第一篇:【解決方案】Radware電信IDC網絡整體解決方案
Radware電信IDC網絡整體解決方案 一個典型的數據中心網絡拓撲結構圖如下圖所示:
上述典型的數據中心網絡大致由4 部分組成:
? ? ? ? 網絡出口連接部分
網絡安全部分
網絡骨干交換部分
托管用戶接入部分
一、網絡存在問題
1.廣域網鏈路存在的缺陷
Internet連接部分是指數據中心通過ISP運營商的鏈路連接到Internet,用于為數據中心托管用戶對外的網上公共信息發布,為Internet 用戶訪問數據中心提供可靠連接。
? 鏈路的單點失效性:采用單一Internet連接鏈路存在單點失效性,一旦該鏈路出現故障將造成整個網絡的癱瘓;
? 鏈路性能的瓶頸:單一Internet連接鏈路的帶寬資源是有限的,無法滿足企業內部全體用戶對網絡訪問Internet時帶寬不斷增長的需求,同時也無法大量的Internet上的用戶對企業的訪問;
? 網絡安全防護能力弱:目前Internet上的各種各樣的網絡攻擊層出不窮,路由器自身對網絡攻擊的防護能力非常有限,DOS/DDOS 網絡攻擊會對廣域網絡由器產生嚴重的影響;
2.網絡安全防護存在的缺陷
網絡安全部分通常由防火墻、虛擬專網(VPN)和防病毒網關設備構成,用于制定內部信息資源的不同訪問策略,保護數據中心的應用免受來自Internet的網絡攻擊。
網絡安全設備缺乏高可用性:雖然某些數據中心采用了多臺安全設備互相備份的解決方案,解決了單點失效的問題,但這些設備無法同時工作,導致投資嚴重浪費,備用設備只有等待主用設備失效以后才起作用,投資回報及性價比極低;
網絡安全設備性能的瓶頸:網絡安全設備由于要對進出網絡的數據包進行安全性檢查,與網絡路由器和網絡交換機相比,性能通常會降低很多,例如防病毒設備的網絡吞吐量通常只有3-10Mbps。由于安全設備缺乏高可用性,因此網絡中的安全設備通常都是制約網絡傳輸速度的瓶頸點。
安全體系架構存在漏洞:防火墻可以基于網絡中的TCP、UDP端口對網絡流量進行訪問控制,并且可以對基于狀態的協議進行協議狀態檢查,因此防火墻通常是在網絡第四層上對用戶的網絡進行保護。但是防火墻無法對基于網絡七層中的網絡攻擊進行防護例如: 蠕蟲入侵、病毒入侵、后門攻擊。
3.骨干交換及托管用戶應用的缺陷
網絡骨干交換提供了托管用戶的接入,托管用戶的應用實現對外WWW等信息發布系統,業務應用系統和后臺數據庫系統組成。
網絡應用的可靠性較差:應用服務器由于服務器硬件的穩定性、流量壓力超載、網絡攻擊等情況經常會出現意外宕機的情況,從而無法保證網絡應用的7x24 小時的持續性服務。
網絡應用的性能瓶頸:在網絡應用系統中,通常會采用多臺服務器同時提供服務的方式。但是由于網絡中的流量并不均衡,因此經常會出現某臺服務器由于訪問量過大而宕機,造成網絡應用性能的不穩定,從而影響到整個網絡應用系統的性能。
網絡應用的安全性較差:現有網絡中的安全性防護機制的特點是:
現有的安全性防護機制通常是針對來自外網的攻擊;
缺乏針對來自內網的攻擊防護機制;
現有的安全性防護機制通常是針對整體網絡層面的攻擊防護,即針對網絡IP層、TCP/UDP層的網絡4層以下的攻擊防護; ? ? ?
二、數據中心網絡應用需求分析
1.廣域網鏈路需求分析:數據中心網絡出口連接方面的需求-多鏈路負載均衡技術
目前在國內由于多家ISP的競爭,Internet 接入鏈路的成本大幅降低,多鏈路Internet的接入已成為許多數據中心在的選擇網絡連接方面的需求。因此在數據中心Internet網絡出口連接方面將存在如下要求:
提高Internet網絡鏈路的可用性:當網絡中心具有多條Internet鏈路后,應提高Internet網絡鏈路可用性的智慧檢查,防止出現由于某一條Internet鏈路的失效造成整體網絡的不可訪問。
提高Internet鏈路的網絡吞吐量:提高數據中心的Internet網絡鏈路的吞吐量,申請多條Internet鏈路。
提高Internet網絡鏈路的抗網絡攻擊的能力:Internet上的各種各樣的網絡攻擊首先影響的將會是Internet網絡鏈路,因此應加強在Internet鏈路上的攻擊防護。
2.網絡安全防護需求分析:網絡安全方面的需求-防火墻、IDS、防病毒設備負載均衡技術的需求
為了保證數據中心的網絡在網絡安全防護方面的高可用性、高性能和安全性,數據中心在網絡安全方面的需求可以分為以下幾部分:
提高網絡安全設備的可用性:網絡中應具備安全設備的的可用性檢查,避免單一的網絡安全設備的單點失效性。
提高網絡安全設備性能:在網絡中采用多臺網絡安全設備,避免網絡安全設備帶來的瓶頸,提高網絡傳輸速度。
完善網絡安全體系架構:各種各樣的網絡攻擊層出不窮,導致防火墻的負荷在不斷提高,再相對于網絡物理帶寬的大幅度提高,防火墻逐漸成為了網絡的瓶頸,本案希望使用一組(2個以上)防火墻采用負載均衡技術提供安全服務,以提升性能。
3.網絡應用需求分析
網絡應用方面的需求-應用服務器負載均衡技術的需求
為了保證數據中心的網絡應用的高可用性、高性能和安全性,數據中心的網絡應用存在下列需求:
提高網絡應用的可靠性:自動的網絡應用可用性檢查,保證網絡應用的7x24 小時的持續性服務。
提高網絡應用的性能:如果網絡中僅有單臺服務器提供網絡應用的服務,很難保證網絡應用的性能,可以考慮增加相應的服務器數量,配合負載均衡技術來提高網絡網絡應用的性能。
網絡應用的安全性較差:制定針對具體的、特定的網絡應用的特點而專門制定的基于網絡7層防護的安全性防護機制;
4.提供差分服務(增值服務)的需求
數據中心應該能根據托管用戶的經濟能力提供差分服務,以提高市場競爭力。
三、Radware解決方案
根據大型數據中心網絡應用現狀分析和用戶的需求分析,結合Radware產品的技術實現和特點數據中心方案設計,如下圖所示:
Radware解決方案簡介:
建議在數據中心網絡各層面上共采用了12臺Radware的設備,其中包括: ? ? ? ? ? ? 2臺DefensePRO(通過端口靜態綁定,最多可以虛擬成11臺設備),2臺LinkProof、2臺FireProof、2臺CID、2臺WSD、2臺CT100。
LinkProof實現多鏈路的負載均衡和防火墻的負載均衡
如上圖所示,我們建議在網絡接入處,部署LinkProof,實現對多條internet接入鏈路(最多100條)的負載均衡,可以同時實現outbound流量(內部辦公用戶訪問internet)和inbound流量(internet用戶訪問數據中心內部服務器)雙向的負載均衡。同時使用Radware專利技術動態就近性來保證進出的雙向流量的智能的動態的就近性選擇,大大提高用戶訪問的服務質量和訪問效率。LinkProof可以配合FireProof實現多臺防火墻(最多100臺)的負載均衡,防火墻可以是不同廠家,不同型號,不同性能,大大提供防火墻的擴展性和可用性。
我們建議的安全解決方案部分,包括3款產品,DefensePro,FireProof,CID,每臺設備簡要功能描述如下:
DefensePro實現實時的攻擊防御:部署DefensePro,可以識別并實時抵御1500多種蠕蟲、病毒、DOS攻擊和異常的流量模式,保護內部用戶和服務器的安全。
FireProof實現防火墻的負載均衡:部署FireProof,配合LinkProof實現多臺防火墻(最多100臺)的負載均衡,防火墻可以是不同廠家,不同型號,不同性能,大大提供防火墻的擴展性和可用性。
CID實現cache服務器、防病毒網關負載均衡:CID位于FireProof和核心交換機之間,與組織內原有的Cache,防病毒網關等內容檢測安全設備協同提高服務質量。一方面把如上設備由inline方式改名為CID的旁路方式,減少了網絡的單點故障。另一方面,CID實現對多臺設備的負載均衡,保證了該類網絡設備的高可用性,高擴展性和高性能。
CID部署在這里,還可以為數據中心實現差分服務,使得數據中心可以為用戶提供可選擇的Cache重定向服務,保證高級用戶的WWW服務響應速度;還可以為高級用戶制定防病毒服務,使得高級用戶可以免遭病毒的攻擊,而普通用戶的數據則由CID透明傳輸,不經由Cache 服務器或防病毒服務器,只享受普通的業務托管服務。
我們建議的應用解決方案部分,包括2款產品,WSD,CT100,每臺設備簡要功能描述如下:
WSD實現服務器的負載均衡:WSD位于核心交換機和各種IP應用服務器之間,主要實現所有基于IP協議的各種服務器的負載均衡功能,通過部署WSD,可以實現服務器業務的7*24不間斷的運行和保證業務的最佳服務器質量,從而實現了服務器所承載的業務的100%的高可用性和高性能。WSD部署在這里,還可以為數據中心實現差分服務,使得數據中心可以為用戶提供可選擇的服務器負載均分服務,保證高級用戶的服務響應速度及應用可靠性。
CT100實現SSL加速和HTTP(HTTPS)頁面的加速
SSL加速功能:CertainT 100與WSD配合,為用戶提供SSL加密加速服務。利用WSD 的負載均衡可以使Web服務器擺脫密集型處理的SSL密鑰交換和加密/解密功能。為應用處理釋放了服務器資源,使服務器的性能提高200倍以上,并且使服務器的投資發揮最大效益。
HTTP(HTTPS)頁面的加速:CertainT 100通過WEB壓縮和HTTP連接復用技術,大大提升internet用戶對服務器的訪問速度。較大地節省了internet的接入帶寬,大大地降低了WEB服務器的處理資源消耗。
CT-100部署在這里,還可以為數據中心實現差分服務,使得數據中心可以為用戶提供可選擇的SSL加速服務和HTTP壓縮服務,保證高級用戶的服務響應速度。對于普通用戶而言,CT-100則不起作用,普通用戶的SSL加解密都放置到其服務器中完成。
四、方案中Radware詳細技術介紹
DefensePro -實現入侵和DOS攻擊的實時防范 Radware DefensePRO的功能描述
1.第一手防御
2.入侵實時防范
3.全部實時防范DOS攻擊
4.強大的設備管理和安全管理
DefensePro 是為嵌入式部署而設計的,它可以在具有多個網絡段的網絡中對所有流量進行實時掃描。在掃描過程中,DefensePro 會對數據包進行逐一檢查,并根據惡意攻擊模式執行特征比較。它可以識別Radware 安全數據庫中的1500多種攻擊特征。為了防范新的攻擊形式,該數據庫會不斷被更新。對于未知形式的攻擊,可以使用協議異常檢查功能來檢測。通過檢查協議的異常性,可以檢測異常的數據包碎片,而這大多數情況下標識了惡意活動。當檢測到惡意活動時,DefensePro 可能以任何組合形式立即執行以下的這些操作:丟棄數據包、重置連接以及向管理位置發送報告。這樣就為該設備之后的應用、操作系統、網絡設備和其它網絡資源提供了全面保護,以免它們遭到蠕蟲、病毒和其它形式的攻擊。
DefensePRO的解決方案的優勢
從防火墻、VPN 網關、IDS 到防病毒網關,安全市場集結了各式各樣的安全工具。但是,目前應用級層的攻擊在當今的網絡攻擊中占了絕大多數,為了抑制這些攻擊,需要千兆位元的實時防御入侵和DOS攻擊的IPS設備。作為業界領先的實時防御設備,Radware的DefensePRO與其它同類IPS的解決方案相比,有如下優勢:
1.3Gbps性能
DefensePro 是業內唯一兼具了3Gbps 的安全性能和應用安全智能的產品,它可以保護從網絡層直到應用層的所有網絡化應用。DefensePro 獨具的多層安全架構組合了數種攻擊檢測機制,它們聯同高級的防范工具,如DoS Shield、SYN cookie和應用安全模塊一起,提供了對惡意攻擊和DoS攻擊的完全防范能力。
2.部署簡便
簡單的嵌入式安裝-,借助DefensePro 的透明性,可將它無縫地集成到任何網絡環境中,從而不必對網絡設置、網絡拓撲進行任何更改即可實現實時保護。
3.多網段防護實現攻擊隔離
DefensePRO具有IPS業界最高的端口密度,通過把物理端口兩兩劃分,可以使用單個設備保護多個網絡段,從而實現實時的投資回報。通過多網段的防護,使網絡入侵和攻擊被限制在一個個網絡區段之內,不致于因為單臺計算機發出的蠕蟲、病毒和DoS 攻擊傳播到其它用戶和網絡段中。
4.設備自身的安全性
DefensePRO的業務端口不設置IP地址,相當于一條智慧電纜,這種透明性保證了設備自身的安全性,因為用戶無法了解網絡中是否有該設備。所以也就無法對DefensePRO本身實施攻擊。
5.保證關鍵任務應用的服務質量
通過DefensePRO精細的流量控制策略,可以保證關鍵任務應用獲得較高的服務質量,同時限制非業務應用(如P2P 應用)所占用的帶寬。
6.快速更新
Radware DefensePRO在攔截的攻擊特征庫更新速度方面,在安全產品業界處于領先地位。安全市場需要一種能用數千兆位元的速度對所有網絡流量進行雙向掃描并且可以實時防范應用級別攻擊(比如蠕蟲、病毒、木馬和Dos 攻擊)的內置安全解決方案,無疑已成為當務之急。Radware 看到了這種需求。作為首個可針對實時隔離、攔截和防范各種攻擊提供數千兆位的數據包深入檢查速度和特征比較速度的安全交換機,DefensePro 滿足了這種需求。
Radware 多鏈路解決方案的優勢 1.提高Internet網絡鏈路的可用性
全路徑健康檢查:檢測ISP鏈路的可用性,即健康狀況,LinkProof提供了全路徑健康檢查的功能,最多能夠完成10跳路由健康的檢測,從而保證整條數據鏈路的通常,提高服務質量。
故障恢復和預熱定時器:LinkProof提供故障恢復和預熱定時器,用戶可以自定義定時器的延遲時間,從而確保將會話定向到穩定的ISP鏈路。一旦ISP恢復正常,LinkProof能逐漸增加發送到該ISP的流量。
冗余配置:LinKProof使用Radware已被證明的冗余機制,其中設備的狀態監視通過網絡來實現,從而禰補了設備故障和網絡故障。
2.提高Internet網絡鏈路的性能
就近性(Proximity)
就近性檢測方法:對于流入的流量,LinkProof使用與流出流量相同的就近性判斷機制。LinkProof考慮路由的跳數、路徑的延遲和負載狀況來進行對每個訪問發起點的就近性運算,選擇最佳的流入流量傳輸路徑,進行最終的解析地址。
優化就近性檢測方法:可根據各個環境的獨特需要方便地自定義就近性檢測方法。這種自定義包括多種操作,比如增加分配給動態就近性表的內存、更改動態就近性表的內容有效期、為Radware 就近性設備提供DNS 名稱以及僅使用靜態就近性表等。
流量分組
流量分組使得LinkProof可以根據不同類型的流量而選擇不同的鏈路。網絡管理員可以根據目標地址、源地址和應用類型定義流量組。這使得流量分配更加靈活和方便。
3.提高抵抗攻擊的能力
Radware Linkproof 在加載了SYNAPP II/III后,可以有效地防御黑客入侵及抵抗DDOS 攻擊。應用安全模塊可以保護 web 服務器免受 1400 多個攻擊信號的攻擊。此模塊的設計使它可以作為 Radware 設備管理的各種資源前面的另一道防線,這些資源包括服務器、防火墻、cache 服務器或者路由器。此模塊使用網絡信息和基于信息的應用。通過終止所跟蹤的可疑會話來實時檢測和阻止攻擊。在任何管理設備上都不需要使用軟件代理。
FireProof ―實現防火墻負載均衡和IDS的負載均衡
1.高可靠的容錯與冗余確保最長運行時間
2.獨特的負載均衡算法確保防火墻的最佳性能
3.最大化性能的虛擬專用網絡
4.高可擴展性可以有效保護投資
5.通過應用交換實現有效的防火墻管理
6.全程路徑連通性檢測
7.應用交換體系結構確保增強性能
8.實時、高性能的應用級別安全性
9.拒絕服務攻擊防范功能
10.安全的服務可見性和控制
11.千兆位元速度的入侵攔截服務
12.提供了具有容錯性和可擴展的入侵檢測的功能。
Radware CID解決方案的優勢
1.高可用性
高可用性的內容檢查功能:高可用性的內容檢查功能提供了容錯防病毒掃描和對惡意內容的不間斷防范。CID 可監視防病毒網關和URL 設備的健康狀況,檢測實時故障并將流量復位向到性能最佳的資源,從而確保了內容安全性服務的完全可用性和不停機操作。
2.高性能
千兆位元速度的防病毒服務
內容預選功能
3.高擴展性
高度可擴展的防病毒服務
組合式的防病毒服務支持:
4.完全的安全性
基于策略的流量管理
千兆位元速度的入侵檢測和DoS 防范
全方位監視防病毒服務 Radware 網絡應用系統負載均衡解決方案優勢
Radware的網絡應用系統負載均衡解決方案提高了網絡應用系統的可靠性。
Radware WSD為了確保系統應用的可靠性,采用以下幾種手段:
1.健康檢查
? ? ? ? ? ? ? ? IP/TCP 層(3 層到 4 層)監視
應用層(7 層)監視
內容監視
Scripting 工具
先進的全程監視
WSD設備的冗余
服務器的平滑停機
服務器的逐漸開機
2.Radware的網絡應用系統負載均衡解決方案提高了網絡應用系統的性能
Radware WSD 為了確保系統應用的高性能,采用了以下手段:
? ? ? ? 本地服務器的負載均衡
基于URL的負載均衡
基于內容的負載均衡
本地同全局服務器結合的負載均衡
3.Radware的網絡應用系統負載均衡解決方案提高了網絡應用系統的安全性
Radware WSD為了確保系統應用的安全性,在負載均衡設備上可以集成安全防護的功能模塊,來防御針對應用的攻擊。面對日益嚴峻的網絡安全形勢,Radware借助其在內容交換領域的技術優勢,實現了基于高速交換機的入侵防范解決方案。WSD的SynApps應用安全模塊能夠實時偵測和阻止1400多種的黑客惡意攻擊和常見的惡性病毒,確保網絡資源的安全,并支持用戶自定義和實時更新的能力。
CT100 ―實現SSL加解密和HTTP/HTTPS加速
Radware 的SSL加速解決方案采用了WSD+CT 100 的方式, 其中四層交換機WSD位于路徑中間,而SSL加速設備CT100位于旁路的位置。Radware的CertainT 100能夠在不降低網絡性能的情況下為用戶提供快速的SSL交易。CertainT 100 SSL加密/解密功能與Radware的流量管理解決方案相結合,在動態增強網絡性能的同時能夠確保高效、連續和安全的完成電子商務交易。
第二篇:網絡印刷整體解決方案
網絡印刷整體解決方案
背景
近年來隨著互聯網行業的飛速發展,以及市場對電子商務的熟悉及認可,網絡印刷也越來越多地被市場認同。僅淘寶網每年的印刷業務量就高達28億元,加上大宗電子商務印刷實現總產值超過400億。其中以商務短版印刷為主。憑借計算機技術的發展以及網絡電子商務的普及,網絡印刷正以每年超過200%速度遞增,預計2012年底全國網絡印刷占比將達到8%。歐美電子商務印刷起步較早,占整個印刷行業的比例高達78%,并開始朝著個性化、數字化、立體化方向發展。
印刷企業面臨多重挑戰:
1、反復報價、售前工作量繁重。
2、成交率低、報價單和成交量比例嚴重失衡。
3、文件傳輸工作混亂。
4、市場需求模糊,屬于被動型銷售,業務量過山車變化。
5、客戶管理失控(容易出現飛單現象)。
簡介
協發網絡印刷系統是協發網(深圳市協發科技有限公司)針對印刷、廣告、設計行業推出的網絡印刷整體解決方案。它涵蓋了網絡印刷自助報價、在線下單與訂單管理、在線名片設計、在線上傳文件、在線交流、會員管理、發貨單管理等印刷中的絕大部分環節。協發網絡印刷系統是互聯網與傳統印刷行業相結合的產物。
系統優勢
協發網絡印刷系統提供四大工具可以助力印刷企業實現質的飛躍:
一、印刷自助報價。
二、在線設計。
三、完善的訂單流程
四、完善的客戶管理。
總之,以自助報價為基礎,以在線設計為導引,加上完善的訂單流程和客戶管理,構筑網絡印刷核心競爭優勢。
系統組成與功能
1、協發印刷自助報價系統:
只需選擇或輸入印刷品相關的紙張尺寸、紙張類型、印刷色彩、過膠、UV、啤型、裝訂等各種不同的參數要求,協發印刷自助報價系統就能自動算出成品印刷價格。由于印刷品種類繁多,不同種類的報價計算方式差異很大,因此協發印刷自助報價系統同時支持多種常用類別印刷品報價,通常包括:名片、賀卡、彩頁單張、畫冊、快印、封套、紙袋、PVC卡、信封、信紙、聯單、餐臺紙、酒水牌、彩色不干膠、專色不干膠、菜譜、膠袋、掛歷、臺歷、環保袋等。用于前臺用戶來說,無需下載安裝任何軟件或插件,所有的報價通過瀏覽器可以輕松實現。
協發印刷自助報價系統
2、協發在線名片設計系統
傳統名片設計一般需要專業設計人員使用專業名片設計軟件如Coredraw,Photoshop等進行。隨著互聯網和網絡印刷的發展,出現了協發在線名片設計系統,無需專業知識和技能,無需安裝任何專業軟件或插件,通過瀏覽器即可輸入、移動文字、上傳圖片或背景,并實現“所見即所得”,輕松完成名片設計。
協發在線名片設計系統具有如下優勢:
1、輕松設計,高效實用。無需專業知識和技能,通過大量的分類模版和完善的在線名片設計功能,普通用戶可以輕松設計出專業水準的名片。
2、使用方便,安全可靠。無需安裝任何專業軟件或插件,一切都在瀏覽器上完成。用戶只要能上互聯網,即可輕松完成設計,且無需擔心病毒軟件或插件。
3、可自動直接生成印刷用的pdf文件和JPG縮略效果圖。通過和網絡印刷系統的對接,印刷公司可為客戶提供極有競爭力和高用戶粘性的服務。
4、完全兼容Internet Explorer(IE,包括以IE為內核的其它瀏覽器,如360瀏覽器、搜狐瀏覽器等)、Chrome、FireFox(火狐)等各主流瀏覽器。
5、支持模版分類與數量無限擴充。
6、通過協發在線名片設計系統,印刷公司可為客戶提供具有獨特競爭力的服務,以開創彩色名片印刷的藍海,避免陷入低層次價格戰。
7、支持百度賬戶、QQ賬戶等開放平臺賬戶直接登錄,無需另外注冊。方便用戶,并直接吸引各開放平臺現有的海量用戶,讓網站流量和客戶暴漲。
8、具有完整豐富的在線設計功能,包括文字、圖片、背景、線條、色塊、文本分行與整體移動,完全由用戶自主控制,是當前技術最先進的在線名片設計系統。而不是像有些簡單的“系統”只能改文字,其它都是不能變的。
9、模塊化結構,可靈活擴充。可以很方便的升級到完整的協發網絡印刷系統,也可以和印刷公司現有的網站對接。
協發在線名片設計系統模板及分類
協發在線名片設計系統設計界面
3、協發在線文件智能傳送系統
協發文件智能傳送系統是一種針對經常性大量電子文件傳送需求(如印刷、廣告、菲林輸出等行業)開發的在線系統。它可以讓用戶通過互聯網在線上傳文件,服務器端自動接收并智能分類管理,并自動推送到指定電腦終端,從而實現7*24小時無人值守文件傳送與接收功能。
4、協發在線訂單管理系統
協發在線訂單管理系統提供在線下單、訂單狀態追蹤等功能。
5、協發發貨單管理系統
協發發貨單管理系統提供自動根據訂單(可多個訂單自動合并)生成發貨單、快遞單打印等功能。
6、協發在線交流系統
協發在線交流系統提供雙向在線反饋交流的功能。
第三篇:企業網絡建設整體解決方案
大型企業網絡工程解決方案,本方案是一個典型的實際工程可以根據需要和可能,參照此方案靈活應用。
一、企業網絡設計(1)主干網設計
采用千兆以太網技術。千兆以太網技術特點是具有高速數據傳輸帶寬,基本能滿足高速交換及多媒體對服務質量的要求。易于網絡升級、易于維護、易于管理,具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時采用9/125單模光纜;百兆傳輸距離2000m以內采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
交換機。主干交換機的基本要求:機箱式結構,便于擴展;支持多種網絡方式,如快速以太網、千兆以太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心機房配置企業級交換機作為網絡中心交換機。為實現網絡動態管理和虛擬局域網,在中心交換機上配置第三層交換模塊和網絡監控模塊。主干各結點采用1000Mbps連接,服務器采用雙網卡鏈路聚合200Mbps連接,客戶采用交換式10/1000Mbps連接。(2)樓宇內局域網設計
要求采用支持802.1Q的10/100Mbps工作組以太網交換機,交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機,使10/100Mbps流量接至桌面。(3)接入Internet設計
Internet接入系統由位于網絡中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火墻、路由器、Internet光纖接入組成。(4)虛擬局域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信采用三層路由交換完成。
各工作組交換機采用基于端口的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆以太網上聯端口上設置802.1Q協議,設置通信干道(Truck),將每個VLAN的數據流量添加標記,轉發到主干交換機上實現網絡多層交換。(5)虛擬專用網VPN設計
如果公司跨地區經營,自己鋪設專線不劃算,可以通過Internet采用VPN數據加密技術,構成企業內部虛擬專用網。(6)網絡拓撲結構。這部分待續
二、網絡安全性設計
網絡系統的可靠與安全問題:
a.物理信息安全,主要防止物理通路的損壞和對物理通路的攻擊(干擾等)。
b.鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被GG。主要采用劃分VLAN、加密通信等手段。
c.網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。
d.操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
e.應用平臺的安全要求保證應用軟件服務,如數據庫服務、電子郵件服務器、Web服務器、ERP服務器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、制冷要合適,環境要清潔。
從工作站到配線柜的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害后的恢復流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢復。
(2)防火墻
防火墻應具管理簡單、功能先進等特點,并且能夠保證對所有系統實施“防彈”保護。一個優秀的防火墻具有內網保護、靈活的部署、非軍事區(DMZ)范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網絡地址翻譯、VPN等功能。
(3)網絡病毒
在網絡中心主機安裝一臺網絡病毒控制中心服務器,該服務器既要與Internet相連,又要與企業內網相連。該服務器通過Internet每每更病毒代碼及相關文件,企業內部網絡中的服務器、客戶時刻處于網絡病毒控制中心服務的監控下,更新本機的病毒代碼庫及相文件,對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略,以確保網絡系統安全。
(4)網絡容錯
集群技術。一個服務器集群包含多臺擁有共享數據存儲空間的服務器,各服務器之間通過內部局域網進行相互通信。當其中一臺服務器發生故障時,它所運行的應用程序將由其他的服務器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一臺服務器都可被所有的網絡用戶所使用。
(5)安全備份與災難恢復
企業信息管理最重要的資產不是網絡硬件,而是網絡運行的數據。
理想的備份系統是在軟件備份的基礎上增加硬件容錯系統,使網絡更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網絡的一套備份體系。備份應包括文件備份和恢復,數據庫備份和恢復、系統災難恢復和備份任務管理。
(6)網絡入侵檢測、報警、審計技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
(7)局域網信息的安全保護技術
密碼采用9位以上,每周修改1次
采用多層交換網絡的虛擬網劃分技術,防止在內部網監聽數據
采用NTFS磁盤分區加密技術,使網上鄰居只能是信任用戶
采用Windows域控制技術,對網絡資源實行統一管理
采用SAN(Storage Area Network存儲區域網絡)與NAS(Network Attached Storage網絡連接存儲)保護數據。
SAN技術允許將獨立的存儲設備連接至一臺或多臺服務器,專用于服務器,而服務器則控制了網絡其他部分對它的訪問。
NAS將存儲設備直接連接至網絡,使網絡中的用戶和網絡服務器可以共享此設備,網絡對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網絡代理
采用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
采用具有過濾技術郵件管理系統,一般是針對“主題詞”、“關鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
(10)重視網絡安全的教育,提高安全意識。
三、綜合布線與機房設計
1.把服務器、UPS、防火墻、路由器及中心交換機放置在中心機房,把各子系統的配線柜設置在各子系統所在的樓層。
2.樓宇間光纜敷設
采用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3.樓宇內UTP布線
采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4.機房裝修
(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)墻面。涂刮防防瓷、墻壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。采用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電采用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小于1Ω、工作保護地和防雷地接地電阻小于4Ω。為保證優良的接地性能,采用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P柜機;分機房1.5壁掛式空調機。
5.UPS后備電源。
采用分散保護,集中管理電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用系統
1.應用服務器。IBM服務器首選,當然,也可以采用高檔PC機,PC機的優點是便于更新換代。
2.軟件平臺。采用Windows 2003(主要使用Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上運行Oracle數據庫,SAP/R3系統,基于Lotus Domino/Notes的OA系統)
3.數據庫系統。采用Oracle大型數據庫,或SQL Server2000數據庫。
4.OA辦公系統。基于Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5.企業管理綜合軟件ERP。采用SAP/R3系統,一步解決未來企業國際化問題;或是用友ERP—U8系統。
6.網絡存儲系統。
五、網絡系統管理
1.交換機、路由器管理。設備均是Cisco產品,使用Cisco Works 2000。
2.網絡綜合管理。HP OpenView集成網絡管理和系統管理。OpenView 實現了網絡運作從被動無序到主動控制的過渡,使IT部門及時了解整個網絡當前的真實狀況,實現主動控制。OpenView系統產品包括了統一管理平臺、全面的服務和資產管理、網絡安全、服務質量保障、故障自動監測和處理、設備搜索、網絡存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。LanDesk工作站配置和管理工具,利用它的遠程控制、遠程軟件分發和軟件計量功能可以節省大量的時間。本方案是一個典型的大型企業網絡工程解決方案,實際工程可以根據需要和可能,參照此方案靈活應用。
一、企業網絡設計
(1)主干網設計
采用千兆以太網技術。千兆以太網技術特點是具有高速數據傳輸帶寬,基本能滿足高速交換及多媒體對服務質量的要求。易于網絡升級、易于維護、易于管理,具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內采用50/125多模光纜;千兆傳輸距離大于500m、小于5000m時采用9/125單模光纜;百兆傳輸距離2000m以內采用50/125多模光纜;百兆傳輸距離大于2000m采用9/125單模光纜。
交換機。主干交換機的基本要求:機箱式結構,便于擴展;支持多種網絡方式,如快速以太網、千兆以太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心機房配置企業級交換機作為網絡中心交換機。為實現網絡動態管理和虛擬局域網,在中心交換機上配置第三層交換模塊和網絡監控模塊。主干各結點采用1000Mbps連接,服務器采用雙網卡鏈路聚合200Mbps連接,客戶采用交換式10/1000Mbps連接。
(2)樓宇內局域網設計
要求采用支持802.1Q的10/100Mbps工作組以太網交換機,交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機,使10/100Mbps流量接至桌面。
(3)接入Internet設計
Internet接入系統由位于網絡中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火墻、路由器、Internet光纖接入組成。
(4)虛擬局域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信采用三層路由交換完成。
各工作組交換機采用基于端口的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆以太網上聯端口上設置802.1Q協議,設置通信干道(Truck),將每個VLAN的數據流量添加標記,轉發到主干交換機上實現網絡多層交換。
(5)虛擬專用網VPN設計
如果公司跨地區經營,自己鋪設專線不劃算,可以通過Internet采用VPN數據加密技術,構成企業內部虛擬專用網。
(6)網絡拓撲結構。這部分待續
二、網絡安全性設計
網絡系統的可靠與安全問題:
a.物理信息安全,主要防止物理通路的損壞和對物理通路的攻擊(干擾等)。
b.鏈路層的網絡安全需要保證通過網絡鏈路傳送的數據不被GG。主要采用劃分VLAN、加密通信等手段。
c.網絡層的安全需要保證網絡只給授權的客戶使用授權的服務,保證網絡路由正確,避免被攔截或監聽。
d.操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
e.應用平臺的安全要求保證應用軟件服務,如數據庫服務、電子郵件服務器、Web服務器、ERP服務器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、制冷要合適,環境要清潔。
從工作站到配線柜的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害后的恢復流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢復。
(2)防火墻
防火墻應具管理簡單、功能先進等特點,并且能夠保證對所有系統實施“防彈”保護。一個優秀的防火墻具有內網保護、靈活的部署、非軍事區(DMZ)范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網絡地址翻譯、VPN等功能。
(3)網絡病毒
在網絡中心主機安裝一臺網絡病毒控制中心服務器,該服務器既要與Internet相連,又要與企業內網相連。該服務器通過Internet每每更病毒代碼及相關文件,企業內部網絡中的服務器、客戶時刻處于網絡病毒控制中心服務的監控下,更新本機的病毒代碼庫及相文件,對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略,以確保網絡系統安全。
(4)網絡容錯
集群技術。一個服務器集群包含多臺擁有共享數據存儲空間的服務器,各服務器之間通過內部局域網進行相互通信。當其中一臺服務器發生故障時,它所運行的應用程序將由其他的服務器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一臺服務器都可被所有的網絡用戶所使用。
(5)安全備份與災難恢復
企業信息管理最重要的資產不是網絡硬件,而是網絡運行的數據。
理想的備份系統是在軟件備份的基礎上增加硬件容錯系統,使網絡更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網絡的一套備份體系。備份應包括文件備份和恢復,數據庫備份和恢復、系統災難恢復和備份任務管理。
(6)網絡入侵檢測、報警、審計技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
(7)局域網信息的安全保護技術
密碼采用9位以上,每周修改1次
采用多層交換網絡的虛擬網劃分技術,防止在內部網監聽數據
采用NTFS磁盤分區加密技術,使網上鄰居只能是信任用戶
采用Windows域控制技術,對網絡資源實行統一管理
采用SAN(Storage Area Network存儲區域網絡)與NAS(Network Attached Storage網絡連接存儲)保護數據。
SAN技術允許將獨立的存儲設備連接至一臺或多臺服務器,專用于服務器,而服務器則控制了網絡其他部分對它的訪問。
NAS將存儲設備直接連接至網絡,使網絡中的用戶和網絡服務器可以共享此設備,網絡對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網絡代理
采用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
采用具有過濾技術郵件管理系統,一般是針對“主題詞”、“關鍵字”、“地址(IP、域名)”等信息過濾,防止非法信息的侵入。
(10)重視網絡安全的教育,提高安全意識。
三、綜合布線與機房設計
1.把服務器、UPS、防火墻、路由器及中心交換機放置在中心機房,把各子系統的配線柜設置在各子系統所在的樓層。
2.樓宇間光纜敷設
采用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3.樓宇內UTP布線
采用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4.機房裝修
(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)墻面。涂刮防防瓷、墻壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木制窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。采用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電采用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小于1Ω、工作保護地和防雷地接地電阻小于4Ω。為保證優良的接地性能,采用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P柜機;分機房1.5壁掛式空調機。
5.UPS后備電源。
采用分散保護,集中管理電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用系統
1.應用服務器。IBM服務器首選,當然,也可以采用高檔PC機,PC機的優點是便于更新換代。
2.軟件平臺。采用Windows 2003(主要使用Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上運行Oracle數據庫,SAP/R3系統,基于Lotus Domino/Notes的OA系統)
3.數據庫系統。采用Oracle大型數據庫,或SQL Server2000數據庫。
4.OA辦公系統。基于Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5.企業管理綜合軟件ERP。采用SAP/R3系統,一步解決未來企業國際化問題;或是用友ERP—U8系統。
6.網絡存儲系統。
五、網絡系統管理
1.交換機、路由器管理。設備均是Cisco產品,使用Cisco Works 2000。
2.網絡綜合管理。HP OpenView集成網絡管理和系統管理。OpenView 實現了網絡運作從被動無序到主動控制的過渡,使IT部門及時了解整個網絡當前的真實狀況,實現主動控制。OpenView系統產品包括了統一管理平臺、全面的服務和資產管理、網絡安全、服務質量保障、故障自動監測和處理、設備搜索、網絡存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。LanDesk工作站配置和管理工具,利用它的遠程控制、遠程軟件分發和軟件計量功能可以節省大量的時間。
第四篇:石化企業網絡整體解決方案
石化企業網絡整體解決方案
發揮作用
關鍵詞:網絡 方案 石化企業
隨著科技的迅猛發展,石化企業越來越廣泛地采用信息技術,使其成為挖潛增效、贏得市場競爭勝利的重要途徑。網絡整體解決方案是石化企業信息化工程的重要基礎設施,其目標是建設一個先進、可靠、安全的信息通信平臺,支
持數據、話音和圖像交換,實現傳真、圖片和電視會議等多種通信業務,覆蓋所有網絡應用,并具有完備的網絡管理系統,能為用戶建立面向未來的信息高速公路。
一石化企業網絡建設目標
1.石化企業流程特點
石化以原油和天然氣為主要原料,生產出燃料、潤滑油、石蠟等產品,滿足社會需要,同時謀求企業最大經濟效益。其流程是連續生產,規模宏大,由許多內部復雜關聯的單元操作模塊組成,單元模塊間由物料流、能量流及設備的相互連接而組成不同石化過程流程。
2.石化企業數據分類
石化企業網上數據,總體上包括:工藝流程數據、油品質量數據、油品罐存數據、公用工程數據、設備管理數據、經營管理數據和辦公自動化數據等。特別是現場生產數據,實時性很強,要求較高通信速率,一般在幾秒內刷新幾千點以上的實時數據。工業電視監控系統視頻則要求每秒25幅畫面以上的通信速率,才能保證良好的畫面效果。
3.光纜覆蓋企業全部區域
到目前為止,石化企業的計算機應用,一般都走過了起步、探索和發展3個階段,經歷了單項開發、微機局域網和管理信息系統建設3個過程。在此基礎上的網絡整體解決方案,光纜敷設一定要覆蓋企業全部區域,才能充分發揮出計算機信息系統在企業生產經營和管理決策上實實在在的重要作用,使企業管理模式有一個較大變革。
4.完成生產和管理各項服務職能
石化企業網絡建設目的,是搭建信息應用平臺,為生產和管理構造一個適應競爭發展的模式,最大限度提高經濟效益。在這個宏觀思想指導下,所建立起來的網絡系統須能支持完成生產和管理各項服務職能,如生產管理、工藝管理、計劃管理、計量管理、財務管理、設備管理、儲運管理、工程管理、銷售管理、工業電視、視頻會議、流程模擬、過程控制優化、電子商務、辦公自動化和決策支持等。
5.滿足企業CIMS和ERP建設需要
網絡系統是石化企業信息化建設的重要基礎設施,應從企業全局出發,建成一個高起點、有水平、方便使用和管理、易于升級的網絡系統,以期滿足企業CIMS和ERP建設需要。其建設原則應定位在:統籌規劃,分步實施;集中建設,分級管理;共同開發,資源共享;不斷優化,滾動發展。
二石化企業網絡建設方案
1.網絡設計原則
由于網絡技術發展十分迅速,產品更新換代日趨縮短,所以方案設計時須采用先進、成熟技術,確保網絡結構、設備和軟件具有較長生命周期,保護用戶投資。同時,要兼顧產品性價比,以適應石化企業信息應用發展需要。網絡應充分設計的重要因素:(1)網絡實施可行性;(2)性能優異性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。
2.主干網類型
主干網連接各部門局域網網段,連接企業級服務器及各種遠程網絡設備,負責處理網間數據量傳輸,是石化企業全網數據交換樞紐。為此,要求主干網具有高速交換數據能力、良好技術升級特性和較強穩定可靠性,同時支持多種網絡環境、通用網管協議和向未來網絡技術平滑過渡。網絡主干設計不僅要考慮結構合理,有利于網絡分段(分組)、性能優化和安全控制,同時還要考慮原有網絡基礎設施的充分利用,方便日常維護。目前,石化企業主干網的選型,多以ATM和星型結構的千兆快速以太網為主流。
3.網絡模型確定
網絡模型是指在確定網絡(以太網、FDDI、ATM、快速以太網絡等)技術以及網絡速率基礎上,網絡設備、網段的連接方式。就石化企業來說,分公司和下屬二級生產企業的信息點總和約幾千點,大體可分成3層:第一層為核心層,位于分公司計算機中心機房;第二層為中心層,位于下屬二級企業計算機中心機房;第三層為接入層,包括分公司機關處室、下屬二級企業管理部門及車間辦公室和儀表控制室。核心層是網絡高速交換主干、整個分公司信息管理樞紐,應具有高性能、高可靠性和3層交換的能力。中心層是下屬二級企業生產數據管理中心,應具有較強數據交換能力,支持3層交換,基本解決二級企業路由,使二級企業信息管理相對
獨立,同時減少了分公司核心交換機數據處理壓力。接入層為最終用戶,是10/100M交換式以太網端口到桌面。
二級企業網絡又可分成多級節點拓撲結構:其計算中心為中心節點;1000M主干抵達地為一級節點;企業領導層、單獨組網的主要處室(如財務處、機動處、銷售處、人事勞資處等)和車間辦公室為二級節點;非獨立組網的機關處室、儀表
室和車間下屬各組為三級節點。節點選擇原則有3條:重要程度、地理位置、所管理工作站數量。
對石化企業來說,生產管理的一個十分顯著特點,是需實時監控生產裝置的流程參數和動態了解公用工程物料能耗數據。對儀表室DCS和微機監測系統采集信息的上網,應通過單設的工控機實現,目的是為避免網絡部分閃失給生產裝置造成不良影響。DCS、微機監測系統和工控機間的數據交換,在軟件上通過DDE或OPC實現。
4.網絡拓撲結構
地區石化企業網絡拓撲結構一般分為兩層:分公司層和下屬分廠層。分公司層用于構造分公司機關信息系統網絡平臺;組建連接下屬各分廠的網絡管控中心;負責和中石油、Internet對外的統一接口。而下屬分廠層,作為分公司整體網絡組成部分,則應充分滿足分廠和分公司信息化的全部需求。其具體網絡拓撲結構見圖所示。
5.網絡設備選型
網絡設備(交換機、集線器、路由器、接口卡和網管軟件等)的選擇原則,是依據石化企業網絡拓撲結構要求,參照其功能、性能、容量和價格等綜合因素而確定。
在這一網絡設備選擇原則的指導下,建議選用主流網絡設備廠家Cisco和3COM公司產品,因其都擁有全線網絡產品,性價比良好,有著強大技術支持和售后服務能力,并對網絡擴展和升級不存在后顧之憂,不僅能使石化企業有效解決網絡應用問題,且可降低維護成本,提升企業管理水平。以選用Cisco網絡產品為例:分公司核心層主交換機可選用Cisco6000系列產品(如Cisco6506);二級企業中心層主交換機可選用Cisco4000系列產品(如Cisco4006),一級節點網絡設備可采用Cisco2900系列產品(如Cisco2912、2924、2948),二級和三級節點可采用Cisco2950等網絡設備。
6.網絡服務器選擇
服務器的選擇對一個網絡系統來說至關重要,它應具有較強穩定性、可靠性、保密性和安全性,同時方便操作和維護,充分考慮系統的擴充和發展。一般來說,系統主服務器可采用檔次較高的SUN服務器,其他如生產(實時)數據服務器、Domino(辦公自動化)服務器、代理服務器、域名服務器和撥號服務器等則可采用HP服務器。撥號服務器功能主要用于企業內部臨時性辦公地點以及領導外出工作時上網之用,通過Modem與撥號路由器實現撥號上網的用戶對企業內部網絡的訪問。
7.域名的劃分
傳統域名的劃分采用WindowsNT中WI和D相結合的方式,為系統每臺設備都設置域名,不僅增加網絡廣播信息流量,加重網絡負擔,降低網絡性能,且不利于域名系統的維護。現在修正如下:(1)按照分公司規定域名劃分方法進行廠級域名規劃;(2)取消WI系統;(3)不對分廠級以下的系統進行域名設置。
8.IP地址的分配
IP地址的劃分采用分公司分配的IP地址段,分廠在此基礎上進行IP地址的分配。IP地址是企業寶貴的計算機軟資源,其合理劃分對于網絡性能優化、安全管理、正常維護都具有重要意義。IP地址的劃分,必須在對網絡進行全面調研的基礎上,根據網段/子網劃分原則、網絡安全需求以及未來發展進行科學設計。
9.與Internet連接
隨著Internet技術的飛速發展和普及,企業如何通過建立自己的Internet/Intranet來獲得豐富的信息資源,更好服務于生產經營,以獲得更大利潤,現已變得越來越迫切,訪問Internet事實上已成為石化企業網絡功能的重要組成部分。與Internet連接,是由接入路由器、防火墻和入侵監測設備組成。為統一管理,Internet對外出口應設在分公司,由其信息中心統一控制和配置資源。分廠作為分公司下屬生產企業,它與因特網的連接是通過分公司寬帶出口實現的。Internet用戶的開戶管理和郵件管理等,也統一納入分公司管理之下,由其信息中心來控制具體實施。如有必要,下屬分廠也可根據信息中心統一劃分的網段地址建立自己的動態地址分配服務器(DHCP)。
10.網絡管理軟件
網絡管理是確保網絡正常工作的重要手段,它決定某一特定段信息量,管理一個應用應怎樣使用客戶內存,以至跟蹤某臺特定設備的工作是否正常。網絡管理一般包括流量、應用程序和設備管理。如Cisco網管軟件CiscoView,能出色地承擔起網絡管理職能;3COM公司Tracend網管軟件,也可為該公司的互連設備提供動態網絡配置信息和運行狀態信息,具有強有力的監視功能。
11.防火墻和防病毒
確保網絡安全的基本方法是采用防火墻。簡單講,防火墻是用來控制信息流,通常防火墻都設置在網絡基礎設施的入口或出口。目前有3類包含不同過濾特性的防火墻:包過濾、網絡過濾和應用網關。在確定選擇防火墻時,應首先檢查環境中可用的信息流控制,主要指通信方向、通信來源、IP地址、端編號、認證和應用內容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墻產品,都具有相當好保護性能,用以保護整個網絡業務資源。防火墻設置應由分公司統一設置。
計算機病毒給網絡應用帶來了相當大的威脅,在網絡環境中的防病毒措施與在單機環境下有著很大程度的不同。在網絡系統中,須根據對病毒流入網絡系統根源的分析,制定全方位、多平臺網絡防病毒方案。目前部分石化企業采用網絡版NortonAntiVirus(企業版),定時對全網絡用戶查毒殺毒,收到較好效果。
12.數據備份
石化企業的生產、經營、管理和決策數據大都存儲在網絡環境的服務器中,網絡數據安全性極為重要,一旦被破壞或丟失,將對企業正常運行帶來重大影響,甚至造成難以彌補的損失。因此,數據備份是網絡建設中不可缺少的組成部分。在傳統磁帶數據備份基礎上,適時推出的NAS(網絡連接存儲)和SAN(存儲區域網絡)技術,正成為網絡數據備份的主流。
三石化企業網絡建設環境
1.機房環境設計
好范文版權所有
(1)溫度:夏季22℃±2℃,冬季20℃±2℃;(2)濕度:45~65;(3)照明:距地面0.8m處>300Lx;(4)噪聲:<70db;(5)電磁:≯800A/m。
2.系統供電設計
(1)電壓波動范圍-5~ 5,頻率變化范圍-0.2Hz~ 0.2Hz,波形失真率≤±5;(2)采用U,其容量選用設備容量之和的1.5倍。
3.系統防雷擊設計
需配置有效的防雷擊隔離器(GB50174-93計算機機房防雷設計規范)。
4.接地設計
(1)交流工作地的接地電阻≯4Ω(2)安全保護地的接地電阻≯4Ω(3)信號地和屏蔽地的接地電阻≯3Ω(4)防雷保護地的接地電阻≯4Ω。
四石化企業網絡建設實施
1.符合實際的路由設計
符合實際的路由設計是企業網絡系統成功的基礎。路由設計是一件十分細致的工作,在大量和反復調研基礎上,完成詳盡的文檔,包括路由走向圖和路由明細表。它遵照網絡拓撲結構的具體要求,結合企業地理環境的具體情況,因地制宜地采取合理路由方式。路由設計首先考慮利用現有電話通信水泥管井,然后利用儀表和計量槽盒,最大限度減少地下直接掩埋或架空敷設。
2.采用結構化布線
先進的網絡系統很重要的一點體現在網絡的結構化、合理化、規范化上,以免制約企業網向更高層次的網絡建設發展。石化企業網絡一般分為建筑群間和樓內布線。公司和分廠之間,以及廠區內的主干,采用光纜;辦公樓以及車間內部,鋪設超五類雙絞線。光纜敷設要根據現場實際情況因地制宜采取合理方式。在網絡介質選擇上,1000M主干采用單模光纖,其他網段采用多模光纖,為保證網絡安全和可靠運行,單模光纖使用6芯(2/3作為備用),多模光纖使用4芯(1/2作為備用)。
3.充分利用原有網絡資源好范文版權所有
石化企業的計算機應用工作起步較早,各單位網絡建設也都實現了不同程度的應用。現在所提出的網絡整體方案,一定要考慮充分利用原有網絡資源。其利用是多方面的,光纜、用戶工作站、集線器都可利用,交換機也可降級利用。這不僅僅是資金上的節省,而且也是人們心理上的期望。
4.工程組織和實施
(1)組織管理
項目工程領導小組、光纜敷設管理小組、網絡性能優化管理小組、網絡安全實施管理小組、文檔資料管理小組。
(2)進度安排
設備采購、光纜敷設、設備安裝與調試、系統聯調及試運行、系統性能技術測試、交付文檔資料、項目驗收。
(3)質量管理
(a)項目工程領導小組,負責項目方案敲定、人員安排、進度掌握和甲乙雙方間的協調;
(b)光纜敷設管理小組,負責光纜敷設,確保工程遵循技術規范、按照進度時間要求完成施工;
(c)網絡性能優化管理小組,負責工程竣工前對網絡性能測試,并進行優化調試;
(d)網絡安全實施管理小組,負責實施網絡安全策略,實現防火墻和防病毒的落實,確保網絡安全和保密;
(e)文檔資料管理小組,負責提供完整和實用的文檔資料,以備網絡日常的管理和維護。
(4)費用預算
光纜及網絡交換設備費用、光纜敷設工程費用、網絡管理軟硬件費用、網絡安全管理軟硬件費用、網絡防病毒軟硬件費用、網絡性能測試費用。
(5)技術培訓
(6)測試驗收
(7)文檔資料
工程進度一覽表、網絡拓撲結構圖、光纜敷設路由設計圖、網絡域名劃分表、網絡IP地址分配表、硬件接線明細表、光纜布線工程測試報告。
第五篇:機房整體解決方案
整體機房解決方案
第1章系統概述
1.1前言計算機機房需要實現以下功能:
?為辦案大樓內網絡和計算機設備提供符合要求的精密運行環境和安裝場地?為監控管理人員提供統一的操作維護平臺
?對辦案大樓內所有智能化相關硬件設備進行監控
?統一供給管理中心服務器、監視器及其它各個子系統相關的硬件設備所需的電源?對各信號進行切換、處理及備份
?輸出各類控制信號
?接收各類信號并顯示和處理
?內部通信聯絡
為了保證機房對溫度、濕度、潔凈度、風速度、電磁場強度、電源質量、噪音、照明、振動、防火、防盜、防雷、屏蔽和接地等要求。我公司結合多年來在機房工程設計和施工中的經驗,旨在通過提供模塊化的整體機房解決方案,把計算機機房建設過程作為端到端網絡不間斷解決方案的重點工程項目,實現工業化、標準化的運作流程,提供信息系統物理運行環境的高可用性。
在物理概念上,整體機房方案包括機房裝修、供配電、UPS、防雷接地、空調新風、消防報警、弱電控制等所有機房涵蓋的系統;在工程意義上,大樓整體機房方案包含了從前期的規劃選址,中期的設計施工,到后期的調試開通,直至終身的維護服務;從實施角度上,整體機房整合了設備供應商、工程承包商和服務提供商。
1.2設計思想
在建設過程中機房各個子系統必須密切協作,使機房實現高可用性,達到使用預期。機房建設要通過高安全性、高可用性、高靈活性、機架化、節能性等方面的綜合考慮。
高安全性:最主要的是雷擊,據統計設備非自然損壞失占10~30%。其次是火災,其中又以電池為主,機房中50%的火災是由于電池起火引起的。另外還有水災,比如空調漏水等也是機房水災的一大起因。最后是非法進入,包括電腦的、人為的入侵。這些都是在機房建設中需要考慮的安全問題。
高可用性:提高平均無故障時間(MTBF),降低平均修復時間(MTTR),提高運維管理水平,把可用性提高到“5個9”的可用性水平,即年停機時間僅有5分鐘,達到99.999%。高靈活性:要能夠保證隨需應變,擴展、升級容易,并且占地面積小。
機架化:機架化有兩個概念,一個是機架定位單元(RLU),這需要事先確定控制中心的主要標準:中心可以支持多少設備,以及是否有能力來支持這些設備等。這是根據控制中心每個機架的運行需求得出的數字。一個機架根據其主要要求(電源、冷卻等)有特定的 RLU 值,而這些數字可以與其它同樣或類似的要求一起使用。在擁有各類設備的控制中心,RLU 定義一般不止一個。例如,在控制中心一個區域內的所有存儲機架可以被視為 RLU-A 機架,而所有服務器機架則為 RLU-B 機架。
模塊化:為視頻監控系統建立專用機柜以及專門監視墻控制臺,用于放置監視器組、控制處理設備及穩壓電源等;同時為背景廣播等其他獨立系統也建立專用機柜。機柜內的微環境才是所謂的“機房環境”。在某種程度上,至少在機房的物理空間層面上,機柜、以及電視墻、操作臺等確實可以理解為被“切割成模塊的機房”。節能性:機房的密封、絕熱、配風、氣流組織,這些方面如果設計合理將會降低空調的使用成本。另外,因為UPS輸入電流諧波成分應小于5%,所以UPS效率的提高能有效降低對電力的需求,從而達到節能的目的。
1.3設計原則
為了計算機機房建設成為一個具有先進水平的智能化控制管理中心,設計過程中遵循以下原則: 穩定性:機房系統性能穩定可靠。安全性:機房的建設應考慮對保密性的要求,網絡應該有強大的安全性機制和方法,能夠保護和隔離敏感性的信息和機密文件,能夠完全保證內部的安全性。在保密網線路上的電磁泄漏及受電磁干擾影響較少。實用性:機房系統對環境的需求。能兼容語音、數據、圖像的傳輸,并可與外部網絡連接。靈活性:開放式結構,能支持話音及多種計算機數據系統,應用上能支持會議電視、多媒體等系統的需要。擴充性:機房系統是可擴充的,以方便將來有更大的發展時,很容易將設備擴展進去。國際標準性及開放性
本工程采用了一些較為先進的技術及材料,旨在將本工程建設成為一個先進的信息數據處理中心。選用的技術及設備均以在以往的工程實踐中得到了檢驗,都能最大限度的滿足機房現有業務及未來發展的需要。在整體上具有高度的安全性及可靠性。
http://wenku.baidu.com/link?url=aF6z3r5UlLbXP5hgJLG8g5HlU9qwWn0BRKN_uc343Yn_7JqLDCHWXkIukb2R0UY4Zxj3t7A-BN_j6Xa0ELa2Mr8Ng--TssewauZ7HnOfiI_&from_mod=download
點擊咨詢 