本文以天瑞集团核心机房,集团大厦楼层、一个本地公司、一个外地分公司网络建设为例,介绍了以集团为核心的几个不同地理位置的企业如何规划组成一个大型的局域网,如何合理的规划设计,以满足企业信息化发展需要。
一、需求分析以及实施目标
在网络建设中,首要工作是需求分析,确定企业信息网络建设应该满足哪方面的要求、考虑哪方面的因素。具体可归结以下几个方面:
1、网络连通性、高性能、可靠性
网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑充裕的带宽,较强的处理能力,网络的冗余与可靠。
2、网络安全性
企业在局域网和广域网中传递的数据都是相当重要的信息,因此一定要保证数据安全保密,防止非法窃听和恶意破坏,在网络建设的开始就应该考虑采用严密的网络安全措施。
3、网络的可管理性
随着计算机网络的发展,网络规模的增大,网络应用也日益多样化,网络管理也变得越来越重要。良好的网络管理,能够主动控制网络,及时分析网络流量,了解网络健康状况,有预见性地发现网络上的问题,并将其消灭于萌芽状态。
4、网络扩充性
随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的。通过模块化的网络结构设计和模块化的网络产品,能为网络提供很强的扩展和升级能力。
5、网络环境规划
针对企业现有的信息网络状况采取不同的应对策略来架构整个企业信息网络系统,需要考虑的情况有:企业信息网络是否属于新建,新建的网络如何统筹规划;如果有原有的网络,怎么规划将其联接起来;如何实现企业网络的远距离连接,以及网络能否满足移动工作环境等。
6、网络的多媒体支持等
随着视频会议等多媒体技术的日趋成熟,网络传输的数据已不再是单一数据了。企业在网络中.应考虑网络的多媒体支持。同时,在网络带宽非常宝贵的情况下,在设备选型上要考虑是否有丰富的QoS机制、高性能,如:IP优先、排队、组播和链路压缩等优化技术使多媒体和关键业务得到有效的保障。通过以上分析,确定了以下网络实施方向以及实施目标:
实现天瑞集团办公大楼与核心机房局域网高速互联;实现本地企业网络系统与集团总部核心网络系统高速可靠互联;实现外地企业计算机网络系统到集团总部核心网络系统的可靠、安全互联;
实现各分公司办公楼、门岗、磅房、票房、袋装发料处、仓库等网络可靠互联:
最终形成以集团总部为核心下属企业为分支高效、可靠、安全的企业信息化系统通信平台。
二、规划设计
在确定了建设需求和目标后,就应该由企业主抓信息化领导、网络管理人员、系统实施人员共同建立信息处理模型来达到对企业信息网络建设认识上的一致。这个模型通常包括网络拓扑结构、业务流程等部分。它必须能够反映企业内的业务工作流程,明确企业信息流的基本走向,反映企业信息大致方向,从而为网络建设的总体规划制定科学依据。
在设备的采购上,要充分考虑到各企业的实施进度,利用时间差,集中分布购买相关设备,降低采购成本。为保障网络的建设以及后期维护能够顺利进行,企业在网络实施过程中应培养一批素质高的网络管理维护人员,以上工作准备好后就可以进行网络设计建设了。
三、网络方案具体设计
网络方案具体设计图,如图1所示。
图1 网络方案具体设计图
在本方案中分四个部分进行设计:中心机房、集团各楼层,本地企业,外地企业。此次方案以H3C设备为例,介绍了相关技术的应用和设计思想,并大致列出在网络施工中注意事项以及无线设备、IC卡在企业的应用。
1、集团核心机房设计
集团核心机房设在7楼的中间位置,该房间放置核心网络设备以及各应用服务器,其中包括ERP服务器、OA服务器、邮箱服务器、杀毒服务器、网管服务器、视频会议服务器等。
由于所有的信息应用都集中在核心机房,需提供业务系统应用、办公自动化、远程互联等复杂的网络应用。核心交换选用两台H3C 7506系列具有三层交换功能的千兆模块化交换机作为主干核心交换机,两台核心交换机间用专用线路连接,组成链路聚合,这样即可保证两个核心交换机的高带宽高性能,也可保证单条链路失败而引起的中断。在两台核心交换机上为每个楼层、核心机房汇聚交换机S5510,各应用服务器划分出相应VLAN(网段),并且在该VLAN上启用VRRP(虚拟路由冗余协议),保证一台核心交换机出现故障或某条线路出现故障时可以进行设备和链路上的自主切换。为保护核心交换机不会因某个网段中出现广播风暴、二层物理环路、不跨网段的病毒、木马的攻击而造成其受到冲击,从而导致核心交换机性能大幅度下降或瘫痪造成全网的瘫痪,在楼层交换机、核心机房汇聚交换机、核心交换机之间使用网络三层路由连接模式。
考虑到本地子公司的网络自成体系,通过租用运营商光纤线路直连到核心机房汇聚交换机,单个子公司的局域网广播数据流不扩展到全网,单个子公司的网络故障不应该扩展到全网,核心机房汇聚层交换机采用H3C公司的S5510系列的具有路由功能的三层交换机,以达到网络隔离和分段等目的。
防火墙是核心网络中最重要的设备,它的稳定可靠将直接影响着基于internet应用的安全与可靠。由于防火墙是internet与局域网之问的唯一访问通道,其性能的好坏也将直接影响到internet应用的性能,因此本方案中选用具有优异性能与可管理性的H3C F1OOO-S防火墙,F1OOO-S防火墙具有VPN、流量管理、强大的网络安全策略等功能,能够满足苛刻环境下的峰值负载和很高的防御需求,通过租用两条不同运营商线路互备,作为集闭以及本地企业访问互联网络的总出口以及各分公司VPN链路接入。
服务器安装两块T兆网卡分别使用两条链路连接到两台核心交换机,在核心交换机上为服务器群划分出相应的VLAN(网段)并启用VRRP协议,保证一个核心设备出问题后,可自主切换到另一个核心设备链路,使服务器对外网络服务不中断。
2、大厦楼层设计
楼层接入设备选择H3C公司的3600系列三层智能以太网交换机。通过两个千M上行链路光口,两条多模光纤链路分别上连到两台核心交换机互为冗余,对大厦楼层计算机偏多的,可直接通过多台交换机进行堆叠的方式来满足大量PC接入的需求,并启用VRRP(虚拟路由冗余协议),STP(生成树协议)实现在冗余线路上的负载均衡和上行线路发生故障时的快速恢复。
3、本地分公司设计
本地分公司同样选择三层H3C 3600系列交换机,通过租用运营商光纤线路直连接入汇聚三层交换机光纤模块,为了保证网络链路的冗余,本地分公司采用F1OO-S防火墙,租用另一个运营商线路通过VPN实现与集团的网络连接,通过在设备上设置优先级,以实现主备线路的自动切换。
4、外地分公司设计
H3C F100-A或F100-S防火墙作为企业网络总出口,采用光纤线路访问互联网和通过VPN的方式访问集团内网,在有限的带宽情况下,在防火墙上根据IP地址段进行流量和速度限制,以满足不同业务系统的需求。由于租用专线线路成本过高,暂时没有考虑,可考虑架设双线路,实现线路冗余互备。内部互联使用三层H3C 3100可网管交换机划分VLAN并对不同职能部门的电脑进行分段等管理;
5、路由交换设计
整个网络采用静态路由和动态OSPF路由相结合的方式。在核心防火墙(F1OOO-S)使用缺省静态路由作为本地企业以及大厦楼层访问互联网需求,防火墙(F1OOO-S)、两台核心交换机、汇聚交换机(S5510-24F)以及本地分公司之间启用动态OSPF路由。天瑞大厦各楼层交换机使用缺省路由。本地分公司交换机与防火墙F1OO-S以及VPN链路使用静态路由,外地分公司使用一条缺省路由指向Internet网,数条直连路由以VPN方式连接核心机房,通过设置路由优先级,线路侦测技术实现主备线路自主切换。
6、VLAN设计以及IP地址规划
为保证网络管理的方便性和安全性以及整个网络运行的稳定性,必须对网络进行VLAN划分,通过划分VLAN可有效抑制网络风暴、提高网络整体安全性,同时也便于管理; VLAN划分的原则是根据部门职能的不同和业务的交叉范围或者安全考虑进行划分,大致情况见下表1所示:
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:集团化企业网络建设方案与实践(上)
相关文章
