多企业信息化水平一直还处在非常初级的阶段，有关统计表明，真正实现了计算机较高应用的企业在全国1000多万中小企业中所占的比例还不足10％幢3。大多数企业还停留在利用互联网进行网上查询(72．9％)、发布信息(71．4％)阶段。然而，随着我国市场条件下企业竞争压力的不断加剧、企业组织管理观念的变革以及业务流程标准化的不断完善，企业信息化建设的热情近几年来有了显著的提高。企业要跟上信息化的步伐，要通过网络化支持和实现新的工作组织和管理方式，实现信息资源的共享，首先要根据企业内部用户规模由单机环境发展为多机环境，实现全部信息资源在机运行，其次应根据业务需求在应用上由一般的文件处理发展到多任务和成为处理核心业务的工具，系统平台方面则要由主机计算模式实现向网络计算的跨越。

1.2、网络管理模式方案研究的必要性

由于网络应用的快速发展，网络系统的安全及管理越来越重要，国内外各大厂商纷纷开发出相关网管系统。这些系统建置起来需高昂的费用，但是否与企业的需求相符合则仍是未知数，依多数企业评估网管应用系统的经验，各大厂商所开发出来的网管系统各有其着眼点，其功能涵盖也不相同。若有一套方法，且该方法的设计是根据各企业实际需求而来，将可节省企业建立网管系统的时间及费用，并且是符合企业需求的系统。

本研究是希望利用网络管理系统的监控指数配合知识管理的运用，针对网络问题对症下药，以确保企业网络系统基础的稳定性。缩短网管人员胜任工作的时程，使企业减少对关键人物的依赖。透过知识管理的框架来建置网络管理的模型，可以让网络管理知识如活水般生生不息的运转，从知识的搜集、储存到将隐性知识转换为显性知识再将显性知识转换成新的知识，最后将新的知识回馈和学习成为个人或组织的隐性知识。这样的一个循环能让企业内建置的网络管理系统随着新科技、新观念、新应用的更新，提供及时的支持及符合网络系统需求成长所需的信息。

1.3 中小型企业的网络管理模式研究需求

中等企业所拥有的员工数量一般在百名以上、千名以下。企业中不同部门的员工分散在多个办公室内工作，办公室内配有各种数量不同、配置不同的工作终端。企业需要一个功能完善的局域网用来实现内部信息和资源的共享。在完成局域网基本功能的同时还需要加强企业网络安全性能，使其具有抵御局域网来自各方面安全隐患的能力。例如，有些部门内部数据要求极高的保密性，还有些部门对网络数据存储的依赖较大，因此需要对这些数据做好备份并且科学合理地设计好网络存储器的冗余设备。以较低的成本组建局域网对于大多数各种规模的企业都是重点考虑的问题，因此在选择局域网组建方案、选择网络设备时需要多方面考查，在保证网络性能良好的基础上争取最高的性价比。

最后，有潜力的企业在不久的将来会进一步扩张业务，扩大规模，因此，为这样的企业设计网络结构时应时刻考虑到将来整个局域网性能的升级，尽量选择模块化方案及产品，减少升级网络系统时所带来的支出。现有具体需求描述：企业内部需要联网的节点数为200点，信息点分布在1-3楼，网络中心设在一楼，大楼主干采用光纤布线，在1楼和3楼设楼层配线架。企业主要包括技术部、财务部、销售部等，部门间需要划分VLAN进行隔离，企业主要应用为内部文件共享、企业信息管理系统，对外提供邮件和网站服务等。企业总部申请一条DDN专线，接入当地ISP，用于Intemet接入，同时该线路也用于和总部的VPN连接；外地分支机构申请一条ADSL连接，拨号接入Intemet，同时该线路也和总部的VPN连接。

和总部的VPN连接；外地分支机构申请一条ADSL连接，拨号接入Intemet，同时

该线路也和总部的VPN连接。

第2章网络体系结构

硬件体系、网络协议及软件是网络发展的基础，也是网络建设的重点。建网初期，要根据网络建设原则进行网络规划。为使网络规划经得起考验，在规划中应对软硬件体、网络协议系等核心因素做充分论证。在确定建网方向时，要面向应用，面向需要，充分利用现有资源，结合应用和需求的变化，设计相应的方案。

2.1网络管理方案的设计原则

在规划管理企业信息网络平台时，要遵循以下原则：

·先进性。技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。

·可靠性。采用网络骨干线路和网络新设备的冗余备份，电源冗余备份等冗余措施，保证信息网络的可靠性。

·开放性和可扩充性。主干网络设备的选型及模块、插槽数量、管理软件和网络整体结构，以及开放性和对相关协议的支持等方面，保证网络系统的开放性和可扩充性。

·管理性。网络管理基于SNMP，并支持RMON标准的MIB。图形化的管理界面和简洁的操作方式、合理的网络规划策略，提供了强大的网络管理功能。一体化的网络管理使网络日常的维护和操作变得直观、便捷和高效。

·安全性。内部网络之间、内部网络与外部公共网之间的互联，利用VLAN、ACL、防火墙等访问进行控制，确保网络的安全。

·实用性。网络系统的设计在性能价格比方面充分体现系统的实用性，既要采用先进的技术，又能在经费允许的条件下实现建网目标。

2.2 企业内部网络拓扑结构设计

为了实现网络设备的统一，本课题的网络管理设计方案中完全采用同一厂家的网络产品，即Cisco公司的网络设备构建。对于Cisco的产品划分，VLAN主要是基于两种标准协议：ISL和802．1Q。在我们这里，因为所采用的均是Cisco的网络设备，故在进行VLAN间的互连时采用dotlq的协议封装，该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用等方面进行了合理有效的优化。在此中小型企业网中，全网使用同一厂商设备。其好处在于可以实现各种不同网络设备功能的互相配合和补充。

星型树状的网络拓扑结构是～般局域网、园区网、广域网建设的最佳选择。星型网络拓扑结构简单，管理集中于网络中心，可以保证网络的安全性和易维护性，有效地降低网络的建设和管理成本。当前广泛采用的设计模式是：一个设计层次、星形连接、树状结构。下图为企业网络拓扑图：

3.2 安全策略

从安全策略角度，该电脑公司网络管理模式设计可以分解成以下几个策略：

a1创建安全的网络环境由监控用户以及设置他们能在系统中做什么、访问控制、身份识别／授权、监视路由器、使用防火墙程序、以及其他的一些方法。

b)数据加密网络的一个问题是侵入者可以接入你的系统并偷窃数据。这不仅可以通过使用防止接入的不同媒介，也可以对信息进行加密来减少损失。这样，即使数据被偷走了也没法读出来。如果有人解开了你的密码和口令并获得了对系统的访问，调制解调器就能成为进入你的系统的非法方式。可以使用一些技术阻碍非法的调制解调器访问。

d)灾难与意外计划如果有灾难或者安全问题威胁到了网络，应该做些什么呢?如果有现成的对付灾难的计划、备份方案和其他方法，从安全问题或与天气有关的灾难中恢复过来就容易多了。

e)将安全视为重要因素的系统计划和管理尽管前面提到的其他问题可以包括在本问题当中，恰当的计划和管理你的网络以备发生任何不测仍是十分重要的。

使用防火墙以防通讯威胁与Internet有关的安全漏洞可能会让侵入者进入系统进行破坏。其中的两种是伪装和拒绝服务。使用伪装，有人可以伪装是别的什么人。这可以通过许多方法进行。可以简单到使用偷来的口令进行登录或使用别人的卡进入计算机房，也可以复杂到使用录音重放装置通过声音识别系统。拒绝服务更为严重，因为它企图中断计算机系统或设备的操作，或极大的减慢服务速度，严重地影响系统的操作。广为人知的Internet蠕虫案件中，该程序在许多网络和系统中传输，是拒绝服务的一种，称为代码泛滥或嵌入，企图将系统或网络减慢得像条蠕虫。还有其它的方法可以带来拒绝服务，如重新格式化分区、切断电源、切断网络线缆或删除重要文件。

实施网络管理中的安全策略，应从以下方面出发：

保证系统安全性，用户管理和访问控制体系架构包括以下几个方面：

1、登陆系统的验证

系统在用户登录的过程中，除了进行用户名和密码的验证外，还可以通过配置,实现IP地址的验证，这样可以最大限度的防止挂接密码词典的密码发生器破解用户名和密码。

2、配置本地信息的加密

系统对于用户所作的任何配置信息全部采用统一标准的加密方法进行本地存储，这样即使系统所在的主机被突破，也无法获得用户的任何信息(如帐户等)。

3、帐户的安全

系统在运行某些监测时(如CPU，磁盘，内存等)，将使用用户提供的帐户，这些帐户可以由用户设置权限(如只读权限等)，以保障被测设备的安全。

4、远程登陆加密

　系统在运行某些监测时(如CPU，磁盘，内存等)，将使用用户提供的帐户进行远程登录，这种登录过程可能被恶意截获，形成潜在的威胁，因此系统采用加密的登录过程，以保障远程登录的安全性。

　5、用户和访问控制

用户管理模块可以增加、修改、删除用户，也可以给不同用户赋予不同权限。系列最高级别的系统管理员可以为其它系统管理人员配置不同的用户名、密码和权限。权限设置覆盖所有功能，包括监测器，报警，报告和诊断工具等。不同的系统管理员用不同的用户名和密码登录系统，看到的可能是完全不同的监测内容，可对系统进行的操作权限也大相径庭，这样系统管理职责不同的人拥有不同权限，权责更加分明，使系统管理规范化。

例如，可以为企业非信息管理部门领导专门开设一个用户，只允许他查看有关应用监测的运行情况，而不能对网络管理系统进行任何设置。

系统日志管理

通过轮询的方式定期检测系统的安全日志，及时发现非法入侵和病毒给系统造成的不良影响，确保系统安全。当网络设备出生故障、遭到攻击或被病毒感染时网络设备会发出异常日志，及时接收、发现异常日志对及时处理网络设备故障很有帮助。

1、网络设备配置监测

网络设备配置监测器通过定期检测网络设备配置文件是否发生变化，从而帮助系统管理人员及时发现网络设备配置文件是否被人恶意修改，消除非法入侵可能给系统带来的灾难性损失。正常情况下，当网络设备投入使用后网络设备的配置是不会被改变的，除非有网络改造。所以正常情况下的配置改变很可能是黑客攻击造成的，及时发现对抵挡黑客进攻很有帮助。

2、安全日志扫描

3.3 软件限制

除了通过域账户管理和安全策略两个方面来进行中小型企业的网络管理外，该公司还采用了网络管理软件进行限制来对网络管理。软件限制管理主要表现在配置管理和性能管理方面，主要表现如下：

配置管理

配置管理也是网络管理系统的一项基本功能，主要作用是通过网管系统的设备管理配置模块在网络开通或新设备、新配置数据需要生成、修改时进行设备配置参数的生成。网管系统配置管理功能实现的基本原理是网络管理平台能够识别和管理所管理设备的管理信息库MIB（Management Information Bsae）管理信息参数，通过与所管理设备交换相关配置的MIB 信息实现对设备的配置管理。

性能管理

性能管理属于网络管理中比较高级的部分，无论对网管平台还是网管人员都有相对比较高的要求。它主要是网管人员通过网管平台的一些网络性能统计和分析数据，依靠网管的自动优化功能，更主要的是通过网管人员的人工判断和设计对网络拓扑、配置等参数进行优化，使网络的性能得以提高，运行更加有效，以满足客户的使用需求[6]。网络的性能管理基于网管系统强大而细致的统计分析功能，通过保存大量采样数据，定期对原始数据进行汇总。

以下是一些目前企业常用网络管理软件的截图：