网络机房建设技术方案_图文

网络机房建设技术方案_图文内容摘要：

............................................... 错误 !未定义书签。 结束语 ........................................................................................................ 错误 !未定义书签。 第 一 章 系统集成方案 系统集成建设目标 针对此次局域网建设项目，其建设目标是利用先进的计算机技术、通信技术 6 建设一个现代 化的信息网络系统，以满足生产、办公的需要。 本次系统集成主要包括以下建设内容： 建立系统专用网，网内部署多台服务器以满足数据库平台 、数据备份、防病毒、等各类应用的需要。 利用高可靠性的数据库服务器存储系统，实现服务器、数据库安全。 由备份服务器组成存储备份系统，实现数据库和所有单机数据库各种数据的备份，实现历史数据归档管理。 为本单位系统安全运行，通过高性能服务器、高性能交换机、防火墙、防病毒、策略自动备份等技术手段，结合完善的网络安全制度和策略管理体系，建立立体式的平台安全防护体系。 系统集 成设计要求 系统软硬件平台是 此次局域网建设数据管理网络设备项目 建设的基础，承载局域网系统 的正常 运行， 服务器 、 存储设备 、网络等各种设备能够 满足一段时间内（ 3－ 5 年）不断增长的 局域网系统业务 处理的需要，因此，需要 综合考虑 系统软硬件平台设计 ，做到 合理、经济以及可行。 本技术方案将从实际情况出发，提出的总体规划和需求为基础，充分利用现有的计算机和通讯资源，建设成一个综合应用的现代化网络平台。 本系统集成技术方案将遵照以下原则进行设计。 系统网络结构 系统网络设计原则 本局域网是办公网络隔离的专用网络，应满足如下各种设 计原则 ，应满足如下各种设计原则。 高带宽通道通信 网络就要保证高速的信息通信。 网络通道不应成为应用系统的制约因素，其最窄的瓶颈通道应当还是高于信息通信的带宽需求。 网络的一定要满足高带宽的传输。 高可靠容错能力 本 系统运行在网络之上，应用系统的正常运作是依赖于网络系统的高可靠容错性能，特别是在计算机系统逐渐成为企业的关键业务。 网络故障而造成的企业 7 损失通常是随着停顿时间的延长而几何级地增加。 网络系统应尽量地增加可靠稳定的元素，并且故障自动修复时间要尽可能的短。 可扩充能力 计算机应用正逐渐渗透入 企业 管理等业务每一个环节。 网络无论从单一设备还是从整个系统的角度必须具有很好的扩充能力，以满足不断发展和变化的应用需求，并能随着技术的发展不断升级。 安全性 网络系统应具有良好的安全性，由于网络内有多个业务部门和应用系统，并要与其它分支机构互联，网络系统应支持 VLAN 的划分，并能在 VLAN 之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 高智能 网络管理者需要可以控制网络的使用以及为不同应用和用户组分配网络资源并划分优先等级的能力。 网络管理者必须针对网络应用需求制订专门的政策，将企业需要与所 期望的网络行为对应起来。 作为一个整体的系统，网络应具有可控的智能化的高性能。 也就是说，网络中以太网连接的节点之间的交换，不管它们的 VLAN 属性如何，我们都可以控制它在本地交换机交换或通过主干进行交换。 QoS(服务质量 )保证 当今网络中的应用越来越多，如实时生产数据业务， IP 电话，视频点播，视频会议等。 这类应用必然对网络提供的服务质量有较高的要求。 新的网络系统应能保证 QoS，以支持这类应用。 符合国际标准 选用符合国际标准的开放性的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升 级的要求，保护用户的投资。 系统网络拓扑设计 本 系统网络作为 智能 化建设的基础，地位极其重要，未来的生产运营、管理等有关业务将全部依赖该系统，如何实现安全可靠，高速稳定的运行对整个系统来说非常关键。 因此，我们在设计整个网络系统时要综合考虑多种因素，包括未来的发展速度、信息存储灾备的模式、安全理念、业务应用类型等，同时为了保证网络的稳 8 定，核心设备应当适度超前，满足未来 35年的信息增长需求。 区域化的结构设计 在 本局域网 网络结构设计中，我们采用了区域化的结构设计。 采用这样的结构所建设的网络具有良好的扩充性 、管理性，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不破坏已存在的网络。 将整个系统的应用层次的不同分成不同的区域，系统客户端服务区、广域网接入区等。 各个区域均通过接入交换机与核心交换机冗余连接，实现清晰的系统边界。 三层接入 本网络 系统采用三层接入的组网模式，核心设备直接面对的将是接入层 L3，通过合理的路由聚合 可以减少子网路由表的容量要求， VLAN 间转发由接入 L3 分担可以减少核心设备三层接口的数量 ，网络冗余备份靠三层的路由完成，通过等效路由还可以做到流量的合理分担，对链路的利用率高。 根据以上区域化和三层接入的设计思想，结合 本系统 实际情况，整个系统的拓扑如下图所示。 图 系统平台网络拓扑图 9 本 系统网络采用典型的星型结构，专用网络平台上运行，数据流向以访问GIS 应用服务器为主。 整个系统网络体系分为核心和防火墙 VPN，专门部署一台核心交换设备， 贵公司 系统专网出口部署一台防火墙 VPN 设备，连接本地局域网， 为 各单位接入网络提供最高的安全性和 VPN 服务，以满足安全可控的要求。 服务器存储系统 服务器选型原则 数据库服务器主要用于存储、查询、检索企业内部的信息，因此需要搭配专用的数 据库系统，对服务器的兼容性、可靠性和稳定性等方面都有很高的要求。 在考虑应用服务器平台时，一方面从业务需求入手，要求应用服务器平台能够稳定高效运行业务系统，包括种种关键环节。 另一方面，针对目前用户业务发展趋势，以及未来的发展方向，我们将推荐先进、可靠、高效的主流机型及存储系统，使其无论在处理能力、可靠性，还是在高可用性、扩展性等诸多方面处于领先地位，其中特别是具有平衡的整体性能及高负载能力方面，要求适应本网络系统业务量及业务种类的发展。 现仅就服务器平台技术方面详细论述： 要求服务器平台有强大而平衡的处理 能力 针对业务情况，要求服务器平台能够支持大规模业务处理，尤其在业务高峰期间能够与磁盘系统配合，使整个系统性能平衡不会出现系统瓶颈，保证系统响应大压力的数据负载。 要求服务器平台有完整的高可用解决方案 系统所处理的业务为关键业务 .这就要求从硬件和软件平台的角度，能够提供高可用的解决方案。 高可用方案针对可靠性、可用性、容错能力、最大无故障时间等方面提供完整科学的系统方案设计，其中包括支持多机备份、数据恢复以及灾难备份等技术，用以满足业务系统高可靠的运行。 要求服务器提供商具有完善的服务体系 现今用户 已经越来越重视系统提供商的服务，因为系统的良好运行是与系统提供商的优良服务分不开的。 只有得到了完善的服务，才能够没有后顾之忧。 要求服务器平台有丰富的扩展方式 要求服务器系统在技术上具有强大的扩展能力，能够满足 本 系统业务量的提 10 升，同时能够为增加软件功能提供运行空间。 要求服务器平台有完善，方便的管理技术 对 本网络 系统，服务器的管理技术是其中必不可少的关键的组成部分，要求管理工具不但用于日常的系统管理工作，而且尽可能简洁易用，简化系统管理员繁重的工作。 管理技术包括三个组成部分，即系统管理、网络管理、机 房管理。 系统管理是利用系统工具管理硬件、软件从而使系统在安装运行和维护得到可靠保证。 网络管理是监控全网络的工作状态，从连通性、安全性、可靠性等方面提供有利支持。 机房管理是在不同人员工作分配等方面提供一定方法。 要求服务器平台提供可靠的安全策略 本 系统包括大量的关键数据，保证这些数据不被恶意破坏、非法侵取是电脑系统安全策略所要解决的内容。 安全策略提供网络、服务器、业务等关键资源有力保护，为业务系统创造安全可信的运作空间。 要求服务器平台是能够长久发展的主流机种 计算机产业是发展迅速的产业，新技术不断涌 现，旧产品快速淘汰。 选择能够长久发展的主流机种可以减缓机器更换频率，提高服务器的服务年限，更好的利用设备投资。 数据库服务器选型 数据库服务器作为 本 系统的核心，具有业务量大、 处理 数据量大等特点。 它承担着业务数据的存储和处理任务，因此关键数据库服务器的选择就显得尤为重要。 服务器的可靠性和可用性是首要的需求，其次是数据处理能力和安全性，然后是可扩展性和可管理性。 首先，数据库服务器选型应该遵循以下几个原则： 1)高性能原则 2)可靠性原则 3)可扩展性原则 4)安全性原则 5)可管理性原则 5)可靠性、扩展性等 11 网络安全设计 针对 本 系统网络可能遇到的各种安全威胁和风险，应采取行之有效的安全措施，以保证系统应用过程中信息的完整性、高可用性和抗抵赖性，确保系统能够安全、稳定、可靠地运行，为实现系统建设的目标提供安全保障。 网络安全系统设计 基于以上网络安全问题分析， 我们将采用安全交换机、防火墙 VPN、网络流量控制网关、网络管理软件等部署本项目网络安全平台，具体规划如下： 序号 项目 品牌、型号 数量 1 核心交换机 模块化三层交换机 1台 2 防火墙 VPN 高端防火墙自带 VPN 1台 3 流量整形控制 高端流 量整形网关 1台 4 网络管理软件 专业版管理管理软件 1套 选用安全交换机保障网络安全 交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。 同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。 更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。 本方案选用核心交换机，配备独立新一代高性能基本第三层交换引擎具备 1个万兆接口、 48个 千兆以太 网接口，并且是基于 ASIC 的硬件支持 IPV6。 由于安全策略实施不会与线速专用访问控制列表（ ACL）发生冲突，因而能阻挡越来越猖獗的病毒和安全攻击。 提供的易于使用的强大工具能够有效防止不可追溯的中间人攻击、控制平面资源耗尽、 IP 欺诈和泛洪攻击，而且不需要修改最终用户或主机的配置。 安全远程访问、文件传输和网络管理分别通过 Secure Shell（ SSH 版本 1 和版本 2）协议、安全复制协议（ SCP）和 SNMPv3 实施。 运用防火墙系统增强网络安全 和使用流控系统掌控网络流量分布 针对日趋复杂的混合性攻击 ，以及网络资源滥用行为，在网络出口处部署一台硬件防火墙用于保护内网安全，网络边界隔离。 能够全面抵御蠕虫、病毒、特 12 洛伊木马、间谍软件等恶意程序，阻止它们渗入内网，并实时阻断 SQL 注入、 DDoS各类应用层攻击，从而最大限度地保护信息系统的基础架构。 防火墙支持 VPN 功能， VPN 实现的一个关键技术是隧道技术，所谓隧道技术就是（数据包封装、发送和拆封过程称为 隧道 ）原始报文在 A地进行封装，到达 B 地后把封装去掉还原成原始报文，这样就形成了一条由 A 到 B 的通信隧道。 隧道将原始数据包隐藏（或称封装）在新的数据包内部。 新的 数据包可能包含新的寻址和路由信息，这使新的数据包得以在网络上传输。 当隧道与保密性结合时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目的）。 将贵公司 系统的数据依靠隧道协议封装在隧道中进行传输，保证数据在外部网络上流动的安全。 隧道协议分为第二层隧道协议 PPTP、 L2F、 L2TP 和第三层隧道协议GRE、 IPSEC。 它们的区别就是用户的数据包是被封装在哪种数据包中在隧道中传输的。 利用 VPN 功能，可以在网络内部，用它来实施 贵公司 系统的访问控制，防范内部用户可能在无意之间引入网络的蠕虫、病毒和其他恶 意代码。 而是用网络流量控制设备可以分配网络流量的带宽，使得网络的流量分配更加合理。 VLAN安全设计 VLAN 安全设计包括 VLAN、 VLAN Routing 两部分。 1)、 VLAN 虚拟局域网（ VLAN）技术是为了解决桥接的局域网中存在的广播风暴，以及网络系统的可扩展性、灵活性和易管理性方面的问题，第二层交换机基本上都支持 VLAN 划分。 在局域网设计中，我们可以根据不同部门划分 VLAN。 VLAN 技术的采用为网络系统带来了以下的优点：  控 制广播 VLAN 之间是相互隔离的，所有的广播和多点广播都被限制在一个 VLAN 的范围内，即一个 VLAN 产生的广播信息不会被传播到其它的 VLAN 中，有效地防止了局域网上广播风暴的产生，提供了带宽的利用率。  提 高安全性 由于 VLAN 之间是相互隔离的，因此可将高安全。