第二章 制造集團(tuán)企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)
制造企業(yè)為進(jìn)一步滿足公司國(guó)際化和現(xiàn)代化的快速發(fā)展需求, 都不斷地在現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)整合、改造和優(yōu)化。企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的最終總體目標(biāo)也都是以企業(yè)不斷更新的業(yè)務(wù)需求作為中心點(diǎn),并始終圍繞該中心進(jìn)行優(yōu)化、提升和擴(kuò)展。
2.1制造企業(yè)網(wǎng)絡(luò)架構(gòu)需求分析
目前很多制造企業(yè)總體網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀都沒(méi)有很好地適應(yīng)和滿足現(xiàn)有及未來(lái)擴(kuò)張的需求,現(xiàn)網(wǎng)架構(gòu)或多或少的都存在一些瓶頸和難以適應(yīng)期業(yè)務(wù)和客戶需求的地方存在。因此不斷地對(duì)企業(yè)網(wǎng)絡(luò)架構(gòu)優(yōu)化、改造和提升用以滿足千變?nèi)f化應(yīng)用需求是逐步實(shí)現(xiàn)一個(gè)無(wú)所不能的企業(yè)網(wǎng)絡(luò)目標(biāo)的必經(jīng)之路,也是加強(qiáng)企業(yè)信息化核心競(jìng)爭(zhēng)力和加速企業(yè)擴(kuò)張壯大的重要措施和手段。企業(yè)網(wǎng)絡(luò)架構(gòu)部署的合理與否主要是看否滿足以下四個(gè)方面的需求為基本標(biāo)準(zhǔn)。第一,企業(yè)基礎(chǔ)數(shù)據(jù)交換的業(yè)務(wù)需求,這一點(diǎn)需求是網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)所滿足的必要條件之一,也是網(wǎng)絡(luò)在企業(yè)中推廣的基礎(chǔ)要求;第二,企業(yè)基礎(chǔ)應(yīng)用系統(tǒng)的需求,這是作為企業(yè)信息化發(fā)展的又一個(gè)發(fā)展,比如說(shuō)企業(yè)的基礎(chǔ)應(yīng)用系統(tǒng)包括域架構(gòu)、郵件、OA、SAP、PDM、SCM、CRM、財(cái)務(wù)、人力資源等等一些基本的應(yīng)用系統(tǒng)的架構(gòu)對(duì)網(wǎng)絡(luò)架構(gòu)有了更進(jìn)一步的要求;第三,企業(yè)信息安全的需求,這是在企業(yè)網(wǎng)絡(luò)架構(gòu)已經(jīng)滿足基本數(shù)據(jù)交換和基本業(yè)務(wù)系統(tǒng)的前提下做的進(jìn)一步的提升和數(shù)據(jù)安全的保障措施;第四,企業(yè)核心網(wǎng)絡(luò)架構(gòu)可靠性需求,這是要求企業(yè)核心骨干網(wǎng)絡(luò)具有高可靠性和冗余,一般是通過(guò)核心設(shè)備的雙機(jī)和鏈路的冗余來(lái)實(shí)現(xiàn)的,并且網(wǎng)絡(luò)架構(gòu)具有很好的可延伸擴(kuò)展性.因此企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的是否合理且滿足企業(yè)業(yè)務(wù)需求,很大的程度上是網(wǎng)絡(luò)體系的可靠性、安全性和擴(kuò)展性決定的。本章需求分析詳細(xì)闡述說(shuō)明了一個(gè)所轄國(guó)內(nèi)外10大子公司,20個(gè)生產(chǎn)基地,國(guó)內(nèi)外50個(gè)營(yíng)銷服務(wù)網(wǎng)點(diǎn)及一所專業(yè)培訓(xùn)學(xué)校的大型制造企業(yè)的網(wǎng)絡(luò)架構(gòu)的需求狀況。
2.1.1基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)需求分析
首先,我們從企業(yè)基礎(chǔ)數(shù)據(jù)對(duì)企業(yè)網(wǎng)絡(luò)架構(gòu)的需求分析做起。一般企業(yè)大致上在建立企業(yè)網(wǎng)絡(luò)的最初,都是以基礎(chǔ)數(shù)據(jù)的交換共享為其基本目的和需求的。這些基礎(chǔ)數(shù)據(jù)中基本是又以普通的數(shù)據(jù)文件,例如office文件、圖紙、專用數(shù)據(jù)庫(kù)文件等;A(chǔ)數(shù)據(jù)對(duì)網(wǎng)絡(luò)的要求是非常低和簡(jiǎn)單的,一版情況下只要求能夠進(jìn)行網(wǎng)絡(luò)互通就可以滿足用戶數(shù)據(jù)共享和交換的需求。對(duì)于本論文所涉及的制造企業(yè)規(guī)模來(lái)說(shuō),企業(yè)所有用戶對(duì)基礎(chǔ)數(shù)據(jù)的要求也形成以個(gè)龐大的網(wǎng)絡(luò)體系。就網(wǎng)絡(luò)互通的基礎(chǔ)需求考慮,公司需建立一個(gè)以集團(tuán)所在為中心,其余子公司、生產(chǎn)基地、分公司為分支機(jī)構(gòu)的星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),可根據(jù)實(shí)際情況選擇各分支機(jī)構(gòu)與總部互連接入的方式和帶寬;A(chǔ)數(shù)據(jù)對(duì)網(wǎng)絡(luò)的需求總的來(lái)說(shuō)也就是用戶數(shù)據(jù)上傳和公用數(shù)據(jù)下載的情況,下面我們就不同地域、不同重要程度的分支機(jī)構(gòu)和移動(dòng)辦公人員分析基礎(chǔ)數(shù)據(jù)對(duì)網(wǎng)絡(luò)互通互連的需求情況。
對(duì)于本論文涉及的制造企業(yè),先分析國(guó)外分支機(jī)構(gòu)及用戶情況,通常情況下國(guó)際專線費(fèi)用是比較昂貴的,所以企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)人員根據(jù)國(guó)外分支機(jī)構(gòu)的實(shí)際情況去選擇不同的企業(yè)VPN網(wǎng)絡(luò)解決方案。例如海外分支機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)并不要求實(shí)時(shí)連接總部時(shí),可通過(guò)互聯(lián)網(wǎng)采用site-to-site VPN方式與集團(tuán)總部網(wǎng)絡(luò)互連;如海外分支機(jī)構(gòu)對(duì)數(shù)據(jù)網(wǎng)絡(luò)的要求實(shí)時(shí)通訊且有帶寬要求,例如有語(yǔ)音視頻會(huì)議需求。為保證其語(yǔ)音和視頻能夠順暢達(dá)到可用狀態(tài),最佳方案為申請(qǐng)穩(wěn)定的國(guó)際SDH專線,也可使用MPLS-VPN的專線方式將分支機(jī)構(gòu)與集團(tuán)總部互連。因國(guó)際專線費(fèi)用昂貴所以這種互連方式一般適用于較大的跨國(guó)企業(yè);國(guó)外移動(dòng)辦公人員相對(duì)固定的辦公地點(diǎn)對(duì)網(wǎng)絡(luò)要求并不是很高,可通過(guò)SSL VPNtz6J或IPSEC VPN方式接入海外較大的分支機(jī)構(gòu)的網(wǎng)絡(luò),再通過(guò)海外分支機(jī)構(gòu)與國(guó)內(nèi)的專線與國(guó)內(nèi)總部進(jìn)行數(shù)據(jù)共享和交換,當(dāng)然也可直接接入集團(tuán)總部網(wǎng)絡(luò)。對(duì)于集團(tuán)國(guó)內(nèi)的分支機(jī)構(gòu)來(lái)說(shuō),隨著國(guó)內(nèi)通訊運(yùn)營(yíng)商的整合和省干線的優(yōu)化和增加,國(guó)內(nèi)大型生產(chǎn)辦公的分支機(jī)構(gòu)均可采用SDH專線或MPLS—VPN的方式與集團(tuán)總部進(jìn)行網(wǎng)絡(luò)互連;對(duì)那些相對(duì)較小的營(yíng)銷服務(wù)支持的小分支機(jī)構(gòu),為節(jié)省網(wǎng)絡(luò)運(yùn)營(yíng)費(fèi)用可選用互聯(lián)網(wǎng)建立site-to-site VPN的方式與集團(tuán)總部進(jìn)行網(wǎng)絡(luò)互連;而國(guó)內(nèi)的移動(dòng)辦公人員仍然采用IPSEC VPN或SSL VPN的方式直接接入集團(tuán)網(wǎng)絡(luò)。集團(tuán)總部和分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)可設(shè)計(jì)千兆以太局域網(wǎng)絡(luò)保證集團(tuán)各分支機(jī)構(gòu)的網(wǎng)絡(luò)互通,已基本滿足企業(yè)內(nèi)部基礎(chǔ)數(shù)據(jù)對(duì)網(wǎng)絡(luò)的需求。此外對(duì)于制造企業(yè)來(lái)說(shuō),車間和加工廠房的工業(yè)數(shù)控設(shè)備和辦公人員的網(wǎng)絡(luò)由于其物理位置、設(shè)備、車間廠房架構(gòu)的特殊性和綜合網(wǎng)絡(luò)布線對(duì)距離和布放的要求,這些設(shè)備和辦公人員的數(shù)據(jù)共享、訪問(wèn)以及數(shù)據(jù)安全對(duì)網(wǎng)絡(luò)具有特殊的需求,設(shè)計(jì)者們可考慮建立工業(yè)以太網(wǎng)然后與集團(tuán)局域網(wǎng)絡(luò)互連互通。
以上從企業(yè)海內(nèi)外不同地域、不同分支機(jī)構(gòu)、移動(dòng)辦公人員的辦公規(guī)模及對(duì)數(shù)據(jù)交換實(shí)時(shí)性要求的差異分析了制造業(yè)海內(nèi)外不同機(jī)構(gòu)和人員與集團(tuán)總部網(wǎng)絡(luò)互連的是方式和結(jié)構(gòu),網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)師由這些基本的網(wǎng)絡(luò)需求設(shè)計(jì)的企業(yè)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)足已滿足了企業(yè)國(guó)內(nèi)外分支機(jī)構(gòu)和辦公人員網(wǎng)絡(luò)互通、數(shù)據(jù)共享和交換的基本需求。架構(gòu)設(shè)計(jì)師們還需在設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上對(duì)集團(tuán)內(nèi)部網(wǎng)IP地址段進(jìn)行全局的規(guī)劃和分配,集團(tuán)的不同分支機(jī)構(gòu)和辦公人員根據(jù)分配到的IP即可通過(guò)企業(yè)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)訪問(wèn)文件服務(wù)器,進(jìn)行文件共享和數(shù)據(jù)交換等簡(jiǎn)單網(wǎng)絡(luò)操作。
2.1.2基礎(chǔ)應(yīng)用系統(tǒng)網(wǎng)絡(luò)需求分析
早期基礎(chǔ)應(yīng)用系統(tǒng)在國(guó)內(nèi)企業(yè)的應(yīng)用并不成熟也不具規(guī)模,企業(yè)的基于網(wǎng)絡(luò)的基礎(chǔ)應(yīng)用基本上都是為了解決一些簡(jiǎn)單的業(yè)務(wù)需求而部署的,例如ERP系統(tǒng)、WEB、DNS服務(wù)等一些基礎(chǔ)的應(yīng)用,其他的網(wǎng)絡(luò)應(yīng)用服務(wù)都比較少,甚至是企業(yè)郵件系統(tǒng)都很少在企業(yè)中推廣。隨著這些年國(guó)內(nèi)外軟件行業(yè)的迅猛發(fā)展,各行各業(yè)的業(yè)務(wù)系統(tǒng)軟件也不斷問(wèn)世并投入市場(chǎng)。尤其是企業(yè)ERP應(yīng)用系統(tǒng)逐步推廣應(yīng)用到企業(yè)的網(wǎng)絡(luò)來(lái),使企業(yè)業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確性和員工的工作效率得到了極大提高和改進(jìn)。這些基于網(wǎng)絡(luò)的基礎(chǔ)應(yīng)用和ERP系統(tǒng)和服務(wù)從早期文件共享的簡(jiǎn)單網(wǎng)絡(luò)方式逐步過(guò)渡和提升到C/S的大型系統(tǒng)架構(gòu),并得到了廣泛的應(yīng)用和快速的發(fā)展;之后又隨著互聯(lián)網(wǎng)技術(shù)的成熟和發(fā)展,外部互聯(lián)網(wǎng)與企業(yè)私有網(wǎng)絡(luò)的互連互通又將企業(yè)應(yīng)用逐步推向B/S的大型系統(tǒng)架構(gòu)。企業(yè)網(wǎng)絡(luò)架構(gòu)從某種程度上來(lái)說(shuō)都是隨著企業(yè)應(yīng)用服務(wù)體系的改變而不斷改造和優(yōu)化的,企業(yè)基礎(chǔ)網(wǎng)絡(luò)已經(jīng)不再是文件共享和交換的簡(jiǎn)單平臺(tái),不斷地去滿足和適應(yīng)企業(yè)應(yīng)用系統(tǒng)發(fā)展的需要已是企業(yè)網(wǎng)絡(luò)架構(gòu)需要解決的首要問(wèn)題和設(shè)計(jì)的重要目標(biāo)之一。由于目前制造企業(yè)基礎(chǔ)應(yīng)用系統(tǒng)已涉及到研發(fā)、生產(chǎn)制造、轉(zhuǎn)儲(chǔ)物流、財(cái)務(wù)銷售、語(yǔ)音視頻等相對(duì)較全面的業(yè)務(wù)。但要想使這些應(yīng)用能夠在企業(yè)網(wǎng)絡(luò)平臺(tái)上的作用發(fā)揮的更完善,其對(duì)企業(yè)網(wǎng)絡(luò)架構(gòu)的要求也是相當(dāng)復(fù)雜和嚴(yán)格的。
第一我們首先考慮和分析制造企業(yè)IT基礎(chǔ)架構(gòu)對(duì)網(wǎng)絡(luò)的需求情況。對(duì)于國(guó)內(nèi)的制造行業(yè)來(lái)說(shuō),其基礎(chǔ)應(yīng)用包括域服務(wù)、企業(yè)郵件系統(tǒng)、WSUS、ISA代理、防病毒體系、WEB服務(wù)、DNS、DHCP等這些大型的軟件系統(tǒng)。這些基礎(chǔ)的應(yīng)用都是針對(duì)集團(tuán)所有用戶的,并為所有用戶提供服務(wù)。因此其基本的網(wǎng)絡(luò)要求保證集團(tuán)內(nèi)網(wǎng)的所有用戶都能與這些服務(wù)進(jìn)行數(shù)據(jù)通訊,這樣才能保證企業(yè)所有用戶都能得到集中管控、策略下發(fā)、軟件分發(fā)、補(bǔ)丁修復(fù)、病毒庫(kù)升級(jí)、域名解析等服務(wù);A(chǔ)的網(wǎng)絡(luò)平臺(tái)僅僅是用戶與服務(wù)器之間的物理通訊正常,也是其首要條件。為了保證用戶與服務(wù)器之間的通訊能滿足需求,需要考慮和分析各個(gè)不同分支機(jī)構(gòu)的用戶數(shù)、數(shù)據(jù)量來(lái)確定網(wǎng)絡(luò)帶寬及網(wǎng)絡(luò)互連的方式。為保證服務(wù)器的安全和出口帶寬,這些基礎(chǔ)服務(wù)在部署在企業(yè)的核心網(wǎng)絡(luò)上,保證其接入交換的背板帶寬和交換容量足夠大,同時(shí)服務(wù)器的信息安全也是需要考慮的,因此還需考慮將這些服務(wù)器至于企業(yè)的核心服務(wù)器的網(wǎng)絡(luò)中來(lái)保證其安全性和穩(wěn)定性。
第二分析制造企業(yè)的專用業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)架構(gòu)的需求。例如生產(chǎn)制造系統(tǒng)、SAP、PDM、終端遠(yuǎn)程監(jiān)控、財(cái)務(wù)、OA、人力資源、SCM、CRM等業(yè)務(wù)系統(tǒng),這些系統(tǒng)都是給集團(tuán)部分不同用戶群提供訪問(wèn)和進(jìn)行數(shù)據(jù)交換需求的,因此對(duì)網(wǎng)絡(luò)的需求也是不同的。對(duì)于SAP、PDM、財(cái)務(wù)等這樣的系統(tǒng)都存在企業(yè)的機(jī)密數(shù)據(jù)信息且交換的數(shù)據(jù)量大,其對(duì)網(wǎng)絡(luò)要求除了帶寬要求之外,還需要對(duì)集團(tuán)其他的用戶進(jìn)行隔離和控制。因此對(duì)于研發(fā)服務(wù)的數(shù)據(jù)需要建立單獨(dú)的專用研發(fā)網(wǎng)絡(luò),為其提供高可靠和安全的數(shù)據(jù)交換平臺(tái);而對(duì)于遠(yuǎn)程監(jiān)控系統(tǒng)而言由于其產(chǎn)品的分布位置不受企業(yè)所控制,此時(shí)我們考慮協(xié)同使用通訊運(yùn)營(yíng)商的G網(wǎng)通過(guò)GRE技術(shù)建立專用隧道來(lái)滿足終端設(shè)備物理位置分散、變化和數(shù)據(jù)交換安全的需求;對(duì)于生產(chǎn)制造應(yīng)用體系除了其物理位置的要求之外也同樣存在生產(chǎn)的機(jī)密數(shù)據(jù),因此可建立同等重要的工業(yè)以太網(wǎng)來(lái)滿足工業(yè)設(shè)備的需求,其余的系統(tǒng)可根據(jù)安全程度和訪問(wèn)群體的不同通過(guò)安全設(shè)備對(duì)用戶進(jìn)行邏輯隔離。這樣就基本滿足了大型制造企業(yè)不同應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的需求。第三分析制造企業(yè)核心關(guān)鍵數(shù)據(jù)的存儲(chǔ)和備份對(duì)網(wǎng)絡(luò)的需求。隨著企業(yè)的不斷發(fā)展和擴(kuò)張,企業(yè)的應(yīng)用數(shù)據(jù)也越來(lái)越多,需要存儲(chǔ)和備份的數(shù)據(jù)也越來(lái)越大并且越來(lái)越重要。針對(duì)企業(yè)數(shù)據(jù)重要程度及訪問(wèn)量的不同,我們采用NAS(Network Attached Storage)和SAN(Storage Area Network)兩種存儲(chǔ)架構(gòu)。對(duì)于企業(yè)重要程度很高的數(shù)據(jù)采用SAN存儲(chǔ)網(wǎng)絡(luò)來(lái)提高備份存儲(chǔ)的安全和讀取性能。采用LAN.Free模式將數(shù)據(jù)通過(guò)SAN網(wǎng)絡(luò)直接寫入到備份設(shè)備中,備份/恢復(fù)操作的數(shù)據(jù)不需要經(jīng)過(guò)LAN網(wǎng)絡(luò),提高備份的速度和數(shù)據(jù)的安全性。對(duì)于重要程度高的數(shù)據(jù)采用NAS存儲(chǔ)技術(shù)及相關(guān)備份軟硬件,通過(guò)在NAS服務(wù)器上設(shè)置存儲(chǔ)空間和訪問(wèn)權(quán)限,企業(yè)各用戶計(jì)算機(jī)和部分服務(wù)器上的數(shù)據(jù)通過(guò)公司現(xiàn)有局域網(wǎng)傳輸后可以統(tǒng)一存儲(chǔ)在NAS存儲(chǔ)服務(wù)器上,NAS存儲(chǔ)備份方式基本在基礎(chǔ)的網(wǎng)絡(luò)平臺(tái)上就能解決。這樣企業(yè)的存儲(chǔ)備份網(wǎng)絡(luò)得以實(shí)現(xiàn)。
第四分析制造企業(yè)的語(yǔ)音和視頻應(yīng)用對(duì)網(wǎng)絡(luò)的需求。企業(yè)的監(jiān)控、視頻、語(yǔ)音的應(yīng)用上基本是部署在比較重要和關(guān)鍵的分支機(jī)構(gòu)或區(qū)域的,這些多媒體的應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的帶寬和穩(wěn)定性的要求相對(duì)較高。安防監(jiān)控系統(tǒng)的數(shù)據(jù)量都較大且要求實(shí)時(shí)性較高,為不影響企業(yè)數(shù)據(jù)網(wǎng)的傳輸性能建議將企業(yè)的監(jiān)控網(wǎng)絡(luò)是要與數(shù)據(jù)網(wǎng)絡(luò)物理分離,只將監(jiān)控視頻的存儲(chǔ)設(shè)備或服務(wù)器同數(shù)據(jù)網(wǎng)絡(luò)互連。視頻和語(yǔ)音雖然不要求實(shí)時(shí)連接,但只要會(huì)話建立了就要求不能中斷、網(wǎng)絡(luò)延時(shí)和抖動(dòng)都不能太大。因此語(yǔ)音和視頻的網(wǎng)絡(luò)要求即要求能保證企業(yè)的局域網(wǎng)和廣域網(wǎng)的穩(wěn)定性和帶寬能被滿足。另外由于語(yǔ)音視頻使用的是數(shù)據(jù)網(wǎng)絡(luò),因此我們還可以通過(guò)QoS來(lái)保障視頻和語(yǔ)音在傳輸過(guò)程中的帶寬和優(yōu)先級(jí),從而為其提供更好的網(wǎng)絡(luò)服務(wù)和性能。
以上從四個(gè)方面對(duì)制造企業(yè)的基礎(chǔ)應(yīng)用方面對(duì)網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)做了簡(jiǎn)單的需求分析和說(shuō)明,在基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上更加清晰和豐富了設(shè)計(jì)者們對(duì)企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的思路和原則。
2.1.3信息安全網(wǎng)絡(luò)需求分析
制造企業(yè)信息安全體系的建設(shè)和發(fā)展是信息化提升的又一個(gè)階段,企業(yè)IT的管理員們?cè)诮?jīng)歷了從基礎(chǔ)網(wǎng)絡(luò)建立到大型網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用系統(tǒng)的架構(gòu)設(shè)計(jì)和部署后,逐漸發(fā)現(xiàn)單純的將網(wǎng)絡(luò)和系統(tǒng)建立起來(lái)供企業(yè)用戶使用以便能夠更加快捷和準(zhǔn)確地完成工作的基礎(chǔ)信息化建設(shè)已告一段落,接下來(lái)的他們面對(duì)的問(wèn)題則是種種信息安全問(wèn)題。例如,企業(yè)網(wǎng)絡(luò)內(nèi)的受到病毒或ARP攻擊、洪水泛濫導(dǎo)致局部網(wǎng)絡(luò)癱瘓;應(yīng)用服務(wù)經(jīng)常不能正常提供服務(wù);數(shù)據(jù)庫(kù)數(shù)據(jù)經(jīng)常出現(xiàn)丟失和錯(cuò)誤;終端計(jì)算機(jī)及服務(wù)器運(yùn)行緩慢;企業(yè)機(jī)密數(shù)據(jù)隨意被獲取傳播等等一系列的安全問(wèn)題,使得IT管理者們?cè)诰W(wǎng)絡(luò)和系統(tǒng)的管理和維護(hù)上力不從心,花費(fèi)大量的精力和時(shí)間在解決問(wèn)題和修復(fù)系統(tǒng)和網(wǎng)絡(luò)上。這樣使得業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)中斷帶來(lái)的經(jīng)濟(jì)損失是巨大的。管理者不得不在網(wǎng)絡(luò)和系統(tǒng)架構(gòu)上進(jìn)行不斷地改造和進(jìn)行網(wǎng)絡(luò)安全提升,最大可能性的降低因安全問(wèn)題造成的網(wǎng)絡(luò)和業(yè)務(wù)中斷的幾率,提高企業(yè)密級(jí)數(shù)據(jù)的安全受控性,防止知識(shí)產(chǎn)權(quán)或?qū)@夹g(shù)外泄。在安全架構(gòu)建立的基礎(chǔ)上使企業(yè)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)能趨于穩(wěn)定、連續(xù)、安全、可靠,用戶滿意度得到大幅提升。以此來(lái)滿足企業(yè)數(shù)據(jù)安全和用戶業(yè)務(wù)需求,并一定程度上降低管理人員的工作量。
針對(duì)制造企業(yè)數(shù)據(jù)可從以下五個(gè)方面對(duì)信息安全進(jìn)行需求分析:計(jì)算機(jī)系統(tǒng)安全,應(yīng)用服務(wù)安全,企業(yè)密級(jí)數(shù)據(jù)安全,互聯(lián)網(wǎng)安全,局域網(wǎng)安全。計(jì)算機(jī)系統(tǒng)安全在制造企業(yè)中一般是指用戶網(wǎng)絡(luò)接入安全控制、病毒攻擊、數(shù)據(jù)丟失等現(xiàn)象。用戶接入認(rèn)證采用基于端口的訪問(wèn)控制(IEEE 802.1x)協(xié)議,IEEE 802.1x協(xié)議的體系結(jié)構(gòu)包括三個(gè)重要的部分:客戶端(SupplicantSystem),認(rèn)證系統(tǒng)(Authenticator System),認(rèn)證服務(wù)器(Authentication ServerSystem)。通過(guò)嚴(yán)格的策略匹配對(duì)接入用戶端進(jìn)行隔離、阻斷等操作。病毒一般是指因移動(dòng)存儲(chǔ)、光盤、文件共享、互聯(lián)網(wǎng)、郵件等方式進(jìn)行病毒傳播導(dǎo)致終端系統(tǒng)運(yùn)行緩慢、系統(tǒng)與軟件崩潰、數(shù)據(jù)泄露、網(wǎng)絡(luò)擁塞等現(xiàn)象。因此需要對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行合理的設(shè)計(jì)和規(guī)劃,從網(wǎng)絡(luò)上阻止病毒數(shù)據(jù)進(jìn)行大范圍的傳播和泛濫。
應(yīng)用服務(wù)安全是指由于對(duì)外提供的服務(wù)被病毒、木馬、惡意腳本對(duì)服務(wù)本身或服務(wù)器系統(tǒng)漏洞進(jìn)行攻擊而造成的系統(tǒng)、服務(wù)、數(shù)據(jù)庫(kù)等不可用或崩潰的自身安全威脅。因此企業(yè)的重要應(yīng)用服務(wù)能夠穩(wěn)定安全的運(yùn)行不僅要對(duì)系統(tǒng)和服務(wù)自身進(jìn)行安全加固,同時(shí)也需要在一個(gè)安全、快速、穩(wěn)定、受控訪問(wèn)的網(wǎng)絡(luò)環(huán)境中安全的運(yùn)行。
企業(yè)密級(jí)數(shù)據(jù)安全是指由于企業(yè)不同密級(jí)程度的數(shù)據(jù)受到安全威脅。例如研發(fā)、生產(chǎn)、財(cái)務(wù)、銷售、客戶資料等數(shù)據(jù)在企業(yè)內(nèi)部都在不同密級(jí)程度上的敏感數(shù)據(jù),而這些數(shù)據(jù)又要為企業(yè)內(nèi)部工作人員提供服務(wù),為保證這些數(shù)據(jù)在一個(gè)安全、干凈、有保障的網(wǎng)絡(luò)環(huán)境下傳輸和訪問(wèn)而不被不知情地外泄。因此為滿足這兩方面需求則需要設(shè)計(jì)不同安全域及受控訪問(wèn)程度的網(wǎng)絡(luò)架構(gòu)尤為重要。
互聯(lián)網(wǎng)安全是企業(yè)存在安全隱患最大的網(wǎng)絡(luò)區(qū)域,因?yàn)樵谶@個(gè)區(qū)域內(nèi)存在企業(yè)內(nèi)部數(shù)據(jù)與互聯(lián)網(wǎng)數(shù)據(jù)的交換。而在沒(méi)有安全網(wǎng)絡(luò)的控制下,互聯(lián)網(wǎng)的相當(dāng)多的病毒、木馬、惡意腳本程序、流氓插件等臟數(shù)據(jù)就會(huì)順利的進(jìn)入到企業(yè)的內(nèi)部網(wǎng)絡(luò)從而導(dǎo)致企業(yè)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的癱瘓,所以在設(shè)計(jì)企業(yè)互聯(lián)網(wǎng)出口架構(gòu)時(shí)對(duì)互聯(lián)網(wǎng)的安全考慮是非常重要的。
局域網(wǎng)安全是指未經(jīng)合法授權(quán),對(duì)網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)資源進(jìn)行非法使用,或擅自擴(kuò)大權(quán)限,越權(quán)訪問(wèn)信息,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊,對(duì)應(yīng)用服務(wù)進(jìn)行端口和漏洞掃描嗅探等操作導(dǎo)致的安全威脅。針對(duì)這種情況需要管理者對(duì)企業(yè)網(wǎng)絡(luò)的架構(gòu)有深入的了解和掌控,不斷地進(jìn)行網(wǎng)絡(luò)安全的提升和安全漏洞的防范。
通過(guò)對(duì)企業(yè)信息安全以上五個(gè)方面對(duì)網(wǎng)絡(luò)的需求可以大概的了解,信息安全是在基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上對(duì)企業(yè)網(wǎng)絡(luò)的一個(gè)功能完善和安全提升的過(guò)程。所以要滿足企業(yè)信息安全的網(wǎng)絡(luò)需求需要設(shè)計(jì)者們縱觀全網(wǎng)架構(gòu)及全安全風(fēng)險(xiǎn)隱患,才能設(shè)計(jì)出適合企業(yè)業(yè)務(wù)和安全需求的網(wǎng)絡(luò)架構(gòu)。
2.1.4企業(yè)培訓(xùn)基地網(wǎng)絡(luò)需求分析
企業(yè)培訓(xùn)機(jī)構(gòu)作為企業(yè)的后備人力資源儲(chǔ)備機(jī)構(gòu)其網(wǎng)絡(luò)架構(gòu)類似于校園網(wǎng)絡(luò)架構(gòu)其網(wǎng)絡(luò)承載的應(yīng)用系統(tǒng)多而雜。一般情況校園網(wǎng)絡(luò)包括:計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)字圖書館、多媒體、VOD點(diǎn)播、遠(yuǎn)程教學(xué)、數(shù)字化語(yǔ)音、校園廣播、校園電視臺(tái)及有線電視、安防及警報(bào)等等一系列基礎(chǔ)管理的相關(guān)應(yīng)用。以下將從各個(gè)方面對(duì)企業(yè)校園網(wǎng)的架構(gòu)設(shè)計(jì)需求進(jìn)行分析和討論。
企業(yè)培訓(xùn)基地一般是企業(yè)進(jìn)行人才儲(chǔ)備和對(duì)在職人員進(jìn)行職能技術(shù)提升的一個(gè)工作場(chǎng)所,對(duì)企業(yè)的快速對(duì)外擴(kuò)張和發(fā)占有著重要后背作用。本論文所涉及在校師生約5000人的校園規(guī)模對(duì)校園網(wǎng)絡(luò)架構(gòu)進(jìn)行需求分析。校內(nèi)按照樓宇劃分為行政、教學(xué)、實(shí)習(xí)車間、宿舍、圖書預(yù)覽、餐廳、運(yùn)動(dòng)場(chǎng)等教學(xué)場(chǎng)所,按照以上校園業(yè)務(wù)的需求這些場(chǎng)所都需要網(wǎng)絡(luò)覆蓋。尤其是行政和教學(xué)樓的網(wǎng)絡(luò)需要進(jìn)行精心設(shè)計(jì)才能保證滿足各類業(yè)務(wù)的需求和安全。學(xué)校大約有120間行政辦公室、100間大小授課教室,包含30個(gè)閱覽室的電子圖書館、30個(gè)多媒體教室、20個(gè)數(shù)字語(yǔ)音教室、10個(gè)計(jì)算機(jī)教室、10個(gè)模擬實(shí)驗(yàn)室,這些地點(diǎn)均需要網(wǎng)絡(luò)全覆蓋。通過(guò)網(wǎng)絡(luò)承載校園網(wǎng)絡(luò)包含的所有業(yè)務(wù)數(shù)據(jù)。企業(yè)培訓(xùn)基地骨干網(wǎng)絡(luò)傳輸性能和處理帶寬能夠滿足學(xué)校辦公、多媒體課件遠(yuǎn)程制作及傳輸、計(jì)算機(jī)教學(xué)、多教室VOD和課件點(diǎn)播、音視頻網(wǎng)絡(luò)教學(xué)評(píng)估、視頻會(huì)議及遠(yuǎn)程教學(xué)等需要即可。
由于企業(yè)校園網(wǎng)絡(luò)可作為企業(yè)的一個(gè)分支機(jī)構(gòu)考慮,因此架構(gòu)設(shè)計(jì)者可以將其作為一個(gè)分支機(jī)構(gòu)考慮與集團(tuán)總部相連,但其校園內(nèi)網(wǎng)的網(wǎng)絡(luò)則需要根據(jù)以上提出的校園的實(shí)際業(yè)務(wù)需求進(jìn)行架構(gòu)設(shè)計(jì)和部署。具體細(xì)節(jié)的設(shè)計(jì)方案將在后面第二節(jié)中具體說(shuō)明和闡述。
2.1.5核心網(wǎng)絡(luò)架構(gòu)可靠性需求分析
制造企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)最終還需要考慮整體網(wǎng)絡(luò)的可靠性問(wèn)題,因此網(wǎng)絡(luò)平臺(tái)的可靠性也是網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的需要考慮和分析一個(gè)重要因素?煽啃苑褐赶到y(tǒng)在規(guī)定條件下和規(guī)定時(shí)間內(nèi)、完成規(guī)定功能的概率。對(duì)于網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)也就是能夠規(guī)定的時(shí)間內(nèi)完成數(shù)據(jù)完整安全的傳輸,那么如何來(lái)保證數(shù)據(jù)的完整安全的傳輸,架構(gòu)設(shè)計(jì)者們就應(yīng)針對(duì)所建立的企業(yè)網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)可靠性的安全提升和性能優(yōu)化。網(wǎng)絡(luò)架構(gòu)的可靠性需求可從兩個(gè)方面來(lái)分析:一是網(wǎng)絡(luò)可用性,二是安全穩(wěn)定性。由于本論文涉及制造企業(yè)及分支機(jī)構(gòu)覆蓋的地域范圍較廣,所以本論文就對(duì)所設(shè)計(jì)的網(wǎng)絡(luò)環(huán)境中企業(yè)骨干和核心網(wǎng)絡(luò)架構(gòu)的可靠性進(jìn)行分析和探討,主要包括交換路由網(wǎng)絡(luò)設(shè)備、核心服務(wù)器區(qū)域網(wǎng)絡(luò)、匯聚層網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、MPLS.VPN網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、車間廠房工業(yè)以太網(wǎng)絡(luò)的網(wǎng)絡(luò)中設(shè)備和物理線路可靠性。
首先了解網(wǎng)絡(luò)設(shè)備可靠性的基本含義。網(wǎng)絡(luò)的可靠性并不是單純網(wǎng)絡(luò)設(shè)備或節(jié)點(diǎn)的通斷,而是一種綜合管理信息,以反映支持業(yè)務(wù)的網(wǎng)絡(luò)是否具有業(yè)務(wù)所要求的可靠性。計(jì)算機(jī)網(wǎng)絡(luò)可靠性可以被定義為某種產(chǎn)品和服務(wù)根據(jù)需要保持運(yùn)行的可用概率?煽啃员硎緸榘俜直龋
(協(xié)議服務(wù)時(shí)間一失效時(shí)間)÷協(xié)議服務(wù)時(shí)間×100%
在數(shù)據(jù)網(wǎng)絡(luò)中,網(wǎng)絡(luò)的可靠性被定義為產(chǎn)品或服務(wù)處于工作狀態(tài)時(shí)所期望達(dá)到的連接時(shí)間的平均值。即:
可靠性=[1.(連接中斷的時(shí)間總和)÷(生產(chǎn)連接時(shí)間總和)×100%(2.2)在這里是指終端A到終端B之間的數(shù)據(jù)的成功傳送,涉及物理層連通性、鏈路層協(xié)議連通性和網(wǎng)絡(luò)協(xié)議層連通性。針對(duì)網(wǎng)絡(luò)可靠性而言,有一種情況可能會(huì)經(jīng)常發(fā)生,即當(dāng)某一設(shè)備或連接中斷時(shí),可靠性不受影響,因?yàn)榇嬖谌哂噙B接和2、3層協(xié)議的快速匯聚,但需要考慮冗余連接同時(shí)失效時(shí)對(duì)可靠性的影響。數(shù)據(jù)的成功傳送同樣也是重要參數(shù),它取決于具體的設(shè)備性能和應(yīng)用。如果某一連接由于隊(duì)列、傳輸距離或設(shè)備延遲變得很慢,那么某些應(yīng)用將不可用,多數(shù)企業(yè)會(huì)認(rèn)為此類型的連接是無(wú)效的,上層協(xié)議和應(yīng)用可能會(huì)超時(shí)。而對(duì)于實(shí)際網(wǎng)絡(luò)中數(shù)據(jù)的傳輸要經(jīng)過(guò)很多串聯(lián)或并聯(lián)的網(wǎng)絡(luò)設(shè)備及鏈路,下面就分析串聯(lián)設(shè)備和并聯(lián)設(shè)備的可靠性情況。
串聯(lián)聯(lián)接的設(shè)備用邏輯或門表示,意思是任何一個(gè)設(shè)備故障都會(huì)引起網(wǎng)絡(luò)發(fā)生故障或事故。串聯(lián)設(shè)備組成的系統(tǒng),其可靠度計(jì)算公式如下:
式中Ri為每個(gè)設(shè)備的可靠性;n為設(shè)備的數(shù)量。即經(jīng)過(guò)n個(gè)串聯(lián)設(shè)備的網(wǎng)絡(luò)故障概率P由下式計(jì)算:
式中Pi為每個(gè)設(shè)備的故障概率。只有A和B兩個(gè)設(shè)備組成的網(wǎng)絡(luò),上式展開(kāi)為:
P(A或B)=P(A)+P(B)一P(A)P(B) (2-5)
如果設(shè)備的故障概率很小,則P(A)P(B)項(xiàng)可以忽略,此時(shí)式(2-5)可簡(jiǎn)化為:
P(A或B)=P(A)+P(B)一P(A)P(B) (2-6)
式(2-4)則可簡(jiǎn)化為:
當(dāng)設(shè)備的故障率不是忽略時(shí),不能用簡(jiǎn)化公式計(jì)算總的故障概率。
并聯(lián)聯(lián)接的設(shè)備用邏輯與門表示,意思是并聯(lián)的幾個(gè)設(shè)備同時(shí)發(fā)生故障,系統(tǒng)就會(huì)故障。并聯(lián)設(shè)備組成的系統(tǒng)故障概率P的計(jì)算公式是:
并聯(lián)網(wǎng)絡(luò)的可靠性計(jì)算公式如下:
即得出了設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)的可靠性。
網(wǎng)絡(luò)線路的可靠性通常由線路的連通性、線路的響應(yīng)時(shí)間和線路的傳輸丟包三個(gè)指標(biāo)決定,這三個(gè)因素相互關(guān)聯(lián),影響線路的可靠性。當(dāng)線路的響應(yīng)時(shí)間在業(yè)務(wù)需要的范圍內(nèi)時(shí),線路的可靠性反映了線路的可用狀況;當(dāng)線路的響應(yīng)時(shí)間超出業(yè)務(wù)允許的范圍時(shí),即使線路連通并沒(méi)有丟包,線路的可靠性也為0;當(dāng)線路的響應(yīng)時(shí)間處于中間狀態(tài),部分影響業(yè)務(wù)時(shí),線路的可靠性為在可靠性乘以一定的系數(shù),一般為50%。架構(gòu)設(shè)計(jì)者可根據(jù)鏈路的這三個(gè)指標(biāo)來(lái)衡量選擇可靠的線路運(yùn)營(yíng)商或結(jié)構(gòu),同樣通過(guò)以上串并聯(lián)設(shè)備可靠性計(jì)算方法與關(guān)系就可以計(jì)算出某線路的可靠性。這樣通過(guò)網(wǎng)絡(luò)線路的可靠性就可以比較客觀和準(zhǔn)確地反映線路的服務(wù)質(zhì)量。
因此不同的網(wǎng)絡(luò)架構(gòu)其可靠性也有很大的差異。這是設(shè)計(jì)者們?cè)O(shè)計(jì)合理的高可靠性的網(wǎng)絡(luò)架構(gòu)過(guò)程中需要關(guān)注的重要因素。根據(jù)以上設(shè)備和鏈路的可靠性需求分析,對(duì)企業(yè)網(wǎng)絡(luò)的核心設(shè)備和骨干鏈路都采用冗余備份或者負(fù)載均衡的方式設(shè)計(jì)和部署,核心服務(wù)器區(qū)域三層VLAN都配置為VRRP,設(shè)備互連采用雙鏈路配置雙動(dòng)態(tài)路由方式負(fù)載分擔(dān)。這樣從設(shè)備及鏈路上就很大程度地提高了企業(yè)網(wǎng)絡(luò)架構(gòu)的可靠性。
2.1.6網(wǎng)絡(luò)架構(gòu)需求分析總結(jié)
通過(guò)對(duì)制造企業(yè)的網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)數(shù)據(jù)、應(yīng)用系統(tǒng)、信息安全、核心網(wǎng)絡(luò)可靠性及企業(yè)培訓(xùn)校園五個(gè)方面的需求分析,已經(jīng)基本了解制造企業(yè)網(wǎng)絡(luò)架構(gòu)的基本和特殊需求。企業(yè)基礎(chǔ)數(shù)據(jù)的交換和共享是對(duì)企業(yè)網(wǎng)絡(luò)架構(gòu)的基本要求,即集團(tuán)與各分支機(jī)構(gòu)網(wǎng)絡(luò)互連互通,但考慮到由于地域差別帶來(lái)的互連方式和費(fèi)用的不同,提出了幾種具有很強(qiáng)針對(duì)性的互連方案。應(yīng)用系統(tǒng)是對(duì)企業(yè)網(wǎng)絡(luò)要夠更改一層的需求,它不僅要求網(wǎng)絡(luò)的互通可達(dá)性還要求網(wǎng)絡(luò)的帶寬、性能、安全、專用等更高的需求,從四個(gè)方面分析了企業(yè)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)架構(gòu)的需求情況并給出相對(duì)應(yīng)的設(shè)計(jì)方案。信息安全是在滿足企業(yè)應(yīng)用系統(tǒng)需求的基礎(chǔ)上對(duì)網(wǎng)絡(luò)架構(gòu)的一個(gè)提升和優(yōu)化,主要從制造企業(yè)五個(gè)基本的信息安全方面分析了對(duì)網(wǎng)絡(luò)架構(gòu)的需求,盡可能的從網(wǎng)絡(luò)結(jié)構(gòu)上去阻止和隔離非法訪問(wèn)和數(shù)據(jù)傳輸?shù)陌踩鹿。企業(yè)培訓(xùn)校園是按照一個(gè)中等規(guī)模大小的校園網(wǎng)絡(luò)需求進(jìn)行設(shè)計(jì)的,基本滿足了需求。企業(yè)核心網(wǎng)絡(luò)的可靠性是網(wǎng)絡(luò)需求分析的重點(diǎn),詳細(xì)分析了網(wǎng)絡(luò)中可靠性的概率評(píng)價(jià)算法以及網(wǎng)絡(luò)架構(gòu)中設(shè)備及鏈路可靠性的設(shè)計(jì)方案和基礎(chǔ)架構(gòu)。從整體上已經(jīng)對(duì)制造企業(yè)網(wǎng)絡(luò)架構(gòu)有了初步的了解并規(guī)劃出大概的網(wǎng)絡(luò)架構(gòu)模型。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:集團(tuán)企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計(jì)與實(shí)現(xiàn)(二)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083942247.html