论文部分内容阅读
【摘要】本文就大型制造企业网络的现状进行研究,探索制造企业网络平台建设架构需求,进而利用时下先进的以太网交换技术和一流的网络设备设计高速可靠的制造业网络平台,并为企业网络平台提供完整可靠的安全解决方案,保障企业多种业务联网系统的自动化以及因特网的高速安全互联互通,桌面用户安全可靠接入的公司网络支撑平台,为制造企业各类信息系统提供高速统一安全的宽带综合业务网络通信平台。
【关键词】网络架构网络安全
1引言
大型制造企业网络平台[1]指集团网络跨地域且网络终端超过2000个以上的企业局域网,作为支撑制造企业各种应用如ERPPLMCAPPoaMAIL高性能计算等等)基础平台,网络平台设计和实施的重要性不言而喻。
为了设计出高速可靠稳定的大型制造企业集团网络支撑平台,需要实现以下目标:网络平台建设将本着先进性、安全性和经济性等统一的设计原则,使整个网络具有高性能、高安全、先进、高可靠、标准化、可扩展和可管理的特点,能灵活地满足制造企业现有各类业务需求并保证将来网络扩展需要,实现多网合一和异地子公司的无缝接入。
2现状分析
2.1制造业网络安全现状
随着高速的局域网投入使用,大部分制造企业的网络高速信息化道路已经建成,如何确保公司局域网的安全可靠运行和生产数据的安全现在是摆在我们网络管理员面前的一个很重要的问题,而目前大型制造企业网络平台在使用中或多或少存在以下的问题。
1.整个网络与公网之间没有必要的安全隔离措施,对来自公网的任何嗅探或攻击尝试是没有任何防御能力的。
2.网络内部没有做严格的策略限制,缺少访问控制和网络准入措施,网络之间可以互相访问,造成中毒PC可以直接地对其他机器进行感染和攻击。
3.缺乏必要的网络用户管理机制。用户PC接入网络前,不需要做身份的检查和认证,对上网用户权限等的管理力度较弱。
4.整个企业网没有全面实施专门的企业病毒服务器对局域网的病毒传播进行有效的控制,只要内部某一台PC被感染病毒之后,会在企业网内建立起病毒传染源而进行扩散传播。
5.没有vpn用户安全接入的可靠性方案,缺乏配置管理工具及制度,无整体的端点安全防护措施。
6.没有对各子公司的网络资源整合到总公司统一平台,实现与各子公司的安全互联互通。
2.2制造业网络平台建设现状
随着近年来企业信息化建设的深入,大型制造企业的各种应用(如ERPPLMCAPPOAMAIL等等)信息化并运行在计算机网络平台之上,大型制造企业为了更好的利用计算机网络平台,在提高工作效率的同时降低公司的运营成本,对制造企业网络平台建设提出了更高的要求,主要表现在如下几个方面:
(1)高性能
今天的制造企业各种网络应用如ERPPLMCAPPOAMAIL等都大规模部署和使用,同时对带宽和延时都要求很高的视频会议、实时监控等多媒体业务也通过局域网通信,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的挑战。因此企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通讯需求。
(2)实用性
以现行需求为基础,充分考虑大型制造企业发展的需要来确定网络系统规模。首先要知道公司需要联网的计算机、网络打印机等大概的规模,服务器的数量,不同网络应用系统的访问量,需要访问互联网的用户数量,今后未来可能扩大的规模,我们所有的网络设备的选型和网络核心架构必须基于以上实际情况进行考虑。
(3)安全性
制造企业网络平台已经成为公司生产运营的重要组成部分,因此企业网络必须通过部署防火墙[5]、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,还要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行,也才能更有效地阻击病毒和黑客的攻击,保护公司宝贵数据资源,因此高安全性是我们网络平台设计的重点。
(4)可靠性
除了安全,制造企业网络平台应具有更全面的可靠性设计,如采用双核心、双链路、备份路由等以实现网络通讯的实时畅通,保障企业生产运营的正常进行。随着公司各种关键应用如ERP/PLM逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。
(5)支持多媒体,QOS服务质量保障
对公司网络平台上不同数据流进行合理有效的管理,有效和充分地利用现有网络传输带宽,网络要求做到三网合一,因此新建的网络需要能识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个企业网络提供“高品质”服务的保障。
(6)管理性
当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。因此我们需要充分考虑新购网络设备必须具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
3网络安全设计架构
大型制造企业信息化经过多年的投入和发展,接入网络的设备也越来越多,因而对网络平台带宽提出了更高的需求,如何在尽可能少的投入的情况下,同时结合制造企业的实际,保护好公司的设计图纸、商业秘密,需要逐步进行探索和实践,将制造企业局域网建设成安全可靠的局域网网络平台[6]。根据目前国内制造企业的实际,制造企业网络安全设计架构涉及到以下几部分内容:
(1)以安全为核心划分区域
(2)用防火墙隔离各安全区域
(3)安全策略设计
(4)网络准入与用户桌标准化
(5)VPN远程办公安全的需求
(6)防病毒木马与补丁管理系统
(7)互联网接入负载均衡方案
(8)图纸文档加密系统
(9)安全管理
(10)异地备份容灾系统
本文主要针对网络安全区域的划分规划、对外防火墙架构、制造企业远程用户vpn接入、互联网接入负载均衡方案建设等重点进行探讨。
3.1安全区域的划分和管理
如图1所示,我们网络可以分为安全控制区域、一般安全区域和非安全区域三个安全区域[7],针对这三个安全区域,不同的安全区域部署不同的安全设备区别对待。
制造企业的所有生产服务器如ERP/PLM/CAPP/DNC和局域网支撑平台域控、邮件服务器等放到安全区域,采用性能较好的防火墙和防病毒网关进行重点保护,并设置安全策略对其访问控制;对于一般的应用系统如杀毒软件服务器、备份服务器、web服务器等放到一般安全区域;非安全区域的服务器有互联网接入,个人移动办公的vpn远程接入,对外邮件收发服务器等。建议在机房存放服务器的时候按不同的安全区域在物理位置上也加以区分,做到一目了然,方便系统管理员更好的管理。
3.2制造企业防火墙架构
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。
结合制造企业实际建议选择硬件防火墙和微软isa软件应用网关防火墙结合的安全方案,硬件防火墙主要针对外面互联网用户对公司局域网探测或攻击[8],isa软件防火墙主要针对内部用户访问互联网进行内容过滤,两者相结合更好的构筑了制造企业局域网与互联网的安全防线,确保制造企业信息数据安全和保密。
3.3制造企业远程用户vpn接入
企业通过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:一种是IPsec VPN,另一种是SSL VPN。
对于制造企业的用户来说,计算机应用水平相对不是很高,所以vpn接入易使用是必须考虑的问题,因此我们建议在制造企业实施vpn时采用ssl vpn,主要解决移动用户接入公司内部局域网访问内部应用系统,用户只需通过IE浏览器访问登陆即可。但从安全性考虑对部分用户采用ipsec vpn实现对部分关键生产系统和重要信息的访问。
3.4制造企业互联网接入负载均衡
大型制造企业一般都有多条线路接入互联网线路,充分利用这些链路,确保内部人员访问互联网需求和公司出差人员能正常访问公司内部资源以及公司对外主页宣传等是我们必须要解决的问题。
对互联网线路采用负载均衡是个不错的选择,负载均衡有以下四种实现方式:基于dns、基于iis、基于软件方式、基于硬件方式。大型制造企业需要基于硬件方式的负载均衡,因为大型制造企业对外访问的数据流量较大,网络负荷角重,因此我们需要采用硬件负载均衡设备对入站和出站的流量进行冗余备份和智能选路,同时对网络流量进行全面管理,限制非业务流量,保证关键业务流量,其架构如图2所示。
4企业局域网架构设计
随着近年来企业信息化建设的深入,大型制造企业的各种应用不断增加,将电话、会议、监控等等对数据传输实时要求很高的应也都放在在企业网络上传输,同时要求将各种数控设备的信息也建设在骨干网上传输,对企业骨干网的安全性提出了更高的要求。而构建一个安全可靠、性能卓越、易于管理的企业网络已经成为制造企业信息化建设成功的基础,因此对制造企业网络平台建设提出了更高的要求,下面针对制造业局域网整体架构进行设计具体阐述。
4.1总体设计思路
作为大型制造企业网络平台建设,将支撑集团公司的所有信息化业务,从以下几方面考虑网络架构设计:
(1)符合国际规范和标准,具有开放性,可以兼容现有网络交换设备和其它主流的其他网络产品。
(2)选用百兆/千兆/万兆以太网技术,支持硬件第三层路由交换技术,并对流媒体组播业务提供良好支持,提供QoS,支持流量控制,所有网络节点以交换方式工作,提供全线速包交换性能。
(3)方案设计要有高可靠性,具备容错能力和最小网络故障恢复时间。要求在设备级、业务级和链路级提供多层次、全方位的保障措施。
(4)方案设计要充分考虑安全防护设计,具备全网实时流量统计分析能力,发现病毒和黑客程序攻击流量并加载智能策略将其过滤。
(5)上面的所有的考虑因素,与网络交换设备选型是息息相关的。通过选择合适的设备,定制相应的策略和配置才能够达到并且更好地完成上面的要求。在设备的可靠性、冗余性、可恢复性和安全性方面,除了与设备有关外,与网络的结构和规划有密切的关系。
4.2网络拓扑设计
针对制造企业高速以太网络建设,建议采用三层星形网络架构:核心层、汇聚和接入层。核心层采用极进网络的高端机箱式万兆以太网交换机;汇聚层采用固定式万兆以太网交换机,每个大楼通过两条万兆中继接口分别上连至两台核心交换机。三层星形网络架构,简便易管理且方便扩展。其整体结构如图3所示:
我们将骨干层设置全冗余备份的双核心节点,两个核心节点间通过两条万兆中继捆绑互连;汇聚层分为办公大楼、机房服务器、厂房、子公司接入等,在汇聚层设置固定万兆交换机,为接入层交换机提供可靠的万兆中继,以提高整网的可靠性,从而形成全冗余的星状拓朴连接,以提高网络的健壮性,实现链路的安全保障。在网络协议层面,采用太网环网自动保护技术,提供类似于SDH的50ms网络自愈保护倒换功能,从而大大提高以太网网络的可靠性。
按照此网络拓扑的网络架构已基本完成,公司内部局域网的高速可以得到可靠的保障,据我们统计网络延时从过去的5到6毫秒提高到1毫秒,可以说是局域网内网速的提高是成倍的;针对局域网内访问互联网的问题,建议采用电信联通双链路冗余负载均衡宽带的方案,实现高速连通互联网。
4.3IP地址规划
IP地址的合理规划是制造企业网络设计中的重要一环,需要统计公司需要联网的计算机数量,对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
从集团公司网络平台设计入手,将网络地址规划为总部、分部、异地子公司、局域网设备互联网管、视频监控、语言电话、食堂收费、职工考勤等地址段,还有原有网络保留地址段等。
在现有框架下,建议采用172.18这个B类私有地址网段作为制造企业的内部地址网段,不仅能为公司提供了充足的ip地址资源,基本确保公司在未来5年内对ip地址的需求。
4.4VLAN规划
在考虑制造企业vlan的时候我们主要考虑到以下几方面的问题:
Vlan划分
常见按照地理位置、部门、或者访问权限去划分,根据我们制造企业的生产特点,一般基地都比较集中,相关部门就近距离,因此建议按照地理位置来划分VLAN,如果要做的更细,我们可以采用按照部门划分vlan,一般大型制造企业部门都很多,如果按部门划分工作量会很大,且企业网络管理人员有限;可以对重要部门如财务、党政办等单位按部门划分vlan,因此我们将按地理位置和按部门结合起来解决vlan划分原则问题。
Vlan地址段选择
首先统计出大概每个vlan接入的计算机和相关网络设备的数量,根据我们的ip地址资源,来决定采用是c类或更小的地址范围给每个vlan。
Vlan tag
对标签的规划尽量按IP地址段规划将标签分配到各个vlan。
Vlan命名问题
为了便于对今后的网络更好管理,我们必需确定一套比较标准的vlan命名规则,如vlan名字字符长度,一般采用的拼音来对vlan命名。
5结论
大型制造企业的网络平台架构和实施是个复杂的系统工程,本文主要从网络架构和网络安全两个方面入手,从技术上探讨了如何建设高速可靠安全的制造企业的网络平台,但网络安全的核心是管理,技术只是安全管理的保证,只有制定完善的管理制度、行为准则和安全技术手段结合,大型制造企业的网络安全才会有最好的保障。因此需要对我们对现有的网络相关管理制度进行完善,同时加强对网络用户的网络安全知识的培训,让终端用户也能更多了解网络安全操作知识,才能更好的贯彻实施大型制造企业的网络安全解决方案。
【关键词】网络架构网络安全
1引言
大型制造企业网络平台[1]指集团网络跨地域且网络终端超过2000个以上的企业局域网,作为支撑制造企业各种应用如ERPPLMCAPPoaMAIL高性能计算等等)基础平台,网络平台设计和实施的重要性不言而喻。
为了设计出高速可靠稳定的大型制造企业集团网络支撑平台,需要实现以下目标:网络平台建设将本着先进性、安全性和经济性等统一的设计原则,使整个网络具有高性能、高安全、先进、高可靠、标准化、可扩展和可管理的特点,能灵活地满足制造企业现有各类业务需求并保证将来网络扩展需要,实现多网合一和异地子公司的无缝接入。
2现状分析
2.1制造业网络安全现状
随着高速的局域网投入使用,大部分制造企业的网络高速信息化道路已经建成,如何确保公司局域网的安全可靠运行和生产数据的安全现在是摆在我们网络管理员面前的一个很重要的问题,而目前大型制造企业网络平台在使用中或多或少存在以下的问题。
1.整个网络与公网之间没有必要的安全隔离措施,对来自公网的任何嗅探或攻击尝试是没有任何防御能力的。
2.网络内部没有做严格的策略限制,缺少访问控制和网络准入措施,网络之间可以互相访问,造成中毒PC可以直接地对其他机器进行感染和攻击。
3.缺乏必要的网络用户管理机制。用户PC接入网络前,不需要做身份的检查和认证,对上网用户权限等的管理力度较弱。
4.整个企业网没有全面实施专门的企业病毒服务器对局域网的病毒传播进行有效的控制,只要内部某一台PC被感染病毒之后,会在企业网内建立起病毒传染源而进行扩散传播。
5.没有vpn用户安全接入的可靠性方案,缺乏配置管理工具及制度,无整体的端点安全防护措施。
6.没有对各子公司的网络资源整合到总公司统一平台,实现与各子公司的安全互联互通。
2.2制造业网络平台建设现状
随着近年来企业信息化建设的深入,大型制造企业的各种应用(如ERPPLMCAPPOAMAIL等等)信息化并运行在计算机网络平台之上,大型制造企业为了更好的利用计算机网络平台,在提高工作效率的同时降低公司的运营成本,对制造企业网络平台建设提出了更高的要求,主要表现在如下几个方面:
(1)高性能
今天的制造企业各种网络应用如ERPPLMCAPPOAMAIL等都大规模部署和使用,同时对带宽和延时都要求很高的视频会议、实时监控等多媒体业务也通过局域网通信,因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的挑战。因此企业网络应具有更高的带宽,更强大的性能,以满足用户日益增长的通讯需求。
(2)实用性
以现行需求为基础,充分考虑大型制造企业发展的需要来确定网络系统规模。首先要知道公司需要联网的计算机、网络打印机等大概的规模,服务器的数量,不同网络应用系统的访问量,需要访问互联网的用户数量,今后未来可能扩大的规模,我们所有的网络设备的选型和网络核心架构必须基于以上实际情况进行考虑。
(3)安全性
制造企业网络平台已经成为公司生产运营的重要组成部分,因此企业网络必须通过部署防火墙[5]、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御,还要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行,也才能更有效地阻击病毒和黑客的攻击,保护公司宝贵数据资源,因此高安全性是我们网络平台设计的重点。
(4)可靠性
除了安全,制造企业网络平台应具有更全面的可靠性设计,如采用双核心、双链路、备份路由等以实现网络通讯的实时畅通,保障企业生产运营的正常进行。随着公司各种关键应用如ERP/PLM逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。
(5)支持多媒体,QOS服务质量保障
对公司网络平台上不同数据流进行合理有效的管理,有效和充分地利用现有网络传输带宽,网络要求做到三网合一,因此新建的网络需要能识别应用事件的紧急和重要程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一个企业网络提供“高品质”服务的保障。
(6)管理性
当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。因此我们需要充分考虑新购网络设备必须具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。
3网络安全设计架构
大型制造企业信息化经过多年的投入和发展,接入网络的设备也越来越多,因而对网络平台带宽提出了更高的需求,如何在尽可能少的投入的情况下,同时结合制造企业的实际,保护好公司的设计图纸、商业秘密,需要逐步进行探索和实践,将制造企业局域网建设成安全可靠的局域网网络平台[6]。根据目前国内制造企业的实际,制造企业网络安全设计架构涉及到以下几部分内容:
(1)以安全为核心划分区域
(2)用防火墙隔离各安全区域
(3)安全策略设计
(4)网络准入与用户桌标准化
(5)VPN远程办公安全的需求
(6)防病毒木马与补丁管理系统
(7)互联网接入负载均衡方案
(8)图纸文档加密系统
(9)安全管理
(10)异地备份容灾系统
本文主要针对网络安全区域的划分规划、对外防火墙架构、制造企业远程用户vpn接入、互联网接入负载均衡方案建设等重点进行探讨。
3.1安全区域的划分和管理
如图1所示,我们网络可以分为安全控制区域、一般安全区域和非安全区域三个安全区域[7],针对这三个安全区域,不同的安全区域部署不同的安全设备区别对待。
制造企业的所有生产服务器如ERP/PLM/CAPP/DNC和局域网支撑平台域控、邮件服务器等放到安全区域,采用性能较好的防火墙和防病毒网关进行重点保护,并设置安全策略对其访问控制;对于一般的应用系统如杀毒软件服务器、备份服务器、web服务器等放到一般安全区域;非安全区域的服务器有互联网接入,个人移动办公的vpn远程接入,对外邮件收发服务器等。建议在机房存放服务器的时候按不同的安全区域在物理位置上也加以区分,做到一目了然,方便系统管理员更好的管理。
3.2制造企业防火墙架构
防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。
结合制造企业实际建议选择硬件防火墙和微软isa软件应用网关防火墙结合的安全方案,硬件防火墙主要针对外面互联网用户对公司局域网探测或攻击[8],isa软件防火墙主要针对内部用户访问互联网进行内容过滤,两者相结合更好的构筑了制造企业局域网与互联网的安全防线,确保制造企业信息数据安全和保密。
3.3制造企业远程用户vpn接入
企业通过Internet数据传输平台,实施加密的VPN实现安全接入的办法主要有两种:一种是IPsec VPN,另一种是SSL VPN。
对于制造企业的用户来说,计算机应用水平相对不是很高,所以vpn接入易使用是必须考虑的问题,因此我们建议在制造企业实施vpn时采用ssl vpn,主要解决移动用户接入公司内部局域网访问内部应用系统,用户只需通过IE浏览器访问登陆即可。但从安全性考虑对部分用户采用ipsec vpn实现对部分关键生产系统和重要信息的访问。
3.4制造企业互联网接入负载均衡
大型制造企业一般都有多条线路接入互联网线路,充分利用这些链路,确保内部人员访问互联网需求和公司出差人员能正常访问公司内部资源以及公司对外主页宣传等是我们必须要解决的问题。
对互联网线路采用负载均衡是个不错的选择,负载均衡有以下四种实现方式:基于dns、基于iis、基于软件方式、基于硬件方式。大型制造企业需要基于硬件方式的负载均衡,因为大型制造企业对外访问的数据流量较大,网络负荷角重,因此我们需要采用硬件负载均衡设备对入站和出站的流量进行冗余备份和智能选路,同时对网络流量进行全面管理,限制非业务流量,保证关键业务流量,其架构如图2所示。
4企业局域网架构设计
随着近年来企业信息化建设的深入,大型制造企业的各种应用不断增加,将电话、会议、监控等等对数据传输实时要求很高的应也都放在在企业网络上传输,同时要求将各种数控设备的信息也建设在骨干网上传输,对企业骨干网的安全性提出了更高的要求。而构建一个安全可靠、性能卓越、易于管理的企业网络已经成为制造企业信息化建设成功的基础,因此对制造企业网络平台建设提出了更高的要求,下面针对制造业局域网整体架构进行设计具体阐述。
4.1总体设计思路
作为大型制造企业网络平台建设,将支撑集团公司的所有信息化业务,从以下几方面考虑网络架构设计:
(1)符合国际规范和标准,具有开放性,可以兼容现有网络交换设备和其它主流的其他网络产品。
(2)选用百兆/千兆/万兆以太网技术,支持硬件第三层路由交换技术,并对流媒体组播业务提供良好支持,提供QoS,支持流量控制,所有网络节点以交换方式工作,提供全线速包交换性能。
(3)方案设计要有高可靠性,具备容错能力和最小网络故障恢复时间。要求在设备级、业务级和链路级提供多层次、全方位的保障措施。
(4)方案设计要充分考虑安全防护设计,具备全网实时流量统计分析能力,发现病毒和黑客程序攻击流量并加载智能策略将其过滤。
(5)上面的所有的考虑因素,与网络交换设备选型是息息相关的。通过选择合适的设备,定制相应的策略和配置才能够达到并且更好地完成上面的要求。在设备的可靠性、冗余性、可恢复性和安全性方面,除了与设备有关外,与网络的结构和规划有密切的关系。
4.2网络拓扑设计
针对制造企业高速以太网络建设,建议采用三层星形网络架构:核心层、汇聚和接入层。核心层采用极进网络的高端机箱式万兆以太网交换机;汇聚层采用固定式万兆以太网交换机,每个大楼通过两条万兆中继接口分别上连至两台核心交换机。三层星形网络架构,简便易管理且方便扩展。其整体结构如图3所示:
我们将骨干层设置全冗余备份的双核心节点,两个核心节点间通过两条万兆中继捆绑互连;汇聚层分为办公大楼、机房服务器、厂房、子公司接入等,在汇聚层设置固定万兆交换机,为接入层交换机提供可靠的万兆中继,以提高整网的可靠性,从而形成全冗余的星状拓朴连接,以提高网络的健壮性,实现链路的安全保障。在网络协议层面,采用太网环网自动保护技术,提供类似于SDH的50ms网络自愈保护倒换功能,从而大大提高以太网网络的可靠性。
按照此网络拓扑的网络架构已基本完成,公司内部局域网的高速可以得到可靠的保障,据我们统计网络延时从过去的5到6毫秒提高到1毫秒,可以说是局域网内网速的提高是成倍的;针对局域网内访问互联网的问题,建议采用电信联通双链路冗余负载均衡宽带的方案,实现高速连通互联网。
4.3IP地址规划
IP地址的合理规划是制造企业网络设计中的重要一环,需要统计公司需要联网的计算机数量,对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。
从集团公司网络平台设计入手,将网络地址规划为总部、分部、异地子公司、局域网设备互联网管、视频监控、语言电话、食堂收费、职工考勤等地址段,还有原有网络保留地址段等。
在现有框架下,建议采用172.18这个B类私有地址网段作为制造企业的内部地址网段,不仅能为公司提供了充足的ip地址资源,基本确保公司在未来5年内对ip地址的需求。
4.4VLAN规划
在考虑制造企业vlan的时候我们主要考虑到以下几方面的问题:
Vlan划分
常见按照地理位置、部门、或者访问权限去划分,根据我们制造企业的生产特点,一般基地都比较集中,相关部门就近距离,因此建议按照地理位置来划分VLAN,如果要做的更细,我们可以采用按照部门划分vlan,一般大型制造企业部门都很多,如果按部门划分工作量会很大,且企业网络管理人员有限;可以对重要部门如财务、党政办等单位按部门划分vlan,因此我们将按地理位置和按部门结合起来解决vlan划分原则问题。
Vlan地址段选择
首先统计出大概每个vlan接入的计算机和相关网络设备的数量,根据我们的ip地址资源,来决定采用是c类或更小的地址范围给每个vlan。
Vlan tag
对标签的规划尽量按IP地址段规划将标签分配到各个vlan。
Vlan命名问题
为了便于对今后的网络更好管理,我们必需确定一套比较标准的vlan命名规则,如vlan名字字符长度,一般采用的拼音来对vlan命名。
5结论
大型制造企业的网络平台架构和实施是个复杂的系统工程,本文主要从网络架构和网络安全两个方面入手,从技术上探讨了如何建设高速可靠安全的制造企业的网络平台,但网络安全的核心是管理,技术只是安全管理的保证,只有制定完善的管理制度、行为准则和安全技术手段结合,大型制造企业的网络安全才会有最好的保障。因此需要对我们对现有的网络相关管理制度进行完善,同时加强对网络用户的网络安全知识的培训,让终端用户也能更多了解网络安全操作知识,才能更好的贯彻实施大型制造企业的网络安全解决方案。