大型制造企業(yè)網(wǎng)絡(luò)及安全系統(tǒng)的設(shè)計(jì)

1、<p>　　大型制造企業(yè)網(wǎng)絡(luò)及安全系統(tǒng)的設(shè)計(jì)</p><p>　　[摘 要]本文對(duì)大型制造企業(yè)網(wǎng)絡(luò)及安全系統(tǒng)的架構(gòu)設(shè)計(jì)進(jìn)行了初步的探討，探索制造企業(yè)網(wǎng)絡(luò)平臺(tái)建設(shè)架構(gòu)需求，進(jìn)而利用先進(jìn)的網(wǎng)絡(luò)及安全設(shè)備設(shè)計(jì)高速可靠的網(wǎng)絡(luò)平臺(tái)，并為企業(yè)網(wǎng)絡(luò)平臺(tái)提供完整可靠的安全解決方案。 </p><p>　　[關(guān)鍵詞]網(wǎng)絡(luò)架構(gòu) 路由設(shè)計(jì) </p><p>　　中圖分類號(hào)：TP

2、393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）14-0283-02 </p><p><b>　　1、前言 </b></p><p>　　大型制造企業(yè)的主干網(wǎng)絡(luò)及安全系統(tǒng)，作為支撐制造企業(yè)各種應(yīng)用（如：ERP、MES、OA等）的基礎(chǔ)平臺(tái)，設(shè)計(jì)和實(shí)施的重要性不言而喻。 </p><p>　　2、主干網(wǎng)絡(luò)及安全系統(tǒng)的總體架構(gòu)

3、 </p><p>　　2.1網(wǎng)絡(luò)安全系統(tǒng)的整體架構(gòu) </p><p>　　主干網(wǎng)絡(luò)架構(gòu)總體上分為四大區(qū)域 ：互聯(lián)網(wǎng)接入?yún)^(qū)、管理網(wǎng)、生產(chǎn)網(wǎng)、L2/L3系統(tǒng)互聯(lián)專網(wǎng)區(qū)域?；ヂ?lián)網(wǎng)接入?yún)^(qū)主要實(shí)現(xiàn)和互聯(lián)網(wǎng)或分支機(jī)構(gòu)的連接，公司辦公樓為管理網(wǎng)的中心，生產(chǎn)管控中心大樓為生產(chǎn)網(wǎng)和L2/L3系統(tǒng)互聯(lián)的中心。 </p><p>　　主干網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)的特點(diǎn)： </p>

4、<p>　　主干網(wǎng)絡(luò)劃分為管理網(wǎng)和生產(chǎn)網(wǎng)。 </p><p>　　在每一個(gè)網(wǎng)絡(luò)區(qū)域之間用防火墻系統(tǒng)實(shí)現(xiàn)隔離，定義相應(yīng)的安全策略和防火墻系統(tǒng)的安全認(rèn)證，保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。 </p><p>　　安裝在防火墻系統(tǒng)內(nèi)側(cè)的病毒防火墻及入侵檢測(cè)與防護(hù)系統(tǒng)，可以有效地防治來(lái)自外部網(wǎng)絡(luò)系統(tǒng)的病毒攻擊以及對(duì)網(wǎng)絡(luò)及主機(jī)的黑客攻擊。 </p><p>　　通過(guò)防火

5、墻系統(tǒng)實(shí)現(xiàn)生產(chǎn)網(wǎng)、管理網(wǎng)、互聯(lián)網(wǎng)之間的訪問(wèn)。對(duì)于需要對(duì)外提供Web、Mail服務(wù)的計(jì)算機(jī)系統(tǒng)，部署在相應(yīng)的防火墻DMZ區(qū)域之內(nèi)，保證上述系統(tǒng)安全、可靠地對(duì)外提供服務(wù)。 </p><p>　　L2系統(tǒng)對(duì)實(shí)時(shí)性和穩(wěn)定性的要求非常高，同時(shí)對(duì)L2系統(tǒng)的安全防護(hù)尤其需要重視。L2/L3系統(tǒng)通信互聯(lián)專用網(wǎng)絡(luò)系統(tǒng)通過(guò)防火墻實(shí)現(xiàn)與生產(chǎn)主干網(wǎng)絡(luò)隔離，專門為L(zhǎng)2過(guò)程控制機(jī)提供可靠的網(wǎng)絡(luò)接入，實(shí)現(xiàn)與應(yīng)用系統(tǒng)的通信。 </p>

6、;<p>　　2.2 互聯(lián)網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)結(jié)構(gòu) </p><p>　　2.3 管理網(wǎng)網(wǎng)絡(luò)架構(gòu) </p><p>　　管理網(wǎng)主要用于提供位于非生產(chǎn)功能區(qū)域的企業(yè)管理職能信息系統(tǒng)的聯(lián)網(wǎng)，并作為信息安全緩沖區(qū)域，為互聯(lián)網(wǎng)或分支結(jié)構(gòu)的接入提供安全保障。 </p><p>　　管理網(wǎng)采用雙星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，中心節(jié)點(diǎn)采用兩臺(tái)互為備份的核心交換機(jī)。各單元的辦公樓配置分布

7、層/接入層交換機(jī)，并以雙路上聯(lián)到兩臺(tái)核心交換機(jī)。 </p><p>　　2.4生產(chǎn)網(wǎng)網(wǎng)絡(luò)架構(gòu) </p><p>　　生產(chǎn)網(wǎng)按生產(chǎn)區(qū)域劃分為幾個(gè)區(qū)，其中以生產(chǎn)管控中心大樓作為生產(chǎn)網(wǎng)的中心節(jié)點(diǎn)。生產(chǎn)主干網(wǎng)采用星環(huán)層次結(jié)構(gòu)，在各生產(chǎn)區(qū)域的主干網(wǎng)節(jié)點(diǎn)各部署二臺(tái)互為備份的網(wǎng)絡(luò)核心設(shè)備。 </p><p>　　2.5 L2/L3系統(tǒng)通信互聯(lián) </p><p&

8、gt;　　L2網(wǎng)絡(luò)系統(tǒng)采用按生產(chǎn)單元區(qū)域集中的方式進(jìn)行規(guī)劃設(shè)計(jì)， 在生產(chǎn)管控中心設(shè)立L2網(wǎng)絡(luò)系統(tǒng)互聯(lián)中心節(jié)點(diǎn)，各生產(chǎn)單元區(qū)域設(shè)立一個(gè)分中心節(jié)點(diǎn)（L2匯聚節(jié)點(diǎn)）。中心節(jié)點(diǎn)與分中心節(jié)點(diǎn)互連，網(wǎng)絡(luò)設(shè)備做到雙機(jī)熱備份功能。（注：L2系統(tǒng)：過(guò)程控制機(jī)，基本上都是跟蹤，有接受上位機(jī)的管理信息，并回饋傳遞生產(chǎn)數(shù)據(jù)。 L3系統(tǒng)：區(qū)域管理機(jī)，區(qū)域管理基本上按照生產(chǎn)制造單元分，接受L4生產(chǎn)管理信息，并上傳實(shí)績(jī)。） </p><p>

9、　　3、IP地址總體分配方案 </p><p>　　主干網(wǎng)絡(luò)使用C類私有IP地址：192.168.0.0-192.168.255.255。L2網(wǎng)絡(luò)使用B類私有IP地址：172.16.0.0-172.16.255.255，與主干網(wǎng)系統(tǒng)地址分開(kāi)，供生產(chǎn)控制信息系統(tǒng)使用。 </p><p>　　主干網(wǎng)絡(luò)全部開(kāi)通組播路由功能，使用D類私有IP地址：239.1.0.0，供視頻信號(hào)等使用。 </

10、p><p>　　3.1 主干網(wǎng)IP地址范圍 </p><p>　　主干網(wǎng)絡(luò)IP地址范圍為：192.168.0.0-192.168.255.255。這些IP地址主要分配用途如下：主干網(wǎng)絡(luò)設(shè)備路由接口IP地址、生產(chǎn)網(wǎng)絡(luò)IP地址、管理網(wǎng)絡(luò)IP地址、服務(wù)器專用IP地址等。 </p><p>　　3.1.1 管理網(wǎng)IP地址范圍 </p><p>　　管理網(wǎng)

11、的IP范圍為192.168.1.0/24-192.168.63.0/24子網(wǎng)內(nèi)，子網(wǎng)掩碼為255.255.255.0，具體安排如下： </p><p>　　192.168.1.0/24-192.168.47.0/24供管理網(wǎng)的終端用戶使用； </p><p>　　192.168.58.0/24為管理網(wǎng)服務(wù)器區(qū)專用子網(wǎng)，供服務(wù)器專用； </p><p>　　192.1

12、68.60.0-192.168.61.255按29位掩碼分，作為管理網(wǎng)節(jié)點(diǎn)路由互聯(lián)鏈路專用地址段； </p><p>　　其他子網(wǎng)：192.168.48.0/24-192.168.57.0/24，192.168.59.0/24，192.168.62.0/24，192.168.63.0/24預(yù)留。 </p><p>　　用戶子網(wǎng)的1-200分配給用戶，201-254為網(wǎng)絡(luò)設(shè)備保留地址，網(wǎng)關(guān)地

13、址為254。 </p><p>　　3.1.2 生產(chǎn)網(wǎng)IP地址范圍 </p><p>　　生產(chǎn)網(wǎng)的IP范圍為：192.168.64.0/24-192.168.254.0/24子網(wǎng)內(nèi)，子網(wǎng)掩碼為255.255.255.0，具體安排如下： </p><p>　　192.168.64.0/24-192.168.199.0/24供生產(chǎn)網(wǎng)的終端用戶使用； </p>

14、<p>　　192.168.[200-210].0/24為管控中心服務(wù)器專用子網(wǎng)，供服務(wù)器專用； </p><p>　　192.168.220.0/24-192.168.230.0/24為各分支機(jī)構(gòu)網(wǎng)絡(luò)區(qū)域使用； </p><p>　　192.168.250.0-192.168.251.255按29位掩碼分，作為生產(chǎn)網(wǎng)核心層路由互聯(lián)鏈路專用地址段； </p>&

15、lt;p>　　其他子網(wǎng)：192.168.[211-219].0/24，192.168. [231-249].0/24，192.168. [252-255].0/24 作為預(yù)留。 　　用戶子網(wǎng)的1-200分配給用戶，201-254為網(wǎng)絡(luò)設(shè)備保留地址，網(wǎng)關(guān)地址為254。 </p><p>　　3.2 L2網(wǎng)IP地址范圍 </p><p>　　L2網(wǎng)絡(luò)使用B類的私有IP地址：172.16

16、.0.0-172.16.255.255，子網(wǎng)掩碼為255.255.255.0，具體安排如下： </p><p>　　172.16.1.0/24-172.16.199.0/24供L2網(wǎng)的終端用戶使用； </p><p>　　172.16.[200-210].0/24為服務(wù)器專用子網(wǎng)，供服務(wù)器專用； </p><p>　　172.16.250.0-172.16.251.

17、255按29位掩碼分，作為L(zhǎng)2路由互聯(lián)鏈路專用地址段； </p><p>　　其他未使用的網(wǎng)段作為預(yù)留。 </p><p>　　用戶子網(wǎng)的1-200分配給用戶，201-254為網(wǎng)絡(luò)設(shè)備保留地址，網(wǎng)關(guān)地址為254。 </p><p>　　3.3 組播地址范圍 </p><p>　　組播使用D類IP地址：239.1.0.0，子網(wǎng)掩碼為：255.2

18、55.255.0，具體安排如下： </p><p><b>　　4、路由設(shè)計(jì) </b></p><p>　　考慮到現(xiàn)有網(wǎng)絡(luò)技術(shù)以及應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)可靠性的要求，主干網(wǎng)采用OSPF路由協(xié)議和靜態(tài)路由協(xié)議相結(jié)合，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)的路徑冗余和網(wǎng)絡(luò)系統(tǒng)的快速收斂。 </p><p>　　4.1 路由區(qū)域的劃分 </p><p>

19、;　　管理網(wǎng)、生產(chǎn)網(wǎng)區(qū)域運(yùn)行OSPF路由協(xié)議交換路由信息，L2/L3專網(wǎng)區(qū)域運(yùn)行靜態(tài)路由。 </p><p>　　4.2路由的層次化設(shè)計(jì) </p><p>　　生產(chǎn)網(wǎng)核心層： 運(yùn)行OSPF協(xié)議，并向同層次核心設(shè)備和所連接分布層設(shè)備發(fā)布路由，并同時(shí)接收對(duì)方路由。 </p><p>　　生產(chǎn)網(wǎng)分布層：運(yùn)行OSPF協(xié)議，接收上聯(lián)的核心層設(shè)備路由，并向?qū)Ψ桨l(fā)布路由。對(duì)本地接

20、入層設(shè)備不接收也不發(fā)布路由。 </p><p>　　生產(chǎn)網(wǎng)接入層：不運(yùn)行路由協(xié)議。 </p><p>　　L2/L3專網(wǎng)不啟動(dòng)態(tài)路由，在主交換機(jī)上啟VLAN本地路由，對(duì)外連接使用靜態(tài)路由。 </p><p>　　管理網(wǎng)各節(jié)點(diǎn)設(shè)備運(yùn)行OSPF協(xié)議，并彼此接收和發(fā)布路由信息，對(duì)本地上聯(lián)的接入設(shè)備不發(fā)布路由，也不接收對(duì)方路由。 </p><p>　

21、　靜態(tài)路由主要應(yīng)用在生產(chǎn)區(qū)和管理區(qū)之間及管理區(qū)內(nèi)部。 </p><p><b>　　5、VLAN劃分 </b></p><p>　　主干網(wǎng)絡(luò)（包括管理網(wǎng)和生產(chǎn)網(wǎng)）的VLAN劃分采用2個(gè)層次，即主干網(wǎng)絡(luò)節(jié)點(diǎn)層和服務(wù)器/終端接入層，具體規(guī)劃如下： </p><p>　　管理網(wǎng)服務(wù)器及用戶終端接入VLAN，使用VLAN ID號(hào)為1～99。 </

22、p><p>　　生產(chǎn)網(wǎng)服務(wù)器及用戶終端接入VLAN，使用VLAN ID號(hào)為100～199。 </p><p>　　主干網(wǎng)絡(luò)節(jié)點(diǎn)之間的VLAN，使用VLAN ID號(hào)為200～250。 </p><p>　　6、主干網(wǎng)交換機(jī)的基本參數(shù)配置 </p><p>　　主干網(wǎng)交換機(jī)參數(shù)主要需要確定System配置、Loopback 地址、、生成樹(shù)設(shè)計(jì)、端口配

23、置、Vlan劃分、ospf路由參數(shù)、組播路由參數(shù)等。 </p><p><b>　　7、防火墻設(shè)計(jì) </b></p><p>　　7.1 出口防火墻的設(shè)計(jì) </p><p>　　在管理網(wǎng)出口部署一臺(tái)防火墻，實(shí)現(xiàn)企業(yè)與互聯(lián)網(wǎng)、分支機(jī)構(gòu)之間的訪問(wèn)控制和隔離，通過(guò)制定嚴(yán)格的訪問(wèn)控制策略，以保證企業(yè)內(nèi)部的系統(tǒng)安全。 </p><p&

24、gt;　　7.2管理網(wǎng)與生產(chǎn)網(wǎng)之間防火墻設(shè)計(jì) </p><p>　　辦公大樓的2臺(tái)核心交換機(jī)為生產(chǎn)網(wǎng)與管理網(wǎng)所共用，而由防火墻進(jìn)行二者之間的隔離。2臺(tái)交換機(jī)做熱備份，2塊防火墻采用主/備的工作模式。 </p><p>　　防火墻設(shè)置成路由模式，劃分下列VLAN與安全區(qū)域： </p><p>　　7.3 主機(jī)與生產(chǎn)網(wǎng)之間防火墻設(shè)計(jì) </p><p&

25、gt;　　生產(chǎn)管控中心節(jié)點(diǎn)的2臺(tái)核心交換機(jī)為生產(chǎn)網(wǎng)與主機(jī)接入所共用，而由防火墻進(jìn)行二者之間的隔離。2臺(tái)核心交換機(jī)做熱備份，2塊防火墻采用主/備的工作模式。 </p><p>　　防火墻設(shè)置成路由模式，劃分下列VLAN與安全區(qū)域： </p><p><b>　　8、入侵防護(hù)系統(tǒng) </b></p><p>　　入侵防護(hù)系統(tǒng)的安全目標(biāo)是實(shí)時(shí)地、全天候

26、地對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行安全保護(hù)。當(dāng)網(wǎng)絡(luò)和主機(jī)遭到攻擊時(shí)，入侵防護(hù)系統(tǒng)能夠立即檢測(cè)并給予響應(yīng)，在系統(tǒng)實(shí)際遭受危害之前堵住入侵行為，并對(duì)入侵的影響進(jìn)行相應(yīng)的檢測(cè)。 </p><p>　　在企業(yè)出口防火墻中內(nèi)置一套IDP入侵防護(hù)模塊，實(shí)時(shí)監(jiān)控所有進(jìn)出企業(yè)網(wǎng)絡(luò)的流量，并對(duì)可疑流量行為產(chǎn)生報(bào)警日志。 </p><p><b>　　9、防病毒系統(tǒng) </b></p>&l

27、t;p>　　防病毒系統(tǒng)采用多級(jí)管理結(jié)構(gòu)，由管理網(wǎng)的一臺(tái)防病毒控制中心（主控服務(wù)器）對(duì)其它區(qū)域防病毒服務(wù)器（區(qū)域服務(wù)器）進(jìn)行統(tǒng)一管理。比如防病毒服務(wù)器共部署5臺(tái)，分配情況如下： </p><p>　　管理網(wǎng)3臺(tái)，其中1臺(tái)防病毒控制中心、2臺(tái)區(qū)域防病毒服務(wù)器； </p><p>　　生產(chǎn)網(wǎng)2臺(tái)，均為區(qū)域防病毒服務(wù)器。 </p><p>　　防病毒控制中心每天從In

28、ternet定時(shí)更新病毒定義以及所安裝的防病毒產(chǎn)品和組件。4臺(tái)區(qū)域防病毒服務(wù)器分別對(duì)各自所在區(qū)域的客戶端進(jìn)行統(tǒng)一管理。 </p><p>　　10、WSUS系統(tǒng) </p><p>　　Windows操作系統(tǒng)的安全問(wèn)題越來(lái)越受到關(guān)注，微軟每隔一段時(shí)間都要發(fā)布修復(fù)系統(tǒng)漏洞的補(bǔ)丁，但很多用戶不能及時(shí)使用這些補(bǔ)丁修復(fù)系統(tǒng)，以致造成重大損失。此外，現(xiàn)在局域網(wǎng)的規(guī)模越來(lái)越大，手工為每臺(tái)客戶機(jī)安裝補(bǔ)丁的

29、工作量太大，很難實(shí)現(xiàn)。Windows Server Update Service（簡(jiǎn)稱WSUS）由網(wǎng)絡(luò)管理員在局域網(wǎng)內(nèi)部獨(dú)自構(gòu)建，可將微軟的最新補(bǔ)丁發(fā)送給用戶。它分為服務(wù)器端和客戶端兩部分，可為1.5萬(wàn)個(gè)用戶提供升級(jí)服務(wù)。 </p><p>　　設(shè)計(jì)在5臺(tái)防病毒服務(wù)器上安裝WSUS服務(wù)端軟件，并通過(guò)設(shè)置使它們形成分布式管理拓?fù)洌瑢?duì)管理網(wǎng)及生產(chǎn)網(wǎng)區(qū)域內(nèi)所有的Windows操作系統(tǒng)以及office等微軟產(chǎn)品進(jìn)行補(bǔ)丁升