构筑先进的企业网

当前，随着企业信息化的深入发展，众多的企业都建立了计算机网络系统――企业网。而现在的企业网已经不像过去那样，由一个单位在其有限的范围内，由有限的站点构成简单的局域网。IT技术的进步，给企业网带来了新面貌。新的企业网必须具备高可靠性、先进性和安全性。

因此，在企业网中，首先采用冗余和容错技术，确保系统的可靠性；其次，网络主干采用千兆以太网技术，组建千兆核心路由交换系统，以便提高主应用服务器与二级交换主干的接入带宽，并可通过建立虚拟局域网（VLAN），提高网络的性能。二级设备采用千兆或百兆交换机，提供工作站的接入；最后，采用虚拟专用网（VPN）实现安全远程互联，并通过防火墙等安全防护技术，对外部网络实施接入控制，限制网络互访，以防止外来的非法入侵。

这样，以中心交换机为中心，与主应用服务器连接，对内通过二级交换设备与各工作站连接；对外通过路由器与广域网连接，再加上VPN、防火墙和防病毒等安全防范技术，提高网络的性能与安全性。这样就构成了当今典型的现代化企业网。图1就是一个企业网络系统的实例。

以下，将对构筑先进的企业网所必需具备的高可靠性和先进性进行讨论，并以厦门医药采购供应站网络系统为实例加以说明。

冗余与容错：保证可靠性

计算机网络应用于企业的各个部门，它在给企业带来巨大效益的同时，也使企业对计算机网络的依赖性越来越大。提高网络系统的可靠性，从技术途径来说，只有两条：一是避错技术；二是容错技术。

避错技术采取的方法是提高元器件的可靠性，也就是保证元器件的高质量。但是，对于一个系统来说，无论采用多少避错设计方法，总不能保证系统永远不出故障。实践证明，如果用避错技术来提高系统的可靠性，一般最多只能使系统的平均无故障时间增加一个数量级，超过这个限度，成本将急剧上升。网络设备在关键应用上的运行均需要非常高的平均无故障时间，只采取避错技术，无疑将使整个网络系统的成本非常高，这不符合实际需要。

因此，要想进一步提高和保证服务器的高可靠性，就必须在给定设备的基础上，再构成一个更高可靠性的系统。那就是采用容错技术。

提高企业网络系统的可靠性，首先必须通过容错技术来保证其硬件设备的高可靠性。容错技术包括冗余技术、故障检测与诊断技术和系统重组与恢复技术。

目前，网络系统中的主要设备都已具备容错的功能，特别是服务器具备了相当完善的容错功能。例如采用双机热备份方式、RAID与热插拔技术、冷却和电源等系统的冗余，以及自动故障检测与诊断、自动系统恢复技术等，都是服务器高可靠性的保证。

为增强厦门医药采购供应站数据库服务器的核心数据安全，采用了双机热备份方式组建中心处理系统。采用两台服务器加载双机热备份软件实现。当主服务器出现故障后，备用服务器可采用自动或手动方式实现数据的实时切换，同时不影响用户的访问，如图2所示。

另外，网络系统中的其他主要交换设备也都采用容错技术。如实例中使用的DGS-3308FG千兆位以太网路由交换机就具备了冗余备份电源、前面板故障诊断LED指示等容错功能。还有Cisco VPN3000集中器的冗余子系统和多机箱切换功能等，都为硬件设备的高可靠性提供了技术保障。

为了提高可靠性，还可在中心主干网上采用两台交换机互为冗余，并采用链路聚合技术组建高可靠性的中心交换容错系统。实现中心交换无单点故障。二级交换设备可采用STP方式分别与它们连接。见图3。

容错技术还包括系统重组与恢复技术，它可使系统在排除故障后，能够迅速恢复原来的工作状态。这里有一个重要工作要做的就是数据备份。数据备份的根本目的是重新利用，是为了实现当系统故障排除后，能够安全、方便而又高效地恢复数据，这是备份系统的价值所在，也是网络系统高可靠性的要求。

在本实例中，企业网采用了LEGATO Octopus软件组成双机容错系统。Octopus将数据的备份与应用切换结合得天衣无缝，为数据提供最大限度的保护。Octopus一旦捕获到源文件的变化，它就立即通过局域网和广域网复制到用户指定的目标系统。Octopus的切换功能允许单一的目标系统承担一个或多个失效源服务器的备份任务，同时保持自身的应用和对终端用户的服务。Octopus具有很大的灵活性，支持任何硬件和需要的节点数，切实保护所有数据。数据可实时地复制到另一个地方而被保护起来。当系统中的个别服务器发生故障时，Octopus可利用其他正常的服务器恢复那些故障服务器所提供的服务，因此终端用户仍可继续访问数据而不会造成工作的中断。Octopus的特性使得它具有高效的容错功能，并在意外事故后进行灾难恢复。

千兆技术：提高网络性能

企业在网络定位上应考虑到网络技术的发展趋势，千兆以太网技术是企业网络发展的必然选择。千兆网络交换机比百兆交换机具有更高的背板带宽、更强的处理能力、更快的交换速度，而加快网络主干的交换速度，就提高了整个网络的速度。它还可提供全双工无阻塞主干链路，轻松解决网络“瓶颈”问题。

由于千兆以太网与10Base-T和100Base-T技术向下兼容，因此，很容易在企业原有的以太网上进行扩展和升级，保护了企业原有的投资。

在本实例网络中，企业网的接入点约300个。中心主干采用DGS-3308FG千兆多层路由交换机；二级设备采用DES-3624i或DES-1024R，千兆连入主干DGS-3308FG。如图4所示。

三层交换：灵活建VLAN

VLAN是由一些局域网段构成的与物理位置无关的逻辑组。这些网段具有某些共同的需求，每一个VLAN的帧都有一个明确的标识符，指明发送这个帧的工作站是属于哪个VLAN。实际上VLAN就是一个广播域。它把传统的广播域按需要分割成几个独立的子广播域，将广播限制在虚拟工作组中。由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。

整个网络可支持多个VLAN，网络管理员可在逻辑上重新配置网络，迅速、简单和有效地平衡负载流量，增减和修改用户，而不必从物理上调整网络配置，从而达到集中化的管理控制。

VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离VLAN之间的传输和可能出现的问题，使网络吞吐量大大增加，减少了延迟。

VLAN之间的通信必须通过路由器来实现，这样通信的安全性比较高。但是，这种通信使用传统的路由器时，基于传统的路由器的软件、协议复杂，因此其数据传输的效率较低。在这种情况下，一种新的路由技术应运而生，它就是第三层交换技术。

一个具有第三层交换功能的设备是一个带有第三层（网络层）路由功能的第二层交换机，它是二者的有机结合。从硬件上看，第三层交换机中，与路由器有关的第三层路由硬件模块也插接在高速背板/总线上，使得路由模块可与需要路由的其他模块间高速地进行交换数据，从而突破了传统的外接路由器速率（10Mbps～100Mbps）的限制。在软件方面，第三层交换机将传统的基于软件的路由器进行改造：对于数据包的转发，如IP/IPX包转发，这些有规律的过程通过硬件得以高速实现；对于第三层路由软件，如路由信息的更新、路由表维护和路由计算等功能，用优化和高效的软件实现。

第三层交换通过有机的硬件结合使得数据交换加速，优化的路由软件使得路由过程效率提高。除了必要的路由决定过程外，大部分数据转发过程由第二层交换处理。多个VLAN子网互联时，只是与第三层交换模块的逻辑连接，不必增加用户对外接路由的投资。

在实例中，厦门医药采购供应站主干网设备采用DGS-3308FG千兆以太网路由交换机，它同时支持第二层数据交换与第三层IP路由，使企业可根据需要灵活地建立VLAN。

VPN接入：安全扩展网络

VPN是企业网在Internet等公共网络上的延伸，通过一个专有的通道在公共网络上创建一个安全的专有连接。在传递数据的远程双方之间建立起一条逻辑隧道，将VPN数据与其他数据隔离，来保证数据在公共网络传输的安全性。这就是隧道封装和加密技术。建立VPN所用的隧道封装技术有多种，其中较为常用的为用于网络层的IPsec技术，它既能将原有数据包外加特定的、外人不能识别的数据包封装，又能将包中的数据加密，起到双重防范作用，只有隧道两端的设备能够添加和去除特殊包装和加/解密，还原真实数据。

VPN通过安全的数据通道将远程用户、公司分支机构和公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。

本实例网络系统中的VPN接入设备采用Cisco VPN 3015安全接入设备，实现Internet接入用户的安全访问。（作者单位：厦门天同系统集成有限公司）