国内大型建筑中央企业全球网络规划与设计
开篇:润墨网以专业的文秘视角,为您筛选了一篇国内大型建筑中央企业全球网络规划与设计范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要
全球化背景下,企业参与到国际化进程中,已经成为必然。当前,经济全球化趋势下,跨国公司成为经济全球化的重要推动力量。建筑企业作为国家走出去战略的重要生力军,必将起到越来越重要的作用。提高信息化水平是国内大型建筑央企面对全球竞争的必然选择,而作为信息化基础设施内容的扩区域、跨国别的网络设计与规划则成为一项重点工作,如何通过高效、经济的网络实现企业在全球的信息共享与传输,提高海外沟通协调效率,支撑集团管控延伸到全球几乎所有的项目地点,都是我们必须关注的问题,本文主要从全球网络架构设计、网络路由选择、网络可靠性设计等方面进行了一定的探讨,对于一些具体的技术问题也提出了解决思路与方案,以期能更好的为企业走出去服务。
【关键词】央企 走出去 全球 网络 规划
“入世”十年,我国对外承包工程业务完成营业额的年平均增长率达到27.10%,新签合同额年平均增长27.63%,累计完成营业额4356亿美元,签订合同额6994亿美元。
十年间,我国对外承包工程业务取得了跨越式的发展,业务规模快速扩大,合作领域不断拓宽,项目档次稳步提高,合作方式趋于多样,EPC总承包项目不断增加,企业竞争力不嘣銮俊N夜建筑企业在国际工程承包市场上越来越受到关注,对外工程承包已成为我国实施“走出去”战略的主要形式之一。
面对开放的国际建筑市场,我国大型建筑企业无法抵挡与国际建筑劲旅同台竞技的诱惑。他们纷纷走出国门,建设了一大批经典工程,树立起中国建企的良好形象,聚焦了世人一道道关注的目光。如今,凭借优秀的表现,一大批中国建筑施工企业跻身国际225强承包商之列,在榜单上的位次逐年提升,并稳居国际领先建筑施工企业第一军阵。
但是我们也清楚的看到,国内的建筑企业,尤其是一些大型央企经营管理水平不高,国际人才缺乏,国际竞争力有待进一步加强,信息化在促进企业管理与技术发展方面与国外先进企业的差距较大,如何加快促进企业信息化与现代管理的融合,以信息化支持企业走出战略,对于我们而言将会越来越重要。
2015年3月28日,国家“一带一路”路线图,标志着我国“三大战略、四大板块”建设正式启动。基础设施建设是三大战略、四大板块的重要组成部分,这对于建筑企业是极大的利好。如何利用信息化支持公司走出去,发挥好信息化战略引领与支撑作用,是摆在建筑类央企面前的首要课题。要支持企业“走出去”战略的落地,必须在信息化工作方面向全球领先企业看齐,在这方面,中国的大部分建筑央企,乃至大部分央企,与世界一流企业的差距还有相当大的距离。
国内大部分建筑类中央企业在海外承包大量项目建设,这些项目所在区域分散广,数量多,地区发展不平衡,网络架构以星型网络为主,国内通过专线或者VPN连接,海外项目部大多是通过VPN或者卫星通信实现与其企业本部进行通信,访问效率地下,无法发挥集团的规模优势进行资源整合,扩容成本、维护成本不断增加。对多业务承载能力不足,可靠性和安全性也存在一定的问题。
2 目前企业广域网常见组网结构与方式介绍
目前企业常见的广域网组网方式主要有星型拓扑和环形拓扑,大部分企业采用星型拓扑,超大企业广域核心网一般采用环形拓扑。
部署模型有基于SDH/MSTP专线构建的星型网络、基于MPLS专线构建的扁平网络、基于专线(SDH/MSTP或MPLS专线)+Internet备份链路构建的网络、基于Internet构建的DSVPN网络,如图1所示。
企业组建广域网,一般采用租用电信运营商的专线线路或者采用VPN技术(较少特大型企业在国内选择铺设自主光纤线路,本文从成本角度出发,不讨论此种方式),这两种技术对比如表1所示。
3.1 总体架构
通过上述比较,考虑国内大型建筑央企可按照“核心层+汇聚层+接入层”的三层架构进行设计和建设。采用分级树形网络,以便更有利于企业业务的分层管理,减轻核心区域设备压力,提高整体网络安全性和应用性能,提升网络冗余度,并且具有更良好的扩展性。总体网络架构如图2所示。
按照可靠性的规划要求,每个层面的节点设备采用双设备双链路,形成互为备份与负载分担的网络架构,链路连接方式采用口字形组网,可大幅节省链路成本与端口占用,建成的网络可靠性高、维护简便。
海外网络总体结构按照二级汇聚:按区域选择设置一级汇聚点成环形部署,考虑到成本及地缘问题,可以在香港设置汇聚中心,与全网核心成“口字形”连接,遵循一国一出口原则在各国建设二级汇聚节点,汇聚本国接入链路上接所属区域一级汇聚点,整网成“环形+树形”拓扑。
综合考虑海外业务现状及建设成本,可在海外设置一个亚太总汇聚节点,整体通过总汇聚节点与国内网络中心点连接。香港离集团中心地理位置最近,国际链路运营商选择余地很大。根据海外地理区域和线路资源,设置海外广域网区域汇聚节点,汇接本区域内各分支机构。总汇聚节点一面通过专线连接海外区域汇聚节点,一面通连接国内企业网络中心。总汇聚节点同时作为亚太地区的区域汇聚节点。考虑到建筑央企的主要项目点在亚非拉区域,可考虑设置中东(覆盖中东、西亚等地)、北非(覆盖欧洲、非洲等)和拉美(覆盖拉美地区等)等几个海外广域网区域汇聚节点,后续根据业务发展,可再新增其它区域节点。
为节省链路成本,四个海外汇聚节点成三层环,香港作为海外总汇聚节点,建设采用双设备双链路。其他汇聚节点在初期阶段,可采用单单设备双链路进行建设,随着业务量的增加,后续升级到双设备双链路,提升可靠性。
具体架构如图3所示。
3.2 骨干网络路由选择
对于大型企业的大型网络路由设计时应考虑以下几点:
网络的可靠性:通过动态路由协议的实施,在网络拓扑的配合下,避免网络中出现的单故障点,提高网络的生存能力。
流量的负载分担:必须使网络的流量能够比较合理地分布在各条链路上。
网络的扩展性:使得网络的扩展可以在现有的网络的基础上通过简单的增加设备和提高电路带宽的方法来解决。
对业务流量模型变化的适应性:未来网络的业务流量模型将会随业务的发展而不断发生变化,因此路由策略可以根据流量变化方便进行调整。
降低管理复杂程度:路由协议应使得故障定位和流量的调整的难度和复杂性降低。
在大型网络中,选择适当的路由协议是非常重要的。目前常用的路由协议有多种,如RIP、OSPF、IS-IS、BGP、PIM等等。不同的路由协议有各自的特点,分别适用于不同的条件之下。我们建议使用OSPF作为IGP路由协议进行业务的承载和数据转发,这是因为OSPF协议在实际网络中得到了广泛的应用,OSPF协议是基于IP层进行开发,其对IP网络的支持有天然的优势,且技术成熟;其次,OSPF有网络分层的概念和区域的概念,协议的灵活,组网的灵活,能够满足用户大量的需求,用来传播用户路由,这些都是OSPF 的强项。
3.3 IP地址规划
IP地址分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚合,减少整网的路由数量,减少路由表的长度,减少对设备的CPU、内存的消耗,降低网络震荡程度,隔离网络故障,提高路由算法的效率,加快路由变化的收敛速度;同时还要考虑到网络地址的可管理性,尽量降低对现有IP地址的变更。
以使用一个A类地址10.0.0.0/8分配为例,一共可分为256个B类地址,其中10.1.0.0-10.250.0.0可作为业务地址,给国内外单位使用;10.253.0.0-10.254.0.0作为国内互联地址及loopback地址;10.251.0.0-10.252.0.0作为海外互联及loopback地址;172.16.0.0/16作为GRE tunnel互联地址。
从网络扩展角度出发,为每家单位的用户设备、终端地址分配一个B类地址。考虑到将来区域总部架构对路由汇聚的需求,尽量为同一个省、同一个区域中的相关单位分配连m的网络地址。
3.4 网路传输加密设计
从企业数据安全角度出发,可考虑在专网链路的基础上,通过GRE Over IPSec VPN技术,为企业搭建一套安全可控的网络体系;
而VPN网络无需再进行铺设物理链路,只需通过部署VPN网关在原有网络链路的基础上,形成虚拟专用隧道,实现局域网之间通过VPN隧道互连,保证数据的完整性,防篡改,防窃听。
3.4.1 部署方式
在核心层、汇聚层、接入层接入单位分别部署VPN网关, 实现对专网的数据进行加密及组播。其中核心层加密设备双机部署,汇聚层各部署一台设备,接入层根据实际条件选择不同的接入方式加密方式。整网采用分级建立IPSec VPN隧道模式,AES 192位进行加密。
3.4.2 IPSEC VPN隧道建立方式
建立两级IPSEC VPN隧道,从接入层到汇聚层,从汇聚层到总部核心区域。两段IPSEC VPN可以配置不同的密钥,保证更高的可靠性,而且可以适应接入层以及汇聚层的互访,减轻核心层网关的压力。
3.4.3 组播业务承载
由于IPSec VPN协议自身限制,如果未来可能有组播业务的部署,因此需要通过建立GRE over IPSec VPN隧道保证组播业务在全网的加密运行。GRE Tunnel 对应的接口开启组播协议。
3.4.4 隧道地址配置原则
对于接入层到汇聚层加密隧道, GRE Tunnel、IPSec Tunnel 源地址为接入层防火墙上对应的GRE Tunnel物理端口地址;GRE Tunnel目的地址是GRE Tunnel终结防火墙对应的接口地址,IPSec Tunnel目的地址为汇聚层防火墙上相应接口地址;对于汇聚层到核心层加密隧道,GRE Tunnel源地址为发起GRE封装的防火墙节点的GRE Tunnel接口地址,目的地址为GRE Tunnel终结防火墙节点对应的接口地址,IPSec Tunnel源地址为汇聚层防火墙IPSec Tunnel接口地址,目的地址为核心层防火墙上IPSec Tunnel 终结接口地址。对于GRE及IPSec隧道,把源地址和目的地址互换设置反向隧道。可见图4示意。
3.4.5 密钥更新原则
IPSEC VPN加密设备是通过配置IKE SA(安全联盟)的生存周期的方式来定时更新密钥。IKA SA:缺省情况下,IKE安全联盟生存周期为一天,生存周期可以设定为60s到604800s之间的任意值。SA在设定的生存周期超时前会提前协商另一个SA来替换旧的SA。在新的SA还没有协商完之前,依然使用旧的SA;在新的SA建立后,将立即使用新的SA,而旧的SA在生存周期超时后被自动清除。
3.5 全网QoS保障
IP QoS ( Quality of Service ) 是指IP网络的一种能力,即在跨越多种底层网络技术(FR、ATM、Ethernet、SDH等)的IP网络上,为特定的业务提供其所需要的服务。衡量IP QoS的技术指标包括:
带宽/吞吐量:指网络的两个节点之间特定应用业务流的平均速率。
时延:指数据包在网络的两个节点之间传送的平均往返时间
抖动:指时延的变化。
丢包率:指在网络传输过程中丢失报文的百分比,用来衡量网络正确转发用户数据的能力。
可用性:指网络可以为用户提供服务的时间的百分比。
不同的用户及业务对IP QoS技术指标的要求是不同的,通过有效地实施各项IP QoS技术,使得用户能够有效地控制网络资源及其使用,能够在单一IP网络平台上融合语音、视频及数据等多种业务,企业网络一般需要承载多种不同类型的业务,可使用Diffserv模型,并且部署PQ+WFQ,为各种业务提供高品质承载。
(1)在各节点防火墙及入口路由器处,针对不同类型的业务进行流分类操作,并赋予不同的IP Precedence。
1.将实时业务作为EF业务,这样即保证带宽,又保证时延;
2.准实时业务和网管业务作为AF业务,主要保证带宽,时延要大于EF业务;
3.其它业务作为BE业务,这样即不保证带宽,也不保证时延;
(2)在完成IPSec隧道封装后,将IP Precedence映射到隧道IP头中供路由器识别。路由器通过隧道IP头中的IP Precedence将不同的业务报文放入不同的队列,在出口处,通过队列技术,根据IP Precedence来实现拥塞管理。
1.使用PQ来支撑EF类业务,被绝对优先发送;
2.使用WFQ来支撑AF类业务,保证AF业务的带宽需求;
3.对于BE业务,使用剩余带宽进行发送。
(3)在关键处网络上采用WRED等技术避免拥塞造成的关键数据丢失。
通过以上三个方面的技术配合使用,可以充分保证网络中的IP QoS。示意图如图5所示。
4 网络可靠性设计
企业网络需要足够的健壮度来抵御各种可能出现的故障及事故,因此在全球网络设计时,网络可靠性非常重要,我们在设计网络时,对于重要设备都进行双设备设计,但是传统IP网络的倒换机制是通过路由协议收敛,通常倒换时间是秒级,无法保证语音等实时业务的质量,为了提高网络倒换性能,建议部署BFD + IP FRR的网络可靠性方案,提高故障感知速度和缩短故障后的链路收敛时间。以达到ms级故障保护倒换,减少因故障造成的流量丢包,保证语音等实时业务的质量,整网可靠性方案如图6所示。
使用BFD+IP FRR的网络可靠性方案,网络的倒换性能可以达到50ms:
BFD用来快速检测链路故障,特别是MSTP专线。当专线链路出现故障时,有可能出现接口物理状态仍为UP状态,因此必须通过BFD检测实现快速检测,每10ms发送一个检测报文,3个报文无响应则断定链路故障,最小可以达到30ms的检测速度。
IP FRR通过在转发平面增加备份转发表项来实现快速保护,当BFD检测到链路故障时,路由器在上报故障给控制平面的同时,直接启用备份转发表项,不需要等待控制平面重新算路由,控制平面通过OSPF收敛完成路由重计算后再下发新的转发表项到转发平面的这段过程中数据包已经能够正常转发。因此BFD+IP FRR的保护时间与全网路由收敛无关,可以实现50ms以内的保护。如图7所示。
参考文献
[1]万斯琴.央企走出去:能力和境界[J].中国企业报,2012.
[2]中国建筑企业进一步“走出去”的形势与对策[J].建筑,2012.
[3]吴宗明.下一代传送设备――基于分组交换和T-MPLS技术的数据传送设备[J].电信网技术,2014.
[4]康威.OSPF路由协议安全性分析与研究[D].北京邮电大学,2010.
[5]王彩萍.基于IP网络的QoS研究与应用[D].武汉理工大学,2009.