１ 网络设计方案
三一重工CIMS（SYCIMS）网络系统是直接为各级领导和员工服务的系统，是一个多功能的计算机网络应用系统。网络系统的总体目标是构建三一重工企业网络系统，并与Internet相连，构筑企业内部网并与外部Internet相联，初步形成营销信息网络及设计、生产、物资供应信息体系，完善开发、运行平台，实现信息共享。此后继续完善网络结构，进一步发展为企业Internet，逐步形成完善的营销信息网络及物资供应信息体系，使公司更快、更好、更准地掌握市场，驾驭市场并为我所用。
三一重工的企业网络系统的设计采用“应用驱动法”其主要支撑的应用软件主要包括三大部分：
（１）CAD/CAE/CAPP/CM及PDM：用于面向库存和面向订单的产品设计、特性分析、并为加工中心产生工艺和控制数据，由ＰＤＭ对全流程信息进行管理和控制。重点是提高设计速度和质量，强化设计过程的图文管理，解决新产品和立体车库虚拟装配的问题。
（２）ERP：用于财务（特别是财务分析和成本）和供、销、存的物流、资金流信息采集、处理，制定生产规划与计划，完成人事管理与领导查询等，并将上述信息和PDM、网上信息有效集成。重点是优化生产调度，缩短生产周期，降低生产成本和库存。
（３）网上信息处理：包括产品、用户跟踪信息，驻外销售人员、采、销等市场信息进行有效集成和处理、反馈。重点是提高售后服务质量，强化市场与驻外机构的控制。

该网络设计方案的主要特点有：
（１）采用具有第三层交换能力的网络交换机，实现了按端口、MAC地址、应用等来划分虚拟网络，有效地控制了企业内部网络的广播流量和提高了企业内部网络的安全性。
（２）具有高可靠性、高安全性、先进性、开放性、可维护性和可扩展能力，实现交换100M到桌面，现有网络设备可方便支持主干网扩充至1000M。
（３）采用高性能的IBM Netfinity系列服务器，作为本网络ERP服务器、PDM服务器、Internet服务器。其中ERP服务器采用两台IBM Netfinity 5500，配置４*９．1G磁盘阵列，实现双机热备份，以提高系统的可靠性。ERP和PDM服务器放置在防火墙内，以提高系统的安全性。Inter net服务器放置在防火墙非军事区（DMZ）内。
（４）采用64K DDN专线连入Internet，同时提供了远程拨号访问方式，也考虑了简单的VPN方案。
（５)　软硬件系统应能支持分布式数据库处理，支持Client/Server计算；支持多种协议和多种接口的开放网络。
（６）网络管理系统具有监测、诊断、过滤和故障隔离等功能。

２ 网络设计关键技术
网络设计的总体目标是：先进、适应、开放、可靠、安全和实用。总体目标的实现是需要先进合理的设计作为保障，下面就网络设计中的几个关键技术进行探讨。
（１）企业网需求分析
企业网络需求分析主要根据企业的业务发展需求和企业信息技术应用需求，提出企业网建设的总体目标和关键技术指标，这是企业网建设的出发点，也是保证企业网建设成功的关键点。一般说来，在企业网需求分析中采用“应用驱动法”或“基础设施法”。前者根据企业计算应用系统对企业网的需求，归纳和综合出整个企业对建设企业网的需求；后者将企业网作为一种信息设施来规划和构造，从企业的整体发展和信息技术的发展角度，归纳出企业网建设的需求。目前基本采用应用驱动法。
（２）业务流、信息流和网络流模型建立
在企业网需求分析中，应建立企业业务流模型，业务流模型充分反映企业的工作流程。信息流模型反映企业的数据流动情况，体现了企业各部门间的信息交流。网络流模型应依据信息流和网络结构，反映企业网中信息传输情况。建立三个模型的关联关系，使业务流、信息流和网络流紧密集合，这对于企业网设计是十分重要的。
（３）企业网络布线系统设计
开放式布线系统所提供的配线系统结构非常科学并且使用上也相当灵活，在外观及布局上也适应对整个办公环境整洁、美观的要求。布线系统采用的设备必须为通用且符合标准的设备及配件，包括传输介质（双绞线、光纤）、配线箱（电缆配电箱、光缆配线箱、连接器）、标准信息插座、插头、适配器、电子保护器装置以及专用的安装工具、检测工具等等。布线系统关系到网络性能、投资效益、实际运行效果及日常维护扩充等诸方面问题，因此在进行企业网络布线系统设计应充分考虑以下因素：布线介质、布线方式、布线范围、弱电系统集成、强电与弱电布线的关系、企业基建计划、企业发展需求等。

（４）网络技术选型
争对应用的需求，目前主干网络技术一般为高速以太网或ATM网。ATM技术是基于信元的交换式网络，以完善的端到端协议将局域和广域网结合起来。ATM的最大特点在于其对网络流量的精确控制，能很好地节约带宽资源，有QOS保证，最适合多媒体信息网上的传输。快速以太网提供100M或1000M信息传输服务，随着高速网络技术的发展，千兆以太网也已变得成熟、实用。千兆以太网继承了以太网得优点和缺点，但带宽更高，传输速度更快。一般说来，含有多媒体服务（视频会议系统等）的企业网应选择ATM技术，支持管理应用系统（ERP、PDM等）的企业网采用快速以太网。

（６）网络安全设计
企业网络安全的核心是企业信息的安全。为防止非法用户利用网络系统的安全缺陷进行数据的窃取、伪造和破坏，必须建立企业网络信息系统的安全服务体系。Intranet必须受到保护，防火墙是最重要的手段之一。现代防火墙必须采用综合安全技术，有时还需加入信息的加密存储和加密传输技术，方能有效地保护系统的安全。对于电子商务还需采用数字签名、数字邮戳、数字凭证等安全技术方能有效地保护企业的利益。另一方面，当重视安全问题时，还必须注意保持网络安全性与可访问性之间的平衡。商业的需求要求网络的某些部分必须易于访问，这样才能激励人们使用它。Intranet和Intranet被企业广泛地接受，并作为企业增强竞争力和改善IT服务的渠道，其主要原因就是它们改善了网络的可访问性。但是，开放网络在提供了更好的可访问性的同时，也将企业数据暴露在不断增长的病毒以及未授权访问的威胁之下。因此，每个企业都必须考虑安全策略、执行安全策略的工具以及承担因安全缺陷而受到伤害的风险。

（７）VLAN技术
VLAN技术有效地控制了企业内部网络的广播流量和提高了企业内部网络的安全性。在交换式以太网中，利用VLAN技术，可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说，一个VLAN中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。而在传统局域网中，由于物理网络和逻辑子网的对应关系，因此任何一个站点所发送的广播数据包都将被转发至网络中的所有站点。在交换式以太网中，各站点可以分别属于不同的VLAN。构成VLAN的站点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。VLAN技术使得网络的拓扑结构变得非常灵活，例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的VLAN。基于交换式以太网实现VLAN主要有三种途径：基于端口的虚拟、基于VLAN地址的虚拟和基于网络地址的虚拟。

（８）VPN技术
VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程大体是这样：要保护的主机发送明文信息到连接公共网络的VPN设备；VPN设备根据网络管理员设置的规则，确定是否需要对数据进行加密或让数据直接通过；对需要加密的数据，VPN设备对整个数据包（包括要传送的数据、源IP地址和目标IP地址）进行加密和附上数字签名（鉴别）；VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数；VPN设备对加密后数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输；当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后数据包被解密。
企业网络是企业信息集成和交流的基础，合理的规划设计网络对于企业的信息技术的应用、管理水平的提供、适应市场的能力都是十分重要的。本文探讨了主干网的构建技术，网络分段技术、与外部网的联接及数据安全技术、内部Intrenet网的形成等。根据企业的实际情况，将企业内部网划分成的几个独立VLAN，子网之间利用交换机进行通信与联接，减少主干网上的信息流量，提高数据的存取速度。与外部网的联接使Web服务器与防火墙技术，保证外部人员的操作有较好的安全控制手段。