第二章 制造集團企業網絡架構設計與實現
制造企業為進一步滿足公司國際化和現代化的快速發展需求, 都不斷地在現有網絡架構的基礎上進行網絡整合、改造和優化。企業網絡架構設計的最終總體目標也都是以企業不斷更新的業務需求作為中心點,并始終圍繞該中心進行優化、提升和擴展。
2.1制造企業網絡架構需求分析
目前很多制造企業總體網絡架構的現狀都沒有很好地適應和滿足現有及未來擴張的需求,現網架構或多或少的都存在一些瓶頸和難以適應期業務和客戶需求的地方存在。因此不斷地對企業網絡架構優化、改造和提升用以滿足千變萬化應用需求是逐步實現一個無所不能的企業網絡目標的必經之路,也是加強企業信息化核心競爭力和加速企業擴張壯大的重要措施和手段。企業網絡架構部署的合理與否主要是看否滿足以下四個方面的需求為基本標準。第一,企業基礎數據交換的業務需求,這一點需求是網絡架構的設計所滿足的必要條件之一,也是網絡在企業中推廣的基礎要求;第二,企業基礎應用系統的需求,這是作為企業信息化發展的又一個發展,比如說企業的基礎應用系統包括域架構、郵件、OA、SAP、PDM、SCM、CRM、財務、人力資源等等一些基本的應用系統的架構對網絡架構有了更進一步的要求;第三,企業信息安全的需求,這是在企業網絡架構已經滿足基本數據交換和基本業務系統的前提下做的進一步的提升和數據安全的保障措施;第四,企業核心網絡架構可靠性需求,這是要求企業核心骨干網絡具有高可靠性和冗余,一般是通過核心設備的雙機和鏈路的冗余來實現的,并且網絡架構具有很好的可延伸擴展性.因此企業網絡架構設計的是否合理且滿足企業業務需求,很大的程度上是網絡體系的可靠性、安全性和擴展性決定的。本章需求分析詳細闡述說明了一個所轄國內外10大子公司,20個生產基地,國內外50個營銷服務網點及一所專業培訓學校的大型制造企業的網絡架構的需求狀況。
2.1.1基礎數據網絡需求分析
首先,我們從企業基礎數據對企業網絡架構的需求分析做起。一般企業大致上在建立企業網絡的最初,都是以基礎數據的交換共享為其基本目的和需求的。這些基礎數據中基本是又以普通的數據文件,例如office文件、圖紙、專用數據庫文件等。基礎數據對網絡的要求是非常低和簡單的,一版情況下只要求能夠進行網絡互通就可以滿足用戶數據共享和交換的需求。對于本論文所涉及的制造企業規模來說,企業所有用戶對基礎數據的要求也形成以個龐大的網絡體系。就網絡互通的基礎需求考慮,公司需建立一個以集團所在為中心,其余子公司、生產基地、分公司為分支機構的星型網絡拓撲結構,可根據實際情況選擇各分支機構與總部互連接入的方式和帶寬。基礎數據對網絡的需求總的來說也就是用戶數據上傳和公用數據下載的情況,下面我們就不同地域、不同重要程度的分支機構和移動辦公人員分析基礎數據對網絡互通互連的需求情況。
對于本論文涉及的制造企業,先分析國外分支機構及用戶情況,通常情況下國際專線費用是比較昂貴的,所以企業網絡架構的設計人員根據國外分支機構的實際情況去選擇不同的企業VPN網絡解決方案。例如海外分支機構業務數據并不要求實時連接總部時,可通過互聯網采用site-to-site VPN方式與集團總部網絡互連;如海外分支機構對數據網絡的要求實時通訊且有帶寬要求,例如有語音視頻會議需求。為保證其語音和視頻能夠順暢達到可用狀態,最佳方案為申請穩定的國際SDH專線,也可使用MPLS-VPN的專線方式將分支機構與集團總部互連。因國際專線費用昂貴所以這種互連方式一般適用于較大的跨國企業;國外移動辦公人員相對固定的辦公地點對網絡要求并不是很高,可通過SSL VPNtz6J或IPSEC VPN方式接入海外較大的分支機構的網絡,再通過海外分支機構與國內的專線與國內總部進行數據共享和交換,當然也可直接接入集團總部網絡。對于集團國內的分支機構來說,隨著國內通訊運營商的整合和省干線的優化和增加,國內大型生產辦公的分支機構均可采用SDH專線或MPLS—VPN的方式與集團總部進行網絡互連;對那些相對較小的營銷服務支持的小分支機構,為節省網絡運營費用可選用互聯網建立site-to-site VPN的方式與集團總部進行網絡互連;而國內的移動辦公人員仍然采用IPSEC VPN或SSL VPN的方式直接接入集團網絡。集團總部和分支機構內部網絡可設計千兆以太局域網絡保證集團各分支機構的網絡互通,已基本滿足企業內部基礎數據對網絡的需求。此外對于制造企業來說,車間和加工廠房的工業數控設備和辦公人員的網絡由于其物理位置、設備、車間廠房架構的特殊性和綜合網絡布線對距離和布放的要求,這些設備和辦公人員的數據共享、訪問以及數據安全對網絡具有特殊的需求,設計者們可考慮建立工業以太網然后與集團局域網絡互連互通。
以上從企業海內外不同地域、不同分支機構、移動辦公人員的辦公規模及對數據交換實時性要求的差異分析了制造業海內外不同機構和人員與集團總部網絡互連的是方式和結構,網絡架構設計師由這些基本的網絡需求設計的企業基礎網絡架構足已滿足了企業國內外分支機構和辦公人員網絡互通、數據共享和交換的基本需求。架構設計師們還需在設計的網絡架構的基礎上對集團內部網IP地址段進行全局的規劃和分配,集團的不同分支機構和辦公人員根據分配到的IP即可通過企業基礎網絡平臺訪問文件服務器,進行文件共享和數據交換等簡單網絡操作。
2.1.2基礎應用系統網絡需求分析
早期基礎應用系統在國內企業的應用并不成熟也不具規模,企業的基于網絡的基礎應用基本上都是為了解決一些簡單的業務需求而部署的,例如ERP系統、WEB、DNS服務等一些基礎的應用,其他的網絡應用服務都比較少,甚至是企業郵件系統都很少在企業中推廣。隨著這些年國內外軟件行業的迅猛發展,各行各業的業務系統軟件也不斷問世并投入市場。尤其是企業ERP應用系統逐步推廣應用到企業的網絡來,使企業業務數據的準確性和員工的工作效率得到了極大提高和改進。這些基于網絡的基礎應用和ERP系統和服務從早期文件共享的簡單網絡方式逐步過渡和提升到C/S的大型系統架構,并得到了廣泛的應用和快速的發展;之后又隨著互聯網技術的成熟和發展,外部互聯網與企業私有網絡的互連互通又將企業應用逐步推向B/S的大型系統架構。企業網絡架構從某種程度上來說都是隨著企業應用服務體系的改變而不斷改造和優化的,企業基礎網絡已經不再是文件共享和交換的簡單平臺,不斷地去滿足和適應企業應用系統發展的需要已是企業網絡架構需要解決的首要問題和設計的重要目標之一。由于目前制造企業基礎應用系統已涉及到研發、生產制造、轉儲物流、財務銷售、語音視頻等相對較全面的業務。但要想使這些應用能夠在企業網絡平臺上的作用發揮的更完善,其對企業網絡架構的要求也是相當復雜和嚴格的。
第一我們首先考慮和分析制造企業IT基礎架構對網絡的需求情況。對于國內的制造行業來說,其基礎應用包括域服務、企業郵件系統、WSUS、ISA代理、防病毒體系、WEB服務、DNS、DHCP等這些大型的軟件系統。這些基礎的應用都是針對集團所有用戶的,并為所有用戶提供服務。因此其基本的網絡要求保證集團內網的所有用戶都能與這些服務進行數據通訊,這樣才能保證企業所有用戶都能得到集中管控、策略下發、軟件分發、補丁修復、病毒庫升級、域名解析等服務。基礎的網絡平臺僅僅是用戶與服務器之間的物理通訊正常,也是其首要條件。為了保證用戶與服務器之間的通訊能滿足需求,需要考慮和分析各個不同分支機構的用戶數、數據量來確定網絡帶寬及網絡互連的方式。為保證服務器的安全和出口帶寬,這些基礎服務在部署在企業的核心網絡上,保證其接入交換的背板帶寬和交換容量足夠大,同時服務器的信息安全也是需要考慮的,因此還需考慮將這些服務器至于企業的核心服務器的網絡中來保證其安全性和穩定性。
第二分析制造企業的專用業務系統對網絡架構的需求。例如生產制造系統、SAP、PDM、終端遠程監控、財務、OA、人力資源、SCM、CRM等業務系統,這些系統都是給集團部分不同用戶群提供訪問和進行數據交換需求的,因此對網絡的需求也是不同的。對于SAP、PDM、財務等這樣的系統都存在企業的機密數據信息且交換的數據量大,其對網絡要求除了帶寬要求之外,還需要對集團其他的用戶進行隔離和控制。因此對于研發服務的數據需要建立單獨的專用研發網絡,為其提供高可靠和安全的數據交換平臺;而對于遠程監控系統而言由于其產品的分布位置不受企業所控制,此時我們考慮協同使用通訊運營商的G網通過GRE技術建立專用隧道來滿足終端設備物理位置分散、變化和數據交換安全的需求;對于生產制造應用體系除了其物理位置的要求之外也同樣存在生產的機密數據,因此可建立同等重要的工業以太網來滿足工業設備的需求,其余的系統可根據安全程度和訪問群體的不同通過安全設備對用戶進行邏輯隔離。這樣就基本滿足了大型制造企業不同應用系統對網絡的需求。第三分析制造企業核心關鍵數據的存儲和備份對網絡的需求。隨著企業的不斷發展和擴張,企業的應用數據也越來越多,需要存儲和備份的數據也越來越大并且越來越重要。針對企業數據重要程度及訪問量的不同,我們采用NAS(Network Attached Storage)和SAN(Storage Area Network)兩種存儲架構。對于企業重要程度很高的數據采用SAN存儲網絡來提高備份存儲的安全和讀取性能。采用LAN.Free模式將數據通過SAN網絡直接寫入到備份設備中,備份/恢復操作的數據不需要經過LAN網絡,提高備份的速度和數據的安全性。對于重要程度高的數據采用NAS存儲技術及相關備份軟硬件,通過在NAS服務器上設置存儲空間和訪問權限,企業各用戶計算機和部分服務器上的數據通過公司現有局域網傳輸后可以統一存儲在NAS存儲服務器上,NAS存儲備份方式基本在基礎的網絡平臺上就能解決。這樣企業的存儲備份網絡得以實現。
第四分析制造企業的語音和視頻應用對網絡的需求。企業的監控、視頻、語音的應用上基本是部署在比較重要和關鍵的分支機構或區域的,這些多媒體的應用系統對網絡的帶寬和穩定性的要求相對較高。安防監控系統的數據量都較大且要求實時性較高,為不影響企業數據網的傳輸性能建議將企業的監控網絡是要與數據網絡物理分離,只將監控視頻的存儲設備或服務器同數據網絡互連。視頻和語音雖然不要求實時連接,但只要會話建立了就要求不能中斷、網絡延時和抖動都不能太大。因此語音和視頻的網絡要求即要求能保證企業的局域網和廣域網的穩定性和帶寬能被滿足。另外由于語音視頻使用的是數據網絡,因此我們還可以通過QoS來保障視頻和語音在傳輸過程中的帶寬和優先級,從而為其提供更好的網絡服務和性能。
以上從四個方面對制造企業的基礎應用方面對網絡架構的設計做了簡單的需求分析和說明,在基礎網絡架構的基礎上更加清晰和豐富了設計者們對企業網絡架構設計的思路和原則。
2.1.3信息安全網絡需求分析
制造企業信息安全體系的建設和發展是信息化提升的又一個階段,企業IT的管理員們在經歷了從基礎網絡建立到大型網絡業務應用系統的架構設計和部署后,逐漸發現單純的將網絡和系統建立起來供企業用戶使用以便能夠更加快捷和準確地完成工作的基礎信息化建設已告一段落,接下來的他們面對的問題則是種種信息安全問題。例如,企業網絡內的受到病毒或ARP攻擊、洪水泛濫導致局部網絡癱瘓;應用服務經常不能正常提供服務;數據庫數據經常出現丟失和錯誤;終端計算機及服務器運行緩慢;企業機密數據隨意被獲取傳播等等一系列的安全問題,使得IT管理者們在網絡和系統的管理和維護上力不從心,花費大量的精力和時間在解決問題和修復系統和網絡上。這樣使得業務系統和網絡中斷帶來的經濟損失是巨大的。管理者不得不在網絡和系統架構上進行不斷地改造和進行網絡安全提升,最大可能性的降低因安全問題造成的網絡和業務中斷的幾率,提高企業密級數據的安全受控性,防止知識產權或專利技術外泄。在安全架構建立的基礎上使企業網絡及業務系統能趨于穩定、連續、安全、可靠,用戶滿意度得到大幅提升。以此來滿足企業數據安全和用戶業務需求,并一定程度上降低管理人員的工作量。
針對制造企業數據可從以下五個方面對信息安全進行需求分析:計算機系統安全,應用服務安全,企業密級數據安全,互聯網安全,局域網安全。計算機系統安全在制造企業中一般是指用戶網絡接入安全控制、病毒攻擊、數據丟失等現象。用戶接入認證采用基于端口的訪問控制(IEEE 802.1x)協議,IEEE 802.1x協議的體系結構包括三個重要的部分:客戶端(SupplicantSystem),認證系統(Authenticator System),認證服務器(Authentication ServerSystem)。通過嚴格的策略匹配對接入用戶端進行隔離、阻斷等操作。病毒一般是指因移動存儲、光盤、文件共享、互聯網、郵件等方式進行病毒傳播導致終端系統運行緩慢、系統與軟件崩潰、數據泄露、網絡擁塞等現象。因此需要對網絡架構進行合理的設計和規劃,從網絡上阻止病毒數據進行大范圍的傳播和泛濫。
應用服務安全是指由于對外提供的服務被病毒、木馬、惡意腳本對服務本身或服務器系統漏洞進行攻擊而造成的系統、服務、數據庫等不可用或崩潰的自身安全威脅。因此企業的重要應用服務能夠穩定安全的運行不僅要對系統和服務自身進行安全加固,同時也需要在一個安全、快速、穩定、受控訪問的網絡環境中安全的運行。
企業密級數據安全是指由于企業不同密級程度的數據受到安全威脅。例如研發、生產、財務、銷售、客戶資料等數據在企業內部都在不同密級程度上的敏感數據,而這些數據又要為企業內部工作人員提供服務,為保證這些數據在一個安全、干凈、有保障的網絡環境下傳輸和訪問而不被不知情地外泄。因此為滿足這兩方面需求則需要設計不同安全域及受控訪問程度的網絡架構尤為重要。
互聯網安全是企業存在安全隱患最大的網絡區域,因為在這個區域內存在企業內部數據與互聯網數據的交換。而在沒有安全網絡的控制下,互聯網的相當多的病毒、木馬、惡意腳本程序、流氓插件等臟數據就會順利的進入到企業的內部網絡從而導致企業網絡和應用系統的癱瘓,所以在設計企業互聯網出口架構時對互聯網的安全考慮是非常重要的。
局域網安全是指未經合法授權,對網絡設備及數據資源進行非法使用,或擅自擴大權限,越權訪問信息,對網絡設備進行攻擊,對應用服務進行端口和漏洞掃描嗅探等操作導致的安全威脅。針對這種情況需要管理者對企業網絡的架構有深入的了解和掌控,不斷地進行網絡安全的提升和安全漏洞的防范。
通過對企業信息安全以上五個方面對網絡的需求可以大概的了解,信息安全是在基礎網絡架構的基礎上對企業網絡的一個功能完善和安全提升的過程。所以要滿足企業信息安全的網絡需求需要設計者們縱觀全網架構及全安全風險隱患,才能設計出適合企業業務和安全需求的網絡架構。
2.1.4企業培訓基地網絡需求分析
企業培訓機構作為企業的后備人力資源儲備機構其網絡架構類似于校園網絡架構其網絡承載的應用系統多而雜。一般情況校園網絡包括:計算機網絡、數字圖書館、多媒體、VOD點播、遠程教學、數字化語音、校園廣播、校園電視臺及有線電視、安防及警報等等一系列基礎管理的相關應用。以下將從各個方面對企業校園網的架構設計需求進行分析和討論。
企業培訓基地一般是企業進行人才儲備和對在職人員進行職能技術提升的一個工作場所,對企業的快速對外擴張和發占有著重要后背作用。本論文所涉及在校師生約5000人的校園規模對校園網絡架構進行需求分析。校內按照樓宇劃分為行政、教學、實習車間、宿舍、圖書預覽、餐廳、運動場等教學場所,按照以上校園業務的需求這些場所都需要網絡覆蓋。尤其是行政和教學樓的網絡需要進行精心設計才能保證滿足各類業務的需求和安全。學校大約有120間行政辦公室、100間大小授課教室,包含30個閱覽室的電子圖書館、30個多媒體教室、20個數字語音教室、10個計算機教室、10個模擬實驗室,這些地點均需要網絡全覆蓋。通過網絡承載校園網絡包含的所有業務數據。企業培訓基地骨干網絡傳輸性能和處理帶寬能夠滿足學校辦公、多媒體課件遠程制作及傳輸、計算機教學、多教室VOD和課件點播、音視頻網絡教學評估、視頻會議及遠程教學等需要即可。
由于企業校園網絡可作為企業的一個分支機構考慮,因此架構設計者可以將其作為一個分支機構考慮與集團總部相連,但其校園內網的網絡則需要根據以上提出的校園的實際業務需求進行架構設計和部署。具體細節的設計方案將在后面第二節中具體說明和闡述。
2.1.5核心網絡架構可靠性需求分析
制造企業網絡架構設計最終還需要考慮整體網絡的可靠性問題,因此網絡平臺的可靠性也是網絡架構設計的需要考慮和分析一個重要因素。可靠性泛指系統在規定條件下和規定時間內、完成規定功能的概率。對于網絡系統來說也就是能夠規定的時間內完成數據完整安全的傳輸,那么如何來保證數據的完整安全的傳輸,架構設計者們就應針對所建立的企業網絡架構進行網絡可靠性的安全提升和性能優化。網絡架構的可靠性需求可從兩個方面來分析:一是網絡可用性,二是安全穩定性。由于本論文涉及制造企業及分支機構覆蓋的地域范圍較廣,所以本論文就對所設計的網絡環境中企業骨干和核心網絡架構的可靠性進行分析和探討,主要包括交換路由網絡設備、核心服務器區域網絡、匯聚層網絡、VPN網絡、MPLS.VPN網絡、無線網絡、車間廠房工業以太網絡的網絡中設備和物理線路可靠性。
首先了解網絡設備可靠性的基本含義。網絡的可靠性并不是單純網絡設備或節點的通斷,而是一種綜合管理信息,以反映支持業務的網絡是否具有業務所要求的可靠性。計算機網絡可靠性可以被定義為某種產品和服務根據需要保持運行的可用概率。可靠性表示為百分比:
(協議服務時間一失效時間)÷協議服務時間×100%
在數據網絡中,網絡的可靠性被定義為產品或服務處于工作狀態時所期望達到的連接時間的平均值。即:
可靠性=[1.(連接中斷的時間總和)÷(生產連接時間總和)×100%(2.2)在這里是指終端A到終端B之間的數據的成功傳送,涉及物理層連通性、鏈路層協議連通性和網絡協議層連通性。針對網絡可靠性而言,有一種情況可能會經常發生,即當某一設備或連接中斷時,可靠性不受影響,因為存在冗余連接和2、3層協議的快速匯聚,但需要考慮冗余連接同時失效時對可靠性的影響。數據的成功傳送同樣也是重要參數,它取決于具體的設備性能和應用。如果某一連接由于隊列、傳輸距離或設備延遲變得很慢,那么某些應用將不可用,多數企業會認為此類型的連接是無效的,上層協議和應用可能會超時。而對于實際網絡中數據的傳輸要經過很多串聯或并聯的網絡設備及鏈路,下面就分析串聯設備和并聯設備的可靠性情況。
串聯聯接的設備用邏輯或門表示,意思是任何一個設備故障都會引起網絡發生故障或事故。串聯設備組成的系統,其可靠度計算公式如下:
式中Ri為每個設備的可靠性;n為設備的數量。即經過n個串聯設備的網絡故障概率P由下式計算:
式中Pi為每個設備的故障概率。只有A和B兩個設備組成的網絡,上式展開為:
P(A或B)=P(A)+P(B)一P(A)P(B) (2-5)
如果設備的故障概率很小,則P(A)P(B)項可以忽略,此時式(2-5)可簡化為:
P(A或B)=P(A)+P(B)一P(A)P(B) (2-6)
式(2-4)則可簡化為:
當設備的故障率不是忽略時,不能用簡化公式計算總的故障概率。
并聯聯接的設備用邏輯與門表示,意思是并聯的幾個設備同時發生故障,系統就會故障。并聯設備組成的系統故障概率P的計算公式是:
并聯網絡的可靠性計算公式如下:
即得出了設計的網絡架構的可靠性。
網絡線路的可靠性通常由線路的連通性、線路的響應時間和線路的傳輸丟包三個指標決定,這三個因素相互關聯,影響線路的可靠性。當線路的響應時間在業務需要的范圍內時,線路的可靠性反映了線路的可用狀況;當線路的響應時間超出業務允許的范圍時,即使線路連通并沒有丟包,線路的可靠性也為0;當線路的響應時間處于中間狀態,部分影響業務時,線路的可靠性為在可靠性乘以一定的系數,一般為50%。架構設計者可根據鏈路的這三個指標來衡量選擇可靠的線路運營商或結構,同樣通過以上串并聯設備可靠性計算方法與關系就可以計算出某線路的可靠性。這樣通過網絡線路的可靠性就可以比較客觀和準確地反映線路的服務質量。
因此不同的網絡架構其可靠性也有很大的差異。這是設計者們設計合理的高可靠性的網絡架構過程中需要關注的重要因素。根據以上設備和鏈路的可靠性需求分析,對企業網絡的核心設備和骨干鏈路都采用冗余備份或者負載均衡的方式設計和部署,核心服務器區域三層VLAN都配置為VRRP,設備互連采用雙鏈路配置雙動態路由方式負載分擔。這樣從設備及鏈路上就很大程度地提高了企業網絡架構的可靠性。
2.1.6網絡架構需求分析總結
通過對制造企業的網絡架構的基礎數據、應用系統、信息安全、核心網絡可靠性及企業培訓校園五個方面的需求分析,已經基本了解制造企業網絡架構的基本和特殊需求。企業基礎數據的交換和共享是對企業網絡架構的基本要求,即集團與各分支機構網絡互連互通,但考慮到由于地域差別帶來的互連方式和費用的不同,提出了幾種具有很強針對性的互連方案。應用系統是對企業網絡要夠更改一層的需求,它不僅要求網絡的互通可達性還要求網絡的帶寬、性能、安全、專用等更高的需求,從四個方面分析了企業應用系統對網絡架構的需求情況并給出相對應的設計方案。信息安全是在滿足企業應用系統需求的基礎上對網絡架構的一個提升和優化,主要從制造企業五個基本的信息安全方面分析了對網絡架構的需求,盡可能的從網絡結構上去阻止和隔離非法訪問和數據傳輸的安全事故。企業培訓校園是按照一個中等規模大小的校園網絡需求進行設計的,基本滿足了需求。企業核心網絡的可靠性是網絡需求分析的重點,詳細分析了網絡中可靠性的概率評價算法以及網絡架構中設備及鏈路可靠性的設計方案和基礎架構。從整體上已經對制造企業網絡架構有了初步的了解并規劃出大概的網絡架構模型。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文網址:http://www.guhuozai8.cn/html/consultation/1083942247.html
相關文章
