大型制造企業網絡平臺設計與實施

【摘要】本文就大型制造企業網絡的現狀進行研究，探索制造企業網絡平臺建設架構需求，進而利用時下先進的以太網交換技術和一流的網絡設備設計高速可靠的制造業網絡平臺，并為企業網絡平臺提供完整可靠的安全解決方案，保障企業多種業務聯網系統的自動化以及因特網的高速安全互聯互通，桌面用戶安全可靠接入的公司網絡支撐平臺，為制造企業各類信息系統提供高速統一安全的寬帶綜合業務網絡通信平臺。

【關鍵詞】網絡架構網絡安全

1引言

大型制造企業網絡平臺[1]指集團網絡跨地域且網絡終端超過2000個以上的企業局域網，作為支撐制造企業各種應用如ERP\\PLM\\CAPP\\oa\\MAIL高性能計算等等）基礎平臺，網絡平臺設計和實施的重要性不言而喻。

為了設計出高速可靠穩定的大型制造企業集團網絡支撐平臺，需要實現以下目標：網絡平臺建設將本著先進性、安全性和經濟性等統一的設計原則，使整個網絡具有高性能、高安全、先進、高可靠、標準化、可擴展和可管理的特點，能靈活地滿足制造企業現有各類業務需求并保證將來網絡擴展需要，實現多網合一和異地子公司的無縫接入。

2現狀分析

2.1制造業網絡安全現狀

隨著高速的局域網投入使用，大部分制造企業的網絡高速信息化道路已經建成，如何確保公司局域網的安全可靠運行和生產數據的安全現在是擺在我們網絡管理員面前的一個很重要的問題，而目前大型制造企業網絡平臺在使用中或多或少存在以下的問題。

1.整個網絡與公網之間沒有必要的安全隔離措施，對來自公網的任何嗅探或攻擊嘗試是沒有任何防御能力的。

2.網絡內部沒有做嚴格的策略限制，缺少訪問控制和網絡準入措施，網絡之間可以互相訪問，造成中毒PC可以直接地對其他機器進行感染和攻擊。

3.缺乏必要的網絡用戶管理機制。用戶PC接入網絡前，不需要做身份的檢查和認證，對上網用戶權限等的管理力度較弱。

4.整個企業網沒有全面實施專門的企業病毒服務器對局域網的病毒傳播進行有效的控制，只要內部某一臺PC被感染病毒之后，會在企業網內建立起病毒傳染源而進行擴散傳播。

5.沒有vpn用戶安全接入的可靠性方案，缺乏配置管理工具及制度，無整體的端點安全防護措施。

6.沒有對各子公司的網絡資源整合到總公司統一平臺，實現與各子公司的安全互聯互通。

2.2制造業網絡平臺建設現狀

隨著近年來企業信息化建設的深入，大型制造企業的各種應用（如ERP\\PLM\\CAPP\\OA\\MAIL等等）信息化并運行在計算機網絡平臺之上，大型制造企業為了更好的利用計算機網絡平臺，在提高工作效率的同時降低公司的運營成本，對制造企業網絡平臺建設提出了更高的要求，主要表現在如下幾個方面：

（1）高性能

今天的制造企業各種網絡應用如ERP\\PLM\\CAPP\\OA\\MAIL等都大規模部署和使用，同時對帶寬和延時都要求很高的視頻會議、實時監控等多媒體業務也通過局域網通信，因此數據流量將大大增加，尤其是對核心網絡的數據交換能力提出前所未有的挑戰。因此企業網絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通訊需求。

（2）實用性

以現行需求為基礎，充分考慮大型制造企業發展的需要來確定網絡系統規模。首先要知道公司需要聯網的計算機、網絡打印機等大概的規模，服務器的數量，不同網絡應用系統的訪問量，需要訪問互聯網的用戶數量，今后未來可能擴大的規模，我們所有的網絡設備的選型和網絡核心架構必須基于以上實際情況進行考慮。

（3）安全性

制造企業網絡平臺已經成為公司生產運營的重要組成部分，因此企業網絡必須通過部署防火墻[5]、IDS、殺毒軟件以及配合交換機或路由器的ACL來實現對于病毒和黑客攻擊的防御，還要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業網絡的穩定運行，也才能更有效地阻擊病毒和黑客的攻擊，保護公司寶貴數據資源，因此高安全性是我們網絡平臺設計的重點。

（4）可靠性

除了安全，制造企業網絡平臺應具有更全面的可靠性設計，如采用雙核心、雙鏈路、備份路由等以實現網絡通訊的實時暢通，保障企業生產運營的正常進行。隨著公司各種關鍵應用如ERP/PLM逐漸轉移到計算機網絡上來，網絡通訊的無中斷運行已經成為保證企業正常的生產運營的關鍵。

（5）支持多媒體，QOS服務質量保障

對公司網絡平臺上不同數據流進行合理有效的管理，有效和充分地利用現有網絡傳輸帶寬，網絡要求做到三網合一，因此新建的網絡需要能識別應用事件的緊急和重要程度，如視頻、音頻、數據流（MIS、ERP、OA、備份數據），同時能夠調度網絡中的資源，保證重要和緊急業務的帶寬、時延、優先級和無阻塞的傳送，實現對業務的合理調度才是一個企業網絡提供“高品質”服務的保障。

（6）管理性

當前的網絡已經發展成為“以應用為中心”的信息基礎平臺，網絡管理能力的要求已經上升到了業務層次，傳統的網絡設備的智能已經不能有效支持網絡管理需求的發展。因此我們需要充分考慮新購網絡設備必須具備支撐“以應用為中心”的智能網絡運營維護的能力，并能夠有一套智能化的管理軟件，將網絡管理人員從繁重的工作中解脫出來。

3網絡安全設計架構

大型制造企業信息化經過多年的投入和發展，接入網絡的設備也越來越多，因而對網絡平臺帶寬提出了更高的需求，如何在盡可能少的投入的情況下，同時結合制造企業的實際，保護好公司的設計圖紙、商業秘密，需要逐步進行探索和實踐，將制造企業局域網建設成安全可靠的局域網網絡平臺[6]。根據目前國內制造企業的實際，制造企業網絡安全設計架構涉及到以下幾部分內容：

（1）以安全為核心劃分區域

（2）用防火墻隔離各安全區域

（3）安全策略設計

（4）網絡準入與用戶桌標準化

（5）VPN遠程辦公安全的需求

（6）防病毒木馬與補丁管理系統

（7）互聯網接入負載均衡方案

（8）圖紙文檔加密系統

（9）安全管理

（10）異地備份容災系統

本文主要針對網絡安全區域的劃分規劃、對外防火墻架構、制造企業遠程用戶vpn接入、互聯網接入負載均衡方案建設等重點進行探討。

3.1安全區域的劃分和管理

如圖1所示，我們網絡可以分為安全控制區域、一般安全區域和非安全區域三個安全區域[7]，針對這三個安全區域，不同的安全區域部署不同的安全設備區別對待。

制造企業的所有生產服務器如ERP/PLM/CAPP/DNC和局域網支撐平臺域控、郵件服務器等放到安全區域，采用性能較好的防火墻和防病毒網關進行重點保護，并設置安全策略對其訪問控制；對于一般的應用系統如殺毒軟件服務器、備份服務器、web服務器等放到一般安全區域；非安全區域的服務器有互聯網接入，個人移動辦公的vpn遠程接入，對外郵件收發服務器等。建議在機房存放服務器的時候按不同的安全區域在物理位置上也加以區分，做到一目了然，方便系統管理員更好的管理。

3.2制造企業防火墻架構

防火墻是一種網絡安全保障手段，是網絡通信時執行的一種訪問控制尺度，主要目標就是通過控制入、出一個網絡的權限，并迫使所有的連接都經過這樣的檢查，防止一個需要保護的網絡遭受外界因素的干擾和破壞。

結合制造企業實際建議選擇硬件防火墻和微軟isa軟件應用網關防火墻結合的安全方案，硬件防火墻主要針對外面互聯網用戶對公司局域網探測或攻擊[8]，isa軟件防火墻主要針對內部用戶訪問互聯網進行內容過濾，兩者相結合更好的構筑了制造企業局域網與互聯網的安全防線，確保制造企業信息數據安全和保密。

3.3制造企業遠程用戶vpn接入

企業通過Internet數據傳輸平臺，實施加密的VPN實現安全接入的辦法主要有兩種：一種是IPsec VPN，另一種是SSL VPN。

對于制造企業的用戶來說，計算機應用水平相對不是很高，所以vpn接入易使用是必須考慮的問題，因此我們建議在制造企業實施vpn時采用ssl vpn，主要解決移動用戶接入公司內部局域網訪問內部應用系統，用戶只需通過IE瀏覽器訪問登陸即可。但從安全性考慮對部分用戶采用ipsec vpn實現對部分關鍵生產系統和重要信息的訪問。

3.4制造企業互聯網接入負載均衡

大型制造企業一般都有多條線路接入互聯網線路，充分利用這些鏈路，確保內部人員訪問互聯網需求和公司出差人員能正常訪問公司內部資源以及公司對外主頁宣傳等是我們必須要解決的問題。

對互聯網線路采用負載均衡是個不錯的選擇，負載均衡有以下四種實現方式：基于dns、基于iis、基于軟件方式、基于硬件方式。大型制造企業需要基于硬件方式的負載均衡，因為大型制造企業對外訪問的數據流量較大，網絡負荷角重，因此我們需要采用硬件負載均衡設備對入站和出站的流量進行冗余備份和智能選路，同時對網絡流量進行全面管理，限制非業務流量，保證關鍵業務流量，其架構如圖2所示。

4企業局域網架構設計

隨著近年來企業信息化建設的深入，大型制造企業的各種應用不斷增加，將電話、會議、監控等等對數據傳輸實時要求很高的應也都放在在企業網絡上傳輸，同時要求將各種數控設備的信息也建設在骨干網上傳輸，對企業骨干網的安全性提出了更高的要求。而構建一個安全可靠、性能卓越、易于管理的企業網絡已經成為制造企業信息化建設成功的基礎，因此對制造企業網絡平臺建設提出了更高的要求，下面針對制造業局域網整體架構進行設計具體闡述。

4.1總體設計思路

作為大型制造企業網絡平臺建設，將支撐集團公司的所有信息化業務，從以下幾方面考慮網絡架構設計：

（1）符合國際規范和標準，具有開放性，可以兼容現有網絡交換設備和其它主流的其他網絡產品。

（2）選用百兆/千兆/萬兆以太網技術，支持硬件第三層路由交換技術，并對流媒體組播業務提供良好支持，提供QoS，支持流量控制，所有網絡節點以交換方式工作，提供全線速包交換性能。

（3）方案設計要有高可靠性，具備容錯能力和最小網絡故障恢復時間。要求在設備級、業務級和鏈路級提供多層次、全方位的保障措施。

（4）方案設計要充分考慮安全防護設計，具備全網實時流量統計分析能力，發現病毒和黑客程序攻擊流量并加載智能策略將其過濾。

（5）上面的所有的考慮因素，與網絡交換設備選型是息息相關的。通過選擇合適的設備，定制相應的策略和配置才能夠達到并且更好地完成上面的要求。在設備的可靠性、冗余性、可恢復性和安全性方面，除了與設備有關外，與網絡的結構和規劃有密切的關系。

4.2網絡拓撲設計

針對制造企業高速以太網絡建設，建議采用三層星形網絡架構：核心層、匯聚和接入層。核心層采用極進網絡的高端機箱式萬兆以太網交換機；匯聚層采用固定式萬兆以太網交換機，每個大樓通過兩條萬兆中繼接口分別上連至兩臺核心交換機。三層星形網絡架構，簡便易管理且方便擴展。其整體結構如圖3所示：

我們將骨干層設置全冗余備份的雙核心節點，兩個核心節點間通過兩條萬兆中繼捆綁互連；匯聚層分為辦公大樓、機房服務器、廠房、子公司接入等，在匯聚層設置固定萬兆交換機，為接入層交換機提供可靠的萬兆中繼，以提高整網的可靠性，從而形成全冗余的星狀拓樸連接，以提高網絡的健壯性，實現鏈路的安全保障。在網絡協議層面，采用太網環網自動保護技術，提供類似于SDH的50ms網絡自愈保護倒換功能，從而大大提高以太網網絡的可靠性。

按照此網絡拓撲的網絡架構已基本完成，公司內部局域網的高速可以得到可靠的保障，據我們統計網絡延時從過去的5到6毫秒提高到1毫秒，可以說是局域網內網速的提高是成倍的；針對局域網內訪問互聯網的問題，建議采用電信聯通雙鏈路冗余負載均衡寬帶的方案，實現高速連通互聯網。

4.3IP地址規劃

IP地址的合理規劃是制造企業網絡設計中的重要一環，需要統計公司需要聯網的計算機數量，對IP地址進行統一規劃并得到實施。IP地址規劃的好壞，影響到網絡路由協議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將直接影響到網絡應用的進一步發展。

從集團公司網絡平臺設計入手，將網絡地址規劃為總部、分部、異地子公司、局域網設備互聯網管、視頻監控、語言電話、食堂收費、職工考勤等地址段，還有原有網絡保留地址段等。

在現有框架下，建議采用172.18這個B類私有地址網段作為制造企業的內部地址網段，不僅能為公司提供了充足的ip地址資源，基本確保公司在未來5年內對ip地址的需求。

4.4VLAN規劃

在考慮制造企業vlan的時候我們主要考慮到以下幾方面的問題：

Vlan劃分

常見按照地理位置、部門、或者訪問權限去劃分，根據我們制造企業的生產特點，一般基地都比較集中，相關部門就近距離，因此建議按照地理位置來劃分VLAN，如果要做的更細，我們可以采用按照部門劃分vlan，一般大型制造企業部門都很多，如果按部門劃分工作量會很大，且企業網絡管理人員有限；可以對重要部門如財務、黨政辦等單位按部門劃分vlan，因此我們將按地理位置和按部門結合起來解決vlan劃分原則問題。

Vlan地址段選擇

首先統計出大概每個vlan接入的計算機和相關網絡設備的數量，根據我們的ip地址資源，來決定采用是c類或更小的地址范圍給每個vlan。

Vlan tag

對標簽的規劃盡量按IP地址段規劃將標簽分配到各個vlan。

Vlan命名問題

為了便于對今后的網絡更好管理，我們必需確定一套比較標準的vlan命名規則，如vlan名字字符長度，一般采用的拼音來對vlan命名。

5結論

大型制造企業的網絡平臺架構和實施是個復雜的系統工程，本文主要從網絡架構和網絡安全兩個方面入手，從技術上探討了如何建設高速可靠安全的制造企業的網絡平臺，但網絡安全的核心是管理，技術只是安全管理的保證，只有制定完善的管理制度、行為準則和安全技術手段結合，大型制造企業的網絡安全才會有最好的保障。因此需要對我們對現有的網絡相關管理制度進行完善，同時加強對網絡用戶的網絡安全知識的培訓，讓終端用戶也能更多了解網絡安全操作知識，才能更好的貫徹實施大型制造企業的網絡安全解決方案。