U9部署网络解决方案

U9项目部署网络

解决方案

U9 ERP作为全球第一款完全基于SOA架构的世界级企业管理软件，同属于软件范畴，主要工作于TCP/IP结构的应用层。发生在应用层的数据传输，需要TCP/IP协议的网络环境支持和承载。然而，网络环境不是生硬不变的，随着公司的发展变化，网络中各种应用的应运而生以及网络故障出现，都会导致企业网络问题出现，进而影响U9的正常使用。所以，承载U9运行的网络环境主要包括两个方面，其一是网络基础设施：主要包括局域网、广域网和U9部署网络结构等方面；其二是网络环境的运维管理：主要指U9网络环境日常维护和管理工作。

1.1.局域网背景

企业内部网（Intranet）是国际互连网（Internet）技术在企业内部或封闭的用户群内的应用。简单地说，Intranet是使用Internet技术，特别是TCP/IP 协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通，且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行访问。随着Intranet技术的不断发展，计算机已经逐渐应用到企业中的各个关键部分，局域网的科学化建设将会极大的提升了计算机各种应用能力，从而提高企业的工作效率。

局域网设计目标：

1）根据企业对信息点的安排和网络应用的需求制定合理的企业网总体建设规划和实施方案；

2）对企业办公楼、厂房、宿舍楼、生产车间等主要建筑物实施局域网结构化布线；

3）网络核心层、汇聚层采用模块化交换机，按照需求灵活配置各种模块，做到既满足需求，又留有余地。整个网络架构采用三层结构，使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能；

1.2.局域网组网方案

局域网网络一般采用三层模型设计（如下图所示）：

核心层：核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理，因此核心层设备是整个网络的中心枢纽，应具有强大的交换能力，保证不会发生信息拥塞；强大的安全防护能力，保证不会因单点故障而影响整个系统的正常运行；有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。

汇聚层：汇聚层设备承担的任务，一是构造本地网络核心，二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽，同时还具备强有力的用户访问控制能力（即三、四层交换能力、虚网功能）。

接入层：接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点设备的接入，并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。

如下面拓扑所示，企业局域网通常为典型的三层结构的交换网络，骨干层由两台核心交换机组成，汇聚层由各个功能区域的汇聚交换机组成，接入层由各功

能区域内的接入交换机组成。根据企业信息化的需求，通常可以将局域网划分为三大功能区域，即办公网络区、数据服务区和对外服务区。其中办公网络区的功能主要是为日常办公提供网络平台，并且提供视频会议、语音应用的承载网络。数据服务区的功能是提供数据中心承载平台和访问接口，对企业广域网内用户开放服务，如文件服务、应用服务器访问、ERP系统等。而对外服务区是提供对Internet开放服务的区域，主要应用是用于部署企业网站系统和其它的外联服务器。

2.1.广域网项目背景

U9 ERP 采用集中化模式部署，然而，在实际应用过程中，U9需要client

端访问Server，所需要的带宽要求快速、稳定和安全，不合理的广域网方案会导致分支访问ＥＲＰ应用速度慢，产生使用U9的性能问题和网络故障。

一般大中型企业由于分支机构分布较为广泛，平时的工作业务数据随着公司的发展越来越多，可能会造成分支访问总部的网络延时较长，特别是在办公高峰流量大时容易丢包。这种网络性能问题造成工作人员在登陆ERP系统后，经常会出现断线的情况，重新登陆后虽然能够使用，但是速度非常慢。在这样网络情况下，不但严重影响了U9 ERP的工作效率，也影响了工作人员的工作情绪，集团已有的网络信息平台并没有最大限度地利用起来，给企业带来了不利影响。VPN 属于远程访问技术，简单地说就是利用公网链路架设私有网络，为广域网网络性能问题提供解决方案。

VPN（虚拟专用网）是一种虚拟链路，但使用的是互联网上的公用链路。即：VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。VPN（虚拟专用网）的优点：

⑴使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用。

⑵传输数据安全可靠——虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

⑶连接方便灵活——集团分支机构，如果没有虚拟专用网，彼此的通信就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。

⑷完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

而VPN网络又分为以下两种方式：

1)远程访问的VPN 连接：远程访问客户端可以建立连接到专用网络上的远

程访问 VPN 连接。在家办公或旅行的用户可以通过公用 Internet 网

络，获得到组织服务器的远程访问连接。从用户的角度来说，VPN 是计

算机（VPN 客户端）和组织服务器（VPN 服务器）之间的点对点连接。

VPN 与共享网络或公用网络的具体结构无关，因为数据就象是通过专用

的链接发送的。

2)站点到站点的 VPN 连接：VPN设备可以建立站点到站点的 VPN 连接，

用于连接专用网络的两个部分。组织还可以在维护安全通讯的同时，通

过公用 Internet建立与其他组织之间的连接。

2.2.VPN解决方案

2.2.1.VPN方案设计

企业IP数据网络的广域网部分通常采用双星型、层次化网络结构，广域网由位于总部的核心节点和位于各分支机构的接入节点组成，核心节点负责各个接入节点的汇聚，广域网链路可以选择MPLS /VPN或者基于Internet的IPSec VPN，企业可以根据当地的网络条件、带宽需求和费用预算等因素选择广域网的互联链路和节点、上联链路的可靠性方案。企业信息化的各项应用通常也是采用集中-分布模式，公司总部通常是各项应用的数据源和控制管理中心，而企业信息化的各项应用的都是接入总部和分支机构的本地局域网。

客户端访问U9应用，网络链路会产生一定的流量（数据），每一个并发数（客户端）访问U9服务时需要128KB的带宽，并且要求较低的丢包率（小于1%）和延时（局域网比广域网的要求更高）。U9应用系统需要针对性的广域网VPN解决方案，为客户端的访问提供高速、稳定和安全的保证。

2.2.2.Internet功能特点

企业IP数据网络的Internet接入通常采用两种方式，一种是集中式，即所有分支共享一个Internet出口（通常位于骨干节点），由总部进行Internet接入的权限管理和带宽控制；另一种是方式分布式，即各个分支机构都设有Internet出口，各分支机构独立的控制Internet接入权限和流量管理。另外，企业IP数据网络建设时通常需要在Internet出口和企业广域网出口部署防火墙，防火墙可以配置访问控制、防病毒、内容过虑等安全策略，这样可以有效提高企业IP数据网络的安全性。

2.2.

3.U9对于广域网的要求

1)广域网的链路带宽需求：一般根据并发数来选择，一个并发数需求128K

的带宽，多个并发数同时使用U9业务，就需要相应的带宽量；

2)VPN解决方案：为客户端的访问提供高速、稳定和安全的保证；

3.1. 网络设备要求

由于U9 ERP网络传输需要良好的链路环境和传输速度，所以对局域网建设有相应的标准：

局域网组网设备主要是交换机、路由器、防火墙及其它安全应用设备构成，这里主要对交换机进行要求，骨干网交换机需要千兆甚至万兆级交换机，桌面接入层交换机可以是百兆交换机，建议组网交换机升级为千兆交换机，然而作为服务器群组接入的交换机必须为千兆级交换机。所以，对于局域网要求骨干网为千兆网络，桌面建议升级千兆。

3.2. U9服务器部署vlan划分

3.2.1.U9服务器部署特点

1)多台应用服务器需要配置负载均衡（NLB），而NLB在网络中是通

过广播的方式进行转发，与应用服务器所在的vlan主机都会接收到客户

端访问应用服务器所产生的广播；

2)U9部署的所有服务器是通过主控应用服务器进行管理，彼此之

间是需要进行互联和通信的，必须保证其内部网络的互通；

3)数据库服务器建有企业库，必须保证里边数据的安全和稳定。3.2.2.U9服务器部署网络规划

根据U9服务器集中化部署的特点，将服务器部署划分为两个VLAN（如下图所示）：

1)一个VLAN用于客户端访问U9应用服务器（portal）使用，同时

可以把补丁服务器（测试服务器）部署在这个VLAN中，不允许其它主机

或者应用服务器部署于此VLAN；

2)一个VLAN用于服务器私网，主要是应用服务器私网和补丁服务

器私网与数据库服务器互联，利于服务器之间网络链路的高效和稳定，也保障了数据库服务器的安全性。

4.1. U9与网络环境关系

4.1.1.U9 ERP软件

作为全球第一款完全基于SOA架构的世界级企业管理软件，用友U9面向快速发展与成长的中大型制造企业复杂应用。U9也属于软件的范畴，软件是一系列按照特定顺序组织的计算机数据和指令的集合。软件并不只是包括可以在计算机（这里的计算机是指广义的计算机）上运行的电脑程序，与这些电脑程序相关的文档一般也被认为是软件的一部分。简单的说软件就是程序加文档的集合体。

4.1.2.网络环境

在计算机领域中，网络就是用物理链路将各个孤立的网络设备、工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的。凡将地理位置不同，并具有独立功能的多个计算机系统通过通信设备（比如路由器、交换机、HUB和防火墙等）和线路而连接起来，可称为计算机网络。

4.1.3.IT系统集成

系统集成的本质就是最优化的综合统筹设计，一个大型的综合计算机网络系统，系统集成包括计算机软件、硬件、操作系统技术、数据库技术、网络通讯技术等的集成，以及不同厂家产品选型，搭配的集成，系统集成所要达到的目标-整体性能最优，即所有部件和成分合在一起后不但能工作，而且全系统是低成本的、高效率的、性能匀称的、可扩充性和可维护的系统。三者关系如下图所示：

4.2. 网络运维管理内容

U9运行于网络环境，需要快速、稳定和安全的网络保障，所以对于网络的运维管理工作必不可少。网络运维管理包括：确保网络传输的正常；掌握公司主干设备的配置及配置参数变更情况，备份各个设备的配置文件，这里的设备主要是指交换机和路由、服务器等。负责网络布线配线架的管理，确保配线的合理有序；掌握内部网络连接情况，以便发现问题迅速定位；掌握与外部网络的连接配置，保证稳定可靠的广域网传输链路；监督网络通信情况，发现问题后与有关机构及时联系，及时处理各种网络性能问题；实时监控整个公司内部和外部网络的运转和通信流量情况。