引言

    隨著當(dāng)前中國經(jīng)濟(jì)的高速發(fā)展，各企業(yè)的業(yè)務(wù)也隨之快速擴(kuò)張，由于市場(chǎng)競(jìng)爭(zhēng)的需要，企業(yè)圍繞關(guān)聯(lián)產(chǎn)業(yè)和產(chǎn)業(yè)鏈形成有機(jī)的分工與協(xié)作關(guān)系的園區(qū)正在快速的發(fā)展，逐漸在區(qū)域形成了聚集效應(yīng)。園區(qū)經(jīng)濟(jì)的形成也給各個(gè)企業(yè)帶來了新的課題，為了提高競(jìng)爭(zhēng)力，推進(jìn)上下游產(chǎn)業(yè)的協(xié)同工作，進(jìn)而更好地管理和溝通，就需要打通企業(yè)或部門間的壁壘，使企業(yè)的信息流暢通。但目前，多園區(qū)工廠的計(jì)算網(wǎng)絡(luò)建設(shè)面臨著以下幾個(gè)挑戰(zhàn)：高可靠、高性能、高融合、高安全、可擴(kuò)展。

1 網(wǎng)絡(luò)技術(shù)和拓?fù)浣Y(jié)構(gòu)選擇

    1.1 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

    在企業(yè)園區(qū)網(wǎng)絡(luò)整體設(shè)計(jì)中，宜采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。典型的企業(yè)園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)可以分成三層：接入層、匯聚層、核心層。

    1.2網(wǎng)絡(luò)虛擬化

    為了提高網(wǎng)絡(luò)的可靠性，傳統(tǒng)的網(wǎng)絡(luò)骨干拓?fù)浣Y(jié)構(gòu)一般采用冗余鏈路的方式提高數(shù)據(jù)交換的可靠性，其中備份的鏈路可以在鏈路或設(shè)備故障的時(shí)候啟用，從而縮短鏈路中斷的時(shí)間。在網(wǎng)絡(luò)的核心層，標(biāo)準(zhǔn)的解決方案就是提供兩臺(tái)核心交換機(jī)，并采用VRRP 協(xié)議使其相互冗余，接入層交換機(jī)通過STP 協(xié)議，通過冗余鏈路連接至兩臺(tái)核心交換機(jī)。采用STP 協(xié)議可以自動(dòng)阻塞其中一個(gè)端口，從而保證網(wǎng)絡(luò)中不會(huì)出現(xiàn)環(huán)路，從而避免產(chǎn)生廣播風(fēng)暴。

    1.3 網(wǎng)絡(luò)隔離設(shè)計(jì)

    目前在多園區(qū)企業(yè)存在著生產(chǎn)制造、運(yùn)行管理、設(shè)計(jì)研發(fā)、園區(qū)管理、視屏?xí)�議等多種業(yè)務(wù)，因此在設(shè)計(jì)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)的同時(shí)需要考慮如何將各種業(yè)務(wù)進(jìn)行邏輯隔離，確保各部門業(yè)務(wù)的獨(dú)立性和安全性，并且需要考慮在部署了業(yè)務(wù)隔離之后，如何對(duì)部分?jǐn)?shù)據(jù)進(jìn)行共享。

    1.4 VLAN技術(shù)

    VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是一種二層隔離技術(shù)，其原理是在交換機(jī)上劃分多個(gè)VLAN，某 一個(gè)VLAN內(nèi)的用戶是相互可訪問的，但一個(gè)VLAN的數(shù)據(jù)包在二層交換機(jī)上不會(huì)發(fā)送到另一個(gè)VLAN，這樣，其他VLAN的用戶的網(wǎng)絡(luò)上收不到任何該VLAN的數(shù)據(jù)包，這樣就確保了該VLAN的信息不會(huì)被其他VLAN的人所竊聽，從而實(shí)現(xiàn)了信息的保密。

圖1 VLAN技術(shù)

    由于VLAN是邏輯上對(duì)網(wǎng)絡(luò)進(jìn)行劃分，組網(wǎng)方案靈活，配置管理簡(jiǎn)單，降低了管理維護(hù)的成本，在二層網(wǎng)絡(luò)中是一種安全高效的虛擬化技術(shù)。

    1.5 VPN技術(shù)

    VPN（Virtual Private Network，虛擬私有網(wǎng)）是一種基于三層的隔離技術(shù)，在20世紀(jì)90年代中期興起，旨在通過公用網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)類似專線的私有連接。其原理是在三層轉(zhuǎn)發(fā)設(shè)備（路由器或三層交換機(jī)）上為每個(gè)VPN建立專用的VRF（Virtual Route Forwarding）表，各VRF表相互獨(dú)立，具有特殊的標(biāo)記，通過專用的隧道（GRE、MPLS、TE、IPSec、L2TP）將各VPN數(shù)據(jù)在公共網(wǎng)絡(luò)上進(jìn)行轉(zhuǎn)發(fā)。通過特殊的標(biāo)記，VPN數(shù)據(jù)在VRF和專用隧道中相互隔離，保證VPN數(shù)據(jù)的隱密性。

圖2 VPN技術(shù)

    1.6網(wǎng)絡(luò)安全設(shè)計(jì)

    網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，需要作為一個(gè)整體考慮。網(wǎng)絡(luò)安全作為一個(gè)整體的安全架構(gòu)，可以從局部安全、全局安全、智能安全三個(gè)層面，為用戶提供一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體。

2 設(shè)計(jì)實(shí)例

    某企業(yè)園區(qū)現(xiàn)有五個(gè)生產(chǎn)制造園區(qū)進(jìn)行產(chǎn)品生產(chǎn)，一個(gè)綜合辦公樓，包括研發(fā)、管理、市場(chǎng)等業(yè)務(wù)部門，并且綜合辦公樓包含一個(gè)600平方米的數(shù)據(jù)中心。需要建設(shè)一個(gè)覆蓋而整個(gè)企業(yè)園區(qū)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)需要支持生產(chǎn)制造、運(yùn)行管理、設(shè)計(jì)研發(fā)、園區(qū)管理、視屏?xí)�議等多種不同規(guī)模的業(yè)務(wù)。

    2.1需求分析

    根據(jù)業(yè)主實(shí)際需求，將主要針對(duì)以下三個(gè)方面來對(duì)整體網(wǎng)絡(luò)進(jìn)行規(guī)劃:

    ·核心骨干網(wǎng)設(shè)計(jì)；

    ·功能隔離設(shè)計(jì)；

    ·網(wǎng)絡(luò)安全設(shè)計(jì)。

    2.2核心骨干網(wǎng)設(shè)計(jì)方案

    核心骨干網(wǎng)是整個(gè)網(wǎng)絡(luò)的主要設(shè)計(jì)部分，該部分網(wǎng)絡(luò)包括主辦公樓、五個(gè)園區(qū)匯聚和相應(yīng)的接入層網(wǎng)絡(luò)部分。整個(gè)網(wǎng)絡(luò)采用典型的三層架構(gòu):

    ·核心層

    作為園區(qū)核心節(jié)點(diǎn)，兩臺(tái)核心交換機(jī)部署于院區(qū)主辦公大樓，交換機(jī)之間采用萬兆鏈路互聯(lián)，與各個(gè)匯聚層節(jié)點(diǎn)也通過萬兆互聯(lián)，{司時(shí)使用千兆光口提供主辦公大樓內(nèi)的各個(gè)樓層交換機(jī)的接入，并在核心交換機(jī)上部署防火墻模塊和流量控制模塊。

    ·匯聚層

    園區(qū)共有七個(gè)匯聚節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)生產(chǎn)園區(qū)和辦公樓以及數(shù)據(jù)中心，各部署兩臺(tái)匯聚交換機(jī)，交換機(jī)之間采用雙千兆鏈路互聯(lián)，其與核心交換機(jī)之間以萬兆鏈路為主、千兆鏈路備份的方式進(jìn)行全互聯(lián)，每臺(tái)匯聚層交換機(jī)都配置一塊流量控制板卡。

    ·接入層

    所有接入交換機(jī)通過兩個(gè)千兆光口同匯聚交換機(jī)實(shí)現(xiàn)雙鏈路相連，從網(wǎng)絡(luò)性能出發(fā)，所有接入層采用千兆到桌面設(shè)計(jì)。

圖3 園區(qū)網(wǎng)絡(luò)規(guī)劃圖

    如圖所示，匯聚節(jié)點(diǎn)與核心交換機(jī)之問、接入層與匯聚層之間全部采用雙鏈路互聯(lián)�？紤]到匯聚交換機(jī)兩條上行鏈路在某些情況下(如園區(qū)建設(shè)中的施工原因等)出現(xiàn)鏈路中斷的可能，匯聚層再部署雙環(huán)的架構(gòu)，環(huán)上鏈路同樣運(yùn)行OSPI及MPLS，使得在主萬兆上行與備份千兆上行同時(shí)斷掉的情況下，可通過環(huán)網(wǎng)來保證業(yè)務(wù)的正常運(yùn)行，實(shí)現(xiàn)高速的鏈路自愈能力。

    2.3功能隔離設(shè)計(jì)方案

    VPN 所屬資源 VPN擁有的路由 備注

    L2/L3 L2/L3、 L2/L3、共享 無

    L4 L4 L4、監(jiān)控、Internet缺省路由、共享 互聯(lián)網(wǎng)出口增加ACL，禁止生產(chǎn)區(qū)IP訪問Internet

    Internet Internet L4、監(jiān)控、 互聯(lián)網(wǎng)入口增加ACL，僅允許合法互聯(lián)網(wǎng)IP訪問Internet

    監(jiān)控 監(jiān)控 監(jiān)控、L4、Internet、共享 無

    服務(wù)器群 OA、MES、ERP L2/L3、L4 各服務(wù)器僅允許自己業(yè)務(wù)相關(guān)的終端進(jìn)行訪問

表1 VPN規(guī)劃

    2.4網(wǎng)絡(luò)安全設(shè)計(jì)方案

    由于整個(gè)企業(yè)內(nèi)部的生產(chǎn)控制信令及相關(guān)數(shù)據(jù)的采集，均會(huì)通過服務(wù)器傳達(dá)。因此重點(diǎn)對(duì)服務(wù)器區(qū)域的安全防護(hù)進(jìn)行規(guī)劃。

    如下圖所示，整個(gè)數(shù)據(jù)中心主要由服務(wù)器區(qū)及安全管理系統(tǒng)區(qū)構(gòu)成。

圖 4 網(wǎng)絡(luò)安全規(guī)劃

3 結(jié)束語

    本文提出的基于MPLS VPN的虛擬多園區(qū)工廠計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)，網(wǎng)絡(luò)規(guī)劃邏輯清晰，邏輯隔離性強(qiáng)，配置和維護(hù)工作量��；且在傳統(tǒng)樹形結(jié)構(gòu)的基礎(chǔ)上融入雙環(huán)網(wǎng)的設(shè)計(jì)，保證了整個(gè)網(wǎng)絡(luò)的高可靠性。本文同時(shí)提出了整體安全架構(gòu)，從局部安全、全局安全、智能安全三個(gè)層面，為用戶提供一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體，為企業(yè)的各項(xiàng)業(yè)務(wù)提供了一種先進(jìn)、易用、安全、便于維護(hù)的多業(yè)務(wù)虛擬化網(wǎng)絡(luò)承載平臺(tái)。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：某多園區(qū)工廠網(wǎng)絡(luò)規(guī)劃與研究

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112157918.html