中型制造企业IT基础架构解决方案

　　行业类型：机械制造企业

　　终端数量：900个

　　应用类型：IT基础架构

　　一、应用场景

　　XX公司是一个新建的3000人左右的中小型机械制造企业，本项目需要在公司的新厂区、办公大楼以及分支机构中完成整体IT基础设施的构建。新厂区中的生产部门包括生产车间2个、库房一个；办公区有三个，分别是厂区的两个大楼(间隔100米，以下分别简称为甲办公楼和乙办公楼)，以及同城市不同地域的一个大楼内(简称为丙办公楼)；国内分支机构有5个。

　　各个区域的具体情况如下：

　　1、 每个生产车间有2台电脑，库房内有2台电脑。

　　2、 厂区的甲办公楼内有400台电脑，乙办公楼内有300台电脑，部分是台式机，部分是笔记本电脑；甲办公楼一部分在2楼，有150台电脑，一部分在6楼，有250台电脑；乙办公楼300台电脑都分布在一个办公室。各个办公室均为开放式。甲办公楼的一楼配有90平米的机房室，已经装修好。配电室在隔壁，市电已经配好。

　　3、 位于同城市不同区域的丙办公楼有50台电脑，分布在一个楼层的敞开式办公室。

　　4、国内分支机构的人员从5-30人不等，但是最多不超过30人，每人有一台电脑。

　　二、需求分析

　　通过对项目背景情况的了解，以及和用户的交流，归纳出以下11条本项目的具体需求：

　　(1)要求每台电脑都能接入公司内部网络；办公区的电脑以及分支机构的电脑能接入互联网；库房及生产车间的电脑接入公司的局域网，要求与广域网隔离；

　　(2)公司的库存数据、财务数据要求有备份存储；

　　(3)公司将会建设自己的ERP、CRM、OA等系统，要求IT基础设施提供支撑，但是本方案不要求提供ERP、CRM、OA等系统的技术与产品的选型；

　　(4)公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构与总部之间需要经常开会讨论；要求用IT设施来提高效率并节省成本。

　　(5)公司与分支机构之间经常会传输大量的数据与文件，要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度，同时保证数据传输的安全性；

　　(6)公司网络安全性、稳定性要求比较高，同时有对公司内部文件的安全保密的需求；

　　(7)公司希望能够有效控制员工的上网行为，比如：老板不受任何限制，其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，上下班时间有不同的上网权限等等；

　　(8)公司希望每个员工根据职位的不同，对内部局域网资源的访问权限不同；

　　(9)公司希望无线局域网覆盖整个办公区域(不包括各个分支机构)；

　　(10)公司部分领导、销售部员工经常出差，有远程接入公司网络、移动办公的需求；

　　(11)公司的生产车间、大门口、库房等地的摄像头要求可以时时监控，并且要求一个月内的监控数据可以查询。

　　三、推荐解决方案

　　1、总体设计

　　针对企业的需求，在设计中分成城域网、厂区网、远程接入、信息安全控制、存储与备份、服务器、机房设备及布线这7个子系统。下面分别做简要的说明。

　　1.1 城域网子系统设计

　　位于同一个城市中的丙办公区和厂区的网络互联，是一个跨城域网的局域网连接。由于在本项目中，丙办公区和厂区的甲、乙办公楼之间的联系紧密，公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，而且公司员工之间经常会传输大量的数据与文件，所以丙办公区和厂区的数据传输速度要有保证，而且要保证数据传输的安全性。

　　基于这样的考虑，采用基于MPLS的VPN来连接丙办公区和厂区。这个服务是由电信运营商来提供的，线路和终端设备均由电信运营商来负责，提供给企业的是一条安全的2层MPLS VPN通道。丙办公区的用户上网是通过厂区的互联网出口，这样保证了信息传输的安全性，而且保障了传输速度。

　　厂区Internet的出口，配置了电信和网通两条线路，让员工访问南北线路都感觉很快，而且更重要的是，让远程用户和分支机构能以更快的速度访问企业网。

　　1.2、厂区网子系统设计

　　厂区的园区网比较复杂，甲办公楼内的2层和6层需要建设百兆到桌面的内部局域网，然后需要光纤汇聚到一楼机房的两台互为冗余核心交换机上。而且为了笔记本用户上网，还需要搭建无线网络。库房和车间的电脑以及视频监控终端也需要用光纤连接到甲办公楼的汇聚交换机上。

　　1.3、远程接入子系统设计

　　对于分支机构，和市内丙办公区采用MPLS VPN连接方式的情况不同，首先是分支机构人数少，带宽要求要低很多，另外，长途的MPLS VPN价格要比市内昂贵很多。所以采用基于IPSec的VPN的连接方式，双方都需要配置IPSec VPN设备，然后分支机构在当地采用电信运营商提供的Internet连接线路即可搭建成到企业网络的安全VPN通道。为了加快分支机构访问企业网的速度，IPSec VPN设备需要带有广域网加速功能。

　　对于出差在外的员工和领导，采用免客户端的SSL VPN方式接入企业网。SSL VPN简便易行，在远程连接上Internet上直接在浏览器上就可以操作，安全访问企业网的内部资源。

　　1.4、信息安全控制子系统设计

　　研究表明，在企业发生的安全泄密事件中，内部失窃密所占据的比例最大，其次才是来自外面的威胁。所以本项目中，在企业网内部核心交换机上部署信息审计和上网行为控制系统。虽然该系统并非串联在Internet线路和核心交换机之间，但是其具有发送控制信息复位非授权访问和操作的功能。内部信息的非授权泄密能被其关键字审计系统拦截并记录。

　　内部用户接入厂区网，需要得到认证和授权后方可接入，目前采用802.1x技术才实现。没有经过认证的用户，所接的交换机端口对其是关闭状态，杜绝非法访问。

　　对于外来的入侵和威胁，采用防火墙进行过滤，对外只开放有限的端口如WWW、EMAIL，并把访问目标限定在特定的服务器上。

　　1.5、存储与备份子系统设计

　　公司的库存数据和财务数据都是非常重要的数据，不仅需要要非常快递地存取，而且保证数据的安全。即使出现数据破坏，也需要能够从备份数据中恢复。基于这样的需求，决定采用专用的IP SAN存储备份系统。充分利用企业现有的TCP/IP网络，价格比FC SAN有很多的优势，而且性能上完全能达到企业的需求。

　　1.6、服务器子系统设计

　　企业网上要运行ERP、CRM、OA等系统，而且整个网络的访问控制、视频监控数据以及Windows主域控制器都需要运行在服务器上，服务器选择基于X86平台的高性能服务器，服务器都配备双网卡，一块网卡连接汇聚交换机，另外一块网卡连接到存储区域的交换机上，运行iSCSI协议存取IP SAN数据。

　　1.7、机房设备及布线子系统设计

　　在机房中需要配置UPS不间断电源主机和电池柜、核心交换机和服务器的机柜以及空调、换气设备。而且所有的光缆都在机房汇聚，然后通过法兰盘跳转到核心服务器上进行交换。在布线的时候严格按照结构化布线系统来进行设计，保证所有的信息点都通过线缆测试仪的测试并记录结果存档。

　　2、使用MPLS VPN技术实现城域网的安全连接

　　为了达到安全连接的目的，本项目中丙办公区和厂区之间的连接采用电信运营商提供的MPLS VPN，为什么选择基于MPLS VPN而不选择其它类型的VPN呢？首先，丙办公区和厂商之间并无电信线路直接相连接，而且由于要跨越城市建筑，企业自己拉光缆的可能性微乎其微，而且成本极大。而如果直接申请专线，在价格上没有任何优势。在MPLS VPN这样技术成熟并被电信运营商应用之前，使用专线是迫不得已的方法。

　　让我们首先来看看MPLS VPN技术的特性。MPLS VPN在IP路由和控制协议的基础上提供面向连接(基于标记)的交换，MPLS如同一个垫层，它用于向IP提供连接服务，而它自己又从第二层(如PPP、ATM、Ethernet等)得到链路层服务。MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道是十分容易的。MPLS VPN需要公共IP网内部的所有相关路由器都能够支持MPLS，所以这种技术对网络有较为特殊的要求，MPLS VPN的实施必须由运营商进行。MPLS VPN适用于对于网络资源的利用率、网络的可靠性有较高要求的VPN业务。要利用MPLS VPN技术实现的二层VPN，能提供类似ATM、FR的二层端到端的专线连接，给企业提供高带宽的二层透明通路，企业可以自定义规划其网络结构和地址。

　　二层MPLS VPN适合有二层透明传输链路需求，希望维护自己的路由信息，网络拓扑结构为点对点或星型结构的用户。需要部署MPLS VPN的用户需要满足一下的条件：

　　(1)各VPN端点均能连接到当地电信运营商的MPLS VPN网络；

　　(2)各端点位置固定不变；

　　(3)对于网络的QoS、实时性和可管理性有较高要求的用户。

　　产品推荐

　　推荐采用电信运营商提供的10M的MPLS VPN，每个月的运营费用才7800，属于企业可以承受的范围，而且带宽满足丙办公区50个用户的访问需求。

　　3、办公区网络部署

　　在甲办公区，由于2楼和6楼的接入数量庞大，在2楼配置4台交换机，可以满足了2楼150员工的接入需求，而且留有余量提供给其它的设备的接入如网络打印机和无线AP等网络设备。在6楼配置6台交换机满足250个用户以及其它网络设备的接入需求。接入交换机都通过千兆上连模块连接到汇聚交换机上，保证带宽的充裕。

　　在乙办公区和丙办公区采用同一个品牌和型号的好处是管理维护方便，而且采购的时候能够得到很好的价格。在乙办公区部署7台交换机，在丙办公区采用2台RG-S2150给50个用户使用。

　　产品推荐

　　3.1 接入层交换机推荐使用锐捷的RG-S2150G交换机。该交换机提供48端口10/100自适应以太网电口，带有千兆电口/光纤上连模块，而且支持802.1x接入认证协议。

　　所选产品介绍：

　　3.2汇聚层交换机推荐使用锐捷可网管全线速三层交换机RG-S5750，具体型号为S5750-24GT/12SFP， 带有24个10/100/1000M自适应端口，12个复用的SFP接口。这些千兆接口既满足了和接入交换机的千兆电口连接，又保证了有充裕的千兆接口和核心交换机进行光纤冗余连接。

　　3.3核心交换机推荐采用2台锐捷RG-S6506组成，它们之间运行虚拟路由协议VRRP，两个交换机互为备份，提供不间断的数据传输的能力。RG-S6506机箱式交换机提供了众多的千兆光纤接口，直接和来自汇聚层的千兆光纤进行连接，提供了高可靠的千兆带宽。

　　3.4无线接入推荐采用2台锐捷RG-P-P780企业级无线AP完成对整个厂区的覆盖，这2台RG-P-P780分别部署在甲办公楼的6层和乙办公楼，甲办公楼的2层完全可以接收到6层无线AP的信号，无需单独再部署无线AP。甲乙办公楼因为相距100米，这两个AP组成一个综合覆盖体，完成对整个厂区的无线接入。在丙办公楼，由于只需要在开放式办公室内进行无线接入，选择锐捷室内RG-WG54P室内型无线局域网接入点进行部署即可达到需求。

　　4、信息安全控制

　　信息安全控制设计在两个方向上。一个就是从Internet进入到企业网的方向上，部署了防火墙。另外一个方向就是内部员工访问外网的方向上，采用了信息审计和上网行为控制设备。

　　产品推荐

　　4.1防火墙推荐采用锐捷的RG-WALL 120百兆防火墙，在其上设置由外到内的访问规则，把服务器以及远程接入的服务器都设置在停火区SSN，内网用户放置在内网区。

　　4.2信息审计和上网行为控制系统，推荐采用任天行T3000网络安全管理系统来达到内网管理的需求。

　　任天行提供了互联网安全控制的全面解决方案。其安装于网络出口的交换机或共享HUB上，以旁路监听的方式工作，可以在完全不影响原有网络运行的情况下详实记录网络内的各种网络行为。有效的对网络用户的行为进行多种方式的分组策略控制，实现个性化管理；过滤各类不良信息；防止公司紧密敏感信息的外泄；对日志进行深度挖掘，使管理者能更有针对性地加强网络管理。

　　5、存储与备份

　　随着业务要求的不断提高和计算机的深入应用，企业IT环境出现了数据量迅速增长的情况。对原来分散存储的数据，迫切需要进行统一存储与管理，以降低成本；当数据集中处理之后，数据安全的风险随之增加，因此“备份”也成为IT环境中的一个重要热点。现有的数据存储方式，存在以下一些问题：

　　数据共享性差

　　只要各部门相互之间有工作联系就会产生共享访问数据资源的需求。但是由于各部门的数据被分散在不同服务器和存储阵列中，数据不在一个地址空间，无法实现共享，只能通过服务器之间的数据频繁复制和传输，通常需要人为发出请求和手工操作文件传送，这不仅很容易造成某台服务器成为性能瓶颈和故障点，而且极大影响了工作效率。

　　存储资源得不到充分利用

　　分散的存储资源需要单独进行容量管理和扩容，并只能为所在部门的业务所使用，这样势必造成各个不同服务器和存储设备之间在负载、磁盘空间占用等方面出现不均衡的情况，却不能有效地进行资源平衡与调配，造成存储设备与硬盘空间的浪费。此外，存储设备无法灵活设置卷大小，需要预先分配空间，容易造成空间浪费，硬盘空间利用率低。

　　性能达不到要求

　　由于目前的普通文件服务器设备采用通用的UNIX操作系统以及NFS文件系统，没有对网络数据存储进行优化，不能适应大数据量的并发要求；另一方面，在Windows客户端安装的用于NFS方式访问数据的PC-NFS软件本身就存在性能瓶颈，达不到大量并发数据访问性能的要求。

　　数据保护程度不高

　　这些独立的服务器和存储设备都是单机配置，一旦出现故障，所存储的数据都会丢失；存储设备内部采用传统的单检验盘RAID方式，无法防止两块硬盘同时出现故障时造成的数据丢失；如果没有有效本地数据备份，工作人员误操作、误删除带来的业务风险很大。

　　鉴于旧存储架构中遇到的种种问题和潜在的风险，本项目中需要部署一套存储系统来解决目前的问题，并满足今后几年业务的迅速增长和持续发展。存储系统需要达到以下的目标：

　　集中化存储和数据管理：搭建一套网络存储系统，把各部门所有的数据资源都集中起来，至少在中心存储系统中做一个拷贝，集中式地存储并管理数据，极大降低管理的复杂性和维护成本。

　　容量分配和安全权限管理：由于共享访问的需求，中心存储系统可以给许多用户分配存储空间，并能够随时调整空间配额。另外，不同用户和工作站访问的权限不同，需要一套功能强大、简单易行的访问权限管理和监控方案。

　　数据保护策略：这要求存储系统必须通过先进的技术手段，如RAID保护、本地备份、异地容灾等，保证软硬件的可靠性、数据的可用性、安全性、完整性等。

　　强大的共享访问性能：集中式存储需要同时支持各种不同的应用，如数据库、小文件、大文件等，并且客户端服务器或工作站往往配置不同的操作系统。这就需要存储设备能支持异构环境下的完全透明的访问，并提供许多客户端工作站并发访问时稳定的高带宽，轻松应对访问高峰。

　　产品推荐

　　推荐采用锐捷的基于iSCSI协议的RG-iS900 IP SAN产品。采用IP SAN，可以充分利用企业现有的TCP/IP网络，价格比FC SAN有很多的优势，而且性能上完全能达到企业的需求。

　　7、远程接入

　　分支机构和总部的连接方式，采用基于IPSec的VPN的连接方式。对于出差在外的员工和领导，采用免客户端的SSL VPN方式接入企业网。SSL VPN简便易行，在远程连接上Internet上直接在浏览器上就可以操作，安全访问企业网的内部资源。为了简化设备管理，在选择设备的时候，选择了IPSec和SSL同时支持而且可以同时运行的设备。

　　产品推荐

　　推荐采用锐捷的VPN设备RG-Wall V200以及RG-Wall V50，支持IPSec VPN和SSL VPN同时使用。总部配备RG-Wall V200，分支机构配置RG-Wall V50。

　　8、机房UPS

　　本项目的网络中心机房位于厂区一办公楼一层，面积约为90平方米，目前的状况为：地面铺设镜面地砖，墙面为白色乳胶漆，顶面为600×600方板轻质吊顶、顶装空调(中央系统)。装修计划分为主机房区、监控区、配电室三个区域。目前除了空调系统、市电系统、配电室设有总配电室的出口以外，机房内没有任何设备。

　　机房电气系统的要求如下：

　　1、 数据中心供配电系统应为380V/200V、50HZ，计算机供电质量达到A级。

　　2、 供配电方式为双路供电系统加UPS电源及柴油发电机设备，并对空调系统和其他用电设备单独供电，以避免了空调系统启停对重要用电设备的干扰。供电系统的负荷包含如下方面：

　　服务器功率

　　单台服务器功率 ╳ 服务器台数 = 总功率

　　UPS总功率：

　　一般采用n+1备份方案，亦即并联UPS台数多加壹台，以防止某一台机组出现故障。

　　目前UPS效率均在90%以上，故按照服务器总功率可以计算出UPS的总KVA数。

　　工作区恒温恒湿精密空调负荷：

　　工作区面积╳200~250 kcal/hr /m2 = 总的空调所需制冷量

　　按上述数据即可确定精密空调的数量，同时亦可确定空调所耗费电功率。

　　办公区空调、照明等负荷

　　其它用负荷

　　由上可以计算出一个数据中心机房所需的用电负荷总功率。

　　产品推荐

　　推荐采用山特公司提供的型号为 3C10KS的UPS，设计功率为10KV，能充分满足了本项目的需求。UPS的主机和配件清单如下：

　　山特UPS售后服务：在正常使用下，主机由山特全国联保三年，电池三年上门保换。保修期满后仍享有供方提供的长期维修服务，非正常保修的需收取零件及维修成本费。