引言
随着当前中国经济的高速发展,各企业的业务也随之快速扩张,由于市场竞争的需要,企业围绕关联产业和产业链形成有机的分工与协作关系的园区正在快速的发展,逐渐在区域形成了聚集效应。园区经济的形成也给各个企业带来了新的课题,为了提高竞争力,推进上下游产业的协同工作,进而更好地管理和沟通,就需要打通企业或部门间的壁垒,使企业的信息流畅通。但目前,多园区工厂的计算网络建设面临着以下几个挑战:高可靠、高性能、高融合、高安全、可扩展。
1 网络技术和拓扑结构选择
1.1 拓扑结构设计
在企业园区网络整体设计中,宜采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的企业园区网络结构可以分成三层:接入层、汇聚层、核心层。
1.2网络虚拟化
为了提高网络的可靠性,传统的网络骨干拓扑结构一般采用冗余链路的方式提高数据交换的可靠性,其中备份的链路可以在链路或设备故障的时候启用,从而缩短链路中断的时间。在网络的核心层,标准的解决方案就是提供两台核心交换机,并采用VRRP 协议使其相互冗余,接入层交换机通过STP 协议,通过冗余链路连接至两台核心交换机。采用STP 协议可以自动阻塞其中一个端口,从而保证网络中不会出现环路,从而避免产生广播风暴。
1.3 网络隔离设计
目前在多园区企业存在着生产制造、运行管理、设计研发、园区管理、视屏会议等多种业务,因此在设计基础网络平台的同时需要考虑如何将各种业务进行逻辑隔离,确保各部门业务的独立性和安全性,并且需要考虑在部署了业务隔离之后,如何对部分数据进行共享。
1.4 VLAN技术
VLAN(Virtual Local Area Network,虚拟局域网)是一种二层隔离技术,其原理是在交换机上划分多个VLAN,某 一个VLAN内的用户是相互可访问的,但一个VLAN的数据包在二层交换机上不会发送到另一个VLAN,这样,其他VLAN的用户的网络上收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人所窃听,从而实现了信息的保密。
图1 VLAN技术
由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本,在二层网络中是一种安全高效的虚拟化技术。
1.5 VPN技术
VPN(Virtual Private Network,虚拟私有网)是一种基于三层的隔离技术,在20世纪90年代中期兴起,旨在通过公用网络设施实现类似专线的私有连接。其原理是在三层转发设备(路由器或三层交换机)上为每个VPN建立专用的VRF(Virtual Route Forwarding)表,各VRF表相互独立,具有特殊的标记,通过专用的隧道(GRE、MPLS、TE、IPSec、L2TP)将各VPN数据在公共网络上进行转发。通过特殊的标记,VPN数据在VRF和专用隧道中相互隔离,保证VPN数据的隐密性。
图2 VPN技术
1.6网络安全设计
网络安全是一个系统工程,需要作为一个整体考虑。网络安全作为一个整体的安全架构,可以从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体。
2 设计实例
某企业园区现有五个生产制造园区进行产品生产,一个综合办公楼,包括研发、管理、市场等业务部门,并且综合办公楼包含一个600平方米的数据中心。需要建设一个覆盖而整个企业园区的计算机网络系统。网络需要支持生产制造、运行管理、设计研发、园区管理、视屏会议等多种不同规模的业务。
2.1需求分析
根据业主实际需求,将主要针对以下三个方面来对整体网络进行规划:
·核心骨干网设计;
·功能隔离设计;
·网络安全设计。
2.2核心骨干网设计方案
核心骨干网是整个网络的主要设计部分,该部分网络包括主办公楼、五个园区汇聚和相应的接入层网络部分。整个网络采用典型的三层架构:
·核心层
作为园区核心节点,两台核心交换机部署于院区主办公大楼,交换机之间采用万兆链路互联,与各个汇聚层节点也通过万兆互联,{司时使用千兆光口提供主办公大楼内的各个楼层交换机的接入,并在核心交换机上部署防火墙模块和流量控制模块。
·汇聚层
园区共有七个汇聚节点,每个节点对应一个生产园区和办公楼以及数据中心,各部署两台汇聚交换机,交换机之间采用双千兆链路互联,其与核心交换机之间以万兆链路为主、千兆链路备份的方式进行全互联,每台汇聚层交换机都配置一块流量控制板卡。
·接入层
所有接入交换机通过两个千兆光口同汇聚交换机实现双链路相连,从网络性能出发,所有接入层采用千兆到桌面设计。
图3 园区网络规划图
如图所示,汇聚节点与核心交换机之问、接入层与汇聚层之间全部采用双链路互联。考虑到汇聚交换机两条上行链路在某些情况下(如园区建设中的施工原因等)出现链路中断的可能,汇聚层再部署双环的架构,环上链路同样运行OSPI及MPLS,使得在主万兆上行与备份千兆上行同时断掉的情况下,可通过环网来保证业务的正常运行,实现高速的链路自愈能力。
2.3功能隔离设计方案
VPN 所属资源 VPN拥有的路由 备注
L2/L3 L2/L3、 L2/L3、共享 无
L4 L4 L4、监控、Internet缺省路由、共享 互联网出口增加ACL,禁止生产区IP访问Internet
Internet Internet L4、监控、 互联网入口增加ACL,仅允许合法互联网IP访问Internet
监控 监控 监控、L4、Internet、共享 无
服务器群 OA、MES、ERP L2/L3、L4 各服务器仅允许自己业务相关的终端进行访问
表1 VPN规划
2.4网络安全设计方案
由于整个企业内部的生产控制信令及相关数据的采集,均会通过服务器传达。因此重点对服务器区域的安全防护进行规划。
如下图所示,整个数据中心主要由服务器区及安全管理系统区构成。
图 4 网络安全规划
3 结束语
本文提出的基于MPLS VPN的虚拟多园区工厂计算机网络设计,网络规划逻辑清晰,逻辑隔离性强,配置和维护工作量小;且在传统树形结构的基础上融入双环网的设计,保证了整个网络的高可靠性。本文同时提出了整体安全架构,从局部安全、全局安全、智能安全三个层面,为用户提供一个多层次、全方位的立体防护体系,使网络成为智能化的安全实体,为企业的各项业务提供了一种先进、易用、安全、便于维护的多业务虚拟化网络承载平台。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:某多园区工厂网络规划与研究