《【精品】大型烟草集团网络方案》由会员分享,可在线阅读,更多相关《【精品】大型烟草集团网络方案(59页珍藏版)》请在金锄头文库上搜索。
1、大型烟草集团网络方 案 常德卷烟厂技术中心网络工程 项目建议书 目录 第一章网络系统总体设计 3 1.1 网络系统建设的背景 3 1.2 网络系统设计原则 3 1.3 网络系统总体设计说明 4 1.4 网络系统方案特点 6 第二章主机系统 8 2.1 主机系统选型原则 8 2.2 主机系统选型及依据 8 2.3 主机方案特点 10 第三章网络管理与网络安全 11 3.1 网络管理 11 3.2 网络安全 13 3.2.1 网络安全的威胁 13 3.2.2 网络安全元素 14 3.2.3 网络安全的实现 15 附件 21 附件一:局域网络技术 21 附件二:网络设备 33 附件三:IBMRS/6
2、000 系列小型机服务器介绍 41 附件四:设备清单 53 第一章网络系统总体设计 1.1 网络系统建设的背景 随着信息化的发展,Internet 的迅速膨胀,烟草行业竞争由为激 烈,加上常德卷烟厂技术中心业务量的飞速增长,对内对外信息交 流越来越频繁,同时为响应全国烟草行业网的建设要求,所以常德 卷烟厂技术中心建设高性能的局域网是非常必要的。 1.2 网络系统设计原则 本系统本着如下原则来设计:实用、先进、稳定、开放、扩展、 安全和经济。 实用性: 本系统的建设将始终遵循“面向应用,注重实效”的指导思想。紧 密结合经济运行,为信息服务提供现代化的手段。 先进性: 系统硬件设备和软件平台应最先
3、进,既要反映当今技术的先进水平, 又应具有很强的扩展能力。同时还应注意所选用的技术、设备和开 发工具是最普及通用和成熟的,能与最新技术接轨,对市场的任何 变化具有极强的适应性。 开放性: 考虑到系统中所选用的技术和设备的协同运行能力,保护现有的资 源和系统投资的长期效应以及系统功能不断扩展的需要,所采用的 软硬件平台必须具有开放性,所采用的规范应与生产厂商无关。 扩展性: 由于网络信息技术的飞速发展,变化日新月异,所以在本方案设计 中,所选用的技术和产品具有很强的可增长性和扩展性。 可靠性: 在社会向信息化发展的同时,也存在一种危机,即对信息技术的依 赖程度越高,系统失效所造成的影响也越大。因
4、此,本系统的设计 必须在投资可接受的条件下,从系统结构、技术措施、设备选型以 及厂商的技术服务和维修响应能力等方面综合考虑,确保系统运行 的可靠性。 安全性: 在网络信息时代,大流量的数据传输和管理在整个网络系统中占 很重要的位置,同时有些数据文件是高度秘密,防止外来黑客的侵 入,所以在本系统的设计中有较好的稳定性和安全性。 经济性: 本系统充分考虑性能价格比, “按需集成”的原则,在一定的资 金规模下以达到最好的、先进的性能。 1.3 网络系统总体设计说明 常德卷烟厂技术中心整个网络结构采用技术先进、成熟可靠的交换 式千兆以太网,两层结构,星型连接。在网络核心层,确保连接可 靠性,建议采用两
5、台业界杰出的 Cisco6509 模块化千兆以太网交换 机互为备份,作为系统主干交换机。Cisco6509 主干交换机留有千 兆端口将来和计算机中心及联合工房连接,双网百兆端口连接内部 IBMRS/6000 核心服务器。在网络分配层,选择带有千兆端口的 CiscoCatalyst3548 交换机。为确保网络分配层至网络核心层连接 可靠性,Cisco3548 交换机两个千兆端口分别连接至两台互为备份 的主干交换机 Cisco6509,假如一条链路断了,另一条链路仍可继 续工作,网络繁忙时,两条链路可自动达到负载均衡,更平稳的传 输数据,以免网络拥塞。Cisco3548 交换机百兆下连至各楼层或各
6、 部门桌面计算机。详见下图: 1.4 网络系统方案特点 1、局域网设计先进,实现分层不同容量交换 整个网络建设符合 ISO/IEC11801 标准和中国工程建设规范。技 术中心局域网核心层 Catalyst6509 千兆位以太网交换机支持通道流 量(FastEtherChannel) ,最大支持 384 个 10/100Mbps 端口或 130 个 1000Mbps 端口,高达 256Gbps 的背板带宽,6509 交换 机支持 IP 路由,这样局域网中各桌面计算机划分虚网后,可以直接 通过 Catalyst6509 完成各虚网之间的通讯。Cisco6509 配置两个 SuperVisorEn
7、gineer网络模块引擎,互为备份,两个 8 个端口的千兆 以太网模块,再配置一个 48 个 10/100M 自适应以太网端口模块, 这样完全满足技术中心当前需要,又有富余。局域网分配层 Cisco3548 快速以太网交换机,具有 48 个 10/100Mbps 端口,带 2 个模块插槽,支持千兆位端口,背板带宽高达 10Gbps。 2、全网安全可靠 网络的主干及服务器采用冗余结构,做到无单点故障对网络的影 响。Cisco6509 千兆位以太网交换机设置冗余电源系统及双引擎, 提高可靠性,机箱式设备支持模块热插拔。Cisco6509 支持包过滤 级的访问控制,可以限制特定 IP 地址及应用通过
8、。CiscoIOS 软件 可升级为 Plus 版本,支持 56 位 DES 数据加密传输,增强网络安全。 采用先进的虚拟网 VLAN 技术,以减少各种业务、各种应用数据流 之间的通信量,做到各种业务数据流量的隔离,进一步增强网络的 安全性、可管理性和带宽有效利用,优化整个网络。整个网络和 Internet 无实质性的物理连接,对于要上 Internet 的计算机暂时考 虑按单机拨号上网的方式,上网前要和内部局域网断开,还有对于 要上网的计算机由专人来管理,确保安全性。 3、网络管理一体化 整个网络系统在设计时均采用国际标准协议 TCP/IP,所有网络 设备的管理基于 SNMP,支持 RMON
9、和 RMON2,并由硬件实现, 技术中心设立网络管理中心,运用 CiscoWorks 网管统一管理,达 到全网监控、控制、统计、维护等功能。 4、网络扩展性强、保护投资 技术中心核心层网络设备为高性能模块化设计,Catalyst6509 千兆位以太网交换机的九个插槽仅用五个,网络结构采用层次化设 计,高层网络设备在不能满足工作要求时,可降级使用。 第二章主机系统 2.1 主机系统选型原则 代表目前商业计算机系统的先进水平。 具备较强的安全性。 具备优良的 RAS 性能-可靠性、可用性、可维护性。 具备优良的可扩充性和升级能力。 具备优良的性能价格比。 2.2 主机系统选型及依据 1、主机系统选
10、型及选择依据 (1)机型及处理能力选择及依据 对主机而言,业务服务、数据库服务对应的性能指标为 SPECWeb96 和 TPC-C。根据 IBM 公司的推荐,IBMRS6000 在处 理银行数据库业务时,TPC-C 与业务数的关系为 1:20,即 TPC-C 为 1000 的计算机每天可以处理 20000 笔银行业务。从业务处理的 复杂程度来讲,烟草行业业务相对简单。因此,在我公司建议采用 1:30 的比例计算。以技术中心为例:假如每天处理 40 万次业务, 因此需要 TPC-C 为 13000-14000 的计算机。考虑业务 15%的年增 长,因此我公司推荐如下计算机系统 机型 TPC-CS
11、PECWeb96 IBMRS/6000H70(4CPU)17133(4CPU)6958(2CPU) 主机系统采用两台 IBMRS/6000H70 加 IBM7133SSA 磁盘阵列, 采用 RAID5 技术,运行 IBMHACMP 双机热备软件。 (2)IBMRS/6000H70 特点 H70 是 IBM 新推出的高档 64 位 SMP 机型,支持 1-4CPU,用 于企业级的关键业务。H70 建立在 IBM 第二代 RISC 芯片的基础上, 具有先进的 SMP 结构。IBM 独特的 DataCross-BarSwitch 技术, 避免了传统 SMP 中内存总线竞争和数据一致性问题,提供 I/
12、O、Memory 及 CPU 之间无阻塞的交换通道。 RS/6000 的所有 SMP 系统上都标准配备有一个名为 ServiceGuard 的 ServiceProcessor,这个独立的 Processor 可执 行许多功能,增加系统的 RAS 性能。例如,它可以在系统未开机的 情况下执行系统的检测动作,也可以在系统任何一个元件发生问题 时自动将系统重新启动,并将有问题的元件隔离待修,不需人工的 处理。 H70 具有优良的扩展能力,支持 4CPU、8GB 内存,根据处理 能力分析,单 CPU 时已经具备了处理烟草业务的能力,只须少加扩 展,便可支持其他多种业务。 2、磁盘阵列IBM7133S
13、SA 系统 7133SSA 磁盘阵列是 IBM 在存储产品领域中的领先产品,打破 了 SCSI 传统的总线结构,独特的环行结构支持 48 个磁盘, 80Mb/s 的传输速率。IBMSSA 适配器支持 2 个环路,既支持 160Mb/s 的数据通讯速率。SSA 的环路结构支持冗余功能,是 SCSI 结构所不具备的。当 SSA 的环路断开时,并不影响数据的读 写,仅仅是速率变为 40Mb/s,而 SCSI 系统总线断开时,整个总线 上的硬盘系统便会崩溃。 3、双机热备份软件IBMHACMP HACMP 是 IBM 公司极负盛名的集群多处理软件,可以支持 16 个节点。不仅支持虚拟 IP 地址、虚拟
14、主机名,可选支持并行数据库, 而且支持 MAC 地址的切换。这意味着当主机发生意外时,备份机 不仅接管主机的 IP 地址、主机名,而且接管主机网卡的 MAC 地址, 从而真正作到无缝接管,即 Client 端不必重新启动计算机或刷新 ARP 表,便可直接与主机(实际为备份机)通讯。这才是真正意义 上的热备份。 4、系统备份设计 配备 IBM3590 磁带库,存储量为 100GB/300GB(压缩) 。带 库提供 9M/S(非压缩)的数据传输率,可对大量数据进行备份和 数据恢复。尤其对于查询 5 年以前的历史数据,具有很高的优越性。 2.3 主机方案特点 技术中心系统采用 HACMP 双机热备份
15、方式,可以提高系统可 靠性。 系统根据业务量需求,采用合适机型,充分考虑性能价格比。 提供合理有效的备份方式,保障数据安全。 第三章网络管理与网络安全 3.1 网络管理 网络互联使得管理变得更加困难,同时也更加重要。对于烟草行 业,整个网络系统的管理,形成集中与分散的网络管理结构体系是 非常重要的。目前,网络管理大多基于 SNMP(简单网管协议) 。 以下简单介绍 SNMP 管理的基础, 1.ISO 管理框架 国际标准化组织 ISO 把网络管理任务分成以下五个部分: 配置管理 大多数智能设备需要某种形式的配置信息,配置管理功能允许某 种形式的的友好界面在 NMS(网管工作站)中输入配置信息,并
16、把 这个信息传递到被管理的设备上。增强的功能还包括对大多数的远 程设备的配置信息进行检查的能力。这保证了对软件版本的严格控 制。 性能管理 NMS 是在网络上收集性能数据的好地方。在理论上,这个数据 可以放在相同的模型软件包中,该软件包首先用于设计网络。这将 允许为指定的系统改进和定制模型。 故障管理 这是网络管理最成功的一个方面,目标是在用户抱怨网络问题之前 让网络管理员找出它们。 安全管理 当网间网的规模变得很大,并开始彼此互联时,安全就成了一个 主要的问题。安全屏蔽和自陷(触发警报)可以配置在网络上。如 果这些设备受到入侵,被管理的设备或 NMS 的安全管理功能负责 触发警报。安全管理的一个更为广阔的形式是保证安全策略在整个 网络上是一致的。实际上,如果我们把网间网看作一个扩展的计算 机系统,安全系统就代替了操作系统的安全功能。 记帐管理 网间网耗费资金。它们存在的理由是它们可以使公司的效率更高。 最终的费用决定于网间网服务的使用。对于 TCP/IP 管理,记帐管 理是所有管理中功能最不完善的。 经过了几年的时间,这五个管理概念以不同程度作为
