摘 要:
关键词:
在信息技术快速发展的时代,企业发展与信息技术的关系日益密切,企业创新日益加快信息化规划无疑将成为企业创新和发展过程中最重要的工作,也是企业发展的助推剂。特别在烟草行业中,国家烟草专卖局及各工商企业高度重视行业信息化建设工作。在行业“十二五”信息化发展规划中,总公司制订了行业信息化总体技术架构,拓展卷烟生产经营决策管理系统使用功能,推进调控信息支持系统、财务管理信息系统、烟叶基地单元软件等重点项目建设,信息化建设取得新的进展。在烟草行业信息化高度发展的同时,网络基础建设作为各信息化系统的支撑平台,更是重中之重,设想,如果没有了网络,各系统不能投入正常使用,势必会影响到生产的正常运行,也必定会给企业带来一定的损失。
1.系统改造背景
1.1烟草企业信息化综述
烟草企业信息化是将网络、制丝工控、数据中心、视频监控、动力监控、Internet以及电子商务运用到企业的市场调研、产品研发、技术改造、质量控制、供应链、资金周转、成品物流等全过程,从而实现企业现代化。企业信息化的目的是为了提高企业运作效率、降低成本、进一步提升企业竞争力。信息化包括三个层次:网络平台、数据平台和应用系统。应用系统如ERP(企业资源计划)、CRM(客户关系管理)、SCM(供应链管理)等,无不是构建在网络平台之上,所以烟草企业的信息化,首先是基础网络平台建设。网络平台应该能同时满足企业对办公网络、生产网络、视频网络、动力监控网络、internet等多网融合的综合网络基础平台。
1.2重庆卷烟厂的网络部署情况
目前烟厂网络平台建设时间较早,主要采用了5年前的技术架构(传统的网络架构),随着规模的扩大以及多网融合带来的安全问题,使原有的网络越来越不能满足需求,主要暴露的问题有以下几点:
1) 扩展功能差,如划分VLAN、QoS/ACL管理等,无法有效隔离网络风暴;且网络出现故障后无法快速有效的定位,增加管理难度;
2) 主干线路带宽合理利用率低,在数据传输高峰易形成传输瓶颈;并且冗余架构技术陈旧,关键节点存在单点故障;
3) 数据缺乏整合,无法提高竞争力;
4) 信息技术使用有限,办公管理效率低下;
5) 信息化安全管理手段匮乏,缺乏精细化管理。其中包括技术局限带来的计算机病毒的防治、软件中的漏洞发现及维护和重要数据的保密等,以及管理缺失带来的企业信息泄密等。
因此,要解决上述问题,应对日益激烈的市场化竞争,提高自身企业竞争力,基础平台架构的优化及改造迫在眉睫。
2.具体改造方案
2.1总体设计规划
为快速、低成本优化及改造现有网络基础平台架构,采取总体统一规划、分期逐步实施的原则,同时结合烟厂目前的运作管理模式、充分考虑各应用系统的需要,运用成熟的网络和系统建设技术,同时兼顾系统的先进性、可扩展性、高可靠性和高安全性的原则来建设。
烟厂基础网络平台建设可总体分为三个大的阶段:
(1)现有网络平台的架构改造阶段
针对现有网络基础平台的不足,结合目前先进的网络技术与安全控制手段,对原来传统的网络架构体系进行彻底的架构改造,实现扁平化架构的多网融合的综合网络基础平台,该网络平台需具备精细化的控制能力。
(2)网络平台的冗余优化阶段
在第一阶段的基础上,优化网络基础平台的冗余架构,扩充骨干节点的链路带宽,实现网络基础平台具备链路、设备全冗余架构。
(3)网络平台扩展与维护阶段
为保障网络基础平台的稳定运行、丰富网络平台功能,实现数据流量管理系统、运维管理平台系统等。随着信息化得发展,网络平台的扩展,如无线覆盖、增加汇聚节点、扩充核心设备容量等
2.2具体方案设计
优化后的网络系统架构采用区域模块化设计理念,并采用扁平化网络架构,各区域模块担任各自独立的功能区域,根据各区域担任的不同功能及性能需求分别独立设计。各区域通过核心交
换设备互联,形成统一整体。随着信息化的发展需求,未来只需要增加或完善各功能区域,无需改动整体网络平台架构,最大限度的保护烟厂的投资,具备良好的扩充性。结合烟厂目前信息化的需求,设计为1个核心交换区域、4个功能区域。
(1)核心交换区域
核心交换区域担任各功能区域间的高速交换,需具备高性能、高可靠、高冗余性等特点,并负责信息点的3层链路QinQ终结,实现各信息点的安全隔离和精细化控制管理。
核心路由器采用一台万兆级核心路由器,该路由器具备BAS功能。核心路由器与各功能区域3层互联,与互联区域和安全控制区域的互联骨干链路采用全千兆ETH线路;与数据中心区域和信息点汇聚区域的互联骨干链路采用万兆光纤链路。在核心路由器上启用BAS功能和部署IPOE技术,为每个用户动态分配逻辑接口,根据不同的VLAN外层标签,使用户获得不同类型的IP地址。一类型的IP地址代表一类VPN用户。同时核心路由器还实现为每个用户在接入网络时的安全接入认证。
(2)数据中心区域
数据中心区域是烟厂的服务器核心区域。为各应用系统提供网络、安全的基础承载平台。
数据中心区域部署一台全千兆线速集群交换机,为各服务器提供高速的交换平台。而数据中心区域的出口部署一台Juniper SRX650万兆级模块化防火墙担任,为数据中心区域提供安全防护,同时根据各应用系统的特点划分不同的ZONE,提供不同等级的安全策略,控制用户到各安全服务器区域的访问控制以及不同安全服务器区域的访问控制 。防火墙均采用万兆光链路与核心区域的核心路由器和数据中心区域的交换机互联,形成骨干万兆链路。
(3)信息点汇聚区域
信息点汇聚区域担任各信息点的汇接工作和VLAN的隔离工作。在扁平化的网络架构下,信息点汇聚区域对于用户是透明的,用户是直接与核心路由器建立3层关系。根据重烟信息点的分布情况,需建立2个汇聚中心节点。综合厂房汇聚节点和科技大楼汇聚节点。采用2台千兆全线速的集群交换机,分别部署在两个汇聚节点,担任汇聚交换机。接入交换机延用原有交换设备。
在接入层交换机上部署每端口一个独立VLAN,同时在汇聚交换机启用QinQ功能,实现各信息点间的2层链路隔离。汇聚交换机采用万兆光链路与核心路由器互联,而核心路由器动态生成的DUMX接口实现各信息点的3层隔离。
(4)互联区域
根据目前的网络规模,互联
区域中包含了2个子区域:互联网区域和广域网区域。本次改造中对这两个子区域的架构不做任何调整,两个子区域的边界防火墙通过千兆链路与核心区域的核心路由器实现千兆3层互联。
(5)安全控制区域
安全控制区域实现用户接入网络的准入控制。准入控制的实现方式采用准入控制设备与各安全边界的防火墙设备联动配合实现。用户终端设备上无需安装任何控件。准入控制设备负责用户的认证和相关策略下发,而防火墙担任安全控制的执行点。因此在安全控制区域部署一台策略服务器(准入控制设备)。将用户获得的IP地址和认证用户名动态关联、根据用户名的权限动态下发策略到各边界防火墙,实现精细化访问控制管理。
3.改造方案的平台优势
3.1差异化服务
基于传统交换机为核心的网络架构,它没法在业务层面进行接入用户的服务区分,如生产专网、财务专网、办公专网等不同服务群体的接入;也无法在接入层面给用户提供不同的服务,如带宽、服务器质量QOS、出口资源选择等。而基于IPoE的用户接入方式,能直接通过针对用户生成的DSI接口实施不同的策略。如根据用户的账号实施差异化的服务,可直接将接入用户纳入到其专属子网,如视频专网、生产专网、员工专网等;也可以针对用户的接入需求提供不同的服务等级,如2M带宽接入、10M带宽接入等。
3.2精细化管理
基于IPoE的接入能够针对应用提供更多的精细化控制手段,如服务等级QOS、带宽保障,基于时间的ACL、以及安全性和可靠性等内容。
3.3安全性的提升
如前面所述,由于实施了扁平化的接入层改造,因此在基于“Per User Per VLAN”的方式下,将能够彻底消除园区网常见的ARP欺骗、病毒交叉感染、DDOS攻击扫描等问题。用户的网关全部指向核心BAS设备,用户间的互访也将全部由核心BAS设备来进行控制。即便不能做到“Per User Per VLAN”时,如 “Per 科室 Per VLAN”情形下,则可以做到以科室为单位解决部门间相关ARP欺骗、病毒攻击等问题,可大大降低ARP病毒的出现概率和影响范围。
(1) 业务应用的扩展
大型企业园网内应用业务系统多种多样,如跟生产息息相关的MES系统、OA系统、财务系统、Email系统;跟办工相关的视频会议系统、测试系统,跟园区安全监控相关的门禁系统、监控系统等等。 这些系统在业务上存在部分要隔离、部分又要互通的需求。如何在一张平面的物理网上提供多个逻辑隔离的网络平面,并且能实施相应的隔离和互访策略成为园区网建设成功与否的一个关键。
(2) 管理维护的优化
IPoE的方案将用户的管理维护从网络设备的管理维护中分离出来,IPoE无需关注接入层交换机的状态,接入层交换机的管理将由专门的设备网管软件来完成,如基于SNMP的网管软件;而核心BAS动态实现用户的接入控制和管理维护,如完成用户的上线、下线、策略调整、策略下发等动作。
综上所述,IPoE作为一种新型的接入技术,能针对烟厂的业务应用需求,带来一种深层次的 “技术变革”。让烟厂网络不再是“黑匣子”,变无序为有序、变不可控为可控;真正实现差异化服务和精细化管理,并能针对烟厂最为关注的安全问题、IPv6全网实现、业务扩展、管理维护等方面提供更为卓越的解决方案。
