中型制造企业IT基础架构解决方案

中型制造企业IT基础架构解决方案

对于多数中小企业的IT采购主管来说，面对某个特定的需求，不仅要考虑软件的选购，而且要考虑网络的搭建方案、服务器的配置、笔记本电脑和台式机的配置等，更要考虑总体预算。从IT采购的角度说，成熟的做法一般是首先根据需求选择软件，然后根据计算量和数据存储量确定硬件配置，再选型采购产品。但是由于缺乏系统集成的经验，往往面对一个简单的需求就无所适从；为帮助广大中小企业的IT主管理性采购，IT168信息化频道推出了情景导购栏目。该栏目根据一些中小企业的真实需求，进行需求分析形成IT方案，然后提出IT方案具体实施策略，并推荐相应产品，包括应用场景、需求分析、解决方案和推荐产品四个部分。今天发布的是第七篇，讲述了中型制造企业IT基础架构解决方案。

行业类型：机械制造企业

终端数量：900个

应用类型：IT基础架构

一、应用场景

XX公司是一个新建的3000人左右的中小型机械制造企业，本项目需要在公司的新厂区、办公大楼以及分支机构中完成整体IT基础设施的构建。新厂区中的生产部门包括生产车间2个、库房一个；办公区有三个，分别是厂区的两个大楼（间隔100米，以下分别简称为

甲办公楼和乙办公楼），以及同城市不同地域的一个大楼内（简称为丙办公楼）；国内分

支机构有5个。

各个区域的具体情况如下：

1、每个生产车间有2台电脑，库房内有2台电脑。

2、厂区的甲办公楼内有400台电脑，乙办公楼内有300台电脑，部分是台式机，部分

是笔记本电脑；甲办公楼一部分在2楼，有150台电脑，一部分在6楼，有250台电脑；乙办公楼300台电脑都分布在一个办公室。各个办公室均为开放式。甲办公楼的一楼配有90平米的机房室，已经装修好。配电室在隔壁，市电已经配好。

3、位于同城市不同区域的丙办公楼有50台电脑，分布在一个楼层的敞开式办公室。

4、国内分支机构的人员从5－30人不等，但是最多不超过30人，每人有一台电脑。

二、需求分析

通过对项目背景情况的了解，以及和用户的交流，归纳出以下11条本项目的具体需求：

（1）要求每台电脑都能接入公司内部网络；办公区的电脑以及分支机构的电脑能接入互联网；库房及生产车间的电脑接入公司的局域网，要求与广域网隔离；

（2）公司的库存数据、财务数据要求有备份存储；

（3）公司将会建设自己的ERP、CRM、OA等系统，要求IT基础设施提供支撑，但是本方案不要求提供ERP、CRM、OA等系统的技术与产品的选型；

（4）公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构与总部之间需要经常开会讨论；要求用IT设施来提高效率并节省成本。

（5）公司与分支机构之间经常会传输大量的数据与文件，要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度，同时保证数据传输的安全性；

（6）公司网络安全性、稳定性要求比较高，同时有对公司内部文件的安全保密的需求；

（7）公司希望能够有效控制员工的上网行为，比如：老板不受任何限制，其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，上下班时间有不同的上网权限等等；

（8）公司希望每个员工根据职位的不同，对内部局域网资源的访问权限不同；

（9）公司希望无线局域网覆盖整个办公区域（不包括各个分支机构）；

（10）公司部分领导、销售部员工经常出差，有远程接入公司网络、移动办公的需求；

（11）公司的生产车间、大门口、库房等地的摄像头要求可以时时监控，并且要求一个月内的监控数据可以查询。

三、推荐解决方案

1、总体设计

针对企业的需求，在设计中分成城域网、厂区网、远程接入、信息安全控制、存储与备份、服务器、机房设备及布线这7个子系统。下面分别做简要的说明。

1.1城域网子系统设计

位于同一个城市中的丙办公区和厂区的网络互联，是一个跨城域网的局域网连接。由于在本项目中，丙办公区和厂区的甲、乙办公楼之间的联系紧密，公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，而且公司员工之间经常会传输大量的数据与文件，所以丙办公区和厂区的数据传输速度要有保证，而且要保证数据传输的安全性。

基于这样的考虑，采用基于MPLS的VPN来连接丙办公区和厂区。这个服务是由电信运营商来提供的，线路和终端设备均由电信运营商来负责，提供给企业的是一条安全的2层MPLS VPN通道。丙办公区的用户上网是通过厂区的互联网出口，这样保证了信息传输的安全性，而且保障了传输速度。

厂区Internet的出口，配置了电信和网通两条线路，让员工访问南北线路都感觉很快，而且更重要的是，让远程用户和分支机构能以更快的速度访问企业网。

1.2、厂区网子系统设计

厂区的园区网比较复杂，甲办公楼内的2层和6层需要建设百兆到桌面的内部局域网，然后需要光纤汇聚到一楼机房的两台互为冗余核心交换机上。而且为了笔记本用户上网，还需要搭建无线网络。库房和车间的电脑以及视频监控终端也需要用光纤连接到甲办公楼的汇聚交换机上。

1.3、远程接入子系统设计

对于分支机构，和市内丙办公区采用MPLS VPN连接方式的情况不同，首先是分支机构人数少，带宽要求要低很多，另外，长途的MPLS VPN价格要比市内昂贵很多。所以采用基于IPSec的VPN的连接方式，双方都需要配置IPSec VPN设备，然后分支机构在当地采用电信运营商提供的Internet连接线路即可搭建成到企业网络的安全VPN通道。为了加快分支机构访问企业网的速度，IPSec VPN设备需要带有广域网加速功能。

对于出差在外的员工和领导，采用免客户端的SSL VPN方式接入企业网。SSL VPN简便易行，在远程连接上Internet上直接在浏览器上就可以操作，安全访问企业网的内部资源。

1.4、信息安全控制子系统设计

研究表明，在企业发生的安全泄密事件中，内部失窃密所占据的比例最大，其次才是来自外面的威胁。所以本项目中，在企业网内部核心交换机上部署信息审计和上网行为控制系统。虽然该系统并非串联在Internet线路和核心交换机之间，但是其具有发送控制信息复位非授权访问和操作的功能。内部信息的非授权泄密能被其关键字审计系统拦截并记录。

内部用户接入厂区网，需要得到认证和授权后方可接入，目前采用802.1x技术才实现。没有经过认证的用户，所接的交换机端口对其是关闭状态，杜绝非法访问。

对于外来的入侵和威胁，采用防火墙进行过滤，对外只开放有限的端口如

WWW、EMAIL，并把访问目标限定在特定的服务器上。

1.5、存储与备份子系统设计

公司的库存数据和财务数据都是非常重要的数据，不仅需要要非常快递地存取，而且保证数据的安全。即使出现数据破坏，也需要能够从备份数据中恢复。基于这样的需求，决定采用专用的IP SAN存储备份系统。充分利用企业现有的TCP/IP网络，价格比FC SAN 有很多的优势，而且性能上完全能达到企业的需求。

1.6、服务器子系统设计

企业网上要运行ERP、CRM、OA等系统，而且整个网络的访问控制、视频监控数据以及Windows主域控制器都需要运行在服务器上，服务器选择基于X86平台的高性能服务器，服务器都配备双网卡，一块网卡连接汇聚交换机，另外一块网卡连接到存储区域的交换机上，运行iSCSI协议存取IP SAN数据。

1.7、机房设备及布线子系统设计

在机房中需要配置UPS不间断电源主机和电池柜、核心交换机和服务器的机柜以及空调、换气设备。而且所有的光缆都在机房汇聚，然后通过法兰盘跳转到核心服务器上进行交换。在布线的时候严格按照结构化布线系统来进行设计，保证所有的信息点都通过线缆测试仪的测试并记录结果存档。