某集团IT基础架构建设方案.doc

《某集团IT基础架构建设方案.doc》由会员分享，可在线阅读，更多相关《某集团IT基础架构建设方案.doc（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、民生杭州分行 2009 年工作计划 页脚内容 某集团某集团 ITIT 基础架构建设方案基础架构建设方案 民生杭州分行 2009 年工作计划 页脚内容 目目 录录 第一章第一章 项项目情况介目情况介绍绍 第二章第二章 设计设计原原则则和和设计设计思想思想 第三章第三章 VPNVPN 网网络络建建设设 第四章第四章 数据中心虚数据中心虚拟拟化建化建设设 第五章第五章 分支机构弱分支机构弱电电建建设标设标准准 第六章第六章 视频视频会会议议 第七章第七章 ITIT 资产统资产统一管理一管理 第八章第八章 监监控和考勤系控和考勤系统统统统一管理一管理 第九章第九章 邮邮件文档件文档统统一管理一管理 第

2、十章第十章 视频视频点播直播系点播直播系统统 民生杭州分行 2009 年工作计划 页脚内容 第一章第一章 项项目情况介目情况介绍绍 1.11.1 项项目背景目背景 目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的 开展不再仅仅局限于同一物理位置上，即使在办事处、分支机构、出差在外、在家中，均 可像在公司总部办公一样开展业务。另外集团对各项业务的流程，账务流程，行政流程需 要统一进行管控，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来满足各 分支机构与集团总部之间的信息交流。 另外我集团作为新兴的拥有知识产权的企业 ，信息的敏感性决定了它们历来都是各种 居心叵

3、测者的重要关注对象，这提醒我们应该更加注重网络安全的建设。值得称道的是， 公司领导已经对此引起了高度重视，并计划逐步进行卓有成效的防护工作。在这方面，合 理借鉴市场先进经验与理念十分重要。 1.21.2 目前目前 ITIT 架构和架构和应应用用现现状分析状分析 原原宽带宽带 地点地点宽带宽带运运 营营商商 网网络络接入接入 IPIP 地址：地址： 动态动态/ /固定固定 服服务务器器交交换换机机其它其它设备设备 深圳深圳总总部部 ADSL 动态 IP 地 址 K3 服务器 一台 二层无无 ADSL 动态 IP 地 址 无二层无无 深圳中心深圳中心 ADSL 动态 IP 地 址 无二层 无无 民

4、生杭州分行 2009 年工作计划 页脚内容 广州越秀中心广州越秀中心电信ADSL 动态 IP 地 址 无二层 无无 广州天河中心广州天河中心无无无 备份服务器 一台 二层无无 上海浦上海浦东东中心中心电信光纤接入 动态 IP 地 址 无二层 无无 北京浦北京浦东东中心中心无无无无二层无无 从上表可以看出，我集团 IT 基础架构还处在比较原始的阶段，集团总部和各分支机 构没有进行信息网络的互联互通，已经成为制约业务扩大和发展的重要原因。 1.31.3 未来要运行的系未来要运行的系统统 1.CRM 系统 2.OA 系统 3.IP 电话 4.视频会议 5.邮件系统 6.域管理系统 7.考勤统一管理系

5、统 8.监控统一管理系统 9.账务系统 10.文档统一管理系统 11.数据备份系统 12.网络安全系统 13.医务教学系统 民生杭州分行 2009 年工作计划 页脚内容 根据以上需求，我集团必须构建适合公司未来发展的 IT 基础架构。搭建 互联互通的信息网络和信息平台。为此，必须首先完善 IT 基础架构。 第二章第二章 设计设计原原则则和和设计设计思想思想 系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起 点、前瞻性、扩展性” 。具体的我们遵循了以下原则： 2.12.1 安全性原安全性原则则 在公司网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存

6、在着安全的漏洞，从而影响整个公司业务运作的大局。 随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案 中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统 的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。网络安全需要依靠 综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重 要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以 下三个方面： 1. 安全防护 2. 主动安全评估 3. 安全实时监控 安全防护就是通过防火墙或网络物理隔离等设备，对进出网络的数据包进行控制；同 时在应用

7、、主机上限制非法用户进入，或者用户越权访问。 主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安 民生杭州分行 2009 年工作计划 页脚内容 全工具或者是有经验的安全专家来进行安全评估。 安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控，例如 黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫 描工具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。 2.22.2 实实用性原用性原则则 系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用先 进的技术，使系统完成后，保持一定时期的领先地位。另

8、外还要考虑成本和费用 实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能低成本与 实用性相结合。 2.32.3 可靠性原可靠性原则则 这套系统是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使 用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不 便和不可低估的损失。因此可靠性是平台运行的首要保证。 我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、 备份技术就是其中的重要策略。 2.42.4 可可扩扩展性原展性原则则 网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案 的设计中充分考虑它

9、的可扩展性，为将来系统扩展和升级提供基础。 2.52.5 易管理性原易管理性原则则 系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性， 为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。 民生杭州分行 2009 年工作计划 页脚内容 第第三三章章 集集团团 V VP PN N 网网络络建建设设方方案案 3.13.1 VPNVPN 技技术简术简介介 VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道） ，将远程 的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的 主机将不再感觉到公共网络的存在，仿佛所有的

10、主机都处于一个网络之中。对企业而言， VPN 可以替代传统租用线来连接计算机或局域网等。而任何 VPN 业务都是基于隧道技术实 现的，隧道机制是 VPN 实施的关键。数据通过安全的加密管道在公共网络中传播。企业 只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息； 同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上， 就可以连接进入企业网中。使用 VPN 有节省成本、提供远程访问、扩展性强、便于管理和 实现全面控制等好处，是目前和今后企业网络发展的趋势。 图图 3-13-1 VPNVPN 组组网示意网示意图图 虚拟专网的重点在于建立安全的数

11、据通道，构造这条安全通道的协议必须具备以下条 件： 保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性:接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据 的能力。 民生杭州分行 2009 年工作计划 页脚内容 保证通道的机密性:提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数 据。 提供动态密匙交换功能:提供密匙中心管理服务器，必须具备防止数据重演 （Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制:要有抵抗黑客通过 VPN 通道攻击企业网络的能力，并 且可以对 VPN 通道进行访问控制（Acc

12、ess Control） 。 虚拟专用网 VPN 可以使在 Internet 中的信息交换有安全保障，大多数的 VPN 产品 支持 IPSec。最初 VPN 技术被设想为 Intenet 节点的连接方式，后来它很快被公认为是 一种远端的接入技术，例如在一个远程的 PC 或笔记本电脑用户与他的公司本部之间建立 的加密通道。目前，VPN 技术正在迅速走向成熟，而且它正处于兴盛期。 3.23.2 系系统设计统设计功能分析功能分析 3.2.13.2.1 VPNVPN 的构建方式的构建方式 VPN 的实现有很多种方法，常用的有以下四种： 1硬件 VPN：某些硬件设备，含有 VPN 功能。 2软件 VPN

13、：可以通过专用的软件实现 VPN。 3运营商提供 VPN：可以通过租用运营商的网络实现 VPN。 3.2.23.2.2 为为企企业节业节省了省了费费用开支用开支 采用了 VPN 系统，相当于在总部和各地分公司之间建立了安全的专用网络，就可以充 民生杭州分行 2009 年工作计划 页脚内容 分利用公共网络的资源，在上面运行包含企业内部重要信息的各种应用系统。 比较传统的在总部分公司之间拉专线的方式，采用 VPN 解决方案，大幅度降低了企业 信息系统的投入成本，为企业带来了直接的效益。并且在安全性上，也得到了提高，因为 即使是拉专线，也需要通过网络运营商，而采用 VPN 方案，则是真正的将安全掌握

14、在了自 己手中。 3.2.63.2.6 系系统统的易的易扩扩展性展性 VPN 系统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在 该地安装一台 VPN 设备，总部只需要增加一条安全策略即可以实现该分公司或者办事处的 接入。如果增加一个移动用户，只需要配发一个 Sure ID 即可。因此扩展非常简单。 3.33.3 产产品品选选型型 软件 VPN 因性能差，不稳定等因素，在生产环境中，很少部署。现在主流 VPN 一般为硬件 VPN 和运营商提供的 VPN. 下表为一些供应提供的产品的特点，具体价格详见附件。 VPN 性能 防火墙网络管控网络加速负载均衡 第一线 良好无无无无

15、深信服良好有有有有 中科网威良好有有有有 九昌电信 良好无无无无 费费用用对对比表比表 所需要设备 VPN 防火墙网络管控 宽带 小计 民生杭州分行 2009 年工作计划 页脚内容 第一线 19000CISCO 5515 （总部 2.2W）分支 机构 （9000*4） AC1200(市 场价格 1.5W*5) 拨号光纤 （月租金 1500*5） 设备费 用 13.3W 线路费 用 2.6W/月 九昌电信 20000CISCO 5515 （总部 2.2W）分支 机构 （9000*4） AC1200(市 场价格 1.5W*5) 拨号光纤 （月租金 1500*5） 设备费 用 13.3W 线路费 用

16、 2.75W/ 月 中科网威 总部 4.2W 分支机构 （8000*4） 总部 7000 分支机构 （3000*5） 设备费 用 7.2W 线路费 用 2.2W/月 深信服 总部 8W 分支 机构 （4W*4） AC1200(市 场价格 1.5W*5) 总部 7000 分支机构 （3000*5） 设备费 用 31.5W 线路费 用 2.2W/月 3.43.4 网网络规络规划与划与产产品部署品部署 1 1、集、集团总团总部部设计设计方案方案 总部是整个公司的“心脏地带” ，重要信息的交互、共享，重要数据的频繁传输，组成 民生杭州分行 2009 年工作计划 页脚内容 了 XX 集团的业务流。随着企

17、业信息化程度的不断加深，各种应用系统会逐步得到应用。 目前，集团总部的内部网络，通过电信网络直接接入 Internet。考虑以后总部业务 需求的发展，在总部网络出口处部署一台 ANYSEC-M6600ANYSEC-M6600。M6600 是一款标准 1U 机架式 高性能 VPN 安全接入网关。基本配置包括 4 个 100/1000M 以太网接口，采用 Intel NP 架构高速网络处理器。最大 VPN 隧道数 1600 条、3DES 硬加密性能 100Mbps、防火墙吞 吐率 1Gbps、最大并发会话数 500,000 个。支持双机热备、多线路负载均衡。主要功能 包括 VPN 集中管理、IPS

18、EC/SSL VPN 二合一、防火墙、代理上网、应用带宽管理、IM 控制、P2P 控制、娱乐控制、用户分级管理、上网行为管理等功能。 2 2、各地、各地驻驻外机构外机构设计设计方案方案 由于各地驻外机构需要与杭州总部进行大量的信息交换，并且随着 ERP 等应用系统的 应用加深，物流、资金流在企业 Intranet 网上的频繁传输，为了保证总部与分支机构、 分支机构与分支机构之间进行安全的信息传输，故此，部署 ANYSEC-S2800iANYSEC-S2800i 到各驻外机 构。S2800i 是一款桌面式 VPN 安全接入网关。基本配置包括 5 个 10M 以太网接口，采 用 Intel MIP

19、S 架构高速网络处理器。最大 VPN 隧道数 256 条、3DES 硬加密性能 35Mbps、防火墙吞吐率 200Mbps、最大并发会话数 80,000 个。主要功能包括 IPSEC VPN、VPN 管理平台、路由、无线上网、交换机、防火墙、3G 上网、上网行为管理、双线 路支持等功能。 3 3、集集团团 VPNVPN 建建设设网网络络 IPIP 地址分配如下：地址分配如下： 地点地点服服务务器网段器网段办办公网公网络络WIFIWIFI监监控控 深圳深圳总总部部10.1.0.010.1.1.010.1.2.010.1.3.0 深圳中心深圳中心10.2.1.010.2.2.010.2.3.0 广

20、州越秀中心广州越秀中心10.3.1.010.3.2.010.3.3.0 民生杭州分行 2009 年工作计划 页脚内容 广州天河中心广州天河中心10.4.1.010.4.2.010.4.3.0 上海浦上海浦东东中心中心10.5.1.010.5.2.010.5.3.0 北京浦北京浦东东中心中心10.6.1.010.6.2.010.6.3.0 4 4、接入、接入线线路路 根据以上分析，集根据以上分析，集团总团总部申部申请请一条一条 20M20M 电电信固定光信固定光纤纤，用作，用作 VPNVPN 核心网核心网络络，通，通过过 VPNVPN 设备连设备连接接总总部核心交部核心交换换机。其它分支机构机。

21、其它分支机构 酌情申酌情申请电请电信或者信或者联联通光通光纤纤，通，通过过接入接入层层的的 VPNVPN 设备设备与集与集团总团总部部进进 行行 VPNVPN 互互联联. .如下表如下表 地点地点VPNVPN 网网络络办办公网公网络络 深圳深圳总总部部 电信 20M 固定光纤（未来根据 需求另外申请联通固定光纤） 电信拨号 100M 深圳中心深圳中心与集团总部共用 广州越秀中心广州越秀中心固定 6M 光纤或者拨号 100M（优先电信线路） 广州天河中心广州天河中心固定 6M 光纤或者拨号 100M（优先电信线路） 上海浦上海浦东东中心中心固定 6M 光纤或者拨号 100M（优先电信线路） 北京

22、浦北京浦东东中心中心固定 6M 光纤或者拨号 100M（优先电信线路） 5 5、完成后网、完成后网络图络图 民生杭州分行 2009 年工作计划 页脚内容 6 6、所需、所需设备设备清清单单 设备名称高性能 VPN 设备接入层 VPN 设备核心交换机 1 台（集团总部）1 台（集团总部） 4 台（每个分支机构一台） 民生杭州分行 2009 年工作计划 页脚内容 第四章第四章 数据中心虚数据中心虚拟拟化建化建设设 随着信息化的快速发展，各类应用系统越来越多。按照传统数据中心建设思路，为避 免应用系统之间软件和资源配置的冲突，每增加一个新需求、新应用，就需要申请经费、 采购服务器、安装系统、部署应用

23、，因此服务器数量急剧增加。而每增加一台新服务器， 就意味着需要更多的空间、电源、散热、网络接口、数据存储以及管理人员。未来集团应 用系统初步估计已经在 10 种以上，并且还会不停的增加，这些应用分散地部署在几十台 服务器上，维护工作量极大。另外，许多应用运行在单台物理服务器上，一旦设备出现问 题，服务就会中断，导致系统稳定性差，业务连续性不高。 因此，从整个信息化工作全局出发，我们需要整馆内数据中心硬件资源，提高硬件资 源利用率，提升关键应用的业务连续性，加强 IT 基础设施的运维管理，以适应信息化发 展的快速需求。 虚拟化的目的是为了更加合理的使用分配应用资源，消除系统中的大部分安全隐患，

24、提升整个系统的安全及可靠性；更换及淘汰已经过时的老旧设备；扩充系统的整体性能； 可以综合管理、并根据实际应用需求的变化来对资源进行快速无缝调整和分配；并且为日 后的系统扩展延伸做好准备，使其在将来不需做太大的变动就可与各种应用 系统相结合， 形成成一个结合相对紧密的整体；对内实现资源的共享、数据的异地互备、业务系统的远 程灾备，对外可统一提供信息服务的综合性数字化信息服务平台。 同时确保省数字图书馆的高效、经济、环保节能和安全可靠性。及其本身的可持续发 展性。 服务器的虚拟化就是将服务器物理资源抽象成逻辑资源，让一台服务器变成几台，甚 至上百台相互隔离的虚拟服务器，不再受限于物理上的界限，而是

25、让 CPU、内存、磁盘、 I/O 等硬件变成可以动态管理的“资源池”，从而提高服务器资源的利用率，简化系统管理， 实现服务器整合。 在传统方式中，一台服务器装载和使用一个物理服务器操作系统，每台服务器平均 CPU 利用率仅为 10%左右。如本次更新设备还采用同样的方式，我们所需购买的服务器会 高达 40 台，这会导致资源的极大浪费。因此，使用 VMware，虚拟化技术，整合分散的 民生杭州分行 2009 年工作计划 页脚内容 物理服务器部署多台虚拟机，当有新的业务加入，信息中心即可为该业务动态分配一台或 多台虚拟机。一般来说，虚拟环境由三个部分组成：硬件、虚拟机监控器 (VMM，Virtual

26、MachineMonitor)和虚拟机。VMM 取代了操作系统的位置，管理着真 实的硬件。如图 1 所示，在一台物理服务器上虚拟出两台虚拟服务器。而且从应用者的角 度看，使用虚拟机和使用物理服务器是完全一样的。 利用服务器虚拟化技术搭建数据中心计算资源池 在信息中心 24 台高性能机架服务器中安装 HYPER-V 虚拟化软件，通过 HYPER-V Server 对所有的物理服务器进行统一管理，按照应用级别不同，建立多个服务器群集。 所有的虚拟机形成一个可统一分配的计算资源池，虚拟化结构图如下。 民生杭州分行 2009 年工作计划 页脚内容 方案优势 提高了硬件设备的资源利用率 使用虚拟化技术，

27、可以使数据中心每台物理服务器实现 30:1，甚至更高的整合比率 (可根据虚拟机负载情况预先设定策略动态进行调整)。这意味着，以前需要十台物理服务 器完成的工作，在部署虚拟化后，仅一台服务器就能满足需求。对于负载较大的虚拟机可 适当降低整合比率，甚至可设定策略让其独享一台物理服务器，以确保重要应用。利用电 源管理及虚拟机的动态迁移技术，在虚拟机负载较低时，将其自动迁移到一台或几台物理 服务器上，并将空闲物理服务器电源自动关闭。反之，当虚拟机负载加大时，则根据预先 设定的策略自动打开物理服务器电源，保证虚拟机的性能。一般设定物理服务器的利用率 在 60%80之间，既能保证应用系统性能，又能节约电能

28、。 增强了应用系统的业务稳定性 利用动态迁移技术，保证了虚拟机的高可用性，提升了整个数据中心基础架构的稳定 民生杭州分行 2009 年工作计划 页脚内容 性。当某一台服务器发生故障，虚拟机会自动根据预置策略，将对应的虚拟机迁移到其他 正常运行的主机上。整个过程无须人工干预，用户也没有明显的服务中断感觉，从而大大 增强了应用系统的业务稳定性。 实现了业务系统的快速部署 虚拟服务器可以在线复制为模板，通过预先建立的模板和克隆技术，管理人员可以在 数分钟，甚至数十秒时间内将新应用快速部署到相应的服务器计算节点上，实现对服务和 应用的统一化管理。采用 HUSVM 进行数据迁移的工作量非常小。对存储进行

29、虚拟化减少了 应用的中断窗口，从而快速完成技术更新。事实上，与基于主机或复制的方法相比，数据 迁移工作量减少了 80%。由于存储控制器在后台移动数据，因此对性能没有任何影响。 降低了数据中心机房能耗 新型数据中心正式投入使用后，由于物理服务器设备数量极大降低，同时结合分布式 电源管理(DPM)技术，自动关闭负载较低的空闲虚拟主机，使得数据中心主机电力消耗由 降低到 40%左右。随着存储的虚拟整合使得空间的浪费率大大降低，并且利用其动态分层 技术在只增加少量投资的情况下可以提升更多的性能。 成本节省 项目 节省效率 节省情况 维护成本 86%-94% 更少、更新型的服务器使维护成本大大降 低 软

30、件支持成本 82%-84% 更少的软件和 CPU 使用、更新、服务的费 用大大降低 人员管理成本 36%-50% 更少的物理服务器提高管理自动化，从而 降低相关系统管理人员的成本 设备管理成本 65%-70% 更少的物理服务器，更少的覆盖面积和有 效的能源管理，帮助中心降低能耗 缩小占地面积 民生杭州分行 2009 年工作计划 页脚内容 平均节省效率 72% 可能用到的设备 品牌服务器存储大概预算 IBM3850X5*2DS530035w HPDL580*2EVA440038w DELLR910*225w CISCO刀片机*4EMC50w 第五章第五章 分支机构弱分支机构弱电电建建设标设标准准

31、 1. 各种线材面板统一品牌，使用质量较好的一线品牌。 2. 监控设备统一使用海康品牌，以便统一管理。 3. 考勤系统统一使用中控品牌，以便统一管理。 4. 机房交换机统一使用思科品牌，以便统一整合网络。 5. 综合布线各个子系统必须符合国家标准。 6. 机房必须按照 IT 统一标准，防静电地板必须安装，UPS，空调，机柜等设备必须统一 使用一线品牌。 7. 机房必须安装报警系统。 8. 电脑，无线设备必须统一品牌，以便维护。 民生杭州分行 2009 年工作计划 页脚内容 第六章第六章 视频视频会会议议 拟采用思科或者宝丽通，预算大概在 25W 左右。目前正在和厂商洽谈中。 第七章第七章 ITIT 资产统资产统一管理一管理 建立统一的 IT 资和管理档案和台账，对设备进行统一编号，按期例行盘点。购买设备 和报废设备要登记在册。设备必须明确到使用者。 第八章第八章 监监控和考勤系控和考勤系统统统统一管理一管理 已经和相关厂商进行了初步沟通，可以使用厂商提供的后台软件进行统一管理。 第九章第九章 邮邮件文档件文档统统一管理一管理 公司通过域账号和其它安全管理软件，对使用者进行适当的权限分配。未来将搭建自己 的邮件服务器，对邮件进行统一管理。 第十章第十章 视频视频点播直播系点播直播系统统 与业务部门沟通后，再制定详细方案。 民生杭州分行 2009 年工作计划 页脚内容