单彤

　　企业网络从诞生的第一天起就大大有别于公众网络，具有私密性的要求，

　　百兆千兆的升级、有线网络过渡到无线、IP电话/视频会议的承载……

　　它的每一步发展都是与企业应用紧密联系在一起的。

　　企业的应用需求决定了企业的通信和IT应用，这些应用的规模决定了作为基础的企业网络的规模和结构。

　　当前，企业需要各种IT应用，例如ERP、E-mail、Intranet、Extranet、财务系统、OA系统、CRM系统、甚至OSS系统，同时还有各种应用的不同组合，还需要确立集中管理还是分散管理的原则，这些因素决定了企业网络的规模、拓扑和带宽。

　　E-mail、Intranet、OA办公对带宽的要求不高。两年前，工商银行的三级网所使用的Notes平台,在64k专线上采用帧中继复用40k左右的带宽就可以实现了，而基于IBM大型机系统的银行业务网络的最末端带宽也只有64k，地市分行到省级分行的主干也只是64k-128k的DDN。可以看出，传统的应用对带宽要求并不高。但近些年的各种新的应用对带宽提出了更高的要求，例如Web应用、ERP、Internet呼叫中心、高速下载和浏览、网络视频等。而一般B/S结构的ERP系统30秒中网络无响应就会认为中断了，但这在局域网广播泛滥、攻击性病毒爆发的时候很容易出现，在广域网上更难保障。一个网络视频流使用RM格式，流畅播放就需要225k带宽，对一个企业来讲，Internet接入的带宽若要承担许多视频播放，就会明显产生瓶颈。在世界杯的时候，网上有许多实况转播的站点，此时一般企业的网络接入带宽都达到了饱和。

　　目前，企业网基本上由位于各地的局域网、局域网通过ISP公众网的专线(ATM、DDN、FR等)进行互连组成的广域网、远程访问服务、与Internet互连等基本部分构成。这种企业网络的模式在七八年前就出现并固定下来，直到目前，基本模式还是没有大的改变。现在，随着通信成本的降低和IT技术的普及，在规模和数量上都有了很大的提高。而且，企业应用的变化不断要求网络带宽的提高和网络服务的丰富。

　　适应管理集中化

　　企业管理的集中化趋势导致IT应用管理的集中，物理上反映在服务器的区域集中。Oracle在中国的办公室连打印服务器都不设，更没有区域性的数据库服务器，而在总部有高可靠性、大容量的邮件服务器，对全球提供服务。大集中的趋势从网络角度要求带宽成倍增加和连接质量的提高。IT应用集中的例子很多，国内金融、证券行业尤盛。应用集中降低了系统的灵活性，也同时带来了很多好处：减少维护人员，集中采购可以节约费用，集中开发可以使系统简单化，更易于集成新系统、新应用，提高工作效率，减少IT的总体投资，并使应用的生命周期延长。

　　网络作为一切IT应用的基础，在建设初期会有一定的前瞻性，要留出2-3年应用增长所需的足够带宽，在应用日趋完善时，又会有一定的保守性，升级不如应用发展快，因此，网络在建成的第2-3年，就要考虑与应用的密切配合，细化管理，增加服务质量，保障主要业务所需的带宽。频繁升级网络也不是一个很好的选择，会带来更高额的投资，这些投资也许对主要业务应用没有带来丝毫帮助。网络既是应用之本，同时也会对应用发展产生一定阻碍。

　　承载语音业务

　　传统话音通信的新变革、IP电话的企业应用，要求IP网络承载企业内部传统话音的应用，节约费用，并且带来新的应用需求，比传统电话功能大大增强。在Cisco公司里，分机留言成为语音邮件，在全球各地通过丰富的企业网接入服务，进入内部IP网都可以收听留言并使用软件分机电话拨打和接听。企业要求已经从普通的办公室对办公室节省长话通信费，扩展到分机号码跟随人走，员工和内外部的沟通效率大大提高。因此，IP电话在企业中的应用也随企业对电话系统的期望和要求密切相关，这些需求主要可以归纳为两种层次。

　　第一层次：公司已经超出传统电话的功能需求，可以实现全球统一号码分配，与E-mail地址相关，语音邮件、FAX到邮箱、软交换、纯IP局域网电话、软件电话。以Cisco的AVVID系统为代表，采用智能很高的纯IP话机，安装Call Manager软件的服务器和硬件的PSTN电话网关实现局域网电话，并可以透过广域网管理分支机构的IP电话，实现了纯基于IP的电话系统。这种高端的应用可以节省布线系统投资、日常维护费用，提高沟通的效率。

　　需要注意的是，这些节约可能很少，有些甚至是隐性的，但建设这样一个系统对跨地域的企业来说初期的投资显得很高。在局域网的改造中，需要更换接入层的交换机以支持IP电话利用网线供电，划分IP电话VLAN，在广域网中更需要考虑IP电话占用的带宽和服务质量，加上语音网关、软交换服务器、IP电话终端等设备的投入，一般的企业很难做到如此巨大的投资。

　　第二层次：达到分机统一规划，分公司间可以通过“号码段+分机”实现分机互通，这些直播使用IP电话实现，不要求比传统电话有更新的功能，以节省分公司间的长话费用为主要目的。这种层次按企业规模和业务应用分为二种解决方案。

　　第一种方案适合分公司规模较大，从总部到分公司、分公司到分公司有大量的电话沟通的需要，每个分公司有自己的小PABX系统。这种企业可以与IP电话运营商签定大客户的接入方案，即各地分公司都租用到IP电话运营商的中继线路，通常为E1电路，本地的专线价格很低，长途由运营商的IP电话网络提供支持。在这种方案中，可以实现拨打长途电话直接进IP电话网络，提高接通率和很好的服务质量保障。在运营商的智能网络中还可以实现分公司间虚拟的VPN电话网，即可实现拨很少的号码接通异地的分机电话，提高沟通效率，节省大量的长话费用。原理上可以看成是利用运营商的网络实现各地小PABX的互连，只需对传统电话交换机做很小的中继扩容投资即可实现，保护了原有的电话系统投资。但这种方案和企业办公网络没有丝毫联系，不能有效利用已有的数据专线的带宽，需要重新租用语音中继线路，适合各地都有相当规模的大型企业。

　　第二种方案适合小型的企业，各地分公司规模有限，与总部间电话沟通不是非常频繁，模拟中继在4-8路以下即可满足需求，可以使用以有数据IP网络的路由器加装IP电话中继模块或IP电话小网关的方法，使用以有的数据网络的一部分带宽实现各地小交换机的连接，只需要投资少量硬件设备即可实现，不用另对运营商支付额外的任何费用，对广域网数据带宽占用也可忽略不计，例如1路G.729R8的IP语音只占用8K带宽，所有开销加在一起才12K。

　　还有一种方案直接向IP电话运营商申请主叫号码计费，适合无PABX的企业，这种应用与家庭IP电话应用无异，只是省去拨IP卡号和密码的麻烦。不能算一种企业应用。

　　承载视频会议

　　现代经济和社会生活中，E-mail和IP电话无论如何方便，都无法取代面对面的交流，各种会议、培训、协作都还都需要商务旅行。商务旅行增加了差旅成本、降低工作效率。视频会议技术的出现，可以实现远程的面对面交流，感受远程培训、远程协作、点对多点的交流。基于H.320网关的视频会议在多年前已经是很成熟的技术，但由于H.320终端较贵，且使用ISDN专线捆绑带宽，造成长途话费的发生，限制了开通会议的方便性，并没有在企业层面广泛使用。IP视频和H.323协议的日趋完善，为这一应用走向企业、甚至家庭提供了广泛应用的可能，可以在机场、酒店或任何有宽带网络、WLAN覆盖地区，随时参加公司会议，进行面对面的沟通。IP视频唯一要求的就是带宽，从384k-2M到高清晰度的4M、8M，技术已经非常成熟。企业网络对于视频的应用有两种方式：

　　第一种是基于硬件的H.323视频会议终端，一般在办公室的会议室与电视机或投影仪组成一个会议终端系统。此类终端大多较贵，但对视频压缩等协议支持非常完善，配套的摄像头和视音设备也都比较高端，支持384k-2M各种连接速率，并支持数据同传等功能。当然，对于企业来说，频繁召开多点会议时，投资MCU设备的代价是比较高的。现在中国电信和网通在Internet上都提供MCU租用的业务，但为了视频会议的质量保障，都要求用户租用本运营商的Internet线路，在计费和开通灵活性方面还不是很完善。

　　第二种是在计算机上使用软件实现H.323的压缩任务，比较适合重要员工在企业的办公网内协作交流，甚至出差在外或在家办公时出席会议，此类软件可以和第一类设备通信，并参加多点会议。目前，纯软件实现视频压缩对计算机性能要求较高，P4 1.5 G开768k以上速率时随速率增加对会议质量而言影响不大。这两种终端通常在企业中是混合部署的，可以是走Internet接入网络，也可以在企业网内部实现，要求互连的带宽高于视频会议所使用的带宽。

　　选择宽带接入

　　宽带网络的普及，大大提高了互连网的主干和终端接入带宽，这些变化就发生在这3年中。过去通过拨号上网下载几个小时的资料或软件，而如今的宽带网上只需要几分种，甚至几秒种就可以得到。这种速度的提升不仅大大提高信息获取的速度、提高工作效率，同时也给企业网远程访问带来了更快速、更丰富、更灵活的接入方法。远程访问用户可以经过企业网络授权，通过各种高速接入连接到Internet，利用IPSec、L2TP等加密技术高速访问企业网络，除了在远程实现普通办公应用，还可以使用IP电话、IP视频等宽带应用，再也没有使用远程拨号慢速连接带来的烦恼和产生长途电话费用。

　　在广域网互连方面，此类IP VPN技术发展更快，已经开始取代ISP的DDN、FR等专线VPN的地位。分公司之间利用IP VPN在宽带公众网络上互连，可以节省昂贵的长途专线费用，以更便宜的价格享用更高速的宽带服务。

　　传统IP VPN也有一定的局限性：数据暴露在公网上的安全性、VPN网关的安全性、加密解密处理造成的带宽利用率降低等等。公众主干网络繁忙对连通性和连接带宽的影响，使用户在Site to Site的应用时采取观望态度，最终大多数用户还是采取长途专线的方法搭建企业网络。目前，网通公司的CNCnet已经提供了MPLS VPN的服务，在城域网、广域网甚至通过全球合作都可以提供MPLS的服务。在宽带2.5G、10G主干节点边缘上搭设PE设备，提供企业级的安全性，充分利用轻载网和IP QoS保障，达到的安全性和带宽保障，已经可以和专线网络相媲美，而且没有长途专线的费用，本地带宽可以随需求随意增加：2M、10M、100M、155POS、622POS、GE……企业广域网拓扑越来越简单，可以不使用昂贵的高端路由器作为企业接入的CE设备。以往复杂的广域网结构变成了高速的“集线器结构”，使用企业自行规划的私网IP地址，路由和线路冗余都由运营商的主干设备来解决。企业广域连接的革命带来的结果是，利用较少的投资实现了更大的互连带宽，同时降低了网络设备的投资成本，也相应减少了企业网的运行维护成本。在这方面已经有网通、实达、亚信等许多成功的案例。

　　网络效率源于管理

　　企业的IT应用越来越多，越来越依赖信息沟通和数据处理。但由于IP网络和操作系统在安全性方面存在弱点，网络攻击和病毒传播已经历史性地走到一起。企业对网络安全性、主机安全性愈加重视。网络安全和管理制度是相辅相成的，安全促进管理制度的完善，有了管理制度才能使网络安全成为可能。

　　网络管理可以分为四类：网络设备级的管理(通常使用SNMP、网管平台或设备厂商的网络管理软件)；安全管理(安全策略、主机安全管理、内外部网络入侵检测、主机和设备配置完整性管理、防火墙管理、网络应用流量分析、Internet访问审计、整体防病毒部署、服务器物理安全管理、数据存储备份管理和策略等),这些需要完整的安全体系；局域网管理(拓扑管理、基于IP地址快速定位管理、DHCP管理等)，通常使用FLUCK的网络管理工具软件；客户端管理(WIN2K AD域结构、客户端软硬件标准化、新机器GHOST策略、客户端命名管理、域策略管理、软件分发、客户端资产管理、账号授权管理等)工具也有很多，例如IBM Tivoli、CA TNG等。

　　为什么网络管理会如此复杂呢？实际上这是和一个企业对信息技术、办公网络的依赖程度和办公环境的稳定性密切相关。如果在企业边缘部署了防火墙，需要向外界提供各种服务，就必须提高自己的安全意识和安全技术，充分考虑系统、应用和网络结构是否安全，和各种层次的黑客做攻防游戏。现在黑客技术传播已经非常快捷，黑客工具随处可以下载。做了这些主动防备，还需要被动的防护部署，例如IDS记录攻击或入侵的日志，便于查找证据。同时还要有快速恢复系统的流程和准备。

　　以上是对外部的防范，但据统计，大多数安全事件却来自企业内部。例如，有的员工将机器脱离了AD域，也就失去了域对安全性、安全软件的检查，并关闭了防病毒程序。因为他认为防病毒程序占用了CPU和内存的资源，而计算机处于危险之中，这时它感染了NIMDA病毒，这种病毒会通过不同的方式在局域网、广域网、Internet上以漏洞攻击的方式传播，在企业网络内部产生大量无效的攻击连接。这种致命的攻击包严重时，会对交换机、路由器的性能造成危害，使局域网变慢，广域网瘫痪。通常10台中了NIMDA的计算机就会使千兆局域网产生丢包、3-4台足可以将一台路由器的CPU利用率降到99%。管理员最重要的事情是快速找到病毒发作机器，隔离它们，恢复网络正常，并杀掉病毒，有的时候需要重新安装它们又不能使它们的数据丢失。但管理员面临的可能是连接几十个城市的几千台计算机组成的局域网，没有上述管理系统如何实现呢？若已经有了很好的管理手段，可以通过关键链路部署的IDS系统和服务器日志，快速找出这些发作病毒或发动攻击的IP地址，在边缘路由器禁止它们的IP地址，然后通过FLUKE工具软件日常产生的数据库定位这个机器的端口位置，彻底将有问题的机器断网。这些数据库信息的准确性，与DHCP的策略、IP地址管理制度以及工具软件产生的数据库的更新频率相关。机器名的准确规范管理也可以快速定位机器的所有者，但碰到机器名不规范或不是本企业计算机接入办公网时，只有依赖前述的方法。

　　客户端正确安装常用软件，规范管理办公用机也是非常重要的。在发放新机器的时候就要做好标准配置。利用GHOST工具很容易实现标准的客户端计算机，只须更改计算机名称即可。在遇到重装系统的时候，只要有启动软盘或GHOST光盘就可以在20～30分钟内远程自动恢复一台计算机，并保护数据盘的数据不丢失。利用远程控制、协作工具，例如Tivoli、TNG、DameWare等工具配合电话热线，可以远程为客户端用户解决配置或应用的问题，大大缩短服务支持的时间，并可以减少各地IT支持人员的数量，这在分公司众多、IT人员较少的企业，可以节约大量的IT支持费用。

　　免费试用新浪15M任你邮 获数码相机、手机大奖