网络、网络安全、服务器和存储系统集成【系统集成方案】.doc
《网络、网络安全、服务器和存储系统集成【系统集成方案】.doc》由会员分享,可在线阅读,更多相关《网络、网络安全、服务器和存储系统集成【系统集成方案】.doc(255页珍藏版)》请在咨信网上搜索。
网络设备、网络安全设备、服务器和存储系统集成 技术部分 XXXXXXXXXXXX有限公司 目录 第一章 投标函 5 第二章 项目背景 6 2.1项目名称 6 2.2业主单位简介 6 2。3项目背景 8 2。4太重信息化现状 8 2。4.1 项目组织体制 8 2。4。2 现有网络基础 8 2。5太重组织机构图 10 2。6太重信息系统架构 11 第三章 项目需求分析 12 3。1网络系统需求 13 3.2服务器系统需求 14 3.2。1ERP生产系统服务器 14 3。2.2 ERP开发/测试、培训系统服务器 16 3。3存储备份系统需求 18 3。4网络安全系统需求 19 第四章 系统建设目标、原则 21 4.1系统建设的目标 21 4。2系统建设原则 21 4.3系统建设的主要内容 22 第五章 系统整体设计 24 5.1网络系统、网络安全系统设计 24 5.1.1信息点分布情况 24 5。1.2网络总体结构 24 5.1。3传输信道设计 26 5。1.4核心网络设计 26 5.1。5互联网接入设计 29 5。1.6网络管理、接入认证、日志审计系统设计 30 5。1.7IP地址规划 35 5。1。8路由协议 36 5.1。9VPN系统规划 38 5.1.10与原有系统互联 38 5.1.11下一步的扩展 38 5.2服务器系统设计 39 5.2。1服务器整体结构 39 5.2。2服务器功能分配 39 5。2。3服务器选型 39 5.3存储备份系统设计 40 5。3。1存储系统整体要求 40 5.3。2存储系统的体系结构 41 5。3。3备份体系的选择 42 第六章 IBM主机存储建设方案 47 6。1IBM服务器建设方案 47 6.2IBM存储建设方案 48 6.2。1整体结构 48 6。2。2备份管理软件设计 50 6。2。2备份策略 50 第七章 SUN主机存储方案 56 7。1 整体结构 56 7。2简要描述 56 7.2.1小型机系统 56 7。2.2PC服务器 57 7。2.3存储系统 58 7.2.4备份策略 58 第八章 华为网络、网络安全、存储系统建设方案 64 8.1网络及网络安全方案 64 8。1。1核心层设计 64 8.1。2汇聚层设计 65 8。1。3数据中心设计 65 8.1.4接入层设计 69 8。1。5Internet接入设计 69 8.1。6网络管理、接入控制、日志审计系统设计 70 8。2存储备份建设方案 80 第九章 Cisco网络建设方案 83 9.1核心层设计 83 9。2汇聚层设计 83 9。3数据中心设计 84 9.4接入层设计 84 9.5Internet接入设计 84 9。6网络管理、接入认证、日志审计系统 85 第十章 项目建设建议 96 10。1环形网络的建设 96 10。2计费软件 98 10.3 IPV6的迁移 99 第十一章 工程实施方案 103 11.1总则 103 11。2工程实施组织结构 103 11。3工程实施流程 107 11.4工程实施的管理与考核 107 11.5实施准备工作 109 11.6工作分配矩阵 112 11.7设备及系统配置要点 125 11.7。1检查与准备现场实施环境 125 11。7.2设备到货验收 126 11.7。3网络系统配置要点 126 11。7。4服务器系统配置要点 128 11.7。5存储系统配置要点 130 11。7。6系统软件配置要点 133 11。7.7系统联调 134 11.7。8系统试运行 136 11。7.9系统迁移 136 第十二章 文档提交和管理 137 12.1文档的管理 137 12.2各阶段提交的文档列表 137 12。2。1工程准备期文档 137 12.2。2工程实施期文档 138 12。2。3工程验收期文档 138 12.2.4系统维护期文档 138 第十三章 培训 140 13。1培训目的 140 13.2技术培训人员和时间安排 140 13.3培训方式 141 13。4培训计划 141 13。5培训内容 142 13.5。1局域网基础 142 13。5。2网管软件使用与配置 143 13.5.3IPS ,防火墙,接入控制、日志审计 144 13。5。4备份和存储管理 145 13。5。5服务器故障排除 145 13.6培训师资力量 146 13.7厂商的培训 146 13.7.1IBM认证培训 146 13.7.2华为认证培训 149 第十四章 项目验收 165 14.1设备到货验收 165 14.2系统预验收 165 14.3系统终验 172 14.4验收测试的标准和内容 173 第十五章 项目计划 180 15.1项目进度与阶段性成果 180 15.2项目参加人员计划 186 15。2.1工程总协调小组(2人) 186 15.2.2项目经理(1人) 186 15.2.3商务运作小组 (3人) 186 15。2。4实施小组(1名小组负责人,5名实施工程师) 186 15。2.5培训小组(4人) 187 15。2。6项目管理小组(3人) 187 15。2.7质量监督小组(2人) 187 15。2.8机动小组成员(4人) 188 15.2。9服务小组成员(4人) 188 15。3 知识传输计划 188 15.3。1用户集中技术培训及现场培训 188 15。3.2文档移交 188 15。3.3项目验收 188 15.3.4技术移交 189 15.3.5技术支持 189 第十六章 技术支持与售后服务 190 16。1技术支持和售后服务承诺 190 16.2组织机构与人员安排 190 16。2.1组织结构图 190 16。2。2服务体系 191 16.2.3服务人员配备和简历 194 16。3维护支持实施方案 197 16.3。1服务策略 197 16.3.2双方职责界面分工 199 16。3.3五星级服务故障等级和处理时限 200 16.3.4系统应急方案 202 16.4维护支持范围 205 16.4.1支持范围 205 16。4。2产品质量保证和服务承诺 205 16.5 维护支持流程 206 16。6 维护响应时间 207 16。7 变更请求的处理流程 208 第十七章 技术应答 212 17。1服务器技术应答 212 17.1.1数据库、应用服务器应答 212 17.1.2测试、开发、培训服务器应答 215 17。1。3PC服务器 218 17。 2存储和备份系统应答 219 17。2.1配置一 219 17。2。2配置二 226 17。3网络设备应答 230 17.3.1华为设备应答 230 17.3。2Cisco设备应答 244 第十八章 设备配置清单 259 18。1主推方案 259 18.1.1网络系统配置清单 259 18。1.2服务器存储报价清单 261 18.2备选方案 272 18。2。1网络系统报价清单 272 18。2.2服务器存储报价 275 第一章 投标函 致:XXXXXXX公司 XX公司 (投标单位全称)授权XX (全权代表姓名)XXX (职务、职称)为全权代表,参加贵方组织的XX (招标编号、招标项目名称)招标的有关活动,并对 网络设备、网络安全设备、服务器和存储设备 货物进行投标.为此: 1。提供投标须知规定的全部投标文件: a. 投标书技术方案文件正本1份,副本6份; b. 商务文件正本1份,副本6份; c. 投标书资格证明文件正本1份,副本6份 2。投标货物的总投标价为(大写): XX 元人民币。 3。保证遵守招标文件中的有关规定和收费标准。 4.保证忠实地执行买卖双方所签的经济合同,并承担合同规定的责任义务。 5.愿意向贵方提供任何与该项投标有关的数据、情况和技术资料等。 6.本投标自开标之日起XX天内有效。 7。与本投标有关的一切往来通讯请寄: 投标单位名称: XX 地址: XX 邮编: XX 电话: XX 传真: XX 全权代表姓名:(签字) 职务: XX 第二章 项目背景 2。1项目名称 2。3项目背景 2。4.2 现有网络基础 目前,X部局域网除太重铸锻各分厂外,已基本建成和连通。网络主干带宽为100M,铺设的光纤以单膜4芯为主,主交换设备Cisco3550EM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便,且使用品牌较杂,主要有华为、神码、D-Link等。 现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。2。6太重信息系统架构 第三章 项目需求分析 本次项目就是为了满足信息化建设需求,建设太重信息化应用的支撑平台,内容包括:平台的整体架构设计;数据中心机房建设;服务器、存储系统、网络、安全等设备的选型和采购;系统的集成;网管体系、安全体系、运维体系的建立。 针对标段二中的设备和软件,系统地具体需求为: 针对本次项目建设的特点,系统需要保证业务7*24小时的连续性,可用性。 因此本次系统建设的总体需求有: 1、 可管理性 实现设备的自动化远程管理控制。 实现人员上网的自动化管理控制 2、 无单一故障点 从主机硬件配置、网络设备、网络线路、网络协议、路由协议等方面都要考虑到系统的可靠性、可用性,保证系统的整体冗余;建立先进的数据存储和备份管理系统,保证数据的完整性、可用性、可恢复性。 主机配置:内存容错、硬盘RAID技术、网卡(HBA卡)冗余、冗余风扇电源 网络设备:背板冗余、电源冗余、VRRP实现交换机之间冗余 网络线路:多条线路之间的负载均衡、故障切换 网络协议、路由协议:采用主流技术,实现故障自动切换。 存储系统:采用SAN冗余结构,配置冗余控制器,数据管理控制软件. 容灾系统:建议目前采用数据级的容灾,实现数据的高可靠性。 3、 高性能 由于业务的特点,应用处理再特定时段会出现处理高峰,这就对数据传输带宽、服务器、存储系统提出了很高的要求. 4、备份及容灾实现 为保证数据的完整需要进行数据的安全保存和快速恢复,在业务高峰时,需要同时兼顾业务处理和数据备份,对存储设备和备份系统提出较高的要求. 3。1网络系统需求 目前,X局域网除太重铸锻各分厂外,已基本建成和连通。网络主干带宽为100M,铺设的光纤以单膜4芯为主,主交换设备Cisco3550EM,各单位使用的交换机以二层交换机为主,大多数交换机不支持标准网管,给网管人员带来很大的不便,且使用品牌较杂,主要有华为、神码、D—Link等。 现有网络设备性能过低,基本不具备安全控制功能,无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。 网络现有结构和拓扑如下图: 针对目前网络的现状主要存在以下问题: 1、随着网络规模的扩大,对网络核心的处理能力提出了很高的要求,需要提供高达数百G的交换容量和数百M的转发速率。 2、ERP应用有大量的数据在网络进行传输,并且在特定的阶段有传输高峰的出现,对网络带宽提出了很高的要求. 3、ERP系统需要大量的主机运行平台,为了实现用户对服务器的快速访问,需要建立一个服务器区,实现服务器的集中访问和管理. 4、为了保证网络的运维管理,所有网络设备必须支持网络管理,并且支持VLAN划分以及802.1X认证,实现对端口级别的管理和控制。 5、利用原有的部分交换机,实现与老系统的互联和统一管理。 3.2服务器系统需求 ERP服务器设计的范围包括太重集团ERP项目的所有模块,即Oracle e—Business Suite R11i V11.5。10。在试点项目实施的模块为Oracle EBS R11i的财务管理、生产管理、销售管理、采购和供应管理、库存管理、人力资源管理及商务智能。 ERP系统对于主机运行平台的需求: 1、ERP项目牵涉到的单位多,访问用户量大,访问频繁。 2、软件采用集中模式,对核心的生产服务器的性能有很高的要求。 3、为了保证生产系统的稳定,所有的软件必须要在测试环境中经过验证后,才可以上线运行,需要准备一套开发测试以及内部培训的环境。 4、由于系统需要7*24小时的不间断运行,对服务器的可靠性要求很高。 5、所有服务器都要具有很好的扩展能力,保证未来的3-5年内的性能扩展。 6、实现与网络系统和存储备份系统的连接。 3。2。1ERP生产系统服务器 数据库服务器负责进行数据的处理,而应用服务器负责与前端客户机的联系,接受处理请求并进行相应处理。ERP数据库服务器、应用服务器支持最大扩充至16路CPU, 256G内存来增加系统性能,数据库服务器与应用服务器互为双机热备。因此,作为数据库服务器的机型应具备较高的可扩充性,单机性能至少应能满足3年内的扩展要求. 配置前提条件: l 预计有500用户使用Oracle EBS应用系统 l 此系统配置采用集中模式,即包括集团公司,下属子公司/分公司的用户 l 安装一套数据库和应用软件,即生产环境。数据库服务器和应用服务器分开配置,提高性能。 数据库服务器软件配置: l Oracle Application 11.5。10 l Oracle 9I (9。2.0.5) Enterprise Edition l Workflow 2。6 应用服务器软件配置: l Developer 6i (Forms Server, Reports Server, Graphics 6i) l Apache Server 1.3.9 l Oracle JRE 1。1.8 l JDK 1.3.1 l Discoverer Server (Optional) l Oracle 8.0.6 / 8.1。6 数据库服务器、应用服务器基本配置要求: 用途:核心数据库服务器,应用服务器 选型:小型机,支持SMP 数量:2台 工作方式:数据库服务器节点,应用服务器节点 每台服务器主要配置要求及对应数量如下: 项目 当前配置要求 可扩充性 CPU ≥4 Core 64位CPU(主频≥1。5GHz) 至少可扩充到16个Core CPU L2高速缓存 需标明实际值 L3高速缓存 需标明实际值 内存 ≥8GB ≥200GB 微分区 支持 扩展插槽(I/O) 6 ≥6个 内存、PCI插槽动态再分配功能 支持 内部磁盘容量 146GB(10k Ultra320 SCSI)×2(镜象) ≥1.8TB 以太网口 2×1000BaseT或2×1000Base-SX 64位(光口) HBA适配器 2×Fiber Channel Adapter (≥4G)或其它连接方式 DVD-ROM 1×内置式 软件 提供Unix 操作系统(支持无限用户数、简体中文)及相关系统管理支持软件 TPC-C(当前配置) ≥150,000tpmc ≥600,000tpmc 处理器到内存带宽 ≥18GBps 三级(L3)高速缓存 需标明实际值 RAID 支持RAID 1 机柜 安装2台主机 显示器、键盘、鼠标 原厂商机柜式显示器、键盘、鼠标,切换器(支持16套系统以上)1套及相关线缆 电源 2×交流220V双电源(支持负载均衡和互为备份) 售后服务 免费3年(7X24)保修服务 ERP 系统作为关键应用系统,必须考虑对高可用性的支持,要求服务器以后可扩展为服务器集群。 随着ERP系统的上线运行,太重的主要业务完全依赖该系统,必须保证系统7*24小时连续运行. 3。2.2 ERP开发/测试、培训系统服务器 Oracle e—Business Suite R11i V11。5。10系统的配置为三套系统,即生产系统、开发/测试系统、培训系统;客户化工作在开发/测试系统上进行,并进行综合功能测试,通过测试,则移交到生产系统。而开发/测试系统和培训系统的配置以满足需求,经济实用为原则,本次需配置2台相同机型的开发/测试系统和培训系统服务器,最大用户数为50人,使用模块与生产系统相同。 开发测试服务器基本配置要求 用途:开发测试服务器及培训服务器 选型:小型机,支持SMP 数量:2台 工作方式:单独运行 每台服务器主要配置要求及对应数量如下: 项目 当前配置要求 可扩充性 CPU ≥64位2 Core CPU(主频≥1.5GHz) 内存 ≥4GB L2高速缓存 需标明实际值 L3高速缓存 需标明实际值 微分区 支持 扩展插槽(I/O) 3 内存、PCI插槽动态再分配功能 支持 内部磁盘容量 146GB(10k Ultra320 SCSI)×2(镜象) ≥2.4TB 以太网口 2×1000BaseT或2×1000Base-SX 64位(光口) HBA适配器 2×Fiber Channel Adapter (≥4G)或其它连接方式 DVD-ROM 1×内置式 软件 提供Unix 操作系统(支持无限用户数、简体中文)及相关系统管理支持软件 TPC—C(当前配置) ≥90,000tpmc 处理器到内存带宽 需标明实际值 三级(L3)高速缓存 需标明实际值 RAID 支持RAID 1 电源 2×交流220V双电源(支持负载均衡和互为备份) 售后服务 免费3年(7X24)保修服务 3.3存储备份系统需求 从以下三个方面来分析太重对存储系统的需求: 一、ERP系统实施对数据存储平台的要求 1、基础数据涉及面广,获取难度大,收集过程需要不断的抽取、添加、修改和整合,要求数据存储平台能够提供一个稳定、可靠和适应性强的环境,既保证数据存储的安全、可用,又能适应数据的不断增长进行容量、性能和功能等多方面的扩展,更为重要的是,具备一套可随时回退的安全保护弹性机制,满足ERP项目实施对数据安全和使用的特殊要求; 2、软件的大量修改测试和数据的反复使用回退,要求数据存储平台能够具备高效、快速的回退能力,可以在大量软件和数据的不同版本中自由的切换,大幅缩短系统开发的过程,加快实施进度。 3、实施工作组在系统开发、测试的过程中,必然涉及大量的文件、数据、软件、资料等信息共享和传播的过程,要求数据存储平台能够提供一个资料信息集中共享的场所,并能够为不同的角色定义不同的控制权限,一方面提高实施效率,另一方面也保证资料数据的安全。 二、ERP系统上线后对数据存储平台的要求 大量的企业ERP项目的实施经验表明,ERP项目上线后常常存在以下问题: n 软件本身的BUG等问题,导致ERP系统运行的不稳定,甚至数据的丢失; n 系统流程不规范,需要进行修改、改进 n ERP系统与其它信息系统(如PDM、CAPP等)的兼容性问题 显然,ERP项目的实际应用必定会给整个企业带来一个阵痛期,如何保护企业在此阵痛期的业务开展和稳定运作,以及最大程度缩短阵痛期的时间? 一个有效的解决办法:利用数据存储平台可回退到任一时间点的特性,使软件、数据可迅速恢复到故障发生之前的时刻,避开不稳定的因素,保持继续运行,同时快速调配相关资源进行攻关,解决系统隐患。 另外,为最大程度的保护应用系统数据,并有效降低对系统资源的占用,要求数据存储平台可灵活的制定针对不同性质应用系统的保护策略,如产品业务数据每隔1小时备份一次数据,OA系统每隔3小时备份一次数据,公众服务每隔一天备份一次数据等。从而充分避免了硬件故障、软件错误、人为误操作、病毒侵袭、恶意攻击等对信息系统的危害,保护企业稳定运作。 三、业务发展对数据存储平台的要求 稳健发展、技术创新和效益的不断提高,必然对信息化建设的要求更高更严格,可以预见,在不久的未来,仍将有更多的应用系统投入运行,更多的数据信息被处理。因而,对作为企业信息化建设支撑平台的数据存储系统,提出了以下的要求: n 容量可在线的扩展,能够适应未来数据快速膨胀的需求; n 性能可同步的增加,能够支持更多的应用系统对更多的数据进行处理; n 功能可灵活的升级,包括未来对企业园区里多个信息中心建设的支持、数据的园区网内充分共享、重要数据的异地容灾系统建设…… 总而言之,从太重集团的实际业务和信息系统建设情况出发,太重集团对数据存储系统有以下要求: 1、稳定、可靠,无单点故障; 2、具备快速回退和切换能力; 3、提供测试数据的实时抽取界面; 4、容量、性能和功能可按需扩充; 5、灵活的数据保护策略。 3.4网络安全系统需求 信息化网络建设,涉及与Internet的连接,涉及到与多个下属部分单位的连接。ERP应用、OA应用、WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务,对网络的安全提出了以下的需求: 1、 采用安全控制措施,实现人员的集中管理和控制. 2、 采用安全措施,加强对核心服务器系统的保护。 3、 采用安全措施,实现与Internet的安全连接,同时对外提供服务。 4、 采取安全措施,实现网上行为的审计,进行事中、事后分析。 5、 实现集中统一的全网安全管理,减轻管理的负担。 第四章 系统建设目标、原则 4。1系统建设的目标 本次太重信息化建设的主要目标为: 1、 建设覆盖本次应用软件系统所涉及的所有单位和用户,利用千兆以太网技术构建高性能、高可靠性、安全、可管理的网络平台。 2、 建设满足应用运行的主机存储平台,实现应用的集中部署,实现数据的集中存储、集中备份和管理,实现快速的备份和恢复。 3、 建设网络安全管理系统,实现对设备、人员、网络行为、终端设备的安全管理. 4.2系统建设原则 本次系统建设应满足以下总体设计要求: 1.高可靠性 在系统整体设计中应选用高可靠性设备产品,设备充分考虑冗余、容错能力和备份,同时合理设计总体架构,制订可靠的QoS质量保证策略,最大限度保障系统正常运行。 2.可扩展性 根据未来业务的增长和变化,系统可平滑扩充和升级,避免在系统扩展时对网络架构的大幅度调整。 3。可管理性 支持集中监控、分权管理,以便统一分配网络资源。支持故障自动报警。 4。高性能 设计必须保障网络及设备的高吞吐能力,保证数据的高质量传输,预留出一定的流量增长的范围,保证在可预见的将来满足流量要求,避免网络瓶颈影响整体的系统应用。 5。先进性和成熟性 网络设备采用先进的技术和制造工艺,对于路由协议支持、数据流量分配,抵御网络攻击、高性能方面保持技术领先,网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。 6.标准开放性 支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议,保证与其它网络之间的平滑连接互通,保证与其它主流网络产品的兼容性,以及将来网络的扩展性. 7。成功应用 针对ERP系统这种关键业务应用,所选择的设备必须要经过长时间的成功应应用检验,具有非常高的市场占有率. 4.3系统建设的主要内容 建设内容主要网络建设、服务器建设和存储系统建设三个部分。 网络建设的主要内容有; 1、 核心网络系统建设,通过双核心交换机实现核心的高性能和高可靠性. 2、 在数据中心采用一台数据中心交换机实现到服务器的连接. 3、 在重工、起重机公司、轮轴公司、油膜轮轴公司部署汇聚交换机,通过千兆光纤实现实现到两台核心交换机的冗余连接。 4、 在上述四个公司的配线间部署接入交换机,实现终端用户的接入. 5、 在Internet的出口处部署路由器,实现到Internet的连接. 6、 在核心区部署2台防火墙、2台入侵防御系统,分别作为冗余配置,保证核心区服务器和应用的安全。 7、 在Internet入口处部署防火墙(原有NS-25)、入侵防御系统,保证网络边界安全,构建DMZ区域,部署交换机(原有的华为S5000交换机)实现对外的信息发布。 8、 在核心区部署接入认证、网络管理、日记审计、防病毒(原有的)等应用软件系统,保证整个网络设备、人员、应用的安全. 9、 调整网络结构,由原来的多级代理改为直接连接,保证了C/S应用的访问。 10、 实现与原有网络设备的连接。 服务器系统建设: 1、生产系统建设:数据库、应用服务器系统建设 2、开发、测试、培训环境建设 3、实现与网络系统、存储系统互联。 4、网络安全管理软件部署 存储系统建设: 1、存储系统建设. 2、备份系统建设 3、备份管理、数据管理软件的安装调试 5.1.2网络总体结构 根据标书要求及其应用需求,鉴于太重各部门的特殊安全性要求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用标准IP+MPLS VPN技术,保证网络的互联互通性,并提供各部门、应用系统网络间的逻辑隔离(VPN),保证互访的安全控制,同时通过QOS和基于MPLS VPN的流量工程(TE),保证关键业务在网络上传输的优先级。 对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离,我们设计采用MPLS VPN技术实现网络横向业务部门的隔离和纵向应用系统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性,充分保护用户投资。 根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于“三网合一” 概念的企业信息化综合业务平台。 全网分为两部分:骨干网络和网络中心。 骨干网络采用核心层、汇聚层、接入层的部署思路,各部分描述如下: 核心层:数据网主干网络设备采用交换机进行组网,配置两台高性能核心三层交换机,完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚,并在整个骨干网上启用MPLS VPN,进行业务隔离. 核心层为下两层提供优化的数据传输功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包,满足汇聚节点与核心节点之间高速通信的需要。为保证本项目未来规模庞大,业务众多的特点,核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。 汇聚层:每个汇聚节点的汇聚交换机通过2个1000M光口与集团公司数据中心的2台核心交换机相联,构成双核心,双归属的骨干网络。 汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。在整个网络环境中,汇聚层主要提供如下功能:部门和工作组的接入和汇聚,VLAN的路由,MPLS VPN的封装,实现MPLS VPN对多种业务的安全隔离和带宽保障,安全控制等。 接入层:接入层节点采用百兆三层接入交换机,千兆光/电接口上联汇聚交换机,支持802.1x接入,做到面向端点的安全控制能力。 总体结构图: 5.1。3传输信道设计 采用现有光缆资源,以网络中心辐射至各汇聚点. 现有各条光缆主要为4芯单模,可满足本次项目“双核心”的部署方式。各汇聚点至接入层交换机,可根据各汇聚区域的具体情况和实际距离,通过千兆光/电接口灵活连接。 网络中心内部各设备均采用千兆以太网电缆互联。 5.1.4核心网络设计 根据招标文件结合用户实际需求,本次采用“双核心"、“双归属”的方式,构建核心—汇聚骨干网络,汇聚—接入千兆连接。 根据总体结构图,核心交换机至各个业务区域和汇聚节点均采用双千兆单模光纤,保证链路的可靠性;汇聚交换机至各接入交换机采用千兆单模光纤. 核心交换机:作为全网数据和业务的核心,网络上所有业务的数据流都要经过核心交换机进行交换,因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。建议采用模块化万兆核心路由交换机。 1、引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多配置文件,保证可靠性; 2、全面支持分布式IP/MPLS VPN业务转发,保证高性能; 3、内置的802。1x SERVER可以作为接入认证服务器的备份系统; 4、硬件支持IPv6,支持10G RPR高速环网数据接口,满足未来构建企业大型核心环网要求; 汇聚交换机:汇聚层在骨干网络中起到承上启下的作用,应具备可靠性、高性能和多业务兼顾的特点。采用万兆核心路由交换机,在本项目中具备如下特色: 1、引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多配置文件,保证可靠性; 2、全面支持分布式IP/MPLS VPN业务转发,保证高性能; 3、完善的ACL、流量监管、多元组绑定等安全机制; 4、硬件支持IPv6,支持10G RPR高速环网数据接口,满足未来构建企业大型核心环网要求; 接入交换机:在一个大型园区网络里,接入交换机具有数量多,部署分散的特点,且直接负责终端的接入,应具备可管理性强、端口控制能力强、性价比高的特点。建议选用的三层接入交换机,具备如下优势: 1、支持堆叠,至此对堆叠组虚拟管理,完全可看作一个设备,使可管理性大幅度提高。 2、具有良好的端点控制能力,支持丰富的MAC、IP、端口的灵活绑定。 3、支持802。1X认证功能,可通过此功能实现对终端接入的控制. 4、VLAN能力强,支持最高的4096个VLAN; 网络安全系统设计: 数据中心是本网络最重要的部位,是信息化的神经中枢,数据中心的设计应具备最高的安全性,同时应保证流畅的带宽和一定的可靠性。 作为一个单独的区域来建设,结合招标文件,我们采用“防火墙+IPS+服务器交换机”的建设思路,全部采用双千兆设备,全千兆连接的方式,保证给数据中心最强大的安全保障能力和数据吞吐量。 对数据中心做如下部署: 核心防火墙:防火墙可以部署在网络内部数据中心的前面,实现对所有访问数据中心服务器的网络流量进行身份控制,提供对数据中心服务器的保护。除了完善的隔离控制能力和安全防范能力,数据中心防火墙的部署我们同时考虑两个关键特性: 高性能:数据中心部署大量的服务器,是整个网络的数据流量的汇集点,因此要求防火墙必须具备非常高的性能,保证部署防火墙后不会影响这些大流量的数据传输,不能成为性能的瓶颈; 可靠性:所有数据服务器都部署在数据中心,这些服务器是企业运行的关键支撑,必须要严格的保证这些服务器可靠性与可用性,因此,部署防火墙以后,不对网络传输的可靠性造成影响,不能形成单点故障。 基于上述两个的关键特性,我们进行以下设备部署模式和配置策略: l 设备部署模式: 我们在两台核心交换机上部署两台千兆防火墙,以双链路方式和1G的吞吐量保证可靠性和高性能. l 安全控制策略: l 防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全; l 在两台防火墙上设定严格的访问控制规则,配置只有规则允许用户能够访问数据中心中的指定的资源,严格限制网络用户对数据中心服务器的资源,以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播,保护数据中心的核心数据信息资产; l 配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为; l 根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据中心的服务器; 核心入侵防御系统: 在服务器交换机和核心防火墙之间,部署两台入侵防御系统,和服务器交换机、防火墙设备采用双链路连接,以阻挡防火墙设备不能抵御的系统漏洞攻击、蠕虫病毒、木马程序、间谍软件、DOS/DDOS攻击等。同时入侵防御性能达1。2Gbps,完全满足1G以上的设备要求,无任何瓶颈。 服务器交换机:服务器交换机负责众多数据库和应用服务器的接入,在此我们采用一台服务器交换机,其设备在本项目中有如下优势: 1、以高密度千兆接口的全面满足服务器接入的要求 2、支持高的交换交换带宽和转发性能,为服务器的双上行接入提供了更高的带宽和可靠性 3、支持万兆接口,为未来的系统全面升级提前做好了准备 4、配置冗余电源系统,进一步提高设备可靠性。 5.1。5互联网接入设计 对外访问区负责全网对INTERNET的访问,同时承载太重门户网站的对外发布和EMAIL系统。 虽然现在网络上80%的安全隐患都在内网,但互联网出口的安全问题仍然是对企业网络最具威胁的区域,黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里,所以互联网接入设计中,安全设计仍然放在首位。 我们采用路由器+防火墙+入侵防御系统(IPS)的方式来构建对外访问区。 路由器:路由器是连接内外网的纽带,路由器的性能直接影响对于宝贵带宽的使用率,此外对于大型园区网出口,由于内部网络用户数量庞大,路由器应该具备高性能的NAT转发能力。 1、高性能:具备4.5Mpps的包转发性能,满足未来千兆线路的全线速转发。 2、强大的NAT能力:具备50万并发NAT连接的能力,且支持丰富的NAT特性,提供NAT日志的输出,可配合日志审计系统,做到对于对外访问的纪录和跟踪。 3、支持RIP、OSPF、BGP、IS—IS等多种路由协议 4、支持多种网络接口 5、支持IPV6 防火墙:使用原有Juniper防火墙,划分DMZ区域,通过原有华为5000千兆交换机,连接门户服务器及EMAIL服务器等.配置策略偏重安全区划分,安全抵御由入侵防御系统着重完成. 入侵防御系统:配置入侵防御系统,提供4个100M端口,具备1G吞吐量,满足当前接入带宽。重点配置对于黑客入侵、蠕虫病毒、木马程序的防范。 5。1.6网络管理、接入认证、日志审计系统设计 针对太重这种大型的网络系统,网络的运维管理变得非常重要,需要采用必要的手段进行能够网络的集中监控和管理,实现不同厂商产品的统一监控和管理,需要采用一个网络管理平台;同时为了更好的控制网络资源访问权限,监控网上行为,记录外网访问记录、作为事后审计依据,需要增加以下几个部分: 1、 网络管理软件系统 2、 接入审计系统 3、 日志审计系统 网络管理系统应该包括以下功能: 网络管理系统应采用分布式、组件化、跨平台的开放体系结构,用户通过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、配置管理等多种管理功能。产品不仅能够独立提供完整的网络管理平台,还能够与OpenView、SNMPc多种主流通用网管平台灵活集成;不仅能够管理配置的网络设备,还能够通过标准MIB管理各主流厂商的网络设备。 网络拓扑管理 网络管理软件可以通过拓扑发现功能,帮助客户迅速发现网络资源。能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解网络的变化。 l 自动发现网络拓扑结构; l 支持全网设备的统一拓扑视图; l 可以灵活裁减拓扑视图,聚焦网络的关键区域; l 可以灵活选择设备、背景图标,构建逼近真实网络的拓扑 l 可以直接点击拓扑视图节点,快速查看设备面板; l- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 系统集成方案 网络 网络安全 服务器 存储系统 集成 系统集成 方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文