网络告急——中小企业网络节省方案
主题应用
节省,以前关于它的话题大多停留在生活和消费层面,如今当我们在网络化、数字化大潮的冲击下纷纷为企业添置设备的时候,往往忘却了“节省”二字,盲目求全、求新、求变的数字商务误读,给众多企业带来了诸多隐形的负担,如网络建设前期耗资巨大、网络资源分配不均、网络规划不合理,这些负担将会束缚整个企业的发展,网络信息官们将会在疲于奔命中弥补这些负担带来的循环不断的资金消耗、人员工时消耗、设备浪费。
本次我们给大家带来的是关于网络规划、网络建设、网络设备三大领域的节省方案,这些方案将会给大家带来从未关注过的网络节省问题。为此我们还请来了一位在企业网络化建设领域潜心修炼了12年的资深CTO张琦,请他谈谈他的企业网络化建设“节省观”和网络节省经验。]
邮件收不下来、网页打开速度慢、给客户的文件传不过去……情急之下,摔鼠标、拍桌子,把电脑砸了的心情都有了。如此的网络环境,不仅让你忍无可忍,对公司各种网络资源也是极大的浪费。这样的网络环境,是该治理一下了。
专家访谈:一位资深CTO的网络“节省观”
张琦,资深CTO
12年网络管理维护经验,参与过多家企业的网络规划设计。曾任北京市石景山区教育信息中心网管、石景山区信息网络中心系统工程师,现任北京荣新外企IT培训中心CTO。
在IT圈里做了十二年的技术支持,如今,从当初的菜鸟新人到现在的CTO,在职位的不断变化中,我渐渐对企业信息化、数字化管理有了一个清晰的认识,同时也对《电脑报》近期推出的“节省”系列文章深有感受……
随着计算机、网络技术在各行各业的不断推广和普及,网络规模的急剧膨胀以及网络结构复杂程度的不断增加,产生了许多传统的网络管理系统不曾遇到的问题。网络设备、服务器、客户端三者之间的不均衡发展,在设备智能化管理的发展道路上呈现出了不同的指标曲线。诸多因素的共存,使得我们在实现网络规划时困难重重,大量的数字资源被白白浪费掉。
首先以网络规划中最容易被忽视的IP规划为例。IP地址的浪费和管理方式的不合理都可能造成日后在管理中出现麻烦。进行IP地址规划,很简单吗?需要时随便挑一个就行吗?决不是这样。分配地址是网络规划中最困难的问题之一,如果没有正确分配网络地址,就不能维护好、管理好网络。
其次,很多企业网进行升级改造时会出现浪费,老设备被无情地抛弃,新设备无用武之地。网络升级后只是保持了系统的平稳运行、适应日益增多的用户需求,系统性能并没有实质的飞跃,网络架构设计没有系统性改善,既没有一套完善的涵盖网络系统管理、网络行为管理和网络安全管理的监管体系,也没有充分拓展网络功能,对公司信息系统的支持力度不足。这些都可能是网络架构不合理造成的,大量的可用带宽被非业务数据流占用,这些都是不负责的网络建设项目造成的,这也是浪费。
最后,我再说一些可以避免的浪费,这些浪费可以在充分的评估中避免。以网络链路为例,首先要判断网络连接的状态,即网络断开连接的情况是属于偶然性的还是经常性的。偶然性的网络断开很有可能是工程施工、恶劣天气、人为因素、端口接触不良等因素造成的。而经常性的在实际使用过程中出现网络断开连接的情况,这说明我们的网络链路非常不稳定,一方面可能是线路自身的问题(如无线设备、xDSL),另一方面也可能是因为网络中的硬件设备负载太大而过载。
合理的前期规划、具有前瞻性的设计、对企业现状的深入了解,这就是在企业网络化建设中不可或缺的“节省”方法,CTO、网管们如果都有这样的“节省”理念和对工作负责的态度,相信很多企业都可在数字化的道路上走得更快、更有效率。
可以看出张琦的节省观很简单,前期分析、前期规划是最为重要的,只有理解了企业的需求,结合企业的发展方向和投资,才能将铺张浪费的念头扼杀在摇篮里。现在各位不妨把目光转向接下来的“节省”方略部分,我们的编辑已经为你筹划好了绝对实用的“节省”方案。
节省一 IP地址的节省
IP地址就如同公司里员工的座位,如果管理不当就造成座位浪费,今天这个员工坐这里,明天坐那里,或者后天他调走了,座位便空下来。你能容忍你公司的员工座位混乱不堪?
一、IP不是无限的
为了使局域网或连入Internet的众多电脑在通信时能够相互识别,每一台主机都分配有一个唯一的地址,这就是IP地址。IP地址数量并不是无限的,对于公网(Internet网络)来说,A类IP地址由1个字节的网络地址和3个字节主机地址组成,地址范围从1.0.0.0 到126.0.0.0,可用的A类地址有126个,每个网络能容纳1677万个主机。
B类IP地址由两个字节的网络地址和两个字节的主机地址组成,地址范围从128.0.0.0到191.255.255.255。可用的B类网络有16382个,每个网络能容纳6万多个主机。
C类IP地址由3个字节的网络地址和1个字节的主机地址组成,范围从192.0.0.0到223.255.255.255(图1)。C类网络可达209万余个,每个网络能容纳254个主机。国内用户能向Internet亚太中心申请到的地址大多是C类地址。
二、省IP地址,就这三招
1.NAT节省
越来越多的公司和个人将电脑连接到互联网上,如果为了片面地追求公司档次,为每台电脑都申请一根专线,占用一个固定的或动态的Internet IP地址(如每台机器使用一个DSL Modem或“光纤到桌面”专线),企业接入Internet的速度是保证了,但这肯定会带来大量的IP地址资源浪费(这从一个侧面表明现在电信和网通封杀多机共享上网的不正确,大规模实施之后必将带来国内公网IP地址资源的紧张和浪费),如何节省公网IP地址见表1。
对此,通过NAT+DHCP服务器功能让多机共享一个Internet IP地址(公网地址)上网是最好的办法。NAT(网络地址转换)提供了局域网共享上网的简单方案,内部网络用户连接互联网(Internet)时,NAT将用户的内部IP地址转换成一个外部公共IP地址,反之,数据从外部返回时,NAT反向将目标地址替换成初始的内部用户的地址。市面上基于NAT功能的软硬件很多,如多数路由器和网关类代理软件。
2.子网节省
A类和B类地址已经用完,可用的C类网络也只有209万余个,每个网络能容纳254个主机。如果一个小公司或个人用户就占用一个C类网络,那结果是不难想象的。所以,在实际应用时,中小公司根据需要申请其中一个IP网段,便能达到节约紧张的公网IP地址资源及自身费用的目的。
比如说一个C类网络,有6家中小公司需要申请该网段,便可划分出6个不同的网段(或划成更小一点的网络),这样就可以节约很多IP。并且每个网段之间是隔开的,在不同子网内不能通过网上邻居互见,这样亦保证了数据的安全性。将其划为6个子网后,虽然可用IP或主机数量降为180个,仍能更好地为多家中小企业提供公网IP地址服务。
再如,某公司下属有4个小公司,每个小公司大约有10台电脑。如为每个小公司申请一个C类网络地址,略显浪费。对此可申请一个C类网络地址,将网络划分成4~8个子网,每个子网可容纳30台左右的主机,足够任何一个小公司使用,还有扩充余地,此举肯定能起到节约IP地址的目的又有助于内部网络的管理和应用。
3.私网节省
私网也就是常说的内部网络或局域网,其IP地址也被称为内部IP地址或私有地址。上面提到的A、B、C类IP地址在全世界范围内是唯一的,而内部IP地址是组建局域网时使用的(不能直接在Internet网上用),每个局域网都可使用,它包含10.0.0.0~10.255.255.255;172.16.0.0~172.131.255.255;192.168.0.0~192.168.255.255三个网段的地址。
对于局网用户来说,这么多私网地址初看是一般用户难以用完的,是不用节约的。其实不然,从NAT和多部门使用的安全考虑,对同一网段进行地址划分也很有必要。
从中小企业网络安全来考虑,缩小私网地址池和按需手工指定IP地址便大有好处——在DHCP服务器的自动和手动配置局域网内各计算机的TCP/IP协议和IP地址两种方式中,后一种被认为是更安全和更便于管理的(图2)。
比如,一个小企业网络有30台电脑,处于同一网段内,网关为192.168.10.100,完全可将其地址池开始地址和结束地址设为192.168.10.130~192.168.10.163即可。并可在管理型交换机或宽带路由器中将每台电脑的IP地址和网卡MAC地址一一绑定。
对于IP地址的节省要根据自己实际的情况,例如以很多公司建立的财政专网来说,在很多专网设计中,给一个单位分配了一个C段的IP地址,而每个网络中实际上就有一台财务人员专用的计算机。这个网段内的所有IP地址都没有规范到主机位,“主机位”滥用直接导致了安全监控系统日志的混乱,维护成本明显要高于那些IP微分后的企业网络。IP地址混乱可不是简单的浪费问题,糟糕的地址分配几乎可以导致所有大规模网络的崩溃。
节省二 流量的节省
网络就是一个魔幻的世界,员工在这个魔幻的世界中有各种自己的需求和欲望。于是各种P2P软件齐上阵,抢夺有限的网络资源,占用宝贵的网络带宽资源,使得有限的带宽不能得到合理分配。针对这样的问题,我们又将如何解决?
一、来硬的——通过硬件方式解决问题
在宽带带宽资源有限,短时间内又难以改变的情况下,合理分配宽带资源便成为一种节省。对此,可首选具备QoS(Quality of Service,服务质量)等功能的交换机或宽带路由器来解决,或通过一些功能强大的代理服务器软件及像“聚生网管”之类的第三方软件来解决(见表2)。
表2 对于多用户共享的中小企业网络来说控制流量势在必行
QoS是为网络提供更高优先服务的一种技术,它包括专用带宽、抖动控制和延迟(用于实时和交互式流量情形)、丢包率的改进以及不同WAN、LAN和MAN技术下的指定网络流量等功能。在一般应用下,并不需要QoS,但是如果企业内部某些用户对宽带带宽需求较大,或企业内部多媒体应用、P2P应用较多,造成网络过载或拥塞时,灵活地对QoS功能进行设置便能确保重要业务数据不受延迟或丢弃,从而保证网络的高效运行。
目前面向中小企业用户的主流的网管型交换机或宽带路由器都支持该技术。此类产品一般都支持基于IP端口的QoS功能,可限制单机带宽、连接数,能够有效地识别和分析网络中IM/P2P应用协议,对网络内部的P2P等非关键性应用和异常流量等严重占用带宽的网络行为进行有效控制,确保网路的通畅。
以一个具备4Mbps接入带宽的公司内部网为例,使用的宽带路由器具备QoS功能,并具备4个LAN口,分接四个部门的交换机,为了确保重点部门的带宽需要,其便采用了在对应部门交换机的LAN口端为重点部门或Internet网络需求较大的部门划分2Mbps接入带宽,次要部门划分1Mbps接入带宽,Internet网络需求不大的部门各划分512Kbps接入带宽的方案。这杜绝了大锅饭现象,保障了重点部门或Internet网络需求较大的部门对有限带宽资源的需求,并且还可根据需要随时灵活调整(图3)。
二、硬的不行,就来软的——合理使用软件解决问题
而对于企业内部网P2P应用屡禁不止大量耗费有限宽带带宽的情况,可通过聚生网管、网络执法官、网络剪刀手、P2P终结者等软件来配合解决。
以国内较常用的“聚生网管”为例,它采用了单机安装、全网监控的透明管理模式,可降低网管人员的维护工作,使得网管人员可以在局域网任意一台电脑上即可控制局域网内任意主机。它可通过虚拟路由技术,对局域网内所有主机发出的应用层数据包进行捕获,并对报文进行分析、过滤,任何主机发出的报文只要含有BT特征符“BitTorrent”,都会被拦截、控制,从而能够对BT下载进行较精确的控制。
而对于没有QoS等功能的交换机或宽带路由器中小企业内部网,“聚生网管”等软件也是控制流量的解决方案。它可以实时显示局域网内任意主机的公网流量,包括数值和柱状图两种显示方式,从而能够使得管理员能够很明了地查看局域网任意主机的流量,管理员可以对每个主机分配相同的流量,又可以为单个主机设置不同的流量,系统还可以对新加入的主机自动启用通用的主机流量大小。
节省三 硬件上的节省
要将资源和成本更好地结合,还要从硬件上考虑。目前中小企业多机共享的方案主要有宽带路由器和代理服务器两种方式,哪种方案更省钱省事呢。看我们的推荐方案吧!
一、哪种方案更适合
方案1:使用代理服务器
代理服务器方案主要通过网关类或代理服务器类软件来实现,它必须占用一台电脑作为网络服务器使用。常见的此类软件包含WinGate、SyGate、WinRoute、共享神盾、CCProxy、SocksCap32、HomeShare、ProxyCap、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux等等(图4)。它们都允许使用者在局域网中,通过一个互联网连接,将上网服务分享给整个局域网的使用者,让两台以上的电脑,同时上网。
方案2:宽带路由器方案
宽带路由器则是专为满足中小型企业、小型办公室和SOHO共享上网需要而设计的一种产品,它的突出特点是集成度高,配置简单,提供多方面的管理功能(图5)。
其中高端产品一般会采用2个WAN口可接入多条宽带,采用网络专用处理器,支持多WAN口路径选择策略、线路负载均衡技术,可针对不同应用划分不同服务区,设置不同的带宽、连接数以及不同的数据优先级,保证特殊分区、特殊应用的服务质量。
选择方向
对于代理服务器和宽带路由器这两种方案哪个更具价性比,哪个更值得首选的问题,出于软硬件研发者的利益因素,近几年来一直争论不休。我们认为,各取所需,按需选择更重要,它们之间的对比如表3。
对于10台电脑内,或不超过10~20台电脑的公司网络,建议首选SOHO级宽带路由器或无线路由器的方案。因为该方案投入不多,一般在100~300元左右,安装方便(不需要在工作站上安装其它软件),大都具有定时按需拨号、MAC克隆、DMZ主机、虚拟服务器等功能,无需占用一台电脑做主机,维护方便,故障率低(出现问题时只需重启路由器即可,且路由器的故障率比电脑硬件的故障率要低),不需要专业网管的设置维护便能很好地满足公司多机上网的需要。
对于有30~100台电脑的公司的网络,建议首选企业级或网吧宽带路由器的方案,更具价性比。此类方案的功能和性能如前文所述,支持50~100台电脑同时在线,能很好地满足电脑台数较多的中小企业内部网的需求。且提供全中文Web配置界面,配置简单,支持免费软件升级功能,可满足用户对多WAN口路由器更多带宽、高性能、多功能、高可靠性、高安全性的需求。
而对于超过百台电脑的公司大型网络,除了可考虑多宽带路由器方案外,还可考虑代理服务器软件+专用服务器电脑的方案。目前一台服务器主机的价格也不是高不可攀,一般产品3000~4000元就能搞定(当然,多数功能强大的代理服务器软件其注册费用往往也是千元以上)。通过服务器主机的采用,可更好地避免主机出现如死机、系统崩溃或由于病毒原因造成的系统工作不正常影响到共享上网的问题。当然,采用这种方案,要求企业具备较专业的网管人员。
二、设备的节省
长期以来,在企业网络设备采购领域存在很多“迷信”的观点,比如非国外大厂产品不用,这是因为它们具备更高的稳定性;只选贵的,贵的肯定功能和性能、质量都更有保障……究竟该如何合理选择适合于中小企业网络设备呢?
按需而选、量才录用是选用设备时节省的要点。目前国内绝大多数中小企业或公司都属私企性质,网络规模都不是很大,一味选择“顶级方案”只选企业级设备而忽视更具价性比的SOHO类方案肯定会增大企业的支出,它们的价格对比见表4。
拿路由器来说,模块化接入路由器、企业级宽带路由器、普通宽带路由器三者间的价格差距极大。模块化接入路由器价格一般都在万元以上,支持光纤接口在内的多类型插槽、时分多路复用互联,支持802.3af以太网电源(PoE)。内置硬件加密加速、IP安全性(IPSec)、VPN(高级加密标准AES)、三重数字加密标准(3DES)、动态防火墙保护、动态入侵防御和URL过滤支持等功能。
而企业级宽带路由器价格一般在1000元~5000元,很多高端产品同样提供多个千兆LAN口或1个千兆SFP光纤扩展插槽(其它特性参见上文)。对于需求较大的公司用户如果一味追求顶级产品选择数万元的模块化接入路由器在价性比上来看肯定是不合适的。像D-Link DI-604LB+(参考价2900元)、腾达TEI490T+(参考价1900元)、Linksys RV082(参考价2500元)、TP-LINK TL-R4239(参考价2750元)、侠诺FVR9416S(参考价3900元)、H3C AR18-22系列(参考价3000元左右)、艾泰HiPER 810(参考价790元)等中低价位的企业级宽带路由器产品已完全能满足需求,它们的价格对比见表5。
在交换机的选择上,也有企业模块路由交换机、管理型交换机、基本型交换机、SOHO交换机等的选择。路由交换机的价格往往都在上万元或十万元以上,显然不适合于中小企业用户选用。管理型交换机根据品牌和档次的不同,价格差距也很大,低者千元左右,高者可达万元以上。基本型交换机则从数百元到数千元的产品都很常见(图6)。
根据多数中小企业用户网络的需求,毫无疑问的是首选宽带路由器+基本型交换机的方案即足够,其它的高端选择都有“烧钱”的“嫌疑”。在基本型交换机中既有16~48口10/100Mbps自适应以太网交换机产品(国产知名品牌的产品价格数百元左右),也有16~48口千兆自适应以太网交换机产品(国产知名品牌的产品价格在1000元~5000元),已可很好地满足中小企业用户多方面的需求。
节省四 布线的节省
前面三种省,是针对软硬环境,这是建立在网络环境已经搭建好的基础之上。这样的省只能改善一下网络环境。如果你想有更大的节省,就要从耗材环节考虑了,比如说布线,这方面又有很多的诀窍了。
一、从源头解决问题
在宽带接入方面,目前看来,在DSL、FTTX+LAN、Cable Modem、电力线接入等几种宽带接入方式中,DSL方案最值得中小企业用户首选,它们的对比见表6。
ADSL具有较高的传输速率,理论上,ADSL下行速率最高可达8Mbps,ADSL2+的传输速率则可达8Mbps~24Mbps,虽然FTTX+LAN宣称的是百兆级接入,但其实际带宽并不会明显优于DSL。并且FTTX+LAN、Cable Modem、电力线接入等宽带接入方式多为共享网络带宽,ADSL则为用户独享带宽。
在现有电话线上安装ADSL,不仅布线成本低于FTTX+LAN(光纤+局域网),而且只须在用户端安装一台ADSL Modem和一个分离器,用户线路不用作任何改动,极其方便。ADSL价格也比较实惠,有条件的中小企业用户完全可根据需要选择1~n条ADSL线路接入。
二、从布线方案入手
1.光纤还是双绞线
在应该选择光纤还是双绞线布线的问题上,虽然光纤从各个方面解决了非屏蔽双绞线的缺点,具有更高带宽,允许的距离更长,安全性更高,完全消除了RFI和EMI,允许更靠近电力电缆,而且不会对人身健康造成辐射威胁等优势。它们之间的对比见表7。
但是关键问题是价格差异。如果光纤与双绞线价格相同,那么双绞线就会被淘汰。光纤到桌面(OFTD)的成本要远远高于非屏蔽双绞线成本,目前光纤到桌面的成本是双绞线的三倍多,而这仅仅是网络中无源部件的成本。如果加上有源设备的成本,如集线器/交换机和网卡,则成本差距会进一步增大。
所以,对于绝大多数中小企业用户来说,目前双绞线仍是组建企业内部网的最具价性比的选择。
2.超5类还是6类
而就双绞线来看,它也分了几类,目前市场上主流的双绞线产品有5类、超5类、6类、超6类等产品(图7),但从市场反馈来看,无论是组建百兆网还是千兆网,超5类双绞线都是首选。对于内网速度要求较高中小企业用户,要想选择更具性价比的千兆局域网组建方案,目前仍可重点考虑超5类双绞线。
超5类双绞线能将装有10/100/1000Base-T以太网卡的个人电脑与10/100/1000Base-T面板、网络集线器或跳线面板直接连接,实现千兆传输。其性能已能满足目前尚处在推广阶段的千兆网络应用的需要。
而像基于6类布线系统的1000Base-Tx、10G网络等,更多的是为满足未来网络和骨干级机房网络的需求而设计的。
并且,从价格上考虑,超5类布线系统和6类布线系统在价格上的差距还比较大,一些知名品牌两者间的价差可达1~2倍,而国产品牌的价差一般也在50%左右(如某价差较小的国产室内超5类4对非屏蔽双绞线每箱报价为680元,而室内6类4对非屏蔽双绞线每箱报价则为940元)。
三、灵活选用无线网
此外,对于有条件的中小企业或具备无线网卡的笔记本电脑较多的公司用户,也可考虑在部分重点区域组建无线局域网,以进一步降低组网成本及提升应用的方便性(图8)。
这种“有线+无线”混合型网络能更好满足中小型企业组网的拓展,解决传统的星形网络的布设复杂度问题,以及在传输距离上的局限——星形网络传输介质双绞线的单段传输距离有100米的限制,而很多无线AP及路由器可在户外实现数百米的传输距离,并且传输速率完全能满足宽带应用的需求,这对办公和工厂分离的生产型中小型企业较适用。
而且其投入也不高,目前主流的54Mbps无线宽带路由器只需150元~200元就能搞定。维护也很简单,允许企业、办公室或家庭中多台电脑共享上网,提供1个10/100Mbps自适应以太网(WAN)接口,可接ADSL/Cable Modem或以太网交换机/路由器。内置的4个交换机端口可方便你在无线之外,用有线方式直接连接4台或更多的计算机。