中小企业组网方案.pdf

1、51CTO线上技术沙龙中小企业组网方案分享与探讨主讲：小侠唐在飞博客： http:/ http:/ 唐志强网名： 小侠唐在飞、大侠唐在飞年龄：差点成 80后地址：乌鲁木齐 （切糕、大盘鸡、干果什么的）擅长领域 ： 扛显示器、装机、装系统、杀病毒、重启电脑、部署服务器、做网线、做电话头、帮领导下片、看监控、调网络设备、随工、设计网络方案、带队施工、讲方案、忽悠客户、扫描漏洞、拿工具装黑客、人体摄影艺术、欣赏动作电影。职业：1、电脑城扛包的、技术员、销售、销售经理、小老板、技术部主管、某品牌电脑新疆维修站站长。2、机房值班员、网络工程师、 IDC运维班长、项目经理3、安全工程师、售前、项目经理、技

2、术总监现任新疆知名安全公司高级安全顾问，从事网络与安全方面的咨询、评估、服务、培训等工作。51CTO技术论坛超级版主、华为版版主、微软 MVP风流史详见 挨踢人物传 第四期： http:/ 中小企业网管、网络爱好者、网络菜鸟、在校学生。目的： 分享 20个常见的中小企业组网方案，探讨常见组网场景的优缺点，扩展网络建设思路，解决实际组网需求。前言：总结大侠多年来帮助中小企业网络组网的方案，及论坛午饭常见咨询求助。 如何用最少的投资，做最多的事！中小企业组网方案很复杂吗？也许听几张 PPT，你会忍不住大喊，这也太简单了吧，太唬人了吧？是的！ 这很简单，但这些案例场景，却是论坛经常有午饭求助的问题。

3、本次沙龙面向的对象即是初学者。玩转网络为省钱！玩转网络为败家！中小企业组网方案分享与探讨 开始之前：几个必知的概念ISP：公网 IP：私网 IP：地址映射 NAT：内网：外网：二层交换机：三层交换机：企业路由器：家用路由器：网吧路由器：防火墙：上网行为：UTM：中小企业组网方案分享与探讨1、 ADSL+代理服务器（软路由）这种模式在前几年比较流行，小型单位、网吧用的比较多。ADSL+代理服务器（软路由），需要一台服务器做代理。1、 Windows自带的 internet共享2、第三方代理服务软件： Wingate、Sygate、 Ccproxy等等。3、 RouterOS 路由操作系统，可以找

4、一台低配电脑作为服务器。缺点：需要占用一台电脑，作为服务器。当然这台电脑也可以用作其他功能。PS：局域网中只有某台主机能上网，如何解决让大家也能跟着上网呢？中小企业组网方案分享与探讨2、 ADSL+家用路由器（无线路由器）适用于用户数较少的单位、企业、家庭。是目前主流的组网方式。价格几十元至几百元不等。1、家用路由器，有路由功能、地址转换，取代软件代理服务器。2、家用无线路由器，增加了无线功能，扩大了覆盖范围，避免布线。3、家用无线路由 MODEM，集成了ADSL功能。内网用户少的时候直接连接在路由器上，如果多了，可以增加交换机作接入。优点：功能强大，小巧便宜、配置简单。缺点：性能低，管理控制

5、能力差。中小企业组网方案分享与探讨3、 ADSL+家用路由器（无线路由器） +三层交换机适用于内部交互数据量大的网络环境，组网目的主要为终端间数据交互，或内网服务器与终端间交互。网络流量 20/80理论优点：支持多终端接入，可对内网用户进行 VLAN划分、隔离，内部大容量数据传输。缺点：上互联网能力较差，带宽低，访问量大时家用级路由器容易宕机。PS：如果数量少，不安全要求，也可以用二层交换机。中小企业组网方案分享与探讨4、 ADSL+家用路由器（无线路由器） +二级家用路由器（无线路由器）适用于没有三层交换机，有两个不同级别的用户群，想实现单向访问。比如财务部可以访问普通用户网络的文件共享、打

6、印机等，反之不允许。WAN口固定 IP，配置上一级网络的内网地址。优点：对内网用户进行隔离。共享同一个 ADSL上公网。投资少。PS：常见家用路由器只能做单向NAT，不支持纯路由模式。现在已经有家用路由器支持 NAT、路由、桥接等模式啰！中小企业组网方案分享与探讨5、双 ADSL+双家用路由器（无线路由器）适用于上网用户增多，一条ADSL无法满足上网需求时，扩容至两条 ADSL时的场景。通过配置不同的网关来实现走不同的 ADSL访问公网。内网主机在同一内网、同一地址段。优点：增加投资少，公网各走各路，内网间互访不影响。缺点：利用率有时会不高，造成了带宽浪费。PS：不能用 DHCP或只能允许一个

7、路由器开启 DHCP，另一部份静态 IP。中小企业组网方案分享与探讨6、双 ADSL+多 WAN路由器适用于网吧、上网用户多的网络，配置两条 ADSL或专线时的场景。通过多 WAN路由器自动识别 ISP地址，智能选择出口，或负载或主备。优点：增加了公网带宽，解决了不同运营商网络访问慢的问题。缺点：投资增加，多 WAN路由器。需要指定不同 ISP的路由表（有些设备自带）。方案 5中，也可以找负载识别软件来做分担。比如 WAYOS，所有终端网关指向负载分担服务器。中小企业组网方案分享与探讨7、多条专线 +负载均衡器L C 内 对 l c . c h i n a w u x i . g o v .

8、c n 域的 D N S 配 置 记 录 w w w I N A 6 1 . 1 7 7 . 1 1 9 . 2 5 2I N A 5 8 . 2 4 1 . 4 0 . 1 2 4I N A 2 2 1 . 1 7 8 . 1 8 1 . 2 2 5 L C 会 返 回 w w w 记 录 对 应 的 T T L电 信61.177.119.25358.241.40.125移 动221.178.181.227三 个 L C 链 路接 口 地 址F 5 B I G I P L i n k c o n t r o l l e r 基 于 动 态 D N S 实 现 链 路 均 衡 工 作 原 理

9、示 意 图网 通北 京 中 科 三 方 D N S 服 务 器n s 3 . s a n f r o n t . c o m . c nn s 5 . s a n f r o n t . c o m . c n服 务 器221.178.181.22558.241.40.12461.177.119.252用 户 本 地 D N SI P A 可 能 的三 个 虚 拟 服务 器 I P 地 址F 5 B I G I P L C3 .本 地 D N S 服 务 器 向 授 权D N S ( 无 锡 电 信 D N S ) 发出 查 询 请 求授 权 D N S ( 中 科 三 方 D N S ) 回

10、 复 响 应 , 将w w w . c h i n a w u x i . g o v . c n 域 名 解 析 权 交 给域 名 l c . c h i n a w u x i . g o v . c n 对 应 的 N S 地址 即 F 5 B I G I P L C 的 三 个 接 口 地 址2 .用 户 D N S 服 务 器 向 L C 发 送 查 询w w w . l c . c h i n a w u x i . g o v . c n 请 求1 .L C 回 应 请 求 , 根 据 链 路 优 先 级 , 动 态解 析 出 域 w w w . l c . c h i n a

11、w u x i . g o v . c n对 应 的 地 址 I P A4 .5 .虚 拟 服 务 器 地 址 I P A回 应 用 户 的 请 求 , 返回 页 面 内 容 至 用 户6 .用 户 获 得 最 终 解 析地 址 A , 对 地 址 I P A发 起 H T T P 请 求北 京 中 科 三 方 D N S 服 务 器 ( n s 3 . s a n f r o n t . c o m . c n ) 上 对c h i n a w u x i . g o v . c n 域 的 配 置 记 录 I N S O A w w w . w s t . n e t . c n . r

12、o o t . w s t . n e t . c n . (2 0 0 9 0 2 1 0 2 0 ; S e r i a l7 2 0 0 ; R e f r e s h S e c o n d s ( 2 H )3 6 0 0 ; R e t r y S e c o n d s ( 1 H )7 2 0 0 0 0 ; E x p i r e M i n u t e s ( 8 d 8 h )1 2 0 0 ) ; M i n i m u m T T L S e c o n d s ( 2 0 m ) w w w I N C N A M E w w w . l c . c h i n a

13、 w u x i . g o v . c n .l c I N N S c t . l c . c h i n a w u x i . g o v . c n .I N N S c u . l c . c h i n a w u x i . g o v . c n .I N N S c m . l c . c h i n a w u x i . g o v . c n .c t . l c I N A 6 1 . 1 7 7 . 1 1 9 . 2 5 3c u . l c I N A 5 8 . 2 4 1 . 4 0 . 1 2 5c m . l c I N A 2 2 1 . 1 7 8

14、 . 1 8 1 . 2 2 7 用 户 向 本 地 D N S 查 询 域 名w w w . c h i n a w u x i . g o v . c n8 .用 户 D N S 向 用 户 返回 解 析 地 址 I P A7 .I n t e r n e t本方案为方案 6的变种，主要是智能 DNS解决服务器发布多网访问问题投资大了！中小企业组网方案分享与探讨8、专线 +路由器（无线路由器）ADSL速度是有限滴，稳定性是一般般滴。有钱的单位拉专线鸟！1、专线速度从 1M到 100M，甚至1G。无 ADSL这种上下午不对称的问题。2、小单位只需要普通的家用级路由器即可。有线、无线都可以。光

15、纤入户也可以用此方案。中小企业组网方案分享与探讨这样的布线才能叫布线！中小企业组网方案分享与探讨9、专线 +企业路由器 +二层交换机为方案 8的变种。1、中型单位配置网吧级、企业级、专业级的路由器接专线，路由器做 NAT。内网使用二层交换机接入终端。2、如果用户多了，还可以在路由器上配置子接口，做单臂路由，二层交换机划分多 VLAN。不同 VLAN间互访需要通过路由器，增大了路由器的压力。3、内网中还可以部署 AP，供移动终端使用。中小企业组网方案分享与探讨10、专线 +企业路由器 +三层交换机为方案 9的变种。1、中型单位配置企业级、专业级的路由器接专线，路由器做 NAT。内网使用三层交换机

16、接入终端。三层交换机划分 VLAN，可做内网隔离与安全控制，三层交换机提供不同 VLAN互访。3、内网还可以接多个二层交换机用以接终端，三层交换机做汇聚。2、内网同时可以部署 AP，供移动终端使用。中小企业组网方案分享与探讨11、专线 +路由器 +上网行为问：一个企业或单位需要多大的带宽才能满足上网的需要？10M？ 20M？ 50M？ 100M？P2P、在线视频一类的应用，让你永远无法满足带宽的需求。上网行为正是为此而来。这玩意不便宜，有点败家了。不过一次性投入，总比不停的扩容带宽有效，且能保障主要业务服务的有效带宽。中小企业组网方案分享与探讨12、专线 +防火墙 +交换机为方案 10的变种。

17、路由器换成了防火墙。路由器与防火墙的区别在哪里？防火墙可以看作是安全功能更强大的路由器，它有路由器的常见功能，但在安全控制、防攻击方面则更专业。路由器的接口类型丰富，防火墙则显单一。价格上二者相差不是很大。中小企业组网方案分享与探讨13、专线 +路由器 +防火墙 +交换机这个方案很优秀，在许多的企事业单位在使用。在许多教材或书箱中仍能看到这样的拓扑。它的优点在哪？我问过所有出这个方案的人，他们给出一致的答案。你们当中有木有？有木有！中小企业组网方案分享与探讨14、专线 +防火墙 +交换机 +服务器网络中有专用服务器，对公网发布，供公网用户或分支用户进行访问。在防火墙调置 DMZ区，放置服务器。

18、保障服务器安全，将服务器与内网主机进行隔离，防止服务器被入侵而造成内网主机的安全失控。这是一个最基本的防火墙部署示意图。中小企业组网方案分享与探讨15、专线 +路由器 +交换机 +服务器服务器放置在内网，通过路由器做公网地址映射，将服务器发布至公网。路由器可以实现服务器的有限安全防护。ISP分配多个公网 IP，服务器放置在外网，直接配置公网 IP。路由器仅做内网终端上网 NAT。交换机如何配置？路由器换成防火墙能这样部署吗？中小企业组网方案分享与探讨16、专线 +防火墙 UTM+交换机统一威胁管理 (Unified Threat Management)，将 防病毒 、 入侵检测 和 防火墙 、

19、 VPN、绿色上网、反垃圾邮件、上网行为 等N个安全设备划归统一威胁管理。虽然 UTM集成了多种功能，但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模来进行选择。缺点？中小企业组网方案分享与探讨17、专线 +企业路由器 +三层交换机 +专网作为分支机构或子公司，有时需要与总公司、总部进行内网连接和互访。内网专线是一种解决方案。专线的成本有点高哟！如果没有 3层交换机呢？路由器上也可以滴。或分部连接至总部，由总部的出口链路统一上互联网。中小企业组网方案分享与探讨18、专线 +企业路由器（ VPN） +交换机作为分支机构或子公司，有时需要与总公司、总部进行内网连接和互访。VPN是一种

20、解决方案，通过互联口出口路由器使用 VPN功能打通内部网络。PS：移动用户怎么办？出差中怎么访问内网资源？路由器、防火墙带 VPN功能也有专门的 VPN产品也可以部署 VPN服务器中小企业组网方案分享与探讨19、专线 +企业路由器 +三层交换机 双冗余链路重要的企事业单位，有着非常严格的网络质量要求，网络不能中断。可以考虑采用双链路、双设备的冗余设计。出口设备不一定需要路由器，可直接防火墙连接对端，以实际需要为准。1、可以为主备方式，防火墙为 a/s，备用链路、备用设备。备用设备平时不跑数据。2、可以为负载分担方式，防火墙为 a/a，两条链路分担承载一些业务，互为备份。利用率提升。24小时不间断电源、精密空调、服务器双机、负载均衡器、上网行为、多 WAN等考虑。中小企业组网方案分享与探讨中小企业组网方案分享与探讨中小企业组网方案分享与探讨酒店网络中小企业组网方案分享与探讨校园网，无线分布网络中小企业组网方案分享与探讨好吧！我承认这不是中小企业组网方案！这是运营商级网络，是为了满足某些人看不起中小企业方案的含量，给某些人的一点安慰吧。交流与讨论欢迎大家将参加沙龙的想法、建议或对沙龙内容的见解发帖（网络管理版块）一起讨论。