本文以天瑞集團(tuán)核心機(jī)房，集團(tuán)大廈樓層、一個(gè)本地公司、一個(gè)外地分公司網(wǎng)絡(luò)建設(shè)為例，介紹了以集團(tuán)為核心的幾個(gè)不同地理位置的企業(yè)如何規(guī)劃組成一個(gè)大型的局域網(wǎng)，如何合理的規(guī)劃設(shè)計(jì)，以滿足企業(yè)信息化發(fā)展需要。

一、需求分析以及實(shí)施目標(biāo)

    在網(wǎng)絡(luò)建設(shè)中，首要工作是需求分析，確定企業(yè)信息網(wǎng)絡(luò)建設(shè)應(yīng)該滿足哪方面的要求、考慮哪方面的因素。具體可歸結(jié)以下幾個(gè)方面：

    1、網(wǎng)絡(luò)連通性、高性能、可靠性

    網(wǎng)絡(luò)在初始建設(shè)時(shí)不僅要考慮到如何實(shí)現(xiàn)數(shù)據(jù)傳輸，還要充分考慮充裕的帶寬，較強(qiáng)的處理能力，網(wǎng)絡(luò)的冗余與可靠。

    2、網(wǎng)絡(luò)安全性

    企業(yè)在局域網(wǎng)和廣域網(wǎng)中傳遞的數(shù)據(jù)都是相當(dāng)重要的信息，因此一定要保證數(shù)據(jù)安全保密，防止非法竊聽和惡意破壞，在網(wǎng)絡(luò)建設(shè)的開始就應(yīng)該考慮采用嚴(yán)密的網(wǎng)絡(luò)安全措施。

    3、網(wǎng)絡(luò)的可管理性

    隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)規(guī)模的增大，網(wǎng)絡(luò)應(yīng)用也日益多樣化，網(wǎng)絡(luò)管理也變得越來(lái)越重要。良好的網(wǎng)絡(luò)管理，能夠主動(dòng)控制網(wǎng)絡(luò)，及時(shí)分析網(wǎng)絡(luò)流量，了解網(wǎng)絡(luò)健康狀況，有預(yù)見性地發(fā)現(xiàn)網(wǎng)絡(luò)上的問(wèn)題，并將其消滅于萌芽狀態(tài)。

    4、網(wǎng)絡(luò)擴(kuò)充性

    隨著企業(yè)規(guī)模的擴(kuò)大、業(yè)務(wù)的增長(zhǎng)，網(wǎng)絡(luò)的擴(kuò)展和升級(jí)是不可避免的。通過(guò)模塊化的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)和模塊化的網(wǎng)絡(luò)產(chǎn)品，能為網(wǎng)絡(luò)提供很強(qiáng)的擴(kuò)展和升級(jí)能力。

    5、網(wǎng)絡(luò)環(huán)境規(guī)劃

    針對(duì)企業(yè)現(xiàn)有的信息網(wǎng)絡(luò)狀況采取不同的應(yīng)對(duì)策略來(lái)架構(gòu)整個(gè)企業(yè)信息網(wǎng)絡(luò)系統(tǒng)，需要考慮的情況有：企業(yè)信息網(wǎng)絡(luò)是否屬于新建，新建的網(wǎng)絡(luò)如何統(tǒng)籌規(guī)劃；如果有原有的網(wǎng)絡(luò)，怎么規(guī)劃將其聯(lián)接起來(lái)；如何實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的遠(yuǎn)距離連接，以及網(wǎng)絡(luò)能否滿足移動(dòng)工作環(huán)境等。

    6、網(wǎng)絡(luò)的多媒體支持等

    隨著視頻會(huì)議等多媒體技術(shù)的日趨成熟，網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)已不再是單一數(shù)據(jù)了。企業(yè)在網(wǎng)絡(luò)中．應(yīng)考慮網(wǎng)絡(luò)的多媒體支持。同時(shí)，在網(wǎng)絡(luò)帶寬非常寶貴的情況下，在設(shè)備選型上要考慮是否有豐富的QoS機(jī)制、高性能，如：IP優(yōu)先、排隊(duì)、組播和鏈路壓縮等優(yōu)化技術(shù)使多媒體和關(guān)鍵業(yè)務(wù)得到有效的保障。通過(guò)以上分析，確定了以下網(wǎng)絡(luò)實(shí)施方向以及實(shí)施目標(biāo)：

    實(shí)現(xiàn)天瑞集團(tuán)辦公大樓與核心機(jī)房局域網(wǎng)高速互聯(lián)；實(shí)現(xiàn)本地企業(yè)網(wǎng)絡(luò)系統(tǒng)與集團(tuán)總部核心網(wǎng)絡(luò)系統(tǒng)高速可靠互聯(lián)；實(shí)現(xiàn)外地企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)到集團(tuán)總部核心網(wǎng)絡(luò)系統(tǒng)的可靠、安全互聯(lián)；

    實(shí)現(xiàn)各分公司辦公樓、門崗、磅房、票房、袋裝發(fā)料處、倉(cāng)庫(kù)等網(wǎng)絡(luò)可靠互聯(lián)：

    最終形成以集團(tuán)總部為核心下屬企業(yè)為分支高效、可靠、安全的企業(yè)信息化系統(tǒng)通信平臺(tái)。

二、規(guī)劃設(shè)計(jì)

    在確定了建設(shè)需求和目標(biāo)后，就應(yīng)該由企業(yè)主抓信息化領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員、系統(tǒng)實(shí)施人員共同建立信息處理模型來(lái)達(dá)到對(duì)企業(yè)信息網(wǎng)絡(luò)建設(shè)認(rèn)識(shí)上的一致。這個(gè)模型通常包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)流程等部分。它必須能夠反映企業(yè)內(nèi)的業(yè)務(wù)工作流程，明確企業(yè)信息流的基本走向，反映企業(yè)信息大致方向，從而為網(wǎng)絡(luò)建設(shè)的總體規(guī)劃制定科學(xué)依據(jù)。

    在設(shè)備的采購(gòu)上，要充分考慮到各企業(yè)的實(shí)施進(jìn)度，利用時(shí)間差，集中分布購(gòu)買相關(guān)設(shè)備，降低采購(gòu)成本。為保障網(wǎng)絡(luò)的建設(shè)以及后期維護(hù)能夠順利進(jìn)行，企業(yè)在網(wǎng)絡(luò)實(shí)施過(guò)程中應(yīng)培養(yǎng)一批素質(zhì)高的網(wǎng)絡(luò)管理維護(hù)人員，以上工作準(zhǔn)備好后就可以進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)建設(shè)了。

三、網(wǎng)絡(luò)方案具體設(shè)計(jì)

    網(wǎng)絡(luò)方案具體設(shè)計(jì)圖，如圖1所示。

圖1 網(wǎng)絡(luò)方案具體設(shè)計(jì)圖

    在本方案中分四個(gè)部分進(jìn)行設(shè)計(jì)：中心機(jī)房、集團(tuán)各樓層，本地企業(yè)，外地企業(yè)。此次方案以H3C設(shè)備為例，介紹了相關(guān)技術(shù)的應(yīng)用和設(shè)計(jì)思想，并大致列出在網(wǎng)絡(luò)施工中注意事項(xiàng)以及無(wú)線設(shè)備、IC卡在企業(yè)的應(yīng)用。

    1、集團(tuán)核心機(jī)房設(shè)計(jì)

    集團(tuán)核心機(jī)房設(shè)在7樓的中間位置，該房間放置核心網(wǎng)絡(luò)設(shè)備以及各應(yīng)用服務(wù)器，其中包括ERP服務(wù)器、OA服務(wù)器、郵箱服務(wù)器、殺毒服務(wù)器、網(wǎng)管服務(wù)器、視頻會(huì)議服務(wù)器等。

    由于所有的信息應(yīng)用都集中在核心機(jī)房，需提供業(yè)務(wù)系統(tǒng)應(yīng)用、辦公自動(dòng)化、遠(yuǎn)程互聯(lián)等復(fù)雜的網(wǎng)絡(luò)應(yīng)用。核心交換選用兩臺(tái)H3C 7506系列具有三層交換功能的千兆模塊化交換機(jī)作為主干核心交換機(jī)，兩臺(tái)核心交換機(jī)間用專用線路連接，組成鏈路聚合，這樣即可保證兩個(gè)核心交換機(jī)的高帶寬高性能，也可保證單條鏈路失敗而引起的中斷。在兩臺(tái)核心交換機(jī)上為每個(gè)樓層、核心機(jī)房匯聚交換機(jī)S5510，各應(yīng)用服務(wù)器劃分出相應(yīng)VLAN（網(wǎng)段），并且在該VLAN上啟用VRRP（虛擬路由冗余協(xié)議），保證一臺(tái)核心交換機(jī)出現(xiàn)故障或某條線路出現(xiàn)故障時(shí)可以進(jìn)行設(shè)備和鏈路上的自主切換。為保護(hù)核心交換機(jī)不會(huì)因某個(gè)網(wǎng)段中出現(xiàn)廣播風(fēng)暴、二層物理環(huán)路、不跨網(wǎng)段的病毒、木馬的攻擊而造成其受到?jīng)_擊，從而導(dǎo)致核心交換機(jī)性能大幅度下降或癱瘓?jiān)斐扇�網(wǎng)的癱瘓，在樓層交換機(jī)、核心機(jī)房匯聚交換機(jī)、核心交換機(jī)之間使用網(wǎng)絡(luò)三層路由連接模式。

    考慮到本地子公司的網(wǎng)絡(luò)自成體系，通過(guò)租用運(yùn)營(yíng)商光纖線路直連到核心機(jī)房匯聚交換機(jī)，單個(gè)子公司的局域網(wǎng)廣播數(shù)據(jù)流不擴(kuò)展到全網(wǎng)，單個(gè)子公司的網(wǎng)絡(luò)故障不應(yīng)該擴(kuò)展到全網(wǎng)，核心機(jī)房匯聚層交換機(jī)采用H3C公司的S5510系列的具有路由功能的三層交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段等目的。

    防火墻是核心網(wǎng)絡(luò)中最重要的設(shè)備，它的穩(wěn)定可靠將直接影響著基于internet應(yīng)用的安全與可靠。由于防火墻是internet與局域網(wǎng)之問(wèn)的唯一訪問(wèn)通道，其性能的好壞也將直接影響到internet應(yīng)用的性能，因此本方案中選用具有優(yōu)異性能與可管理性的H3C F1OOO-S防火墻，F(xiàn)1OOO-S防火墻具有VPN、流量管理、強(qiáng)大的網(wǎng)絡(luò)安全策略等功能，能夠滿足苛刻環(huán)境下的峰值負(fù)載和很高的防御需求，通過(guò)租用兩條不同運(yùn)營(yíng)商線路互備，作為集閉以及本地企業(yè)訪問(wèn)互聯(lián)網(wǎng)絡(luò)的總出口以及各分公司VPN鏈路接入。

    服務(wù)器安裝兩塊T兆網(wǎng)卡分別使用兩條鏈路連接到兩臺(tái)核心交換機(jī)，在核心交換機(jī)上為服務(wù)器群劃分出相應(yīng)的VLAN（網(wǎng)段）并啟用VRRP協(xié)議，保證一個(gè)核心設(shè)備出問(wèn)題后，可自主切換到另一個(gè)核心設(shè)備鏈路，使服務(wù)器對(duì)外網(wǎng)絡(luò)服務(wù)不中斷。

    2、大廈樓層設(shè)計(jì)

    樓層接入設(shè)備選擇H3C公司的3600系列三層智能以太網(wǎng)交換機(jī)。通過(guò)兩個(gè)千M上行鏈路光口，兩條多模光纖鏈路分別上連到兩臺(tái)核心交換機(jī)互為冗余，對(duì)大廈樓層計(jì)算機(jī)偏多的，可直接通過(guò)多臺(tái)交換機(jī)進(jìn)行堆疊的方式來(lái)滿足大量PC接入的需求，并啟用VRRP（虛擬路由冗余協(xié)議），STP（生成樹協(xié)議）實(shí)現(xiàn)在冗余線路上的負(fù)載均衡和上行線路發(fā)生故障時(shí)的快速恢復(fù)。

    3、本地分公司設(shè)計(jì)

    本地分公司同樣選擇三層H3C 3600系列交換機(jī)，通過(guò)租用運(yùn)營(yíng)商光纖線路直連接入?yún)R聚三層交換機(jī)光纖模塊，為了保證網(wǎng)絡(luò)鏈路的冗余，本地分公司采用F1OO-S防火墻，租用另一個(gè)運(yùn)營(yíng)商線路通過(guò)VPN實(shí)現(xiàn)與集團(tuán)的網(wǎng)絡(luò)連接，通過(guò)在設(shè)備上設(shè)置優(yōu)先級(jí)，以實(shí)現(xiàn)主備線路的自動(dòng)切換。

    4、外地分公司設(shè)計(jì)

    H3C F100-A或F100-S防火墻作為企業(yè)網(wǎng)絡(luò)總出口，采用光纖線路訪問(wèn)互聯(lián)網(wǎng)和通過(guò)VPN的方式訪問(wèn)集團(tuán)內(nèi)網(wǎng)，在有限的帶寬情況下，在防火墻上根據(jù)IP地址段進(jìn)行流量和速度限制，以滿足不同業(yè)務(wù)系統(tǒng)的需求。由于租用專線線路成本過(guò)高，暫時(shí)沒(méi)有考慮，可考慮架設(shè)雙線路，實(shí)現(xiàn)線路冗余互備。內(nèi)部互聯(lián)使用三層H3C 3100可網(wǎng)管交換機(jī)劃分VLAN并對(duì)不同職能部門的電腦進(jìn)行分段等管理；

    5、路由交換設(shè)計(jì)

    整個(gè)網(wǎng)絡(luò)采用靜態(tài)路由和動(dòng)態(tài)OSPF路由相結(jié)合的方式。在核心防火墻（F1OOO-S）使用缺省靜態(tài)路由作為本地企業(yè)以及大廈樓層訪問(wèn)互聯(lián)網(wǎng)需求，防火墻（F1OOO-S）、兩臺(tái)核心交換機(jī)、匯聚交換機(jī)（S5510-24F）以及本地分公司之間啟用動(dòng)態(tài)OSPF路由。天瑞大廈各樓層交換機(jī)使用缺省路由。本地分公司交換機(jī)與防火墻F1OO-S以及VPN鏈路使用靜態(tài)路由，外地分公司使用一條缺省路由指向Internet網(wǎng)，數(shù)條直連路由以VPN方式連接核心機(jī)房，通過(guò)設(shè)置路由優(yōu)先級(jí)，線路偵測(cè)技術(shù)實(shí)現(xiàn)主備線路自主切換。

    6、VLAN設(shè)計(jì)以及IP地址規(guī)劃

    為保證網(wǎng)絡(luò)管理的方便性和安全性以及整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，必須對(duì)網(wǎng)絡(luò)進(jìn)行VLAN劃分，通過(guò)劃分VLAN可有效抑制網(wǎng)絡(luò)風(fēng)暴、提高網(wǎng)絡(luò)整體安全性，同時(shí)也便于管理；  VLAN劃分的原則是根據(jù)部門職能的不同和業(yè)務(wù)的交叉范圍或者安全考慮進(jìn)行劃分，大致情況見下表1所示：

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：集團(tuán)化企業(yè)網(wǎng)絡(luò)建設(shè)方案與實(shí)踐（上）

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112187177.html