中型制造企业IT基础架构解决方案.docx

中型制造企业IT基础架构解决方案.docx

《中型制造企业IT基础架构解决方案.docx》由会员分享，可在线阅读，更多相关《中型制造企业IT基础架构解决方案.docx（9页珍藏版）》请在冰豆网上搜索。

中型制造企业IT基础架构解决方案

中型制造企业IT基础架构解决方案

对于多数中小企业IT采购主管来说，面对某个特定需求，不仅要考虑软件选购，而且要考虑网络搭建方案、服务器配置、笔记本电脑和台式机配置等，更要考虑总体预算。

从IT采购角度说，成熟做法一般是首先根据需求选择软件，然后根据计算量和数据存储量确定硬件配置，再选型采购产品。

但是由于缺乏系统集成经验，往往面对一个简单需求就无所适从；为帮助广大中小企业IT主管理性采购，IT168信息化频道推出了情景导购栏目。

该栏目根据一些中小企业真实需求，进行需求分析形成IT方案，然后提出IT方案具体实施策略，并推荐相应产品，包括应用场景、需求分析、解决方案和推荐产品四个部分。

今天发布是第七篇，讲述了中型制造企业IT基础架构解决方案。

   行业类型：

机械制造企业

   终端数量：

900个

   应用类型：

IT基础架构

   一、应用场景 

   XX公司是一个新建3000人左右中小型机械制造企业，本项目需要在公司新厂区、办公大楼以及分支机构中完成整体IT基础设施构建。

新厂区中生产部门包括生产车间2个、库房一个；办公区有三个，分别是厂区两个大楼（间隔100米，以下分别简称为甲办公楼和乙办公楼），以及同城市不同地域一个大楼内（简称为丙办公楼）；国内分支机构有5个。

   各个区域具体情况如下：

   1、每个生产车间有2台电脑，库房内有2台电脑。

   2、厂区甲办公楼内有400台电脑，乙办公楼内有300台电脑，部分是台式机，部分是笔记本电脑；甲办公楼一部分在2楼，有150台电脑，一部分在6楼，有250台电脑；乙办公楼300台电脑都分布在一个办公室。

各个办公室均为开放式。

甲办公楼一楼配有90平米机房室，已经装修好。

配电室在隔壁，市电已经配好。

   3、位于同城市不同区域丙办公楼有50台电脑，分布在一个楼层敞开式办公室。

   4、国内分支机构人员从5－30人不等，但是最多不超过30人，每人有一台电脑。

   二、需求分析

   通过对项目背景情况了解，以及和用户交流，归纳出以下11条本项目具体需求：

（1）要求每台电脑都能接入公司内部网络；办公区电脑以及分支机构电脑能接入互联网；库房及生产车间电脑接入公司局域网，要求及广域网隔离；

（2）公司库存数据、财务数据要求有备份存储；

   （3）公司将会建设自己ERP、CRM、OA等系统，要求IT基础设施提供支撑，但是本方案不要求提供ERP、CRM、OA等系统技术及产品选型；

   （4）公司内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构及总部之间需要经常开会讨论；要求用IT设施来提高效率并节省成本。

   （5）公司及分支机构之间经常会传输大量数据及文件，要求IT设施能够最大限度提高公司及各分支机构之间数据传输速度，同时保证数据传输安全性；

   （6）公司网络安全性、稳定性要求比较高，同时有对公司内部文件安全保密需求；

   （7）公司希望能够有效控制员工上网行为，比如：

老板不受任何限制，其他按照不同岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，上下班时间有不同上网权限等等；

   （8）公司希望每个员工根据职位不同，对内部局域网资源访问权限不同；

   （9）公司希望无线局域网覆盖整个办公区域（不包括各个分支机构）；

   （10）公司部分领导、销售部员工经常出差，有远程接入公司网络、移动办公需求；

   （11）公司生产车间、大门口、库房等地摄像头要求可以时时监控，并且要求一个月内监控数据可以查询。

三、推荐解决方案

   1、总体设计

   针对企业需求，在设计中分成城域网、厂区网、远程接入、信息安全控制、存储及备份、服务器、机房设备及布线这7个子系统。

下面分别做简要说明。

   1.1城域网子系统设计

   位于同一个城市中丙办公区和厂区网络互联，是一个跨城域网局域网连接。

由于在本项目中，丙办公区和厂区甲、乙办公楼之间联系紧密，公司内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，而且公司员工之间经常会传输大量数据及文件，所以丙办公区和厂区数据传输速度要有保证，而且要保证数据传输安全性。

基于这样考虑，采用基于MPLSVPN来连接丙办公区和厂区。

这个服务是由电信运营商来提供，线路和终端设备均由电信运营商来负责，提供给企业是一条安全2层MPLSVPN通道。

丙办公区用户上网是通过厂区互联网出口，这样保证了信息传输安全性，而且保障了传输速度。

   厂区Internet出口，配置了电信和网通两条线路，让员工访问南北线路都感觉很快，而且更重要是，让远程用户和分支机构能以更快速度访问企业网。

   1.2、厂区网子系统设计

   厂区园区网比较复杂，甲办公楼内2层和6层需要建设百兆到桌面内部局域网，然后需要光纤汇聚到一楼机房两台互为冗余核心交换机上。

而且为了笔记本用户上网，还需要搭建无线网络。

库房和车间电脑以及视频监控终端也需要用光纤连接到甲办公楼汇聚交换机上。

   1.3、远程接入子系统设计

   对于分支机构，和市内丙办公区采用MPLSVPN连接方式情况不同，首先是分支机构人数少，带宽要求要低很多，另外，长途MPLSVPN价格要比市内昂贵很多。

所以采用基于IPSecVPN连接方式，双方都需要配置IPSecVPN设备，然后分支机构在当地采用电信运营商提供Internet连接线路即可搭建成到企业网络安全VPN通道。

为了加快分支机构访问企业网速度，IPSecVPN设备需要带有广域网加速功能。

   对于出差在外员工和领导，采用免客户端SSLVPN方式接入企业网。

SSLVPN简便易行，在远程连接上Internet上直接在浏览器上就可以操作，安全访问企业网内部资源。

   1.4、信息安全控制子系统设计

研究表明，在企业发生安全泄密事件中，内部失窃密所占据比例最大，其次才是来自外面威胁。

所以本项目中，在企业网内部核心交换机上部署信息审计和上网行为控制系统。

虽然该系统并非串联在Internet线路和核心交换机之间，但是其具有发送控制信息复位非授权访问和操作功能。

内部信息非授权泄密能被其关键字审计系统拦截并记录。

内部用户接入厂区网，需要得到认证和授权后方可接入，目前采用802.1x技术才实现。

没有经过认证用户，所接交换机端口对其是关闭状态，杜绝非法访问。

   对于外来入侵和威胁，采用防火墙进行过滤，对外只开放有限端口如，并把访问目标限定在特定服务器上。

   1.5、存储及备份子系统设计

   公司库存数据和财务数据都是非常重要数据，不仅需要要非常快递地存取，而且保证数据安全。

即使出现数据破坏，也需要能够从备份数据中恢复。

基于这样需求，决定采用专用IPSAN存储备份系统。

充分利用企业现有TCP/IP网络，价格比FCSAN有很多优势，而且性能上完全能达到企业需求。

   1.6、服务器子系统设计

   企业网上要运行ERP、CRM、OA等系统，而且整个网络访问控制、视频监控数据以及Windows主域控制器都需要运行在服务器上，服务器选择基于X86平台高性能服务器，服务器都配备双网卡，一块网卡连接汇聚交换机，另外一块网卡连接到存储区域交换机上，运行iSCSI协议存取IPSAN数据。

   1.7、机房设备及布线子系统设计

   在机房中需要配置UPS不间断电源主机和电池柜、核心交换机和服务器机柜以及空调、换气设备。

而且所有光缆都在机房汇聚，然后通过法兰盘跳转到核心服务器上进行交换。

在布线时候严格按照结构化布线系统来进行设计，保证所有信息点都通过线缆测试仪测试并记录结果存档。

2、使用MPLSVPN技术实现城域网安全连接

   为了达到安全连接目，本项目中丙办公区和厂区之间连接采用电信运营商提供MPLSVPN，为什么选择基于MPLSVPN而不选择其它类型VPN呢？

首先，丙办公区和厂商之间并无电信线路直接相连接，而且由于要跨越城市建筑，企业自己拉光缆可能性微乎其微，而且成本极大。

而如果直接申请专线，在价格上没有任何优势。

在MPLSVPN这样技术成熟并被电信运营商应用之前，使用专线是迫不得已方法。

   让我们首先来看看MPLSVPN技术特性。

MPLSVPN在IP路由和控制协议基础上提供面向连接（基于标记）交换，MPLS如同一个垫层，它用于向IP提供连接服务，而它自己又从第二层（如PPP、ATM、Ethernet等）得到链路层服务。

MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道是十分容易。

MPLSVPN需要公共IP网内部所有相关路由器都能够支持MPLS，所以这种技术对网络有较为特殊要求，MPLSVPN实施必须由运营商进行。

MPLSVPN适用于对于网络资源利用率、网络可靠性有较高要求VPN业务。

要利用MPLSVPN技术实现二层VPN，能提供类似ATM、FR二层端到端专线连接，给企业提供高带宽二层透明通路，企业可以自定义规划其网络结构和地址。

   二层MPLSVPN适合有二层透明传输链路需求，希望维护自己路由信息，网络拓扑结构为点对点或星型结构用户。

需要部署MPLSVPN用户需要满足一下条件：

（1）各VPN端点均能连接到当地电信运营商MPLSVPN网络；

（2）各端点位置固定不变；

   （3）对于网络QoS、实时性和可管理性有较高要求用户。

   产品推荐

   推荐采用电信运营商提供10MMPLSVPN，每个月运营费用才7800，属于企业可以承受范围，而且带宽满足丙办公区50个用户访问需求。

   3、办公区网络部署

   在甲办公区，由于2楼和6楼接入数量庞大，在2楼配置4台交换机，可以满足了2楼150员工接入需求，而且留有余量提供给其它设备接入如网络打印机和无线AP等网络设备。

在6楼配置6台交换机满足250个用户以及其它网络设备接入需求。

接入交换机都通过千兆上连模块连接到汇聚交换机上，保证带宽充裕。

   在乙办公区和丙办公区采用同一个品牌和型号好处是管理维护方便，而且采购时候能够得到很好价格。

在乙办公区部署7台交换机，在丙办公区采用2台RG-S2150给50个用户使用。

   产品推荐

   3．1 接入层交换机推荐使用锐捷RG-S2150G交换机。

该交换机提供48端口10/100自适应以太网电口，带有千兆电口/光纤上连模块，而且支持802.1x接入认证协议。

   所选产品介绍：

      RG-S2150G

   3．2汇聚层交换机推荐使用锐捷可网管全线速三层交换机RG-S5750，具体型号为S5750-24GT/12SFP，带有24个10/100/1000M自适应端口，12个复用SFP接口。

这些千兆接口既满足了和接入交换机千兆电口连接，又保证了有充裕千兆接口和核心交换机进行光纤冗余连接。

      RG-S5750

   3．3核心交换机推荐采用2台锐捷RG-S6506组成，它们之间运行虚拟路由协议VRRP，两个交换机互为备份，提供不间断数据传输能力。

RG-S6506机箱式交换机提供了众多千兆光纤接口，直接和来自汇聚层千兆光纤进行连接，提供了高可靠千兆带宽。

      RG-S6506

   3．4无线接入推荐采用2台锐捷RG-P-P780企业级无线AP完成对整个厂区覆盖，这2台RG-P-P780分别部署在甲办公楼6层和乙办公楼，甲办公楼2层完全可以接收到6层无线AP信号，无需单独再部署无线AP。

甲乙办公楼因