企业IT基础建设规划方案

1、企业IT基础建设规划方案目录2 方案总体设计1项目概况4案例介绍3项目管理建设先进、高效、稳定、统管、开放式的基础架构平台建设一套完整的安全可靠的网络平台（等保三级）打造7*24小时连续性业务平台，为“百家汇”进驻企业和团队提供良好的IT办公服务建设全业务系统数据共享平台建设功能齐全绿色低能耗机房项目建设目标2 方案设计1项目概况4案例介绍3项目管理相关标准&文档GB50174-2008电子信息系统机房设计规范TIA942数据中心通信设施标准信息系统通用安全技术要求GB/T 20271-2006信息系统安全管理要求GB/T 20269-2006关于做好重要信息系统灾难备份工作的通知(信安通20

2、0411号文件)中国云科技发展“十二五”专项规划关于数据中心建设布局的指导意见数据中心技术规范建设研究“百家汇”IT基础架构实用性&节省投资可管理性&整体管理安全性&数据稳定可靠性&业务连续性开放性&升级扩展架构设计思路重点考虑成熟稳定的技术架构并满足未来5年的发展需求考虑系统稳定运行，保证业务连续性工作需要建立灾备中心总设计思路网络&安全设计方案核心交换光纤电信防火墙防火墙路由器路由器未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区百家汇楼信息中心楼终端管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍会所汇聚交换汇聚交

3、换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理网络&安全架构设计浦口百家汇楼分中心核心交换安全网关安全网关安全网关安全网关病毒桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换网络&安全架构设计方案全冗余核心网设计，三个中心组成环形结构核心网，为7*24连续性业务提供基础保障；自上而下网络设计，核心网通过VLAN方式对区域进行划分，各区域设有汇聚交换机和安全网关配合，若发生故障也控制在区域范围内；分级管理安全设计，在核心网络采用了多种全网扫描的安全技术（防火墙、IPS、IDS、漏扫、审计、防病毒等）并结合核心交换VLAN技

4、术，为一级保护；在各服务区域采用WEB防护、上网行为、堡垒主机、桌面管理系统安全保护措施，为二级保护；各分支楼舍采用安全网关保护，为三级保护；出差人员、第三方用户通过VPN方式接入，为四级保护；部署了运维管理系统，对全网软硬件设备及机房设备统一实时监控，管理人员第一时间了解到整个系统运行情况；把会所和宿舍网络从集团网剥离，改为“百家汇”项目电信出口。核心交换光纤电信防火墙防火墙路由器路由器未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区百家汇楼信息中心楼终端管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍会所汇聚交换汇聚

5、交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理核心网络设计浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换核心网络：核心网络整体以星型结构提供服务集团总部采用两台高端交换机形成全冗余架构主核心网分别与园区百家汇楼、浦口分中心核心交换机形成大环形结构各个区域统一规划VLAN整体网络设备统一监管 安全网关核心交换光纤电信防火墙防火墙路由器路由器未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区百家汇楼信息中心楼终端管理区漏扫系统入侵检测入侵防护

6、网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理百家汇楼网络设计浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换安全网关百家汇：每幢楼放置汇聚交换机，分别与分中心核心网通过光纤直连每幢楼的楼层放置接入交换机确保千兆带宽到桌面核心交换光纤电信防火墙防火墙路由器路由器未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火墙服务区百家汇楼信息中心楼终端管理区漏扫系统入侵检测入侵防护

7、网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理会所&宿舍网络设计汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换浦口百家汇楼分中心核心交换安全网关安全网关安全网关安全网关病毒桌面会所&宿舍：会所&宿舍网，从原来的网络中剥离，把出口调整到百家汇电信出口会所&宿舍网，分别与核心交换通过光纤相连，千兆带宽到桌面针对会所原有AP增加AC通过DHCP方式进行控制核心交换光纤电信防火墙防火墙路由器路由器未来其它接入VPN汇聚交换接入交换业务服务器群WEB服务器WEB防火

8、墙服务区百家汇楼信息中心楼终端管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理浦口百家汇楼网络设计浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换安全网关浦口百家汇楼：将浦口百家汇建设成网络分中心与主中心形成冗余架构每幢楼放置汇聚交换机，每幢楼的楼层放置接入交换机千兆带宽到桌面核心交换光纤电信防火墙防火墙路由器路由器未来其它接入VPN汇聚交换接入交换业务服务器

9、群WEB服务器WEB防火墙服务区百家汇楼信息中心楼终端管理区漏扫系统入侵检测入侵防护网络审计监管接入交换接入交换接入交换汇聚交换汇聚交换汇聚交换宿舍会所汇聚交换汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换接入交换堡垒主机上网行为管理安全设计浦口百家汇楼分中心核心交换安全网关安全网关安全网关病毒桌面汇聚交换汇聚交换汇聚交换汇聚交换接入交换接入交换接入交换接入交换分中心核心交换安全网关安全设计：统一规划，分级管理核心网部署两台防火墙和各种安全保护及防范系统各分支区域通过安全网关与核心网连接外部用户通过VPN方式接入公用服务区，部署防篡改安全保护系统运维管理区，部署运维监管系统、

10、防病毒软件及桌面安全管理系统服务器&存储设计方案服务器&存储架构设计IP网络WEBDNS论谈前置机对外服务区业务区OA邮件域控FTP应用A应用B数据库A数据库B虚拟化节点计算区节点节点节点杀毒网监备份桌面管理管理区虚拟化桌面存储交换区NASSAN ASAN BInfiniband数据存储虚拟带库计算存储存储区SAN CDP物理距离30公里容灾中心存储间复制浦口服务器&存储架构设计方案服务器虚拟化云架构平台，为后期业务系统或入驻企业不断扩展提供便利，平台冗余性、可靠性、安全性得到保障；SAN交换机采用16GB高速I/O接口模块， infiniband交换机采用20GB高速I/O接口模块；部署统一

11、存储平台，所有业务数据库、虚拟化数据和非结构化数据集中存储，并根据前端业务访问数据热度，自动调整数据I/O；考虑到药品研究过程需要推演，单独部署一套浮点运算高性能计算系统，运算存储系统采用infiniband接口存储与业务数据存储分离，把运算过程数据和结果数据存一份到业务数据存储上，作为备份；分级数据保护：业务数据存储快照（为一级保护） ；CDP保护，实现0-48小时任意时间点恢复（为二级保护） ；实现全业务在集中备份（为三级保护） ；远程数据级容灾（为四级保护） ；IP网络WEBDNS论谈前置机对外服务区业务区OA邮件域控FTP应用A应用B数据库A数据库B虚拟化节点计算区节点节点节点杀毒网监

12、备份桌面管理管理区虚拟化桌面存储交换区NASSAN ASAN BInfiniband数据存储虚拟带库计算存储存储区SAN CDP容灾中心存储间复制浦口服务器架构设计服务器设计：统一规划，共享平台IAAS云架构，扩展性强确保所有业务系统冗余保障根据功能，划分同区域，安全保障构建一套基于 Infiniband的高速浮点运算高性能计算中心物理距离30公里IP网络WEBDNS论谈前置机对外服务区业务区OA邮件域控FTP应用A应用B数据库A数据库B虚拟化节点计算区节点节点节点杀毒网监备份桌面管理管理区虚拟化桌面存储交换区NASSAN ASAN BInfiniband数据存储虚拟带库计算存储存储区SAN

13、CDP容灾中心存储间复制浦口存储交换区设计存储交换区设计：集中部署存储交换机业务区采用SAN交换机连接高性能计算采用infiniband交换机连接物理距离30公里IP网络WEBDNS论谈前置机对外服务区业务区OA邮件域控FTP应用A应用B数据库A数据库B虚拟化节点计算区节点节点节点杀毒网监备份桌面管理管理区虚拟化桌面存储交换区NASSAN ASAN BInfiniband数据存储虚拟带库计算存储存储区SAN CDP容灾中心存储间复制浦口存储区设计存储区设计：集中部署统一数据存储，存放业务数据（包括系统和虚拟化数据），并配置本地快照考虑到非结构化数据，采用NAS机头硬保本地数据快速恢复，采用CD

14、P技术，保证0-48小时任意点恢复部署虚拟带库，采用sever-free方式，建立集中备份系统部署infiniband 接口存储，供计算节点存放数据。物理距离30公里IP网络WEBDNS论谈前置机对外服务区业务区OA邮件域控FTP应用A应用B数据库A数据库B虚拟化节点计算区节点节点节点杀毒网监备份桌面管理管理区虚拟化桌面存储交换区NASSAN ASAN BInfiniband数据存储虚拟带库计算存储存储区SAN CDP容灾中心存储间复制浦口容灾中心设计物理距离30公里容灾中心设计：在浦口部署一台光纤存储，通过存储底层进行数据复制生产中心和容灾中心之前可以通过光纤或ISCSI方式连接机房设计方案

15、 机房所处楼层不能太高，主要基于以下因素考虑：低楼层为机房设备运输提供便利供电线路距离更短运营商线路接入方便；机房环境条件更安全。根据B级机房要求在应在300400平方米，应有：综合网机房、金融网机房、网络通信机房、开发测试机房、操作监控室、备件库、设备维修间、UPS电源室、空调机房、消防设施用房等机房区域（尤其是核心机房区域）应远离水源，在土建规划时应特别注意，大楼的消防用水、生活用水等水管应避免进入机房区域。为保证机房的整体效果，机房建议净空高度为3米以上。因此土建层高建议达到4.8米以上，梁下高度4.0米以上，以满足活动地板铺设、吊顶板安装、通风、消防管道安装等要求。机房建设选址要求机房

16、建设设计市电三相配电系统UPS市电主设备辅助应急动力用电辅助用电计算机主机外设终端 门禁应急照明应急插座空调系统消防系统感性办公设备辅助插座维修插座网络 运行保障系统配电系统设计 结合本项目设备及空调设施供电需求，机房供配电系统设计构想如下：设备供电电源均为三相五线制及单相三线制，建议采用双回路供电用电设备做接地保护，并入土建大楼配电系统用电设备、配电线路装置过流过截两段保护，配电以放射式向用电设备供电设备供电和照明供电分为两个独立回路，设备由UPS提供并按设备总用电量的1.3倍进行预留，照明由市电提供并按空调设备的要求供配配电系统与应急照明系统自动切换设机房专用标准配电柜，配备低压开关，柜内

17、配有市电备用回路，安装防雷保护系统采用“UPS”、两路市电、柴油发电机组、来保证机房整体供电配电系统设计 计算机系统是高精密的电子设备，对机房环境有严格的要求，其中最重要的是温度、温度和洁净度。采用下送风，上回风方式制冷主机房温度要求通常为2023，相对湿度要求为45%65%，主机房温、湿度的变化不可过于剧烈，温、湿度的变化应小于+/-3/h，不凝露。机房区采用恒温恒湿机房专用精密空调。洁净度：静态测试，微机机房内洁净度为30万级50万级，机房内的空气含气尘浓度，每升空气中大于或等于0.5uM尘粒数少于1800粒/3。空调系统设计独立系统直流工作地交流工作地等电位连接安全保护地4.在绝缘被击穿

18、时保护人身和设备的安全，在绝缘未被击穿时也有保护人身安全的作用5.机房静电地板下用30mm3mm紫铜带沿四周敷设等电位连接网络，该网络与接地装置连接1.机房接地配备独立的系统2.计算机直流工作接地电阻的大小、接法以衣诸地之间的关系，应依不同计算机系统要求而定3.确保人身安全的保障设备的安全接地系统 无管网（柜式）七氟丙烷气体灭火系统，是轻便可移动式自动探测火灾、自动报警、自动灭火的现代化消防设备，其灭火效能高，灭火速度快、毒性低、对设备无污损，灭火装置性能优良，其控制部分可与消防控制中心相衔接。 机房消防系统 综合布线系统是一个用于传输语音、数据、影像和其它信息的标准结构化布线系统。是建筑物或

19、建筑群内的传输网络，它使语音和数据通信设备、交换设备和其它信息管理系统彼此相连接。综合布线的物理结构一般采用模块化设计和分层星形拓扑结构。根据本项目机房综合布线要求采用六类非屏蔽和超五类非屏蔽布线系统 ，采用地板下或上走线槽敷设双绞线的方式 。机房综合布线机房环境监控系统1、 配电监测2、 UPS监测3、 精密空调监测4、 温湿度监测5、 漏水检测6、 门禁监测7、 视频监控2 方案设计1项目概况4案例介绍3项目管理项目组织结构角色人员构成项目领导小组为项目提供高级支持，重大变更决策。双方领导人员各1-2人组成，并兼任决策小组组长。验收小组负责项目初验和终验。由所有小组人员参与。项目经理负责项

20、目整体协调、项目进展控制、风险控制等全面工作。双方指定一名项目经理；项目经理兼任决策小组副组长。项目决策小组负责项目实施情况的及时决策。成员包括系统集成小组、技术培训小组、支持维护小组、质量保证小组的各位组长及双方的主要技术人员。系统集成小组负责项目涉及的系统软硬件平台安装、调试及集成。由承建方、用户方和各厂家人员组成（具有多年项目实施经验及相应认证的专业工程师）。监督控制小组负责监督项目进展情况。由承建方的项目管理人员和监理、用户人员组成。技术培训小组为用户方提供相关技术培训。承建方和各厂家专业工程师组成。质量保证小组负责项目建设质量保证。由承建方质量管理人员担任组长，成员包括用户方和监理方人员（要求有管理经验、熟悉ISO9001管理规范）。支持维护小组负责项目验收后服务工作。由承建方和各厂家资深工程师组成。行政支援小组负责协助项目建设过程后勤保障工作。由双方的后勤、财务人员组成；用户方人员任组长， 承建方任副组长。项目组织结构人员安排 项目进度管理分析设计项目队伍组成项目职责分工项目总体需求确认技术服务项目计划项目实施2013.112014.11前期沟通初步设计调研确认方案细化调整方案定稿采购，到货细化实施计划详细实施方案软硬件安装配置各系统分项测试系统联调测试系统优化调整定期巡检故障排除系统