模塊化網(wǎng)絡(luò)在制造型企業(yè)中的設(shè)計(jì)與應(yīng)用

孟翔巍

株洲中車時(shí)代電氣股份有限公司 湖南 株洲 412001

1 緒論

隨著當(dāng)今制造業(yè)的不斷發(fā)展,智能制造以及各類型業(yè)務(wù)接踵而至,導(dǎo)致目前大部分制造型企業(yè)的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)不能滿足業(yè)務(wù)增長(zhǎng)的需求,同時(shí),隨著網(wǎng)絡(luò)的不斷增長(zhǎng)和擴(kuò)大,內(nèi)部的管理復(fù)雜度也在不斷提升,且無(wú)序的網(wǎng)絡(luò)擴(kuò)張也會(huì)導(dǎo)致更多的人力物力消耗。為改變這種現(xiàn)狀,企業(yè)必須在網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)層面導(dǎo)入模塊化思想,以業(yè)務(wù)面作為切入點(diǎn),分區(qū)域的進(jìn)行網(wǎng)絡(luò)的重構(gòu)和設(shè)計(jì),并按逐步推進(jìn)的實(shí)施路徑,最終實(shí)現(xiàn)整體模塊化網(wǎng)絡(luò)的落地,以求更好的支撐企業(yè)整體業(yè)務(wù)運(yùn)營(yíng)。

2 模塊化網(wǎng)絡(luò)類型與功能

從如今的制造型企業(yè)的業(yè)務(wù)層面上看,模塊化網(wǎng)絡(luò)大致可以基于以下幾個(gè)物理平面進(jìn)行設(shè)計(jì)：

①園區(qū)網(wǎng)：用于提供各類IT 終端接入的網(wǎng)絡(luò),一般為三層架構(gòu),即核心層、匯聚層和接入層。

②數(shù)據(jù)中心網(wǎng)：用于提供各類主機(jī)、云、存儲(chǔ)等設(shè)備接入的網(wǎng)絡(luò),一般情況分為三張邏輯或物理隔離的網(wǎng)絡(luò),即業(yè)務(wù)網(wǎng)(一般為大二層網(wǎng)絡(luò))、存儲(chǔ)網(wǎng)(獨(dú)立的IPSAN 或FCSAN)、管理網(wǎng)(提供設(shè)備帶外管理功能)。

③廣域網(wǎng)：用于同城或異地分支站點(diǎn)接入到總部的網(wǎng)絡(luò),一般需通過(guò)租賃ISP資源的方式實(shí)現(xiàn)。

④工控網(wǎng)：用于各類工控設(shè)備接入的網(wǎng)絡(luò),工控網(wǎng)發(fā)展初期,廠商直接生態(tài)相對(duì)封閉時(shí)候以令牌或總線環(huán)網(wǎng)為主,現(xiàn)開(kāi)始轉(zhuǎn)向以以太網(wǎng)作為通訊基礎(chǔ)。

⑤互聯(lián)邊界：企業(yè)與ISP之間的邊界,為企業(yè)內(nèi)部提供與互聯(lián)網(wǎng)之間的雙向互訪能力。

⑥上下游區(qū)域：用于與上下游生態(tài)合作伙伴的數(shù)據(jù)交互區(qū)域,一般通過(guò)租用ISP專線資源的方式實(shí)現(xiàn)。

⑦物聯(lián)網(wǎng)：用于監(jiān)控、門禁、梯控、燈控、水電氣等邊緣設(shè)備數(shù)據(jù)通訊的網(wǎng)絡(luò),是智慧園區(qū)或智慧樓宇的通訊基礎(chǔ)。

在每個(gè)物理平面構(gòu)建的基礎(chǔ)上,在根據(jù)具體的業(yè)務(wù)需求、類型、控制級(jí)別等因素和維度進(jìn)行邏輯平面的設(shè)計(jì),這些邏輯平面可能會(huì)在某一物理平面內(nèi)部,也可能會(huì)跨越多個(gè)物理平面存在,通過(guò)這種邏輯與物理平面交錯(cuò)的方式,逐步構(gòu)建出企業(yè)的模塊化網(wǎng)絡(luò)。

3 業(yè)務(wù)模塊內(nèi)的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與應(yīng)用

上述提到的物理網(wǎng)絡(luò)模塊,或稱其為業(yè)務(wù)模塊,其內(nèi)部均為一套自治的生態(tài)系統(tǒng),但每個(gè)網(wǎng)絡(luò)生態(tài)系統(tǒng)又有自己不同的設(shè)計(jì)和應(yīng)用特點(diǎn)。園區(qū)網(wǎng),在設(shè)計(jì)過(guò)程中更注重規(guī)劃合理大小的廣播域以節(jié)約交換性能,同時(shí)每個(gè)廣播域中的IP 地址規(guī)劃也需要盡量合理;數(shù)據(jù)中心網(wǎng),更注重利用SDN 技術(shù)構(gòu)建大二層網(wǎng)絡(luò),并根據(jù)應(yīng)用類型、重要級(jí)別等方面進(jìn)行多租戶設(shè)計(jì),為企業(yè)私有云、多HA 數(shù)據(jù)中心構(gòu)建網(wǎng)絡(luò)基礎(chǔ);廣域網(wǎng),傳統(tǒng)方式可通過(guò)IPSEC VPN 或Auto VPN 方式構(gòu)建,也統(tǒng)一租用ISP的MPLS專線,但近年來(lái)更為高性價(jià)比的構(gòu)建方式為通過(guò)SDWAN 的方式將兩者結(jié)合,提升帶寬利用率的同時(shí),實(shí)現(xiàn)鏈路熱備和QOS服務(wù);工控網(wǎng)、物聯(lián)網(wǎng),現(xiàn)在最為流行的做法是以以太網(wǎng)作為基礎(chǔ)構(gòu)建,中間穿插的設(shè)備需為專門的工控或物聯(lián)類IT 設(shè)備,實(shí)現(xiàn)TCP協(xié)議與工控或物聯(lián)協(xié)議的轉(zhuǎn)換;互聯(lián)邊界、上下游區(qū)域,兩者可以作為一個(gè)整體進(jìn)行設(shè)計(jì),邊界區(qū)域合理部署下一代防火墻、IPS、WAF、上網(wǎng)行為審計(jì)、抗DDOS、鏈路負(fù)載均衡等一系列硬件產(chǎn)品,并利用該類產(chǎn)品中多組口或虛擬化的方式構(gòu)建上下游區(qū)域的安全。

在各個(gè)業(yè)務(wù)模塊網(wǎng)絡(luò)架構(gòu)成型的基礎(chǔ)上,可通過(guò)VLAN、VRF、租戶等多種方式實(shí)現(xiàn)邏輯網(wǎng)絡(luò)平面的構(gòu)建,每個(gè)邏輯網(wǎng)絡(luò)平面可通過(guò)自己獨(dú)有的訪問(wèn)控制方式實(shí)現(xiàn)按需的安全可靠的互訪(如VLAN 的ACL,VRF 的有限路由透?jìng)鞯?,同時(shí)還可以在各個(gè)邏輯網(wǎng)絡(luò)平面上考慮安全架構(gòu)的植入。

4 業(yè)務(wù)模塊間的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)與應(yīng)用

在整個(gè)企業(yè)網(wǎng)架構(gòu)中,各個(gè)業(yè)務(wù)模塊不可能是一個(gè)個(gè)信息孤島,肯定存在相互之間的數(shù)據(jù)交互,固必須要考慮業(yè)務(wù)模塊間的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)。

該設(shè)計(jì)過(guò)程的重點(diǎn)是需要從網(wǎng)絡(luò)安全角度出發(fā),構(gòu)建各個(gè)業(yè)務(wù)模塊之間的安全交互,同時(shí),還需滿足業(yè)務(wù)實(shí)際需求,保證底層數(shù)據(jù)流的交互高效性,故最佳實(shí)踐的架構(gòu)應(yīng)為以數(shù)據(jù)中心網(wǎng)作為交換核心區(qū)域的星型網(wǎng)絡(luò)架構(gòu),并在各業(yè)務(wù)模塊之間利用防火墻、網(wǎng)閘、工業(yè)光閘等設(shè)備實(shí)現(xiàn)區(qū)域邊界安全。各區(qū)間的安全設(shè)備應(yīng)至少保持基線配置,對(duì)高危端口、協(xié)議進(jìn)行封禁,另,還需對(duì)諸如工控網(wǎng)、物聯(lián)網(wǎng)等需求簡(jiǎn)單明確的區(qū)域以及數(shù)據(jù)中心網(wǎng)中部分關(guān)鍵應(yīng)用區(qū)域進(jìn)行最小安全顆粒度的白名單設(shè)置,最大限度保障區(qū)域間安全,防范外部攻擊入侵和內(nèi)部威脅蔓延。

5 模塊化網(wǎng)絡(luò)規(guī)劃全景

經(jīng)過(guò)上述的設(shè)計(jì)與應(yīng)用,各個(gè)業(yè)務(wù)模塊網(wǎng)絡(luò)最終即形成有機(jī)整體的同時(shí),又能夠滿足模塊內(nèi)部個(gè)性化的業(yè)務(wù)需求,實(shí)現(xiàn)整體網(wǎng)絡(luò)生態(tài)的構(gòu)建。整體的網(wǎng)絡(luò)拓?fù)鋱D如圖5－1所示：

圖5 －1

6 結(jié)論

計(jì)算機(jī)網(wǎng)絡(luò)作為業(yè)務(wù)數(shù)據(jù)的承載介質(zhì),其分業(yè)務(wù)類型進(jìn)行模塊化和功能性區(qū)分,對(duì)于制造型企業(yè)來(lái)說(shuō),具有以下四點(diǎn)重要意義：

①可以隨著業(yè)務(wù)擴(kuò)展而輕松擴(kuò)容,不必再顧慮因統(tǒng)一架構(gòu)模式導(dǎo)致的“牽一發(fā)而動(dòng)全身”的尷尬局面。

②可以將網(wǎng)絡(luò)故障和安全問(wèn)題控制在一個(gè)較小的范圍內(nèi),即一個(gè)網(wǎng)絡(luò)模塊出現(xiàn)問(wèn)題,不會(huì)影響到其他網(wǎng)絡(luò)模塊的正常運(yùn)轉(zhuǎn)。

③能夠?yàn)榫W(wǎng)絡(luò)安全技術(shù)架構(gòu)構(gòu)建提供一個(gè)良好的基礎(chǔ),可以通過(guò)顆粒度分級(jí)的方式從區(qū)域邊界、區(qū)域內(nèi)部的邏輯分區(qū)等方面逐層構(gòu)建網(wǎng)絡(luò)安全,打造多層次防御能力。

④模塊化網(wǎng)絡(luò)的設(shè)計(jì)與應(yīng)用可以更加貼近業(yè)務(wù),可以從業(yè)務(wù)角度出發(fā)自由定義網(wǎng)絡(luò)的高可用能力級(jí)別,實(shí)現(xiàn)最佳的投入產(chǎn)出比。

總體來(lái)講,模塊化網(wǎng)絡(luò)相較傳統(tǒng)網(wǎng)絡(luò)架構(gòu)來(lái)說(shuō),具備更高的容錯(cuò)能力、更強(qiáng)的擴(kuò)展能力、更佳的安全防護(hù)能力和更好的業(yè)務(wù)支撐能力,也是計(jì)算機(jī)通信網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)和行業(yè)成果,為制造型企業(yè)提供了行業(yè)的最佳實(shí)踐。