4、采取安全措施,实现网上行为的审计,进行事中、事后分析。 5、实现集中统一的全网安全管理,减轻管理的负担。
16 / 283
第四章 系统建设目标、原则
4.1系统建设的目标
本次太重信息化建设的主要目标为: 1、
建设覆盖本次应用软件系统所涉及的所有单位和用户,利用千兆以太网技术构建高性能、高可靠性、安全、可管理的网络平台。
2、
建设满足应用运行的主机存储平台,实现应用的集中部署,实现数据的集中存储、集中备份和管理,实现快速的备份和恢复。
3、
建设网络安全管理系统,实现对设备、人员、网络行为、终端设备的安全管理。
4.2系统建设原则
本次系统建设应满足以下总体设计要求: 1.高可靠性
在系统整体设计中应选用高可靠性设备产品,设备充分考虑冗余、容错能力和备份,同时合理设计总体架构,制订可靠的QoS质量保证策略,最大限度保障系统正常运行。
2.可扩展性
根据未来业务的增长和变化,系统可平滑扩充和升级,避免在系统扩展时对网络架构的大幅度调整。
3.可管理性
支持集中监控、分权管理,以便统一分配网络资源。支持故障自动报警。 4.高性能
设计必须保障网络及设备的高吞吐能力,保证数据的高质量传输,预留出一定的流量增长的范围,保证在可预见的将来满足流量要求,避免网络瓶颈影响整体的
17 / 283
系统应用。
5.先进性和成熟性
网络设备采用先进的技术和制造工艺,对于路由协议支持、数据流量分配,抵御网络攻击、高性能方面保持技术领先,网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。
6.标准开放性
支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议,保证与其它网络之间的平滑连接互通,保证与其它主流网络产品的兼容性,以及将来网络的扩展性。
7.成功应用
针对ERP系统这种关键业务应用,所选择的设备必须要经过长时间的成功应应用检验,具有非常高的市场占有率。
4.3系统建设的主要内容
建设内容主要网络建设、服务器建设和存储系统建设三个部分。 网络建设的主要内容有;
1、核心网络系统建设,通过双核心交换机实现核心的高性能和高可靠性。 2、在数据中心采用一台数据中心交换机实现到服务器的连接。
3、在重工、起重机公司、轮轴公司、油膜轮轴公司部署汇聚交换机,通过千兆光纤实现实现到两台核心交换机的冗余连接。
4、在上述四个公司的配线间部署接入交换机,实现终端用户的接入。 5、在Internet的出口处部署路由器,实现到Internet的连接。
6、在核心区部署2台防火墙、2台入侵防御系统,分别作为冗余配置,保证核心区服务器和应用的安全。
7、在Internet入口处部署防火墙(原有NS-25)、入侵防御系统,保证网络边界安全,构建DMZ区域,部署交换机(原有的华为S5000交换机)实现对外的信息发布。
8、在核心区部署接入认证、网络管理、日记审计、防病毒(原有的)等应用软
18 / 283
件系统,保证整个网络设备、人员、应用的安全。
9、调整网络结构,由原来的多级代理改为直接连接,保证了C/S应用的访问。 10、 实现与原有网络设备的连接。 服务器系统建设:
1、生产系统建设:数据库、应用服务器系统建设 2、开发、测试、培训环境建设 3、实现与网络系统、存储系统互联。 4、网络安全管理软件部署
存储系统建设: 1、存储系统建设。 2、备份系统建设
3、备份管理、数据管理软件的安装调试
19 / 283
5.1.2网络总体结构
根据标书要求及其应用需求,鉴于太重各部门的特殊安全性要求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用标准IP+MPLS VPN技术,保证网络的互联互通性,并提供各部门、应用系统网络间的逻辑隔离(VPN),保证互访的安全控制,同时通过QOS和基于MPLS VPN的流量工程(TE),保证关键业务在网络上传输的优先级。
对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离,我们设计采用MPLS VPN技术实现网络横向业务部门的隔离和纵向应用系统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性,充分保护用户投资。
根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于“三网合一” 概念的企业信息化综合业务平台。
全网分为两部分:骨干网络和网络中心。
骨干网络采用核心层、汇聚层、接入层的部署思路,各部分描述如下: 核心层:数据网主干网络设备采用交换机进行组网,配置两台高性能核心三层交换机,完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚,并在整个骨干网上启用MPLS VPN,进行业务隔离。
核心层为下两层提供优化的数据传输功能,它是一个高速的路由交换骨干,其作用是尽可能快地交换数据包,满足汇聚节点与核心节点之间高速通信的需要。为保证本项目未来规模庞大,业务众多的特点,核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。
汇聚层:每个汇聚节点的汇聚交换机通过2个1000M光口与集团公司数据中心的2台核心交换机相联,构成双核心,双归属的骨干网络。
汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。在整个网络环境中,汇聚层主要提供如下功
20 / 283
网络、网络安全、服务器和存储系统集成【系统集成方案】
