山东数据中心工程技术规范书答复.docx
《山东数据中心工程技术规范书答复.docx》由会员分享,可在线阅读,更多相关《山东数据中心工程技术规范书答复.docx(24页珍藏版)》请在冰豆网上搜索。
山东数据中心工程技术规范书答复
山东数据中心工程技术规范书答复
第一章工程说明及要求
1.1定义
1.2工程建设目标
1.3本期工程的用户规模
第二章数据中心工程技术要求
2.1支持的协议标准
2.2数据中心向用户提供的服务功能
2.3数据中心网络建设的组网方案
2.4基本的硬件配置
2.5数据中心的网管系统
2.6其他
第三章其他问题
3.1系统测试与验收
3.2技术服务
3.3技术培训
3.4工程进度
第一章工程说明及要求
1.1定义
1.1.1本规范书是山东数据中心工程的主要技术、业务功能和工程规模要求,供卖方编写建议书和报价之用。
本规范书未提到的部分应遵从邮电部颁发的《中国公用计算机互联网技术体制》、《中国公众多媒体通信网技术体制》及相关文件之规定。
1.1.2卖方应在收到本文件后一定时间内,用中文提供满足本文件要求的应答书。
卖方应逐项说明和答复本规范书中所提出的各项要求,卖方亦可根据自己产品的技术性能情况提出建议,并附详细资料和说明,不能以理解、可能等含糊词予以答复。
1.1.3卖方需保证提供给买方本期的工程网络系统及设备配置具有先进性、稳定性、可靠性、安全性、扩展性。
1.1.4买方保留对本规范书进行修改和解释的权利。
1.2工程建设目标
本工程为山东数据中心系统建设,本工程总体目标为:
为进行主机托管、主机租用和空间租赁的用户提供稳定、可靠的服务,同时也为济南信息港带来潜在的经济效益。
1.3本期工程的用户规模
本期工程建设的是山东省第一个专用的大容量数据中心,要求可以容纳300台托管的主机,卖方应做出本期工程硬件设备清单、网络管理软件(含所需硬件设备)报价。
第二章本期数据中心工程的技术要求
2.1支持的协议标准
●数据中心的网络系统符合IEEE802.3中有关Ethernet、FastEthernet、千兆以太网的规定;
●网络内的通讯协议采用TCP/IP协议组;
●通信电缆和电力电缆的敷设符合邮电部1995年5月制定的《邮电防火安全基本要求的有关规定》;
●列举系统中使用的其他相关标准协议及详细说明。
答:
本方案标准遵循以下国标:
《中国公用计算机互联网技术体制》
《中国公众多媒体通信网技术体制》
IEEE802.3CSMA/CD10Base-T标准
IEEE802.3u100BaseTX和100BaseFX标准
IEEE802.3z1000Base标准
网络内的通讯协议采用TCP/IP协议组,Snmp,Icmp。
2.2数据中心向用户提供的服务功能
●主机托管(ServerHosting);
●服务器空间租赁(WebHosting)
●基本应用服务(Emailhosting、站点访问情况统计分析等)
●网络安全服务
●系统运行监测
●可以向用户提供的网络接口类型有100M交换接口、100M共享式接口、10M交换接口
答:
方案应该不仅支持目前比较成熟的虚拟主机服务(WebHosting)、主机托管业务(ServerHosting),还应当支持比较高级的应用托管业务(ApplicationHosting)需求,对安全性要求高的VPN托管业务,对可用性要求高的电子商务托管业务等等。
根据需要可以向用户提供的网络接口类型有100M交换接口、100M共享式接口、10M交换接口
除此之外,本方案还提供了充分的网络安全服务,在数据中心内部安装一套VPN设备,当数据中心用户远程更新站点内容时,可以通过VPN隧道与数据中心连接,避免被非法用户窃听的可能性。
同时由于TCP/IP协议本身、UNIX和WindowsNT操作系统以及数据库存在的安全隐患,使得网上黑客可能入侵系统,造成系统的安全隐患,
针对目前存在的网络安全隐患,我们要从以下几个方面来做好安全方面的措施。
1.我们必须根据应用的情况,限制不安全的服务和关闭掉不必要的服务应用。
2.统一出入口管理技术:
设置统一的网络出入口,配置防御系统,对出入内部网络的信息进行集中监控和防御,防止破坏性信息的渗透、“黑客”的入侵和涉密信息的泄漏;
3.审计和监控系统采用安全防御措施后,还必须建立独立的审计和监控系统,对存放重要信息的计算机网/主机,进行实时的审计和监控,及时发现问题,并告知系统用户记录攻击者痕迹,保护系统工作现状,阻断攻击者的破坏行为,使系统的应用更为可靠、完善。
4。
管理制度和日常维护统计数据表明,网上很大一部分安全总是由于管理制度缺乏、不完善和不认真执行所造成的;另外安全措施的可靠性、完备性及有效性需要经过实践的检验和考验,有一个不断认识、不断提高、不断完善的发展过程。
据此,必须制定并实施相应的网络管理、维护、操作等制度。
使用智能卡、防辐射、防电磁泄漏、安全接地、防自然灾害等技术建立良好的物理环境,保护计算机系统软硬件设备的安全。
A.网络安全产品选型
在网络安全方面我们考虑采用ISS公司的产品。
互联网络安全系统公司(ISS)是可适应安全管理系统的先锋和市场领导者,提供全面的企业级信息保护软件。
ISS是全球网络安全方案的先锋改革者,其安全方案被设计成用来进一步增强由现有的通过防火墙、加密、授权、认证等提供的信息保护系统的安全防范表现。
ISS的SAFESuite产品家族共同承担起对不断增长的网络漏洞和攻击事件的监控、检测、和响应的责任,保证企业的信息安全。
ISS继续在可适应安全管理领域处于领先地位。
通过反复地、强有力的弱点检测结合攻击监测和响应显著地增强企业信息系统的安全性。
SAFESuite的主要产品包括:
B.互联网扫描器
互联网扫描器InternetScanner对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。
另外,InternetScanner执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。
InternetScanner将给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。
这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。
图2-1
C.数据库扫描器
数据库扫描器(DatabaseScanner)是世界上第一个针对数据库管理系统风险评估的检测工具。
任何人都能够利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。
大多数安全非法入侵并不是由于产品本身存在安全弱点,而是由于系统没有被正确地安装或安全规则没有建立并执行。
甚至在一个正确的系统配置中,某些设置也可能被意外或故意地改动,这使得您公司的机密信息很容易受到窃取和破坏。
实行分布式管理的公司更加得益于数据库扫描器的强大功能。
位于BuffaloGrove.IL,AZDatabase公司总裁AndrewZavevsky曾这样评价数据库扫描器:
“现在我们应用了数据库扫描器,公司可以利用工业界最先进的安全检测技术,经济有效地保护我们的服务器。
通过运行数据库扫描器的检测报告程序,用户可以很容易地查看并修补安全漏洞,因为该报告不仅产生对漏洞的详尽描述,同时还提供了对漏洞的具体解决办法。
图2-2
D.系统扫描器
D.1关于系统扫描器
系统扫描器是一个基于主机的安全评估系统。
它与网络扫描器的区别在于它提供了基于主机的安全评估策略来分析系统漏洞。
网络扫描器是在网络层扫描各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。
这些扫描器代理的安全策略可以通过系统扫描器控制台进行集中管理和配置。
D.2安全风险
系统扫描器在相当严格的基础上对安全风险级别进行划分。
在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。
一旦系统被确认处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。
图2-3
E.实时入侵监控器
实时入侵监控器RealSecure™是一个计算机系统和网络上实时的入侵检测、报警、响应和防范系统。
RealSecure™将基于网络的和基于主机的入侵检测技术,分布式技术和可生存技术完美地结合起来,提供实时的安全监控。
RealSecure™监控系统事件和传输的网络数据,并对可疑的行为进行自动监测和安全响应,使用户的系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用,从而最大程度地降低安全风险,保护企业网络的系统安全。
图2-4
网维通提供服务器Http服务流量、用户数,Ftp服务流量、用户数、发送文件数,Mail服务流量、用户数等站点访问情况统计。
网维通也提供完善的系统运行监测、报警功能。
2.3数据中心网络建设的组网要求
●数据中心的骨干交换机采用千兆骨干交换机;
●数据中心的骨干交换机与Internet的骨干交换机之间采用1000M光缆连接;
●二级交换机采用具有1000M模块的100M交换机;
●骨干交换机和二级交换机之间采用1000M连接;
●向服务器提供的接口有100M交换机接口和100M共享式接口两种,其中,交换式接口200个,共享式接口100个;
●为了便于提供多种业务,100M交换式接口可以提供10M交换式接入;
●交换机具有划分VLAN的能力。
答:
下面结合山东数据中心网络拓扑图介绍数据中心的组网方案:
数据中心的骨干交换机采用Intel公司千兆骨干交换机ES6000,该种交换机是数据中心优化设计的高性能的千兆位交换机,具有高达47.5Mpps第三层转发速率;提供高密度的千兆位端口。
并通过高度冗余和热插拔组件实现了最大程度的网络正常运行时间。
骨干交换机与ChinaNet骨干交换机以1000M光纤,使得托管机房的服务器通过共享此1000M光纤连入互连网。
二级交换机采用INTEL公司的ES510T,该交换机具有24个以太网端口和两个可扩展模块,ES510T背板带宽可达14.7G,具有链路聚合和端口镜像功能,可选的接口模块有1000SX模块、1000LX模块和4端口10/100TX模块,在本方案中,我们按标书的要求,采用一块1000SX模块上连到主干交换机。
边缘交换机采用ES460T,此交换机具有24个10/100M端口,管理方便,易于设置。
考虑到托管服务器和虚拟主机之间的数据相关性很弱,我们未采用可堆叠的交换机。
为满足向服务器提供100M交换式接口和100M共享式接口,边缘交换机我们采用ES410T和ES140THub。
本方案采用Intel交换机都既有划分VLAN的能力。
说明:
网络拓扑图见附一。
标书2.3要求骨干交换机以1000M接入IVNTERNET骨干交换机,在2.4中又要求在数据中心和Internet之间安装防火墙,根据我们对目前市场上防火墙产品的了解,未发现有基于千兆的防火墙产品,因此在方案设计中,未采用专用防火墙服务器保护整个数据中心的网络安全(如果ISP数据中心与ChinaNet骨干相连的速度小于100Mbit/s,可以考虑在ChinaNet骨干与数据中心之间采用防火墙服务器,甚至带宽管理设备以保证客户托管服务器的WAN链路带宽及保证特别应用的QoS)。
另外,此图未给出ISP的内部网拓扑图。
NetStructure7170用于实现WWW应用的负载平衡和服务质量保证;NetStructure7180前置于电子商务服务器是将那些繁重、极易消耗服务器CPU资源的交换证书、协商加密算法及密钥、数据的加密/解密工作从电子商务服务器上卸载到自身来处理,以提高电子商务服务器的性能以及可用性;堆栈ES500交换机以统一管理托管主机和虚拟主机服务器;VPN网关用于建立客户的VPN网络。
2.4需要的硬件配置:
●数据中心的网络建设要满足2.3列出的各项
●为了保证系统的可靠性,数据中心的骨干交换机采用冗余备份方案。
当某台交换机出现故障时,自动以正常的交换机为主交换机,同时告警。
系统管理员可以在不影响整个IDC正常运行的状态下,更换发生故障的交换机。
●数据中心设立一套备份设备,该设备应该完成如下功能:
✓在获得用户的授权后,备份设备提供对数据中心内某服务器用户数据的备份能力;
✓系统管理员可以随时备份某台或某批服务器的指定内容;
✓系统管理员可以根据需要,设定指定时刻,系统在该时刻自动备份某台或某批服务器的内容;
✓系统管理员借助备份系统,可以随时、快速恢复某台或某批服务器的内容
●为了提高数据中心的安全性,需要在数据中心和Internet中间安装防火墙系统,避免Internet用户对数据中心内服务器的大多数恶意攻击。
●数据中心内部安装一套VPN设备,当数据中心用户远程更新站点内容时,避免被用户窃听的可能性。
●网络的可扩展性要求
✓用户数量增加而需要扩大IDC的规模时,可以进行平滑扩容,而不影响IDC的正常运行;
✓当规模少量扩大时,可以通过增加二级交换机、接入交换机(或接入HUB)的方式实现,骨干交换机的性能不受影响;
✓新增加的二级交换机或接入交换机可以是符合Ethernet相关标准的其他品牌;
✓当骨干交换机需要升级时,借助于双机冗余的功能,升级不影响数据中心的正常运行;
答:
完全满足。
数据中心数据的管理、安全和备份问题解决方案如下:
1.数据的管理实际上就是网络设备的管理、服务器的管理和应用程序的管理的统一。
目前没有任何一家IT厂商能提供一种软件解决所有的数据管理问题,因此对ISP来讲就是如何把这三者妥善地结合起来。
当客户不能得到所期待的服务时,能尽快地予以响应,发现问题所在,及时解决网络、服务器硬件/操作系统或应用程序的故障。
网络设备的管理可以通过INTEL的DeviceView管理,INTELDeviceView可以对INTEL所有的具有管理特性的交换机和路由器均可进行图形化的安装、管理和配置,并且一个管理界面
可以同时管理数十台网络设备,非常方便。
或者也可以使用其他公司提供的系统来管理网络设备,在网络层Easyview同样也可以对网络设备进行管理。
服务器的管理是一个比较复杂的问题,它可以分为两个方面:
一方面是服务器自身硬件的管理,与操作系统无关;另一方面是基于操作系统实现服务器的管理,与服务器所安装的操作系统有密切关系。
实现服务器的运行管理通过Easyview2.0来实现。
2.数据的安全实际上包含两部分:
网络的安全和主机系统的安全。
网络安全可以通过防火墙技术和VPN技术来实现。
至于系统安全就需要根据不同操作系统来修改相关的系统文件、合理设置用户权限和文件属性。
总之,网络安全和系统安全是实现数据安全和完整的两个不可或缺的部分。
3.数据的备份和恢复同样是ISP建设数据中心过程中必须要考虑的重要问题,因为无论服务器的可用性是如何的高、安全性是多么的好,但智者千虑必有一失,并且数据的经常性备份也有利于服务器软硬件的升级以及灾难恢复。
数据的备份可分为本地系统的备份和远程、跨平台系统的备份。
目前,备份的方式最常见的方式为磁带备份,因为它具有如下优点:
·技术成熟,稳定可靠;
·容量高,成本低;
·传输速率高,易于保管,能重复使用,并可作到自动备份;
备份软件目前应用最广泛的是CA公司的ARCserver软件,它是一个跨平台的网络数据备份软件,在数据保护、灾难恢复、病毒防护方面均能提供全面的产品支持。
ARCserver软件,可以实现以下功能:
系统管理员可以随时备份某台或某批服务器的指定内容;
系统管理员可以根据需要,设定指定时刻,系统在该时刻自动备份某台或某批服务器的内容;
系统管理员借助备份系统,可以随时、快速恢复某台或某批服务器的内容采用
其中灾难恢复是ARCserver软件非常优秀的特性之一,具有了灾难恢复特性,无论系统遭受了什么样的损坏,只要更换硬件,连接好磁带机,插入恢复盘,ARCserver就会自动恢复整个系统。
ARCserver系统组织模式是主模块+选件(OPTION)。
主模块只完成通用的备份功能,而较为特殊的备份功能如灾难恢复、数据库表级备份、针对磁带库的高速备份则是由各种选件来实现的,这样既分散了客户的使用成本,又保证了备份系统的可扩充性
2.5数据中心的网络管理软件应具有的功能
●山东数据中心将采用独立的管理软件系统;
●网络管理系统需要的硬件配置清单和功能说明;
●网管软件包括对硬件系统和软件系统的管理,硬件系统主要指网络设备、服务器硬件,软件系统主要指服务器的操作系统和用户的应用程序;
●硬件管理包括配置管理、故障管理、性能管理等基本内容;
●网关软件对数据中心安全性的监测应包括如下内容:
✓记录Internet用户对数据中心内服务器攻击时的IP地址等信息;
✓具有防止数据中心内部用户窃听其他用户广播信息的能力;
✓数据中心内服务器TCP端口异常打开时报警;
✓数据中心内服务器的某项服务异常打开时报警;
✓故障管理指可以实时监测设备状态、接收错误监测报告并作出响应,进行告警确认、执行诊断测试、维护并检查错误日志,形成故障统计等功能;
✓性能管理包括设备的可用率、CPU利用率、资源(内存、硬盘空间等)使用情况、故障率等;
●软件管理包括建立在操作系统之上的多种应用如:
WWW服务、FTP服务、Mail服务等应用的管理,以及其他用户应用系统的管理;
●网管软件对服务器软件的监测包括如下内容:
✓基于年月日时的主机流量报告
✓基于年月日时的网关出口流量的报告
✓服务器某些标准进程(如Web、Mail、ftp等)活动情况的监视、历史数据
✓服务器内部资源占用情况的监测和告警
✓异常应用的监测
●可以管理WindowsNT、UNIX、LINUX等服务器操作系统平台;
●系统管理员可以进行远程管理;
●具有记录操作人员的查询、操作指令的能力;
●网管软件可以产生故障、性能、资源等内容的分析报告;
●不允许在被管理的服务器上运行任何代理程序;
●网关软件对数据中心安全性的监测应包括如下内容:
✓记录Internet用户对数据中心内服务器攻击时的IP地址等信息;
✓具有防止数据中心内部用户窃听其他用户广播信息的能力;
✓数据中心内服务器TCP端口异常打开时报警;
数据中心内服务器的某项服务异常打开时报警;
答:
完全满足。
网维通托管服务器管理系统在直观的图形界面上提供网络视图,采用先进的技术实现了以下功能:
支持多平台的服务层的数据采集,而且不需要在被管服务器中安装特殊软件,就可以采集到所有基于TCP/IP的系统的服务数据,如:
WindowsNT、Solaris、Linux服务器;
采集并存储服务器的接口流量、WWW服务、FTP服务、Mail服务、CPU使用率、虚拟内存使用率、逻辑盘使用率等数据;
长期持续监视服务器运行期间的状态,并根据监视结果产生相应的事件及报警;
管理人员的管理操作和报警事件日志记录;
报警方式有颜色报警、事件报警,可选的报警方式有声响报警、邮件报警、外部程序报警、BP报警、电话报警通知等;
基于WWW的报表浏览,能对服务器运行期采集到的数据进行统计产生多种报表;可产生的报表有:
流量表、资源消耗报表、资源消耗趋势报表、网站排名报表、服务器故障报表(客户)、服务器故障报表、服务器群故障报表等;
能够主动发送根据客户需求定制的电子邮件报表;
可选自动配置和手动配置,以简化系统管理的配置操作;
历史数据表自动整理;
实时备份电源系统监测管理。
此外对服务器上代理程序的监测可以通过免费的第三方软件实现;
对于网络中继设备的配置管理,需根据具体设备和功能定制;
目前世界上尚无能够实时准确地判断黑客对服务器攻击的技术手段,但可以通过主机安全扫描,突发流量记录来防止和诊断黑客对服务器的攻击。
这可以通过第三方软件实现。
可以检测某些用户窃听其他用户广播信息。
但由于有交换机的隔离,企图监听其他用户的IP数据包的用户只能监听到基本上无用的广播包。
目前世界上尚无很好技术手段判断服务器TCP端口、服务是否是被异常打开。
但可以通过在被监视的服务器上,制定包含以上监视内容的SnmpTrap功能,提出报警信息,再发送到网维通管理系统实现上述功能。
这部分功能需定制。
1.网管系统硬件平台及配置要求
系统管理工作站硬件平台及配置要求如下:
CPU:
PIII600X2;内存:
256M;硬盘:
20G。
语音卡:
Dialog/4。
其他:
多媒体配置。
数据采集站硬件平台及配置要求如下:
CPU:
PIII600;内存:
128M;硬盘:
10G。
网卡:
Intel®Pro/100+。
2.操作系统及软件平台
系统管理工作站运行平台:
操作系统:
WindowNT4.0ServerSP5。
Web服务器:
InternetInformationServer3.0或以上版本。
管理系统:
网维通2.0。
数据采集站运行平台:
操作系统:
WindowNT4.0Workstation。
采集系统:
网维通监视代理2.0
详细的安装及使用方法参见网维通2.0用户手册。
3.系统结构图
图5-1网维通2.0系统结构示意图
4.技术参数
序号
参数
参数值
1
支持的操作系统
WindowsNT/2000,Linux,SunOS,HPUNIX
2
监控的网段数目
系统结构上无限制。
3
最大主机数目
系统结构上无限制,仅受限于管理机资源,网维通2.0一般用于1000台以下的主机托管管理。
5
最长发现故障时间
10s
6
采集数据轮循周期
6m-12m
7
系统平均无故障时间
3个月
8
对被监控主机系统性能的影响
对于安装有扩展Snmp主机小于1%;
没有安装Snmp主机无影响。
9
系统运行平均占用内存
30M
10
系统运行平均占用CPU时间
5%
11
系统运行最大占用硬盘空间
200M
13
报表浏览平均延迟
20s
14
BP、电话报警最长延迟
10s
15
自动配置最长耗时
90s
16
数据采集站最大支持带宽
100M全双工
17
管理通信平均占用网络带宽率
>0.2%
表5-1网维通2.0的各项技术参数
2.6其他
●提供整个数据中心的设计依据;
●提供数据中心的性能测试手段、工具等;
●产生下列需求时,具有方便、灵活的扩充能力,如:
cacheserver,SSL加速器等;
●提供数据中心的网络管理系统提供源代码、算法说明、技术手册、测试手册、使用手册等;
●提供网管系统的开发和测试工具;
答:
完全满足。
方案的设计、实施和测试是一套完成的工程。
充分考虑了系统的可扩充能力,在山东数据中心有如:
cacheserver,SSL加速器等需求的时候,能够方便、灵活的进行系统扩展。
卖方完全可以提供设计依据、性能测试手段、工具、网络管理系统提供源代码、算法说明、技术手册、测试手册、使用手册和网管系统的开发和测试工具。
但买方需另行支付卖方相应费用,具体价格面议。
第三章其他问题
3.1系统测试与验收
3.1.1出厂验收
出厂验收在卖方所在地时产生的花费都应包含在报价中,买方验收人员人数及时间待定。
3.1.2发货计划
卖方要提出一份设备,安装材料、工具、软件包和文件的详细的发货计划,发货应由买方认可。
3.1.3设备安装、调测、
升级会员 