羅柳斌

一、柳工現(xiàn)有二層網(wǎng)絡(luò)架構(gòu)

柳工現(xiàn)有信息系統(tǒng)全面覆蓋了企業(yè)的產(chǎn)品開發(fā)、供應(yīng)鏈管理、生產(chǎn)制造和銷售服務(wù)四大方面主體活動(dòng)，成為柳工生產(chǎn)活動(dòng)中重要的支撐。

目前柳工信息網(wǎng)是一個(gè)大型的二層網(wǎng)絡(luò)架構(gòu)：

1、核心區(qū)域：兩臺(tái)Cisco4506作為整個(gè)網(wǎng)絡(luò)的核心，分別負(fù)責(zé)廠區(qū)網(wǎng)絡(luò)、研究院網(wǎng)絡(luò)、數(shù)據(jù)中心、互聯(lián)網(wǎng)和異地事業(yè)部廣域網(wǎng)的接入；

2、園區(qū)區(qū)域：所有部門及下屬公司的計(jì)算機(jī)都劃分在幾個(gè)業(yè)務(wù)VLAN內(nèi)，使用Cisco2960和2950交換機(jī)作為接入層設(shè)備；

3、異地事業(yè)部：租用不同運(yùn)營商線路接入至數(shù)據(jù)中心機(jī)房的Cisco3550交換機(jī)上；

4、服務(wù)器區(qū)域：使用6臺(tái)Cisco2960G作為接入，使用雙鏈路上聯(lián)核心交換機(jī)；

5、互聯(lián)網(wǎng)區(qū)域：3條不同運(yùn)營商的線路匯聚到一臺(tái)Cisco2960上。外部SSL-VPN用戶通過互聯(lián)網(wǎng)鏈路接入深信服VPN設(shè)備直接撥入到內(nèi)網(wǎng)。內(nèi)部訪問互聯(lián)網(wǎng)則通過ISA防火墻后從三個(gè)互聯(lián)網(wǎng)出口出去。

二、層網(wǎng)二絡(luò)向三層網(wǎng)絡(luò)轉(zhuǎn)變的必要性

2.1網(wǎng)絡(luò)拓?fù)?/p>

柳工目前網(wǎng)絡(luò)是一個(gè)以二層局域網(wǎng)交換為主的網(wǎng)絡(luò)，缺少必要的三層路由規(guī)劃和網(wǎng)絡(luò)安全規(guī)劃?，F(xiàn)有網(wǎng)絡(luò)架構(gòu)不能滿足應(yīng)用系統(tǒng)未來的需求，不足以支撐未來業(yè)務(wù)的發(fā)展。

同時(shí)，缺乏匯聚交換機(jī)和光纖鏈路資源，使得大量的接入交換機(jī)采用級(jí)聯(lián)的方式實(shí)現(xiàn)上聯(lián)。這樣容易導(dǎo)致鏈路不穩(wěn)定和鏈路帶寬得不到保障。因此需要優(yōu)化網(wǎng)絡(luò)拓?fù)?，合理選擇匯聚節(jié)點(diǎn)，變二層網(wǎng)絡(luò)為更加穩(wěn)定的三層網(wǎng)絡(luò)。

2.2明確網(wǎng)絡(luò)各功能區(qū)域

網(wǎng)絡(luò)系統(tǒng)需要按功能進(jìn)行區(qū)分：如廣域網(wǎng)、生產(chǎn)網(wǎng)、研發(fā)網(wǎng)絡(luò)和數(shù)據(jù)中心等。柳工現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)不具備真正的廣域網(wǎng)、數(shù)據(jù)中心、研發(fā)網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)等功能劃分。因此需要明確網(wǎng)絡(luò)各功能區(qū)域，實(shí)現(xiàn)分級(jí)分域安全防護(hù)。

2.3 IP地址/VLAN規(guī)劃

柳工目前使用一個(gè)B類地址和若干個(gè)C類地址，網(wǎng)絡(luò)中進(jìn)行了有限的VLAN劃分。但由于VLAN規(guī)劃不細(xì)致，造成廣播域過大，給網(wǎng)絡(luò)的穩(wěn)定運(yùn)行帶來了隱患。

柳工未來的IP地址分配建議采用DHCP動(dòng)態(tài)分配輔助靜態(tài)部署。服務(wù)器設(shè)置靜態(tài)地址，客戶機(jī)動(dòng)態(tài)獲取IP。動(dòng)態(tài)分配由于地址是由DHCP服務(wù)器分配，便于集中化統(tǒng)一管理。每一個(gè)接入主機(jī)都能通過非常簡(jiǎn)單的操作就可以獲得正確IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS等參數(shù)，在管理的工作量上比靜態(tài)地址要減少很多。非常適合大型網(wǎng)絡(luò)的需求。

綜上所述，二層網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變?yōu)槿龑泳W(wǎng)絡(luò)架構(gòu)，勢(shì)在必行，否則將不足以支撐日益擴(kuò)大的網(wǎng)絡(luò)規(guī)模和業(yè)務(wù)發(fā)展需求。

三、整體設(shè)計(jì)方案

3.1 模塊劃分

通過參考和借鑒目前先進(jìn)的網(wǎng)絡(luò)設(shè)計(jì)理念和其他企業(yè)網(wǎng)絡(luò)設(shè)計(jì)經(jīng)驗(yàn)，依據(jù)全面性原則和模塊化設(shè)計(jì)原則，將整個(gè)網(wǎng)絡(luò)總體框架劃分為六大網(wǎng)絡(luò)區(qū)域：即核心交換區(qū)、園區(qū)網(wǎng)、數(shù)據(jù)中心、廣域網(wǎng)、研發(fā)網(wǎng)和互聯(lián)網(wǎng)。同時(shí)IP地址和VLAN規(guī)劃貫穿在各網(wǎng)絡(luò)區(qū)域的設(shè)計(jì)中。

3.2差異化分析

采用差異化分析的方式來確定網(wǎng)絡(luò)中的不足之處，提出網(wǎng)絡(luò)優(yōu)化的方法和所能夠達(dá)到的目標(biāo)。

對(duì)網(wǎng)絡(luò)各組成部分具體分析，具體如下：

3.2.1 園區(qū)網(wǎng)

現(xiàn)狀：園區(qū)網(wǎng)核心設(shè)備超負(fù)荷運(yùn)行，核心交換機(jī)4506CPU負(fù)荷超70%；園區(qū)網(wǎng)是一個(gè)大型二層網(wǎng)絡(luò)，終端用戶基本分布在VLAN1中，過大的廣播域給網(wǎng)絡(luò)的穩(wěn)定帶來潛在風(fēng)險(xiǎn)。接入層設(shè)備大量采用級(jí)聯(lián)方式上連核心，部分接入交換機(jī)帶寬利用率僅有30%。

規(guī)劃目標(biāo)：提升園區(qū)網(wǎng)核心設(shè)備處理能力，從而提高網(wǎng)絡(luò)整體的處理能力。調(diào)整網(wǎng)絡(luò)層次，變兩層網(wǎng)絡(luò)為三層網(wǎng)絡(luò)架構(gòu)，新增合理的匯聚節(jié)點(diǎn)。用動(dòng)態(tài)路由協(xié)議規(guī)劃核心層和匯聚層的路由，提供快速收斂和高可擴(kuò)展性。

3.2.2 數(shù)據(jù)中心

現(xiàn)狀：數(shù)據(jù)中心網(wǎng)絡(luò)與園區(qū)網(wǎng)之間界線不清，存在很大的可用性，擴(kuò)展性問題；同時(shí)缺乏數(shù)據(jù)中心安全防護(hù)措施。

規(guī)劃目標(biāo)：搭建獨(dú)立的數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)，建設(shè)數(shù)據(jù)中心的整體安全防護(hù)架構(gòu)。

3.2.3 廣域網(wǎng)

現(xiàn)狀：廣域網(wǎng)缺乏冗余鏈路。廣域網(wǎng)是一個(gè)二層交換網(wǎng)，沒有三層路由，不能對(duì)重要業(yè)務(wù)做QOS保障，并且網(wǎng)絡(luò)設(shè)備比較陳舊。

規(guī)劃目標(biāo)：增加冗余鏈路保證廣域網(wǎng)的穩(wěn)定可靠性。規(guī)劃廣域網(wǎng)路由，用專用路由器代替現(xiàn)有設(shè)備，通過有關(guān)技術(shù)手段保證重要應(yīng)用數(shù)據(jù)的傳輸。

3.2.4 研發(fā)網(wǎng)絡(luò)

現(xiàn)狀：缺乏獨(dú)立的研發(fā)網(wǎng)網(wǎng)絡(luò)架構(gòu)，缺乏對(duì)研發(fā)網(wǎng)的安全防護(hù)措施。

規(guī)劃目標(biāo)：搭建獨(dú)立研發(fā)網(wǎng)網(wǎng)絡(luò)架構(gòu)，在組網(wǎng)方式上采用物理隔離，在傳輸過程中采用邏輯隔離。建立研發(fā)網(wǎng)的安全防護(hù)架構(gòu)，增強(qiáng)網(wǎng)絡(luò)的高安全性，同時(shí)保證業(yè)務(wù)數(shù)據(jù)的安全管理。

3.2.5 互聯(lián)網(wǎng)

現(xiàn)狀：缺乏細(xì)化的互聯(lián)網(wǎng)管理規(guī)范，互聯(lián)網(wǎng)安全防護(hù)設(shè)備陳舊且防護(hù)手段單一。

規(guī)劃目標(biāo)：完善全網(wǎng)的互聯(lián)網(wǎng)出口，加強(qiáng)安全防護(hù)措施。完善統(tǒng)一安全控制策略和互聯(lián)網(wǎng)訪問規(guī)范。

3.2.6 IP地址和VLAN

現(xiàn)狀：IP地址分配VLAN劃分精細(xì)度不夠，用戶主要集中在VLAN1中，廣播域太大。IP地址主要采用靜態(tài)分配方式，管理缺乏靈活性。

規(guī)劃目標(biāo)：統(tǒng)一IP地址管理，優(yōu)化IP分配和VLAN劃分規(guī)范。

四.實(shí)施規(guī)劃

4.1園區(qū)網(wǎng)

按照三層架構(gòu)進(jìn)行規(guī)劃設(shè)計(jì)，合理設(shè)置匯聚節(jié)點(diǎn)。優(yōu)化接入層設(shè)備的接入，最終形成完善的三層架構(gòu)園區(qū)網(wǎng)。網(wǎng)絡(luò)設(shè)備的更新?lián)Q代，用高性能的核心設(shè)備替換原有的核心交換機(jī)，提升園區(qū)網(wǎng)的整體處理能力。加強(qiáng)對(duì)接入層設(shè)備的集中管理，逐步替換不可網(wǎng)管的接入設(shè)備。以園區(qū)網(wǎng)為主要承載平臺(tái)的統(tǒng)一無線系統(tǒng)部署。

4.2數(shù)據(jù)中心

增設(shè)數(shù)據(jù)中心核心交換機(jī)，建設(shè)數(shù)據(jù)中心整體安全防護(hù)系統(tǒng)；增設(shè)數(shù)據(jù)中心接入交換機(jī)，承擔(dān)服務(wù)器的接入。

4.3廣域網(wǎng)

增設(shè)廣域網(wǎng)核心路由器和廣域網(wǎng)防火墻，增加廣域網(wǎng)冗余鏈路，完成異地事業(yè)部接入路由器的改造。

4.4研發(fā)網(wǎng)

增設(shè)研發(fā)網(wǎng)核心交換機(jī)和研發(fā)網(wǎng)邊界防火墻，更換研發(fā)網(wǎng)的接入交換機(jī)，實(shí)現(xiàn)基于身份的網(wǎng)絡(luò)準(zhǔn)入控制。

4.5互聯(lián)網(wǎng)

完成互聯(lián)網(wǎng)邊界防火墻的改造、互聯(lián)網(wǎng)代理系統(tǒng)改造和ISP鏈路的動(dòng)態(tài)負(fù)載，同時(shí)優(yōu)化互聯(lián)網(wǎng)的出口管理（上網(wǎng)行為管理，流量監(jiān)控）。

4.6 IP地址規(guī)劃

已使用網(wǎng)段的地址，在新的規(guī)劃中不再使用；啟用新的IP地址段：172.17.0.0/16共65535個(gè)IP地址劃分為255個(gè)C類的IP子網(wǎng)，分配給廣域網(wǎng)，局域網(wǎng)和數(shù)據(jù)中心使用；啟用IP地址段：10.0.0.0/24，分配給特殊需求的IP，如：雙機(jī)熱備系統(tǒng)的心跳IP。該段地址不參與路由，并且需要使用VLAN隔離。啟用IP地址段：10.1.0.0/16，分配10.1.1.0/24給VPN地址池，其余保留給未來的外聯(lián)網(wǎng)絡(luò)。

5.總結(jié)

通過以上方案的改造，柳工把基于IP協(xié)議的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)一步建設(shè)成為更安全、可靠、易管理、可擴(kuò)展、成本合理的綜合通訊服務(wù)平臺(tái)。隨時(shí)隨地服務(wù)于員工、合作伙伴和客戶。保證業(yè)務(wù)應(yīng)用和通訊的永續(xù)性，從而整體提高柳工的生產(chǎn)力和核心競(jìng)爭(zhēng)力。