IT基础架构规划方案样本.docx

1、IT基础架构规划方案样本IT基本架构规划方案一(网络系统规划)背景 某集团通过近年经营，公司业务和规模在不断发展，公司管理层和IT部门也结识到通过信息化手段可以更好地支撑公司业务运营、提高公司生产和管理效率。同步随着新建办公大楼、研发大楼和厂房落成，IT部门也需要对整个集团信息化和公司IT基本架构进行规划和建设。当前重要分为如下两某些： 楼宇智能化规划和建设方案：重要涉及视频监控、门禁系统、语音和数据节点规划和布线、CATV、大屏幕电子显示屏、机房建设等。 公司IT基本架构规划和解决方案：重要涉及公司局域网基本网络拓扑规划和网络设备选型、互联网接入和VPN接入、IT硬件布置和选型、公司IT信息

2、化基本软件系统规划和选型等。 本方案重要是针对某集团公司IT基本架构进行规划，并提出解决方案和进行投资预算。而关于楼宇智能化规划和建设方案参见其他有关方案。公司IT架构普通公司IT架构状况，本方案重要针对IT基本架构某些进行规划，并提供选型和布置参照，关于公司IT业务应用系统某些规划和建设请参照其他方案。网络系统规划当前，公司普通能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实行能力等都普遍较弱，这就规定网络架构成熟、稳定安全、高可靠、高可用，尽量少投入人力和金钱进行维护。另一方面，由于公司首要解决是生存问题，主线没办法做到“先信息化，再做业务”，因而网络

3、建设实行规定必要容易，实行时间必要极短。公司组网方案重要要素涉及：局域网、广域网连接、网络管理和安全性。详细来说公司组网需求： 建立安全网络架构，总部与分支机构网络连接； 安全网络布置，保证公司正常运营； 为出差人员提供IPSec或者SSLVPN方式； 提供智能管理特性，支持浏览器图形管理； 网络设计便于升级，有助于投资保护。公司普通组网构造如下图，大公司网络核心层普通采用冗余节点和冗余线路拓扑构造，小公司则单线路连接方式。通过对普通公司信息化状况和网络规划要素进行分析，从总体上看，规划方案必要具备如下特点： 网络管理简朴，采用基于易用浏览器方式，以直观图形化界面管理网络。 顾客可以采用各种广

4、域网连接方式，从而减少广域网链路费用。 无线接入点覆盖范畴广、配备灵活，以便移动办公。 便捷、简朴统一通信系统，轻松实现交互式工作环境。 带宽压缩技术，高档QoS应用，有效减少广域网链路流量。 随着公司业务发展，所有网络设备均可在升级原有网络后继续使用，有效实现投资保护。 系统安全，保密性高，应用了适合公司低成本网络安全解决方案。安全基本网络规划方案依照对某集团实际调研，获取了公司网络需求，以此来制定公司基本网络建设规划方案和网络设备选型参照；如下提供基本版和公司版两种规划方案1） 网络需求：公司规划网络节点为500个，重要网络需求一方面是资源共享，网络内各个桌面顾客可共享文献服务器/数据库、

5、共享打印机，实现办公自动化系统中各项功能；另一方面是通信服务，最后顾客通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全广域网访问；尚有就是公司门户网站和网络通信系统（公司邮箱、公司即时通信和公司短信平台等）建立。2) 基本版规划方案本方案合用于200300台电脑联网，核心采用H3C S5500-28C-SI或S5500-20TP-SI互换机，以千兆双绞线/光纤与接入互换机及服务器连接；顾客接入H3C S3100-26TP-SI或S3100-52TP-SI互换机，千兆铜缆/光纤上连核心互换机。Internet出口采用H3C MSR20-1X多业务路由器作为Internet出口

6、路由、Secpath F1000-C或者UTM作为安全网关和移动顾客VPN接入网关。网络拓扑图如下：设备选型和布置参照如下：业务需求设备选型参照配备阐明数量布置位置数据核心互换机H3C S5500-28C-SI或H3C S5500-20TP-SI全千兆三层核心1核心机房接入层互换机H3C S3100-26TP-SI或H3C S3100-52TP-SI接入层支持光电复用千兆上行，支持混合堆叠26TP：15台52TP：8台各楼层或机房路由器H3C MSR20-1x路由器转发率160Kpps，256M 内存，支持GE/FE互换模块，同异步串口模块，E1/PRI模块，语音模块，加密模块12核心机房安全

7、防火墙H3C SecPath F1000-C或H3C SecPath U200支持应用层报文过滤1核心机房VPN支持DVPN互联网接入10M光纤接入电信10M光纤接入配静态IP地址12核心机房方案特点： 高性价比：可以让中小公司低投资拥有高性能、经济网络； 简易性：构造简朴、安装迅速、简朴，维护无需配备专职人员； 高性能：最低投资做到千兆骨干、百兆接入； 可扩展性：灵活网络架构，能依照顾客需要随时扩展，并保护已有投资。3) 高档版规划方案：本方案合用于500800台电脑联网，三层网络构造，万兆骨干，百兆接入；网络核心层采用H3C S7500互换机，同步配备相应数量千兆端口分别连接应用服务器、接

8、入互换机及其她设备；网络汇聚层采用H3C S5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有96 Gbps全双工堆叠带宽，消除网络瓶颈，提供优于老式中继聚合配备更好可用性和弹性；接入层可选取H3CS3100-26TP-SI或S3100-52TP-SI互换机，千兆铜缆/光纤上连核心互换机，或H3C S5100-16/24/48P-SI全千兆互换机，千兆到桌面。网络拓扑图如下：设备选型和布置参照如下：业务需求设备选型参照配备阐明数量布置位置数据核心互换机H3C S7500(E)系列核心支持双引擎双电源，性价比最高1核心机房汇聚层互换机H3C S5500-28C-SI汇聚支持全

9、千兆高速转发，消除网络瓶颈，同步支持万兆扩展3各楼层或机房接入层互换机H3C S3100-26/52TP-SI或 H3C S5100-16/24/48P-SI接入层依照不同业务需求提供百兆和千兆接入两种选取52TP：10台各楼层或机房路由器H3C MSR50-06路由器H3C新一代安全路由器12核心机房安全防火墙H3C SecPath F1000-C支持应用层报文过滤11VPN支持DVPN互联网接入20M50M光纤接入电信20M50M光纤接入配静态IP地址12核心机房方案特点： 高性能，全分布式互换网络； 高可靠，无间断通信环境； 灵活弹性网络扩展能力； 高效率网络带宽运用率； 全面QOS布置

10、，多业务融合； 完善网络安全方略，实现深度安全检测，抵抗未知风险。安全无线网络规划方案无线网络布置，可以增大员工接入网络范畴，提供更大上网便利性-无论是在办公室、会议室还是在空间复杂车间，员工都能与网络保持连接，随时随处访问公司资源，并且可以简化场合网络布线。安全无线网络解决方案不但能提高员工生产效率和协作能力，也能为合伙伙伴/ 客户提供以便上网服务。依照公司状况，可以采用FAT AP方案：1) 无线网络需求：可以获得较高顾客接入速率，构建便利移动办公环境，实现公司移动网络办公，成本投入不高，适合简朴、小规模无线布置。2) 规划方案：采用WA1208E+iMC+CAMS进行组网，配合CAMS实

11、现802.1x认证，可以实现基于时长、流量和包月计费；整网通过iMC统一管理。网络拓扑图如下：设备选型和布置参照如下：业务需求设备选型参照配备阐明数量布置位置无线无线接入WA1208E双802.11g无线模块8各楼层无线安全H3C CAMS满足顾客管理、身份认证、权限控制和计费规定1核心机房无线管理H3C iMC网管系统支持与HP Openview、SNMPc等通用网管平台集成1核心机房方案特点： 全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制； 大范畴覆盖：高接受敏捷度，达到-97dBm（普通AP-95dBm），保证更远覆盖； 多VLAN支持：虚拟A

12、P方式支持多VLAN，最多支持8个虚拟SSIDVLAN划分，每个VLAN顾客可以独立认证； 兼作网桥使用：WDS模式支持PTP、PTMP工作模式；支持连接速率锁定、传播报文整合，提高传播效率； 负载均衡：支持基于顾客数负载均衡、基于流量负载均衡； 针对各类室外、特殊室内应用如仓库等复杂环境，可以提供专门型号。广域网互联VPN规划方案随着公司和公司不断扩张，公司分支机构及客户群分布日益分散，合伙伙伴日益增多，越来越多当代公司迫切需要运用公共Internet资源来进行促销、销售、售后服务、培训、合伙及其他征询活动，这为VPN应用奠定了辽阔市场。在VPN方式下，VPN客户端和设立在内部网络边界VPN

13、网关使用隧道合同，运用Internet或公用网络建立一条“隧道”作为传播通道，同步VPN连接采用身份认证和数据加密等技术避免数据在传播过程中受到侦听和篡改，从而保证数据完整性、机密性和合法性。通过VPN方式，公司可以运用既有网络资源实现远程顾客和分支机构对内部网络资源访问，不但节约了大量资金，并且具备很高安全性。此外，随着公司规模扩大，分散办公也越来越普遍，如何实现小型分支、出差员工、合伙伙伴远程网络访问也被越来越多公司关注。从成本、易用性、易管理等多方面综合考虑，SSL VPN无疑是一种最适当方案：只需要在总部布置一台设备，成本更低，管理维护也很容易；无需安装客户端、无需配备，登陆网页就能使

14、用。1) 网络需求1IPSec VPN和SSL VPN各有所长，功能互补，对公司来说都是需要：IPSec VPN用于总部和中大型分支互连，SSL VPN用于为小型分支、合伙伙伴、出差人员提供远程网络访问。但老式办法下，公司总部需要采购两台设备来支持两种VPN，不但成本更高，并且也许存在VPN方略冲突，导致性能下降、管理困难。2) 规划方案融合VPN针对公司实际需要，一台设备融合IPSec / SSL两种VPN，只需布置在总部，既可以用于为合伙伙伴、出差人员提供远程网络访问，也可以和分支机构进行IPSec VPN互连，协助公司减少采购、布置、维护三方面成本。VPN网关选取方面，H3C防火墙、路由

15、器都可以实现融合VPN，提供应公司更加灵活选取。例如，如果公司非常强调网络安全、VPN性能，就选取防火墙；如果公司更注重多业务解决能力，如IP语音通信、3G上网、无线接入等，推荐选取路由器。在总部局域网Internet边界防火墙背面配备一台或两台双机热备VPN网关，在分支机构Internet边界防火墙背面配备一台VPN网关，由此两端VPN网关建立IPSec VPN隧道，进行数据封装、加密和传播；此外，通过总部VPN网关提供SSL VPN接入业务；在总部局域网数据中心布置H3C VPN Manager组件，实现对VPN网关布置管理和监控；在总部局域网内部或Internet边界布置H3C BIMS

16、系统，实现对分支机构VPN网关设备自动配备和方略布置。如下图：设备选型和布置参照如下：业务需求设备选型参照配备阐明数量布置位置网络互连VPN网关H3C SecPath F1000VPN网关H3C SecPath F100 VPN网关或H3C MSR50 路由器H3C MSR20-1X 路由器总部和大型机构配备F1000型号中小型机构配备F100型号总部1台分支机构按需求配备核心机房网络管理H3C VPN ManagerH3C BIMS协助顾客布置、管理VPN网络1核心机房如果省内分支机构较多、较分散，但对速率规定不高连锁型单位，也可以选用电信或ISP商VPDN服务；如果各种分支机构间有多点对多

17、点通信需求公司、商业机构，也可以直接选用电信或ISP商MPLS VPN服务。网络性能指标规定类型带宽规定线路质量规定局域网客户端到服务器：10Mb以上，推荐100Mb各服务器之间：200M以上，推荐1000Mb丢包率不大于0.1%延迟不大于20ms广域网分支机构带宽：每客户端128Kb总部出口带宽：(最大并发数/3)128Kb总部服务器之间：200M以上，推荐1000Mb丢包率不大于2%延迟不大于50ms网络安全规划网络安全是整个系统安全运营基本，是保证系统安全运营核心。网络系统安全需求涉及如下几种方面： 网络边界安全需求 入侵监测与实时监控需求 安全事件响应和解决需求分析这些需求在各个应用系

18、统上不同组合就规定把网络提成不同安全层次。咱们针对公司网络层安全方略采用硬件保护与软件保护，静态防护与动态防护相结合，由外向内多级防护总体方略。依照安全需求和应用系统目，整个网络可划分为六个不同安全层次。详细是：核心层：核心数据库；安全层：应用信息系统中间件服务器等应用；基本安全层：内部局域网顾客；可信任层：公司本部与营业部网络访问接口；危险层：Internet。信息系统各安全域中安全需求和安全级别不同，网络层安全重要是在各安全区域间建立有效安全控制办法，使网间访问具备可控性。详细安全方略如下：核心数据库采用物理隔离方略应用系统采用分层架构方式，客户端只需要访问中间件服务器即可进行寻常业务解决

19、，从物理上不能直接访问数据库服务器，保障了核心层数据高度安全。应用系统中间件服务器采用综合安全方略：应用系统中间件安全隐患重要来自局域网内部，为了保障应用系统中间件服务安全，在局域网中可通过划分虚拟子网对各安全区域、顾客和安全域间实行安全隔离，提供子网间访问控制能力。同步，中间件服务器自身可以通过配备相应安全方略，限定通过授权工作站、顾客方能访问系统服务，保障了中间件服务器安全性；内部局域网采用信息安全方略：公司本部及营业部内部局域网处在基本安全层网络，重要是对于安全防护能力较弱终端顾客在使用，因而考虑重点在于两个方面，一种是客户端病毒防护，另一种是防止内部敏感信息对外泄露。因而，通过选用网络

20、杀毒软件达到内部局域网病毒防护，同步，使用专用网络安全设备（如硬件防火墙）建立起有效安全防护，通过访问控制ACL等安全方略配备，有效地控制内部终端顾客和外部网络信息互换，实现内部局域网信息安全。公司本部与下属机构之间网络接口采用通讯安全方略：处在可信任层网络，其安全重要考虑各下属单位上传业务数据保密安全，因而，可采用数据层加密方式，通过硬件防火墙提供VPN隧道进行加密，实现核心敏感性信息在广域网通信信道上安全传播。Internet采用通讯加密方略：Internet属于非安全层和危险层，由于Internet存在着大量恶意袭击，因而考虑重点是要避免涉密信息在该层次中流动。通过硬件防火墙提供专业网络

21、防护能力，并对所有访问祈求进行严格控制，对所有数据通讯进行加密后传播。同步，建议设立严格机房管理制度，禁止非授权人员进入机房，也可以进一步提高整个网络系统安全。1) 广域网安全规划公司广域网安全，重要是通过防火墙和VPN等设备或技术来保障。防火墙对流经它网络通信进行扫描，可以过滤掉某些袭击，防火墙还可以关闭不使用端口，防火墙具备较好保护作用，入侵者必要一方面穿越防火墙安全防线，才干接触目的计算机，因此出于安全考虑，公司必要购买防火墙以保证其服务器安全，将应用系统服务器放置在防火墙内部专门区域。普通硬件防火墙比软件防火墙性能更好，建议选取公司级硬件防火墙，硬件防火墙市场知名度高品牌有CISCO、

22、Check Point、Juniper、H3C、天融信、华为赛门铁克、联想网御等，顾客应依照应用状况选取适当防火墙。VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接技术。使用VPN技术，甚至机密信息都可以通过公共非安全介质进行安全传送。VPN技术发展与成熟，可为公司商业运作提供一种无处不在、可靠、安全数据传播网络。VPN通过安全隧道建立一种安全连接通道，将分支机构、远程顾客、合伙伙伴等和公司网络互联，形成一种扩展公司网络。VPN基本特性： 使公司享有到在专用网中可获得相似安全性、可靠性和可管理性。 网络

23、架构弹性大无缝地将Intranet延伸到远端办事处、移动顾客和远程工作者。 可以通过Extranet连接公司合伙伙伴、供应商和重要客户（建立绿色信息通道），以提高客户满意度、减少经营成本。VPN实现方式： 硬件设备：带VPN功能模块路由器、防火墙、专用VPN硬件设备等，如Cisco、H3C、深信服、天融信等。 软件实现：Windows 自带PPTP或L2TP、第三方软件（如CheckPoint、深信服等）。 服务提供商（ISP）：中华人民共和国电信、联通、网通等。当前某些ISP推出了MPLS VPN，线路质量更有保证，推荐使用。2）内网安全规划公司内网安全系统涉及防病毒系统、内网安全管理系统，上网行为管理系统等。防病毒系统可以采用网络版防病毒系统或防毒墙等产品（例如金山、瑞星、卡巴斯基等解决方案）。内网安全系统和上网行为管理系统可以选取深信服、任子行、IP-guard等解决方案，公司可以通过布置内网安全系统实现研发网和商业信息信息安全防范工作。对于研发网信息安全、数据集中存储和计算资源统一协调配备，可以通过布置公司桌面虚拟化解决方案来实现。