中型制造企业IT基础架构解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

中型制造企业IT基础架构解决方案对于多数中小企业的IT采购主管来说,面对某个特定的需求,不仅要考虑软件的选购,而且要考虑网络的搭建方案、服务器的配置、笔记本电脑和台式机的配置等,更要考虑总体预算。从IT采购的角度说,成熟的做法一般是首先根据需求选择软件,然后根据计算量和数据存储量确定硬件配置,再选型采购产品。但是由于缺乏系统集成的经验,往往面对一个简单的需求就无所适从;为帮助广大中小企业的IT主管理性采购,IT168信息化频道推出了情景导购栏目。该栏目根据一些中小企业的真实需求,进行需求分析形成IT方案,然后提出IT方案具体实施策略,并推荐相应产品,包括应用场景、需求分析、解决方案和推荐产品四个部分。今天发布的是第七篇,讲述了中型制造企业IT基础架构解决方案。行业类型:机械制造企业终端数量:900个应用类型:IT基础架构一、应用场景XX公司是一个新建的3000人左右的中小型机械制造企业,本项目需要在公司的新厂区、办公大楼以及分支机构中完成整体IT基础设施的构建。新厂区中的生产部门包括生产车间2个、库房一个;办公区有三个,分别是厂区的两个大楼(间隔100米,以下分别简称为甲办公楼和乙办公楼),以及同城市不同地域的一个大楼内(简称为丙办公楼);国内分支机构有5个。各个区域的具体情况如下:1、每个生产车间有2台电脑,库房内有2台电脑。2、厂区的甲办公楼内有400台电脑,乙办公楼内有300台电脑,部分是台式机,部分是笔记本电脑;甲办公楼一部分在2楼,有150台电脑,一部分在6楼,有250台电脑;乙办公楼300台电脑都分布在一个办公室。各个办公室均为开放式。甲办公楼的一楼配有90平米的机房室,已经装修好。配电室在隔壁,市电已经配好。3、位于同城市不同区域的丙办公楼有50台电脑,分布在一个楼层的敞开式办公室。4、国内分支机构的人员从5-30人不等,但是最多不超过30人,每人有一台电脑。二、需求分析通过对项目背景情况的了解,以及和用户的交流,归纳出以下11条本项目的具体需求:(1)要求每台电脑都能接入公司内部网络;办公区的电脑以及分支机构的电脑能接入互联网;库房及生产车间的电脑接入公司的局域网,要求与广域网隔离;(2)公司的库存数据、财务数据要求有备份存储;(3)公司将会建设自己的ERP、CRM、OA等系统,要求IT基础设施提供支撑,但是本方案不要求提供ERP、CRM、OA等系统的技术与产品的选型;(4)公司的内部员工之间沟通频繁,很多工作需要同事之间紧密合作完成,国内外分支机构与总部之间需要经常开会讨论;要求用IT设施来提高效率并节省成本。(5)公司与分支机构之间经常会传输大量的数据与文件,要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度,同时保证数据传输的安全性;(6)公司网络安全性、稳定性要求比较高,同时有对公司内部文件的安全保密的需求;(7)公司希望能够有效控制员工的上网行为,比如:老板不受任何限制,其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ,是否可以BT,上下班时间有不同的上网权限等等;(8)公司希望每个员工根据职位的不同,对内部局域网资源的访问权限不同;(9)公司希望无线局域网覆盖整个办公区域(不包括各个分支机构);(10)公司部分领导、销售部员工经常出差,有远程接入公司网络、移动办公的需求;(11)公司的生产车间、大门口、库房等地的摄像头要求可以时时监控,并且要求一个月内的监控数据可以查询。三、推荐解决方案1、总体设计针对企业的需求,在设计中分成城域网、厂区网、远程接入、信息安全控制、存储与备份、服务器、机房设备及布线这7个子系统。下面分别做简要的说明。1.1城域网子系统设计位于同一个城市中的丙办公区和厂区的网络互联,是一个跨城域网的局域网连接。由于在本项目中,丙办公区和厂区的甲、乙办公楼之间的联系紧密,公司的内部员工之间沟通频繁,很多工作需要同事之间紧密合作完成,而且公司员工之间经常会传输大量的数据与文件,所以丙办公区和厂区的数据传输速度要有保证,而且要保证数据传输的安全性。基于这样的考虑,采用基于MPLS的VPN来连接丙办公区和厂区。这个服务是由电信运营商来提供的,线路和终端设备均由电信运营商来负责,提供给企业的是一条安全的2层MPLSVPN通道。丙办公区的用户上网是通过厂区的互联网出口,这样保证了信息传输的安全性,而且保障了传输速度。厂区Internet的出口,配置了电信和网通两条线路,让员工访问南北线路都感觉很快,而且更重要的是,让远程用户和分支机构能以更快的速度访问企业网。1.2、厂区网子系统设计厂区的园区网比较复杂,甲办公楼内的2层和6层需要建设百兆到桌面的内部局域网,然后需要光纤汇聚到一楼机房的两台互为冗余核心交换机上。而且为了笔记本用户上网,还需要搭建无线网络。库房和车间的电脑以及视频监控终端也需要用光纤连接到甲办公楼的汇聚交换机上。1.3、远程接入子系统设计对于分支机构,和市内丙办公区采用MPLSVPN连接方式的情况不同,首先是分支机构人数少,带宽要求要低很多,另外,长途的MPLSVPN价格要比市内昂贵很多。所以采用基于IPSec的VPN的连接方式,双方都需要配置IPSecVPN设备,然后分支机构在当地采用电信运营商提供的Internet连接线路即可搭建成到企业网络的安全VPN通道。为了加快分支机构访问企业网的速度,IPSecVPN设备需要带有广域网加速功能。对于出差在外的员工和领导,采用免客户端的SSLVPN方式接入企业网。SSLVPN简便易行,在远程连接上Internet上直接在浏览器上就可以操作,安全访问企业网的内部资源。1.4、信息安全控制子系统设计研究表明,在企业发生的安全泄密事件中,内部失窃密所占据的比例最大,其次才是来自外面的威胁。所以本项目中,在企业网内部核心交换机上部署信息审计和上网行为控制系统。虽然该系统并非串联在Internet线路和核心交换机之间,但是其具有发送控制信息复位非授权访问和操作的功能。内部信息的非授权泄密能被其关键字审计系统拦截并记录。内部用户接入厂区网,需要得到认证和授权后方可接入,目前采用802.1x技术才实现。没有经过认证的用户,所接的交换机端口对其是关闭状态,杜绝非法访问。对于外来的入侵和威胁,采用防火墙进行过滤,对外只开放有限的端口如、EMAIL,并把访问目标限定在特定的服务器上。1.5、存储与备份子系统设计公司的库存数据和财务数据都是非常重要的数据,不仅需要要非常快递地存取,而且保证数据的安全。即使出现数据破坏,也需要能够从备份数据中恢复。基于这样的需求,决定采用专用的IPSAN存储备份系统。充分利用企业现有的TCP/IP网络,价格比FCSAN有很多的优势,而且性能上完全能达到企业的需求。1.6、服务器子系统设计企业网上要运行ERP、CRM、OA等系统,而且整个网络的访问控制、视频监控数据以及Windows主域控制器都需要运行在服务器上,服务器选择基于X86平台的高性能服务器,服务器都配备双网卡,一块网卡连接汇聚交换机,另外一块网卡连接到存储区域的交换机上,运行iSCSI协议存取IPSAN数据。1.7、机房设备及布线子系统设计在机房中需要配置UPS不间断电源主机和电池柜、核心交换机和服务器的机柜以及空调、换气设备。而且所有的光缆都在机房汇聚,然后通过法兰盘跳转到核心服务器上进行交换。在布线的时候严格按照结构化布线系统来进行设计,保证所有的信息点都通过线缆测试仪的测试并记录结果存档。2、使用MPLSVPN技术实现城域网的安全连接为了达到安全连接的目的,本项目中丙办公区和厂区之间的连接采用电信运营商提供的MPLSVPN,为什么选择基于MPLSVPN而不选择其它类型的VPN呢?首先,丙办公区和厂商之间并无电信线路直接相连接,而且由于要跨越城市建筑,企业自己拉光缆的可能性微乎其微,而且成本极大。而如果直接申请专线,在价格上没有任何优势。在MPLSVPN这样技术成熟并被电信运营商应用之前,使用专线是迫不得已的方法。让我们首先来看看MPLSVPN技术的特性。MPLSVPN在IP路由和控制协议的基础上提供面向连接(基于标记)的交换,MPLS如同一个垫层,它用于向IP提供连接服务,而它自己又从第二层(如PPP、ATM、Ethernet等)得到链路层服务。MPLS实际上就是一种隧道技术,所以使用它来建立VPN隧道是十分容易的。MPLSVPN需要公共IP网内部的所有相关路由器都能够支持MPLS,所以这种技术对网络有较为特殊的要求,MPLSVPN的实施必须由运营商进行。MPLSVPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。要利用MPLSVPN技术实现的二层VPN,能提供类似ATM、FR的二层端到端的专线连接,给企业提供高带宽的二层透明通路,企业可以自定义规划其网络结构和地址。二层MPLSVPN适合有二层透明传输链路需求,希望维护自己的路由信息,网络拓扑结构为点对点或星型结构的用户。需要部署MPLSVPN的用户需要满足一下的条件:(1)各VPN端点均能连接到当地电信运营商的MPLSVPN网络;(2)各端点位置固定不变;(3)对于网络的QoS、实时性和可管理性有较高要求的用户。产品推荐推荐采用电信运营商提供的10M的MPLSVPN,每个月的运营费用才7800,属于企业可以承受的范围,而且带宽满足丙办公区50个用户的访问需求。3、办公区网络部署在甲办公区,由于2楼和6楼的接入数量庞大,在2楼配置4台交换机,可以满足了2楼150员工的接入需求,而且留有余量提供给其它的设备的接入如网络打印机和无线AP等网络设备。在6楼配置6台交换机满足250个用户以及其它网络设备的接入需求。接入交换机都通过千兆上连模块连接到汇聚交换机上,保证带宽的充裕。在乙办公区和丙办公区采用同一个品牌和型号的好处是管理维护方便,而且采购的时候能够得到很好的价格。在乙办公区部署7台交换机,在丙办公区采用2台RG-S2150给50个用户使用。产品推荐3.1接入层交换机推荐使用锐捷的RG-S2150G交换机。该交换机提供48端口10/100自适应以太网电口,带有千兆电口/光纤上连模块,而且支持802.1x接入认证协议。所选产品介绍:RG-S2150G3.2汇聚层交换机推荐使用锐捷可网管全线速三层交换机RG-S5750,具体型号为S5750-24GT/12SFP,带有24个10/100/1000M自适应端口,12个复用的SFP接口。这些千兆接口既满足了和接入交换机的千兆电口连接,又保证了有充裕的千兆接口和核心交换机进行光纤冗余连接。RG-S57503.3核心交换机推荐采用2台锐捷RG-S6506组成,它们之间运行虚拟路由协议VRRP,两个交换机互为备份,提供不间断的数据传输的能力。RG-S6506机箱式交换机提供了众多的千兆光纤接口,直接和来自汇聚层的千兆光纤进行连接,提供了高可靠的千兆带宽。RG-S65063.4无线接入推荐采用2台锐捷RG-P-P780企业级无线AP完成对整个厂区的覆盖,这2台RG-P-P780分别部署在甲办公楼的6层和乙办公楼,甲办公楼的2层完全可以接收到6层无线AP的信号,无需单独再部署无线AP。甲乙办公楼因为相距100米,这两个AP组成一个综合覆盖体,完成对整个厂区的无线接入。在丙办公楼,由于只需要在开放式办公室内进行无线接入,选择锐捷室内RG-WG54P室内型无线局域网接入点进行部署即可达到需求。RG-P-P780RG-WG54P室内型无线局域网接入点4、信息安全控制信息安全控制设计在两个方向上。一个就是从Internet进入到企业网的方向上,部署了防火墙。另外一个方向就是内部员工访问外网的方向上,采用了信息审计和上网行为控制设备。产品推荐4.1防火墙推荐采用锐捷的RG-WALL120百兆防火墙,在其上设置由外到内的访问规则,把服务器以及远程接入的服务器都设置在停火区SSN,内网用户放置在内网区。4.2信息审计和上网行为控制系统,推荐采用任天行T3000网络安全管理系统来达到内网管理的需求。任天行提供了互联网安全控制的全面解

1 / 10
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功