引言
隨著當前中國經濟的高速發展,各企業的業務也隨之快速擴張,由于市場競爭的需要,企業圍繞關聯產業和產業鏈形成有機的分工與協作關系的園區正在快速的發展,逐漸在區域形成了聚集效應。園區經濟的形成也給各個企業帶來了新的課題,為了提高競爭力,推進上下游產業的協同工作,進而更好地管理和溝通,就需要打通企業或部門間的壁壘,使企業的信息流暢通。但目前,多園區工廠的計算網絡建設面臨著以下幾個挑戰:高可靠、高性能、高融合、高安全、可擴展。
1 網絡技術和拓撲結構選擇
1.1 拓撲結構設計
在企業園區網絡整體設計中,宜采用層次化、模塊化的網絡設計結構,并嚴格定義各層功能模型,不同層次關注不同的特性配置。典型的企業園區網絡結構可以分成三層:接入層、匯聚層、核心層。
1.2網絡虛擬化
為了提高網絡的可靠性,傳統的網絡骨干拓撲結構一般采用冗余鏈路的方式提高數據交換的可靠性,其中備份的鏈路可以在鏈路或設備故障的時候啟用,從而縮短鏈路中斷的時間。在網絡的核心層,標準的解決方案就是提供兩臺核心交換機,并采用VRRP 協議使其相互冗余,接入層交換機通過STP 協議,通過冗余鏈路連接至兩臺核心交換機。采用STP 協議可以自動阻塞其中一個端口,從而保證網絡中不會出現環路,從而避免產生廣播風暴。
1.3 網絡隔離設計
目前在多園區企業存在著生產制造、運行管理、設計研發、園區管理、視屏會議等多種業務,因此在設計基礎網絡平臺的同時需要考慮如何將各種業務進行邏輯隔離,確保各部門業務的獨立性和安全性,并且需要考慮在部署了業務隔離之后,如何對部分數據進行共享。
1.4 VLAN技術
VLAN(Virtual Local Area Network,虛擬局域網)是一種二層隔離技術,其原理是在交換機上劃分多個VLAN,某 一個VLAN內的用戶是相互可訪問的,但一個VLAN的數據包在二層交換機上不會發送到另一個VLAN,這樣,其他VLAN的用戶的網絡上收不到任何該VLAN的數據包,這樣就確保了該VLAN的信息不會被其他VLAN的人所竊聽,從而實現了信息的保密。
圖1 VLAN技術
由于VLAN是邏輯上對網絡進行劃分,組網方案靈活,配置管理簡單,降低了管理維護的成本,在二層網絡中是一種安全高效的虛擬化技術。
1.5 VPN技術
VPN(Virtual Private Network,虛擬私有網)是一種基于三層的隔離技術,在20世紀90年代中期興起,旨在通過公用網絡設施實現類似專線的私有連接。其原理是在三層轉發設備(路由器或三層交換機)上為每個VPN建立專用的VRF(Virtual Route Forwarding)表,各VRF表相互獨立,具有特殊的標記,通過專用的隧道(GRE、MPLS、TE、IPSec、L2TP)將各VPN數據在公共網絡上進行轉發。通過特殊的標記,VPN數據在VRF和專用隧道中相互隔離,保證VPN數據的隱密性。
圖2 VPN技術
1.6網絡安全設計
網絡安全是一個系統工程,需要作為一個整體考慮。網絡安全作為一個整體的安全架構,可以從局部安全、全局安全、智能安全三個層面,為用戶提供一個多層次、全方位的立體防護體系,使網絡成為智能化的安全實體。
2 設計實例
某企業園區現有五個生產制造園區進行產品生產,一個綜合辦公樓,包括研發、管理、市場等業務部門,并且綜合辦公樓包含一個600平方米的數據中心。需要建設一個覆蓋而整個企業園區的計算機網絡系統。網絡需要支持生產制造、運行管理、設計研發、園區管理、視屏會議等多種不同規模的業務。
2.1需求分析
根據業主實際需求,將主要針對以下三個方面來對整體網絡進行規劃:
·核心骨干網設計;
·功能隔離設計;
·網絡安全設計。
2.2核心骨干網設計方案
核心骨干網是整個網絡的主要設計部分,該部分網絡包括主辦公樓、五個園區匯聚和相應的接入層網絡部分。整個網絡采用典型的三層架構:
·核心層
作為園區核心節點,兩臺核心交換機部署于院區主辦公大樓,交換機之間采用萬兆鏈路互聯,與各個匯聚層節點也通過萬兆互聯,{司時使用千兆光口提供主辦公大樓內的各個樓層交換機的接入,并在核心交換機上部署防火墻模塊和流量控制模塊。
·匯聚層
園區共有七個匯聚節點,每個節點對應一個生產園區和辦公樓以及數據中心,各部署兩臺匯聚交換機,交換機之間采用雙千兆鏈路互聯,其與核心交換機之間以萬兆鏈路為主、千兆鏈路備份的方式進行全互聯,每臺匯聚層交換機都配置一塊流量控制板卡。
·接入層
所有接入交換機通過兩個千兆光口同匯聚交換機實現雙鏈路相連,從網絡性能出發,所有接入層采用千兆到桌面設計。
圖3 園區網絡規劃圖
如圖所示,匯聚節點與核心交換機之問、接入層與匯聚層之間全部采用雙鏈路互聯。考慮到匯聚交換機兩條上行鏈路在某些情況下(如園區建設中的施工原因等)出現鏈路中斷的可能,匯聚層再部署雙環的架構,環上鏈路同樣運行OSPI及MPLS,使得在主萬兆上行與備份千兆上行同時斷掉的情況下,可通過環網來保證業務的正常運行,實現高速的鏈路自愈能力。
2.3功能隔離設計方案
VPN 所屬資源 VPN擁有的路由 備注
L2/L3 L2/L3、 L2/L3、共享 無
L4 L4 L4、監控、Internet缺省路由、共享 互聯網出口增加ACL,禁止生產區IP訪問Internet
Internet Internet L4、監控、 互聯網入口增加ACL,僅允許合法互聯網IP訪問Internet
監控 監控 監控、L4、Internet、共享 無
服務器群 OA、MES、ERP L2/L3、L4 各服務器僅允許自己業務相關的終端進行訪問
表1 VPN規劃
2.4網絡安全設計方案
由于整個企業內部的生產控制信令及相關數據的采集,均會通過服務器傳達。因此重點對服務器區域的安全防護進行規劃。
如下圖所示,整個數據中心主要由服務器區及安全管理系統區構成。
圖 4 網絡安全規劃
3 結束語
本文提出的基于MPLS VPN的虛擬多園區工廠計算機網絡設計,網絡規劃邏輯清晰,邏輯隔離性強,配置和維護工作量小;且在傳統樹形結構的基礎上融入雙環網的設計,保證了整個網絡的高可靠性。本文同時提出了整體安全架構,從局部安全、全局安全、智能安全三個層面,為用戶提供一個多層次、全方位的立體防護體系,使網絡成為智能化的安全實體,為企業的各項業務提供了一種先進、易用、安全、便于維護的多業務虛擬化網絡承載平臺。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:某多園區工廠網絡規劃與研究
相關文章
