集团IT基础架构建设方案_第1页
集团IT基础架构建设方案_第2页
集团IT基础架构建设方案_第3页
集团IT基础架构建设方案_第4页
集团IT基础架构建设方案_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

/某集团IT基础架构建设方案

目录TOC\o"1-4"\u第一章项目状况介绍其次章设计原则和设计思想第三章VPN网络建设第四章数据中心虚拟化建设第五章分支机构弱电建设标准第六章视频会议第七章IT资产统一管理第八章监控和考勤系统统一管理第九章邮件文档统一管理第十章视频点播直播系统第一章 项目状况介绍1.1项目背景目前,随着通讯技术、计算机技术、网络技术的应用普及和加深,我集团许多业务的开展不再仅仅局限于同一物理位置上,即使在办事处、分支机构、出差在外、在家中,均可像在公司总部办公一样开展业务。另外集团对各项业务的流程,账务流程,行政流程须要统一进行管控,这就须要建立一个平安、快捷、经济、便利的信息交互平台,来满足各分支机构和集团总部之间的信息沟通。另外我集团作为新兴的拥有学问产权的企业,信息的敏感性确定了它们历来都是各种居心叵测者的重要关注对象,这提示我们应当更加留意网络平安的建设。值得称道的是,公司领导已经对此引起了高度重视,并支配逐步进行卓有成效的防护工作。在这方面,合理借鉴市场先进阅历和理念特殊重要。1.2目前IT架构和应用现状分析地点原宽带宽带运营商网络接入IP地址:

动态/固定服务器交换机其它设备深圳总部ADSL动态IP地址K3服务器一台二层无深圳中心ADSL动态IP地址无二层无ADSL动态IP地址无二层无广州越秀中心电信ADSL动态IP地址无二层无广州天河中心无无无备份服务器一台二层无上海浦东中心电信光纤接入动态IP地址无二层无北京浦东中心无无无无二层无从上表可以看出,我集团IT基础架构还处在比较原始的阶段,集团总部和各分支机构没有进行信息网络的互联互通,已经成为制约业务扩大和发展的重要缘由。1.3将来要运行的系统1.CRM系统2.OA系统3.IP电话4.视频会议5.邮件系统6.域管理系统7.考勤统一管理系统8.监控统一管理系统9.账务系统10.文档统一管理系统11.数据备份系统12.网络平安系统13.医务教学系统依据以上需求,我集团必需构建适合公司将来发展的IT基础架构。搭建互联互通的信息网络和信息平台。为此,必需首先完善IT基础架构。其次章 设计原则和设计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“好用性、高起点、前瞻性、扩展性”。详细的我们遵循了以下原则:2.1平安性原则在公司网络运行的各个环节中,都应当严格留意平安的问题,防止其中的任一过程存在着平安的漏洞,从而影响整个公司业务运作的大局。随着计算机网络技术的提高,网络的平安性也越来越值得人们留意和防范,在该方案中,安达通公司时刻强调高度的平安性。我们在进行系统设计时将供应多种手段保障系统的平安,对相关的网络设备、主机系统、应用数据库供应严密的爱惜。网络平安须要依靠综合手段才能够实现。一方面须要好的平安技术产品,好的平安策略;另一方面,更为重要的是要有完善的平安管理制度。从技术角度来看,一个完善的网络平安系统应当包括以下三个方面:平安防护主动平安评估平安实时监控平安防护就是通过防火墙或网络物理隔离等设备,对进出网络的数据包进行限制;同时在应用、主机上限制非法用户进入,或者用户越权访问。主动平安评估是基于平安防护的基础上进行的,在通过了平安防护之后,可以借助平安工具或者是有阅历的平安专家来进行平安评估。平安实时监控也是属于主动防卫范畴。指在我们对网络上的各种行为进行监控,例如黑客攻击一个系统之前,往往须要了解这个系统的结构或者漏洞,他们往往会利用网络扫描工具对某个网段或者主机进行扫描,实时监控系统能够检测到这类行为。2.2好用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又接受先进的技术,使系统完成后,保持确定时期的领先地位。另外还要考虑成本和费用好用性原则既要做到先进技术和现有成熟技术相兼顾,又要使系统的高性能低成本和好用性相结合。2.3牢靠性原则这套系统是企业内网的门户。它的稳定牢靠关系重大,特殊是详细业务项目。随着运用的普及,信息平台的运行不稳定甚至瘫痪将严峻影响企业的形象,也将给为企业带来不便和不行低估的损失。因此牢靠性是平台运行的首要保证。我公司将接受相应的手段保证系统、网络和数据的稳定牢靠性,接受负载均衡技术、备份技术就是其中的重要策略。2.4可扩展性原则网络平安互联建设应当是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,为将来系统扩展和升级供应基础。2.5易管理性原则系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性,为平台维护者供应便利的管理工具;同时又要设计规范但不失灵敏的工作流程。第三章 集团VPN网络建设方案3.1VPN技术简介VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的分支机构、商业伙伴、移动办公用户等平安连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在,仿佛全部的主机都处于一个网络之中。对企业而言,VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的,隧道机制是VPN实施的关键。数据通过平安的"加密管道"在公共网络中传播。企业只须要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以相互传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。运用VPN有节约成本、供应远程访问、扩展性强、便于管理和实现全面限制等好处,是目前和今后企业网络发展的趋势。图3-1VPN组网示意图虚拟专网的重点在于建立平安的数据通道,构造这条平安通道的协议必需具备以下条件:保证数据的真实性:通信主机必需是经过授权的,要有抗拒地址冒认(IPSpoofing)的实力。保证数据的完整性:接收到的数据必需和发送时的一样,要有抗拒不法分子纂改数据的实力。保证通道的机密性:供应强有力的加密手段,必需使偷听者不能破解拦截到的通道数据。供应动态密匙交换功能:供应密匙中心管理服务器,必需具备防止数据重演(Replay)的功能,保证通道不能被重演。供应平安防护措施和访问限制:要有抗拒黑客通过VPN通道攻击企业网络的实力,并且可以对VPN通道进行访问限制(AccessControl)。虚拟专用网VPN可以使在Internet中的信息交换有平安保障,大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户和他的公司本部之间建立的加密通道。目前,VPN技术正在快速走向成熟,而且它正处于兴盛期。3.2系统设计功能分析3.2.1VPN的构建方式VPN的实现有许多种方法,常用的有以下四种:1.硬件VPN:某些硬件设备,含有VPN功能。2.软件VPN:可以通过专用的软件实现VPN。3.运营商供应VPN:可以通过租用运营商的网络实现VPN。3.2.2为企业节约了费用开支接受了VPN系统,相当于在总部和各地分公司之间建立了平安的专用网络,就可以充分利用公共网络的资源,在上面运行包含企业内部重要信息的各种应用系统。比较传统的在总部分公司之间拉专线的方式,接受VPN解决方案,大幅度降低了企业信息系统的投入成本,为企业带来了干脆的效益。并且在平安性上,也得到了提高,因为即使是拉专线,也须要通过网络运营商,而接受VPN方案,则是真正的将平安驾驭在了自己手中。3.2.6系统的易扩展性VPN系统建立以后,将来的扩展特殊便利,假如须要增加一个分公司或者办事处,在该地安装一台VPN设备,总部只须要增加一条平安策略即可以实现该分公司或者办事处的接入。假如增加一个移动用户,只须要配发一个SureID即可。因此扩展特殊简洁。3.3产品选型软件VPN因性能差,不稳定等因素,在生产环境中,很少部署。现在主流VPN一般为硬件VPN和运营商供应的VPN.下表为一些供应供应的产品的特点,详细价格详见附件。VPN性能防火墙网络管控网络加速负载均衡第一线良好无无无无深信服良好有有有有中科网威良好有有有有九昌电信良好无无无无费用对比表所须要设备VPN防火墙网络管控宽带小计第一线19000CISCO5515(总部2.2W)分支机构(9000*4)AC1200(市场价格1.5W*5)拨号光纤(月租金1500*5)设备费用13.3W线路费用2.6W/月九昌电信20000CISCO5515(总部2.2W)分支机构(9000*4)AC1200(市场价格1.5W*5)拨号光纤(月租金1500*5)设备费用13.3W线路费用2.75W/月中科网威总部4.2W分支机构(8000*4)总部7000分支机构(3000*5)设备费用7.2W线路费用2.2W/月深信服总部8W分支机构(4W*4)AC1200(市场价格1.5W*5)总部7000分支机构(3000*5)设备费用31.5W线路费用2.2W/月3.4网络规划和产品部署 1、集团总部设计方案总部是整个公司的“心脏地带”,重要信息的交互、共享,重要数据的频繁传输,组成了XX集团的业务流。随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。目前,集团总部的内部网络,通过电信网络干脆接入Internet。考虑以后总部业务需求的发展,在总部网络出口处部署一台ANYSEC-M6600。M6600是一款标准1U机架式高性能VPN平安接入网关。基本配置包括4个100/1000M以太网接口,接受IntelNP架构高速网络处理器。最大VPN隧道数1600条、3DES硬加密性能100Mbps、防火墙吞吐率1Gbps、最大并发会话数500,000个。支持双机热备、多线路负载均衡。主要功能包括VPN集中管理、IPSEC/SSLVPN二合一、防火墙、代理上网、应用带宽管理、IM限制、P2P限制、消遣限制、用户分级管理、上网行为管理等功能。2、各地驻外机构设计方案由于各地驻外机构须要和杭州总部进行大量的信息交换,并且随着ERP等应用系统的应用加深,物流、资金流在企业Intranet网上的频繁传输,为了保证总部和分支机构、分支机构和分支机构之间进行平安的信息传输,故此,部署ANYSEC-S2800i到各驻外机构。S2800i是一款桌面式VPN平安接入网关。基本配置包括5个10M以太网接口,接受IntelMIPS架构高速网络处理器。最大VPN隧道数256条、3DES硬加密性能35Mbps、防火墙吞吐率200Mbps、最大并发会话数80,000个。主要功能包括IPSECVPN、VPN管理平台、路由、无线上网、交换机、防火墙、3G上网、上网行为管理、双线路支持等功能。3、集团VPN建设网络IP地址支配如下:地点服务器网段办公网络WIFI监控深圳总部深圳中心广州越秀中心广州天河中心上海浦东中心10.5.1.010.5.2.0北京浦东中心4、接入线路依据以上分析,集团总部申请一条20M电信固定光纤,用作VPN核心网络,通过VPN设备连接总部核心交换机。其它分支机构酌情申请电信或者联通光纤,通过接入层的VPN设备和集团总部进行VPN互联.如下表地点VPN网络办公网络深圳总部电信20M固定光纤(将来依据需求另外申请联通固定光纤)电信拨号100M深圳中心和集团总部共用广州越秀中心固定6M光纤或者拨号100M(优先电信线路)广州天河中心固定6M光纤或者拨号100M(优先电信线路)上海浦东中心固定6M光纤或者拨号100M(优先电信线路)北京浦东中心固定6M光纤或者拨号100M(优先电信线路)5、完成后网络图6、所需设备清单设备名称高性能VPN设备接入层VPN设备核心交换机1台(集团总部)1台(集团总部)4台(每个分支机构一台)第四章数据中心虚拟化建设随着信息化的快速发展,各类应用系统越来越多。依据传统数据中心建设思路,为避开应用系统之间软件和资源配置的冲突,每增加一个新需求、新应用,就须要申请经费、选购 服务器、安装系统、部署应用,因此服务器数量急剧增加。而每增加一台新服务器,就意味着须要更多的空间、电源、散热、网络接口、数据存储以及管理人员。将来集团应用系统初步估计已经在10种以上,并且还会不停的增加,这些应用分散地部署在几十台服务器上,维护工作量极大。另外,许多应用运行在单台物理服务器上,一旦设备出现问题,服务就会中断,导致系统稳定性差,业务连续性不高。因此,从整个信息化工作全局动身,我们须要整馆内数据中心硬件资源,提高硬件资源利用率,提升关键应用的业务连续性,加强IT基础设施的运维管理,以适应信息化发展的快速需求。虚拟化的目的是为了更加合理的运用支配应用资源,消退系统中的大部分平安隐患,提升整个系统的平安及牢靠性;更换及淘汰已经过时的老旧设备;扩充系统的整体性能;可以综合管理、并依据实际应用需求的变更来对资源进行快速无缝调整和支配;并且为日后的系统扩展延长做好准备,使其在将来不需做太大的变动就可和各种应用系统相结合,形成成一个结合相对紧密的整体;对内实现资源的共享、数据的异地互备、业务系统的远程灾备,对外可统一供应信息服务的综合性数字化信息服务平台。同时确保省数字图书馆的高效、经济、环保节能和平安牢靠性。及其本身的可持续发展性。服务器的虚拟化就是将服务器物理资源抽象成逻辑资源,让一台服务器变成几台,甚至上百台相互隔离的虚拟服务器,不再受限于物理上的界限,而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”,从而提高服务器资源的利用率,简化系统管理,实现服务器整合。在传统方式中,一台服务器装载和运用一个物理服务器操作系统,每台服务器平均CPU利用率仅为10%左右。如本次更新设备还接受同样的方式,我们所需购买的服务器会高达40台,这会导致资源的极大奢侈。因此,运用VMware,虚拟化技术,整合分散的物理服务器部署多台虚拟机,当有新的业务加入,信息中心即可为该业务动态支配一台或多台虚拟机。一般来说,虚拟环境由三个部分组成:硬件、虚拟机监控器(VMM,VirtualMachineMonitor)和虚拟机。VMM取代了操作系统的位置,管理着真实的硬件。如图1所示,在一台物理服务器上虚拟出两台虚拟服务器。而且从应用者的角度看,运用虚拟机和运用物理服务器是完全一样的。

利用服务器虚拟化技术搭建数据中心计算资源池在信息中心2-4台高性能机架服务器中安装HYPER-V虚拟化软件,通过HYPER-VServer对全部的物理服务器进行统一管理,依据应用级别不同,建立多个服务器群集。全部的虚拟机形成一个可统一支配的计算资源池,虚拟化结构图如下。

方案优势提高了硬件设备的资源利用率运用虚拟化技术,可以使数据中心每台物理服务器实现30:1,甚至更高的整合比率(可依据虚拟机负载状况预先设定策略动态进行调整)。这意味着,以前须要十台物理服务器完成的工作,在部署虚拟化后,仅一台服务器就能满足需求。对于负载较大的虚拟机可适当降低整合比率,甚至可设定策略让其独享一台物理服务器,以确保重要应用。利用电源管理及虚拟机的动态迁移技术,在虚拟机负载较低时,将其自动迁移到一台或几台物理服务器上,并将空闲物理服务器电源自动关闭。反之,当虚拟机负载加大时,则依据预先设定的策略自动打开物理服务器电源,保证虚拟机的性能。一般设定物理服务器的利用率在60%~80%之间,既能保证应用系统性能,又能节约电能。增加了应用系统的业务稳定性利用动态迁移技术,保证了虚拟机的高可用性,提升了整个数据中心基础架构的稳定性。当某一台服务器发生故障,虚拟机会自动依据预置策略,将对应的虚拟机迁移到其他正常运行的主机上。整个过程无须人工干预,用户也没有明显的服务中断感觉,从而大大增加了应用系统的业务稳定性。实现了业务系统的快速部署虚拟服务器可以在线复制为模板,通过预先建立的模板和克隆技术,管理人员可以在数分钟,甚至数十秒时间内将新应用快速部署到相应的服务器计算节点上,实现对服务和应用的统一化管理。接受HUSVM进行数据迁移的工作量特殊小。对存储进行虚拟化削减了应用的中断窗口,从而快速完成技术更新。事实上,和基于主机或复制的方法相比,数据迁移工作量削减了80%。由于存储限制器在后台移动数据,因此对性能没有任何影响。降低了数据中心机房能耗新型数据中心正式投入运用后,由于物理服务器设备数量极大降低,同时结合分布式电源管理(DPM)技术,自动关闭负载较低的空闲虚拟主机,使得数据中心主机电力消耗由降低到40%左右。随着存储的虚拟整合使得空间的奢侈率大大降低,并且利用其动态分层技术在只增加少量投资的状况下可以提升更多的性能。成本节约

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论