打造IT服务卓越品牌

深圳IT外包公司蓝色快线专业提供IT外包、企业电脑外包、企业IT外包服务、政府IT办公设备维护、工厂电脑维修、网络维护、服务器维护、安防视频监控等IT helpdesk support服务,是国内专业IT外包服务商。

服务热线:

4006-428-266

蓝色快线为各行各业提供专业技术服务15周年,打造IT服务卓越品牌。 蓝色快线--您身边的IT专家! 修电脑,找蓝快,修得好,修得快!
  • 1
  • 2
  • 3

机房运维

联系我们

  • 电话:18689469890

    邮箱:tangshengchun@lankuai.info
    福田地址:深圳市福田区华强北宝华大厦A座1088室
    龙岗地址:深圳市龙岗区坂田街道发达路云里智能园07栋2楼西侧

您所在的位置:首页  »  网络工程  »  机房运维

机房硬件改造

来源:本站 发布时间:2013/11/6 17:33:15 点击量:

一、网络系统需求分析网络系统是信息系统的基础设施。

  网络设计时应充分考虑系统的实用、稳定、开放、先进、扩 展、安全和经济性以及使用和维护的方便。网络主干采用国际或国内先进成熟的网络技术,桌面采 用快速交换以太网方式技术。网络系统需求可以归纳如下:

  1) 高速率:网络系统具有强大的核心层,内部主干达到 1G 速率,到桌面速率达到 100M,保高速率: 证应用得到及时的处理。

  2) 高容错性:为了保证系统稳定运行,核心网络设备端口和通道有冗余。 高容错性:

  3) 互联性:采用 TCP/IP 协议作为合肥市新站区管委会局域网的技术基础架构。 互联性:

  4) 高安全性:由于合肥市新站区管委会局域网络是开发区的数据中心,各外联单位可通过 高安全性: VPN 节点连接到合肥市新站区管委会网络,要防止外来非法用户入侵本系统,或防止外 来用户对系统的破坏,因而必须具备高安全性。

  二、 主机系统需求分析 主机系统需求分析目前合肥市新站区管委会的业务系统主要有内外网 WEB、OA、MAIL、FTP 服务器,用户访问量 的不断增加服务器。

  需求如下:

  一)WEB、FTP 应用服务器需求 能够提供用于 WEB、FTP 应用系统使用。 不仅要求稳定性高,还要考虑到随着业务需求的不断增加,越来越多的客户会不断加 入。 支持 Windows/Linux 等多操作系统。

  二)OA、mail 系统服务器需求 具有较高的运算能力。 可承受每天百万次的访问量。 具有高可用性解决方案。 具有较强的扩展能力。 采用双机工作模式。 支持 Windows/Linux 等多操作系统。 需要存储客户数据、客户业务办公数据,能够满足 7×24 小时关键业务应用,具有在 线扩展能力和高速数据吞吐。

  三、系统安全需求分析

  (一)防火墙需求 防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域 之间的隔离与访问控制。据有关数据统计,防火墙的加设会使整个网络的安全风险降低 90%。 防火墙可以做到网络间的访问控制需求, 过滤一些不安全服务, 可以针对协议、 端口号、 时间、 邮件地址等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能,可以对您所要求的 策略来记录所有不安全的访问行为。

  (二)安全管理需求 “三分技术,七分管理”是网络安全领域的一句至理名言,在安全业界,安全重在管理的观念 已被广泛接受,因此,对用户安全策略、安全制度等问题的建议也应当作为安全解决方案的重要组 成部分。通过加强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效的使 用。

  (三)安全总体目标 基于以上的需求分析,投标方案的安全网络系统应可以实现以下安全目标:

  1 建立一套完整可行的网络安全与网络管理策略并加强培训,提高全体人员的安全意识及反黑 技术。

  2 加强物理安全防护,特别是采取措施防止涉密的信息通过电磁辐射的方式泄露。

  3 利用防火墙实现内外网及不信任域之间的隔离与访问控制。

  4 通过主机防火墙、防病毒、安全存储、来保证个人主机或重要服务器的网络安全防护。

  (四)建设目标 合肥市新站区管委会的网络建设总体目标是建设一个目前基于传输数据、确保将来传输语音、 视频、图像等信息的可升级、具有较大容量高速传输能力、有稳定可靠的质量保证的信息化综合网络。

  具体建设目标如下:

  1、架构高速的网络通道,组建一个延时小、响应速度快、传输效率高、信息吞吐量大、高可 用的综合应用网络,满足数据集中要求,具备业务可扩展能力。

  2、建立多应用统一的网络平台,为目前和今后的业务与管理等不同应用系统提供统一的多功 能的网络支撑环境。 3、建立具有超前性、先进性与可扩展性的网络体系,为新站开发区的网络提供持续发展前景。

  4、建立规范化、标准化的安全体系,为全网提供安全可靠的安全运行机制。注意避免出现“瓶 颈”效应,保证网络 7x24 小时可靠运行。

  5、建立统一的网络管理平台,应用高效科学的网络管理技术,实时监控网络运行情况,提高 网络管理水平。 6、采用 TCP/IP 网络协议,UNIX 或 Windows NT 操作系统和 Client/Server、Intranet 体系结构。 根据以上总体目标,网络设计应满足高性能、高可用性、可管理性、安全性等需求和原则,同 时,选择的设备应具有可扩展性、开放性、先进性、成熟性等特征。

  四、技术方案要求

  (一)网络系统设计

  合肥市新站区管委会的计算机网络系统由内外网合一,通过专线连入合肥市电子政务专网,由 合肥市电子政务平台提供互联网统一出口,同时新站区管委会另有一条 10M 电信宽带线路可提供 公网入口。由于此次改造需要能够使本区工作人员能够在外网正常使用内网 OA 办公系统,故需要 能够为外部网络提供 VPN 拨号通道,办公大楼部分采用星形拓扑结构交换式千兆以太网技术。

  (二)拓扑结构设计 根据国家电子政务的总体设计思想,鉴于合肥市新站区管委会应用需求及其信息安全等特殊 要求性。网络应采用逐层保护的指导原则,利用宽带 IP 技术,保证网络的互联互通,提供具有一 定的 QOS 保障,建成的网络以 IP 为主流技术。在物理网络结构的设计上采用的拓扑结构划分为核 心层和接入层。

  (三)网络方案描述 投标方案应设计网络的核心交换机应采用 2 台核心交换机,2 台核心交换机采用 vrrp+vllp 备份 理由技术实现双机冗余,确保网络 7*24 小时不间断。网络运行正常情况下内网的主机是 A 机、备 机是 B 机,外网的主机是 B 机、备机是 A 机,任意一台交换机出现故障,A 机与 B 机自动切换。 接入层交换机采用 24 口百兆 2 口千兆电口系列实现千兆电口双链路上联,百兆到桌面。

  网络设计需要有高度的扩展性和可靠性,能够满足现有和未来业务的发展需要。 内网出口与电子政务专网连接,作为内网的边界安全防护,实现与市政府各委办局的网络进行 互联。 外网出口采用一台百兆带 VPN 接入的防火墙与互联网连接,作为外网的边界安全防护,实现 与国际互联网进行互联,并可以利用 VPN 技术实现外部 OA 远程办公。 由于存在电子政务专线和电信 10M 光纤,本系统架构出现两个互联网出口(一个电信、一个 电子政务专网) ,应在核心交换机采用路由优先级策略,决定大楼内部网络访问使用哪种出口。 由于服务器大部分采用的是单网卡设计,要保证核心交换机的冗余配备,应采用增加一台全千 兆二层交换机作为 DMZ 去服务器群的汇聚交换机,该交换机双链路上联于千兆防火墙设备,保证 服务器区域高速稳定运转,同时在此部署一台千兆高端防火墙设备,解决授权部分合法的内网用户 访问不同的服务器资源,不合法的用户不容许访问相关的服务器资源。 区委会下属单位,由于是单链路链接,建议采用一台全千兆高性能智能三层交换机作为外派单 位的接入平台,该设备双链路上联于两台核心交换机。 网络总体拓扑结构图规划如下:

  (四)系统安全设计 一)防火墙系统 防火墙技术是目前网络边界保护最有效也是最常见的技术。 采用防火墙技术, 对重要节点和网 段进行边界保护,可以对所有流经防火墙的数据包按照严格的安全规则进行过滤,将所有不安全的 或不符合安全规则的数据包屏蔽,防范各类攻击行为,杜绝越权访问,防止非法攻击,抵御可能的 DOS 和 DDOS 攻击。通过合理布局,形成多级的纵深防御体系。 通过在网络边界处部署并正确配置防火墙,可以解决以下安全问题: 保护脆弱的服务 通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。

  例如,防 火墙可以禁止 NIS、NFS 服务通过,防火墙同时可以拒绝源路由和 ICMP 重定向封包等安全威胁。 控制对系统的访问 防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。

  例如,防火墙允许外部访问特定的 Web 和 FTP 服务器。 集中的安全管理 防火墙对企业内部网实现集中的安全管理, 在防火墙定义的安全规则可以运用于整个内部网络 系统,而无须在内部网每台机器上分别设立安全策略。如在防火墙可以定义不同的用户,而不需在 每台机器上分别安装特定的认证软件。内部用户也只需要经过口令认证即可通过透明代理访问外部网。 保护网络拓扑 使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如 Finger 和 DNS 等。 记录和统计网络日志 防火墙可以记录和统计通过防火墙的网络通讯, 提供关于网络使用的统计数据并对非法访问作 记录日志,从防火墙或专门的日志服务器提供统计数据,来判断可能的攻击和探测,利用日志可以 对入侵和非法访问进行跟踪以及事后分析。

  二)核心交换机 核心交换机 整机模块化设计,关键部件均能提供冗余; 具有较高的交换容量和转发性能,能够保证设备长期稳定、高效的运行; 通过自身具备的安全防护技术能够增强设备对网络安全事件的防御能力; 面向 10G 平台设计,支持 IPV6 金牌认证和电信入网认证。

  三)汇聚接入交换机: 汇聚接入交换机: 能够提供 24 口的百兆用户接入和 2 个千兆光纤复用接口; 具有较高的交换容量和转发性能,能够满足直接用户接入的性能需求; 自身具备较好的抗攻击能力和安全防护能力; 支持网络准入控制安全框架。 支持标准的 SNMP 网络管理协议。

  四)网络管理系统: 网络管理系统: 能够对全网网络设备进行统一的配置和管理; 提供拓扑自动发现功能; 具备人性化界面。

上一条:机房系统改造 | 下一条:机房供配电系统