智能化企业IT基础架构建设方案.docx

《智能化企业IT基础架构建设方案.docx》由会员分享，可在线阅读，更多相关《智能化企业IT基础架构建设方案.docx（21页珍藏版）》请在第一文库网上搜索。

1、某集团IT基础架构建设方案第一章项目状况简介第二章设计原则和设计思想第三章VPN网络建设第四章数据中心虚拟化建设第五章分支机构弱电建设原则第六章视频会议第七章IT资产统一管理第八章监控和考勤系统统一管理第九章邮件文档统一管理第十章视频点播直播系统第一章项目状况简介1.1 项目背景目前，伴随通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的开展不再仅仅局限于同一物理位置上，虽然在办事处、分支机构、出差在外、在家中，均可像在企业总部办公同样开展业务。此外集团对各项业务的流程，账务流程，行政流程需要统一进行管控，这就需要建立一种安全、快捷、经济、以便的信息交互平台，来满足各分支机构与集

2、团总部之间的信息交流。此外我集团作为新兴的拥有知识产权的企业，信息的敏感性决定了它们历来都是多种居心叵测者的重要关注对象，这提醒我们应当愈加重视网络安全的建设。值得称道的是，企业领导已经对此引起了高度重视，并计划逐渐进行卓有成效的防护工作。在这方面，合理借鉴市场先进经验与理念十分重要。1.2 目前IT架构和应用现实状况分析地点原宽带宽带运行商网络接入IP地址：动态/固定服务器互换机其他设备深圳总部ADS1动态IP地址K3服务器一台二层无深圳中心ADS1动态IP地址无二层无ADS1动态IP地址无二层无广州越秀中心电信ADS1动态IP地址无二层无广州天河中心无无无备份服务器一台二层无上海浦东中心电

3、信光纤接入动态IP地址无二层无北京浦东中心无无无无二层无从上表可以看出，我集团IT基础架构还处在比较原始的阶段，集团总部和各分支机构没有进行信息网络的互联互通，已经成为制约业务扩大和发展的重要原因。1.3 未来要运行的系统1CRM系统2.0A系统3.IP4 .视频会议5 .邮件系统6 .域管理系统7 .考勤统一管理系统8 .监控统一管理系统9 .账务系统10 .文档统一管理系统11 .数据备份系统12 .网络安全系统13 .医务教学系统根据以上需求，我集团必须构建适合企业未来发展BIT基础架构。搭建互联互通的信息网络和信息平台。为此，必须首先完善IT基础架构。第二章设计原则和设计思想系统的总体

4、设计思想是要体现技术的先进性和决策的前瞻性，着力于“实用性、高起点、前瞻性、扩展性”。详细的我们遵照了如下原则：2.1 安全性原则在企业网络运行的各个环节中，都应当严格注意安全的问题，防止其中的任一过程存在着安全的漏洞，从而影响整个企业业务运作的大局。伴随计算机网络技术的提高,网络的安全性也越来越值得人们注意和防备,在该方案中，安达通企业时刻强调高度的安全性。我们在进行系统设计时将提供多种手段保障系统的安全，对有关的网络设备、主机系统、应用数据库提供严密的保护。网络安全需要依托综合手段才可以实现。首先需要好的安全技术产品，好的安全方略；另首先，更为重要的是要有完善的安全管理制度。从技术角度来看

5、，一种完善的网络安全系统应当包括如下三个方面：1 .安全防护2 .积极安全评估安全防护就是通过防火墙或网络物理隔离等设备，对进出网络的数据包进行控制；同步在应用、主机上限制非法顾客进入，或者顾客越权访问。积极安全评估是基于安全防护的基础上进行的，在通过了安全防护之后，可以借助安全工具或者是有经验的I安全专家来进行安全评估。安全实时监控也是属于积极防御范围。指在我们对网络上的多种行为进行监控，例如黑客袭击一种系统之前，往往需要理解这个系统的构造或者漏洞，他们往往会运用网络扫描工具对某个网段或者主机进行扫描，实时监控系统可以检测到此类行为。2.2 实用性原则系统在设计上首先将满足双向的数据传送、实

6、时处理的规定；另首先，又采用先进的技术，使系统完毕后，保持一定期期的领先地位。此外还要考虑成本和费用实用性原则既要做到先进技术与既有成熟技术相兼顾，又要使系统的高性能低成本与实用性相结合。2.3 可靠性原则这套系统是企业内网的门户。它rJ稳定可靠关系重大，尤其是详细业务项目。伴随使用的普及，信息平台的!运行不稳定甚至瘫痪将严重影响企业的形象，也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我企业将采用对应的手段保证系统、网络和数据的稳定可靠性，采用负载均衡技术、备份技术就是其中的重要方略。2.4 可扩展性原则网络安全互联建设应当是统一规划、分步实行、逐渐完善的的过程。我企

7、业在该方案的设计中充足考虑它的可扩展性，为未来系统扩展和升级提供基础。2.5 易管理性原则系统肚！管理和维护工作也是至关重要及I。在系统设计时既要充足考虑平台的!易管理性，为平台维护者提供以便的管理工具；同步又要设计规范但不失灵活的工作流程。第三章集团VPN网络建设方案3.1 VPN技术简介VPN（虚拟专用网）技术是指通过公共网络建立私有数据传播通道（即隧道），将远程的分支机构、商业伙伴、移动办公顾客等安全连接起来口勺一种专用网络技术。在该网中的主机将不再感觉到公共网络日勺存在，仿佛所有的主机都处在一种网络之中。对企业而言，VPN可以替代老式租用线来连接计算机或局域网等。而任何VPN业务都是基

8、于隧道技术实现的，隧道机制是VPN实行的关键。数据通过安全In加密管道在公共网络中传播。企业只需要租用当地的数据专线，连接上当地的公众信息网，各地的机构就可以互相传递信息；同步，企业还可以运用公众信息网的拨号接入设备，让自己的顾客拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和此后企业网络发展的趋势。软件VPNVPN通道oo0Q0000Q图3-1VPN组网示意图虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具有如下条件：保证数据於)真实性：通信主机必须是通过授权的，要有抵御地址冒认(IPSpoof

9、ing)及I能力。保证数据的完整性:接受到的数据必须与发送时的一致，要有抵御不法分子纂改数据的能力。保证通道的机密性:提供强有力口勺加密手段,必须使偷听者不能破解拦截到的通道数据。提供动态密匙互换功能:提供密匙中心管理服务器，必须具有防止数据重演(Rep1ay)的功能，保证通道不能被重演。提供安全防护措施和访问控制:要有抵御黑客通过VPN通道袭击企业网络的能力，并且可以对VPN通道进行访问控制(ACCeSSControDe虚拟专用网VPN可以使在Internet中H勺信息互换有安全保障，大多数H勺VPN产品支持IPSeco最初VPN技术被设想为In1enet节点口勺连接方式，后来它很快被公认为

10、是一种远端的接入技术,例如在一种远程的PC或笔记本电脑顾客与他的企业本部之间建立的加密通道。目前，VPN技术正在迅速走向成熟，并且它正处在昌盛期。3.2 系统设计功能分析3.2.1 VPN的构建方式VPNB实既有诸多种措施，常用B有如下四种：1 .硬件VPN：某些硬件设备，具有VPN功能。2 .软件VPN：可以通过专用的软件实现VPN。3 .运行商提供VPN：可以通过租用运行商的网络实现VPN。3.2.2 为企业节省了费用开支采用了VPN系统，相称于在总部和各地分企业之间建立了安全的专用网络，就可以充足运用公共网络的资源，在上面运行包括企业内部重要信息的多种应用系统。比较老式的在总部分企业之间

11、拉专线的方式，采用VPN处理方案，大幅度减少了企业信息系统的投入成本，为企业带来了直接的效益。并且在安全性上，也得到了提高，由于虽然是拉专线，也需要通过网络运行商，而采用VPN方案，则是真正的将安全掌握在了自己手中。3.2.6 系统的易扩展性VPN系统建立后来，未来欧）扩展非常以便，假如需要增长一种分企业或者办事处，在该地安装一台VPN设备，总部只需要增长一条安全方略即可以实现该分企业或者办事处的接入。假如增长种移动顾客，只需要配发种SUre1D即可。因此扩展非常简朴。3.3 产品选型软件VPN因性能差，不稳定等原因，在生产环境中，很少布署。目前主流VPN一般为硬件VPN和运行商提供0VPN.

12、下表为某些供应提供的产品的特点，详细价格详见附件。VPN性能防火墙网络管控网络加速负载均衡第一线良好无无无无深信服良好有有有有中科网威良好有有有有九昌电信良好无无无无费用对比表所需要设备VPN防火墙网络管控宽带小计第一线19000CISCO5515（总部2.2W）分支机构（9000*4）AC1200（市场价格1.5W*5）拨号光纤（月租金1500*5）设备费用13.3W线路费用2.6W/月九昌电信20230CISCO5515（总部2.2W）分支机构（9000*4）AC1200（市场价格1.5W*5）拨号光纤（月租金1500*5）设备费用13.3W线路费用2.75W/月中科网威总部4.2W总部7

13、000设备费用分支机构(8000*4)分支机构(3000*5)7.2W线路费用2.2W/月深信服总部8W分支机构(4W*4)AC1200（市场价格1.5W*5）总部7000分支机构(3000*5)设备费用315W线路费用2.2W/月3.4 网络规划与产品布署1、集团总部设计方案总部是整个企业的“心脏地带”，重要信息的交互、共享，重要数据的频繁传播，构成了XX集团的业务流。伴随企业信息化程度的不停加深，多种应用系统会逐渐得到应用。目前，集团总部的内部网络，通过电信网络直接接入Interneto考虑后来总部业务需求的发展，在总部网络出口处布署一台ANYSEC-M6600oM6600是一款原则IU机

14、架式高性能VPN安全接入网关。基本配置包括4个100/100OM以太网接口，采用InteINP架构高速网络处理器。最大VPN隧道数1600条、3DES硬加密性能IOoMbPs、防火墙吞吐率IGbps.最大并发会话数500,000个。支持双机热备、多线路负载均衡。重要功能包括VPN集中管理、IPSEC/SS1VPN二合一、防火墙、代理上网、应用带宽管理、IM控制、P2P控制、娱乐控制、顾客分级管理、上网行为管理等功能。2、各地驻外机构设计方案由于各地驻外机构需要与杭州总部进行大量的信息互换，并且伴随ERP等应用系统的应用加深，物流、资金流在企业IntranCt网上的频繁传播，为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传播，故此，布署ANYSEeS2800i到各驻外机构。S2800i是一款桌面式VPN安全接入网关。基本配置包括5个IOM以太网接口，采用Inte1MIPS架构高速网络处理器。最大VPN隧道数256条、3DES硬加密性能35Mbps防火墙吞吐率200Mbps最大并发会话数80,000个。重要功能包括IPSECVPN、VPN管理平台、路由、无线上网、互换机、防火墙、3G上网、上网行为管理、双线路支持等功能。3、集团VPN建设网络IP地址分派如下:地点服务器网段办公网络WIFI监控深圳总部深圳中心广州越秀中