天铁热轧OA系统网络的组建与改进

杨骁

（天津天铁冶金集团热轧板有限公司，河北涉县056404）

天铁热轧OA系统网络的组建与改进

杨骁

（天津天铁冶金集团热轧板有限公司，河北涉县056404）

简述了天铁热轧OA系统的网络结构、硬件需求及网络组建过程。对系统组建调试过程中出现的问题进行了分析，对应用中出现的问题进行了方案改进与系统升级，保证了天铁热轧OA网络的顺利运行，提高了办公效率。

办公自动化；网络通信；交换机；服务器

1 引言

天铁热轧板公司自2011年引进了北京金和软件公司开发的OA系统（office automation，OA），即办公自动化，是指利用现代化的网络技术进行办公，具有简单易用、功能完善、升级维护方便等优点。OA系统顺利应用依托计算机、应用软件、网络通信3个最基本的要素，其中计算机、应用软件就位后，网络的组建与通信成为制约OA系统运行的关键因素，根据热轧办公网络需求与办公地点分布，合理规划网络架构与网络铺设，为热轧办公自动化的顺利运行奠定了坚实的基础。

2 OA系统网络结构

天铁热轧OA网络系统是由树形和星形混合构成的一个拓扑结构。其中OA网络系统的核心交换机是CISCO的c3560系列的核心交换机，通过防火墙和因特网连接，和公司生产网之间由CISCO的FWSM防火墙进行阻隔。2台OA服务器，其中WEB登录服务器直接连接c3560，数据库服务器通过FWSM以后连接进公司生产网的核心交换机6509。具体拓扑结构见图1。

2.1 OA系统服务器

OA系统使用2台服务器，1台是 OA系统WEB登陆服务器，主要运行客户端登录服务，包括局域网登录和Internet登录；1台是OA系统数据库服务器，主要存储OA系统数据和接收公司MES系统相关数据。

2.2 OA系统网络设备选型

组建一个网络，网络设备主要由防火墙、路由器和交换机等组成，现代网络技术高速发展，第三层交换机已经具备路由器的大部分功能，甚至在某些方面更胜过传统的路由器，考虑到公司状况，故在设备中没有选用路由器，选择了交换性能更加强大的第三层交换机。

2.2.1 防火墙

从网络的安全考虑，连接Internet办公网络防火墙必不可少，同时防火墙需要实现NAT（网络地址映射）以实现网络内的共享外网IP来上网。

PIX是CISCO的硬件防火墙，硬件防火墙具有工作速度快，使用方便等特点。 PIX有很多型号，并发连接数是 PIX防火墙的重要参数。其中PIX525是支持280000并发连接数，性能优秀，所以选用思科PIX 525作为系统防火墙。

图1 热轧OA网络系统图

2.2.2 第三层交换设备

根据公司部门或者是系统需求，我们可基于VLAN对网络进行管理。相同的VLAN间，PC可以互访，不同VLAN间PC如果要实现互访，就必须要第三层交换设备来实现，例如路由器或者第三层交换机。

WS-C3560G-48TS-S具有48个以太网10/ 100/1000端口和4个基于SFP的千兆位以太网端口，安装了标准多层软件镜像（SMI），提供基本RIP和静态路由，可升级到全动态IP路由，不仅第三层交换性能可以满足公司需求，同时可升级全动态IP路由功能，也为今后网络的扩展性提供了保障。

2.2.3 第二层交换机

CISCO ME 2400系列的软件采用了专门用于以太网接入交换机的用户－网络接口/网络－节点接口（UNI/NNI）。由于软件可以识别每个端口的应用，它能够提供许多强大的默认操作。多个客户共享一台设备时必须保证客户彼此之间不受影响，CISCOME 2400系列针对这一问题提供了UNI/NNI、专用VLAN特性。UNI/NNI特性的电路型操作能够使客户的流量彼此隔开。

CISCO ME 2400系列交换机拥有访问控制列表（ACLs）和802.1x等特性，能够识别那些被允许在交换机上传输流量的用户和分组，可过滤所有进入的流量，确保只有合格的流量才能通过交换机。

基于安全的考虑，OA网络采用CISCO ME 2400系列交换机作为接入层的首选交换机。

2.3OA系统VLAN划分

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”，是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

在热轧OA系统网络中，共划分3个VLAN，OA系统VLAN表见表1，VLAN3是服务器VLAN，只运行WEB服务器、OA数据库服务器和以后有可能安装的病毒防护服务器；VLAN5是普通OA客户端，能通过局域网访问OA系统的各个服务器，但是不能访问Internet；VLAN7也是OA客户端，但是除了能访问OA系统各个服务器外，还可以访问Internet。OA系统网络的VLAN可以在以后的应用中进行扩展。

表1OA系统VLAN表

2.4 主要网络设备功能分担

2.4.1 CISCO 3560交换机

CISCO 3560交换机在OA网络中是作为核心交换机的，起到了重要作用，主要是提供划分子网、路由交换、基于访问控制列表的安全配置等功能。2.4.2 CISCO PIX525防火墙

CISCO PIX525是连接OA系统网络和Internet的一道防火墙。

要访问Internet必须要有公网的IP地址，电信运营商一般只提供很少的IP地址（通常1到3个），如果上网的PC过多，就无法满足需要，这是可以对内网和公网的IP地址进行映射（NAT），这时防火墙的重要功能。热轧OA中使用了3个公网IP地址，其中一个作为防火墙的公网地址；一个是OA系统WEB服务器对外映射的公网地址，以实现在其它地方通过Internet对热轧OA系统进行访问；最后一个地址就是作为热轧OA客户端共用的公网IP地址来进行Internet访问。

为减少网络攻击和内网对公网的影响，只有相对应的IP段和网络协议可以通过防火墙，只有HTTP、SMTP等常用协议可以正常访问Internet。

2.4.3 CISCO6509的FWSM模块

FWSM是CISCO6509带的一个防火墙模块，除了配置方法有区别外，可以看作一个PIX525。它是连接在OA系统和公司生产网络之间的一个防火墙，主要保证OA系统读取相关的生产数据并且要保证生产网的网络安全。其主要也是通过NAT和ACL（访问控制列表）来实现的，只允许OA数据库服务器使用特定的协议访问公司生产网络特定的IP地址。

3 网络组建过程中出现的问题

3.1 FWSM的配置和调试

FWSM是CISCO用在6500系列交换机上的防火墙模块，在OA系统上的应用是公司第一次使用，缺乏配置经验。后来经过查阅相关资料和上机实验发现FWSM的端口都是虚拟端口，不像其他防火墙都是配置物理端口。做完NAT和ACL配置后顺利通过测试。

3.2 CISCO PIX525的配置和调试

PIX525作为Internet和OA系统之间的桥梁至关重要，是通过Internet访问OA和OA客户端访问Internet的关键。在调试过程中，OA内网一直无法访问防火墙端口，排错后发现是防火墙对外端口发生了IP地址冲突，通过对冲突IP进行修改，OA内网可以顺利访问Internet，通过Internet也可以顺利访问WEB服务器。

4 OA系统网络在应用中的改进

4.1 服务器架构进行改进

OA系统服务器在设计时是2台，1台是WEB登录服务器，1台是数据库服务器。这种基于登录和数据分开的设计是防止在登陆拥挤的情况下服务器因为负载过重而导致当机，在大型的门户网站和游戏服务器经常会出现这种情况。但是热轧在实际使用过程中，通常登录终端在60～80之间，这种负载远远达不到服务器的承载上限，所以会造成服务器资源的浪费。

通过对OA系统进行改造，把WEB登录和数据库做在了一台服务器上，节省了一台服务器，并对OA服务器的硬盘系统进行RAID0+1的升级，不仅节省了备件费用，同时降低了系统故障时间。

4.2 网络架构的升级

OA系统在设计时，网络遍布全公司的管理岗位，并采用了VLAN的方式进行数据分流，这对日后的系统扩展打下了基础。

在实际使用过程中，VLAN进行了两方面扩展，增加了VLAN8和VLAN9。VLAN8是视频监控VLAN，在有OA网络的地点，只要接入VLAN8就能查看现场的视频数据，对专业管理人员来说，大大提高了工作效率。VLAN9是后勤VLAN，增加了公司园林管理和食堂收费系统，有OA网络的地点就可以查看食堂的计费数据和园林管理数据，方便了后勤人员，减少了工作量。

5 结束语

天铁热轧OA网络的建设保障了办公自动化系统的顺利运行，加快了热轧信息化建设的步伐，提高了办公效率，提升了信息传递的实效性，降低了办公成本，为热轧适应高效的现代化工作节奏奠定了坚实的基础。

Construction and Improvement of OA System Network in Tiantie Hot Rolling Mill

YANG Xiao
(Plate Hot Rolling Co.,Ltd.,Tianjin Tiantie Metallurgy Group,She County,Hebei Province 056404,China)

The paper roughly explains the network structure,hardware requirement and network construction process of OA system for Tiantie Hot Rolling Mill.The problems occurring during the process of system construction and commissioning are analyzed.Aiming at these problems,plan improvement and system upgrading are carried out.The smooth running of Tiantie Hot Rolling OA network is ensured and office efficiency improved.

office automation;network communication;switch;server

10.3969/j.issn.1006-110X.2014.06.014

2014-06-08

2014-06-27

杨骁（1983—），男，工程师，主要从事网络管理和系统维护工作。