IT基础架构规划方案专项方案一.docx

IT基础架构计划方案一(网络系统计划) 背景                   某集团经过多年经营，企业业务和规模在不停发展，企业管理层和IT部门也认识到经过信息化手段能够愈加好地支撑企业业务运行、提升企业生产和管理效率。同时伴随新建办公大楼、研发大楼和厂房落成，IT部门也需要对整个集团信息化和企业IT基础架构进行计划和建设。现在关键分为以下两部分：         楼宇智能化计划和建设方案：关键包含视频监控、门禁系统、语音和数据节点计划和布线、CATV、大屏幕电子显示器、机房建设等。         企业IT基础架构计划和处理方案：关键包含企业局域网基础网络拓扑计划和网络设备选型、互联网接入和VPN接入、IT硬件布署和选型、企业IT信息化基础软件系统计划和选型等。          本方案关键是针对某集团企业IT基础架构进行计划，并提出处理方案和进行投资预算。而相关楼宇智能化计划和建设方案参见其它相关方案。 企业IT架构 通常企业IT架构情况，本方案关键针对IT基础架构部分进行计划，并提供选型和布署参考，相关企业IT业务应用系统部分计划和建设请参考其它方案。 网络系统计划 目前，企业通常能给信息化方面投入有限。除了人力有限，还缺乏专业人才，应用能力、维护能力、开发能力、实施能力等全部普遍较弱，这就要求网络架组成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，因为企业首要处理是生存问题，根本没措施做到“先信息化，再做业务”，所以网络建设实施要求必需轻易，实施时间必需极短。 企业组网方案关键要素包含：局域网、广域网连接、网络管理和安全性。具体来说企业组网需求： Ø 建立安全网络架构，总部和分支机构网络连接； Ø 安全网络布署，确保企业正常运行； Ø 为出差人员提供IPSec或SSLVPN方法； Ø 提供智能管理特征，支持浏览器图形管理； Ø 网络设计便于升级，有利于投资保护。 企业通常组网结构以下图，大企业网络关键层通常采取冗余节点和冗余线路拓扑结构，小企业则单线路连接方法。 经过对通常企业信息化情况和网络计划要素进行分析，从总体上看，计划方案必需含有以下特点： Ø 网络管理简单，采取基于易用浏览器方法，以直观图形化界面管理网络。 Ø 用户能够采取多个广域网连接方法，从而降低广域网链路费用。 Ø 无线接入点覆盖范围广、配置灵活，方便移动办公。 Ø 便捷、简单统一通信系统，轻松实现交互式工作环境。 Ø 带宽压缩技术，高级QoS应用，有效降低广域网链路流量。 Ø 伴随企业业务发展，全部网络设备均可在升级原有网络后继续使用，有效实现投资保护。 Ø 系统安全，保密性高，应用了适合企业低成本网络安全处理方案。   安全基础网络计划方案 依据对某集团实际调研，获取了企业网络需求，以此来制订企业基础网络建设计划方案和网络设备选型参考；以下提供基础版和企业版两种计划方案 1） 网络需求： 企业计划网络节点为500个，关键网络需求首先是资源共享，网络内各个桌面用户可共享文件服务器/数据库、共享打印机，实现办公自动化系统中各项功效；其次是通信服务，最终用户经过广域网连接能够收发电子邮件、实现Web应用、接入互联网、进行安全广域网访问；还有就是企业门户网站和网络通信系统（企业邮箱、企业即时通信和企业短信平台等）建立。 2) 基础版计划方案 本方案适适用于200~300台电脑联网，关键采取H3C S5500-28C-SI或S5500-20TP-SI交换机，以千兆双绞线/光纤和接入交换机及服务器连接；用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连关键交换机。Internet出口采取H3C MSR20-1X多业务路由器作为Internet出口路由、Secpath F1000-C或UTM作为安全网关和移动用户VPN接入网关。网络拓扑图以下： 设备选型和布署参考以下： 业务 需求 设备选型参考 配置说明 数量 布署位置 数据 关键交换机 H3C S5500-28C-SI 或H3C S5500-20TP-SI 全千兆三层关键 1 关键机房 接入层交换机 H3C S3100-26TP-SI 或H3C S3100-52TP-SI 接入层支持光电复用千兆上行， 支持混合堆叠 26TP：15台 52TP：8台 各楼层或机房 路由器 H3C MSR20-1x路由器 转发率160Kpps，256M 内存，支持GE/FE交换模块，同异步串口模块，E1/PRI模块，语音模块，加密模块 1~2 关键机房 安全 防火墙 H3C SecPath F1000-C或H3C SecPath U200 支持应用层报文过滤 1 关键机房 VPN 支持DVPN 互联网接入 10M光纤接入 电信10M光纤接入 配静态IP地址 1~2 关键机房 方案特点： Ø 高性价比：能够让中小企业低投资拥有高性能、经济网络； Ø 简易性：结构简单、安装快速、简单，维护无需配置专职人员； Ø 高性能：最低投资做到千兆骨干、百兆接入； Ø 可扩展性：灵活网络架构，能依据用户需要随时扩展，并保护已经有投资。 3) 高级版计划方案： 本方案适适用于500~800台电脑联网，三层网络结构，万兆骨干，百兆接入；网络关键层采取H3C S7500交换机，同时配置对应数量千兆端口分别连接应用服务器、接入交换机及其它设备；网络汇聚层采取H3C S5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有96 Gbps全双工堆叠带宽，消除网络瓶颈，提供优于传统中继聚合配置愈加好可用性和弹性；接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连关键交换机，或H3C S5100-16/24/48P-SI全千兆交换机，千兆到桌面。网络拓扑图以下： 设备选型和布署参考以下： 业务 需求 设备选型参考 配置说明 数量 布署位置 数据 关键交换机 H3C S7500(E)系列 关键支持双引擎双电源，性价比最高 1 关键机房 汇聚层交换机 H3C S5500-28C-SI 汇聚支持全千兆高速转发，消除网络瓶颈，同时支持万兆扩展 3 各楼层或机房 接入层交换机 H3C S3100-26/52TP-SI 或  H3C S5100-16/24/48P-SI 接入层依据不一样业务需求提供百兆和千兆接入两种选择 52TP：10台 各楼层或机房 路由器 H3C MSR50-06路由器 H3C新一代安全路由器 1~2 关键机房 安全 防火墙 H3C SecPath F1000-C 支持应用层报文过滤 1 1 VPN 支持DVPN 互联网接入 20M~50M光纤接入 电信20M~50M光纤接入 配静态IP地址 1~2 关键机房 方案特点： Ø 高性能，全分布式交换网络； Ø 高可靠，无间断通信环境； Ø 灵活弹性网络扩展能力； Ø 高效率网络带宽利用率； Ø 全方面QOS布署，多业务融合； Ø 完善网络安全策略，实现深度安全检测，抵御未知风险。  安全无线网络计划方案 无线网络布署，能够增大职员接入网络范围，提供更大上网便利性--不管是在办公室、会议室还是在空间复杂车间，职员全部能和网络保持连接，随时随地访问企业资源，而且能够简化场所网络布线。安全无线网络处理方案不仅能提升职员生产效率和协作能力，也能为合作伙伴/ 用户提供方便上网服务。依据企业情况，能够采取FAT AP方案： 1) 无线网络需求： 能够取得较高用户接入速率，构建便利移动办公环境，实现企业移动网络办公，成本投入不高，适合简单、小规模无线布署。 2) 计划方案： 采取WA1208E+iMC+CAMS进行组网，配合CAMS实现802.1x认证，能够实现基于时长、流量和包月计费；整网经过iMC统一管理。网络拓扑图以下： 设备选型和布署参考以下： 业务 需求 设备选型参考 配置说明 数量 布署位置 无线 无线接入 WA1208E 双802.11g无线模块 8 各楼层 无线安全 H3C CAMS 满足用户管理、身份认证、权限控制和计费要求 1 关键机房 无线管理 H3C iMC网管系统 支持和HP Openview、SNMPc等通用网管平台集成 1 关键机房 方案特点： Ø 全方面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制； Ø 大范围覆盖：高接收灵敏度，达成-97dBm（一般AP-95dBm），确保更远覆盖； Ø 多VLAN支持：虚拟AP方法支持多VLAN，最多支持8个虚拟SSIDVLAN划分，每个VLAN用户能够独立认证； Ø 兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传输报文整合，提升传输效率； Ø 负载均衡：支持基于用户数负载均衡、基于流量负载均衡； Ø 针对各类室外、特殊室内应用如仓库等复杂环境，能够提供专门型号。   广域网互联VPN计划方案 伴随企业和企业不停扩张，企业分支机构及用户群分布日益分散，合作伙伴日益增多，越来越多现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动，这为VPN应用奠定了宽广市场。在VPN方法下，VPN用户端和设置在内部网络边界VPN网关使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采取身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而确保数据完整性、机密性和正当性。经过VPN方法，企业能够利用现有网络资源实现远程用户和分支机构对内部网络资源访问，不仅节省了大量资金，而且含有很高安全性。  另外，伴随企业规模扩大，分散办公也越来越普遍，怎样实现小型分支、出差职员、合作伙伴远程网络访问也被越来越多企业关注。从成本、易用性、易管理等多方面综合考虑，SSL VPN无疑是一个最适宜方案：只需要在总部布署一台设备，成本更低，管理维护也很轻易；无需安装用户端、无需配置，登陆网页就能使用。  1) 网络需求  1IPSec VPN和SSL VPN各有所长，功效互补，对企业来说全部是需要：IPSec VPN用于总部和中大型分支互连，SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下，企业总部需要采购两台设备来支持两种VPN，不仅成本更高，而且可能存在VPN策略冲突，造成性能下降、管理困难。  2) 计划方案  融合VPN针对企业实际需要，一台设备融合IPSec / SSL两种VPN，只需布署在总部，既能够用于为合作伙伴、出差人员提供远程网络访问，也能够和分支机构进行IPSec VPN互连，帮助企业降低采购、布署、维护三方面成本。  VPN网关选择方面，H3C防火墙、路由器全部能够实现融合VPN，提供给企业愈加灵活选择。比如，假如企业很强调网络安全、VPN性能，就选择防火墙；假如企业更重视多业务处理能力，如IP语音通信、3G上网、无线接入等，推荐选择路由器。  在总部局域网Internet边界防火墙后面配置一台或两台双机热备VPN网关，在分支机构Internet边界防火墙后面配置一台VPN网关，由此两端VPN网关建立IPSec VPN隧道，进行数据封装、加密和传输；另外，经过总部VPN网关提供SSL VPN接入业务；在总部局域网数据中心布署H3C VPN Manager组件，实现对VPN网关布署管理和监控；在总部局域网内部或Internet边界布署H3C BIMS系统，实现对分支机构VPN网关设备自动配置和策略布署。以下图：  设备选型和布署参考以下： 业务 需求 设备选型参考 配置说明 数量 布署位置 网络互连 VPN网关 H3C SecPath F1000VPN网关 H3C SecPath F100 VPN网关 或 H3C MSR50 路由器 H3C MSR20-1X 路由器 总部和大型机构配置F1000型号 中小型机构配置F100型号 总部1台 分支机构按需求配置 关键机房 网络管理 H3C VPN Manager H3C BIMS 帮助用户布署、管理VPN网络 1 关键机房 假如省内分支机构较多、较分散，但对速率要求不高连锁型单位，也能够选择电信或ISP商VPDN服务； 假如多个分支机构间有多点对多点通信需求企业、商业机构，也能够直接选择电信或ISP商MPLS VPN服务。   网络性能指标要求 类型 带宽要求 线路质量要求 局域网 用户端到服务器：10Mb以上，推荐100Mb 各服务器之间：200M以上，推荐1000Mb 丢包率小于0.1% 延迟小于20ms 广域网 分支机构带宽：每用户端128Kb 总部出口带宽：(最大并发数/3)×128Kb 总部服务器之间：200M以上，推荐1000Mb 丢包率小于2% 延迟小于50ms   网络安全计划 网络安全是整个系统安全运行基础，是确保系统安全运行关键。网络系统安全需求包含以下多个方面： Ø 网络边界安全需求 Ø 入侵监测和实时监控需求 Ø 安全事件响应和处理需求分析 这些需求在各个应用系统上不一样组合就要求把网络分成不一样安全层次。 我们针对企业网络层安全策略采取硬件保护和软件保护，静态防护和动态防护相结合，由外向内多级防护总体策略。 依据安全需求和应用系统目标，整个网络可划分为六个不一样安全层次。具体是： Ø 关键层：关键数据库； Ø 安全层：应用信息系统中间件服务器等应用； Ø 基础安全层：内部局域网用户； Ø 可信任层：企业本部和营业部网络访问接口； Ø 危险层：Internet。 信息系统各安全域中安全需求和安全等级不一样，网络层安全关键是在各安全区域间建立有效安全控制方法，使网间访问含有可控性。具体安全策略以下： 关键数据库采取物理隔离策略 应用系统采取分层架构方法，用户端只需要访问中间件服务器即可进行日常业务处理，从物理上不能直接访问数据库服务器，保障了关键层数据高度安全。 应用系统中间件服务器采取综合安全策略： 应用系统中间件安全隐患关键来自局域网内部，为了保障应用系统中间件服务安全，在局域网中可经过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离，提供子网间访问控制能力。同时，中间件服务器本身能够经过配置对应安全策略，限定经过授权工作站、用户方能访问系统服务，保障了中间件服务器安全性； 内部局域网采取信息安全策略： 企业本部及营业部内部局域网处于基础安全层网络，关键是对于安全防护能力较弱终端用户在使用，所以考虑关键在于两个方面，一个是用户端病毒防护，另一个是预防内部敏感信息对外泄露。所以，经过选择网络杀毒软件达成内部局域网病毒防护，同时，使用专用网络安全设备（如硬件防火墙）建立起有效安全防护，经过访问控制ACL等安全策略配置，有效地控制内部终端用户和外部网络信息交换，实现内部局域网信息安全。 企业本部和下属机构之间网络接口采取通讯安全策略： 处于可信任层网络，其安全关键考虑各下属单位上传业务数据保密安全，所以，可采取数据层加密方法，经过硬件防火墙提供VPN隧道进行加密，实现关键敏感性信息在广域网通信信道上安全传输。 Internet采取通讯加密策略： Internet属于非安全层和危险层，因为Internet存在着大量恶意攻击，所以考虑关键是要避免涉密信息在该层次中流动。经过硬件防火墙提供专业网络防护能力，并对全部访问请求进行严格控制，对全部数据通讯进行加密后传输。 同时，提议设置严格机房管理制度，严禁非授权人员进入机房，也能够深入提升整个网络系统安全。 1) 广域网安全计划 企业广域网安全，关键是经过防火墙和VPN等设备或技术来保障。 防火墙对流经它网络通信进行扫描，能够过滤掉部分攻击，防火墙还能够关闭不使用端口，防火墙含有很好保护作用，入侵者必需首先穿越防火墙安全防线，才能接触目标计算机，所以出于安全考虑，企业必需购置防火墙以确保其服务器安全，将应用系统服务器放置在防火墙内部专门区域。通常硬件防火墙比软件防火墙性能愈加好，提议选择企业级硬件防火墙，硬件防火墙市场著名度高品牌有CISCO、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等，用户应依据应用情况选择适宜防火墙。 VPN 即虚拟专用网(Virtual Private Networks) 提供了一个经过公共非安全介质(如Internet)建立安全专用连接技术。使用VPN技术，甚至机密信息全部能够经过公共非安全介质进行安全传送。VPN技术发展和成熟，可为企业商业运作提供一个无处不在、可靠、安全数据传输网络。VPN经过安全隧道建立一个安全连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展企业网络。 VPN基础特征： Ø 使企业享受到在专用网中可取得相同安全性、可靠性和可管理性。 Ø 网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。 Ø 能够经过Extranet连接企业合作伙伴、供给商和关键用户（建立绿色信息通道），以提升用户满意度、降低经营成本。 VPN实现方法： Ø 硬件设备：带VPN功效模块路由器、防火墙、专用VPN硬件设备等，如Cisco、H3C、深信服、天融信等。 Ø 软件实现：Windows 自带PPTP或L2TP、第三方软件（如CheckPoint、深信服等）。 Ø 服务提供商（ISP）：中国电信、联通、网通等。现在部分ISP推出了MPLS VPN，线路质量更有确保，推荐使用。 2）内网安全计划 企业内网安全系统包含防病毒系统、内网安全管理系统，上网行为管理系统等。 防病毒系统能够采取网络版防病毒系统或防毒墙等产品（比如金山、瑞星、卡巴斯基等处理方案）。 内网安全系统和上网行为管理系统能够选择深信服、任子行、IP-guard等处理方案，企业能够经过布署内网安全系统实现研发网和商业信息信息安全防范工作。对于研发网信息安全、数据集中存放和计算资源统一协调配置，能够经过布署企业桌面虚拟化处理方案来实现。