疾控中心机房方案最终070319带完整预算报价.docx

1、疾控中心机房方案最终070319带完整预算报价目 录1、需求分析 311设计目标 412设计原则 413设备选型 52、网络拓扑 621外网系统网络拓扑 622内网系统网络拓扑 623核心层设计 724网络安全设计 113、服务器部署 1331防病毒服务器（2台） 1332邮件服务器（1台） 1433 KVM服务器切换器（CA108DC） 154、软件系统 1641操作系统软件 1642邮件系统软件 1643防毒软件 165、供电防雷系统设计 196、配线系统 237、方案特点 248、设备清单： 281、需求分析河北省疾病预防控制中心是根据国家和省的总体卫生改革部署，在撤并原省卫生防疫站、省

2、地方病防治所、省职业病防治所、省放射卫生研究所、省结核病防治所、省医学科学院等6家单位基础上组建的省卫生厅直属事业单位，同时加挂河北省医学科学院、省卫生检测中心、省职业病防治院、省卫生宣传教育中心等四块牌子，于2001年8月正式成立。主要职责为：（一）实施全省疾病预防控制规划、方案，对重大疾病流行趋势进行监测与预测预警；（二）指导和开展重大突发公共卫生事件调查与处置；（三）开展病原微生物检验检测及毒物与污染物的检验鉴定和毒理学检验，负责全省疾病预防控制实验室质量控制；（四）建设省级网络信息平台，管理全省疫情及相关公共卫生信息网络；（五）组织开展食品卫生、职业卫生、放射卫生和环境卫生等公共卫生领

3、域健康危害因素监测、危险性评价和预警工作；（六）承担卫生监督执法检验检测及技术仲裁工作以及省内职业病诊断鉴定工作；（七）指导全省健康教育与健康促进和社区卫生服务工作；（八）开展对设区的市级、县级疾病预防控制机构的业务指导、人员培训以及业务考核，规范指导辖区内医疗卫生机构传染病防治工作；（九）开展疾病预防控制应用性科学研究，推广先进技术。目前疾控中心新楼即将竣工，整个楼内网络分为内网和外网两个网络，内网与国家和地市级疾控中心连接，外网为公共信息服务平台，楼层内双网布线工作已经完成，楼层交换机安装在各楼层弱电竖井内，本项目中涉及到工程主要包括以下几点： 部署内外网核心层网络设备及网络安全设备； 部

4、署服务器，主要包括部署防病毒服务器、OA服务器、内外网应用服务器、邮件服务器、电子图书多媒体服务器； 以上设备的安装调试；11设计目标网络平台采用技术成熟，性价比优良的千兆以太网技术，部署内外网核心层设备，保证网络主干千兆传输速率，百兆交换到终端；部署防火墙，保证网络安全。服务器平台部署防病毒、OA、内外网应用、邮件、电子图书服务器，提供杀毒、办公自动化、应用、邮件交换、电子资料文档浏览查询等服务器。12设计原则 实用性原则作为一个系统，实用性永远是放在第一位的。实用性是系统赖以生存的基础。对于企业网络这样一个系统，必须是实用的。方案设计要求主要技术和产品，具有成熟、稳定、实用的特点，并充分满

5、足应用，技术开发及信息管理的需要，且有实用例子（而不选厂商的非主流产品，或只宣布而无实例的产品），厂商有备品，备件的支持。 先进性原则作为一个系统，先进性是系统赖以生存发展的条件。为保证网络能保持在一定时期内不落后，及系统互连的方便性，我们在该系统的设计时，应尽可能采用先进开放的技术和产品。从国内外的一些系统建设的实际经验和教训来看，先进性如不能保证，则会在系统的使用阶段出现后期投资追加过大，系统维护费用加大等问题。在设计中，我们是依据先进性与成熟性并重的原则考虑的。 开放性与标准化原则开放性与标准化原则是一个系统赖以生存发展的基础。开放的系统，才能发展，才能体现良好的低投入高产出的投资收益。

6、只有坚持标准化的系统，才能保护用户的投资，才能发展，才能体现良好的可扩展和互操作能力，对于计算机综合管理网络这样一个系统，开放性与标准化原则是十分必要的。从国内外的一些系统建设的实际经验和教训来看，开放性与标准化原则如不能保证，则会在系统的使用阶段出现后期使用和维护的困难，系统维护费用加大，系统发展较困难甚至必须重复投资等问题。我们认为，选择的产品应当倡导开放性，并且，所选产品都遵循相应的标准。 可扩展性及升级能力为了保证该工程的有效性和实用性，同时又保证该网络在一定时期内不落后，我们在网络设计时，并不是一味追求高配置，而是在保证网络的先进性的同时，选择具有良好扩展性和升级能力的网络设备，设计

7、出具有良好扩展性的网络拓扑，在设计中，系统结构模块化，软硬件平台可以积木式拼装，网络中的设备均可扩充，以保证整个网络系统的可扩展性及升级能力。 可管理性和可维护性原则作为一个系统，其网络管理和维护十分重要，直接关系到整个网络是否能稳定而可靠地运行。在网络建设工程中，除了在网络设计时采用了统一建网模式，利用了结构清晰的网络拓扑，还将提供一整套网络测试或维护方案。另外，采用一套好的网络管理软件也非常至关重要。 可靠性原则本网络工程其可靠性和稳定性直接关系到应用得好坏。网络系统的故障可能直接给应用带来灾难性的损失。本网络所采用的主要产品采用可靠性设计，力求系统的安全，可靠，稳定运行。 最佳的性能价格

8、比原则本系统在设计上寻求最佳的性能价格比，对原有设备硬件的投资，亦应加以保护。13设备选型网络核心层设备选型内外网均需有承载800个信息终端无阻碍数据交换的能力，对背板带宽，包转发速率有较高的要求，并且，核心层网络设备承担了大部分的网络管理功能，对于QOS，带宽、流量分配设置等都有较高要求，因此我公司推荐采用神州数码的DCRS-6800系列 IPv6多业务万兆路由交换机。该系列设备在拥有极强的性能同时还具有极优的性价比，在承载用户业务的同时节省用户投资，降低建设成本。服务器设备选型服务器设备我公司推荐浪潮NF280D系列机架式服务器设备。浪潮为国内知名硬件设备及服务提供商，该系列产品在节省空间

9、的优化设计和机架安装环境下，提供最大的功能数据中心，完全满足对外提供服务器及数据存储的需求。2、网络拓扑21外网系统网络拓扑22内网系统网络拓扑23核心层设计内外网系统中核心层设备均采用神州数码IPv6多业务万兆路由交换机DCRS-6808。DCRS-6808提供10个槽位，拥有2.0Tbps的背板带宽，960Gbps的交换容量，可以714Mpps的速度全线速地进行L2/L3数据转发，为网络提供强劲动力。在端口配置方面，该设备提供最多384个千兆接口或者最多32个万兆接口，能够完全满足用户现有需求及对于网络规模的扩展要求，并且DCRS-6800系列路由交换机率先通过最为苛刻的国际IPv6 Re

10、ady第二阶段认证，为将来向IPv6网络过渡打下坚实基础。本项目中，核心交换机配置如下产品描述单位数量备注DCRS-680810插槽核心路由交换机机箱（最多3个电源，N1冗余，标配1个MRS-PWR-B1-AC交流电源，3个热插拔风扇盘，不含管理模块） 台2MRS-PWR-B1-AC220V交流电源模块(600W)，适用于DCRS-7608（V1)和DCRS-6808台2MRS-6808-MDCRS-6808管理模块块2MRS-6800-4GX24TXDCRS-6800系列24口10/100BaseTX百兆接口和4口千兆Combo(SFP/GT)接口模块块4SFP-GT1000Base-T S

11、FP接口卡模块，RJ-45接口块16配置介绍如下： 核心交换机DCRS-6808本身具备10个扩展插槽，机箱标配1个交流电源模块，另配一个冗余电源模块，保证交换机在单个电源损坏的情况下能够启用冗余电源，持续工作； 配置一个三层管理模块，使该设备具备三层路由功能； 配置2块MRS-6800-4GX24TX （24口百兆4口千兆Combo接口）业务板，用于实现楼层交换机到核心交换机的百兆上联，并为每个千兆电接口接口配置接口卡用于服务器、防火墙设备到核心交换机的千兆连接；主要性能参数项目DCRS-6808插槽10端口10/100/1000BASE-T最多384个1000Base-SX最多384个10

12、00Base-LX最多384个10/100BASE-T最多384个万兆最多32个背板带宽2.0Tbps交换容量960Gbps包转发速率714Mpps，L2/L3全线速MAC表项128KVLAN表项4KIP路由表项128K(可扩展到256K)IP主机表128K二层协议规范IEEE802.3(10Base-T)、IEEE802.3u(100Base-TX)、IEEE802.3z（1000BASE-X）、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.3ak(10GBASE-CX4)、IEEE802.1Q(VLAN)、IEEEE802.1d(

13、STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(Port Control)、IEEE802.3x（流控）、IEEE802.3ad(LACP)、Port Mirror、IGMP Snooping、超长帧Jumbo Frame(9Kbytes)、QinQ、GVRP,VLAN, PVLAN, SuperVLAN, 广播风暴控制基于端口的802.1Q协议，整机最多支持4096个VLAN，同时支持基于端口、MAC的VLAN划分三层协议规范(v4)IP/IPX （其中IP支持IPv4、IPv6双栈）、Static Ro

14、uting、RIPv1/V2,并支持MD5认证、OSPFv2、BGP4、IS-IS、LPM Routing、Policy-based Routing(PBR)、ECMP、WCMP、VRRP、HSRP、IGMP v1/v2/v3、DVMRP、PIM-DM、PIM-SM、PIM-SSM、MSDP、MBGPARP、ARP Proxy、QoS完全硬件实现，不影响性能。每端口8个队列。支持CAR。支持基于802.1p、ToS、端口、DiffServ进行流量分类还可以根据ACL-X的80个字节高层内容进行流量分类，支持SP、WRR、SWRR、WFQ、CBWFQ、PQ、WRED。为语音/数据/视频在同一网络

15、中传输提供所要求的不同服务质量支持Traffic Shapping（流量整形）、支持优先级Mark/RemarkACL完全硬件线速实现，不影响转发性能。支持标准和扩展ACL，支持IP ACL、基于IP子网的ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP或MAC、三层IP协议类型、TCP/UDP四层端口号、IP优先级(DSCP、ToS、Precedence)、基于VLAN、Tag/Untag、CoS等ACL-X支持基于时间自动改变安全策略。ACL规则可以配置到端口、VLAN、VLAN路由接口。ACL的深度内容可被用于QoS分类的标准，深度可达80字节。防攻击和安全功能S-AR

16、P（安全ARP）功能：ARP检查、防ARP-DOS攻击、防地址仿冒Anti-Sweep：防pingSweep等各类扫描行为S-ICMP（安全ICMP）功能：防止PING-DOS攻击；防ICMP Unreachable攻击S-Buffer功能 防止DDOS攻击软件IP流量抗冲击功能 防止DDOS攻击交换引擎CPU核心保护功能关键协议绿色通道功能：可保障合法、频率正常的关键信令处理端口信任模式：检测非法DHCP Server、非法Radius Server等，只在信任端口才能接入这些设备。先进的LPM技术：可防止“冲击波”病毒、“zero day”病毒、“SQL slammer warm”病毒等。

17、支持URPF（单播反向路径检查），可有效防止IP地址仿冒和攻击。以上技术可有效防止各种DOS攻击（如ARP攻击，Synflood攻击，Smurf攻击，ICMP攻击）支持ARP监听，防蠕虫、冲击波，检测各种扫描行为并告警屏蔽应用层业务管理功能支持SecAPP特性高可靠性和冗余均衡特性支持MVTE，实现基于VLAN的流量均衡支持主/备切换，所有板卡支持热插拔支持HSRP，VRRP，支持LACP负载均衡。支持Firmware&Config双容错备份多路（2-3路）电网供电、功率负载均衡性能调度机制FlexResource支持主机活动状态感知和资源智能配置技术支持主机移动感知和资源智能配置技术可动态回

18、收和再分配芯片资源采用路由汇聚技术优化芯片表项资源采取LPM技术优化芯片表项资源安全可控组播技术DCSCM支持组播信源控制，防止非法组播源支持组播用户可控支持策略组播安全可控组播和Radius联动支持端口功能支持MAC+端口捆绑、IP+MAC端口绑定、IP+端口绑定，支持MAC过滤，支持IP+MAC（无端口）捆绑支持端口限速（带宽管理）支持广播风暴控制，支持端口镜像（CPU端口镜像、进或者出单向/双向，一对一，多对一，跨板）支持流控：HOL防头包阻塞，半双工背压，全双工IEEE802.3x支持端口聚合 IEEE802.3ad（LACP），最大可支持32组trunk,每trunk可到8个端口，每

19、组双向带宽可到8G2，支持负载均衡。支持端到端GEC/FEC,每组最多8端口DHCP支持Client、Relay内置DHCP Server，无需外挂，并可以监测非法DHCP Server并告警用户接入支持IEEE 802.1xAAA认证支持RADIUS，支持RADIUS扩展低耗节能技术支持，可大大降低功耗，显著提高设备散热性和稳定性MPLSMPLS、MPLS VPN、MPLS TE、VPLS（二层MPLS VPN）IPv6ICMPv6、ND、RIPng、OSPFv3、BGP4+PIM-SM for IPv6, MLD for IPv6（v1）,MLDv1/v26to4 Tunnels、conf

20、igured Tunnels 、ISATAP、NAT-PT网络配置和管理基本功能支持CLI、支持Console（RS-232）,支持Telnet，支持SNMPv1/v2/v3,支持MIB接口，支持Trap支持RMON 1，2，3，9四组网管SysLog支持，可记录事件到NVRAM、FLASH、RAM、Telnet、SSH Console、Syslog服务器等。配置管理安全支持Security IP功能：防止在非制定区域非法登陆配置支持安全SNMPv3支持SSHv2支持TACACS+支持https命令行权限分级，独立认证，不同级别所能运行的命令行权限NMS功能可以通过ACL功能控制用户对交换机的

21、访问权限，包括telnet、web、SNMP的权限，可以有效的做到完全控制，实现NMS功能。SFlow功能支持网络流量分析，支持RFC3176，可以实现基于协议或地址的流量监控和统计异常监测和故障检查功能任务异常、内存异常、CPU利用率、堆栈异常、交换芯片异常、板卡温度异常等监测，并告警线路VCT检测功能（检测5类线故障）配置管理便捷化独到的Profile情景模式，可非常方便地在多种用户配置间切换“一行式”设计：可极大简化复杂功能的配置cisco风格命令行集中网管软件采取神州数码网络LinkManager软件 统一管理物理尺寸(宽深高)440mm421mm266mm436mm*478mm*79

22、7mm相对湿度10%90%无凝结运行温度0C40C电源交流：输入90260V，5060 Hz；直流：输入-36V -72V；输出12V/25A，5V/10A (此输出参数为每一模块的额定值)；功耗600W24网络安全设计防火墙NGFW4000-NF-P本项目中，外网系统部署防火墙。内网系统中，防火墙的作用主要是防范整体内网系统中其他内网单元对本网的攻击并负责与国家及地市级疾病控制中心网络连接；外网系统中，防火墙的作用主要是防范INTERNET中的恶意攻击，保证内部对外的安全访问并启用NAT功能与INTERNET连接。防火墙设备选择天融信网络卫士千兆防火墙NGFW4000-NF-P。该设备标配1

23、个10/100/1000MBase-TX接口，提供6个GBIC插槽，集成防病毒模块，大于160万并发连接与核心交换机间采用千兆铜缆连接，依托其强大的防护功能和数据吞吐能力，在有效保护内网的同时避免了核心设备到防火墙的传输瓶颈，保证内部对外的顺畅访问。该设备具备如下特点 综合网关 NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS（Topsec Operating System），并采用模块化结构设计，既提高了产品性能，又提高了产品的灵活性、高效性和安全性。通过简单的license控制，NGFW4000-UF可以集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等众多

24、功能，是高性能的综合性的网关产品。 病毒检测作为NGFW4000-UF的可扩展模块，TOPSEC AV是邮件病毒及网络文件病毒过滤解决方案，它对流经防火墙的网络数据内容进行安全检查。为企业提供简便有效的病毒过滤功能，防止电脑病毒以及恶性程序的入侵。该方案采用基于透明代理和深度数据包检测(DPI) 的技术，在企业局域网边界处对常用的应用层协议（SMTP、POP3、HTTP、FTP）数据流进行过滤处理。用户不需要更改网络结构和客户端计算机的参数设置，只需要在网关防火墙处插入TOPSEC AV，即可对通过的数据进行在线过滤。查杀邮件正文附件、网页及下载文件中包含的病毒，并即时将病毒处理信息通过应用层

25、协议客户端返回给用户。 适应复杂的核心网络核心网络的安全性、稳定性是当今网络的焦点，如何保证核心网络的安全，保证数据的24小时传输成为网络安全的最受关注的问题。网络卫士系列防火墙能够在核心网络中同所有核心网络设备一起实现高可用性及高安全性的拓扑结构，最大限度地满足了网络的健全性及稳定性，保证了整个核心网络的不间断工作。当核心网络中的某条链路产生故障时，网络卫士系列防火墙能够动态的切换链路，实现数据的不间断传输。同时结合防火墙的其他安全特性，使整个网络无比健壮。 多级过滤的立体访问控制采用了多级过滤措施，以基于OS 内核的核检测技术为核心，提供从链路层到应用层的全面安全控制。在MAC层提供基于M

26、AC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现了全方位的安全控制。 安全高效的TOS操作系统具有完全自主知识产权的TOS安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性。入侵检测（ID

27、S）TopSentry 2000网络卫士（NetGuard）入侵检测系统是北京天融信公司获得多项国际、国内安全认证与奖项的新一代入侵检测与防护系统。它采用多重检测、多层加速、SSL加密访问检测等多项天融信独创安全技术，致力于降低IDS的误报率、漏报率，提高IDS的捕包与分析能力，并加强IDS对蠕虫攻击以及隐含在加密数据流中攻击的检测能力，极大地突破了目前IDS市场普遍存在的瓶颈问题。TopSentry 2000百兆入侵检测设备：1U机型；标配3个10/100BASE-TX端口(可以用作扩展和监听）+1个10/100BASE-TX管理端口，200Mbps吞吐率/100%检测率/攻击事件数2800

28、以上。产品特点 通过特有的双网卡分流重组技术，可以利用双网卡分别处理上行和下行网络流量，相当于把网卡能力提升一倍，保证了网络卫士IDS高效的检测性能。 系统内置600条以上的蠕虫检测规则，实时跟踪、检测当前最新的蠕虫事件，最大限度地解决蠕虫发现滞后的问题。 通过解码基于SSL加密的访问数据，分析、检测SSL加密访问中的攻击行为，从而可以保护内部提供SSL 加密访问的重要服务器的安全性。 完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET 等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。 通过天融信网络卫士安全管

29、理系统（TSM）基于状态机的实时关联检测技术，对IDS的报警事件和其他事件进行关联分析，有效地提高了IDS检测的准确率。3、服务器部署为了保证网络系统的正常运行在内网和外网系统中的核心设备处部署如下服务器： 防病毒服务器 安装网络版杀毒软件，防范病毒感染并定时升级杀毒；（内、外网各部署一台） OA服务器 安装OA（办公自动化）软件，提高办公效率，逐步实现无纸化办公；（内网部署，本次暂不考虑） 内/外网应用服务器 可提供常用软件下载，临时资料存储转移，方便日常办公；（内外网各部署一台，本次暂不考虑） 邮件服务器 提供内外网邮件交换服务；（外网部署一台） 电子图书服务器 存储日常业务所需电子图书、

30、图片、胶片等资料并提供查询浏览功能；（内网部署一台，本次暂不考虑）以上所有服务器采用浪潮英信服务器NF280D系列产品，用千兆铜缆与核心交换机连接，服务器使用机架式设备，方便设备安装，节省空间并方便统一管理，下面将详细叙述各个服务器的配置。（可根据用户需求再次详细定制）31防病毒服务器（2台）处理器双核英特尔至强处理器X5110(1.60G)二级高速缓存22MB系统前端总线667/1066/1333MHz内存 支持FB- DIMM 533/667 ECC registered内存；集成8个DIMM 插槽，最大支持32 GB；本方案中配置2GB硬盘控制器 1个 DMA100 IDE通道；6个SATA 通道，可选集成双通道U320 SCSI，可选集成8口SASRAID集成SATA、SCSI、 SAS RAID0、1、10；可选SATA 、SCSI RAID 5；可选SAS RAID 5、6存储最大8个热插拔硬盘槽位，支持SATA、SCSI、SAS硬盘（支持4块以上SCSI、SAS硬盘需要组件）；本方案中配置73G SCSI硬盘*2/RAID1I/O扩展槽支持全长全高2个PCI-E 8和1个PCI-X100，可选升级扩展1个PCI-X100和1个PCI-E8I/O 端口外接4口SA