1.2  企业网络应用决定网络架构 
前面介绍了企业网络的应用，但是要强调的是，任何网络应用都需要有其特定的网络架构来满足，而不是仅在原来网络平台上不做丝毫改变就可以进行的。也就是说，网络应用决定了网络架构。网络架构总的来说就是网络的拓扑结构、管理模式，以及网络带宽等各方面网络属性。
如前面介绍的ERP、E-mail、Intranet、Extranet、财务系统、OA系统、CRM系统，甚至OSS系统，同时还有各种应用的不同组合和管理模式，这些因素决定了企业网络的规模、拓扑和带宽。
E-mail、Intranet、OA办公系统对带宽的要求不高，如两年前工商银行的三级网所使用的Notes平台，在64Kb/s专线上采用帧中继（FR）复用40Kb/s左右的带宽就可以实现了，而基于IBM大型机系统的银行业务网络的终端带宽也只有64Kb/s，地市分行到省级分行的主干也只是64～128Kb/s的带宽。其实这类应用直到今天也没发生太大的改变，这些传统的应用对带宽要求并不高。但近些年的各种新的应用对带宽提出了更高的要求，例如，Web应用、ERP、Internet呼叫中心、高速下载和浏览、网络游戏、网络视频等。一般B/S结构的ERP系统30秒内网络无响应就会被认为中断了，但在局域网广播泛滥、攻击性病毒爆发的时候，这种现象很容易出现，在广域网上更难保障。再比如，一个网络视频流使用RM格式，流畅播放就需要225Kb/s带宽，对于这样一种应用来讲，如果企业网络接入带宽不够宽的话，就会产生明显的瓶颈现象。下面就来分析一下当前的主流企业网络应用需求。
1．管理集中化
企业管理的集中化趋势导致IT应用管理的集中，物理上反映在服务器的区域集中。比如，Oracle在中国的办公室没有设置打印服务器，更没有区域性的数据库服务器，但在总部有高可靠性、大容量的邮件服务器，对全球提供服务。大集中的趋势从网络角度要求带宽成倍增加和连接质量的提高。IT应用集中的例子很多，国内金融、证券行业尤为盛行。应用集中尽管降低了系统的灵活性，但同时带来了很多好处：减少维护人员，集中采购可以节约费用，集中开发可以使系统简单化，更易于集成新系统、新应用，提高工作效率，减少IT的总体投资，并使应用的生命周期延长。
网络作为一切IT应用的基础，在建设初期要有一定的前瞻性，要留出2～3年内应用增长所需的足够带宽，而在应用日趋完善时，又要有一定的保守性，升级不如应用发展快，网络在建成的第2～3年，就要考虑与应用的密切配合，细化管理，增加服务质量，保障主要业务所需的带宽。频繁升级网络也不是一个很好的选择，会带来更高额的投资，这些投资对主要业务应用也许没有带来丝毫帮助。
2．承载语音业务
传统语音通信的新变革、IP电话的企业应用，要求IP网络来承载企业内部传输语音的应用，以此节约费用。在Cisco公司里，分机留言成为语音邮件，在全球各地通过丰富的企业网接入服务，进入内部IP网都可以收听留言并使用软件分机电话拨打和接听。企业已经从普通的办公室对办公室的长话通信，扩展到分机号码跟随人走，员工和内外部的沟通效率大大提高。可见，IP电话在企业中的应用与企业对电话系统的期望和要求密切相关，这些需求主要可以归纳为两个方面。
（1）公司已经超出传统电话的功能需求，可以实现全球统一号码分配，比如采用与E-mail地址相关的语音邮件、FAX到邮箱、软交换服务器、纯IP局域网电话、软件电话。以Cisco的AVVID系统为代表，采用智能很高的纯IP话机，安装Call Manager软件的服务器和硬件的PSTN电话网关实现局域网电话，并可以通过广域网管理分支机构的IP电话，实现了纯基于IP的电话系统。这种高端的应用可以节省布线系统投资及日常维护费用，也可以提高沟通的效率。
需要注意的是，这些节约可能很少，有些甚至是隐性的，但建设这样一个系统对跨地域的企业来说初期的投资显得很高。在局域网的改造中，需要更换接入层的交换机以支持IP电话利用网线供电，划分IP电话VLAN，在广域网中更需要考虑IP电话占用的带宽和服务质量，加上语音网关、软交换服务器、IP电话终端等设备的投入，一般的企业很难做到如此巨大的投资。
（2）达到分机统一规划，分公司间可以通过“号码段+分机”实现分机互通，这些直播可利用IP电话实现，不要求比传统电话有更新的功能，以节省分公司间的长话费用为主要目的。这种层次按企业规模和业务应用分为两种解决方案。
第一种方案适合于分公司规模较大的情况，从总部到分公司、分公司到分公司有大量的电话沟通的需要，每个分公司有自己的PABX系统。这种企业可以与IP电话运营商签订大客户的接入方案，即各地分公司都租用到IP电话运营商的中继线路，通常为E1电路。这样，本地的专线价格很低，长途则由运营商的IP电话网络提供支持，实现拨打长途电话直接进入IP电话网络，提高接通率和保障很好的服务质量。在运营商的智能网络中还可以实现分公司间虚拟的VPN电话网，即可以实现拨很少的号码接通异地的分机电话，提高沟通效率，节省大量的长话费用。原理上可以看成是利用运营商的网络实现各地PABX的互联，只需对传统电话交换机做很小的中继扩容投资即可实现，充分利用了原有的电话系统投资。但这种方案和企业办公网络没有丝毫联系，不能有效利用已有的数据专线的带宽，需要重新租用语音中继线路。
第二种方案适合于小型的企业，各地分公司规模有限，与总部间电话沟通不是非常频繁，模拟中继在4～8路以下即可满足需求，这可以使用已有数据IP网络的路由器加装IP电话中继模块或IP电话小网关的方法即可。使用已有的数据网络的一部分带宽实现各地小交换机的连接，只需要投资少量硬件设备即可实现，不用另对运营商支付额外的任何费用，对广域网数据带宽占用也可忽略不计。例如，1路G.729R8的IP语音只占用8Kb/s带宽，所有带宽加在一起才12Kb/s。
还有一种方案是直接向IP电话运营商申请主叫号码计费，适合于无PABX的企业，这种应用与家庭IP电话应用无异，只是省去拨IP卡号和密码的麻烦，不能算是一种企业应用。
3．承载视频会议
在现代经济和社会生活中，E-mail和IP电话无论如何方便，都无法取代面对面的交流。各种会议、培训、协作都需要商务旅行，而商务旅行增加了差旅成本，降低了工作效率。视频会议技术的出现弥补了这些不足，实现了远程培训、远程协作、点对点的面对面交流。远程视频会议之类的网络应用已成为当今的热点。基于H.320网关的视频会议已经是很成熟的技术了，但由于H.320终端较贵，且使用ISDN专线捆绑带宽，导致长途话费的产生，限制了开通会议的方便性，并没有在企业层面广泛使用。IP视频和H.323协议的日趋完善，为这一应用走向企业甚至家庭提供了广泛应用的可能，使得人们在机场、酒店或任何有宽带网络、WLAN覆盖的地区，都能随时参加公司会议，进行面对面的沟通。IP视频惟一要求的就是带宽，从384Kb/s到高清晰度的4Mb/s、8Mb/s，技术已经非常成熟。企业网络对于视频的应用有两种方式。
（1）基于硬件的H.323视频会议终端。一般是在办公室的会议室与电视机或投影仪组成一个会议终端系统。此类终端大多较贵，但对视频压缩等协议支持非常完善，配套的摄像头和语音设备也都比较高端，支持384Kb/s～2Mb/s各种连接速率，并支持数据同传等功能。当然，对于企业来说，频繁召开多点会议时，投资MCU设备的代价是比较高的。现在中国电信和网通在Internet上都提供MCU租用的业务，但为了视频会议的质量保障，都要求用户租用本运营商的Internet线路，在计费和开通灵活性方面还不是很完善。
（2）在计算机上使用软件实现H.323的压缩任务。这种情况比较适合员工在企业的办公网内协作交流，甚至出差在外或在家办公时出席会议。此类软件可以和第一类设备进行通信，并可以参加多点会议。目前，纯软件实现视频压缩对计算机性能要求较高。
这两种终端通常在企业中是混合部署的，可以通过Internet接入，也可以在企业网内部实现，但要求互联的带宽高于视频会议所使用的带宽。
4．选择宽带接入
宽带网络的普及大大提高了互联网的主干和终端接入带宽。过去通过拨号上网下载几个小时的资料或软件，在如今的宽带网上只需要几分钟，甚至几秒钟就可以得到。这种速度的提升不仅大大提高了信息获取的速度，提高了工作效率，同时也给企业网远程访问带来了更快速、更丰富、更灵活的接入方法。远程访问用户可以经过企业网络授权，通过各种高速接入连接到Internet，利用IPSec、L2TP等加密技术高速访问企业网络，除了在远程实现普通办公应用外，还可以使用IP电话、IP视频等宽带应用，而不必考虑使用远程拨号慢速连接带来的烦恼和昂贵的长途电话费用。
在广域网互联方面，此类IP VPN技术发展更快，已经开始取代ISP的DDN、FR等专线VPN的地位。分公司之间利用IP VPN在宽带公共网络上互联，可以节省昂贵的长途专线费用，以更便宜的价格享用更高速的宽带服务。传统IP VPN有一定的局限性：数据暴露在公共网上的安全性、VPN网关的安全性、加密解密处理造成的带宽利用率降低等。公共主干网络繁忙对连通性和连接带宽的影响，使得用户在Site-to-Site的应用时采取观望态度，最终大多数用户还是采取长途专线的方法搭建企业网络。目前，国内的网通公司（CNC）已经提供了MPLS VPN服务，在城域网、广域网甚至通过全球合作都可以提供MPLS服务。在带宽2.5GHz、10GHz主干节点边缘上搭设PE设备，提供企业级的安全性，充分利用轻载网和IP QoS保障，达到安全性和带宽要求，它已经可以和专线网络相媲美，而且没有长途专线的费用。本地带宽可以随需求随意增加：2Mb/s、10Mb/s、100Mb/s、155POS或622POS。企业广域网拓扑越来越简单，可以不使用昂贵的高端路由器作为企业接入的CE设备。以往复杂的广域网结构变成了高速的“集线器结构”，使用企业自行规划的私网IP地址，路由和线路冗余都由运营商的主干设备来解决。企业广域连接的革命带来的结果是，利用较少的投资实现了更大的互联带宽，同时降低了网络设备的投资成本，也相应减少了企业网的运行维护成本。在这方面已经有网通、实达、亚信等许多成功的案例。
5．高效的网络管理
企业的IT应用越来越多，越来越依赖信息沟通和数据处理。但由于IP网络和操作系统在安全性方面存在弱点，网络攻击和病毒传播已经历史性地走到一起。企业对网络安全性、主机安全性更加重视。网络安全和管理制度是相辅相成的，网络安全促进管理制度的完善，有了管理制度才能使网络安全成为可能。
网络管理可以分为四类：网络设备级的管理（通常使用SNMP、网管平台或设备厂商的置完整性管理、防火墙管理、网络应用流量分析、Internet访问审计、整体防病毒部署、服务器物理安全管理、数据存储备份管理和策略等，这些需要完整的安全体系）；局域网管理（包括拓扑管理，基于IP地址快速定位管理，DHCP管理等），通常使用Fluke的网络管理工具软件；客户端管理（包括Win2K AD域结构、客户端软硬件标准化、新机器Ghost策略、客户端命名管理、域策略管理、软件分发、客户端资产管理、账号授权管理等），工具也有很多，例如IBM Tivoli、CA TNG等。
为什么网络管理会如此复杂呢？实际上这是和一个企业对信息技术、办公网络的依赖程度和办公环境的稳定性密切相关。如果在企业边缘部署了防火墙，需要向外界提供各种服务，就必须提高自己的安全意识和安全技术，充分考虑系统、应用和网络结构是否安全，和各种层次的黑客做攻防游戏。现在黑客技术传播已经非常快捷，黑客工具随处可以下载。做了这些主动防备，还需要被动地防护部署，例如IDS记录攻击或入侵的日志，便于查找证据。同时还要有快速恢复系统的流程和准备。
以上是对外部的防范，但大多数安全事件却来自企业内部。例如，有的员工将机器脱离了AD（活动目录）域，也就失去了域对安全性、安全软件的检查，并关闭了防病毒程序，因为他认为防病毒程序占用了CPU和内存的资源。这时计算机容易感染NIMDA病毒，这种病毒会通过不同的方式在局域网、广域网、Internet上以漏洞攻击的方式传播，在企业网络内部产生大量的攻击链接。这种致命的攻击包严重时，会对交换机、路由器的性能造成危害，使局域网变慢，广域网瘫痪。通常1台中了NIMDA的计算机就会使千兆位局域网产生丢包，3～4台足可以将一台路由器的CPU利用率降到99%。管理员最重要的事情是快速找到病毒发作机器，隔离它们，恢复网络正常，并杀掉病毒，有的时候需要重新安装它们，又不能使它们的数据丢失。但管理员面临的可能是连接几十个城市的几千台计算机组成的局域网，没有上述管理系统如何实现呢？若已经有了很好的管理手段，可以通过关键链路部署的IDS系统和服务器日志，快速找出这些发作病毒或发动攻击的IP地址，在边缘路由器禁止它们的IP地址，然后通过Fluke工具软件日常产生的数据库定位这个机器的端口位置，彻底将有问题的机器断网。这些数据库信息的准确性，与DHCP的策略、IP地址管理制度及工具软件产生的数据库的更新频率相关。机器名的准确规范管理也可以快速定位机器的所有者，但碰到机器名不规范或不是本企业计算机接入办公网时，只有依赖前述的方法。
另外，客户端正确安装常用软件，规范管理办公用机也是非常重要的。在发放新机器的时候就要做好标准配置。利用Ghost工具很容易实现配置好标准的客户端计算机，只需更改计算机名称即可。在遇到重装系统的时候，只要有启动软盘或Ghost光盘就可以在20～30分钟内远程自动恢复一台计算机，并保护数据盘的数据不丢失。利用远程控制、协作工具，例如Tivoli、TNG、DameWare等工具配合电话热线，可以远程为客户端用户解决配置或应用的问题，大大缩短服务支持的时间，并可以减少各地IT支持人员的数量，这种方式适用于分公司众多、IT人员较少的企业，可以节约大量的IT支持费用。
以上分析了当前的一些主流企业网络应用，因为篇幅所限，本书不能对像视频会议、IP电话之类的大型应用进行详细介绍，主要针对中小型企业常用的一些网络应用进行了具体的介绍。