三層網絡架構要點及設計方案

羅柳斌

一、柳工現有二層網絡架構

柳工現有信息系統全面覆蓋了企業的產品開發、供應鏈管理、生產制造和銷售服務四大方面主體活動，成為柳工生產活動中重要的支撐。

目前柳工信息網是一個大型的二層網絡架構：

1、核心區域：兩臺Cisco4506作為整個網絡的核心，分別負責廠區網絡、研究院網絡、數據中心、互聯網和異地事業部廣域網的接入；

2、園區區域：所有部門及下屬公司的計算機都劃分在幾個業務VLAN內，使用Cisco2960和2950交換機作為接入層設備；

3、異地事業部：租用不同運營商線路接入至數據中心機房的Cisco3550交換機上；

4、服務器區域：使用6臺Cisco2960G作為接入，使用雙鏈路上聯核心交換機；

5、互聯網區域：3條不同運營商的線路匯聚到一臺Cisco2960上。外部SSL-VPN用戶通過互聯網鏈路接入深信服VPN設備直接撥入到內網。內部訪問互聯網則通過ISA防火墻后從三個互聯網出口出去。

二、層網二絡向三層網絡轉變的必要性

2.1網絡拓撲

柳工目前網絡是一個以二層局域網交換為主的網絡，缺少必要的三層路由規劃和網絡安全規劃?，F有網絡架構不能滿足應用系統未來的需求，不足以支撐未來業務的發展。

同時，缺乏匯聚交換機和光纖鏈路資源，使得大量的接入交換機采用級聯的方式實現上聯。這樣容易導致鏈路不穩定和鏈路帶寬得不到保障。因此需要優化網絡拓撲，合理選擇匯聚節點，變二層網絡為更加穩定的三層網絡。

2.2明確網絡各功能區域

網絡系統需要按功能進行區分：如廣域網、生產網、研發網絡和數據中心等。柳工現有的網絡結構不具備真正的廣域網、數據中心、研發網絡和生產網絡等功能劃分。因此需要明確網絡各功能區域，實現分級分域安全防護。

2.3 IP地址/VLAN規劃

柳工目前使用一個B類地址和若干個C類地址，網絡中進行了有限的VLAN劃分。但由于VLAN規劃不細致，造成廣播域過大，給網絡的穩定運行帶來了隱患。

柳工未來的IP地址分配建議采用DHCP動態分配輔助靜態部署。服務器設置靜態地址，客戶機動態獲取IP。動態分配由于地址是由DHCP服務器分配，便于集中化統一管理。每一個接入主機都能通過非常簡單的操作就可以獲得正確IP地址、子網掩碼、缺省網關、DNS等參數，在管理的工作量上比靜態地址要減少很多。非常適合大型網絡的需求。

綜上所述，二層網絡架構轉變為三層網絡架構，勢在必行，否則將不足以支撐日益擴大的網絡規模和業務發展需求。

三、整體設計方案

3.1 模塊劃分

通過參考和借鑒目前先進的網絡設計理念和其他企業網絡設計經驗，依據全面性原則和模塊化設計原則，將整個網絡總體框架劃分為六大網絡區域：即核心交換區、園區網、數據中心、廣域網、研發網和互聯網。同時IP地址和VLAN規劃貫穿在各網絡區域的設計中。

3.2差異化分析

采用差異化分析的方式來確定網絡中的不足之處，提出網絡優化的方法和所能夠達到的目標。

對網絡各組成部分具體分析，具體如下：

3.2.1 園區網

現狀：園區網核心設備超負荷運行，核心交換機4506CPU負荷超70%；園區網是一個大型二層網絡，終端用戶基本分布在VLAN1中，過大的廣播域給網絡的穩定帶來潛在風險。接入層設備大量采用級聯方式上連核心，部分接入交換機帶寬利用率僅有30%。

規劃目標：提升園區網核心設備處理能力，從而提高網絡整體的處理能力。調整網絡層次，變兩層網絡為三層網絡架構，新增合理的匯聚節點。用動態路由協議規劃核心層和匯聚層的路由，提供快速收斂和高可擴展性。

3.2.2 數據中心

現狀：數據中心網絡與園區網之間界線不清，存在很大的可用性，擴展性問題；同時缺乏數據中心安全防護措施。

規劃目標：搭建獨立的數據中心網絡架構，建設數據中心的整體安全防護架構。

3.2.3 廣域網

現狀：廣域網缺乏冗余鏈路。廣域網是一個二層交換網，沒有三層路由，不能對重要業務做QOS保障，并且網絡設備比較陳舊。

規劃目標：增加冗余鏈路保證廣域網的穩定可靠性。規劃廣域網路由，用專用路由器代替現有設備，通過有關技術手段保證重要應用數據的傳輸。

3.2.4 研發網絡

現狀：缺乏獨立的研發網網絡架構，缺乏對研發網的安全防護措施。

規劃目標：搭建獨立研發網網絡架構，在組網方式上采用物理隔離，在傳輸過程中采用邏輯隔離。建立研發網的安全防護架構，增強網絡的高安全性，同時保證業務數據的安全管理。

3.2.5 互聯網

現狀：缺乏細化的互聯網管理規范，互聯網安全防護設備陳舊且防護手段單一。

規劃目標：完善全網的互聯網出口，加強安全防護措施。完善統一安全控制策略和互聯網訪問規范。

3.2.6 IP地址和VLAN

現狀：IP地址分配VLAN劃分精細度不夠，用戶主要集中在VLAN1中，廣播域太大。IP地址主要采用靜態分配方式，管理缺乏靈活性。

規劃目標：統一IP地址管理，優化IP分配和VLAN劃分規范。

四.實施規劃

4.1園區網

按照三層架構進行規劃設計，合理設置匯聚節點。優化接入層設備的接入，最終形成完善的三層架構園區網。網絡設備的更新換代，用高性能的核心設備替換原有的核心交換機，提升園區網的整體處理能力。加強對接入層設備的集中管理，逐步替換不可網管的接入設備。以園區網為主要承載平臺的統一無線系統部署。

4.2數據中心

增設數據中心核心交換機，建設數據中心整體安全防護系統；增設數據中心接入交換機，承擔服務器的接入。

4.3廣域網

增設廣域網核心路由器和廣域網防火墻，增加廣域網冗余鏈路，完成異地事業部接入路由器的改造。

4.4研發網

增設研發網核心交換機和研發網邊界防火墻，更換研發網的接入交換機，實現基于身份的網絡準入控制。

4.5互聯網

完成互聯網邊界防火墻的改造、互聯網代理系統改造和ISP鏈路的動態負載，同時優化互聯網的出口管理（上網行為管理，流量監控）。

4.6 IP地址規劃

已使用網段的地址，在新的規劃中不再使用；啟用新的IP地址段：172.17.0.0/16共65535個IP地址劃分為255個C類的IP子網，分配給廣域網，局域網和數據中心使用；啟用IP地址段：10.0.0.0/24，分配給特殊需求的IP，如：雙機熱備系統的心跳IP。該段地址不參與路由，并且需要使用VLAN隔離。啟用IP地址段：10.1.0.0/16，分配10.1.1.0/24給VPN地址池，其余保留給未來的外聯網絡。

5.總結

通過以上方案的改造，柳工把基于IP協議的基礎網絡平臺，進一步建設成為更安全、可靠、易管理、可擴展、成本合理的綜合通訊服務平臺。隨時隨地服務于員工、合作伙伴和客戶。保證業務應用和通訊的永續性，從而整體提高柳工的生產力和核心競爭力。