天鐵熱軋OA系統(tǒng)網(wǎng)絡(luò)的組建與改進

楊驍

（天津天鐵冶金集團熱軋板有限公司，河北涉縣056404）

天鐵熱軋OA系統(tǒng)網(wǎng)絡(luò)的組建與改進

楊驍

（天津天鐵冶金集團熱軋板有限公司，河北涉縣056404）

簡述了天鐵熱軋OA系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、硬件需求及網(wǎng)絡(luò)組建過程。對系統(tǒng)組建調(diào)試過程中出現(xiàn)的問題進行了分析，對應(yīng)用中出現(xiàn)的問題進行了方案改進與系統(tǒng)升級，保證了天鐵熱軋OA網(wǎng)絡(luò)的順利運行，提高了辦公效率。

辦公自動化；網(wǎng)絡(luò)通信；交換機；服務(wù)器

1 引言

天鐵熱軋板公司自2011年引進了北京金和軟件公司開發(fā)的OA系統(tǒng)（office automation，OA），即辦公自動化，是指利用現(xiàn)代化的網(wǎng)絡(luò)技術(shù)進行辦公，具有簡單易用、功能完善、升級維護方便等優(yōu)點。OA系統(tǒng)順利應(yīng)用依托計算機、應(yīng)用軟件、網(wǎng)絡(luò)通信3個最基本的要素，其中計算機、應(yīng)用軟件就位后，網(wǎng)絡(luò)的組建與通信成為制約OA系統(tǒng)運行的關(guān)鍵因素，根據(jù)熱軋辦公網(wǎng)絡(luò)需求與辦公地點分布，合理規(guī)劃網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)鋪設(shè)，為熱軋辦公自動化的順利運行奠定了堅實的基礎(chǔ)。

2 OA系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

天鐵熱軋OA網(wǎng)絡(luò)系統(tǒng)是由樹形和星形混合構(gòu)成的一個拓撲結(jié)構(gòu)。其中OA網(wǎng)絡(luò)系統(tǒng)的核心交換機是CISCO的c3560系列的核心交換機，通過防火墻和因特網(wǎng)連接，和公司生產(chǎn)網(wǎng)之間由CISCO的FWSM防火墻進行阻隔。2臺OA服務(wù)器，其中WEB登錄服務(wù)器直接連接c3560，數(shù)據(jù)庫服務(wù)器通過FWSM以后連接進公司生產(chǎn)網(wǎng)的核心交換機6509。具體拓撲結(jié)構(gòu)見圖1。

2.1 OA系統(tǒng)服務(wù)器

OA系統(tǒng)使用2臺服務(wù)器，1臺是 OA系統(tǒng)WEB登陸服務(wù)器，主要運行客戶端登錄服務(wù)，包括局域網(wǎng)登錄和Internet登錄；1臺是OA系統(tǒng)數(shù)據(jù)庫服務(wù)器，主要存儲OA系統(tǒng)數(shù)據(jù)和接收公司MES系統(tǒng)相關(guān)數(shù)據(jù)。

2.2 OA系統(tǒng)網(wǎng)絡(luò)設(shè)備選型

組建一個網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)備主要由防火墻、路由器和交換機等組成，現(xiàn)代網(wǎng)絡(luò)技術(shù)高速發(fā)展，第三層交換機已經(jīng)具備路由器的大部分功能，甚至在某些方面更勝過傳統(tǒng)的路由器，考慮到公司狀況，故在設(shè)備中沒有選用路由器，選擇了交換性能更加強大的第三層交換機。

2.2.1 防火墻

從網(wǎng)絡(luò)的安全考慮，連接Internet辦公網(wǎng)絡(luò)防火墻必不可少，同時防火墻需要實現(xiàn)NAT（網(wǎng)絡(luò)地址映射）以實現(xiàn)網(wǎng)絡(luò)內(nèi)的共享外網(wǎng)IP來上網(wǎng)。

PIX是CISCO的硬件防火墻，硬件防火墻具有工作速度快，使用方便等特點。 PIX有很多型號，并發(fā)連接數(shù)是 PIX防火墻的重要參數(shù)。其中PIX525是支持280000并發(fā)連接數(shù)，性能優(yōu)秀，所以選用思科PIX 525作為系統(tǒng)防火墻。

圖1 熱軋OA網(wǎng)絡(luò)系統(tǒng)圖

2.2.2 第三層交換設(shè)備

根據(jù)公司部門或者是系統(tǒng)需求，我們可基于VLAN對網(wǎng)絡(luò)進行管理。相同的VLAN間，PC可以互訪，不同VLAN間PC如果要實現(xiàn)互訪，就必須要第三層交換設(shè)備來實現(xiàn)，例如路由器或者第三層交換機。

WS-C3560G-48TS-S具有48個以太網(wǎng)10/ 100/1000端口和4個基于SFP的千兆位以太網(wǎng)端口，安裝了標準多層軟件鏡像（SMI），提供基本RIP和靜態(tài)路由，可升級到全動態(tài)IP路由，不僅第三層交換性能可以滿足公司需求，同時可升級全動態(tài)IP路由功能，也為今后網(wǎng)絡(luò)的擴展性提供了保障。

2.2.3 第二層交換機

CISCO ME 2400系列的軟件采用了專門用于以太網(wǎng)接入交換機的用戶－網(wǎng)絡(luò)接口/網(wǎng)絡(luò)－節(jié)點接口（UNI/NNI）。由于軟件可以識別每個端口的應(yīng)用，它能夠提供許多強大的默認操作。多個客戶共享一臺設(shè)備時必須保證客戶彼此之間不受影響，CISCOME 2400系列針對這一問題提供了UNI/NNI、專用VLAN特性。UNI/NNI特性的電路型操作能夠使客戶的流量彼此隔開。

CISCO ME 2400系列交換機擁有訪問控制列表（ACLs）和802.1x等特性，能夠識別那些被允許在交換機上傳輸流量的用戶和分組，可過濾所有進入的流量，確保只有合格的流量才能通過交換機。

基于安全的考慮，OA網(wǎng)絡(luò)采用CISCO ME 2400系列交換機作為接入層的首選交換機。

2.3OA系統(tǒng)VLAN劃分

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”，是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

在熱軋OA系統(tǒng)網(wǎng)絡(luò)中，共劃分3個VLAN，OA系統(tǒng)VLAN表見表1，VLAN3是服務(wù)器VLAN，只運行WEB服務(wù)器、OA數(shù)據(jù)庫服務(wù)器和以后有可能安裝的病毒防護服務(wù)器；VLAN5是普通OA客戶端，能通過局域網(wǎng)訪問OA系統(tǒng)的各個服務(wù)器，但是不能訪問Internet；VLAN7也是OA客戶端，但是除了能訪問OA系統(tǒng)各個服務(wù)器外，還可以訪問Internet。OA系統(tǒng)網(wǎng)絡(luò)的VLAN可以在以后的應(yīng)用中進行擴展。

表1OA系統(tǒng)VLAN表

2.4 主要網(wǎng)絡(luò)設(shè)備功能分擔(dān)

2.4.1 CISCO 3560交換機

CISCO 3560交換機在OA網(wǎng)絡(luò)中是作為核心交換機的，起到了重要作用，主要是提供劃分子網(wǎng)、路由交換、基于訪問控制列表的安全配置等功能。2.4.2 CISCO PIX525防火墻

CISCO PIX525是連接OA系統(tǒng)網(wǎng)絡(luò)和Internet的一道防火墻。

要訪問Internet必須要有公網(wǎng)的IP地址，電信運營商一般只提供很少的IP地址（通常1到3個），如果上網(wǎng)的PC過多，就無法滿足需要，這是可以對內(nèi)網(wǎng)和公網(wǎng)的IP地址進行映射（NAT），這時防火墻的重要功能。熱軋OA中使用了3個公網(wǎng)IP地址，其中一個作為防火墻的公網(wǎng)地址；一個是OA系統(tǒng)WEB服務(wù)器對外映射的公網(wǎng)地址，以實現(xiàn)在其它地方通過Internet對熱軋OA系統(tǒng)進行訪問；最后一個地址就是作為熱軋OA客戶端共用的公網(wǎng)IP地址來進行Internet訪問。

為減少網(wǎng)絡(luò)攻擊和內(nèi)網(wǎng)對公網(wǎng)的影響，只有相對應(yīng)的IP段和網(wǎng)絡(luò)協(xié)議可以通過防火墻，只有HTTP、SMTP等常用協(xié)議可以正常訪問Internet。

2.4.3 CISCO6509的FWSM模塊

FWSM是CISCO6509帶的一個防火墻模塊，除了配置方法有區(qū)別外，可以看作一個PIX525。它是連接在OA系統(tǒng)和公司生產(chǎn)網(wǎng)絡(luò)之間的一個防火墻，主要保證OA系統(tǒng)讀取相關(guān)的生產(chǎn)數(shù)據(jù)并且要保證生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全。其主要也是通過NAT和ACL（訪問控制列表）來實現(xiàn)的，只允許OA數(shù)據(jù)庫服務(wù)器使用特定的協(xié)議訪問公司生產(chǎn)網(wǎng)絡(luò)特定的IP地址。

3 網(wǎng)絡(luò)組建過程中出現(xiàn)的問題

3.1 FWSM的配置和調(diào)試

FWSM是CISCO用在6500系列交換機上的防火墻模塊，在OA系統(tǒng)上的應(yīng)用是公司第一次使用，缺乏配置經(jīng)驗。后來經(jīng)過查閱相關(guān)資料和上機實驗發(fā)現(xiàn)FWSM的端口都是虛擬端口，不像其他防火墻都是配置物理端口。做完NAT和ACL配置后順利通過測試。

3.2 CISCO PIX525的配置和調(diào)試

PIX525作為Internet和OA系統(tǒng)之間的橋梁至關(guān)重要，是通過Internet訪問OA和OA客戶端訪問Internet的關(guān)鍵。在調(diào)試過程中，OA內(nèi)網(wǎng)一直無法訪問防火墻端口，排錯后發(fā)現(xiàn)是防火墻對外端口發(fā)生了IP地址沖突，通過對沖突IP進行修改，OA內(nèi)網(wǎng)可以順利訪問Internet，通過Internet也可以順利訪問WEB服務(wù)器。

4 OA系統(tǒng)網(wǎng)絡(luò)在應(yīng)用中的改進

4.1 服務(wù)器架構(gòu)進行改進

OA系統(tǒng)服務(wù)器在設(shè)計時是2臺，1臺是WEB登錄服務(wù)器，1臺是數(shù)據(jù)庫服務(wù)器。這種基于登錄和數(shù)據(jù)分開的設(shè)計是防止在登陸擁擠的情況下服務(wù)器因為負載過重而導(dǎo)致當(dāng)機，在大型的門戶網(wǎng)站和游戲服務(wù)器經(jīng)常會出現(xiàn)這種情況。但是熱軋在實際使用過程中，通常登錄終端在60～80之間，這種負載遠遠達不到服務(wù)器的承載上限，所以會造成服務(wù)器資源的浪費。

通過對OA系統(tǒng)進行改造，把WEB登錄和數(shù)據(jù)庫做在了一臺服務(wù)器上，節(jié)省了一臺服務(wù)器，并對OA服務(wù)器的硬盤系統(tǒng)進行RAID0+1的升級，不僅節(jié)省了備件費用，同時降低了系統(tǒng)故障時間。

4.2 網(wǎng)絡(luò)架構(gòu)的升級

OA系統(tǒng)在設(shè)計時，網(wǎng)絡(luò)遍布全公司的管理崗位，并采用了VLAN的方式進行數(shù)據(jù)分流，這對日后的系統(tǒng)擴展打下了基礎(chǔ)。

在實際使用過程中，VLAN進行了兩方面擴展，增加了VLAN8和VLAN9。VLAN8是視頻監(jiān)控VLAN，在有OA網(wǎng)絡(luò)的地點，只要接入VLAN8就能查看現(xiàn)場的視頻數(shù)據(jù)，對專業(yè)管理人員來說，大大提高了工作效率。VLAN9是后勤VLAN，增加了公司園林管理和食堂收費系統(tǒng)，有OA網(wǎng)絡(luò)的地點就可以查看食堂的計費數(shù)據(jù)和園林管理數(shù)據(jù)，方便了后勤人員，減少了工作量。

5 結(jié)束語

天鐵熱軋OA網(wǎng)絡(luò)的建設(shè)保障了辦公自動化系統(tǒng)的順利運行，加快了熱軋信息化建設(shè)的步伐，提高了辦公效率，提升了信息傳遞的實效性，降低了辦公成本，為熱軋適應(yīng)高效的現(xiàn)代化工作節(jié)奏奠定了堅實的基礎(chǔ)。

Construction and Improvement of OA System Network in Tiantie Hot Rolling Mill

YANG Xiao
(Plate Hot Rolling Co.,Ltd.,Tianjin Tiantie Metallurgy Group,She County,Hebei Province 056404,China)

The paper roughly explains the network structure,hardware requirement and network construction process of OA system for Tiantie Hot Rolling Mill.The problems occurring during the process of system construction and commissioning are analyzed.Aiming at these problems,plan improvement and system upgrading are carried out.The smooth running of Tiantie Hot Rolling OA network is ensured and office efficiency improved.

office automation;network communication;switch;server

10.3969/j.issn.1006-110X.2014.06.014

2014-06-08

2014-06-27

楊驍（1983—），男，工程師，主要從事網(wǎng)絡(luò)管理和系統(tǒng)維護工作。