中心机房及网络系统方案建议书.doc

××××集团集团中心机房及网络系统方案建议书中心机房及网络系统方案建议书XXXXXXXXXXXX 有限公司有限公司中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com2目 录第一章 需求分析.41.0 总体设计目标.41.1 应用系统的分析.51.2 网络拓扑结构需求.61.3 计算机系统安全需求.71.4 网络管理需求.7第二章 设计原则.8第三章 局域网.103.1 局域网设计拓朴结构.103.2 中心交换机产器选型.113.3 所使用的技术与作用.133.4 网络安全设计说明.173.5 局域网设计特点.183.6 实验室交换机选型.183.7 二级交换机选型.19第四章 广域网方案.204.1 广域网网络拓扑结构.204.2 所用技术与应用.224.3 产品选型.224.4 证券应用的积极作用.234.5 中心节点设计.23第五章 主机系统.245.1 设计目标.245.2 主机系统设计.245.3 厂家选择.245.4 产品选型.245.5 特点分析.285.6 磁盘阵列柜接线图.29第六章 网络安全系统.30第六章 网络安全系统.316.1 广域网安全分析.316.2 网络安全建议.346.3 路由器级安全控制.43第七章、信息监控系统.477.1、 IT 环境简介.477.2 系统的目标.477.3 具体技术要求.487.4、技术选型.49中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com37.5 系 统 管 理 方 案.537.6 网络管理方案.60第八章、磁带机备份系统.628.1、引言.628.2、需求描述.628.3、厂家选择.628.4、技术选型.638.5、特点.678.6 系统配置.68第九章、弱电防雷系统.70第十章、机柜机架及布线.71第十一章 网络方案特点.7311.1 高性能网络系统.7311.2 网络设计的灵活性.7311.3 支持各种网络协议及应用.7311.4 可靠性.7311.5 安全性.7311.6 易于管理和维护.7311.7 支持多媒体.73第十二章、项目组织与质量保证.7512.1 项目小组成员、负责人与资历.7512.2 进度控制与质量保证与措施.7512.3 售后服务承诺及附加服务内容.7612.4 网络工程验收与交付物.76附录、公司介绍.79中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com4第一章第一章 需求分析需求分析XX证券总部是XX证券有限责任公司投资银行总部、资产管理总部、证券投资总部、研发中心等业务总部日常办公所在地以及电脑中心。为配合业务的开展，要求建设一个快速、安全、可靠的网络系统平台。其中行政办公信息点数量为300个。机房信息点总数为250个。从业务部门的角度来看要满足以下几个系统的运行需要：资产管理及证券投资业务系统（包括行情系统、交易系统）；证券信息研发系统（实验机房等）；服务器性能与系统监控；弱电防雷建设；与其他各营业部可靠联接、备份。其中证券交易系统报盘数据经由本地营业部或直接通过双向卫星发往交易所。本方案建议书主要包括以下几方面的内容：1 1、总部局域网设计建设、总部局域网设计建设2 2、总部广域网设计建设、总部广域网设计建设3 3、总部主机系统、总部主机系统4 4、数据备份系统、数据备份系统5 5、信息监控系统、信息监控系统6 6、弱电防雷系统、弱电防雷系统7 7、机柜机架及布线、机柜机架及布线系统设计以满足系统设计以满足XXXX证券总部目前及未来业务发展和管理为设计目标，整个系统设计以总部局域证券总部目前及未来业务发展和管理为设计目标，整个系统设计以总部局域网设计、数据备份系统、网络安全设计和系统冗余设计为整个系统设计的重点。网设计、数据备份系统、网络安全设计和系统冗余设计为整个系统设计的重点。1.01.0 总体设计目标总体设计目标技术先进性，使用技术在今后的3至5年内不落后。符合信息技术的发展方向。满足中国证券业电子化、网络化、智能化、集中式发展趋势的要求。重点建设好网络通信基础设施平台，为上层业务系统提供良好的底层支持。中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com51.11.1 应用系统的分析应用系统的分析XX证券在全国有三十多家营业部，总部负有统一管理、资讯研发的责任。总部预计信息点数比较多。其总部网络涉及多个子系统：例如财务系统、交易系统、行政OA办公系统、Internet系统等。系统同时要满足OA及业务系统数据流为主的应用，网络的体系结构要能支持以OA/业务数据流的应用，系统能够实现资源共享和信息流的无阻塞通畅流转，包括文件传输，WEB访问，邮件传输，行情查询，以及内部Intranet/Extranet应用等等。同时为将来的VoIP、VOD、视频会议等应用需求做好可升级的准备。因此所采用设备必须支持TCP/IP以及SPX/IPX协议，支持各种路由协议，同时支持IP Multicast、QOS、RSVP等局域网和广域网多媒体应用技术。提供足够的带宽，从而实现OA、业务数据流与多媒体应用的实现 。所以网络设备选择要能够满足企业级应用，同时主干交换机不但能够满足目前的应用，还要能够对应将来系统扩充保持一定的扩容能力，以及适当的灵活性，以便于网络扩容和增加新的功能。由于 XX 证券总部网络系统已经建设好，这一次是搬家并改建，网络系统需要平滑迁移，建议如下：1、保持原总部系统运行的情况下，建设新总部，并将部分业务部门迁移到新总部。主要保留电脑部的主要设备在原有总部运行，如广域网接入部分，主要功能服务器等保留在原有总部，但将ISDN 拨号备份部分迁移到新总部。2、新总部除电脑部外其他功能齐全，在系统稳定运行一段时间后，将电脑部的设备逐步迁移到新总部，直到所有设备都迁移到新总部，原有总部停止运行，并将广域网接入设备一次迁移到新总部。3、在系统并行运行时新总部和原有总部间建立宽带连接或高速专线连接，保证所有的业务系统正常运行，4、在广域网接入设备迁移到新总部时可以预先将电信部门的光纤接好，最终迁移时只要将光纤分配器、路由器等设备迁移到新总部，实现对营业部透明迁移。5、网上交易部分，深圳、上海卫星与委托接收系统、法人清算系统等逐步迁移到新总部6、其他如信息处理系统、办公、财务的服务器一次性迁移到新总部机房。中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com61.21.2 网络拓扑结构需求网络拓扑结构需求网络拓扑结构要满足通信的要求：主要是能够满足业务和办公系统的数据通信，采用适当的网络通信技术使得网络逻辑易于收敛，并使得快速完成业务数据流的通信。网络拓扑结构要满足网络管理的要求:主要是在整个网络系统中易于管理到所有设备，结构清晰，便于扩展。网络拓扑结构要满足网络稳定性的要求:主要是在整个网络系统中尽量避免单点故障，不会因为某个设备的损坏导致整个网络瘫痪。XX证券总部网络系统应采用千兆网络主干,百兆交换到桌面。由于总部存在多个应用,所以保证各应用系统稳定快速运行是完成网络设计建设的重点。XX证券公司在全国十几个省、自治区和直辖市分布有营业部，营业部所在城市分布比较分散，在部分城市有多个营业部。整个网络结构要满足分散交易、网络通信、网络管理、系统冗余等要求。网络系统对通信系统的要求主要是能够满足IP多业务网络平台系统的数据通信，采用适当的网络通信技术使得网络逻辑拓扑收敛快速，而且数据通信更快达到目的站点完成任务请求。网络系统冗余主要是从提供服务到完成服务的整个端到端实现系统级冗余，在广域网结构的冗余主要是网络设备和链路的冗余。网络拓扑结构要满足网络管理的要求在带宽许可的情况下能够管理到广域网的所有设备，或采用分布式管理所有网络设备。广域网拓扑结构可以采用单点辐射状，双节点冗余连接辐射状，或者多主干节点冗余连接。第一种结构存在单点故障，中心节点失败导致整个系统的停止服务，在证券系统停止服务是非常可怕的，建议不可取；对于第二种结构主干节点使用双重节点，可以提供相互备份冗余服务，投资适中；第三种结构完美，但是投资过大，建议在初期投资建设中不采用。所以建议采用双主干节点建设XX证券IP多业务网络平台系统广域网拓扑结构，比如在北京和上海分别建立数据中心和数据备份中心，提供整个多服务平台的中心和备份中心，提供集中服务。网络系统链路冗余可以采用双链路结构，所有营业部都用专线与广东总部连接，ISDN做为备份线路，另外用一条ISDN与备份中心连接。中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com71.31.3 计算机系统安全计算机系统安全需求需求由于总部存在多个业务子系统，有些业务是相对保密并极为重要的，比如财务系统，不能因为办公网的故障（误操作、病毒、非法入侵等）而造成数据损失或篡改。因此，需要在两个子系统之间进行有效的隔离，必须保证各子系统之间的通讯是灵活、高效而又受到控制的。1.41.4 网络管理需求网络管理需求网络管理的目的在于提供一种对计算机网络进行规划、设计操作运行、管理、监视、分析、控制、评估和扩展等手段。从而以合理的代价，组织和利用系统资源，提供正常、安全、可靠、有效、充分、用户友好的服务。网络管理系统应满足以下要求：1)首先网络管理系统应具有同时支持网络监视和控制两方面的能力。网络监视功能是为了掌握当前运行状态；而网络控制功能是采取措施影响网络的运行。2)尽可能大的管理范围。不仅能管理点到点的网络通信，还应管理端到端的网络通信；不仅管理基本的网络设备，还应该管理应用层的功能。3)尽可能小的系统开销。管理尽可能多的协议层和尽可能大的范围是以增大系统开销为代价的。应该根据实际情况对网络管理的范围和所需的系统开销进行统一、合理的分配和选择。4)容纳不同的网络管理系统。尽可能容纳不同的网络管理功能，形成全网统一的管理和运行机制的集中式网络管理系统是十分重要的。对于 XX 证券网络系统的管理在后面的章节中我们将结合整个网络系统作详细讨论。中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com8第二章第二章 设计原则设计原则我们根据以下原则来设计我们根据以下原则来设计 XXXX 证券总部网络系统证券总部网络系统: :1.1.实用性实用性在考虑整体网络设计时，尽量从经济实用的角度进行考虑。2.2.先进性先进性设计立足先进技术，采用最新科技，以适应业务数据流传输以及多媒体信息的传输。使整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。使用主流网络产品保证用户投资。3.3.可靠性可靠性整个网络方案选用高可靠性的网络设备，并在设计上从物理层、链路层到网络层均采用备份冗余式的设计，保证了网络的可靠性。4.4.网络安全性网络安全性通过使用适当的安全技术实现从应用到底层系统整体安全,使系统达到端到端的安全.保证各系统之间的安全访问5.5.易于管理和维护易于管理和维护该网络系统应该易于管理,通过网络管理工具,可以方便地监控网络运行情况,对出现的问题及时解决,对网络系统进行及时的优化.另外,网络的设计应采用简单易用的网络技术,降低运行维护的费用.6.6.支持多媒体支持多媒体如今的网络应用越来越多的是语音,图像等多媒体应用,多媒体应用对服务质量有很高的要求.如带宽,延迟,延迟的变化等等.需要利用 IP QoS,IP Multicast 等技术来保证多媒体服务.7.7.符合国际标准符合国际标准网络设计应采用国际标准的技术和符合标准的设备,这样才便于对投资的保护.8.8.可扩展性可扩展性网络设计不仅要满足当前的需求,还要为将来的扩展留有余地,保护用户投资.当系统业务扩展时可方便实现系统扩展。9.9.高性能高性能为了适应业务迅速增长的需要,设计时应考虑网络带宽,性能不仅要适应现在的需要,还要满足中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com9未来几年的数据量的要求，同时要满足系统功能的扩充.10. 可管理性可管理性系统可以控制台方式方便实现对系统各资源的监控。可实现资产管理及对各种相应服务器、性能的监控。中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com10第三章第三章 局域网局域网3.13.1 局域网设计局域网设计拓朴结构拓朴结构中心选用两台 CISCO Catalyst6509 交换机实现骨干千兆交换，同时提供二级交换机和服务器以及其他关键设备的连接。二级交换机使用 catalyst 2950 系列交换机。对于总部网络系统的管理一般涉及到网络设备管理，网络用户、资源管理。网络管理建议使用CISCO WORKS 2000；网络局域网拓扑图如下：中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com11南南方方证证券券总总部部网网络络拓拓扑扑结结构构示示意意图图Cisco 6509 中心交换机财务服务器行情服务器交易服务器文件服务器其他服务器Internet2950和2924交换机GEC应用工作站代理服务器CISCO 7507CISCO 3640ISDN拨号备份网上交易专线接入千兆连接百兆连接机房用2948交换机VLAN间分隔线对于设备配置选择如下：1、选用两台 Catalyst6509 为中心交换机，提供高速千兆交换，6509 配置双电源，配置一块 48 口10/100M 二级交换机连接，再配置一块 16 口 GBIC 千兆模块作为服务器和二级千兆交换机连接使用；2、6509 的引擎三层交换功能为 VLAN 间路由使用，同时使用 HSRP 技术，保证任一主交换机出现问题，所有服务器和在线工作站可继续工作。中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com123、所有的子网网关都设置在 6509 引擎三层模块的内置千兆端口。千兆端口配置 TRUNK，同时使用CISCO 子接口技术，给所有 VLAN 提供网关。4、使用 ACL 控制功能实现不同 VLAN 间的定向访问，如其他子网不可以访问财务子网，但财务子网可以访问行情服务器。5、其他信息点使用 Catalyst2950 和原有的 2924 交换机连接，提供 10/100M 桌面交换，并以冗余方式和核心交换机连接。实现 UPLINKFAST 功能，当网络拓扑结构发生变化时实现快速切换，保证网络的可用性。6、机房使用两台 Catalyst 2948G 提供对 10/100M 速度要求比较高转换机。7、使用 ACL 控制功能实现不同 VLAN 间的定向访问，如其他子网不可以访问财务子网，但财务子网可以访问行情服务器。8、所有网络交换机连接工作站、服务器的端口使用 CISCO 专用主机通信优化技术实现工作站和服务器快速连接到网络。9、对网络实现夸交换机划分 VLAN，VLAN 间通信通过三层交换实现，同时通过 ACL（2 层 MAC 和 3 层访问控制）实现 VLAN 间访问控制。10、通过使用路由器的静态 ARP 和 MAC 安全设置实现总部网络工作站的 MAC 地址和 IP 地址的邦定，禁止违法站点访问网络。3.23.2 中心交换机产器选型中心交换机产器选型根据网络系统建设的原则，从安全可靠、高性能的角度考虑我们推荐使用世界著名的网络产品CISCO 产品系列。在证券行业的主交换机的选型中，根据我们在多家营业部及总部网络系统的应用和实际交换机的负载能力上主要是选择 Catalyst 4000 和 Catalyst6500 系列交换机，在较小的网络系统中可以使用 Catalyst2948G-L3 为核心交换机。下面是 CISCO 这两种系列产品的主要技术比较：产品名称产品名称CatalystCatalyst 40004000 CatalystCatalyst 65006500SpecificationsSpecifications 类型模块化模块化中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com13Gigabit Ethernet 是是100Mbps Ethernet 是是10Mbps Ethernet 是是DRAM 64 MB 64 MB to 128 MB 规格17.5 x 17.25 x 12 in 25.2 x 17.2 x 12 in. 安全特征安全特征RADIUS 是是TACACS+ 是是Kerberos 是是Access List 是是HiHi Availability/ResilliencyAvailability/Resilliency RedundantSupervisor Engine否是Redundant Power Supply 是是Spanning Tree 是是Portfast 是是Uplink Fast是是HSRP是是QOS/Voice/Multicast/MultimediaQOS/Voice/Multicast/Multimedia IGMP 是是802.1/P 是是QPM 否是QOS-Marking Classification 是是QOS- Multiqueues 是是ISL/.1Q 是是CGMP 是是交换容量交换容量Throughput 18 Mpps 150 Mpps Backplane Capacity 60 Gbps 32-256 Gbps Number of VLANs 1024 1000 多层交换多层交换Layer 4 7 否是Layer 3 是是Layer 2 是是通过以上分析我们可以归纳以下几点作详细比较：中心机房网络及系统建设方案建议书久易数据网，http:/www.91data.com141. 系统可扩展性： 4000 系列与 6000 系列交换机均为模块化交换机，其模块插槽数、交换容量等已经可以满足系统应用；2. 4000 系列交换机不支持冗余引擎，对交换机的保护没有达到企业级，但是启用双主交换机的方式可以满足要求；3. 在三层交换上，4000 的三层交换能力达到 8GBPS，6MPPS 的能力，没有完全达到“线速”交换，而 6500 的三层交换能力达到 150MPPS 的转发能力；4. 在三层交换的安全访问控制上，4000 系列产品通过 4232-L3 模块或 supervisor III 实现，实现内部千兆端口安全访问控制。而 6500 的三层通过引擎实现，可以实现各个端口的安全访问控制；54000 系列交换机在设计定位上属于配线间级交换机，而 6500 系列交换机属于企业（主干）级交换机；6、由于总部级网络规模不能和同等营业部网络规模相比，因为营业部网络工作站主要是无盘站，对网络带宽要求较低，而总部主要是有盘站，应用复杂，并且有盘站的各种广播包占有相当的带宽，所以总部网络核心交换机的交换机能力要远远大于营业部的交换机容量。综上所述，我们不难得出结论：对于 XX 证券总部这样需要划分多个业务子网，并且需要进行有效的安全访问控制的网络来说，我们建议主干交换机选用 Cataly