论文部分内容阅读
[摘 要]本文对大型制造企业网络及安全系统的架构设计进行了初步的探讨,探索制造企业网络平台建设架构需求,进而利用先进的网络及安全设备设计高速可靠的网络平台,并为企业网络平台提供完整可靠的安全解决方案。
[关键词]网络架构 路由设计
中图分类号:TP393.18 文献标识码:A 文章编号:1009-914X(2016)14-0283-02
1、前言
大型制造企业的主干网络及安全系统,作为支撑制造企业各种应用(如:ERP、MES、OA等)的基础平台,设计和实施的重要性不言而喻。
2、主干网络及安全系统的总体架构
2.1网络安全系统的整体架构
主干网络架构总体上分为四大区域 :互联网接入区、管理网、生产网、L2/L3系统互联专网区域。互联网接入区主要实现和互联网或分支机构的连接,公司办公楼为管理网的中心,生产管控中心大楼为生产网和L2/L3系统互联的中心。
主干网络安全系统架构的特点:
主干网络划分为管理网和生产网。
在每一个网络区域之间用防火墙系统实现隔离,定义相应的安全策略和防火墙系统的安全认证,保护企业内部网络系统的安全。
安装在防火墙系统内侧的病毒防火墙及入侵检测与防护系统,可以有效地防治来自外部网络系统的病毒攻击以及对网络及主机的黑客攻击。
通过防火墙系统实现生产网、管理网、互联网之间的访问。对于需要对外提供Web、Mail服务的计算机系统,部署在相应的防火墙DMZ区域之内,保证上述系统安全、可靠地对外提供服务。
L2系统对实时性和稳定性的要求非常高,同时对L2系统的安全防护尤其需要重视。L2/L3系统通信互联专用網络系统通过防火墙实现与生产主干网络隔离,专门为L2过程控制机提供可靠的网络接入,实现与应用系统的通信。
2.2 互联网接入区网络结构
2.3 管理网网络架构
管理网主要用于提供位于非生产功能区域的企业管理职能信息系统的联网,并作为信息安全缓冲区域,为互联网或分支结构的接入提供安全保障。
管理网采用双星型网络拓扑结构,中心节点采用两台互为备份的核心交换机。各单元的办公楼配置分布层/接入层交换机,并以双路上联到两台核心交换机。
2.4生产网网络架构
生产网按生产区域划分为几个区,其中以生产管控中心大楼作为生产网的中心节点。生产主干网采用星环层次结构,在各生产区域的主干网节点各部署二台互为备份的网络核心设备。
2.5 L2/L3系统通信互联
L2网络系统采用按生产单元区域集中的方式进行规划设计, 在生产管控中心设立L2网络系统互联中心节点,各生产单元区域设立一个分中心节点(L2汇聚节点)。中心节点与分中心节点互连,网络设备做到双机热备份功能。(注:L2系统:过程控制机,基本上都是跟踪,有接受上位机的管理信息,并回馈传递生产数据。 L3系统:区域管理机,区域管理基本上按照生产制造单元分,接受L4生产管理信息,并上传实绩。)
3、IP地址总体分配方案
主干网络使用C类私有IP地址:192.168.0.0-192.168.255.255。L2网络使用B类私有IP地址:172.16.0.0-172.16.255.255,与主干网系统地址分开,供生产控制信息系统使用。
主干网络全部开通组播路由功能,使用D类私有IP地址:239.1.0.0,供视频信号等使用。
3.1 主干网IP地址范围
主干网络IP地址范围为:192.168.0.0-192.168.255.255。这些IP地址主要分配用途如下:主干网络设备路由接口IP地址、生产网络IP地址、管理网络IP地址、服务器专用IP地址等。
3.1.1 管理网IP地址范围
管理网的IP范围为192.168.1.0/24-192.168.63.0/24子网内,子网掩码为255.255.255.0,具体安排如下:
192.168.1.0/24-192.168.47.0/24供管理网的终端用户使用;
192.168.58.0/24为管理网服务器区专用子网,供服务器专用;
192.168.60.0-192.168.61.255按29位掩码分,作为管理网节点路由互联链路专用地址段;
其他子网:192.168.48.0/24-192.168.57.0/24,192.168.59.0/24,192.168.62.0/24,192.168.63.0/24预留。
用户子网的1-200分配给用户,201-254为网络设备保留地址,网关地址为254。
3.1.2 生产网IP地址范围
生产网的IP范围为:192.168.64.0/24-192.168.254.0/24子网内,子网掩码为255.255.255.0,具体安排如下:
192.168.64.0/24-192.168.199.0/24供生产网的终端用户使用;
192.168.[200-210].0/24为管控中心服务器专用子网,供服务器专用;
192.168.220.0/24-192.168.230.0/24为各分支机构网络区域使用;
192.168.250.0-192.168.251.255按29位掩码分,作为生产网核心层路由互联链路专用地址段;
其他子网:192.168.[211-219].0/24,192.168. [231-249].0/24,192.168. [252-255].0/24 作为预留。 用户子网的1-200分配给用户,201-254为网络设备保留地址,网关地址为254。
3.2 L2网IP地址范围
L2网络使用B类的私有IP地址:172.16.0.0-172.16.255.255,子网掩码为255.255.255.0,具体安排如下:
172.16.1.0/24-172.16.199.0/24供L2网的终端用户使用;
172.16.[200-210].0/24为服务器专用子网,供服务器专用;
172.16.250.0-172.16.251.255按29位掩码分,作为L2路由互联链路专用地址段;
其他未使用的网段作为预留。
用户子网的1-200分配给用户,201-254为网络设备保留地址,网关地址为254。
3.3 组播地址范围
组播使用D类IP地址:239.1.0.0,子网掩码为:255.255.255.0,具体安排如下:
4、路由设计
考虑到现有网络技术以及应用系统对网络系统可靠性的要求,主干网采用OSPF路由协议和静态路由协议相结合,实现整个网络系统的路径冗余和网络系统的快速收敛。
4.1 路由区域的划分
管理网、生产网区域运行OSPF路由协议交换路由信息,L2/L3专网区域运行静态路由。
4.2路由的层次化设计
生产网核心层: 运行OSPF协议,并向同层次核心设备和所连接分布层设备发布路由,并同时接收对方路由。
生产网分布层:运行OSPF协议,接收上联的核心层设备路由,并向对方发布路由。对本地接入层设备不接收也不发布路由。
生产网接入层:不运行路由协议。
L2/L3专网不启动态路由,在主交换机上启VLAN本地路由,对外连接使用静态路由。
管理网各节点设备运行OSPF协议,并彼此接收和发布路由信息,对本地上联的接入设备不发布路由,也不接收对方路由。
静态路由主要应用在生产区和管理区之间及管理区内部。
5、VLAN划分
主干网络(包括管理网和生产网)的VLAN划分采用2个层次,即主干网络节点层和服务器/终端接入层,具体规划如下:
管理网服务器及用户终端接入VLAN,使用VLAN ID号为1~99。
生产网服务器及用户终端接入VLAN,使用VLAN ID号为100~199。
主干网络节点之间的VLAN,使用VLAN ID号为200~250。
6、主干网交换机的基本参数配置
主干网交换机参数主要需要确定System配置、Loopback 地址、、生成树设计、端口配置、Vlan划分、ospf路由参数、组播路由参数等。
7、防火墙设计
7.1 出口防火墙的设计
在管理网出口部署一台防火墙,实现企业与互联网、分支机构之间的访问控制和隔离,通过制定严格的访问控制策略,以保证企业内部的系统安全。
7.2管理网与生产网之间防火墙设计
办公大楼的2台核心交换机为生产网与管理网所共用,而由防火墙进行二者之间的隔离。2台交换机做热备份,2块防火墙采用主/备的工作模式。
防火墙设置成路由模式,划分下列VLAN与安全区域:
7.3 主机与生产网之间防火墙设计
生产管控中心节点的2台核心交换机为生产网与主机接入所共用,而由防火墙进行二者之间的隔离。2台核心交换机做热备份,2块防火墙采用主/备的工作模式。
防火墙设置成路由模式,划分下列VLAN与安全区域:
8、入侵防护系统
入侵防護系统的安全目标是实时地、全天候地对网络和主机进行安全保护。当网络和主机遭到攻击时,入侵防护系统能够立即检测并给予响应,在系统实际遭受危害之前堵住入侵行为,并对入侵的影响进行相应的检测。
在企业出口防火墙中内置一套IDP入侵防护模块,实时监控所有进出企业网络的流量,并对可疑流量行为产生报警日志。
9、防病毒系统
防病毒系统采用多级管理结构,由管理网的一台防病毒控制中心(主控服务器)对其它区域防病毒服务器(区域服务器)进行统一管理。比如防病毒服务器共部署5台,分配情况如下:
管理网3台,其中1台防病毒控制中心、2台区域防病毒服务器;
生产网2台,均为区域防病毒服务器。
防病毒控制中心每天从Internet定时更新病毒定义以及所安装的防病毒产品和组件。4台区域防病毒服务器分别对各自所在区域的客户端进行统一管理。
10、WSUS系统
Windows操作系统的安全问题越来越受到关注,微软每隔一段时间都要发布修复系统漏洞的补丁,但很多用户不能及时使用这些补丁修复系统,以致造成重大损失。此外,现在局域网的规模越来越大,手工为每台客户机安装补丁的工作量太大,很难实现。Windows Server Update Service(简称WSUS)由网络管理员在局域网内部独自构建,可将微软的最新补丁发送给用户。它分为服务器端和客户端两部分,可为1.5万个用户提供升级服务。
设计在5台防病毒服务器上安装WSUS服务端软件,并通过设置使它们形成分布式管理拓扑,对管理网及生产网区域内所有的Windows操作系统以及office等微软产品进行补丁升级管理,以提高网络终端用户的安全性。
参考文献
毛良,大型制造企业网络平台设计与实施,中国新通信。
[关键词]网络架构 路由设计
中图分类号:TP393.18 文献标识码:A 文章编号:1009-914X(2016)14-0283-02
1、前言
大型制造企业的主干网络及安全系统,作为支撑制造企业各种应用(如:ERP、MES、OA等)的基础平台,设计和实施的重要性不言而喻。
2、主干网络及安全系统的总体架构
2.1网络安全系统的整体架构
主干网络架构总体上分为四大区域 :互联网接入区、管理网、生产网、L2/L3系统互联专网区域。互联网接入区主要实现和互联网或分支机构的连接,公司办公楼为管理网的中心,生产管控中心大楼为生产网和L2/L3系统互联的中心。
主干网络安全系统架构的特点:
主干网络划分为管理网和生产网。
在每一个网络区域之间用防火墙系统实现隔离,定义相应的安全策略和防火墙系统的安全认证,保护企业内部网络系统的安全。
安装在防火墙系统内侧的病毒防火墙及入侵检测与防护系统,可以有效地防治来自外部网络系统的病毒攻击以及对网络及主机的黑客攻击。
通过防火墙系统实现生产网、管理网、互联网之间的访问。对于需要对外提供Web、Mail服务的计算机系统,部署在相应的防火墙DMZ区域之内,保证上述系统安全、可靠地对外提供服务。
L2系统对实时性和稳定性的要求非常高,同时对L2系统的安全防护尤其需要重视。L2/L3系统通信互联专用網络系统通过防火墙实现与生产主干网络隔离,专门为L2过程控制机提供可靠的网络接入,实现与应用系统的通信。
2.2 互联网接入区网络结构
2.3 管理网网络架构
管理网主要用于提供位于非生产功能区域的企业管理职能信息系统的联网,并作为信息安全缓冲区域,为互联网或分支结构的接入提供安全保障。
管理网采用双星型网络拓扑结构,中心节点采用两台互为备份的核心交换机。各单元的办公楼配置分布层/接入层交换机,并以双路上联到两台核心交换机。
2.4生产网网络架构
生产网按生产区域划分为几个区,其中以生产管控中心大楼作为生产网的中心节点。生产主干网采用星环层次结构,在各生产区域的主干网节点各部署二台互为备份的网络核心设备。
2.5 L2/L3系统通信互联
L2网络系统采用按生产单元区域集中的方式进行规划设计, 在生产管控中心设立L2网络系统互联中心节点,各生产单元区域设立一个分中心节点(L2汇聚节点)。中心节点与分中心节点互连,网络设备做到双机热备份功能。(注:L2系统:过程控制机,基本上都是跟踪,有接受上位机的管理信息,并回馈传递生产数据。 L3系统:区域管理机,区域管理基本上按照生产制造单元分,接受L4生产管理信息,并上传实绩。)
3、IP地址总体分配方案
主干网络使用C类私有IP地址:192.168.0.0-192.168.255.255。L2网络使用B类私有IP地址:172.16.0.0-172.16.255.255,与主干网系统地址分开,供生产控制信息系统使用。
主干网络全部开通组播路由功能,使用D类私有IP地址:239.1.0.0,供视频信号等使用。
3.1 主干网IP地址范围
主干网络IP地址范围为:192.168.0.0-192.168.255.255。这些IP地址主要分配用途如下:主干网络设备路由接口IP地址、生产网络IP地址、管理网络IP地址、服务器专用IP地址等。
3.1.1 管理网IP地址范围
管理网的IP范围为192.168.1.0/24-192.168.63.0/24子网内,子网掩码为255.255.255.0,具体安排如下:
192.168.1.0/24-192.168.47.0/24供管理网的终端用户使用;
192.168.58.0/24为管理网服务器区专用子网,供服务器专用;
192.168.60.0-192.168.61.255按29位掩码分,作为管理网节点路由互联链路专用地址段;
其他子网:192.168.48.0/24-192.168.57.0/24,192.168.59.0/24,192.168.62.0/24,192.168.63.0/24预留。
用户子网的1-200分配给用户,201-254为网络设备保留地址,网关地址为254。
3.1.2 生产网IP地址范围
生产网的IP范围为:192.168.64.0/24-192.168.254.0/24子网内,子网掩码为255.255.255.0,具体安排如下:
192.168.64.0/24-192.168.199.0/24供生产网的终端用户使用;
192.168.[200-210].0/24为管控中心服务器专用子网,供服务器专用;
192.168.220.0/24-192.168.230.0/24为各分支机构网络区域使用;
192.168.250.0-192.168.251.255按29位掩码分,作为生产网核心层路由互联链路专用地址段;
其他子网:192.168.[211-219].0/24,192.168. [231-249].0/24,192.168. [252-255].0/24 作为预留。 用户子网的1-200分配给用户,201-254为网络设备保留地址,网关地址为254。
3.2 L2网IP地址范围
L2网络使用B类的私有IP地址:172.16.0.0-172.16.255.255,子网掩码为255.255.255.0,具体安排如下:
172.16.1.0/24-172.16.199.0/24供L2网的终端用户使用;
172.16.[200-210].0/24为服务器专用子网,供服务器专用;
172.16.250.0-172.16.251.255按29位掩码分,作为L2路由互联链路专用地址段;
其他未使用的网段作为预留。
用户子网的1-200分配给用户,201-254为网络设备保留地址,网关地址为254。
3.3 组播地址范围
组播使用D类IP地址:239.1.0.0,子网掩码为:255.255.255.0,具体安排如下:
4、路由设计
考虑到现有网络技术以及应用系统对网络系统可靠性的要求,主干网采用OSPF路由协议和静态路由协议相结合,实现整个网络系统的路径冗余和网络系统的快速收敛。
4.1 路由区域的划分
管理网、生产网区域运行OSPF路由协议交换路由信息,L2/L3专网区域运行静态路由。
4.2路由的层次化设计
生产网核心层: 运行OSPF协议,并向同层次核心设备和所连接分布层设备发布路由,并同时接收对方路由。
生产网分布层:运行OSPF协议,接收上联的核心层设备路由,并向对方发布路由。对本地接入层设备不接收也不发布路由。
生产网接入层:不运行路由协议。
L2/L3专网不启动态路由,在主交换机上启VLAN本地路由,对外连接使用静态路由。
管理网各节点设备运行OSPF协议,并彼此接收和发布路由信息,对本地上联的接入设备不发布路由,也不接收对方路由。
静态路由主要应用在生产区和管理区之间及管理区内部。
5、VLAN划分
主干网络(包括管理网和生产网)的VLAN划分采用2个层次,即主干网络节点层和服务器/终端接入层,具体规划如下:
管理网服务器及用户终端接入VLAN,使用VLAN ID号为1~99。
生产网服务器及用户终端接入VLAN,使用VLAN ID号为100~199。
主干网络节点之间的VLAN,使用VLAN ID号为200~250。
6、主干网交换机的基本参数配置
主干网交换机参数主要需要确定System配置、Loopback 地址、、生成树设计、端口配置、Vlan划分、ospf路由参数、组播路由参数等。
7、防火墙设计
7.1 出口防火墙的设计
在管理网出口部署一台防火墙,实现企业与互联网、分支机构之间的访问控制和隔离,通过制定严格的访问控制策略,以保证企业内部的系统安全。
7.2管理网与生产网之间防火墙设计
办公大楼的2台核心交换机为生产网与管理网所共用,而由防火墙进行二者之间的隔离。2台交换机做热备份,2块防火墙采用主/备的工作模式。
防火墙设置成路由模式,划分下列VLAN与安全区域:
7.3 主机与生产网之间防火墙设计
生产管控中心节点的2台核心交换机为生产网与主机接入所共用,而由防火墙进行二者之间的隔离。2台核心交换机做热备份,2块防火墙采用主/备的工作模式。
防火墙设置成路由模式,划分下列VLAN与安全区域:
8、入侵防护系统
入侵防護系统的安全目标是实时地、全天候地对网络和主机进行安全保护。当网络和主机遭到攻击时,入侵防护系统能够立即检测并给予响应,在系统实际遭受危害之前堵住入侵行为,并对入侵的影响进行相应的检测。
在企业出口防火墙中内置一套IDP入侵防护模块,实时监控所有进出企业网络的流量,并对可疑流量行为产生报警日志。
9、防病毒系统
防病毒系统采用多级管理结构,由管理网的一台防病毒控制中心(主控服务器)对其它区域防病毒服务器(区域服务器)进行统一管理。比如防病毒服务器共部署5台,分配情况如下:
管理网3台,其中1台防病毒控制中心、2台区域防病毒服务器;
生产网2台,均为区域防病毒服务器。
防病毒控制中心每天从Internet定时更新病毒定义以及所安装的防病毒产品和组件。4台区域防病毒服务器分别对各自所在区域的客户端进行统一管理。
10、WSUS系统
Windows操作系统的安全问题越来越受到关注,微软每隔一段时间都要发布修复系统漏洞的补丁,但很多用户不能及时使用这些补丁修复系统,以致造成重大损失。此外,现在局域网的规模越来越大,手工为每台客户机安装补丁的工作量太大,很难实现。Windows Server Update Service(简称WSUS)由网络管理员在局域网内部独自构建,可将微软的最新补丁发送给用户。它分为服务器端和客户端两部分,可为1.5万个用户提供升级服务。
设计在5台防病毒服务器上安装WSUS服务端软件,并通过设置使它们形成分布式管理拓扑,对管理网及生产网区域内所有的Windows操作系统以及office等微软产品进行补丁升级管理,以提高网络终端用户的安全性。
参考文献
毛良,大型制造企业网络平台设计与实施,中国新通信。