青州卷煙廠網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

王海濤 劉新 傅鵬 孫曉瑩

摘要：隨著網(wǎng)絡(luò)和信息技術(shù)的高速發(fā)展普及，各種網(wǎng)絡(luò)應(yīng)用需求的爆發(fā)式增長(zhǎng)，促使企業(yè)建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、易于擴(kuò)展、易于維護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)平臺(tái)，為企業(yè)信息化建設(shè)提供支撐?；诖?，筆者從青州卷煙廠技術(shù)改造需求出發(fā)，根據(jù)建設(shè)原則、網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)需求等設(shè)計(jì)了整體網(wǎng)絡(luò)架構(gòu)，并給出了符合企業(yè)實(shí)際的網(wǎng)絡(luò)建設(shè)方案。

關(guān)鍵詞：網(wǎng)絡(luò)架構(gòu);網(wǎng)絡(luò)拓?fù)?網(wǎng)絡(luò)安全

0引言

青州卷煙廠正處于技術(shù)改造穩(wěn)步推進(jìn)過程中，如何在當(dāng)前數(shù)字化轉(zhuǎn)型升級(jí)的關(guān)鍵時(shí)期抓住技改機(jī)遇夯實(shí)數(shù)字化基礎(chǔ)，對(duì)于今后智能工廠建設(shè)尤為重要。而穩(wěn)定、高效、泛在的網(wǎng)絡(luò)，又是數(shù)字化轉(zhuǎn)型升級(jí)基礎(chǔ)中的關(guān)鍵一環(huán)。本文基于青州卷煙廠網(wǎng)絡(luò)建設(shè)需求，提出了網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案，同時(shí)針對(duì)網(wǎng)絡(luò)安全性給出解決方案。

1青州卷煙廠網(wǎng)絡(luò)需求分析及建設(shè)原則

1.1網(wǎng)絡(luò)需求分析

企業(yè)信息網(wǎng)絡(luò)承載從生產(chǎn)裝備、集中控制、生產(chǎn)管控到企業(yè)管理的所有企業(yè)運(yùn)營(yíng)數(shù)據(jù)的傳輸，穩(wěn)定、安全、高效、高容的企業(yè)信息網(wǎng)絡(luò)，對(duì)于企業(yè)智能工廠建設(shè)極為重要。因此，生產(chǎn)制造企業(yè)網(wǎng)絡(luò)建設(shè)首先要考慮的是通過設(shè)備和線路冗余確保穩(wěn)定可靠，其次是數(shù)據(jù)傳輸?shù)陌踩员Ｕ希俅问潜Ｕ蠑?shù)據(jù)及時(shí)性的低網(wǎng)絡(luò)延時(shí)技術(shù)，最后是滿足多樣數(shù)據(jù)傳輸?shù)母邘捄蜐M足廣連接的泛在網(wǎng)絡(luò)。

1.2網(wǎng)絡(luò)建設(shè)原則

為滿足當(dāng)前信息網(wǎng)絡(luò)需求及未來智能工廠建設(shè)需求，青州卷煙廠網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)應(yīng)具備穩(wěn)定、安全、先進(jìn)、開放、高效、高容、便捷的技術(shù)特征。

（1）穩(wěn)定性：采用成熟且先進(jìn)的技術(shù)，關(guān)鍵設(shè)備冗余、雙鏈路冗余。

（2）安全性：采用自主可控設(shè)備，配備相應(yīng)的網(wǎng)絡(luò)安全防護(hù)設(shè)備和軟件，保障數(shù)據(jù)傳輸安全。

（3）先進(jìn)性：采用業(yè)界先進(jìn)技術(shù)和設(shè)備，能夠滿足青州卷煙廠未來5到10年的網(wǎng)絡(luò)需求。

（4）開放性：采用標(biāo)準(zhǔn)協(xié)議，能夠與其他網(wǎng)絡(luò)無障礙的互聯(lián)互通。

（5）高效性：采用成熟先進(jìn)的傳輸技術(shù)，信息傳遞實(shí)時(shí)性強(qiáng)。

（6）高容性：帶寬能夠滿足多樣化數(shù)據(jù)的傳輸要求，并能夠覆蓋企業(yè)所有區(qū)域和所有可聯(lián)網(wǎng)設(shè)備。

（7）便捷性：網(wǎng)絡(luò)擴(kuò)展運(yùn)維簡(jiǎn)便，能夠滿足全廠網(wǎng)絡(luò)的一體化運(yùn)維要求。

2青州卷煙廠網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

2.1網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)

青州卷煙廠網(wǎng)絡(luò)總體采用星型網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，按照功能劃分為管理網(wǎng)、工控網(wǎng)和安防網(wǎng)，如圖所示。所有網(wǎng)絡(luò)核心及接入交換機(jī)采用網(wǎng)絡(luò)虛擬化技術(shù)實(shí)現(xiàn)冗余配置，所有光纖鏈路雙線冗余，且所有交換機(jī)均支持SDN技術(shù)，為后續(xù)一體化網(wǎng)絡(luò)管控建設(shè)提供技術(shù)支撐，滿足企業(yè)未來網(wǎng)絡(luò)擴(kuò)展需求。

2.2網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計(jì)

2.2.1管理網(wǎng)絡(luò)

（1）有線網(wǎng)絡(luò)。滿足當(dāng)前及未來快速增長(zhǎng)的網(wǎng)絡(luò)帶寬需求，按照星型拓?fù)湓O(shè)計(jì)，建設(shè)主干網(wǎng)40G、接入層10G、千兆到終端的廠區(qū)有線網(wǎng)絡(luò)。數(shù)據(jù)中心機(jī)房?jī)?nèi)部網(wǎng)絡(luò)采用兩層扁平化設(shè)計(jì)，實(shí)現(xiàn)核心層與接入層40G互連、10G光口到服務(wù)器設(shè)備，并與辦公網(wǎng)、安防網(wǎng)實(shí)現(xiàn)40G互連。

（2）無線網(wǎng)絡(luò)與無線定位。建設(shè)覆蓋全廠的Wi-Fi6無線網(wǎng)絡(luò)，根據(jù)應(yīng)用劃分不同的信道和頻段，減少不同區(qū)域間信號(hào)的干擾，并通過用戶賬戶和移動(dòng)端MAC地址綁定，實(shí)現(xiàn)智能化無線網(wǎng)絡(luò)管理。采用與無線AP結(jié)合的部署方式，與無線網(wǎng)絡(luò)同步建設(shè)UWB（超寬帶）定位系統(tǒng)。

2.2.2工控網(wǎng)絡(luò)

工控網(wǎng)獨(dú)立組網(wǎng)，采用工業(yè)以太網(wǎng)雙環(huán)網(wǎng)架構(gòu)和工業(yè)交換機(jī)，分為管理數(shù)據(jù)環(huán)網(wǎng)和控制數(shù)據(jù)環(huán)網(wǎng)。兩個(gè)環(huán)網(wǎng)核心10G互聯(lián)，并通過管理數(shù)據(jù)環(huán)網(wǎng)核心與園區(qū)核心10G相連。雙環(huán)網(wǎng)骨干層10G互連，接入層千兆上連，10/100/1000M自適應(yīng)到終端設(shè)備。

2.2.3安防網(wǎng)絡(luò)

為滿足安防數(shù)據(jù)傳輸大帶寬和低延時(shí)的雙重要求，安防網(wǎng)獨(dú)立組網(wǎng)，與廠管理網(wǎng)絡(luò)同步部署，實(shí)現(xiàn)核心層40G互連、接入層10G上連、千兆到終端。

2.2.4公共通信網(wǎng)絡(luò)

將廠區(qū)外的移動(dòng)通信網(wǎng)、公共電話網(wǎng)、互聯(lián)網(wǎng)、有線電視網(wǎng)等公共通訊經(jīng)廠區(qū)弱電管網(wǎng)工程接入新建數(shù)據(jù)中心機(jī)房，實(shí)現(xiàn)向用戶提供語音、數(shù)據(jù)、視頻、多媒體等多種業(yè)務(wù)的綜合接入服務(wù)。

2.3網(wǎng)絡(luò)安全詳細(xì)設(shè)計(jì)

按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）不低于第二級(jí)要求，設(shè)計(jì)建設(shè)覆蓋全廠所有信息化設(shè)備和信息系統(tǒng)的國(guó)產(chǎn)一體化智能網(wǎng)絡(luò)安全系統(tǒng)，實(shí)施有針對(duì)性的、多層次的網(wǎng)絡(luò)安全防控措施。

2.3.1管理網(wǎng)安全防護(hù)

在管理網(wǎng)的互聯(lián)網(wǎng)出口部署防火墻、抗DDos攻擊、IPS、防病毒網(wǎng)關(guān)、上網(wǎng)行為管理設(shè)備，在管理網(wǎng)絡(luò)核心旁路部署聯(lián)網(wǎng)準(zhǔn)入控制、流量分析殺毒、數(shù)據(jù)庫(kù)及日志審計(jì)、雙因子認(rèn)證系統(tǒng)和VPN，實(shí)現(xiàn)全過程防護(hù)。

在新建數(shù)據(jù)中心機(jī)房核心網(wǎng)絡(luò)邊界部署防火墻，旁路部署運(yùn)維審計(jì)系統(tǒng)，虛擬化集群中部署微隔離防護(hù)系統(tǒng)，生產(chǎn)管理服務(wù)器集群網(wǎng)絡(luò)旁路部署日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)，保障核心數(shù)據(jù)和應(yīng)用的安全。

2.3.2工控系統(tǒng)安全防護(hù)

在各工控子網(wǎng)邊界部署工業(yè)防火墻，旁路部署IDS、工業(yè)日志審計(jì)、工業(yè)數(shù)據(jù)庫(kù)審計(jì)，工控各終端部署安全衛(wèi)士軟件，通過工控安全管理平臺(tái)進(jìn)行統(tǒng)一分析和風(fēng)險(xiǎn)預(yù)警。

2.3.3安防網(wǎng)安全防護(hù)

在安防網(wǎng)絡(luò)邊界部署防火墻，內(nèi)部串接防涉密安全網(wǎng)關(guān)，并部署IPS、日志審計(jì)系統(tǒng)，對(duì)安防設(shè)備訪問操作進(jìn)行全過程日志記錄，實(shí)現(xiàn)全事件追溯等。

2.3.4網(wǎng)絡(luò)安全管理平臺(tái)

建設(shè)一體化網(wǎng)絡(luò)安全管理平臺(tái)和網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，將各子網(wǎng)的安全設(shè)備數(shù)據(jù)統(tǒng)一匯總分析，結(jié)合態(tài)勢(shì)感知系統(tǒng)結(jié)果進(jìn)行安全態(tài)勢(shì)實(shí)時(shí)展現(xiàn)、風(fēng)險(xiǎn)報(bào)警快速定位和設(shè)備聯(lián)動(dòng)處置，實(shí)現(xiàn)全維度、全過程、全方向的網(wǎng)絡(luò)安全防護(hù)。

3總結(jié)

本文闡述青州卷煙廠網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)目的，提出青州卷煙廠整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案，介紹了每個(gè)子網(wǎng)的建設(shè)內(nèi)容。通過分析得出：這種網(wǎng)絡(luò)架構(gòu)兼顧穩(wěn)定、安全、先進(jìn)、開放、高效、高容、便捷等原則，同時(shí)能夠支持青州卷煙廠未來網(wǎng)絡(luò)發(fā)展。此方案仍處于設(shè)計(jì)驗(yàn)證研究階段，在具體實(shí)施需要結(jié)合青州卷煙廠發(fā)展實(shí)際，客觀的進(jìn)行完善。

參考文獻(xiàn)

[1]安凱強(qiáng)，湯順心，李潘月，祝雅卿，嚴(yán)展鵬.智能工廠的工業(yè)信息網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn).信息與電腦，2019年第5期.

[2]彭青梅，鄭平輝.基于私有云的企業(yè)三層網(wǎng)絡(luò)架構(gòu)設(shè)計(jì).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017年第2期.