2．3制造企業網絡架構實現

    網絡架構雛形基本分析設計完成，下面就設計的模型進行部署和實現，能夠更清晰和實際地了解企業網絡架構。

    2．3．1網絡架構實現過程及步驟

    模型的實現分為幾個四個步驟來完成。首先規劃集團IP地址空間范圍，其次部署和實現企業核心層的網絡架構，再次是核心架構的基礎上部署匯聚層和生產車間網絡架構，最后是安全威脅較大的DMZ、VPN及互聯網架構的部署。

    根據本論文設計的企業規模大小，網絡地址進行規劃原則如下：

    一、總體原則

    規范性一網絡地址空間劃分和分配是基于對全集團的應用部署、數據流向和用戶訪問的全面理解，結合業界最佳實踐對全集團規劃、分配、使用IP地址具有指導和強制作用，是企業未來IP地址管理體系重要組成部分。

    標準性-IP地址的分配空間符合RFCl918的標準規定。

    可擴展性．網絡地址在功能、容量、覆蓋能力等各方面具有易擴展能力，以適應快速的業務發展對基礎架構的要求。

    連續性．在網絡規模擴展時能保證地址匯總所需的連續性。網絡地址空間劃分采用分層、分級結構化方法，按職能劃分連續地址，易于進行路由匯總。靈活性．地址分配應具有靈活性，借助可變長子網掩碼技術，支持多種路由策略的優化和充分利用地址空間。

    二、規劃說明

    考慮集團數據中心、災備中心和海外數據中心的功能，并結合未來5．10年的發展，各預留2個B類地址。國內數據中心總體預留2個B類地址段。國內災備中心總體預留2個B類地址段。亞洲數據中心總體預留2個B類地址段。歐洲數據中心總體預留2個B類地址段。美洲數據中心總體預留2個B類地址段�；�于對集團國內主要分支機構現狀的了解，以及對集團未來5．10年發展的預測，集團國內外現有10個子公司，考慮每年平均20％增長， 5年后10*1．2*1．2*1．2*1．2*1．2≈25，每子公司最大預留1個B類地址段，總共分配了24個B類地址�？紤]到冗余，集團為國內外子公司總體預留24個B類地址段。預計分支機構用戶終端數目小于10000，分配64C地址。以50個國內外分支機構計算，考慮每年平均20％增長，5年后集團需要50*1．2*1．2*1．2*1．2*1．2≈-125．國內每外分支機構最大預留8個C類地址段。國內集團總體需要預留地址空間為：8C*125=1000 C類地址空間。考慮到冗余，集團為國內外分支機構總體預留8個B類地址段。其他分支機構P地址空間，參考分支機構和集團網絡規模。集團為國內外其他分支機構總體預留2個B類地址段。IP地址空間規劃如表2．3：

  表2．3數據中心IP地址空間表  

    表2．3和表2．4是根據企業網絡規劃原則和企業擴張發展速度定義的IP地址空間范圍，將數據中心與功能區域地址劃分在2個128的B類網絡中。以上IP地址空間的規劃是企業網絡架構設計具有擴展延伸、地址冗余、清晰靈活、易于管理的重要基礎和組成部分。

    表2．5應用服務區及設備IP地址空間表

    表2．6功能區域IP地址空間表

    表2．5及表2．6詳細規說明了應用服務區、互聯網、VOIP、視頻會議、設備及APN專用網IP地址的規劃細節情況。為我們以下網絡的實施和部署奠定了基礎，也將整個網絡架構在P地址空間上做了清晰設計和規劃。

    核心層的部署首先要根據企業現有業務數據流量及將來擴張的情況選擇高性能的核心交換和路由來保證背板帶寬和交換容量。核心設備放置于企業核心IDC交換機房，核心設備均使用雙機做負載和冗余．核心交換之間使用萬兆TRUNK互連，核心路由使用千兆互連，交換和路由間使用千兆全冗余交叉互連。物理連接完畢后根據規劃網絡地址的其實開始配置核心和路由的互連接口地址并調試通過。對于集團與分支機構鏈路需與ISP服務商選擇合理帶寬的SDH和MPLS聯調通過。分支機構的核心設備部署、配置和調試同集團步驟相同。

    匯聚層和生產車間網絡的部署相對核心層的比較簡單和容易些，網絡模型和配置都與核心層的相似。同樣根據辦公區域和生產車間的數據流量大小來選擇適合的三層交換設備，上行采用光纖同核心互連，下行千兆至接入交換。車間工業以太網絡主要是對IO設備數據的交換處理，將IP網絡數據通過控制程序下發至工業智能IO設備，工業交換與通過單模或多模光纖與匯聚交換互連，也可直接與核心交換互連。

    互聯網部分的網絡架構部署因為考慮到安全問題，因此部署比較復雜和繁瑣。適合企業互聯網出口的最終網絡架構是在不斷地對企業互聯出口網架構的安全提升和性能優化的實踐基礎上形成的。一般的互聯網出口網絡架構是互聯網線路直接接入防火墻，然后防火墻直接與核心交換互連的簡單結構。起初設計也是如此，但這種結構已經逐漸不能滿足企業日益變化和更新的業務需求，同時逐漸不能有效地控制和防范外部數據的安全威脅。因此本論文設計的互聯網出口架構是把安全放在首要位置設計的，增加入侵防御設備(IPS)和行為控制設備嚴格的對互聯網數據，將IPS部署在防火墻外側，行為控制部署在防火墻內測。由于企業內網與DMZ的數據和互聯網數據都需要防火墻來過濾轉發控制，這樣增加了防火墻的負載壓力，所以在增加內網防火墻降低負載并提高互聯網訪問的安全指數。最后提高互聯網的帶寬增加不同的ISP線路并增加鏈路負載均衡提高出口訪問性能。以上部署的設備都采用雙機形式提高互聯網訪問的可靠性。VPN網絡架構在互聯網的基礎上分為三部分IPSEC、SSL和點對點。IPSEC和SSL的wan口都掛接在負載后提高對外部用戶的訪問性能，內口掛接在DMZ交換上在通過內網防火墻對數據進行過濾和控制。Site—to-site VPN直接同分支結構VPN路由通過ISP互通，內口接入DMZ交換上通過內網防火墻進行控制和過濾。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：集團企業網絡架構及安全部署的設計與實現（四）

本文網址：http://www.guhuozai8.cn/html/consultation/1083942249.html