亿丰化工厂局域网络建设研究Word格式文档下载.docx
《亿丰化工厂局域网络建设研究Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《亿丰化工厂局域网络建设研究Word格式文档下载.docx(19页珍藏版)》请在冰豆网上搜索。
亿丰化工厂是一家专业生产纺织染整工程用化学品的高科技民营企业,拥有成套化工生产设备,基础设施完备。
公司采用国内外先进的生产技术,从生产改性三聚氰胺树脂、织物涂层胶、洗涤剂、污水处理剂等化工产品而迅速发展壮大。
同时,公司以市场为导向,不断改进工艺,推出新产品,现已形成了能生产纺织印染用的前处理助剂、后整理助剂、染色助剂、功能性整理剂等几十种产品规模庞大的高科技精细化工企业。
公司本着“诚信为本,质量为先,依法经营,服务第一”的宗旨。
广交天下客,不断扩大业务范围,在化工行业中享有盛誉。
二、
现状及需求分析
(一)单位组建网络的目标
为了满足企业信息化的要求,工厂内部网络体系必须以以下几个条件为目标:
(1)能够覆盖厂区主要的工作地点,包括设计部门、管理部门、各加工车间、采购和仓储部门等等。
工厂目前厂区分布在方圆一公里的范围内。
(2)主干网络带宽能够满足大数据量通信的要求。
除了常规的办公、管理信息、加工数据之外,主干网络还需要支持突发、大量的数据访问服务,如来自设计部门的2D/3DCAD/CAM数据交换,以及潜在的音频应用。
主干网络带宽应达到l000M。
(3)能够支持分布式应用的要求。
系统除了拥有一个集中管理的企业产品数据仓库之外,在一些下级加工处理中心也将建立规模相对小一些的数据中心,它与数据仓库之间通过同步/复制机制完成数据的双向更新过程。
(4)高可用性:
网络建成后将成为影响化工厂生产正常运转的重要基础设施,在设计时要求充分考虑系统在各种环境下的可用性,最大限度地减少网络故障对生产的影响。
(5)良好的可扩充性:
PDM系统的建设是一个渐进的过程,其应用范围、信息种类和数量都会逐步扩大,因此作为基础设施的网络也必须具备平滑扩充的能力。
(二)网络业务分析
工厂的计算机网络系统是1998年开始建立的,根据工作的需要先后建立了4个子网---总部信息大楼、南岸浦厂区、运输处、原料采购部。
没有大规模投资,基本上是根据计算机应用的需要逐步扩大网络规模的。
网络主干线采用粗同轴电缆,为l0M以太网。
1998年根据工厂企业内部信息交换的需要,又增加了2个子网---污水处理分厂、设备检修分厂。
并确定了工厂内部网络拓扑结构—星型结构。
在6个子网的地理中心位置设一台中心交换机,将各个子网连接起来。
由于主干线采用粗同轴电缆,多处采用中继器、细同轴电缆连接致使网络运行速度极慢,有时要等待十几分钟,更使网络故障频繁。
由于技术的发展,工厂的机构、生产设施等都发生了很大的变化,原有的网络有一半以上需要重新布线。
图1亿丰化工厂原有网络拓扑结构图
图2亿丰化工厂原有物理网络拓扑结构图
(三)信息点分布
信息分布点如下划分:
部门或单位
可容纳电脑台数
IP地址分配
总部信息大楼
200
192.168.0.1到192.168.255
主厂区
192.168.0.1到192.168.1.255
运输处
192.168.2.1到192.168.2.255
污水处理车间
192.168.3.1到192.168.3.255
原料采购处
192.168.4.1到192.168.4.255
设备检修厂
192.168.5.1到192.168.5.255
图3亿丰化工厂原信息点分布
(四)接入Internet环境
网络技术的飞速发展,激烈的市场竞争,信息对市场的影响等等,使得众多的企业家们认识到,信息时代的网络信息对于企业的发展至关重要。
积极筹建企业信息化系统己成为有识之士的共识。
这种共识在很多企业已经或者正在化为实际行动。
没有内联网(INTRANET)的企业己开始筹备建立内联网;
有内联网的企业也开始考虑如何将内联网接入互联网(Internet)。
这些己成为一种新的计算机应用趋势。
然而如何选择一种切实可行并卓有成效的信息化建设方案己成为企业发展中的当务之急。
(五)网络安全需求
对网络安全的威胁有几种形式。
主要威胁来自恶意犯罪和病毒,但是,偶然性破坏也是极具破坏性的。
无论是有意还是无意的破坏,造成的数据丢失、损失都可以分为3大类:
篡改、破坏、数据泄密。
而通常对网络造成以上3种破坏的攻击形式有:
解密、特洛伊木马、病毒、拒绝服务、信息窃取、数据破坏。
为了防止网络被有意还是无意的破坏,采取以下安全措施:
安装防病毒软件并定期更新,及时安装操作系统补丁,控制访问,只有经过授权的个人或者系统才能访问、修改或者删除信息;
提高用户的安全意识,防止粗心的用户将密码泄漏,从而引起内部信息外泄;
对网络进行监控,及时发现可疑动作。
防火墙是设置在外网与被保护网络间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
一个防火墙(作为阻塞点、控制点)能极大地提高一个一般密级网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击一般密级网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是一般密级网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Fingers,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell的类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
三、网络设计原则和目标
(一)网络设计原则
计算机网络系统工程设计的原则对于网络设计的结果输出同样重要。
我们这里只对网络设计必须满足的几个原则做出讨论。
(1)可伸缩性
可伸缩性是指网络设计必须支持的增长幅度。
对于许多企业网络设计客户来说,可伸缩性是最基本的目标。
大公司经常以很快的速度增添用户应用、新站点以及与外部网络的连接,所以设计者向客户提交的网络设计应该能够适应网络使用及范围的增长。
(2)高可用性
可用性是指网络可供用户使用的时间,它通常是网络设计客户一个非常重要的目标,可以用每年、每月、每周、每天、每小时的网络运行时间与所对应时间段的全部时间之比来表达。
(3)高性能
在分析网络设计技术要求时,设计者应该将客户所能接受的网络性能标准,包括吞吐量、精确度、效率、延迟和响应时间等筛选出来。
(4)安全性
安全性设计是企业网络设计中最重要的方面之一,尤其随着越来越多的公司加入Internet和更多外部网连接到他们的互连网络。
大多数公司的一个整体目标是安全性问题不应干扰公司开展业务的能力。
(5)可管理性
网络设计的结果必须是可以操控和管理的。
设计者可以用国际标准化组织(ISO)术语定义网络管理功能,以帮助客户:
·
性能管理:
分析通信和应用的行为,以优化网络,满足服务级别协定和确定扩展规划。
故障管理:
检测、隔离和纠正问题;
向最终用户和管理员报告问题;
跟踪与问题相关的趋势。
配置管理:
控制、操作、辨别和收集来自被管理设备的数据。
安全管理:
监控和测试安全性和保护策略,维护并分发口令,其他认证和授权信息,管理加密密钥,审计与安全性策略相关的事项。
付费管理:
按分摊的成本计算网络用户使用网络的费用,规划容量需求的变化.几乎所有的客户都需要对故障和配置进行管理。
许多客户还需要对性能和安全进行管理。
一些客户需要付费管理。
(6)易用性
易用性是与可管理性相关但又不完全相同的一个指标。
易用性是指网络用户访问网络及服务的难易程度。
可管理性的重点是使网络管理员的工作更容易,易用性的重点则是使网络用户的工作更轻松。
(7)适应性
设计网络时,设计者应该努力去避免任何不协调的元素,因为它们难以实现未来的新技术。
一个优秀的网络设计应该能适应新技术和新变化。
变化可能是以新协议、新商业活动、新财政目标、新立法、以及其他无数可能的方式出现的。
(8)可购买性
可购买性的一个基本目标就是在给定的财务成本情况下,使通信量最大。
可购买性最重要的是需要购买的设计目标产品是否具有可操作性,在不在客户的财务预算之内。
财务成本包括一次性设备成本和再发生的网络运行成本。
(二)网络建设目标
(1)具备强大的网络安全和监控机制。
由于工厂的产品范围包括有军工产品,因此对网络安全提出了较高的要求,系统应该具备完善的用户核查功能和访问监控功能。
(2)具备高性能和高可靠性:
主服务器是PDM数据仓库的运转平台,其运转性能和稳定性是系统工作的关键之一。
(3)海量的存储能力:
PDM存储的数据几乎包括了企业所有的重要数据,其中来自CAD/CAM系统的2D/3D数据尤其需要大量的存储空间。
由于生产的周期都比较长,有时会长达数年,因此其存储系统的设计必须满足海量和长期的要求。
(4)良好的开放性:
PDM系统是一个典型的异构系统,其涉及的软件、硬件都来自不同公司、不同时代的产品。
为了满足系统互连和未来扩充的需要,整个系统必须建立在开放的平台上面。
四、网络方案设计
(一)网络拓扑结构设计
1、网络结构设计
除了前文提到的网络设计原则之外,保护现有投资是最重要的因素了。
保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。
如同计算机的发展速度一样,网络技术的发展也是非常迅速的,如果在现有技术不能合理保证在将来网络升级后还能够使用,那么将会带来极大的资金浪费。
从目前的趋势来看,我们建议亿丰化工在主干网络线路上采用千兆以太网技术,网络设备上先使用百兆以太网的设备,以便将来升级。
以太网,快速以太网和千兆以太网三者性能状况由低到高,但是价格也是由低到高的。
鉴于亿丰化工的实际资金状况,在建设企业网时要充分考虑到企业的经济实力,选择“好用,够用,适用”的网络技术是关键。
综合所有因素,选用l000M光纤线路,暂用l00M的设备,让部分主干线先用起千兆以太网,是既能满足亿丰化工现在的需求,又没有给项目实施资金带来压力,而且能够满足将来的扩展需要。
这一点是非常切合实际的。
2、网络拓朴设计
整个网络建设方案最关键的部分就是网络拓扑图的设计,亿丰化工的网络拓扑图分为三个区域,每个区域都有自己的物理拓扑图和逻辑拓扑图,因为物理拓扑图的布置方式不完全等同于逻辑拓扑图。
图3新设计的逻辑拓扑图
如图3,拓扑的布局特点如下:
①原有服务器得到了更好的应用。
分别安排了各自的新用途,保护了厂方的原有投资。
②cisco3550交换机和Cisco3750G-24交换机把财务和物流的VLAN分开,并且实现了访问控制达到两网隔离的目标。
图4新设计的物理拓扑图
如图4,市区办公楼拓扑的布局特点如下:
①中心交换机和直接与总部信息大楼和主厂区相连接,将信息资源主要分配给需求量最大的总部信息大楼。
②中心交换机和总部信息大楼Cisco3550-24交换机之间启用802.lqTRUNK封装模式。
让总部信息大楼配线间连接的财务网络和办公网络分别在不同的VLAN中传输。
从而达到两网隔离又能都和各厂区对应网络互联。
③财务专用服务器和物流专用服务器都统一放置到总部信息大楼,只是把他们连到中心交换机的千兆端口划分到对应的VLAN就行了。
这样方便了管理。
④关键设备使用Cisco设备,能够保障网络稳定运行。
⑤根据目前的电脑运行数量,可以初步估计相应设备的承载能力。
其中总部信息大楼约200台。
其他地区总计为100台。
如果需要传输速率达到1MB/S,加上需要考虑日后电脑增加升级的需要,可设置总部信息大楼交换机的吞吐容量为500MB。
主厂区的为400MB。
并且,将来如果设备要更新换代,旧设备可用于下级子网中,即可满足吞吐容量的限制。
而主干网线路可采用600M的ATM光纤。
最底层的子网采用吵5类双绞线即可。
这些在具体施工前一定好有明确的计算和规划。
亿丰化工的网络结构设计是典型的运用层次化设计模型的产物。
整个网络结构合理紧凑,可扩展性极强,例如,如果将来南岸浦生产区域需要扩容,只需要再购置新的核心交换机,把本次采购的CiscoCatalyst3550-24三层交换机降级处理就可以满足要求了,非常易于扩展。
通过在企业网中应用三层交换技术,我们可以充分应用虚拟局域网(VLAN)技术,而VLAN是一个交换网络,它按功能、部门或应用等构架为基础加以逻辑划分,而不是以实体或地理为基础划分,它极大的扩展了网络的管理的功能,VLAN之间的路由是由三层交换机上的路由交换模块或路由器实现的。
这次亿丰化工提出的要求跨广域网的财务和物流网络的隔离就是依靠VLAN隔离和VLAN之间的访问控制(ACL)来实现的。
(二)IP子网规划
网际协议IP是TCP/IP的心脏,也是网络层中最重要的协议。
IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层——TCP或UDP层;
相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层。
IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。
IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)。
高层的TCP和UDP服务在接收数据包时,通常假设包中的源地址是有效的。
也可以这样说,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的。
IP确认包含一个选项,叫做IPsourcerouting,可以用来指定一条源地址和目的地址之间的直接路径。
对于一些TCP和UDP的服务来说,使用了该选项的IP包好像是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点。
这个选项是为了测试而存在的,说明了它可以被用来欺骗系统来进行平常是被禁止的连接。
那么,许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。
(三)VLAN规划
VLAN是一个交换网络,它按功能、部门或应用等构架为基础加以逻辑划分,而不是以实体或地理为基础划分,它极大的扩展了网络的管理的功能,VLAN之间的路由是三层交换机上的路由交换模块或路由器实现的。
按照分布位置及应用环境的不同,整个化工中心网络分为六个子网:
总部信息大楼,主厂区,运输处,污水处理车间,原料采购处,设备检修厂。
子网之间相对独立,满足不同的应用需求。
子网之间通过核心/汇接层交换机相连,由三层交换机实现子网间路由选择。
其中,公共服务器子网位于防火墙的DMZ区域,包含WWW,E-MALL,FTP,DNS等服务器,面向INTERNET用户提供信息浏览,电子邮件,文件传输等服务。
内部服务器子网位于总网的核心层,面向单位内部用户提供办公服务,信息服务以及DHCP等服务。
化工厂当前拥有128个公网IP地址,范围为202.102.247.0-202.102.247.127。
这些地址主要分配给总部信息大楼和主厂区,用于外部网络对内访问使用。
防火墙以及出口路由器的广域网接口。
化工厂网络内部信息点有900多个,这些计算机全部使用INTERNET的保留地址,由于内部私有地址对于Internet是不可访问的,可以有效地保护厂网内部资源.在总网的出口通过防火墙进行地址转换。
表1RFC规定的私有网络地址
网络ID
地址范围
10.0.0.0/8
10.0.0.0~10.255.255.255
172.16.0.0/12
172.16.0.0~172.31.255.255
192.168.0.0/16
192.168.0.0~192.168.255.255
根据化工厂网络的实际需要和未来网络的发展,选用私网地址172.16.0.0-172.31.255.255来规划化工厂网络内部地址。
表2化工厂网络IP地址分配
子网名称
网络地址(即主路由器地址)
子网掩码
172.20.0.1
255.255.0.0
172.21.0.1
172.30.0.1
污水处理车间
172.31.0.1
172.16.3.1
172.16.5.1
(四)Internet接入方式选择
本次网络规划中,根据实际需要,可以使用基于以太网(Ethernet)的高速局域网接入。
以太网接入方式与IP网很相似,技术上可以达到10/100/1000Mbps三级。
采用专用的无碰撞全双工光纤连接,可以使以太网的传输距离大为扩展,完全可以满足接入网的应用需要。
以太网技术将IP包直接封装到以太网帧中,是目前与IP配合最好的协议之一,它以变长帧来传送变长的IP包。
在当前因特网迅速发展的情况下,以太网正在转变成一种主要的接入方式。
太网技术采用五类线可以提供上行10Mb/s、下行10Mb/s的数据传输。
由于以太网技术不像ADSL和HFC具有明显的行业壁垒(电信采用ADSL技术,广电采用HFC技术),准入门槛限制少,而且成熟可靠、施工简单、成本低廉。
随着我国宽带智能小区建设速度的加快,越来越多的运营商开始采用FTTB+LAN的方式,即采用以太网+双绞线(UTP)综合布线来构建小区宽带网络。
由于许多家用智能电器设备都提供了以太网接口,可以通过以太网实现家用电器的智能化管理控制。
(五)安全设计
当一个企业的Intranet与Internet相连时,网络的安全问题就成为网络管理员首先要考虑的问题。
在充分享受Internet给我们带来的便利的同时,既要保护企业内部的数据不被未授权的访问者侵入,又要将外部大千世界的许多不受欢迎的信息拒之门外,这样就必须建立一种安全机制来保护我们的Intranet网络。
防火墙就是非常重要的一种安全机制。
防火墙被用来保护计算机网络免受黑客的骚扰与入侵,是监测和过滤所有通向外部网和从外部网传来的信息,防火墙保护着内部敏感的数据不被偷窃和破坏,并记下来往通讯发生的时间和操作等等。
尤如一道栅栏隔在被保护的内部网与不安全的网络之间,互联网便是世界上最大的不安全网,近年来发生的大多数著名的黑客入侵事件都发生在互联网之上。
防火墙有两种类型。
第一种防火墙只允许需要的工作通过。
比如,如果某个企业只需要FTP服务,而想禁止电子邮件、WWW等服务,则该企业可将防火墙设置为只允许FTP服务通过防火墙。
另外还可以设置一定的监测、计量
升级会员 