物流中心云平台建设方案简述

网络总体架构网络总体架构在本设计中，网络分：核心交换、云平台系统、有线网络系统、无线网络系统、监控系统、网络安全防护六个部分。核心交换机使用一台或两台三层路由交换机产品，作为网络核心设备，通过光纤链路集中来自汇聚层交换机的上行数据。核心交换机是全线速三层交换机，可以实现二三四层线速转发、三层互通，同时实现线速的多层策略过滤，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。在核心交换机上面配置无线控制器，通过汇聚交换机，管理所有的无线瘦AP。整个无线网络支持无缝漫游，不会掉线，对于物流园的手持PDA也不会掉线，可以无缝漫游。在汇聚层和接入层上，用户主要用于自动化办公，应用系统等工作，其流量比较大，因此可将这些用户通过VLAN方式进行划分，根据不同部门划分不同VLAN，不同的网段，从而减少不必要的网络流量。在INTERNET的接入点采用高性能的防火墙设备，通过防火墙的安全策略抵御外来入侵。另外，在防火墙上启用VPN功能，将大客户的远程访问接入到网络当中，为大客户提供服务。对外网络服务区的连接，采取统一划分、统一管理，提供用户管理、网络安全、流量控制和业务质量保证、用户认证和授权、用户计费、统一网管等多种功能，给园区提供可运营、可管理的手段。适当控制用户的权限，禁止访问园区主干网，这样不但达到了安全性，同时提高了网络的效能。虚拟化平台数据库服务器……虚拟服务器示意NEXSANE181Gb8Gb10Gb统一交换机入侵检测内网防火墙WEB防护漏洞扫描核心交换机外网防火墙应用负载均衡云平台与安全防护为了支持“物流园区信息基础平台、物流公共信息平台、物流管理平台、物流园区管理平台”所支撑的物流中心云平台。基础硬件平台的设计以虚拟化技术为核心，以统一交换平台为支撑，以小型机架构的光纤通道磁盘阵列为数据中心。其中涉及到：刀片服务器统一交换机存储

在网络安全管理方面，可以结合网络安全管理平台、IDS，对客户端电脑，强制安装系统补丁、杀毒软件，或者给入网电脑发消息警告，或者把该入网电脑进行安全隔离等。如果入网电脑在运行过程中，感染病毒，发病毒包、广播包等，会被入侵检测系统IDS，IDS会把该电脑的攻击行为进行分析后，发现是恶意分析和攻击，将会把不安全行为和恶意行为报告给网络安全管理平台，然后由网络安全管理平台制定安全策略，下发给接入交换机，接入交换机会对于该电脑进行隔离，关闭端口等控制行为，这些控制行为都是智能和自动的，不需要人工干预的。云平台与安全防护拓扑简述：刀片服务器服务器采用2套刀片服务器UCS5108，每套5108后面配置2个UCS2208XP扩展模块。刀片服务器通过刀箱内置的扩展模块UCS2208XP连接到统一交换UCS6248XP上。以上结构全部采用冗余结构，保证了系统的安全可靠。其中一套刀片机箱发生故障时，另一组刀片可即时接受故障机箱所承载的应用，避免系统宕机。每套UCS5108分别配置1片全宽的刀片服务器，3片半宽B200刀片服务器。两套UCS5108上面的全宽刀片组成数据库双机系统，保证数据库服务器连续在线。其余6片B200刀片服务器用于构成虚拟化平台。统一交换机统一交换机采用2台UCS6248XP。上面配置10Gb、FC等模块，连接刀片服务器、FC存储，然后上联接入整个网络。将通信网络与存储网络融合为一体。拓扑简述：存储部分本系统配置NEXSANE18存储1套，本次配置18块600GBSAS硬盘，做一组RAID5后净容量约为9.6TB。用来装载虚拟机操作系统文件、应用软件数据、数据库服务器存储数据。其中，每台虚拟机的操作系统约占用1-10GB空间、各种应用占用约10GB空间。存储的数据主要有数据库、虚拟服务器系统、各应用服务器应用数据等。E18存储本身具备快照、卷复制功能，在系统有备份、容灾等需求时，可以另外配置一台E18，与原有的E18构成备份容灾系统。拓扑简述：安全防护部分由铱迅入侵防御、WEB防护、漏洞扫描系统、网康防火墙组成。网康防火墙主要用于阻拦网络碎片等网络层的攻击。铱迅入侵防御系统放于防火墙后端，进一步阻拦网络攻击。铱迅WEB防护系统放于入侵防御系统的后面，进一步对虚拟化平台虚拟的应用服务器进行安全防护，在应用层，阻拦对应用服务器的攻击。防止WEB页面被篡改。铱迅漏洞扫描系统侧接与系统中，进行网络与服务器等漏洞扫描。并进行分析。给出建议。可视化管理部分虚拟化平台虚拟出1台服务器，用于安装北塔软件，用于管理整个系统，进行日志收集，汇总各种信息，生成报表，方便网络管理人员进行整个系统的管理、维护等拓扑简述：应用负载均衡部分在核心交换机上，设置一台应用负载均衡器。终端用户访问应用时，通过应用负载均衡器将用户的访问分布到虚拟化平台的虚拟服务器上面。这样，对于整个系统来说，在服务器能力不足时，不需要改动整个系统的架构，只需要在后台增加刀片服务器即可。整个系统是一个平滑、可扩展的系统。拓扑简述：虚拟服务器数量每片B200刀片服务器配置2颗INTEL8核CPU、64GB内存。按每虚拟服务器1CORE4G的原则划分，每片B200刀片能够划分出16台虚拟服务器。本系统总共6片刀片服务器用于虚拟化系统，一共可以划分出约96台虚拟服务器，用来安装应用。足以满足应用对服务器在数量和质量上的需求。拓扑简述：虚拟化平台服务能力计算IntelE5-2650单颗物理CPU理论计算能力TpmC为288000，在这种结构下，6片B200刀片服务器，平时可提供系统理论计算峰值TpmC为3456000。目前软件多为B/S架构，所有的应用负载来自前端WEB发起的请求，根据此类平台应用的特点，我们可以利用以下tpmC经验公式测算本次建设平台可以承载的应用量（基于TPC）：Nc=TpmC*F%/K/M/60其中，Nc为web服务器的每秒访问量，这是我们需要计算的数据；M为每个web请求所需完成的逻辑事务处理数，我们设定为6；K为每个操作相对于标准操作的复杂程度之比，根据业界经验，我们设定为5；F%为CPU使用率，由于在虚拟化平台中，虚拟化软件本身需要占用一定的系统资源，为了保证服务器稳定可靠地运行，我们建议为应用服务的CPU使用率为50%；由此我们可以估算出本次建设可以承载的应用访问量为：Nc=TpmC*F%/K/60=2419200*50%/6/5/60=672次/秒

根据经验我们可知高峰时期，用户的并发访问量约为10%，从以上计算得出系统每秒可承载的应用访问量为6720，所以整个系统可承载6720用户的同时访问。按照总注册用户的10%同时在线计算，系统可承载67200的注册用户。统一的Internet出口Internet出口带宽计算本次建设中将涉及大约1000个信息点。高峰期按80％的访问比率，高峰期并发用户数1000*80％＝800人根据经验，对已有宽带多媒体网络访问情况的测试数据表明，在高峰期80％的访问者，是通过INTERNET出口访问INTERNET。同时根据经验，在访问Internet的用户中，有80％的人使用Http联接，15％在使用Mail，还有5％的人作其他。不同的协议对带宽的依赖不同,可按如下计算出口流量：800*（（80％*4*40K）+（15％*1*40K）+（5％*40K））＝106.25Mbps由于Inernet出口链路的利用率最高不能超过80％才能保证良好的服务质量，并考虑到1：5的线路复用率106.25／5／80％＝26.56Mpbs同时考虑到远程访问需要占用的一定带宽，因此建议出口带宽为30Mbps。10GE核心交换机汇聚交换机接入交换机到无线汇聚交换机有线网络架构网络主干计算在单点同时并发浏览网页、发送接收EMAIL、业务系统填单、业务系统查询、下载文件、播放视频、查看GIS系统等应用并发时，此时一个网络点数据流量为1.087MB。故以下交换机的指标均以单点1.087MB的流量进行计算得出。上联线路带宽计算当接入交换机为24口时，上联接口的压力为24×1.087×8=208.704Mbps；当接入交换机为48口时，上联接口的压力为48×1.087×8=417.408Mbps；由此可知：接入交换机上联到汇聚交换机的线路，1条千兆线路即可满足应用的需求。而以汇聚交换机交换下联7台24口的接入交换机计算，汇聚交换机上联到核心交换机的带宽为7×24×1.087×8=1460.928Mbps。2条千兆线路可以满足应用的需求。由上述计算可以得出，主干采用1000Mbps以上的网络带宽，1000M交换到桌面就完全可以满足目前的应用。无线网络架构交换机的相关指标交换机带宽和包转发率计算为了保证网络的顺畅平稳，以下计算均以线速无阻塞为前提进行交换机的带宽等计算交换机的背板带宽应大于端口速率×端口数量×2。交换机的包转发率应大于端口数量×1.488（对于千兆以太网，一个线