XXX集团IT基础架构规划方案
企业IT基础架构规划方案
XXX集团
IT基础架构规划方案(简)
金蝶软件(华南区)系统集成部
2011年03月
目录
一、项目背景 (3)
二、方案整体介绍 (4)
2.1企业IT架构 (4)
2.2网络系统规划 (4)
2.2.1安全基础网络规划方案 (6)
2.2.2安全无线网络规划方案 (9)
2.2.3广域网互联VPN规划方案 (11)
2.2.4网络性能指标要求 (13)
2.2.5网络安全规划 (13)
2.3计算机系统规划 (17)
2.3.1服务器硬件选型规划方案 (17)
2.3.2磁盘存储系统选型规划方案 (18)
2.4IT基础软件和系统规划 (21)
2.4.1操作系统选型规划方案 (21)
2.4.2虚拟化规划方案 (21)
2.4.3数据库选型规划方案 (22)
2.4.4数据安全和备份规划 (25)
2.4.5统一身份安全认证规划 (29)
2.4.6企业计算机和用户管理方案 (34)
2.4.7企业邮件系统选型规划方案 (38)
2.4.8企业内部通信系统选型规划方案 (39)
2.5企业IT机房和系统集成环境规划 (40)
2.5.1机房规划要求 (40)
2.5.2供电系统规划要求 (41)
2.5.3机柜规划要求 (42)
2.5.4硬件设备安装要求 (45)
三、实际案例设计 (47)
3.1总体网络拓扑设计 (47)
3.2店面远程接入设计 (51)
3.3店面管理系统设计 (53)
四、投资预算 (54)
五、金蝶系统集成支持与售后服务 (56)
5.1金蝶技术支持与服务体系介绍 (56)
5.2售后技术支持与服务的方式 (57)
一、项目背景
XXX集团经过多年的经营,公司业务和规模在不断发展,公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。同时随着新建办公大楼、研发大楼和厂房的落成,IT部门也需要对整个集团的信息化和企业IT基础架构进行规划和建设。目前主要分为以下两部分:
楼宇智能化规划和建设方案:主要包括视频监控、门禁系统、语音和数据节点规划和布线、CA TV、大屏幕电子显示屏、机房建设等。
企业IT基础架构规划和解决方案:主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。
本方案主要是针对XXX集团企业IT基础架构进行规划,并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。
二、方案整体介绍
2.1企业IT架构
下图是一般企业的IT架构情况,本方案主要针对IT基础架构部分进行规划,并提供选型和部署参考,关于企业IT业务应用系统部分的规划和建设请参考其它方案。
2.2网络系统规划
当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等都普遍较弱,这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护。其次,由于企业首要解决的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施时间必须极短。
企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网
需求:
建立安全的网络架构,总部与分支机构的网络连接;
安全网络部署,确保企业正常运行;
为出差的人员提供IPSec或者SSL的VPN方式;
提供智能管理特性,支持浏览器图形管理;
网络设计便于升级,有利于投资保护。
企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。
通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点:
网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。
用户可以采用多种的广域网连接方式,从而降低广域网链路费用。
无线接入点覆盖范围广、配置灵活,方便移动办公。
便捷、简单的统一通信系统,轻松实现交互式工作环境。
带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。
随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。
系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。
2.2.1安全基础网络规划方案
根据对XXX集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供基础版和企业版两种规划方案
1)网络需求:
企业规划的网络节点为500个,主要的网络需求首先是资源共享,网络内的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;还有就是公司门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)的建立。
2) 基础版规划方案
本方案适用于200~300台电脑联网,核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换机及服务器连接;用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机。Internet出口采用H3C MSR20-1X多业务路由器作为Internet 出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络拓扑图如下:
设备选型和部署参考如下:
方案特点:
高性价比:能够让中小企业低投资拥有高性能、经济的网络; 简易性:结构简单、安装快速、简单,维护无需配置专职人员;
高性能:最低投资做到千兆骨干、百兆接入;
可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。
3) 高级版规划方案:
本方案适用于500~800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用H3C S7500交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用H3C S5500-28C-SI,独有智能堆叠系统可实现高密度千兆端口接入,拥有96 Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3C S5100-16/24/48P-SI全千兆交换机,千兆到桌面。网络拓扑图如下:
设备选型和部署参考如下:
方案特点:
高性能,全分布式交换网络;
高可靠,无间断的通信环境;
灵活弹性的网络扩展能力;
高效率的网络带宽利用率;
全面的QOS部署,多业务融合;
完善的网络安全策略,实现深度安全检测,抵御未知风险。
2.2.2安全无线网络规划方案
无线网络的部署,能够增大员工接入网络的范围,提供更大的上网便利性--无论是在办公室、会议室还是在空间复杂的车间,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能为合作伙伴/ 客户提供方便的上网服务。根据企业情况,可以采用FAT AP方案:
1) 无线网络需求:
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2) 规划方案:
采用WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通过iMC统一管理。网络拓扑图如下:
设备选型和部署参考如下:
方案特点:
全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制;
大范围覆盖:高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN 用户可以独立认证;
兼作网桥使用:WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率;
负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡;
针对各类室外、特殊室内应用如仓库等复杂环境,可以提供专门的型号。
2.2.3广域网互联VPN规划方案
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下,VPN客户端和设置在内部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSL VPN 无疑是一种最合适的方案:只需要在总部部署一台设备,成本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。
1) 网络需求
1IPSec VPN和SSL VPN各有所长,功能互补,对企业来说都是需要的:IPSec VPN用于总部和中大型分支互连,SSL VPN用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更高,而且可能存在VPN策略冲突,导致性能下降、管理困难。
2) 规划方案
融合VPN针对企业的实际需要,一台设备融合IPSec / SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSec VPN互连,帮助企业降低采购、部署、维护三方面成本。
VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。例如,如果企业非常强调网络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。
在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSL VPN接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网内部或Internet边界部署H3C BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:
设备选型和部署参考如下:
如果省内分支机构较多、较分散,但对速率要求不高的连锁型单位,也可以选用电信或ISP商的VPDN服务;
如果多个分支机构间有多点对多点通信需求的企业、商业机构,也可以直接选用电信或ISP商的MPLS VPN服务。
2.2.4网络性能指标要求
2.2.5网络安全规划
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面:
网络边界安全需求
入侵监测与实时监控需求
安全事件的响应和处理需求分析
这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。
我们针对企业网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外
向内多级防护的总体策略。
根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是:
核心层:核心数据库;
安全层:应用信息系统中间件服务器等应用;
基本安全层:内部局域网用户;
可信任层:公司本部与营业部网络访问接口;
危险层:Internet。
信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全区域间建立有效的安全控制措施,使网间的访问具有可控性。具体的安全策略如下:
核心数据库采用物理隔离策略
应用系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。
应用系统中间件服务器采取综合安全策略:
应用系统中间件的安全隐患主要来自局域网内部,为了保障应用系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性;
内部局域网采取信息安全策略:
公司本部及营业部内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。
公司本部与下属机构之间网络接口采取通讯安全策略:
处于可信任层的网络,其安全主要考虑各下属单位上传的业务数据的保密安全,因此,可采用数据层加密方式,通过硬件防火墙提供的VPN隧道进行加密,实现关键敏感性信息在广域网通信信道上的安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避
免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力,并对所有访问请求进行严格控制,对所有的数据通讯进行加密后传输。
同时,建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的安全。
1) 广域网安全规划
企业广域网安全,主要是通过防火墙和VPN等设备或技术来保障。
防火墙对流经它的网络通信进行扫描,能够过滤掉一些攻击,防火墙还可以关闭不使用的端口,防火墙具有很好的保护作用,入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机,所以出于安全考虑,企业必须购置防火墙以保证其服务器安全,将应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好,建议选择企业级的硬件防火墙,硬件防火墙市场知名度高的品牌有CISCO、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等,用户应根据应用情况选择合适的防火墙。
VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用VPN技术,甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN技术的发展与成熟,可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展的企业网络。
VPN基本特征:
使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。
网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
可以通过Extranet连接企业合作伙伴、供应商和主要客户(建立绿色信息通道),以提高客户满意度、降低经营成本。
VPN实现方式:
硬件设备:带VPN功能模块的路由器、防火墙、专用VPN硬件设备等,如Cisco、H3C、深信服、天融信等。
软件实现:Windows 自带PPTP或L2TP、第三方软件(如CheckPoint、深信服等)。
服务提供商(ISP):中国电信、联通、网通等。目前一些ISP推出了MPLS VPN,线路质量更有保证,推荐使用。
2)内网安全规划
企业内网安全系统包括防病毒系统、内网安全管理系统,上网行为管理系统等。
防病毒系统可以采用网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等解决方案)。
内网安全系统和上网行为管理系统可以选择深信服、任子行、IP-guard等解决方案,企业可以通过部署内网安全系统实现研发网和商业信息的信息安全防范工作。对于研发网的信息安全、数据集中存储和计算资源的统一协调配置,可以通过部署企业桌面虚拟化解决方案来实现。
2.3计算机系统规划
2.3.1服务器硬件选型规划方案
根据对XXX集团的实际调研,获取了企业业务应用系统的建设情况,随着企业信息化建设的推进,需要对各种信息化管理系统和应用系统的服务器选型进行选型规划,根据不同的系统对服务器硬件的性能指标要求不同,比如企业网站服务器、邮件服务器、域控制服务器、文件和打印服务器、业务系统服务器等,通过结合系统在线用户数、业务请求数和业务产生的事物数等参数来计算tpmC 值,从而估算出服务器硬件的性能要求。
tpmC定义为TPC-C的吞吐量(TPC-C Throughput),按有效TPC-C配置期间每分钟处理的平均交易次数测量。TPC-C是一种旨在衡量联机事务处理(OLTP)系统性能与可伸缩性的行业标准基准测试项目。这种基准测试项目将对包括查询、更新及队列式小批量事务在内的广泛数据库功能进行测试。许多IT专业人员将TPC-C视为衡量“真实”OLTP系统性能的有效指示器。
1)对于最大并发用户数(一般认为最大并发用户数=预估用户规模*15%)在80以下的系统,推荐使用以下两种配置的服务器:
●IBM X系列的服务器;
●HP Proliant系列服务器。
2)对于最大并发用户数在80以上的系统,推荐使用以下两种配置的服务器:
●IBM Power系列的服务器;
●IBM BLADE系列刀片服务器。
设备选型和部署参考如下:
2.3.2磁盘存储系统选型规划方案
磁盘阵列已经成为企业信息系统不可缺少的基础组成部分,当前的主流厂商有EMC、IBM、HDS、HP等。RAID是英文Redundant Array of Inexpensive Disks的缩写,中文译作廉价冗余磁盘阵列,简称磁盘阵列。简单地说,磁盘阵列是一种把多块独立的硬盘(物理硬盘)按不同方式组合起来形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据冗余的技术。在这一组硬盘中,数据按照不同的算法分别存储于每块硬盘上从而达到不同的效果,这样就形成了不同的RAID级别(RAID LEVEL)。按照RAID级别划分,常见的有RAID0,RAID1,RAID3,RAID5, RAID10,RAID50等,以及硬件厂商自己定义的RAID。客户可以根据实际情况选择RAID级别,RAID10和RAID5比较常见,采用RAID10,可以获得较好的磁盘IO性能和可靠性。
使用磁盘阵列的好处:
提高数据的安全性;
提高数据存取的速度,提升EAS性能;
提供超大的存储容量。
针对应用系统而言,并发数低于100时可以采用服务器内置RAID卡,连接三块以上的硬盘,配置成RAID-5模式;并发数超过100个用户就应该考虑独立的硬件磁盘阵列;超过200个并发用户数规模时,建议采用光纤通道磁盘阵列技术,如果有多台服务器(如集群配置)时,建议使用光纤通道存储局域网(SAN)技术来实现高性能的共享存储系统。
以下是一般集团ERP系统对磁盘阵列的指标要求:
磁盘存储性能是是选型的重要原则之一,存储的性能应能够满足应用系统峰值的需求,并有进一步扩展的空间,包括容量和性能的扩展。从计算机的发展历史来看,计算机的芯片发展速度按照摩尔定律,已经提高了成千上万倍,而计算机 I/O速度,即磁盘系统接口速度,则从SCSI的每秒5MB到目前业界最快的FC-2协议每秒200MB,只提高了四十倍。因此选择性能最佳的磁盘系统,可以有效地提高计算机系统的I/O性能,从而提高计算机的整体性能。
?扩展性
由于企业数据的增长已经呈几何级数的增长,企业每年数据成倍地增长早已经不是新闻了。为了保证磁盘系统的增长满足企业今后发展的需要,对磁盘系统的扩展性应从以下几个方面进行准备:磁盘系统的容量扩展性。磁盘系统本身设计会有一定的局限,其容量最大可扩展能力是否满足企业今后数据发展的需要,是选择磁盘系统时应当考虑的一个方面。
磁盘系统的扩展兼容性。由于磁盘系统的发展也是日新月异,用户在存储扩容时还要考虑新磁盘系统与旧设备之间的兼容性,即产品系列有连续性。
?可靠性
数据是企业最重要的资产,数据的可靠性很大程度上依靠存储设备,主要是磁盘系统的可靠性。因此,作为磁盘系统的选择,可靠性永远是用户的第一考虑。虽然所有的磁盘厂商都声称自己的磁盘系统是可靠的,但是还是可以下几点来进行考察:
冗余电源和风扇。由于硬件失效的大部分原因是由于电源问题,因此,采用冗余电源设计可以有效地防止这一故障的出现;风扇 (或者冷却系统)则是在机房环境温度过高时保护磁盘系统的一种手段,采用冗余风扇设计,必要时可以加大冷却效果,保护磁盘系统的正常工作。
写缓存的数据保护。由于在磁盘系统的设计中越来越多地采用了控制器 (卡)缓存的设计,而读写缓存可以提高读写数据的速度(由于写磁盘是机械动作,通常为秒级;而写缓存是电子动作,通常为纳秒级)。但是,由于有了缓存设计,主机(服务器)写数据时,只要将数据写入磁盘系统的写缓