企业IT架构设计
背景
集团经过多年的经营,公司业务和规模在不断发展,分支机构不断增长。只有通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。
楼宇智能化规划和建设方案:主要包括视频监控、门禁系统、语音和数据节点规划和布线、机房建设等。
企业IT基础架构规划和解决方案:主要包括企业局域网基础网络拓扑规划和网络设备选型、互联网接入和×××接入、IT硬件部署和选型、企业IT信息化基础软件系统规划和选型等。
本方案主要是针对集团企业IT基础架构进行规划,并提出解决方案和进行投资预算。
企业IT架构
企业IT基础架构部分进行规划,并提供选型和部署,关于企业IT业务应用系统部分的规划和建设方案。
网络系统规划
企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网需求:
1、建立安全的网络架构,总部与分支机构的网络连接;
2、安全网络部署,确保企业正常运行;
3、为分公司及出差的人员提供IPSec或者SSL的×××方式;
4、提供智能管理特性,支持浏览器图形管理;
5、网络设计便于升级,有利于投资保护。
企业组网结构如下图:
通过企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案具有以下特点:
1、网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。
2、用户可以采用多种的广域网连接方式,从而降低广域网链路费用。
3、无线接入点覆盖范围广、配置灵活,方便移动办公。
4、便捷、简单的统一通信系统,轻松实现交互式工作环境。
5、带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。
6、随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。
7、系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。
安全基础网络规划方案
根据集团的实际情况,企业的网络需求,以此来制定企业基础网络建设规划方案
1) 网络需求:
集团总部规划的网络节点为300个,主要的网络需求首先是资源共享,网络内的各个桌面用户可共享文件服务器/数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;还有就是公司门户网站和网络通信系统(视频会议、电话会议平台等)的建立。
2) 规划方案
200~300台电脑联网
1、SANGOR AF-1210-EX 防火墙(支持2路,应用层吞吐量300M,并发连结数50W,SSL ×××接入)
1、核心采用H3C S5500-28F交换机,以千兆双绞线/光纤与接入交换机, 连接服务器器交换机H3C S5120-28P;
2、用户接入H3C S3100-26TP和S3100-52TP交换机,千兆铜缆/光纤上连核心交换机。
设备选型和部署:
业务 |
需求 |
设备选型参考 |
配置说明 |
数量 |
部署位置 |
数据交换 |
核心交换机 |
H3C S5500-28F |
全千兆三层核心 |
1 |
机房 |
服务器交换机 |
H3C S5120-28P |
全千兆 |
1 |
机房 |
|
接入层交换机 |
H3C S3100-26TP H3C S3100-52TP |
接入层支持光电复用千兆上行, 支持混合堆叠 |
26TP:3台 52TP:6台 |
各楼层 |
|
安全 |
防火墙 |
SANGOR AF-1210-EX |
支持2路,应用层吞吐量300M,并发连结数50W,SSL ×××接入 |
1 |
机房 |
互联网接入 |
100M光纤接入 |
电信100M*2光纤接入 |
静态IP地址 |
1 |
机房 |
方案特点:
1、高性价比:能够让中小企业低投资拥有高性能、经济的网络;
2、简易性:结构简单、安装快速、简单,维护无需配置专职人员;
3、高性能:最低投资做到千兆骨干、百兆接入;
4、可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。
安全无线网络规划方案
无线网络的部署,能够增大员工接入网络的范围,提供更大的上网便利性--无论是在办公室、会议室,员工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能为合作伙伴/ 客户提供方便的上网服务。
1) 无线网络需求:
能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的无线部署。
2) 规划方案:
采用DI-7008W进行组网设备选型和部署:
业务 |
需求 |
设备选型参考 |
配置说明 |
数量 |
部署位置 |
无线 |
无线接入 |
DI-7008W |
双802.11g无线模块 |
6 |
各楼层 |
方案特点:
1、全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制;
2、大范围覆盖:高接收灵敏度,达到-97dBm(普通AP-95dBm),保证更远覆盖;
广域网互联×××规划
伴随企业和公司的不断扩张,公司分支机构及客户群分布日益分散,在×××方式下,×××客户端和设置在内部网络边界的×××网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时×××连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过×××方式,企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问,不但节省了大量的资金,而且具有很高的安全性。
1) 网络需求
IPSec ×××和SSL ×××各有所长,功能互补,对企业来说都是需要的:IPSec ×××用于总部和中大型分支互连,SSL ×××用于为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种×××,不仅成本更高,而且可能存在×××策略冲突,导致性能下降、管理困难。
2) 规划方案 融合×××针对企业的实际需要,一台设备融合IPSec / SSL两种×××,只需部署在总部,既可以用于为合作伙伴、出差人员提供远程网络访问,也可以和分支机构进行IPSec ×××互连,帮助企业降低采购、部署、维护三方面成本。
网络性能指标
类型 |
带宽要求 |
线路质量要求 |
局域网 |
客户端到服务器:100Mb 服务器:1000Mb |
丢包率小于0.1% 延迟小于20ms |
广域网 |
分支机构带宽:每客户端128Kb 总部出口带宽:(最大并发数/3)×128Kb,200M光迁(上行100M,下行200M) |
丢包率小于2% 延迟小于50ms |
网络安全规划
网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全包括:
1、网络边界安全需求
2、***监测与实时监控需求
3、安全事件的响应和处理需求分析
在各个应用系统上的不同组合就要求把网络分成不同的安全层级。
企业网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外向内多级防护的总体策略。
根据安全需求和应用系统的目的,整个网络可划分为五个不同的安全层级:
1、核心层:核心数据中心;
2、安全层:应用信息系统中间件服务器等应用;
3、基本安全层:内部局域网用户;
4、可信任层:集团总部与业务部门网络访问接口;
5、危险层:Internet。
信息系统各安全域中的安全需求和安全级别不同,网络层的安全主要是在各安全区域间建立有效的安全控制措施,使网间的访问具有可控性。具体的安全策略如下:
核心数据中心采用物理隔离策略
应用系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。
应用系统中间件服务器采取综合安全策略:
应用系统中间件的安全隐患主要来自局域网内部,为了保障应用系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性;
内部局域网采取信息安全策略:
集团总部及业务部门内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。
集团公司与分支机构之间网络接口采取通讯安全策略:
处于可信任层的网络,其安全主要考虑各分支机构上传的业务数据的保密安全,因此,可采用数据层加密方式,通过硬件防火墙提供的×××隧道进行加密,实现关键敏感性信息在广域网通信信道上的安全传输。
Internet采取通讯加密策略:
Internet属于非安全层和危险层,由于Internet存在着大量的恶意***,因此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力,并对所有访问请求进行严格控制,对所有的数据通讯进行加密后传输。
同时,建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的安全。
1) 广域网安全规划
企业广域网安全,主要是通过防火墙和×××等设备或技术来保障。
防火墙对流经它的网络通信进行扫描,能够过滤掉一些***,防火墙还可以关闭不使用的端口,防火墙具有很好的保护作用,***者必须首先穿越防火墙的安全防线,才能接触目标计算机,所以出于安全考虑,企业必须购置防火墙以保证其服务器安全,将应用系统服务器放置在防火墙内部专门区域。
××× 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。使用×××技术,甚至机密信息都可以通过公共非安全的介质进行安全传送。×××技术的发展与成熟,可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。×××通过安全隧道建立一个安全的连接通道,将分支机构、远程用户、合作伙伴等和企业网络互联,形成一个扩展的企业网络。
×××基本特征:
1、使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。
2、网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。
×××实现方式:
1、硬件设备:带×××功能模块的路由器、防火墙
2、软件实现:Windows 自带PPTP或L2TP、等。
2)内网安全规划
企业内网安全系统防病毒系统、内网安全管理策略。防病毒系统可以采用网络版防病毒系统或防毒墙等产品(比如金山、瑞星、卡巴斯基等解决方案)。
企业通过部署企业桌面虚拟化解决方案来实现。