某集团IT基础架构建设方案.docx
《某集团IT基础架构建设方案.docx》由会员分享,可在线阅读,更多相关《某集团IT基础架构建设方案.docx(15页珍藏版)》请在冰豆网上搜索。
某集团IT基础架构建设方案
某集团IT基础架构建设方案
第一章
项目情况介绍
第二章
设计原则和设计思想
第三章
VPN网络建设
第四章
数据中心虚拟化建设
第五章
分支机构弱电建设标准
第六章
视频会议
第七章
IT资产统一管理
第八章
监控和考勤系统统一管理
第九章
邮件文档统一管理
第十章
视频点播直播系统
第一章项目情况介绍
1.1项目背景
目前,随着通讯技术、计算机技术、网络技术的应用普及和加深,我集团许多业务的开展不再仅仅局限于同一物理位置上,即使在办事处、分支机构、出差在外、在家中,均可像在公司总部办公一样开展业务。
另外集团对各项业务的流程,账务流程,行政流程需要统一
进行管控,这就需要建立一个安全、快捷、经济、方便的信息交互平台,来满足各分支机构与集团总部之间的信息交流。
另外我集团作为新兴的拥有知识产权的企业,信息的敏感性决定了它们历来都是各种
居心叵测者的重要关注对象,这提醒我们应该更加注重网络安全的建设。
值得称道的是,公司领导已经对此引起了高度重视,并计划逐步进行卓有成效的防护工作。
在这方面,合理借鉴市场先进经验与理念十分重要。
1.2目前IT架构和应用现状分析
地点
原宽带
宽带运营商
网络接入
IP地址:
动态/固定
服务器
交换机
其它设备
深圳总部
ADSL
动态IP地址
K3服务器一台
二层
无
深圳中心
ADSL
动态IP地址
无
二层
无
ADSL
动态IP地址
无
二层
无
广州越秀中心
电信
ADSL
动态IP地址
无
二层
无
广州天河中心
无
无
无
备份服务器
一厶
二层
无
上海浦东中心
电信
光纤接入
动态IP地址
无
二层
无
北京浦东中心
无
无
无
无
二层
无
从上表可以看出,我集团IT基础架构还处在比较原始的阶段,集团总部和各分支机构
没有进行信息网络的互联互通,已经成为制约业务扩大和发展的重要原因。
1.3未来要运行的系统
1.CRM系统
2.OA系统
3.IP电话
4.视频会议
5.邮件系统
6.域管理系统
7.考勤统一管理系统
8.监控统一管理系统
9.账务系统
10.文档统一管理系统
11.数据备份系统
12.网络安全系统
13.医务教学系统
根据以上需求,我集团必须构建适合公司未来发展的IT基础架构。
搭建互联互通的信息网络和信息平台。
为此,必须首先完善IT基础架构。
第二章设计原则和设计思想
系统的总体设计思想是要体现技术的先进性和决策的前瞻性,着力于“实用性、高起点、
前瞻性、扩展性”。
具体的我们遵循了以下原则:
2.1安全性原则
在公司网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在
着安全的漏洞,从而影响整个公司业务运作的大局。
随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。
我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。
网络安全需要依靠综合手段才能够实现。
一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。
从技术角度来看,一个完善的网络安全系统应该包括以下三个方面:
1.安全防护
2.主动安全评估
3.安全实时监控
安全防护就是通过防火墙或网络物理隔离等设备,对进出网络的数据包进行控制;同时在应用、主机上限制非法用户进入,或者用户越权访问。
主动安全评估是基于安全防护的基础上进行的,在通过了安全防护之后,可以借助安全工具或者是有经验的安全专家来进行安全评估。
安全实时监控也是属于主动防御范畴。
指在我们对网络上的各种行为进行监控,例如黑客攻击一个系统之前,往往需要了解这个系统的结构或者漏洞,他们往往会利用网络扫描工具对某个网段或者主机进行扫描,实时监控系统能够检测到这类行为。
2.2实用性原则
系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用先进的技术,使系统完成后,保持一定时期的领先地位。
另外还要考虑成本和费用
实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能低成本与实用性相结合。
2.3可靠性原则
这套系统是企业内网的门户。
它的稳定可靠关系重大,特别是具体业务项目。
随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响企业的形象,也将给为企业带来不便和
不可低估的损失。
因此可靠性是平台运行的首要保证。
我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。
2.4可扩展性原则
网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。
我公司在该方案的设计中充分考虑它的可扩展性,为将来系统扩展和升级提供基础。
2.5易管理性原则
系统的管理和维护工作也是至关重要的。
在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。
第三章集团VPN网络建设方案
3.1VPN技术简介
VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道(即隧道),将远程的
分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。
在该网中的主机将不再感觉到公共网络的存在,仿佛所有的主机都处于一个网络之中。
对企业而言,VPN
可以替代传统租用线来连接计算机或局域网等。
而任何VPN业务都是基于隧道技术实现的,
隧道机制是VPN实施的关键。
数据通过安全的"加密管道”在公共网络中传播。
企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。
使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。
/软仲I*
¥PN通道
PSTN
户
分埶构
ADSL
A5DN
fl
)
VPNi^备
El匚hd
图3-1VPN组网示意图
虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条
件:
保证数据的真实性:
通信主机必须是经过授权的,要有抵抗地址冒认(IPSpoofing)
的能力。
保证数据的完整性:
接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。
保证通道的机密性:
提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据。
提供动态密匙交换功能:
提供密匙中心管理服务器,必须具备防止数据重演(Replay)
的功能,保证通道不能被重演。
提供安全防护措施和访问控制:
要有抵抗黑客通过VPN通道攻击企业网络的能力,并且
可以对VPN®道进行访问控制(AccessControl)。
虚拟专用网VPN可以使在Internet中的信息交换有安全保障,大多数的VPN产品支持
IPSec。
最初VPN技术被设想为Intenet节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。
目前,VPN技术正在迅速走向成熟,而且它正处于兴盛期。
3.2系统设计功能分析3.2.1VPN的构建方式
VPN勺实现有很多种方法,常用的有以下四种:
1•硬件VPN某些硬件设备,含有VPN功能。
2.软件VPN可以通过专用的软件实现VPN
3.运营商提供VPN可以通过租用运营商的网络实现VPN
3.2.2为企业节省了费用开支
采用了VPN系统,相当于在总部和各地分公司之间建立了安全的专用网络,就可以充分利用公共网络的资源,在上面运行包含企业内部重要信息的各种应用系统。
比较传统的在总部分公司之间拉专线的方式,采用VPN解决方案,大幅度降低了企业
信息系统的投入成本,为企业带来了直接的效益。
并且在安全性上,也得到了提高,因为即
使是拉专线,也需要通过网络运营商,而采用VPN方案,则是真正的将安全掌握在了自己手中。
3.2.6系统的易扩展性
VPN系统建立以后,将来的扩展非常方便,如果需要增加一个分公司或者办事处,在该地安装一台VPN设备,总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。
如果增加一个移动用户,只需要配发一个SureID即可。
因此扩展非常简单。
3.3产品选型
软件VPN因性能差,不稳定等因素,在生产环境中,很少部署。
现在主流VPN一般为硬件VPN和运营商提供的VPN.
下表为一些供应提供的产品的特点,具体价格详见附件。
VPN性能
防火墙
网络管控
网络加速
负载均衡
第一线
良好
无
无
无
无
深信服
良好
有
有
有
有
中科网威
良好
有
有
有
有
九昌电信
良好
无
无
无
无
费用对比表
所需要设备
VPN
防火墙
网络管控
宽带
小计
第一线
19000
CISCO5515
(总部2.2W)分支机构
(9000*4)
AC1200市场价格
1.5W*5)
拨号光纤(月租金
1500*5)
设备费用
13.3W线
路费用
2.6W/月
九昌电信
20000
CISCO5515
(总部2.2W)分支机构
(9000*4)
AC1200市场价格
1.5W*5)
拨号光纤(月租金
1500*5)
设备费用
13.3W线
路费用
2.75W/月
中科网威
总咅E4.2W分支机构
(8000*4)
总部7000
分支机构
(3000*5)
设备费用
7.2W线路
费用
2.2W/月
深信服
总部8W分支
机构(4W*4
AC1200市场价格
1.5W*5)
总部7000
分支机构
(3000*5)
设备费用
31.5W线
路费用
2.2W/月
3.4网络规划与产品部署
1集团总部设计方案
总部是整个公司的“心脏地带”,重要信息的交互、共享,重要数据的频繁传输,组成了XX集团的业务流。
随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。
目前,集团总部的内部网络,通过电信网络直接接入Internet。
考虑以后总部业务需求
的发展,在总部网络出口处部署一台ANYSEC-M6600M6600是一款标准1U机架式高性能VPN
安全接入网关。
基本配置包括4个100/1000M以太网接口,采用IntelNP架构高速网络处
理器。
最大VPN隧道数1600条、3DES硬加密性能100Mbps、防火墙吞吐率IGbps、最大并发会话数500,000个。
支持双机热备、多线路负载均衡。
主要功能包括VPN集中管理、
IPSEC/SSLVPN二合一、防火墙、代理上网、应用带宽管理、IM控制、P2P控制、娱乐控制、
用户分级管理、上网行为管理等功能。
2、各地驻外机构设计方案
由于各地驻外机构需要与杭州总部进行大量的信息交换,并且随着ERP等应用系统的
应用加深,物流、资金流在企业Intranet网上的频繁传输,为了保证总部与分支机构、分
支机构与分支机构之间进行安