大型企业多域环境的设计与性能分析

大型企业多域环境的设计与性能分析

蔡汉威

佛山经理办

[摘要]

本设计网络建设包括企业网络的规划设计、实施、管理等过程，最终构成一个满足企业信息传输需要的网络系统，并对系统进行性能分析，提出优化措施。采用Cisco公司推出的交换机集群技术，路由器、服务器、防火墙、结构化综合布线系统等相关设备，搭建一个高速、安全、稳定、先进的以太网络平台。为公司员工提供快捷、方便的无纸化办公，提供搜集信息、获取信息、创造信息的设计平台和技术环境。本设计侧重于用域模型来规划大型企业网络并对多域环境的规划进行详细分析，对目录服务结构的选择，信任关系的建立以及满足性能需求而对目录服务结构的规划做了较为全面的叙述。对网络的设施和构造进行了深入考虑，从硬件环境、使用平台、应用软件、网络通讯等多个方面严格要求做到实用、简洁、经济及安全。

[关键词] 多域；活动目录；交换机；服务器；防火墙

一、网络系统环境分析

1.1项目需求分析

在计算机网络信息化时代的今天，必须对传统的管理模式进行变革，同时利用先进的计算机网络技术构建企业内部网络，实现企业管理的扁平化和信息的共享与交流，因而Intranet解决方案及其相关的技术在这个时代蓬勃发展，Intranet也成为现今各大网络技术角逐的战场，ATM技术、以太网技术等等这些原来仅用于广域网的技术也纷纷加入Internet的行列，足见Internet景象的繁华!

另一方面，由于Intranet的景气，产生巨大的利润空间，世界各大巨头纷纷对这一领域加大投资，为Intranet提供了各种各样的技术方案，掀起了Intranet界的百家争鸣。同时，在Intranet的设计和组建中，随着企业对信息要求的不断提升，相关的网络安全和容错技术的应用和不断优化，也成为重中之重。

1.2方案设计思想

本方案是用域模型来规划大型企业网络（根据对大型企业网络的需求分析，对网络的设施和构造进行考虑，从硬件环境、使用平台、应用软件、等多方面严格要求，以做到使用、简洁、高效及安全），并对所选网络方案的性能进行分析并提出优化措施，最后提出Intranet安全解决方案。

1.3网络系统设计原则

根据大型企业计算机网络系统的应用要求和当今网络发展状况，本方案在网络设计过程中应完全按照以下原则。 Catalyst 4006背板进一步提供了网络保护能力，支持系统的开放性：

网络系统和管理信息系统的结构设计必须符合国际开放系统的标准，是真正的开放式系统；网络系统和管理信息系统使用的硬件平台和软件平台均要符合开放式标准；硬件平台的开放性，主要包括设备的网络互连性和可互换性；软件平台的开放性，包括操作系统、图形用户界面、网络通讯协议等符合国际统一标准；开放性要求的目的在于，应用软件的可移植性，硬件平台的可互换性。

（1）可靠性原则

由于本系统是面向大型企业计算机网络系统的网络应用，任何失误都可能造成比较大的后果。为了保证系统运行的可靠性，系统应具有强大的可靠性和容错能力，主要表现在以下几个方面：

① 采用高可靠性的服务器，服务器应该具有热插拔功能;
② 采用磁盘镜像或双机备份容错，增加系统的可靠性;
③ 网络设备与服务器设备的非正常停机时间（故障时间）；

④ 网络中心电源与其它网络运行保护设备的可靠性；
通过以上分析，在大型企业计算机网络系统设计中，如果充分考虑了服务器及网络设备产品的性能的稳定性、数据链路的备份、数据库的备份、服务器的备份、通讯线路的备份等几个方面的因素，就可以建成一个极为可靠的大型企业级网络系统.

(2)可管理性原则

由于大型企业计算机网络系统覆盖面积很大。因此需要对系统的网络运行进行有效的控制和管理。网络管理员可随时监测系统中所有网络设备的运行状况，并应能在不中断系统运行的情况下对网络配置进行修改，不论网络设备的物理位置在何处，网络都应该是可以管理的。计算机网络的管理功能一般包括两部分内容：
① 失效管理
失效管理是最基本的网络管理功能。网络失效主要包括网络结点和通信线路现两种故障。故障管理系统负责检测网络中的各种故障，记录每一个产生的故障，跟踪分析，最后确定故障原因和位置并改正故障。
② 安全管理
安全管理的功能涉及一个计算机系统的安全管理策略，根据这一策略设计和实现的网络安全管理系统，可以在网络结构的不同层次上管理网络安全，从基本网络访问功能到网络应用系统功能。
（3）可扩展性原则

网络的扩展能力包括两方面内容，即网络处理能力的扩展和网络技术向更新的技术的升级。在网络设备的选型上，应该注意可扩展性，例如，应选择能够支持从低到高多种通迅协议的路由器产品，可以不增加任何投资，通过选择通讯协议和通信速率来提高网络传输速度，降低系统运行费用。在用户端应选用具有开放性的可堆叠或模块化产品，可以十分方便的扩充网络的容量。随着计算机网络系统业务的不断发展，系统应可以随时增加网络设备来扩展整个网络。

（4）安全性原则

   根据系统业务的特点，防止外界非法侵入，有效地保护数据资料已成为网络设计中十分重要的问题。在系统具备多级用户权限管理中对外来侵入的控制应由路由器配合操作系统及数据库平台来完成。另外，通过网络管理软件有效地利用路由器的“防火墙”功能或者采用专业的防火墙系统强化安全管理。设置必要权限，以提供安全保障。根据需要划分VLAN，使不同权限、功能的用户处于不同的网络映象模式中。
1.4网络通信协议

大型企业网络系统采用TCP/IP（传输控制协议/互联网协议）作为网络互联协议，同时兼容其他互联协议（如IPX、NETBUI）。

TCP/IP是针对网间网而开发的体系结构和协议标准，是最早出现的互联网协议。
(1) TCP/IP 的应用 
TCP/IP 可以用在任何互连网路上的通讯﹐其可行性在许多地方都已经得到证实。网路证明了TCP/IP 的可行性和它优秀的整合性﹐使之能适应各种不同的现行网路技术。对今天的网路发展局面来说﹐TCP/IP 的实作可以说是一个卓越的成就。 TCP/IP 协定不仅成功的连接了不同网路﹐而且许多应用程式和概念也是完全以 TCP/IP协定为基础发展出来，从而让不同的厂商能够忽略硬体结构开发出共同的应用程式﹐例如今天应用广泛的 WWW﹑E-MAIL﹑FTP﹑DNS 服务等等。
（2）TCP/IP 的特性   

对于一个电子邮件的使用者来说﹐他无需透彻了解 TCP/IP 这个协定﹔但对于 TCP/IP 程式人员和网路管理人员来说﹐TCP/IP 的一些特性却是不能忽略的﹕

（3）TCP/IP 在网路中所扮演的角色

Transmission Control Protocol / Internet Protocol (TCP/IP),当初是用来配合 ARPANET 来处理不同硬体之间的连接问题的,比如sun系统和Mainframe﹑Mainframe和个人电脑之间的连接。

1.5网络管理系统

所有的网络设备都可以通过在大型企业网络公司一个办公楼集中配置一套CiscoWorks2000 网管软件进行统一的集中的管理。 Cisco Works是Cisco公司一系列网管产品中功能最全，性能最高的网管软件。借助基于SNMP的Cisco Works系列应用软件，用户可以通过一个集成平台的中心场地管理他们的Cisco路由器和交换机及其他相关设备。Cisco Works的设计旨在提供集中化、自动化和集成的网络管理。它可以实时地监测到网络的任一端口状态，进行远程控制，生成各种统计报表，判断网络运行的状态并以此帮助系统维护人员采取相关的措施。

1.6网络系统的可靠性保障

为了提高系统的可靠性，对于关键的硬件设备，采取了双机热备份或模块热插拔备份，并对其运行状态进行了监视；对于关键的软件系统的状态进行了监视与控制，具体采取了以下措施：
（1） 网络设备电源
为了保证网络设备正常工作，在中心交换机等关键设备上配备了双电源系统，以确保这些设备正常工作。
（2）中心交换机双连接
中心交换机间等关键设备连接时均采用两条1000 M单模光纤，以确保信息的可靠传输。

2 结 速 语

　由于大型厂房的现场设备比较分散，底层通信网络采用现场总线，现场设备都作为一个通信节点就近直接挂在现场总线上，可以节省大量硬件成本，同时能实现全数字通信，在实际中得到了大量的使用。

【参考文献】

[1]阳宪惠．现场总线技术及其应用[M]．北京:清华大学出版社，1998.

[2]邬宽明．CAN总线原理和应用系统设计[M]．北京:北京航空航天大学出版社，1995.

[3]李刚．数字信号微机处理器的原理及其开发应用[M]．天津:天津大学出版社，2000.

共 5 页，此页是第 1 页