IT基础架构建设方案.docx

1、IT基础架构建设方案启音启智集团IT基础架构建设方案第一章 项目情况介绍1.1 项目背景目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的开展不再仅仅局限于同一物理位置上，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样开展业务。另外集团对各项业务的流程，账务流程，行政流程需要统一进行管控，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来满足各分支机构与集团总部之间的信息交流。另外我集团作为新兴的拥有知识产权的企业 ，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，这提醒我们应该更加注重网络安全的建设。值得称道的是，公司领导已经对此

2、引起了高度重视，并计划逐步进行卓有成效的防护工作。在这方面，合理借鉴市场先进经验与理念十分重要。1.2 目前IT架构和应用现状分析地点原宽带宽带运营商网络接入IP地址：动态/固定服务器交换机其它设备深圳总部ADSL动态IP地址K3服务器一台二层无深圳中心ADSL动态IP地址无二层无ADSL动态IP地址无二层无广州越秀中心电信ADSL动态IP地址无二层无广州天河中心无无无备份服务器一台二层无上海浦东中心电信光纤接入动态IP地址无二层无北京浦东中心无无无无二层无从上表可以看出，我集团IT基础架构还处在比较原始的阶段，集团总部和各分支机构没有进行信息网络的互联互通，已经成为制约业务扩大和发展的重要原

3、因。1.3 未来要运行的系统1.CRM系统2.OA系统3.IP电话4.视频会议5.邮件系统6.域管理系统7.考勤统一管理系统8.监控统一管理系统9.账务系统10.文档统一管理系统11.数据备份系统12.网络安全系统13.医务教学系统根据以上需求，我集团必须构建适合公司未来发展的IT基础架构。搭建互联互通的信息网络和信息平台。为此，必须首先完善IT基础架构。第二章 设计原则和设计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原则：2.1 安全性原则在公司网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存在

4、着安全的漏洞，从而影响整个公司业务运作的大局。随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以下三个方面：1.安全防护2.主动安全评估3.安全实时监控安全防护就是通过防火墙或网络物理隔离等设备，对进出网络的数据包进行控制；同时在应用、主机上限制非法用户进入，或者

5、用户越权访问。主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验的安全专家来进行安全评估。安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。2.2 实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用先进的技术，使系统完成后，保持一定时期的领先地位。另外还要考虑成本和费用实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能低成本与实用性相结合。

6、2.3 可靠性原则这套系统是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、备份技术就是其中的重要策略。2.4 可扩展性原则网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，为将来系统扩展和升级提供基础。2.5 易管理性原则系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理

7、工具；同时又要设计规范但不失灵活的工作流程。第三章 集团VPN网络建设方案3.1 VPN技术简介VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言， VPN可以替代传统租用线来连接计算机或局域网等。而任何VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。数据通过安全的加密管道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息

8、网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 图3-1 VPN组网示意图虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件： 保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性:接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性:提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密匙交换功能:提供密匙中心管理服务器，必须

9、具备防止数据重演（Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制:要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。 虚拟专用网VPN可以使在Internet中的信息交换有安全保障，大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前，VPN技术正在迅速走向成熟，而且它正处于兴盛期。3.2系统设计功能分析3.2.1 VPN的构建方式VPN的实现有很多种方法，常用的

10、有以下四种：1硬件VPN：某些硬件设备，含有VPN功能。2软件VPN：可以通过专用的软件实现VPN。3运营商提供VPN：可以通过租用运营商的网络实现VPN。3.2.2 为企业节省了费用开支采用了VPN系统，相当于在总部和各地分公司之间建立了安全的专用网络，就可以充分利用公共网络的资源，在上面运行包含企业内部重要信息的各种应用系统。比较传统的在总部分公司之间拉专线的方式，采用VPN解决方案，大幅度降低了企业信息系统的投入成本，为企业带来了直接的效益。并且在安全性上，也得到了提高，因为即使是拉专线，也需要通过网络运营商，而采用VPN方案，则是真正的将安全掌握在了自己手中。3.2.6 系统的易扩展性

11、VPN系统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在该地安装一台VPN设备，总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。如果增加一个移动用户，只需要配发一个Sure ID即可。因此扩展非常简单。3.3 产品选型软件VPN因性能差，不稳定等因素，在生产环境中，很少部署。现在主流VPN一般为硬件VPN和运营商提供的VPN.下表为一些供应提供的产品的特点，具体价格详见附件。VPN性能防火墙网络管控网络加速负载均衡第一线良好无无无无深信服良好有有有有中科网威良好有有有有九昌电信良好无无无无费用对比表所需要设备VPN防火墙网络管控宽带小计第一线19000CISC

12、O 5515（总部2.2W）分支机构（9000*4）AC1200(市场价格1.5W*5)拨号光纤（月租金1500*5）设备费用13.3W线路费用2.6W/月九昌电信20000CISCO 5515（总部2.2W）分支机构（9000*4）AC1200(市场价格1.5W*5)拨号光纤（月租金1500*5）设备费用13.3W线路费用2.75W/月中科网威总部4.2W分支机构（8000*4）总部7000分支机构（3000*5）设备费用7.2W线路费用2.2W/月深信服总部8W分支机构（4W*4）AC1200(市场价格1.5W*5)总部7000分支机构（3000*5）设备费用31.5W线路费用2.2W/月

13、3.4 网络规划与产品部署 1、集团总部设计方案总部是整个公司的“心脏地带”，重要信息的交互、共享，重要数据的频繁传输，组成了XX集团的业务流。随着企业信息化程度的不断加深，各种应用系统会逐步得到应用。目前，集团总部的内部网络，通过电信网络直接接入Internet。考虑以后总部业务需求的发展，在总部网络出口处部署一台ANYSEC-M6600。M6600是一款标准1U机架式高性能VPN安全接入网关。基本配置包括4个100/1000M以太网接口，采用Intel NP架构高速网络处理器。最大VPN隧道数1600条、3DES硬加密性能100Mbps、防火墙吞吐率1Gbps、最大并发会话数500,000

14、个。支持双机热备、多线路负载均衡。主要功能包括VPN集中管理、IPSEC/SSL VPN二合一、防火墙、代理上网、应用带宽管理、IM控制、P2P控制、娱乐控制、用户分级管理、上网行为管理等功能。2、各地驻外机构设计方案由于各地驻外机构需要与杭州总部进行大量的信息交换，并且随着ERP等应用系统的应用加深，物流、资金流在企业Intranet网上的频繁传输，为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传输，故此，部署ANYSEC-S2800i到各驻外机构。S2800i是一款桌面式VPN安全接入网关。基本配置包括5个10M以太网接口，采用Intel MIPS架构高速网络处理器。最大VPN隧道数256条、3DES硬加密性能35Mbps、防火墙吞吐率200Mbps、最大并发会话数80,000个。主要功能包括IPSEC VPN、VPN管理平台、路由、无线上网、交换机、防火墙、3G上网、上网行为管理、双线路支持等功能。3、集团VPN建设网络IP地址分配如下：地点服务器网段办公网络WIFI监控深圳总部10.1.0.010.1.1.010.1.2.010.1.3.0深圳中心10.2.1.010.2.2.010.2.3.0广州越秀中心10.3.1.010.3.2.010.3.3.0广州天河中心10.4.1.010.4.2.010.4.3.0上海浦东中心10.5.1.0