资源描述
i
Doc. Code
轻量级制造企业园区解决方案
技术建议书- 基础网络
HUAWEI TECHNOLOGIES CO., LTD.
第42页
轻量级制造企业园区解决方案技术建议书
文档密级:机密
版权所有 © 华为技术有限公司 2012。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:
深圳市龙岗区坂田华为总部办公楼 邮编:518129
网址:
Email:
support@
目录
1 概述 4
1.1 目的 4
1.2 文档范围及结构 5
2 项目背景 6
2.1 某轻量级制造企业介绍 6
2.2 项目范围 7
3 总体需求 9
3.1 轻量级制造企业特点 9
3.2 密集办公的信息安全需求分析 11
3.3 客户需求总结 12
4 总体方案设计 13
4.1 设计原则 13
4.2 设计思想 13
4.3 总体方案设计 17
5 基础网络方案 18
5.1 网络需求 18
5.2 组网架构 20
5.2.1 整体架构介绍 20
5.2.2 办公及研发区域网络设计 22
5.2.3 飞机制造车间网络设计 23
5.2.4 配件制造车间网络设计 24
5.3 网络隔离 25
5.3.1 二层VLAN隔离 26
5.3.2 三层ACL隔离 27
5.4 QoS规划 27
5.5 可靠性设计 28
5.6 Internet访问 28
5.7 无线覆盖 29
5.7.1 组网设计 29
5.7.2 工程设计 36
5.7.3 网规报告(供参考) 39
5.8 推荐部署及选型 39
5.9 方案亮点 41
1 概述
1.1 目的
本文从技术角度,对轻量级制造企业信息化项目提出规划设计和建议:
1. 对轻量级制造企业信息化项目的信息系统进行总体设计,明确总体需求、设计原则和总体方案,界定需要建设的各个子系统;
2. 对各组成子系统进行详细设计,明确各子系统功能、组网方案、关键指标、部署建议和设备选型。
1.2 文档范围及结构
本文分五章,各个章节的内容简要介绍如下:
第一章:对全文进行概述,包括本文的目的,以及文档范围和结构等。
第二章:描述项目背景,包括轻量级制造企业信息化项目简介、项目范围等。
第三章:描述总体需求,包括各个子系统的设计需求。
第四章:描述轻量级制造企业信息化项目的总体方案设计,包括设计原则、逻辑架构。
第五章:分别详细描述了基础网络方案概述、组网方案、关键特性设计、设备选型和配置推荐、方案亮点等。
2 项目背景
2.1 某轻量级制造企业介绍
图2-1 某轻量级制造企业
随着我国低空空域管制的逐步放开(2010年11月14日国家正式颁布《关于深化我国低空空域管理改革的意见》),低空空域飞行的主角——轻型直升机必将成为未来交通工具的新宠,一批轻型飞机制造企业如雨后春笋般陆续出现,这其中绝大部分为轻量级制造企业。
某轻量级飞机制造企业成立于2010年12月,由德国某公司和中国某集团合资组建,主要以生产“超轻型直升飞机”、“轻型固定翼飞机”和“运动滑翔机”为主。公司航空产业园区位于德国某地,项目建设内容包括:通用飞机研发与制造基地、产品支援基地、销售与服务基地、通用航空飞行体验与培训、娱乐基地和国展中心五个板块,总投资159.3亿元,建筑面积166.3万平方米,分三期建设。目前一期占地2公顷,包括1座办公楼+2座生产车间,50人(含15名研发);后续二期计划占地7公顷,人员规模扩大到600-700人(含研发和管理人员100人),形成以管理大楼作为主业务中心,连接中国、德国各地分支机构,售后服务点的企业经营体系。
2.2 项目范围
目前该轻量级制造企业航空产业园区正处于一期建设阶段,首要定位为通用飞机研发与制造基地。
众所周知,飞机设计制造是一个复杂的系统工程,包括设计&制造两大阶段几十个业务环节。其中设计阶段包括:方案设计阶段、初步设计阶段和详细设计阶段,设计时需要产生大量设计图纸和数据;制造阶段包括工艺准备、工艺装备的制造、毛坯的制备、零部件的加工、装配和试飞检测,该过程需要对成千上万个零部件进行跟踪管理,大量测试数据等。轻量级制造企业采用数字化设计制造协同技术对整个飞机设计、生产制造过程进行管理,如CAD/CAM、Solidworks、飞机专业设计软件CATIA、BOM管理等,同时公司需要围绕飞机设计、制造建立一套信息化的办公系统,达到服务设计制造、缩短产品上市时间、提高企业竞争力的目的。
可以说,如果没有一个先进的信息化系统,就无从谈及飞机设计&制造。
图2-2 飞机研发制造信息化架构
目前客户业务系统和ICT基础设施建设严重滞后,已成为制约企业发展的重要因素,基本情况如下:
1) 企业工业园区布局—紧凑化轻量级园区:园区占地2公顷,1座办公楼,2座生产车间,3个IT room,每个面积在9平米左右;50名员工(含15名研发员工),研发和行政人员主要集中在办公楼混合办公,生产人员主要集中在生产车间和室外调试区作业。
2) 企业IT系统现状—业务系统多,物理服务器多:生产系统SAP (All in One)服务器,研发设计系统Solidworks (3D design)服务器,办公系统Email服务器、IP语音服务器、App服务器、Print服务器、Windows补丁服务器等、防病毒服务器等,所有服务器采用HP或IBM物理机(20台以上),研发人员使用小型图形工作站绘制图纸。另外,部分CT系统也采用服务器部署(2台linux server分别做企业出口路由器和出口防火墙)。目前这些ICT设备分散部署在不同的IT room中。
图2-3 业务系统多
3) 企业CT系统简单—研发、非研发系统无隔离:只有4台POE交换机连接所有IT设备,整网没有防火墙隔离措施。
因此,客户迫切希望建设一套先进的企业信息化系统,具体项目范围包括:
l 基础网络系统:承载某轻量级制造企业的研发设计、生产制造、行政办公等企业经营业务,以及园区安防、门禁一卡通、语音广播、信息发布等园区管理业务,要求网络平稳可靠运行;
3 总体需求
3.1 轻量级制造企业特点
轻量级制造企业初期规模比较小,办公区域面积有限,研发人员和非研发人员在同一区域办公;由于规模小,轻量级制造企业没有专门用于数据中心的大型机房,而是多个分散的、面积小的机房;因资金有限,轻量级制造企业对内容通话成本非常敏感;出于资金考虑,轻量级制造企业发的信息化系统建设分阶段实施,在企业发展初期,要求信息化系统满足基本的运营、办公等要求,但要求信息化系统能够满足企业后期快速发展扩大的要求。
分析客户信息可知,客户是一个典型的轻量级制造企业,且其位置偏远,园区内的运营商网络信号弱,可以总结出具有以下特点:
l 密集
ü 办公区域紧凑,研发、非研发员工办公区间靠近,没有物理隔离手段,存在研发核心资产泄密的隐患;
ü 数据中心机房面积小,网络、服务器、存储等设备需要分散部署在多个机房;
l 弹性可扩展
ü 维持IT架构的稳定可扩展,初期规划的IT架构要能够适应将来业务的快速增长
ü 要求网络、存储、核心服务器冗余配置,保证核心业务高可靠、可持续扩展
l 低成本
ü 初期在保证基本的网络互通、运算、存储、通信和信息安全的基础之上,最低成本投入;
ü 全员配置统一的智能终端,通过移动统一通信手段降低通讯费用
通过对客户的特点分析,可以看出其信息化系统建设面临如下挑战:
1) 挑战1:密集办公条件下的信息安全问题
l 办公区域紧凑,非研发终端接入研发区端口,造成研发核心信息资产泄密;
l 研发电脑通过厂区内的WIFI接入非研发区,外发核心信息资产。
2) 挑战2:如何建设一个低成本、可扩展的数据中心
l 数据中心空间小,存在安装、布线、搬迁和扩容方面的困难;
l 轻量级企业初期规模小,但发展速度快,如何既要保证数据中心初期投资不能太大,又要保证系统的可扩展性,且初期规划的时候数据中心就需要考虑可靠性组网,保证后期扩展时组网架构的稳定
3) 挑战3:如何解决园区移动信号弱和通信成本问题
l 园区人员流动性强,需要一个低成本的移动统一通信纠方案;
l 园区偏远,手机信号差,需要有一个替代手机通信的移动通信方案;
3.2 密集办公的信息安全需求分析
图3-1 轻量级企业密集办公
每一个创新型企业都把关键核心技术作为其生命线,制造型企业更是如此,因此防止内部员工泄密和外部非法用户访问成为制造型企业管理的重中之重。由于轻量级制造企业占地规模小,办公场所有限,导致研发、非研发人员都在一个区域日常办公,对研发核心技术的防泄密带来了巨大挑战,具体存在:
1. 密集办公场所同时存在研发网和非研发网,存在端口账号混用风险:非研发员工可随时将非研发终端接入研发网络接口,通过研发账户下载研发核心资产造成泄密,而没有任何物理上的约束(例如:安全门岗等);相反,研发人员也可以随时将研发终端搬离研发区,在非研发网端口接入,进而访问Internet,外发研发核心资产造成泄密。
2. 密集办公场所存在Wifi信号,研发终端通过WiFi访问外网,造成泄密风险:企业为了提升员工办公效率,在办公场所部署Wifi网络作为有线网络的补充;另外一些员工通过个人移动设备在办公场所私设热点。由于Wifi信号的覆盖不可控性,研发便携式终端随时可以接入Wifi网络,通过非研发账户接入非研发网络或接入私有网络,进而访问Internet,外发研发核心资产造成泄密。
3.3 客户需求总结
通过以上对由轻量级制造企业密集办公、弹性可扩展、低成本等特点引发的业务需求分析和理解,对症下药,给出如下针对性的信息化解决方案:
1. 针对密集办公的信息安全需求提出核心资产“专网专人访问“的全员认证方案
2. 针对客户数据中心需求提出可扩展、高可靠的数据中心方案
3. 针对“低成本移动统一通信”的需求提出“移动统一通信”方案
同时,新的信息化方案必然对承载网络提出了新的要求,因此规划一个业务适配、功能对等的基础网络是整个信息化项目成功实施的重要组成部分。
4 总体方案设计
4.1 设计原则
某轻量级制造企业信息化项目系统设计按照统一规划、统一标准的原则,为网络信息的快速传递和各类应用系统建设提供有力保障。
在设计网络时,我们遵循高性能,高可靠性,标准开放性,可管理性,安全性,灵活性,可扩展性,兼容性和经济性的总体思路。为客户提供大带宽、高可靠、有线无线一体化基础网络。
设计数据中心时,考虑到某轻量级制造企业的业务量及机房实际情况,建议使用部署快捷、灵活方便的MicroDC解决方案。在数据中心中部署防火墙,按照用户角色控制用户对研发业务及非研发业务的访问。同时在两个机房实现数据的主备。
设计通信系统时,充分利用内部网络资源,同时承载语音、视频、数据多媒体信息,降低企业投资成本;通过IP专网实现VoIP通信,降低通信成本;将电话、会议、即时消息等各种通信方式整合在一起,提高员工的沟通效率;业务管理系统界面友好,操作方便,降低企业维护成本,提高工作效率。
4.2 设计思想
(1) 针对密集办公的信息安全需求提出核心资产“专网专人访问“的全员认证解决方案
对信息安全的具体ICT需求总结为:
1) 研发核心资产专网接入
企业网络内部划分研发网,和其他网络隔离,仅用来对研发核心技术资产进行访问。该网络仅能在园区内部固定区域(例如研发区)接入。
2) 研发核心资产专人访问
仅研发岗位人员和研发终端有权限接入研发网络,并访问权限范围内的研发核心资产。
3) 研发员工无权限接入无线网络
由于无线覆盖范围的不稳定性,导致其安全等级较低,只能作为非研发网络的补充。为防止研发终端(内含研发核心资产)通过外泄的无线信号接入非研发网络,需要对无线接入进行身份认证,禁止研发用户和研发终端接入。
(2)针对客户数据中心需求提出可扩展、高可靠的数据中心方案
针对轻量级制造企业的特点,提出的可扩展、高可靠的数据中心方案的ICT需求总结为:
1) 采用MicroDC3000H一体化数据中心。客户的有2个只有9m²的机房,采用传统架构的数据中心各个设备离散部署,导致空间局促,安装、使用、维护不变,后期的扩展也是个棘手的问题,而华为MicroDC3000H集成了供配电设备、机柜、散热、网络、服务器、安全、云操作系统、集成管理软件的一体化微数据中心,标准42U机柜,尺寸为2000×600×1200mm,占地面积仅为0.72m²,即便是9m²的机房,空间也显得绰绰有余。
2) 关键节点冗余部署。核心业务服务器、交换机、存储设备采用双节点冗余、双链路连接,核心业务集群部署,数据在本地2个存储设备上做同步复制,通过IP定期备份到物理带库,保证数据安全可靠。
3) 采用服务器虚拟化和FC-SAN保证可扩展。服务器虚拟化对计算资源按弹性需求进行分配,FC-SAN的高扩展性保证存储进行平滑扩容。
(3)针对“低成本移动统一通信”的需求提出“移动统一通信”方案
针对轻量级制造企业员工人员流动性强,园区偏远、手机信号差等办公特点,轻量级制造企业园区低成本移动统一通信的ICT需求总结为:
4) 基于无线网络的语音业务VoWLAN
移动终端安装espace客户端,使用无线网络承载业务,实现企业园区内员工之间以及与园区外的的IP语音通信,保证语音清晰流畅,弥补因园区内运营商网络覆盖信号不强所产生的不便。
2)一人一号、一号寻人
使用无线网络通话的企业号码可以与手机号码绑定,一个员工对外只公布一个号码,避免一个员工需要记住多个号码的麻烦。
呼叫在园区内流动办公的员工手机,如果由于手机信号问题呼叫失败,可自动转接到无线网络承载的被呼号码上,保证可以及时联络到对应员工。
3)可满足员工增长需求
目前园区内办公的员工最多仅有30人,但是未来公司人员规模会扩大到600-700人,甚至更多,PBX的配置需要满足未来扩张人员规模的需要,具有良好的可扩展性。
4)保证无线网络的服务质量
合理部署AP,解决茶水间、卫生间等角落区域信号质量差、电梯间等封闭区域完全没有信号的问题,,且需保证信号强度> -75dBm ;生产车间等生产区域电磁干扰EMC强,需保证信噪比>10dB。
办公区一般20m一个AP,外场调测区一般50m一个AP,移动通话中会频繁AP漫游切换,为了保证通话质量,需要保证AP之间漫游切换时延<200ms。
办公区单AP一般最多20用户,人员密度大的会议室、培训室区域,过多用户接入导致每个用户服务质量严重下降(低于64Kbps,语音业务受影响),需要通过配置优选AP接入策略解决此问题。
因此,“移动统一通信”方案针对以上客户的ICT诉求,在第八章围绕语音通信、一号通、无线网络、逻辑组网几个方面来进行详细设计。
(4)针对以上信息化系统建设需求提出基于IP的业务适配、功能对等的基础网络方案
基础网络作为轻量级制造企业研发设计、生产制造、行政办公和园区管理业务的承载网,是整个企业正常运营的基础。对基础网络的具体ICT需求如下:
1) 网络隔离需求:建设一张园区骨干网络,统一接入企业研发设计系统、生产制造系统、行政办公系统和园区管理系统,同时要求各业务系统安全隔离,互不影响。各业务系统之间通过DMZ区域互访,研发人员可以访问研发设计系统和行政办公系统,生产人员可以访问生产制造系统和行政办公系统,行政办公人员只能访问行政办公系统,园区管理人员可以访问行政办公系统和园区管理系统。各类人员之间不允许之间互访,只能通过Email、UC等系统通信。
2) 网络带宽需求:研发和生产人员只能通过有线网络访问研发设计系统、生产制造系统,网络主要承载研发3D设计图形(普通文件10~100MB,高级渲染文件>200MB)、生产计划、采购、物流、订单和要货令等企业经营数据,要求核心网络优先保障。按照客户期望,对于大型3D图形文件(>200MB)的上传下载,接入带宽满足>1000Mbps,减少传输时延,同时有效避免引起网络拥塞。满足研发设计人员50%的并发操作率,根据现有的接入交换机端口数量,上行带宽满足>48(接入端口数量)*50%*1000Mbps(接入带宽)=24000Mbps,因此上行采用两个10Gbps链路作为骨干网络。
3) 网络SLA需求:允许通过有线网络、无线网络访问行政办公系统,包括数据、语音、视频和多媒体业务等传输。客户规划在研发大楼的底楼大会议室、小会议室、3位高管的办公室需要部署先进的视频会议系统,用于和全球其他地区的机构进行视频会议,要求高临场感、流畅清晰。按照现在1路智真高清视频格式: 1080p/60fps,最优情况下带宽流量8Mbps规格,Qos要求达到A类标准:Delay<=100ms,Jittle<=10ms,Loss<=0.5%,并满足所有视频会议系统并发使用要求。同时在不改变网络架构的前提下,满足后续700人员规模的更大并发业务流量,以及可能引入的更加高清的视频业务,网络至少未来3~5年内不用替换。
4) 无线WLAN需求:客户所在区域运营商网络覆盖信号较差,员工在园区内的相互通信(尤其是在移动作业的情况下)有所不便,亟需一套稳定、清晰、低成本的移动通信系统满足园区内外的语音通信需求,因此必须实现园区内WLAN无线覆盖。按照客户期望,要求满足整个园区无盲区覆盖,用户随时随地可快速接入,承载VoIP语音清晰流畅,跨区域移动VoIP语音体验基本无感知。另外,要求基于WLAN实现园区内移动办公业务。根据VoIP和大部分移动办公带宽要求,单用户WLAN最低带宽保证2Mbps速率,VOIP语音跨AP漫游切换时延要求100ms左右
4.3 总体方案设计
图4-1 总体架构示意图
轻量级制造企业信息化方案包括基础网络方案、信息安全方案、数据中心方案、移动统一通信方案,各系统通过企业基础网络互连。
基础网络方案:是整个企业信息化系统的承载网,要保证可靠性、开放性、安全性、扩展性、经济性,为客户提供大带宽、高可靠、有线无线一体化基础网络。
5 基础网络方案
5.1 网络需求
针对以上轻量级制造企业基础网络的ICT需求,本章给出具体方案设计,方案设计点如下:
1. 一张物理网络,两张逻辑网络
整个企业建立一张物理承载网络,分为数据中心网络和园区网络:
1)数据中心网络:接入交换机三层配置,连接研发、生产、办公等业务系统,不允许跨三层互访,仅允许访问DMZ区;
2)园区网络:采用核心交换机(L3配置)+接入交换机(L2配置)两层架构,逻辑上分为研发网络(承载研发通信数据,例如PLM、PDM等业务)和非研发网络(承载园区有线、无线通信数据及语音,视频等业务,例如:OA、Email、IP电话、智真会议、视频监控、一卡通等业务),通过核心层防火墙ACL隔离互访。
2. 有线网络千兆到桌面,万兆主干
客户目前共有1个办公楼+2个生产车间(飞机制造车间、配件制造车间),每个区域均有研发人员和非研发人员,因此研发和非研发两张网络均存在以上三个区域,通过在接入层物理隔离(分别部署接入交换机),向下GE接入到桌面PC,向上10GE链路捆绑连接到核心交换机。
3. 802.1P+DSCP 端到端Qos
在整网二层架构,接入网络千兆到桌面,万兆主干,核心网络全线速转发的前提下,为确保某些重要业务流(语音流、视频流、生产数据流等)的服务质量,提供整网端到端一致的Qos标记映射和业务分类:(园区内部网络)二层网络通过802.1P进行分类和标记,在三层网络通过DSCP进行分类和标记;(园区外部)对于MPLS广域网络,通过EXP进行分类和标记。
4. WLAN无盲区覆盖,跨AP二层无缝漫游
1)精细化AP部署:室内办公区覆盖选择2.4G&5G双频室内型AP,放装型布放,对于茶水间、卫生间、电梯间等传统信号覆盖盲区,补充WLAN覆盖,保证信号强度RSSI>-75dBm;对于生产车间等生产区域电磁干扰EMC强,采用室外型AP,增加AP布放密度,确保信噪比 SINR > 10dB。外场测试区覆盖选择2.4G&5G双频室外型AP,采用Mesh组网部署,实现多点之间的多链路可靠传输,可轻松绕过障碍物,减少布线难度,同时确保室外一般覆盖信号强度RSSI>-75dBm,关键区域例如测试点、门岗等信号强度RSSI>-65dBm。
2)跨AP二层快速漫游:AC集中数据转发,作为漫游切换统一网关,确保切换成功;采用802.1X认证快速漫游技术,实现整网二层漫游,确保切换时延<100ms,切换时VoIP体验用户无感知。
3)多AP负载分担:为满足后续700人规模可靠接入,对于办公区可能存在的高密场所,提供多AP负载分担功能(在线用户会话数评估或AP业务流量大小评估),满足最大化无线用户接入容量。
以下针对基础网络的组网架构、网络隔离设计、Qos规划、无线覆盖进行重点介绍。
5.2 组网架构
图5-1 整体组网架构
5.2.1 整体架构介绍
整个园区分为办公及研发区、飞机制造车间、配件制造车间三个区域,每个区域配属一个机房,按照机房位置的不同定义为:
l 机房一:办公及研发区机房;
l 机房二:飞机制造车间机房;
l 机房三:配件制造车间机房。
1. 接入层网络
按照总体方案设计原则,某轻量级制造企业园区基础网络分为研发专网(承载研发通信数据,例如PLM、PDM等业务)和办公网络(承载园区有线、无线通信数据及语音,视频等业务,例如:OA、Email、IP电话、智真会议、视频监控、一卡通等业务),两张网络均分布在以上三个区域,在接入层物理隔离,实现向下GE接入,向上10GE链路捆绑汇聚到到园区网络核心。
2. 核心层网络
既作为数据中心核心,也作为园区网络核心,部署在机房三(配件制造车间机房)。
核心层交换机承担着L2/L3分隔的角色,在其上配置三层网关。核心层交换机推荐采用两台S9706交换机,CSS集群部署确保可靠性,通过10GE链路捆绑连接到各区域接入交换机和数据中心接入交换机。
核心交换机侧旁挂防火墙,通过在核心交换机配置路由策略,确保所有访问服务器的流量经过防火墙,然后由防火墙上统一配置的ACL访问策略限制到服务器访问权限。核心层防火墙推荐两台USG5530S系列主备配置。
3. 数据中心
某轻量级制造企业数据中心分别部署在机房一和机房三,每个机房均由MicroDC构成,按业务领域部署研发服务器、生产服务器、办公服务器及其他管理服务器,每个物理服务器通过GE链路双归属到数据中心接入交换机。
数据中心接入交换机推荐S5700系列全千兆交换机,堆叠部署以提高可靠性。
4. 园区出口
园区出口部署于机房三(配件制造车间机房),通过WAN或Internet实现外部连接。
鉴于某轻量级制造企业的规模,推荐部署两台AR3200系列出口路由器和两台USG2000系列多合一出口防火墙,主备配置,以支持出口路由、IPSec VPN、SSL VPN接入、DPI、防火墙、IPS/IDS等功能,满足Internet上网和异地分支、出差员工、合作伙伴/访客的安全互访要求。
出口建议租用双链路,分别连接到两个出口路由器,以实现链路备份。对于满足和国内总部之间的高清视频会议,建议租用MPLS VPN链路以确保链路质量。
5. 无线覆盖
无线网络作为办公网络的延伸,采用集中式管理架构,无线控制器AC旁挂于园区核心交换机侧,对所有WLAN AP进行配置管理。AP挂接于办公网接入交换机,采用POE方式受电。
6. 网络管理中心
管理服务器采用eSight V3统一管理系统,部署在机房三(配件制造车间机房),支持对整个园区网络(有线无线)、多媒体通信设备、IT设备的集中统一管理。
下面对某轻量级制造企业各区域网络部署进行详细设计。
5.2.2 办公及研发区域网络设计
1. 现场需求
主要集中绝大部分研发办公人员和其他办公人员。预计工作人员数量35人(研发人员15人,其他人员20人)。电脑终端设备共60台(研发区20台,其他区40台);IP电话终端40套;另外还有VC系统三套(一套TP,两套RP)。
另外,规划部署一套数据中心系统(存储,服务器,网络),实现数据中心网络的接入。
2. 网络部署
该区域网络主要实现研发区的数据的接入,以及非研发区数据,语音,视频的有线及WiFi的接入:
对于有线网络,推荐二层组网,研发区、非研发区、数据中心分别部署接入交换机支持GE接入,接入层向上两个10GE链路捆绑连接到园区核心交换机,支持堆叠高可靠性;
对于非研发无线Wifi网络,推荐双频放装式部署,保证单频AP系统速率在100Mbps以上,单用户最低2Mbps下行速率,且支持无缝漫游;对于用户开会密集场景,AP能够根据用户数量或流量提供负载均衡功能。
具体网络设备配置如下:
网络
网络位置
设备型号
数量
部署位置
研发网
接入层
S5700-52X-LI-AC
1
机房一
办公网
接入层
S5700-52X-PWR-LI-AC
2
机房一
WLAN AP
AP6010-DN
10
办公楼不同房间及楼道
数据中心网络
接入层
S5700-52P-LI-AC
2
机房一
5.2.3 飞机制造车间网络设计
1. 现场需求
主要生产线工人,预计工作人员10人。电脑终端20台(研发区5台,非研发区15台),IP电话终端15台;另外规划部署一套数据中心系统(存储,服务器,网络),实现数据中心网络的接入。
该区域主要实现研发区数据的接入,以及非研发区数据,语音有线及WiFi接入。
2. 网络部署
该区域主要实现研发区数据的接入;非研发区数据,语音有线及WiFi接入:
对于有线网络,推荐二层组网,研发区、非研发区、数据中心分别部署接入交换机支持GE接入,向上两个10GE链路捆绑连接到园区核心交换机,支持堆叠高可靠性;
对于非研发无线Wifi网络,推荐室外型双频AP部署,保证单频AP系统速率在100Mbps以上,单用户最低2Mbps下行速率,且支持无缝漫游。
具体网络设备配置如下:
网络
网络位置
设备型号
数量
部署位置
研发网
接入层
S5700-28X-LI-AC
1
机房二
办公网
接入层
S5700-52X-PWR-LI-AC
1
机房二
接入层
S5700-28P-PRW-LI-AC
1
车间 (用于AP的PoE供电)
WLAN AP
AP6010-DN
14
车间不同区域
数据中心网络
接入层
S5700-52P-LI-AC
2
机房一
5.2.4 配件制造车间网络设计
1. 现场需求
主要是生产车间工人,预计5人。电脑终端10台(研发区2台,非研发区8台)。IP电话终端5套。另外,规划部署另外一套数据中心系统(存储,服务器,网络),实现数据中心网络的接入;同时在其中部署园区网络核心,实现两张物理网络的汇聚、核心交换,路由及安全。
2. 网络部署
该区域网络主要实现研发区网络的接入,非研发区数据,语音有线,无线的接入;另外,实现研发网和非研发网两张逻辑网络的会聚,核心交换,路由及安全:
对于有线网络,推荐二层组网,研发区、非研发区分别部署接入交换机支持GE接入,接入层向上两个10GE链路捆绑连接到园区核心交换机,支持堆叠高可靠性;
对于数据中心网络,部署核心交换机支持高密10GE接入,集群配置支持高可靠性;核心交换机侧挂防火墙,通过配置ACL策略实现对不同业务服务器器的访问隔离;园区出口配置多合一防火墙和出口路由器(支持SSL VPN和IPSec VPN),冗余配置提升可靠性。
对于非研发无线Wifi网络,推荐室外双频AP部署,保证单AP系统速率在100Mbps以上,单用户最低2Mbps下行速率,且支持无缝漫游;数据中心部署AC控制器。
具体网络设备配置如下:
网络
网络位置
设备型号
数量
部署位置
研发网
接入层
S5700-28P-LI-AC
1
机房三
办公网
接入层
S5700-52P-PWR-LI-AC
1
机房三
WLAN AP
AP6010-DN
4
车间不同区域
数据中心网络
接入层
S5700-52P-LI-AC
2
机房三
防火墙
USG5530S
2
机房三
核心层
S9706
2
机房三
WLAN AC
AC6605
2
机房三
园区出口
防火墙
USG5530S
2
机房三
路由器
AR3260
2
机房三
5.3 网络隔离
为避免某轻量级制造企业核心业务信息泄露,对研发业务、非研发业务进行物理隔离,将某轻量级制造企业基础网络物理上隔离为研发网络、非研发网络。互访策略如图参考:
图5-2 网络隔离示意图
对于研发网络和非研发网络内部,也需要禁止某些部门间互访(例如造型部门和零部件设计部门之间);对于管理办公网内部,需要考虑禁止普通办公数据业务访问控制多媒体业务平台,同时需要考虑多媒体业务对网络的Qos需求,因此需要将普通办公数据业务和多媒体通信业务逻辑隔离。
本方案采用逻辑隔离技术,在二层网络采用VLAN隔离,在三层网络采用ACL进行隔离。
5.3.1 二层VLAN隔离
在接入层交换机实现研发网内不同安全部门,非研发网内办公业务和园区管理业务(视频监控、一卡通等)的VLAN逻辑划分,从而能够根据VLAN ID进行业务Qos识别和用户组权限管理。
通常情况下,我们将接入层VLAN分为3类:
l 用户VLAN
用户VLAN即普通VLAN,也就是我们日常所说的VLAN,是用来对不同端口进行隔离的一种手段。用户VLAN根据业务需要进行规划,将需要隔离的端口配置不同的VLAN。
l Voice VLAN
Voice VLAN是为用户的语音数据流划分的VLAN,用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN,可以使语音数据集中在Voice VLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高语音流量的传输优先级,保证通话质量。
l Guest VLAN
用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即Guest VLAN),用户访问该VLAN内的有限的资源不需要认证。用户从处于Guest VLAN的服务器上可以获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:防病毒软件、操作系统补丁程序等)。认证成功后,用户端口离开Guest VLAN加入用户VLAN,用户便可以访问其特定的网络资源。
本方案采用根据用户身份认证确定所属VLAN,具体实施策略:
1) 普通用户在接入层交换机上进行身份认证,用户初始默认接入GuestVLAN,根据认证结果,下发归属的用户VLAN;
2) IP话机、智真终端、一卡通等哑终端采用MAC认证模式,以防止有人冒用这些设备的接入端口;为保证IP电话、智真业务的QoS,可以给这些终端在全网内统一划分唯一的VLAN(例如专门的VoiceVLAN),实现二层VLAN内的SIP语音互通。
5.3.2 三层ACL隔离
二层VLAN终结在核心层三层网关,在核心交换机上禁止不同VLAN的路由互访,同时在数据中心防火墙上配置不同的ACL规则,限制底层不同VLAN业务对服务器的访问。
5.4 QoS规划
不同业务对带宽、延迟、延迟抖动等传输性能有着特殊的需求。比如PDM要求高带宽,对延迟抖动不太敏感;电视会议需要高带宽、低延迟抖动的保证;语音业务虽然不一定要求高带宽,但非常注重时延,在拥塞发生时要求优先获得处理。
本方案为某轻量级制造企业信息化园区基础网络提供端到端Qos规划:
1. 接入层业务识别
接入交换机为作为边界设备,在UNI(User Network Interface)侧对不同端口设备进行数据流识别、分类以及DSCP/Remark 802.1P流标记,并分配不同的优先级;在NNI(Network Node Interface)侧通过优先级队列调度(PQ+WRR),拥塞管理、拥塞避免、流量整形等进行Qos工作。
2. 核心层Diffserv调度
核心层设备端口信任DSCP,基于接入层标识的QoS参数,通过队列调度、流量整形、拥塞避免等方式实施QoS策略,保证高优先级业务优先获得调度。
3. 出口路由器带宽控制
对于出口路由器,同样作为DiffServ域,信任设备标识的DSCP参数,实施QoS策略。需要说明的是,在路由器的WAN口上,由于受限于出口带宽,相关WAN口带宽参数设置需要考虑差异性。
5.5 可靠性设计
从组网架构图上可以看到,整网采用最先进的集群(CSS)+链路聚合(trunk)+堆叠(iStack)的无环网络方案,不但可以成功避免单点故障,同时简化了网络管理和配置,并且增加带宽利用率。
5.6 Internet访问
为确保内部安全Internet访问,建议在办公及研发区域数据中心机房部署Proxy系统(包括WEB代理、URL过滤、WEB防病毒等模块),通过Proxy系统联入Internet。
图5-3 Internet访问示意图
3. Proxy部署原则
l Proxy系统可以部署在办公及研发区域数据中心机房(MicroDC),作为整个某轻量级制造企业信息化园区内部访问Internet的唯一路径;
l Proxy系统必须经过园区出口防火墙连接到Internet,防止遭受攻击;
l Proxy日志服务器可分开部署在内部办公服务器区,最好集中保存、统一分析,建议保存时间至少1年。
4. Proxy访问策略
l 建议仅允许办公网络通过Proxy访问Internet,员工可根据工作的需求申请访问不同的上网权限;
l 对于一些需要访问Internet资源的办公业务系统,也需要通过Proxy方式访问;
l 研发网络和生产网络禁止访问Internet。
5. Proxy方案优势
l 提高内部访问速度。
l 访问一些不能直接访问的网站。
l 限制一些相关访问,限制一些太过影响带宽的流量。
l 屏蔽一些影响公司内部流量的访问请求。
l 端口设置限制,防止非法攻击,提高互联网访问安全性。
5.7 无线覆盖
5.7.1 组网设计
本技术方案采用无线控制器AC+瘦AP的部署架构,搭配华为统一网管eSight系统,策略服务器与接入交换机、核心交换机一起组成集中统一的无线覆盖系统。
图5-4 无线网络架构图
1. AC部署方式
无线控制器AC连接到核心交换机,与华为eSight网管系统的WLAN管理模块协同工作,实现对全网AP的自动配置下发、射频管理、信道分
展开阅读全文