IT基础架构建设解决方案.docx

IT基础架构建设解决方案.docx

《IT基础架构建设解决方案.docx》由会员分享，可在线阅读，更多相关《IT基础架构建设解决方案.docx（41页珍藏版）》请在冰豆网上搜索。

IT基础架构建设解决方案

IT基础架构建设解决方案

1整体架构设计

1.1综述

如上图所示，为本次项目整体架构示意图。

分为内外及外网两个部分。

两张网络之间通过H3CSecPathF1070综合安全网关进行隔离防护，只允许有权限的业务访问。

内外主要用于医院内部业务系统的支撑，包括网络设备，存储系统，服务器设备。

外网主要用于医院进行对互联网的访问以及连接省市医保专线。

内网设计原则为千兆到桌面，万兆骨干的方式。

外网设计原则为千兆到桌面，千兆骨干的方式。

内外之间通过千兆以太网链路连接到综合安全网关。

设计方案将依据《XXX信息化系统建设要求》及《河南省数字化医院评审标准》进行设计。

原则上符合上述两个文件的指导精神。

1.2内网架构设计

内部网络核心交换机为两台H3CS7506E核心交换机，单台配置冗余主控，冗余电源模块，3块16端口万兆以太网光接口模块，1块24端口千兆以太网电接口+4端口万兆以太网光接口模块，配置相应光模块及连接电缆。

万兆链路用于连接楼宇接入交换机，连接刀片服务器系统，连接存储系统。

通过万兆链路实现IRF2虚拟化互联，支持跨设备的链路聚合技术。

通过千兆以太网电接口连接H3CF1070综合安全网关。

楼宇接入交换机为H3CS5130-EI系列交换机。

根据弱电分布图（见本章节末统计表）的统计情况，本次项目共计34个弱电井，每个弱电井对应的信息点不尽相同。

共计使用H3CS5130-52S-EI交换机15台，H3CS5130-28S-EI交换机26台。

每个弱电井内部署1台上行交换机，采用两个万兆以太网光接口分别上联至两台核心交换机。

通过跨设备的链路聚合技术，达到上行链路带宽20G，故障切换时间200ms的最佳冗余配置。

H3CS5130-52S-EI交换机单台提供48个千兆以太网电接口，4个万兆以太网光接口。

H3CS5130-28S-EI交换机单台提供24个千兆以太网电接口，4个万兆以太网光接口。

配置相应数量光模块。

每个弱电井其余交换机均采用万兆电缆连接至上行交换机

业务服务器采用1台H3CUIS8000刀片式服务器，搭载4台B390服务器和2台B590服务器。

B390服务器单台配置2个E5-2620v3CPU（主频2.4GHz，6核心），64GB高性能内存，2块300GB-10K硬盘，2个10GEFlexFabric网卡。

Fabric网卡支持1:

4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。

B590服务器单台配置2个E5-4620v3CPU（主频2.2GHz，8核心），32GB高性能内存，2块300GB-10K硬盘，2个10GEFlexFabric网卡。

Fabric网卡支持1:

4链路虚拟化技术，可以将物理网卡随意划分为指定带宽。

B390服务器配合H3CCAS虚拟化系统，完成医疗应用业务的承载，B590服务器配合H3CCAS虚拟化系统，完成应用数据库业务的承载。

H3CUIS8000刀片服务器机箱搭载两块OA管理模块，10个航空级冗余风扇模块，6个航空级冗余电源模块，1+1冗余管理模块，2个FlexFabric1024端口刀片系统的VC模块。

VC模块配置有8个万兆上行端口和16个万兆下行端口。

上行端口直接连接到核心交换机，下行端口通过无源背板连接到刀片服务器。

2个VC模块之间通过内部端口互联，实现冗余保障。

VC模块支持1:

4链路虚拟化技术，可以将物理网卡随意划分为指定带宽，实现灵活的业务链路部署。

存储系统为一套H3CFlexStorageP5730IP存储系统。

配置有25个900GB10000转SAS硬盘，4个千兆以太网电接口，2个万兆以太网光接口。

可用空间为22.5TB。

存储系统用于实现核心业务数据的存储以及虚拟化业务系统的共享存储。

存储系统通过万兆以太网链路直接连接到核心交换机，实现同业务系统之间的数据交互。

业务系统承载于H3CCAS虚拟化管理系统之上。

H3CCAS虚拟化管理系统融合了计算、网络、存储资源的虚拟化，形成弹性的数据中心资源池，实现资源的自动化调度，更好地为上层应用服务。

通过虚拟化后，虚机之间为完全隔离状态，具有独立CPU、内存、磁盘I/O、网络I/O，即任何一个虚机发生故障时，同一物理机上的其他虚机不受其影响，每个虚机具有独立的用户管理权限，可安装独立操作系统，不同虚机间操作系统可以异构。

完全基于B/S架构的管理控制台，不仅让您轻松组织和快速部署整个IT环境，而且还能对包括CPU、内存、磁盘I/O、网络I/O等重要资源在内的关键元件进行全面的性能监测，为管理员实施合理的资源规划提供详尽的数据资料。

H3CCAS虚拟化管理系统为虚拟机中运行的应用程序提供简单易用、成本效益高的高可用性功能。

硬件故障导致的服务器或虚拟机宕机再也不会造成灾难性的后果，H3CCAS提供的资源智能调度能力会自动重新为这些服务器或虚拟机选择最佳的运行位置。

认证管理方案，采用H3CEIA终端智能接入组件为内网用户提供接入认证。

限制用户随意进入内网，符合等保要求。

本次项目中，认证系统采用Portal认证方式，Portal网关部署于核心交换机。

为每用户提供账号与口令，绑定IP地址，绑定MAC地址，实现统一接入认证。

Portal认证方式也非常适合于无线医疗终端接入到网络中，为日后医院实现无线医疗全覆盖打好基础。

为保证内网信息化安全，符合数字化医院对于信息安全建设要求，为内网部署堡垒机以及数据库审计系统。

通过千兆以太网电接口的方式直连核心交换机。

堡垒机用于日常运维审计管理平台，记录运维行为，统一对账号进行管理。

数据库审计系统用于对数据库的操作进行安全防护及记录审计。

上述两套系统配合使用，实现医院日常业务管理的同时，可以兼顾“反统方”工作的开展。

1.3外网架构设计

外网核心交换机为1台H3CS7506E-S核心交换机。

单台配置冗余电源模块，冗余主控模块，1块48端口千兆以太网电接口模块，1块48端口千兆以太网光接口模块，配置相应的光模块。

通过千兆以太网光接口连接外网楼宇接入交换机，通过千兆以太网电接口连接综合安全网关，医保前置机，出口安全网关，防火墙等设备。

外网接入交换机为H3CS5110系列千兆交换机。

外网信息点较为分散，故所有接入交换机均通过千兆以太网光接口上行到核心交换机。

通过对信息点的统计分析，配置有H3CS5110-28P接入交换机12台，H3CS5110-52P接入交换机18台。

配置相应光模块。

H3CS5110-28P接入交换机单台配置有24个千兆以太网电接口，4个千兆以太网光接口，H3CS5110-52P接入交换机单台配置有48个千兆以太网电接口，4个千兆以太网光接口。

外网互联网出口部署一台H3CACG-1000-M出口安全网关。

单台配置有16个千兆以太网电接口，4个复用的千兆以太网光接口，冗余电源模块。

提供3年特征库升级服务。

提供管理软件。

出口安全网关提供全院NAT功能，支持链路负载均衡，能对网络中的网络社区、P2P/IM带宽滥用、网络游戏、炒股、网络多媒体、非法网站访问等行为进行精细化识别和控制。

利用智能流控、智能阻断、智能路由等技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，可以提供业界最全面、完善的上网行为管理解决方案。

从而保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

满足公安部82号令的同时，实现对网络流量的精细化管理。

部署一台H3CF1050综合安全网关用于连接省市医保专线。

提供16个千兆以太网电接口，8个千兆以太网光接口，支持2个扩展槽位。

支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等。

采用了先进的最新64位多核高性能处理器和高速存储器。

支持H3CSCF虚拟化技术，可将多台设备虚拟化为一台逻辑设备，对外呈现为一个网络节点，资源统一管理，完成业务备份同时提高系统整体性能。

支持吞吐量为5GB。

部署一台H3CF1070综合安全网关作为内外网隔离屏障。

搭载防病毒功能，提供3年特征库升级。

提供16个千兆以太网电接口，8个千兆以太网光接口，2个万兆以太网光接口。

支持2个扩展槽位。

支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全。

支持吞吐量为8GB。

1.4无线网络架构设计

本次无线网络的设计将采用同一套AP，分别连接内网和外网的部署方式。

内网部署PoE交换机，提供无线AP供电。

要求无线AP具备有两个独立的千兆以太网电接口，可以分别连接内网和外网。

通过两个端口分别分配给不同的VLAN，实现对内网和外网的隔离。

同一个AP提供不同的SSID，通过认证系统保证内网用户不能够接入外网SSID，外网用户不能够接入内网的SSID。

无线医疗业务主要应用范围在住院病房，主要应用包括无线查房，无线输液，无线医嘱等内容，相对而言，公网应用较少。

对于门诊部分和人员较为密集的大厅，主要应用是公网应用。

医院不应当允许陪护人员可以随意访问公网，这并不符合数字化医院的要求，只能够访问到医院指定的微信平台或是公网业务平台。

无线网络的详细设计将在后文展现。

1.5信息点统计表

内网信息点统计表

楼宇

西南弱电井

东南弱电井

西北弱电井

东北弱电井

24口交换机

48口交换机

1F

92

76

44

30

6

2F

42

86

6

30

1

4

3F

64

44

24

40

1

4

4F

52

70

18

26

1

5

5F

16

22

2

6F

2

20

2

7F

26

22

1

1

8F

26

22

1

1

9F

26

22

1

1

10F

26

22

1

1

11F

26

22

1

1

12F

26

22

1

1

13F

16

22

1

1

屋顶

2

1

总计

250

276

282

322

15

26

外网信息点统计表

楼宇

西南弱电井

东南弱电井

西北弱电井

东北弱电井

24口交换机

48口交换机

1F

4

4

3

3

2F

3

3

4

3

3F

3

4

2

4F

1

2

4

3

5F

6

51

1

2

6F

32

46

2

7F

44

47

2

8F

44

47

2

9F

44

47

2

10F

44

47

2

11F

44

47

2

12F

44

47

2

13F

16

24

2

总计

7

8

323

418

12

18

2网络及安全方案设计

2.1网络虚拟化设计

面向园区网横向业务整合的需求，S7500E支持IRF2（第二代智能弹性架构）技术，将多台高端设备虚拟化为一台逻辑设备，是业界首款支持4框虚拟化的核心交换机产品，在可靠性、分布性和易管理性方面具有强大的优势。

IRF（IntelligentResilientFramework，智能弹性架构）是H3C自主研发，用于在网络中同层设备之间进行整合的虚拟化技术。

它的核心思想是将多台设备连接在一起，进行必要的配置后，虚拟化成一台设备。

使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力，实现多台设备的协同工作、统一管理和不间断维护。

IRF主要具有以下优点：

简化管理。

IRF形成之后，用户通过任意成员设备的任意端口都可以登录IRF系统，对IRF内所有成员设备进行统一管理。

高可靠性。

IRF的高可靠性体现在多个方面，例如：

IRF由多台成员设备组成，主设备负责IRF的运行、管理和维护，从设备在作为备份的同时也可以处理业务。

一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，从而实现了设备的1:

N备份；此外，成员设备之间的IRF链路支持聚合功能，IRF和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了IRF的可靠性。

强大的网络扩展能力。

通过增加成员设备，可以轻松自如的扩展IRF的端口数、带宽。

因为各成员设备都有CPU，能够独立处理协议报文、进行报文转发，所以IRF还能轻松自如的扩展处理能力。

使用IRF后，汇聚层的多个设备成为了一个单一的逻辑设备，接入设备直接连接到这个虚拟设备。

这种简化后的组网不再需要使用MSTP、VRRP协议，简化了网络配置。

同时依靠跨设备的链路聚合，在成员出现故障时不再依赖MSTP、VRRP等协议的收敛，提高了可靠性。

通过IRF还可以扩展系统的处理能力和带宽。

当原有设备的处理能力不能满足需求时，通过新增多台设备形成IRF来提高总体处理能力。

2.2安全虚拟化设计

安全集群架构（SCF）为杭州华三通信技术有限公司（以下简称H3C）自主研发的安全设备软件虚拟化技术。

它的核心思想是将多台安全设备连虚拟为一台设备。

可以集合多台安全设备的软件处理能力，实现多台安全设备的协同工作、统一管理和不间断维护。

SCF主要具有以下优点：

1.简化管理。

SCF形成之后，用户通过任意成员设备的任意端口都可以登录SCF系统，对SCF内所有成员设备进行统一管理。

2.高可靠性。

SCF的高可靠性体现在多个方面，例如：

SCF由多台成员设备组成，主设备负责SCF的运行、管理和维护，从设备在作为备份的同时也可以处理业务。

一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，从而实现了设备的1:

N备份；此外，成员设备之间的SCF链路支持聚合功能，SCF和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了SCF的可靠性。

3.强大的网络扩展能力。

通过增加成员设备，可以轻松自如的扩展SCF的端口数、带宽。

因为各成员设备都有CPU，能够独立处理协议报文、进行报文转发，所以SCF还能轻松自如的扩展处理能力。

SCF的部署方式全面突破了机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展，可以实现业务流量经过一组SCF系统的自动负载分担和冗余备份。

SCF组中每台设备都称为成员设备。

成员设备按照功能不同，分为两种角色：

1.主用设备（简称为主设备）：

负责管理整个SCF系统。

2.从属设备（简称为从设备）：

作为主设备的备份设备运行。

当主设备故障时，系统会自动在从设备中选举一个新的主设备接替原主设备工作。

SOP技术杭州华三通信技术有限公司（以下简称H3C）自主研发的安全设备软件虚拟化技术。

它的核心思想是将一台安全设备连虚拟为多台台设备。

可以为多个安全出口分配独立的处理能力和配置。

实现专享的安全策略。

F5000采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙，即安全ONE平台（SOP）。

每一个安全ONE平台均完全继承F5000设备的所有特性。

SOP之间实现了基于进程的真正相互隔离，而不是传统的通过路由方式的隔离。

每一个SOP系统都有自己独立的运行空间，包括管理平面、控制平面、数据平面、以及完整的安全业务功能。

每一个SOP均可以独立的启动、暂停和关闭，单个SOP故障不会对其他SOP和整个物理系统产生任何影响。

SOP通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分。

其中，静态资源有内存、硬盘、接口、TCAM等，与此相关的逻辑资源包括并发会话、VPN隧道、安全策略、安全域、动态路由、VLAN等；动态资源有CPU，与此相关的逻辑资源包括吞吐量、新建速率、抗攻击能力、VPN处理能力等。

SOP数量可以按照系统需求的变化动态调整。

基于SOP的全分布式处理能力，在单个SOP能力不变的前提下，可以通过增加业务板的方式来扩展系统SOP数量的上限。

SOP能力可以根据用户需求动态的进行调整，当业务需求变更时可以在不重启SOP的前提下在线平滑调整CPU、内存等资源，从而保障用户业务完全不受影响。

SOP能力可以基于SCF能力至少，F5000设备可以选择先使用SCF技术完成N:

1的虚拟化，在此基础之上，使用SOP技术完成1:

N的虚拟化。

2.3虚拟交换机设计

本次项目中，医院将采用虚拟化技术完成对所有业务系统的虚拟化部署。

虚拟化技术中，虚拟交换机是非常重要的一个环节。

H3C的虚拟化交换机能够兼容VMware平台，实现现有资源的统一管理。

H3CS1010V是H3C公司面向企业和行业数据中心虚拟化环境推出的一款智能软件交换机产品，适用于VMwareESXi企业增强版环境。

通过与VMware公司密切合作，H3CS1010V能够与VMware虚拟基础设施完全集成，其中，包括VMwarevCenter和VMwareESXi，并替代VMware的基本虚拟交换机，为虚拟机提供功能增强型的分布式虚拟交换能力。

H3CS1010V在设计上遵循OpenFlow标准体系架构，实现控制平面与转发平面分离的可编程网络技术。

整个产品包括VCE、VFE和Plugin三个部分。

装和运行在ESXi服务器上，是VMwareESXi内核的一部分，能够完全取代VMware虚拟交换机的功能。

从定位上看，相当于OpenFlow标准中的OpenFlow交换机，扮演数据转发平面的角色，实现虚拟网络端口的流量控制与转发。

VFE接收到数据包后，首先在本地的OpenFlow流表中查找转发目的端口，如果没有匹配，则把数据包转发给VCE模块，由控制层决定转发策略和转发端口。

部署在多个ESXi上的VFE组成一个跨物理主机的分布式软件虚拟交换机。

当虚拟机发生迁移的时候，虚拟网卡上的网络策略能够在各个服务器上同步。

•VCE（VirtualControllerEngine，虚拟控制引擎）

以标准的OVF（OpenVirtualizationFormat，开放虚拟化格式）虚拟机格式交付，通过VMwarevCenter提供的OVF模板部署功能安装在一台单独的虚拟机上。

从定位上看，相当于OpenFlow标准中的控制器（Controller），通过WebGUI界面，实现VFE的集中管理和配置。

•Plugin（插件）

运行在VMwarevCenterServer上的一个插件，是H3CS1010V专为VMware定制开发的第三方管理接口，主要提供端口策略组的配置界面。

2.4数据库审计设备

数据库审计设备将通过千兆以太网电接口连接到核心交换机。

数据库审计设备的部署位置和功能实现并无关联，只需要到数据库的IP地址可达就足够了。

H3CSecPathD2020数据库审计设备吞吐量为2GB，峰值事物处理能力为2万条/秒，日志存储量为4亿条。

数据库是任何商业和公共安全中最具有战略性的资产，通常都保存着重要的商业伙伴和客户信息，这些信息需要被保护起来，以防止竞争者和其他非法者获取。

互联网的急速发展使得企业数据库信息的价值及可访问性得到了提升，同时，也致使数据库信息资产面临严峻的挑战，概括起来主要表现在以下三个层面：

管理层面：

主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范，第三方维护人员的操作监控失效等等，致使安全事件发生时，无法追溯并定位真实的操作者。

技术层面：

现有的数据库内部操作不明，无法通过外部的任何安全工具（比如：

防火墙、IDS、IPS等）来阻止内部用户的恶意操作、滥用资源和泄露企业机密信息等行为。

审计层面：

现有的依赖于数据库日志文件的审计方法，存在诸多的弊端,比如:

数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险，难于体现审计信息的真实性。

伴随着数据库信息价值以及可访问性提升，使得数据库面对来自内部和外部的安全风险大大增加，如违规越权操作、恶意入侵导致机密信息窃取泄漏，但事后却无法有效追溯和审计。

为了解决数据库信息安全领域的深层次、应用及业务逻辑层面的安全问题及审计需求，华三公司在多年数据库安全的理论和实践经验积累的基础上，成功推出了业界首创的、面向政府、企业核心数据库的安全产品----华三数据库审计系统，该产品重点实现细粒度审计、精准化行为回溯、全方位风险控制，为您的核心数据库提供全方位、细粒度的保护功能，可帮助用户带来如下价值点：

全面记录数据库访问行为，识别越权操作等违规行为，并完成追踪溯源

跟踪敏感数据访问行为轨迹，建立访问行为模型，及时发现敏感数据泄漏

检测数据库配置弱点、发现SQL注入等漏洞、提供解决建议

为数据库安全管理与性能优化提供决策依据

提供符合法律法规的报告，满足等级保护、企业内控等审计要求

2.5防火墙设备

本次项目选用的是NGFW下一代防火墙作为出口安全（H3CSecPathF1050-8GB吞吐量）以及内外网隔离设备（H3CSecPathF1070-12GB吞吐量）。

防火墙设备的部署位置包括同医保互联的出口防火墙和内外网隔离用的综合安全防火墙。

其中，隔离用防火墙配置有IPS-入侵防御及AV-防病毒的功能授权以及3年的特征库升级。

综合安全防火墙通过万兆以太网光接口分别连接到内网核心交换机及外网核心交换机.

H3CSecPathF10X0系列防火墙是杭州华三通信技术有限公司（以下简称H3C公司）伴随Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。

H3CSecPathF10X0系列防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TPVPN、GREVPN、IPSecVPN和SSLVPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。

H3CSecPathF10X0系列防火墙采用互为冗余备份的双电源（1＋1备份），同时支持双机集群化部署的SCF技术，充分满足高性能网络的可靠性要求；同时F10X0产品在1U高的设备上可提供至少24个千兆接口、2个万兆的固定接口。

2.6入侵防御设备

入侵防御设备通过插卡的形式直接部署在核心交换机上。

通过背板互联。

用于数据中心的安全防护。

不需要额外的连接配置。

当IPS板卡出现故障时，可以通过自动旁路的方式对流量进行保护。

本次部署两台，单个IPS插卡的吞吐量为10GB。

SecBladeIPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS模块。

配合H3CFIRST（FullInspectionwithRigorousStateTest，基于精确状态的全面检测）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecBladeIPS通过了国际权威组织CVE（CommonVulnerabilities&Exposures，通用漏洞披露）的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

集成卡巴斯基防病毒引擎和病毒库。

采用第二代启发式代码分析、iC