IT基础架构规划设计方案与对策一

-IT根底架构规划案一(网络系统规划)背景*集团经过多年的经营，公司业务和规模在不断开展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成，IT部门也需要对整个集团的信息化和企业IT根底架构进展规划和建立。目前主要分为以下两局部：楼宇智能化规划和建立案：主要包括视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建立等。企业IT根底架构规划和解决案：主要包括企业局域网根底网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化根底软件系统规划和选型等。本案主要是针对*集团企业IT根底架构进展规划，并提出解决案和进展投资预算。而关于楼宇智能化规划和建立的案参见其它相关案。企业IT架构一般企业的IT架构情况，本案主要针对IT根底架构局部进展规划，并提供选型和部署参考，关于企业IT业务应用系统局部的规划和建立请参考其它案。网络系统规划当前，企业一般能给信息化面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等都普遍较弱，这就要求网络架构成熟、稳定平安、高可靠、高可用，尽可能少投入人力和金进展维护。其次，由于企业首要解. z.-决的是生存问题，根本没方法做到“先信息化，再做业务〞，因此网络建立实施要求必须容易，实施时间必须极短。企业的组网案主要要素包括：局域网、广域网连接、网络管理和平安性。具体来说企业组网需求：建立平安的网络架构，总部与分支机构的网络连接；平安网络部署，确保企业正常运行；为出差的人员提供IPSec或者SSL的VPN式；提供智能管理特性，支持浏览器图形管理；网络设计便于升级，有利于投资保护。企业一般的组网构造如下列图，大企业网络核心层一般采用冗余节点和冗余线路的拓扑构造，小企业则单线路的连接式。通过对一般企业的信息化情况和网络规划要素进展分析，从总体上看，规划案必须具有以下特点：网络管理简单，采用基于易用的浏览器式，以直观的图形化界面管理网络。用户可以采用多种的广域网连接式，从而降低广域网链路费用。无线接入点覆盖围广、配置灵活，便移动办公。便捷、简单的统一通信系统，轻松实现交互式工作环境。带宽压缩技术，高级QoS的应用，有效降低广域网链路流量。. z.-随着公司业务的开展，所有网络设备均可在升级原有网络后继续使用，有效实现投资保护。系统平安，**性高，应用了适合企业的低本钱网络平安解决案。平安根底网络规划案根据对*集团的实际调研，获取了企业的网络需求，以此来制定企业根底网络建立规划案和网络设备选型参考；以下提供根底版和企业版两种规划案1〕网络需求：企业规划的网络节点为500个，主要的网络需求首先是资源共享，网络的各个桌面用户可共享文件效劳器/数据库、共享打印机，实现办公自动化系统中的各项功能；其次是通信效劳，最终用户通过广域网连接可以收发电子、实现Web应用、接入互联网、进展平安的广域网访问；还有就是公司门户和网络通信系统〔企业、企业即时通信和企业短信平台等〕的建立。根底版规划案本案适用于200~300台电脑联网，核心采用H3CS5500-28C-SI或S5500-20TP-SI交换机，以千兆双绞线/光纤与接入交换机及效劳器连接；用户接入H3CS3100-26TP-SIS3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机。Internet出口采用H3CMSR20-1*多业务路由器作为Internet出口路由、SecpathF1000-C或者UTM作为平安网关和移动用户的VPN接入网关。网络拓扑图如下：设备选型和部署参考如下：. z.-部署业务 需求 设备选型参考 配置说明 数量位置数据核心交换机H3CS5500-28C-SI全千兆三层核1核心或H3C心机房S5500-20TP-SI接入层H3C接入层支持光电26TP：15台各楼层交换机S3100-26TP-SI复用千兆上行，52TP：8台或机房或H3C支持混合堆叠S3100-52TP-SI路由器H3CMSR20-1*路由器

转发率160Kpps，1~2256M存，支持GE/FE交换模块，同异步串口模块，E1/PRI模块，语音模块，加密模块

核心机房平安

防火墙

H3CSecPathF1000-C或H3C

支持应用层报1文过滤

核心机房SecPathU200. z.-VPN 支持DVPN互联网10M光纤接入

电信10M光纤接

配静态IP地址1~2

核心接入

入

机房案特点：高性价比：能够让中小企业低投资拥有高性能、经济的网络；简易性：构造简单、安装快速、简单，维护无需配置专职人员；高性能：最低投资做到千兆骨干、百兆接入；可扩展性：灵活的网络架构，能根据用户需要随时扩展，并保护已有投资。高级版规划案：本案适用于500~800台电脑联网，三层网络构造，万兆骨干，百兆接入；网络核心层采用H3CS7500交换机，同时配置相应数量的千兆端口分别连接应用效劳器、接入交换机及其他设备；网络会聚层采用H3CS5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有96Gbps的全双工堆叠带宽，消除网络瓶颈，提供优于传统中继聚合配置的更好的可用性和弹性；接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心交换机，或H3CS5100-16/24/48P-SI全千兆交换机，千兆到桌面。网络拓扑图如下：设备选型和部署参考如下：业务 需求 设备选型参考 配置说明 数量 部署. z.-位置数据

核心交换机

H3CS7500(E)系列

核心支持双引1擎双电源，性价比最高

核心机房会聚层H3CS5500-28C-SI交换机

会聚支持全千兆3高速转发，消除网络瓶颈，同时支持万兆扩展

各楼层或机房接入层H3C接入层根据不同52TP：10台各楼层交换机S3100-26/52TP-SI业务需求提供百或机房或H3C兆和千兆接入两S5100-16/24/48P-SI种选择路由器

H3CMSR50-06路由器

H3C新一代平安1~2路由器

核心机房平安防火墙H3CSecPath支持应用层报11F1000-C文过滤VPN 支持DVPN. z.-互联网20M~50M光纤接入

电信20M~50M

配静态IP地址1~2

核心接入

光纤接入

机房案特点：高性能，全分布式交换网络；高可靠，无连续的通信环境；灵活弹性的网络扩展能力；高效率的网络带宽利用率；全面的QOS部署，多业务融合；完善的网络平安策略，实现深度平安检测，抵御未知风险。平安无线网络规划案无线网络的部署，能够增大员工接入网络的围，提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间，员工都能与网络保持连接，随时随地访问企业资源，而且可以简化场所的网络布线。平安无线网络解决案不但能提高员工的生产效率和协作能力，也能为合作伙伴/客户提供便的上网效劳。根据企业情况，可以采用FATAP案：无线网络需求：能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网络办公，本钱投入不高，适合简单、小规模的无线部署。. z.-规划案：采用WA1208E+iMC+CAMS进展组网，配合CAMS实现802.1*的认证，可以实现基于时长、流量和包月的计费；整网通过iMC统一管理。网络拓扑图如下：设备选型和部署参考如下：部署位业务 需求 设备选型参考 配置说明 数量置无线

无线接入

WA1208E

双802.11g无线模8块

各楼层无线平安

H3CCAMS

满足用户管理、身1份认证、权限控制和计费的要求

核心机房无线H3CiMC网管支持与HP1核心机管理系统Openview、SNMPc房等通用网管平台的集成案特点：全面支持802.11i平安机制、802.11eQoS机制、802.11fL2切换机制；大围覆盖：高接收灵敏度，到达-97dBm〔普通AP-95dBm〕，保证更远覆盖；. z.-多VLAN支持：虚拟AP式支持多VLAN，最多支持8个虚拟SSID的VLAN划分，每个VLAN用户可以独立认证；兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传输报文整合，提高传输效率；负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡；针对各类室外、特殊室应用如仓库等复杂环境，可以提供专门的型号。广域网互联VPN规划案伴随企业和公司的不断扩，公司分支机构及客户群分布日益分散，合作伙伴日益增多，越来越多的现代企业迫切需要利用公共Internet资源来进展促销、销售、售后效劳、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场。在VPN式下，VPN客户端和设置在部网络边界的VPN网关使用隧道协议，利用Internet或公用网络建立一条“隧道〞作为传输通道，同时VPN连接采用身份认证和数据加密等技术防止数据在传输过程中受到侦听和篡改，从而保证数据的完整性、**性和合法性。通过VPN式，企业可以利用现有的网络资源实现远程用户和分支机构对部网络资源的访问，不但节省了大量的资金，而且具有很高的平安性。另外，随着企业规模的扩大，分散办公也越来越普遍，如实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从本钱、易用性、易管理等多面综合考虑，SSLVPN无疑是一种最适宜的案：只需要在总部部署一台设备，本钱更低，管理维护也很容易；无需安装客户端、无需配置，登陆网页就能使用。网络需求1IPSecVPN和SSLVPN各有所长，功能互补，对企业来说都是需要的：IPSecVPN. z.-用于总部和型分支互连，SSLVPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统法下，企业总部需要采购两台设备来支持两种VPN，不仅本钱更高，而且可能存在VPN策略冲突，导致性能下降、管理困难。规划案融合VPN针对企业的实际需要，一台设备融合IPSec/SSL两种VPN，只需部署在总部，既可以用于为合作伙伴、出差人员提供远程网络访问，也可以和分支机构进展IPSecVPN互连，帮助企业降低采购、部署、维护三面本钱。VPN网关选择面，H3C的防火墙、路由器都能够实现融合VPN，提供给企业更加灵活的选择。例如，如果企业非常强调网络平安、VPN性能，就选择防火墙；如果企业更注重多业务处理能力，如IP语音通信、3G上网、无线接入等，推荐选择路由器。在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关，在分支机构Internet边界防火墙后面配置一台VPN网关，由此两端的VPN网关建立IPSecVPN隧道，进展数据封装、加密和传输；另外，通过总部的VPN网关提供SSLVPN接入业务；在总部局域网数据中心部署H3CVPNManager组件，实现对VPN网关的部署管理和监控；在总部局域网部或Internet边界部署H3CBIMS系统，实现对分支机构VPN网关设备的自动配置和策略部署。如下列图：设备选型和部署参考如下：业务

需求

设备选型参考

配置说明

数量

部署位置网络互连

VPN网关

H3CSecPathF1000VPN网关

总部和大型机构配置F1000型号

总部1台

核心机房. z.-H3CSecPathF100中小型机构配置分支机VPN网关F100型号构按需或求配置H3CMSR50路由器H3CMSR20-1*路由器网络H3CVPN帮助用户部署、管1核心机管理Manager理VPN网络房H3CBIMS如果省分支机构较多、较分散，但对速率要求不高的连锁型单位，也可以选用电信或ISP商的VPDN效劳；如果多个分支机构间有多点对多点通信需求的企业、商业机构，也可以直接选用电信或ISP商的MPLSVPN效劳。网络性能指标要求类型 带宽要求 线路质量要求局域网 客户端到效劳器：10Mb以上，推荐丢包率小于0.1%. z.-100Mb

延迟小于20ms各效劳器之间：200M以上，推荐1000Mb广域网

分支机构带宽：每客户端128Kb

丢包率小于2%总部出口带宽：(最大并发数/3)×128Kb

延迟小于50ms总部效劳器之间：200M以上，推荐1000Mb网络平安规划网络平安是整个系统平安运行的根底，是保证系统平安运行的关键。网络系统的平安需求包括以下几个面：网络边界平安需求入侵监测与实时监控需求平安事件的响应和处理需求分析这些需求在各个应用系统上的不同组合就要求把网络分成不同的平安层次。我们针对企业网络层的平安策略采用硬件保护与软件保护，静态防护与动态防护相结合，由外向多级防护的总体策略。根据平安需求和应用系统的目的，整个网络可划分为六个不同的平安层次。具体是：. z.-核心层：核心数据库；平安层：应用信息系统中间件效劳器等应用；根本平安层：部局域网用户；可信任层：公司本部与营业部网络访问接口；危险层：Internet。信息系统各平安域中的平安需求和平安级别不同，网络层的平安主要是在各平安区域间建立有效的平安控制措施，使网间的访问具有可控性。具体的平安策略如下：核心数据库采用物理隔离策略应用系统采用分层架构式，客户端只需要访问中间件效劳器即可进展日常业务处理，从物理上不能直接访问数据库效劳器，保障了核心层数据的高度平安。应用系统中间件效劳器采取综合平安策略：应用系统中间件的平安隐患主要来自局域网部，为了保障应用系统中间件效劳的平安，在局域网中可通过划分虚拟子网对各平安区域、用户和平安域间实施平安隔离，提供子网间的访问控制能力。同时，中间件效劳器本身可以通过配置相应的平安策略，限定经过授权的工作站、用户能访问系统效劳，保障了中间件效劳器的平安性；部局域网采取信息平安策略：公司本部及营业部部局域网处于根本平安层的网络，主要是对于平安防护能力较弱的终端用户在使用，因此考虑的重点在于两个面，一个是客户端的病毒防护，另一个是防止部敏感信息的对外泄露。因此，通过选用网络杀毒软件到达部局域网的病. z.-毒防护，同时，使用专用网络平安设备〔如硬件防火墙〕建立起有效的平安防护，通过访问控制ACL等平安策略的配置，有效地控制部终端用户和外部网络的信息交换，实现部局域网的信息平安。公司本部与下属机构之间网络接口采取通讯平安策略：处于可信任层的网络，其平安主要考虑各下属单位上传的业务数据的**平安，因此，可采用数据层加密式，通过硬件防火墙提供的VPN隧道进展加密，实现关键敏感性信息在广域网通信信道上的平安传输。Internet采取通讯加密策略：Internet属于非平安层和危险层，由于Internet存在着大量的恶意攻击，因此考虑的重点是要防止涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力，并对所有访问请求进展格控制，对所有的数据通讯进展加密后传输。同时，建议设置格的机房管理制度，禁非授权的人员进入机房，也能够进一步提升整个网络系统的平安。1)广域网平安规划企业广域网平安，主要是通过防火墙和VPN等设备或技术来保障。防火墙对流经它的网络通信进展扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的平安防线，才能接触目标计算机，所以出于平安考虑，企业必须购置防火墙以保证其效劳器平安，将应用系统效劳器放置在防火墙部专门区域。一般硬件防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火墙市场知名度高的品牌有. z.-CISCO、CheckPoint、Juniper、H3C、天融信、华为赛门铁克、联想网御等，用户应根据应用情况选择适宜的防火