【摘要】本文就大型制造企業(yè)網(wǎng)絡的現(xiàn)狀進行研究，探索制造企業(yè)網(wǎng)絡平臺建設架構需求，進而利用時下先進的以太網(wǎng)交換技術和一流的網(wǎng)絡設備設計高速可靠的制造業(yè)網(wǎng)絡平臺，并為企業(yè)網(wǎng)絡平臺提供完整可靠的安全解決方案，保障企業(yè)多種業(yè)務聯(lián)網(wǎng)系統(tǒng)的自動化以及因特網(wǎng)的高速安全互聯(lián)互通，桌面用戶安全可靠接入的公司網(wǎng)絡支撐平臺，為制造企業(yè)各類信息系統(tǒng)提供高速統(tǒng)一安全的寬帶綜合業(yè)務網(wǎng)絡通信平臺。

【關鍵詞】網(wǎng)絡架構網(wǎng)絡安全

1引言

大型制造企業(yè)網(wǎng)絡平臺[1]指集團網(wǎng)絡跨地域且網(wǎng)絡終端超過2000個以上的企業(yè)局域網(wǎng)，作為支撐制造企業(yè)各種應用如ERP\\PLM\\CAPP\\oa\\MAIL高性能計算等等）基礎平臺，網(wǎng)絡平臺設計和實施的重要性不言而喻。

為了設計出高速可靠穩(wěn)定的大型制造企業(yè)集團網(wǎng)絡支撐平臺，需要實現(xiàn)以下目標：網(wǎng)絡平臺建設將本著先進性、安全性和經(jīng)濟性等統(tǒng)一的設計原則，使整個網(wǎng)絡具有高性能、高安全、先進、高可靠、標準化、可擴展和可管理的特點，能靈活地滿足制造企業(yè)現(xiàn)有各類業(yè)務需求并保證將來網(wǎng)絡擴展需要，實現(xiàn)多網(wǎng)合一和異地子公司的無縫接入。

2現(xiàn)狀分析

2.1制造業(yè)網(wǎng)絡安全現(xiàn)狀

隨著高速的局域網(wǎng)投入使用，大部分制造企業(yè)的網(wǎng)絡高速信息化道路已經(jīng)建成，如何確保公司局域網(wǎng)的安全可靠運行和生產(chǎn)數(shù)據(jù)的安全現(xiàn)在是擺在我們網(wǎng)絡管理員面前的一個很重要的問題，而目前大型制造企業(yè)網(wǎng)絡平臺在使用中或多或少存在以下的問題。

1.整個網(wǎng)絡與公網(wǎng)之間沒有必要的安全隔離措施，對來自公網(wǎng)的任何嗅探或攻擊嘗試是沒有任何防御能力的。

2.網(wǎng)絡內(nèi)部沒有做嚴格的策略限制，缺少訪問控制和網(wǎng)絡準入措施，網(wǎng)絡之間可以互相訪問，造成中毒PC可以直接地對其他機器進行感染和攻擊。

3.缺乏必要的網(wǎng)絡用戶管理機制。用戶PC接入網(wǎng)絡前，不需要做身份的檢查和認證，對上網(wǎng)用戶權限等的管理力度較弱。

4.整個企業(yè)網(wǎng)沒有全面實施專門的企業(yè)病毒服務器對局域網(wǎng)的病毒傳播進行有效的控制，只要內(nèi)部某一臺PC被感染病毒之后，會在企業(yè)網(wǎng)內(nèi)建立起病毒傳染源而進行擴散傳播。

5.沒有vpn用戶安全接入的可靠性方案，缺乏配置管理工具及制度，無整體的端點安全防護措施。

6.沒有對各子公司的網(wǎng)絡資源整合到總公司統(tǒng)一平臺，實現(xiàn)與各子公司的安全互聯(lián)互通。

2.2制造業(yè)網(wǎng)絡平臺建設現(xiàn)狀

隨著近年來企業(yè)信息化建設的深入，大型制造企業(yè)的各種應用（如ERP\\PLM\\CAPP\\OA\\MAIL等等）信息化并運行在計算機網(wǎng)絡平臺之上，大型制造企業(yè)為了更好的利用計算機網(wǎng)絡平臺，在提高工作效率的同時降低公司的運營成本，對制造企業(yè)網(wǎng)絡平臺建設提出了更高的要求，主要表現(xiàn)在如下幾個方面：

（1）高性能

今天的制造企業(yè)各種網(wǎng)絡應用如ERP\\PLM\\CAPP\\OA\\MAIL等都大規(guī)模部署和使用，同時對帶寬和延時都要求很高的視頻會議、實時監(jiān)控等多媒體業(yè)務也通過局域網(wǎng)通信，因此數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡的數(shù)據(jù)交換能力提出前所未有的挑戰(zhàn)。因此企業(yè)網(wǎng)絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通訊需求。

（2）實用性

以現(xiàn)行需求為基礎，充分考慮大型制造企業(yè)發(fā)展的需要來確定網(wǎng)絡系統(tǒng)規(guī)模。首先要知道公司需要聯(lián)網(wǎng)的計算機、網(wǎng)絡打印機等大概的規(guī)模，服務器的數(shù)量，不同網(wǎng)絡應用系統(tǒng)的訪問量，需要訪問互聯(lián)網(wǎng)的用戶數(shù)量，今后未來可能擴大的規(guī)模，我們所有的網(wǎng)絡設備的選型和網(wǎng)絡核心架構必須基于以上實際情況進行考慮。

（3）安全性

制造企業(yè)網(wǎng)絡平臺已經(jīng)成為公司生產(chǎn)運營的重要組成部分，因此企業(yè)網(wǎng)絡必須通過部署防火墻[5]、IDS、殺毒軟件以及配合交換機或路由器的ACL來實現(xiàn)對于病毒和黑客攻擊的防御，還要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業(yè)網(wǎng)絡的穩(wěn)定運行，也才能更有效地阻擊病毒和黑客的攻擊，保護公司寶貴數(shù)據(jù)資源，因此高安全性是我們網(wǎng)絡平臺設計的重點。

（4）可靠性

除了安全，制造企業(yè)網(wǎng)絡平臺應具有更全面的可靠性設計，如采用雙核心、雙鏈路、備份路由等以實現(xiàn)網(wǎng)絡通訊的實時暢通，保障企業(yè)生產(chǎn)運營的正常進行。隨著公司各種關鍵應用如ERP/PLM逐漸轉移到計算機網(wǎng)絡上來，網(wǎng)絡通訊的無中斷運行已經(jīng)成為保證企業(yè)正常的生產(chǎn)運營的關鍵。

（5）支持多媒體，QOS服務質量保障

對公司網(wǎng)絡平臺上不同數(shù)據(jù)流進行合理有效的管理，有效和充分地利用現(xiàn)有網(wǎng)絡傳輸帶寬，網(wǎng)絡要求做到三網(wǎng)合一，因此新建的網(wǎng)絡需要能識別應用事件的緊急和重要程度，如視頻、音頻、數(shù)據(jù)流（MIS、ERP、OA、備份數(shù)據(jù)），同時能夠調(diào)度網(wǎng)絡中的資源，保證重要和緊急業(yè)務的帶寬、時延、優(yōu)先級和無阻塞的傳送，實現(xiàn)對業(yè)務的合理調(diào)度才是一個企業(yè)網(wǎng)絡提供“高品質”服務的保障。

（6）管理性

當前的網(wǎng)絡已經(jīng)發(fā)展成為“以應用為中心”的信息基礎平臺，網(wǎng)絡管理能力的要求已經(jīng)上升到了業(yè)務層次，傳統(tǒng)的網(wǎng)絡設備的智能已經(jīng)不能有效支持網(wǎng)絡管理需求的發(fā)展。因此我們需要充分考慮新購網(wǎng)絡設備必須具備支撐“以應用為中心”的智能網(wǎng)絡運營維護的能力，并能夠有一套智能化的管理軟件，將網(wǎng)絡管理人員從繁重的工作中解脫出來。

3網(wǎng)絡安全設計架構

大型制造企業(yè)信息化經(jīng)過多年的投入和發(fā)展，接入網(wǎng)絡的設備也越來越多，因而對網(wǎng)絡平臺帶寬提出了更高的需求，如何在盡可能少的投入的情況下，同時結合制造企業(yè)的實際，保護好公司的設計圖紙、商業(yè)秘密，需要逐步進行探索和實踐，將制造企業(yè)局域網(wǎng)建設成安全可靠的局域網(wǎng)網(wǎng)絡平臺[6]。根據(jù)目前國內(nèi)制造企業(yè)的實際，制造企業(yè)網(wǎng)絡安全設計架構涉及到以下幾部分內(nèi)容：

（1）以安全為核心劃分區(qū)域

（2）用防火墻隔離各安全區(qū)域

（3）安全策略設計

（4）網(wǎng)絡準入與用戶桌標準化

（5）VPN遠程辦公安全的需求

（6）防病毒木馬與補丁管理系統(tǒng)

（7）互聯(lián)網(wǎng)接入負載均衡方案

（8）圖紙文檔加密系統(tǒng)

（9）安全管理

（10）異地備份容災系統(tǒng)

本文主要針對網(wǎng)絡安全區(qū)域的劃分規(guī)劃、對外防火墻架構、制造企業(yè)遠程用戶vpn接入、互聯(lián)網(wǎng)接入負載均衡方案建設等重點進行探討。

3.1安全區(qū)域的劃分和管理

如圖1所示，我們網(wǎng)絡可以分為安全控制區(qū)域、一般安全區(qū)域和非安全區(qū)域三個安全區(qū)域[7]，針對這三個安全區(qū)域，不同的安全區(qū)域部署不同的安全設備區(qū)別對待。

制造企業(yè)的所有生產(chǎn)服務器如ERP/PLM/CAPP/DNC和局域網(wǎng)支撐平臺域控、郵件服務器等放到安全區(qū)域，采用性能較好的防火墻和防病毒網(wǎng)關進行重點保護，并設置安全策略對其訪問控制；對于一般的應用系統(tǒng)如殺毒軟件服務器、備份服務器、web服務器等放到一般安全區(qū)域；非安全區(qū)域的服務器有互聯(lián)網(wǎng)接入，個人移動辦公的vpn遠程接入，對外郵件收發(fā)服務器等。建議在機房存放服務器的時候按不同的安全區(qū)域在物理位置上也加以區(qū)分，做到一目了然，方便系統(tǒng)管理員更好的管理。

3.2制造企業(yè)防火墻架構

防火墻是一種網(wǎng)絡安全保障手段，是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度，主要目標就是通過控制入、出一個網(wǎng)絡的權限，并迫使所有的連接都經(jīng)過這樣的檢查，防止一個需要保護的網(wǎng)絡遭受外界因素的干擾和破壞。

結合制造企業(yè)實際建議選擇硬件防火墻和微軟isa軟件應用網(wǎng)關防火墻結合的安全方案，硬件防火墻主要針對外面互聯(lián)網(wǎng)用戶對公司局域網(wǎng)探測或攻擊[8]，isa軟件防火墻主要針對內(nèi)部用戶訪問互聯(lián)網(wǎng)進行內(nèi)容過濾，兩者相結合更好的構筑了制造企業(yè)局域網(wǎng)與互聯(lián)網(wǎng)的安全防線，確保制造企業(yè)信息數(shù)據(jù)安全和保密。

3.3制造企業(yè)遠程用戶vpn接入

企業(yè)通過Internet數(shù)據(jù)傳輸平臺，實施加密的VPN實現(xiàn)安全接入的辦法主要有兩種：一種是IPsec VPN，另一種是SSL VPN。

對于制造企業(yè)的用戶來說，計算機應用水平相對不是很高，所以vpn接入易使用是必須考慮的問題，因此我們建議在制造企業(yè)實施vpn時采用ssl vpn，主要解決移動用戶接入公司內(nèi)部局域網(wǎng)訪問內(nèi)部應用系統(tǒng)，用戶只需通過IE瀏覽器訪問登陸即可。但從安全性考慮對部分用戶采用ipsec vpn實現(xiàn)對部分關鍵生產(chǎn)系統(tǒng)和重要信息的訪問。

3.4制造企業(yè)互聯(lián)網(wǎng)接入負載均衡

大型制造企業(yè)一般都有多條線路接入互聯(lián)網(wǎng)線路，充分利用這些鏈路，確保內(nèi)部人員訪問互聯(lián)網(wǎng)需求和公司出差人員能正常訪問公司內(nèi)部資源以及公司對外主頁宣傳等是我們必須要解決的問題。

對互聯(lián)網(wǎng)線路采用負載均衡是個不錯的選擇，負載均衡有以下四種實現(xiàn)方式：基于dns、基于iis、基于軟件方式、基于硬件方式。大型制造企業(yè)需要基于硬件方式的負載均衡，因為大型制造企業(yè)對外訪問的數(shù)據(jù)流量較大，網(wǎng)絡負荷角重，因此我們需要采用硬件負載均衡設備對入站和出站的流量進行冗余備份和智能選路，同時對網(wǎng)絡流量進行全面管理，限制非業(yè)務流量，保證關鍵業(yè)務流量，其架構如圖2所示。

4企業(yè)局域網(wǎng)架構設計

隨著近年來企業(yè)信息化建設的深入，大型制造企業(yè)的各種應用不斷增加，將電話、會議、監(jiān)控等等對數(shù)據(jù)傳輸實時要求很高的應也都放在在企業(yè)網(wǎng)絡上傳輸，同時要求將各種數(shù)控設備的信息也建設在骨干網(wǎng)上傳輸，對企業(yè)骨干網(wǎng)的安全性提出了更高的要求。而構建一個安全可靠、性能卓越、易于管理的企業(yè)網(wǎng)絡已經(jīng)成為制造企業(yè)信息化建設成功的基礎，因此對制造企業(yè)網(wǎng)絡平臺建設提出了更高的要求，下面針對制造業(yè)局域網(wǎng)整體架構進行設計具體闡述。

4.1總體設計思路

作為大型制造企業(yè)網(wǎng)絡平臺建設，將支撐集團公司的所有信息化業(yè)務，從以下幾方面考慮網(wǎng)絡架構設計：

（1）符合國際規(guī)范和標準，具有開放性，可以兼容現(xiàn)有網(wǎng)絡交換設備和其它主流的其他網(wǎng)絡產(chǎn)品。

（2）選用百兆/千兆/萬兆以太網(wǎng)技術，支持硬件第三層路由交換技術，并對流媒體組播業(yè)務提供良好支持，提供QoS，支持流量控制，所有網(wǎng)絡節(jié)點以交換方式工作，提供全線速包交換性能。

（3）方案設計要有高可靠性，具備容錯能力和最小網(wǎng)絡故障恢復時間。要求在設備級、業(yè)務級和鏈路級提供多層次、全方位的保障措施。

（4）方案設計要充分考慮安全防護設計，具備全網(wǎng)實時流量統(tǒng)計分析能力，發(fā)現(xiàn)病毒和黑客程序攻擊流量并加載智能策略將其過濾。

（5）上面的所有的考慮因素，與網(wǎng)絡交換設備選型是息息相關的。通過選擇合適的設備，定制相應的策略和配置才能夠達到并且更好地完成上面的要求。在設備的可靠性、冗余性、可恢復性和安全性方面，除了與設備有關外，與網(wǎng)絡的結構和規(guī)劃有密切的關系。

4.2網(wǎng)絡拓撲設計

針對制造企業(yè)高速以太網(wǎng)絡建設，建議采用三層星形網(wǎng)絡架構：核心層、匯聚和接入層。核心層采用極進網(wǎng)絡的高端機箱式萬兆以太網(wǎng)交換機；匯聚層采用固定式萬兆以太網(wǎng)交換機，每個大樓通過兩條萬兆中繼接口分別上連至兩臺核心交換機。三層星形網(wǎng)絡架構，簡便易管理且方便擴展。其整體結構如圖3所示：

我們將骨干層設置全冗余備份的雙核心節(jié)點，兩個核心節(jié)點間通過兩條萬兆中繼捆綁互連；匯聚層分為辦公大樓、機房服務器、廠房、子公司接入等，在匯聚層設置固定萬兆交換機，為接入層交換機提供可靠的萬兆中繼，以提高整網(wǎng)的可靠性，從而形成全冗余的星狀拓樸連接，以提高網(wǎng)絡的健壯性，實現(xiàn)鏈路的安全保障。在網(wǎng)絡協(xié)議層面，采用太網(wǎng)環(huán)網(wǎng)自動保護技術，提供類似于SDH的50ms網(wǎng)絡自愈保護倒換功能，從而大大提高以太網(wǎng)網(wǎng)絡的可靠性。

按照此網(wǎng)絡拓撲的網(wǎng)絡架構已基本完成，公司內(nèi)部局域網(wǎng)的高速可以得到可靠的保障，據(jù)我們統(tǒng)計網(wǎng)絡延時從過去的5到6毫秒提高到1毫秒，可以說是局域網(wǎng)內(nèi)網(wǎng)速的提高是成倍的；針對局域網(wǎng)內(nèi)訪問互聯(lián)網(wǎng)的問題，建議采用電信聯(lián)通雙鏈路冗余負載均衡寬帶的方案，實現(xiàn)高速連通互聯(lián)網(wǎng)。

4.3IP地址規(guī)劃

IP地址的合理規(guī)劃是制造企業(yè)網(wǎng)絡設計中的重要一環(huán)，需要統(tǒng)計公司需要聯(lián)網(wǎng)的計算機數(shù)量，對IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。

從集團公司網(wǎng)絡平臺設計入手，將網(wǎng)絡地址規(guī)劃為總部、分部、異地子公司、局域網(wǎng)設備互聯(lián)網(wǎng)管、視頻監(jiān)控、語言電話、食堂收費、職工考勤等地址段，還有原有網(wǎng)絡保留地址段等。

在現(xiàn)有框架下，建議采用172.18這個B類私有地址網(wǎng)段作為制造企業(yè)的內(nèi)部地址網(wǎng)段，不僅能為公司提供了充足的ip地址資源，基本確保公司在未來5年內(nèi)對ip地址的需求。

4.4VLAN規(guī)劃

在考慮制造企業(yè)vlan的時候我們主要考慮到以下幾方面的問題：

Vlan劃分

常見按照地理位置、部門、或者訪問權限去劃分，根據(jù)我們制造企業(yè)的生產(chǎn)特點，一般基地都比較集中，相關部門就近距離，因此建議按照地理位置來劃分VLAN，如果要做的更細，我們可以采用按照部門劃分vlan，一般大型制造企業(yè)部門都很多，如果按部門劃分工作量會很大，且企業(yè)網(wǎng)絡管理人員有限；可以對重要部門如財務、黨政辦等單位按部門劃分vlan，因此我們將按地理位置和按部門結合起來解決vlan劃分原則問題。

Vlan地址段選擇

首先統(tǒng)計出大概每個vlan接入的計算機和相關網(wǎng)絡設備的數(shù)量，根據(jù)我們的ip地址資源，來決定采用是c類或更小的地址范圍給每個vlan。

Vlan tag

對標簽的規(guī)劃盡量按IP地址段規(guī)劃將標簽分配到各個vlan。

Vlan命名問題

為了便于對今后的網(wǎng)絡更好管理，我們必需確定一套比較標準的vlan命名規(guī)則，如vlan名字字符長度，一般采用的拼音來對vlan命名。

5結論

大型制造企業(yè)的網(wǎng)絡平臺架構和實施是個復雜的系統(tǒng)工程，本文主要從網(wǎng)絡架構和網(wǎng)絡安全兩個方面入手，從技術上探討了如何建設高速可靠安全的制造企業(yè)的網(wǎng)絡平臺，但網(wǎng)絡安全的核心是管理，技術只是安全管理的保證，只有制定完善的管理制度、行為準則和安全技術手段結合，大型制造企業(yè)的網(wǎng)絡安全才會有最好的保障。因此需要對我們對現(xiàn)有的網(wǎng)絡相關管理制度進行完善，同時加強對網(wǎng)絡用戶的網(wǎng)絡安全知識的培訓，讓終端用戶也能更多了解網(wǎng)絡安全操作知識，才能更好的貫徹實施大型制造企業(yè)的網(wǎng)絡安全解決方案。