网站扩容建设项目技术方案Word文档格式.docx
- 文档编号:18530347
- 上传时间:2022-12-19
- 格式:DOCX
- 页数:38
- 大小:701.65KB
网站扩容建设项目技术方案Word文档格式.docx
《网站扩容建设项目技术方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《网站扩容建设项目技术方案Word文档格式.docx(38页珍藏版)》请在冰豆网上搜索。
1.2需求分析
针对某目前的现状,我们给出如下分析:
1、网络核心层未提供冗余,易出现单点故障,急需实现双机冗余。
2、服务器网的接入层设备品牌繁杂,设备老化,性能和稳定性都无法满足某发展的要求,因此需要对这部分设备进行更新换代。
3、大部分内部用户都使用笔记本电脑通过无线的方式接入内网,对无线接入提出了更高的要求,因此需要由目前的胖AP模式,转变为无线控制器+瘦AP的模式,使无线接入更安全,更易管理。
4、带宽严重不足,除网通光纤负载率在60%以外,三条电信光纤负载率都达到了85%以上,一旦遇到突发流量,网民访问某变得及其缓慢。
因此需要增加带宽,为网民提供更快速更流畅的访问体验。
5、为了改善目前20%的服务器占用80%的带宽,导致大部分服务器带宽得不到保障的局面,急需部署流量控制设备,提供流量分析、统计以及审计功能,帮助管理员及时了解网络中的应用分布。
网络出现拥堵时,能快速定位被攻击光纤和服务器以及攻击类型,确保正常业务得到带宽保障。
6、需要对外联链路进行负载均衡和流量分担,对多家运营商所提供的带宽资源,实现带宽叠加、链路失效替换和智能路径判断。
7、随着带宽的升级,目前的黑洞100M设备已不能满足要求,需要将抗DoS攻击设备的处理能力提升至1G,并且部署专业的应用层攻击防护设备,为某提供更全面的防御能力。
8、目前某使用的VPN设备为4年前采购的天融信VPN设备,安装上线后碰到很多兼容问题,而且传统的IP-SECVPN由于存在诸多弊端,根本不能满足某使用人员和业务部署的需要。
因此需通过部署SSLVPN产品,来扩展某内部信息平台的覆盖范围,并保障数据在网络链路上传输的安全性。
9、目前某的前台应用服务器已无法处理当前访问量的增长,前台程序服务器平均每天的CPU占用率高达90%以上,碰到大的突发情况CPU占用率会达到100%,造成正常访问极度缓慢。
需增购高性能的数据中心服务器以及应用服务器,以满足某访问量的不断增长。
10、建设共享式的多协议(SAN、NAS、iSCSI)存储资源池,充分利用各种存储协议的特点实现存储资源的有效整合,并提高存储资源的利用率。
实施存储本地容灾,异地(武汉)数据备份,加强数据安全性保护,引入自动化存储配置技术,提高空间部署效率,缩短业务部署时间,提高存储系统服务质量,保证业务快速发展需要。
因此本次项目必须依据现有的基础条件,充分考虑性价比,以最小的投资获取最大的效益,不断完善某网络及安全体系,为业务系统创建良好的IT基础,提高某的IT管理水平,进而提高企业总体水平和市场竞争能力。
2项目技术方案
2.1总体建设原则
项目的建设应该遵循如下的原则:
—应尽量避免对现网业务的影响;
—必须保护已有的设备投资;
—新增的设备应符合相应标准规范要求;
—新增的设备应具备进一步扩容的可扩展能力;
—新增的设备应具备开放性、灵活性。
2.2总体架构
针对某的现状以及需求分析,我们建议对某的网络基础、服务器及存储和网络安全体系进行升级改造。
改造完成后,某的总体架构将如下图所示:
在下面的章节中,我们将从网络改造、服务器及存储以及网络安全三部分来为某提供解决方案。
2.3网络改造方案
2.3.1网络改造目标
考虑到某未来的业务发展,网络平台应能有效很好地支持各现有和规划中的业务系统、支持广域网连接、具有良好网络结构的扩张性、可靠性,同时具有良好的可管理性,最大限度降低网管工作的复杂性。
2.3.2网络改造思路
某网络平台的改造应以业务为导向,支撑经营的“规模化”和“差异化”,实现多业务的承载。
在实际网络改造中,应结合网络和业务实际情况,充分考虑投资保护因素,提高投资效益。
具体建设中需体现以下原则:
1、网络层次清晰化,构建物理和逻辑层次清晰的二层交换体系。
2、网络质量差异化。
通过部署区分服务机制,为不同用户和不同业务提供不同QoS等级的差异化服务。
3、设备要求规范化。
新增设备必须符合公司设备技术规范和选型结果的要求。
应尽量减少网内设备厂家数目和型号,核心层、汇聚层每个层面的设备应尽量选用同一厂家产品。
2.3.3网络改造的技术特点
2.3.3.1开放性与标准化
设备使用的各种协议符合网络设备国际标准,基于业界开放性标准,保证本系统能与现有网络及业务系统进行正常互连互通。
2.3.3.2具有可扩展性
设备采用模块化设计,每个模块具有多个千兆接口接入能力,方便扩展设备容量和提升设备性能;
具备支持业务处理的灵活配置,业务功能的重组与更新的灵活性。
接入设备具足够的快速以太网接入接口,具有线速交换能力。
2.3.3.3安全可靠性
网络各节点提供双交换引擎,双电源保障。
提供良好的安全可靠性策略,支持多种安全可靠性技术手段,制定严格的安全可靠性管理措施。
2.3.3.4先进性
采用先进成熟的设备和技术,确保系统的技术先进性,保证投资的有效性和延续性。
提供业务流量的线速转发,具有QoS保障、完善的安全管理机制,满足用户对多业务、高可靠、大容量和模块化的需求。
2.3.3.5投资保护
工程选择的设备一方面要考虑设备的先进性,另一方面本着资源充分利用的原则,既要保护原有的投资利益,节约投资,又要保障设备的二次利用。
2.3.3.6统一性
虽然在以太网交换领域已经有了各种国际标准,但不同的厂商在实现交换协议时都作了较大的增强,为了充分利用这些增强功能,实现无缝的连接,建议选择网络产品时应注意统一性。
选择产品系列具有相同软硬结构设计和功能特性的厂商以保障互操作性和平滑升级能力。
2.3.4网络改造方案
2.3.4.1方案概述
考虑到整个网络为基于铜缆连接的多应用型网络,我们决定采用星型拓扑结构作为整个网络的主拓扑结构,其主要依据是:
星型结构符合企业的组织结构和信息流向的特点,结构灵活,使用和扩展都十分灵活,同时易于管理,无论从物理上还是逻辑上划分子网都非常方便,基本可以满足不同场合对网络带宽的需求。
根据设计原则和设计基础的要求,采用目前流行的二级交换体系来设计某的网络系统,建立二层路由交换结构的好处在于:
核心交换机通过千兆铜缆上连至核心交换机,通过中心来实现路由交换。
这样设计能最大限度地节约有限的主干带宽,使网络的整体性能和效率得到最大限度的提升,并将整个网络结构划分为核心层,接入层二级层次。
网络拓扑如下图所示。
改造后的网络拓扑结构图
2.3.4.2核心层改造方案
第一层为网络核心层,两台CiscoCatalyst4507R及CiscoCatalyst4503之间启用HSRP(热备份交换机协议)实现冗余热备份。
其中一台处于ACTIVE状态,另外一台处于STANDBY状态,当主用4500因电源或不可控因素造成DOWN机时,备用4500将启用,替代主核心成为网络承载的核心体,对于终端用户来说,这个过程几乎是透明的,终端用户感觉不到网络核心的替换。
核心层设备承担的任务主要是接入层间信息的交流和分发与管理,因此核心层设备是整个网络的中心枢纽,应具有强大的交换能力和高可靠性。
同时,核心层设备应该具有强大的安全防护能力和冗余能力,保证不会因单点故障而影响整个系统的正常运行。
在实际应用中,核心层设备还应具有部分的接入层设备的功能,实现部分桌面节点的接入。
这样可以适当降低实施成本。
2.3.4.3接入层改造方案
第二层为接入层,主要有接入交换机和无线AP组成;
主要提供终端PC的的固定点接入和无线接入。
由于服务器网的接入层设备品牌繁杂,设备老化,性能和稳定性都无法满足某发展的要求,因此本次改造将对这部分设备进行更新换代,而更换下的设备则可部署在办公内网,实现利旧。
2.3.4.4无线接入方案
WLAN技术可以替代现有的传统有线网络或者作为其延伸以拓展它的覆盖范围和容量。
在室内应用时,无线可以同时支持移动和有线连接计算。
在会议室、办公区、客户等候区等位置配置无线AP,对该区域进行无线覆盖,为无线用户提供11-54M的网络接入,提高办公人员的机动性。
无线接入方式采用瘦AP模式,在中心机房安装无线控制器,所有无线AP接受无线控制器的统一管理与配置,减轻用户在无线网配置上的负担。
为简化线路,要求无线AP满足IEEE802.3af标准要求,支持POE(以太网供电),若接入交换机不支持IEEE802.3af标准要求,则无线AP需要配置电源。
无线局域网采用IEEE802.11a/g/n标准,在使用支持IEEE802.11g的终端接入时,可获得最高54Mbps的接入速度。
根据每AP最佳并发接入30个用户的标准,以及Wlan所需覆盖的办公区域面积测算,公司无线接入共需设立约12个无线接入点。
2.3.4.5远程接入规划
远程接入规划示意图
随着某业务的发展,需要更快的应对各种突发事件,使身处事件发生现场和异地办公的人员能够将新闻、事件的报道和稿件的审批流程尽量缩短。
但目前某的业务系统部署仅能提供在企业内部的人员能够访问,而传统的IP-SECVPN由于存在诸多弊端,根本不能满足某使用人员和业务部署的需要。
SSL-VPN产品能够扩展某内部信息平台的覆盖范围,并保障数据在网络链路上传输的安全性。
通过部署SSL-VPN设备,能够使某方便的发布对社会公众提供的高级别信息服务,也能使内部人员在任何地域(办公场所、家、新闻现场、网吧等)、使用任何设备(PDA、手机、笔记本、电脑等)访问内部应用系统,加速新闻采集、审批、发布的流程,真正做到应用随需而变。
需要注意的是,目前某应用存在B/S、C/S等多种模式,因此SSLVPN应该能通过用户可选的客户端插件形式为终端用户分配虚拟IP,并通过SSL隧道建立三层隧道,实现与传统IPSECVPN客户端一样的终端网络功能。
2.3.4.6带宽扩容方案
某08年阅读数从日均330万上升到496万,09年将达到620万。
根据业务增长速度,逐步增加带宽。
09年拟将电信带宽增加至600M;
网通保持100M;
新增铁通100M;
CDN增加至100M。
另外增加1G的CDN直播动态调用带宽,这个是以直播次数和每次使用多少带宽为标准收费的。
日后根据实际需求,将电信带宽逐步增加至1G带宽,CDN增加至400M。
应用
现在所占带宽(Mbps)
目前实际需要带宽(Mbps)
需增的带宽(Mbps)
新闻
40
80
新闻图片
33
60
27
论坛、博客
150
70
小程序
10
30
20
视频直播
50
100
合计
257
以上为主应用业务的基本带宽增加情况,还没有计算短信和Asp等业务,或者以后新增的其它业务的带宽占用情况。
某会根据业务的需求灵活调整光纤接入数量。
电信带宽扩容,将缓解某电信带宽严重不足的情况,提高电信用户访问某的速度,同时能灵活应对突发流量。
新增的铁通带宽,将解决部分铁通用户因为运营商之间的互联问题不能访问某的现象。
新的频道放入加速范围,将提升全国各地访问某速度。
2.3.4.7流量控制方案
为了更好的加强对服务器的管理,必须要有效的控制网络流量。
于是网络流量控制和优化变成了目前解决问题的必要手段。
建议采用网络流量优化产品来弥补路由器、交换机、防火墙等网络设备无法做到的4至7层的应用管理。
多链路接入后流控设备工作于透明模式,两台设备做双机热备,确保网络的稳定性。
2.3.4.8服务器负载均衡方案
通过在某信息平台中部署两台智能交换机,分别采用单臂旁路方式接入双核心交换机。
根据某实际应用需求配置服务器负载均衡功能、状态检测防火墙、连接复用、反向代理缓存、HTTP压缩等功能模块。
由于内网服务器众多,利用两台智能交换机可以很方便的组成双ACTIVE群集。
通过对这两台智能交换机的配置,不仅可以为内外网众多服务器提供主用服务,还能互相作为备份,随时接管因意外或计划内维护所造成的停机,而不损失业务的高可用性。
所有的应用系统服务处理和优化全部由智能交换机来完成,如果后台服务器不能正常提供应用服务,智能交换机将不会把前端用户的应用请求发送给故障服务器。
此外,在应用服务器前端部署智能交换机还可为以后的系统扩容提供便利。
此架构设计将为整个某对外及对内应用提供较强性能和较高的可靠性,并具备良好的开放性和扩展性。
将某多个应用分成多个GROUP(比如静态应用和动态应用),每个GROUP可根据具体的业务情况灵活指定。
各个GROUP的用户分别访问各自的虚拟应用服务站点通过四、七层智能交换机安全的连接到具体的应用服务。
两台设备上所配置的多个虚拟站点同时工作,组成双Active群集。
除为各自的GROUP用户提供服务之外,还充当另外一个虚拟站点的Standby节点为另一个GROUP的用户提供服务备份。
4、7层智能交换机部署在应用系统服务器前端,充当反向代理的角色,所有流向后端服务器的数据包首先都需要经过智能交换机拆包进行分析。
判断数据包中是否有恶意代码,并根据数据包的实际请求以及后端服务器的健康状况进行应用分配和优化。
2.3.5网络设备选型建议
2.3.5.1网络交换设备
序号
设备类型
具体配置
数量
1
核心交换机
Catalyst4500Chassis(7-Slot),fan,nop/s,RedSupCapable
4500系列7插槽核心交换机主机箱
Catalyst45001300WACPowerSupply(DataandPoE)
1300瓦冗余电源,支持数据与语音
2
Catalyst4500SupervisorIV(2GE),Console(RJ-45)
第四代超级引擎,带2个光纤插槽
Catalyst4507RRedundantSupervisorIV,(2GE),Console(RJ-45)
第四代超级引擎,带2个光纤插槽(备份)
Catalyst4500Enhanced48-Port10/100/1000Base-T(RJ-45)
48口10/100/1000模块
3
接入交换机
Catalyst35602410/100/1000T+4SFP+IPBImage
24口10/100/1000自适应交换机,带4个光纤模块插槽
无线控制器
4400SeriesWLANControllerforupto25LightweightAPs
无线控制器最多可以25个AP
4
无线AP
802.11a/g/n-d2.02.4/5-GHzModUnifiedAP;
6RP-TNC;
China
无线AP,支持802.11A/G/N,模块化支持2.4G/5G网络
12
5
备注
三年质保
选型原因:
1)业界公认品牌,最好的稳定性及背板,保障网络的稳定性,选择3560和4500系列交换产品;
2)思科首倡802.11n无线标准,享誉的产品型号,无线业界良好的市场占有率及客户认同率,选择1252AP;
3)方便配置和管理,及安全策略实施,提高工作效率,选择无线局域网控制器产品;
4)与某原有的4503核心交换机同属一个系列,板卡互相兼容,减少重复投资,能够很好的进行双机热备等高效应用,并且启用一些思科独有私有协议。
2.3.5.2VPN设备
负载均衡设备
SPx28004端口10/100/1000,最大1000用户并发1U标准
Add50终端用户许可证SPx2800
1)此设备支持3层和7层协议访问,支持多种应用操作系统;
2)支持对客户端IP地址的动态分配、静态分配(特定用户分配特定IP);
3)支持多个运营商的光纤同时接入;
4)用户测试了天融信、array的VPN设备,在启用三层的时候,而且在本地网段和目标网段是相同IP段的情况下天融信一定要启用VPN的路由模式,启用路由模式后天融信访问速度非常缓慢,由于是启用了路由模式,目标服务器没有办法记录每个VPN客户端的IP访问情况,而只知道通过一个虚拟的IP来访问,所以最终选择了array的设备。
2.3.5.3流量控制设备
流量控制设备
AceNetAG1000E,2xGE+8x10/100CopperEthernet,2G数据吞吐量,1M最大并发数,12K安全策略数.
AceNetAG1000E,UpgradeLicense
1)此设备采用ASIC的系统架构,添加规则后不影响性能,通过实时带宽监控可以迅速定位和处理流量异常等问题;
2)系统能够支持透明,NAT等混合网络工作模式;
3)支持多条光纤汇聚后输出。
2.3.5.4负载均衡设备
APV3520AppVelocityEdition(4GB内存,16口10/100/1000+4SFP,48G背板交换)
(incl.Webwall,Clustering,SLB,CACHE)
1)此负载设备可以按每个域名每天生成标志的IIS日志文件以备服务器调用;
2)此负载设备可以做双机热备和同时激活,
3)用户测试了array、F5、radware等全球知名的负载设备提供商,只有array可以满足用户对日志的和应用方面的需求,所以最终选定如上型号。
2.4服务器及存储方案
2.4.1服务器方案
2.4.1.1设计原则
Ø
主流的服务器机型
计算机产业是发展迅速的产业,新技术不断涌现,旧产品快速淘汰。
选择主流机种可减缓机器更换频率,提高主机的服务年限,更好的利用设备投资。
具有先进的体系架构
服务器系统必须具备先进的体系结构,有良好的软硬件支持能力和互操作性。
系统平台要提供对多厂家产品的支持能力,并符合国际工业标准,能与不同厂牌的产品兼容,可以有效保护投资,并为应用系统提供良好支持。
具有先进的技术
服务器系统必须具备先进的虚拟化技术,集中的处理能,具有增强的虚拟化特性,能跨系统实时分区迁移,资源调度灵活方便。
具有丰富的扩展方式
服务器系统在技术上具有强大的扩展能力,能够满足业务量的增长,为增加软件功能提供运行空间,并且具有横向、纵向的扩展能力。
具有完整的高可用解决方案
数据集中要求中心服务器系统必须具有极高的稳定性和可靠性,能长时间不停机稳定可靠的运行,主机连续运转后,保障因故障停机前的正常使用时间在3年以上,满足7x24小时的要求。
当服务器系统发生软硬件故障或操作错误时,必须能妥善保护全部业务数据,自动发现和排除各种故障,并在最短的时间内自动恢复正常业务处理,应采用包括双机备份,数据恢复等技术,用以满足业务系统高可靠的运行。
具有完善方便的管理技术
主机的管理技术是其中必不可少的关键组成部分,要求具备简单、方便、功能齐全、高效率的管理工具。
管理技术包括三个组成部分即系统管理、网络管理、机房管理,系统管理是利用系统工具管理硬件软件,从而使系统在安装运行和维护过程中得到可靠保证。
网络管理是监控全网络的工作状态,从连通性,安全性,可靠性等方面提供有利支持。
机房管理是在不同人员工作分配等方面提供一定方法。
2.4.1.2系统架构分析
服务器系统总体架构优缺点分析如下:
主备方式的服务器架构
这种架构的好处是架构最为简洁,系统管理和维护非常容易。
但是当业务量非常大时,对单台服务器(不论是生产主机还是备份主机)的处理能力要求很高。
当单台服务器处理能力不足时,必须增加服务器的CPU和内存等配置;
当单台服务器的配置达到最高仍无法满足业务处理能力时,则必须升级到更高档和更高配置的新的服务器。
单数据库服务器单应用服务器的主机和应用架构
这种架构的好处是架构投资相对适中,系统整体的性能较好,系统管理和维护相对容易,且极大的降低了主备服务器架构下对单台服务器处理能力的性能压力。
但这种架构的不足或者说局限性也基本上和主备服务器架构相同。
当业务量非常大时,对单台服务器(不论是应用服务器还是数据服务器)的处理能力要求亦很高。
而且,系统的安全性有一定的隐患,如果两台运行主机同时出现问题,一台主机无法承受两台主机的系统负载。
单数据库服务器多应用服务器的主机和应用架构
这种架构已经是一种比较复杂的架构,系统管理和维护有相当难度。
这种架构完全解决了单台应用服务器处理能力可能不足的问题,可以根据业务发展和处理能力需要灵活配置多台应用服务器(彼此的机器型号和配置也可以不同)。
这种架构的不足或者说局限性主要是单台数据库服务器的处理能力方面。
但根据经验,在正常的大业务量的银行核心业务系统中,配置较高的一台数据库服务器一般可以同时支持3台左右的相同配置的应用服务器,也就是说,业务系统对应用服务器和数据库服务器的要求是不对等的,对应用服务器的要求更高一些。
多数据库服务器多应用服务器的主机和应用架构
这种架构是目前开放式平台下的一种较为超前的主机架构,系统管理和维护有一定的难度,建设成本最高。
但是,这种架构完全解决了单台应用服务器和单台数据库服务器处理能力可能不足的问题,可以根据业务发展和处理能力需要灵活配置多台应用服务器和多台数据库服务器(彼此的机器型号和配置也可以不同)。
2.4.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网站 扩容 建设项目 技术 方案