本文以天瑞集團核心機房,集團大廈樓層、一個本地公司、一個外地分公司網(wǎng)絡建設為例,介紹了以集團為核心的幾個不同地理位置的企業(yè)如何規(guī)劃組成一個大型的局域網(wǎng),如何合理的規(guī)劃設計,以滿足企業(yè)信息化發(fā)展需要。
一、需求分析以及實施目標
在網(wǎng)絡建設中,首要工作是需求分析,確定企業(yè)信息網(wǎng)絡建設應該滿足哪方面的要求、考慮哪方面的因素。具體可歸結(jié)以下幾個方面:
1、網(wǎng)絡連通性、高性能、可靠性
網(wǎng)絡在初始建設時不僅要考慮到如何實現(xiàn)數(shù)據(jù)傳輸,還要充分考慮充裕的帶寬,較強的處理能力,網(wǎng)絡的冗余與可靠。
2、網(wǎng)絡安全性
企業(yè)在局域網(wǎng)和廣域網(wǎng)中傳遞的數(shù)據(jù)都是相當重要的信息,因此一定要保證數(shù)據(jù)安全保密,防止非法竊聽和惡意破壞,在網(wǎng)絡建設的開始就應該考慮采用嚴密的網(wǎng)絡安全措施。
3、網(wǎng)絡的可管理性
隨著計算機網(wǎng)絡的發(fā)展,網(wǎng)絡規(guī)模的增大,網(wǎng)絡應用也日益多樣化,網(wǎng)絡管理也變得越來越重要。良好的網(wǎng)絡管理,能夠主動控制網(wǎng)絡,及時分析網(wǎng)絡流量,了解網(wǎng)絡健康狀況,有預見性地發(fā)現(xiàn)網(wǎng)絡上的問題,并將其消滅于萌芽狀態(tài)。
4、網(wǎng)絡擴充性
隨著企業(yè)規(guī)模的擴大、業(yè)務的增長,網(wǎng)絡的擴展和升級是不可避免的。通過模塊化的網(wǎng)絡結(jié)構(gòu)設計和模塊化的網(wǎng)絡產(chǎn)品,能為網(wǎng)絡提供很強的擴展和升級能力。
5、網(wǎng)絡環(huán)境規(guī)劃
針對企業(yè)現(xiàn)有的信息網(wǎng)絡狀況采取不同的應對策略來架構(gòu)整個企業(yè)信息網(wǎng)絡系統(tǒng),需要考慮的情況有:企業(yè)信息網(wǎng)絡是否屬于新建,新建的網(wǎng)絡如何統(tǒng)籌規(guī)劃;如果有原有的網(wǎng)絡,怎么規(guī)劃將其聯(lián)接起來;如何實現(xiàn)企業(yè)網(wǎng)絡的遠距離連接,以及網(wǎng)絡能否滿足移動工作環(huán)境等。
6、網(wǎng)絡的多媒體支持等
隨著視頻會議等多媒體技術(shù)的日趨成熟,網(wǎng)絡傳輸?shù)臄?shù)據(jù)已不再是單一數(shù)據(jù)了。企業(yè)在網(wǎng)絡中.應考慮網(wǎng)絡的多媒體支持。同時,在網(wǎng)絡帶寬非常寶貴的情況下,在設備選型上要考慮是否有豐富的QoS機制、高性能,如:IP優(yōu)先、排隊、組播和鏈路壓縮等優(yōu)化技術(shù)使多媒體和關鍵業(yè)務得到有效的保障。通過以上分析,確定了以下網(wǎng)絡實施方向以及實施目標:
實現(xiàn)天瑞集團辦公大樓與核心機房局域網(wǎng)高速互聯(lián);實現(xiàn)本地企業(yè)網(wǎng)絡系統(tǒng)與集團總部核心網(wǎng)絡系統(tǒng)高速可靠互聯(lián);實現(xiàn)外地企業(yè)計算機網(wǎng)絡系統(tǒng)到集團總部核心網(wǎng)絡系統(tǒng)的可靠、安全互聯(lián);
實現(xiàn)各分公司辦公樓、門崗、磅房、票房、袋裝發(fā)料處、倉庫等網(wǎng)絡可靠互聯(lián):
最終形成以集團總部為核心下屬企業(yè)為分支高效、可靠、安全的企業(yè)信息化系統(tǒng)通信平臺。
二、規(guī)劃設計
在確定了建設需求和目標后,就應該由企業(yè)主抓信息化領導、網(wǎng)絡管理人員、系統(tǒng)實施人員共同建立信息處理模型來達到對企業(yè)信息網(wǎng)絡建設認識上的一致。這個模型通常包括網(wǎng)絡拓撲結(jié)構(gòu)、業(yè)務流程等部分。它必須能夠反映企業(yè)內(nèi)的業(yè)務工作流程,明確企業(yè)信息流的基本走向,反映企業(yè)信息大致方向,從而為網(wǎng)絡建設的總體規(guī)劃制定科學依據(jù)。
在設備的采購上,要充分考慮到各企業(yè)的實施進度,利用時間差,集中分布購買相關設備,降低采購成本。為保障網(wǎng)絡的建設以及后期維護能夠順利進行,企業(yè)在網(wǎng)絡實施過程中應培養(yǎng)一批素質(zhì)高的網(wǎng)絡管理維護人員,以上工作準備好后就可以進行網(wǎng)絡設計建設了。
三、網(wǎng)絡方案具體設計
網(wǎng)絡方案具體設計圖,如圖1所示。
圖1 網(wǎng)絡方案具體設計圖
在本方案中分四個部分進行設計:中心機房、集團各樓層,本地企業(yè),外地企業(yè)。此次方案以H3C設備為例,介紹了相關技術(shù)的應用和設計思想,并大致列出在網(wǎng)絡施工中注意事項以及無線設備、IC卡在企業(yè)的應用。
1、集團核心機房設計
集團核心機房設在7樓的中間位置,該房間放置核心網(wǎng)絡設備以及各應用服務器,其中包括ERP服務器、OA服務器、郵箱服務器、殺毒服務器、網(wǎng)管服務器、視頻會議服務器等。
由于所有的信息應用都集中在核心機房,需提供業(yè)務系統(tǒng)應用、辦公自動化、遠程互聯(lián)等復雜的網(wǎng)絡應用。核心交換選用兩臺H3C 7506系列具有三層交換功能的千兆模塊化交換機作為主干核心交換機,兩臺核心交換機間用專用線路連接,組成鏈路聚合,這樣即可保證兩個核心交換機的高帶寬高性能,也可保證單條鏈路失敗而引起的中斷。在兩臺核心交換機上為每個樓層、核心機房匯聚交換機S5510,各應用服務器劃分出相應VLAN(網(wǎng)段),并且在該VLAN上啟用VRRP(虛擬路由冗余協(xié)議),保證一臺核心交換機出現(xiàn)故障或某條線路出現(xiàn)故障時可以進行設備和鏈路上的自主切換。為保護核心交換機不會因某個網(wǎng)段中出現(xiàn)廣播風暴、二層物理環(huán)路、不跨網(wǎng)段的病毒、木馬的攻擊而造成其受到?jīng)_擊,從而導致核心交換機性能大幅度下降或癱瘓造成全網(wǎng)的癱瘓,在樓層交換機、核心機房匯聚交換機、核心交換機之間使用網(wǎng)絡三層路由連接模式。
考慮到本地子公司的網(wǎng)絡自成體系,通過租用運營商光纖線路直連到核心機房匯聚交換機,單個子公司的局域網(wǎng)廣播數(shù)據(jù)流不擴展到全網(wǎng),單個子公司的網(wǎng)絡故障不應該擴展到全網(wǎng),核心機房匯聚層交換機采用H3C公司的S5510系列的具有路由功能的三層交換機,以達到網(wǎng)絡隔離和分段等目的。
防火墻是核心網(wǎng)絡中最重要的設備,它的穩(wěn)定可靠將直接影響著基于internet應用的安全與可靠。由于防火墻是internet與局域網(wǎng)之問的唯一訪問通道,其性能的好壞也將直接影響到internet應用的性能,因此本方案中選用具有優(yōu)異性能與可管理性的H3C F1OOO-S防火墻,F(xiàn)1OOO-S防火墻具有VPN、流量管理、強大的網(wǎng)絡安全策略等功能,能夠滿足苛刻環(huán)境下的峰值負載和很高的防御需求,通過租用兩條不同運營商線路互備,作為集閉以及本地企業(yè)訪問互聯(lián)網(wǎng)絡的總出口以及各分公司VPN鏈路接入。
服務器安裝兩塊T兆網(wǎng)卡分別使用兩條鏈路連接到兩臺核心交換機,在核心交換機上為服務器群劃分出相應的VLAN(網(wǎng)段)并啟用VRRP協(xié)議,保證一個核心設備出問題后,可自主切換到另一個核心設備鏈路,使服務器對外網(wǎng)絡服務不中斷。
2、大廈樓層設計
樓層接入設備選擇H3C公司的3600系列三層智能以太網(wǎng)交換機。通過兩個千M上行鏈路光口,兩條多模光纖鏈路分別上連到兩臺核心交換機互為冗余,對大廈樓層計算機偏多的,可直接通過多臺交換機進行堆疊的方式來滿足大量PC接入的需求,并啟用VRRP(虛擬路由冗余協(xié)議),STP(生成樹協(xié)議)實現(xiàn)在冗余線路上的負載均衡和上行線路發(fā)生故障時的快速恢復。
3、本地分公司設計
本地分公司同樣選擇三層H3C 3600系列交換機,通過租用運營商光纖線路直連接入?yún)R聚三層交換機光纖模塊,為了保證網(wǎng)絡鏈路的冗余,本地分公司采用F1OO-S防火墻,租用另一個運營商線路通過VPN實現(xiàn)與集團的網(wǎng)絡連接,通過在設備上設置優(yōu)先級,以實現(xiàn)主備線路的自動切換。
4、外地分公司設計
H3C F100-A或F100-S防火墻作為企業(yè)網(wǎng)絡總出口,采用光纖線路訪問互聯(lián)網(wǎng)和通過VPN的方式訪問集團內(nèi)網(wǎng),在有限的帶寬情況下,在防火墻上根據(jù)IP地址段進行流量和速度限制,以滿足不同業(yè)務系統(tǒng)的需求。由于租用專線線路成本過高,暫時沒有考慮,可考慮架設雙線路,實現(xiàn)線路冗余互備。內(nèi)部互聯(lián)使用三層H3C 3100可網(wǎng)管交換機劃分VLAN并對不同職能部門的電腦進行分段等管理;
5、路由交換設計
整個網(wǎng)絡采用靜態(tài)路由和動態(tài)OSPF路由相結(jié)合的方式。在核心防火墻(F1OOO-S)使用缺省靜態(tài)路由作為本地企業(yè)以及大廈樓層訪問互聯(lián)網(wǎng)需求,防火墻(F1OOO-S)、兩臺核心交換機、匯聚交換機(S5510-24F)以及本地分公司之間啟用動態(tài)OSPF路由。天瑞大廈各樓層交換機使用缺省路由。本地分公司交換機與防火墻F1OO-S以及VPN鏈路使用靜態(tài)路由,外地分公司使用一條缺省路由指向Internet網(wǎng),數(shù)條直連路由以VPN方式連接核心機房,通過設置路由優(yōu)先級,線路偵測技術(shù)實現(xiàn)主備線路自主切換。
6、VLAN設計以及IP地址規(guī)劃
為保證網(wǎng)絡管理的方便性和安全性以及整個網(wǎng)絡運行的穩(wěn)定性,必須對網(wǎng)絡進行VLAN劃分,通過劃分VLAN可有效抑制網(wǎng)絡風暴、提高網(wǎng)絡整體安全性,同時也便于管理; VLAN劃分的原則是根據(jù)部門職能的不同和業(yè)務的交叉范圍或者安全考慮進行劃分,大致情況見下表1所示:
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:集團化企業(yè)網(wǎng)絡建設方案與實踐(上)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112187177.html