IT基础架构规划设计方案一.docx
- 文档编号:1170909
- 上传时间:2022-10-18
- 格式:DOCX
- 页数:14
- 大小:1.46MB
IT基础架构规划设计方案一.docx
《IT基础架构规划设计方案一.docx》由会员分享,可在线阅读,更多相关《IT基础架构规划设计方案一.docx(14页珍藏版)》请在冰豆网上搜索。
IT基础架构规划设计方案一
IT基础架构规划方案一(网络系统规划)
背景
某集团经过多年的经营,公司业务和规模在不断发展,公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。
同时随着新建办公大楼、研发大楼和厂房的落成,IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。
目前主要分为以下两部分:
楼宇智能化规划和建设方案:
主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。
企业IT基础架构规划和解决方案:
主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。
本方案主要是针对某集团企业IT基础架构进行规划,并提出解决方案和进行投资预算。
而关于楼宇智能化规划和建设的方案参见其它相关方案。
企业IT架构
一般企业的IT架构情况,本方案主要针对IT基础架构部分进行规划,并提供选型和部署参考,关于企业IT业务应用系统部分的规划和建设请参考其它方案。
网络系统规划
当前,企业一般能给信息化方面投入有限。
除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等都普遍较弱,这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护。
其次,由于企业首要解决的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施时间必须极短。
企业的组网方案主要要素包括:
局域网、广域网连接、网络管理和安全性。
具体来说企业组网需求:
Ø建立安全的网络架构,总部与分支机构的网络连接;
Ø安全网络部署,确保企业正常运行;
Ø为出差的人员提供IPSec或者SSL的VPN方式;
Ø提供智能管理特性,支持浏览器图形管理;
Ø网络设计便于升级,有利于投资保护。
企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。
通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点:
Ø网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。
Ø用户可以采用多种的广域网连接方式,从而降低广域网链路费用。
Ø无线接入点覆盖围广、配置灵活,方便移动办公。
Ø便捷、简单的统一通信系统,轻松实现交互式工作环境。
Ø带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。
Ø随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。
Ø系统安全,XX性高,应用了适合企业的低成本网络安全解决方案。
安全基础网络规划方案
根据对某集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供基础版和企业版两种规划方案
1)网络需求:
企业规划的网络节点为500个,主要的网络需求首先是资源共享,网络的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子、实现Web应用、接入互联网、进行安全的广域网访问;还有就是公司门户和网络通信系统(企业、企业即时通信和企业短信平台等)的建立。
2)基础版规划方案
本方案适用于200~300台电脑联网,核心采用H3CS5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换机及服务器连接;用户接入H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机。
Internet出口采用H3CMSR20-1X多业务路由器作为Internet出口路由、SecpathF1000-C或者UTM作为安全网关和移动用户的VPN接入网关。
网络拓扑图如下:
设备选型和部署参考如下:
业务
需求
设备选型参考
配置说明
数量
部署位置
数据
核心交换机
H3CS5500-28C-SI
或H3CS5500-20TP-SI
全千兆三层核心
1
核心机房
接入层交换机
H3CS3100-26TP-SI
或H3CS3100-52TP-SI
接入层支持光电复用千兆上行,
支持混合堆叠
26TP:
15台
52TP:
8台
各楼层或机房
路由器
H3CMSR20-1x路由器
转发率160Kpps,256M存,支持GE/FE交换模块,同异步串口模块,E1/PRI模块,语音模块,加密模块
1~2
核心机房
安全
防火墙
H3CSecPathF1000-C或H3CSecPathU200
支持应用层报文过滤
1
核心机房
VPN
支持DVPN
互联网接入
10M光纤接入
电信10M光纤接入
配静态IP地址
1~2
核心机房
方案特点:
Ø高性价比:
能够让中小企业低投资拥有高性能、经济的网络;
Ø简易性:
结构简单、安装快速、简单,维护无需配置专职人员;
Ø高性能:
最低投资做到千兆骨干、百兆接入;
Ø可扩展性:
灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。
3)高级版规划方案:
本方案适用于500~800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用H3CS7500交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用H3CS5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3CS5100-16/24/48P-SI全千兆交换机,千兆到桌面。
网络拓扑图如下:
设备选型和部署参考如下:
业务
需求
设备选型参考
配置说明
数量
部署位置
数据
核心交换机
H3CS7500(E)系列
核心支持双引擎双电源,性价比最高
1
核心机房
汇聚层交换机
H3CS5500-28C-SI
汇聚支持全千兆高速转发,消除网络瓶颈,同时支持万兆扩展
3
各楼层或机房
接入层交换机
H3CS3100-26/52TP-SI
或 H3CS5100-16/24/48P-SI
接入层根据不同业务需求提供百兆和千兆接入两种选择
52TP:
10台
各楼层或机房
路由器
H3CMSR50-06路由器
H3C新一代安全路由器
1~2
核心机房
安全
防火墙
H3CSecPathF1000-C
支持应用层报文过滤
1
1
VPN
支持DVPN
互联网接入
20M~50M光纤接入
电信20M~50M光纤接入
配静态IP地址
1~2
核心机房
方案特点:
Ø高性能,全分布式交换网络;
Ø高可靠,无间断的通信环境;
Ø灵活弹性的网络扩展能力;
Ø高效率的网络带宽利用率;
Ø全面的QOS部署,多业务融合;
Ø完善的网络安全策略,实现深度安全检测,抵御未知风险。
安全无线网络规划方案
无线网络的部署,能够增大员工接入网络的围,提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。
安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能为合作伙伴/客户提供方便的上网服务。
根据企业情况,可以采用FATAP方案:
1)无线网络需求:
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2)规划方案:
采用WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。
网络拓扑图如下:
设备选型和部署参考如下:
业务
需求
设备选型参考
配置说明
数量
部署位置
无线
无线接入
WA1208E
双802.11g无线模块
8
各楼层
无线安全
H3CCAMS
满足用户管理、身份认证、权限控制和计费的要求
1
核心机房
无线管理
H3CiMC网管系统
支持与HPOpenview、SNMPc等通用网管平台的集成
1
核心机房
方案特点:
Ø全面支持802.11i安全机制、802.11eQoS机制、802.11fL2切换机制;
Ø大围覆盖:
高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
Ø多VLAN支持:
虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN用户可以独立认证;
Ø兼作网桥使用:
WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率;
Ø负载均衡:
支持基于用户数的负载均衡、基于流量的负载均衡;
Ø针对各类室外、特殊室应用如仓库等复杂环境,可以提供专门的型号。
广域网互联VPN规划方案
伴随企业和公司的不断扩,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。
在VPN方式下,VPN客户端和设置在部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、XX性和合法性。
通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。
从成本、易用性、易管理等多方面综合考虑,SSLVPN无疑是一种最合适的方案:
只需要在总部部署一台设备,成本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。
1)网络需求
1IPSecVPN和SSLVPN各有所长,功能互补,对企业来说都是需要的:
IPSecVPN用于总部和型分支互连,SSLVPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。
但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。
2)规划方案
融合VPN针对企业的实际需要,一台设备融合IPSec/SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSecVPN互连,帮助企业降低采购、部署、维护三方面成本。
VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。
例如,如果企业非常强调网络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSecVPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSLVPN接入业务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IT 基础 架构 规划 设计方案