韩占涛 王正
中国路桥作为一家在全球范围内从事大型基础设施建设和投资业务的国际化企业,主要业务遍布全球,分别在亚洲、非洲、欧洲、美洲60多个国家和地区设立了驻外机构。这些驻外机构多位于第三世界国家,网络建设与网络安全防护等方面有所不足。
为贯彻执行“国际化优先发展”战略,公司亟须打造资源共享、业务协同、支撑决策的全球网络基础架构,加强网络安全方面建设,提升全球范围内的信息支撑能力,推进信息化建设标准化进程。在公司“十三五”信息化规划总体框架下,需对公司海外网络建设进行深入规划与相关改造,以满足公司业务发展对信息化支撑能力的要求。
一、建设目标
根据海外网络建设现状,结合中国交建香港汇聚中心和欧洲汇聚中心,在充分利用中国交建资源的前提下,完成以下内容:对海外网络进行全局规划,提高各驻外机构与公司总部之间的网络连接效率;按照驻外机构的不同规模等级,制定网络建设规范,提升各驻外机构信息化业务的连续性、稳定性与安全性。
二、现状分析
1.公司还没有统一的海外网络架构规划,海外网络建设均由各驻外机构自行搭建,搭建过程中没有标准规范,造成各驻外机构的网络现状参差不齐,具体体现在网络拓扑结构、设备型号、IP设置等方面随意性较大,管理支持成本很高,因此公司信息化管理部无法为各驻外机构提供及时有效的技术支持。
2.公司驻外机构主要通过加速网关WOC设备或SSL VPN客户端的方式与总部建立局域网连接,其中共有27个驻外机构使用WOC设备与总部配对连接,部分驻外机构因办公地点分散购置了多个WOC设备,但所有的驻外机构均未配置冗余WOC设备,在海外硬件设备售后服务无法及时保障的大背景下,存在较大的隐患。
3.公司总部IP地址未完全按照中国交建统一要求进行配置,驻外机构的IP地址完全没有规划,亟需进行规划改造,否则会在公司总部与驻外机构互联甚至中国交建广域网接入的过程中出现IP冲突、业务中断等问题。
三、总体规划
公司全球网络总体架构依托中国交建全球广域网的建设,根据公司总部和各驻外机构对财务类、生产经营类、人力资源类、设备资产类等数据的集中管理、共享交换和备份安全等需求,以大数据、下一代网络、虚拟化等核心理论技术体系,从基础设施、网络与安全等方面搭建信息资源集中存储、统一管理、统一服务的全球一体化网络平台,为公司总部各应用系统提供良好的运行环境和高效的服务,同时也可向驻外机构提供云服务/数据/存储/计算资源的能力。建设思路如下:
1.依托中国交建广域网,驻外机构通过海外汇聚中心跳转,访问公司总部业务。通过专线跳过长城防火墙以及解决互联网带宽竞争激烈的问题,有效提升链接效率,减小延时和丢包率。
2.按照驻外机构不同规模等级,制定网络建设规范,按照“统一规范、统一采购、统一配置、统一支持”的原则进行驻外机构的本地网络建设,满足驻外机构办公上网需求,便于公司信息化管理部为各驻外机构提供统一的技术支持。
四、建设方案
(一)海外网络建设
随着中国交建香港汇聚中心和欧洲汇聚中心的建设,公司可依托中国交建的平台搭建更适合自身业务的海外网络广域网,有效提高公司总部与驻外机构的连接效率,增强公司在业务上对各驻外机构的管控与支撑力度。规划建设步骤如下所示:
1.利用中国交建广域网,扩大公司与中国交建间的专线带宽,在保证视频会议和财务数据备份的带宽基础上,通过相关网络策略划分部分带宽专用于海外网络建设中数据传输。
2.搭建公司香港节点的基本网络架构,接入到中国交建的网络中,通过安全设备隔离广域网接入区,将公司总部WOC设备推向前端,并做冗余处理,拓扑架构详见下图;各驻外机构连接到香港的WOC设备,通过路由策略选路专线经中国交建北京总部,最终访问公司总部的业务,有效解决中国大陆地区出口带宽受限的问题,减少延时和丢包率;个人用户连接集团海外汇聚中心的SSL VPN设备,接入公司内网。
3.中国交建欧洲汇聚中心建成后,可按同样配置建设公司欧洲汇聚节点。根据各驻外机构所处区域及运营商,分别连接到香港汇聚节点和欧洲汇聚节点,为达到最好的连接效果,香港汇聚节点连接中东、东南亚、澳洲和美洲地区,欧洲汇聚节点连接非洲和欧洲地区。
4.在香港汇聚节点和欧洲汇聚节点安装服务器,通过云服务的方式,将重点项目的海外核心数据存储在汇聚节点中,各驻外机构只搭建可供正常快速上网的网络架构,有效避免因海外人员技术能力薄弱带来的黑客入侵、政治动荡导致的核心数据硬盘被抢掠等情况的发生,为海外网络信息安全保驾护航。
(二)駐外机构网络建设规范
1.规范适用范围
规范是公司所属驻外机构网络建设的规范性指导文件,适用于各子公司、分公司、办事处、代表处及项目部的网络建设工作。
根据公司各驻外机构的人员规模,对驻外机构提出三个不同等级建设建议,等级划分规则如下:
三级要求:驻外机构需要接入网络的人员大于等于100人;
二级要求:驻外机构需要接入网络的人员大于等于10人小于100人;
一级要求:驻外机构需要接入网络的人员小于10人。
2.组网结构
采用与公司总部相匹配的WOC设备,实现本地互联网的接入及总部局域网的互连,进一步加速业务访问、文件的传输速度。其中三级等级要求的驻外机构建议配置WOC设备冗余,使网络连接更加可靠。
对于三级等级要求的驻外机构推荐采购多台局域网设备,实现设备的冗余配置,以满足网络高可靠性的要求;对于二级等级要求的驻外机构,需按照一定层次搭建局域网,无强制冗余要求。
三级等级要求的驻外机构,局域网用户通过接入交换机接入,接入端口数量须考虑一定预留,可按照实际接入的定员用户(PC)数量的1.2~1.5倍进行配置。
局域网设备在具备条件的情况下应安装在机房内,机房环境要求环境整洁、恒温恒湿,建议安装静电地板、温控设备、UPS供电设备。
3.网络带宽
三级等级要求的驻外机构,办公局域网需实现千兆桌面的网络接入能力,接口为100 Base-T /1000Base-T自适应接口。
二级等级要求的驻外机构,办公局域网应实现百兆桌面的网络接入能力,接口为100 Base-T接口。
一级等级要求的驻外机构,无具体要求,满足实际使用需求即可。
根据本地办公人数,建议网络带宽:
10人以下: 不小于5M,10人至30人: 5M~20M,30人以上: 20M以上.
4.网络安全
局域网采用VLAN技术实现局域网用户的逻辑隔离,须根据职能部门或业务类型进行VLAN的设计。
区域公司本部局域网宜采用动态地址分配方式,局域网设备可为DHCP服务器。在动态地址分配方式下,局域网须实现VLAN功能,隔离外部接入设备;对于内部设备配置IP地址与MAC地址的动态绑定,不在绑定表的IP地址不能接入网络,防止IP中间人攻击或IP欺骗行为。
驻外机构局域网可采用动态地址或静态地址分配方式,在动态地址分配方式下,局域网设备可为DHCP服务器。
(三)IP地址规划策略
中国交建发布的《IP地址规划标准》将10.3.0.0/255.255.0.0地址空间分配给公司统一管理,并由公司分配给总部各职能部门及各驻外机构使用。公司IP地址规划采用如下策略:
1.公司总部网络机房IP地址划分参照中国交建《IP地址规划标准》进行。
2.各驻外机构均分配两个C类地址段,网络设备、服务器备必须按照要求统一规划在第一個C类地址段中,客户端接入规划在第二个C类地址段中。
3.子网划分方案后续将制定详细的《IP地址规划表》,方案中主要采用掩码为255.255.255.0,255.255.255.128,255.255.255.192和255.255.255.224的子网。
4.其中较稳定的驻外机构,可分配长期使用的IP网段,对于新成立的非常建制机构,可采用动态管理的模式分配IP网段,待该机构注销后回收备用。