集团企业网络架构及安全部署的设计与实现（三）

2．2制造企业网络架构设计

    根据需求分析的结果我们就一步一步的去规划和设计企业基础的网络架构模型和需求解决方案，从而使设计的网络结构能够较好的满足企业用户对网络的不同需要，为企业量身打造一个合适的数据交换平台，实现企业的快速发展和扩张的目标。

    2．2．1网络架构设计思想及原则

    任何一个企业的网络架构设计最初都是为了实现将不同物理位置的场所及机构的计算机网络进行互通，同样这个最基本的需求对于制造企业的网络架构的设计也不例外，这也是企业计算机网络的根本目的。但随着企业数据业务需求的不断改进和发展，企业网络架构的设计从解决简单的连通性转化到了服务和变化于应用服务的应用型网络架构上，逐渐转化为面向应用的网络架构(SONA)，因此网络架构的设计者们设计的网络架构也就必须要满足企业各种业务需求，适应企业各种信息发展，并能提供给用户更加方便快捷的办公管理平台。这也是设计企业网络架构的思想。

    本论文的网络架构设计原则是以满足企业业务需求、符合高性能、高可靠、稳定安全、易扩展、架构清晰、易管理维护的网络为基点和衡量标准。依照此原则和企业要求标准情况，网络架构满足要求的各项指标详细情况通过下列两个表详细说明。网络架构满足企业涉及到业务的网络需求，并能很好地承载所有业务的各项应用数据和服务。企业应用业务情况如表2．1：

    表2．1企业应用列表

    以上是在满足企业基本网络需求下的性能和可靠性指标的要求情况，因此企业需求也成为此本网络架构设计的目标和性能参考标准。

    2．2．2网络架构模型

    本节根据前两节网络需求分析结果和设计原则规划出企业网络架构的基本模型，分别设计出企业核心骨干、数据中心IDC、汇聚接入、VPN及互联网、工业以太网基本架构和原始模型。

    企业核心骨干网络包含集团总部核心、海内外大型分支机构、生产基地的核心路由交换和互连链路的网络，网络架构模型设计如图2．1：

    图2-1核心骨干网络拓扑

    IDC骨干网络是支持IDC多应用服务正常运行的基础，在制造企业中包含支持研发、公共应用、财务等核心服务的网络架构，模型如图2-2:

    图2-2 IDC骨干网络拓扑

    汇聚接入网络包含集团总部研发中心、办公楼、学校、厂房、车间与核心三层互连和接入部分的网络，网络架构模型设计如图2．3：

    图2-3汇聚接入网络拓扑

    互联网及VPN网络包含集团Internet、DMZ、营销服务网点、移动用户VPN网络，由于现实部署中，防火墙交叉链路在现网中存在故障，因此此网络架构模型为理想设计状态，模型设计如图2．4：

    图2-4互联网出口网络拓扑

    工业以太网包含集团的可编程控制器、无线接入、电机驱动、传感器等工业输入输出设备的接入网络，网络架构模型设计如图2．5：

    图2-5工业以太网拓扑

    以上针对制造行业企业5个不同的区域和功能，并按照企业对网络的可靠性和安全性要求设计了与其对应的理想网络架构模型。在现实中可能由于所选择的设备的不同而存在不同的故障和问题，但均可在现网中实现。

    2．2．3网络架构模型说明

    以上网络架构模型分别设计了企业的核心、汇聚、应用服务、互联网及工业以太网的模型。以下逐一对其结构进行简单说明。

    核心骨干网的设计包含了集团总部及海内外大型分支、生产基地的网络互联模型，集团总部采用高端高性能交换机作为企业的核心交换，两台核心交换通过TRUNK万兆接口互连，采用VRRP协议的可靠性配置与核心路由器互连。核心路由之间通过千兆互连，与分支机构采用SDH专线和MPLS．VPN专线做广域网的互连冗余结构，SDH和MPLS广域网链路可根据实际费用去选择。分支机构核心交换和路由的互连与集团核心交换和路由结构相同，只是设备性能要求较低。使用OSPF路由协议，并将核心的路由全部动态发布到Area0区。

    数据中心网络的设计包含了研发和公共应用服务两大部分，两个区域的数据都是企业安全性要求较高的，因此采用带防火墙业务板的高端交换作为核心交换与集团核心交换全冗余交叉互连，既保证了可靠性也保证了安全性。机房的每个机柜都放置高性能的千兆接入交换，简洁、美观且实用。

    汇聚层网络的设计涵概了集团所有汇聚接入的网络情况，汇聚交换同样采用双链路双机冗余与核心、接入交换分别互连，保证了网络的高可靠性和数据交换性能。汇聚和接入交换启用802．1X协议对用户网络接入进行认证和控制。

    互联网部分包含Intemet、DMZ和VPN网络，考虑到信息安全的问题所以网络架构相对较复杂。企业Intranet至DMZ之间部署防火墙保证内网与DMZ区域数据交换的安全，DMZ至Internet之间再部署防火墙保证DMZ与Internet之间数据交换的安全，在Intranet至Intemet之间增加行为控制设备，在出口防火墙外旁路IPS设备对互联网数据进行入侵检测和防御，ISP线路通过链路负载均衡对互联网流量进行负载。驻外移动用户通过部署在DMZ的Ipsec VPN和SSLVPN与DMZ核心交换互连，在通过内网防火墙对数据进行授信访问。集团营销服务网点可通ISP线路与DMZ的VPN Router建立点对点的VPN。

    生产制造车间的工业以太网是为了解决车间和生产工控设备的只能控制和生产数据的下发执行。通过工业交换机和可编程控制器将工业设备级网络通IP数据网络结合在一起，实现了办公、智控及人机交互设备网络的智能一体化。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：集团企业网络架构及安全部署的设计与实现（三）

本文网址：http://www.toberp.com/html/consultation/1083942248.html