引言
隨著當前中國經濟的高速發(fā)展,各企業(yè)的業(yè)務也隨之快速擴張,由于市場競爭的需要,企業(yè)圍繞關聯(lián)產業(yè)和產業(yè)鏈形成有機的分工與協(xié)作關系的園區(qū)正在快速的發(fā)展,逐漸在區(qū)域形成了聚集效應。園區(qū)經濟的形成也給各個企業(yè)帶來了新的課題,為了提高競爭力,推進上下游產業(yè)的協(xié)同工作,進而更好地管理和溝通,就需要打通企業(yè)或部門間的壁壘,使企業(yè)的信息流暢通。但目前,多園區(qū)工廠的計算網絡建設面臨著以下幾個挑戰(zhàn):高可靠、高性能、高融合、高安全、可擴展。
1 網絡技術和拓撲結構選擇
1.1 拓撲結構設計
在企業(yè)園區(qū)網絡整體設計中,宜采用層次化、模塊化的網絡設計結構,并嚴格定義各層功能模型,不同層次關注不同的特性配置。典型的企業(yè)園區(qū)網絡結構可以分成三層:接入層、匯聚層、核心層。
1.2網絡虛擬化
為了提高網絡的可靠性,傳統(tǒng)的網絡骨干拓撲結構一般采用冗余鏈路的方式提高數(shù)據(jù)交換的可靠性,其中備份的鏈路可以在鏈路或設備故障的時候啟用,從而縮短鏈路中斷的時間。在網絡的核心層,標準的解決方案就是提供兩臺核心交換機,并采用VRRP 協(xié)議使其相互冗余,接入層交換機通過STP 協(xié)議,通過冗余鏈路連接至兩臺核心交換機。采用STP 協(xié)議可以自動阻塞其中一個端口,從而保證網絡中不會出現(xiàn)環(huán)路,從而避免產生廣播風暴。
1.3 網絡隔離設計
目前在多園區(qū)企業(yè)存在著生產制造、運行管理、設計研發(fā)、園區(qū)管理、視屏會議等多種業(yè)務,因此在設計基礎網絡平臺的同時需要考慮如何將各種業(yè)務進行邏輯隔離,確保各部門業(yè)務的獨立性和安全性,并且需要考慮在部署了業(yè)務隔離之后,如何對部分數(shù)據(jù)進行共享。
1.4 VLAN技術
VLAN(Virtual Local Area Network,虛擬局域網)是一種二層隔離技術,其原理是在交換機上劃分多個VLAN,某 一個VLAN內的用戶是相互可訪問的,但一個VLAN的數(shù)據(jù)包在二層交換機上不會發(fā)送到另一個VLAN,這樣,其他VLAN的用戶的網絡上收不到任何該VLAN的數(shù)據(jù)包,這樣就確保了該VLAN的信息不會被其他VLAN的人所竊聽,從而實現(xiàn)了信息的保密。
圖1 VLAN技術
由于VLAN是邏輯上對網絡進行劃分,組網方案靈活,配置管理簡單,降低了管理維護的成本,在二層網絡中是一種安全高效的虛擬化技術。
1.5 VPN技術
VPN(Virtual Private Network,虛擬私有網)是一種基于三層的隔離技術,在20世紀90年代中期興起,旨在通過公用網絡設施實現(xiàn)類似專線的私有連接。其原理是在三層轉發(fā)設備(路由器或三層交換機)上為每個VPN建立專用的VRF(Virtual Route Forwarding)表,各VRF表相互獨立,具有特殊的標記,通過專用的隧道(GRE、MPLS、TE、IPSec、L2TP)將各VPN數(shù)據(jù)在公共網絡上進行轉發(fā)。通過特殊的標記,VPN數(shù)據(jù)在VRF和專用隧道中相互隔離,保證VPN數(shù)據(jù)的隱密性。
圖2 VPN技術
1.6網絡安全設計
網絡安全是一個系統(tǒng)工程,需要作為一個整體考慮。網絡安全作為一個整體的安全架構,可以從局部安全、全局安全、智能安全三個層面,為用戶提供一個多層次、全方位的立體防護體系,使網絡成為智能化的安全實體。
2 設計實例
某企業(yè)園區(qū)現(xiàn)有五個生產制造園區(qū)進行產品生產,一個綜合辦公樓,包括研發(fā)、管理、市場等業(yè)務部門,并且綜合辦公樓包含一個600平方米的數(shù)據(jù)中心。需要建設一個覆蓋而整個企業(yè)園區(qū)的計算機網絡系統(tǒng)。網絡需要支持生產制造、運行管理、設計研發(fā)、園區(qū)管理、視屏會議等多種不同規(guī)模的業(yè)務。
2.1需求分析
根據(jù)業(yè)主實際需求,將主要針對以下三個方面來對整體網絡進行規(guī)劃:
·核心骨干網設計;
·功能隔離設計;
·網絡安全設計。
2.2核心骨干網設計方案
核心骨干網是整個網絡的主要設計部分,該部分網絡包括主辦公樓、五個園區(qū)匯聚和相應的接入層網絡部分。整個網絡采用典型的三層架構:
·核心層
作為園區(qū)核心節(jié)點,兩臺核心交換機部署于院區(qū)主辦公大樓,交換機之間采用萬兆鏈路互聯(lián),與各個匯聚層節(jié)點也通過萬兆互聯(lián),{司時使用千兆光口提供主辦公大樓內的各個樓層交換機的接入,并在核心交換機上部署防火墻模塊和流量控制模塊。
·匯聚層
園區(qū)共有七個匯聚節(jié)點,每個節(jié)點對應一個生產園區(qū)和辦公樓以及數(shù)據(jù)中心,各部署兩臺匯聚交換機,交換機之間采用雙千兆鏈路互聯(lián),其與核心交換機之間以萬兆鏈路為主、千兆鏈路備份的方式進行全互聯(lián),每臺匯聚層交換機都配置一塊流量控制板卡。
·接入層
所有接入交換機通過兩個千兆光口同匯聚交換機實現(xiàn)雙鏈路相連,從網絡性能出發(fā),所有接入層采用千兆到桌面設計。
圖3 園區(qū)網絡規(guī)劃圖
如圖所示,匯聚節(jié)點與核心交換機之問、接入層與匯聚層之間全部采用雙鏈路互聯(lián)?紤]到匯聚交換機兩條上行鏈路在某些情況下(如園區(qū)建設中的施工原因等)出現(xiàn)鏈路中斷的可能,匯聚層再部署雙環(huán)的架構,環(huán)上鏈路同樣運行OSPI及MPLS,使得在主萬兆上行與備份千兆上行同時斷掉的情況下,可通過環(huán)網來保證業(yè)務的正常運行,實現(xiàn)高速的鏈路自愈能力。
2.3功能隔離設計方案
VPN 所屬資源 VPN擁有的路由 備注
L2/L3 L2/L3、 L2/L3、共享 無
L4 L4 L4、監(jiān)控、Internet缺省路由、共享 互聯(lián)網出口增加ACL,禁止生產區(qū)IP訪問Internet
Internet Internet L4、監(jiān)控、 互聯(lián)網入口增加ACL,僅允許合法互聯(lián)網IP訪問Internet
監(jiān)控 監(jiān)控 監(jiān)控、L4、Internet、共享 無
服務器群 OA、MES、ERP L2/L3、L4 各服務器僅允許自己業(yè)務相關的終端進行訪問
表1 VPN規(guī)劃
2.4網絡安全設計方案
由于整個企業(yè)內部的生產控制信令及相關數(shù)據(jù)的采集,均會通過服務器傳達。因此重點對服務器區(qū)域的安全防護進行規(guī)劃。
如下圖所示,整個數(shù)據(jù)中心主要由服務器區(qū)及安全管理系統(tǒng)區(qū)構成。
圖 4 網絡安全規(guī)劃
3 結束語
本文提出的基于MPLS VPN的虛擬多園區(qū)工廠計算機網絡設計,網絡規(guī)劃邏輯清晰,邏輯隔離性強,配置和維護工作量;且在傳統(tǒng)樹形結構的基礎上融入雙環(huán)網的設計,保證了整個網絡的高可靠性。本文同時提出了整體安全架構,從局部安全、全局安全、智能安全三個層面,為用戶提供一個多層次、全方位的立體防護體系,使網絡成為智能化的安全實體,為企業(yè)的各項業(yè)務提供了一種先進、易用、安全、便于維護的多業(yè)務虛擬化網絡承載平臺。
轉載請注明出處:拓步ERP資訊網http://www.ezxoed.cn/