國際化企業(yè)的網(wǎng)絡(luò)管理中心規(guī)劃研究

湘潭電機股份有限公司 劉 浩

1 現(xiàn)狀及目標(biāo)

過去幾年里，信息化建設(shè)的工作重點主要側(cè)重于應(yīng)用系統(tǒng)的建設(shè)，對網(wǎng)絡(luò)建設(shè)并沒有太大的投入，更多的只關(guān)注其連通性以及日常管理。網(wǎng)絡(luò)的可管理性不強，數(shù)據(jù)中心內(nèi)服務(wù)器大部分是直接連接公司內(nèi)網(wǎng)核心交換機上，出于對端口數(shù)量的考慮，也有幾臺是通過較低端交換機接入核心交換機上，對于安全、管理、可擴展性和易維護性等方面的考慮較少，給數(shù)據(jù)中心帶來了不小的安全隱患。

如何高效、有效地利用網(wǎng)絡(luò)資源、優(yōu)化網(wǎng)絡(luò)架構(gòu)，使核心網(wǎng)、接入網(wǎng)具有更高的可靠性和可控性，同時，使得網(wǎng)絡(luò)結(jié)構(gòu)與布局在結(jié)合實際業(yè)務(wù)分布的前提下更加合理。結(jié)合公司現(xiàn)狀，我們需要設(shè)計一個全新的、基于純IP技術(shù)的網(wǎng)絡(luò)平臺來滿足集團網(wǎng)絡(luò)的需求變化。

2 網(wǎng)絡(luò)中心的設(shè)計理念

在網(wǎng)絡(luò)整體設(shè)計中，采用分層、模塊化的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置，將網(wǎng)絡(luò)的可靠性、安全性、先進性、易維護性、可擴展性發(fā)揮到最好，從而最終實現(xiàn)建設(shè)完善和先進的數(shù)字化平臺的目的。

根據(jù)信息化網(wǎng)絡(luò)的建設(shè)標(biāo)準(zhǔn)，可采用標(biāo)準(zhǔn)的分層設(shè)計或分功能區(qū)設(shè)計來部署網(wǎng)絡(luò)中心。按分層設(shè)計來劃分網(wǎng)絡(luò)的話，可分為三層：核心層、匯聚層、接入層（含無線）；按功能區(qū)域來劃分，可分為數(shù)據(jù)中心管理區(qū)、服務(wù)器接入?yún)^(qū)、園區(qū)網(wǎng)接入?yún)^(qū)、DMZ區(qū)、網(wǎng)絡(luò)出口區(qū)、分支機構(gòu)接入?yún)^(qū)、移動外出接入?yún)^(qū)等。

3 網(wǎng)絡(luò)中心規(guī)劃設(shè)計

4 設(shè)計說明

核心模塊是整個平臺的樞紐，一旦核心模塊出現(xiàn)異常而不能及時恢復(fù)的話，會造成整個平臺業(yè)務(wù)的長時間中斷，影響巨大。因此，核心交換機需具備高性能處理能力，以應(yīng)對大量的突發(fā)流量。為保障其可靠性及不間斷運行，考慮雙機部署，兩臺核心交換機通過10GE端口進行互聯(lián)，利用虛擬化堆疊技術(shù)虛擬成一臺。這樣不僅提供整個園區(qū)網(wǎng)絡(luò)的快速收斂，而且還能實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)的負載分擔(dān)，減輕單條鏈路的數(shù)據(jù)傳輸壓力。核心交換區(qū)采用“萬兆到核心，千兆接入”的設(shè)計思路：核心模塊應(yīng)避免部署訪問控制策略（如ACL、路由過濾等），保證核心模塊業(yè)務(wù)的單純性與松耦合，便于下聯(lián)功能模塊擴展時，不影響核心業(yè)務(wù)，同時提高核心模塊的穩(wěn)定性；在核心交換機上部署網(wǎng)絡(luò)流量分析模塊，可以實時感知，作為網(wǎng)絡(luò)優(yōu)化及調(diào)整的依據(jù)。對匯聚層，考慮雙機部署與虛擬化堆疊技術(shù)，提升設(shè)備性能、提高設(shè)備的可靠性，將故障恢復(fù)時間控制在50ms內(nèi)。

服務(wù)器接入交換機部署雙機，并采用IRF虛擬化，將兩臺物理設(shè)備虛擬化為一臺邏輯設(shè)備，實現(xiàn)跨設(shè)備鏈路捆綁，與核心交換機配合實現(xiàn)端到端IRF。此外服務(wù)器雙網(wǎng)關(guān)配置成雙活模式（Act ive-Act ive）；各服務(wù)器接入交換機上部署Sec Bl ade FW插卡，用于本區(qū)域與其它區(qū)域的訪問控制策略部署。企業(yè)應(yīng)用區(qū)部署FW+IPS+LB插卡；服務(wù)器網(wǎng)關(guān)部署在接入交換機上，防火墻插卡與接入交換機以及核心交換機之間運行OSPF動態(tài)路由，實現(xiàn)FW的雙機熱備。為服務(wù)器虛擬化提供強有力的保障。

分支機構(gòu)、合作伙伴、移動用戶的接入需要制定不同的解決方案來進行管理。針對以上不同接入用戶，我們采用安全接入網(wǎng)關(guān)與安全管理平臺相結(jié)合的方式設(shè)計接入方案：針對大型分支機構(gòu)，可采用運營商租光纖的方式；對于小型分支機構(gòu)，采用IPsec VPN接入訪問；而移動出差人員，可繼續(xù)通過SSL VPN方式接入；國外的分公司，則可考慮通過香港出口專線的方式或SSL VPN方式接入。詳細接無線需實現(xiàn)車間和生產(chǎn)區(qū)不適合布置有線的區(qū)域無線覆蓋，解決車間布線困難，和布線后信息點難移動的麻煩。同時企業(yè)可以和移動網(wǎng)絡(luò)運營商合作實現(xiàn)智能終端軟件的開發(fā)實現(xiàn)并推送到手機，實現(xiàn)高層領(lǐng)導(dǎo)通過移動終端接入運營商的3G網(wǎng)絡(luò)，處理辦公事務(wù)。還可以在辦公樓、食堂、會議室等地布置外網(wǎng)無線，實現(xiàn)集團內(nèi)部的網(wǎng)絡(luò)全覆蓋，公共區(qū)域的無線覆蓋采用免費的形式為員工和客戶提供上網(wǎng)功能，但限制單個用戶帶寬，保證園區(qū)網(wǎng)核心業(yè)務(wù)數(shù)據(jù)不受影響?？傮w設(shè)計采用“無線控制器+瘦AP”的組網(wǎng)模式，不方便布置電源的地方可以在樓層配置帶POE口的交換機。無線控制器采用插卡的形式部署部署在核心交換機上，通過核心的可靠性保證無線控制器的可靠性。通過接入認證、Por t認證來保證無線的安全。

企業(yè)園區(qū)網(wǎng)建設(shè)主要是為企業(yè)的生產(chǎn)、研發(fā)、辦公等業(yè)務(wù)提供信息化平臺。如何控制企業(yè)網(wǎng)絡(luò)各應(yīng)用（數(shù)據(jù)流）之間相互隔離，是網(wǎng)絡(luò)前期規(guī)劃的一個重點。結(jié)合單位的業(yè)務(wù)需要和使用情況，最后決定使用VLAN+ACL的方式。我們可以把視頻數(shù)據(jù)、研發(fā)數(shù)據(jù)、辦公數(shù)據(jù)等不同的數(shù)據(jù)流放在不同的VLAN中，通過QOS設(shè)置他們的優(yōu)先級，做到重要的、及時性要求高的數(shù)據(jù)先流通，實現(xiàn)企業(yè)應(yīng)用（數(shù)據(jù)流）的走向，同時可以使用ACL規(guī)則限制各業(yè)務(wù)間的互訪。

5 核心交換機的選擇

我們初步擬定使用性價比最高的H3C的設(shè)備。經(jīng)調(diào)研了解到，用得最多的是S12508和S12518兩種型號的交換機，由于兩款交換機性能高，且適應(yīng)我公司網(wǎng)絡(luò)建設(shè)的需求，故今后的網(wǎng)絡(luò)建設(shè)中，擬在這兩款中選擇任意的一款來進行網(wǎng)絡(luò)中心的改造升級。

6 網(wǎng)絡(luò)中心運維管理設(shè)計

國際化企業(yè)網(wǎng)絡(luò)管理中心的建設(shè)，網(wǎng)絡(luò)的可管理性是衡量該網(wǎng)絡(luò)管理中心的重要指標(biāo)。隨著集團的國際化進程越來越快，網(wǎng)絡(luò)規(guī)模越來越大，如何對網(wǎng)絡(luò)進行有效的統(tǒng)一管理，是擺在網(wǎng)絡(luò)管理員面前的一個重要課題，經(jīng)過對各大網(wǎng)絡(luò)廠商管理軟件綜合對比，決定采用H3C IMC的智能管理系統(tǒng)。

IMC智能管理中心是以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心，采用面向服務(wù)(SOA)的設(shè)計思想，為我們提供網(wǎng)絡(luò)業(yè)務(wù)、資源和用戶的融合管理解決方案，實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理，同時以全開放的、組件化的架構(gòu)原型，向平臺及其承載業(yè)務(wù)提供分布式、分級式交互管理特性;并為業(yè)務(wù)軟件的下一代產(chǎn)品提供最可靠的、可擴展的、高性能的業(yè)務(wù)平臺。

IMC智能管理平臺不僅為系統(tǒng)各業(yè)務(wù)組件的集成提供了包括統(tǒng)一權(quán)限控制、SOA框架、統(tǒng)一操作日志管理、各組件License控制、分布式安裝等基本功能，而且還為用戶提供了包括操作員管理、資源管理、拓撲管理、性能管理、告警管理、配置管理、Sysl og管理、及操作日志管理等網(wǎng)絡(luò)管理功能，以及資產(chǎn)管理、VLAN管理、ACL管理、虛擬化網(wǎng)絡(luò)管理、安全控制中心、來賓接入管理、報表管理等基礎(chǔ)業(yè)務(wù)功能。

7 總結(jié)

新規(guī)劃后的網(wǎng)絡(luò)中心采用分層、模塊化的網(wǎng)絡(luò)設(shè)計結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置，將網(wǎng)絡(luò)的可靠性，安全性，先進性， 易維護性，可擴展性發(fā)揮到最好，使辦公人員可以隨時隨地處理與業(yè)務(wù)相關(guān)的任何事情。單位信息資源高度共享，工作更加輕松有效，整體運作更加協(xié)調(diào)，從而最終實現(xiàn)建設(shè)完善和先進的數(shù)字化平臺的目的 ，我們相信新的企業(yè)網(wǎng)絡(luò)中心規(guī)劃會為企業(yè)的國際化進程提供有力保障。