资源描述
证券有限责任公司证券有限责任公司证券有限责任公司证券有限责任公司新建数据中心网络项目新建数据中心网络项目新建数据中心网络项目新建数据中心网络项目招标编号招标编号招标编号招标编号:技技术术标标书书证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 I目目 录录1项目背景与需求分析项目背景与需求分析.11.1项目背景.11.2需求分析.11.2.1新数据中心设计.11.2.2业务支持设计.21.2.3路由设计.21.2.4安全设计.21.2.5网络服务质量(QoS)策略.31.2.6IP 地址规划.31.3设计原则、策略与规范.31.3.1设计原则.31.3.2网络设计策略.51.3.3网络设计标准与规范.52网络设计方案网络设计方案 .72.1集中交易系统对网络的设计要求.72.1.1集中交易数据交换流程 .72.1.2集中交易体系结构.82.2网络结构设计.102.2.1网络总体架构设计.102.2.2广域网接入网络设计.122.2.3交易内网网络设计.142.2.4交易隔离区网络设计.162.2.5广域与灾备域网络设计 .172.2.6安全隔离网网络设计.182.3可靠性设计.192.3.1广域网接入可靠性设计 .202.3.2交易内网可靠性设计.232.3.3交易隔离网可靠性设计 .262.3.4广域与灾备域可靠性设计.292.3.5安全隔离网可靠性设计 .312.4网络安全设计.342.4.1安全保障建议措施.342.4.2防火墙安全部署设计.362.5双网卡冗余备份方案的网络设计建议.373设备配置方案设备配置方案 .403.1广域网接入路由器配置.403.2交易内网/交易隔离网交换机配置.403.3广域网/灾备网交换机配置.41证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 II3.4安全隔离区与 DMZ 区防火墙配置 .413.5安全隔离网交换机配置.413.6DMZ 区域及办公网交换机配置.414系统实施与测试方案系统实施与测试方案.424.1项目风险控制.424.2工程实施方案.434.2.1第一阶段:实施方案准备.434.2.2第二阶段:网络安装.454.2.3第三阶段:系统测试.454.2.4第四阶段:网络割接.464.2.5第五阶段:回退计划.464.2.6第六阶段:监控及优化 .464.3测试与验收方案.474.3.1单元测试.484.3.2整体测试.504.3.3系统集成测试.524.3.4测试验收单 .535工程项目管理计划工程项目管理计划.565.1项目组织结构.565.2技术服务人员情况介绍.615.3项目实施计划.645.3.1设计方案认定.645.3.2物理结构图设计.645.3.3实施计划的确定.655.3.4工程施工督导、监察.655.3.5工程安装、调试和最终验收.655.4项目进度计划.15.4.1设备采购与设置.25.4.2工程准备.35.4.3工程实施.45.4.4完善优化工作.55.4.5工程验收.55.5项目管理.15.5.1人员管理.15.5.2物资管理.15.5.3进度管理.15.5.4文档管理.25.5.5合同管理.25.5.6项目计划的控制.25.5.7采购过程的控制.25.5.8安装过程的控制.3证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 III5.5.9用户服务.35.6项目风险管理.35.6.1项目风险概述.35.6.2项目风险控制措施.55.7项目质量控制.95.7.1项目管理概述.95.7.2方迪公司质量体系简介 .95.7.3项目的质量保证.115.7.4文档移交不同实施阶段移交的文档清单.145.7.5项目表格.155.7.6交付设备文档清单.155.7.7项目实施表格.164验收证明验收证明.205系统集成日记录表系统集成日记录表.216售后服务与培训方案售后服务与培训方案.236.1方迪客户服务体系介绍.236.1.1客户服务体系概要.236.1.2客户服务架构.246.1.3客户服务模式.256.1.4CASE 处理流程 .266.1.5RMA 处理流程.326.1.6客户满意度调查.336.2技术服务内容.346.2.1基本服务.346.2.2高级服务.356.2.3网络系统健康检查与维修服务.416.2.4网络安全高级服务.456.3售后服务计划及响应.566.3.1服务响应承诺.566.3.2方迪提供的本地化服务 .576.4培训计划.586.4.1现场培训.586.4.2不定期的技术交流培训 .596.4.3网上资料库 .597产品性能分析产品性能分析 .607.1CISCO 3845 性能分析 .607.1.1产品概述.607.1.2用于数据、话音和视频的安全网络连接.617.1.3融合 IP 通信.627.1.4集成化服务 .637.1.5主要特性和优势.63证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 IV7.1.6产品架构.657.1.7总结.667.2CISCO CATALYST 4948 性能分析.677.2.1主要特性和优势.677.2.2软件配置选项.697.2.3技术规格.697.3JUNIPER SSG 300 性能分析.747.3.1概述.747.3.2特性和优势 .74证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 11项目背景与需求分析项目背景与需求分析1.1 项目背景项目背景证券有限责任公司于 1992 年 11 月成立。证券以科技为依托,合理配置资源,突出比较竞争优势,不断推出特色服务,将公司建成规模适中、效益显著的综合类证券公司。目前证券在全国已经拥有包括深圳深南大道营业部、深圳人民北路营业部、北京车公庄大街营业部 、上海零陵路营业部、上海长宁路营业部、竹苑路营业部、武汉新华下路营业部、鞍山南胜利路营业部、鞍山二道街营业部、南通孩儿巷营业部、沈阳文艺路营业部、杭州凤起路营业部、广州花城大道营业部等 13 家营业部以及 1 家服务部。为了适应当前证券市场发展的需要,证券将在原机房附近扩建一新数据中心,建设新的证券中心机房。1.2 需求分析需求分析本项目可以认为是证券新中心机房的建设和机房搬迁两大部分组成。项目总体目标是建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性、可持续稳定运行的公司网络。1.2.1 新数据中心设计新数据中心设计为了适应当前证券市场发展的需要,证券将在原数据中心搬迁到新机房,建立证券新中心机房。新中心机房是证券整个公司网络的“心脏” ,设计效果的好坏将直接影响整个网络的性能。网络系统必须保证 7X24 小时连续稳定运行;在设备选型方面充分考虑处理能力和高可扩展性;证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 2与外部可信任公司如交易所、登记公司、银行等的接入采用可靠的技术隔离手段,确保网络安全。1.2.2 业务支持业务支持设计设计满足当前公司业务需求,包括:集中交易系统、办公自动化系统、财务系统、清算开户系统、以及其它系统接入。1.2.3 路由设计路由设计选择标准的路由协议,能适合不同厂商的网络设备,能进行较为快速的网络收敛, 尽量避免使用静态路由;采用有效的技术手段抑制拓扑变化所带来的网络不稳定性,合理规划营业网点的 IP 地址,减少路由条目;在保证网络运行稳定的基础上,尽量启用路由加速功能,加快包交换速度。1.2.4 安全设计安全设计公司网络传输大量对安全性要求极高的敏感数据,任何的安全漏洞都可能造成严重的后果。网络的安全性方面必须至少具备以下的一些功能:必须有能力抵御已知的网络攻击。推荐一个功能强大的、有效的网络攻击检测和防御产品,切实保护网络资源的安全。能够实时监控网络的一切活动,准确判断、识别、阻止已知的各种类型的网络攻击行为;能够方便、可靠地更新攻击行为模式库以适应攻击方式的不断推陈出新;能够对可疑的网络行为发出警告,并对经确定的攻击行为自动更新至模式库;证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 3能够与已有的其他各种类型防护设备协同工作,充分挖掘、发挥这些设备的安全功能,必须对生产网络没有任何实质性的不良的影响。能够有效的控制计算机病毒的传播范围,将损失减小到最低;采取有效手段使点到点的数据传输安全,防止数据被非法窃取、泄露、篡改;营业部的网络安全设计需纳入到公司网络安全整体设计中,充分挖掘、利用营业部路由器、交换机安全方面的特性,部署网络安全的第一道防线;提供防病毒系统部署方案,保证业务系统的应用及数据安全。1.2.5 网络服务质量(网络服务质量(QoS)策略)策略为了充分利用广域网线路带宽资源,并确保实时性与重要性高的数据及时传输,须对备份线路带宽部署严格、有效的服务质量(QoS)策略。1.2.6 IP 地址规划地址规划按区域统一规划、规范 IP 地址的使用;所采用的 IP 规划规范必须能够有利于路由汇聚,便于日常的网络管理和运维;IP 规划规范必须具有良好的扩展性。1.3 设计原则、策略与规范设计原则、策略与规范1.3.1 设计原则设计原则深圳市方迪计算机系统有限公司作为一家优秀的系统集成商,向用户提供的不仅仅是设备,而是整套的技术与服务。在方案设计时,我们将严格遵循以下设计原则:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 4高可靠性原则:高可靠性原则:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。技术先进性和实用性原则:技术先进性和实用性原则:保证满足证券交易业务的同时,又要体现网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到证券数据中心网络应用的现状和未来发展趋势。高性能原则:高性能原则:承载网络性能是网络通讯系统良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(数据、语音、图像)的高质量传输,才能使网络不成为证券各项业务开展的瓶颈。标准化原则:标准化原则:支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网、证券网络、其它网络)之间的平滑连接互通,以及将来网络的扩展。灵活性及可扩展性原则:灵活性及可扩展性原则:根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和设备的调整。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 5可管理性原则:可管理性原则:对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警等等。安全性及高性价比原则:安全性及高性价比原则:制订统一的骨干网安全策略,整体考虑网络平台的安全性。网络方案的设计必须充分考虑投资保护。1.3.2 网络设计策略网络设计策略严格保障安全严格保障安全:证券数据中心网络需求多,严格的安全访问控制可以有效控制风险,保证网络安全。方案设计要考虑制定严格的访问控制,禁止非法访问。标准化标准化原则原则:网络设计中所用的各种协议、接口规程须符合国际标准。方案设计中制定的操作标准、规范,应沿袭骨干网改造、数据集中工程网络建设的成果,保持全行网络的一致性。易于维护易于维护:网络结构设计清晰明了、层次分明,配置力求简洁规范,便于维护管理。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 61.3.3 网络设计标准与规范网络设计标准与规范证券属于一个典型的行业网络,必须遵循行业相关的网络标准,同时,为了保证各种网络设备的兼容性和业务的不断发展需要,也必须遵循国际上的相关的统一标准,我们在设计证券的网络解决方案的时候,主要参考的标准如下:标标 准准说说 明明证券经营机构营业部信息系统技术管理规范(试行)IEEE 802.3z光纤千兆位以太网标准(LX 和 SX)和短距离铜线传输千兆位以太网标准(CX)IEEE 802.3ab5 类铜介质线缆千兆位以太网标准 1000Base-TIEEE 802.3u快速以太网 100 BASE-TXIEEE 802.3u10M 以太网 10 BASE-TIEEE 802.3xFull-Duplex with Flow Control(流量控制)IEEE 802.1dSpanning Tree Protocol(生成书协议)IEEE 802.1qVirtual Bridged Local Area Networks 协议IEEE 802.3ad链路集合控制协议IEEE 802.1X Port based network access control protocol(基于端口的访问控制协议)IEEE 802.1p 优先级队列,包括 GARPANSI/EIA/TIA-569电信走道和空间的商用建筑标准ANSI/EIA/TIA-606商用建筑物电信设备的管理标准GBJ 232-8电气装置安装工程施工及验收规范证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 7标标 准准说说 明明YD5037-97中国公用计算机互联网工程设计暂行规定其它符合现行的国际、国家和行业标准规范证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 82网络设计方案网络设计方案2.1 集中交易系统对网络的设计要求集中交易系统对网络的设计要求证券集中交易系统是证券公司最核心的业务系统,因此证券新建数据中心的体系架构都须以集中交易系统为核进行设计。这里我们将讨论下在集中交易系统对网络的设计要求。2.1.1 集中交易数据交换流程集中交易数据交换流程根据上海证券交易所以及深圳证券交易所制定的证券交易流程,各券商与交易所的交易数据的交换是分层设计的。集中交易系统数据交换的流程示意如下:这是数据交换的一个逻辑拓扑图。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 9证券公司与交易所的数据交换是通过“网关” 。网关指放置在证券公司、用于连接交易所交易系统的软硬件设施,俗称通信端口或小站。深交所通过密钥 KEY 的方式,上交所以分配操作员密码方式把小站与交易所席位进行绑定。小站分为报盘小站和行情小站,报盘小站是双向的,行情小站只是单向接收。证券交易所提供的网关设备并不存取数据,双向报盘及单向接收的行情数据都要存放在文件服务器上。以前的文件服务器基本上都是 Novell 系统。随着TCP/IP 的流行,现在许多证券公司的文件服务器都切换到 Windows 或者Linux。外围层,也叫做前置处理机,有报盘程序和行情接收程序,报盘程序每隔几毫秒就读一次,在交易时间内,这个程序数百万次的读取和写入这些 DBF 文件,完成证券公司与交易所的数据实时交换。券商的应用系统,应用系统采用多层技术体系架构,包括通讯中间层、业务中间层以及数据库层。多层技术体系架构能够很好地保证系统的安全性:中间层(业务逻辑层)隔离了客户(用户界面层)直接对数据库系统的访问,保护了数据库系统和数据的安全。业务逻辑层缓冲了用户与数据库系统的实际连接,使数据库系统的实际连接数量远小于应用数量。与此对应,证券集中交易系统在网络上也需要在逻辑或物理上划分相应的功能网段。2.1.2 集中交易体系结构集中交易体系结构针对证券交易系统对数据交换流程的规定,结合证券采用的集中交易系统,方迪公司建议部署如下图所示的集中交易系统体系结构。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 10集中交易系统按地域及功能的不同可以划分为中央交易系统、灾备交易系统以及营业部交易系统。与此对应,在本项目证券将中央交易系统部署在新建的数据中心,灾备交易系统部署在深圳证券通信公司券灾备机房,各营业部则部署营业部交易系统。集中交易系统的体系结构建议为四层架构:数据服务器+应用服务器+通讯服务器+操作终端。它遵循了业界主流的多层架构。这种模式将应用系统的客户端表现、业务逻辑、数据服务分层设计,单独实现,这样可以在不改变其它层次的情况下,独立地对客户端表现、业务逻辑和数据服务单独修改和扩展,大大增加系统的灵活性和扩展性。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 112.2 网络结构设计网络结构设计2.2.1 网络总体架构设计网络总体架构设计建议证券在新数据中心网络采取分区的网络架构规划设计,采用独立扩展的功能模块化分区设计有如下几个显著优势:1.安全性好容易明确不同网络区域之间的安全关系,可以单独对每个区域进行安全实施,不会对其它区域造成影响。2.扩展性好可根据不同区域和层次的功能按需建设,业务部署灵活,可以非常方便的增加新 Server Farm 区,而不改变原有的网络结构。3.提高可用性可以最大限度的隔离故障域,简化数据路径,加快故障收敛时间。4.易管理网络结构清晰,日常的运维变得更加简单,问题定位容易。 依据模块化功能分区设计架构,我们建议证券新建数据中心网络结构设计如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 12结合证券当前业务区域及特点,建议全网规划为 7 个网络区域:区域 1:交易核心内网;区域 2:交易隔离网;区域 3:公司广域网(上海证通) 、深圳证通、中建工银行三方、深/ 沪单双向卫星网;区域 4:灾备;区域 5:安全隔离网;区域 6:DMZ 区域;区域 7:部门办公网证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 13建议全网采用纯千兆网络,所有网络设备原则上配有冗余电源配置。我们将分为广域网接入、交易内网、交易隔离网、广域与灾备区、安全隔离区等区域进行设计,具体网络设计如下:2.2.2 广域网接入网络设计广域网接入网络设计目前证券共有 14 个分支机构,各分支机构均有 1 条 SDH 电路作为主线路,备份线路采用中国电信 ISDN 以及 VPN 线路。其中,采用中国电信提供 SDH 线路有上海分部一、上海分部二、北京分部、南通分部、武汉分部、鞍山分部一、鞍山海城分部、沈阳分部、杭州分部;采用中国联通提供专线的分部有深圳一部、深圳二部、深圳江苏大厦总部、分部和上海分部一通过帧中继复用 1 条电路、广州分部。证券现有的外联机构接入状况为:深圳证券通讯公司有 1 条中国电信 SDH 电路和 1 条中国电信 DDN 电路,均直连中心机房;上海证券通讯公司有 2 条电路到上海分部一,其中 1 条中国联通 SDH 电路,1 条中国电信 DDN 电路(上海市场的报盘走公司广域网通过上海分部一中转到上海证通) 。中国工商银行有 1 条中国电信 SDH 电路到中心机房,1 条网通 SDH 电路到深圳江苏大厦总部(通过路由实现互备) ;中国银行和中国建行银行分别有 1条中国联通 SDH 电路到中心机房(建行专线需配置成帧模式) ,1 条中国网通SDH 电路到北京分部(通过路由实现互备) 。我们建议将上述分支机构及外联机构统一为“广域网接入区”进行分区设计与管理。广域网接入区目前有 13 条电信 SDH 线路接入,7 条网通 SDH 线路接入。广域网接入区网络设计如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 14对于广域网接入区这样一个关键网络区域,建议新购两台高性价比的接入路由器分别接入不同运营商线路。各线路接入方式维持现有不变。每台路由器各配置 24 个 G.703 端口,实现设备、模块的冗余互备。ISDN 备份线路对应的路由器延用现有设备。目前的 Cisco3640 接入路由器可以做为上述两台路由器的冷备路由器,进一步提高广域网接入的可靠性。建议配置 2 台 Cisco 3845 担当广域网接入路由器。Cisco 3800 系列集成多业务路由器建立在思科 20 年创新技术的基础之上,通过为客户提供无与伦比的网络灵活性、性能和智能性。凭借透明地将先进技术、可适应服务和安全企业通信集成入单一永续系统,Cisco 3800 系列路由器简化了部署和管理、降低了网络成本和复杂度,并提供了无可匹敌的投资保护。Cisco 3800 系列路由器具有内嵌安全处理、大幅系统和内存优化以及全新高密度接口,可在要求最严格的企业环境中提供扩展关键任务安全性、IP 电话、商业视频、网络分析和 Web证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 15应用所需的性能、可用性和可靠性。2.2.3 交易内网网络设计交易内网网络设计证券交易内网是核心业务服务器和数据的接入区域,交易服务器、历史服务器、温备服务器以及交易中间件 KCXP 等关键业务和数据均部署在此区域。因此交易内网的接入交换机要求是高性能,无阻塞,可靠以及容易扩展。交易内网网络设计如下图所示:如上图所示:1) 交换机端口划分内网 VLAN1 和内网 VLAN2,实现逻辑隔离;2) 交易核心内网服务器接入内网 VLAN1 端口;3) 内网 VLAN2 端口作为交易隔离网交换机故障时的备份端口。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 16交易内网的交换机建议采用 1 台 Cisco Catalyst 4948。Catalyst 4948 是一款线速、低延迟、第二到四层、1 机架单元(1RU)固定配置交换机,可提供进行了优化设计的的服务器集群机架的交换。Cisco Catalyst 4948 以成熟的 Cisco Catalyst 4500 系列硬件和软件架构为基础,为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性。Cisco Catalyst 4948 具有 48 个线速10/100/1000BASE-T 端口,并另有 4 个线速端口。我们推荐证券的 Cisco Catalyst 4948 是一款采用了一个 96Gbps 交换矩阵,在硬件中为第二到四层流量提供了 72Mpps 的转发速率,从而为数据密集型应用提供了线速吞吐率和低延迟。无论有多少路由条目或启用了多少第三层和第四层服务,都能保证交换性能。基于硬件的思科快速转发路由架构提高了可扩展性和性能。Catalyst 4948-E 的 IOS 配置的是增强第三层镜像,包括最短路径优先打开(OSPF)、中间系统到中间系统(IS-IS)、增强内部网关路由协议(EIGRP)和边界网关协议(BGP)。Cisco Catalyst 4948 无论从性能、功能还是高可靠性方面都极具优势:性能:性能:性能相当于一台 4500+ Sup5/10GE全部端口线速设计为低延时 2-4us大缓存,减少丢包功能:功能:软件功能和与 4500 相同支持高级协议如 ISIS,IGMP V3高可靠性:高可靠性:部件热拔插基于成熟的 4500 平台双电源智能冗余风扇证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 17支持 AC/DC 混合2.2.4 交易隔离区网络设计交易隔离区网络设计交易隔离区内将部署包括交易中间件 KCBP、温备/灾备复制服务器以及沪深报盘、沪深行情、消息中间件 KCXP 以及各委托主站等服务器。交易隔离区的网络设计如下图所示:如上图所示:1) 交换机端口划分内网 VLAN1 和内网 VLAN2,实现逻辑隔离2) 交易隔离区服务器接入内网 VLAN2 端口3) 内网 VLAN1 端口作为交易核心网交换机故障时的备份端口证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 18Cisco Catalyst 4948 以成熟的 Cisco Catalyst 4500 系列硬件和软件架构为基础,为高性能服务器和工作站的低密度、多层汇聚提供了出色性能和可靠性具有 48 个线速 10/100/1000BASE-T 端口。交易隔离区的交换机建议采用 1 台与核心交易网交换机一样配置的 Cisco Catalyst 4948。2.2.5 广域与灾备域网络设计广域与灾备域网络设计广域与灾备域内部署有沪深报盘、沪深行情、消息中间件 KCXP、各委托主站等服务器以及存管采集、存管中间件、办公系统、单/双向卫星接收机等系统。广域与灾备区网络设计如下图所示:如上图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 191) 配备 2 台三层交换机2) 2 台交换机之间配置 HSRP,实现终端虚拟网关3) 此区域服务器集中接入一台交换机,另一台温备此区域交换机建议采用 2 台与核心交易网交换机一样配置的 Cisco Catalyst 4948。2.2.6 安全隔离网网络设计安全隔离网网络设计在网络上,VLAN 是一个独立的广播域,也是一个独立的冲突域,也就是说,在同一 VLAN 之中的用户是可以通讯的。而在不同 VLAN 中的用户不能直接进行通讯,如果需要通讯,必须通过三层的路由。在三层路由上,可以通过 ACL 加以控制,限制访问权限。因此,我们通过 VLAN 系统的合理划分达到 VLAN 之内信息共享、VLAN 之间相互隔离控制的安全要求。在如交易核心内网、交易隔离网、广域与灾备区等均设置成不同 VLAN 实现逻辑隔离。防火墙可通过监测、限制通过防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通过安全隔离区的防火墙隔离出单独网段区域,用于连接外联单位、特殊的访问要求接入。使用防火墙的隔离保护功能,赋予最小使用权限,保护内部网络安全。安全隔离区的网络设计如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 20如上图所示:1) 部署 2 台防火墙执行安全控制策略2) 2 台防火墙部署方式为 Active / Standby3) 部署 2 台交换机,用于接入防火墙端口的扩展4) 2 台交换机配置 HSRP,实现设备间的冗余。2.3 可靠性设计可靠性设计网络系统的稳定可靠是应用系统正常运行的关键保证,因此我们在证券新数据中心的网络设计中选用了思科公司系列的高可靠性网络产品,同时,证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 21我们也应合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。2.3.1 广域网接入可靠性设计广域网接入可靠性设计证券目前广域网接入包括 14 个营业部、公司总部、银行三方、深证通以及龙岗电信等单位的接入。在设备方面,部署 2 台 Cisco 3845 路由器分别接入不同运营商线路,每台路由器各配置 24 个 G.703 端口,实现设备、模块的冗余互备。下图为广域网接入在正常情况下的数据流方式。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 22当某一中心路由器本身出现故障,不能提供服务时,如下图所示,可以通过手工整体切换线路至另一台路由器对应的端口上,即可以实现因路由器故障的切换。另外,目前的 Cisco3640 接入路由器可以做为上述两台路由器的冷备路由器,进一步提高广域网接入的可靠性。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 23当营业部主线路故障或营业部路由器(端口)故障时,如下图所示,如果是中心端先侦测到下联线路故障,中心 ISDN 拔号路由器将发起 ISDN 拔号至营业部路由器,从而实现备份接入。如果是营业部路由器侦测到上联线路故障,将由营业部 VPN 网关发起 VPN 连接到中心深信服务 VPN 服务器,从而实现备份接入。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 242.3.2 交易内网可靠性设计交易内网可靠性设计交换机端口划分内网 VLAN1 和内网 VLAN2,实现逻辑隔离。交易核心内网服务器接入内网 VLAN1 端口,内网 VLAN2 端口作为交易隔离网交换机故障时的备份端口。交易内网正常情况下的数据流如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 25当交易核心内网交换机故障时,如下图所示,只须手工整体切换交易核心内网服务器至交易隔离区交换机的内网 VLAN1 端口即可实现故障切换。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 26当交易核心内网 VLAN1 中的某一交换机端口(如 port N)出现故障时,如下图所示,手工切换服务器至交易隔离区交换机 VLAN1 对应 port N 端口,数据经两交换机互联 trunk 线路回传至交易核心内网交换机后正常传输,从而达到故障切换。此时其它端口正常的数据不会改变流向。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 272.3.3 交易隔离网可靠性设计交易隔离网可靠性设计交易隔离区的交换机端口划分内网 VLAN1 和内网 VLAN2,实现了逻辑隔离。交易隔离区服务器接入内网 VLAN2 端口,内网 VLAN1 端口作为交易核心网交换机故障时的备份端口。正常情况下交易隔离区内的数据流如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 28当交易隔离区交换机故障时,如下图所示,只须手工整体切换交易隔离区服务器至交易核心内网交换机的内网 VLAN2 端口即可实现故障切换。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 29当交易隔离区交换机 VLAN2 的某端口(例如 port M)出现故障,如下图所示,只须手工切换服务器至交易内网交换机 VLAN2 对应 port M 端口,数据经两交换机互联 trunk 线路回传至交易隔离区交换机后正常传输,故障切换完成。此时其它端口正常的数据不改变流向。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 302.3.4 广域与灾备域可靠性设计广域与灾备域可靠性设计广域与灾备区域内部署了 2 台三层交换机,2 台交换机之间配置 HSRP,实现终端虚拟网关,此区域服务器集中接入一台交换机,另一台温备。此区域内正常情况下数据流如下图所示。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 31当此区域内的主交换机发生故障,如下图所示,只须手工整体切换此区域网服务器至另一台交换机对应端口即可完成故障切换。因为 HSRP 提供了虚拟网关,因此在服务器端无须做任何配置上改动。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 322.3.5 安全隔离网可靠性设计安全隔离网可靠性设计在安全隔离区内部署了 2 台防火墙用以执行安全控制策略。这 2 台防火墙部署方式为 Active / Standby。由于防火墙端口扩展相对困难,因此部署了 2台交换机用于接入防火墙端口的扩展,2 台交换机配置 HSRP。此区域内正常情况下的数据流如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 33当主防火墙发生故障的时候,如下图所示,防火墙将进行 Active / Standby切换。此时广域区主交换机 HSRP 侦听到了防火墙互联端口失效,主交换机数据流切至从交换机。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 34当此区域主交换机发生故障时,如下图所示,主防火墙侦听到与主交换机互联失效,因此防火墙进行 Active / Standby 切换。因为 HSRP 提供的虚拟网关,其它设备无须做配置上的改动。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 352.4 网络安全设计网络安全设计2.4.1 安全保障建议措施安全保障建议措施2.4.1.1VLAN 隔离隔离在网络上,VLAN 是一个独立的广播域,也是一个独立的冲突域,也就是说,在同一 VLAN 之中的用户是可以通讯的。而在不同 VLAN 中的用户不能直接进行通讯,如果需要通讯,必须通过三层的路由。在三层路由上,可以通过 ACL 加以控制,限制访问权限。因此,我们通过 VLAN 系统的合理划分达到 VLAN 之内信息共享、VLAN 之间相互隔离控制的安全要求。2.4.1.2ACL 策略控制策略控制划分 VLAN 只能在广播域或者说是在本地局域网内有效,对于广域网上的隔离控制,只能采取定义 ACL 列表,在路由器上启用防火墙或交换机上启用包过滤来限制通讯。证券新数据中心网络建设中我们建议采取的方式是在路由器的广域网接口上检查接收数据包的来源地址和目的地址,在交换机端口上检查需要发送的数据包的目的地址,符合要求的才转发。2.4.1.3802.1X 身份认证身份认证证券新数据中心网络的设计中,建议可考虑使用局域网 802.1X 身份认证系统,任何人只要将计算机连接到交换机上,就需要首先进行身份认证,认证通过后,获得相应的 IP 地址,才能连接到网络上。使用局域网 802.1X 身份认证需要三个条件:1) 客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。 目前,windows 2000 或者 windows XP 都自带 802.1x 客户端程序。2) 认证系统:支持 802.1X 认证的交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。 3) 认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 36别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。一般 RADIUS 服务器作为认证服务器。2.4.1.4AAA AAA 是 Authentication,Authorization and Accounting(认证、授权和计费)的简称,它是对网络安全的一种管理。AAA 服务可以完成以下功能:验证用户是否可获得访问权,授权用户可使用哪些服务,记录用户使用网络资源的情况。证券新数据中心网络内建议部署 AAA 认证。2.4.1.5防火墙隔离防火墙隔离防火墙可通过监测、限制通过防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。中心新数据中心网络内建议使用防火墙隔离出单独网段区域,用于连接外联单位、特殊的访问要求接入。使用防火墙的隔离保护功能,赋予最小使用权限,保护内部网络安全。2.4.1.6网络设备保护网络设备保护采取如下措施对网络设备加以保护1) 在路由器上、交换机上要设置控制台口令、特权用户口令、远程登录口令和分级用户名和口令,并使用加密口令。2) 建立日志服务器记录日志。 3) 只允许网管网段对网络设备进行 Telnet 访问。4) 关闭不必要的网络服务,关闭禁止源路由功能、finger 服务、bootp 服务和域名解析功能。5) 只允许网管地址段的网管服务器对网络设备进行 SNMP 管理。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 372.4.2 防火墙安全部署设计防火墙安全部署设计建议在安全隔离区及 DMZ 区部署三台高性价比的防火墙进行安全策略的实施。其中字全隔离区部署 2 台防火墙用于冗余热备。证券新数据中心的防火墙部署设计如下图所示:Juniper 网络公司安全业务网关(SSG)300 系列是新型的专用安全产品,为地区和分支办事处部署提供高性能、安全性和局域网/广域网连接的完美组合,通过一系列完整的统一威胁管理(UTM)安全特性-如状态防火墙、IPSec VPN、IPS、防病毒(包括防间谍软件、防广告软件和防网页仿冒) 、防垃圾邮件和 Web 过滤等-来保护出入分支办事处的流量免遭蠕虫、间谍软件、特洛伊木马和恶意软件的攻击。SSG 320M 可以提供 450Mbps 的防火墙流量,具有极高的性价比,建议选用 3 台 Juniper SSG-320M-SH(注:1G 内存)防火墙。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 382.5 双网卡冗余备份方案的网络设计建议双网卡冗余备份方案的网络设计建议证券各类服务器作为集中交易平台的核心,其稳定性和安全性至关重要,连接服务器的网络链路是尤为重要的一环。增加热备份冗余链路成为保障服务器链路通畅常用的方法之一,此方式可以强化系统网络链路,减少故障率。 证券新建数据中心搭建了各种信息平台,服务器作为信息平台的硬件载体,其稳定性日趋重要。其中,网络链路又是尤为重要的一环,显然,如何保障服务器网络链路的持续稳定工作已成为摆在网络管理员、系统管理员面前的重要问题了。 增加热备份冗余链路成为保障服务器链路通畅常用的方法之一,此方式可以强化系统网络链路,减少故障率。 服务器网络冗余备份方式可以应用于企业的重要业务访问,实施后,相应业务在多种冗余技术的支持下,将会更加稳固。包括部署了金证集中交易系统在内的众多证券信息平台的关键服务器都通过服务器双网卡方式实现服务器网络的冗余备份。通过软件将双网卡绑定为一个 IP 地址(许多高档服务器网卡都具有多网卡绑定功能),可以通过软硬件设置将两块或者多块网卡绑定在同一个 IP 地址上,使用起来就好象在使用一块网卡,这对客户访问将达到透明。建议证券部署在核心内网、交易隔离区及广域区等关键服务器部署双网卡冗余备份方案,当服务器某一块网口故障的情况下无需人工干,另一块立刻接管全部负载,过程是无缝的,服务不会中断。在此方案下的网络设计如下图所示:证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 39为保证网络设备热备份,核心设备、服务器接入设备都使用了双机,配置802.1q Trunk 模式互联,属同一 VTP Domain,并都启用了 STP(Spanning Tree Protocol,生成树协议),利用 STP 实现网络设备、网络链路的切换,将一台交换机设置为 STP 根(root)交换机。通过 STP 协商后屏蔽的端口,以避免环路,无数据流量可视为中断。另外将交换机的终端接入端口设置为PortFast,以加快交换机端口启用时间。 软件使用原则软件使用原则 服务器接入可以通过使用网卡捆绑软件实现热备冗余,对于服务器双网卡捆绑软件的选择可遵循以下几点原则: 兼容性好,能在不同品牌网卡上使用; 中断恢复快; 能检测深层中断,即能检测到非直连设备的中断。 证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 40推荐软件推荐软件 NIC Express 4.0 是一款兼容性较好的捆绑软件,它能兼容 Broadcom、D-Link 等常见网卡,但在 Intel 网卡上安装会造成大量丢包。 Inter Proset 是针对 Intel 网卡的专用网卡捆绑软件,但 Inter Proset只能在 Intel 网卡上使用,且不支持深层中断的检测。 相关软件设置建议相关软件设置建议 NICNIC ExpressExpress 4.04.0 使用 NIC Express 的 ELB 模式,将网络检测这一关键参数设置为 Status Packet,而不能使用 Auto,因为设置为 Auto 只能检测到直连部分的中断情况,而设置为 Status Packet 可以通过发状态包,检测到网络中的非直连部分的中断,响应时间更快。其余可使用默认设置。 InterInter ProsetProset 使用默认设置即可,另外需要注意: 使用 Inter Proset 的网卡有隐含的主备关系,即只有主用工作,主用网卡中断后隐含的主备关系交换,再接回后主备关系不变化。本文所有测试时,都使用 2 号网卡为主用的情况。 中断服务器网线测试中断服务器网线测试 测试方式: 中断服务器所连网线,再接回,看有无中断。 测试结论: 使用网卡捆绑软件后,中断任意一条网线或接回均不会造成数据传输中断。 证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 413设备配置方案设备配置方案3.1 广域网接入路由器配置广域网接入路由器配置广域网接入路由器配置为 2 台 CISCO3845,每台配置 24 个 E1 接口,每台具体配置如下:序号序号编号编号描述描述数量数量备注备注1.1CISCO38453845 w/AC PWR,2GE,1SFP,4NME,4HWIC, IP Base, 64F/256D1CISCO3845 路由器1.2S384IPB-12415XYCisco 3845 IP BASE W/O CRYPTO1IOS 操作系统1.3NM-2W2 WAN Card Slot Network Module(no LAN)22 WAN 卡插槽1.4VWIC2-2MFT-T1/E12-Port 2nd Gen Multiflex Trunk Voice/WAN Int. Card - T1/E142 端口第 2 代T1/E1 VWIC 子卡,集成语音功能1.5HWIC-4T1/E14 port clear channel T1/E1 HWIC44 端口通道化的T1/E1 HWIC 子卡,有成帧与非成帧模块1.6PWR-3845-AC/2Cisco3845 redundant AC power supply1冗余电源1.7CAB-ACAPlug,Power Cord,Australian,10A2电源线1.8CAB-E1-RJ45BNCE1 Cable RJ45 to Dual BNC (Unbalanced)11线缆3.2 交易内网交易内网/交易隔离网交换机配置交易隔离网交换机配置区域 1/区域 2 交换机配置为 2 台 CISCO Catalyst 4948,每台具体配置如下:序号序号编号编号描述描述数量数量备注备注2.1WS-C4948-SCatalyst 4948, IPB s/w, 48-1Catalyst 4948证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 42Port 10/100/1000+4 SFP, 1 AC p/s交换机2.2CAB-AS3112-C15-AUAS-3112 to IEC-C15 8ft Aus2电源线2.3PWR-C49-300AC/2Catalyst 4948 300-Watt AC Power Supply Redundant1冗余电源3.3 广域网广域网/灾备网交换机配置灾备网交换机配置区域 3/区域 4 交换机配置为 2 台 CISCO Catalyst4948,每台具体配置如下:序号序号编号编号描述描述数量数量备注备注2.1WS-C4948-SCatalyst 4948, IPB s/w, 48-Port 10/100/1000+4 SFP, 1 AC p/s1Catalyst 4948 交换机2.2CAB-AS3112-C15-AUAS-3112 to IEC-C15 8ft Aus2电源线2.3PWR-C49-300AC/2Catalyst 4948 300-Watt AC Power Supply Redundant1冗余电源3.4 安全隔离区与安全隔离区与 DMZ 区防火墙配置区防火墙配置区域 5 配置 2 台 JUNIPER SSG320 防火墙,区域 6 配置 1 台 JUNIPER SSG320 防火墙,合计 3 台防火墙,每台具体配置如下:序号序号编号编号描述描述数量数量备注备注4.1SSG-320M-SHSecure Services Gateway 320 System, High Memory (1GB), 3 PIM slots, AC Power Supply, ScreenOS, 19 Rack Mount1Juniper SSG320 防火墙3.5 安全隔离网交换机配置安全隔离网交换机配置区域 5 内的 2 台交换机建议利用现有的两台 Cisco Catalyst 3750G 交换机。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 433.6 DMZ 区域及办公网交换机配置区域及办公网交换机配置区域 6 及区域 7 的交换机建议利用现有的两台 Cisco Catalyst 3550 交换机。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 444系统实施与测试方案系统实施与测试方案方迪公司是一家优秀的系统集成商,向用户提供的不仅仅是设备,而是整套的技术与服务,是快速、高效、安全、智能网络的整体解决方案供应商。在工程实施过程中,方迪公司将与用户一起制定全面的项目风险控制措施,严格执行工程各阶段实施计划,并与厂家等三方一起制定切实可行的系统测试方案。4.1 项目风险控制项目风险控制工程实施,特别是证券新建数据中心网络项目这样的大型工程在实施过程中总会存在一定的风险和不可预测的因素。这些情况未必一定会出现,但是事先有所预测并安排有效的对策,可以最大限度的减小各种损失,使工程进展更为顺利。方迪公司将严格执行如下的项目风险控制措施:1.实施步骤的完整性,对于每一个实施步骤各方所需要执行的动作有明确的规定,有精确的时间顺序安排,对每一个动作有详细的操作步骤,对每一个执行的动作都有相应的检查是否完成的步骤,达到任何一个只要具有实际实施经验的工程师都能按实施方案完成执行动作。2.详细描述实施方案的风险和局限性,明确使用实施方案所应承担的风险和将导致的后果。3.在实施前需要各参与单位和人员最终确认实施方案的正确性、明确各方所执行的动作和担负的责任。4.对于检查实施方案的每一个阶段是否达到方案要求,需要有每一阶段的测试内容,明确那些测试在指定时间点不能完成或完成后测试结果不正确的情况下需要采用网络回退方案,不再执行实施方案的下一个执行动作或不进入下一个实施阶段。方迪公司在实施证券新数据中心网络建设项目中,要求的原则是施工过程中绝对不能影响到目前网络,保证原网络的稳定性,方迪公司在系统实施中工程分为六个阶段完成。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 45阶段一:准备阶段,阶段一:准备阶段,前期的准备工作,内容包括设计方案的确认及实验环境下的模拟测试,新设备的验收、进场、加电测试,配置写入、所有新申请电路的测试。阶段二:网络安装阶段,阶段二:网络安装阶段,前提条件是第一部分工作完成。内容包括主干交换机安装调试,二级交换机安装调试、主干路由器安装调试。阶段三:系统测试阶段,阶段三:系统测试阶段,网络设备、主机、应用系统整体测试,作为割接上线前的必要准备。阶段四:网络割接阶段,阶段四:网络割接阶段,前提条件是第三阶段工作完成。内容包括主干网络设备上线切换与试运行。阶段五:回退计划阶段,阶段五:回退计划阶段,在网络割接过程中,如果由于某些原因造成割接工作不能继续时,需要迅速地回退到上一步或根据情况完全将网络联接恢复为原有状态,减少业务中断时间,并尽快排除故障。阶段六:监控及优化阶段,阶段六:监控及优化阶段,网络切换后进行检查。针对试运行的效果进行优化。证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 464.2 工程实施方案工程实施方案4.2.1 第一阶段:实施方案准备第一阶段:实施方案准备1.设计方案的确认设计方案的确认方迪公司将根据证券本项目的招标文件、方迪公司的投标文件,并结合用户的具体需求,在详细的需求调研的基础上制定详细的工程实施技术及施工方案书 。此方案须经证券与方迪公司双方认可确认。2.实验环境下方案测试实验环境下方案测试 按照设计方案,模拟了多套测试方案,测试结果符合设计方案。3.网络设备定义网络设备定义网络设备命名建议分为四部分,A-B-C-D,解释如下:A:表示设备类型,R路由器,S交换机,F防火墙B:设备放置地点,用拼音的全拼或所写组成(大写) ,如:SJZX数据中心等等C:设备型号,如 3662,4948,3750,3845 等等D:主用或备用或楼层等,M主用,S备用,22 楼。网络设备标签定义:网络设备标签要求填写设备名称、设备型号、购进时间,管理人员等线路标签定义:本端设备名称端口号 To 对端设备名称端口号证券新建数据中心网络项目-技术方案深圳市方迪计算机系统有限公司 474.新网络新网络 IP 地址规划地址规划IP 地址规划,应满足当前网络运行及未来业务增长的需要。5.新网络做配置模版新网络做配置模版新增网络设备配置模版。6.新购设备开箱验货新购设备开箱验货证
展开阅读全文