机房(应用、网络、基建)规划方案建议书.doc

XXXX建议书 文档控制 项目编号 文档名称 XXXX 建议书 文档序号 项目经理 编写人 XXXX 完成日期 2013 05 8 修订记录 日期 修订版本 修订内容 修订人 2012 04 12 V1 XXXX 2012 05 6 V2 XXXX 目 录 第 1 章 SAP 系统架构规划 5 1 1 SAP 蓝图架构设计 5 1 2 主机系统规划 6 1 2 1 硬件平台选择 7 1 2 2 硬件容量规划 7 1 2 3 系统可靠性 8 1 2 4 服务器平台选型 9 1 2 4 1 小机平台 10 1 2 4 2 小机 PC server 混合平台 10 1 2 4 3 主机架构拓扑图 10 1 3 存储系统规划 11 1 3 1 存储系统概要 11 1 3 2 存储系统架构 12 1 3 2 1 FC SAN 网络存储架构 12 1 3 2 2 IP SAN 网络存储架构 13 1 3 2 3 技术对比 13 1 4 备份系统规划 14 1 4 1 备份软件的选择 14 1 4 2 备份技术 14 1 4 3 数据备份系统总体规划 16 第 2 章 网络规划建议 17 2 1 设计原则 17 2 2 网络设计拓扑结构 18 2 3 网络总体规划 19 2 3 1 核心层设计 19 2 3 2 接入层设计 19 2 4 FIREWALL 20 2 5 UTM 20 2 6 ANTI ARP 20 2 6 1 ARP 欺骗攻击的危害性 20 2 6 2 接入层交换机部署 ARP 入侵检测 21 2 6 3 核心交换机部署 ARP 欺骗防御 22 2 7 VPN 22 2 8 WIRELESS 23 2 9 AAA 24 2 10 IPS 25 2 11 设备利旧 25 第 3 章 机房规划 26 3 1 机房概述 26 3 1 1 概述 26 3 1 2 设计原则 依据和设计目标 26 3 1 2 1 项目介绍 26 3 1 2 2 设计目标 26 3 1 3 机房总体规划 27 3 1 3 1 机房建设系统组成 27 3 2 中心机房规划设计 28 3 2 1 机房建设总体设计 28 3 2 2 机房装修工程设计 29 3 2 2 1 设计原则 29 3 2 2 2 机房区地面设计 29 3 2 2 3 机房入口设计 29 3 2 2 4 墙身及隔断设计 29 3 2 2 5 机房防水处理 29 3 2 2 6 机房门窗处理 30 3 2 2 7 机房等电位处理 30 3 2 3 机房配电工程设计 30 3 2 3 1 设计原则 30 3 2 3 2 机房供配电系统设计 30 3 3 技术方案 31 3 3 1 数据中心机房建筑装修 31 3 3 1 1 目的 31 3 3 1 2 实施方案 32 3 3 1 3 预期达到效果 32 3 3 2 数据机房电气工程 32 3 3 2 1 目的 32 3 3 2 2 实施方案 32 3 3 2 3 预期达到效果 32 3 3 3 UPS 供配电系统 33 3 3 3 1 目的 33 3 3 3 2 实施方案 33 3 3 3 3 预期达到效果 33 3 3 4 数据机房空调系统 34 3 3 4 1 目的 34 3 3 4 2 实施方案 34 3 3 4 3 预期达到的效果 34 3 3 5 数据机房门禁及视频监控系统 34 3 3 5 1 目的 34 3 3 5 2 实施方案 34 3 3 5 3 预期达到效果 34 3 3 6 数据机房消防系统 35 3 3 6 1 目的 35 3 3 6 2 实施方案 35 3 3 6 3 预期达到效果 35 3 3 7 数据机房等电位接地及防雷系统 35 3 3 7 1 目的 35 3 3 7 2 实施方案 35 3 3 7 3 预期达到效果 35 第 4 章 XXXX 配置清单 36 1 0 SAP 系统架构规划 1 1 SAP 蓝图架构设计 根据 SAP 蓝图架构的规划 SAP 系统的架构设计可以分为单系统 双系统和三系统 如下图所示 图 1 SAP 蓝图架构设计 单系统 所有的开发配置 单元测试 集成测试以及公司的生产运做都在一个系统中 完成 双系统 开发配置 单元测试 集成测试在一个系统 开发系统 中完成 另外一个 系统作为生产系统支撑公司的实际业务运做 三系统 开发配置 单元测试在开发系统中完成 集成测试在测试系统中进行 而公 司的实际业务运做在生产系统中进行 单系统 双系统 三系统 根据 SAP 软件在世界范围内众多应用的使用应验 三种系统架构的对比如表 1 所示 表 1 SAP 蓝图系统架构对比 系统 优点 缺点与限制 单系统 价格便宜 1 生产系统的系统性能会受到开发 集成测试系统的影响 2 开发 集成测试系统的测试数据会扰乱生产系统的正式 数据 3 程序开发人员可以写程序存取生产系统的所有企业数据 数据安全性需要考虑 4 系统管理人员若要进行 MYSAP 的系统升级 Upgrade 没 有测试环境 升级不易且风险大 5 资源库部份是开发 测试以及生产系统共享 因此一旦 程序开发人员更改或测试程序 都会影响到正式上线的生产 系统 业务连续性无法保证 6 必需采用完整的高可靠性系统架构 维护系统的可靠性 7 三种系统同时在一台主机 管理的复杂度及风险提高 双系统 在开发平台上做有限 度的测试 部分保证业务 连续性 所有开发的对象一旦被传输到生产系统 就马上被使用 数据的传输无法测试 影响业务连续性 三系统 可以完整的测试所做 的开发以及系统升级 upgrade 硬件初期设置成本较高 SAP 蓝图系统架构的选择 是整个项目的基础 公司原则 SAP 蓝图系统架构 应综合考虑下面 的因素 业务连续性的要求 生产系统数据的安全性 对测试质量的要求 系统开发 配置的管理 拥有的资源以及相对系统管理的负担 系统性能 投资 为保证测试质量 建议采用三系统架构 1 2 主机系统规划 主机系统的规划包括硬件平台的选择 硬件容量规划 CPU 内存 磁盘空间 系统可靠性设 计以及服务器的选型 1 2 1 硬件平台选择 SAP 软件可以在多种硬件平台上运行 包括 AIX HP Unix Linux Solaris windows 平台 硬 件平台的选择 需要考虑系统性能 可靠性 维护方便性 硬件厂商在 mySAP 应用的市场占有率 发展趋势 公司内部政策 成本因素 未来 IT 发展方向等 本次硬件方案推荐 Windows 平台和 Unix 平台 1 2 2 硬件容量规划 主机系统的硬件容量由 SAP 的 SIZING 原理计算得出 Sizing 指对 SAP 系统硬件设备配置的预 估 主要包括内存 Memory 处理器 CPU 和存储器 Disk SAP 与其合作伙伴共同开发了在线的评估 工具 Quick Sizer 来帮助用户完成配置预估工作 Quick Sizer 定义了两类评估模型 基于 用户的预估 基于业务量的预估 基于用户的预估通过了解每个业务模块的并发用户数量来估计系 统的负荷 基于业务量的预估基于系统所处理的各种对象的实际数量作评估 这种方法用来预估处 理器 CPU 及存储空间 DISK 根据 SIZING 计算的硬件容量选择合适的服务器设备时 需要充分考 虑服务器的可扩展性 能够继续扩充 CPU 内存等主要硬件设备 以满足业务增长的需要 初步估算 对于 100 个左右并发用户的 SAP ERP 系统 参照 SAP 实施案例情况 通过 Quick Sizer 的计算 预估的硬件容量大致要求如下 表 2 SAP ERP 系统硬件容量规划 系统 项目 容量 CPU 8C 内存 32GSAP ERP 生产系统 有效磁盘空间 600GB CPU 4C 内存 16GSAP ERP 测试 有效磁盘空间 400GB CPU 4C 内存 16GSAP ERP 开发 有效磁盘空间 400GB 系统 项目 容量 CPU 8C 内存 64GSAP PI 生产系统 有效磁盘空间 600GB CPU 4C 内存 32GSAP PI 测试系统 有效磁盘空间 400GB CPU 4C 内存 32GSAP PI 开发系统 有效磁盘空间 400GB 硬件容量规划中 CPU 内存要求 是按照当前用户数进行的预估 根据该容量预估选择服务器 硬件设备时 需要考虑服务器设备有充分的可扩展性 以便几年后业务扩展 通过扩充硬件满足业 务扩展的要求 1 2 3 系统可靠性 系统的可靠性一直是非常重要的问题 为了让 SAP ERP 系统具有最高的安全性 优良的系统性 能以及业务连续性性 应该将 系统高可靠性结构设计 列入硬件计划 这样才能避免因系统发生问题 所 可能造成企业的系统宕机情景 一般情况 系统宕机分为以下两种情况 1 计划性宕机 软件升级 安装补丁 support package 数据库重组 Reorganization 停机备份 offline backup 硬件维护等 这种类型的宕机是有明确的目标 积极意义的宕机 宕机时间可根据系统 使用情况 安排在特殊时间 如休息日或夜间 进行 2 非计划性宕机 网络 硬件 软件 OS DB R3 故障 如果发生这种类型的宕机 很可能对企业造成巨大的损失 所以下一部分 将专门针对这类情况 提出解决方案 系统高可靠性结构设计方案 对于 SAP 系统 可能发生的问题有网络故障 硬件故障以及软件故障三种 以下将分别就问 题提出解决方案 A 网络故障 建议每台 SAP 服务器使用两块网卡 当其中一块发生问题时 另外一片可以马上接替 同时建 议 SAP 服务器的网络 Server LAN 线路有两条 当其中一条链路故障时 系统可以自动切换使用另外 一条链路 这两条线路使用的网络设备 如交换机 路由器也要考虑冗余备份 B 硬件的错误 1 SAP 服务器的硬件故障 将直接导致 SAP 系统停止服务 为了保证 SAP 系统的可用性 可以 考虑使用双机集群技术 规避硬件故障造成 SAP 系统停止服务 使用双机群集系统 Cluster 当生 产系统主机故障时 可由冗余主机自动接替 让系统继续工作 决策是否采用群集技术 需要在可接受的宕机时间和硬件投资中寻求平衡 一般情况下 由 于硬件问题导致系统宕机 宕机持续时间受以下因素影响 硬件故障诊断时间 故障硬件的到货时间 主机系统的修复时间 在 SAP 系统中 建议只对数据库做群集以降低系统的复杂性 方便今后的维护工作 应用服 务器 DIALOG INSTANCE 不考虑群集技术 随着业务的增加 应用服务器不断追加 一旦某一台 服务器发生硬件故障 通过 SAP 系统中的组登陆策略 把该台故障服务器隔离即可 不会影响业务 连续性 因此 在一个 SAP 系统中 只需要考虑数据库服务器 DB CI Instance 的双机集群 由于 SAP ERP 生产系统核心应用地位 建议生产系统的数据库服务器都采用双机集群技术 保 证系统的可用性和业务连续性 2 对硬盘存储硬件故障风险的规避 需要采购的磁盘阵列本身应采用双控制器 双电源 支 持写缓存镜象 硬件本身不存在单点故障 分配给各主机的磁盘采用 RAID5 HOT SPARE 或磁盘镜象 技术 或者磁盘阵列采用 2 块以上全局热备盘 避免单块硬盘物理损坏造成数据丢失 主机内置硬 盘采用 RAID 0 1 技术 避免单点故障 同时 为节约硬件投资成本 实现数据集中存储 如果企 业内部有多个系统需要数据存储空间 我们建议采用存储区域网络 SAN 或则 IP SAN 磁盘阵列 与主机之间 通过 2 台光纤交换机形成冗余且负载均衡的光纤通道 把多个系统的数据集中存储在 该磁盘阵列上面 具体方案参见存储系统规划 C 软件的错误 对软件错误风险的规避 需要定期备份操作系统和应用软件 每天备份数据库和数据库日志文 件 发生问题时可以利用有效备份恢复数据 备份系统的设计请参阅备份系统规划 1 2 4 服务器平台选型 根据硬件产品的稳定性 成本 服务等方面综合考虑 我们建议选择 IBM 系列产品 作为 SAP ERP 系统硬件服务器 从小机平台和小机 PC server 混合平台来考虑服务器基础架构 1 2 4 1 小机平台 基于稳定性和性能最大化考虑 开发 测试 生产系统均采用 IBM 小型机 其中开发测试 系统采用一台 IBMP740 通过 Power VM 虚拟化技术部署到四台虚拟服务器上 生产系统采用两 台 IBM P740 通过 Power VM 虚拟化技术 部署到六台虚拟服务器上 基于 IBM Power VM 技术 可以实现多套应用系统资源的灵活分配 确保在单个应用系统硬件故障的情况下 能够很快的 调配其余系统的空闲资 源供故障系统使用 系统 服务器型号 数量 SAPERP PI 系统 IBM P740 3 1 2 4 2 小机 PC server 混合平台 基于成本最优化考虑 开发 测试系统均采用 PC Server 其中开发测试系统采用一台 IBMX3850 通过 VmWare 虚拟化技术部署到四台虚拟服务器上 生产系统采用两台 IBM P740 通 过 Power VM 虚拟化技术 部署到六台虚拟服务器上 系统 服务器型号 数量 SAP ERP PI 生产系统 IBM P740 2 SAP ERP PI 开发 测试系统 IBMX3850 X5 1 1 2 4 3 主机架构拓扑图 1 3 存储系统规划 1 3 1 存储系统概要 选择合适的存储系统 是数据安全的关键所在 选择存储系统 主要考虑以下几方面内容 数据安全性 存储设备是应用系统中单点故障的隐患 因此为保证数据安全 需要严格选择存储系统 既包括存储系统中硬件设备的冗余 电源 风扇 控制器 缓存 也包括对存储设备中硬盘 的 RAID 划分 存储容量 对存储容量的规划 需要根据企业正常的业务量进行预估 并考虑未来 3 5 年的发展 计 算可用的磁盘容量 并通过对 RAID 级别的划分 确定磁盘数量 硬件成本 存储产品的硬件成本 既需要考虑初期投资成本 也需要考虑后续维护成本 因此 选择 存储产品需要具有良好的开放性 同时 采用 SAN 技术 选择一个集中存储的硬件设备 可有 效降低存储产品的硬件投资 SAP ERP 系统中 按照 3 5 年规划 各系统对磁盘容量的需求如下表所示 表 4 SAP 系统磁盘划分 应用部分 需要空 间 RAID 级别 磁盘位置 操作系统 SWAP 空间 80G 0 1 盘阵 SAP 应用软件 30G 0 1 盘阵 DB2 应用软件 日志文件 40G 0 1 盘阵 ERP 生产 系统 DB2 数据文件 500G 0 1 盘阵 操作系统 SWAP 空间 50G 0 1 盘阵 SAP 应用软件 30G 0 1 盘阵 DB2 应用软件 日志文件 30G 0 1 盘阵 ERP 测试 系统 DB2 数据文件 500G 0 1 盘阵 操作系统 SWAP 空间 50G 0 1 盘阵 SAP 应用软件 30G 0 1 盘阵 DB2 应用软件 日志文件 30G 0 1 盘阵 ERP 开发 系统 DB2 数据文件 300G 0 1 盘阵 操作系统 SWAP 空间 80G 0 1 盘阵 SAP 应用软件 30G 0 1 盘阵 DB2 应用软件 日志文件 40G 0 1 盘阵 PI 生产 系统 DB2 数据文件 300G 0 1 盘阵 操作系统 SWAP 空间 50G 0 1 盘阵 SAP 应用软件 30G 0 1 盘阵 DB2 应用软件 日志文件 30G 0 1 盘阵 PI 测试 系统 DB2 数据文件 200G 0 1 盘阵 操作系统 SWAP 空间 50G 0 1 盘阵 SAP 应用软件 30G 0 1 盘阵 DB2 应用软件 日志文件 30G 0 1 盘阵 PI 开发 系统 DB2 数据文件 200G 0 1 盘阵 1 3 2 存储系统架构 1 3 2 1 FC SAN 网络存储架构 FC SAN 是通过一个单独的 是基于光纤通道的 SAN 网络把存储设备以及服务器相连 如此 当有海量数据的存取需求时 数据完全可以通过 SAN 网络在相关服务器和后台的存储设备之间高 速传输 对于 LAN 的带宽占用几乎为零 而且服务器可以访问 SAN 上的任何 个存储设备 提高 了数据的可用性 在对性能和可靠性要求较高的场合 采用先进的 SAN 数据存储网络 可以使数 据的存储 备份等活动独立于原先的局域网之外 从而将减轻 LAN 的负载 保证原有网络应用的 顺畅进行 同时 SAN 网采用光纤传输通道 可以得到高速的数据传输率 1 3 2 2 IP SAN 网络存储架构 相对于 FC 存储 IP 存储没有任何限制 服务器接入及多链路实施完全免费 而且软件通用 用户可以自行处理 IP 存储设备性价比高 由于产业链庞大 配件全部标准化 因此性能优越 成本低 而且 IP 存储可以通过网络任意地传送和流通数据 其在容灾备份方面更是性价比高 其 开放的统一环境使得软件的开发产业链非常庞大 其容灾需要的带宽非常低 可以通过 Internet 实时传送数据 1 3 2 3 技术对比 FC SAN IP SAN 协议 FCP 协议 SCSI over FC 协 议效率高 SCSI over IP 协议效率一般 协议开销 协议开销小 基本不占用服务 器本身的 CPU 内存资源 协议开销较大 频繁的封包 解包过程 对性能影响较大 流控 由交换机控制 有主机和设备控制 QOS 服务质量 无阻塞 有保障 有阻塞 没有保障 数据传输性能 高性能数据存储 带宽利用率 传输延时高 受网络环境影响 高 传输时延小 实际带宽 理论带宽的 85 90 理论带宽的 20 30 可靠性 利用双 Fabric 结构和多路径软 件实现高可靠 实现 TCP IP 协议层的路径冗 余 与操作系统层的路径冗余 功能缺乏 安全性 较高的安全性 安全性较低 远程连接能力 一般不超过 100 公里 利用广域 IP 网络实现连接 基于稳定性和安全的角度出发 建议采用 FC SAN 网络存储架构 1 4 备份系统规划 1 4 1 备份软件的选择 备份管理软件的选择对于整个系统的性能至关重要 备份软件不仅要提供良好的备份恢复能力 特别是灾难恢复能力 简便的管理方法和技术领先性 还应该具有上节所述的更高的能力 不仅可 以胜任目前的备份恢复管理 也提供良好的扩展性与前瞻技术能力 1 4 2 备份技术 备份技术多种多样 从根本上可以分为三种 1 网络备份 通常的备份技术 在备份时会造成网络资源及服务器资源的占用 影响业务系统性能 2 LAN Free 备份 备份时不会占用网络资源 但仍然要由应用服务器负担备份数据的传递 应用性能会受到影响 3 Server less 备份 备份对系统是透明的 即不会影响业务系统性能 因此可以消除备份时间的限制 可在白天进 行备份 缩短备份时间间隔 是性能最好的备份技术 一般容易存在一种误区 即如果是 LAN 环境则使用网络备份 使用 SAN 的存储结构则考虑使用 LAN Free 或 Server Less 其实即使不使用 SAN 的存储结构也是实现 LAN Free 和 Server Less 备 份技术的 采用何种备份技术主要取决于企业的业务性质 数据量和备份时间窗口要求 如果网络 带宽不能满足在可提供的时间段内完成所有数据的备份 或网络压力大 则必须要使用高级的备份 技术 使用 Server Less 的主要是一些 24x7 的业务 为了不影响服务性能而采用的 只是一般这 种备份要求与系统对存储架构的要求一致 所以 LAN Free 或 Server Less 的备份技术一般在 SAN 架构下实现 4 灾难恢复 备份系统必须考虑灾难恢复的实现 实际上备份系统本身可以实现所有数据包括系统的恢复 但是时间较长 为了实现快速的灾难恢复 可以采用相应的技术手段 但灾难恢复计划不仅是技术 实现 而是包含很多内容 比如 全面的灾难防范考虑 包括系统信息和恢复步骤等的完整的灾难 恢复文檔以及定期的灾难恢复演习 这些是提高灾难恢复速度的更重要的因素 对这些要做全面的 考虑 5 备份策略 备份策略是备份系统日常工作的准则 备份策略的制定有一定的规律性 也要根据具体的情况 最终目的是为了安全便捷地恢复数据 采用合理的备份策略可以节省备份设备空间并实现快速恢复 具体备份内容和备份策略如表 5 所示 表 5 SAP 系统备份策略 系统 备份内容 备份介质 备份周期 频率 操作系统 备份带库 SAP 安装成功后 系统作重大变更前 SAP 软件 备份带库 SAP 安装成功后 系统作重大变更前 DB2 软件 备份带库 SAP 安装成功后 系统作重大变更前 数据库 日志 备份带库 3 天为一个备份周期 每天执行一次 生产 系统 数据库日志 备份带库 3 天为一个备份周期 每天执行一次 操作系统 备份带库 SAP 安装成功后 系统作重大变更前 SAP 软件 备份带库 SAP 安装成功后 系统作重大变更前 DB2 软件 备份带库 SAP 安装成功后 系统作重大变更前 数据库 日志 备份带库 建议 3 天为一个备份周期 要求每天执行一次 测试 开发 系统 数据库日志 备份带库 建议 3 天为一个备份周期 要求每天执行一次 6 管理及维护 良好的管理和维护是保证备份系统良好运行和可靠恢复的保障 它包括数据 管理员和后备的 技术支持 上面所说的完整的灾难恢复文檔 恢复演习计划 还有日常的管理文檔 备份策略等构成了全 面的管理数据 这使备份的管理成为制度而不是依赖于某个人 管理员可以确保每日的备份正常安 全 而方案建设提供商良好的响应快速的技术支持和维护的重要性则无须赘言 集团信息系统的数据备份平台采用统一集中数据备份平台 根据集团信息系统具体的部署方式 提供基于 LAN Free 数据备份方式 可灵活定制各种备份策略 满足集团当前不同信息系统对数据 备份的需求 保障集团信息系统数据的安全 1 4 3 数据备份系统总体规划 采用 LAN Free 方式的集中数据备份架构设计 备份的数据只在存储区域网 SAN 中流动 数据备份系统设备配置 备份软件 数据备份存储设备 备份服务器 2 0 网络规划建议 2 1 设计原则 设计要求具有高性能 高可用 安全性 扩展性和可管理性 链路为主干千兆 接入百兆 主 要应遵循以下原则 高性能原则 充分考虑业务发展的需要 关键设备保证未来 3 5 年的业务运行需要 符合技术 发展趋势 高可用原则 系统设计能有效的避免单点失败 在设备的选择和关键设备的互联时 应提供充 分的冗余备份 最大限度地减少故障的可能性 保证网络能在最短时间内修复 网络系统的可靠性 支持 1 1 冗余交换引擎 冗余 负载均衡电源 AC 和 DC 冗余链路 包括电源 风扇 引擎 线路板模块 交换背板在内的所有系统单元都可热插拔 如元件增加 转移或替换 而不会导致相关业务中断 在双重交换引擎配置中 为了保护关键应用 需要在最短 的时间内将交换机控制转换到冗余交换引擎上 所有系统单元都可现场替换 从而实现了最大服务 性和最少的网络停机时间 网络应能承受元件 链路 电源以及其它类型的故障 网络必须围绕这些故障收敛 自愈 而 不干扰网络运行并使网络业务的中断最小化 一方面 网络应该能够完成所有这些任务 另一方面 它还要十分简单 以使一般网络管理人员都能配置 监视并管理网络环境 提供网络冗余的设备在 网络正常运行状态下还要对网络有其他好处 比如负载均衡等 安全性原则 生产环境中存在工业生产线 对安全级别要求很高 系统应能提供网络层的安全 手段防止系统外部成员的非法侵入以及操作人员的越级操作 保护网络建设者的合法利益 扩展性原则 所有系统设备不但满足当前需要 并在扩充模块后满足可预见将来需求 如带宽 和设备的扩展 应用的扩展和办公地点的扩展等 保证建设完成后的系统在向新的技术升级时 能 保护现有的投资 可管理性原则 整个系统的设备应易于管理 易于维护 操作简单 易学 易用 便于进行系 统配置 在设备 安全性 数据流量 性能等方面得到很好的监视和控制 并可以进行远程管理和 故障诊断 2 2 网络设计拓扑结构 根据业主意见 网络分为 2 套方案 IP 和 FC 的隔离一套 融合一套 纯 IP 网络拓扑如下 IPSAN 网络拓扑如下 2 3 网络总体规划 根据标准的网络分层分区建设方法 将网络的可靠性 安全性 先进性 易维护性 可扩展性 发挥到最好 从而最终实现建设完善和先进的数据中心的目的 同时考虑整个系统的冗余性和可靠性 整个网络采用冗余结构和分层分级的设计思路进行 由于工业生产线的自动化要求高 系统要求稳定 安全 建议采用两套网络 一套主要用于工 业系统及相关的工业需求 一套主要用于 PI ERP 等办公使用网络 两套网络物理隔离 之间通过 防火墙实现访问 减少病毒 办公网络环路和攻击存在的风险 由于 XXXX 园区规模较小 工业系统及信息系统应用 工作人员网络需求较少 建议按照二层 结构进行规划建设 即核心和接入两个网络层次 出于保证网络核心 层 的可靠性以及网络分流 等因素考虑 局域网设计冗余核心交换机 2 3 1 核心层设计 核心层负责整个网络的数据交换 同时也是整个网络的路由交换中心 全网绝大部分第三层的 转发交换都通过核心节点集中进行 为保证核心节点的高可用性 核心节点采用双机备份方式 设 计工业网络和办公网络核心层各配置两台高性能的核心路由交换机 它们之间通过两条 GE 捆绑实 现互连 流量在捆绑的多条链路上负载分担和备份 两台核心设备构成双机冗余热备结构 达到无 单点故障的目的 这样任意核心节点都可以成为是业务的主要汇总中心 核心节点与汇聚节点之间 形成全冗余连接 以增强整体网络的容错和故障隔离能力 其中工业网络核心交换机设计为双引擎 故障发生后一分钟内完成 failover 切换 本次设计中核心层负责汇聚园区的数据交换使用 同时负责上联核心交换机 下联用户接入层 接入 能够达到线速转发 具备高速上行接口 保证今后 5 年的业务扩展能力 具备 OSPF BGP 等路由协议的三层交换机 适合后续网络发展的大方向 在设计时一般都是将不同部门划分到不同 的 VLAN 中去 为了便于部门内 ACL 策略的统一下发和管理 要求支持 VLAN ACL 的功能 方便简 单 同时要求支持 DHCP Snooping 支持动态 ARP 检测 防止中间人攻击和 ARP 拒绝服务等防止攻 击的特性 2 3 2 接入层设计 在接入层面 考虑到从用户接入起就需要有较强的访问控制 要求交换机必须具备端口限制接 入功能 能够支持通常的数据过滤 流量限速等功能 为增强接入层的安全 还可考虑重要区域接 入层设备支持 DHCP Snooping 防止内部人员在局域网私设 DHCP 服务器 扰乱网络 IP 地址的分配 增强网络抵御攻击的能力 支持动态 ARP 检测 防止中间人攻击和 ARP 拒绝服务 在接入层能够 防止内部局域网的 ARP 攻击 防止病从口入 2 4 Firewall 防火墙作为不同网络或网络安全域之间信息的出入口 能根据安全策略控制出入网络的信息流 且本身具有较强的抗攻击能力 同时 它还可以起到 NAT 网关的作用 防止内网地址外泄 它是 提供信息安全服务 实现网络和信息安全的基础设施 在逻辑上 防火墙是一个分离器 限制器和 分析器 可以有效监不同安全网络之间的任何活动 防火墙在网络间实现访问控制 比如一个是用 户的安全网络 称之为 被信任应受保护的网络 另外一个是其它的非安全网络称为 某个不被 信任并且不需要保护的网络 防火墙就位于一个受信任的网络和一个不受信任的网络之间 通过 一系列的安全手段来保护受信任网络上的信息 企业内部网络通过配置私网地址建立内部互联 对于互联网来说 可以隐藏内网的 IP 地址 并且在网络边界部署防火墙 提高安全策略 隔离内外网 开启攻击防护策略 如有防护不当 极 有可能由于个别的漏洞而导致整个网络的崩溃 因此针对这些区域的安全防护是要考虑的重点内容 本次设计中防火墙划分为 4 个区域 安全等级从高到低分别是工业区 办公区 dmz 区和外联 区 防火墙内置了 IPS VPN failover 功能 在规划和配置上严格按照需求执行就能实现很高的安 全性和可靠性 2 5 UTM UTM 安全网关不仅可以对员工访问 WEB FTP MAIL 等常用服务的内容进行控制 更可以对 QQ BT MSN SKYPE 等各种 P2P 软件的行为进行限制和控制 丰富的报表功能还可以分析出企业 的 Internet 的详细使用情况 为网络管理员和决策者分配和了解员工网络资源提供有效数据支持 基于 Web 的和 LDAP Radius 集成的用户认证功能 使得对上网用户的管理变得十分灵活方便 2 6 Anti ARP 2 6 1 ARP 欺骗攻击的危害性 当您的计算机网络连接正常 却无法打开网页 当您的计算机网络出现频繁断线 同时网速变 得非常慢 这些都可能是由于存在 ARP 欺骗攻击及 ARP 中毒 所表现出来的网络故障情况 ARP 欺骗攻击不仅导致联网不稳定 极大影响网络的正常运行 更严重的是利用 ARP 欺骗攻击 可进一步实施中间人攻击 如果局域网内某台主机运行 ARP 欺骗的木马程序时 会欺骗局域网内所 有主机和网关 让所有网络流量都经过攻击者主机进行转发 攻击者通过截获的信息可得到游戏 网银 文件服务等系统的用户名和口令 这种攻击行为就称为中间人攻击 由此可见 中间人攻击 是一种非常恶劣的网络恶意攻击行为 为什么杀毒软件 防火墙都挡不住 ARP 欺骗攻击呢 主要由于 ARP 欺骗攻击的木马程序 通 常会伪装成常用软件的一部分被下载并被激活 或者作为网页的一部分自动传送到浏览者的电脑上 并被激活 或者通过 U 盘 移动硬盘等方式进入网络 由于木马程序的形态特征都在不断变化和升 级 杀毒软件常常会失去作用 由于 ARP 欺骗攻击 利用了 ARP 协议的设计缺陷 光靠包过滤 IP MAC 端口绑定等传统办 法是比较难解决的 通过对 ARP 欺骗攻击原理的剖析 如果要防御该类型攻击 最理想的办法是在接入层对 ARP 报文进行内容有效性检查 对于没有通过检查的报文进行丢弃处理 在接入层交换机上采取的这种 技术 我们称为 ARP 入侵检测 在网络实际部署中 有时候不能在所有的接入层部署 ARP 入侵检测 为了防止出现 ARP 中毒 引起的中间人攻击 最好在网络核心交换机或者汇聚三层交换机上部署 ARP 欺骗防御策略 ARP 欺 骗防御可以避免网关设备的 ARP 表被攻击者非法改写 对于不能在全网接入交换机部署 ARP 入侵检测的网络 不能单纯靠网络设备进行 ARP 欺骗攻 击防御 因为不管是 ARP 入侵检测 还是 ARP 欺骗防御 都不能防止终端主机受到 ARP 中毒攻击 也不能对发起 ARP 欺骗攻击的终端 PC 进行强制下线惩罚 因此对于不能在全网接入交换机部署 ARP 入侵检测的情况 还需要通过部署端点准入系统或者安全接入认证系统 iMC EAD 系统 进 一步加强 ARP 欺骗攻击的控制和管理 根据客户实际的网络环境 结合接入交换机 核心交换机 可以为您部署全面的 ARP 欺骗攻击 防御方案 以下就从这三个方面描述如何能做到有效防御 ARP 欺骗攻击的 2 6 2 接入层交换机部署 ARP 入侵检测 交换机要防御 ARP 攻击 就必须能够识别并读取 ARP 报文内容 然后根据报文内容判断是否 存在欺骗攻击行为 对于 ARP 欺骗报文进行丢弃处理 在接入层就是利用接入交换机的 ARP 入侵检测 ARP Intrusion Inspection 功能 进行 ARP 欺 骗攻击防御 ARP 入侵检测在接入交换机进行部署 接入交换机同时启用 DHCP Snooping 对 DHCP 报文进行 监测 DHCP Snooping 通过监测 DHCP 报文记录了用户的 IP MAC LEASE TYPE VLAN PORT 等信息 并形成一个 DHCP Snooping 绑定表 交换机端口接收到的 ARP 报文后 通过查找 DHCP Snooping 建 立的绑定关系表 来判断 ARP 应答报文的发送者源 IP 源 MAC 是否合法 若 ARP 报文中的发送者 源 MAC IP 匹配绑定表中的内容 则认为是合法的报文 允许通过 否则认为是欺骗攻击报文 就进行丢弃 ARP 入侵检测能够防止接入终端发起任何 ARP 欺骗攻击 如果全网部署 AII 功能 可有效解决 ARP 欺骗攻击问题 另外由于 ARP 欺骗攻击 经常伴随者发送大量的 ARP 报文 消耗网络带宽资源和交换机 CPU 资源 造成网络速度的速度降低 因此接入交换机还需要部署 ARP 报文限速 对每个端口单位时间 内接收到的 ARP 报文进行限制 很好地保障了网络带宽资源和交换机 CPU 资源 2 6 3 核心交换机部署 ARP 欺骗防御 如果网络中的某台接入层交换机没有部署 ARP 入侵检测 ARP 欺骗攻击就会在该交换机所属的 一个广播域内得逞 这样在局部范围内会发生 ARP 中毒行为 甚至可能会引起中间人攻击 为了防止因 ARP 欺骗而发生的中间人攻击行为 需要在网络核心交换机交换机上部署 ARP 欺 骗防御技术 ARP 欺骗防御可以避免网关设备的 ARP 表被攻击者非法改写 既避免网关设备发生 2 7 VPN 随着信息化程度的不断推进 越来越多的企业开始享受信息化所带来的高效率和便利 这其中 很多企业在全国各地都拥有自身的分支机构 对于这些企业 对分支机构进行信息化建设 企业网 跨地域互联的时候 会比较注意经济性的考虑 对成本比较敏感 VPN Virtual Private Network 具有非常出色的经济实用性 与其他 WAN 解决方案相比 VPN 能够帮助您更加快速经济地实现业务 全球化 大大降低一般性成本并获得快速的投资回报 通过 VPN 用户可将关键任务应用扩展到远程分支机构和外部网合作伙伴 使企业更具竞争力 并提高 客户服务质量 VPN 可以说是 Intranet 在公用网络上的延伸 能提供和专用网一样的安全性 可管理性和传输 性能 企业内部分支机构 移动办公人员 如何能够安全接入到企业网内部也是企业比较关系的问题 用户可以通过 SSL VPN 或则 IPSEC VPN 的安全加密隧道直接连接到内部网络 解决内部应用系统访 问需求 SSL VPN 提供方便 快捷的远程安全接入 直接使用浏览器访问内部网络资源 无需安装客 户端软件 主要用于移动办公人员 为用户提供高经济 低成本的远程移动安全接入方式 IPSEC VPN 通过公众 IP 网络建立私有数据传输通道 将远程的分支办公室 商业伙伴 移动 办公人员等连接起来 减轻企业的远程访问费用负担 并且提供安全的端到端数据通讯 本次设计考虑通过防火墙做 VPN 网关 2 8 Wireless 无线网络系统主要由以下两部分组成 1 无线交换机 Wireless Switch 2 无线接入点 AP 目前流行的第三代无线局域网技术采用无线交换网络架构 实现了基于无线网络交换机 以 AP 为单元交换的无线网络系统 第三代无线系统采用了 Wireless Switch AP 构架 将密集型的无线网络和安全处理功能转移到 集中的 WLAN 交换机中实现 同时加入了许多重要新功能 诸如无线网管 AP 间自适应 无线安 管 RF 监测 无缝漫游以及 QoS 保证 第三代无线系统不但具有一 二代无线产品所有的功能 并且在无线网的规划 管理 安全方 面都有着与一代和二代产品不可比拟的优势 1 在无线网络融合到现有有线网络方面 第三代无线系统所独有的三层路由穿透技术可以不 更改原有有线网络的路由设定 使得无线网络的规划和实施非常方便 2 在无线安全性方面 第三代无线系统同样具备多种用户认证方式 并提供基于用户的状态 防火墙 VPN 加密 无线入侵侦测 无线接入病毒防护功能以及集中的安全管理 考虑到网络的兼容性和高可用性 本项目无线网络采用第三代无线交换机 控制器 瘦 AP 解决方案 接入网络部分 无线 AP 通过 POE 交换机提供电源平均分布于办公区域 无线控制交换机 无 线网络交换机管理系统分布于网络核心层 设计采用了目前基于最先进的第三代无线网络技术的无 线交换机对整个无线网路进行统一的管理 可采用两台无线控制交换机实现设备冗余并对全网 AP 进行集中管理和控制 各覆盖区域内 AP 通过有线连接至 POE 交换机 实现了无线集中控制 考虑到网络的兼容性和高可用性 本次设计无线网络采用第三代无线交换机 控制器 瘦 AP 解决方案 整个厂区包括物流仓库 月台部署 8 个瘦 AP 生产线部署 4 个瘦 AP 2 楼办公室部 署 4 个瘦 AP 一共 16 个瘦 AP 做全建筑的无线信号覆盖 并统一集中管理 AP 无线有效覆盖半径 30 米 50 米左右 设计图如下 2 9 AAA AAA 认证服务器系统主要用于验证 授权和记账 其主要目的是管理哪些用户可以访问网络服 务器 具有访问权的用户可以得到哪些服务 如何对正在使用网络资源的用户进行记账 主要用于 帐号统一管理与认证 并且可以审计外部用户通过互联网 VPN 进行企业网络操作 当认证用户数 量不多的情况下 可以考虑使用系统本地认证的方式实现安全认证 特点是成本低 工作量大 本次设计中考虑 AAA 服务中采用外部业主已有的活动目录做相应管理和认证 2 10 IPS 入侵防御系统 IPS 实现实时检查和阻止入侵的原理在于 IPS 拥有数目众多的过滤器 能够防 止各种攻击 当新的攻击手段被发现之后 IPS 就会创建一个新的过滤器 IPS 数据包处理引擎是专 业化定制的集成电路 可以深层检查数据包的内容 如果有攻击者利用 Layer 2 介质访问控制 至 Layer 7 应用 的漏洞发起攻击 IPS 能够从数据流中检查出这些攻击并加以阻止 传统的防火墙只能 对 Layer 3 或 Layer 4 进行检查 不能检测应用层的内容 防火墙的包过滤技术不会针对每一字节进 行检查 因而也就无法发现攻击活动 而 IPS 可以做到逐一字节地检查数据包 所有流经 IPS 的数 据包都被分类 分类的依据是数据包中的报头信息 如源 IP 地址和目的 IP 地址 端口号和应用域 每种过滤器负责分析相对应的数据包 通过检查的数据包可以继续前进 包含恶意内容的数据包就 会被丢弃 被怀疑的数据包需要接受进一步的检查 针对不同的攻击行为 IPS 需要不同的过滤器 每种过滤器都设有相应的过滤规则 为了确保 准确性 这些规则的定义非常广泛 在对传输内容进行分类时 过滤引擎还需要参照数据包的信息 参数 并将其解析至一个有意义的域中进行上下文分析 以提高过滤准确性 过滤器引擎集合了流水和大规模并行处理硬件 能够同时执行数千次的数据包过滤检查 并行 过滤处理可以确保数据包能够不间断地快速通过系统 不会对速度造成影响 这种硬件加速技术对 于 IPS 具有重要意义 因为传统的软件解决方案必须串行进行过滤检查 会导致系统性能大打折扣 本次设计 IPS 集成在防火墙上 通过监控端口实现工业网络和办公网络的恶意流量监控和防御 2 11 设备利旧 现有设备包括一些小交换机 防火墙和流量控制器 可以部署进办公网络继续发挥余热 做现 有设计的扩展和支持 3 0 机房规划 3 1 机房概述 3 1 1 概述 XXXX 机房场地技术设计要求将参照国家标准 计算站场地技术要求 GB2887 89 和 电子 计算机机房设计规范 GB50174 93 执行 图1 1 中心机房布局示意图 3 1 2 设计原则 依据和设计目标 3 1 2 1 项目介绍 XXXX 机房是整个厂区数据交换的枢纽 整个中心机房基本工程包括有程控交换系统 机房专 业装修系统 配电系统 防雷接地系统 空调及新风系统 消防系统 综合布线系统 门禁系统 闭路监视系统等 机房区域规划基本可分为三大部份 数据机房 UPS 间 备件库 3 1 2 2 设计目标 机房总体设计要达到如下的目标 合理分布工作空间及各类设备安装场所 缩短工艺流程 降低劳动强度 提高工作效率 确保 电子计算机系统稳定可靠运行 保障机房良好的运行环境 并且以国家有关标准及规范为依据 根据建设单位提出的要求与现场实际情况以及计算机系统实际操作运行等情况进行设计 力求 在设计 选材中做到整体布局的合理化和科学化 机房各项功能完整配套 达到专业规范 技术先进 经济合理 安全适用 质量优良 管理方 便之目的 3 1 3 机房总体规划 机房总体规则就是按照标准化的流程 规模化的运作 优质 快速的向业主提供现代化机房工 程建设方案 机房总体建设解决方案由建筑装修系统 供配电系统 空调系统 消防系统 防雷接 地系统 通讯系统 安防系统及监控系统等八大部分组成 3 1 3 1 机房建设系统组成 机房总体建设解决方案 大体由八个部分构成 包括 建筑装修系统 供配电系统 空调系统 消防系统 防雷接地系统 通讯系统 安防系统和监控系统 1 建筑装修系统 建筑装修系统 是整个机房的基础 它主要起着功能区划分及保证机房环境的作用 又可分为 电磁屏蔽系统 抗静电地板系统 防尘吸音天花系统及其他装饰等四个子系统 2 空调系统 空调系统 是机房运行环境的保障 机房环境有严格的要求 其中最重要的是温度 湿度和洁 净度 空调系统分为精密空调系统 普通空调系统 新风系统 排风系统等四个子系统 3 供配电系统 配电系统 是整体机房高可用性的后盾 计算机机房的供配电系统是一个综合性供配电系统 机房配电系统又可分为 UPS 配电系统 直流配电系统及普通动力配电系统及照明系统四个子系统 并增加 40KW 柴油发电机组一组 4 消防系统 消防系统 是整体机房安全运行的盾牌 从对火警的探测系统来看 它具有温感 烟感探测器 红外探头 对于灭火系统来说 基本上大多数机房都采用的是气体灭火系统 这就要求在整体机房 的设计和施工中 首先必须进行消防系统的选择 消防系统又可分为气体自动灭火系统 消防自动 报警系统 水喷淋系统三个子系统 5 防雷接地系统 防雷接地系统可分为防雷系统和接地系统二个子系统 6 通讯系统 通讯系统 是整体机房的神经中枢 主要包括结构化布线系统 7 安防系统 安防系统又分为 门禁系统 摄像监控系统 环境监控系统及电子巡更系统四个子系统 3 2 中心机房规划设计 3 2 1 机房建设总体设计 XXXX 机房其整体的可靠性和可用性至观重要 因此 根据项目的实际情况 参考相关标准 主机房按照国标 GB2887 89 计算站场地技术条件 B 级 标准设计 1 机房地面 地面使用抗静电提升地板 全钢防静电地板 硫酸钙防静电地板 均布荷载 大于 500KG 平方米 集中荷载 大于 1200KG 活动地板高度 600mm 2 机房墙 柱面 采用轻钢龙骨埃特板基层 铝塑复合板做饰面 塑铝板表层与底层材料均使用铝箔 中间层为 PVC 材料 板面平整 光洁 色泽持久 板材较薄 易剪切 外形美观 质地上乘 能够防火阻燃 并具有不易积灰 不易起尘 易于清洁的特点 而且便于在墙内走线 采用砖墙密封窗户外墙 3 吊项 顶部需做防尘处理并采用岩棉夹层密封后做微孔铝板吊顶 规格为 600X600 方型板 与墙壁和 地面协调一致 4 分隔 采用12MM 厚钢化玻璃 使视觉效果宽敞 又能分开不同工作区域 5 配电和机房照明 中心机房按 B 类设计 总用电量约70KVA 其中照明及其他辅助用电量 5KW UPS 电源采用三 进单出40KVA 精密空调25 KVA 6 接地 计算机系统直流接地电阻小于1 7 消防系统 采用七氟丙烷气体自动灭火系统及自动报警系统 8 机房安防系统 机房安保系统主要包含门禁系统和闭路监控系统 门禁设2 个点 监控系统根据机房的实际情 况共设6 个监控点 3 2 2 机房装修工程设计 3 2 2 1 设计原则 机房是各类信息数据的处理中心 由于系统内各类信息数据的重要性 敏感性 及时性 机房 内放置的计算机设备 通讯设备 网络设备及辅助系统设备不仅因为是高科技产品而需要一个非常 严格的操作环境 更重要的是只有计算机系统可靠地运行 才能保证通讯网络枢纽畅通无阻地传递 信息 而计算机系统可靠运行要依靠计算机房的严格的环境条件 机房温度 湿度 洁净度及其控 制精度 和工作条件 防静电性 防火性等 3 2 2 2 机房区地面设计 防静电的活动地板 600 600 下需要做防尘处理 同时还应做防鼠 防水 防火间隔 主机 房抗静电的活动地板下 由于采用下送风式精密空调 机房不在最底层需要做地面保温以防结露 3 2 2 3 机房入口设计 考虑到机房内设备较重 在机房入口出应设防滑斜台以供设备推入机房 该斜台不但能承受机 房设备的重量 还有挡水功能以防机房外水患侵入机房 我们采用步级做为收口 3 2 2 4 墙身及隔断设计 而对于 B 级要求的机房 为了增加机房的密封性及墙身的保温性 同时可屏蔽一定数量的电磁 波及无线电波干扰 一般要求墙身材料为金属饰面板内衬具有保温隔热功能的底板 根据本机房的具体情况 分别设计如下 1 运输通道 信息机房的隔断未来通透 美观 采用玻璃隔断 2 其它的隔墙采用轻钢龙骨硅酸钙板隔断 采用钢化玻璃隔断时应注意 耐压要求 一般机房为正压 当有火警时灭火气体会增加机房压 力 故玻璃耐压强度不应小于1200Pa 既承载700千克 平方米 3 2 2 5 机房防水处理 机房施工前应先确认外墙无渗水 漏水现象 如有 则应先对外墙进行防水处理才能进行机房 施工 机房内除防止内部管路渗 漏水外 机房外其它区域有水渗入机房的事例也屡见不鲜 因此机 房外围应具有防水功能 一般在400mm 高以下进行防水处理即可满足要求 3 2 2 6 机房门窗处理 机房的门应保证最大设备能进出 根据现场具体情况 本工程门设计如下 1 外围大门 本机房有一个外围大门 防火考虑采用全钢防火门 门上安装可90 度定位闭门 器 2 内隔墙门 原则上内隔墙门与墙体统一 即玻璃隔断采用玻璃掩门 气瓶室采用钢制防火 门 机房内为保证环境 所有外窗进行全封闭 3 2 2 7 机房等电位处理 机房所在大楼原有防雷接地系统保护了机房免受直击雷的危害 但仍然具有遭受雷电危害潜在 的危险 计算机机房作为一个重要的网络中心 集中了大量微电子设备 而这些设备内部结构高度 集成化 从而造成设备耐过电压 过电流的水平下降 对雷电浪涌的承受能力下降 3 2 3 机房配电工程设计 3 2 3 1 设计原则 1 双总线输入 和 双总线输出 的 UPS 冗余供电系统向计算机及网络通讯设备供电 2 必须在配电柜上安装避雷器 它可以防止闪电和电网开关切换的影响 3 机房设备系统安装后 要考虑三相平衡问题 4 重视电源频率 电压波动及市电负荷能力 5 动力 照明电线 电缆尽量采取沿天棚经线槽 镀锌钢管敷设 UPS 电缆最好采用防干扰 屏蔽电缆 沿地板下敷设 敷设时仍要采取防干扰措施 3 2 3 2 机房供配电系统设计 负荷级别的确定 考虑到该计算机机房和弱电中控的重要性 按二级或一级负荷机房用电进行设计 供配电系统划分与供电方式的确定 计算机机房供配电系统一般应划分为三部分组成 即计算机设备供配系统 机房辅助设备供配 系统 备用供电系统 用电负荷的计算 中心机房按 B 类设计 预计安防16个600 1000 2000标准42U 机柜 总用电量约70KVA 其中 照明及其他辅助用电量5KW UPS 电源采用三进单出40KVA 精密空调25 KVA 3 3 技术方案 考虑到 XXXX 机房项目的重要性和特殊性 全面考虑系统的冗余性 可扩容性 总体成本 可 维护性 可管理型 先进性等各方面因素 基于上述原因 为了解决机房内占据主导地位的机柜安装模式的 IT 类型设备的新的要求 机 房基础设施必须全面改进 适应 IT 设备的变化 技术上必须遵循下述的新的思路和设计原则 提供机柜级别复合密度解决方案 当今的 IT