疾控中心机房方案最终070319带完整预算报价.docx
《疾控中心机房方案最终070319带完整预算报价.docx》由会员分享,可在线阅读,更多相关《疾控中心机房方案最终070319带完整预算报价.docx(36页珍藏版)》请在冰豆网上搜索。
疾控中心机房方案最终070319带完整预算报价
目录
1、需求分析3
1.1设计目标4
1.2设计原则4
1.3设备选型5
2、网络拓扑6
2.1外网系统网络拓扑6
2.2内网系统网络拓扑6
2.3核心层设计7
2.4网络安全设计11
3、服务器部署13
3.1防病毒服务器(2台)13
3.2邮件服务器(1台)14
3.3KVM服务器切换器(CA108DC)15
4、软件系统16
4.1操作系统软件16
4.2邮件系统软件16
4.3防毒软件16
5、供电防雷系统设计19
6、配线系统23
7、方案特点24
8、设备清单:
28
1、需求分析
河北省疾病预防控制中心是根据国家和省的总体卫生改革部署,在撤并原省卫生防疫站、省地方病防治所、省职业病防治所、省放射卫生研究所、省结核病防治所、省医学科学院等6家单位基础上组建的省卫生厅直属事业单位,同时加挂河北省医学科学院、省卫生检测中心、省职业病防治院、省卫生宣传教育中心等四块牌子,于2001年8月正式成立。
主要职责为:
(一)实施全省疾病预防控制规划、方案,对重大疾病流行趋势进行监测与预测预警;
(二)指导和开展重大突发公共卫生事件调查与处置;
(三)开展病原微生物检验检测及毒物与污染物的检验鉴定和毒理学检验,负责全省疾病预防控制实验室质量控制;
(四)建设省级网络信息平台,管理全省疫情及相关公共卫生信息网络;
(五)组织开展食品卫生、职业卫生、放射卫生和环境卫生等公共卫生领域健康危害因素监测、危险性评价和预警工作;
(六)承担卫生监督执法检验检测及技术仲裁工作以及省内职业病诊断鉴定工作;
(七)指导全省健康教育与健康促进和社区卫生服务工作;
(八)开展对设区的市级、县级疾病预防控制机构的业务指导、人员培训以及业务考核,规范指导辖区内医疗卫生机构传染病防治工作;
(九)开展疾病预防控制应用性科学研究,推广先进技术。
目前疾控中心新楼即将竣工,整个楼内网络分为内网和外网两个网络,内网与国家和地市级疾控中心连接,外网为公共信息服务平台,楼层内双网布线工作已经完成,楼层交换机安装在各楼层弱电竖井内,本项目中涉及到工程主要包括以下几点:
Ø部署内外网核心层网络设备及网络安全设备;
Ø部署服务器,主要包括部署防病毒服务器、OA服务器、内外网应用服务器、邮件服务器、电子图书多媒体服务器;
Ø以上设备的安装调试;
1.1设计目标
网络平台
采用技术成熟,性价比优良的千兆以太网技术,部署内外网核心层设备,保证网络主干千兆传输速率,百兆交换到终端;部署防火墙,保证网络安全。
服务器平台
部署防病毒、OA、内外网应用、邮件、电子图书服务器,提供杀毒、办公自动化、应用、邮件交换、电子资料文档浏览查询等服务器。
1.2设计原则
Ø实用性原则
作为一个系统,实用性永远是放在第一位的。
实用性是系统赖以生存的基础。
对于企业网络这样一个系统,必须是实用的。
方案设计要求主要技术和产品,具有成熟、稳定、实用的特点,并充分满足应用,技术开发及信息管理的需要,且有实用例子(而不选厂商的非主流产品,或只宣布而无实例的产品),厂商有备品,备件的支持。
Ø先进性原则
作为一个系统,先进性是系统赖以生存发展的条件。
为保证网络能保持在一定时期内不落后,及系统互连的方便性,我们在该系统的设计时,应尽可能采用先进开放的技术和产品。
从国内外的一些系统建设的实际经验和教训来看,先进性如不能保证,则会在系统的使用阶段出现后期投资追加过大,系统维护费用加大等问题。
在设计中,我们是依据先进性与成熟性并重的原则考虑的。
Ø开放性与标准化原则
开放性与标准化原则是一个系统赖以生存发展的基础。
开放的系统,才能发展,才能体现良好的低投入高产出的投资收益。
只有坚持标准化的系统,才能保护用户的投资,才能发展,才能体现良好的可扩展和互操作能力,对于计算机综合管理网络这样一个系统,开放性与标准化原则是十分必要的。
从国内外的一些系统建设的实际经验和教训来看,开放性与标准化原则如不能保证,则会在系统的使用阶段出现后期使用和维护的困难,系统维护费用加大,系统发展较困难甚至必须重复投资等问题。
我们认为,选择的产品应当倡导开放性,并且,所选产品都遵循相应的标准。
Ø可扩展性及升级能力
为了保证该工程的有效性和实用性,同时又保证该网络在一定时期内不落后,我们在网络设计时,并不是一味追求高配置,而是在保证网络的先进性的同时,选择具有良好扩展性和升级能力的网络设备,设计出具有良好扩展性的网络拓扑,在设计中,系统结构模块化,软硬件平台可以积木式拼装,网络中的设备均可扩充,以保证整个网络系统的可扩展性及升级能力。
Ø可管理性和可维护性原则
作为一个系统,其网络管理和维护十分重要,直接关系到整个网络是否能稳定而可靠地运行。
在网络建设工程中,除了在网络设计时采用了统一建网模式,利用了结构清晰的网络拓扑,还将提供一整套网络测试或维护方案。
另外,采用一套好的网络管理软件也非常至关重要。
Ø可靠性原则
本网络工程其可靠性和稳定性直接关系到应用得好坏。
网络系统的故障可能直接给应用带来灾难性的损失。
本网络所采用的主要产品采用可靠性设计,力求系统的安全,可靠,稳定运行。
Ø最佳的性能价格比原则
本系统在设计上寻求最佳的性能价格比,对原有设备硬件的投资,亦应加以保护。
1.3设备选型
网络核心层设备选型
内外网均需有承载800个信息终端无阻碍数据交换的能力,对背板带宽,包转发速率有较高的要求,并且,核心层网络设备承担了大部分的网络管理功能,对于QOS,带宽、流量分配设置等都有较高要求,因此我公司推荐采用神州数码的DCRS-6800系列IPv6多业务万兆路由交换机。
该系列设备在拥有极强的性能同时还具有极优的性价比,在承载用户业务的同时节省用户投资,降低建设成本。
服务器设备选型
服务器设备我公司推荐浪潮NF280D系列机架式服务器设备。
浪潮为国内知名硬件设备及服务提供商,该系列产品在节省空间的优化设计和机架安装环境下,提供最大的功能数据中心,完全满足对外提供服务器及数据存储的需求。
2、网络拓扑
2.1外网系统网络拓扑
2.2内网系统网络拓扑
2.3核心层设计
内外网系统中核心层设备均采用神州数码IPv6多业务万兆路由交换机DCRS-6808。
DCRS-6808提供10个槽位,拥有2.0Tbps的背板带宽,960Gbps的交换容量,可以714Mpps的速度全线速地进行L2/L3数据转发,为网络提供强劲动力。
在端口配置方面,该设备提供最多384个千兆接口或者最多32个万兆接口,能够完全满足用户现有需求及对于网络规模的扩展要求,并且DCRS-6800系列路由交换机率先通过最为苛刻的国际IPv6Ready第二阶段认证,为将来向IPv6网络过渡打下坚实基础。
本项目中,核心交换机配置如下
产品
描述
单位
数量
备注
DCRS-6808
10插槽核心路由交换机机箱(最多3个电源,N+1冗余,标配1个MRS-PWR-B1-AC交流电源,3个热插拔风扇盘,不含管理模块)
台
2
MRS-PWR-B1-AC
220V交流电源模块(600W),适用于DCRS-7608(V1)和DCRS-6808
台
2
MRS-6808-M
DCRS-6808管理模块
块
2
MRS-6800-4GX24TX
DCRS-6800系列24口10/100BaseTX百兆接口和4口千兆Combo(SFP/GT)接口模块
块
4
SFP-GT
1000Base-TSFP接口卡模块,RJ-45接口
块
16
配置介绍如下:
⏹核心交换机DCRS-6808本身具备10个扩展插槽,机箱标配1个交流电源模块,另配一个冗余电源模块,保证交换机在单个电源损坏的情况下能够启用冗余电源,持续工作;
⏹配置一个三层管理模块,使该设备具备三层路由功能;
⏹配置2块MRS-6800-4GX24TX(24口百兆+4口千兆Combo接口)业务板,用于实现楼层交换机到核心交换机的百兆上联,并为每个千兆电接口接口配置接口卡用于服务器、防火墙设备到核心交换机的千兆连接;
主要性能参数
项目
DCRS-6808
插槽
10
端口
10/100/1000BASE-T最多384个
1000Base-SX最多384个
1000Base-LX最多384个
10/100BASE-T最多384个
万兆最多32个
背板带宽
2.0Tbps
交换容量
960Gbps
包转发速率
714Mpps,L2/L3全线速
MAC表项
128K
VLAN表项
4K
IP路由表项
128K(可扩展到256K)
IP主机表
128K
二层协议规范
IEEE802.3(10Base-T)、
IEEE802.3u(100Base-TX)、
IEEE802.3z(1000BASE-X)、
IEEE802.3ab(1000Base-T)、
IEEE802.3ae(10GBase)、
IEEE802.3ak(10GBASE-CX4)、
IEEE802.1Q(VLAN)、
IEEEE802.1d(STP)、
IEEEE802.1W(RSTP)、
IEEEE802.1S(MSTP)、
IEEE802.1p(COS)、
IEEE802.1x(PortControl)、
IEEE802.3x(流控)、
IEEE802.3ad(LACP)、
PortMirror、IGMPSnooping、超长帧JumboFrame(≥9Kbytes)、
QinQ、GVRP,VLAN,PVLAN,SuperVLAN,广播风暴控制
基于端口的802.1Q协议,整机最多支持4096个VLAN,同时支持基于端口、MAC的VLAN划分
三层协议规范(v4)
IP/IPX(其中IP支持IPv4、IPv6双栈)、
StaticRouting、
RIPv1/V2,并支持MD5认证、
OSPFv2、BGP4、IS-IS、LPMRouting、
Policy-basedRouting(PBR)、ECMP、WCMP、
VRRP、HSRP、
IGMPv1/v2/v3、DVMRP、PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGP
ARP、ARPProxy、
QoS
完全硬件实现,不影响性能。
每端口8个队列。
支持CAR。
支持基于802.1p、ToS、端口、DiffServ进行流量分类
还可以根据ACL-X的80个字节高层内容进行流量分类,
支持SP、WRR、SWRR、WFQ、CBWFQ、PQ、WRED。
为语音/数据/视频在同一网络中传输提供所要求的不同服务质量
支持TrafficShapping(流量整形)、
支持优先级Mark/Remark
ACL
完全硬件线速实现,不影响转发性能。
支持标准和扩展ACL,
支持IPACL、基于IP子网的ACL、MACACL、IP-MACACL,
支持基于源/目的IP或MAC、三层IP协议类型、TCP/UDP四层端口号、IP优先级(DSCP、ToS、Precedence)、基于VLAN、Tag/Untag、CoS等
ACL-X
支持基于时间自动改变安全策略。
ACL规则可以配置到端口、VLAN、VLAN路由接口。
ACL的深度内容可被用于QoS分类的标准,深度可达80字节。
防攻击和安全功能
S-ARP(安全ARP)功能:
ARP检查、防ARP-DOS攻击、防地址仿冒
Anti-Sweep:
防pingSweep等各类扫描行为
S-ICMP(安全ICMP)功能:
防止PING-DOS攻击;
防ICMPUnreachable攻击
S-Buffer功能防止DDOS攻击
软件IP流量抗冲击功能防止DDOS攻击
交换引擎CPU核心保护功能
关键协议绿色通道功能:
可保障合法、频率正常的关键信令处理
端口信任模式:
检测非法DHCPServer、非法RadiusServer等,
只在信任端口才能接入这些设备。
先进的LPM技术:
可防止“冲击波”病毒、“zeroday”病毒、“SQLslammerwarm”病毒等。
支持URPF(单播反向路径检查),可有效防止IP地址仿冒和攻击。
以上技术可有效防止各种DOS攻击(如ARP攻击,Synflood攻击,Smurf攻击,ICMP攻击)支持ARP监听,防蠕虫、冲击波,检测各种扫描行为并告警屏蔽
应用层业务管理功能
支持SecAPP特性
高可靠性和冗余均衡特性
支持MVTE,实现基于VLAN的流量均衡
支持主/备切换,所有板卡支持热插拔
支持HSRP,VRRP,支持LACP负载均衡。
支持Firmware&Config双容错备份
多路(2-3路)电网供电、功率负载均衡
性能调度机制
FlexResource
支持主机活动状态感知和资源智能配置技术
支持主机移动感知和资源智能配置技术
可动态回收和再分配芯片资源
采用路由汇聚技术优化芯片表项资源
采取LPM技术优化芯片表项资源
安全可控组播技术
DCSCM
支持组播信源控制,防止非法组播源
支持组播用户可控
支持策略组播
安全可控组播和Radius联动
支持
端口功能
支持MAC+端口捆绑、IP+MAC+端口绑定、IP+端口绑定,
支持MAC过滤,支持IP+MAC(无端口)捆绑
支持端口限速(带宽管理)
支持广播风暴控制,
支持端口镜像(CPU端口镜像、进或者出单向/双向,一对一,多对一,跨板)
支持流控:
HOL防头包阻塞,半双工背压,全双工IEEE802.3x
支持端口聚合IEEE802.3ad(LACP),最大可支持32组trunk,每trunk可到8个端口,每组双向带宽可到8G×2,支持负载均衡。
支持端到端GEC/FEC,每组最多8端口
DHCP
支持Client、Relay
内置DHCPServer,无需外挂,并可以监测非法DHCPServer并告警
用户接入
支持IEEE802.1x
AAA认证
支持RADIUS,支持RADIUS扩展
低耗节能技术
支持,可大大降低功耗,显著提高设备散热性和稳定性
MPLS
MPLS、MPLSVPN、MPLSTE、VPLS(二层MPLSVPN)
IPv6
ICMPv6、ND、
RIPng、OSPFv3、BGP4+
PIM-SMforIPv6,MLDforIPv6(v1),MLDv1/v2
6to4Tunnels、configuredTunnels、ISATAP、NAT-PT
网络配置和管理基本功能
支持CLI、支持Console(RS-232),支持Telnet,
支持SNMPv1/v2/v3,
支持MIB接口,支持Trap
支持RMON1,2,3,9四组
网管SysLog
支持,可记录事件到NVRAM、FLASH、RAM、Telnet、SSHConsole、Syslog服务器等。
配置管理安全
支持SecurityIP功能:
防止在非制定区域非法登陆配置
支持安全SNMPv3
支持SSHv2
支持TACACS+
支持https
命令行权限分级,独立认证,不同级别所能运行的命令行权限
NMS功能
可以通过ACL功能控制用户对交换机的访问权限,包括telnet、web、SNMP的权限,可以有效的做到完全控制,实现NMS功能。
SFlow功能
支持网络流量分析,支持RFC3176,可以实现基于协议或地址的流量监控和统计
异常监测和故障检查功能
任务异常、内存异常、CPU利用率、堆栈异常、
交换芯片异常、板卡温度异常等监测,并告警
线路VCT检测功能(检测5类线故障)
配置管理便捷化
独到的Profile情景模式,可非常方便地在多种用户配置间切换“一行式”设计:
可极大简化复杂功能的配置
cisco风格命令行
集中网管软件
采取神州数码网络LinkManager软件统一管理
物理尺寸(宽深高)
440mm×421mm×266mm
436mm*478mm*797mm
相对湿度
10%~90%无凝结
运行温度
0°C~40°C
电源
交流:
输入90~260V,50~60Hz;
直流:
输入-36V~-72V;输出12V/25A,5V/10A
(此输出参数为每一模块的额定值);
功耗
≤600W
2.4网络安全设计
防火墙NGFW4000-NF-P
本项目中,外网系统部署防火墙。
内网系统中,防火墙的作用主要是防范整体内网系统中其他内网单元对本网的攻击并负责与国家及地市级疾病控制中心网络连接;外网系统中,防火墙的作用主要是防范INTERNET中的恶意攻击,保证内部对外的安全访问并启用NAT功能与INTERNET连接。
防火墙设备选择天融信网络卫士千兆防火墙NGFW4000-NF-P。
该设备标配1个10/100/1000MBase-TX接口,提供6个GBIC插槽,集成防病毒模块,大于160万并发连接与核心交换机间采用千兆铜缆连接,依托其强大的防护功能和数据吞吐能力,在有效保护内网的同时避免了核心设备到防火墙的传输瓶颈,保证内部对外的顺畅访问。
该设备具备如下特点
◆综合网关
NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS(TopsecOperatingSystem),并采用模块化结构设计,既提高了产品性能,又提高了产品的灵活性、高效性和安全性。
通过简单的license控制,NGFW4000-UF可以集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等众多功能,是高性能的综合性的网关产品。
◆病毒检测
作为NGFW4000-UF的可扩展模块,TOPSECAV是邮件病毒及网络文件病毒过滤解决方案,它对流经防火墙的网络数据内容进行安全检查。
为企业提供简便有效的病毒过滤功能,防止电脑病毒以及恶性程序的入侵。
该方案采用基于透明代理和深度数据包检测(DPI)的技术,在企业局域网边界处对常用的应用层协议(SMTP、POP3、HTTP、FTP)数据流进行过滤处理。
用户不需要更改网络结构和客户端计算机的参数设置,只需要在网关防火墙处插入TOPSECAV,即可对通过的数据进行在线过滤。
查杀邮件正文附件、网页及下载文件中包含的病毒,并即时将病毒处理信息通过应用层协议客户端返回给用户。
◆适应复杂的核心网络
核心网络的安全性、稳定性是当今网络的焦点,如何保证核心网络的安全,保证数据的24小时传输成为网络安全的最受关注的问题。
网络卫士系列防火墙能够在核心网络中同所有核心网络设备一起实现高可用性及高安全性的拓扑结构,最大限度地满足了网络的健全性及稳定性,保证了整个核心网络的不间断工作。
当核心网络中的某条链路产生故障时,网络卫士系列防火墙能够动态的切换链路,实现数据的不间断传输。
同时结合防火墙的其他安全特性,使整个网络无比健壮。
◆多级过滤的立体访问控制
采用了多级过滤措施,以基于OS内核的核检测技术为核心,提供从链路层到应用层的全面安全控制。
在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP、UDP端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。
网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
◆安全高效的TOS操作系统
具有完全自主知识产权的TOS安全操作系统,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性。
入侵检测(IDS)TopSentry2000
网络卫士(NetGuard)入侵检测系统是北京天融信公司获得多项国际、国内安全认证与奖项的新一代入侵检测与防护系统。
它采用多重检测、多层加速、SSL加密访问检测等多项天融信独创安全技术,致力于降低IDS的误报率、漏报率,提高IDS的捕包与分析能力,并加强IDS对蠕虫攻击以及隐含在加密数据流中攻击的检测能力,极大地突破了目前IDS市场普遍存在的瓶颈问题。
TopSentry2000百兆入侵检测设备:
1U机型;标配3个10/100BASE-TX端口(可以用作扩展和监听)+1个10/100BASE-TX管理端口,200Mbps吞吐率/100%检测率/攻击事件数2800以上。
产品特点
◆通过特有的双网卡分流重组技术,可以利用双网卡分别处理上行和下行网络流量,相当于把网卡能力提升一倍,保证了网络卫士IDS高效的检测性能。
◆系统内置600条以上的蠕虫检测规则,实时跟踪、检测当前最新的蠕虫事件,最大限度地解决蠕虫发现滞后的问题。
◆通过解码基于SSL加密的访问数据,分析、检测SSL加密访问中的攻击行为,从而可以保护内部提供SSL加密访问的重要服务器的安全性。
◆完整记录多种应用协议(HTTP、FTP、SMTP、POP3、TELNET等)的内容,并按照相应的协议格式进行回放,清楚再现入侵者的攻击过程,重现内部网络资源滥用时泄漏的保密信息内容。
◆通过天融信网络卫士安全管理系统(TSM)基于状态机的实时关联检测技术,对IDS的报警事件和其他事件进行关联分析,有效地提高了IDS检测的准确率。
3、服务器部署
为了保证网络系统的正常运行在内网和外网系统中的核心设备处部署如下服务器:
⏹防病毒服务器安装网络版杀毒软件,防范病毒感染并定时升级杀毒;(内、外网各部署一台)
⏹OA服务器安装OA(办公自动化)软件,提高办公效率,逐步实现无纸化办公;(内网部署,本次暂不考虑)
⏹内/外网应用服务器可提供常用软件下载,临时资料存储转移,方便日常办公;(内外网各部署一台,本次暂不考虑)
⏹邮件服务器提供内外网邮件交换服务;(外网部署一台)
⏹电子图书服务器存储日常业务所需电子图书、图片、胶片等资料并提供查询浏览功能;(内网部署一台,本次暂不考虑)
以上所有服务器采用浪潮英信服务器NF280D系列产品,用千兆铜缆与核心交换机连接,服务器使用机架式设备,方便设备安装,节省空间并方便统一管理,下面将详细叙述各个服务器的配置。
(可根据用户需求再次详细定制)
3.1防病毒服务器(2台)
处理器
双核英特尔®至强®处理器X5110(1.60G)
二级高速缓存
2×2MB
系统前端总线
667/1066/1333MHz
内存
支持FB-DIMM533/667ECCregistered内存;集成8个DIMM插槽,最大支持32GB;本方案中配置2GB
硬盘控制器
1个DMA100IDE通道;6个SATA通道,可选集成双通道U320SCSI,可选集成8口SAS
RAID
集成SATA、SCSI、SASRAID0、1、10;可选SATA、SCSIRAID5;可选SASRAID5、6
存储
最大8个热插拔硬盘槽位,支持SATA、SCSI、SAS硬盘(支持4块以上SCSI、SAS硬盘需要组件);本方案中配置73GSCSI硬盘*2/RAID1
I/O扩展槽
支持全长全高2个PCI-E×8和1个PCI-X100,可选升级扩展1个PCI-X100和1个PCI-E×8
I/O端口
外接4口SA
升级会员 