《项目实施及系统集成方案》由会员分享,可在线阅读,更多相关《项目实施及系统集成方案(17页珍藏版)》请在金锄头文库上搜索。
1、新合肥通清算中心系统及网络集成实施方案1 概述新 XXXXXX)项目的业务范围包括:公共交通、小额消费的电子支付、公共事业缴费等, 由于 XXXXXX 系统定于X 月底上线,考虑项目实施时间周期短和新设备采购到货时间比较长, 所以系统上线采用了一套临时设备,近期采购的服务器、网络设备、各类软件已经全部到位。为保障新合肥系统稳定、安全、高效的运行,需要尽快将运行在临时环境的新合肥通系统迁 移到新系统环境上。本次项目采购的设备主要用于搭建新合肥通清算中心系统,用于发行符合 的预付费卡准备,届时 XXXXX 各可以在银联的 POS 设备上进行刷卡消费。2 工程范围工程名称: 工程地点:XXXXXX准
2、本工程范围包括下列系统设计、系统所需货物的供应、运输、安装调试、系统测试、开 通、人员培训和售后服务:POS 用艮务器(2 台)WEB$制台服务器(2 台) 光纤交换机(2 台)磁盘阵列(1 台) 磁带存储(1 台) 核心交换机(2 台) 发布式交换机(2 台) 防火墙(2 台) 双机软件(5 套)备份软件(1 套)杀毒软件(2 套) 防毒墙(2 台) 网管系统(1 套)3 项目参与单位软件开发:XXXXXX操作系统数据库集成:XXXX 配合方:XXXXX网络及服务器集成及电源改造:XXXXX4 建设目标本次 XXX 清算中心系统服务器及网络设备采购及安装项目建设目标如下:1) 构建 XXXX
3、XXXK 目为发行符合银联 PBOC2.0 标准的预付费卡做准备2) 建设 XXXXX 股份有限公司清算中心核心网络和系统3) 建设 XXXXX 股份有限公司通卡项目网络和系统安全体系, 各应用系统的网络安全和系统能够正常运行4) 为合 XXXXX 系统迁移及后续系统压力测试做准备 5 阶段划分通过软硬件安全措施确保综合考虑了合肥“ XXXX 清算中心系统服务器及网络设备采购及安装项目功能需求、 实施范围、系统复杂度、用户可接受的上线时间等因素,我们计划工程分为以下几个阶段:(1) 强电改造阶段(周期 5 天)(2) 设备安装部署和测试阶段(周期 14 天)(3) 系统集成阶段(4) 应用部署
4、阶段(5) 功能测试和压力测试阶段(6) 测试数据清理和正式数据迁移阶段(7) 系统正式上线阶段名称主要工作启动阶段机房强电改造设备采购;指定项目整体计划UPS 部署;机房强电改造实施时间安排(日历天)205设备安装部署和测试阶 段系统部署、调试、设备联调14设备试运行及验收阶段系统试运行、项目验收使用阶段全面投入生产环境使用15N/A2 网络系统实施2.1 总体网络设计序号品名、规格、型号Cisco C4506-E S5800-56CNS-SecPath U200-M-AC单位台台数量123台2222.1.1 网络设备清单2.1.2 改造前网络拓扑图InternetVPN.2 :? wiU2
5、0OAUuzourjCl/Ojl 10 55 2 G/Ji99.2.8/24C itvH rd_H 3C_5BOQ_11/08Gl/D/4:Citr ard_H3C_58DCL?10.99.!10. 9Citja rd_SecAffl rMaC i iyCa rd_SecWrld_2OSPF10.99.11/ TitCard_MSR3(M0.ERET7M IO1D0.O27InternetInternet老系绕KF电漲线馳专绒If g雪FC2HSRP /谡计出探:1花边异揺為蒂白吉专塔接梅建订、尿联2殆审 SCO ASA=5 1 磁火垢使用 QUtTalO-/# 式ua 枉掖町卜面请冃虚福口:
6、几AN 9 瞒卄设备曲 茁接口 油 1 址为 1 負卫妙.253時占S92/47 口血所冋笳在按心上,是氓用迅咋力岡幷戴圮“应:用二梓汕=: *举小苦各竝莽号竺于2.1.3 改造后网络拓扑及说明如图所示,为了提高网络的高可用性和可靠性,“XXXXX 系统所设计设备均采用双机热备模式,实现了数据同步、流量切换,这样可以保证网络的不间断传输;此次设备互联和服务器接入,均采用了千兆互联、千兆接入的高带宽设计,确保网络传输的高效。核心采用Cisco 4506-E 运行 VRRP 双机热备,同时与老系统中的核心 H3C S5800 交换机采 用两条千兆链路互相连接,达到链路冗余效果,保障内网运行不间断;
7、两台Cisco ASA5510 作为新系统的 VPN 拨入设备,利用cisco 特有的failover 技术,达到虚拟成一台边界设备, 同时在远端的客户端通过使用cisco VPN clie nt 软件即可实现拨入至内网;使用访问控制列表(ACL)使内部没有数据交互的系统完全独立开来,同时可以配合内容过滤、端口防护等功 能,做到对内部数据的保护; 层功能。所有生产网段的网关均在核心上,与边界路由器的互联使用三如图,网络的层次可以划分为: 清算中心的边界接入层一专线路由器、VPN 拨入 Cisco 4506-E 作为清算中心的核心、服务器的接入 与系统的互连一使用网神防火墙做隔离II II新系统
8、电信专委网诵专雜Internet1,1 SR 33-417PN7PN*HiJ200 A SASSIO边莉陆护匪ASA5E10I:服笄蛊区曹H 3 3IC450M HSRP济;呻! ! V 旳弄:加丟;:砒疑:- . .| _ 2.1.4 改造后全网拓扑示意图2.1.5 具体配置列表1、_内部网段规划 网段说明地址段/掩码网关网段说明地址段/掩码网关172.17.1.0/24172.17.1.244172.1720/24172.17.2.244172.17.3.0/24172.17.3.244172.17.4.0/24172.17.4.244172.17.5.0/24172.17.5.24417
9、2.17.6.0/24172.17.6.244172.17.7.0/24172.17.7.244172.17.8.0/24172.17.8.244172.18.1.0/24172.18.1.244生产网段业务网段设备名称Cisco4506-CORE 1Cisco4506-CORE 2H3C S5800-1H3C S5800-2H3CSecPath U200-1H3C SecPath U200-22、 交换机设备VLAN 规划VLANIDIP 网段IP 网关虚拟网关Via n17172.17.1.0/24172.17.1.245/24172.17.1.244/24Via n18172.18.1.
10、0/24172.18.1.245/24172.18.1.244/24Via n17172.17.1.0/24172.17.1.246/24172.17.1.244/24Via n18172.18.1.0/24172.18.1.246/24172.18.1.244/24Via n17-NA-NA-NAVia n18-NA172.18.1.244/24-NAVia n17-NA-NA-NAVia n18-NA172.18.1.244/24-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA-NA3、交换机端口规划设备名称端口列表G3/1 G3/2 G3/
11、3G3/4速率(Mb 1000100010001000端口性质说明三层接口上联至网神防火墙主:三层接口三层接口CISCO4506-E-1三层接口G3/471000端口汇聚G3/481000端口汇聚G3/1G3/2 G3/3G3/41000100010001000三层接口上联至网神防火墙备下联至 CISCO ASA5510 主下联至 CISCO ASA5510 备互联备用核心 Cisco4506-E互联备用核心 Cisco 4506-E上联至网神防火墙主三层接口三层接口三层接口上联至网神防火墙备下联至 CISCO ASA5510 主下联至 CISCO ASA5510 备互联备用核心 Cisco
12、4506-E互联备用核心 Cisco 4506-E连接清算中心系统4506-E 主核心连接清算中心系统4506-E 备核心链接 H3C S5800-2连接清算中心系统4506-E 主核心连接清算中心系统4506-E 备核心链接 H3C S5800-14、CISCO4506-E-2G3/471000端口汇聚G3/481000端口汇聚G1/0/201000三层接口CityCard_H3C_5800-1G1/0/211000三层接口G1/0/481000Trunk 互联G1/0/201000三层接口CityCard_H3C_5800-2G1/0/211000三层接口G1/0/481000Trunk 互联5、防火墙访问策略防火墙名称位置/作用访问策略控制访问范围,局限 于网神 SecWorld_1专线接入/端口映射内部服务器;开放 某些具体端口;内容 过滤、防毒策略;NAT控制访问范围,局限 于网神 SecWorld_2专线接入/端口映射内部服务器;开放 某些具体端口;内容 过滤、防毒策略;NAT备注策略用于外部网点访问 清算中心策略用于外部网点访问 清算中心策略用于新老系统互相 访问思科 ASA5510-1隔离清算中心系统与老系统控制访冋范围;开放 某些具体端口; ACL 应用思科 ASA5510-2隔离清算中心系统与老系统控制访冋范围;开放 某些具体端口; ACL 应
