某集团IT基础架构建设方案

《某集团IT基础架构建设方案》由会员分享，可在线阅读，更多相关《某集团IT基础架构建设方案（18页珍藏版）》请在金锄头文库上搜索。

1、某集团 ITIT 基础架构建设方案基础架构建设方案第 2 页 共 18 页 目目 录录第一章第一章 项目情况介绍项目情况介绍第二章第二章 设计原则和设计思想设计原则和设计思想第三章第三章 VPNVPN 网络建设网络建设第四章第四章 数据中心虚拟化建设数据中心虚拟化建设第五章第五章 分支机构弱电建设标准分支机构弱电建设标准第六章第六章 视频会议视频会议第七章第七章 IT 资产统一管理资产统一管理第八章第八章 监控和考勤系统统一管理监控和考勤系统统一管理第九章第九章 邮件文档统一管理邮件文档统一管理第十章第十章 视频点播直播系统视频点播直播系统第 1 页 共 18 页 第一章第一章 项目情况介绍项

2、目情况介绍1.1 项目背景项目背景目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的开展不再仅仅局限于同一物理位置上，即使在办事处、分支机构、出差在外、在家中，均可像在公司总部办公一样开展业务。另外集团对各项业务的流程，账务流程，行政流程需要统一进行管控，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来满足各分支机构与集团总部之间的信息交流。另外我集团作为新兴的拥有知识产权的企业 ，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，这提醒我们应该更加注重网络安全的建设。值得称道的是，公司领导已经对此引起了高度重视，并计划逐步进行卓有成效的防护工作。在这

3、方面，合理借鉴市场先进经验与理念十分重要。1.2 目前目前 IT 架构和应用现状分析架构和应用现状分析原宽带原宽带地点地点宽带运宽带运营商营商网络接入网络接入IPIP 地址：地址：动态动态/ /固定固定服务器服务器交换机交换机其它设备其它设备深圳总部深圳总部ADSL动态 IP 地址K3 服务器一台 二层无无 ADSL动态 IP 地址无二层 无无深圳中心深圳中心ADSL动态 IP 地址无二层 无无广州越秀中心广州越秀中心电信ADSL动态 IP 地址无 二层 无无广州天河中心广州天河中心无无无备份服务器一台二层无无上海浦东中心上海浦东中心电信光纤接入动态 IP 地址无 二层 无无第 2 页 共 1

4、8 页 北京浦东中心北京浦东中心无无无无二层无无从上表可以看出，我集团 IT 基础架构还处在比较原始的阶段，集团总部和各分支机构 没有进行信息网络的互联互通，已经成为制约业务扩大和发展的重要原因。1.3 未来要运行的系统未来要运行的系统1.CRM 系统 2.OA 系统 3.IP 电话 4.视频会议 5.邮件系统 6.域管理系统 7.考勤统一管理系统 8.监控统一管理系统 9.账务系统 10.文档统一管理系统 11.数据备份系统 12.网络安全系统 13.医务教学系统根据以上需求，我集团必须构建适合公司未来发展的 IT 基础架构。搭建互 联互通的信息网络和信息平台。为此，必须首先完善 IT 基础

5、架构。第二章第二章 设计原则和设计思想设计原则和设计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性” 。具体的我们遵循了以下原则：2.1 安全性原则安全性原则在公司网络运行的各个环节中，都应该严格注意安全的问题，防止其中的任一过程存在着安全的漏洞，从而影响整个公司业务运作的大局。随着计算机网络技术的提高，网络的安全性也越来越值得人们注意和防范，在该方案第 3 页 共 18 页 中，安达通公司时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对相关的网络设备、主机系统、应用数据库提供严密的保护。网络安全需要依靠综合手段才能够

6、实现。一方面需要好的安全技术产品，好的安全策略；另一方面，更为重要的是要有完善的安全管理制度。从技术角度来看，一个完善的网络安全系统应该包括以下三个方面：1.安全防护2.主动安全评估3.安全实时监控安全防护就是通过防火墙或网络物理隔离等设备，对进出网络的数据包进行控制；同时在应用、主机上限制非法用户进入，或者用户越权访问。主动安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验的安全专家来进行安全评估。安全实时监控也是属于主动防御范畴。指在我们对网络上的各种行为进行监控，例如黑客攻击一个系统之前，往往需要了解这个系统的结构或者漏洞，他们往往会利用网络扫描工具

7、对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。2.2 实用性原则实用性原则系统在设计上一方面将满足双向的数据传送、实时处理的要求；另一方面，又采用先进的技术，使系统完成后，保持一定时期的领先地位。另外还要考虑成本和费用实用性原则既要做到先进技术与现有成熟技术相兼顾，又要使系统的高性能低成本与实用性相结合。2.3 可靠性原则可靠性原则这套系统是企业内网的门户。它的稳定可靠关系重大，特别是具体业务项目。随着使用的普及，信息平台的运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、网络和数据的稳定

8、可靠性，采用负载均衡技术、备份技术就是其中的重要策略。第 4 页 共 18 页 2.4 可扩展性原则可扩展性原则网络安全互联建设应该是统一规划、分步实施、逐步完善的的过程。我公司在该方案的设计中充分考虑它的可扩展性，为将来系统扩展和升级提供基础。2.5 易管理性原则易管理性原则系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性，为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。第第三三章章 集集团团 VPN 网网络络建建设设方方案案3.1 VPN 技术简介技术简介VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道） ，将远程的分支机

9、构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言， VPN 可以替代传统租用线来连接计算机或局域网等。而任何 VPN 业务都是基于隧道技术实现的，隧道机制是 VPN 实施的关键。数据通过安全的“加密管道“在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用 VPN 有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企

10、业网络发展的趋势。 第 5 页 共 18 页 图图 3-13-1 VPNVPN 组网示意图组网示意图虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件： 保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性:接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性:提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。提供动态密匙交换功能:提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制:要有抵抗黑客通过 VP

11、N 通道攻击企业网络的能力，并且可以对 VPN 通道进行访问控制（Access Control） 。 虚拟专用网 VPN 可以使在 Internet 中的信息交换有安全保障，大多数的 VPN 产品支持IPSec。最初 VPN 技术被设想为 Intenet 节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的 PC 或笔记本电脑用户与他的公司本部之间建立的加密通道。目前，VPN 技术正在迅速走向成熟，而且它正处于兴盛期。第 6 页 共 18 页 3.2 系统设计功能分析系统设计功能分析3.2.1 VPN 的构建方式的构建方式VPN 的实现有很多种方法，常用的有以下四种： 1硬

12、件 VPN：某些硬件设备，含有 VPN 功能。 2软件 VPN：可以通过专用的软件实现 VPN。 3运营商提供 VPN：可以通过租用运营商的网络实现 VPN。3.2.2 为企业节省了费用开支为企业节省了费用开支采用了 VPN 系统，相当于在总部和各地分公司之间建立了安全的专用网络，就可以充分利用公共网络的资源，在上面运行包含企业内部重要信息的各种应用系统。比较传统的在总部分公司之间拉专线的方式，采用 VPN 解决方案，大幅度降低了企业信息系统的投入成本，为企业带来了直接的效益。并且在安全性上，也得到了提高，因为即使是拉专线，也需要通过网络运营商，而采用 VPN 方案，则是真正的将安全掌握在了自

13、己手中。3.2.6 系统的易扩展性系统的易扩展性VPN 系统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在该地安装一台 VPN 设备，总部只需要增加一条安全策略即可以实现该分公司或者办事处的接入。如果增加一个移动用户，只需要配发一个 Sure ID 即可。因此扩展非常简单。3.3 产品选型产品选型软件 VPN 因性能差，不稳定等因素，在生产环境中，很少部署。现在主流 VPN 一般为硬件 VPN 和运营商提供的 VPN. 下表为一些供应提供的产品的特点，具体价格详见附件。第 7 页 共 18 页 VPN 性能防火墙网络管控网络加速负载均衡第一线良好无无无无深信服良好有有有有中

14、科网威良好有有有有九昌电信良好无无无无费用对比表费用对比表所需要设备VPN防火墙网络管控宽带小计第一线19000CISCO 5515 （总部 2.2W）分支机 构（9000*4）AC1200(市 场价格1.5W*5)拨号光纤 （月租金 1500*5）设备费用 13.3W 线 路费用 2.6W/月九昌电信20000CISCO 5515 （总部 2.2W）分支机 构（9000*4）AC1200(市 场价格1.5W*5)拨号光纤 （月租金 1500*5）设备费用 13.3W 线 路费用 2.75W/月中科网威总部 4.2W 分支机构 （8000*4）总部 7000 分支机构 （3000*5）设备费用

15、 7.2W 线 路费用 2.2W/月深信服总部 8W 分支 机构（4W*4）AC1200(市 场价格1.5W*5)总部 7000 分支机构（3000*5）设备费用 31.5W 线路费用 2.2W/月3.4 网络规划与产品部署网络规划与产品部署1、集团总部设计方案、集团总部设计方案总部是整个公司的“心脏地带” ，重要信息的交互、共享，重要数据的频繁传输，组成了 XX 集团的业务流。随着企业信息化程度的不断加深，各种应用系统会逐步得到应用。第 8 页 共 18 页 目前，集团总部的内部网络，通过电信网络直接接入 Internet。考虑以后总部业务需求的发展，在总部网络出口处部署一台 ANYSEC-M6600ANYSEC-M6600。M6600 是一款标准 1U 机架式高性能VPN 安全接入网关。基本配置包括 4 个 100/1000M 以太网接口，采用 Intel NP 架构高速网络处理器。最大 VPN 隧道数 1600 条、3DES 硬加密性能 100Mbps、防火墙吞吐率 1Gbps、最大并发会话数 500,000 个。支持双机热备、多线路负载均衡。主要功能包括 VPN 集中管理、IPSEC/SSL VPN 二合一、防火墙、代理上网、应用带宽管理、IM 控制、P2P 控制、娱乐控制、用户分级管理、上网行为管理等功能。2、各地驻外机构设