版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、<p> 大型制造企業(yè)網(wǎng)絡(luò)及安全系統(tǒng)的設(shè)計</p><p> [摘 要]本文對大型制造企業(yè)網(wǎng)絡(luò)及安全系統(tǒng)的架構(gòu)設(shè)計進行了初步的探討,探索制造企業(yè)網(wǎng)絡(luò)平臺建設(shè)架構(gòu)需求,進而利用先進的網(wǎng)絡(luò)及安全設(shè)備設(shè)計高速可靠的網(wǎng)絡(luò)平臺,并為企業(yè)網(wǎng)絡(luò)平臺提供完整可靠的安全解決方案。 </p><p> [關(guān)鍵詞]網(wǎng)絡(luò)架構(gòu) 路由設(shè)計 </p><p> 中圖分類號:TP
2、393.18 文獻標識碼:A 文章編號:1009-914X(2016)14-0283-02 </p><p><b> 1、前言 </b></p><p> 大型制造企業(yè)的主干網(wǎng)絡(luò)及安全系統(tǒng),作為支撐制造企業(yè)各種應(yīng)用(如:ERP、MES、OA等)的基礎(chǔ)平臺,設(shè)計和實施的重要性不言而喻。 </p><p> 2、主干網(wǎng)絡(luò)及安全系統(tǒng)的總體架構(gòu)
3、 </p><p> 2.1網(wǎng)絡(luò)安全系統(tǒng)的整體架構(gòu) </p><p> 主干網(wǎng)絡(luò)架構(gòu)總體上分為四大區(qū)域 :互聯(lián)網(wǎng)接入?yún)^(qū)、管理網(wǎng)、生產(chǎn)網(wǎng)、L2/L3系統(tǒng)互聯(lián)專網(wǎng)區(qū)域。互聯(lián)網(wǎng)接入?yún)^(qū)主要實現(xiàn)和互聯(lián)網(wǎng)或分支機構(gòu)的連接,公司辦公樓為管理網(wǎng)的中心,生產(chǎn)管控中心大樓為生產(chǎn)網(wǎng)和L2/L3系統(tǒng)互聯(lián)的中心。 </p><p> 主干網(wǎng)絡(luò)安全系統(tǒng)架構(gòu)的特點: </p>
4、<p> 主干網(wǎng)絡(luò)劃分為管理網(wǎng)和生產(chǎn)網(wǎng)。 </p><p> 在每一個網(wǎng)絡(luò)區(qū)域之間用防火墻系統(tǒng)實現(xiàn)隔離,定義相應(yīng)的安全策略和防火墻系統(tǒng)的安全認證,保護企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全。 </p><p> 安裝在防火墻系統(tǒng)內(nèi)側(cè)的病毒防火墻及入侵檢測與防護系統(tǒng),可以有效地防治來自外部網(wǎng)絡(luò)系統(tǒng)的病毒攻擊以及對網(wǎng)絡(luò)及主機的黑客攻擊。 </p><p> 通過防火
5、墻系統(tǒng)實現(xiàn)生產(chǎn)網(wǎng)、管理網(wǎng)、互聯(lián)網(wǎng)之間的訪問。對于需要對外提供Web、Mail服務(wù)的計算機系統(tǒng),部署在相應(yīng)的防火墻DMZ區(qū)域之內(nèi),保證上述系統(tǒng)安全、可靠地對外提供服務(wù)。 </p><p> L2系統(tǒng)對實時性和穩(wěn)定性的要求非常高,同時對L2系統(tǒng)的安全防護尤其需要重視。L2/L3系統(tǒng)通信互聯(lián)專用網(wǎng)絡(luò)系統(tǒng)通過防火墻實現(xiàn)與生產(chǎn)主干網(wǎng)絡(luò)隔離,專門為L2過程控制機提供可靠的網(wǎng)絡(luò)接入,實現(xiàn)與應(yīng)用系統(tǒng)的通信。 </p>
6、;<p> 2.2 互聯(lián)網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)結(jié)構(gòu) </p><p> 2.3 管理網(wǎng)網(wǎng)絡(luò)架構(gòu) </p><p> 管理網(wǎng)主要用于提供位于非生產(chǎn)功能區(qū)域的企業(yè)管理職能信息系統(tǒng)的聯(lián)網(wǎng),并作為信息安全緩沖區(qū)域,為互聯(lián)網(wǎng)或分支結(jié)構(gòu)的接入提供安全保障。 </p><p> 管理網(wǎng)采用雙星型網(wǎng)絡(luò)拓撲結(jié)構(gòu),中心節(jié)點采用兩臺互為備份的核心交換機。各單元的辦公樓配置分布
7、層/接入層交換機,并以雙路上聯(lián)到兩臺核心交換機。 </p><p> 2.4生產(chǎn)網(wǎng)網(wǎng)絡(luò)架構(gòu) </p><p> 生產(chǎn)網(wǎng)按生產(chǎn)區(qū)域劃分為幾個區(qū),其中以生產(chǎn)管控中心大樓作為生產(chǎn)網(wǎng)的中心節(jié)點。生產(chǎn)主干網(wǎng)采用星環(huán)層次結(jié)構(gòu),在各生產(chǎn)區(qū)域的主干網(wǎng)節(jié)點各部署二臺互為備份的網(wǎng)絡(luò)核心設(shè)備。 </p><p> 2.5 L2/L3系統(tǒng)通信互聯(lián) </p><p&
8、gt; L2網(wǎng)絡(luò)系統(tǒng)采用按生產(chǎn)單元區(qū)域集中的方式進行規(guī)劃設(shè)計, 在生產(chǎn)管控中心設(shè)立L2網(wǎng)絡(luò)系統(tǒng)互聯(lián)中心節(jié)點,各生產(chǎn)單元區(qū)域設(shè)立一個分中心節(jié)點(L2匯聚節(jié)點)。中心節(jié)點與分中心節(jié)點互連,網(wǎng)絡(luò)設(shè)備做到雙機熱備份功能。(注:L2系統(tǒng):過程控制機,基本上都是跟蹤,有接受上位機的管理信息,并回饋傳遞生產(chǎn)數(shù)據(jù)。 L3系統(tǒng):區(qū)域管理機,區(qū)域管理基本上按照生產(chǎn)制造單元分,接受L4生產(chǎn)管理信息,并上傳實績。) </p><p>
9、 3、IP地址總體分配方案 </p><p> 主干網(wǎng)絡(luò)使用C類私有IP地址:192.168.0.0-192.168.255.255。L2網(wǎng)絡(luò)使用B類私有IP地址:172.16.0.0-172.16.255.255,與主干網(wǎng)系統(tǒng)地址分開,供生產(chǎn)控制信息系統(tǒng)使用。 </p><p> 主干網(wǎng)絡(luò)全部開通組播路由功能,使用D類私有IP地址:239.1.0.0,供視頻信號等使用。 </
10、p><p> 3.1 主干網(wǎng)IP地址范圍 </p><p> 主干網(wǎng)絡(luò)IP地址范圍為:192.168.0.0-192.168.255.255。這些IP地址主要分配用途如下:主干網(wǎng)絡(luò)設(shè)備路由接口IP地址、生產(chǎn)網(wǎng)絡(luò)IP地址、管理網(wǎng)絡(luò)IP地址、服務(wù)器專用IP地址等。 </p><p> 3.1.1 管理網(wǎng)IP地址范圍 </p><p> 管理網(wǎng)
11、的IP范圍為192.168.1.0/24-192.168.63.0/24子網(wǎng)內(nèi),子網(wǎng)掩碼為255.255.255.0,具體安排如下: </p><p> 192.168.1.0/24-192.168.47.0/24供管理網(wǎng)的終端用戶使用; </p><p> 192.168.58.0/24為管理網(wǎng)服務(wù)器區(qū)專用子網(wǎng),供服務(wù)器專用; </p><p> 192.1
12、68.60.0-192.168.61.255按29位掩碼分,作為管理網(wǎng)節(jié)點路由互聯(lián)鏈路專用地址段; </p><p> 其他子網(wǎng):192.168.48.0/24-192.168.57.0/24,192.168.59.0/24,192.168.62.0/24,192.168.63.0/24預留。 </p><p> 用戶子網(wǎng)的1-200分配給用戶,201-254為網(wǎng)絡(luò)設(shè)備保留地址,網(wǎng)關(guān)地
13、址為254。 </p><p> 3.1.2 生產(chǎn)網(wǎng)IP地址范圍 </p><p> 生產(chǎn)網(wǎng)的IP范圍為:192.168.64.0/24-192.168.254.0/24子網(wǎng)內(nèi),子網(wǎng)掩碼為255.255.255.0,具體安排如下: </p><p> 192.168.64.0/24-192.168.199.0/24供生產(chǎn)網(wǎng)的終端用戶使用; </p>
14、<p> 192.168.[200-210].0/24為管控中心服務(wù)器專用子網(wǎng),供服務(wù)器專用; </p><p> 192.168.220.0/24-192.168.230.0/24為各分支機構(gòu)網(wǎng)絡(luò)區(qū)域使用; </p><p> 192.168.250.0-192.168.251.255按29位掩碼分,作為生產(chǎn)網(wǎng)核心層路由互聯(lián)鏈路專用地址段; </p>&
15、lt;p> 其他子網(wǎng):192.168.[211-219].0/24,192.168. [231-249].0/24,192.168. [252-255].0/24 作為預留。 用戶子網(wǎng)的1-200分配給用戶,201-254為網(wǎng)絡(luò)設(shè)備保留地址,網(wǎng)關(guān)地址為254。 </p><p> 3.2 L2網(wǎng)IP地址范圍 </p><p> L2網(wǎng)絡(luò)使用B類的私有IP地址:172.16
16、.0.0-172.16.255.255,子網(wǎng)掩碼為255.255.255.0,具體安排如下: </p><p> 172.16.1.0/24-172.16.199.0/24供L2網(wǎng)的終端用戶使用; </p><p> 172.16.[200-210].0/24為服務(wù)器專用子網(wǎng),供服務(wù)器專用; </p><p> 172.16.250.0-172.16.251.
17、255按29位掩碼分,作為L2路由互聯(lián)鏈路專用地址段; </p><p> 其他未使用的網(wǎng)段作為預留。 </p><p> 用戶子網(wǎng)的1-200分配給用戶,201-254為網(wǎng)絡(luò)設(shè)備保留地址,網(wǎng)關(guān)地址為254。 </p><p> 3.3 組播地址范圍 </p><p> 組播使用D類IP地址:239.1.0.0,子網(wǎng)掩碼為:255.2
18、55.255.0,具體安排如下: </p><p><b> 4、路由設(shè)計 </b></p><p> 考慮到現(xiàn)有網(wǎng)絡(luò)技術(shù)以及應(yīng)用系統(tǒng)對網(wǎng)絡(luò)系統(tǒng)可靠性的要求,主干網(wǎng)采用OSPF路由協(xié)議和靜態(tài)路由協(xié)議相結(jié)合,實現(xiàn)整個網(wǎng)絡(luò)系統(tǒng)的路徑冗余和網(wǎng)絡(luò)系統(tǒng)的快速收斂。 </p><p> 4.1 路由區(qū)域的劃分 </p><p>
19、; 管理網(wǎng)、生產(chǎn)網(wǎng)區(qū)域運行OSPF路由協(xié)議交換路由信息,L2/L3專網(wǎng)區(qū)域運行靜態(tài)路由。 </p><p> 4.2路由的層次化設(shè)計 </p><p> 生產(chǎn)網(wǎng)核心層: 運行OSPF協(xié)議,并向同層次核心設(shè)備和所連接分布層設(shè)備發(fā)布路由,并同時接收對方路由。 </p><p> 生產(chǎn)網(wǎng)分布層:運行OSPF協(xié)議,接收上聯(lián)的核心層設(shè)備路由,并向?qū)Ψ桨l(fā)布路由。對本地接
20、入層設(shè)備不接收也不發(fā)布路由。 </p><p> 生產(chǎn)網(wǎng)接入層:不運行路由協(xié)議。 </p><p> L2/L3專網(wǎng)不啟動態(tài)路由,在主交換機上啟VLAN本地路由,對外連接使用靜態(tài)路由。 </p><p> 管理網(wǎng)各節(jié)點設(shè)備運行OSPF協(xié)議,并彼此接收和發(fā)布路由信息,對本地上聯(lián)的接入設(shè)備不發(fā)布路由,也不接收對方路由。 </p><p>
21、 靜態(tài)路由主要應(yīng)用在生產(chǎn)區(qū)和管理區(qū)之間及管理區(qū)內(nèi)部。 </p><p><b> 5、VLAN劃分 </b></p><p> 主干網(wǎng)絡(luò)(包括管理網(wǎng)和生產(chǎn)網(wǎng))的VLAN劃分采用2個層次,即主干網(wǎng)絡(luò)節(jié)點層和服務(wù)器/終端接入層,具體規(guī)劃如下: </p><p> 管理網(wǎng)服務(wù)器及用戶終端接入VLAN,使用VLAN ID號為1~99。 </
22、p><p> 生產(chǎn)網(wǎng)服務(wù)器及用戶終端接入VLAN,使用VLAN ID號為100~199。 </p><p> 主干網(wǎng)絡(luò)節(jié)點之間的VLAN,使用VLAN ID號為200~250。 </p><p> 6、主干網(wǎng)交換機的基本參數(shù)配置 </p><p> 主干網(wǎng)交換機參數(shù)主要需要確定System配置、Loopback 地址、、生成樹設(shè)計、端口配
23、置、Vlan劃分、ospf路由參數(shù)、組播路由參數(shù)等。 </p><p><b> 7、防火墻設(shè)計 </b></p><p> 7.1 出口防火墻的設(shè)計 </p><p> 在管理網(wǎng)出口部署一臺防火墻,實現(xiàn)企業(yè)與互聯(lián)網(wǎng)、分支機構(gòu)之間的訪問控制和隔離,通過制定嚴格的訪問控制策略,以保證企業(yè)內(nèi)部的系統(tǒng)安全。 </p><p&
24、gt; 7.2管理網(wǎng)與生產(chǎn)網(wǎng)之間防火墻設(shè)計 </p><p> 辦公大樓的2臺核心交換機為生產(chǎn)網(wǎng)與管理網(wǎng)所共用,而由防火墻進行二者之間的隔離。2臺交換機做熱備份,2塊防火墻采用主/備的工作模式。 </p><p> 防火墻設(shè)置成路由模式,劃分下列VLAN與安全區(qū)域: </p><p> 7.3 主機與生產(chǎn)網(wǎng)之間防火墻設(shè)計 </p><p&
25、gt; 生產(chǎn)管控中心節(jié)點的2臺核心交換機為生產(chǎn)網(wǎng)與主機接入所共用,而由防火墻進行二者之間的隔離。2臺核心交換機做熱備份,2塊防火墻采用主/備的工作模式。 </p><p> 防火墻設(shè)置成路由模式,劃分下列VLAN與安全區(qū)域: </p><p><b> 8、入侵防護系統(tǒng) </b></p><p> 入侵防護系統(tǒng)的安全目標是實時地、全天候
26、地對網(wǎng)絡(luò)和主機進行安全保護。當網(wǎng)絡(luò)和主機遭到攻擊時,入侵防護系統(tǒng)能夠立即檢測并給予響應(yīng),在系統(tǒng)實際遭受危害之前堵住入侵行為,并對入侵的影響進行相應(yīng)的檢測。 </p><p> 在企業(yè)出口防火墻中內(nèi)置一套IDP入侵防護模塊,實時監(jiān)控所有進出企業(yè)網(wǎng)絡(luò)的流量,并對可疑流量行為產(chǎn)生報警日志。 </p><p><b> 9、防病毒系統(tǒng) </b></p>&l
27、t;p> 防病毒系統(tǒng)采用多級管理結(jié)構(gòu),由管理網(wǎng)的一臺防病毒控制中心(主控服務(wù)器)對其它區(qū)域防病毒服務(wù)器(區(qū)域服務(wù)器)進行統(tǒng)一管理。比如防病毒服務(wù)器共部署5臺,分配情況如下: </p><p> 管理網(wǎng)3臺,其中1臺防病毒控制中心、2臺區(qū)域防病毒服務(wù)器; </p><p> 生產(chǎn)網(wǎng)2臺,均為區(qū)域防病毒服務(wù)器。 </p><p> 防病毒控制中心每天從In
28、ternet定時更新病毒定義以及所安裝的防病毒產(chǎn)品和組件。4臺區(qū)域防病毒服務(wù)器分別對各自所在區(qū)域的客戶端進行統(tǒng)一管理。 </p><p> 10、WSUS系統(tǒng) </p><p> Windows操作系統(tǒng)的安全問題越來越受到關(guān)注,微軟每隔一段時間都要發(fā)布修復系統(tǒng)漏洞的補丁,但很多用戶不能及時使用這些補丁修復系統(tǒng),以致造成重大損失。此外,現(xiàn)在局域網(wǎng)的規(guī)模越來越大,手工為每臺客戶機安裝補丁的
29、工作量太大,很難實現(xiàn)。Windows Server Update Service(簡稱WSUS)由網(wǎng)絡(luò)管理員在局域網(wǎng)內(nèi)部獨自構(gòu)建,可將微軟的最新補丁發(fā)送給用戶。它分為服務(wù)器端和客戶端兩部分,可為1.5萬個用戶提供升級服務(wù)。 </p><p> 設(shè)計在5臺防病毒服務(wù)器上安裝WSUS服務(wù)端軟件,并通過設(shè)置使它們形成分布式管理拓撲,對管理網(wǎng)及生產(chǎn)網(wǎng)區(qū)域內(nèi)所有的Windows操作系統(tǒng)以及office等微軟產(chǎn)品進行補丁升
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn).pdf
- 基于IPS的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計.pdf
- 供電企業(yè)網(wǎng)絡(luò)及其安全系統(tǒng)研究與設(shè)計.pdf
- 大(中)型企業(yè)網(wǎng)絡(luò)安全系統(tǒng)規(guī)劃設(shè)計與實施.pdf
- 制造企業(yè)網(wǎng)絡(luò)安全設(shè)計與實現(xiàn).pdf
- 大型企業(yè)網(wǎng)絡(luò)安全規(guī)劃方案設(shè)計及實施.pdf
- 大型企業(yè)網(wǎng)絡(luò)規(guī)劃畢業(yè)設(shè)計
- 企業(yè)網(wǎng)絡(luò)安全方案的設(shè)計
- 大型企業(yè)網(wǎng)絡(luò)安全問題及解決方案.pdf
- 大型企業(yè)網(wǎng)絡(luò)設(shè)計-網(wǎng)絡(luò)工程課程設(shè)計報告
- 企業(yè)網(wǎng)絡(luò)安全防護系統(tǒng)設(shè)計與實現(xiàn)
- 基于cisco設(shè)備的企業(yè)網(wǎng)絡(luò)設(shè)計及安全實現(xiàn).pdf
- 大型企業(yè)網(wǎng)絡(luò)設(shè)計-網(wǎng)絡(luò)工程課程設(shè)計報告
- 基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計
- 面向企業(yè)網(wǎng)絡(luò)化制造系統(tǒng)的JAVA設(shè)計模式研究.pdf
- 畢業(yè)設(shè)計-企業(yè)網(wǎng)絡(luò)安全設(shè)計
- 大型企業(yè)網(wǎng)絡(luò)解決方案
- 某涉密企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)計與實現(xiàn).pdf
- 企業(yè)網(wǎng)絡(luò)安全管理
- 企業(yè)網(wǎng)絡(luò)安全隔離
評論
0/150
提交評論