IT基础架构建设方案.docx

IT基础架构建设方案.docx

《IT基础架构建设方案.docx》由会员分享，可在线阅读，更多相关《IT基础架构建设方案.docx（17页珍藏版）》请在冰豆网上搜索。

IT基础架构建设方案

启音启智集团

IT基础架构建设方案

第一章项目情况介绍

第二章设计原则和设计思想

第三章VPN网络建设

第四章数据中心虚拟化建设

第五章分支机构弱电建设标准

第六章视频会议

第七章IT资产统一管理

第八章监控和考勤系统统一管理

第九章邮件文档统一管理

第十章视频点播直播系统

第一章项目情况介绍

1。

1项目背景

目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的开展不再仅仅局限于同一物理位置上，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样开展业务.另外集团对各项业务的流程，账务流程,行政流程需要统一进行管控，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来满足各分支机构与集团总部之间的信息交流。

另外我集团作为新兴的拥有知识产权的企业，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象,这提醒我们应该更加注重网络安全的建设.值得称道的是，公司领导已经对此引起了高度重视，并计划逐步进行卓有成效的防护工作。

在这方面,合理借鉴市场先进经验与理念十分重要。

1.2目前IT架构和应用现状分析

地点

原宽带

宽带运营商

网络接入

IP地址：

动态/固定

服务器

交换机

其它设备

深圳总部

ADSL

动态IP地址

K3服务器一台　

　二层

无　

深圳中心

ADSL

动态IP地址

　无

二层　

无

ADSL

动态IP地址

　无

二层

　无

广州越秀中心

电信

ADSL

动态IP地址

　无

　二层

　无

广州天河中心

无

无

无

备份服务器一台

二层

无

上海浦东中心

电信

光纤接入

动态IP地址

无　

二层

　无

北京浦东中心

无

无

无

无

二层

无

从上表可以看出，我集团IT基础架构还处在比较原始的阶段，集团总部和各分支机构没有进行信息网络的互联互通,已经成为制约业务扩大和发展的重要原因.

1.3未来要运行的系统

1.CRM系统

2.OA系统

3。

IP电话

4.视频会议

5。

邮件系统

6。

域管理系统

7。

考勤统一管理系统

8.监控统一管理系统

9。

账务系统

10。

文档统一管理系统

11.数据备份系统

12.网络安全系统

13。

医务教学系统

根据以上需求，我集团必须构建适合公司未来发展的IT基础架构。

搭建互联互通的信息网络和信息平台。

为此，必须首先完善IT基础架构.

第二章设计原则和设计思想

系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。

具体的我们遵循了以下原则:

2。

1安全性原则

在公司网络运行的各个环节中,都应该严格注意安全的问题，防止其中的任一过程存在着安全的漏洞,从而影响整个公司业务运作的大局。

随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，安达通公司时刻强调高度的安全性。

我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。

网络安全需要依靠综合手段才能够实现。

一方面需要好的安全技术产品，好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。

从技术角度来看,一个完善的网络安全系统应该包括以下三个方面:

1.安全防护

2.主动安全评估

3.安全实时监控

安全防护就是通过防火墙或网络物理隔离等设备,对进出网络的数据包进行控制；同时在应用、主机上限制非法用户进入，或者用户越权访问.

主动安全评估是基于安全防护的基础上进行的,在通过了安全防护之后，可以借助安全工具或者是有经验的安全专家来进行安全评估.

安全实时监控也是属于主动防御范畴。

指在我们对网络上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具对某个网段或者主机进行扫描,实时监控系统能够检测到这类行为.

2。

2实用性原则

系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面，又采用先进的技术，使系统完成后，保持一定时期的领先地位.另外还要考虑成本和费用

实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能低成本与实用性相结合。

2.3可靠性原则

这套系统是企业内网的门户。

它的稳定可靠关系重大，特别是具体业务项目.随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响企业的形象,也将给为企业带来不便和不可低估的损失。

因此可靠性是平台运行的首要保证.

我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。

2.4可扩展性原则

网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程.我公司在该方案的设计中充分考虑它的可扩展性,为将来系统扩展和升级提供基础。

2。

5易管理性原则

系统的管理和维护工作也是至关重要的.在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。

第三章集团VPN网络建设方案

3.1VPN技术简介

VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术.在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。

对企业而言，VPN可以替代传统租用线来连接计算机或局域网等。

而任何VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。

数据通过安全的”加密管道"在公共网络中传播.企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中.使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。

图3—1VPN组网示意图

虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条件：

保证数据的真实性：

通信主机必须是经过授权的，要有抵抗地址冒认（IPSpoofing）的能力。

保证数据的完整性：

接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力.

保证通道的机密性：

提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据.

提供动态密匙交换功能：

提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演.

提供安全防护措施和访问控制:

要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（AccessControl）.

虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持IPSec。

最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道.目前，VPN技术正在迅速走向成熟,而且它正处于兴盛期。

3。

2系统设计功能分析

3。

2。

1VPN的构建方式

VPN的实现有很多种方法，常用的有以下四种：

1．硬件VPN：

某些硬件设备，含有VPN功能.

2．软件VPN：

可以通过专用的软件实现VPN。

3．运营商提供VPN：

可以通过租用运营商的网络实现VPN。

3.2.2为企业节省了费用开支

采用了VPN系统,相当于在总部和各地分公司之间建立了安全的专用网络,就可以充分利用公共网络的资源，在上面运行包含企业内部重要信息的各种应用系统.

比较传统的在总部分公司之间拉专线的方式，采用VPN解决方案,大幅度降低了企业信息系统的投入成本，为企业带来了直接的效益.并且在安全性上，也得到了提高，因为即使是拉专线，也需要通过网络运营商,而采用VPN方案，则是真正的将安全掌握在了自己手中.

3。

2.6系统的易扩展性

VPN系统建立以后，将来的扩展非常方便,如果需要增加一个分公司或者办事处，在该地安装一台VPN设备,总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入.如果增加一个移动用户,只需要配发一个SureID即可。

因此扩展非常简单.

3。

3产品选型

软件VPN因性能差,不稳定等因素,在生产环境中，很少部署。

现在主流VPN一般为硬件VPN和运营商提供的VPN。

下表为一些供应提供的产品的特点，具体价格详见附件。

VPN性能

防火墙

网络管控

网络加速

负载均衡

第一线

良好

无

无

无

无

深信服

良好

有

有

有

有

中科网威

良好

有

有

有

有

九昌电信

良好

无

无

无

无

费用对比表

所需要设备

VPN

防火墙

网络管控

宽带

小计

第一线

19000

CISCO5515

（总部2.2W）分支机构（9000＊4）

AC1200（市场价格1。

5W*5）

拨号光纤（月租金1500*5）

设备费用13.3W线路费用2.6W/月

九昌电信

20000

CISCO5515

（总部2。

2W）分支机构（9000＊4）

AC1200（市场价格1。

5W＊5）

拨号光纤（月租金1500＊5）

设备费用13.3W线路费用2。

75W/月

中科网威

总部4。

2W

分支机构（8000*4）

总部7000分支机构（3000＊5）

设备费用7.2W线路费用2。

2W/月

深信服

总部8W分支机构（4W*4）

AC1200（市场价格1。

5W＊5）

总部7000分支机构（3000＊5）

设备费用31。

5W线路费用2.2W/月

3.4网络规划与产品部署

1、集团总部设计方案

总部是整个公司的“心脏地带”，重要信息的交互、共享，重要数据的频繁传输,组成了XX集团的业务流.随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。

目前，集团总部的内部网络，通过电信网络直接接入Internet。

考虑以后总部业务需求的发展，在总部网络出口处部署一台ANYSEC—M6600。

M6600是一款标准1U机架式高性能VPN安全接入网关。

基本配置包括4个100/1000M以太网接口，采用IntelNP架构高速网络处理器。

最大VPN隧道数1600条、3DES硬加密性能100Mbps、防火墙吞吐率1Gbps、最大并发会话数500，000个。

支持双机热备、多线路负载均衡。

主要功能包括VPN集中管理、IPSEC/SSLVPN二合一、防火墙、代理上网、应用带宽管理、IM控制、P2P控制、娱乐控制、用户分级管理、上网行为管理等功能.

2、各地驻外机构设计方案

由于各地驻外机构需要与杭州总部进行大量的信息交换，并且随着ERP等应用系统的应用加深，物流、资金流在企业Intranet网上的频繁传输，为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传输，故此,部署ANYSEC—S2800i到各驻外机构。

S2800i是一款桌面式VPN安全接入网关.基本配置包括5个10M以太网接口,采用IntelMIPS架构高速网络处理器。

最大VPN隧道数256条、3DES硬加密性能35Mbps、防火墙吞吐率200Mbps、最大并发会话数80，000个.主要功能包括IPSECVPN、VPN管理平台、路由、无线上网、交换机、防火墙、3G上网、上网行为管理、双线路支持等功能。

3、集团VPN建设网络IP地址分配如下：

地点

服务器网段

办公网络

WIFI

监控

深圳总部

10。

1。

0。

0

10。

1。

1。

0

10。

1。

2.0

10.1。

3.0

深圳中心

10。

2。

1.0

10.2.2.0

10。

2。

3。

0

广州越秀中心

10。

3。

1。

0

10.3。

2.0

10。

3。

3。

0

广州天河中心

10。

4。

1.0

10。

4。

2。

0

10。

4.3。

0

上海浦东中心

10.5。

1。

0

10。

5。

2。

0

10。

5.3。

0

北京浦东中心

10.6。

1.0

10。

6。

2.0

10.6.3。

0

4、接入线路

根据以上分析，集团总部申请一条20M电信固定光纤，用作VPN核心网络，通过VPN设备连接总部核心交换机。

其它分支机构酌情申请电信或者联通光纤，通过接入层的VPN设备与集团总部进行VPN互联。

如下表

地点

VPN网络

办公网络

深圳总部

电信20M固定光纤（未来根据需求另外申请联通固定光纤）

电信拨号100M

深圳中心

与集团总部共用

广州越秀中心

固定6M光纤或者拨号100M（优先电信线路）

广州天河中心

固定6M光纤或者拨号100M（优先电信线路）

上海浦东中心

固定6M光纤或者拨号100M（优先电信线路）

北京浦东中心

固定6M光纤或者拨号100M（优先电信线路）

5、完成后网络图

6、所需设备清单

设备名称

高性能VPN设备

接入层VPN设备

核心交换机

1台（集团总部）

1台（集团总部）

4台（每个分支机构一台）

第四章数据中心虚拟化建设

随着信息化的快速发展,各类应用系统越来越多.按照传统数据中心建设思路，为避免应用系统之间软件和资源配置的冲突，每增加一个新需求、新应用，就需要申请经费、采购服务器、安装系统、部署应用,因此服务器数量急剧增加。

而每增加一台新服务器，就意味着需要更多的空间、电源、散热、网络接口、数据存储以及管理人员。

未来集团应用系统初步估计已经在10种以上，并且还会不停的增加，这些应用分散地部署在几十台服务器上，维护工作量极大。

另外，许多应用运行在单台物理服务器上，一旦设备出现问题，服务就会中断,导致系统稳定性差,业务连续性不高。

因此,从整个信息化工作全局出发，我们需要整馆内数据中心硬件资源,提高硬件资源利用率，提升关键应用的业务连续性，加强IT基础设施的运维管理,以适应信息化发展的快速需求。

虚拟化的目的是为了更加合理的使用分配应用资源,消除系统中的大部分安全隐患,提升整个系统的安全及可靠性；更换及淘汰已经过时的老旧设备;扩充系统的整体性能；可以综合管理、并根据实际应用需求的变化来对资源进行快速无缝调整和分配;并且为日后的系统扩展延伸做好准备，使其在将来不需做太大的变动就可与各种应用系统相结合，形成成一个结合相对紧密的整体；对内实现资源的共享、数据的异地互备、业务系统的远程灾备，对外可统一提供信息服务的综合性数字化信息服务平台。

同时确保省数字图书馆的高效、经济、环保节能和安全可靠性.及其本身的可持续发展性。

服务器的虚拟化就是将服务器物理资源抽象成逻辑资源，让一台服务器变成几台,甚至上百台相互隔离的虚拟服务器，不再受限于物理上的界限，而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高服务器资源的利用率,简化系统管理，实现服务器整合。

在传统方式中，一台服务器装载和使用一个物理服务器操作系统,每台服务器平均CPU利用率仅为10％左右.如本次更新设备还采用同样的方式，我们所需购买的服务器会高达40台，这会导致资源的极大浪费。

因此，使用VMware，虚拟化技术，整合分散的物理服务器部署多台虚拟机,当有新的业务加入,信息中心即可为该业务动态分配一台或多台虚拟机。

一般来说，虚拟环境由三个部分组成：

硬件、虚拟机监控器（VMM，VirtualMachineMonitor）和虚拟机。

VMM取代了操作系统的位置,管理着真实的硬件.如图1所示，在一台物理服务器上虚拟出两台虚拟服务器。

而且从应用者的角度看，使用虚拟机和使用物理服务器是完全一样的。

利用服务器虚拟化技术搭建数据中心计算资源池

在信息中心2－4台高性能机架服务器中安装HYPER-V虚拟化软件，通过HYPER-VServer对所有的物理服务器进行统一管理,按照应用级别不同，建立多个服务器群集。

所有的虚拟机形成一个可统一分配的计算资源池，虚拟化结构图如下.

方案优势

提高了硬件设备的资源利用率

使用虚拟化技术，可以使数据中心每台物理服务器实现30：

1，甚至更高的整合比率（可根据虚拟机负载情况预先设定策略动态进行调整）.这意味着，以前需要十台物理服务器完成的工作，在部署虚拟化后,仅一台服务器就能满足需求.对于负载较大的虚拟机可适当降低整合比率，甚至可设定策略让其独享一台物理服务器，以确保重要应用。

利用电源管理及虚拟机的动态迁移技术,在虚拟机负载较低时，将其自动迁移到一台或几台物理服务器上,并将空闲物理服务器电源自动关闭。

反之，当虚拟机负载加大时，则根据预先设定的策略自动打开物理服务器电源，保证虚拟机的性能.一般设定物理服务器的利用率在60%~80％之间，既能保证应用系统性能，又能节约电能。

增强了应用系统的业务稳定性

利用动态迁移技术，保证了虚拟机的高可用性，提升了整个数据中心基础架构的稳定性。

当某一台服务器发生故障,虚拟机会自动根据预置策略，将对应的虚拟机迁移到其他正常运行的主机上。

整个过程无须人工干预，用户也没有明显的服务中断感觉,从而大大增强了应用系统的业务稳定性。

实现了业务系统的快速部署

虚拟服务器可以在线复制为模板，通过预先建立的模板和克隆技术，管理人员可以在数分钟，甚至数十秒时间内将新应用快速部署到相应的服务器计算节点上,实现对服务和应用的统一化管理.采用HUSVM进行数据迁移的工作量非常小。

对存储进行虚拟化减少了应用的中断窗口，从而快速完成技术更新.事实上，与基于主机或复制的方法相比,数据迁移工作量减少了80％。

由于存储控制器在后台移动数据，因此对性能没有任何影响。

降低了数据中心机房能耗

新型数据中心正式投入使用后，由于物理服务器设备数量极大降低,同时结合分布式电源管理（DPM）技术，自动关闭负载较低的空闲虚拟主机,使得数据中心主机电力消耗由降低到40%左右.随着存储的虚拟整合使得空间的浪费率大大降低,并且利用其动态分层技术在只增加少量投资的情况下可以提升更多的性能。

成本节省

 项目

 节省效率

 节省情况

 维护成本

 86％-94％

 更少、更新型的服务器使维护成本大大降低

 软件支持成本

 82%—84％

 更少的软件和CPU使用、更新、服务的费用大大降低

 人员管理成本

 36％—50%

 更少的物理服务器提高管理自动化，从而降低相关系统管理人员的成本

 设备管理成本

 65%—70％

 更少的物理服务器，更少的覆盖面积和有效的能源管理，帮助中心降低能耗

 缩小占地面积

 平均节省效率

 72%

可能用到的设备

品牌

服务器

存储

大概预算

IBM

3850X5＊2

DS5300

35w

HP

DL580*2

EVA4400

38w

DELL

R910＊2

25w

CISCO

刀片机＊4

EMC

50w

第五章分支机构弱电建设标准

1.各种线材面板统一品牌，使用质量较好的一线品牌。

2.监控设备统一使用海康品牌,以便统一管理。

3.考勤系统统一使用中控品牌，以便统一管理。

4.机房交换机统一使用思科品牌，以便统一整合网络。

5.综合布线各个子系统必须符合国家标准。

6.机房必须按照IT统一标准,防静电地板必须安装,UPS,空调，机柜等设备必须统一使用一线品牌.

7.机房必须安装报警系统.

8.电脑，无线设备必须统一品牌，以便维护。

第六章视频会议

拟采用思科或者宝丽通,预算大概在25W左右。

目前正在和厂商洽谈中。

第七章IT资产统一管理

建立统一的IT资和管理档案和台账，对设备进行统一编号，按期例行盘点.购买设备和报废设备要登记在册。

设备必须明确到使用者.

第八章监控和考勤系统统一管理

已经和相关厂商进行了初步沟通，可以使用厂商提供的后台软件进行统一管理。

第九章邮件文档统一管理

公司通过域账号和其它安全管理软件，对使用者进行适当的权限分配.未来将搭建自己的邮件服务器，对邮件进行统一管理。

第十章视频点播直播系统

与业务部门沟通后，再制定详细方案。