湘潭電機(jī)股份有限公司 劉 浩

1 現(xiàn)狀及目標(biāo)

過(guò)去幾年里，信息化建設(shè)的工作重點(diǎn)主要側(cè)重于應(yīng)用系統(tǒng)的建設(shè)，對(duì)網(wǎng)絡(luò)建設(shè)并沒(méi)有太大的投入，更多的只關(guān)注其連通性以及日常管理。網(wǎng)絡(luò)的可管理性不強(qiáng)，數(shù)據(jù)中心內(nèi)服務(wù)器大部分是直接連接公司內(nèi)網(wǎng)核心交換機(jī)上，出于對(duì)端口數(shù)量的考慮，也有幾臺(tái)是通過(guò)較低端交換機(jī)接入核心交換機(jī)上，對(duì)于安全、管理、可擴(kuò)展性和易維護(hù)性等方面的考慮較少，給數(shù)據(jù)中心帶來(lái)了不小的安全隱患。

如何高效、有效地利用網(wǎng)絡(luò)資源、優(yōu)化網(wǎng)絡(luò)架構(gòu)，使核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時(shí)，使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實(shí)際業(yè)務(wù)分布的前提下更加合理。結(jié)合公司現(xiàn)狀，我們需要設(shè)計(jì)一個(gè)全新的、基于純IP技術(shù)的網(wǎng)絡(luò)平臺(tái)來(lái)滿(mǎn)足集團(tuán)網(wǎng)絡(luò)的需求變化。

2 網(wǎng)絡(luò)中心的設(shè)計(jì)理念

在網(wǎng)絡(luò)整體設(shè)計(jì)中，采用分層、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置，將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易維護(hù)性、可擴(kuò)展性發(fā)揮到最好，從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)字化平臺(tái)的目的。

根據(jù)信息化網(wǎng)絡(luò)的建設(shè)標(biāo)準(zhǔn)，可采用標(biāo)準(zhǔn)的分層設(shè)計(jì)或分功能區(qū)設(shè)計(jì)來(lái)部署網(wǎng)絡(luò)中心。按分層設(shè)計(jì)來(lái)劃分網(wǎng)絡(luò)的話(huà)，可分為三層：核心層、匯聚層、接入層（含無(wú)線(xiàn)）；按功能區(qū)域來(lái)劃分，可分為數(shù)據(jù)中心管理區(qū)、服務(wù)器接入?yún)^(qū)、園區(qū)網(wǎng)接入?yún)^(qū)、DMZ區(qū)、網(wǎng)絡(luò)出口區(qū)、分支機(jī)構(gòu)接入?yún)^(qū)、移動(dòng)外出接入?yún)^(qū)等。

3 網(wǎng)絡(luò)中心規(guī)劃設(shè)計(jì)

4 設(shè)計(jì)說(shuō)明

核心模塊是整個(gè)平臺(tái)的樞紐，一旦核心模塊出現(xiàn)異常而不能及時(shí)恢復(fù)的話(huà)，會(huì)造成整個(gè)平臺(tái)業(yè)務(wù)的長(zhǎng)時(shí)間中斷，影響巨大。因此，核心交換機(jī)需具備高性能處理能力，以應(yīng)對(duì)大量的突發(fā)流量。為保障其可靠性及不間斷運(yùn)行，考慮雙機(jī)部署，兩臺(tái)核心交換機(jī)通過(guò)10GE端口進(jìn)行互聯(lián)，利用虛擬化堆疊技術(shù)虛擬成一臺(tái)。這樣不僅提供整個(gè)園區(qū)網(wǎng)絡(luò)的快速收斂，而且還能實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)的負(fù)載分擔(dān)，減輕單條鏈路的數(shù)據(jù)傳輸壓力。核心交換區(qū)采用“萬(wàn)兆到核心，千兆接入”的設(shè)計(jì)思路：核心模塊應(yīng)避免部署訪(fǎng)問(wèn)控制策略（如ACL、路由過(guò)濾等），保證核心模塊業(yè)務(wù)的單純性與松耦合，便于下聯(lián)功能模塊擴(kuò)展時(shí)，不影響核心業(yè)務(wù)，同時(shí)提高核心模塊的穩(wěn)定性；在核心交換機(jī)上部署網(wǎng)絡(luò)流量分析模塊，可以實(shí)時(shí)感知，作為網(wǎng)絡(luò)優(yōu)化及調(diào)整的依據(jù)。對(duì)匯聚層，考慮雙機(jī)部署與虛擬化堆疊技術(shù)，提升設(shè)備性能、提高設(shè)備的可靠性，將故障恢復(fù)時(shí)間控制在50ms內(nèi)。

服務(wù)器接入交換機(jī)部署雙機(jī)，并采用IRF虛擬化，將兩臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備，實(shí)現(xiàn)跨設(shè)備鏈路捆綁，與核心交換機(jī)配合實(shí)現(xiàn)端到端IRF。此外服務(wù)器雙網(wǎng)關(guān)配置成雙活模式（Act ive-Act ive）；各服務(wù)器接入交換機(jī)上部署Sec Bl ade FW插卡，用于本區(qū)域與其它區(qū)域的訪(fǎng)問(wèn)控制策略部署。企業(yè)應(yīng)用區(qū)部署FW+IPS+LB插卡；服務(wù)器網(wǎng)關(guān)部署在接入交換機(jī)上，防火墻插卡與接入交換機(jī)以及核心交換機(jī)之間運(yùn)行OSPF動(dòng)態(tài)路由，實(shí)現(xiàn)FW的雙機(jī)熱備。為服務(wù)器虛擬化提供強(qiáng)有力的保障。

分支機(jī)構(gòu)、合作伙伴、移動(dòng)用戶(hù)的接入需要制定不同的解決方案來(lái)進(jìn)行管理。針對(duì)以上不同接入用戶(hù)，我們采用安全接入網(wǎng)關(guān)與安全管理平臺(tái)相結(jié)合的方式設(shè)計(jì)接入方案：針對(duì)大型分支機(jī)構(gòu)，可采用運(yùn)營(yíng)商租光纖的方式；對(duì)于小型分支機(jī)構(gòu)，采用IPsec VPN接入訪(fǎng)問(wèn)；而移動(dòng)出差人員，可繼續(xù)通過(guò)SSL VPN方式接入；國(guó)外的分公司，則可考慮通過(guò)香港出口專(zhuān)線(xiàn)的方式或SSL VPN方式接入。詳細(xì)接無(wú)線(xiàn)需實(shí)現(xiàn)車(chē)間和生產(chǎn)區(qū)不適合布置有線(xiàn)的區(qū)域無(wú)線(xiàn)覆蓋，解決車(chē)間布線(xiàn)困難，和布線(xiàn)后信息點(diǎn)難移動(dòng)的麻煩。同時(shí)企業(yè)可以和移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商合作實(shí)現(xiàn)智能終端軟件的開(kāi)發(fā)實(shí)現(xiàn)并推送到手機(jī)，實(shí)現(xiàn)高層領(lǐng)導(dǎo)通過(guò)移動(dòng)終端接入運(yùn)營(yíng)商的3G網(wǎng)絡(luò)，處理辦公事務(wù)。還可以在辦公樓、食堂、會(huì)議室等地布置外網(wǎng)無(wú)線(xiàn)，實(shí)現(xiàn)集團(tuán)內(nèi)部的網(wǎng)絡(luò)全覆蓋，公共區(qū)域的無(wú)線(xiàn)覆蓋采用免費(fèi)的形式為員工和客戶(hù)提供上網(wǎng)功能，但限制單個(gè)用戶(hù)帶寬，保證園區(qū)網(wǎng)核心業(yè)務(wù)數(shù)據(jù)不受影響。總體設(shè)計(jì)采用“無(wú)線(xiàn)控制器+瘦AP”的組網(wǎng)模式，不方便布置電源的地方可以在樓層配置帶POE口的交換機(jī)。無(wú)線(xiàn)控制器采用插卡的形式部署部署在核心交換機(jī)上，通過(guò)核心的可靠性保證無(wú)線(xiàn)控制器的可靠性。通過(guò)接入認(rèn)證、Por t認(rèn)證來(lái)保證無(wú)線(xiàn)的安全。

企業(yè)園區(qū)網(wǎng)建設(shè)主要是為企業(yè)的生產(chǎn)、研發(fā)、辦公等業(yè)務(wù)提供信息化平臺(tái)。如何控制企業(yè)網(wǎng)絡(luò)各應(yīng)用（數(shù)據(jù)流）之間相互隔離，是網(wǎng)絡(luò)前期規(guī)劃的一個(gè)重點(diǎn)。結(jié)合單位的業(yè)務(wù)需要和使用情況，最后決定使用VLAN+ACL的方式。我們可以把視頻數(shù)據(jù)、研發(fā)數(shù)據(jù)、辦公數(shù)據(jù)等不同的數(shù)據(jù)流放在不同的VLAN中，通過(guò)QOS設(shè)置他們的優(yōu)先級(jí)，做到重要的、及時(shí)性要求高的數(shù)據(jù)先流通，實(shí)現(xiàn)企業(yè)應(yīng)用（數(shù)據(jù)流）的走向，同時(shí)可以使用ACL規(guī)則限制各業(yè)務(wù)間的互訪(fǎng)。

5 核心交換機(jī)的選擇

我們初步擬定使用性?xún)r(jià)比最高的H3C的設(shè)備。經(jīng)調(diào)研了解到，用得最多的是S12508和S12518兩種型號(hào)的交換機(jī)，由于兩款交換機(jī)性能高，且適應(yīng)我公司網(wǎng)絡(luò)建設(shè)的需求，故今后的網(wǎng)絡(luò)建設(shè)中，擬在這兩款中選擇任意的一款來(lái)進(jìn)行網(wǎng)絡(luò)中心的改造升級(jí)。

6 網(wǎng)絡(luò)中心運(yùn)維管理設(shè)計(jì)

國(guó)際化企業(yè)網(wǎng)絡(luò)管理中心的建設(shè)，網(wǎng)絡(luò)的可管理性是衡量該網(wǎng)絡(luò)管理中心的重要指標(biāo)。隨著集團(tuán)的國(guó)際化進(jìn)程越來(lái)越快，網(wǎng)絡(luò)規(guī)模越來(lái)越大，如何對(duì)網(wǎng)絡(luò)進(jìn)行有效的統(tǒng)一管理，是擺在網(wǎng)絡(luò)管理員面前的一個(gè)重要課題，經(jīng)過(guò)對(duì)各大網(wǎng)絡(luò)廠(chǎng)商管理軟件綜合對(duì)比，決定采用H3C IMC的智能管理系統(tǒng)。

IMC智能管理中心是以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心，采用面向服務(wù)(SOA)的設(shè)計(jì)思想，為我們提供網(wǎng)絡(luò)業(yè)務(wù)、資源和用戶(hù)的融合管理解決方案，實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理，同時(shí)以全開(kāi)放的、組件化的架構(gòu)原型，向平臺(tái)及其承載業(yè)務(wù)提供分布式、分級(jí)式交互管理特性;并為業(yè)務(wù)軟件的下一代產(chǎn)品提供最可靠的、可擴(kuò)展的、高性能的業(yè)務(wù)平臺(tái)。

IMC智能管理平臺(tái)不僅為系統(tǒng)各業(yè)務(wù)組件的集成提供了包括統(tǒng)一權(quán)限控制、SOA框架、統(tǒng)一操作日志管理、各組件License控制、分布式安裝等基本功能，而且還為用戶(hù)提供了包括操作員管理、資源管理、拓?fù)涔芾?、性能管理、告警管理、配置管理、Sysl og管理、及操作日志管理等網(wǎng)絡(luò)管理功能，以及資產(chǎn)管理、VLAN管理、ACL管理、虛擬化網(wǎng)絡(luò)管理、安全控制中心、來(lái)賓接入管理、報(bào)表管理等基礎(chǔ)業(yè)務(wù)功能。

7 總結(jié)

新規(guī)劃后的網(wǎng)絡(luò)中心采用分層、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置，將網(wǎng)絡(luò)的可靠性，安全性，先進(jìn)性， 易維護(hù)性，可擴(kuò)展性發(fā)揮到最好，使辦公人員可以隨時(shí)隨地處理與業(yè)務(wù)相關(guān)的任何事情。單位信息資源高度共享，工作更加輕松有效，整體運(yùn)作更加協(xié)調(diào)，從而最終實(shí)現(xiàn)建設(shè)完善和先進(jìn)的數(shù)字化平臺(tái)的目的 ，我們相信新的企業(yè)網(wǎng)絡(luò)中心規(guī)劃會(huì)為企業(yè)的國(guó)際化進(jìn)程提供有力保障。