新办公大楼中心机房网络设备采购项目技术方案_secret

新办公大楼中心机房网络设备采购项目技术方案_secret内容摘要：

活备份链路，在极短的时间内恢 复网络连接，整个故障恢复的过程只需 1 至 2 秒。 在 SPANING－ TREE 拓扑结构发生变化时， Uplink Fast能够通过使用冗余连接组提供快速收敛并获得负载平衡。 Uplink Fast组就是 VLAN 的一组设置端口，其中一个是处于 Forwarding（转发）状态，其余为 Blocking（阻塞）状态。 一般情况下 Uplink Fast 端口组包 括 一个转发端口和一些阻塞端口，用来阻止网络环路。 Uplink Fast 端口组提供一个可选择的端口以防止网络失败。 下图表示了一个网络正常的案例， Switch A是根交换机， 是通过 L1和 Switch B直接相连，通过 L2和 Switch C 直接相连， Switch C 和 Switch B 相连的端口是 BLOCK 状态， L2 连接是活动的， L3 是处于 BLOCK 状态。 当 L2 连接失败时， Uplink Fast 解除在 Switch C 上的 BLOCK 端口进行转 20 发数据，而不需要通过侦听和学习过程，交换机如上图所示，整个切换过程不超过 2 秒。 FEC/GEC 技术 FEC/GEC 称为 NORTEL 交换机带宽聚合技术， FEC 应用于快速以太网端口，GEC 用于千兆以太网端口。 在两 台 NORTEL 交换机互连时，利用 FEC/GEC 技术，可以将 2 条或 4条物理链路捆绑成为一条更高带宽的逻辑链路。 应用 FEC 技术，我们可以得到一条全双工 800M 带宽的链路。 而 GEC 技术可以使我们实现高达 4G的带宽。 FEC/GEC 技术一方面为我们提供了一种扩展网络带宽的手段，另一方面，FEC/GEC 还为连接提供了容错。 平时，网络流量是被分摊到构成 FEC/GEC 的 2条和 4 条物理链路上，如果其中一条链路发生故障（比如断线），该故障链路上的物理流量会立刻被重新分配到其他正常的流量上，从而达到容错的目的。 FEC/GEC 技术本身是由 NORTEL 公司开发的，原来只能用于 NORTEL 设备之间的互连，但现在该技术已经被越来越多的其他物理厂商接受，如 Intel 公司的100M 和 1000M 的专用服务器网卡已全面支持 FEC/GEC，也就是说，如果一台服务器配置了两块或多块 Intel 的服务器网卡，并且连接到同一台 NORTEL 以太网交换机，那么，可以利用 FEC/GEC 技术将原本独立的两条链路“聚合”成一条 4G的具有容错性质的链路，以提高服务器的物理访问能力和稳定性。 HSRP(路由热备份协议 )技术 NORTEL HSRP 提供 了路由器备份功能，可以为 IP 在以太网、 FDDI、令牌环等局域网上提供提供路由网管保护。 同时 NORTEL HSRP 和 IPX、 AppleTalk、 Banyan VINES 等协议兼容使用。 HSRP 通过将一组配置为 HSRP 的路由器的 LAN 端口组成一组，同时虚拟一个路由器的 LAN 端口，其 MAC 地址是 NORTEL MAC 池中保留的一个； HSRP 通过配置优先权指定那一个 HSRP 配置路由器成为活动路由器，那些为 STANDBY 路由器。 HSRP 通过多目广播交换各自的优先权。 当 ACTIVE 路由器在一定时间内没有发送信息，有 着最高优先权的 STANDBY 路由器将成为 ACTIVE 路由器。 路由器间 21 转发数据包对于 LAN 是透明的。 HSRP 配置路由器交换三种多目广播信息： HELLO－这个信息向其他路由器宣告自己的 HSRP 优先权和状态。 缺省是 3S发送一次。 COUP－当一个 STANDBY 路由器想取代 ACTIVE 路由器时，发送该信息。 Resign－当 ACTIVE路由器将宕机或其检测到一个具有更高的优先权时发送该信息。 在任何情况下， HSRP 配置路由器总是处于以下某一种状态： Active该路由器执行包转发功能； Standby假如 ACTIVE 路由器失败，该路由器处于准备代替 ACTIVE 路由器， Speaking and listening该路由器在发送或接收 HELLO 信息。 HSRP 工作过程如下图所示： 在 HSRP 组路由器都正常时，由 ACTIVE 路由器转发数据包。 22 当 ACTIVE 路由器出现故障时 STANDBY 路由器接替工作，成为 ACTIVE 路由器。 千兆以太网技术 使用千兆以太网技术，使用目前局域网上成熟最高网络速度。 同时也是非常成熟的以太网络技术。 广泛应用于金融行业 各种应用。 速度可达 23 接口可实现距离可达 70KM. 网络安全设计说明 目前的企业内部局域网普遍存在着很多安全漏洞，比如：普通办公 PC 可以浏览到关键业务用机（如财务）；普通用户可以进入重要的数据服务器系统；外来人员用便携式电脑连入公司网络对服务器进行攻击或对数据进行窃取，等等。 为了弥补这些漏洞，我们在本方案中采用以下手段，以确保关键业务部门的安全。 通过虚拟局域网的划分加强网络安全 本方案采用了按照业务划分虚拟局域网的设计思想，将各个业务子网有效的进行了隔离，各个子 网间的通讯受到 ACL（访问控制列表）的严格控制。 有效的保证了核心业务的安全。 下面的示意图仅仅对财务 VLAN 与行情 /交易 VLAN 进行了标识，而实际上，用户可以按照自己的需求非常灵活的根据交换机的端口划分任意 VLAN。 通过交换机设置限制站点对网络系统的访问 NORTEL 交换机提供了 MAC 地址限制的功能。 在特定的端口进行设置，允许固定 MAC 地址网卡的包通过，只要工作站网卡 MAC 地址未被该端口登记，这台工作站就无法在网络上工作。 这种通过对交换机设置来限制工作站点的方法能够有效阻止非本公司 的电脑的非法使用，保护了公司网络的安全。 通过网络操作系统的安全管理加强网络安全 由于各关键业务的数据大多是以文件形式存放于网络存储设备上的，因此，要严格地限制对存放这些关键数据的权限。 例如：限定特定用户在专用的时间段才能登录、访问关键数据（这些操作在 NetWare 系统中，可以用 NWADMIN 管理工具实现，在 WINDOWS 系统中，可以通过域用户管理来实现）。 另外，网络操作系统中都提供了审记功能，你可以对关键用户，关键数据文件进行审记核查工作；通过对每个内部维护工程人员分配独自的帐户，可以清 24 楚地记录每次关键操作。 有利于提高网络的安全性。 局域网设计特点 使用双主干网络设计。 保证主干交换机网络容错。 一台主干交换机故障不会导致交易网络不能工作，也不用手工切换进行维护。 保证网络可靠性。 使用千兆网络保证网络交易速度与实时性。 使用 stp 、 portfast、 uplinkfast 实现网络故障时快速切换。 保证可靠运行。 使用 FEC/GEC 技术实现网络带宽扩展。 适应 办公楼 网络不断扩展要求。 核心网络链路分析系统 IT 环境简介 办公楼 在各乡镇地有相应的营业部。 公 司建有一个信息中心，为公司的交易和网络中心，通过路由器与各地营业部连成广域网，新建信息中心配置大约如下： 服务器 4台 (IBM 系列 ) 其他服务器 若干 路由器 4台 (CISCO 7500/7200/2600/3600) 交换机 若干台 (CISCO) 工作站 250 台 （其中 30 台左右机器为重要的转换机，要求进行监控） 为了有效地对信息中心的网络系统进行监管，随时掌握网络系统情况，需要建立一个网络监控和管理系统。 系统主要需求： 25 该系统当然拟建立基本如下功能，其他功能 在系统成熟后再扩充。 监控中心网络状况，对服务器 (Unix、 Novell、 NT)、数据库 (SQLserver、 Oracle)的状态性能进行监控，对转换机、处理机、路由器、交换机等进行监控，出现异常或参数超过设定阀值时，有报警功能，当将来系统扩展时可以直接监控各营业部状况； 系统其它功能 能方便地了解网络系统的配置情况，具有资产管理功能并生成报表； 能有效地提供资源利用情况和性能趋势，为系统的升级提供依据； 系统的目标 高效性 :采用统一、全面、集成的管理工具，管理复杂的 IT 环 境。 实用性 :主动预警报告、灵活策略制定、防患于未然。 安全可靠性 :一个安全、可靠的管理平台是“有效管理”的充分保证。 可扩展性 :配置灵活、适应未来发展，保护以往投资。 可靠的技术支持与服务 :完善的技术支持服务网络，保证管理实施的连续有效。 具体技术要求 系统性能管理 (1)支持多平台 ,保持系统的可扩展性 ,如 SCO、 NT、 SUN、 NetWare... (2)对文件系统进行监控 ,并能定义预警和严重性的门限。 (3)对操作系统的关键进程监控 ,进行报警 ,发生故障时能自动处理。 (4)对系统的内存进行监控 ,并能预警 CPU 和交换区。 (5)对操作系统的各种日志文件进行收集和监控 ,从而发现错误并进行预警。 26 (6)对操作系统的各种资源 ,包括 CPU 使用情况 ,内存使用情况 ,交换区使用情况 ,当前用户登录 ,工作队列 ,系统信号量 ,文件系统可用性 ,进出网卡的数据包流 量等 ,有实时、动态的图形界面显示。 网络管理 (1)能自动地发现并识别分布式网络环境中的所有资源 ,如网络设备、网络节点、数据库和应用 (安装了管理代理 )。 网络拓扑通过二维图显示 ,并能直观地监控和显示到各个资 源的状态变化 ,并能非常方便地查看到是什么因素造成该设备的状态变化。 (2)自动地收集网络性能信息 ,并可以根据预先设定的网络参数目标 ,来监控客户 /服务器 ,网络硬件及软件等 ,产生相应报警信息。 (3)具体分析最终用户的响应时间 ,LAN 的容量利用及出错统计等等 ,应具有报表机制 ,提供图形化或表格方式的数据表达 ,提供详细的有关服务器 ,LAN 负载的历史报表 ,提供网络资源性能的实时报表。 (4)对网络设备参数进行监视和调整 ,对网络设备端口进行数据流量统计和分析 ,对网络设备性能进行实时监视 ,对网络设备操作状态和端口操作进行 实时监视 ,对网络消息进行记录 ,统计和操作报告 ,对网络设备进行故障告警 ,问题定位和问题分析能力。 (5)监视整个网络拓扑结构 ,实时监视整个网络流量 ,监视和管理网络路由 ,捕获、存储和管理异常事件 ,获得网络运行报告。 数据库管理 (1)对 MS SQL Server、 Oracle 等数据库自动管理。 (2)监控数据库的可用性 ,应能监控数据库引擎的关键参数 ,如文件存储空间 ,系统的使用率 ,配置情况 ,当前各种锁资源情况 ,数据库进程状态 ,进程所占用空间。 (3)可定制阀值 ,自动监控数据库资源的变化 ,并应能在达到限值时发生警告和错误信息 ,并应能触发一定的动作 ,以便及时采取措施。 27 (4)监控表空间的使用情况 ,包括表的分配空间 ,已用空间和表记录数的情况。 (5)监控事件日志空间的使用情况 ,自动监控数据库日志的变化 ,并且有智慧预警的功能。 (6)与数据库本身的管理工具无缝地集成起来 ,使户通过统一的界面就可对数据库进行细致的管理 ,如数据库设备定义 ,数据库建立 ,用户管理。 桌面系统的管理 具有软件 Metering 功能，定义对用户的某一特定软件进行监视，如该软件正在非正常运行，产生系统报警 ，提醒管理员注意。 技术选型 使用 Unicenter TNG 企业管理方案 CA 公司的企业管理策略核心是 UnicenterTNG。 TNG 为企业中的所有 IT 资源提供详尽的 、开放的及高度可扩展的管理解决方案。 Unicenter TNG 提供了非常丰富的管理功能。 所有的功能都是建立在同一个面向对象 ，结构开放及高度扩展的管理者 /代理结构之上。 只 有 Unicenter TNG 能 提 供 如 此 大 量 的 创 新 功 能 ， 并 将 这 些 管 理 功 能 集 成 在 一 起。 Unicenter TNG 提 供 了 业 界 最 佳 的 解 决 方 案 ， 它 具 有 以 下 特 点 ：  “端 对 端”的 网 络 、 系 统 、 数 据 库 及 应 用 管 理。  详 尽 及 集 成 化 的 CA 及 第 三 方 厂 商 的 管 理 功 能 集。  具 有 高 度 可 扩 展 的 多 层 管 理 者 / 代 理 结 构。  “真 实 世 界 界 面” 将 企 业 的 IT 资 源 用 简 单 明 了 的 二 维 和 三 维 图 像 方 式 显 示。  提 供 面 向 业 务 的 “业 务 流 程 视 图 ”。  面 向 对 象。