IT基础架构规划方案教学内容

1、IT基础架构规划方案IT基础架构规划方案一（网络系统规划）背景某集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和 管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部 分：楼宇智能化规划和建设方案：主要包括视频监控、门禁系统、语音和数 据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。企业IT基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规 划和网络设备选型、互联网接入和 VPN接入、IT硬件部署和选型、企业I

2、T信 息化基础软件系统规划和选型等。本方案主要是针对某集团企业IT基础架构进行规划，并提出解决方案和 进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。企业IT架构一般企业的IT架构情况，本方案主要针对IT基础架构部分进行规划，并提供 选型和部署参考，关于企业IT业务应用系统部分的规划和建设请参考其它方 案。企业IT架构应用系统（ERP系统/企业门户/商业智能）基础软件系统（/数据库/数据仓库/中间件）操作系统（操作系统/虚拟化软件）网络系统规划当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才， 应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架

3、构 成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其 次，由于企业首要解决的是生存问题，根本没办法做到先信息化，再做业务”因此网络建设实施要求必须容易，实施时间必须极短。企业的组网方案主要要素包括：局域网、广域网连接、网络管理和安全性。具 体来说企业组网需求：?建立安全的网络架构，总部与分支机构的网络连接；?安全网络部署，确保企业正常运行；?为出差的人员提供IPSec或者SSL的VPN方式；?提供智能管理特性，支持浏览器图形管理；?网络设计便于升级，有利于投资保护。企业一般的组网结构如下图，大企业网络核心层一般采用冗余节点和冗余线路 的拓扑结构，小企业则单线路的连接方式。核心

4、层汇聚层接入壊 HYLAMVVUN企业总部侖份广威主广城网网產按建播分支机构AXVUUMWSVLAMiiVLAN通过对一般企业的信息化情况和网络规划要素进行分析，从总体上看，规划方 案必须具有以下特点：?网络管理简单，采用基于易用的浏览器方式，以直观的图形化界面管理网 络。?用户可以采用多种的广域网连接方式，从而降低广域网链路费用。?无线接入点覆盖范围广、配置灵活，方便移动办公。?便捷、简单的统一通信系统，轻松实现交互式工作环境。?带宽压缩技术，高级QoS的应用，有效降低广域网链路流量。?随着公司业务的发展，所有网络设备均可在升级原有网络后继续使用，有效 实现投资保护。?系统安全，保密性高，应

5、用了适合企业的低成本网络安全解决方案。安全基础网络规划方案根据对某集团的实际调研，获取了企业的网络需求，以此来制定企业基础网络 建设规划方案和网络设备选型参考；以下提供基础版和企业版两种规划方案1）网络需求：企业规划的网络节点为500个，主要的网络需求首先是资源共享，网络内的各 个桌面用户可共享文件服务器/数据库、共享打印机，实现办公自动化系统中的 各项功能；其次是通信服务，最终用户通过广域网连接可以收发电子邮件、实 现Web应用、接入互联网、进行安全的广域网访问；还有就是公司门户网站 和网络通信系统（企业邮箱、企业即时通信和企业短信平台等）的建立。2）基础版规划方案本方案适用于200300

6、台电脑联网，核心采用 H3C S5500-28C-SI 或S5500-20TP-SI交换机，以千兆双绞线/光纤与接入交换机及服务器连接；用户接入H3C S3100-26TP-SI 或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机。In ternet出口采用H3C MSR20-1X 多业务路由器作为In ternet 出口路由、Secpath F1000-C 或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下：设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置数据核心交换机H3C S5500- 28C-SI全千兆三层核心1核心机房或 H3C S5500

7、-20TP-SI接入层 交换机H3C S3100- 26TP-SI或H3C S3100-52TP-SI接入层支持光电 复用千兆上行，支持混合堆叠26TP : 15 台52TP : 8 台各楼层 或机房路由器H3C MSR20-1x路由器转发率160Kpps ， 256M内存，支 持GE/FE交换模 块，同异步串口 模块，E1/PRI模 块，语音模块，加密模块12核心机房安全防火墙H3C SecPathF1000-C 或 H3CSecPath U200支持应用层报文 过滤1核心机房VPN支持DVPN互联网接入10M光纤接入电信10M光纤接 入配静态IP地址12核心机房r_*巧二匚 tL-P- I

8、-*-万案特点：?高性价比：能够让中小企业低投资拥有高性能、经济的网络；?简易性：结构简单、安装快速、简单，维护无需配置专职人员；?高性能：最低投资做到千兆骨干、百兆接入；?可扩展性：灵活的网络架构，能根据用户需要随时扩展，并保护已有投资。3）高级版规划方案：本方案适用于500800 台电脑联网，三层网络结构，万兆骨干，百兆接入； 网络核心层采用H3C S7500 交换机，同时配置相应数量的千兆端口分别连接 应用服务器、接入交换机及其他设备；网络汇聚层采用H3C S5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有96 Gbps的全双工堆叠带宽，消除网络瓶颈，提供优于传统中

9、继聚合配置的更好的可用性和弹性；接入层可选择 H3CS3100-26TP-SI 或S3100-52TP-SI 交换机，千兆铜缆/光纤上连核心交换机，或 H3C S5100-16/24/48P-SI 全千兆交换机，千兆到桌面。网络拓扑图如下：设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置数据核心交换机H3C S7500(E)系列核心支持双引 擎双电源，性 价比最高1核心机房汇聚层 交换机H3C S5500- 28C-SI汇聚支持全千兆 咼速转发，消除 网络瓶颈，同时 支持万兆扩展3各楼层 或机房接入层H3C S3100-接入层根据不同52TP : 10 台各楼层交换机26/52

10、TP-SI 或 H3C S5100-16/24/48P-SI业务需求提供百 兆和千兆接入两 种选择或机房路由器H3C MSR50-06路由器H3C新一代安全 路由器12核心机房安全防火墙H3C SecPathF1000-C支持应用层报文过滤11VPN支持DVPN互联网接入20M50M 光纤接入电信 20M50M 光纤接入配静态IP地址12核心机房r_*巧二匚 tL-P- I-*- 万案特点:?高性能，全分布式交换网络；?高可靠，无间断的通信环境；?灵活弹性的网络扩展能力；?高效率的网络带宽利用率；?全面的QOS部署，多业务融合；?完善的网络安全策略，实现深度安全检测，抵御未知风险。安全无线网络

11、规划方案无线网络的部署，能够增大员工接入网络的范围，提供更大的上网便利性-无论是在办公室、会议室还是在空间复杂的车间，员工都能与网络保持连接，随 时随地访问企业资源，而且可以简化场所的网络布线。安全无线网络解决方案 不但能提高员工的生产效率和协作能力，也能为合作伙伴/客户提供方便的上网服务。根据企业情况，可以采用 FAT AP方案：1）无线网络需求：能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网 络办公，成本投入不高，适合简单、小规模的无线部署。2）规划方案：采用 WA1208E +iMC+ CAMS进行组网，配合 CAMS实现802.1x 的认证， 可以实现基于时长、流

12、量和包月的计费；整网通过 iMC统一管理。网络拓扑图 如下：GEInternet A 制* * * 1 设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置无线无线接入WA1208E双 802.11g模块无线8各楼层无线安全H3C CAMS满足用户管理、身 份认证、权限控制 和计费的要求1核心机房无线 管理H3C iMC 网 管系统支持与HPOpenview 、SNMPc等通用网管平台的集成1核心机房r_*巧二匚 tL-P- I*- 万案特点:?全面支持802.11i安全机制、802.11e QoS 机制、802.11f L2 切换机 制；?大范围覆盖：高接收灵敏度，达到-97dB

13、m （普通AP-95dBm ），保证更 远覆盖；?多VLAN支持：虚拟AP方式支持多VLAN，最多支持8个虚拟SSID的 VLAN划分，每个VLAN用户可以独立认证；?兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁 定、传输报文整合，提高传输效率；?负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡；?针对各类室外、特殊室内应用如仓库等复杂环境，可以提供专门的型号。广域网互联VPN规划方案伴随企业和公司的不断扩张，公司分支机构及客户群分布日益分散，合作伙伴 日益增多，越来越多的现代企业迫切需要利用公共In ternet资源来进行促销、销售、售后服务、培训、合作及其它咨

14、询活动，这为VPN的应用奠定了广阔市场。在VPN方式下，VPN客户端和设置在内部网络边界的 VPN网关使用隧道 协议，利用In ternet或公用网络建立一条 隧道”作为传输通道，同时VPN连 接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从 而保证数据的完整性、机密性和合法性。通过 VPN方式，企业可以利用现有的 网络资源实现远程用户和分支机构对内部网络资源的访问，不但节省了大量的 资金，而且具有很高的安全性。另外，随着企业规模的扩大，分散办公也越来越普遍，如何实现小型分支、出 差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用 性、易管理等多方面综合考虑

15、，SSL VPN无疑是一种最合适的方案：只需要在 总部部署一台设备，成本更低，管理维护也很容易；无需安装客户端、无需配 置，登陆网页就能使用。1）网络需求1IPSec VPN和SSL VPN各有所长，功能互补，对企业来说都是需要的： IPSec VPN用于总部和中大型分支互连，SSL VPN用于为小型分支、合作伙 伴、出差人员提供远程网络访问。但传统方法下，企业总部需要采购两台设备 来支持两种VPN，不仅成本更高，而且可能存在 VPN策略冲突，导致性能下 降、管理困难。2）规划方案融合VPN针对企业的实际需要，一台设备融合 IPSec / SSL 两种VPN，只需 部署在总部，既可以用于为合作

16、伙伴、出差人员提供远程网络访问，也可以和 分支机构进行IPSec VPN互连，帮助企业降低采购、部署、维护三方面成 本。VPN网关选择方面，H3C的防火墙、路由器都能够实现融合 VPN，提供给企 业更加灵活的选择。例如，如果企业非常强调网络安全、 VPN性能，就选择防 火墙；如果企业更注重多业务处理能力，如 IP语音通信、3G上网、无线接入 等，推荐选择路由器。在总部局域网In ternet边界防火墙后面配置一台或两台双机热备的 VPN网 关，在分支机构In ternet边界防火墙后面配置一台 VPN网关，由此两端的 VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输；另外，通过总

17、 部的VPN网关提供SSL VPN接入业务；在总部局域网数据中心部署 H3C VPN Manager组件，实现对VPN网关的部署管理和监控；在总部局域网内部 或In ternet边界部署H3C BIMS系统，实现对分支机构 VPN网关设备的自 动配置和策略部署。如下图：设备选型和部署参考如下:业务需求设备选型参考配置说明数量部署位置网络 互连VPN网关H3C SecPath F1000VPN 网关H3C SecPathF100 VPN 网关或H3C MSR50 路由 器总部和大型机构配置F1000型号中小型机构配置F100型号总部1台分支机 构按需 求配置核心机房H3C MSR20-1X路由器

18、网络 管理H3C VPNMan agerH3C BIMS帮助用户部署、管理VPN网络1核心机房如果省内分支机构较多、较分散，但对速率要求不高的连锁型单位，也可以选 用电信或ISP商的VPDN服务；如果多个分支机构间有多点对多点通信需求的企业、商业机构，也可以直接选 用电信或ISP商的MPLS VPN服务。网络性能指标要求类型带宽要求线路质量要求局域网客户端到服务器：10Mb以上，推荐 100Mb各服务器之间：200M以上，推荐1000Mb丢包率小于0.1%延迟小于20ms广域网分支机构带宽：每客户端128Kb 总部出口带宽：（最大并发数/3） X128Kb总部服务器之间：200M以上，推荐 1

19、000Mb丢包率小于2%延迟小于50ms网络安全规划网络安全是整个系统安全运行的基础，是保证系统安全运行的关键。网络系统 的安全需求包括以下几个方面：?网络边界安全需求?入侵监测与实时监控需求?安全事件的响应和处理需求分析这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。我们针对企业网络层的安全策略采用硬件保护与软件保护，静态防护与动态防护相结合，由外向内多级防护的总体策略。根据安全需求和应用系统的目的，整个网络可划分为六个不同的安全层次。具 体是：?核心层：核心数据库；?安全层：应用信息系统中间件服务器等应用；?基本安全层：内部局域网用户；?可信任层：公司本部与营业部网络访问

20、接口；?危险层：In ternet 。信息系统各安全域中的安全需求和安全级别不同，网络层的安全主要是在各安 全区域间建立有效的安全控制措施，使网间的访问具有可控性。具体的安全策 略如下：核心数据库采用物理隔离策略应用系统采用分层架构方式，客户端只需要访问中间件服务器即可进行日常业 务处理，从物理上不能直接访问数据库服务器，保障了核心层数据的高度安 全。应用系统中间件服务器采取综合安全策略：应用系统中间件的安全隐患主要来自局域网内部，为了保障应用系统中间件服 务的安全，在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实 施安全隔离，提供子网间的访问控制能力。同时，中间件服务器本身可以通过

21、 配置相应的安全策略，限定经过授权的工作站、用户方能访问系统服务，保障 了中间件服务器的安全性；内部局域网采取信息安全策略：公司本部及营业部内部局域网处于基本安全层的网络，主要是对于安全防护能 力较弱的终端用户在使用，因此考虑的重点在于两个方面，一个是客户端的病 毒防护，另一个是防止内部敏感信息的对外泄露。因此，通过选用网络杀毒软 件达到内部局域网的病毒防护，同时，使用专用网络安全设备（如硬件防火 墙）建立起有效的安全防护，通过访问控制 ACL等安全策略的配置，有效地控 制内部终端用户和外部网络的信息交换，实现内部局域网的信息安全。公司本部与下属机构之间网络接口采取通讯安全策略：处于可信任层的

22、网络，其安全主要考虑各下属单位上传的业务数据的保密安 全，因此，可采用数据层加密方式，通过硬件防火墙提供的VPN隧道进行加密，实现关键敏感性信息在广域网通信信道上的安全传输。In ternet采取通讯加密策略：In ternet属于非安全层和危险层，由于In ternet存在着大量的恶意攻击，因 此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力，并对所有访问请求进行严格控制，对所有的数据通讯进行加 密后传输。同时，建议设置严格的机房管理制度，严禁非授权的人员进入机房，也能够进 一步提升整个网络系统的安全。1)广域网安全规划企业广域网安全，主要是通过防火墙和 VPN等设备或技术来保障。防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关 闭不使用的端口，防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的 安全防线，才能接触目标计算机，所以出于安全考虑，企业必须购置防火墙以 保证其服务器安全，将应用系统服务器放置在防火墙内部专门区域。一般硬件 防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火墙 市场知名度高的品牌有 CISCO、Check Point、Juniper、H3C、天融信、华 为赛门铁克、联想网御等，用