青州卷煙廠網絡架構設計

王海濤 劉新 傅鵬 孫曉瑩

摘要：隨著網絡和信息技術的高速發展普及，各種網絡應用需求的爆發式增長，促使企業建立一個設計規范、功能完備、性能優良、安全可靠、易于擴展、易于維護的內部網絡系統平臺，為企業信息化建設提供支撐。基于此，筆者從青州卷煙廠技術改造需求出發，根據建設原則、網絡拓撲、業務需求等設計了整體網絡架構，并給出了符合企業實際的網絡建設方案。

關鍵詞：網絡架構;網絡拓撲;網絡安全

0引言

青州卷煙廠正處于技術改造穩步推進過程中，如何在當前數字化轉型升級的關鍵時期抓住技改機遇夯實數字化基礎，對于今后智能工廠建設尤為重要。而穩定、高效、泛在的網絡，又是數字化轉型升級基礎中的關鍵一環。本文基于青州卷煙廠網絡建設需求，提出了網絡架構設計方案，同時針對網絡安全性給出解決方案。

1青州卷煙廠網絡需求分析及建設原則

1.1網絡需求分析

企業信息網絡承載從生產裝備、集中控制、生產管控到企業管理的所有企業運營數據的傳輸，穩定、安全、高效、高容的企業信息網絡，對于企業智能工廠建設極為重要。因此，生產制造企業網絡建設首先要考慮的是通過設備和線路冗余確保穩定可靠，其次是數據傳輸的安全性保障，再次是保障數據及時性的低網絡延時技術，最后是滿足多樣數據傳輸的高帶寬和滿足廣連接的泛在網絡。

1.2網絡建設原則

為滿足當前信息網絡需求及未來智能工廠建設需求，青州卷煙廠網絡架構設計應具備穩定、安全、先進、開放、高效、高容、便捷的技術特征。

（1）穩定性：采用成熟且先進的技術，關鍵設備冗余、雙鏈路冗余。

（2）安全性：采用自主可控設備，配備相應的網絡安全防護設備和軟件，保障數據傳輸安全。

（3）先進性：采用業界先進技術和設備，能夠滿足青州卷煙廠未來5到10年的網絡需求。

（4）開放性：采用標準協議，能夠與其他網絡無障礙的互聯互通。

（5）高效性：采用成熟先進的傳輸技術，信息傳遞實時性強。

（6）高容性：帶寬能夠滿足多樣化數據的傳輸要求，并能夠覆蓋企業所有區域和所有可聯網設備。

（7）便捷性：網絡擴展運維簡便，能夠滿足全廠網絡的一體化運維要求。

2青州卷煙廠網絡架構設計

2.1網絡架構總體設計

青州卷煙廠網絡總體采用星型網絡架構設計，按照功能劃分為管理網、工控網和安防網，如圖所示。所有網絡核心及接入交換機采用網絡虛擬化技術實現冗余配置，所有光纖鏈路雙線冗余，且所有交換機均支持SDN技術，為后續一體化網絡管控建設提供技術支撐，滿足企業未來網絡擴展需求。

2.2網絡架構詳細設計

2.2.1管理網絡

（1）有線網絡。滿足當前及未來快速增長的網絡帶寬需求，按照星型拓撲設計，建設主干網40G、接入層10G、千兆到終端的廠區有線網絡。數據中心機房內部網絡采用兩層扁平化設計，實現核心層與接入層40G互連、10G光口到服務器設備，并與辦公網、安防網實現40G互連。

（2）無線網絡與無線定位。建設覆蓋全廠的Wi-Fi6無線網絡，根據應用劃分不同的信道和頻段，減少不同區域間信號的干擾，并通過用戶賬戶和移動端MAC地址綁定，實現智能化無線網絡管理。采用與無線AP結合的部署方式，與無線網絡同步建設UWB（超寬帶）定位系統。

2.2.2工控網絡

工控網獨立組網，采用工業以太網雙環網架構和工業交換機，分為管理數據環網和控制數據環網。兩個環網核心10G互聯，并通過管理數據環網核心與園區核心10G相連。雙環網骨干層10G互連，接入層千兆上連，10/100/1000M自適應到終端設備。

2.2.3安防網絡

為滿足安防數據傳輸大帶寬和低延時的雙重要求，安防網獨立組網，與廠管理網絡同步部署，實現核心層40G互連、接入層10G上連、千兆到終端。

2.2.4公共通信網絡

將廠區外的移動通信網、公共電話網、互聯網、有線電視網等公共通訊經廠區弱電管網工程接入新建數據中心機房，實現向用戶提供語音、數據、視頻、多媒體等多種業務的綜合接入服務。

2.3網絡安全詳細設計

按照《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）不低于第二級要求，設計建設覆蓋全廠所有信息化設備和信息系統的國產一體化智能網絡安全系統，實施有針對性的、多層次的網絡安全防控措施。

2.3.1管理網安全防護

在管理網的互聯網出口部署防火墻、抗DDos攻擊、IPS、防病毒網關、上網行為管理設備，在管理網絡核心旁路部署聯網準入控制、流量分析殺毒、數據庫及日志審計、雙因子認證系統和VPN，實現全過程防護。

在新建數據中心機房核心網絡邊界部署防火墻，旁路部署運維審計系統，虛擬化集群中部署微隔離防護系統，生產管理服務器集群網絡旁路部署日志審計、數據庫審計，保障核心數據和應用的安全。

2.3.2工控系統安全防護

在各工控子網邊界部署工業防火墻，旁路部署IDS、工業日志審計、工業數據庫審計，工控各終端部署安全衛士軟件，通過工控安全管理平臺進行統一分析和風險預警。

2.3.3安防網安全防護

在安防網絡邊界部署防火墻，內部串接防涉密安全網關，并部署IPS、日志審計系統，對安防設備訪問操作進行全過程日志記錄，實現全事件追溯等。

2.3.4網絡安全管理平臺

建設一體化網絡安全管理平臺和網絡安全態勢感知系統，將各子網的安全設備數據統一匯總分析，結合態勢感知系統結果進行安全態勢實時展現、風險報警快速定位和設備聯動處置，實現全維度、全過程、全方向的網絡安全防護。

3總結

本文闡述青州卷煙廠網絡架構設計目的，提出青州卷煙廠整體網絡架構設計方案，介紹了每個子網的建設內容。通過分析得出：這種網絡架構兼顧穩定、安全、先進、開放、高效、高容、便捷等原則，同時能夠支持青州卷煙廠未來網絡發展。此方案仍處于設計驗證研究階段，在具體實施需要結合青州卷煙廠發展實際，客觀的進行完善。

參考文獻

[1]安凱強，湯順心，李潘月，祝雅卿，嚴展鵬.智能工廠的工業信息網絡架構設計與實現.信息與電腦，2019年第5期.

[2]彭青梅，鄭平輝.基于私有云的企業三層網絡架構設計.網絡安全技術與應用，2017年第2期.