2．2制造企業網絡架構設計

    根據需求分析的結果我們就一步一步的去規劃和設計企業基礎的網絡架構模型和需求解決方案，從而使設計的網絡結構能夠較好的滿足企業用戶對網絡的不同需要，為企業量身打造一個合適的數據交換平臺，實現企業的快速發展和擴張的目標。

    2．2．1網絡架構設計思想及原則

    任何一個企業的網絡架構設計最初都是為了實現將不同物理位置的場所及機構的計算機網絡進行互通，同樣這個最基本的需求對于制造企業的網絡架構的設計也不例外，這也是企業計算機網絡的根本目的。但隨著企業數據業務需求的不斷改進和發展，企業網絡架構的設計從解決簡單的連通性轉化到了服務和變化于應用服務的應用型網絡架構上，逐漸轉化為面向應用的網絡架構(SONA)，因此網絡架構的設計者們設計的網絡架構也就必須要滿足企業各種業務需求，適應企業各種信息發展，并能提供給用戶更加方便快捷的辦公管理平臺。這也是設計企業網絡架構的思想。

    本論文的網絡架構設計原則是以滿足企業業務需求、符合高性能、高可靠、穩定安全、易擴展、架構清晰、易管理維護的網絡為基點和衡量標準。依照此原則和企業要求標準情況，網絡架構滿足要求的各項指標詳細情況通過下列兩個表詳細說明。網絡架構滿足企業涉及到業務的網絡需求，并能很好地承載所有業務的各項應用數據和服務。企業應用業務情況如表2．1：

    表2．1企業應用列表

    以上是在滿足企業基本網絡需求下的性能和可靠性指標的要求情況，因此企業需求也成為此本網絡架構設計的目標和性能參考標準。

    2．2．2網絡架構模型

    本節根據前兩節網絡需求分析結果和設計原則規劃出企業網絡架構的基本模型，分別設計出企業核心骨干、數據中心IDC、匯聚接入、VPN及互聯網、工業以太網基本架構和原始模型。

    企業核心骨干網絡包含集團總部核心、海內外大型分支機構、生產基地的核心路由交換和互連鏈路的網絡，網絡架構模型設計如圖2．1：

    圖2-1核心骨干網絡拓撲

    IDC骨干網絡是支持IDC多應用服務正常運行的基礎，在制造企業中包含支持研發、公共應用、財務等核心服務的網絡架構，模型如圖2-2:

    圖2-2 IDC骨干網絡拓撲

    匯聚接入網絡包含集團總部研發中心、辦公樓、學校、廠房、車間與核心三層互連和接入部分的網絡，網絡架構模型設計如圖2．3：

    圖2-3匯聚接入網絡拓撲

    互聯網及VPN網絡包含集團Internet、DMZ、營銷服務網點、移動用戶VPN網絡，由于現實部署中，防火墻交叉鏈路在現網中存在故障，因此此網絡架構模型為理想設計狀態，模型設計如圖2．4：

    圖2-4互聯網出口網絡拓撲

    工業以太網包含集團的可編程控制器、無線接入、電機驅動、傳感器等工業輸入輸出設備的接入網絡，網絡架構模型設計如圖2．5：

    圖2-5工業以太網拓撲

    以上針對制造行業企業5個不同的區域和功能，并按照企業對網絡的可靠性和安全性要求設計了與其對應的理想網絡架構模型。在現實中可能由于所選擇的設備的不同而存在不同的故障和問題，但均可在現網中實現。

    2．2．3網絡架構模型說明

    以上網絡架構模型分別設計了企業的核心、匯聚、應用服務、互聯網及工業以太網的模型。以下逐一對其結構進行簡單說明。

    核心骨干網的設計包含了集團總部及海內外大型分支、生產基地的網絡互聯模型，集團總部采用高端高性能交換機作為企業的核心交換，兩臺核心交換通過TRUNK萬兆接口互連，采用VRRP協議的可靠性配置與核心路由器互連。核心路由之間通過千兆互連，與分支機構采用SDH專線和MPLS．VPN專線做廣域網的互連冗余結構，SDH和MPLS廣域網鏈路可根據實際費用去選擇。分支機構核心交換和路由的互連與集團核心交換和路由結構相同，只是設備性能要求較低。使用OSPF路由協議，并將核心的路由全部動態發布到Area0區。

    數據中心網絡的設計包含了研發和公共應用服務兩大部分，兩個區域的數據都是企業安全性要求較高的，因此采用帶防火墻業務板的高端交換作為核心交換與集團核心交換全冗余交叉互連，既保證了可靠性也保證了安全性。機房的每個機柜都放置高性能的千兆接入交換，簡潔、美觀且實用。

    匯聚層網絡的設計涵概了集團所有匯聚接入的網絡情況，匯聚交換同樣采用雙鏈路雙機冗余與核心、接入交換分別互連，保證了網絡的高可靠性和數據交換性能。匯聚和接入交換啟用802．1X協議對用戶網絡接入進行認證和控制。

    互聯網部分包含Intemet、DMZ和VPN網絡，考慮到信息安全的問題所以網絡架構相對較復雜。企業Intranet至DMZ之間部署防火墻保證內網與DMZ區域數據交換的安全，DMZ至Internet之間再部署防火墻保證DMZ與Internet之間數據交換的安全，在Intranet至Intemet之間增加行為控制設備，在出口防火墻外旁路IPS設備對互聯網數據進行入侵檢測和防御，ISP線路通過鏈路負載均衡對互聯網流量進行負載。駐外移動用戶通過部署在DMZ的Ipsec VPN和SSLVPN與DMZ核心交換互連，在通過內網防火墻對數據進行授信訪問。集團營銷服務網點可通ISP線路與DMZ的VPN Router建立點對點的VPN。

    生產制造車間的工業以太網是為了解決車間和生產工控設備的只能控制和生產數據的下發執行。通過工業交換機和可編程控制器將工業設備級網絡通IP數據網絡結合在一起，實現了辦公、智控及人機交互設備網絡的智能一體化。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：集團企業網絡架構及安全部署的設計與實現（三）

本文網址：http://www.guhuozai8.cn/html/consultation/1083942248.html