集團企業(yè)網(wǎng)絡架構及安全部署的設計與實現(xiàn)（四）

2．3制造企業(yè)網(wǎng)絡架構實現(xiàn)

    網(wǎng)絡架構雛形基本分析設計完成，下面就設計的模型進行部署和實現(xiàn)，能夠更清晰和實際地了解企業(yè)網(wǎng)絡架構。

    2．3．1網(wǎng)絡架構實現(xiàn)過程及步驟

    模型的實現(xiàn)分為幾個四個步驟來完成。首先規(guī)劃集團IP地址空間范圍，其次部署和實現(xiàn)企業(yè)核心層的網(wǎng)絡架構，再次是核心架構的基礎上部署匯聚層和生產車間網(wǎng)絡架構，最后是安全威脅較大的DMZ、VPN及互聯(lián)網(wǎng)架構的部署。

    根據(jù)本論文設計的企業(yè)規(guī)模大小，網(wǎng)絡地址進行規(guī)劃原則如下：

    一、總體原則

    規(guī)范性一網(wǎng)絡地址空間劃分和分配是基于對全集團的應用部署、數(shù)據(jù)流向和用戶訪問的全面理解，結合業(yè)界最佳實踐對全集團規(guī)劃、分配、使用IP地址具有指導和強制作用，是企業(yè)未來IP地址管理體系重要組成部分。

    標準性-IP地址的分配空間符合RFCl918的標準規(guī)定。

    可擴展性．網(wǎng)絡地址在功能、容量、覆蓋能力等各方面具有易擴展能力，以適應快速的業(yè)務發(fā)展對基礎架構的要求。

    連續(xù)性．在網(wǎng)絡規(guī)模擴展時能保證地址匯總所需的連續(xù)性。網(wǎng)絡地址空間劃分采用分層、分級結構化方法，按職能劃分連續(xù)地址，易于進行路由匯總。靈活性．地址分配應具有靈活性，借助可變長子網(wǎng)掩碼技術，支持多種路由策略的優(yōu)化和充分利用地址空間。

    二、規(guī)劃說明

    考慮集團數(shù)據(jù)中心、災備中心和海外數(shù)據(jù)中心的功能，并結合未來5．10年的發(fā)展，各預留2個B類地址。國內數(shù)據(jù)中心總體預留2個B類地址段。國內災備中心總體預留2個B類地址段。亞洲數(shù)據(jù)中心總體預留2個B類地址段。歐洲數(shù)據(jù)中心總體預留2個B類地址段。美洲數(shù)據(jù)中心總體預留2個B類地址段。基于對集團國內主要分支機構現(xiàn)狀的了解，以及對集團未來5．10年發(fā)展的預測，集團國內外現(xiàn)有10個子公司，考慮每年平均20％增長， 5年后10*1．2*1．2*1．2*1．2*1．2≈25，每子公司最大預留1個B類地址段，總共分配了24個B類地址。考慮到冗余，集團為國內外子公司總體預留24個B類地址段。預計分支機構用戶終端數(shù)目小于10000，分配64C地址。以50個國內外分支機構計算，考慮每年平均20％增長，5年后集團需要50*1．2*1．2*1．2*1．2*1．2≈-125．國內每外分支機構最大預留8個C類地址段。國內集團總體需要預留地址空間為：8C*125=1000 C類地址空間。考慮到冗余，集團為國內外分支機構總體預留8個B類地址段。其他分支機構P地址空間，參考分支機構和集團網(wǎng)絡規(guī)模。集團為國內外其他分支機構總體預留2個B類地址段。IP地址空間規(guī)劃如表2．3：

  表2．3數(shù)據(jù)中心IP地址空間表  

    表2．3和表2．4是根據(jù)企業(yè)網(wǎng)絡規(guī)劃原則和企業(yè)擴張發(fā)展速度定義的IP地址空間范圍，將數(shù)據(jù)中心與功能區(qū)域地址劃分在2個128的B類網(wǎng)絡中。以上IP地址空間的規(guī)劃是企業(yè)網(wǎng)絡架構設計具有擴展延伸、地址冗余、清晰靈活、易于管理的重要基礎和組成部分。

    表2．5應用服務區(qū)及設備IP地址空間表

    表2．6功能區(qū)域IP地址空間表

    表2．5及表2．6詳細規(guī)說明了應用服務區(qū)、互聯(lián)網(wǎng)、VOIP、視頻會議、設備及APN專用網(wǎng)IP地址的規(guī)劃細節(jié)情況。為我們以下網(wǎng)絡的實施和部署奠定了基礎，也將整個網(wǎng)絡架構在P地址空間上做了清晰設計和規(guī)劃。

    核心層的部署首先要根據(jù)企業(yè)現(xiàn)有業(yè)務數(shù)據(jù)流量及將來擴張的情況選擇高性能的核心交換和路由來保證背板帶寬和交換容量。核心設備放置于企業(yè)核心IDC交換機房，核心設備均使用雙機做負載和冗余．核心交換之間使用萬兆TRUNK互連，核心路由使用千兆互連，交換和路由間使用千兆全冗余交叉互連。物理連接完畢后根據(jù)規(guī)劃網(wǎng)絡地址的其實開始配置核心和路由的互連接口地址并調試通過。對于集團與分支機構鏈路需與ISP服務商選擇合理帶寬的SDH和MPLS聯(lián)調通過。分支機構的核心設備部署、配置和調試同集團步驟相同。

    匯聚層和生產車間網(wǎng)絡的部署相對核心層的比較簡單和容易些，網(wǎng)絡模型和配置都與核心層的相似。同樣根據(jù)辦公區(qū)域和生產車間的數(shù)據(jù)流量大小來選擇適合的三層交換設備，上行采用光纖同核心互連，下行千兆至接入交換。車間工業(yè)以太網(wǎng)絡主要是對IO設備數(shù)據(jù)的交換處理，將IP網(wǎng)絡數(shù)據(jù)通過控制程序下發(fā)至工業(yè)智能IO設備，工業(yè)交換與通過單模或多模光纖與匯聚交換互連，也可直接與核心交換互連。

    互聯(lián)網(wǎng)部分的網(wǎng)絡架構部署因為考慮到安全問題，因此部署比較復雜和繁瑣。適合企業(yè)互聯(lián)網(wǎng)出口的最終網(wǎng)絡架構是在不斷地對企業(yè)互聯(lián)出口網(wǎng)架構的安全提升和性能優(yōu)化的實踐基礎上形成的。一般的互聯(lián)網(wǎng)出口網(wǎng)絡架構是互聯(lián)網(wǎng)線路直接接入防火墻，然后防火墻直接與核心交換互連的簡單結構。起初設計也是如此，但這種結構已經逐漸不能滿足企業(yè)日益變化和更新的業(yè)務需求，同時逐漸不能有效地控制和防范外部數(shù)據(jù)的安全威脅。因此本論文設計的互聯(lián)網(wǎng)出口架構是把安全放在首要位置設計的，增加入侵防御設備(IPS)和行為控制設備嚴格的對互聯(lián)網(wǎng)數(shù)據(jù)，將IPS部署在防火墻外側，行為控制部署在防火墻內測。由于企業(yè)內網(wǎng)與DMZ的數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)都需要防火墻來過濾轉發(fā)控制，這樣增加了防火墻的負載壓力，所以在增加內網(wǎng)防火墻降低負載并提高互聯(lián)網(wǎng)訪問的安全指數(shù)。最后提高互聯(lián)網(wǎng)的帶寬增加不同的ISP線路并增加鏈路負載均衡提高出口訪問性能。以上部署的設備都采用雙機形式提高互聯(lián)網(wǎng)訪問的可靠性。VPN網(wǎng)絡架構在互聯(lián)網(wǎng)的基礎上分為三部分IPSEC、SSL和點對點。IPSEC和SSL的wan口都掛接在負載后提高對外部用戶的訪問性能，內口掛接在DMZ交換上在通過內網(wǎng)防火墻對數(shù)據(jù)進行過濾和控制。Site—to-site VPN直接同分支結構VPN路由通過ISP互通，內口接入DMZ交換上通過內網(wǎng)防火墻進行控制和過濾。 

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.hanmeixuan.com/

本文標題：集團企業(yè)網(wǎng)絡架構及安全部署的設計與實現(xiàn)（四）

本文網(wǎng)址：http://www.hanmeixuan.com/html/consultation/1083942249.html