集團(tuán)企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計與實現(xiàn)（二）

第二章 制造集團(tuán)企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計與實現(xiàn)

    制造企業(yè)為進(jìn)一步滿足公司國際化和現(xiàn)代化的快速發(fā)展需求， 都不斷地在現(xiàn)有網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)整合、改造和優(yōu)化。企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計的最終總體目標(biāo)也都是以企業(yè)不斷更新的業(yè)務(wù)需求作為中心點，并始終圍繞該中心進(jìn)行優(yōu)化、提升和擴展。

2．1制造企業(yè)網(wǎng)絡(luò)架構(gòu)需求分析

    目前很多制造企業(yè)總體網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀都沒有很好地適應(yīng)和滿足現(xiàn)有及未來擴張的需求，現(xiàn)網(wǎng)架構(gòu)或多或少的都存在一些瓶頸和難以適應(yīng)期業(yè)務(wù)和客戶需求的地方存在。因此不斷地對企業(yè)網(wǎng)絡(luò)架構(gòu)優(yōu)化、改造和提升用以滿足千變?nèi)f化應(yīng)用需求是逐步實現(xiàn)一個無所不能的企業(yè)網(wǎng)絡(luò)目標(biāo)的必經(jīng)之路，也是加強企業(yè)信息化核心競爭力和加速企業(yè)擴張壯大的重要措施和手段。企業(yè)網(wǎng)絡(luò)架構(gòu)部署的合理與否主要是看否滿足以下四個方面的需求為基本標(biāo)準(zhǔn)。第一，企業(yè)基礎(chǔ)數(shù)據(jù)交換的業(yè)務(wù)需求，這一點需求是網(wǎng)絡(luò)架構(gòu)的設(shè)計所滿足的必要條件之一，也是網(wǎng)絡(luò)在企業(yè)中推廣的基礎(chǔ)要求；第二，企業(yè)基礎(chǔ)應(yīng)用系統(tǒng)的需求，這是作為企業(yè)信息化發(fā)展的又一個發(fā)展，比如說企業(yè)的基礎(chǔ)應(yīng)用系統(tǒng)包括域架構(gòu)、郵件、OA、SAP、PDM、SCM、CRM、財務(wù)、人力資源等等一些基本的應(yīng)用系統(tǒng)的架構(gòu)對網(wǎng)絡(luò)架構(gòu)有了更進(jìn)一步的要求；第三，企業(yè)信息安全的需求，這是在企業(yè)網(wǎng)絡(luò)架構(gòu)已經(jīng)滿足基本數(shù)據(jù)交換和基本業(yè)務(wù)系統(tǒng)的前提下做的進(jìn)一步的提升和數(shù)據(jù)安全的保障措施；第四，企業(yè)核心網(wǎng)絡(luò)架構(gòu)可靠性需求，這是要求企業(yè)核心骨干網(wǎng)絡(luò)具有高可靠性和冗余，一般是通過核心設(shè)備的雙機和鏈路的冗余來實現(xiàn)的，并且網(wǎng)絡(luò)架構(gòu)具有很好的可延伸擴展性．因此企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計的是否合理且滿足企業(yè)業(yè)務(wù)需求，很大的程度上是網(wǎng)絡(luò)體系的可靠性、安全性和擴展性決定的。本章需求分析詳細(xì)闡述說明了一個所轄國內(nèi)外10大子公司，20個生產(chǎn)基地，國內(nèi)外50個營銷服務(wù)網(wǎng)點及一所專業(yè)培訓(xùn)學(xué)校的大型制造企業(yè)的網(wǎng)絡(luò)架構(gòu)的需求狀況。

    2．1．1基礎(chǔ)數(shù)據(jù)網(wǎng)絡(luò)需求分析

    首先，我們從企業(yè)基礎(chǔ)數(shù)據(jù)對企業(yè)網(wǎng)絡(luò)架構(gòu)的需求分析做起。一般企業(yè)大致上在建立企業(yè)網(wǎng)絡(luò)的最初，都是以基礎(chǔ)數(shù)據(jù)的交換共享為其基本目的和需求的。這些基礎(chǔ)數(shù)據(jù)中基本是又以普通的數(shù)據(jù)文件，例如office文件、圖紙、專用數(shù)據(jù)庫文件等。基礎(chǔ)數(shù)據(jù)對網(wǎng)絡(luò)的要求是非常低和簡單的，一版情況下只要求能夠進(jìn)行網(wǎng)絡(luò)互通就可以滿足用戶數(shù)據(jù)共享和交換的需求。對于本論文所涉及的制造企業(yè)規(guī)模來說，企業(yè)所有用戶對基礎(chǔ)數(shù)據(jù)的要求也形成以個龐大的網(wǎng)絡(luò)體系。就網(wǎng)絡(luò)互通的基礎(chǔ)需求考慮，公司需建立一個以集團(tuán)所在為中心，其余子公司、生產(chǎn)基地、分公司為分支機構(gòu)的星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可根據(jù)實際情況選擇各分支機構(gòu)與總部互連接入的方式和帶寬。基礎(chǔ)數(shù)據(jù)對網(wǎng)絡(luò)的需求總的來說也就是用戶數(shù)據(jù)上傳和公用數(shù)據(jù)下載的情況，下面我們就不同地域、不同重要程度的分支機構(gòu)和移動辦公人員分析基礎(chǔ)數(shù)據(jù)對網(wǎng)絡(luò)互通互連的需求情況。

    對于本論文涉及的制造企業(yè)，先分析國外分支機構(gòu)及用戶情況，通常情況下國際專線費用是比較昂貴的，所以企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計人員根據(jù)國外分支機構(gòu)的實際情況去選擇不同的企業(yè)VPN網(wǎng)絡(luò)解決方案。例如海外分支機構(gòu)業(yè)務(wù)數(shù)據(jù)并不要求實時連接總部時，可通過互聯(lián)網(wǎng)采用site-to-site VPN方式與集團(tuán)總部網(wǎng)絡(luò)互連；如海外分支機構(gòu)對數(shù)據(jù)網(wǎng)絡(luò)的要求實時通訊且有帶寬要求，例如有語音視頻會議需求。為保證其語音和視頻能夠順暢達(dá)到可用狀態(tài)，最佳方案為申請穩(wěn)定的國際SDH專線，也可使用MPLS-VPN的專線方式將分支機構(gòu)與集團(tuán)總部互連。因國際專線費用昂貴所以這種互連方式一般適用于較大的跨國企業(yè)；國外移動辦公人員相對固定的辦公地點對網(wǎng)絡(luò)要求并不是很高，可通過SSL VPNtz6J或IPSEC VPN方式接入海外較大的分支機構(gòu)的網(wǎng)絡(luò)，再通過海外分支機構(gòu)與國內(nèi)的專線與國內(nèi)總部進(jìn)行數(shù)據(jù)共享和交換，當(dāng)然也可直接接入集團(tuán)總部網(wǎng)絡(luò)。對于集團(tuán)國內(nèi)的分支機構(gòu)來說，隨著國內(nèi)通訊運營商的整合和省干線的優(yōu)化和增加，國內(nèi)大型生產(chǎn)辦公的分支機構(gòu)均可采用SDH專線或MPLS—VPN的方式與集團(tuán)總部進(jìn)行網(wǎng)絡(luò)互連；對那些相對較小的營銷服務(wù)支持的小分支機構(gòu)，為節(jié)省網(wǎng)絡(luò)運營費用可選用互聯(lián)網(wǎng)建立site-to-site VPN的方式與集團(tuán)總部進(jìn)行網(wǎng)絡(luò)互連；而國內(nèi)的移動辦公人員仍然采用IPSEC VPN或SSL VPN的方式直接接入集團(tuán)網(wǎng)絡(luò)。集團(tuán)總部和分支機構(gòu)內(nèi)部網(wǎng)絡(luò)可設(shè)計千兆以太局域網(wǎng)絡(luò)保證集團(tuán)各分支機構(gòu)的網(wǎng)絡(luò)互通，已基本滿足企業(yè)內(nèi)部基礎(chǔ)數(shù)據(jù)對網(wǎng)絡(luò)的需求。此外對于制造企業(yè)來說，車間和加工廠房的工業(yè)數(shù)控設(shè)備和辦公人員的網(wǎng)絡(luò)由于其物理位置、設(shè)備、車間廠房架構(gòu)的特殊性和綜合網(wǎng)絡(luò)布線對距離和布放的要求，這些設(shè)備和辦公人員的數(shù)據(jù)共享、訪問以及數(shù)據(jù)安全對網(wǎng)絡(luò)具有特殊的需求，設(shè)計者們可考慮建立工業(yè)以太網(wǎng)然后與集團(tuán)局域網(wǎng)絡(luò)互連互通。

    以上從企業(yè)海內(nèi)外不同地域、不同分支機構(gòu)、移動辦公人員的辦公規(guī)模及對數(shù)據(jù)交換實時性要求的差異分析了制造業(yè)海內(nèi)外不同機構(gòu)和人員與集團(tuán)總部網(wǎng)絡(luò)互連的是方式和結(jié)構(gòu)，網(wǎng)絡(luò)架構(gòu)設(shè)計師由這些基本的網(wǎng)絡(luò)需求設(shè)計的企業(yè)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)足已滿足了企業(yè)國內(nèi)外分支機構(gòu)和辦公人員網(wǎng)絡(luò)互通、數(shù)據(jù)共享和交換的基本需求。架構(gòu)設(shè)計師們還需在設(shè)計的網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上對集團(tuán)內(nèi)部網(wǎng)IP地址段進(jìn)行全局的規(guī)劃和分配，集團(tuán)的不同分支機構(gòu)和辦公人員根據(jù)分配到的IP即可通過企業(yè)基礎(chǔ)網(wǎng)絡(luò)平臺訪問文件服務(wù)器，進(jìn)行文件共享和數(shù)據(jù)交換等簡單網(wǎng)絡(luò)操作。

    2．1．2基礎(chǔ)應(yīng)用系統(tǒng)網(wǎng)絡(luò)需求分析

    早期基礎(chǔ)應(yīng)用系統(tǒng)在國內(nèi)企業(yè)的應(yīng)用并不成熟也不具規(guī)模，企業(yè)的基于網(wǎng)絡(luò)的基礎(chǔ)應(yīng)用基本上都是為了解決一些簡單的業(yè)務(wù)需求而部署的，例如ERP系統(tǒng)、WEB、DNS服務(wù)等一些基礎(chǔ)的應(yīng)用，其他的網(wǎng)絡(luò)應(yīng)用服務(wù)都比較少，甚至是企業(yè)郵件系統(tǒng)都很少在企業(yè)中推廣。隨著這些年國內(nèi)外軟件行業(yè)的迅猛發(fā)展，各行各業(yè)的業(yè)務(wù)系統(tǒng)軟件也不斷問世并投入市場。尤其是企業(yè)ERP應(yīng)用系統(tǒng)逐步推廣應(yīng)用到企業(yè)的網(wǎng)絡(luò)來，使企業(yè)業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確性和員工的工作效率得到了極大提高和改進(jìn)。這些基于網(wǎng)絡(luò)的基礎(chǔ)應(yīng)用和ERP系統(tǒng)和服務(wù)從早期文件共享的簡單網(wǎng)絡(luò)方式逐步過渡和提升到C／S的大型系統(tǒng)架構(gòu)，并得到了廣泛的應(yīng)用和快速的發(fā)展；之后又隨著互聯(lián)網(wǎng)技術(shù)的成熟和發(fā)展，外部互聯(lián)網(wǎng)與企業(yè)私有網(wǎng)絡(luò)的互連互通又將企業(yè)應(yīng)用逐步推向B／S的大型系統(tǒng)架構(gòu)。企業(yè)網(wǎng)絡(luò)架構(gòu)從某種程度上來說都是隨著企業(yè)應(yīng)用服務(wù)體系的改變而不斷改造和優(yōu)化的，企業(yè)基礎(chǔ)網(wǎng)絡(luò)已經(jīng)不再是文件共享和交換的簡單平臺，不斷地去滿足和適應(yīng)企業(yè)應(yīng)用系統(tǒng)發(fā)展的需要已是企業(yè)網(wǎng)絡(luò)架構(gòu)需要解決的首要問題和設(shè)計的重要目標(biāo)之一。由于目前制造企業(yè)基礎(chǔ)應(yīng)用系統(tǒng)已涉及到研發(fā)、生產(chǎn)制造、轉(zhuǎn)儲物流、財務(wù)銷售、語音視頻等相對較全面的業(yè)務(wù)。但要想使這些應(yīng)用能夠在企業(yè)網(wǎng)絡(luò)平臺上的作用發(fā)揮的更完善，其對企業(yè)網(wǎng)絡(luò)架構(gòu)的要求也是相當(dāng)復(fù)雜和嚴(yán)格的。

    第一我們首先考慮和分析制造企業(yè)IT基礎(chǔ)架構(gòu)對網(wǎng)絡(luò)的需求情況。對于國內(nèi)的制造行業(yè)來說，其基礎(chǔ)應(yīng)用包括域服務(wù)、企業(yè)郵件系統(tǒng)、WSUS、ISA代理、防病毒體系、WEB服務(wù)、DNS、DHCP等這些大型的軟件系統(tǒng)。這些基礎(chǔ)的應(yīng)用都是針對集團(tuán)所有用戶的，并為所有用戶提供服務(wù)。因此其基本的網(wǎng)絡(luò)要求保證集團(tuán)內(nèi)網(wǎng)的所有用戶都能與這些服務(wù)進(jìn)行數(shù)據(jù)通訊，這樣才能保證企業(yè)所有用戶都能得到集中管控、策略下發(fā)、軟件分發(fā)、補丁修復(fù)、病毒庫升級、域名解析等服務(wù)。基礎(chǔ)的網(wǎng)絡(luò)平臺僅僅是用戶與服務(wù)器之間的物理通訊正常，也是其首要條件。為了保證用戶與服務(wù)器之間的通訊能滿足需求，需要考慮和分析各個不同分支機構(gòu)的用戶數(shù)、數(shù)據(jù)量來確定網(wǎng)絡(luò)帶寬及網(wǎng)絡(luò)互連的方式。為保證服務(wù)器的安全和出口帶寬，這些基礎(chǔ)服務(wù)在部署在企業(yè)的核心網(wǎng)絡(luò)上，保證其接入交換的背板帶寬和交換容量足夠大，同時服務(wù)器的信息安全也是需要考慮的，因此還需考慮將這些服務(wù)器至于企業(yè)的核心服務(wù)器的網(wǎng)絡(luò)中來保證其安全性和穩(wěn)定性。

    第二分析制造企業(yè)的專用業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)架構(gòu)的需求。例如生產(chǎn)制造系統(tǒng)、SAP、PDM、終端遠(yuǎn)程監(jiān)控、財務(wù)、OA、人力資源、SCM、CRM等業(yè)務(wù)系統(tǒng)，這些系統(tǒng)都是給集團(tuán)部分不同用戶群提供訪問和進(jìn)行數(shù)據(jù)交換需求的，因此對網(wǎng)絡(luò)的需求也是不同的。對于SAP、PDM、財務(wù)等這樣的系統(tǒng)都存在企業(yè)的機密數(shù)據(jù)信息且交換的數(shù)據(jù)量大，其對網(wǎng)絡(luò)要求除了帶寬要求之外，還需要對集團(tuán)其他的用戶進(jìn)行隔離和控制。因此對于研發(fā)服務(wù)的數(shù)據(jù)需要建立單獨的專用研發(fā)網(wǎng)絡(luò)，為其提供高可靠和安全的數(shù)據(jù)交換平臺；而對于遠(yuǎn)程監(jiān)控系統(tǒng)而言由于其產(chǎn)品的分布位置不受企業(yè)所控制，此時我們考慮協(xié)同使用通訊運營商的G網(wǎng)通過GRE技術(shù)建立專用隧道來滿足終端設(shè)備物理位置分散、變化和數(shù)據(jù)交換安全的需求；對于生產(chǎn)制造應(yīng)用體系除了其物理位置的要求之外也同樣存在生產(chǎn)的機密數(shù)據(jù)，因此可建立同等重要的工業(yè)以太網(wǎng)來滿足工業(yè)設(shè)備的需求，其余的系統(tǒng)可根據(jù)安全程度和訪問群體的不同通過安全設(shè)備對用戶進(jìn)行邏輯隔離。這樣就基本滿足了大型制造企業(yè)不同應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的需求。第三分析制造企業(yè)核心關(guān)鍵數(shù)據(jù)的存儲和備份對網(wǎng)絡(luò)的需求。隨著企業(yè)的不斷發(fā)展和擴張，企業(yè)的應(yīng)用數(shù)據(jù)也越來越多，需要存儲和備份的數(shù)據(jù)也越來越大并且越來越重要。針對企業(yè)數(shù)據(jù)重要程度及訪問量的不同，我們采用NAS(Network Attached Storage)和SAN(Storage Area Network)兩種存儲架構(gòu)。對于企業(yè)重要程度很高的數(shù)據(jù)采用SAN存儲網(wǎng)絡(luò)來提高備份存儲的安全和讀取性能。采用LAN．Free模式將數(shù)據(jù)通過SAN網(wǎng)絡(luò)直接寫入到備份設(shè)備中，備份／恢復(fù)操作的數(shù)據(jù)不需要經(jīng)過LAN網(wǎng)絡(luò)，提高備份的速度和數(shù)據(jù)的安全性。對于重要程度高的數(shù)據(jù)采用NAS存儲技術(shù)及相關(guān)備份軟硬件，通過在NAS服務(wù)器上設(shè)置存儲空間和訪問權(quán)限，企業(yè)各用戶計算機和部分服務(wù)器上的數(shù)據(jù)通過公司現(xiàn)有局域網(wǎng)傳輸后可以統(tǒng)一存儲在NAS存儲服務(wù)器上，NAS存儲備份方式基本在基礎(chǔ)的網(wǎng)絡(luò)平臺上就能解決。這樣企業(yè)的存儲備份網(wǎng)絡(luò)得以實現(xiàn)。

    第四分析制造企業(yè)的語音和視頻應(yīng)用對網(wǎng)絡(luò)的需求。企業(yè)的監(jiān)控、視頻、語音的應(yīng)用上基本是部署在比較重要和關(guān)鍵的分支機構(gòu)或區(qū)域的，這些多媒體的應(yīng)用系統(tǒng)對網(wǎng)絡(luò)的帶寬和穩(wěn)定性的要求相對較高。安防監(jiān)控系統(tǒng)的數(shù)據(jù)量都較大且要求實時性較高，為不影響企業(yè)數(shù)據(jù)網(wǎng)的傳輸性能建議將企業(yè)的監(jiān)控網(wǎng)絡(luò)是要與數(shù)據(jù)網(wǎng)絡(luò)物理分離，只將監(jiān)控視頻的存儲設(shè)備或服務(wù)器同數(shù)據(jù)網(wǎng)絡(luò)互連。視頻和語音雖然不要求實時連接，但只要會話建立了就要求不能中斷、網(wǎng)絡(luò)延時和抖動都不能太大。因此語音和視頻的網(wǎng)絡(luò)要求即要求能保證企業(yè)的局域網(wǎng)和廣域網(wǎng)的穩(wěn)定性和帶寬能被滿足。另外由于語音視頻使用的是數(shù)據(jù)網(wǎng)絡(luò)，因此我們還可以通過QoS來保障視頻和語音在傳輸過程中的帶寬和優(yōu)先級，從而為其提供更好的網(wǎng)絡(luò)服務(wù)和性能。

    以上從四個方面對制造企業(yè)的基礎(chǔ)應(yīng)用方面對網(wǎng)絡(luò)架構(gòu)的設(shè)計做了簡單的需求分析和說明，在基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上更加清晰和豐富了設(shè)計者們對企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計的思路和原則。

    2．1．3信息安全網(wǎng)絡(luò)需求分析

    制造企業(yè)信息安全體系的建設(shè)和發(fā)展是信息化提升的又一個階段，企業(yè)IT的管理員們在經(jīng)歷了從基礎(chǔ)網(wǎng)絡(luò)建立到大型網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用系統(tǒng)的架構(gòu)設(shè)計和部署后，逐漸發(fā)現(xiàn)單純的將網(wǎng)絡(luò)和系統(tǒng)建立起來供企業(yè)用戶使用以便能夠更加快捷和準(zhǔn)確地完成工作的基礎(chǔ)信息化建設(shè)已告一段落，接下來的他們面對的問題則是種種信息安全問題。例如，企業(yè)網(wǎng)絡(luò)內(nèi)的受到病毒或ARP攻擊、洪水泛濫導(dǎo)致局部網(wǎng)絡(luò)癱瘓；應(yīng)用服務(wù)經(jīng)常不能正常提供服務(wù)；數(shù)據(jù)庫數(shù)據(jù)經(jīng)常出現(xiàn)丟失和錯誤；終端計算機及服務(wù)器運行緩慢；企業(yè)機密數(shù)據(jù)隨意被獲取傳播等等一系列的安全問題，使得IT管理者們在網(wǎng)絡(luò)和系統(tǒng)的管理和維護(hù)上力不從心，花費大量的精力和時間在解決問題和修復(fù)系統(tǒng)和網(wǎng)絡(luò)上。這樣使得業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)中斷帶來的經(jīng)濟損失是巨大的。管理者不得不在網(wǎng)絡(luò)和系統(tǒng)架構(gòu)上進(jìn)行不斷地改造和進(jìn)行網(wǎng)絡(luò)安全提升，最大可能性的降低因安全問題造成的網(wǎng)絡(luò)和業(yè)務(wù)中斷的幾率，提高企業(yè)密級數(shù)據(jù)的安全受控性，防止知識產(chǎn)權(quán)或?qū)＠�技術(shù)外泄。在安全架構(gòu)建立的基礎(chǔ)上使企業(yè)網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)能趨于穩(wěn)定、連續(xù)、安全、可靠，用戶滿意度得到大幅提升。以此來滿足企業(yè)數(shù)據(jù)安全和用戶業(yè)務(wù)需求，并一定程度上降低管理人員的工作量。

    針對制造企業(yè)數(shù)據(jù)可從以下五個方面對信息安全進(jìn)行需求分析：計算機系統(tǒng)安全，應(yīng)用服務(wù)安全，企業(yè)密級數(shù)據(jù)安全，互聯(lián)網(wǎng)安全，局域網(wǎng)安全。計算機系統(tǒng)安全在制造企業(yè)中一般是指用戶網(wǎng)絡(luò)接入安全控制、病毒攻擊、數(shù)據(jù)丟失等現(xiàn)象。用戶接入認(rèn)證采用基于端口的訪問控制(IEEE 802．1x)協(xié)議，IEEE 802．1x協(xié)議的體系結(jié)構(gòu)包括三個重要的部分：客戶端(SupplicantSystem)，認(rèn)證系統(tǒng)(Authenticator System)，認(rèn)證服務(wù)器(Authentication ServerSystem)。通過嚴(yán)格的策略匹配對接入用戶端進(jìn)行隔離、阻斷等操作。病毒一般是指因移動存儲、光盤、文件共享、互聯(lián)網(wǎng)、郵件等方式進(jìn)行病毒傳播導(dǎo)致終端系統(tǒng)運行緩慢、系統(tǒng)與軟件崩潰、數(shù)據(jù)泄露、網(wǎng)絡(luò)擁塞等現(xiàn)象。因此需要對網(wǎng)絡(luò)架構(gòu)進(jìn)行合理的設(shè)計和規(guī)劃，從網(wǎng)絡(luò)上阻止病毒數(shù)據(jù)進(jìn)行大范圍的傳播和泛濫。

    應(yīng)用服務(wù)安全是指由于對外提供的服務(wù)被病毒、木馬、惡意腳本對服務(wù)本身或服務(wù)器系統(tǒng)漏洞進(jìn)行攻擊而造成的系統(tǒng)、服務(wù)、數(shù)據(jù)庫等不可用或崩潰的自身安全威脅。因此企業(yè)的重要應(yīng)用服務(wù)能夠穩(wěn)定安全的運行不僅要對系統(tǒng)和服務(wù)自身進(jìn)行安全加固，同時也需要在一個安全、快速、穩(wěn)定、受控訪問的網(wǎng)絡(luò)環(huán)境中安全的運行。

    企業(yè)密級數(shù)據(jù)安全是指由于企業(yè)不同密級程度的數(shù)據(jù)受到安全威脅。例如研發(fā)、生產(chǎn)、財務(wù)、銷售、客戶資料等數(shù)據(jù)在企業(yè)內(nèi)部都在不同密級程度上的敏感數(shù)據(jù)，而這些數(shù)據(jù)又要為企業(yè)內(nèi)部工作人員提供服務(wù)，為保證這些數(shù)據(jù)在一個安全、干凈、有保障的網(wǎng)絡(luò)環(huán)境下傳輸和訪問而不被不知情地外泄。因此為滿足這兩方面需求則需要設(shè)計不同安全域及受控訪問程度的網(wǎng)絡(luò)架構(gòu)尤為重要。

    互聯(lián)網(wǎng)安全是企業(yè)存在安全隱患最大的網(wǎng)絡(luò)區(qū)域，因為在這個區(qū)域內(nèi)存在企業(yè)內(nèi)部數(shù)據(jù)與互聯(lián)網(wǎng)數(shù)據(jù)的交換。而在沒有安全網(wǎng)絡(luò)的控制下，互聯(lián)網(wǎng)的相當(dāng)多的病毒、木馬、惡意腳本程序、流氓插件等臟數(shù)據(jù)就會順利的進(jìn)入到企業(yè)的內(nèi)部網(wǎng)絡(luò)從而導(dǎo)致企業(yè)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的癱瘓，所以在設(shè)計企業(yè)互聯(lián)網(wǎng)出口架構(gòu)時對互聯(lián)網(wǎng)的安全考慮是非常重要的。

    局域網(wǎng)安全是指未經(jīng)合法授權(quán)，對網(wǎng)絡(luò)設(shè)備及數(shù)據(jù)資源進(jìn)行非法使用，或擅自擴大權(quán)限，越權(quán)訪問信息，對網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，對應(yīng)用服務(wù)進(jìn)行端口和漏洞掃描嗅探等操作導(dǎo)致的安全威脅。針對這種情況需要管理者對企業(yè)網(wǎng)絡(luò)的架構(gòu)有深入的了解和掌控，不斷地進(jìn)行網(wǎng)絡(luò)安全的提升和安全漏洞的防范。

    通過對企業(yè)信息安全以上五個方面對網(wǎng)絡(luò)的需求可以大概的了解，信息安全是在基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)上對企業(yè)網(wǎng)絡(luò)的一個功能完善和安全提升的過程。所以要滿足企業(yè)信息安全的網(wǎng)絡(luò)需求需要設(shè)計者們縱觀全網(wǎng)架構(gòu)及全安全風(fēng)險隱患，才能設(shè)計出適合企業(yè)業(yè)務(wù)和安全需求的網(wǎng)絡(luò)架構(gòu)。

    2．1．4企業(yè)培訓(xùn)基地網(wǎng)絡(luò)需求分析

    企業(yè)培訓(xùn)機構(gòu)作為企業(yè)的后備人力資源儲備機構(gòu)其網(wǎng)絡(luò)架構(gòu)類似于校園網(wǎng)絡(luò)架構(gòu)其網(wǎng)絡(luò)承載的應(yīng)用系統(tǒng)多而雜。一般情況校園網(wǎng)絡(luò)包括：計算機網(wǎng)絡(luò)、數(shù)字圖書館、多媒體、VOD點播、遠(yuǎn)程教學(xué)、數(shù)字化語音、校園廣播、校園電視臺及有線電視、安防及警報等等一系列基礎(chǔ)管理的相關(guān)應(yīng)用。以下將從各個方面對企業(yè)校園網(wǎng)的架構(gòu)設(shè)計需求進(jìn)行分析和討論。

    企業(yè)培訓(xùn)基地一般是企業(yè)進(jìn)行人才儲備和對在職人員進(jìn)行職能技術(shù)提升的一個工作場所，對企業(yè)的快速對外擴張和發(fā)占有著重要后背作用。本論文所涉及在校師生約5000人的校園規(guī)模對校園網(wǎng)絡(luò)架構(gòu)進(jìn)行需求分析。校內(nèi)按照樓宇劃分為行政、教學(xué)、實習(xí)車間、宿舍、圖書預(yù)覽、餐廳、運動場等教學(xué)場所，按照以上校園業(yè)務(wù)的需求這些場所都需要網(wǎng)絡(luò)覆蓋。尤其是行政和教學(xué)樓的網(wǎng)絡(luò)需要進(jìn)行精心設(shè)計才能保證滿足各類業(yè)務(wù)的需求和安全。學(xué)校大約有120間行政辦公室、100間大小授課教室，包含30個閱覽室的電子圖書館、30個多媒體教室、20個數(shù)字語音教室、10個計算機教室、10個模擬實驗室，這些地點均需要網(wǎng)絡(luò)全覆蓋。通過網(wǎng)絡(luò)承載校園網(wǎng)絡(luò)包含的所有業(yè)務(wù)數(shù)據(jù)。企業(yè)培訓(xùn)基地骨干網(wǎng)絡(luò)傳輸性能和處理帶寬能夠滿足學(xué)校辦公、多媒體課件遠(yuǎn)程制作及傳輸、計算機教學(xué)、多教室VOD和課件點播、音視頻網(wǎng)絡(luò)教學(xué)評估、視頻會議及遠(yuǎn)程教學(xué)等需要即可。

    由于企業(yè)校園網(wǎng)絡(luò)可作為企業(yè)的一個分支機構(gòu)考慮，因此架構(gòu)設(shè)計者可以將其作為一個分支機構(gòu)考慮與集團(tuán)總部相連，但其校園內(nèi)網(wǎng)的網(wǎng)絡(luò)則需要根據(jù)以上提出的校園的實際業(yè)務(wù)需求進(jìn)行架構(gòu)設(shè)計和部署。具體細(xì)節(jié)的設(shè)計方案將在后面第二節(jié)中具體說明和闡述。

    2．1．5核心網(wǎng)絡(luò)架構(gòu)可靠性需求分析

    制造企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計最終還需要考慮整體網(wǎng)絡(luò)的可靠性問題，因此網(wǎng)絡(luò)平臺的可靠性也是網(wǎng)絡(luò)架構(gòu)設(shè)計的需要考慮和分析一個重要因素。可靠性泛指系統(tǒng)在規(guī)定條件下和規(guī)定時間內(nèi)、完成規(guī)定功能的概率。對于網(wǎng)絡(luò)系統(tǒng)來說也就是能夠規(guī)定的時間內(nèi)完成數(shù)據(jù)完整安全的傳輸，那么如何來保證數(shù)據(jù)的完整安全的傳輸，架構(gòu)設(shè)計者們就應(yīng)針對所建立的企業(yè)網(wǎng)絡(luò)架構(gòu)進(jìn)行網(wǎng)絡(luò)可靠性的安全提升和性能優(yōu)化。網(wǎng)絡(luò)架構(gòu)的可靠性需求可從兩個方面來分析：一是網(wǎng)絡(luò)可用性，二是安全穩(wěn)定性。由于本論文涉及制造企業(yè)及分支機構(gòu)覆蓋的地域范圍較廣，所以本論文就對所設(shè)計的網(wǎng)絡(luò)環(huán)境中企業(yè)骨干和核心網(wǎng)絡(luò)架構(gòu)的可靠性進(jìn)行分析和探討，主要包括交換路由網(wǎng)絡(luò)設(shè)備、核心服務(wù)器區(qū)域網(wǎng)絡(luò)、匯聚層網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、MPLS．VPN網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、車間廠房工業(yè)以太網(wǎng)絡(luò)的網(wǎng)絡(luò)中設(shè)備和物理線路可靠性。

    首先了解網(wǎng)絡(luò)設(shè)備可靠性的基本含義。網(wǎng)絡(luò)的可靠性并不是單純網(wǎng)絡(luò)設(shè)備或節(jié)點的通斷，而是一種綜合管理信息，以反映支持業(yè)務(wù)的網(wǎng)絡(luò)是否具有業(yè)務(wù)所要求的可靠性。計算機網(wǎng)絡(luò)可靠性可以被定義為某種產(chǎn)品和服務(wù)根據(jù)需要保持運行的可用概率。可靠性表示為百分比：

    (協(xié)議服務(wù)時間一失效時間)÷協(xié)議服務(wù)時間×100％

    在數(shù)據(jù)網(wǎng)絡(luò)中，網(wǎng)絡(luò)的可靠性被定義為產(chǎn)品或服務(wù)處于工作狀態(tài)時所期望達(dá)到的連接時間的平均值。即：

    可靠性=[1．(連接中斷的時間總和)÷(生產(chǎn)連接時間總和)×100％(2．2)在這里是指終端A到終端B之間的數(shù)據(jù)的成功傳送，涉及物理層連通性、鏈路層協(xié)議連通性和網(wǎng)絡(luò)協(xié)議層連通性。針對網(wǎng)絡(luò)可靠性而言，有一種情況可能會經(jīng)常發(fā)生，即當(dāng)某一設(shè)備或連接中斷時，可靠性不受影響，因為存在冗余連接和2、3層協(xié)議的快速匯聚，但需要考慮冗余連接同時失效時對可靠性的影響。數(shù)據(jù)的成功傳送同樣也是重要參數(shù)，它取決于具體的設(shè)備性能和應(yīng)用。如果某一連接由于隊列、傳輸距離或設(shè)備延遲變得很慢，那么某些應(yīng)用將不可用，多數(shù)企業(yè)會認(rèn)為此類型的連接是無效的，上層協(xié)議和應(yīng)用可能會超時。而對于實際網(wǎng)絡(luò)中數(shù)據(jù)的傳輸要經(jīng)過很多串聯(lián)或并聯(lián)的網(wǎng)絡(luò)設(shè)備及鏈路，下面就分析串聯(lián)設(shè)備和并聯(lián)設(shè)備的可靠性情況。

    串聯(lián)聯(lián)接的設(shè)備用邏輯或門表示，意思是任何一個設(shè)備故障都會引起網(wǎng)絡(luò)發(fā)生故障或事故。串聯(lián)設(shè)備組成的系統(tǒng)，其可靠度計算公式如下：

    式中Ri為每個設(shè)備的可靠性；n為設(shè)備的數(shù)量。即經(jīng)過n個串聯(lián)設(shè)備的網(wǎng)絡(luò)故障概率P由下式計算：

    式中Pi為每個設(shè)備的故障概率。只有A和B兩個設(shè)備組成的網(wǎng)絡(luò)，上式展開為：

    P(A或B)=P(A)+P(B)一P(A)P(B) (2-5)

    如果設(shè)備的故障概率很小，則P(A)P(B)項可以忽略，此時式(2-5)可簡化為：

    P(A或B)=P(A)+P(B)一P(A)P(B) (2-6)

    式(2-4)則可簡化為：

    當(dāng)設(shè)備的故障率不是忽略時，不能用簡化公式計算總的故障概率。

    并聯(lián)聯(lián)接的設(shè)備用邏輯與門表示，意思是并聯(lián)的幾個設(shè)備同時發(fā)生故障，系統(tǒng)就會故障。并聯(lián)設(shè)備組成的系統(tǒng)故障概率P的計算公式是：

    并聯(lián)網(wǎng)絡(luò)的可靠性計算公式如下：

    即得出了設(shè)計的網(wǎng)絡(luò)架構(gòu)的可靠性。

    網(wǎng)絡(luò)線路的可靠性通常由線路的連通性、線路的響應(yīng)時間和線路的傳輸丟包三個指標(biāo)決定，這三個因素相互關(guān)聯(lián)，影響線路的可靠性。當(dāng)線路的響應(yīng)時間在業(yè)務(wù)需要的范圍內(nèi)時，線路的可靠性反映了線路的可用狀況；當(dāng)線路的響應(yīng)時間超出業(yè)務(wù)允許的范圍時，即使線路連通并沒有丟包，線路的可靠性也為0；當(dāng)線路的響應(yīng)時間處于中間狀態(tài)，部分影響業(yè)務(wù)時，線路的可靠性為在可靠性乘以一定的系數(shù)，一般為50％。架構(gòu)設(shè)計者可根據(jù)鏈路的這三個指標(biāo)來衡量選擇可靠的線路運營商或結(jié)構(gòu)，同樣通過以上串并聯(lián)設(shè)備可靠性計算方法與關(guān)系就可以計算出某線路的可靠性。這樣通過網(wǎng)絡(luò)線路的可靠性就可以比較客觀和準(zhǔn)確地反映線路的服務(wù)質(zhì)量。

    因此不同的網(wǎng)絡(luò)架構(gòu)其可靠性也有很大的差異。這是設(shè)計者們設(shè)計合理的高可靠性的網(wǎng)絡(luò)架構(gòu)過程中需要關(guān)注的重要因素。根據(jù)以上設(shè)備和鏈路的可靠性需求分析，對企業(yè)網(wǎng)絡(luò)的核心設(shè)備和骨干鏈路都采用冗余備份或者負(fù)載均衡的方式設(shè)計和部署，核心服務(wù)器區(qū)域三層VLAN都配置為VRRP，設(shè)備互連采用雙鏈路配置雙動態(tài)路由方式負(fù)載分擔(dān)。這樣從設(shè)備及鏈路上就很大程度地提高了企業(yè)網(wǎng)絡(luò)架構(gòu)的可靠性。

    2．1．6網(wǎng)絡(luò)架構(gòu)需求分析總結(jié)

    通過對制造企業(yè)的網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)數(shù)據(jù)、應(yīng)用系統(tǒng)、信息安全、核心網(wǎng)絡(luò)可靠性及企業(yè)培訓(xùn)校園五個方面的需求分析，已經(jīng)基本了解制造企業(yè)網(wǎng)絡(luò)架構(gòu)的基本和特殊需求。企業(yè)基礎(chǔ)數(shù)據(jù)的交換和共享是對企業(yè)網(wǎng)絡(luò)架構(gòu)的基本要求，即集團(tuán)與各分支機構(gòu)網(wǎng)絡(luò)互連互通，但考慮到由于地域差別帶來的互連方式和費用的不同，提出了幾種具有很強針對性的互連方案。應(yīng)用系統(tǒng)是對企業(yè)網(wǎng)絡(luò)要夠更改一層的需求，它不僅要求網(wǎng)絡(luò)的互通可達(dá)性還要求網(wǎng)絡(luò)的帶寬、性能、安全、專用等更高的需求，從四個方面分析了企業(yè)應(yīng)用系統(tǒng)對網(wǎng)絡(luò)架構(gòu)的需求情況并給出相對應(yīng)的設(shè)計方案。信息安全是在滿足企業(yè)應(yīng)用系統(tǒng)需求的基礎(chǔ)上對網(wǎng)絡(luò)架構(gòu)的一個提升和優(yōu)化，主要從制造企業(yè)五個基本的信息安全方面分析了對網(wǎng)絡(luò)架構(gòu)的需求，盡可能的從網(wǎng)絡(luò)結(jié)構(gòu)上去阻止和隔離非法訪問和數(shù)據(jù)傳輸?shù)陌踩�事故。企業(yè)培訓(xùn)校園是按照一個中等規(guī)模大小的校園網(wǎng)絡(luò)需求進(jìn)行設(shè)計的，基本滿足了需求。企業(yè)核心網(wǎng)絡(luò)的可靠性是網(wǎng)絡(luò)需求分析的重點，詳細(xì)分析了網(wǎng)絡(luò)中可靠性的概率評價算法以及網(wǎng)絡(luò)架構(gòu)中設(shè)備及鏈路可靠性的設(shè)計方案和基礎(chǔ)架構(gòu)。從整體上已經(jīng)對制造企業(yè)網(wǎng)絡(luò)架構(gòu)有了初步的了解并規(guī)劃出大概的網(wǎng)絡(luò)架構(gòu)模型。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/

本文標(biāo)題：集團(tuán)企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計與實現(xiàn)（二）

本文網(wǎng)址：http://m.hanmeixuan.com/html/consultation/1083942247.html