1、顺德东菱集团网络平台发展规划建议书2003 年 10 月顺德东菱集团网络平台发展规划建议书2目 录前 言 .3第 1 章 东菱集团网络现状 .41.1 现有网络体系结构 .41.2 对现有网络的分析 .5第 2 章 现阶段和未来网络应用 .62.1 CAD、CAM、PDM、CAPP .62.2 企业资源管理(ERP) .62.3 客户关系管理(CRM) .72.4 办公自动化(OA) .72.5 视频会议系统 .72.6 远程监控系统 .82.7 IP 电话 .8第 3 章 网络规划发展 .93.1 网络结构设计 .93.1.1 核心层 .103.1.2 分布层 .113.1.3 接入层 .1
2、13.2 核心交换机选型建议 .113.2.1 交换结构 (Switching Fabric) .113.2.2 阻塞与非阻塞配置 .123.2.3 采用何种方式实现第 3 层处理 .133.2.4 系统容量 .143.2.5 关键部件冗余设计 .143.2.6 缓冲技术 .153.2.7 系统结构的技术寿命 .153.3 网络层路由设计 .163.3.1 IP 地址规划 .163.3.2 虚拟网划分和管理 .173.3.3 路由协议选择和路由设计 .183.4 网络管理系统平台 .20第 4 章 网络安全 .214.1 东菱集团网络系统安全风险分析 .214.1.1 物理层安全 .214.1
3、.2 网络层安全 .234.1.3 操作系统层安全 .234.1.4 数据库层安全 .244.1.5 应用层安全 .264.1.6 操作层安全(人和组织) .274.2 网络层安全系统设计 .294.2.1 网络层安全区域划分 .294.2.2 内部网络安全设计 .304.2.3 互联网关安全设计 .314.2.5 防病毒安全系统部署 .324.2.6 数据备份安全部署 .33第 5 章 结束语 .34顺德东菱集团网络平台发展规划建议书3前 言本发展规划建议书(以下简称建议书)是根据东菱集团现有的网络平台和网络业务需求编写的。本建议书根据计算机网络的相关技术规范,结合东菱集团目前网络资源的现状
4、,充分考虑现有和未来的网络业务发展需要,提出了相应的整体发展规划。本发展规划建议采用目前成熟稳定的千兆以太网交换设备对东菱集团现有网络进行扩容和升级,在该宽带 IP 网络平台之上实现企业既有的和即将发展的各种数据、语音、视频应用。所构建的千兆网络平台不仅提供强健的性能和可靠性保证,同时也要能提供优异的 QoS 保证和灵活的策略管理支持。同时,网络平台的发展规划将充分考虑到原有网络系统的资源,充分利用原有的网络设备,保护原有的网络投资。本发展规划将充分考虑东菱集团的发展,通过信息平台的基础建设保证在迅速变化着的市场中保持竞争性和灵活性。本建议书的文档包括网络现状、现阶段和未来的网络应用、网络平台
5、发展规划,网络安全等主要部分。顺德东菱集团网络平台发展规划建议书4第 1 章 东菱集团网络现状东菱集团网络平台目前采用以百兆以太网为主的交换机构建,以下为现有网络体系结构及其分析。1.1 现有网络体系结构网络在总体上采用星型以太网全交换拓扑结构,其主干和桌面的带宽均为100M;主配线间由一台 D-Link DGS-3308TG 三层交换机和 NetGear 24 端口百兆交换机构成整个网络的核心,分布在各个分厂和分配线间大部分为 D-Link 工作组交换机,通过双绞线铜缆将百兆端口分发到桌面。网络主配线间至部分分厂的远距离传输采用了多模或单模光纤,并采用了 100M 光收发器实现交换机的联结;
6、总体信息点总数约为 700。由于目前传输的数据量不大,主交换机工作比较正常,网络也比较稳定,基本能够满足目前企业的需要。顺德东菱集团网络平台发展规划建议书51.2 对现有网络的分析但是,目前网络还存在部分的隐患,如果不对网络平台进行相应的调整和扩容,会极大影响到东菱集图的信息化建设的发展和网络平台的稳定性、可靠性。网络主干带宽:目前东菱集团网络采用百兆以太网为主干,而且目前网络交换机之间均采用了多次级联,在普通的应用下虽然工作正常,但在受到网络病毒所产生大流量冲击的情况下,由于网络主干带宽的限制,造成网络的拥塞。网络的控制访问:目前作为核心三层交换的 DGS-3308TG 交换机可以保证正常的
7、应用下的三层交换机,但没有办法根据数据包的源/目的 IP 地址、TCP/UDP 端口对数据流进行访问控制和过滤,所以在病毒爆发过程中无法有效的过滤病毒所产生的流量和限制网络病毒在内部局域网上的传播。网络结构:目前网络结构采用了星型的体系结构,但局部存在多次的级联。而且级联的拓扑不是非常符合网络流量的特点,造成客户端访问服务器时,流量多次重复在核心交换机和级联工作组交换机之间传递,加重了三层交换机的负载,降低了链路的使用效率。网络管理:目前网络所采用的设备厂商和型号均较多,没有形成全面的网络管理以及以有效的网络监控。网络安全:目前对外部网络的连接采用了防火墙进行隔离和保护,但内部网络上没有整体的
8、安全和访病毒设计。但越来越多的网络攻击和病毒是从网络内部发起的。顺德东菱集团网络平台发展规划建议书6第 2 章 现阶段和未来网络应用信息化技术的高速发展催生了大量而又丰富多彩的网络应用技术,其中一些技术有助于企业改善管理机制,节省营运成本,提高企业对市场的应变能力和快速响应能力,已经逐渐成为企业信息化建设的新热点。2.1 CAD、CAM、PDM、CAPP目前东菱集团采用专用的 CAD 设计软件进行产品设计。随着设计、加工设备的数字化和智能化,通过网络传递加工数据,控制加工过程将逐步成为现实。所以,在未来的网络建设中,要考虑设计部门与加工车间实时的低延时的数据传递。目前东菱集团已经将网络信息点布
9、设到了车间,这种超前的做法将对东菱集图实现现代化制造提供必要的条件。同时,在选购数控设备时也必须考虑其接入内部网络的能力,以满足未来的需要。PDM、CAPP 的实施目前已经列入了东菱集团的信息化发展计划,并将提供必要的接口向 ERP 系统交互 BOM 和工艺信息。2.2 企业资源管理(ERP)作为东菱集图信息化的核心项目,ERP 系统将提供企业产供销一体化的信息平台,跨越了企业整个价值链。作为一个关键应用业务,ERP 对网络的低延时、可靠性、安全性、扩展性等提出了最为严格的要求,具体如下:1、网络必须能够实时响应 200 至 300 个节点的并发访问,并且保证不能出现丢失数据的现象;2、网络必
10、须足够可靠,不能因为某台设备或某条线路的问题而导致整个网络中断;3、网络必须支持 24 小时不间断运行,不能因为病毒、电源故障、黑客等问题造成系统崩溃;4、网络必须能够应付系统用户的快速增长和应用范围的不断扩大,避免频繁的设备更新;5、网络必须延伸到生产第一线,为实现全面的生产过程控制作好准备。顺德东菱集团网络平台发展规划建议书72.3 客户关系管理(CRM )客户关系管理(CRM)是一种旨在改善企业与客户之间关系、提高客户忠诚度的新型运作机制,它实施于企业的市场营销、销售、服务与技术支持等与客户有关的领域。CRM 致力于以产品和资源为基础、以客户服务为中心、以赢得市场并取得最大回报为目标,通
11、过对信息的有效集成为基础进行的客户快速反应,为客户提供一对一、交互式的个性化服务,从而达到商业过程自动化并改进业务流程的目的。CRM 系统是建立在电子商务和客户呼叫服务中心基础之上的,其网络支持主要在 INTERNET 接入;语音、传真、电子邮件的接入、处理和回复;身份认证等方面。2.4 办公自动化( OA)企业的办公自动化系统主要致力于打造企业的信息通讯平台、协同工作平台、电子化流程平台、信息集成平台和知识管理平台。目前东菱集图已经实施了 OA 系统,在网络平台上支持电子邮件系统、信息发布等基本应用。2.5 视频会议系统视频会议就是利用 DDN、ISDN、LAN 等多种通讯网络线路,把语音、
12、图像、数据等信息综合在一起进行远距离交互的宽带网络多媒体应用,使人们在进行异地交流的时候既可以听到对方的声音,又可以看到对方的图像,还能看到对方演示文件。实现点对点、多点对多点的远程视频会议交流。视频会议系统在企业具有广泛的适用范围,可以为企业内部、企业和驻外机构之间、企业和合作伙伴之间、企业与客户之间召开跨省、跨国的各种行政会议、商务会议、商务交流、远程培训、远程办公、远程指挥与调度等业务提供服务。近年来,伴随着对信息共享要求的加大,对办公效率提升的要求,以及节约费用等各方面的综合考虑,视频会议系统日益成为 IT 市场的热点,加之宽带多媒体网络视频技术的发展,使得视频会议突破了传统电视会议技
13、术局限,不仅仅简单满足视听的需求,更成为全新的能提供计算机信息共享的多媒体业务平台,成为全新沟通业务的承载体,能够更加出色地实现传统会议的功能。顺德东菱集团网络平台发展规划建议书8视频会议系统由于其“可视”的特性,不仅可以达到传统会议的“面对面”的效果,而且与会者可以跨越地域的分隔,进行自由的交流,具有极强的交互性。而且由于高新技术的支持,还可以实现传统会议所无法实现的某些视觉、听觉效果。在公司总部与驻外办事机构召开多点会议时,视频会议系统所具备的会议控制功能使会议的组织者能有效的控制会议过程,提高会议效率。在准备会议资料时,视频会议系统的计算机信息管理手段可以方便的分发和演示电子文档,提高工
14、作效率远程视频会议系统可以大幅节减参加会议或培训人员的时间和差旅费用,使原来因费用问题而受到控制的驻外人员会议和培训得以适时召开。2.6 远程监控系统传统的远程监控系统是基于专用的视频线路,安装和维护的费用都比较高。新型的远程监控系统则可以通过现有的计算机内部网络传输信号,利用计算机终端进行监控。东菱集图的厂区较为分散,可以在部分地点安装监控设备,对分散在各地的现场进行日夜监控,保障这些场合的安全。各监控点将数据通过集图的的局域网传输到监控中心,保安人员也可通过网络对各监控点进行远程控制。2.7 IP 电话企业 IP 电话是利用 VoIP 技术通过网络来实现企业远程内部电话系统。由于内部 IP
15、 电话能够实现免费的国内长途和国际长途电话,所以深得企业的青睐,成为了目前网络应用的一个亮点。东菱集图在三个方面能够得到 IP 电话所带来的好处,一是通过企业的广域网网络实现与办事处的免费 IP 电话;二是通过各办事处网络设备的转接实现与办事处所在区域的客户免长途费用的 IP 电话;三是实现办事处之间免费的 IP 电话。内部 IP 电话的应用将为东菱集团节省可观的电话通讯费用。顺德东菱集团网络平台发展规划建议书9第 3 章 网络规划发展3.1 网络结构设计根据东菱集团现有和未来即将发展的网络应用,制定初步的网络发展规划。由于考虑东菱集团网络系统平台的扩展,普通的平面网络结构设计模型难以满足网络
16、性能的需求;而采用层次化网络设计模型,由于其良好的伸缩能力、易于实现、易于排除故障、可预测性、协议支持、易于管理等特点,可充分满足网络不断增长的长期需求。因此,考虑现有网络资源,我们在发展规划中采用了经典的“三层层次模型”和二层/三层相结合的设计方法。层次化网络设计的指导原则选择最适合需求的分级模型,尽量降低网络拓扑结构的复杂性。一般情况下三层层次模型就可以充分满足用户的需求。没有必要使网络的各层总是完全的网状连接,访问层通常不必考虑为网状;分布层可以考虑部分的冗余;核心层连接最好是网状,其目的是考虑链路冗余和网络收敛速度的原因。通过把 80%的通信流量控制在本地工作组内部,从而使工作组 LA
17、N 运行良好,这主要通过将服务器定位在工作组中适当的工作组行为来实现。在适当的层次级别使用具体的特征控制策略,这主要通过把不同的控制功能部署在不同的层次级别来实现对于东菱集图网络平台,我们将用层次化网络设计模型,由于其良好的伸缩能力、易于实现、易于排除故障、可预测性、协议支持、易于管理等特点,可充分满足网络不断增长的长期需求。遵从层次化的网络的设计原则,根据东菱集图现有网络物理资源分布以及对网络覆盖范围的需求,本着尽量降低拓扑复杂性,保证系统最大可靠性的原则我们采用三层层次化模型:核心层、分布层和接入层。顺德东菱集团网络平台发展规划建议书10整个网络设计以千兆为主干,百兆到桌面的结构,以网络中
18、心为核心,并通过千兆光纤链路和分厂和分配线间节点工作组交换机相连。在网络中心采用高背板带宽,高可靠性的核心骨干路由交换机,在分厂和分配线间采用工作组交换机。这样的设计结构具有层次化设计节约线路成本、保障安全、便于管理、扩展灵活等特点。3.1.1 核心层核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输,以及强大的路由处理能力。暂时考虑以网络中心为整个网络的核心层节点(可以考虑在网络中心采用双核心交换机,实现双机容错),核心节点选用高背板带宽、高性能的千兆骨干路由交换机。核心节点交换机将提供足够数量的千兆端口连接分布层和接入层交换机,另外还要预留足够的扩展插槽,保证未来需要对端口进行扩展时,只需要增加相应的模块。另外,核心交换机还应支持容错的背板、管理监控模块及冗余电源,保证网络核心交换机良好的可扩充性和稳定性。
