本文以天瑞集團核心機房,集團大廈樓層、一個本地公司、一個外地分公司網絡建設為例,介紹了以集團為核心的幾個不同地理位置的企業如何規劃組成一個大型的局域網,如何合理的規劃設計,以滿足企業信息化發展需要。
一、需求分析以及實施目標
在網絡建設中,首要工作是需求分析,確定企業信息網絡建設應該滿足哪方面的要求、考慮哪方面的因素。具體可歸結以下幾個方面:
1、網絡連通性、高性能、可靠性
網絡在初始建設時不僅要考慮到如何實現數據傳輸,還要充分考慮充裕的帶寬,較強的處理能力,網絡的冗余與可靠。
2、網絡安全性
企業在局域網和廣域網中傳遞的數據都是相當重要的信息,因此一定要保證數據安全保密,防止非法竊聽和惡意破壞,在網絡建設的開始就應該考慮采用嚴密的網絡安全措施。
3、網絡的可管理性
隨著計算機網絡的發展,網絡規模的增大,網絡應用也日益多樣化,網絡管理也變得越來越重要。良好的網絡管理,能夠主動控制網絡,及時分析網絡流量,了解網絡健康狀況,有預見性地發現網絡上的問題,并將其消滅于萌芽狀態。
4、網絡擴充性
隨著企業規模的擴大、業務的增長,網絡的擴展和升級是不可避免的。通過模塊化的網絡結構設計和模塊化的網絡產品,能為網絡提供很強的擴展和升級能力。
5、網絡環境規劃
針對企業現有的信息網絡狀況采取不同的應對策略來架構整個企業信息網絡系統,需要考慮的情況有:企業信息網絡是否屬于新建,新建的網絡如何統籌規劃;如果有原有的網絡,怎么規劃將其聯接起來;如何實現企業網絡的遠距離連接,以及網絡能否滿足移動工作環境等。
6、網絡的多媒體支持等
隨著視頻會議等多媒體技術的日趨成熟,網絡傳輸的數據已不再是單一數據了。企業在網絡中.應考慮網絡的多媒體支持。同時,在網絡帶寬非常寶貴的情況下,在設備選型上要考慮是否有豐富的QoS機制、高性能,如:IP優先、排隊、組播和鏈路壓縮等優化技術使多媒體和關鍵業務得到有效的保障。通過以上分析,確定了以下網絡實施方向以及實施目標:
實現天瑞集團辦公大樓與核心機房局域網高速互聯;實現本地企業網絡系統與集團總部核心網絡系統高速可靠互聯;實現外地企業計算機網絡系統到集團總部核心網絡系統的可靠、安全互聯;
實現各分公司辦公樓、門崗、磅房、票房、袋裝發料處、倉庫等網絡可靠互聯:
最終形成以集團總部為核心下屬企業為分支高效、可靠、安全的企業信息化系統通信平臺。
二、規劃設計
在確定了建設需求和目標后,就應該由企業主抓信息化領導、網絡管理人員、系統實施人員共同建立信息處理模型來達到對企業信息網絡建設認識上的一致。這個模型通常包括網絡拓撲結構、業務流程等部分。它必須能夠反映企業內的業務工作流程,明確企業信息流的基本走向,反映企業信息大致方向,從而為網絡建設的總體規劃制定科學依據。
在設備的采購上,要充分考慮到各企業的實施進度,利用時間差,集中分布購買相關設備,降低采購成本。為保障網絡的建設以及后期維護能夠順利進行,企業在網絡實施過程中應培養一批素質高的網絡管理維護人員,以上工作準備好后就可以進行網絡設計建設了。
三、網絡方案具體設計
網絡方案具體設計圖,如圖1所示。
圖1 網絡方案具體設計圖
在本方案中分四個部分進行設計:中心機房、集團各樓層,本地企業,外地企業。此次方案以H3C設備為例,介紹了相關技術的應用和設計思想,并大致列出在網絡施工中注意事項以及無線設備、IC卡在企業的應用。
1、集團核心機房設計
集團核心機房設在7樓的中間位置,該房間放置核心網絡設備以及各應用服務器,其中包括ERP服務器、OA服務器、郵箱服務器、殺毒服務器、網管服務器、視頻會議服務器等。
由于所有的信息應用都集中在核心機房,需提供業務系統應用、辦公自動化、遠程互聯等復雜的網絡應用。核心交換選用兩臺H3C 7506系列具有三層交換功能的千兆模塊化交換機作為主干核心交換機,兩臺核心交換機間用專用線路連接,組成鏈路聚合,這樣即可保證兩個核心交換機的高帶寬高性能,也可保證單條鏈路失敗而引起的中斷。在兩臺核心交換機上為每個樓層、核心機房匯聚交換機S5510,各應用服務器劃分出相應VLAN(網段),并且在該VLAN上啟用VRRP(虛擬路由冗余協議),保證一臺核心交換機出現故障或某條線路出現故障時可以進行設備和鏈路上的自主切換。為保護核心交換機不會因某個網段中出現廣播風暴、二層物理環路、不跨網段的病毒、木馬的攻擊而造成其受到沖擊,從而導致核心交換機性能大幅度下降或癱瘓造成全網的癱瘓,在樓層交換機、核心機房匯聚交換機、核心交換機之間使用網絡三層路由連接模式。
考慮到本地子公司的網絡自成體系,通過租用運營商光纖線路直連到核心機房匯聚交換機,單個子公司的局域網廣播數據流不擴展到全網,單個子公司的網絡故障不應該擴展到全網,核心機房匯聚層交換機采用H3C公司的S5510系列的具有路由功能的三層交換機,以達到網絡隔離和分段等目的。
防火墻是核心網絡中最重要的設備,它的穩定可靠將直接影響著基于internet應用的安全與可靠。由于防火墻是internet與局域網之問的唯一訪問通道,其性能的好壞也將直接影響到internet應用的性能,因此本方案中選用具有優異性能與可管理性的H3C F1OOO-S防火墻,F1OOO-S防火墻具有VPN、流量管理、強大的網絡安全策略等功能,能夠滿足苛刻環境下的峰值負載和很高的防御需求,通過租用兩條不同運營商線路互備,作為集閉以及本地企業訪問互聯網絡的總出口以及各分公司VPN鏈路接入。
服務器安裝兩塊T兆網卡分別使用兩條鏈路連接到兩臺核心交換機,在核心交換機上為服務器群劃分出相應的VLAN(網段)并啟用VRRP協議,保證一個核心設備出問題后,可自主切換到另一個核心設備鏈路,使服務器對外網絡服務不中斷。
2、大廈樓層設計
樓層接入設備選擇H3C公司的3600系列三層智能以太網交換機。通過兩個千M上行鏈路光口,兩條多模光纖鏈路分別上連到兩臺核心交換機互為冗余,對大廈樓層計算機偏多的,可直接通過多臺交換機進行堆疊的方式來滿足大量PC接入的需求,并啟用VRRP(虛擬路由冗余協議),STP(生成樹協議)實現在冗余線路上的負載均衡和上行線路發生故障時的快速恢復。
3、本地分公司設計
本地分公司同樣選擇三層H3C 3600系列交換機,通過租用運營商光纖線路直連接入匯聚三層交換機光纖模塊,為了保證網絡鏈路的冗余,本地分公司采用F1OO-S防火墻,租用另一個運營商線路通過VPN實現與集團的網絡連接,通過在設備上設置優先級,以實現主備線路的自動切換。
4、外地分公司設計
H3C F100-A或F100-S防火墻作為企業網絡總出口,采用光纖線路訪問互聯網和通過VPN的方式訪問集團內網,在有限的帶寬情況下,在防火墻上根據IP地址段進行流量和速度限制,以滿足不同業務系統的需求。由于租用專線線路成本過高,暫時沒有考慮,可考慮架設雙線路,實現線路冗余互備。內部互聯使用三層H3C 3100可網管交換機劃分VLAN并對不同職能部門的電腦進行分段等管理;
5、路由交換設計
整個網絡采用靜態路由和動態OSPF路由相結合的方式。在核心防火墻(F1OOO-S)使用缺省靜態路由作為本地企業以及大廈樓層訪問互聯網需求,防火墻(F1OOO-S)、兩臺核心交換機、匯聚交換機(S5510-24F)以及本地分公司之間啟用動態OSPF路由。天瑞大廈各樓層交換機使用缺省路由。本地分公司交換機與防火墻F1OO-S以及VPN鏈路使用靜態路由,外地分公司使用一條缺省路由指向Internet網,數條直連路由以VPN方式連接核心機房,通過設置路由優先級,線路偵測技術實現主備線路自主切換。
6、VLAN設計以及IP地址規劃
為保證網絡管理的方便性和安全性以及整個網絡運行的穩定性,必須對網絡進行VLAN劃分,通過劃分VLAN可有效抑制網絡風暴、提高網絡整體安全性,同時也便于管理; VLAN劃分的原則是根據部門職能的不同和業務的交叉范圍或者安全考慮進行劃分,大致情況見下表1所示:
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:集團化企業網絡建設方案與實踐(上)