IT基礎(chǔ)架構(gòu)建設(shè)方案

啟音啟智集團(tuán)IT基礎(chǔ)架構(gòu)建設(shè)方案第第2頁(yè)共13頁(yè)目錄第一章項(xiàng)目情況介紹第二章設(shè)計(jì)原則和設(shè)計(jì)思想第三章VPN第四章第五章

數(shù)據(jù)中心虛擬化建設(shè)分支機(jī)構(gòu)弱電建設(shè)標(biāo)準(zhǔn)視頻會(huì)議IT資產(chǎn)統(tǒng)一管理郵件文檔統(tǒng)一管理視頻點(diǎn)播直播系統(tǒng)第第1頁(yè)共13頁(yè)原寬帶原寬帶地點(diǎn)營(yíng)商網(wǎng)絡(luò)接入IP動(dòng)態(tài)/固定服務(wù)器交換機(jī)其它設(shè)備深圳總部ADSL動(dòng)態(tài)IPK3臺(tái)二層無(wú)ADSL動(dòng)態(tài)IP無(wú)二層無(wú)深圳中心ADSL動(dòng)態(tài)IP無(wú)二層無(wú)第一章項(xiàng)目情況介紹1。1項(xiàng)目背景另外我集團(tuán)作為新興的擁有知識(shí)產(chǎn)權(quán)的企業(yè),信息的敏感性決定了它們歷來(lái)都是各種1。2目前IT架構(gòu)和應(yīng)用現(xiàn)狀分析廣州越秀中心電信ADSL動(dòng)態(tài)IP地址無(wú)二層無(wú)廣州天河中心無(wú)無(wú)無(wú)備份服務(wù)器一臺(tái)二層無(wú)上海浦東中心電信光纖接入動(dòng)態(tài)IP地址無(wú)二層無(wú)北京浦東中心無(wú)無(wú)無(wú)無(wú)二層無(wú)從上表可以看出，我集團(tuán)IT基礎(chǔ)架構(gòu)還處在比較原始的階段，集團(tuán)總部和各分支機(jī)構(gòu)沒有進(jìn)行信息網(wǎng)絡(luò)的互聯(lián)互通，已經(jīng)成為制約業(yè)務(wù)擴(kuò)大和發(fā)展的重要原因。第第2頁(yè)共13頁(yè)1。3未來(lái)要運(yùn)行的系統(tǒng)1.CRM系統(tǒng)2。OA系統(tǒng)3。IP電話4。視頻會(huì)議5。郵件系統(tǒng)6.域管理系統(tǒng)7?？记诮y(tǒng)一管理系統(tǒng)8.監(jiān)控統(tǒng)一管理系統(tǒng)9。賬務(wù)系統(tǒng)10.文檔統(tǒng)一管理系統(tǒng)。數(shù)據(jù)備份系統(tǒng)。網(wǎng)絡(luò)安全系統(tǒng)13.醫(yī)務(wù)教學(xué)系統(tǒng)根據(jù)以上需求,IT互通的信息網(wǎng)絡(luò)和信息平臺(tái).為此,IT基礎(chǔ)架構(gòu)。第二章設(shè)計(jì)原則和設(shè)計(jì)思想安全性原則.,,安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供多種手段保障系統(tǒng)的安段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品,好的安全策略；另一方面，更為重要的是要:安全防護(hù)主動(dòng)安全評(píng)估安全實(shí)時(shí)監(jiān)控第第11頁(yè)共13頁(yè).工具或者是有經(jīng)驗(yàn)的安全專家來(lái)進(jìn)行安全評(píng)估?？凸粢粋€(gè)系統(tǒng)之前,往往需要了解這個(gè)系統(tǒng)的結(jié)構(gòu)或者漏洞，他們往往會(huì)利用網(wǎng)絡(luò)掃描工.2。2實(shí)用性原則,,保持一定時(shí)期的領(lǐng)先地位。另外還要考慮成本和費(fèi)用實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧,又要使系統(tǒng)的高性能低成本與實(shí)用性相結(jié)合。可靠性原則這套系統(tǒng)是企業(yè)內(nèi)網(wǎng)的門戶。它的穩(wěn)定可靠關(guān)系重大,特別是具體業(yè)務(wù)項(xiàng)目。隨著使用不可低估的損失。因此可靠性是平臺(tái)運(yùn)行的首要保證。我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性,采用負(fù)載均衡技術(shù)、備份技術(shù)就是其中的重要策略。可擴(kuò)展性原則設(shè)計(jì)中充分考慮它的可擴(kuò)展性，為將來(lái)系統(tǒng)擴(kuò)展和升級(jí)提供基礎(chǔ)。易管理性原則系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平臺(tái)的易管理性，為平臺(tái)維護(hù)者提供方便的管理工具;同時(shí)又要設(shè)計(jì)規(guī)范但不失靈活的工作流程。VPN網(wǎng)絡(luò)建設(shè)方案3。1VPN技術(shù)簡(jiǎn)介VPN(虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道，將遠(yuǎn)程的VPN可以替代傳統(tǒng)租用線來(lái)連接計(jì)算機(jī)或局域網(wǎng)等。而任何VPN道機(jī)制是VPNVPN圖3-1VPN組網(wǎng)示意圖虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道,構(gòu)造這條安全通道的協(xié)議必須具備以下條件：Spoofing）能力。能力。(Replay）的功能，保證通道不能被重演。VPN可以對(duì)VPN（AccessControl)。VPNInternetVPN.最初VPN技術(shù)被設(shè)想為IntenetPC目前，VPN3。2系統(tǒng)設(shè)計(jì)功能分析3.2.1VPN的構(gòu)建方式VPNVPN1．VPN：VPNVPN：VPN.VPN：VPN。3。2.2為企業(yè)節(jié)省了費(fèi)用開支采用了VPN系統(tǒng)，相當(dāng)于在總部和各地分公司之間建立了安全的專用網(wǎng)絡(luò)，就可以充分利用公共網(wǎng)絡(luò)的資源,在上面運(yùn)行包含企業(yè)內(nèi)部重要信息的各種應(yīng)用系統(tǒng)。比較傳統(tǒng)的在總部分公司之間拉專線的方式，采用VPN信息系統(tǒng)的投入成本，為企業(yè)帶來(lái)了直接的效益。并且在安全性上，也得到了提高,因?yàn)榧词故抢瓕＞€，也需要通過網(wǎng)絡(luò)運(yùn)營(yíng)商，而采用VPN手中。。6系統(tǒng)的易擴(kuò)展性VPN系統(tǒng)建立以后,將來(lái)的擴(kuò)展非常方便，如果需要增加一個(gè)分公司或者辦事處,在該地安裝一臺(tái)VPN設(shè)備，總部只需要增加一條安全策略即可以實(shí)現(xiàn)該分公司或者辦事處的接入。如果增加一個(gè)移動(dòng)用戶，只需要配發(fā)一個(gè)SureID即可。因此擴(kuò)展非常簡(jiǎn)單。產(chǎn)品選型VPNVPNVPNVPN.下表為一些供應(yīng)提供的產(chǎn)品的特點(diǎn)，具體價(jià)格詳見附件。VPN性能防火墻網(wǎng)絡(luò)管控網(wǎng)絡(luò)加速負(fù)載均衡第一線良好無(wú)無(wú)無(wú)無(wú)深信服良好有有有有中科網(wǎng)威良好有有有有九昌電信良好無(wú)無(wú)無(wú)無(wú)費(fèi)用對(duì)比表所需要設(shè)備 VPN 防火墻網(wǎng)絡(luò)管控寬帶小計(jì)第一線 19000 CISCO5515AC120市撥號(hào)光纖設(shè)備費(fèi)用(總部2。2W）場(chǎng)價(jià)格（月租金13。3W線分支機(jī)構(gòu)（9000*4）1.5W＊5)1500*5）2。6W/月九昌電信 20000 CISCO5515AC1200(市撥號(hào)光纖設(shè)備費(fèi)用（總部2.2W）場(chǎng)價(jià)格1。（月租金13.3W線分支機(jī)構(gòu)（9000＊4）5W*5)1500＊5）2。75W/月中科網(wǎng)威 總部4。分支機(jī)構(gòu)（8000＊4）分支機(jī)構(gòu)（3000*5)設(shè)備費(fèi)用7.2W費(fèi)用2.2W/月深信服 總部8W分支AC1200(市總部7000設(shè)備費(fèi)用機(jī)構(gòu)(4W*4)15W*5)分支機(jī)構(gòu)（3000*5）31.5W線路費(fèi)用2.2W/月3.4網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署1、集團(tuán)總部設(shè)計(jì)方案總部是整個(gè)公司的“心臟地帶”,重要信息的交互、共享,重要數(shù)據(jù)的頻繁傳輸，組成了XX集團(tuán)的業(yè)務(wù)流。隨著企業(yè)信息化程度的不斷加深，各種應(yīng)用系統(tǒng)會(huì)逐步得到應(yīng)用。目前，集團(tuán)總部的內(nèi)部網(wǎng)絡(luò)，通過電信網(wǎng)絡(luò)直接接入Internet?？紤]以后總部業(yè)務(wù)需求ANYSEC-M6600M66001U機(jī)架式高性能VPN4100/1000MIntelNPVPN16003DES100Mbps1Gbps、最大并發(fā)會(huì)話數(shù)500000VPNIPSEC/SSLVPNIMP2P2、各地駐外機(jī)構(gòu)設(shè)計(jì)方案ERP等應(yīng)用系統(tǒng)的應(yīng),Intranet,,故此，部署ANYSEC—S2800i.S2800i是一款桌面式VPN510M以太網(wǎng)接口，采用IntelMIPSVPN2563DES35Mbps200Mbps80,000個(gè)。主要功能包括IPSECVPNVPN3G3、集團(tuán)VPN建設(shè)網(wǎng)絡(luò)IP地址分配如下：地點(diǎn)服務(wù)器網(wǎng)段辦公網(wǎng)絡(luò)WIFI監(jiān)控深圳總部10.1.0。010。1。1.010.1.2.010。1.3。0深圳中心10。2.1.010。2。2。010.2.3。0北京浦東中心10。3。1。010.4.1。010.5.1.010.6。1。010。3.2.010.4。2.010。5.2.010.6。2.010。3。3.010.4。3.010.5。3。010.6。3.04、接入線路地點(diǎn)VPN辦公網(wǎng)絡(luò)深圳總部20M（求另外申請(qǐng)聯(lián)通固定光纖）100M20M電信固定光纖地點(diǎn)VPN辦公網(wǎng)絡(luò)深圳總部20M（求另外申請(qǐng)聯(lián)通固定光纖）100M設(shè)備名稱設(shè)備名稱高性能VPN設(shè)備1臺(tái)（集團(tuán)總部）接入層VPN設(shè)備核心交換機(jī)1臺(tái)(集團(tuán)總部）4臺(tái)（)深圳中心深圳中心與集團(tuán)總部共用廣州越秀中心6M100M（優(yōu)先電信線路）廣州天河中心6M100M（優(yōu)先電信線路）上海浦東中心6M100M（優(yōu)先電信線路）北京浦東中心6M100M（優(yōu)先電信線路)5、完成后網(wǎng)絡(luò)圖6、所需設(shè)備清單第四章數(shù)據(jù)中心虛擬化建設(shè)隨著信息化的快速發(fā)展，各類應(yīng)用系統(tǒng)越來(lái)越多。按照傳統(tǒng)數(shù)據(jù)中心建設(shè)思路，為避,.就意味著10,,維護(hù)工.一旦設(shè)備出現(xiàn)問題，服務(wù)就會(huì)中斷，導(dǎo).因此，從整個(gè)信息化工作全局出發(fā),我們需要整館內(nèi)數(shù)據(jù)中心硬件資源，提高硬件資源利用率，提升關(guān)鍵應(yīng)用的業(yè)務(wù)連續(xù)性，加強(qiáng)IT,速需求。虛擬化的目的是為了更加合理的使用分配應(yīng)用資源,消除系統(tǒng)中的大部分安全隱患，提綜合管理、并根據(jù)實(shí)際應(yīng)用需求的變化來(lái)對(duì)資源進(jìn)行快速無(wú)縫調(diào)整和分配;并且為日后的系統(tǒng)擴(kuò)展延伸做好準(zhǔn)備，使其在將來(lái)不需做太大的變動(dòng)就可與各種應(yīng)用系統(tǒng)相結(jié)合，形成成.同時(shí)確保省數(shù)字圖書館的高效、經(jīng)濟(jì)、環(huán)保節(jié)能和安全可靠性。及其本身的可持續(xù)發(fā)展性。服務(wù)器的虛擬化就是將服務(wù)器物理資源抽象成邏輯資源，讓一臺(tái)服務(wù)器變成幾臺(tái)，甚CPU等硬件變成可以動(dòng)態(tài)管理的“資源池”,從而提高服務(wù)器資源的利用率，簡(jiǎn)化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合。CPU利用率僅為10%左右如本次更新設(shè)備還采用同樣的方式，我們所需購(gòu)買的服務(wù)器會(huì)高達(dá)40臺(tái)，這會(huì)導(dǎo)致資源的極大浪費(fèi)。因此，使用VMware,虛擬化技術(shù)，整合分散的物理服務(wù)器部般來(lái)說，虛擬環(huán)境由三個(gè)部分組成：硬件、虛擬機(jī)監(jiān)控器(VMM,VirtualMachineMonitor)和VMM1,務(wù)器是完全一樣的。利用服務(wù)器虛擬化技術(shù)搭建數(shù)據(jù)中心計(jì)算資源池2－4臺(tái)高性能機(jī)架服務(wù)器中安裝HYPER-V虛擬化軟件，通過Server對(duì)所有的物理服務(wù)器進(jìn)行統(tǒng)一管理,.方案優(yōu)勢(shì)提高了硬件設(shè)備的資源利用率使用虛擬化技術(shù)，可以使數(shù)據(jù)中心每臺(tái)物理服務(wù)器實(shí)現(xiàn)30:1可)以前需要十臺(tái)物理服務(wù)器完成整合比率，甚至可設(shè)定策略讓其獨(dú)享一臺(tái)物理服務(wù)器，以確保重要應(yīng)用.利用電源管理及虛擬機(jī)的動(dòng)態(tài)遷移技術(shù)，在虛擬機(jī)負(fù)載較低時(shí)，將其自動(dòng)遷移到一臺(tái)或幾臺(tái)物理服務(wù)器上,并反之,當(dāng)虛擬機(jī)負(fù)載加大時(shí)，則根據(jù)預(yù)先設(shè)定的策略自動(dòng)打開物理服務(wù)器電源，保證虛擬機(jī)的性能。一般設(shè)定物理服務(wù)器的利用率在60%～80既能保證應(yīng)用系統(tǒng)性能，又能節(jié)約電能。增強(qiáng)了應(yīng)用系統(tǒng)的業(yè)務(wù)穩(wěn)定性利用動(dòng)態(tài)遷移技術(shù)，保證了虛擬機(jī)的高可用性，提升了整個(gè)數(shù)據(jù)中心基礎(chǔ)架構(gòu)的穩(wěn)定性.常運(yùn)行的主機(jī)上.了應(yīng)用系統(tǒng)的業(yè)務(wù)穩(wěn)定性。實(shí)現(xiàn)了業(yè)務(wù)系統(tǒng)的快速部署虛擬服務(wù)器可以在線復(fù)制為模板，通過預(yù)先建立的模板和克隆技術(shù)，管理人員可以在數(shù)分鐘,甚至數(shù)十秒時(shí)間內(nèi)將新應(yīng)用快速部署到相應(yīng)的服務(wù)器計(jì)算節(jié)點(diǎn)上，實(shí)現(xiàn)對(duì)服務(wù)和應(yīng)用的統(tǒng)一化管理。采用HUSVM,,數(shù)據(jù)遷移80％..降低了數(shù)據(jù)中心機(jī)房能耗新型數(shù)據(jù)中心正式投入使用后,由于物理服務(wù)器設(shè)備數(shù)量極大降低,同時(shí)結(jié)合分布式電源管理(DPM）技術(shù)，自動(dòng)關(guān)閉負(fù)載較低的空閑虛擬主機(jī),使得數(shù)據(jù)中心主機(jī)電力消耗由降低到40%左右。隨著存儲(chǔ)的虛擬整合使得空間的浪費(fèi)率大大降低,并且利用其動(dòng)態(tài)分層技術(shù)在只增加少量投資的情況下可以提升更多的性能。成本節(jié)省項(xiàng)目節(jié)省效率節(jié)省情況維護(hù)成本86％-94%更少、更新型的服務(wù)器使維護(hù)成本大大降低軟件支持成本82%—84%更少的軟件和CPU使用、更新、服務(wù)的費(fèi)用大大降低人員管理成本36%-50％更少的物理服務(wù)器提高管理自動(dòng)化，從而降低相關(guān)系統(tǒng)管理人員的成本設(shè)備管理成本

更少的物理服務(wù)器，更少的覆蓋面積和有效的能源管理，幫助中心降低能耗縮小占地面積縮小占地面積平均節(jié)省效率72%品牌服務(wù)器品牌服務(wù)器存儲(chǔ)大概預(yù)算IBM3850X5*2DS530035wHPDL580＊2EVA440038wDELLR910＊225wCISCO刀片機(jī)*4EMC50w第五章分支機(jī)構(gòu)弱電建設(shè)標(biāo)準(zhǔn)各種線材面板統(tǒng)一品牌，使用質(zhì)量較好的一線品牌。監(jiān)控設(shè)備統(tǒng)一使用?？灯放?，以便統(tǒng)一管理?？记谙到y(tǒng)統(tǒng)一使用中控品牌，以便統(tǒng)一管理。機(jī)房交換機(jī)統(tǒng)一使用思