2.3制造企業(yè)網(wǎng)絡(luò)架構(gòu)實現(xiàn)
網(wǎng)絡(luò)架構(gòu)雛形基本分析設(shè)計完成,下面就設(shè)計的模型進行部署和實現(xiàn),能夠更清晰和實際地了解企業(yè)網(wǎng)絡(luò)架構(gòu)。
2.3.1網(wǎng)絡(luò)架構(gòu)實現(xiàn)過程及步驟
模型的實現(xiàn)分為幾個四個步驟來完成。首先規(guī)劃集團IP地址空間范圍,其次部署和實現(xiàn)企業(yè)核心層的網(wǎng)絡(luò)架構(gòu),再次是核心架構(gòu)的基礎(chǔ)上部署匯聚層和生產(chǎn)車間網(wǎng)絡(luò)架構(gòu),最后是安全威脅較大的DMZ、VPN及互聯(lián)網(wǎng)架構(gòu)的部署。
根據(jù)本論文設(shè)計的企業(yè)規(guī)模大小,網(wǎng)絡(luò)地址進行規(guī)劃原則如下:
一、總體原則
規(guī)范性一網(wǎng)絡(luò)地址空間劃分和分配是基于對全集團的應(yīng)用部署、數(shù)據(jù)流向和用戶訪問的全面理解,結(jié)合業(yè)界最佳實踐對全集團規(guī)劃、分配、使用IP地址具有指導(dǎo)和強制作用,是企業(yè)未來IP地址管理體系重要組成部分。
標(biāo)準(zhǔn)性-IP地址的分配空間符合RFCl918的標(biāo)準(zhǔn)規(guī)定。
可擴展性.網(wǎng)絡(luò)地址在功能、容量、覆蓋能力等各方面具有易擴展能力,以適應(yīng)快速的業(yè)務(wù)發(fā)展對基礎(chǔ)架構(gòu)的要求。
連續(xù)性.在網(wǎng)絡(luò)規(guī)模擴展時能保證地址匯總所需的連續(xù)性。網(wǎng)絡(luò)地址空間劃分采用分層、分級結(jié)構(gòu)化方法,按職能劃分連續(xù)地址,易于進行路由匯總。靈活性.地址分配應(yīng)具有靈活性,借助可變長子網(wǎng)掩碼技術(shù),支持多種路由策略的優(yōu)化和充分利用地址空間。
二、規(guī)劃說明
考慮集團數(shù)據(jù)中心、災(zāi)備中心和海外數(shù)據(jù)中心的功能,并結(jié)合未來5.10年的發(fā)展,各預(yù)留2個B類地址。國內(nèi)數(shù)據(jù)中心總體預(yù)留2個B類地址段。國內(nèi)災(zāi)備中心總體預(yù)留2個B類地址段。亞洲數(shù)據(jù)中心總體預(yù)留2個B類地址段。歐洲數(shù)據(jù)中心總體預(yù)留2個B類地址段。美洲數(shù)據(jù)中心總體預(yù)留2個B類地址段;趯瘓F國內(nèi)主要分支機構(gòu)現(xiàn)狀的了解,以及對集團未來5.10年發(fā)展的預(yù)測,集團國內(nèi)外現(xiàn)有10個子公司,考慮每年平均20%增長, 5年后10*1.2*1.2*1.2*1.2*1.2≈25,每子公司最大預(yù)留1個B類地址段,總共分配了24個B類地址?紤]到冗余,集團為國內(nèi)外子公司總體預(yù)留24個B類地址段。預(yù)計分支機構(gòu)用戶終端數(shù)目小于10000,分配64C地址。以50個國內(nèi)外分支機構(gòu)計算,考慮每年平均20%增長,5年后集團需要50*1.2*1.2*1.2*1.2*1.2≈-125.國內(nèi)每外分支機構(gòu)最大預(yù)留8個C類地址段。國內(nèi)集團總體需要預(yù)留地址空間為:8C*125=1000 C類地址空間?紤]到冗余,集團為國內(nèi)外分支機構(gòu)總體預(yù)留8個B類地址段。其他分支機構(gòu)P地址空間,參考分支機構(gòu)和集團網(wǎng)絡(luò)規(guī)模。集團為國內(nèi)外其他分支機構(gòu)總體預(yù)留2個B類地址段。IP地址空間規(guī)劃如表2.3:
表2.3數(shù)據(jù)中心IP地址空間表
表2.3和表2.4是根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)劃原則和企業(yè)擴張發(fā)展速度定義的IP地址空間范圍,將數(shù)據(jù)中心與功能區(qū)域地址劃分在2個128的B類網(wǎng)絡(luò)中。以上IP地址空間的規(guī)劃是企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計具有擴展延伸、地址冗余、清晰靈活、易于管理的重要基礎(chǔ)和組成部分。
表2.5應(yīng)用服務(wù)區(qū)及設(shè)備IP地址空間表
表2.6功能區(qū)域IP地址空間表
表2.5及表2.6詳細(xì)規(guī)說明了應(yīng)用服務(wù)區(qū)、互聯(lián)網(wǎng)、VOIP、視頻會議、設(shè)備及APN專用網(wǎng)IP地址的規(guī)劃細(xì)節(jié)情況。為我們以下網(wǎng)絡(luò)的實施和部署奠定了基礎(chǔ),也將整個網(wǎng)絡(luò)架構(gòu)在P地址空間上做了清晰設(shè)計和規(guī)劃。
核心層的部署首先要根據(jù)企業(yè)現(xiàn)有業(yè)務(wù)數(shù)據(jù)流量及將來擴張的情況選擇高性能的核心交換和路由來保證背板帶寬和交換容量。核心設(shè)備放置于企業(yè)核心IDC交換機房,核心設(shè)備均使用雙機做負(fù)載和冗余.核心交換之間使用萬兆TRUNK互連,核心路由使用千兆互連,交換和路由間使用千兆全冗余交叉互連。物理連接完畢后根據(jù)規(guī)劃網(wǎng)絡(luò)地址的其實開始配置核心和路由的互連接口地址并調(diào)試通過。對于集團與分支機構(gòu)鏈路需與ISP服務(wù)商選擇合理帶寬的SDH和MPLS聯(lián)調(diào)通過。分支機構(gòu)的核心設(shè)備部署、配置和調(diào)試同集團步驟相同。
匯聚層和生產(chǎn)車間網(wǎng)絡(luò)的部署相對核心層的比較簡單和容易些,網(wǎng)絡(luò)模型和配置都與核心層的相似。同樣根據(jù)辦公區(qū)域和生產(chǎn)車間的數(shù)據(jù)流量大小來選擇適合的三層交換設(shè)備,上行采用光纖同核心互連,下行千兆至接入交換。車間工業(yè)以太網(wǎng)絡(luò)主要是對IO設(shè)備數(shù)據(jù)的交換處理,將IP網(wǎng)絡(luò)數(shù)據(jù)通過控制程序下發(fā)至工業(yè)智能IO設(shè)備,工業(yè)交換與通過單;蚨嗄9饫w與匯聚交換互連,也可直接與核心交換互連。
互聯(lián)網(wǎng)部分的網(wǎng)絡(luò)架構(gòu)部署因為考慮到安全問題,因此部署比較復(fù)雜和繁瑣。適合企業(yè)互聯(lián)網(wǎng)出口的最終網(wǎng)絡(luò)架構(gòu)是在不斷地對企業(yè)互聯(lián)出口網(wǎng)架構(gòu)的安全提升和性能優(yōu)化的實踐基礎(chǔ)上形成的。一般的互聯(lián)網(wǎng)出口網(wǎng)絡(luò)架構(gòu)是互聯(lián)網(wǎng)線路直接接入防火墻,然后防火墻直接與核心交換互連的簡單結(jié)構(gòu)。起初設(shè)計也是如此,但這種結(jié)構(gòu)已經(jīng)逐漸不能滿足企業(yè)日益變化和更新的業(yè)務(wù)需求,同時逐漸不能有效地控制和防范外部數(shù)據(jù)的安全威脅。因此本論文設(shè)計的互聯(lián)網(wǎng)出口架構(gòu)是把安全放在首要位置設(shè)計的,增加入侵防御設(shè)備(IPS)和行為控制設(shè)備嚴(yán)格的對互聯(lián)網(wǎng)數(shù)據(jù),將IPS部署在防火墻外側(cè),行為控制部署在防火墻內(nèi)測。由于企業(yè)內(nèi)網(wǎng)與DMZ的數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)都需要防火墻來過濾轉(zhuǎn)發(fā)控制,這樣增加了防火墻的負(fù)載壓力,所以在增加內(nèi)網(wǎng)防火墻降低負(fù)載并提高互聯(lián)網(wǎng)訪問的安全指數(shù)。最后提高互聯(lián)網(wǎng)的帶寬增加不同的ISP線路并增加鏈路負(fù)載均衡提高出口訪問性能。以上部署的設(shè)備都采用雙機形式提高互聯(lián)網(wǎng)訪問的可靠性。VPN網(wǎng)絡(luò)架構(gòu)在互聯(lián)網(wǎng)的基礎(chǔ)上分為三部分IPSEC、SSL和點對點。IPSEC和SSL的wan口都掛接在負(fù)載后提高對外部用戶的訪問性能,內(nèi)口掛接在DMZ交換上在通過內(nèi)網(wǎng)防火墻對數(shù)據(jù)進行過濾和控制。Site—to-site VPN直接同分支結(jié)構(gòu)VPN路由通過ISP互通,內(nèi)口接入DMZ交換上通過內(nèi)網(wǎng)防火墻進行控制和過濾。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:集團企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計與實現(xiàn)(四)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083942249.html