企业网络案例.docx

企业网络案例.docx

《企业网络案例.docx》由会员分享，可在线阅读，更多相关《企业网络案例.docx（31页珍藏版）》请在冰点文库上搜索。

企业网络案例

2009年8月6口

本章主要内容

•网络建设目标与需求分析

•设计原则一一

•局域网设计方案

•广域网设计方案

•主机系统设计方案

•网络安全系统

•信息监控系统

•磁带机备份系统

•弱电防雷系统

•机柜及布线

•网络方案特点

c机械工业出版社

TXTCHINAMACHINEPRESS

7・1网络建设目标与需求分析

\

•7.1.1企业基本情况与总体设计目标\

•XX金融集团总部是XX金融集团投资银行总'部、资产管理总部、证券投资总部、研发中心等业务总部日常办公所在地以及电脑中心。

•从业务部门的角度来看要满足以下几个系统的运行需奠:

•

（1）资产管理及证券投资业务系统（包括行情系统、交易索统）；

•

（2）证券信息研发系统（实验机房等）；

•（3）服务器性能与系统监控；\

•（4）弱电防雷建设；'

•（5）与其他各营业部可靠联接、备份。

•网络建成后，将达到：

•

（1）技术先进性，使用技术在今后的3至5年内不落后，符合信息技术的发展方向。

•

（2）满足中国证券业电子化、网络化、智能化、集中式发展趋势的要求。

•（3）重点建设好网络通信基础设施平台，为上层业务系统提供良好的底层支持。

一

•7.1.2应用系统的分析

•XX金融集团总部网络系统已经建设好，这一次是搬家并改建，网络系统需要平滑迁移，建议如下：

•

（1）保持原总部系统运行的情况下，建僉新总部，并将部分业务部门迁移到新总部。

•

（2）新总部除电脑部外其他功能齐全，在系统稳定运行一段时间后，将电脑部的设备逐步迁移到新总部，直到所有设备都迁移到新总部，原有总部停止运行—”

、

•（3）在系统并行运行时新总部和原有总部间建立宽带连接或高速专线连接，'保证所有的业务系统正常运行。

•（4）在广域网接入设备迁移到新总部时可以预先将电信部门的光纤接好，最终迁移I时只要将光纤分配器、路由器等设备迁移’到新总部，实现对营业部透明迁移。

•（5）网上交易部分，逐步迁移到新总部。

•（6）其他服务器一次性迁移到新总部机房。

2009年8月6日

—c机械工业出版社

—TXTCHINAMACHINEPRESS

•7.1.3需求分析

•1.网络拓扑结构需求

•XX金融集团总部网络系统应采用千兆网络主干,百兆交换到桌面。

由于总部存在多个应用溺以保证各应用系统稳定快速运行是完成网络诛计建设的重点。

因此采用双星拓扑结构。

•XX金融集团在全国十几个省、自治区和直辖市'分布有子公司，子公司所在城市分布比较分散,在部分城市有多个分支机构。

整个网络结构要满足分散交易、网络通信、网络管理、系统冗

•广域网拓扑结构采用双主干节点建设XX金融集团IP多业务网络平台系统广域网拓扑结构。

—

•网络系统链路冗余可以采用双链路结构,所有子公司都用专线与集团总部连接，

ISDN做为备份线路，另外用一条ISDN与备份中心连接。

•2•计算机系统安全需求

•由于总部存在多个业务子系统，有些业务是相对保密并极为重要的，不能因为办公网的故障（误操作、病毒、非法入侵等）而造成数据损失或篡改。

因此，需要在两个子系统之间进行有效的隔离，必须保证各子系统之间的通讯是灵活、高效而又受到控制的。

•3.网络管理需求

•网络管理系统应满足以下要求：

\

•

（1）网络管理系统应具有同时支持网館监视和控制两方面的能力。

•

（2）尽可能大的管理范围。

•（3）尽可能小的系统开销。

•

（4）容纳不同的网络管理系统。

7.2设计原则

・

（1）实用性。

・

（2）先进性。

・（3）可靠性。

・（4）网络安全性。

・（5）易于管理和维护。

・（6）支持多媒体。

・（7）符合国际标准。

・（8）可扩展性。

・（9）高性能。

・（10）可管理性。

7.3局域网设计方案

\

•7.3.1局域网设计拓朴结构

实现骨干千兆交换，同时提供二级交换机和服务器以及其他关键设备的连接。

二级交换机使用Catalyst2950系列交换机。

•对于总部网络系统的管理一般涉及到网络设备管理和网络用户、资源管理。

网络管理建议使用CiscoWorks2000o

YL冲河H骨田犠

财卉犀丹茅叶应思并痔交显眼并筋I丈科甩并縣其他碾并霸

•7.3.2网络设备选型

•1.中心交换机产器选型

•主干交换机选用Catalyst6509交换处\

•2.二级交换机选型\

•二级交换机建议使用Catalyst2950-48G/2948G交换机。

•3.实验室交换机选型

•建议使用Catalyst4006SupervisorIII交换机。

7.3.3所使用的技术与作用

对于整个网络来说，潜在的故障点有以下几个方面：

（1）交换机引擎。

（2）交换机电源。

（3）子网间的路由。

（4）

交换机之间的链路。

Q机械工业出版社

CHINAMACHINEPRESS

•本方案中，针对以上潜在的故障点作了以下几方面设计。

\—

•

（1）选择中心交换机相互冗余。

\

•

（2）在网络中心配置两祐交换机,\旦主交换机故障，备份交换机可以立即接管所有工作，有效的防止了单点故障点的岀现。

•（3）主干交换机双电源保护。

（4）HSRP（热备份路由冗余协议）保证

•（5）二级交换机通过两条链路分别连接到两台中心交换机，利用SPT（SPANTREE）技术实现链路及端口的冗余，同时UPLINKFAST技术实现了快速切换。

•（6）关键业务服务器的网络连接使用AFT、（AdapterFaultTolerance,网卡出错冗

余）技术实现冗余保护。

•7.3.4网络安全设计说明\

•在本方案中采用以下手段，以确保芙键业务部门的安全。

\

•

（1）通过虚拟局域网的划分加强网络妄I全。

•

（2）通过交换机设置限制站点对网络系统

的访问。

•（3）通过网络操作系统的安全管理加强网

•7.3.5局域网设计特点

•

（1）使用双主干网络设计，保证主干交换机

网络容错。

一台主干交换机故障不会导致交易网络不能工作，也不用手工切换进行维护I保证网络可靠性。

\

•

（2）使用千兆网络保证网络交易速度与实廿..性。

•（3）使用stp、poTtfast、uplinkfast实现网络故障时快速切换，保证可靠运行。

•（4）使用FEC/GEC技术实现网络带宽扩展，适应证券网络不断扩展要求。

7.4广域网设计方案

\

•7.4.1广域网网络拓扑结构\

•该网络的拓扑结构分为三层结构，如图7-2所示。

•

（1）以XX市为中心，也是XX金融集成的总部所在地。

•

（2）使用7507路由器作为主路由器，对于

重要的子公司管理总部可通过2MDDN线路联接至7507路由器。

•（3）新增一台7206路由器作为备份，对于一般的子公司或因路由器模块本身限制速度不能达到2M的链路可联接至7206路由器。

•（4）原Cisco3600路由器保留,作为\

ISDN/PSTN拨号线路的接入，用于DDN线路故障的备份。

当7507/7200路由器故障或7500/7200至各子公司相应的通信线路故障的备份。

XX市数据中右异抱备恃中心

各干公司

2009年8月6日

机械工业出版社

CHINAMACHINEPRESS

•7.4.2设备选型

•1）在保留原中心的主干路由器7507基础上,新增一台7206路由器。

•2）根据子公司对高带宽的DDN线路要求的多少，Cisco7507配置相应数量的VIP4-80卡及相应的PA-MC-8E1/120卡。

•3）PA-MC-8E1/120为8portmultichannelElportadapterwithG.7031200hmo

•4）原Cisco7507的PA-8T的卡可移入7206路由器，用于联接FR或低带宽的DDN线路。

•本网络系统的中心节点为XX市数据中心，建立网络系统的骨干，分别与二级分支节点相连，两个中心之间使用高速广域网链路连接，比如宽带、SDH、1000M光纤等，能够满足系统的冗余与负载平衡。

总部的关键部门通过VPN与子公司连接，同时在关键部门使用防火墙保护，如Cisco的PIX系

列或相应国产的防火墙。

•数据中心使用Cisco7507/7206为核心路由器，同时使用3640为ISDN拨号备份路由器。

在主链路或7206设备正常时分支节点使用DDN,总部到电信使用多路复用技术，当主链路岀现故障时使用ISDN拨号连接中心。

\

•7.4.4广域网设计主要特点

•

（1）使用多主干路由器设计，保证网络主

干路由容错。

一台故障不会导致与总部网络不能通信，也不用手工切换进行维护,\保证网络可靠性。

\

•

（2）使用Cisco高性能路由器保证广域网网络转发速度与性能，保证总部与子公司之间数据通信速度。

•（3）实现网络故障时快速切换，保证网络

•（4）充分使用原网络主干路由器，保护原

用户的投入。

\一

•（5）高性能主干路由器保证网络系疾路由

数据速度。

—\

•（6）三条链路容错保证网络系统主干可矗

•（7）既保证主干网络系统可靠性，可扩展性好，又可适应将来发展。

•（8）使用CiscoWorks2000对网络系统进行管理。

•7.4.5所用技术与应用

•

（1）IP通信技术是广域网上使用最广泛的第三层通信协议，带宽与开销小。

\

•2）使用适应性好的路由协议如OSPF、\EIGRP等链路状态路由协议，对网络链路議障进行快速定位。

•（3）使用EIGRP可以实现不同链路之间的负载均衡，使用OSPF可实现网络层次管理及负载均衡。

•（4）在QoS方面，可以使用排队技术、带

宽预留技术、队列整形、优先级技术不同类应用给予不同级别与带宽，实现恵部与子公司之间数据传送的优先级。

\

•（5）线路备份方面主要有DDR、HSRP、路由协议内置特性实现。

7.5主机系统设计方案

Al

、

•7.5.1设计目标、

•保证信息、资金服务器工作站的可靠运存k

•7.5.2设备选型一*\

•1.行情服务器选型'、

•使用双机单柜实现行情服务器容错。

服务器选

用CompaqProliantDL760o

•2.资金服务器选型

•资金服务器选用二台CompaqProliantDL580机柜式服务器。

二台服务器之间数据同步备份

•SOCTOPUS软件实现，当一台服务器故障时可自动或手工切换至另一台服务器\、

•3•阵列柜选型\

•阵列柜使用康柏StorageWorksRAIDArray4100。

•4•机房处理机选型

（一）

•机房处理机推荐选用CompaqDL320o

•5•机房处理机选型

（二）

•机房处理机也可选用圆明1010r服务器。

•6.软件产品选型

•

（1）信息服务器容错软件\一

•信息服务器容错软件选用OEMLegato公司

的NHAS软件。

—\

•

（2）资金服务器容错软件

•目前比较多的软件备份主要有Lifekeep、Costandby、Octopus。

建议使用Octopus软件。

34

7.6网络安全紊奘「

•7.6.1广域网安全分析\

•1.网络系统的安全问题\

•网络服务提供系统可能存在的安全威胁刁

自以下方面：

•

（1）操作系统的安全性。

•

（2）来自外部非法用户或者黑客的攻击

•（3）来自内部网用户的安全威胁。

•（4）缺少有效的保护措施。

2009年8月6日—C机械工业岀版社

TXTCHINAMACHINEPRESS

•（5）缺乏有效的手段监视、评估网络系统

的安全性。

\

•（6）采用的TCP/IP协议族软件，本身缺乏

安全性。

一-\

•（7）未能对来自Internet的电子邮件挟嘯的病毒及Web浏览可能存在的恶意

Java/ActiveX控件进行有效控制。

•（8）应用服务系统在访问控制及安全通讯方面考虑较少，容易造成损失。

•2.系统安全结构

•针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。

•

（1）物理层。

一^^\I

•

（2）链路层。

\

•（3）网络层。

\

•（4）操作系统。

J

•（5）应用平台。

•（6）应用系统。

2009年8月6日机械工业出版社

TXTCHINAMACHINEPRESS

•3.广域网的安全的必要性

•由于广域网采用公网传输数据，因而在广域网上进行传输时信息也可能会被不法分子截取。

如子公司从异地上发一个信息劉总部时，这个信息包就有可能被人截取和利用。

因。

此在广域网一定要设计安全系统

•7.6.2网络安全建议

•通过实行以下几项技术的运用，XX金融集团的计算机网络的安全将得到充分的保i

（1）

（2）

（3）

（4）

•7.6.3路由器级安全控制

•1.访问控制列表（AccessControlList,

ACL）\—

•Cisco路由器操作系统IOS通过访问控制列表

（ACL）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源/目的地址、协议类型、TCP端口号进行控制。

•2.地址转换（NetworkAddressTranslation,NAT）

•3•路由认证技术•为了保证发岀和进入的路由更新不被窃取

和攻击，Cisco路由器操作系统I0S提供对动态路由协议进行加密和认证的技术，'只有在经过认证的路由器才能互相学习路曲信息，同时路由信息的传输完全是以加密的形势进行的。

•4•路由器自身的安全防护

•首先，进行口令保。

•其次，利用口令授权

•第三，对口令进行加密。

•第四，对无人值守的控制台和端口磁行超时限制，以提高设备的安全性。

\

•5.内部网络端口的安全性\

•在其内部网段以太网上通过ARP控制进

行IP地址与MAC地址的绑定，结合ACL对登录到路由器的主机与用户进行限制，可以更好的保证路由器的安全，防止非法用户盗用地址对路由器进行攻击。

7.7信息监控系统

•7.7.1系统需求分析与设计目标

•1・系统需求分析一^^—-\

•为了有效地对信息中心的网络系统进行监

管，需要建立一个网络监控和管理系统。

、

•监控中心网络状况，对服务器（Unix、

NovelKNT）、数据库（SQLServer>Oracle）的状态性能进行监控，对转换机、处理机、路由器、交换机等进行监控。

•系统其它功能在系统成熟后再扩充，包括:

（1）能方便地了解网络系统的配置情况,具有资产管理功能并生成报表。

一\

（2）能有效地提供资源利用情况和性能M势，为系统的升级提供依据。

（3）

具有完善和方便的二次开发功能。

•2.系统的目标

•

（1）高效性：

采用统一、全面、集成的管

理工具，管理复杂的IT环境。

\

•

（2）实用性：

主动预警报告、灵活策略魁」

定、防患于未然。

\

•（3）安全可靠性：

一个安全、可靠的管理'平台是“有效管理”的充分保证。

•

（4）可扩展性：

配置灵活、适应未来发展,保护以往投资。

•7.7.2具体技术要求

•1.系统性能管理\

•

（1）支持多平台，保持系统的可扩展性，如SCO、NT、SUN、NetWare等一\

•

（2）对文件系统进行监控，并能定义预警命严重性的门限。

•（3）对操作系统的关键进程监控，进行报警发生故障时能自动处理。

•（4）对系统的内存进行监控，并能预警CPU

•（5）对操作系统的各种日志文件进行收集和监控，从而发现错误并进行预警。

\

•⑹对操作系统的各种资源，有实时、'、动态的图形界面显示。

•2.网络管理—\

•

（1）能自动地发现并识别分布式网络环境卅的所有资源。

•

（2）自动地收集网络性能信息，并可以根据预先设定的网络参数目标，来监控客户/服

务器，网络硬件及软件等，产生相应报警

信息O

一一i——I—•—二…C

2009年8月6日

•⑶具体分析最终用户的响应时间久LAN的容量47利用及出错统计等等，应具有报表机制，提供图形化或表格方式的数据表达，提供详细的有关服务器、LAN负载的历史报表，提供网络资源性能附实時报表。

\

•（4）对网络设备参数进行监视和调整，对网络设备端口进行数据流量统计和分析，对网络跟备性能进行实时监视，对网络设备操作状态和端口操作进行实时监视，对网络消息进行记录乂统计和操作报告，对网络设备进行故障告警、'问题定位和问题分析能力。

•（5）监视整个网络拓扑结构，实时监视整个网络流量，监视和管理网络路由，捕获、存储和管理异常事件，获得网络运行报告。

•3.数据库管理

•

（1）对MSSQLServer、Oracle等数据库自动管理。

•

（2）监控数据库的可用性，应能监控数据库

一引擎的关键参数。

\

•（3）可定制阀值，自动监控数据库资源的变化，并应能在达到限值时发生警告和错误信息，并应能触发一定的动作，以便及时采取措施。

•（4）监控表空间的使用情况。

•（5）监控事件日志空间的使用情况「自动监

控数据库日志的变化，并且有智能预警的功能o一^\

•（6）与数据库本身的管理工具无缝地集成氨来，使户通过统一的界面就可对数据库进行细致的管理。

•4•桌面系统的管理

•具有软件Metering功能，定义对用户的某一特定软件进行监视，具有提醒管理员功

c机械工业出版社

CHINAMACHINFPRESS

2009卑自日

•1.网络管理内容

・

（1）配置管理、\

・

（2）性能管理\、

・（4）计费管理功能

・（5）安全管理

・2.骨干网的管理

・网络公司建议在总部网络配置一台网管工作站，运行CiscoWorks网管软件，对网络进行管理，此建议书中所配置的路由器及交换机产品，都具有管理功能，包括SNMP、RMON、NetflowStatistics（网络流量统计）、HTTP、诊断/故障排除、Syslog.拓扑发现代理等等很多功能一

机械工业出版社

CHINAMACHINEPRESS

•3.产品选型

•因所有网络产品为Cisco公司的产品主要有Catalyst4006、6509、2900系列交换机广域网所有产品使用Cisco路由器。

建议使用CiscoWorksforWAN实现网络管理。

7.8磁带机备份系统

、

•7.8.1概述'\

•金融系统的连缮稳定运行及数据安全至笑重要。

一旦索统中血运行，将给子公奇的运行带来极大的混乱；而数据一旦丢失，则带来的后果I

（损失）将是灾难性的。

因此，如何确保数据的安全，如何保证系统的连续稳定运行，就成'为电脑主管和索统管理人员非常关切葩问题。

•同时在灾难情况下（如病毒发作），如何快捷准确无误地进行恢复，减少或避免灾难发生时的损失，亦是电脑主管和系统维护人员关切的

•7.8.2需求描述

•数据量及每日增量要求大致如下：

、\

•财务系统，SQL7,2.5GB,增长量：

50MB/天，要求每天作增量数据备份，周期约一周。

\

•业务通信系统，DBFFILE,80ME/天，每天备份的数据均不同。

•在线交易系统，0RACLE&SQL2000,500MB,

增长量：

较小，要求每天作全数据备份。

•在线交易系统，语音LOGFILE,100MB/天,每天备份的数据均不同。

\

•0A系统，LOTUS,10GB,增长量：

20MB/天,要求每天作增量数据备份，周期约二属\

•还有其他不确定的数据：

如服务器操作索\统、数据挖掘系统等数据不确定数据。

•7.8.3厂家选择（

•选择Veritas磁带备份软件，使用HP4/40

磁带库存作为备份设备。

•7.8.4技术选型'

•1.磁带库技术选型、\

•备份设备则选用HP公司的4/40UltriumJ^带库。

一\

•2.备份软件技术选型\

•建议采用VeritasBackupExeco

c机械工业出版社

TXTCHINAMACHINEPRESS

•7.8.5特点

•本解决方案的实施经过该金融集团总部运营的检验，证明是非常成功的。

■

•1）Ultrium4/40磁带驱动器对金融交易过程中产生的业务数据做到了实时、正确、可靠的备份。

•2）数据备份系统是成熟而稳定的。

•3）备份系统改造正式实施大大提高了集团信息系统的安全性，其集中管理化程度也大大提高。

•4）BackupExec备份软件的安装和操作非常简

7-9弱电防雷系统

序号

名称

型号及规格

备注

1

三相四级A级保护防雷器

V25-B/4

\

\

\

2

三相四级B级保护防雷器

V25-C/4

\

\

\

3

地级保护防雷器

480

\

\

4

RJ11/45信号保护器

RJ11TELE4

（110V/MODEM/FAX）

\

5

卫星信号保护器

DS-M/W

6

三相四级A级带遥信触点

V25-B/4-FS

7

ji

三相四级A级带监控触点

V25-B/4-FS-SU^

■■■■_

Q机械工业出版社

CHINAMACHINEPRESS

7.10机柜及布线

•1.机柜选择

序号

名称

型号及规格

备激

1

—望

机柜600X600

高度达到43也特殊可以定制\

\

2

蓝希望

机柜600X800

高度达到4311特\殊可以定制

3

蓝希望

机柜800X800

高度达到43U特殊可以定制

4

蓝希望

机架

1270X500X2000

特殊可以定制

5

蓝希望（服务器）

机柜600X960

高厦达到43U特

孑殊可以定制

CHINAMACHINEPRESS

2.布线系统

信息服务器（主、从）:

二台服务器安装于一个服务器机柜。

\

资金服务器（主、从）:

二台服务器安装于一个服务器机柜。

\

实验室的二台Catalyst4006安装一个机柜。

\中心的Catalyst6509及相应设备安装一个机柜。

10台转换机安装一机柜，需要3台机柜用于安装转换机。

服务器机柜至主机柜使用2条6芯光纤，同时拉24条超5类双绞线作备用。

C机械工业出版社

TXTCHINAMACHINEPRESS

•每个服务器机柜安装一个24口跳线盘及12口光纤跳线盘，以满足将来扩展就。

•服务器的双绞线与光纤与主机柜相臥

•转换机机柜拉24条双绞线至主机柜。

\

•根据