《整体架构网系统设计方案》由会员分享,可在线阅读,更多相关《整体架构网系统设计方案(20页珍藏版)》请在金锄头文库上搜索。
1、整体架构网系统设计方案1.1概述此方案主要是为了优万网络的整体网络规划,提前设计好网络会更好的让采购进行,让 不合理的地方进行调整,相关技术人员的招聘与学习也会随此方案的方向进行调整。方案的设计主要是在满足公司需求的情况下,尽量的节省资金,我们要求用合适的价格,建设稳定的网络。1.2系统互联框架游戏行业的整体架构网,在业界基本上有着固定的模式,主要分为三部分1. 办公室网络(主要用于公司办公及运营中心的人员对游戏分区及会员中心的访问)2. 会员中心(提供会员注册、冲值、网站及与游戏分区的数据交换)3. 游戏分区(主要给游戏用户提供一个稳定的游戏环境)大致如下图:如上图所示,公司办公网、会员中心
2、、游戏分区,这三个网络全部需要通过VPN line连接起来,上图仅仅只显示出了一个游戏分区,可能到实际的情况中,我们需要开设数十个以上 游戏分区, 此中间会包含电信和网通的区, 所以会员中心、 官网, 一般都建议采用双线机房。 上图中并未画出下载服务器的布署, 后面我会在相关的章节中写明此资源的需求及需要考虑 的情况。1.3 路由冗余 路由冗余系统主要是针对目前办公网和各地的 IDC 连接来设计的,中国的互联网用户 主要的运营商为电信和网通,他们之间的互联互通是存在一些问题 (丢包多,延迟高, 个别 网络不可达等) ,因此,我们在设计办公网到各地的访问时,需要考虑路由冗余的问题,路 由冗余主要
3、是利用多条链路来保证网络在一条链路出现物理故障的时候, 另一条链路可以自 动切换,保证网络的实时稳定性。路由冗余的方法有很多种来实现,考虑到性价比,我们还 是使用网关或办公网多层交换机路由优先级的方式来实现, 具体实现的方法我们在后续的办 公网子系统中来写明实施方案。1.4 VPN冗 余在中国,由于各种原因,经常会出现IDC 之间的中间链路不通的情况,例如:机房有上海,北京,广东这三个的VPN都是互通的,互联网经常会出现IDC之间不通的情况,比如:上海至北京的VPN是通的,但上海至广东可能就会断网,但北京至广东确是通的。基于此情况,能否设计出上海在至广东是断的情况下,上海通过北京的链路自动冗余
4、 到广东。经过一些资料的查证(针对 netscreenVPN 路由器),只可以达到上述的要求。 (关 于VPN的实现我还需要查证一些资料)经过查证,netscreen 的防火墙利用 hub and spoke的模式即可实现VPN冗余的功能。1.5 IP 地址规划IP 地址的规划,是一个合理的架构网设计的基础,合理的设置IP 地址,对于未来长远规划是否能有效实施有着关键作用,并且对于以上的路由 VPN的冗余是否能有效实施,起着决定性的作用。公司目前 IP 地址的现状如下:内网网段 所有地址全部为 C类地址,由于主要是开发,在一些网络的高可用性方面并未开始设计 和使用, 所以网络的结构非常简单。
5、到运营期, 我们公司的网络的高可用性方面将会属一个 主要技术解决方案之一,所以,这就会牵涉到 IP 地址的规划,以满足我们的需求。此章节,我们只描述大致的 IP 子网的规划,从整个面来描述,后面每个子系统的实施 方案中,将会写明每个结点的 IP 地址的分配。整个 IP 子网的规划如下图:整个办公网将使用这个网段会员中心、官网使用网段游戏分区则使用的网段,有多的游戏分区可以此类推,当然,一个游 戏分区也可以使用多个 C类子网段。1.6 设备选型设备的选型跟我们需要实现的需求有着很大的关联,由于是架构网的设计, 我们在此只描述网络设备方面的选型,来满足我们在网络方面的需求。办公网设备的选型:办公室
6、的设备主要满足如下要求:1.稳定的内网办公环境(in ternet 上网,收发邮件)2内部测试服务器的功能、性能测试3 .外部的VPN访问 达到以上这些要求,我们可以通过很多方案来实施,我们提出的方案不一定是最便宜或最贵的,但从基本上满足我们运营状况的同时,又可以给未来做为扩充。办公网交换机的选型:选用cisco3550三层交换作为公司内网的核心交换,可以在上面通过划分vlan的方式来来实现我们未来的路由冗余的功能,并且通过SNMP可以监控到整个交换机性能和网络的情况,对于未来判断和解决问题方面,可以起到更迅速的作用。选用cisco2900系列的二层交换机作为直接接入桌面的交换机,此交换机也是
7、思科入门级的交换机,由于我们核心层交换采用的是思科的,所以在接入层方面,也采用思科的交换机,这样在办公网vlan的规划方面,可以按每个员工的交换机接口来标识其所拥有的权限,从链路层上面就可以做到安全的访问。办公网网关的选型:办公网网关,主要需求为两台 VPN网关,主网关的我们可采用 netscreen 50VPN路由器。 备用网关,我们可以 netscreem 5GT 做为备用网关无线设备的选型: (正在查询相关资料中)1.7 所有子系统之间的关联整个架构网中间是分为多个子系统来实现的,所有子系统如下:1办公子系统(公司办公、开发环境、运营中心对整个游戏运营的支撑)2运营子系统(会员注册、产品
8、网站、数据中心)3 .游戏子系统(游戏用户环境)4下载子系统(游戏客户端、游戏更新下载)5 .安全子系统(整个架构网安全框架及实施)6 监控子系统(游戏环境、整体架构网监控)7备份子系统(整体架构网中重要数据的备份及冗余)在上面这些子系统统中, 1、2、3是基础网络的建设, 也是为后面的子系统提供最基 础的保障,在保证基础网络建设的合理性以后,才能有效的保障4、5、6、7子系统的有 效建设。从另一个层面来说,4、5、6、7子系统的建设是有效保障公司整体架构网的稳 定运营的基础, 所以, 以上7个系统缺少哪一个环节都会对公司的整体架构网的建设造成一 定的损失。办公网子系统实施方案1.8 需要达到
9、的目标办公网未来需要达到,整个办公区容纳2 0 0人,每个员工能拥有两个IP和一个电话结点,无线覆盖整个办公网区域,整个办公区的IP点容纳3 0 0台电脑同时在线,公司有两个以上的网络出口 (此方案以两个网络出口来设计, 但对于多出口的增加不会影响到整个 办公网的设计) ,在一条线路出现故障的时候,会自动冗余到另一条线路,无差错时间在5 分钟以内, 对整个网络的所有数据可以进行监控和入浸检测, 对异常数据可以进行审核。 关 于办公网的权限方面,我们可以通过交换机 vlan 的功能将我们的财务、开发、运营的网络 分开, 在 vlan 上做一定访问控制, 做到办公网权限级别的划分, 这样从网络出现
10、问题以后, 我们也可以快速反应并隔离,在安全方面可以做到层层设防。1.9 办公网的网络拓扑首先我给出整个办公网的网络拓扑,里面已经包括了网络设备和一些IP 地址的规划:测试啟务器细Lanrn;st.l92.16S.0.1 24InternetxrTSCT FV 5(ITLanTneiJ 92 J 68-0,2*24Cisco3550ir:192J6XXl,3 24VLANI;192,1WJ,1Z24VLAN2i192.16RJ.124VLAN3:I92J68J.14上图中,总体的vlan控制全部通过cisco3550来完成,它相当于整个内部网络的数据转发中心,在出局的地方,我们主要通过n et
11、screen 50 来负责处理所有的数据包出局,在出现问题的时候,将在3550上通过路由的优先级来将数据包转发到netscreen 5GT上,以保证线路的冗余。在内部的管理方面,通过vlan将财务及测试服务器组与不需要访问其的IP隔离,从物理上保证其安全性。关于安全方面,将会在后面的安全子系统中逐个描述,但对于以上设备的需求,是保障安全的基础设施。1.10网络带宽的选择在网络带宽选择方面,我们至少需要两根线路,分别为一根网通,一根电信,主线路为10 M独享专线网通线路或电信线路,最好是电信通的线路,辅助线路为5M独享专线与主线路应相反(即主线路为网通时,此线路为电信,主线路为电信时,此线路为网
12、通)。1.11程控交换的布署目前公司的程控交换为非智能32路内线,8路外线。此交换机在未来的办公网使用中肯定是满足不了,未来我们可以采用 NEC的智能程控交换机,内线保持128路, 外线16 路以上基本就可以满足我们的需求。1.12路由冗余的设计路由冗余主要是解决两个问题1主网关至备份网关切换的问题2. VPN冗余的解决方案之一在中心交换机上面添加基于路由优先级的冗余,可以保证在公司主网关不通的情况下,自动切换到备份网关, 在此时,VPN的连接也会自动切换到备份网关,前提是,须将两个VPN同时配置与各个IDC连通,默认情况下,主网关是与各地IDC及会员中心通讯, 在主网关线 路出现异常时,则自
13、动切换至备份网关。1.13 UPS的选择办公网机房中配备 UPS是为了保护服务器在断电的情况下,仍然有一定的时间来关机, 正常保护硬盘及文件系统的可用性。 那么办公室机房得配置多大的 UPS 方能满足关键设备的 电源可用性呢。根据以前的经验,可以配置能保护15台服务器电源的稳定性的情况下即可 满足, 主要是保护内部的业务系统, 程控交换机和网关处理设备, 在停电的时候, 可以正常 关机。1.14 双路电源的选择办公网的机房中配备双路的电源可保证, 供电系统在一路出现问题, 自动切换到另一路 供电系统上, 这样对于公司的整个电力系统的支撑, 以及整个网络的稳定性起着一定的作用。 所以,在选择新办
14、公区的时候,我们就需要将此考虑进去。1.152 运营子系统实施方案2.1 需要达到的目标运营子系统未来是游戏运营中的一个主要环节, 未来里面包括会员充值、 点数划播、 产 品网站等, 也属于整个公司的重要数据存放的地方, 此中间数据库的数据安全方面要求是最 高级别,所以我们设计这个子系统,要从很多方面来考虑。2.2 运营子系统的网络拓扑下面是运营子系统的整个网络拓扑:内邛换Ml会舛半合 会城平合 劫鬆哦1胖 养却丹比群凶阈苛梅机= 、HSMd囲弾 产出曲站 岭*呻h利一3RRS-wehAMI r一_”-W网、艸I1HH.log-w?litHWdb叭床纬S隶|.服再调用黒也宜找義J忑示物理网经上
15、图中,从上至下来标识了整个运营子系统的网络拓扑,在对外的主要是通过两台外网交换机接至负载均衡设备,在内网的交换机上面将利用 vlan技术来对数据库,BBS前端网站进行控制。2.3网络带宽的选择运营子系统带宽方面,可以分为两条线路。1会员系统对外的访问2. VPN连接的访问第1部分,属会员系统整个对外提供服务的带宽,我们需要带宽较高, 这一部分要求的IP地址也较多,带宽应满足 50M独享,第2部分属 VPN连接的带宽此部分主的连接主要是 跟办公网和游戏分区的连接,带宽在5M独享。2.4 IDC的选择IDC方面,中国的南北互通一直存在问题,所以,选择一个双线机房来应用会员系统是 非常有必要的。经过一些验证,263和电信通这两家双线机房提供商,在此双线的互通方面有着不错的品质。 所以,未来在运营子系统的选择上,我们应该主要该考虑这两家服务商的机房。2.5网络设备的选择网络设备方面的选择,暂时定为如下,以后可选择同系列型号的设备:前端两个交换机:思科2 9 5 0两个负载
