国际化企业的网络管理中心规划研究

湘潭电机股份有限公司 刘 浩

1 现状及目标

过去几年里，信息化建设的工作重点主要侧重于应用系统的建设，对网络建设并没有太大的投入，更多的只关注其连通性以及日常管理。网络的可管理性不强，数据中心内服务器大部分是直接连接公司内网核心交换机上，出于对端口数量的考虑，也有几台是通过较低端交换机接入核心交换机上，对于安全、管理、可扩展性和易维护性等方面的考虑较少，给数据中心带来了不小的安全隐患。

如何高效、有效地利用网络资源、优化网络架构，使核心网、接入网具有更高的可靠性和可控性，同时，使得网络结构与布局在结合实际业务分布的前提下更加合理。结合公司现状，我们需要设计一个全新的、基于纯IP技术的网络平台来满足集团网络的需求变化。

2 网络中心的设计理念

在网络整体设计中，采用分层、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置，将网络的可靠性、安全性、先进性、易维护性、可扩展性发挥到最好，从而最终实现建设完善和先进的数字化平台的目的。

根据信息化网络的建设标准，可采用标准的分层设计或分功能区设计来部署网络中心。按分层设计来划分网络的话，可分为三层：核心层、汇聚层、接入层（含无线）；按功能区域来划分，可分为数据中心管理区、服务器接入区、园区网接入区、DMZ区、网络出口区、分支机构接入区、移动外出接入区等。

3 网络中心规划设计

4 设计说明

核心模块是整个平台的枢纽，一旦核心模块出现异常而不能及时恢复的话，会造成整个平台业务的长时间中断，影响巨大。因此，核心交换机需具备高性能处理能力，以应对大量的突发流量。为保障其可靠性及不间断运行，考虑双机部署，两台核心交换机通过10GE端口进行互联，利用虚拟化堆叠技术虚拟成一台。这样不仅提供整个园区网络的快速收敛，而且还能实现数据转发的负载分担，减轻单条链路的数据传输压力。核心交换区采用“万兆到核心，千兆接入”的设计思路：核心模块应避免部署访问控制策略（如ACL、路由过滤等），保证核心模块业务的单纯性与松耦合，便于下联功能模块扩展时，不影响核心业务，同时提高核心模块的稳定性；在核心交换机上部署网络流量分析模块，可以实时感知，作为网络优化及调整的依据。对汇聚层，考虑双机部署与虚拟化堆叠技术，提升设备性能、提高设备的可靠性，将故障恢复时间控制在50ms内。

服务器接入交换机部署双机，并采用IRF虚拟化，将两台物理设备虚拟化为一台逻辑设备，实现跨设备链路捆绑，与核心交换机配合实现端到端IRF。此外服务器双网关配置成双活模式（Act ive-Act ive）；各服务器接入交换机上部署Sec Bl ade FW插卡，用于本区域与其它区域的访问控制策略部署。企业应用区部署FW+IPS+LB插卡；服务器网关部署在接入交换机上，防火墙插卡与接入交换机以及核心交换机之间运行OSPF动态路由，实现FW的双机热备。为服务器虚拟化提供强有力的保障。

分支机构、合作伙伴、移动用户的接入需要制定不同的解决方案来进行管理。针对以上不同接入用户，我们采用安全接入网关与安全管理平台相结合的方式设计接入方案：针对大型分支机构，可采用运营商租光纤的方式；对于小型分支机构，采用IPsec VPN接入访问；而移动出差人员，可继续通过SSL VPN方式接入；国外的分公司，则可考虑通过香港出口专线的方式或SSL VPN方式接入。详细接无线需实现车间和生产区不适合布置有线的区域无线覆盖，解决车间布线困难，和布线后信息点难移动的麻烦。同时企业可以和移动网络运营商合作实现智能终端软件的开发实现并推送到手机，实现高层领导通过移动终端接入运营商的3G网络，处理办公事务。还可以在办公楼、食堂、会议室等地布置外网无线，实现集团内部的网络全覆盖，公共区域的无线覆盖采用免费的形式为员工和客户提供上网功能，但限制单个用户带宽，保证园区网核心业务数据不受影响。总体设计采用“无线控制器+瘦AP”的组网模式，不方便布置电源的地方可以在楼层配置带POE口的交换机。无线控制器采用插卡的形式部署部署在核心交换机上，通过核心的可靠性保证无线控制器的可靠性。通过接入认证、Por t认证来保证无线的安全。

企业园区网建设主要是为企业的生产、研发、办公等业务提供信息化平台。如何控制企业网络各应用（数据流）之间相互隔离，是网络前期规划的一个重点。结合单位的业务需要和使用情况，最后决定使用VLAN+ACL的方式。我们可以把视频数据、研发数据、办公数据等不同的数据流放在不同的VLAN中，通过QOS设置他们的优先级，做到重要的、及时性要求高的数据先流通，实现企业应用（数据流）的走向，同时可以使用ACL规则限制各业务间的互访。

5 核心交换机的选择

我们初步拟定使用性价比最高的H3C的设备。经调研了解到，用得最多的是S12508和S12518两种型号的交换机，由于两款交换机性能高，且适应我公司网络建设的需求，故今后的网络建设中，拟在这两款中选择任意的一款来进行网络中心的改造升级。

6 网络中心运维管理设计

国际化企业网络管理中心的建设，网络的可管理性是衡量该网络管理中心的重要指标。随着集团的国际化进程越来越快，网络规模越来越大，如何对网络进行有效的统一管理，是摆在网络管理员面前的一个重要课题，经过对各大网络厂商管理软件综合对比，决定采用H3C IMC的智能管理系统。

IMC智能管理中心是以业务管理和业务流程模型为核心，采用面向服务(SOA)的设计思想，为我们提供网络业务、资源和用户的融合管理解决方案，实现网络业务的端到端管理，同时以全开放的、组件化的架构原型，向平台及其承载业务提供分布式、分级式交互管理特性;并为业务软件的下一代产品提供最可靠的、可扩展的、高性能的业务平台。

IMC智能管理平台不仅为系统各业务组件的集成提供了包括统一权限控制、SOA框架、统一操作日志管理、各组件License控制、分布式安装等基本功能，而且还为用户提供了包括操作员管理、资源管理、拓扑管理、性能管理、告警管理、配置管理、Sysl og管理、及操作日志管理等网络管理功能，以及资产管理、VLAN管理、ACL管理、虚拟化网络管理、安全控制中心、来宾接入管理、报表管理等基础业务功能。

7 总结

新规划后的网络中心采用分层、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置，将网络的可靠性，安全性，先进性， 易维护性，可扩展性发挥到最好，使办公人员可以随时随地处理与业务相关的任何事情。单位信息资源高度共享，工作更加轻松有效，整体运作更加协调，从而最终实现建设完善和先进的数字化平台的目的 ，我们相信新的企业网络中心规划会为企业的国际化进程提供有力保障。