【IT168 技术】在信息化快速推进的今天，中小企业网络作为网络化建设的一支主体力量，其市场前景得到越来越多的关注。我们的网管员书架栏目，将在近期推出《中小企业网络构建十步法》系列技术文章，来聚焦中小企业网络构建的点滴。在这些以实践和案例为基础的文章中，我们会从无到有，从基础网络的构建到企业常见服务的应用，从局域网的通信到Internet的访问，为中小企业网络管理者提供全面的网络架构规划和部署的指导。既然我们的定位是中小企业用户，因此，所有技术文章的指导宗旨是：花小钱，办大事!

　　开篇：企业需求分析

　　首先要搞清楚中小企业的概念。中小企业通常是指规模在500人以下的企业，如果进一步细分，又可分为100人以下的小型企业、100～250人的中小型企业，以及250人以上的中型企业。从广义的角度，又可以将同等规模的政府、科研及教育等单位也作为中小企业来看待。许多中小企业网络技术人员较少，而对网络的依赖性却很高，因此需要网络尽可能简单、可靠、易用，降低网络的使用和维护成本显得尤为重要。

　　案例背景：

　　我们以金米软件公司为例，此公司共有8个部门，分别是：财务部、行政部、人力资源部、市场部、策划部、开发部、测试部、客服部等8个部门，每个部门约有20人左右。经过调研，企业有以下的需求：

　　企业需求：

　　A. 所有员工都能访问互联网

　　B. 各职能部门之间可以共享文件

　　C. 行政部有一个HP打印机，希望员工都有权限共享使用

　　D. 企业内部有一个OA网站，存放有员工管理系统和企业信息发布系统

　　E. 企业每个员工有一个以自己姓名为邮箱名的个人邮箱，用于收发办公邮件。邮箱的后缀名为@jinmi.com

　　F. 由于工作性质的需要，要求企业员工上班期间不得听音乐和上一些娱乐性或者是不安全的网站。

　　G. 各员工之间能够通过企业内部的RTX软件实现即时通讯，以提高工作效率。

　　H. 因为工作需要部分员工有在家上班的需求，要求在公司之外也可以登录到使用企业的打印机、OA网站等资源

　　大家可以看到这些需求应该包括了一般中小企业的办公及应用要求，功能不少。那肯定有朋友要问了，实现这么多的功能，这得多少设备?我们企业投资可不多呀!但我们会想办法降低成本。具体我们先来看一下拓扑图：

▲图：典型中小企业网络拓扑图

　　大家看到这个拓扑图的第一感觉，可能是比较简洁。这里没有路由器和VPN设备。没有路由器，那么员工怎么访问外网呢，而且没有VPN设备，那么怎么让员工在家工作呢?因为咱们的宗旨是花小钱，办大事。这里，我们不用采购路由器和VPN设备，也不去采购硬件防火墙，我们使用的是微软的ISA软件防火墙，在此使用ISA防火墙的好处是：

　　第一：应用层控制：ISA Server 2006具有强大的应用层过滤功能，能够基于应用层、访问内容和用户账户等对访问请求进行严格的访问控制;

　　第二：操作简单：它是基于Windows操作系统的，是Windows操作界面，管理员几乎不需要专业培训，即可进行专业的管理。

　　第三：功能强：ISA Server中提供了集成的远程访问VPN和站点到站点VPN支持，能够让你同时实现高效、安全、可靠的虚拟专用网络服务，从而让用户的访问实现“Access Anywhere”;最后，ISA Server 提供了高效的性能和可靠稳定的服务，让你实现轻松的IT管理生活。

　　设备清单：此清单可以根据企业需要做适当的调整，这是其中一种方案

　　金米软件公司网络构建设备清单：

▲表：设备清单，价格仅供参考

　　在这个设备清单中，还是有一些技术问题需要讨论的，这个核心层的交换机是使用二层交换呢，还是使用三层交换机呢!这里只能说是各有优缺点：

　　二层交换机的好处：部署简单，成本低，如果使用一个千兆的二层交换机1000大洋足矣!但如果是三层交换机，思科系列100M的，也得超出1万大洋。H3C的性价比要高一点，如H3C LS-3600-28TP-SI 大约5000元左右。但我们这里使用的是三层交换，为什么呢?

　　由于以太网以数据广播的方式进行工作，当一个网络中的工作站较多时，网络通道就变得比较拥塞，网络的性能也就随之较低。为了改善这种情况，可以采用VLAN技术将一个网络划分为几个逻辑上相互独立的虚拟局域网，即VLAN。也就相当于把每一个部门当成一个独立的虚拟局域网。通过VLAN技术，广播信息被限制在每个VLAN中，而不再是整个网络，并且各个子网之间不能直接通信，不但可以减轻网络负载，而且可以提高网络通信的安全性，并且有利于企业网络的扩展!

　　IP地址规划：

▲表：企业内各IP地址分配表

　　至于企业内部员工的IP地址分配问题，一般有两种解决方案供大家选择：

　　第一种方案：大约200个用户直接在一个C网段中，如：192.168.10.0 /24

　　好处是：配置简单，核心交换机也可以换成二层交换机，没有必要使用VLAN技术了，只要在内网中配置一个DHCP服务器，由此服务器自动为员工分配IP地址、子网掩码、网关和DNS等相关的参数。缺点是：大家都在一个大的广播网中，而广播对网络的性能会有所影响，而且不利

　　第二种方案：就是如同上表所示，每个部门为一个VLAN。

　　好处是：有效隔离了广播，提高了网络性能，有利于企业网络的扩容。但缺点就是会用到三层技术，企业可以选择使用的设备是三层交换机或者是路由器。那么我们在这里就使用了三层交换机，它同时具有二层交换和三层路由的功能，但配置起来会略为麻烦，但考虑到企业以后的发展，还是建议使用此方式。

　　本系列文章所需要知识要点：

　　为了使本系列文章中所涉及到的每一个技术都能顺利实施，要求IT网络管理员具备以下知识：局域网组建常识、VLAN的管理、Windows 操作系统基本操作、IIS的管理、ISA Server的管理、RTX即时通讯服务器的部署。

　　在此并不是要求IT网络管理员必须是一个技术高手，如果是技术高手也就不用再看本系列文章了。因为是中小企业应用，所以对管理员的知识储备要求不高，针对每个知识要点有所了解即可，然后结合本系列文章的介绍，就完全可以实现相应的功能。

　　中小企业网络构建十步法：

　　第一步：局域网布线：

　　第二步：利用三层交换实现部门间的VLAN通讯

　　第三步：文件共享：企业内部如何实现文件的共享

　　第四步：利用ISA Server实现共享上网：企业员工共享连接到Internet

　　第五步：防火墙：通过防火墙技术来保护企业内网的安全

　　第六步： OA服务器：内网信息平台，各职能部门协调工作

　　第七步： FTP服务器及打印服务：实现文件的上传和下载

　　第八步： 企业邮箱：为企业员工量身定制邮件服务，提高企业形象

　　第九步： RTX服务：企业内部即时通讯

　　第十步：VPN服务： 企业员工如何在家工作

　　以上是针对中小企业网络的需求进行了相应的分析，下面就开始我们的十步大法!敬请期待!