QM北控数据中心建设方案Word文档下载推荐.docx
《QM北控数据中心建设方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《QM北控数据中心建设方案Word文档下载推荐.docx(22页珍藏版)》请在冰豆网上搜索。
网络接入为40MB光纤专线。
集团企业邮局需要知足300-500用户办公应用。
其他需求可参照现有北控大厦17层机房。
本方案编制的目的是为北京控股集团数据中心建设,提供较为完整的纲领性技术文件,一旦项目开展,我公司将在此基础上进行深化,用以指导工程施工与治理,确保优质、高效、平安、文明地完成该工程的建设任务。
三、设计依据
□国家标准《电子运算机机房设计标准》(GB50174-93)
□国家标准《计算站场地技术要求》(GB2887-89)
□国家标准《电子运算机机房施工及验收标准》(SJ/T30003-93)
□国家标准《运算机机房活动地板的技术要求》(GB6650-86)
□国家标准《计算站场地平安技术》(GB9361-88)
□国家标准《电气装置安装工程接地装置施工及验收标准》(GB50169-92)
□中华人民共和国公共平安行业标准GA/T75-94《平安防范工程程序与要求》
□《中华人民共和国运算机信息系统平安爱惜条例》
第二部份机房环境装修设计
一、隔间工程
隔间采纳不锈钢边框&
12mm厚钢化玻璃。
钢化玻璃隔间最近几年正慢慢引入到网络机房装修中。
它具有隔音、隔热、耐压等特点,透视成效极佳,并增添机房的精练与奢华感。
整个机房周围的墙边、墙角均做防水处置。
玻璃与吊顶、地板交接处安装亚光不锈钢踢脚板线。
机房及办工区内隔间采纳不锈钢大框玻璃隔间,隔间与天花、地板交接处装不锈钢角线。
二、地面工程
机房地板采纳架空地板,为使水泥砂浆地面达到不起尘、不产尘、保证空调送风系统的空气干净度,地面需要先涮防尘漆做防尘处置。
活动地板的种类较多,依照板基材料可分为:
铝合金、全钢、中密度刨花板。
它们的表面都是粘贴PVC抗静电贴面。
咱们为本机房选用全钢防静电活动地板,可与地面装饰成效相和谐。
地板安装高度为。
地板与墙体交壤处用不锈钢踢脚板封边。
机房大门入口处做踏步铺塑胶地板。
三、门窗工程
整个机房区及办公区的不锈钢无框玻璃隔间上的门均为不锈钢无框玻璃自由门。
四、天花吊顶工程
依照网络机房的具体建筑结构情形,整个机房为了确保机房的保温和消防需要;
全数采纳微孔铝制天花板进行铺设,该天花板美观、耐用,防火、防潮,同时与机房屏蔽网一路组成一个完整的屏蔽系统,具抗静电、抗干扰的作用。
为维持机房环境廉洁度和维持机房温度均衡,建议采纳铝泊制保温棉作天花、墙面、地面保温使机房具有防潮、防尘、保温的性能。
五、墙面装饰工程
墙面处置是指采纳在主机房建筑物的墙面、柱面上进行防尘、防潮、防水、保温处置,同时使衡宇内部平整、滑腻,清洁美观,改善采纳光条件,增强保温、隔热、隔音、防尘等性能从而改善环境条件。
主机房墙面、地面及梁面上刷防霉、防潮漆,涂防水油膏,进行防尘处置、确保干净度高、不产生粉尘、耐久性高、不产生龟裂、眩光,同时起到防水、防潮、防霉的成效。
机房应采纳优质铝塑板,在选择墙面板材料时,要求能知足屏蔽系统和等电位系统的需求。
优质铝塑板生产流程采纳目前最新技术及工艺,外参观亮,且性能价钱比优,因此优质铝塑板无疑是最佳的方案。
在现代科技及工业的高速进展,材料领域的普遍应用中,优质铝塑板饰面光学成效,干净程度、平安性,施工质量、施工条件均为最正确,优质铝塑板还能知足屏蔽系统的需求。
施工时,咱们要紧有以下四个步骤进行:
1、平整墙面,利用水泥沙浆找平,为下一步提供良好的工作面;
2、采纳2mm厚的轻钢龙骨,把它固定到墙面上,成为以后装饰墙面的骨架,同时预留屏蔽接地的引出线,(散布在不同位置的六处地址,形成多点连接);
3、选取9mm的优质埃特板,固定到龙骨上;
4、选取3mm的银白色的铝塑板沾在埃特板上,接封处采纳银白色玻璃胶封边。
第三部份配电系统设计
一、要紧考虑因素及设计方案
系统能够正常工作,不仅需要有良好的主设备、性能卓越的UPS电源和平安舒适的工作环境,还需要有一个设计合理、靠得住性高的供配电系统。
咱们为该项目考虑与设计的内容如下:
1、机房内用电设备供电电源均为三相五线制及单相三线制,采纳双回路供电。
2、用电设备作接地爱惜,并入土建大楼配电系统。
3、机房用电设备、配电线路装置过流过载两段爱惜,同时配电系统各级之间有选择性地配合,配电以放射式向用电设备供电。
4、机房配电系统所用电线阻燃聚氯乙烯绝缘导线,敷设喷塑桥架、镀锌铁管及金属软管。
5、机房的设备供电和空调照明供电分为两个独立回路,其中设备供电由UPS提供并按设备总用电量的倍进行预留,而空调照明用电由市电提供并按空调设备的要求供配。
6、机房内照明装置宜采纳机房专用无眩光灯盘,照敞亮度大于300LUX,事故照敞亮度应大于60LUX。
7、机房内的配电系统考虑了与应急照明系统的自动切换。
8、该机房电源进线正常时由市电供电,市电故障时由UPS供电,进线直接引入机房专用配电柜总输入开关。
9、机房设计了一个市电配电箱,对机房的市电进行配电,配电箱为机房专用标准配电箱,配备低压开关。
柜内配有市电备用回路,安装防雷爱惜器。
10、机房设计了UPS配电箱,对机房的UPS电进行配电,配电箱为机房专用标准配电箱,配备低压开关。
箱内配有UPS电源备用回路,安装防雷爱惜器。
11、机房所有插座均采纳一般电源插座和弹起式铜插座,一般电源插座安装在墙壁上,弹起式电源插座安装在防静电地板上,美观大方。
二、配电设备及材料选型
机房配电工程所需的配电柜、灯具、单相插座、跷板开关、多联万用插座板、导线、电缆等均采纳国产或入口的电气优质产品,经实践证明产品质量靠得住。
三、配电系统设计
1、空调照明部份:
该部份采纳机房专用配电箱来完成,它接到总配电室送过来的市电电源,通过总电源开关,输出到分支回路中。
2、UPS电源部份:
该部份采纳机房专用配电箱来完成,它接到UPS送过来的单路电源,通过100A总电源开关,输出到分支回路中。
四、UPS不中断电源设计
具体描述UPS的技术性能指标有四大类:
1)对电网的适应能力;
2)知足负载要求的UPS常规输出指标;
3)UPS的输出能力和靠得住性;
4)智能治理和通信功能。
a.选择大功率UPS兼顾考虑UPS的输入功率因数和输入电流谐波(电力公害问题)。
b.要考虑UPS的输出能力。
c.要考虑效率与靠得住性
咱们在本项目所采纳的UPS不中断电源需要知足机房所有效电设备的额定需求。
第四部份空调工程设计
主机房、备用电源区域及监控室,采纳地板下送风,天花下自然回风。
设置2台制冷量不小于130KW的下送风周密空调,采纳一主一备冗余方式,可知足温湿度的要求。
空调加湿水由同楼层(或下一楼层)供水管引入。
冷凝排水通过专用排水管排到下一楼层。
加湿水管进入机房前,在可操作的位置加装开关阀门及电磁阀。
在加湿水、冷凝排水的管道须避运算机放置区域,在机房内通过时,在机房内围绕运算机设备和配电设施放置区域,设置围水堰,避免水漏入机房区间。
空调位置区设置防倒灌地漏。
◆排气系统的选择
依照机房功能分区的设立,咱们设置各分区的排气系统。
它能够使机房工作人员有一个好的空气环境条件,排气系统采纳吊顶天花内安裝,不占用机房空间。
咱们为机房设计吸顶式排气扇,设备间和工作间各装2个,按时开启,排除房间内的污浊空气。
第五部份机房监控系统
依照数据中心的平安及日常治理需要,咱们考虑采纳与大楼闭路监控主机为主的安防系统,并要紧针对数据中心的主机房、UPS配电室、监控室、通道4个区域共安装8-10个监控摄像头,用于视频监控,使得数据中心周边及机房核心区域不留死角,充分保障数据中心平安。
第六部份机房防雷接地址案
一、前言
网络机房内集中了大量微电子设备,而这些设备内部结构高度集成化(VLSI芯片),从而造成设备耐过电压、耐过电流的水平下降,对雷电(包括感应雷及操作过电压)浪涌的经受能力下降。
感应雷侵入用电设备及运算机网络系统的途径要紧有四个方面:
交流电源380V、220V电源线引入;
信号传输通道引入;
地电位还击和空间雷闪电磁脉冲(LEMP)等。
为了确保机房设备及电脑网络系统稳固靠得住运行,和保证机房工作人员有平安的工作环境,依照我国及国际有关标准规定,提出本防雷接地址案。
二、设计依据
1.建筑物防雷设计标准GB50057-94
2.电子运算机房设计标准GB50174-93
3.通信局(站)接地设计暂行技术规定YDJ26-89
4.运算机场站平安要求GB9361-88
5.计算站场地技术要求GB2887
6.电信专用衡宇设计标准YD5003-94
1.民用建筑电气设计标准JGJ/T16-92
蓝皮书建议《过电压和过电流防护的原那么》
《通信线路和通信设备的防雷手册》
StandardIec1312-1nationalProtectionAgainstLEMP
11.InternationalStandardIEC1643-1SurgeProtectionDevices
三、接地处置
1.利用建筑物基础地作防雷地及电源地。
现代建筑基础利用大面积钢筋绑扎,柱子主钢筋及周围墙体钢筋直通抵达屋顶女儿墙防雷带。
其接地电阻值一样都能知足GB50057—94的要求,即≦4Ω。
2.机房一样有四种接地形式,即:
运算机专用直流逻辑地、交流工作地、平安爱惜地、防雷爱惜地。
本次设计考虑采纳原接地极,并采纳联合接地址式;
接地电阻应小于1欧姆。
3.直流工作地在大楼运算机机房内的布局,是作数字电路等电位地网(或逻辑接地接地网)。
该网用铜排在活动地板下,依据运算机设备布局,纵横组成网格,配有专用接地端子,用编织软铜线以最短的长度与运算机设备相连。
运算机直流地需用接地干线引下至接地端子。
四、供电系统
依照有关标准,本方案设计该机房供配电防雷方案如下:
一级防雷:
配电柜电源进线处接大容通量的电源防雷器。
变压器的机壳、低压侧的交流零线和与变压器相连的电力电缆的金属外护层应就近接地。
二级防雷:
UPS配电箱引出的三根相线及零线接防雷器,箱内交流零线不作重复接地。
机房内所布放的交流供电线路中的中性线(零线),应采取绝缘导线。
交流配电箱上的中性线(零线)聚集排应与机架的正常不带电金属部份绝缘。
三级防雷:
利用专用的避雷电源插座。
机房内所有交直流用电及配电设备均应采取接地爱惜。
交流爱惜接地线应从接地聚集线上专引,严禁采纳中性线作为交流爱惜接地线。
五、利用防雷器注意事项
防雷爱惜器必需通过接地端以尽可能短的途径接地。
主机房内所有设备采有单点接地法,即所有地线全数接到直流接地聚集排上,再由聚集排与直流地网相连。
设备安装时,应与大楼的外墙及柱子维持必然的平安距离。
信号防雷器连接必需与数据进线方向一致。
不同类型的数据传输线应选用不同类型的爱惜器。
六、方案设计
依照网络机房的实际情形,咱们为甲方设计了一套独立接地系统和防雷系统:
防雷系统咱们设计安装2个电源避雷器,别离安装在市电配电箱和UPS电源配电箱中,避免感应雷对电源系统的解决,(关于直击雷,大楼避雷针系统进行防护);
接地系统中,咱们在机房内部防静电地板下边利用紫铜做一个等电位带,为机房设备提供接地址,同时在大楼外侧,咱们利用镀锌角钢和镀锌扁铁成立独立的接地网系统,二者之间采纳35平方毫米的铜导线连接,使之成为一体。
第七部份效劳器、存储及网络设备的综合部署与搭建
本数据中心需要知足内、外网的大量用户与数据交互,涉及到互联网、财务系统、办公网络的综合业务处置,依照需求,拓扑结构如以下图:
其中核心互换机相互热备、可切换。
财务效劳器做集群。
存储做阵列、并可相互热备可切换。
WEB效劳器前后端分离,与OA效劳器和邮件效劳器均为一用一备,并通过虚拟化环境进行治理与保护。
楼层间网络互换与下属公司、外联网络做网段划分。
同时考虑到设备的采购本钱、保护本钱及利用本钱和质量与稳固性,咱们提供了两套可选设备的选购范围,要紧区别为优秀的国有自主品牌和市场选用较多的国际化品牌,详见“第九部份效劳器、存储、网络设备采购方案”
网络平安
网络平安数署思路
本次信息建设尽管仅包括数据中心、内网楼层和广域网中心部份的改造和建设,但也必需从全局和架构的高度进行统一的设计。
建议采纳目前国际最新的“信息保障技术框架(IATF)”平安部系结构,其明确提出需要考虑3个要紧的因素:
人、操作和技术。
本技术方案着重讨论技术因素,人和操作那么需要在非技术领域(比如平安规章制度)方面进行解决。
技术因素方面IATF提出了一个通用的框架,将信息系统的信息保障技术层面分为了四个技术框架域:
∙网络和基础设施:
网络和基础设施的防护
∙飞地边界:
解决边界爱惜问题
∙局域计算环境:
主机的计算环境的爱惜
∙支撑性基础设施:
平安的信息环境所需要的支撑平台
并提出纵深防御的IA原那么,即人、技术、操作相结合的多样性、多层叠的爱惜原那么。
如以下图所示:
要紧的一些平安技术和应用在框架中的位置如以下图所示:
咱们在本次网络建设改造中需要考虑的平安问题确实是上图中的“网络和基础设施爱惜”、“边界爱惜”两个方面,而“运算机环境(主机)”、“支撑平台”那么是在系统主机建设和业务应用建设中需要重点考虑的平安问题。
设备级平安
a)防蠕虫病毒的等DOS解决
数据中心尽管没有直接连接Internet,但内部专网中很多运算机并无法保证在整个利用周期内可不能接触互联网和各类移动存储介质,仍然会较多的面临大量网络蠕虫病毒的要挟,比如RedCode,SQLSlammer等等,由于它们常常变换特点,防火墙也不能完全对其进行过滤,它们一样发作的机理如下:
∙利用MicrodsoftOS或应用的缓冲区溢出的漏洞取得此主机的操纵权
∙取得此主机的操纵权后,安装病毒软件,病毒软件随机生成大量的IP地址,并向这些IP地址发送大量的IP包。
∙有此平安漏洞的MSOS会受到感染,也随机生成大量IP地址,并向这些IP地址发送大量的IP包。
∙致使阻塞网络带宽,CPU利用率升高等
∙直接对网络设备发犯错包,让网络设备CPU占用率升高直至引发协议错误乃至宕机
b)防VLAN的脆弱性配置
在数据中心的不同平安域进行防火墙访问操纵隔离时,存在多个VLAN,尽管普遍采纳端口捆绑、vPC等技术使正常工作中拓扑简化乃至完全幸免环路,但由于网络VLAN多且关系复杂,无法在工程上完全杜绝诸如网络故障切换、误操作造成的临时环路,因此有必要运行生成树协议作为二层网络中增加稳固性的方法。
可是,当前有许多软件都具有STP功能,歹意用户在它的PC上安装STP软件与一个Switch相连,引发STP从头计算,它有可能成为STPRoot,因此所有流量都会流向歹意软件主机,歹意用户可做包分析。
局域网互换机应具有Rootguard(根桥监控)功能,能够有效避免其它Switch成为STPRoot。
本项目咱们在所有许诺二层生成树协议的设备上,专门是接入层中都将启动RootGuard特性,另外Nexus5000/2000还支持BPDUfilters,BridgeAssurance等生成树特性以保证生成树的平安和稳固。
还有一些歹意用户编制特定的STP软件向各个Vlan加入,会引发大量的STP的从头计算,引发网络抖动,CPU占用升高。
本期所有接入层互换机的所有端口都将设置BPDUGuard功能,一旦从某端口接收到歹意用户发来的STPBPDU,那么禁止此端口。
大量利用了三层互换机,在发送数据前其工作方式同路由器一样先查找ARP,找到目的端的MAC地址,再把信息发往目的。
很多病毒能够向三层互换机发一个冒充的ARP,将目的端的IP地址和歹意用户主机的MAC对应,因此发往目的端的包就会发往歹意用户,以此实现包窃听。
在Host上配置静态ARP是一种避免方式,可是有治理负担加重,保护困难,并当通信两边常常改换时,几乎不能及时更新。
本期所利用的所有三层互换机都支持动态ARPInspection功能,可动态识别DHCP,经历MAC地址和IP地址的正确对应关系,有效避免ARP的欺骗。
实际配置中,要紧配置对Server和网络设备实施的ARP欺骗,也可静态人为设定,由于数量不多,治理也较简单。
c)避免DHCP相关解决
楼层网段会采纳DHCPServer效劳器提供用户端地址,可是却面临着几种与DHCP效劳相关的解决方式,它们是:
●DHCPServer冒用:
当某一个歹意用户再同一网段内也放一个DHCP效劳器时,PC很容易患到那个DHCPserver的分派的IP地址而致使不能上网。
●歹意客户端发起大量DHCP请求的DDos解决:
歹意客户端发起大量DHCP请求的DDos解决,那么会使DHCPServer性能耗尽、CPU利用率升高。
●歹意客户端伪造大量的MAC地址歹意耗尽IP地址池
应采纳如下技术应付以上常见解决:
∙防DHCPServer冒用:
这次新采购的用户端接入互换机应当支持DHCPSnoopingVACL,只许诺指定DHCPServer的效劳通过,其它的DHCPServer的效劳不能通过Switch。
∙避免歹意客户端发起大量DHCP请求的DDos解决:
这次新采购的用户端接入互换机应当支持对DHCP请求作流量限速,避免歹意客户端发起大量DHCP请求的DDos解决,避免DHCPServer的CPU利用率升高。
∙歹意客户端伪造大量的MAC地址歹意耗尽IP地址池:
这次新采购的用户端接入互换机应当支持DHCPoption82字段插入,能够截断客户端DHCP的请求,插入互换机的标识、接口的标识等发送给DHCPServer;
另外DHCP效劳软件应支持针对此标识来的请求进行限量的IP地址分派,或其它附加的平安分派策略和条件。
网络级平安
网络级安满是网络基础设施在提供连通性效劳的基础上所增值的平安效劳,在网络平台上直接实现这些平安功能比采纳独立的物理主机实现具有更为强的灵活性、更好的性能和更方便的治理。
本项目我司要紧提供访问操纵和隔离(防火墙技术)。
平安区域划分
数据中心平安域的划分需要成立在对数据中心应用业务的分析基础之上,因此与前述的虚拟效劳区的划分原那么一致。
事实上按SODC的虚拟化设计原那么,每一个虚拟效劳区应当对应唯一的虚拟防火墙,也即对应唯一的一个平安域。
具体原那么如下:
●同一业务必然要在一个平安域内
●有必要进行平安审计和访问操纵的区域必需利用平安域划分
●需要进行虚拟机迁移的虚拟主机要在一个平安域中
●划分不宜过细,平安品级一致的业务能够在平安域上进行归并,建议一期不超过5个平安域
一样能够划分为:
OA区,应用效劳区,数据库区,开发测试区等。
防火墙部署策略
不同平安域之间的访问操纵策略由于虚拟化设计而只需考虑各个平安域内出方向策略和入方向策略即可。
建议初始策略依据如下原那么设定,然后依照业务需求不断调整:
●出方向上不进行策略限制,全数打开
●入方向上按“最小授权原那么”打开必要的效劳
●许诺发自内部地址的两边向的ICMP,但对ICMP进行应用检查(Inspect)
●许诺发自内部地址的TraceRoute,便于网络诊断
●关闭两边向的TCPSeqRandomization,在数据中心内的防火墙能够去除该功能以提高转发效率
●减少或不进行NAT,保证数据中心内的地址透明性,便于ACE提供效劳
●关闭nat-control(此为默许),关闭xlate记录,以保证并发连接数
●对每一个虚拟防火墙的资源进行最大限定:
总连接数,策略数,吞吐量,基于每一个虚拟防火墙设定最大未完成连接数(EmbryonicConnection),以后升级到概念每客户端的最大未完成连接数
智能主动防御
传统的不断的打补丁和进行特点码升级的被动防御手腕已经无法适应平安防御的要求,必需由网络主动的智能的感知网络中的行为和事件,在发生严峻后果之前及时通知平安网络治理人员,乃至直接联动相关的平安设备,进行提早方法,才能有效减缓危害。
要实现这种智能的主动防御系统,需要网络中进行如下部署:
∙对桌面用户的接入进行感知和相应方法
∙对桌面用户的行为进行分析和感知
∙对全网平安事件、流量和拓扑进行智能的分析、关联和感知
∙对各类信息进行综合分析然后进行准确的报告
第八部份机房设备材料清单
序号
分项分部工程项目
单位
数量
品牌
一、机房装修工程
墙面及隔断装修工程
1
机房隔断天地支架制作
2
机房钢化玻璃隔断制作
3
机房亚光不绣钢板地脚线、天角线
4
墙面9mm厚中密度板底板
5
墙面轻钢龙骨
6
机房铝塑板墙面
7
墙面防尘、防潮处理工程
地面工程
地面防尘、防潮漆
地台保温处理
无边防静电活动地板(600*600毫米)
抗静电地板安装辅板
办公区地面整理工程
缓冲区塑胶地板
天花及照明工程
微孔铝扣板天花
3*40W高级无眩光灯盘(含灯管)
消防疏散指示灯