【参考借鉴】信息系统集成及项目实施方案典型案例x

优质参考文档RRR通清算中心系统及网络集成实施方案1概述RRR项目的业务范围包括：公共交通、小额消费的电子支付、公共事业缴费等，由于RRR系统定于R月底上线，考虑项目实施时间周期短和新设备采购到货时间比较长，所以系统上线采用了一套临时设备，近期采购的服务器、网络设备、各类软件已经全部到位。为保障新合肥系统稳定、安全、高效的运行，需要尽快将运行在临时环境的新合肥通系统迁移到新系统环境上。本次项目采购的设备主要用于搭建新合肥通清算中心系统，用于发行符合RRR标准的预付费卡准备，届时RRR将可以在银联的POS设备上进行刷卡消费。2工程范围工程名称：工程地点：本工程范围包括下列系统设计、系统所需货物的供应、运输、安装调试、系统测试、开通、人员培训和售后服务：POSP服务器（2台）WEB控制台服务器（2台）光纤交换机（2台）磁盘阵列（1台）磁带存储（1台）核心交换机（2台）发布式交换机（2台）防火墙（2台）双机软件（5套）备份软件（1套）杀毒软件（2套）防毒墙（2台）•网管系统（1套）3项目参与单位软件开发：RRRRRR操作系统数据库集成：RRRR配合方：RRRRR网络及服务器集成及电源改造：RRRRR4建设目标本次RRR清算中心系统服务器及网络设备采购及安装项目建设目标如下：1）构建RRRRRRR项目为发行符合银联PBOC2.0标准的预付费卡做准备2）建设RRRRR股份有限公司清算中心核心网络和系统3）建设RRRRR股份有限公司通卡项目网络和系统安全体系，通过软硬件安全措施确保各应用系统的网络安全和系统能够正常运行4）为合RRRRR系统迁移及后续系统压力测试做准备5阶段划分综合考虑了合肥“RRRR”清算中心系统服务器及网络设备采购及安装项目功能需求、实施范围、系统复杂度、用户可接受的上线时间等因素，我们计划工程分为以下几个阶段：强电改造阶段（周期5天）设备安装部署和测试阶段（周期14天）系统集成阶段应用部署阶段功能测试和压力测试阶段测试数据清理和正式数据迁移阶段系统正式上线优质参考文档

优质参考文档阶段名称主要工作时间安排（日历天）启动阶段设备采购；指定项目整体计划20机房强电改造UPS部署；机房强电改造实施5设备安装部署和测试阶段系统部署、调试、设备联调14设备试运行及验收阶段系统试运行、项目验收15使用阶段全面投入生产环境使用N/A2网络系统实施2.1总体网络设计2.1.1网络设备清单序号品名、规格、型号单位数量1CiscoC4506-E台22S5800-56C台23NS-SecPathU200-M-AC台22.1.2改造前网络拓扑图电信专线老系统联逋专甥internet3口一如U20DAU200AU20GMU2O3MS3.2.3/24IO.99.2j5/241/0/48G1/0/4；CityCard580010.99.12/24ID.995ceWorldCityCardCiLycard.Internet2.1.2改造前网络拓扑图电信专线老系统联逋专甥internet3口一如U20DAU200AU20GMU2O3MS3.2.3/24IO.99.2j5/241/0/48G1/0/4；CityCard580010.99.12/24ID.995ceWorldCityCardCiLycard.InternetInternetCityCard_H3C_5800.ityC£rd_MSR3DLOSPF "1O.W.1.1；24 ia.^.1.3/24优质参考文档

2.1.3改造后网络拓扑及说明VRRPM3R30-40172.18.9925-U2O0-Ain:/an里JL7E他叫'Es既.优质参考文档VRRP;2.1.3改造后网络拓扑及说明VRRPM3R30-40172.18.9925-U2O0-Ain:/an里JL7E他叫'Es既.优质参考文档VRRP;MSRSO-aOU200'A透明模式JFW1§,Internet1.VPN新系统G2J48HSRP1,在辿界投人路史落专线接趣建行，E赈口2,两台BSCQASA551口防火增使用mUtB■怡II0摩湾式口 3，在楂心上面史用,□Vl#M9跚为设备互联Baffin-口地址刈72/13§9253，将占用。2/47口〉心斫有网关均在核心上■是便用"日作为网关蛔bWcb=f与玲 测㈤子身再APP取甚至［｝B女多赤 诙老迪同如图所示，为了提高网络的高可用性和可靠性，"RRRRR”系统所设计设备均采用双机热备模式，实现了数据同步、流量切换，这样可以保证网络的不间断传输；此次设备互联和服务器接入，均采用了千兆互联、千兆接入的高带宽设计，确保网络传输的高效。核心采用Cisco4506-E运行VRRP双机热备，同时与老系统中的核心H3CS5800交换机采用两条千兆链路互相连接，达到链路冗余效果，保障内网运行不间断；两台CiscoASA5510作为新系统的VPN拨入设备，利用cisco特有的failover技术，达到虚拟成一台边界设备，同时在远端的客户端通过使用ciscoVPNclient软件即可实现拨入至内网；使用访问控制列表（ACL）使内部没有数据交互的系统完全独立开来，同时可以配合内容过滤、端口防护等功能，做到对内部数据的保护；所有生产网段的网关均在核心上，与边界路由器的互联使用三层功能。如图，网络的层次可以划分为：①清算中心的边界接入层一专线路由器、VPN拨入②Cisco4506-E作为清算中心的核心、服务器的接入③与系统的互连一使用网神防火墙做隔离优质参考文档

优质参考文档改造后全网拓扑示意图3APP3APP击DB五具体配置列表1、内部网段规划网段说明地址段/掩码网关生产网段/2444/2444/2444/2444/2444/2444/2444/2444业务网段/24442、交换机设备VLAN规划设备名称VLANIDIP网段IP网关虚拟网关Cisco4506-CORE_1Vlan17/2445/2444/24Vlan18/2445/2444/24Cisco4506-CORE_2Vlan17/2446/2444/24Vlan18/2446/2444/24H3CS5800-1Vlan17-NA-NA-NAVlan18-NA44/24-NA优质参考文档

优质参考文档H3CS5800-2Vlan17-NA-NA-NAVlan18-NA44/24-NAH3CSecPathU200-1-NA-NA-NA-NA-NA-NA-NA-NAH3CSecPathU200-2-NA-NA-NA-NA-NA-NA-NA-NA优质参考文档

优质参考文档4、交换机端口规划设备名称端口列表速率（Mb）端口性质说明CISCO4506-E-1G3/11000三层接口上联至网神防火墙主G3/21000三层接口上联至网神防火墙备G3/31000三层接口下联至CISCOASA5510主G3/41000三层接口下联至CISCOASA5510备G3/471000端口汇聚互联备用核心Cisco4506-EG3/481000端口汇聚互联备用核心Cisco4506-ECISCO4506-E-2G3/11000三层接口上联至网神防火墙主G3/21000三层接口上联至网神防火墙备G3/31000三层接口下联至CISCOASA5510主G3/41000三层接口下联至CISCOASA5510备G3/471000端口汇聚互联备用核心Cisco4506-EG3/481000端口汇聚互联备用核心Cisco4506-ECitRCard_H3C_5800-1G1/0/201000三层接口连接清算中心系统4506-E主核心G1/0/211000三层接口连接清算中心系统4506-E备核心G1/0/481000Trunk互联链接H3C_S5800-2CitRCard_H3C_5800-2G1/0/201000三层接口连接清算中心系统4506-E主核心G1/0/211000三层接口连接清算中心系统4506-E备核心G1/0/481000Trunk互联链接H3C_S5800-15、防火墙访问策略防火墙名称位置/作用访问策略备注网神SecWorld_1专线接入/端口映射控制访问范围，局限于内部服务器;开放某些具体端口；内容过滤、防毒策略;NAT策略用于外部网点访问清算中心网神SecWorld_2专线接入/端口映射控制访问范围，局限于内部服务器;开放某些具体端口；内容过滤、防毒策略;NAT策略用于外部网点访问清算中心思科ASA5510-1隔离清算中心系统与老系统控制访问范围;开放某些具体端口；ACL应用策略用于新老系统互相访问思科ASA5510-2隔离清算中心系统与老系统控制访问范围;开放某些具体端口；ACL应用策略用于新老系统互相访问6、路由规划内部设备互联使用OSPF互相通告、学习路由；对外，在网神防火墙上使用静态路由与远端网络通信。优质参考文档

优质参考文档2.2存储系统规划及服务器系统部署小型机和存储通过Cisco光纤交换机来做ZONE隔离，存储的分区依据服务器功能来划分，SAN存储做RAID5，SAN磁盘划分两个LUN：一个LUN提供给数据库小型机使用，一个LUN给应用小型机使用。1）数据库小型机部分在SAN环境中，数据库所使用的存储部分只让数据库服务器（DB1、DB2）访问，其他主机系统不能访问。2）应用小型机部分在SAN环境中，文件存储，应用文件所使用的存储部分只让应用服务器（APP1、APP2）访问，其他主机系统不能访问。具体主机存储系统拓扑图如下:2.3IBM存储划分为保证IBM存储备份系统在云新过程中不产生生产存储链路方面的单点故障，和设备配件方面的单点故障，存储系统的主要存储设备，磁盘阵列柜，磁带库，备份服务器采用双电源模块，特别是磁盘阵列，应该配置双电源模块。对于促出系统的存储光纤通道连接，也采用冗余的方式配置，尤其是磁盘阵列柜和服务器之间的光纤通道连接，应该采用冗余的链路连接方式。存储设备冗余说明存储设备FC通道数已用FC通道数速率（Gb）链路冗余设备冗余电源冗余说明光纤交换机148124否是否光纤交换机248124否是否磁盘阵列428是否是磁带库224是否是DB1224是是是DB2224是是是App1224是是是App2224是是是2.4主机系统地址规划主机名服务器说明固定地址HA地址优质参考文档

优质参考文档DB1数据库服务器11/241/240/24DB2数据库服务器21/241/240/24App1应用服务器11/241/240/24App2应用服务器22/242/24备份服务器备份服务器0/24POSP1POSP服务器1/241/240/24POSP2POSP服务器2/242/24客服1客服服务器1/241/240/24客服2客服服务器2/242/24银联前置1银联前置服务器1/241/240/24银联前置2银联前置服务器2/242/24通信前置1通信前置服务器1/241/240/24通信前置2通信前置服务器2/242/24FTP前置1FTP前置服务器1/241/240/24FTP前置2FTP前置服务器2/242/24清算控制台清算控制台服务器0/24测试服务器测试服务器0/24测试加密机加密机服务器9/242.5主机配置规划机型主要配置数量用途IBMPower6550CPU:IBMPower6内存：16G硬盘：146GR22数据库服务器优质参考文档

优质参考文档IBMPower6550CPU:IBMPower6内存：86硬盘：146GR22应用服务器IBMPower6520CPU:IBMPower6内存：8G硬盘：300GR21开发，测试服务器IBMR3850R5CPU:IBMReonE5649内存：8G硬盘：300GR42控制台服务器IBMR3850R5CPU:IBMReonE5649内存：8G硬盘：300GR22POSP服务器2.6数据库备份软件部署备份服务器通过Cisco光纤交换机来和磁带库连接，考虑到应用问题，我们只需要一台服务器做备份服务器，所有组建都部署到该服务器上，这样备份的各台机子部署客户端，我们就可以在服务器控制台上做需要的备份策略完成备份。具体连线如下图：2.7备份还原策略规划备份对象备份方式备份时间使用介质保留时间Oracle数据全备份每周一02：00循环备份介质循环覆盖差异备份每周二〜周日02：00循环备份介质循环覆盖全备份每半年永久备份介质永久Oracle日志文件备份每周日（差异备份完成后开始，备份完后删除所有日志）循环备份介质循环覆盖应用程序数据文件备份每周日⑺好。^日志备份完成后开始，备份完后删除所有日志）循环备份介质循环覆盖优质参考文档

优质参考文档2.8数据存储在介质上的服务器服务器用途占用磁盘大小访问频繁度清算应用服务器350G大数据库服务器1T大web客服服务器350G大根据以上分析，磁盘需要至少分出3个区3系统集成系统集成主要华腾集成项目组来完成，主要有如下工作，按服务器划分。现有生产系统应用架构图中国银联安徽银联系统生产客服系统和数据库63冷备份八生产客服系统和数据库（备份）I67银联前置系统

和数据前置

64生产前置POSP

系统65冷备份生产前置POSP

系统（备份）69生产清算控制台

系统66生产清算系统

61冷备份