《山东数据中心工程技术规范书答复》由会员分享,可在线阅读,更多相关《山东数据中心工程技术规范书答复(26页珍藏版)》请在金锄头文库上搜索。
1、-数据中心工程技术规书答复目 录第一章 工程说明及要求11 定义12 工程建立目标13 本期工程的用户规模第二章 数据中心工程技术要求21支持的协议标准22 数据中心向用户提供的效劳功能23 数据中心网络建立的组网方案24 根本的硬件配置25 数据中心的网管系统26 其他第三章 其他问题31 系统测试与验收32 技术效劳33 技术培训34 工程进度第一章 工程说明及要求1 1定义111 本规书是数据中心工程的主要技术、业务功能和工程规模要求,供卖方编写建议书和报价之用。本规书未提到的局部应遵从邮电部颁发的中国公用计算机互联网技术体制、中国公众多媒体通信网技术体制及相关文件之规定。112 卖方应
2、在收到本文件后一定时间,用中文提供满足本文件要求的应答书。卖方应逐项说明和答复本规书中所提出的各项要求,卖方亦可根据自己产品的技术性能情况提出建议,并附详细资料和说明,不能以理解、可能等模糊词予以答复。113 卖方需保证提供应买方本期的工程网络系统及设备配置具有先进性、稳定性、可靠性、平安性、扩展性。114 买方保存对本规书进展修改和解释的权利。1 2工程建立目标本工程为数据中心系统建立,本工程总体目标为:为进展主机托管、主机租用和空间租赁的用户提供稳定、可靠的效劳,同时也为信息港带来潜在的经济效益。1 3本期工程的用户规模 本期工程建立的是省第一个专用的大容量数据中心,要求可以容纳300台托
3、管的主机,卖方应做出本期工程硬件设备清单、网络管理软件含所需硬件设备报价。第二章 本期数据中心工程的技术要求2 1支持的协议标准l 数据中心的网络系统符合IEEE 802.3中有关Ethernet、Fast Ethernet、千兆以太网的规定;l 网络的通讯协议采用TCP/IP协议组;l 通信电缆和电力电缆的敷设符合邮电部1995年5月制定的邮电防火平安根本要求的有关规定;l 列举系统中使用的其他相关标准协议及详细说明。答:本方案标准遵循以下国标:中国公用计算机互联网技术体制中国公众多媒体通信网技术体制IEEE802.3 CSMA/CD 10Base-T标准IEEE802.3u 100Base
4、T*和100BaseF*标准IEEE802.3z 1000Base标准网络的通讯协议采用TCP/IP协议组,Snmp,Icmp。22 数据中心向用户提供的效劳功能l 主机托管Server Hosting;l 效劳器空间租赁Web Hostingl 根本应用效劳Email hosting、站点访问情况统计分析等l 网络平安效劳l 系统运行监测l 可以向用户提供的网络接口类型有100M交换接口、100M共享式接口、10M交换接口答:方案应该不仅支持目前比拟成熟的虚拟主机效劳(Web Hosting)、主机托管业务(Server Hosting),还应当支持比拟高级的应用托管业务(Applicati
5、on Hosting)需求,对平安性要求高的VPN托管业务,对可用性要求高的电子商务托管业务等等。根据需要可以向用户提供的网络接口类型有100M交换接口、100M共享式接口、10M交换接口除此之外,本方案还提供了充分的网络平安效劳,在数据中心部安装一套VPN设备,当数据中心用户远程更新站点容时,可以通过VPN隧道与数据中心连接,防止被非法用户窃听的可能性。同时由于TCP/IP协议本身、UNI*和Windows NT操作系统以及数据库存在的平安隐患,使得网上黑客可能入侵系统,造成系统的平安隐患,针对目前存在的网络平安隐患,我们要从以下几个方面来做好平安方面的措施。1我们必须根据应用的情况,限制不
6、平安的效劳和关闭掉不必要的效劳应用。2统一出入口管理技术:设置统一的网络出入口,配置防御系统,对出入部网络的信息进展集中监控和防御,防止破坏性信息的渗透、“黑客的入侵和涉密信息的泄漏;3审计和监控系统采用平安防御措施后,还必须建立独立的审计和监控系统,对存放重要信息的计算机网/主机,进展实时的审计和监控,及时发现问题,并告知系统用户记录攻击者痕迹,保护系统工作现状,阻断攻击者的破坏行为,使系统的应用更为可靠、完善。4。管理制度和日常维护统计数据说明,网上很大一局部平安总是由于管理制度缺乏、不完善和不认真执行所造成的;另外平安措施的可靠性、完备性及有效性需要经过实践的检验和考验,有一个不断认识、
7、不断提高、不断完善的开展过程。据此,必须制定并实施相应的网络管理、维护、操作等制度。使用智能卡、防辐射、防电磁泄漏、平安接地、防自然灾害等技术建立良好的物理环境,保护计算机系统软硬件设备的平安。A.网络平安产品选型在网络平安方面我们考虑采用ISS公司的产品。互联网络平安系统公司(ISS)是可适应平安管理系统的先锋和市场领导者,提供全面的企业级信息保护软件。ISS是全球网络平安方案的先锋改革者,其平安方案被设计成用来进一步增强由现有的通过防火墙、加密、授权、认证等提供的信息保护系统的平安防表现。ISS的SAFESuite产品家族共同承当起对不断增长的网络漏洞和攻击事件的监控、检测、和响应的责任,
8、保证企业的信息平安。 ISS继续在可适应平安管理领域处于领先地位。通过反复地、强有力的弱点检测结合攻击监测和响应显著地增强企业信息系统的平安性。SAFESuite的主要产品包括:B.互联网扫描器互联网扫描器Internet Scanner对网络设备进展自动的平安漏洞检测和分析,并且在执行过程中支持基于策略的平安风险管理过程。另外,Internet Scanner执行预定的或事件驱动的网络探测,包括对网络通信效劳、操作系统、路由器、电子、Web效劳器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。Internet Scanner将给出检测到的漏洞信息,包括位置、详细描述和建
9、议的改良方案。这种策略允许管理员侦测和管理平安风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变。图21C.数据库扫描器数据库扫描器Database Scanner是世界上第一个针对数据库管理系统风险评估的检测工具。任何人都能够利用它来建立数据库的平安规则,通过运行审核程序来提供有关平安风险和位置的简明报告。大多数平安非法入侵并不是由于产品本身存在平安弱点,而是由于系统没有被正确地安装或平安规则没有建立并执行。甚至在一个正确的系统配置中,*些设置也可能被意外或成心地改动,这使得您公司的*信息很容易受到窃取和破坏。实行分布式管理的公司更加得益于数据库扫描器的强大功能。位于Buffal
10、o Grove.IL ,AZ Database公司总裁Andrew Zavevsky曾这样评价数据库扫描器:“现在我们应用了数据库扫描器,公司可以利用工业界最先进的平安检测技术,经济有效地保护我们的效劳器。通过运行数据库扫描器的检测报告程序,用户可以很容易地查看并修补平安漏洞,因为该报告不仅产生对漏洞的详尽描述,同时还提供了对漏洞的具体解决方法。图22D.系统扫描器D.1关于系统扫描器系统扫描器是一个基于主机的平安评估系统。它与网络扫描器的区别在于它提供了基于主机的平安评估策略来分析系统漏洞。网络扫描器是在网络层扫描各种设备来发现平安漏洞,系统扫描器是在系统层上通过依附于主机上的扫描器代理侦测
11、主机部的漏洞。这些扫描器代理的平安策略可以通过系统扫描器控制台进展集中管理和配置。D.2平安风险系统扫描器在相当严格的根底上对平安风险级别进展划分。在UNI*系统上,它对大量的平安问题能自动产生修补程序脚本。一旦系统被确认处于平安的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。图23E.实时入侵监控器实时入侵监控器RealSecure是一个计算机系统和网络上实时的入侵检测、报警、响应和防系统。 RealSecure将基于网络的和基于主机的入侵检测技术,分布式技术和可生存技术完美地结合起来,提供实时的平安监控。 RealSecure 监控系统事件和传输的网络数据,并对可
12、疑的行为进展自动监测和平安响应,使用户的系统在受到危害之前即可截取并终止非法入侵的行为和部网络的误用,从而最大程度地降低平安风险,保护企业网络的系统平安。图24网维通提供效劳器Http效劳流量、用户数,Ftp效劳流量、用户数、发送文件数,Mail效劳流量、用户数等站点访问情况统计。网维通也提供完善的系统运行监测、报警功能。23 数据中心网络建立的组网要求l 数据中心的骨干交换机采用千兆骨干交换机;l 数据中心的骨干交换机与Internet的骨干交换机之间采用1000M光缆连接;l 二级交换机采用具有1000M模块的100M交换机;l 骨干交换机和二级交换机之间采用1000M连接;l 向效劳器提
13、供的接口有100M交换机接口和100M共享式接口两种,其中,交换式接口200个,共享式接口100个;l 为了便于提供多种业务,100M交换式接口可以提供10M交换式接入;l 交换机具有划分VLAN的能力。答:下面结合数据中心网络拓扑图介绍数据中心的组网方案:数据中心的骨干交换机采用Intel公司千兆骨干交换机ES6000,该种交换机是数据中心优化设计的高性能的千兆位交换机,具有高达47.5Mpps第三层转发速率;提供高密度的千兆位端口。并通过高度冗余和热插拔组件实现了最大程度的网络正常运行时间。骨干交换机与ChinaNet骨干交换机以1000M光纤,使得托管机房的效劳器通过共享此1000M光纤
14、连入互连网。二级交换机采用INTEL公司的ES510T,该交换机具有24个以太网端口和两个可扩展模块,ES510T背板带宽可达14.7G,具有链路聚合和端口镜像功能,可选的接口模块有1000S*模块、1000L*模块和4端口10/100T*模块,在本方案中,我们按标书的要求,采用一块1000S*模块上连到主干交换机。边缘交换机采用ES460T,此交换机具有24个10/100M端口,管理方便,易于设置。考虑到托管效劳器和虚拟主机之间的数据相关性很弱,我们未采用可堆叠的交换机。为满足向效劳器提供100M交换式接口和100M共享式接口,边缘交换机我们采用ES410T和ES140T Hub。本方案采用
15、Intel交换机都既有划分VLAN的能力。说明:网络拓扑图见附一。标书2.3要求骨干交换机以1000M接入IVNTERNET 骨干交换机,在2.4中又要求在数据中心和Internet之间安装防火墙,根据我们对目前市场上防火墙产品的了解,未发现有基于千兆的防火墙产品,因此在方案设计中,未采用专用防火墙效劳器保护整个数据中心的网络平安(如果ISP数据中心与ChinaNet骨干相连的速度小于100Mbit/s,可以考虑在ChinaNet骨干与数据中心之间采用防火墙效劳器,甚至带宽管理设备以保证客户托管效劳器的WAN链路带宽及保证特别应用的QoS)。另外,此图未给出ISP的部网拓扑图。 NetStructure7170用于实现应用的负载平衡和效劳质量保证;NetStructure7180前置于电子商务效劳器是将那些繁重、极易消耗效劳器CPU资源的交换证书、协商加密算法及密钥、数据的加密/解密工作从电子商务效劳器上卸载到自身来处理,以提高电子商务效劳器的性能以及可用性;堆栈ES500交换机以统一管理托管主机和虚拟主机效劳器;VPN网关用于建立客户的VPN网络。24 需要的硬件配置:l 数据中心的网络建立要满足2.3列出的各项l 为了保证系统的可靠性,数据中心的骨干交换机
