大型制造企業(yè)網(wǎng)絡(luò)平臺設(shè)計與實施

【摘要】本文就大型制造企業(yè)網(wǎng)絡(luò)的現(xiàn)狀進行研究，探索制造企業(yè)網(wǎng)絡(luò)平臺建設(shè)架構(gòu)需求，進而利用時下先進的以太網(wǎng)交換技術(shù)和一流的網(wǎng)絡(luò)設(shè)備設(shè)計高速可靠的制造業(yè)網(wǎng)絡(luò)平臺，并為企業(yè)網(wǎng)絡(luò)平臺提供完整可靠的安全解決方案，保障企業(yè)多種業(yè)務(wù)聯(lián)網(wǎng)系統(tǒng)的自動化以及因特網(wǎng)的高速安全互聯(lián)互通，桌面用戶安全可靠接入的公司網(wǎng)絡(luò)支撐平臺，為制造企業(yè)各類信息系統(tǒng)提供高速統(tǒng)一安全的寬帶綜合業(yè)務(wù)網(wǎng)絡(luò)通信平臺。

【關(guān)鍵詞】網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)安全

1引言

大型制造企業(yè)網(wǎng)絡(luò)平臺[1]指集團網(wǎng)絡(luò)跨地域且網(wǎng)絡(luò)終端超過2000個以上的企業(yè)局域網(wǎng)，作為支撐制造企業(yè)各種應(yīng)用如ERP\\PLM\\CAPP\\oa\\MAIL高性能計算等等）基礎(chǔ)平臺，網(wǎng)絡(luò)平臺設(shè)計和實施的重要性不言而喻。

為了設(shè)計出高速可靠穩(wěn)定的大型制造企業(yè)集團網(wǎng)絡(luò)支撐平臺，需要實現(xiàn)以下目標(biāo)：網(wǎng)絡(luò)平臺建設(shè)將本著先進性、安全性和經(jīng)濟性等統(tǒng)一的設(shè)計原則，使整個網(wǎng)絡(luò)具有高性能、高安全、先進、高可靠、標(biāo)準(zhǔn)化、可擴展和可管理的特點，能靈活地滿足制造企業(yè)現(xiàn)有各類業(yè)務(wù)需求并保證將來網(wǎng)絡(luò)擴展需要，實現(xiàn)多網(wǎng)合一和異地子公司的無縫接入。

2現(xiàn)狀分析

2.1制造業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

隨著高速的局域網(wǎng)投入使用，大部分制造企業(yè)的網(wǎng)絡(luò)高速信息化道路已經(jīng)建成，如何確保公司局域網(wǎng)的安全可靠運行和生產(chǎn)數(shù)據(jù)的安全現(xiàn)在是擺在我們網(wǎng)絡(luò)管理員面前的一個很重要的問題，而目前大型制造企業(yè)網(wǎng)絡(luò)平臺在使用中或多或少存在以下的問題。

1.整個網(wǎng)絡(luò)與公網(wǎng)之間沒有必要的安全隔離措施，對來自公網(wǎng)的任何嗅探或攻擊嘗試是沒有任何防御能力的。

2.網(wǎng)絡(luò)內(nèi)部沒有做嚴(yán)格的策略限制，缺少訪問控制和網(wǎng)絡(luò)準(zhǔn)入措施，網(wǎng)絡(luò)之間可以互相訪問，造成中毒PC可以直接地對其他機器進行感染和攻擊。

3.缺乏必要的網(wǎng)絡(luò)用戶管理機制。用戶PC接入網(wǎng)絡(luò)前，不需要做身份的檢查和認(rèn)證，對上網(wǎng)用戶權(quán)限等的管理力度較弱。

4.整個企業(yè)網(wǎng)沒有全面實施專門的企業(yè)病毒服務(wù)器對局域網(wǎng)的病毒傳播進行有效的控制，只要內(nèi)部某一臺PC被感染病毒之后，會在企業(yè)網(wǎng)內(nèi)建立起病毒傳染源而進行擴散傳播。

5.沒有vpn用戶安全接入的可靠性方案，缺乏配置管理工具及制度，無整體的端點安全防護措施。

6.沒有對各子公司的網(wǎng)絡(luò)資源整合到總公司統(tǒng)一平臺，實現(xiàn)與各子公司的安全互聯(lián)互通。

2.2制造業(yè)網(wǎng)絡(luò)平臺建設(shè)現(xiàn)狀

隨著近年來企業(yè)信息化建設(shè)的深入，大型制造企業(yè)的各種應(yīng)用（如ERP\\PLM\\CAPP\\OA\\MAIL等等）信息化并運行在計算機網(wǎng)絡(luò)平臺之上，大型制造企業(yè)為了更好的利用計算機網(wǎng)絡(luò)平臺，在提高工作效率的同時降低公司的運營成本，對制造企業(yè)網(wǎng)絡(luò)平臺建設(shè)提出了更高的要求，主要表現(xiàn)在如下幾個方面：

（1）高性能

今天的制造企業(yè)各種網(wǎng)絡(luò)應(yīng)用如ERP\\PLM\\CAPP\\OA\\MAIL等都大規(guī)模部署和使用，同時對帶寬和延時都要求很高的視頻會議、實時監(jiān)控等多媒體業(yè)務(wù)也通過局域網(wǎng)通信，因此數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出前所未有的挑戰(zhàn)。因此企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通訊需求。

（2）實用性

以現(xiàn)行需求為基礎(chǔ)，充分考慮大型制造企業(yè)發(fā)展的需要來確定網(wǎng)絡(luò)系統(tǒng)規(guī)模。首先要知道公司需要聯(lián)網(wǎng)的計算機、網(wǎng)絡(luò)打印機等大概的規(guī)模，服務(wù)器的數(shù)量，不同網(wǎng)絡(luò)應(yīng)用系統(tǒng)的訪問量，需要訪問互聯(lián)網(wǎng)的用戶數(shù)量，今后未來可能擴大的規(guī)模，我們所有的網(wǎng)絡(luò)設(shè)備的選型和網(wǎng)絡(luò)核心架構(gòu)必須基于以上實際情況進行考慮。

（3）安全性

制造企業(yè)網(wǎng)絡(luò)平臺已經(jīng)成為公司生產(chǎn)運營的重要組成部分，因此企業(yè)網(wǎng)絡(luò)必須通過部署防火墻[5]、IDS、殺毒軟件以及配合交換機或路由器的ACL來實現(xiàn)對于病毒和黑客攻擊的防御，還要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運行，也才能更有效地阻擊病毒和黑客的攻擊，保護公司寶貴數(shù)據(jù)資源，因此高安全性是我們網(wǎng)絡(luò)平臺設(shè)計的重點。

（4）可靠性

除了安全，制造企業(yè)網(wǎng)絡(luò)平臺應(yīng)具有更全面的可靠性設(shè)計，如采用雙核心、雙鏈路、備份路由等以實現(xiàn)網(wǎng)絡(luò)通訊的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著公司各種關(guān)鍵應(yīng)用如ERP/PLM逐漸轉(zhuǎn)移到計算機網(wǎng)絡(luò)上來，網(wǎng)絡(luò)通訊的無中斷運行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運營的關(guān)鍵。

（5）支持多媒體，QOS服務(wù)質(zhì)量保障

對公司網(wǎng)絡(luò)平臺上不同數(shù)據(jù)流進行合理有效的管理，有效和充分地利用現(xiàn)有網(wǎng)絡(luò)傳輸帶寬，網(wǎng)絡(luò)要求做到三網(wǎng)合一，因此新建的網(wǎng)絡(luò)需要能識別應(yīng)用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)），同時能夠調(diào)度網(wǎng)絡(luò)中的資源，保證重要和緊急業(yè)務(wù)的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務(wù)的合理調(diào)度才是一個企業(yè)網(wǎng)絡(luò)提供“高品質(zhì)”服務(wù)的保障。

（6）管理性

當(dāng)前的網(wǎng)絡(luò)已經(jīng)發(fā)展成為“以應(yīng)用為中心”的信息基礎(chǔ)平臺，網(wǎng)絡(luò)管理能力的要求已經(jīng)上升到了業(yè)務(wù)層次，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備的智能已經(jīng)不能有效支持網(wǎng)絡(luò)管理需求的發(fā)展。因此我們需要充分考慮新購網(wǎng)絡(luò)設(shè)備必須具備支撐“以應(yīng)用為中心”的智能網(wǎng)絡(luò)運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。

3網(wǎng)絡(luò)安全設(shè)計架構(gòu)

大型制造企業(yè)信息化經(jīng)過多年的投入和發(fā)展，接入網(wǎng)絡(luò)的設(shè)備也越來越多，因而對網(wǎng)絡(luò)平臺帶寬提出了更高的需求，如何在盡可能少的投入的情況下，同時結(jié)合制造企業(yè)的實際，保護好公司的設(shè)計圖紙、商業(yè)秘密，需要逐步進行探索和實踐，將制造企業(yè)局域網(wǎng)建設(shè)成安全可靠的局域網(wǎng)網(wǎng)絡(luò)平臺[6]。根據(jù)目前國內(nèi)制造企業(yè)的實際，制造企業(yè)網(wǎng)絡(luò)安全設(shè)計架構(gòu)涉及到以下幾部分內(nèi)容：

（1）以安全為核心劃分區(qū)域

（2）用防火墻隔離各安全區(qū)域

（3）安全策略設(shè)計

（4）網(wǎng)絡(luò)準(zhǔn)入與用戶桌標(biāo)準(zhǔn)化

（5）VPN遠(yuǎn)程辦公安全的需求

（6）防病毒木馬與補丁管理系統(tǒng)

（7）互聯(lián)網(wǎng)接入負(fù)載均衡方案

（8）圖紙文檔加密系統(tǒng)

（9）安全管理

（10）異地備份容災(zāi)系統(tǒng)

本文主要針對網(wǎng)絡(luò)安全區(qū)域的劃分規(guī)劃、對外防火墻架構(gòu)、制造企業(yè)遠(yuǎn)程用戶vpn接入、互聯(lián)網(wǎng)接入負(fù)載均衡方案建設(shè)等重點進行探討。

3.1安全區(qū)域的劃分和管理

如圖1所示，我們網(wǎng)絡(luò)可以分為安全控制區(qū)域、一般安全區(qū)域和非安全區(qū)域三個安全區(qū)域[7]，針對這三個安全區(qū)域，不同的安全區(qū)域部署不同的安全設(shè)備區(qū)別對待。

制造企業(yè)的所有生產(chǎn)服務(wù)器如ERP/PLM/CAPP/DNC和局域網(wǎng)支撐平臺域控、郵件服務(wù)器等放到安全區(qū)域，采用性能較好的防火墻和防病毒網(wǎng)關(guān)進行重點保護，并設(shè)置安全策略對其訪問控制；對于一般的應(yīng)用系統(tǒng)如殺毒軟件服務(wù)器、備份服務(wù)器、web服務(wù)器等放到一般安全區(qū)域；非安全區(qū)域的服務(wù)器有互聯(lián)網(wǎng)接入，個人移動辦公的vpn遠(yuǎn)程接入，對外郵件收發(fā)服務(wù)器等。建議在機房存放服務(wù)器的時候按不同的安全區(qū)域在物理位置上也加以區(qū)分，做到一目了然，方便系統(tǒng)管理員更好的管理。

3.2制造企業(yè)防火墻架構(gòu)

防火墻是一種網(wǎng)絡(luò)安全保障手段，是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度，主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要保護的網(wǎng)絡(luò)遭受外界因素的干擾和破壞。

結(jié)合制造企業(yè)實際建議選擇硬件防火墻和微軟isa軟件應(yīng)用網(wǎng)關(guān)防火墻結(jié)合的安全方案，硬件防火墻主要針對外面互聯(lián)網(wǎng)用戶對公司局域網(wǎng)探測或攻擊[8]，isa軟件防火墻主要針對內(nèi)部用戶訪問互聯(lián)網(wǎng)進行內(nèi)容過濾，兩者相結(jié)合更好的構(gòu)筑了制造企業(yè)局域網(wǎng)與互聯(lián)網(wǎng)的安全防線，確保制造企業(yè)信息數(shù)據(jù)安全和保密。

3.3制造企業(yè)遠(yuǎn)程用戶vpn接入

企業(yè)通過Internet數(shù)據(jù)傳輸平臺，實施加密的VPN實現(xiàn)安全接入的辦法主要有兩種：一種是IPsec VPN，另一種是SSL VPN。

對于制造企業(yè)的用戶來說，計算機應(yīng)用水平相對不是很高，所以vpn接入易使用是必須考慮的問題，因此我們建議在制造企業(yè)實施vpn時采用ssl vpn，主要解決移動用戶接入公司內(nèi)部局域網(wǎng)訪問內(nèi)部應(yīng)用系統(tǒng)，用戶只需通過IE瀏覽器訪問登陸即可。但從安全性考慮對部分用戶采用ipsec vpn實現(xiàn)對部分關(guān)鍵生產(chǎn)系統(tǒng)和重要信息的訪問。

3.4制造企業(yè)互聯(lián)網(wǎng)接入負(fù)載均衡

大型制造企業(yè)一般都有多條線路接入互聯(lián)網(wǎng)線路，充分利用這些鏈路，確保內(nèi)部人員訪問互聯(lián)網(wǎng)需求和公司出差人員能正常訪問公司內(nèi)部資源以及公司對外主頁宣傳等是我們必須要解決的問題。

對互聯(lián)網(wǎng)線路采用負(fù)載均衡是個不錯的選擇，負(fù)載均衡有以下四種實現(xiàn)方式：基于dns、基于iis、基于軟件方式、基于硬件方式。大型制造企業(yè)需要基于硬件方式的負(fù)載均衡，因為大型制造企業(yè)對外訪問的數(shù)據(jù)流量較大，網(wǎng)絡(luò)負(fù)荷角重，因此我們需要采用硬件負(fù)載均衡設(shè)備對入站和出站的流量進行冗余備份和智能選路，同時對網(wǎng)絡(luò)流量進行全面管理，限制非業(yè)務(wù)流量，保證關(guān)鍵業(yè)務(wù)流量，其架構(gòu)如圖2所示。

4企業(yè)局域網(wǎng)架構(gòu)設(shè)計

隨著近年來企業(yè)信息化建設(shè)的深入，大型制造企業(yè)的各種應(yīng)用不斷增加，將電話、會議、監(jiān)控等等對數(shù)據(jù)傳輸實時要求很高的應(yīng)也都放在在企業(yè)網(wǎng)絡(luò)上傳輸，同時要求將各種數(shù)控設(shè)備的信息也建設(shè)在骨干網(wǎng)上傳輸，對企業(yè)骨干網(wǎng)的安全性提出了更高的要求。而構(gòu)建一個安全可靠、性能卓越、易于管理的企業(yè)網(wǎng)絡(luò)已經(jīng)成為制造企業(yè)信息化建設(shè)成功的基礎(chǔ)，因此對制造企業(yè)網(wǎng)絡(luò)平臺建設(shè)提出了更高的要求，下面針對制造業(yè)局域網(wǎng)整體架構(gòu)進行設(shè)計具體闡述。

4.1總體設(shè)計思路

作為大型制造企業(yè)網(wǎng)絡(luò)平臺建設(shè)，將支撐集團公司的所有信息化業(yè)務(wù)，從以下幾方面考慮網(wǎng)絡(luò)架構(gòu)設(shè)計：

（1）符合國際規(guī)范和標(biāo)準(zhǔn)，具有開放性，可以兼容現(xiàn)有網(wǎng)絡(luò)交換設(shè)備和其它主流的其他網(wǎng)絡(luò)產(chǎn)品。

（2）選用百兆/千兆/萬兆以太網(wǎng)技術(shù)，支持硬件第三層路由交換技術(shù)，并對流媒體組播業(yè)務(wù)提供良好支持，提供QoS，支持流量控制，所有網(wǎng)絡(luò)節(jié)點以交換方式工作，提供全線速包交換性能。

（3）方案設(shè)計要有高可靠性，具備容錯能力和最小網(wǎng)絡(luò)故障恢復(fù)時間。要求在設(shè)備級、業(yè)務(wù)級和鏈路級提供多層次、全方位的保障措施。

（4）方案設(shè)計要充分考慮安全防護設(shè)計，具備全網(wǎng)實時流量統(tǒng)計分析能力，發(fā)現(xiàn)病毒和黑客程序攻擊流量并加載智能策略將其過濾。

（5）上面的所有的考慮因素，與網(wǎng)絡(luò)交換設(shè)備選型是息息相關(guān)的。通過選擇合適的設(shè)備，定制相應(yīng)的策略和配置才能夠達到并且更好地完成上面的要求。在設(shè)備的可靠性、冗余性、可恢復(fù)性和安全性方面，除了與設(shè)備有關(guān)外，與網(wǎng)絡(luò)的結(jié)構(gòu)和規(guī)劃有密切的關(guān)系。

4.2網(wǎng)絡(luò)拓?fù)湓O(shè)計

針對制造企業(yè)高速以太網(wǎng)絡(luò)建設(shè)，建議采用三層星形網(wǎng)絡(luò)架構(gòu)：核心層、匯聚和接入層。核心層采用極進網(wǎng)絡(luò)的高端機箱式萬兆以太網(wǎng)交換機；匯聚層采用固定式萬兆以太網(wǎng)交換機，每個大樓通過兩條萬兆中繼接口分別上連至兩臺核心交換機。三層星形網(wǎng)絡(luò)架構(gòu)，簡便易管理且方便擴展。其整體結(jié)構(gòu)如圖3所示：

我們將骨干層設(shè)置全冗余備份的雙核心節(jié)點，兩個核心節(jié)點間通過兩條萬兆中繼捆綁互連；匯聚層分為辦公大樓、機房服務(wù)器、廠房、子公司接入等，在匯聚層設(shè)置固定萬兆交換機，為接入層交換機提供可靠的萬兆中繼，以提高整網(wǎng)的可靠性，從而形成全冗余的星狀拓樸連接，以提高網(wǎng)絡(luò)的健壯性，實現(xiàn)鏈路的安全保障。在網(wǎng)絡(luò)協(xié)議層面，采用太網(wǎng)環(huán)網(wǎng)自動保護技術(shù)，提供類似于SDH的50ms網(wǎng)絡(luò)自愈保護倒換功能，從而大大提高以太網(wǎng)網(wǎng)絡(luò)的可靠性。

按照此網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)架構(gòu)已基本完成，公司內(nèi)部局域網(wǎng)的高速可以得到可靠的保障，據(jù)我們統(tǒng)計網(wǎng)絡(luò)延時從過去的5到6毫秒提高到1毫秒，可以說是局域網(wǎng)內(nèi)網(wǎng)速的提高是成倍的；針對局域網(wǎng)內(nèi)訪問互聯(lián)網(wǎng)的問題，建議采用電信聯(lián)通雙鏈路冗余負(fù)載均衡寬帶的方案，實現(xiàn)高速連通互聯(lián)網(wǎng)。

4.3IP地址規(guī)劃

IP地址的合理規(guī)劃是制造企業(yè)網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，需要統(tǒng)計公司需要聯(lián)網(wǎng)的計算機數(shù)量，對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進一步發(fā)展。

從集團公司網(wǎng)絡(luò)平臺設(shè)計入手，將網(wǎng)絡(luò)地址規(guī)劃為總部、分部、異地子公司、局域網(wǎng)設(shè)備互聯(lián)網(wǎng)管、視頻監(jiān)控、語言電話、食堂收費、職工考勤等地址段，還有原有網(wǎng)絡(luò)保留地址段等。

在現(xiàn)有框架下，建議采用172.18這個B類私有地址網(wǎng)段作為制造企業(yè)的內(nèi)部地址網(wǎng)段，不僅能為公司提供了充足的ip地址資源，基本確保公司在未來5年內(nèi)對ip地址的需求。

4.4VLAN規(guī)劃

在考慮制造企業(yè)vlan的時候我們主要考慮到以下幾方面的問題：

Vlan劃分

常見按照地理位置、部門、或者訪問權(quán)限去劃分，根據(jù)我們制造企業(yè)的生產(chǎn)特點，一般基地都比較集中，相關(guān)部門就近距離，因此建議按照地理位置來劃分VLAN，如果要做的更細(xì)，我們可以采用按照部門劃分vlan，一般大型制造企業(yè)部門都很多，如果按部門劃分工作量會很大，且企業(yè)網(wǎng)絡(luò)管理人員有限；可以對重要部門如財務(wù)、黨政辦等單位按部門劃分vlan，因此我們將按地理位置和按部門結(jié)合起來解決vlan劃分原則問題。

Vlan地址段選擇

首先統(tǒng)計出大概每個vlan接入的計算機和相關(guān)網(wǎng)絡(luò)設(shè)備的數(shù)量，根據(jù)我們的ip地址資源，來決定采用是c類或更小的地址范圍給每個vlan。

Vlan tag

對標(biāo)簽的規(guī)劃盡量按IP地址段規(guī)劃將標(biāo)簽分配到各個vlan。

Vlan命名問題

為了便于對今后的網(wǎng)絡(luò)更好管理，我們必需確定一套比較標(biāo)準(zhǔn)的vlan命名規(guī)則，如vlan名字字符長度，一般采用的拼音來對vlan命名。

5結(jié)論

大型制造企業(yè)的網(wǎng)絡(luò)平臺架構(gòu)和實施是個復(fù)雜的系統(tǒng)工程，本文主要從網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全兩個方面入手，從技術(shù)上探討了如何建設(shè)高速可靠安全的制造企業(yè)的網(wǎng)絡(luò)平臺，但網(wǎng)絡(luò)安全的核心是管理，技術(shù)只是安全管理的保證，只有制定完善的管理制度、行為準(zhǔn)則和安全技術(shù)手段結(jié)合，大型制造企業(yè)的網(wǎng)絡(luò)安全才會有最好的保障。因此需要對我們對現(xiàn)有的網(wǎng)絡(luò)相關(guān)管理制度進行完善，同時加強對網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全知識的培訓(xùn)，讓終端用戶也能更多了解網(wǎng)絡(luò)安全操作知識，才能更好的貫徹實施大型制造企業(yè)的網(wǎng)絡(luò)安全解決方案。