龙岗数据中心网络设计方案(27页).doc

《龙岗数据中心网络设计方案(27页).doc》由会员分享，可在线阅读，更多相关《龙岗数据中心网络设计方案(27页).doc（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-龙岗数据中心网络设计方案-第 26 页生命人寿保险股份有限公司龙岗数据中心网络设计方案信息技术部一、概述生命人寿保险股份有限公司在业务快速增长、结构持续改善的环境下，在业务高速发展和信息技术不断更新的同时，规划建设具有先进视野，一流标准，科学先进，并可持续发展的的信息技术基础设施与管理体系成为生命人寿业务稳定运行的重要支撑保障和跨越发展的驱动引擎。为了加强生命人寿信息技术对业务的支持能力，并加快生命人寿信息化建设向先进标准迈进的步伐，公司规划启动了生命人寿龙岗后援中心的建设。生命人寿后援中心建设作为生命人寿重要的战略部署，是生命人寿不断提升国际化、专业化管理水准的重要保证。生命人寿龙岗数据中

2、心将为生命人寿保险股份有限公司提供有效支持。生命人寿后援中心用以支持生命人寿的企业未来业务的发展。本项目方案工作的目标是把生命人寿后援中心规划成为适应未来战略发展变化、灵活调整性强、智能化、网络化的后援中心。1, 后援中心网络建设方面的总体思路企业信息基础架构的主要目标是支持企业业务的发展及提供企业用户可靠、稳定、安全及高可用的应用访问能力，在考虑业务需求和现有环境的同时也要考虑技术和业务的发展趋势。因此：l 后援中心承载着上层的业务应用是IT基础架构的核心l 灾备中心提供企业业务连续的功能l 网络提供数据传输和用户安全的稳定的接入l 安全保障企业信息的安全l IT运维管理保障IT的平稳有效运

3、作后援中心与IT整体之间的关系2, 后援中心网络规划建议在此规划建议报告中，充分考虑了金融保险业对后援中心网络必须满足的需求，并在建议中充分体现了数据中心网络应具有的：l 可用性l 可靠性l 灵活性/可扩展性l 安全性l 可管理性l 先进性在建议中，除了考虑到金融保险业对后援中心必须具有的功能之外，还特别考虑到对未来后援中心可能提供的服务和技术的支持的特点，l 在网络的设计中充分考虑到对集团及其成员公司的数据中心服务支持l 充分考虑到未来数据中心可能对社会提供数据中心服务的支持l 数据中心网络对高密度刀片服务器的支持l 数据中心网络对虚拟服务器的支持l 数据中心网络对资源自动分配技术的支持同时

4、，在方案中参考了数据中心网络的最佳实践，设计中采用了成熟的先进的数据中心网络技术，它们包括：l 多层的服务器架构 多层架构：前置/WEB层、应用层、后台/数据库层、存储层 对于先进的多层的应用系统，数据中心网络采用多层（Tier）服务器网络结构，更符合应用的特点 通过采用多层架构，配以多层的防火墙/IPS，提供额外的安全性 为未来适应先进的应用架构提供灵活的网络平台l 采用先进的专线技术 更少的网络投入 使用逻辑链路的方式，保持原有网络架构 可以支持数据、语音、图象、视频等多种业务 能够提供服务质量保证，可以提供更好的带宽保证和更高的服务质量 采用可靠的备份线路可以在发生故障时自动地迂回故障点

5、，具备较高的可靠性 l 对重要应用系统，端到端的没有单点故障点的网络架构 冗余的Internet 冗余的防火墙 冗余的交换机和路由器设计 冗余的广域网线路WAN、CWDM/DWDM光纤 冗余的服务器网络连接，如：服务器网卡Teaming技术l 负载分担的技术Load Balancer 在服务器架构中采用负载分担技术，提供系统的高可扩充性、灵活性和冗余性l 多层异构防火墙/IDS系统架构 在数据中心网络的接入区和服务器区采用多层异构的防火墙/IDS系统架构，提供更好的网络安全性 网络交换机可使用PVLAN技术进一步提高网络安全性 不同的应用系统虽然在同一层交换机上，但可以通过划分不同的VLAN进

6、行分隔 使用PVLAN可以限制同一VLAN之间的数据通讯，提供更多的安全性，防止ARP攻击等二，龙岗后援中心网络需求与设计龙岗数据中心将作为生命人寿所有后端业务的集中处理中心、信息管理中心、数据存储和处理中心，是一个满足各应用要求的，兼顾未来需求的核心数据中心。龙岗数据中心将作为未来5-10年人寿保险公司、资产管理公司、健康险、养老险公司及其它专业子公司的后援中心，在机房设计时，从机房空间、机柜数量、机房制冷、UPS供电等方面已充分考虑了未来的业务规模，预留了充足的发展余地。 后援中心主机房占地面积670平方米，辅助功能区域面积600平方米，主机房、测试机房、通信机房总计可安放220多个标准服

7、务器机柜，40个网络机柜，可满足未来6-10年公司业务和规模发展的需要。 主机房内一期共安排了144个机柜位置，其中20个IBM主机机柜、19个网络核心机柜、10个网络列头柜、95个普通服务器机柜。主机房预留了二期75个标准服务器机柜的位置。按每个机柜放至少4台服务器计算，主机房一期可安放至少400台生产系统服务器，4套IBM主机系统。而目前上海数据中心有120多台服务器、2套IBM小型机系统在使用。 通信机房共安排15个网络机柜位置，主要用于运营商通信线路接入和大楼综合布线汇接。 测试机房有21个服务器机柜和1个网络列头柜，用于摆放研发、测试系统。测试机房可安放80-100台测试、研发服务器

8、。 监控间安排20多个信息点，用于连接机房大屏幕监控设备、部分网管系统和管理员终端。 后援中心大楼办公区域总计设计了1500多个数据信息点，有8个弱电布线间为满足保监会下发的保险业信息系统灾难恢复管理指引的要求，目前公司的生产中心机房上海生命人寿大厦机房在龙岗数据中心机房建设完成后，将作为龙岗中心机房的异地灾备机房继续运作，以满足监管要求。基于以上后援中心的基础设施需求，根据公司业务类型和IT系统运行现状，龙岗后援中心将按以下功能分区的需求进行网络规划：l 核心区，即网络的核心路由交换区作为整个数据中心的网络核心，需要部署高背板带宽、高可用性、高端口密度的核心网络交换机，提供全线速无阻塞交换路

9、由服务，其核心背板带宽需要在480G以上，以保证各功能分区和核心业务系统的高效快速运行。为逻辑上区分各功能区域，网络核心与各功能区域以三层路由方式连接，为此需要配置较强包转发能力的核心网络设备，包转发能力需要在400Mpps以上。l 服务器群区，包括：1， 核心业务系统，包括公司目前在运行的个险、银代、团险、投连险、影像、打印系统等以及将来可能增加的健康险、养老险系统等系统接入需求目前公司核心业务系统运行在2台IBM P595主机上，这两台主机共有48个千兆光纤网口。为保障核心业务系统处理速度同时为节约费用，在龙岗数据中心，这些服务器需要直接连到核心交换机上，核心交换机需要为此提供至少48个光

10、纤接口。投连、影像、打印等系统目前运行于30余台HP 380、580服务器上，这些服务器均为双千兆以太网口接入；公司目前正在筹备资产管理公司、养老险公司，预计这2个专业子公司的业务系统需要新增20台PC服务器，这些服务器均为双千兆以太网口接入。2， ERP等系统接入需求目前ERP系统运行于3台HP 580服务器上。3， OA系统，包括办公自动化、邮件、文件等系统接入需求目前公司OA系统、文件服务器、邮件服务器运行于10台HP PC服务器上。4， 呼叫中心客服等系统接入需求5， 资金、财务管理等系统接入需求6， 稽核、审计、反洗钱等系统接入需求7， 视频监控、流媒体培训系统等、视频会议接入需求视

11、频会议系统运行于2台Polycom专业设备上，视频监控系统运行于4台专业设备上。目前在上海数据中心总计有120多台各型服务器和设备在运行，其网络端口均是1000M以太网口。在数据中心主机房设计时，主机房内设计共有6排机柜，第6排为网络核心区，有1排为IBM小型机区域（可布置4套小机系统），其余4排为普通服务器机柜。普通服务器机柜每排有21-23个服务器机柜，2个网络列头柜，每个列头柜通过2条光纤上连到网络核心区。按每个服务器机柜放4-5台服务器计算，每个列头柜可支持本区域10个服务器机柜中的40-50台服务器接入，为保证高可用性，每个列头柜需要安装48口千兆以太网交换机2台。因此在每个网络列头

12、柜中布设2台汇聚层交换机，每台交换机有48个1000M以太网口，2-4个光纤口。按所有列头柜网络设备均布置到位设计，主机房内一期需要20台汇聚层交换机，加上通信机房、测试机房的光纤汇聚，核心交换机上需要为汇聚层交换机至少配置24个光纤网口。在上海数据中心各系统迁入数据中心机房时，各系统需要物理上安装在一个区域即安排在同一排机柜中。下图为普通业务系统网络连接示意，普通服务器分别接入各网络列头柜中的汇聚层交换机，汇聚层交换机通过光纤上连到网络核心。l 办公接入区为后援中心楼层及公司内部办公人员接入需求。公司客服、呼叫中心、两核、IT等部门将在后援中心办公，初期约有300多人搬入；后援中心大楼有四层

13、楼面，8个弱电布线间，1500多个网络信息点。办公接入区包含了临时访问人员接入需求，配合桌面管理软件合网络准入控制系统以及部署安全策略，允许临时访问人员接入网络，获得有限网络资源。在数据中心机房布线系统设计时，各配线间的光纤集中汇聚到通信机房，为保障可用性，在通信机房需要部署2台汇聚层交换机，每台要求为有16口以上千兆光纤网口，其中4口上联到核心交换机，16口连接到各配线间交换机。配线间交换机要求每台有48口10/100M以太网口，2个光纤口，总计需要20台。考虑到上海可调配8-10个48口交换机，数据中心网络设备采购时，新采购10台48口交换机可基本满足需要。下图为后援中心大楼办公网络接入结

14、构，其中汇聚层交换机安装在通信机房。l 研发测试区研发测试区域，新系统研发及新系统上线前测试接入需求目前IT研发、测试环境服务器总计约有50多台，均为HP PC服务器，在龙岗后援中心测试机房内布置了20个标准服务器机柜，用以安放研发、测试服务器，按机柜空间和配电系统容量，可摆放80-100台PC服务器。在龙岗后援中心办公的IT研发人员初期约有50多人，预计未来约有200人；IT外包人员初期有40多人，预计未来有100多人。对于IT外包人员，通过配置安全策略，只允许访问部分开发、测试系统和Internet资源。下图为研发测试区域的网络连接示意：l 外网接入区1， Internet接入区在Inte

15、rnet区域需要部署防火墙、入侵检测设备、接入认证设备、上网行为管理设备等安全设备；同时需要部署公司网站、邮件前置机、邮件网关、电子商务服务器、包括公司网站、VPN接入等服务器，部署在Internet区域的服务器初期约有20台。Internet接入区需要普通48口网络交换机4台。下图为Internet网络接入2，第三方接入Extranet到各银行、保监会、证券交易所、证券公司和其他合作伙伴的接入需求。初期由于投资交易中心需要保留在荣超中心办公、银保通专线保留在上海接入，暂时无第三方接入需求。为保留一定的应急扩展能力，初期计划采购1台中低端路由器，以便有需要时快速安装。下图为第三方接入网络结构：

16、l 内部广域网接入区域1， 分支机构接入目前各地有19家分公司专线接入、全国70多家中支机构通过分公司接入数据中心的需求，因此需要一台高性能的核心路由器，具有多种数据接口类型，以汇聚19家分公司上联的数据专线。按我公司实际使用情况，一条OC-3/STM-1线路就可以很好的满足我公司的需求，这条线路可划分成63条2M线路传输数据。2， 荣超商务中心总公司办公职场接入需求荣超中心有400位总公司员工需要访问龙岗数据中心各业务系统3， 上海生命人寿大厦灾备中心机房接入需求生命人寿大厦机房作为龙岗数据中心的灾备机房，有数据同步、业务系统互备等需求。以上2、3项的需求需要另外部署一台中高端路由器，分别通

17、过2条互备线路接入荣超中心和生命人寿大厦，这台设备还将作为龙岗数据中心的VoIP网关，连接龙岗后援中心的程控交换机，因此需要这台设备有支持E1数据接口的能力。下图为内部机构网络连接示意：l 监控管理区域包括网络管理、系统管理、主机管理、机房动力环境监控、办公场所视频监控等功能，龙岗数据中心机房初期总计有5-10套监控系统需要连接。下图为监控管理区网络结构，监控区各设备连接到安装在通信机房的汇聚层交换机。监控区域需要普通48口网络交换机2台，这2台交换机同时起汇聚UPS间、监控间、通信机房网络信息点的作用。基于以上功能区域划分，为满足目前在使用系统和汇聚层交换机的接入（120多台生产服务器、2套

18、IBM小型机系统、50多台研发测试服务器，12个网络列头柜），每台网络核心交换机至少需要44个光纤网口，48个千兆以太网口，为保留未来3-5年的扩容余地，每台网络核心交换机需要配置2个48个光纤网卡模块，2个48个千兆以太网模块。按以上核心交换机和列头柜汇聚层交换机数量的配置，龙岗数据中心一期可支持4套IBM小机系统的光纤接入、300台生产服务器的千兆以太网冗余接入、100台研发测试服务器的千兆以太网接入、1000名办公人员的100M以太网接入。按目前120台在用服务器、每年新增40台服务器、每3年新增1套IBM主机系统计算，可支持未来4-5年的系统扩容需要。按以上需求配置的路由器，可支持最多

19、63个分公司的2M专线的接入和荣超中心、上海生命人寿大厦高带宽长途链路接入。三，龙岗后援中心网络拓扑1，数据中心逻辑框图2，网络总体拓扑图按功能区域划分后的网络逻辑拓扑结构参见下图。2台核心交换机、2台核心路由器、安装在主机房网络核心区，为整个数据中心的核心路由交换区。两台高性能核心交换机通过网络虚拟系统组成逻辑上的单台交换机，通过网络虚拟技术：l 分布式处理二三层协议，提高网络处理性能 l 每组虚拟为一台设备，简化组网，配置管理更高效 l 虚拟交换组设备软件版本同步升级，易于维护 l 整个虚拟交换组的设备支持热插拔，灵活管理 l 对虚拟交换组来说，实现倍数级的接入密度和背板交换能力，并提高组

20、网的可靠性部署虚拟技术后，无需再考虑MSTP、VRRP等协议，解决了传统设备和链路只能工作在主/备模式和利用率低于50的性能瓶颈。每排机柜的网络列头柜中安装2-4台汇聚层交换机，直接连接这排机柜中的服务器设备，每台汇聚层交换机通过2条光纤分别上连到两台核心交换机上。另有2台汇聚交换机安装在通信机房，汇接各楼层布线间的交换机，并分别通过2条光纤连接到两台核心交换机上。网络拓扑参见下图：3，公司整体网络架构龙岗后援中心专线新装、网络实施工作完成后，公司整体网络如下图所示为满足保监会对保险公司灾备系统建设的规范要求，在龙岗后援中心机房开始运作以后，上海生命人寿大厦机房将作为公司的灾备机房继续运作，以

21、满足监管要求，因此要求生产中心机房和灾备中心建立可靠的通信链路总公司（荣超商务中心）通过2条专线访问龙岗数据中心；各分公司分别通过2条2M SDH线路连接龙岗数据中心和上海灾备中心，龙岗数据中心与上海灾备中心之间通过不同运营商的2条专线连接，满足实时数据传输和灾备需要。四，网络安全设计1、设计原则 统一性原则 实用性原则 先进性原则 可扩展性原则 安全性原则 保密性原则 安全分级原则 最高保护原则 易实现性和可管理性2、规划原则：将各个区域按照数据流特点、重要程度、面临风险程度等分成不同的网络区域，大致可以分为如图的几大区域：10核心交换区WAN接入区互联网接入区对外服务器区应用防火墙&IPS

22、IPS&DDOSLLB网管区设备配置安全审计业务流量分析对内服务器区SLB包含核心业务、OA、Mail等对 内业务系统服务器及其APP、DB各地分公司SLB应用防火墙&IPSISP1ISP2外联机构企业客户端接入区包含门户等对 内业务系统服务器及其APP、DB核心交换区作为网络中心，其任务是大量数据交换，在上面不做任何安全措施，以免影响效率。对内服务器区域主要是公司内部的业务系统及办公系统服务器群，除了防火墙外，主要安全考虑是保护核心业务系统应用服务器和数据库服务器。WAN接入区域包含与各地分公司的线路接入以及与外联机构的专线接入汇聚，通过防火墙实现对数据中心总部应用的安全控制。并部署IPS设

23、备防范入侵已经网络病毒木马的传播影响数据中心的正常运行。互联网区域和对外服务器区域由于面对互联网开放，其受到安全攻击入侵的可能性最大，除了传统防火墙、IPS之外，需要考虑到web应用防火墙对web服务器进行高层次防护。并根据需要逐步考虑其他的安全措施。企业客户端区域包括内部员工办公PC、IT外包人员PC访问、外来人员临时访问，除了统一防病毒产品部署之外，需要加强终端资产以及安全管理。3，安全设备需求防火墙数据中心以下区域需要部署防火墙：Internet接入区域、第三方接入区域和内部功能区域。在Internet接入区域需要部署2层防火墙，同时为保证高可用性，防火墙需要荣誉部署，这里防火墙起到隔离

24、公司内部网络和保护DMZ区域服务器的作用。在第三方接入区域需要部署1-2台防火墙，放置公司内部机密信息和数据的不恰当泄露。在需要保护的功能区域与核心交换区域连接之间部署传统防火墙，对于进出该功能区域的数据进行网络层的控制。初期需要部署6台防火墙设备。入侵检测防护设备IPS基于防火墙的数据包过滤是全面的网络安全拓扑结构的必要组件，但仅靠它们来建立网络安全体系是远远不够的。需要的是一种针对整个网络七层的全面的安全防护体系解决方案，从而有效地保护网络免受恶意攻击和错误使用的骚扰。因此需要一款实用的入侵检测防护设备IPS，作为防火墙安全防护的一个重要补充，它能做到：l 能够对通过网络的每一个数据包的全

25、部内容进行检查，并对恶意活动进行检测；l 这种内容检查技术能够提供更加深入的数据包分析；l 能够检测出嵌入在常用协议（例如 HTTP 会话）中的复杂攻击；l 能够对检测出的恶意行为进行阻断。 龙岗数据中心中，Internet接入区域和内部功能区域需要各部署一台高性能的IPS设备。上网行为管理设备通过部署上网行为管理设备能够实现：l 因特网内容管理：利用某种手段（如：利用URL数据库提供全面而精确的因特网过滤或管理人员通过自定义策略来管理等）达到对员工访问的网站的管理。l 带宽资源管理：通过设置优先级，使重要业务处于优先于工作无关的活动。在超过管理员设定的网络带宽阀值时，禁止个人访问因特网或使用

26、应用程序。l 管理对等或即时消息发送使用：通过设置某种策略来阻止发送和接收文件附件，尽量减少病毒或蠕虫通过对等或即时消息传播的风险。上网行为管理系统产品可用于降低员工因使用因特网、网络和桌面应用程序带来的风险，能帮助用户提高效率、改善安全性以及保护信息技术资源，并可以降低法律风险。在数据中心Internet接入区域需要部署一台上网行为管理设备。桌面管理和安全防护系统通过部署桌面管理和安全防护系统能够实现：l IT软硬件资产管理l 客户端远程协助，客户端远程协助为系统管理员带来最易为用户接受的协助、最准确的定位、最安全的连接、最快速的控制功能，提升管理效率，提高客户满意度。l 应用程序授权管理，

27、应用程序授权管理为系统管理员带来软件快速定位、统计以及控制。l 应用程序分发，可以为系统管理员带来应用程序快速地分发、安装、卸载而无需任何用户参与以及可进行忙时分发。l 操作系统部署，操作系统部署可以为系统管理员带来操作系统的快速分发。l 补丁管理系统l 客户端安全威胁管理l 间谍软件检测与防护l 防病毒软件管理，病毒防护管理为企业客户端带来全面的病毒防护二层保障。l 外设控制管理，为企业客户端带来全面的数据信息传输安全保障l 软件禁用管理l 网络信任准入，为企业客户端带来全面的网络边界安全保障。在总公司需要部署一套如LANdesk的桌面管理及安全防护系统。五，专线接入需求分析龙岗后援中心需要

28、通过数据专线连接生命人寿各地分支机构、灾备中心、荣超中心总公司职场、第三方业务合作伙伴，通过Internet线路为客户提供快速及时的信息查询服务，需要大量运营商的专线资源。1，分支机构接入目前各分公司分别通过一条电信1M MPLS线路和一条联通2M SDH线路连接到上海的生产和灾备中心。在龙岗后援中心基础建设完成后，需要新安装一条各地分公司到龙岗的电信（联通）的2M SDH线路，拆除目前分公司到上海的电信1M MPLS线路，用于分支机构访问各生产中心机房。最终各地分公司分别通过2条不同运营商的数据专线访问龙岗中心机房和上海灾备中心。分公司到龙岗数据中心专线传输的数据由OA、业务系统访问、视频会

29、议、呼叫中心客服系统等。分公司到龙岗的新增专线预计每条初装费8000元，月租费6500元。2，灾备中心互连由于龙岗数据中心和生命人寿大厦灾备中心存储之间需要传输同步数据，在灾难发生时需要进行机房功能的切换，数据传输带宽比较高，实时性要求也比较高，且有部分业务系统需要保留在生命人寿大厦灾备中心，因此需要在两个数据中心间建立高带宽且低延时的通信链路，计划将目前荣超中心连接到上海的两条MSTP专线迁移到龙岗使用。对于主要关键的业务系统，要求RTO为24小时，RPO为5分钟。对数据仓库，RTO/RPO为24小时DaysMinsHrsWksSecsRecovery Point (RPO)10MinsMi

30、nsDaysHrsSecsWksRecovery Time (RTO)24Hrsn 冗灾距离p 上海深圳 约1200KMn 数据链路p TCP/IP应用名2009201020112012核心业务系统236G331G463G649G团险系统118G165G232G324G数据仓库系统（CRM）93G130G182G254G影像系统（ECM）1314G1840G2576G3607G总计1762G2466G3453G4834G生命人寿业务系统主要业务量都发生在工作时间，即工作日每天8点-20点，每月月底及每年年底为业务高峰期日均业务量峰值可达平时的2倍。根据以上情况按照年均工作日250天、短时极端数

31、据量达到10倍估算，我们得出如下的2012年日系统I/O情况表 复制链路建议采用20M数据专线（按照90%实际性能计算），采用基于TCP/IP协议的数据复制。对应带宽见下表：日均数据量峰值日数据量总数据量小时平均分钟平均极端分钟平均秒钟20Mb带宽8.1G135M135MM根据上表，我们可得出采用20M带宽链路极端数据丢失量为(-135M)/135M分钟。及系统RPO为分钟，满足生命人寿对数据冗灾系统RPO5分钟的要求。为保证灾备线路的可靠，需要在生产中心和灾备中心机房间安徽钻工2条数据专线，其中一条带宽需要保证在20M，另外一条在一般情况下传输普通业务数据，带宽2M以上。3，总公司职场互连总

32、公司荣超中心职场位于深圳市中心，需要访问的数据位于龙岗机房，数据传输量比较大，带宽要求比较高。上面图片是荣超中心到上海生命人寿大厦机房专线的流量监控截图，上面部分是星期一的流量情况，下面部分是最近两周的流量汇总图。这条专线主要传输OA、邮件、灾备系统、培训验收环境、客服系统等数据，与生产机房搬迁后的荣超至龙岗的专线传输情况一致，工作时段专线流量通常保持在8M以上。以上图片是荣超中心到上海生命人寿大厦机房专线的流量监控截图，上面部分是星期一的流量情况，下面部分是一周流量汇总图。这条专线主要传输视频会议、核心业务系统、影像、打印等系统的数据，与生产机房搬迁后的荣超至龙岗的专线传输情况一致，专线流量

33、在工作时段保持在1M左右。由于2条专线实时性和可靠性要求比较高，考虑到人员增加和系统增加的以上，建议荣超中心到龙岗数据中心申请不同运营商的两条10M带宽的市内专线，两条线路通过QoS路由策略等实现流量分流和互为备份。4，第三方业务合作伙伴公司目前有数条连接保监会、银行、证券公司、证券交易所等第三方机构的数据专线。连接到农行、工行、中行进行银保通业务连接的四条专线，由于这些银行的数据中心均位于上海，所以这些专线均属于本地专线，如果迁移到深圳，月租费将增加18000元，因此建议这些线路的接入还留在上海，未来公司银保通业务需要接入专线也建议通过上海进行。投资交易中心目前有专线连接到彭博咨询、上海证券

34、交易所、外汇交易中心、中金证券、国泰君安证券、中央债券公司，由于投资交易中心将继续在荣超中心办公，以上这些线路的运作形式是专线直接连接终端，与公司内网物理隔离，这些线路也将继续保留在荣超中心接入。因此，在龙岗数据中心开始运作初期，尚无第三方合作伙伴接入的需求，但在设计时，数据中心将保留这些线路接入的接口，预先采购1台低端设备，以方便线路的随时增加。5，Internet线路未来公司的网站、邮件服务器、电子商务系统、VPN接入汇结点等均将搬迁到龙岗后援中心，同时需要为龙岗后援中心员工提供上网服务，需要提供稳定可靠的互联网出口。计划在龙岗后援中心申请安装4条不同运营商的互联网专线，其中2条为网站、邮

35、件系统使用，由公司网站目前在上海的运行现状看，工作日的工作时间流量通常在3-5M左右，因此计划安装2条带宽各在4M以上、互为备份和流量负载均衡、由不同运营商提供的Internet线路，每条线路需要有20个以上固定公网IP地址；1条VPN接入线路，带宽4M，供营销服务部VPN接入、公司领导移动办公接入和部分合作伙伴VPN连接，需要10个以上固定IP地址；1条员工访问Internet线路，带宽4M左右。其中后2条线路在龙岗数据中心网络建设时同步安装实施，另外2条在公司Internet出口由上海迁移深圳龙岗时实施。六，IP地址和路由协议公司目前使用的IP地址均为私有地址，.0/8整个地址段分配给各分

36、公司使用，每个分公司占有1到2个B类地址，分公司下属每个支公司占用4个C类地址，这种分配方式，为每个分公司保留了充足的IP地址资源，具有层次清晰，路由寻址方便、路由表体积小等优点。192.168.0.0/16分配给外联线路接入，包括Internet区域、第三方线路接入、外包人员访问等。172.16.0.0-172.31.255.255地址段分配给公司总部使用，包括生产中心、灾备中心、总部办公网络等。目前生命人寿大厦机房使用的IP地址段，办公网段使用172.16.0.0/17；荣超商务中心使用的IP地址段范围为172.16.128.0/17。龙岗后援中心机房计划启用IP地址段172.18.0.0

37、/16，办公网络使用172.20.0.0/16地址段； 172.21.0.0/16及以后的资源将保留给资产管理公司、健康险、养老险等公司使用。路由协议继续使用OSPF协议，具有收敛快、网络稳定、扩展性强、路由更新数据占用带宽小等优点。七、厂商和设备选择1，厂商选择网络作为保险核心业务应用的基础承载系统，其可靠性和安全性极为重要。龙岗数据中心的建设，将为公司未来数年的稳健发展奠定基础信息平台。因而，本次数据中心建设除了要考虑数据中心的平稳迁徙及过渡、数据中心运行过程中的稳定可靠及保监会对保险信息系统规定的符合，还要考虑公司业务未来高速发展对网络扩展提出的要求。网络的可靠性、安全性及可扩展性成为网

38、络建设的首要目标。目前在企业网络市场应用比较广泛的有思科、华为、华三等厂商的产品。l 思科思科作为领先的网络设备供应厂商，其网络设备和解决方案，这已经成为银行、证券及保险类用户网络设备选型主流的发展趋势。思科具有大量的保险行业金融行业用户成功案例和丰富的数据中心网络建设经验，设备厂商的生命力和持续的研发能力、现有设备的投资保护和售后服务支持能力，其产品性能稳定，故障率低。l 华为华为是领先的电信解决方案供应商。拥有强大的研发能力，提供端到端的客户化产品、解决方案和服务，华为产品和解决方案涵盖移动（LTE/HSPA/WCDMA/EDGE/GPRS/GSM, CDMA2000 1xEV-DO/CD

39、MA2000 1X, TD-SCDMA和WiMAX）、核心网（IMS, Mobile Softswitch, NGN）、网络（FTTx, xDSL, 光网络, 路由器和LAN Switch）、电信增值业务（IN, mobile data service, BOSS）和终端（UMTS/CDMA）等领域。2008年华为实现合同销售额233亿美元，同比增长46%。其中75%的销售额来自国际市场。其企业网产品在国内电信运营商占据主要份额。l 华三杭州华三通信技术有限公司（简称H3C）， 致力于IP技术与产品的研究、开发、生产、销售及服务。2008年，H3C亿美金，在国内31省市和海外多个国家或地区设有

40、分支机构。H3C基于IP技术标准提供统一IT基础架构,具备“标准、融合、开放、增值”特征，基于IToIP构建网络、安全、存储、多媒体四大产品线，其产品广泛应用于教育、电信等行业。2，核心设备选择l 核心路由器针对不同行业、不同规模的企业，华为、华三、思科等厂商均有全系列的产品线。作为数据中心的核心设备，三个方案的核心路由器分别选择华三的SR8805万兆核心路由器、华为的NetEngine 40E全业务路由器、思科的7606路由器，在设备的总体性能上处于同一水平线。这三款产品在核心处理单元、电源模块等方面都有冗余保障措施，在端口类型、可扩展性、数据处理能力方面均能满足龙岗数据中心的需求。这些路由

41、器主要应用在IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置，具有强大的转发性能和丰富的业务特性全面满足用户各种组网应用的需求。同时为大型企业提供了真正的服务融合功能，能够利用单一平台在多种接入介质上部署管理种类繁多的应用。下表为三种型号的主要参数H3C S8805华为N40E-8思科7606引擎交换容量bps240G640G720G包转发能力pps144M400M400M主控板槽位数222业务板槽位数584ACL、QoS、NAT、防火墙支持是是是接口类型10/100/1000BASE-TX、100BASE-X、1000BASE-X、10GBASE-R/W、OC-48c RPR、OC

42、-192c RPR、OC-3c POS、OC-12c POS、OC-48c POS、OC-192c POS、OC-3 CPOS 通道化E1/T1、OC-3 CPOS 通道化E3/T3、OC-12 CPOS 通道化E3/T3、OC-48 CPOS 通道化OC-3、E1/T1、OC-3c ATM、OC-12c ATM等接口类型OC-192c/STM-64c POS OC-48c/STM-16c POS OC-12c/STM-4c POS OC-12c/STM-4c ATM OC-3c/STM-1c POS OC-3c/STM-1c ATM Channelized OC-3/STM-1 10GE-W

43、AN/LAN E3/CT3 CE1/CT1 E1/T1信道化T1/E1、信道化T3 和信道化OC-3/STM-1OC-3/STM-1, OC-12/STM-4, OC-48/STM-16 PoS 和OC-192/STM-64 PoSOC-3/STM-1 ATM, OC-12/STM-4 ATM 和OC-48/STM-16 ATM快速以太网、千兆以太网和万兆以太网增强型FlexWAN 模块：支持Cisco 7200 和7500 广域网端口适配器，从DS-0 到OC-3，用于信道化和ATM接口，以及快速以太网端口适配器高密度以太网服务模块：10/100 Mbps、千兆以太网和万兆以太网路由协议静态

44、路由，RIPv1/v2，OSPF，IS-IS，BGPv4静态路由，RIPv1/v2，OSPF，IS-IS，BGPv4静态路由，RIPv1/v2，OSPF，IS-IS，BGPv4多业务特性支持MPLS，MPLS VPN，L2TP/GRE/IPSec VPN支持MPLS，MPLS VPN，L2TP/GRE/IPSec VPN支持MPLS，MPLS VPN，L2TP/GRE/IPSec VPNl 核心交换机在数据中心核心交换机方面，三个方案分别选择了华三的S9508E核心交换机、华为的S9312核心交换机、思科的6509E核心交换机。H3C S9500系列交换机是华三面向以业务为核心的企业网络架构而

45、推出的新一代核心路由交换机，该产品基于H3C公司自适应安全网络的技术理念，在提供大容量、高性能L2/L3交换服务基础上，进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性，可为企业构建融合业务的基础网络平台，进而帮助用户实现IT资源整合的需求。H3C S9500作为H3C公司自适应安全网络的核心路由交换产品，可广泛的适用各行业的生产网核心、企业数据中心、IP城域网核心和汇聚、园区网核心、汇聚和配线间等场所，为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。Quidway S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智

46、能多层交换的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段，同时具备超强扩展性和可靠性，广泛适用于运营商IP城域网，企业广域网/城域网，企业出口/核心/汇聚，高密度千兆桌面接入，以及数据中心，帮助电信运营商和企业构建面向业务的网络平台，提供交换路由一体化的端到端融合网络服务。思科的6500系列交换机是其旗舰产品，广泛应用于数据中心的核心接入，Catalyst 6500系列为企业园区网和电信运营商网络设立了新的IP通信和应用支持标准，它不但能提高用户的生产率，增强操作控制，还能提供无与伦比的投资保护。作为思科重要的智能多层模块化交换机，Catalyst 6500系列能够提供安全的端到端融合网络服务，其使用范围从布线室到核心，再到数据中心和广域网边缘。Cisco Catalyst 6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度，因而能帮助企业和电信运营商降低总体拥有成本。Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱，以及多种集成式服务模块，包括数千兆位网络安全性、内容交换、语音和网络分析模块。 Catalyst 6500系列中的所有型号都