《某集团IT基础架构建设方案详细文档》由会员分享,可在线阅读,更多相关《某集团IT基础架构建设方案详细文档(22页珍藏版)》请在金锄头文库上搜索。
1、某集团IT 基础架构建设方案目 录第一章 项目情况介绍第二章 设计原则和设计思想第三章 VPN 网络建设第四章第五章第六章第七章第八章第九章第十章数据中心虚拟化建设分支机构弱电建设标准视频会议IT 资产统一管理监控和考勤系统统一管理邮件文档统一管理视频点播直播系统第一章 项目情况介绍1.1 项目背景目前,随着通讯技术、计算机技术、网络技术的应用普及和加深,我集团许多业务的开展不再仅仅局限于同一物理位置上,即使在办事处、分支机构、出差在外、在家中,均可像在公司总部办公一样开展业务。另外集团对各项业务的流程,账务流程,行政流程需要统一进行管控,这就需要建立一个安全、快捷、经济、方便的信息交互平台,
2、来满足各分支机构与集团总部之间的信息交流。另外我集团作为新兴的拥有知识产权的企业 ,信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象,这提醒我们应该更加注重网络安全的建设。值得称道的是, 公司领导已经对此引起了高度重视,并计划逐步进行卓有成效的防护工作。在这方面,合理借鉴市场先进经验与理念十分重要。1.2 目前 IT 架构和应用现状分析ADSL动态 IP 地址无二层无广州越秀中心电信ADSL动态 IP 地址无二层无广州天河中心无无无备份服务器一台二层无上海浦东中心电信光纤接入动态 IP 地址无二层无北京浦东中心无无无无二层无从上表可以看出,我集团 IT 基础架构还处在比较原始的阶段,
3、集团总部和各分支机构没有进行信息网络的互联互通,已经成为制约业务扩大和发展的重要原因。1.3 未来要运行的系统1.CRM 系统2.OA 系统3.IP 电话4.视频会议5.邮件系统6.域管理系统7.考勤统一管理系统8.监控统一管理系统9.账务系统10.文档统一管理系统11.数据备份系统12.网络安全系统13.医务教学系统根据以上需求,我集团必须构建适合公司未来发展的 IT 基础架构。搭建互联互通的信息网络和信息平台。为此,必须首先完善 IT 基础架构。第二章 设计原则和设计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性 ,着力于“实用性、高起点、前瞻性、扩展性”。具体的我们遵循了以下原
4、则:2.1 安全性原则在公司网络运行的各个环节中,都应该严格注意安全的问题,防止其中的任一过程存在着安全的漏洞,从而影响整个公司业务运作的大局。随着计算机网络技术的提高,网络的安全性也越来越值得人们注意和防范,在该方案中,安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全,对相关的网络设备、主机系统、应用数据库提供严密的保护。网络安全需要依靠综合手段才能够实现。一方面需要好的安全技术产品,好的安全策略;另一方面,更为重要的是要有完善的安全管理制度。从技术角度来看,一个完善的网络安全系统应该包括以下三个方面:1. 安全防护2. 主动安全评估3. 安全实时监控安全防护
5、就是通过防火墙或网络物理隔离等设备,对进出网络的数据包进行控制;同时在应用、主机上限制非法用户进入,或者用户越权访问。主动安全评估是基于安全防护的基础上进行的,在通过了安全防护之后,可以借助安全工具或者是有经验的安全专家来进行安全评估。安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控,例如黑客攻击一个系统之前,往往需要了解这个系统的结构或者漏洞,他们往往会利用网络扫描工具对某个网段或者主机进行扫描,实时监控系统能够检测到这类行为。2.2 实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求;另一方面,又采用先进的技术,使系统完成后,保持一定时期的领先地位。另外还
6、要考虑成本和费用实用性原则既要做到先进技术与现有成熟技术相兼顾,又要使系统的高性能低成本与实用性相结合。2.3 可靠性原则这套系统是企业内网的门户。它的稳定可靠关系重大,特别是具体业务项目。随着使用的普及,信息平台的运行不稳定甚至瘫痪将严重影响企业的形象,也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定可靠性,采用负载均衡技术、备份技术就是其中的重要策略。2.4 可扩展性原则网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性,为将来系统扩展和升级提供基础。2.5 易管理性原
7、则系统的管理和维护工作也是至关重要的 。在系统设计时既要充分考虑平台的易管理性,为平台维护者提供方便的管理工具;同时又要设计规范但不失灵活的工作流程。第三章 集团 VPN 网络建设方案3.1 VPN 技术简介VPN(虚拟专用网)技术是指通过公共网络建立私有数据传输通道 (即隧道),将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在 ,仿佛所有的主机都处于一个网络之中 。对企业而言, VPN 可以替代传统租用线来连接计算机或局域网等。而任何 VPN 业务都是基于隧道技术实现的,隧道机制是 VPN 实施的关键。数据通过安全的加密管道在
8、公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构就可以互相传递信息;同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以连接进入企业网中。使用 VPN 有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的趋势。图 3-1 VPN 组网示意图虚拟专网的重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条件:保证数据的真实性:通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力。保证数据的完整性:接收到的数据必须与发送时的一致,要有抵抗不法分子纂改数据的能力。保
9、证通道的机密性 :提供强有力的加密手段 ,必须使偷听者不能破解拦截到的通道数据。提供动态密匙交换功能:提供密匙中心管理服务器,必须具备防止数据重演(Replay) 的功能,保证通道不能被重演。提供安全防护措施和访问控制:要有抵抗黑客通过VPN 通道攻击企业网络的能力,并且可以对 VPN 通道进行访问控制(Access Control)。虚拟专用网VPN 可以使在Internet 中的信息交换有安全保障,大多数的VPN 产品支持IPSec。最初 VPN 技术被设想为 Intenet 节点的连接方式,后来它很快被公认为是一种远端的接入技术,例如在一个远程的 PC 或笔记本电脑用户与他的公司本部之间
10、建立的加密通道。目前,VPN 技术正在迅速走向成熟,而且它正处于兴盛期。3.2 系统设计功能分析3.2.1 VPN 的构建方式3.2.2 为企业节省了费用开支采用了 VPN 系统,相当于在总部和各地分公司之间建立了安全的专用网络,就可以充分利用公共网络的资源,在上面运行包含企业内部重要信息的各种应用系统。比较传统的在总部分公司之间拉专线的方式,采用 VPN 解决方案,大幅度降低了企业信息系统的投入成本,为企业带来了直接的效益。并且在安全性上,也得到了提高,因为即使是拉专线,也需要通过网络运营商,而采用 VPN 方案,则是真正的将安全掌握在了自己手中。3.2.6 系统的易扩展性VPN 系统建立以
11、后,将来的扩展非常方便,如果需要增加一个分公司或者办事处,在该地安装一台 VPN 设备,总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。如果增加一个移动用户,只需要配发一个 Sure ID 即可。因此扩展非常简单。3.3 产品选型下表为一些供应提供的产品的特点,具体价格详见附件。VPN 性能防火墙网络管控网络加速负载均衡第一线良好无无无无深信服良好有有有有中科网威良好有有有有九昌电信良好无无无无费用对比表九昌电信20000CISCO 5515AC1200(市拨号光纤(总部场价格(月租金2.2W)分支1.5W*5)1500*5)机构(9000*4)中科网威总部 4.2W总部 700
12、0分支机构(8000*4)分支机构(3000*5)3.4 网络规划与产品部署1、集团总部设计方案总部是整个公司的“心脏地带”,重要信息的交互、共享,重要数据的频繁传输,组成了 XX 集团的业务流。随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。目前,集团总部的内部网络,通过电信网络直接接入 Internet。考虑以后总部业务需求的发展,在总部网络出口处部署一台ANYSEC-M6600。M6600 是一款标准1U 机架式高性能 VPN 安全接入网关。基本配置包括 4 个 100/1000M 以太网接口,采用 Intel NP 架构高速网络处理器。最大 VPN 隧道数 1600 条、3D
13、ES 硬加密性能 100Mbps、防火墙吞吐率1Gbps、最大并发会话数 500,000 个。支持双机热备、多线路负载均衡。主要功能包括VPN 集中管理、IPSEC/SSL VPN 二合一、防火墙、代理上网、应用带宽管理、IM 控制、P2P 控制、娱乐控制、用户分级管理、上网行为管理等功能。2、各地驻外机构设计方案由于各地驻外机构需要与杭州总部进行大量的信息交换,并且随着 ERP 等应用系统的应用加深,物流、资金流在企业 Intranet 网上的频繁传输,为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传输 ,故此,部署 ANYSEC-S2800i 到各驻外机构。S2800i 是一
14、款桌面式 VPN 安全接入网关。基本配置包括 5 个 10M 以太网接口,采用Intel MIPS架构高速网络处理器。最大 VPN 隧道数 256 条、3DES 硬加密性能35Mbps、防火墙吞吐率 200Mbps、最大并发会话数 80,000 个。主要功能包括 IPSEC VPN、VPN 管理平台、路由、无线上网、交换机、防火墙、3G 上网、上网行为管理、双线路支持等功能。3、集团 VPN 建设网络 IP 地址分配如下:地点服务器网段办公网络WIFI监控深圳总部10.1.0.010.1.1.010.1.2.010.1.3.0深圳中心10.2.1.010.2.2.010.2.3.0广州越秀中心10.3.1.010.3.2.010.3.3.0广州天河中心10.4.1.010.4.2.010.4.3.0上海浦东中心10.5.1.010
