集团企业网络架构及安全部署的设计与实现（四）

2．3制造企业网络架构实现

    网络架构雏形基本分析设计完成，下面就设计的模型进行部署和实现，能够更清晰和实际地了解企业网络架构。

    2．3．1网络架构实现过程及步骤

    模型的实现分为几个四个步骤来完成。首先规划集团IP地址空间范围，其次部署和实现企业核心层的网络架构，再次是核心架构的基础上部署汇聚层和生产车间网络架构，最后是安全威胁较大的DMZ、VPN及互联网架构的部署。

    根据本论文设计的企业规模大小，网络地址进行规划原则如下：

    一、总体原则

    规范性一网络地址空间划分和分配是基于对全集团的应用部署、数据流向和用户访问的全面理解，结合业界最佳实践对全集团规划、分配、使用IP地址具有指导和强制作用，是企业未来IP地址管理体系重要组成部分。

    标准性-IP地址的分配空间符合RFCl918的标准规定。

    可扩展性．网络地址在功能、容量、覆盖能力等各方面具有易扩展能力，以适应快速的业务发展对基础架构的要求。

    连续性．在网络规模扩展时能保证地址汇总所需的连续性。网络地址空间划分采用分层、分级结构化方法，按职能划分连续地址，易于进行路由汇总。灵活性．地址分配应具有灵活性，借助可变长子网掩码技术，支持多种路由策略的优化和充分利用地址空间。

    二、规划说明

    考虑集团数据中心、灾备中心和海外数据中心的功能，并结合未来5．10年的发展，各预留2个B类地址。国内数据中心总体预留2个B类地址段。国内灾备中心总体预留2个B类地址段。亚洲数据中心总体预留2个B类地址段。欧洲数据中心总体预留2个B类地址段。美洲数据中心总体预留2个B类地址段。基于对集团国内主要分支机构现状的了解，以及对集团未来5．10年发展的预测，集团国内外现有10个子公司，考虑每年平均20％增长， 5年后10*1．2*1．2*1．2*1．2*1．2≈25，每子公司最大预留1个B类地址段，总共分配了24个B类地址。考虑到冗余，集团为国内外子公司总体预留24个B类地址段。预计分支机构用户终端数目小于10000，分配64C地址。以50个国内外分支机构计算，考虑每年平均20％增长，5年后集团需要50*1．2*1．2*1．2*1．2*1．2≈-125．国内每外分支机构最大预留8个C类地址段。国内集团总体需要预留地址空间为：8C*125=1000 C类地址空间。考虑到冗余，集团为国内外分支机构总体预留8个B类地址段。其他分支机构P地址空间，参考分支机构和集团网络规模。集团为国内外其他分支机构总体预留2个B类地址段。IP地址空间规划如表2．3：

  表2．3数据中心IP地址空间表  

    表2．3和表2．4是根据企业网络规划原则和企业扩张发展速度定义的IP地址空间范围，将数据中心与功能区域地址划分在2个128的B类网络中。以上IP地址空间的规划是企业网络架构设计具有扩展延伸、地址冗余、清晰灵活、易于管理的重要基础和组成部分。

    表2．5应用服务区及设备IP地址空间表

    表2．6功能区域IP地址空间表

    表2．5及表2．6详细规说明了应用服务区、互联网、VOIP、视频会议、设备及APN专用网IP地址的规划细节情况。为我们以下网络的实施和部署奠定了基础，也将整个网络架构在P地址空间上做了清晰设计和规划。

    核心层的部署首先要根据企业现有业务数据流量及将来扩张的情况选择高性能的核心交换和路由来保证背板带宽和交换容量。核心设备放置于企业核心IDC交换机房，核心设备均使用双机做负载和冗余．核心交换之间使用万兆TRUNK互连，核心路由使用千兆互连，交换和路由间使用千兆全冗余交叉互连。物理连接完毕后根据规划网络地址的其实开始配置核心和路由的互连接口地址并调试通过。对于集团与分支机构链路需与ISP服务商选择合理带宽的SDH和MPLS联调通过。分支机构的核心设备部署、配置和调试同集团步骤相同。

    汇聚层和生产车间网络的部署相对核心层的比较简单和容易些，网络模型和配置都与核心层的相似。同样根据办公区域和生产车间的数据流量大小来选择适合的三层交换设备，上行采用光纤同核心互连，下行千兆至接入交换。车间工业以太网络主要是对IO设备数据的交换处理，将IP网络数据通过控制程序下发至工业智能IO设备，工业交换与通过单模或多模光纤与汇聚交换互连，也可直接与核心交换互连。

    互联网部分的网络架构部署因为考虑到安全问题，因此部署比较复杂和繁琐。适合企业互联网出口的最终网络架构是在不断地对企业互联出口网架构的安全提升和性能优化的实践基础上形成的。一般的互联网出口网络架构是互联网线路直接接入防火墙，然后防火墙直接与核心交换互连的简单结构。起初设计也是如此，但这种结构已经逐渐不能满足企业日益变化和更新的业务需求，同时逐渐不能有效地控制和防范外部数据的安全威胁。因此本论文设计的互联网出口架构是把安全放在首要位置设计的，增加入侵防御设备(IPS)和行为控制设备严格的对互联网数据，将IPS部署在防火墙外侧，行为控制部署在防火墙内测。由于企业内网与DMZ的数据和互联网数据都需要防火墙来过滤转发控制，这样增加了防火墙的负载压力，所以在增加内网防火墙降低负载并提高互联网访问的安全指数。最后提高互联网的带宽增加不同的ISP线路并增加链路负载均衡提高出口访问性能。以上部署的设备都采用双机形式提高互联网访问的可靠性。VPN网络架构在互联网的基础上分为三部分IPSEC、SSL和点对点。IPSEC和SSL的wan口都挂接在负载后提高对外部用户的访问性能，内口挂接在DMZ交换上在通过内网防火墙对数据进行过滤和控制。Site—to-site VPN直接同分支结构VPN路由通过ISP互通，内口接入DMZ交换上通过内网防火墙进行控制和过滤。 

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

转载请注明出处：拓步ERP资讯网http://www.toberp.com/

本文标题：集团企业网络架构及安全部署的设计与实现（四）

本文网址：http://www.toberp.com/html/consultation/1083942249.html