《IT基础架构规划方案一.docx》由会员分享,可在线阅读,更多相关《IT基础架构规划方案一.docx(21页珍藏版)》请在课桌文档上搜索。
1、IT基础架构规划方案一(网络系统规划)背景某集团经过多年的经营,公司业务和规模在不断发展,公司管理层和IT部门也相识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成,IT部门也须要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分:楼宇智能化规划和建设方案:主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。企业IT基础架构规划和解决方案:主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型
2、等。本方案主要是针对某集团企业IT基础架构进行规划,并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。企业IT架构一般企业的IT架构状况,本方案主要针对IT基础架构部分进行规划,并供应选型和部署参考,关于企业IT业务应用系统部分的规划和建设请参考其它方案。企业IT架构应用系统(ERP系统/企业门户/商业智能)IT基础架构基础软件系统(/数据库/数据仓库/中间件)n计算机系统(服务器/磁盘存储系统/桌面PC)操作系统(操作系统/虚拟化软件)I网络系统规划当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用实力、维护实力、开发实力、实施实力等都普遍
3、较弱,这就要求网络架构成熟、稳定平安、高牢靠、高可用,尽可能少投入人力和金钱进行维护。其次,由于企业首要解决的是生存问题,根本没方法做到“先信息化,再做业务”,因此网络建设实施要求必需简洁,实施时间必需极短。企业的组网方案主要要素包括:局域网、广域网连接、网络管理和平安性。详细来说企业组网需求:0建立平安的网络架构,总部与分支机构的网络连接;0平安网络部署,确保企业正常运行;0为出差的人员供应IPSeC或者SSL的VPN方式;0供应智能管理特性,支持阅读器图形管理;0网络设计便于升级,有利于投资爱护。企业一般的组网结构如下图,大企业网络核心层一般采纳冗余节点和冗余线路的拓扑结构,小企业则单线路
4、的连接方式。通过对一般企业的信息化状况和网络规划要素进行分析,从总体上看,规划方案必需具有以下特点:0网络管理简洁,采纳基于易用的阅读器方式,以直观的图形化界面管理网络。0用户可以采纳多种的广域网连接方式,从而降低广域网链路费用。0无线接入点覆盖范围广、配置敏捷,便利移动办公。0便捷、简洁的统一通信系统,轻松实现交互式工作环境。0带宽压缩技术,高级QOS的应用,有效降低广域网链路流量。0随着公司业务的发展,全部网络设备均可在升级原有网络后接着运用,有效实现投资爱护。0系统平安,保密性高,应用了适合企业的低成本网络平安解决方案。平安基础网络规划方案依据对某集团的实际调研,获得了企业的网络需求,以
5、此来制定企业基础网络建设规划方案和网络设备选型参考;以下供应基础版和企业版两种规划方案D网络需求:企业规划的网络节点为500个,主要的网络需求首先是资源共享,网络内的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行平安的广域网访问;还有就是公司门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)的建立。2)基础版规划方案本方案适用于200-300台电脑联网,核心采纳H3CS5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换机与
6、服务器连接;用户接入H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机。Internet出口采纳H3CMSR20-1X多业务路由器作为Internet出口路由、SecpathFlOOO-C或者UTM作为平安网关和移动用户的VPN接入网关。网络拓扑图如下:设备选型和部署参考如下:业务需求设备选型参考配置说明部署数据核心交换机H3C全千兆三层1核心S5500-28C-SI或H3CS5500-20TP-SI核心机房接入层交换机H3CS3100-26TP-SI或H3CS3100-52TP-SI接入层支持光电复用千兆上行,支持混合堆叠26TP:15台52TP
7、:8台各楼层或机房路由器H3CMSR20-lx路由器转发率160Kpps,256M内存,支持GE/FE交换模块,同异步串口模块,E1/PRI模块,语音模块,加密模块核心机房平安防火墙H3CSecPathFloOO-C或H3CSecPathU200支持应用层报文过滤1核心机房VPN支持DVPN互联网接入IOM光纤接入电信IOM光纤接入配静态IP地址1-2核心机房方案特点:0高性价比:能够让中小企业低投资拥有高性能、经济的网络;0简易性:结构简洁、安装快速、简洁,维护无需配置专职人员;0高性能:最低投资做到千兆骨干、百兆接入;0可扩展性:敏捷的网络架构,能依据用户须要随时扩展,并爱护已有投资。3)
8、高级版规划方案:本方案适用于500800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采纳H3CS7500交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机与其他设备;网络汇聚层采纳H3CS5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96GbPS的全双工堆叠带宽,消退网络瓶颈,供应优于传统中继聚合配置的更好的可用性和弹性;接入层可选择H3CS3100-26TPSI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3CS5100-16/24/48P-SI全千兆交换机,千兆到桌面。网络拓扑图如下:设备选型和部署参考如下:业务需求
9、设备选型参考配置说明数量部署数据核心交换机H3CS7500(E)系列核心支持双引擎双电源,性价比最高1核心机房汇聚层交换机H3CS5500-28C-SI汇聚支持全千兆高速转发,消退网络瓶颈,同时支持万兆扩展3各楼层或机房接入层H3C接入层依据不52TP:10各楼交换机S3100-26/52TP-SI同业务需求供台层或或H3C应百兆和千兆机房S5100-16/24/48P-SI接入两种选择路由器H3CMSR50-06路由H3C新一代平1-2核心器安路由器机房平安防火墙H3C支持应用层11SecPath报文过滤FlOOO-CVPN支持DVPN互联网20M-50M光纤接入电信配静态IP地12核心接入
10、20M-50M光址机房纤接入方案特点:0高性能,全分布式交换网络;0高牢靠,无间断的通信环境;0敏捷弹性的网络扩展实力;0高效率的网络带宽利用率;0全面的QOS部署,多业务融合;0完善的网络平安策略,实现深度平安检测,抵挡未知风险。平安无线网络规划方案无线网络的部署,能够增大员工接入网络的范围,供应更大的上网便利性一无论是在办公室、会议室还是在空间困难的车间,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。平安无线网络解决方案不但能提高员工的生产效率和协作实力,也能为合作伙伴/客户供应便利的上网服务。依据企业状况,可以采纳FATAP方案:D无线网络需求:能够获得较高的
11、用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简洁、小规模的无线部署。2)规划方案:采纳WA1208E+iMC+CAMS进行组网,协作CAMS实现802.Ix的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。网络拓扑图如下:设备选型和部署参考如下:业务需求设备选型参考配置说明部署位置无线无线接入WA1208E双802.11g无线模块8各楼层无线H3CCAMS满足用户管理、身核心机平安份认证、权限限制和计费的要求房无线管理H3CiMC网管系统支持与HPOpenviewSNMPc等通用网管平台的集成1核心机房方案特点:0全面支持802.1Ii平安
12、机制、802.1IeQoS机制、802.IlfL2切换机制;0大范围覆盖:高接收灵敏度,达到-97dBm(一般AP-95dBm),保证更远覆盖;0多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSlD的VLAN划分,每个VLAN用户可以独立认证;0兼作网桥运用:WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率;0负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡;0针对各类室外、特别室内应用如仓库等困难环境,可以供应特地的型号。广域网互联VPN规划方案伴随企业和公司的不断扩张,公司分支机构与客户群分布日益分散,合作伙伴日益增多,越来越多的现
13、代企业迫切须要利用公共Internet资源来进行促销、销售、售后服务、培训、合作与其它询问活动,这为VPN的应用奠定了广袤市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN网关运用隧道协议,利用Irltemet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采纳身份认证和数据加密等技术避开数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节约了大量的资金,而且具有很高的平安性。另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网
14、络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSLVPN无疑是一种最合适的方案:只须要在总部部署一台设备,成本更低,管理维护也很简洁;无需安装客户端、无需配置,登陆网页就能运用。1)网络需求IIPSeCVPN和SSLVPN各有所长,功能互补,对企业来说都是须要的:IPSeCVPN用于总部和中大型分支互连,SSLVPN用于为小型分支、合作伙伴、出差人员供应远程网络访问。但传统方法下,企业总部须要选购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。2)规划方案融合VPN针对企业的实际须要,一台设备融合IPSec/SSL两种VPN
15、,只需部署在总部,既可以用于为合作伙伴、出差人员供应远程网络访问,也可以和分支机构进行IPSeCVPN互连,帮助企业降低选购、部署、维护三方面成本。VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,供应应企业更加敏捷的选择。例如,假如企业特别强调网络平安、VPN性能,就选择防火墙;假如企业更注意多业务处理实力,如IP语音通信、3G网、无线接入等,举荐选择路由器。在总部局域网Intemet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Intemet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSeCVPN隧道,进行数据封装、加密和传输;另夕卜,通过总部
16、的VPN网关供应SSLVPN接入业务;在总部局域网数据中心部署H3CVPNManager组件,实现对VPN网关的部署管理和监控;在总部局域网内部或Internet边界部署H3CBIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:大里分爻节点VPN Manager BIMS中里分支节点MSR30M人踣由H设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置网络VPN网关H3CSecPath总部和大型机总部1核心机互连F100ovpn网关构配置FlOOo台房H3CSecPath型号分支机FlOOVPN网关中小型机构配构按需或置FIoo型号求配置H3CMSR50路由器
17、H3CMSR20-1X路由器网络管理H3CVPNManagerH3CBIMS帮助用户部署、管理VPN网络1核心机房假如省内分支机构较多、较分散,但对速率要求不高的连锁型单位,也可以选用电信或ISP商的VPDN服务;假如多个分支机构间有多点对多点通信需求的企业、商业机构,也可以干脆选用电信或ISP商的MPLSVPN服务。网络性能指标要求类型带宽要求线路质量要求局域网客户端到服务器:10Mb以上,举荐100Mb各服务器之间:200M以上,举荐100OMb丢包率小于0l%延迟小于20ms广域网分支机构带宽:每客户端128Kb总部出口带宽:(最大并发数丢包率小于2%延迟小于50ms3)128Kb总部服
18、务器之间:200M以上,举荐100OMb网络平安规划网络平安是整个系统平安运行的基础,是保证系统平安运行的关键。网络系统的平安需求包括以下几个方面:0网络边界平安需求0入侵监测与实时监控需求0平安事务的响应和处理需求分析这些需求在各个应用系统上的不同组合就要求把网络分成不同的平安层次。我们针对企业网络层的平安策略采纳硬件爱护与软件爱护,静态防护与动态防护相结合,由外向内多级防护的总体策略。依据平安需求和应用系统的目的,整个网络可划分为六个不同的平安层次。详细是:。核心层:核心数据库;0平安层:应用信息系统中间件服务器等应用;0基本平安层:内部局域网用户;。可信任层:公司本部与营业部网络访问接口
19、;0危急层:Internet。信息系统各平安域中的平安需求和平安级别不同,网络层的平安主要是在各平安区域间建立有效的平安限制措施,使网间的访问具有可控性。详细的平安策略如下:核心数据库采纳物理隔离策略应用系统采纳分层架构方式,客户端只须要访问中间件服务器即可进行日常业务处理,从物理上不能干脆访问数据库服务器,保障了核心层数据的高度平安。应用系统中间件服务器实行综合平安策略:应用系统中间件的平安隐患主要来自局域网内部,为了保障应用系统中间件服务的平安,在局域网中可通过划分虚拟子网对各平安区域、用户和平安域间实施平安隔离,供应子网间的访问限制实力。同时,中间件服务器本身可以通过配置相应的平安策略,
20、限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的平安性;内部局域网实行信息平安策略:公司本部与营业部内部局域网处于基本平安层的网络,主要是对于平安防护实力较弱的终端用户在运用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,运用专用网络平安设备(如硬件防火墙)建立起有效的平安防护,通过访问限制ACL等平安策略的配置,有效地限制内部终端用户和外部网络的信息交换,实现内部局域网的信息平安。公司本部与下属机构之间网络接口实行通讯平安策略:处于可信任层的网络,其平安主要考虑各下属单位上传的
21、业务数据的保密平安,因此,可采纳数据层加密方式,通过硬件防火墙供应的VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上的平安传输。Internet实行通讯加密策略:Internet属于非平安层和危急层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避开涉密信息在该层次中的流淌。通过硬件防火墙供应专业的网络防护实力,并对全部访问恳求进行严格限制,对全部的数据通讯进行加密后传输。同时,建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的平安。D广域网平安规划企业广域网平安,主要是通过防火墙和VPN等设备或技术来保障。防火墙对流经它的网络通信进行扫
22、描,能够过滤掉一些攻击,防火墙还可以关闭不运用的端口,防火墙具有很好的爱护作用,入侵者必需首先穿越防火墙的平安防线,才能接触目标计算机,所以出于平安考虑,企业必需购置防火墙以保证其服务器平安,将应用系统服务器放置在防火墙内部特地区域。一般硬件防火墙比软件防火墙的性能更好,建议选择企业级的硬件防火墙,硬件防火墙市场知名度高的品牌有ClSCO、CheckPointJuniper、H3C、天融信、华为赛门铁克、联想网御等,用户应依据应用状况选择合适的防火墙。VPN即虚拟专用网(VirtUalPriVateNetWOrkS)供应了一种通过公共非平安介质(如Internet)建立平安专用连接的技术。运用
23、VPN技术,甚至机密信息都可以通过公共非平安的介质进行平安传送。VPN技术的发展与成熟,可为企业的商业运作供应一个无处不在的、牢靠的、平安的数据传输网络。VPN通过平安隧道建立一个平安的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展的企业网络。VPN基本特征:0使企业享受到在专用网中可获得的相同平安性、牢靠性和可管理性。0网络架构弹性大一一无缝地将Intranet延长到远端办事处、移动用户和远程工作者。0可以通过EXtranet连接企业合作伙伴、供应商和主要客户(建立绿色信息通道),以提高客户满足度、降低经营成本。VPN实现方式:0硬件设备:带VPN功能模块的路由器、防
24、火墙、专用VPN硬件设备等,如CiSCo、H3C、深信服、天融信等。0软件实现:Windows自带PPTP或L2TP、第三方软件(如Checkpoint.深信服等)。0服务供应商(ISP):中国电信、联通、网通等。目前一些ISP推出了MPLSVPN,线路质量更有保证,举荐运用。2)内网平安规划企业内网平安系统包括防病毒系统、内网平安管理系统,上网行为管理系统等。防病毒系统可以采纳网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等解决方案)。内网平安系统和上网行为管理系统可以选择深信服、任子行、IP-guard等解决方案,企业可以通过部署内网平安系统实现研发网和商业信息的信息平安防范工作。对于研发网的信息平安、数据集中存储和计算资源的统一协调配置,可以通过部署企业桌面虚拟化解决方案来实现。
