第二章 制造集团企业网络架构设计与实现
制造企业为进一步满足公司国际化和现代化的快速发展需求, 都不断地在现有网络架构的基础上进行网络整合、改造和优化。企业网络架构设计的最终总体目标也都是以企业不断更新的业务需求作为中心点,并始终围绕该中心进行优化、提升和扩展。
2.1制造企业网络架构需求分析
目前很多制造企业总体网络架构的现状都没有很好地适应和满足现有及未来扩张的需求,现网架构或多或少的都存在一些瓶颈和难以适应期业务和客户需求的地方存在。因此不断地对企业网络架构优化、改造和提升用以满足千变万化应用需求是逐步实现一个无所不能的企业网络目标的必经之路,也是加强企业信息化核心竞争力和加速企业扩张壮大的重要措施和手段。企业网络架构部署的合理与否主要是看否满足以下四个方面的需求为基本标准。第一,企业基础数据交换的业务需求,这一点需求是网络架构的设计所满足的必要条件之一,也是网络在企业中推广的基础要求;第二,企业基础应用系统的需求,这是作为企业信息化发展的又一个发展,比如说企业的基础应用系统包括域架构、邮件、OA、SAP、PDM、SCM、CRM、财务、人力资源等等一些基本的应用系统的架构对网络架构有了更进一步的要求;第三,企业信息安全的需求,这是在企业网络架构已经满足基本数据交换和基本业务系统的前提下做的进一步的提升和数据安全的保障措施;第四,企业核心网络架构可靠性需求,这是要求企业核心骨干网络具有高可靠性和冗余,一般是通过核心设备的双机和链路的冗余来实现的,并且网络架构具有很好的可延伸扩展性.因此企业网络架构设计的是否合理且满足企业业务需求,很大的程度上是网络体系的可靠性、安全性和扩展性决定的。本章需求分析详细阐述说明了一个所辖国内外10大子公司,20个生产基地,国内外50个营销服务网点及一所专业培训学校的大型制造企业的网络架构的需求状况。
2.1.1基础数据网络需求分析
首先,我们从企业基础数据对企业网络架构的需求分析做起。一般企业大致上在建立企业网络的最初,都是以基础数据的交换共享为其基本目的和需求的。这些基础数据中基本是又以普通的数据文件,例如office文件、图纸、专用数据库文件等。基础数据对网络的要求是非常低和简单的,一版情况下只要求能够进行网络互通就可以满足用户数据共享和交换的需求。对于本论文所涉及的制造企业规模来说,企业所有用户对基础数据的要求也形成以个庞大的网络体系。就网络互通的基础需求考虑,公司需建立一个以集团所在为中心,其余子公司、生产基地、分公司为分支机构的星型网络拓扑结构,可根据实际情况选择各分支机构与总部互连接入的方式和带宽。基础数据对网络的需求总的来说也就是用户数据上传和公用数据下载的情况,下面我们就不同地域、不同重要程度的分支机构和移动办公人员分析基础数据对网络互通互连的需求情况。
对于本论文涉及的制造企业,先分析国外分支机构及用户情况,通常情况下国际专线费用是比较昂贵的,所以企业网络架构的设计人员根据国外分支机构的实际情况去选择不同的企业VPN网络解决方案。例如海外分支机构业务数据并不要求实时连接总部时,可通过互联网采用site-to-site VPN方式与集团总部网络互连;如海外分支机构对数据网络的要求实时通讯且有带宽要求,例如有语音视频会议需求。为保证其语音和视频能够顺畅达到可用状态,最佳方案为申请稳定的国际SDH专线,也可使用MPLS-VPN的专线方式将分支机构与集团总部互连。因国际专线费用昂贵所以这种互连方式一般适用于较大的跨国企业;国外移动办公人员相对固定的办公地点对网络要求并不是很高,可通过SSL VPNtz6J或IPSEC VPN方式接入海外较大的分支机构的网络,再通过海外分支机构与国内的专线与国内总部进行数据共享和交换,当然也可直接接入集团总部网络。对于集团国内的分支机构来说,随着国内通讯运营商的整合和省干线的优化和增加,国内大型生产办公的分支机构均可采用SDH专线或MPLS—VPN的方式与集团总部进行网络互连;对那些相对较小的营销服务支持的小分支机构,为节省网络运营费用可选用互联网建立site-to-site VPN的方式与集团总部进行网络互连;而国内的移动办公人员仍然采用IPSEC VPN或SSL VPN的方式直接接入集团网络。集团总部和分支机构内部网络可设计千兆以太局域网络保证集团各分支机构的网络互通,已基本满足企业内部基础数据对网络的需求。此外对于制造企业来说,车间和加工厂房的工业数控设备和办公人员的网络由于其物理位置、设备、车间厂房架构的特殊性和综合网络布线对距离和布放的要求,这些设备和办公人员的数据共享、访问以及数据安全对网络具有特殊的需求,设计者们可考虑建立工业以太网然后与集团局域网络互连互通。
以上从企业海内外不同地域、不同分支机构、移动办公人员的办公规模及对数据交换实时性要求的差异分析了制造业海内外不同机构和人员与集团总部网络互连的是方式和结构,网络架构设计师由这些基本的网络需求设计的企业基础网络架构足已满足了企业国内外分支机构和办公人员网络互通、数据共享和交换的基本需求。架构设计师们还需在设计的网络架构的基础上对集团内部网IP地址段进行全局的规划和分配,集团的不同分支机构和办公人员根据分配到的IP即可通过企业基础网络平台访问文件服务器,进行文件共享和数据交换等简单网络操作。
2.1.2基础应用系统网络需求分析
早期基础应用系统在国内企业的应用并不成熟也不具规模,企业的基于网络的基础应用基本上都是为了解决一些简单的业务需求而部署的,例如ERP系统、WEB、DNS服务等一些基础的应用,其他的网络应用服务都比较少,甚至是企业邮件系统都很少在企业中推广。随着这些年国内外软件行业的迅猛发展,各行各业的业务系统软件也不断问世并投入市场。尤其是企业ERP应用系统逐步推广应用到企业的网络来,使企业业务数据的准确性和员工的工作效率得到了极大提高和改进。这些基于网络的基础应用和ERP系统和服务从早期文件共享的简单网络方式逐步过渡和提升到C/S的大型系统架构,并得到了广泛的应用和快速的发展;之后又随着互联网技术的成熟和发展,外部互联网与企业私有网络的互连互通又将企业应用逐步推向B/S的大型系统架构。企业网络架构从某种程度上来说都是随着企业应用服务体系的改变而不断改造和优化的,企业基础网络已经不再是文件共享和交换的简单平台,不断地去满足和适应企业应用系统发展的需要已是企业网络架构需要解决的首要问题和设计的重要目标之一。由于目前制造企业基础应用系统已涉及到研发、生产制造、转储物流、财务销售、语音视频等相对较全面的业务。但要想使这些应用能够在企业网络平台上的作用发挥的更完善,其对企业网络架构的要求也是相当复杂和严格的。
第一我们首先考虑和分析制造企业IT基础架构对网络的需求情况。对于国内的制造行业来说,其基础应用包括域服务、企业邮件系统、WSUS、ISA代理、防病毒体系、WEB服务、DNS、DHCP等这些大型的软件系统。这些基础的应用都是针对集团所有用户的,并为所有用户提供服务。因此其基本的网络要求保证集团内网的所有用户都能与这些服务进行数据通讯,这样才能保证企业所有用户都能得到集中管控、策略下发、软件分发、补丁修复、病毒库升级、域名解析等服务。基础的网络平台仅仅是用户与服务器之间的物理通讯正常,也是其首要条件。为了保证用户与服务器之间的通讯能满足需求,需要考虑和分析各个不同分支机构的用户数、数据量来确定网络带宽及网络互连的方式。为保证服务器的安全和出口带宽,这些基础服务在部署在企业的核心网络上,保证其接入交换的背板带宽和交换容量足够大,同时服务器的信息安全也是需要考虑的,因此还需考虑将这些服务器至于企业的核心服务器的网络中来保证其安全性和稳定性。
第二分析制造企业的专用业务系统对网络架构的需求。例如生产制造系统、SAP、PDM、终端远程监控、财务、OA、人力资源、SCM、CRM等业务系统,这些系统都是给集团部分不同用户群提供访问和进行数据交换需求的,因此对网络的需求也是不同的。对于SAP、PDM、财务等这样的系统都存在企业的机密数据信息且交换的数据量大,其对网络要求除了带宽要求之外,还需要对集团其他的用户进行隔离和控制。因此对于研发服务的数据需要建立单独的专用研发网络,为其提供高可靠和安全的数据交换平台;而对于远程监控系统而言由于其产品的分布位置不受企业所控制,此时我们考虑协同使用通讯运营商的G网通过GRE技术建立专用隧道来满足终端设备物理位置分散、变化和数据交换安全的需求;对于生产制造应用体系除了其物理位置的要求之外也同样存在生产的机密数据,因此可建立同等重要的工业以太网来满足工业设备的需求,其余的系统可根据安全程度和访问群体的不同通过安全设备对用户进行逻辑隔离。这样就基本满足了大型制造企业不同应用系统对网络的需求。第三分析制造企业核心关键数据的存储和备份对网络的需求。随着企业的不断发展和扩张,企业的应用数据也越来越多,需要存储和备份的数据也越来越大并且越来越重要。针对企业数据重要程度及访问量的不同,我们采用NAS(Network Attached Storage)和SAN(Storage Area Network)两种存储架构。对于企业重要程度很高的数据采用SAN存储网络来提高备份存储的安全和读取性能。采用LAN.Free模式将数据通过SAN网络直接写入到备份设备中,备份/恢复操作的数据不需要经过LAN网络,提高备份的速度和数据的安全性。对于重要程度高的数据采用NAS存储技术及相关备份软硬件,通过在NAS服务器上设置存储空间和访问权限,企业各用户计算机和部分服务器上的数据通过公司现有局域网传输后可以统一存储在NAS存储服务器上,NAS存储备份方式基本在基础的网络平台上就能解决。这样企业的存储备份网络得以实现。
第四分析制造企业的语音和视频应用对网络的需求。企业的监控、视频、语音的应用上基本是部署在比较重要和关键的分支机构或区域的,这些多媒体的应用系统对网络的带宽和稳定性的要求相对较高。安防监控系统的数据量都较大且要求实时性较高,为不影响企业数据网的传输性能建议将企业的监控网络是要与数据网络物理分离,只将监控视频的存储设备或服务器同数据网络互连。视频和语音虽然不要求实时连接,但只要会话建立了就要求不能中断、网络延时和抖动都不能太大。因此语音和视频的网络要求即要求能保证企业的局域网和广域网的稳定性和带宽能被满足。另外由于语音视频使用的是数据网络,因此我们还可以通过QoS来保障视频和语音在传输过程中的带宽和优先级,从而为其提供更好的网络服务和性能。
以上从四个方面对制造企业的基础应用方面对网络架构的设计做了简单的需求分析和说明,在基础网络架构的基础上更加清晰和丰富了设计者们对企业网络架构设计的思路和原则。
2.1.3信息安全网络需求分析
制造企业信息安全体系的建设和发展是信息化提升的又一个阶段,企业IT的管理员们在经历了从基础网络建立到大型网络业务应用系统的架构设计和部署后,逐渐发现单纯的将网络和系统建立起来供企业用户使用以便能够更加快捷和准确地完成工作的基础信息化建设已告一段落,接下来的他们面对的问题则是种种信息安全问题。例如,企业网络内的受到病毒或ARP攻击、洪水泛滥导致局部网络瘫痪;应用服务经常不能正常提供服务;数据库数据经常出现丢失和错误;终端计算机及服务器运行缓慢;企业机密数据随意被获取传播等等一系列的安全问题,使得IT管理者们在网络和系统的管理和维护上力不从心,花费大量的精力和时间在解决问题和修复系统和网络上。这样使得业务系统和网络中断带来的经济损失是巨大的。管理者不得不在网络和系统架构上进行不断地改造和进行网络安全提升,最大可能性的降低因安全问题造成的网络和业务中断的几率,提高企业密级数据的安全受控性,防止知识产权或专利技术外泄。在安全架构建立的基础上使企业网络及业务系统能趋于稳定、连续、安全、可靠,用户满意度得到大幅提升。以此来满足企业数据安全和用户业务需求,并一定程度上降低管理人员的工作量。
针对制造企业数据可从以下五个方面对信息安全进行需求分析:计算机系统安全,应用服务安全,企业密级数据安全,互联网安全,局域网安全。计算机系统安全在制造企业中一般是指用户网络接入安全控制、病毒攻击、数据丢失等现象。用户接入认证采用基于端口的访问控制(IEEE 802.1x)协议,IEEE 802.1x协议的体系结构包括三个重要的部分:客户端(SupplicantSystem),认证系统(Authenticator System),认证服务器(Authentication ServerSystem)。通过严格的策略匹配对接入用户端进行隔离、阻断等操作。病毒一般是指因移动存储、光盘、文件共享、互联网、邮件等方式进行病毒传播导致终端系统运行缓慢、系统与软件崩溃、数据泄露、网络拥塞等现象。因此需要对网络架构进行合理的设计和规划,从网络上阻止病毒数据进行大范围的传播和泛滥。
应用服务安全是指由于对外提供的服务被病毒、木马、恶意脚本对服务本身或服务器系统漏洞进行攻击而造成的系统、服务、数据库等不可用或崩溃的自身安全威胁。因此企业的重要应用服务能够稳定安全的运行不仅要对系统和服务自身进行安全加固,同时也需要在一个安全、快速、稳定、受控访问的网络环境中安全的运行。
企业密级数据安全是指由于企业不同密级程度的数据受到安全威胁。例如研发、生产、财务、销售、客户资料等数据在企业内部都在不同密级程度上的敏感数据,而这些数据又要为企业内部工作人员提供服务,为保证这些数据在一个安全、干净、有保障的网络环境下传输和访问而不被不知情地外泄。因此为满足这两方面需求则需要设计不同安全域及受控访问程度的网络架构尤为重要。
互联网安全是企业存在安全隐患最大的网络区域,因为在这个区域内存在企业内部数据与互联网数据的交换。而在没有安全网络的控制下,互联网的相当多的病毒、木马、恶意脚本程序、流氓插件等脏数据就会顺利的进入到企业的内部网络从而导致企业网络和应用系统的瘫痪,所以在设计企业互联网出口架构时对互联网的安全考虑是非常重要的。
局域网安全是指未经合法授权,对网络设备及数据资源进行非法使用,或擅自扩大权限,越权访问信息,对网络设备进行攻击,对应用服务进行端口和漏洞扫描嗅探等操作导致的安全威胁。针对这种情况需要管理者对企业网络的架构有深入的了解和掌控,不断地进行网络安全的提升和安全漏洞的防范。
通过对企业信息安全以上五个方面对网络的需求可以大概的了解,信息安全是在基础网络架构的基础上对企业网络的一个功能完善和安全提升的过程。所以要满足企业信息安全的网络需求需要设计者们纵观全网架构及全安全风险隐患,才能设计出适合企业业务和安全需求的网络架构。
2.1.4企业培训基地网络需求分析
企业培训机构作为企业的后备人力资源储备机构其网络架构类似于校园网络架构其网络承载的应用系统多而杂。一般情况校园网络包括:计算机网络、数字图书馆、多媒体、VOD点播、远程教学、数字化语音、校园广播、校园电视台及有线电视、安防及警报等等一系列基础管理的相关应用。以下将从各个方面对企业校园网的架构设计需求进行分析和讨论。
企业培训基地一般是企业进行人才储备和对在职人员进行职能技术提升的一个工作场所,对企业的快速对外扩张和发占有着重要后背作用。本论文所涉及在校师生约5000人的校园规模对校园网络架构进行需求分析。校内按照楼宇划分为行政、教学、实习车间、宿舍、图书预览、餐厅、运动场等教学场所,按照以上校园业务的需求这些场所都需要网络覆盖。尤其是行政和教学楼的网络需要进行精心设计才能保证满足各类业务的需求和安全。学校大约有120间行政办公室、100间大小授课教室,包含30个阅览室的电子图书馆、30个多媒体教室、20个数字语音教室、10个计算机教室、10个模拟实验室,这些地点均需要网络全覆盖。通过网络承载校园网络包含的所有业务数据。企业培训基地骨干网络传输性能和处理带宽能够满足学校办公、多媒体课件远程制作及传输、计算机教学、多教室VOD和课件点播、音视频网络教学评估、视频会议及远程教学等需要即可。
由于企业校园网络可作为企业的一个分支机构考虑,因此架构设计者可以将其作为一个分支机构考虑与集团总部相连,但其校园内网的网络则需要根据以上提出的校园的实际业务需求进行架构设计和部署。具体细节的设计方案将在后面第二节中具体说明和阐述。
2.1.5核心网络架构可靠性需求分析
制造企业网络架构设计最终还需要考虑整体网络的可靠性问题,因此网络平台的可靠性也是网络架构设计的需要考虑和分析一个重要因素。可靠性泛指系统在规定条件下和规定时间内、完成规定功能的概率。对于网络系统来说也就是能够规定的时间内完成数据完整安全的传输,那么如何来保证数据的完整安全的传输,架构设计者们就应针对所建立的企业网络架构进行网络可靠性的安全提升和性能优化。网络架构的可靠性需求可从两个方面来分析:一是网络可用性,二是安全稳定性。由于本论文涉及制造企业及分支机构覆盖的地域范围较广,所以本论文就对所设计的网络环境中企业骨干和核心网络架构的可靠性进行分析和探讨,主要包括交换路由网络设备、核心服务器区域网络、汇聚层网络、VPN网络、MPLS.VPN网络、无线网络、车间厂房工业以太网络的网络中设备和物理线路可靠性。
首先了解网络设备可靠性的基本含义。网络的可靠性并不是单纯网络设备或节点的通断,而是一种综合管理信息,以反映支持业务的网络是否具有业务所要求的可靠性。计算机网络可靠性可以被定义为某种产品和服务根据需要保持运行的可用概率。可靠性表示为百分比:
(协议服务时间一失效时间)÷协议服务时间×100%
在数据网络中,网络的可靠性被定义为产品或服务处于工作状态时所期望达到的连接时间的平均值。即:
可靠性=[1.(连接中断的时间总和)÷(生产连接时间总和)×100%(2.2)在这里是指终端A到终端B之间的数据的成功传送,涉及物理层连通性、链路层协议连通性和网络协议层连通性。针对网络可靠性而言,有一种情况可能会经常发生,即当某一设备或连接中断时,可靠性不受影响,因为存在冗余连接和2、3层协议的快速汇聚,但需要考虑冗余连接同时失效时对可靠性的影响。数据的成功传送同样也是重要参数,它取决于具体的设备性能和应用。如果某一连接由于队列、传输距离或设备延迟变得很慢,那么某些应用将不可用,多数企业会认为此类型的连接是无效的,上层协议和应用可能会超时。而对于实际网络中数据的传输要经过很多串联或并联的网络设备及链路,下面就分析串联设备和并联设备的可靠性情况。
串联联接的设备用逻辑或门表示,意思是任何一个设备故障都会引起网络发生故障或事故。串联设备组成的系统,其可靠度计算公式如下:
式中Ri为每个设备的可靠性;n为设备的数量。即经过n个串联设备的网络故障概率P由下式计算:
式中Pi为每个设备的故障概率。只有A和B两个设备组成的网络,上式展开为:
P(A或B)=P(A)+P(B)一P(A)P(B) (2-5)
如果设备的故障概率很小,则P(A)P(B)项可以忽略,此时式(2-5)可简化为:
P(A或B)=P(A)+P(B)一P(A)P(B) (2-6)
式(2-4)则可简化为:
当设备的故障率不是忽略时,不能用简化公式计算总的故障概率。
并联联接的设备用逻辑与门表示,意思是并联的几个设备同时发生故障,系统就会故障。并联设备组成的系统故障概率P的计算公式是:
并联网络的可靠性计算公式如下:
即得出了设计的网络架构的可靠性。
网络线路的可靠性通常由线路的连通性、线路的响应时间和线路的传输丢包三个指标决定,这三个因素相互关联,影响线路的可靠性。当线路的响应时间在业务需要的范围内时,线路的可靠性反映了线路的可用状况;当线路的响应时间超出业务允许的范围时,即使线路连通并没有丢包,线路的可靠性也为0;当线路的响应时间处于中间状态,部分影响业务时,线路的可靠性为在可靠性乘以一定的系数,一般为50%。架构设计者可根据链路的这三个指标来衡量选择可靠的线路运营商或结构,同样通过以上串并联设备可靠性计算方法与关系就可以计算出某线路的可靠性。这样通过网络线路的可靠性就可以比较客观和准确地反映线路的服务质量。
因此不同的网络架构其可靠性也有很大的差异。这是设计者们设计合理的高可靠性的网络架构过程中需要关注的重要因素。根据以上设备和链路的可靠性需求分析,对企业网络的核心设备和骨干链路都采用冗余备份或者负载均衡的方式设计和部署,核心服务器区域三层VLAN都配置为VRRP,设备互连采用双链路配置双动态路由方式负载分担。这样从设备及链路上就很大程度地提高了企业网络架构的可靠性。
2.1.6网络架构需求分析总结
通过对制造企业的网络架构的基础数据、应用系统、信息安全、核心网络可靠性及企业培训校园五个方面的需求分析,已经基本了解制造企业网络架构的基本和特殊需求。企业基础数据的交换和共享是对企业网络架构的基本要求,即集团与各分支机构网络互连互通,但考虑到由于地域差别带来的互连方式和费用的不同,提出了几种具有很强针对性的互连方案。应用系统是对企业网络要够更改一层的需求,它不仅要求网络的互通可达性还要求网络的带宽、性能、安全、专用等更高的需求,从四个方面分析了企业应用系统对网络架构的需求情况并给出相对应的设计方案。信息安全是在满足企业应用系统需求的基础上对网络架构的一个提升和优化,主要从制造企业五个基本的信息安全方面分析了对网络架构的需求,尽可能的从网络结构上去阻止和隔离非法访问和数据传输的安全事故。企业培训校园是按照一个中等规模大小的校园网络需求进行设计的,基本满足了需求。企业核心网络的可靠性是网络需求分析的重点,详细分析了网络中可靠性的概率评价算法以及网络架构中设备及链路可靠性的设计方案和基础架构。从整体上已经对制造企业网络架构有了初步的了解并规划出大概的网络架构模型。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文网址:http://www.toberp.com/html/consultation/1083942247.html