國際化企業的網絡管理中心規劃研究

湘潭電機股份有限公司 劉 浩

1 現狀及目標

過去幾年里，信息化建設的工作重點主要側重于應用系統的建設，對網絡建設并沒有太大的投入，更多的只關注其連通性以及日常管理。網絡的可管理性不強，數據中心內服務器大部分是直接連接公司內網核心交換機上，出于對端口數量的考慮，也有幾臺是通過較低端交換機接入核心交換機上，對于安全、管理、可擴展性和易維護性等方面的考慮較少，給數據中心帶來了不小的安全隱患。

如何高效、有效地利用網絡資源、優化網絡架構，使核心網、接入網具有更高的可靠性和可控性，同時，使得網絡結構與布局在結合實際業務分布的前提下更加合理。結合公司現狀，我們需要設計一個全新的、基于純IP技術的網絡平臺來滿足集團網絡的需求變化。

2 網絡中心的設計理念

在網絡整體設計中，采用分層、模塊化的網絡設計結構，并嚴格定義各層功能模型，不同層次關注不同的特性配置，將網絡的可靠性、安全性、先進性、易維護性、可擴展性發揮到最好，從而最終實現建設完善和先進的數字化平臺的目的。

根據信息化網絡的建設標準，可采用標準的分層設計或分功能區設計來部署網絡中心。按分層設計來劃分網絡的話，可分為三層：核心層、匯聚層、接入層（含無線）；按功能區域來劃分，可分為數據中心管理區、服務器接入區、園區網接入區、DMZ區、網絡出口區、分支機構接入區、移動外出接入區等。

3 網絡中心規劃設計

4 設計說明

核心模塊是整個平臺的樞紐，一旦核心模塊出現異常而不能及時恢復的話，會造成整個平臺業務的長時間中斷，影響巨大。因此，核心交換機需具備高性能處理能力，以應對大量的突發流量。為保障其可靠性及不間斷運行，考慮雙機部署，兩臺核心交換機通過10GE端口進行互聯，利用虛擬化堆疊技術虛擬成一臺。這樣不僅提供整個園區網絡的快速收斂，而且還能實現數據轉發的負載分擔，減輕單條鏈路的數據傳輸壓力。核心交換區采用“萬兆到核心，千兆接入”的設計思路：核心模塊應避免部署訪問控制策略（如ACL、路由過濾等），保證核心模塊業務的單純性與松耦合，便于下聯功能模塊擴展時，不影響核心業務，同時提高核心模塊的穩定性；在核心交換機上部署網絡流量分析模塊，可以實時感知，作為網絡優化及調整的依據。對匯聚層，考慮雙機部署與虛擬化堆疊技術，提升設備性能、提高設備的可靠性，將故障恢復時間控制在50ms內。

服務器接入交換機部署雙機，并采用IRF虛擬化，將兩臺物理設備虛擬化為一臺邏輯設備，實現跨設備鏈路捆綁，與核心交換機配合實現端到端IRF。此外服務器雙網關配置成雙活模式（Act ive-Act ive）；各服務器接入交換機上部署Sec Bl ade FW插卡，用于本區域與其它區域的訪問控制策略部署。企業應用區部署FW+IPS+LB插卡；服務器網關部署在接入交換機上，防火墻插卡與接入交換機以及核心交換機之間運行OSPF動態路由，實現FW的雙機熱備。為服務器虛擬化提供強有力的保障。

分支機構、合作伙伴、移動用戶的接入需要制定不同的解決方案來進行管理。針對以上不同接入用戶，我們采用安全接入網關與安全管理平臺相結合的方式設計接入方案：針對大型分支機構，可采用運營商租光纖的方式；對于小型分支機構，采用IPsec VPN接入訪問；而移動出差人員，可繼續通過SSL VPN方式接入；國外的分公司，則可考慮通過香港出口專線的方式或SSL VPN方式接入。詳細接無線需實現車間和生產區不適合布置有線的區域無線覆蓋，解決車間布線困難，和布線后信息點難移動的麻煩。同時企業可以和移動網絡運營商合作實現智能終端軟件的開發實現并推送到手機，實現高層領導通過移動終端接入運營商的3G網絡，處理辦公事務。還可以在辦公樓、食堂、會議室等地布置外網無線，實現集團內部的網絡全覆蓋，公共區域的無線覆蓋采用免費的形式為員工和客戶提供上網功能，但限制單個用戶帶寬，保證園區網核心業務數據不受影響。總體設計采用“無線控制器+瘦AP”的組網模式，不方便布置電源的地方可以在樓層配置帶POE口的交換機。無線控制器采用插卡的形式部署部署在核心交換機上，通過核心的可靠性保證無線控制器的可靠性。通過接入認證、Por t認證來保證無線的安全。

企業園區網建設主要是為企業的生產、研發、辦公等業務提供信息化平臺。如何控制企業網絡各應用（數據流）之間相互隔離，是網絡前期規劃的一個重點。結合單位的業務需要和使用情況，最后決定使用VLAN+ACL的方式。我們可以把視頻數據、研發數據、辦公數據等不同的數據流放在不同的VLAN中，通過QOS設置他們的優先級，做到重要的、及時性要求高的數據先流通，實現企業應用（數據流）的走向，同時可以使用ACL規則限制各業務間的互訪。

5 核心交換機的選擇

我們初步擬定使用性價比最高的H3C的設備。經調研了解到，用得最多的是S12508和S12518兩種型號的交換機，由于兩款交換機性能高，且適應我公司網絡建設的需求，故今后的網絡建設中，擬在這兩款中選擇任意的一款來進行網絡中心的改造升級。

6 網絡中心運維管理設計

國際化企業網絡管理中心的建設，網絡的可管理性是衡量該網絡管理中心的重要指標。隨著集團的國際化進程越來越快，網絡規模越來越大，如何對網絡進行有效的統一管理，是擺在網絡管理員面前的一個重要課題，經過對各大網絡廠商管理軟件綜合對比，決定采用H3C IMC的智能管理系統。

IMC智能管理中心是以業務管理和業務流程模型為核心，采用面向服務(SOA)的設計思想，為我們提供網絡業務、資源和用戶的融合管理解決方案，實現網絡業務的端到端管理，同時以全開放的、組件化的架構原型，向平臺及其承載業務提供分布式、分級式交互管理特性;并為業務軟件的下一代產品提供最可靠的、可擴展的、高性能的業務平臺。

IMC智能管理平臺不僅為系統各業務組件的集成提供了包括統一權限控制、SOA框架、統一操作日志管理、各組件License控制、分布式安裝等基本功能，而且還為用戶提供了包括操作員管理、資源管理、拓撲管理、性能管理、告警管理、配置管理、Sysl og管理、及操作日志管理等網絡管理功能，以及資產管理、VLAN管理、ACL管理、虛擬化網絡管理、安全控制中心、來賓接入管理、報表管理等基礎業務功能。

7 總結

新規劃后的網絡中心采用分層、模塊化的網絡設計結構，并嚴格定義各層功能模型，不同層次關注不同的特性配置，將網絡的可靠性，安全性，先進性， 易維護性，可擴展性發揮到最好，使辦公人員可以隨時隨地處理與業務相關的任何事情。單位信息資源高度共享，工作更加輕松有效，整體運作更加協調，從而最終實現建設完善和先進的數字化平臺的目的 ，我們相信新的企業網絡中心規劃會為企業的國際化進程提供有力保障。