admin 管理员组文章数量: 887021
2024年1月13日发(作者:scratch编程教学制做游戏)
三层网络架构要点及设计方案
罗柳斌
一、柳工现有二层网络架构
柳工现有信息系统全面覆盖了企业的产品开发、供应链管理、生产制造和销售服务四大方面主体活动,成为柳工生产活动中重要的支撑。
目前柳工信息网是一个大型的二层网络架构:
1、核心区域:两台Cisco4506作为整个网络的核心,分别负责厂区网络、研究院网络、数据中心、互联网和异地事业部广域网的接入;
2、园区区域:所有部门及下属公司的计算机都划分在几个业务VLAN内,使用Cisco2960和2950交换机作为接入层设备;
3、异地事业部:租用不同运营商线路接入至数据中心机房的Cisco3550交换机上;
4、服务器区域:使用6台Cisco2960G作为接入,使用双链路上联核心交换机;
5、互联网区域:3条不同运营商的线路汇聚到一台Cisco2960上。外部SSL-VPN用户通过互联网链路接入深信服VPN设备直接拨入到内网。内部访问互联网则通过ISA防火墙后从三个互联网出口出去。
二、层网二络向三层网络转变的必要性
2.1网络拓扑
柳工目前网络是一个以二层局域网交换为主的网络,缺少必要的三层路由规划和网络安全规划。现有网络架构不能满足应用系统未来的需求,不足以支撑未来业务的发展。
同时,缺乏汇聚交换机和光纤链路资源,使得大量的接入交换机采用级联的方式实现上联。这样容易导致链路不稳定和链路带宽得不到保障。因此需要优化网络拓扑,合理选择汇聚节点,变二层网络为更加稳定的三层网络。
2.2明确网络各功能区域
网络系统需要按功能进行区分:如广域网、生产网、研发网络和数据中心等。柳工现有的网络结构不具备真正的广域网、数据中心、研发网络和生产网络等功能划分。因此需要明确网络各功能区域,实现分级分域安全防护。
2.3 IP地址/VLAN规划
柳工目前使用一个B类地址和若干个C类地址,网络中进行了有限的VLAN划分。但由于VLAN规划不细致,造成广播域过大,给网络的稳定运行带来了隐患。
柳工未来的IP地址分配建议采用DHCP动态分配辅助静态部署。服务器设置静态地址,客户机动态获取IP。动态分配由于地址是由DHCP服务器分配,便于集中化统一管理。每一个接入主机都能通过非常简单的操作就可以获得正确IP地址、子网掩码、缺省网关、DNS等参数,在管理的工作量上比静态地址要减少很多。非常适合大型网络的需求。
综上所述,二层网络架构转变为三层网络架构,势在必行,否则将不足以支撑日益扩大的网络规模和业务发展需求。
三、整体设计方案
3.1 模块划分
通过参考和借鉴目前先进的网络设计理念和其他企业网络设计经验,依据全面性原则和模块化设计原则,将整个网络总体框架划分为六大网络区域:即核心交换区、园区网、数据中心、广域网、研发网和互联网。同时IP地址和VLAN规划贯穿在各网络区域的设计中。
3.2差异化分析
采用差异化分析的方式来确定网络中的不足之处,提出网络优化的方法和所能够达到的目标。对网络各组成部分具体分析,具体如下:
3.2.1 园区网
现状:园区网核心设备超负荷运行,核心交换机4506CPU负荷超70%;园区网是一个大型二层网络,终端用户基本分布在VLAN1中,过大的广播域给网络的稳定带来潜在风险。接入层设备大量采用级联方式上连核心,部分接入交换机带宽利用率仅有30%。
规划目标:提升园区网核心设备处理能力,从而提高网络整体的处理能力。调整网络层次,变两层网络为三层网络架构,新增合理的汇聚节点。用动态路由协议规划核心层和汇聚层的路由,提供快速收敛和高可扩展性。
3.2.2 数据中心
现状:数据中心网络与园区网之间界线不清,存在很大的可用性,扩展性问题;同时缺乏数据中心安全防护措施。
规划目标:搭建独立的数据中心网络架构,建设数据中心的整体安全防护架构。
3.2.3 广域网
现状:广域网缺乏冗余链路。广域网是一个二层交换网,没有三层路由,不能对重要业务做QOS保障,并且网络设备比较陈旧。
规划目标:增加冗余链路保证广域网的稳定可靠性。规划广域网路由,用专用路由器代替现有设备,通过有关技术手段保证重要应用数据的传输。
3.2.4 研发网络
现状:缺乏独立的研发网网络架构,缺乏对研发网的安全防护措施。
规划目标:搭建独立研发网网络架构,在组网方式上采用物理隔离,在传输过程中采用逻辑隔离。建立研发网的安全防护架构,增强网络的高安全性,同时保证业务数据的安全管理。
3.2.5 互联网
现状:缺乏细化的互联网管理规范,互联网安全防护设备陈旧且防护手段单一。
规划目标:完善全网的互联网出口,加强安全防护措施。完善统一安全控制策略和互联网访问规范。
3.2.6 IP地址和VLAN
现状:IP地址分配VLAN划分精细度不够,用户主要集中在VLAN1中,广播域太大。IP地址主要采用静态分配方式,管理缺乏灵活性。
规划目标:统一IP地址管理,优化IP分配和VLAN划分规范。
四.实施规划
4.1园区网
按照三层架构进行规划设计,合理设置汇聚节点。优化接入层设备的接入,最终形成完善的三层架构园区网。网络设备的更新换代,用高性能的核心设备替换原有的核心交换机,提升园区网的整体处理能力。加强对接入层设备的集中管理,逐步替换不可网管的接入设备。以园区网为主要承载平台的统一无线系统部署。
4.2数据中心
增设数据中心核心交换机,建设数据中心整体安全防护系统;增设数据中心接入交换机,承担服务器的接入。
4.3广域网
增设广域网核心路由器和广域网防火墙,增加广域网冗余链路,完成异地事业部接入路由器的改造。
4.4研发网
增设研发网核心交换机和研发网边界防火墙,更换研发网的接入交换机,实现基于身份的网络准入控制。
4.5互联网
完成互联网边界防火墙的改造、互联网代理系统改造和ISP链路的动态负载,同时优化互联网的出口管理(上网行为管理,流量监控)。
4.6 IP地址规划
已使用网段的地址,在新的规划中不再使用;启用新的IP地址段:172.17.0.0/16共65535个IP地址划分为255个C类的IP子网,分配给广域网,局域网和数据中心使用;启用IP地址段:10.0.0.0/24,分配给特殊需求的IP,如:双机热备系统的心跳IP。该段地址不参与路由,并且需要使用VLAN隔离。启用IP地址段:10.1.0.0/16,分配10.1.1.0/24给VPN地址池,其余保留给未来的外联网络。
5.总结
通过以上方案的改造,柳工把基于IP协议的基础网络平台,进一步建设成为更安全、可靠、易管理、可扩展、成本合理的综合通讯服务平台。随时随地服务于员工、合作伙伴和客户。保证业务应用和通讯的永续性,从而整体提高柳工的生产力和核心竞争力。
-全文完-
版权声明:本文标题:三层网络架构要点及设计方案 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1705088594h472735.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论