商城信息化建设项目方案.docx
《商城信息化建设项目方案.docx》由会员分享,可在线阅读,更多相关《商城信息化建设项目方案.docx(22页珍藏版)》请在冰豆网上搜索。
商城信息化建设项目方案
商城信息化建设
解
决
方
案
2019年7月
一、项目介绍
1、背景
市场的发展离不开信息化的建设,本次项目建设目的在于依托互联网与物联网,将市场内蔬菜区进行电子结算覆盖,所有蔬菜区商户均可采用电子结算,增加交易效率,后期逐步扩展至其它区域,以达到全覆盖。
2、需求
1、铺位均需要部署信息点位。
2、区域无线全覆盖。
3、搭建软件后端数据中心。
3、设计原则
系统设计原则:
设计本着“总体规划、分步实施、加强基础、适度超前”的原则。
注重实用,适当超前,一次达到较为先进的水平。
充分考虑智能化集成特点,系统拓扑结构必须要满足信息传输和智能化控制的各种应用要求。
综合布线系统设计应基于网络设计,为网络系统提供高速、稳定、安全的物理平台。
高可靠性:
综合布线系统是网络应用及智能化集成所依赖的基础,因此选择的系统产品要具备较好的可靠性和抗干扰性。
标准化:
通讯协议和接口符合国际标准,并应是今后的发展主流。
整个布线系统采用全模块化结构,标准化标识规范,便于集中管理、扩展和修改。
开放性:
能容纳不同厂家的设备和不同的网络平台。
可支持通信技术的数字化、可视化、实时化应用,兼容话音、数据、图文、图像及控制信号的传输,具有较大的灵活性和较强的升级性。
安全性:
具有保证信息不被窃、不丢失的机制。
二、综合布线系统
综合布线系统是校园网络运行稳定的基础,因为综合布线工程全部采用隐蔽式施工方案,所以选用质量好、扩展性强的产品是施工的重点。
本次布线设计全部采用六类非屏蔽双绞线布线,各分区之间全部采用光纤传输,可以达到千兆到桌面。
设计选用了先进的计算机网络系统和通讯系统,有效地利用这些设备,使之发挥最大的效果,将采用综合布线系统实现计算机系统资源扩充,本布线系统的设计均采用国际标准及有关工业标准,并结合业主的具体要求予设计。
1、工作区子系统
工作区子系统由设在各交易区内的信息插座、跳线(连接信息插座至终端设备之间的线缆)构成;信息插座为6类RJ45插座。
在本项目中,所有的信息插座均为双孔模块插座,可使用86型底盒安装在墙壁上,也可以根据实际情况,将它安装在合适的位置。
不同型号的计算机和终端可以通过RJ45标准跳线方便地连接到信息插座上。
由于RJ45插口均采用了免工具端接工艺,可靠性和成功率均有了较大改进。
本系统中,水平电缆的两端(插座面板和配线面板)均采用了6类非屏蔽RJ45模块(采用568A端接排列顺序),故可实现语音/数据完全可互换,仅需要在配线架上改变跳线即可,大大方便了今后的实际应用。
在插座面板上均安装了绘有计算机符号和电话机符号的标签,便于使用者的正确连接。
2、水平干线子系统
水平子系统由各配线间至各个工作区之间的电缆组成。
水平子系统布线均采用6类非屏蔽双绞线缆组成。
3、管理区子系统
管理子系统由机房至交易区主配线系统构成,负责信息通道的统一管理。
主要由带光电转换功能的交换机、配线架、机柜等组成。
本方案中采用的机柜均为19”标准机柜。
机柜顶部安装有2-4个风扇,背后安装电源线槽,正面安装玻璃门(带暗装门锁,以防刮伤人或衣服),后背板和侧板均可拆卸。
机柜的箱体光洁,无皱纹、裂纹、毛刺和焊接痕迹。
三、核心网络系统
1、设计原则
本次网络建设作为典型的园区网,通常是一种用户高密度的非运营网络,在有限的空间内聚集了大量的终端和用户。
同时对于园区网而言,注重的是网络的简单可靠、易部署、易维护。
因此在园区网中,拓扑结构通常以星型结构为主,较少使用环网结构(环网结构较多的运用在运营商的城域网络和骨干网络中,可以节约光纤资源)。
基于星型结构的园区网设计,通常遵循如下原则:
Ø层次化
将园区网络划分为核心层、汇聚层、接入层。
每层功能清晰,架构稳定,易于扩展和维护。
Ø模块化
将园区网络中的每个部门或者每个功能区划分为一个模块,模块内部的调整涉及范围小,易于进行问题定位。
Ø冗余性
关键设备采用双节点冗余设计;关键链路采用Trunk方式冗余备份或者负载分担;关键设备的电源、主控板等关键部件冗余备份。
提高了整个网络的可靠性。
Ø安全隔离
园区网络应具备有效的安全控制。
按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。
Ø可管理性和可维护性
网络应当具有良好的可管理性。
为了便于维护,应尽可能选取集成度高、模块可通用的产品。
2、总体网络架构
2.1、逻辑架构
ü园区网络的逻辑架构如下图所示,包括五大部分。
Ø终端层:
包含园区内的各种终端设备,例如PC、笔记本电脑、打印机、传真、POTS话机、SIP话机、手机、摄像头、计费终端等等。
Ø接入层
负责将各种终端接入到园区网络,通常由以太网交换机组成。
对于某些终端,可能还要增加特定的接入设备,例如无线接入的AP设备、POTS话机接入的IAD等。
Ø汇聚层
汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层,扩展核心层接入用户的数量。
汇聚层通常还作为用户三层网关,承担L2/L3边缘设备的角色,提供用户管理、安全管理、QoS(QualityofService)调度等各项跟用户和业务相关的处理。
Ø核心层
核心层负责整个园区网的高速互联,一般不部署具体的业务。
核心网络需要实现带宽的高利用率和网络故障的快速收敛。
Ø园区出口
园区出口是园区网络到外部公网的边界,园区网的内部用户通过边缘网络接入到公网,外部用户(包括客户、合作伙伴、分支机构、远程用户等)也通过边缘网络接入到内部网络。
Ø数据中心区
部署服务器和应用系统的区域。
为企业内部和外部用户提供数据和应用服务。
ØDMZ(DemilitarizedZone)区
通常公用服务器部署于该区域,为外部访客(非企业员工)提供相应的访问业务,其安全性受到严格控制。
ØExtranet区
与DMZ区相似,但它主要是面向合作伙伴提供服务。
Ø网络管理区
对网络、服务器、应用系统进行管理的区域。
包括故障管理、配置管理、性能管理、安全管理等。
2.2、拓扑图
2.3、设计思路
✓骨干部分:
核心交换机采用高端框式交换机,支持双电源,双主控,避免单点故障。
2台设备通过40G接口的高速电缆互联,虚拟化为一台设备,下行采用万兆光口e-trunk绑定多万兆端口互联至汇聚交换机,扩大带宽的同时,保障链路的冗余性质。
同时上行采用万兆接口分别连接至2台防火墙设备。
核心交换机自身支持的AC控制器功能,可以很好的节省本次网络建设中的无线控制器设备开销,通过内置的无线控制板卡,做到有线以及无线的深度一体融合。
简化网络的管理难度。
✓出口部分:
部署2台防火墙设备,通过热备协议,在防火墙之间通过心跳接口互联,使能防火墙之间同步策略以及其他关键数据,下行配置VRRP协议与核心交换机万兆接口互联。
在逻辑网络结构上形成一个设备之间相互冗余的关系。
保障整体骨干以及出口部分的网络安全,降低设备的单点故障风险。
同时在防火墙的上行部署3台接入交换设备,主要用于接入运营上以及外部出口链路。
通过交换设备与2台防火墙之间形成的VRRP链路,可以很好的保证网络出口的链路冗余。
使用防火墙的SSLVPN功能与IPSECVPN功能可以安全的与外部员工以及分支机构之间互联,通过VPN技术将多个站点之间的内网打通。
✓汇聚部分:
园区的内网作为企业的生产网,网络的健壮与稳定尤为重要,本次汇聚层设计使用双汇聚的架构,避免单点故障,同时汇聚设备也采用双电源交换机。
使用万兆光纤接口堆叠之后,将交换机逻辑成为一台设备,通过多链路光纤上行至核心交换机。
✓接入部分:
本次接入部分采用千兆到桌面,万兆到汇聚的设计思想,使用接入交换机,支持千兆电口与万兆光口。
在部署上在接入交换机与终端你相连的接口开启stp的边缘端口,避免哑终端的DHCP上线与2层STP生成树收敛冲突,造成哑终端的地址无法正确获取。
✓无线部分:
本次无线主要覆盖的场景为室外的市场区域,以及办公环境的办公室。
室外区域由于环境天气的比较恶劣,对于普通AP来说无法适应极端的天气环境,本次室外设计使用室外AP,支持全向与定向的天线同时工作,支持802.11AC协议,支持IP41级别的防水防尘。
对于恶劣天气的无线覆盖提供强有力的保障。
✓该组网结构具有如下特点:
以核心节点为“根”的星型分层拓扑,架构稳定,易于扩展和维护。
各部门和功能分区模块清晰,模块内部调整涉及范围小,易于进行问题定位。
双节点冗余设计,关键链路均采用Trunk链路,保证网络的可靠性。
支持各种业务终端接入,一张IP网络承载所有业务。
支持分支接入、员工远程接入、合作伙伴接入、外部用户访问等各种外联场景。
2.4、无线场景覆盖
✓室外区域覆盖
覆盖需求:
操场这类场所是室外覆盖的典型场景。
相对于室内环境,室外环境要更加恶劣,部署的AP要面临严寒酷暑,风吹雨淋以及雷电灾害的挑战。
本次项目无线网络建设的室外重点覆盖区域为交易市场部分。
总结此类场景的特点:
覆盖范围内,用户通过无线网络可以随时、随地、随意无线上网
覆盖区域为室外开发空间
覆盖区域相对空旷,无密集建筑物遮挡
用户的流动性强,上网带宽需求小
设备选型:
此类校园网场景,室外重点覆盖的区域一般在300-500平方米,设备要有防尘,防雨,防雷的能力,应选用防护等级为IP67,内置防雷器,双空间流,11AC设备。
推荐使用AP8150DN。
天线选型
室外型AP一般选配室外型定向或全向天线。
本次无线覆盖场景中,使用全向作为无线的覆盖,定向作为无线覆盖的补充。
3、网络数据规划
本次方案设计的主旨在于设计一个安全可用以及利于扩展的网络项目。
方案设计前期需要考虑到业务的特殊性,针对不同的业务作出不同的业务规划。
本次网络优化设计的主体为:
有线网络,无线网络,出口安全等三块数据的规划。
3.1、有线网络业务规划
有线网络作为承载整个生产网的核心网络,其数据规划非常重要。
针对本次项目的内网【有线】主要作出一下规划:
内网段的设计:
内网网段的设计应该依托于现有业务使用的IP地址数量,以及未来可能使用的IP地址数量设计网段规划,避免后期IP地址扩容等会影响到网络使用的结果。
VLAN规划:
VLAN技术是针对2层网络广播域过大提出的技术,主要思想是为了隔离2层的广播域。
例如本次网络中若不划分VLAN,当一台交换设备发生广播风暴问题,可能会造成整个网络的瘫痪。
本次设计VLAN按照每个业务一个VLAN划分。
并且设备管理VLAN与业务VLAN分开,避免业务中断过程中间,设备无法管理等困境。
生成树规划:
本次所有的设备默认开启了STP协议【防环协议】。
但是协议开始对于终端接入设备而言,上线需要等待30S左右的生成树收敛时间,并且在接入人数较多场景,接口的频繁开启会造成STP的收敛震荡,MAC地址频繁学习等2层故障。
针对这种2层技术,本次设计上需要针对所有连接终端接口开启边缘端口,边缘端口可以加速终端上线等待时间,即插即用,同时也可以防止人为接线错误导致的环路。
3.2、无线网络业务规划
无线网络作为市场的主要使用网络,设计之初就考虑到提高无线使用效果,无线AP性能提高主要依赖于一下几种调优技术:
✓转发利用率
将AP的管理VLAN与业务VLAN之间隔离,并且在业务网段上开启组播、广播抑制功能,保障AP空口转发率的利用率,提高无线总体带宽利用率。
✓无线漫游
本次设计采用AC+瘦AP的模式,整体无线SSID名称一致,当一个终端与上联AP之间的信号强度下降并且检测到周边更强的信号源,AP主动对终端发起漫游功能,连接至信号更强的AP设备,保障无线体验最优。
✓5G优先接入
本次项目所有AP均支持2.4G和5G双频接入,5G是未来发展的趋势,目前大部分终端可以同时支持2.4G和5G,特别是南大职工和学生使用的手机终端,5G优先接入可以让这种终端,优先5G接入,保证更高的接入速率;5G优先接入是指对于双频AP(AP同时支持2.4G和5G射频),如果STA也同时支持5G和2.4G的功能,则AP控制STA优先接入5G。
现网应用中,大多数STA同时支持5G和2.4G的功能,STA通过AP接入Internet时,通常默认选择2.4G接入。
如果用户想要接入5G,需要手工选择。
在高密度用户或者2.4G频段干扰较为严重的环境中,5G频段可以提供更好的接入能力,减少干扰对用户上网的影响。
通过5G优先接入功能,AP可以控制STA优先接入5G。
3.3、无线网络认证规划
✓职工无线认证方案
职工终端用户的账号可由现有的人事系统、邮箱系统或者其他数据库中导出,然后通过AgileController系统提供的Excel模板统一批量导入到系统里,AgileController提供了批量导入功能,可根据每个职工的工号或者姓名,统一一个默认密码导入到系统中,要求职工上网第一次认证之后必须更改密码,即可实现职工账号的开户。
认证流程:
职工通过无线登录认证的流程如下:
Ø职工在终端搜索无线SSID,与AP建立关联,获取IP地址。
Ø职工访问WEB站点,AC将用户请求重定向到Portal认证页面。
Ø职工在认证页面输入用户名及密码或者PASSCODE,进行认证。
ØPortal服务器向AC发起Portal协议认证。
ØAC向AAA服务器发起Radius认证
Ø认证通过,向AC下发访客网络权限。
ØAC通知Portal服务器发送认证成功。
ØPortal服务器提示认证成功。
✓访客无线认证方案
访客账号的生成同职工账号获取方式一样,但针对访客账号的管理,可单独或批量设置帐号的无线使用时间段,可单独或批量设置同一帐号多人使用(可供访客人员临时使用),可单独或批量设置同一帐号只允许单人使用(为防止帐号被冒用而无法察觉)。
访客通过无线登录认证的流程如下:
Ø访客在终端搜索无线SSID,与AP建立关联,获取IP地址。
Ø访客访问WEB站点,AC将用户请求重定向到Portal认证页面。
Ø访客在认证页面输入用户名及密码或者PASSCODE,进行认证。
ØPortal服务器向AC发起Portal协议认证。
ØAC向AAA服务器发起Radius认证(Radius属性中携带访客MAC地址)。
Ø认证通过,向AC下发访客网络权限。
ØAC通知Portal服务器发送认证成功。
ØPortal服务器提示访客认证成功。
3.4、出口策略规划
出口网络作为整个网络系统的的边界,设计之初应该考虑到出口设备的冗余性质,一方设备出口的故障导致的整个网络瘫痪,避免相应的经济损失。
本次设计为双防火墙强出口,开启HRP同步协议,将NAT以及安全策略,地址信息等相互同步,保持防火墙的会话表同步,避免TCP请求丢失。
防火墙安全策略规划如下:
源区域
Any
Ttrust
Ttrust
unTtrust
目标区域
Any
Ttrust
unTtrust
Ttrust
访问权限
拒绝
允许
允许
拒绝
3.5、核心交换机CSS集群规划
网络核心设备设计两台框式交换机、两台交换机之间采用集群技术。
✓集群示意:
高可靠:
交换网硬件集群,直接通过交换网转发设备间控制和数据报文,同时控制报文可以走专有硬件通道,控制链路故障时,可以将控制面切换到转发面,双平面硬件集群更可靠
易应用:
转发面任意一个端口与对框的任一集群卡的端口按照面板顺序对接即可建立集群,控制面任意一个端口与对框连接即可建立集群,且不占用业务槽位
创新性:
主控1+N备份,实现单主控集群。
使用集群功能,可以保障设备故障之后,单台设备主控只要存在一套网络还可以正常使用,极大的提高了网络的可靠性。
3.6、内部服务器规划
内部服务器区用于放置为企业内部提供服务的服务器。
对外服务所需的APP和DB服务器,建议放在DMZ区,规模达到一定程度需要建设专门的数据中心。
✓内部服务器规划图
由于内部用户能够造成更大的安全威胁,所以内部服务器采取“未经明确允许的就是被禁止的”及“最小授权”的严格安全策略。
内部服务器区安全部署重点关注内部子分区的隔离,按照企业组织、密级、业务进行子分区划分。
各子分区共用的设备,不同部门或业务采用虚拟技术隔离,如VLAN、VPN实例;子分区分开使用的设备,网络管理、系统管理在物理位置上分开。
通过NAT技术实现公网和私网的转换,通过IPsec、SSLVPN、GREoverIPsec等技术实现安全访问。
四、数据中心
1、非虚拟化方案
1.1、介绍
每台服务器单独部署应用,可参照此方案进行。
确定:
资源浪费严重,管理维护难度大。
随着业务量的增加,后期的维护及投入成本急速增加。
2、虚拟化方案
2.1、虚拟化简介
当下的x86计算机硬件是专为运行单个操作系统和单个应用程序而设计的,因此大部分计算机远未得到充分利用。
借助虚拟化,您可以在单台物理机上运行多个虚拟机,每个虚拟机都可以在多个环境之间共享同一台物理机的资源。
不同的虚拟机可以在同一台物理机上运行不同的操作系统以及多个应用程序。
在他人正赶搭虚拟化快车之时,VMware已成为虚拟化领域的市场领先者。
我们的技术已经过生产验证,使用客户已超过170,000家,其中包括财富100强中的全部企业。
2.2、虚拟化的工作原理
VMware虚拟化平台基于可投入业务使用的体系结构构建。
使用VMwarevSphere等软件可转变或“虚拟化”基于x86的计算机的硬件资源(包括CPU、RAM、硬盘和网络控制器),以创建功能齐全、可像“真实”计算机一样运行其自身操作系统和应用程序的虚拟机。
每个虚拟机都包含一套完整的系统,因而不会有潜在冲突。
VMware虚拟化的工作原理是,直接在计算机硬件或主机操作系统上面插入一个精简的软件层。
该软件层包含一个以动态和透明方式分配硬件资源的虚拟机监视器(即“虚拟化管理程序”)。
多个操作系统可以同时运行在单台物理机上,彼此之间共享硬件资源。
由于是将整台计算机(包括CPU、内存、操作系统和网络设备)封装起来,因此虚拟机可与所有标准的x86操作系统、应用程序和设备驱动程序完全兼容。
可以同时在单台计算机上安全运行多个操作系统和应用程序,每个操作系统和应用程序都可以在需要时访问其所需的资源。
2.3、实现虚拟化带来的好处
通过虚拟化提高IT资源和应用的效率和可用性。
首先消除“一台服务器、一个应用”的旧有模式,在每台物理机上运行多个虚拟机。
让您的IT管理员腾出手来进行创新工作,而不是花大量的时间管理服务器。
在非虚拟化的数据中心,仅仅是维持现有基础架构通常就要耗费大约70%的IT预算,用于创新的预算微乎其微。
借助在经生产验证的VMware虚拟化平台基础上构建的自动化数据中心,您能够以前所未有的速度和效率响应市场动态。
VMwarevSphere可以按需要随时将资源、应用程序甚至服务器分配到相应的位置。
VMware客户通过使用VMwarevSphere整合其资源池和实现计算机的高可用性,通常可以节省50%到70%的IT总成本。
∙可以在单个计算机上运行多个操作系统,包括Windows、Linux等等。
∙通过创建一个适用于所有Windows应用程序的虚拟PC环境,让您的Mac计算机运行Windows。
∙通过提高能效、减少硬件需求量以及提高服务器/管理员比率,降低资金成本
∙确保企业级应用实现最高的可用性和性能
∙通过改进灾难恢复解决方案提高业务连续性,并在整个数据中心实现高可用性
∙改进企业桌面管理和控制,并加快桌面部署,因应用程序冲突而带来的请求支持的来电数量也随之减少
2.4、方案体系架构
该方案体系架构中包含如下组件:
ESXiServer
vCenterServer
vMotion
vSphereClient
2.5、方案描述
此方案中我们采用3台高配的双路机架式服务器,并在其上部署VMwareESXi操作系统。
共享存储采用光纤存储,并将该存储通过光纤交换机连接到3台ESXi服务器,组成一个具备高可用性的ESXi集群。
运行在ESXi上的虚拟机可以实现从一台ESXi服务器迁移到另一台ESXi服务器,而且业务不中断。
若其中任意一台ESXi服务器突然宕机,其上运行的虚拟机可以自动迁移到另一台ESXi服务器。
通过vCenterServer可以统一管理ESXi主机和运行在其上的虚拟机。
2.6、VMwarevSphere功能说明
2.6.1、vSpherevMotion
使用VMotion™迁移运行中的虚拟机和执行无中断的IT环境维护。
vMotion;平台管理模块要能提供VMotion功能,可以方便的时间虚拟机不停机的从一台PC服务器迁移到另外一台,从而避免“多个鸡蛋放到一个篮子”可能造成的顾虑,同时现在支持通过较高延迟的网络链路进行虚拟机迁移。
下面的图示大概描述了vMotion功能实现;
图表vMotion实现原理
2.6.2、vSphereHA
平台管理要能提供高可用解决方案,如HA、FT容错功能,确保虚拟机的可用性。
下面图示了HA和FT功能机理;
图表VMwareHA功能示意图
使用VMwareHA实现经济高效、独立于硬件和操作系统的应用程序可用性。
2.6.3、VMwareDistributedResourceScheduler(DRS)
动态地实现服务器资源负载平衡,以根据业务优先级向正确的应用程序提供正确的资源,从而让应用程序可以根据需要压缩或增长。
2.7、方案实施后的效果
虚拟化项目成功实施之后,服务器数量、网络设备、机架、其它外设以及IT支撑设备会大量减少,机房环境会变得更加易于管理并井井有条。
vCenter是一个强大的集中虚拟化管控工具,通过vCenter可以管理到虚拟化涉及的方方面面,纵观整个虚拟化架构也是基本功能。
下图演示了通过vCenter查看虚拟化架构拓扑的实景图。
图表vCenter演示
从管理角度观察,虚拟平台环境一目了然,运行状态、功能信息等随时掌握。
下面是通过管控中心vCenter进行管理的界面演示:
图表vCenter演示
图中左边是硬件设备以及虚拟设备资产,右边是状态信息以及各种配置信息等,所有可管理的内容都容纳在vCenter之中。
vCenter是为了集中管理和监控虚拟机、实现自动化以及简化资源调配,对所有物理服务器及其上的虚拟服务器进行统一管理的工具。
可以看到,虚拟化集群之内的配置参数、运行状态、逻辑关系等等信息都可以一目了然的呈现出来。
同时还可以针对集群定义所需要的高级功能,如HA、vMotion、DRS等。
如果集群之中出现硬件故障,可以通过虚拟化快速恢复,保证较高级别的业务连续性水平。
对于性能的监控、管理,vCenter也极为便利,可以根据需求定义需要监控的资产设备,快速定位性能瓶颈或发现问题根源。
如下图所示:
图表vCenter演示
VMware还提供了Web客户端,可以从全球任何位置以Web方式访问虚拟化平台vsphere,并且完成对数据中心的操控管理。
就像如下界面:
集中化的管控中心可以完成绝大部分的IT管理职能,大大减少了琐碎的管理事务,提高管理人员的生产效率。
经过一段时间的运行,还可以进行“节能减排”带来的效益分析,从绿色环保角度体会虚拟化带来的益处。
经过不断的利旧扩容,或者采购高配置服务器,逐渐扩大虚拟化的范围和规模,最后形成“云计算”架构的IT基础框架,达到提升IT管理水平的目的。
2.8、方案优势
1、降低总体拥有成本(TC
升级会员 