江蘇中能硅業(yè)數(shù)據(jù)中心技術(shù)標(biāo)書

PAGE75江蘇中能硅業(yè)科技發(fā)展有限公司網(wǎng)絡(luò)系統(tǒng)集成項目技術(shù)標(biāo)書上海華訊網(wǎng)絡(luò)系統(tǒng)有限公司2011年3月目錄TOC\o"1-2"\h\z\u第一部分項目綜述 9第1章項目背景 101.1數(shù)據(jù)中心項目背景 101.2數(shù)據(jù)中心發(fā)展技術(shù)目標(biāo) 10第2章整體需求分析 132.1核心網(wǎng)絡(luò)系統(tǒng)需求分析 132.2融合通訊系統(tǒng)需求分析 142.3服務(wù)器平臺需求分析 152.4存儲平臺改造需求分析 16第3章項目資質(zhì)文件 17第二部分項目實施計劃書 18第1章項目組織、管理和運輸計劃 191.1項目組織和管理的方法 191.2質(zhì)量管理的方針、目標(biāo)和承諾 191.3項目人員組成 211.4項目的組織管理和分工界面 231.5運輸計劃 26第2章質(zhì)量控制計劃，驗收計劃 272.1項目實施方案制定 272.2項目實施前準(zhǔn)備 282.3驗貨/實驗測試 282.4施工環(huán)境確認(rèn) 302.5整網(wǎng)系統(tǒng)聯(lián)調(diào) 312.6集成驗收 312.7網(wǎng)絡(luò)終驗階段 312.8運行驗收計劃 31第3章作業(yè)時間進(jìn)度表 34第三部分核心網(wǎng)絡(luò)系統(tǒng)工程方案 36第1章網(wǎng)絡(luò)總體方案設(shè)計 371.1網(wǎng)絡(luò)改造目標(biāo) 371.2設(shè)計原則 37第2章基礎(chǔ)網(wǎng)絡(luò)詳細(xì)設(shè)計方案 382.1網(wǎng)絡(luò)總體架構(gòu)圖 382.2網(wǎng)絡(luò)設(shè)備、板卡及接口規(guī)范 402.3IP地址、設(shè)備端口規(guī)劃 432.4網(wǎng)絡(luò)路由設(shè)計 482.5網(wǎng)絡(luò)安全設(shè)計 512.6QOS設(shè)計 56第3章網(wǎng)絡(luò)設(shè)備清單 593.1核心交換機C7609（2臺）： 593.2接入交換機C2960（30臺）： 593.3無線設(shè)備（100個熱點）： 603.4防火墻ASA5550（2臺）： 603.5路由器C3845（2臺）： 603.6網(wǎng)康行為管理NI-5110（1臺）： 613.7POE接入交換機（50臺）： 613.8寶利通視頻設(shè)備： 613.9IBM服務(wù)器(3套)： 61第4章網(wǎng)絡(luò)設(shè)備介紹 634.1防火墻CiscoASA5550 634.2Cisco7609數(shù)據(jù)中心交換機 69第四部分云計算平臺-UCS服務(wù)器方案 78第1章數(shù)據(jù)中心計算平臺目標(biāo)架構(gòu) 791.1江蘇中能硅業(yè)公司數(shù)據(jù)中心設(shè)計目標(biāo) 811.2江蘇中能硅業(yè)公司數(shù)據(jù)中心虛擬化的意義 81第2章統(tǒng)一調(diào)度系統(tǒng)在UCS平臺實現(xiàn) 86第3章思科UCS系統(tǒng)簡述 883.1整體優(yōu)勢 883.2技術(shù)對比細(xì)節(jié) 893.3總結(jié) 101第4章思科UCS配置清單 107第五部分融合通訊系統(tǒng)技術(shù)方案 110第1章統(tǒng)一通信系統(tǒng)概述 1111.1應(yīng)用優(yōu)勢 1111.2未來趨勢 111第2章統(tǒng)一通訊系統(tǒng)設(shè)計 1132.1需求分析 1132.2總體設(shè)計概述 1132.3設(shè)備部署和使用 1142.4系統(tǒng)的擴(kuò)展 1142.5統(tǒng)一通信調(diào)度系統(tǒng)功能設(shè)計 115第3章系統(tǒng)部署及設(shè)備配置 1213.1主要設(shè)備選型 1213.2總體部署結(jié)構(gòu) 1243.3對網(wǎng)絡(luò)的需求 125第4章主要設(shè)備/軟件介紹 1274.1CiscoUnifiedCommunicationManager 1274.2思科騰訊通8.5 1304.3統(tǒng)一調(diào)度系統(tǒng) 1364.4騰博E20桌面視頻系統(tǒng) 1364.5Cisco?UnifiedIPPhone9951 1364.6融合通訊系統(tǒng)配置清單 136第六部分存儲系統(tǒng)技術(shù)方案 136第1章存儲技術(shù)方案 1361.1基于NetApp存儲和SnapMirror技術(shù)的本地數(shù)據(jù)保護(hù)和異地容災(zāi) 1361.2SnapMirror技術(shù)介紹 1361.3配置清單 1361.4后期建議：基于SymantecVCS的集群解決方案 136第2章NetApp存儲基礎(chǔ)功能介紹 1362.1創(chuàng)新的RAID技術(shù) 1362.2WAFL技術(shù) 1362.3Snapshot快照備份技術(shù) 1362.4SnapRestore數(shù)據(jù)快速恢復(fù)技術(shù) 1362.5FlexVol虛擬存儲管理 1362.6FlexShare訪問優(yōu)先級控制技術(shù) 136第3章NetAppFAS2040/A產(chǎn)品介紹 1363.1概述 1363.2技術(shù)規(guī)格 1363.32000系列產(chǎn)品比較 136第4章主要硬件設(shè)備系統(tǒng)規(guī)格 1364.1NetAppFAS2040A存儲 1364.2QuantumDxi7500虛擬磁帶庫 1364.3QuantumScalari500磁帶庫 136第5章類似案例 136第七部分虛擬教室方案 136第1章虛擬教室解決方案 1361.1方案架構(gòu)圖 1361.2方案概述 1361.3虛擬化桌面系統(tǒng)服務(wù)器硬件配置建議 1361.4虛擬化桌面系統(tǒng)服務(wù)器軟件配置 1361.5第三方相關(guān)軟件 1361.6網(wǎng)絡(luò)流量 136第2章VMwareView桌面虛擬化優(yōu)勢分析 1362.1具有分布式計算的優(yōu)勢 1362.2具有成本節(jié)約的優(yōu)勢 136第3章瘦客戶機在企業(yè)辦公中的優(yōu)勢 136第4章WyseC10le產(chǎn)品介紹 136第5章WyseTCX軟件 1365.1Multi-display多顯示感知 1365.2WyseTCXMultimedia豐富的多媒體支持 1365.3WyseTCXUSBVirtualizer連接您的常用USB設(shè)備 1365.4WyseTCXRichSound不折不扣的高質(zhì)量音頻 136第6章VMwareView桌面虛擬化產(chǎn)品簡介 1366.1ViewManager產(chǎn)品簡介 1366.2ViewComposer功能簡介 1366.3ThinApp功能簡介 1366.4離線桌面功能簡介—實驗用 136第7章VMwareView桌面虛擬化方案設(shè)計 1367.1View桌面虛擬化方案架構(gòu)圖 1367.2虛擬桌面架構(gòu)方案構(gòu)成部分詳細(xì)說明 136第8章虛擬桌面配置清單 136第八部分售后服務(wù)方案、風(fēng)險控制計劃、技術(shù)差異性描述 136第1章備件/備機庫介紹 136第2章售后服務(wù)方案 1362.1原廠質(zhì)量服務(wù)承諾書 1362.2售后服務(wù)項目小組名單 1362.3維護(hù)項目內(nèi)部流程控制 1362.4華訊維護(hù)服務(wù)概述 1362.5華訊服務(wù)詳述 1362.6華訊網(wǎng)絡(luò)維護(hù)管理和操作流程（含備件備機的調(diào)用補充流程） 1362.7故障診斷和故障排除的標(biāo)準(zhǔn)化流程 136第3章服務(wù)要求點對點應(yīng)答 136第4章風(fēng)險控制計劃 136第5章技術(shù)差異性 136附件：類似案例- 136第一部分項目綜述項目背景為進(jìn)一步推進(jìn)江蘇中能硅業(yè)科技發(fā)展有限公司信息化建設(shè)，以信息化推動江蘇中能硅業(yè)科技發(fā)展有限公司業(yè)務(wù)工作的改革與發(fā)展，需要在新建的江蘇中能硅業(yè)核心機房內(nèi)建設(shè)江蘇中能硅業(yè)公司的新一代綠色高效能數(shù)據(jù)中心。未來集團(tuán)數(shù)據(jù)大集中可能會做在現(xiàn)在構(gòu)建的數(shù)據(jù)中心平臺。因此此次數(shù)據(jù)中心平臺建設(shè)要充分考慮擴(kuò)展性。在建設(shè)數(shù)據(jù)中心中各項技術(shù)使用要從實用、高效、高性價比、可持續(xù)發(fā)展的多個角度著眼。新的江蘇中能硅業(yè)公司數(shù)據(jù)中心需要為用戶提供更多的服務(wù)，數(shù)據(jù)是其中非常重要的部分。2008年“數(shù)據(jù)”還是一個非常時髦的名詞，2009年則堪稱數(shù)據(jù)應(yīng)用風(fēng)起云涌的一年。2010年，數(shù)據(jù)已呈現(xiàn)不可逆轉(zhuǎn)的發(fā)展趨勢——計算機的發(fā)展脈絡(luò)將從大型機、微型機、PC、可聯(lián)網(wǎng)的終端設(shè)備，逐步發(fā)展為數(shù)據(jù)。這將使整個IT硬件行業(yè)的每一層面都發(fā)生重大轉(zhuǎn)移。新數(shù)據(jù)中心將使企業(yè)的IT預(yù)算縮水，預(yù)算將分配給更富有戰(zhàn)略意義的項目；運營所需的能源將大大節(jié)省，實現(xiàn)綠色環(huán)保，低碳高效的數(shù)據(jù)核心平臺；硬件分配也將發(fā)生根本性變化，從而適應(yīng)新的購買需求，跟進(jìn)新技術(shù)發(fā)展，從而使業(yè)務(wù)生產(chǎn)更加高效。整體需求分析核心網(wǎng)絡(luò)系統(tǒng)需求分析目前的數(shù)據(jù)中心網(wǎng)絡(luò)存在弊端：1）單點核心可靠性存在缺陷2）網(wǎng)絡(luò)帶寬存在瓶頸3）網(wǎng)絡(luò)安全性存在弊端4）沒有能夠?qū)崿F(xiàn)數(shù)據(jù)虛擬化要求5）網(wǎng)絡(luò)架構(gòu)不能支持?jǐn)?shù)據(jù)通訊和監(jiān)控平臺的搭建具體闡述如下：目前的網(wǎng)絡(luò)結(jié)構(gòu)：目前骨干網(wǎng)絡(luò)缺乏冗余性：硅材料公司網(wǎng)絡(luò)核心是一臺C7609為核心交換機，數(shù)據(jù)中心核心也為一臺C7609為核心交換機。兩處核心交換機通過千兆光纖互聯(lián)，雖然兩臺核心交換機都是雙電源雙引擎板配置。但是路由鏈路不存在冗余性，無論哪處的C7609由于硬件故障宕機就會使網(wǎng)絡(luò)癱瘓而導(dǎo)致嚴(yán)重后果。目前的核心網(wǎng)絡(luò)是骨干千兆網(wǎng)絡(luò)：目前只有業(yè)務(wù)數(shù)據(jù)包可以勉強滿足需求，但將來存在視頻數(shù)據(jù)，語音數(shù)據(jù)，虛擬化數(shù)據(jù)等的傳輸此骨干帶寬將不能勝任。目前的網(wǎng)絡(luò)不能有效實現(xiàn)安全保護(hù)：在核心交換機C7609上只有一塊防火墻模塊作為內(nèi)部網(wǎng)絡(luò)的保護(hù)，但在互聯(lián)網(wǎng)和廣域網(wǎng)出口缺少防火墻設(shè)備作策略保護(hù)和數(shù)據(jù)報文的檢測。并且現(xiàn)用的防火墻模塊只是單臺存在冗余性缺陷。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊也隨之泛濫。網(wǎng)絡(luò)安全防護(hù)是企業(yè)網(wǎng)絡(luò)最重要的環(huán)節(jié)。內(nèi)部主機上網(wǎng)目前沒有有效的限制，需要配置上網(wǎng)行為管理設(shè)備對上網(wǎng)行為做限制和保護(hù)。單核心交換機使用年限較久缺乏穩(wěn)定性：兩處核心交換機C7609設(shè)備使用年限較長，板卡幾乎插滿機框，設(shè)備載荷過重不利于網(wǎng)絡(luò)穩(wěn)定性，讓這樣的設(shè)備處于整網(wǎng)的核心位置甚為不妥。沒有實現(xiàn)虛擬化平臺架構(gòu)：目前的網(wǎng)絡(luò)設(shè)計還局限在面向組件的服務(wù)概念（即非虛擬化平臺），而面向服務(wù)（虛擬化）的設(shè)計思想已成為解決來自業(yè)務(wù)變更、業(yè)務(wù)急劇發(fā)展所帶來的資源和成本壓力的最佳途徑，從業(yè)務(wù)層面上提出摒棄傳統(tǒng)的“面向組件”的開發(fā)方式，而轉(zhuǎn)向“面向服務(wù)”的開發(fā)方式，即應(yīng)用軟件應(yīng)當(dāng)看起來是由相互獨立、松耦合的服務(wù)構(gòu)成，而不是對接口要求嚴(yán)格、變更復(fù)雜、復(fù)用性差的緊耦合組件構(gòu)成，這樣可以以最小的變動、最佳的需求溝通方式來適應(yīng)不斷變化的業(yè)務(wù)需求增長。因此，目前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施所提供的服務(wù)能力已無法適應(yīng)當(dāng)前業(yè)務(wù)急劇擴(kuò)展所需的資源要求，本次數(shù)據(jù)中心建設(shè)必須從根本上改變思路，遵照一種嶄新的體系結(jié)構(gòu)思路來構(gòu)造新的數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。融合通訊系統(tǒng)需求分析隨著人們對通信要求的不斷提高，技術(shù)手段的日益成熟，越來越多的通信手段出現(xiàn)在人們的面前；其中不乏大量新型的技術(shù)和手段，如：即時通信(MSN)，桌面及手機視頻通信，IP無線語音等等；目前的江蘇中能硅業(yè)公司仍舊使用傳統(tǒng)通信手段仍然-模擬電話+基于傳統(tǒng)TDM交換的程控電話交換機（PBX）。很顯然目前的通訊系統(tǒng)模式已經(jīng)無法滿足企業(yè)對于高效率的企業(yè)通信及更低的通信成本的需求，現(xiàn)代企業(yè)需要的是能夠?qū)⒃卸喾N通信手段融合和統(tǒng)一的解決方案，即統(tǒng)一通訊解決方案，將多種現(xiàn)有和將來的通信手段和技術(shù)集中到統(tǒng)一的界面加以集中使用。這是通信的未來，通訊的趨勢。江蘇中能硅業(yè)公司能在現(xiàn)階段考慮統(tǒng)一通訊的問題，是把握到了時代的脈搏。統(tǒng)一通信是一個標(biāo)準(zhǔn)和目標(biāo)，是各個通信廠商追求的目標(biāo)和廣大用戶對更方便通信的希望。作為全球通信行業(yè)無可爭辯的領(lǐng)先者和創(chuàng)新的實踐者，思科率先實現(xiàn)并推出了基于領(lǐng)先技術(shù)的統(tǒng)一通信平臺。思科系統(tǒng)統(tǒng)一通信解決方案巧妙地將固定電話，移動電話，電子郵件，語音留言，即時信息，音頻及視頻會議等各種類型的通信手段融合集成，通過這種將多種通信工具、網(wǎng)絡(luò)服務(wù)和移動設(shè)備整合為統(tǒng)一的用戶體驗，它以嶄新的方式將員工、客戶、合作伙伴等智能地聯(lián)結(jié)在一起，不管在辦公室，在家，還是在路上。從而幫助江蘇中能硅業(yè)公司改進(jìn)業(yè)務(wù)流程，創(chuàng)新業(yè)務(wù)模式，提高生產(chǎn)效率，并建立起獨有的競爭優(yōu)勢。思科系統(tǒng)的創(chuàng)新技術(shù)和理念為企業(yè)通信提供了智能化的解決方案，使企業(yè)可以更加緊密地將通信和業(yè)務(wù)流程結(jié)合在一起，簡化溝通的方法，遠(yuǎn)程和移動溝通將會變得與面對面交流一樣高效和方便，實現(xiàn)了更高的協(xié)作效率、更快的決策速度和響應(yīng)能力。服務(wù)器平臺需求分析江蘇中能硅業(yè)公司現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)采用零散的服務(wù)器構(gòu)建，業(yè)務(wù)分散在各個主機。隨著各類業(yè)務(wù)應(yīng)用對IT需求的深入發(fā)展，業(yè)務(wù)部門對資源的需求正以幾何級數(shù)增長，傳統(tǒng)的IT基礎(chǔ)架構(gòu)方式給管理員和未來業(yè)務(wù)的擴(kuò)展帶來巨大挑戰(zhàn)。具體而言存在如下問題：安全防護(hù)薄弱：目前服務(wù)群沒有高效集中的策略防護(hù)。硬件也只是性能較差的防火墻模塊，并且是單塊模塊沒有冗余性。平臺眾多：在目前數(shù)據(jù)中心里既有小型機，也有數(shù)量眾多的服務(wù)器。業(yè)務(wù)發(fā)展迅速：據(jù)估計，有擴(kuò)容需求的業(yè)務(wù)系統(tǒng)在5個以上。對于新增業(yè)務(wù)，按傳統(tǒng)方式需經(jīng)系統(tǒng)測試，處理能力估算，新服務(wù)器采購，系統(tǒng)安裝，系統(tǒng)上線，備災(zāi)中心的系統(tǒng)上線，數(shù)據(jù)同步等過程。如果每個系統(tǒng)都按這樣的流程，則時間跨度較長，且系統(tǒng)機器數(shù)量又會大大增加，增加管理難度。維護(hù)管理難：業(yè)務(wù)擴(kuò)容、遷移或增加新的服務(wù)功能越來越困難，每一次變更都將牽涉相互關(guān)聯(lián)的、不同時期按不同初衷建設(shè)的多種物理設(shè)施，工作繁瑣、維護(hù)困難，而且容易出現(xiàn)漏洞和差錯。比如數(shù)據(jù)中心新增加一個業(yè)務(wù)類型，需要新采購服務(wù)器，從選型到采購有一個漫長的周期，將新服務(wù)器設(shè)置完成，安裝完必須的OS和補丁以及應(yīng)用軟件，又是一個過程，將服務(wù)器上線需要配合網(wǎng)絡(luò)管理員調(diào)整新的應(yīng)用訪問控制需求，要考慮如何以及何處接入。當(dāng)這樣的IT資源需求在短期內(nèi)累積，將極易在使得系統(tǒng)維護(hù)的質(zhì)量和穩(wěn)定性下降，同時反過來減慢新業(yè)務(wù)的部署，進(jìn)而阻礙公司業(yè)務(wù)的推進(jìn)和發(fā)展。資源利用率低：傳統(tǒng)架構(gòu)方式對底層資源的投入與在上層業(yè)務(wù)所收到的效果很難得到同比發(fā)展，最普遍的現(xiàn)象就是忙的設(shè)備不堪重負(fù)，閑的設(shè)備資源儲備過多，二者相互之間又無法借用和共用。最常見的現(xiàn)象就是有些服務(wù)器CPU利用率持續(xù)飽和，而有些服務(wù)器則利用率過低，資源無法得到有效利用。因此，按傳統(tǒng)底層基礎(chǔ)設(shè)施所提供的服務(wù)能力已無法適應(yīng)當(dāng)前業(yè)務(wù)急劇擴(kuò)展所需的資源要求，本次數(shù)據(jù)中心建設(shè)必須從根本上改變傳統(tǒng)思路，遵照一種嶄新的體系結(jié)構(gòu)思路來構(gòu)造新的數(shù)據(jù)中心IT基礎(chǔ)架構(gòu)。存儲平臺改造需求分析目前中能公司已經(jīng)配有一套NetAppFAS3140A存儲設(shè)備作為主存儲平臺，通過其NAS\SAN\IPSAN一體化存儲架構(gòu)，為多種應(yīng)用提供數(shù)據(jù)存儲服務(wù)，并且配置了SnapMirror數(shù)據(jù)復(fù)制軟件，為今后的容災(zāi)建設(shè)作準(zhǔn)備。NetAppFAS3140A是雙控制器配置，采用了NetApp獨有的RAID-DP和SnapShot快照技術(shù)，使得本機的安全性達(dá)到了99.999%，但是還是無法抵御站點級的災(zāi)難，其可靠性還是有限的，如果主站點設(shè)備故障或是因為遭遇停電、誤操作甚至是人為破壞等災(zāi)難而停機，數(shù)據(jù)將無法訪問甚至有丟失的可能。此外，數(shù)據(jù)中心的備份手段也較為簡單，只是通過物理磁帶庫做備份，可靠性不高，備份數(shù)據(jù)的恢復(fù)速度也較慢，已經(jīng)難以適應(yīng)數(shù)據(jù)中心的發(fā)展。為了進(jìn)一步提升數(shù)據(jù)的安全性，完善數(shù)據(jù)中心存儲架構(gòu)，以適應(yīng)中能公司的長期發(fā)展，我們建議為中能數(shù)據(jù)中心搭建異地容災(zāi)系統(tǒng)，并對本地備份系統(tǒng)進(jìn)行升級。項目資質(zhì)文件見附件原廠授權(quán)書第二部分項目實施計劃書項目組織、管理和運輸計劃項目組織和管理的方法根據(jù)我公司多年的大型項目管理經(jīng)驗，我們總結(jié)了一整套項目管理的規(guī)范和方法。對于江蘇中能數(shù)據(jù)中心這樣的復(fù)雜項目，項目管理的規(guī)范和方法就更為重要，是項目成敗的重要因素。質(zhì)量管理的方針、目標(biāo)和承諾1．質(zhì)量方針我們的質(zhì)量方針是：優(yōu)秀的產(chǎn)品，一流的服務(wù)。優(yōu)秀的產(chǎn)品：配備高素質(zhì)的工程師，選用先進(jìn)、穩(wěn)定的技術(shù)手段，確保產(chǎn)品功能豐富，滿足用戶的實際需求。一流的服務(wù)：設(shè)置技術(shù)服務(wù)中心和專業(yè)的支持工程師，提供專業(yè)水準(zhǔn)的服務(wù)；設(shè)有客戶服務(wù)熱線電話，保證為用戶提供及時的服務(wù)；全員具有“客戶的成功才是我們的成功”的服務(wù)意識。2．質(zhì)量目標(biāo)我們的質(zhì)量目標(biāo)是：確保各階段工作的有效性，把符合用戶實際需求的產(chǎn)品適時地交付用戶。有效性：階段成果經(jīng)過嚴(yán)格的確認(rèn)，確實成為下一步工作的依據(jù)。適時性：指按規(guī)定的進(jìn)度或按與用戶共同協(xié)商的時間。3．質(zhì)量承諾公司質(zhì)量管理的目的和內(nèi)容目的：滿足用戶要求，規(guī)范自身行為，達(dá)到供需雙方共同獲益的效果；內(nèi)容：質(zhì)量策劃——目的、范圍、做什么、何時做、誰來做、如何做；質(zhì)量控制——監(jiān)視過程，發(fā)現(xiàn)、排除不合格；質(zhì)量保證——滿足質(zhì)量要求，取得需方信任；質(zhì)量改進(jìn)——完善、改進(jìn)質(zhì)量體系； 公司質(zhì)量管理基本要求：PDC把要做的事寫下來（Plan——計劃）按寫下的事做出來（Do——執(zhí)行）把做的事記下來（Check——檢查）系統(tǒng)的質(zhì)量管理計劃本系統(tǒng)項目是一個難度較大的集成項目，需要在短時間內(nèi)完成設(shè)備安裝和集成調(diào)試工作，因此本項目的質(zhì)量管理就顯得尤為重要。我們在本項目的執(zhí)行工程中，一定會嚴(yán)格遵循ISO9000質(zhì)量管理規(guī)范。具體而言，我們將從以下幾方面努力以保證工程實施的質(zhì)量：把要做的事寫下來在實施開始之前，充分考慮各種相關(guān)因素，制定切實可行的項目實施計劃和質(zhì)量保證計劃，包括以下幾方面的內(nèi)容：工作任務(wù)分解組織結(jié)構(gòu)和人力資源計劃實施進(jìn)度項目各階段的詳細(xì)計劃項目實施過程中的質(zhì)量因素風(fēng)險因素及對策質(zhì)量保證措施（進(jìn)度監(jiān)控措施、質(zhì)量監(jiān)控措施等）同時，根據(jù)項目的實施計劃，制定工程師現(xiàn)場實施規(guī)范，統(tǒng)一參加項目工程師的現(xiàn)場實施活動，使項目的實施規(guī)范、統(tǒng)一、高效。另外，還要編寫詳細(xì)的、可操作的項目實施用戶指導(dǎo)書，幫助用戶準(zhǔn)備場地、線路等環(huán)境，避免因為環(huán)境準(zhǔn)備的原因造成整體進(jìn)度的延誤。所有的計劃和規(guī)范都應(yīng)經(jīng)過用戶的確認(rèn)，確保計劃的有效性。項目經(jīng)理負(fù)責(zé)制項目經(jīng)理負(fù)責(zé)整個項目實施的全過程，責(zé)任明確，任務(wù)清晰。項目經(jīng)理在公司內(nèi)部有足夠的權(quán)力，可以協(xié)調(diào)、調(diào)度公司各方面的資源，保證項目的成功。提倡用戶參與項目實施項目人員組成為保證系統(tǒng)順利實施，我公司組建適于本項工程系統(tǒng)平臺實施和管理的組織和領(lǐng)導(dǎo)機構(gòu)。項目的一線實施小組人員如下：人員職務(wù)說明趙為項目經(jīng)理華訊技術(shù)經(jīng)理、華訊資深項目經(jīng)理張旭輝技術(shù)總負(fù)責(zé)華訊高級顧問工程師，CCIE、CISSP盛曉鵬技術(shù)總負(fù)責(zé)華訊顧問工程師CCNP、JNCIS-FWV項目執(zhí)行小組成員表人員職務(wù)說明趙為項目經(jīng)理華訊技術(shù)經(jīng)理、華訊資深項目經(jīng)理張旭輝技術(shù)總負(fù)責(zé)華訊高級顧問工程師，CCIE、CISSP盛曉鵬技術(shù)總負(fù)責(zé)華訊顧問工程師CCNP、JNCIS-FWV劉浩網(wǎng)絡(luò)現(xiàn)場工程師華訊專業(yè)服務(wù)工程CCNP張建軍網(wǎng)絡(luò)現(xiàn)場工程師華訊專業(yè)服務(wù)工程CCIE(安全)陳佳頡通訊、調(diào)度現(xiàn)場工程師華訊統(tǒng)一通信團(tuán)隊顧問工程師CCIE黎思玨通訊、調(diào)度現(xiàn)場工程師華訊統(tǒng)一通信團(tuán)隊服務(wù)工程師CCIE付良輝存儲現(xiàn)場工程師Netapp工程師易良慧存儲現(xiàn)場工程師Netapp工程師工程實施小組成員表人員職務(wù)說明王霞商務(wù)部經(jīng)理高凡商務(wù)商務(wù)小組成員表項目經(jīng)理人員構(gòu)成：公司委派高級項目管理人員出任項目經(jīng)理。是工程建設(shè)的主要負(fù)責(zé)、協(xié)調(diào)人。主要責(zé)任有：負(fù)責(zé)日常的工程管理事務(wù)；協(xié)調(diào)工程雙方的關(guān)系；收集有關(guān)工程建設(shè)的問題并及時通知有關(guān)各方；作為工程管理會議的具體召集人，主持日常的和臨時的工作會議，并總結(jié)和應(yīng)發(fā)會議記要；統(tǒng)一工程人力資源的調(diào)配；收集、管理工程的技術(shù)資料、文檔；其他有關(guān)工程建設(shè)的工作。職責(zé)：對項目總體工作負(fù)責(zé)；實施項目方案，圓滿實現(xiàn)客戶目標(biāo)，達(dá)到客戶滿意；根據(jù)項目進(jìn)展及工作要求制定實施計劃，并監(jiān)督實施，控制進(jìn)度；協(xié)調(diào)各項目組人員的分工合作，資源分配；指導(dǎo)和控制為完成項目要做的一切日常工作，包括技術(shù)資料準(zhǔn)備、系統(tǒng)模擬測試、現(xiàn)場安裝和驗收測試；管理工程進(jìn)度，人員協(xié)調(diào)，組織解決項目實施中出現(xiàn)的問題；在項目進(jìn)展過程中給出階段性報告；負(fù)責(zé)制定系統(tǒng)驗收標(biāo)準(zhǔn)，報領(lǐng)導(dǎo)小組審批；在項目結(jié)束后，組織測試、驗收并給出“結(jié)項報告”。項目實施小組（由項目經(jīng)理和各個專業(yè)方向現(xiàn)場工程師組成）實施小組擔(dān)負(fù)整個系統(tǒng)建設(shè)的現(xiàn)場放工監(jiān)督，網(wǎng)絡(luò)互連設(shè)備、局網(wǎng)設(shè)備、主機系統(tǒng)、軟件系統(tǒng)的安裝調(diào)試、維護(hù)與培訓(xùn)等各項任務(wù)。實施小組工程實施準(zhǔn)備工程組、實施協(xié)調(diào)組、工程實施組、培訓(xùn)組、技術(shù)后備組。各組分別負(fù)責(zé)設(shè)備的安裝、調(diào)試、培訓(xùn)、聯(lián)調(diào)；各種文檔的驗收工作；系統(tǒng)的初驗及終驗；系統(tǒng)最終質(zhì)量保證的驗收；各種驗收文檔的簽署及整理；按照各類文檔產(chǎn)生期限收集整理各類文檔。控制文檔格式，編制文檔清單，管理文檔版本，管理文檔借閱，并與最終用戶進(jìn)行交接；協(xié)助項目經(jīng)理制訂本項目的質(zhì)量工作計劃，并貫徹實施；對項目過程中的質(zhì)量管理進(jìn)行監(jiān)控；指出存在問題，提出解決方案。項目的組織管理和分工界面組織機構(gòu)和職能為使工程有組織、有計劃地高效運行，建議與江蘇中能硅業(yè)信息部一起組成工程項目領(lǐng)導(dǎo)小組，在此小組的領(lǐng)導(dǎo)之下，雙方建立一個高效運作的工程管理體系（管理隊伍及協(xié)商機制），使整個工程中的所有有關(guān)人員在分工明確的基礎(chǔ)上緊密配合，保證工程的順利進(jìn)行。我們將及時了解用戶的需求，根據(jù)需求情況做進(jìn)一步的工作部署。雙方有責(zé)任就工程實施問題進(jìn)行及時的溝通，以保證工程按時完工。項目組織結(jié)構(gòu)圖如下：其中：項目領(lǐng)導(dǎo)小組由江蘇中能硅業(yè)公司本項目的有關(guān)領(lǐng)導(dǎo)和華訊此項目的銷售總監(jiān)、銷售組成，為項目實施提供高層的領(lǐng)導(dǎo)和支持。其他小組成員為我公司技術(shù)、管理人員。各小組的職能和人員構(gòu)成如下：項目執(zhí)行小組（3人）如上表：工程實施執(zhí)行的領(lǐng)導(dǎo)小組，負(fù)責(zé)工程實施的總體規(guī)劃設(shè)計、組織管理和監(jiān)督協(xié)調(diào)，由本項目我公司的項目經(jīng)理組成。領(lǐng)導(dǎo)以下小組進(jìn)行工作：（1）商務(wù)保障小組（2人）如上表：對項目協(xié)調(diào)，合同管理，設(shè)備采購、生產(chǎn)供貨、運輸、交貨驗收等進(jìn)行總負(fù)責(zé)。（2）工程實施小組（9人）如上表：由工程實施準(zhǔn)備、工程實施協(xié)調(diào)、工程實施、培訓(xùn)和技術(shù)后備組組成。工程實施準(zhǔn)備組（2人）：負(fù)責(zé)施工現(xiàn)場勘察、機房相關(guān)部分的施工和所有節(jié)點的相關(guān)系統(tǒng)安裝運行狀況的調(diào)查，協(xié)助用戶進(jìn)行環(huán)境準(zhǔn)備。工程實施協(xié)調(diào)小組（1人）：負(fù)責(zé)與江蘇中能硅業(yè)及各地方之間的協(xié)調(diào)工作；負(fù)責(zé)工程實施過程中的人員聯(lián)絡(luò)、資源協(xié)調(diào)、工程進(jìn)度跟蹤、問題匯總；監(jiān)督工程執(zhí)行情況。實施小組（6人）：負(fù)責(zé)硬/軟件產(chǎn)品的安裝、配置、調(diào)試、開通。培訓(xùn)組（1人）：負(fù)責(zé)培訓(xùn)課程設(shè)計、教材準(zhǔn)備、師資準(zhǔn)備，負(fù)責(zé)安排培訓(xùn)的方式。技術(shù)后備組：負(fù)責(zé)軟件修改、大面積設(shè)備安裝實施人員儲備。技術(shù)資料提供、技術(shù)咨詢等專業(yè)服務(wù)。 （3）售后服務(wù)小組：售后技術(shù)支持與服務(wù)組（見第八部分2.2售后服務(wù)項目小組名單）：負(fù)責(zé)售后的技術(shù)咨詢、故障審告處理、技術(shù)和設(shè)備問題解決，用戶跟蹤、維護(hù)、升級技術(shù)支持等服務(wù)，需要時現(xiàn)場解決問題。專家技術(shù)組（3人）：網(wǎng)絡(luò)系統(tǒng)的技術(shù)專家，提供技術(shù)咨詢和疑難問題的解決。本項目工程實施分工界面如下圖所示：編號職責(zé)范圍買方賣方1合同設(shè)備的供貨*2合同設(shè)備的運輸*3合同設(shè)備的運輸保險*4合同設(shè)備的報、清關(guān)*5到用戶指定地點的合同設(shè)備的國內(nèi)運輸*6到用戶指定地點的合同設(shè)備的國內(nèi)運輸保險*7由用戶指定存放點到機房的運輸*8開箱檢驗**10機房的準(zhǔn)備*11承載網(wǎng)的準(zhǔn)備*12合同設(shè)備的安裝調(diào)試*13現(xiàn)場培訓(xùn)*14驗收**

運輸計劃在運輸設(shè)備前，我們應(yīng)該做好以下幾點計劃：了解兩地的裝卸條件，并制訂措施。對道路進(jìn)行調(diào)查，制訂加固措施，道路的坡度應(yīng)小于15’。與運輸?shù)缆飞系碾娋€應(yīng)有可靠的安全距離。選用合適的運輸方案，并遵守有關(guān)規(guī)定。停運時應(yīng)采取措施，防止前后滾動，并設(shè)專人看護(hù)

質(zhì)量控制計劃，驗收計劃本次江蘇中能硅業(yè)新數(shù)據(jù)中心網(wǎng)絡(luò)項目的工程范圍主要在江蘇中能硅業(yè)公司的新數(shù)據(jù)中心機房。為有效順利高質(zhì)量地完成此次項目工作，我們將此項目的安裝、調(diào)試和驗收分為以下幾個部分：項目實施方案制定項目實施前準(zhǔn)備驗貨/實驗測試計劃施工環(huán)境確認(rèn)整網(wǎng)系統(tǒng)聯(lián)調(diào)集成驗收計劃網(wǎng)絡(luò)終驗計劃運行驗收計劃以下對具體的工作目標(biāo)、工作內(nèi)容、步驟以及預(yù)期的工作成果加以詳細(xì)說明。項目實施方案制定目標(biāo)在項目實施前完成具體的項目實施方案。內(nèi)容制定項目實施原則，如“IP地址分配方案”、“設(shè)備安裝原則”、“設(shè)備端口分配方案”等；完成項目具體的實施步驟；商討具體的項目實施日程安排；項目實施人員安排；以上這些工作均以上海華訊公司項目技術(shù)人員為主，江蘇中能硅業(yè)公司項目人員配合完成。項目實施前準(zhǔn)備目標(biāo)在設(shè)備到貨之前，為驗貨、設(shè)備安裝和測試等后期工作的順利進(jìn)行提前做好各項準(zhǔn)備工作。內(nèi)容對所要實施工程的場地環(huán)境狀況的確認(rèn)、檢查。步驟實施安裝環(huán)境調(diào)查，確定符合設(shè)備安裝條件。確認(rèn)設(shè)備的安裝規(guī)范。合理劃分IP網(wǎng)段，確定新設(shè)備的IP地址分配及設(shè)備的連接端口。設(shè)備軟件版本的確定。以上這些工作均以上海華訊網(wǎng)絡(luò)公司技術(shù)人員為主，江蘇中能硅業(yè)公司項目人員配合完成。驗貨/實驗測試目標(biāo)通過驗貨、設(shè)備安裝、設(shè)備模塊到貨項目齊全、工作正常。內(nèi)容完成設(shè)備的到貨清點，用新的網(wǎng)絡(luò)設(shè)備和其它輔助設(shè)備構(gòu)建一個實驗環(huán)境，對其進(jìn)行一定的測試，完成設(shè)備的初驗工作。在設(shè)備驗收中要確保硬件設(shè)備在標(biāo)書中所規(guī)定的地點和環(huán)境下，所有硬件設(shè)備實現(xiàn)正常運行，并達(dá)到標(biāo)書要求的性能和產(chǎn)品技術(shù)規(guī)格中的性能。軟件產(chǎn)品在標(biāo)書規(guī)定的環(huán)境下，所有軟件產(chǎn)品實現(xiàn)正常運行，并達(dá)到標(biāo)書要求的功能和產(chǎn)品技術(shù)規(guī)格中的性能。步驟上海華訊網(wǎng)絡(luò)公司按合同中確認(rèn)的時間，在指定的地點交付設(shè)備。雙方項目組成員在設(shè)備及軟件共同進(jìn)行開箱檢查，當(dāng)出現(xiàn)損壞、數(shù)量不全或產(chǎn)品不對等問題時，由上海華訊網(wǎng)絡(luò)公司負(fù)責(zé)解決。雙方項目組成員按標(biāo)書要求對全部設(shè)備的型號、規(guī)格、數(shù)量、外型、包裝及資料、文件（如裝箱單、保修單、隨箱介質(zhì)等）進(jìn)行驗收。清點工作按設(shè)備清點步驟進(jìn)行，具體清點步驟。清點完畢后，簽署《設(shè)備驗收單》。如發(fā)生設(shè)備損壞等異常情況，除在簽收單備注中注明外，另在《硬件設(shè)備及軟件清點異常報告單》予以詳細(xì)說明。新模塊安裝并加電測試。根據(jù)設(shè)備初驗步驟，對網(wǎng)絡(luò)設(shè)備進(jìn)行初驗，并作初驗記錄，最后簽署設(shè)備初驗書。設(shè)備及軟件測試中出現(xiàn)性能指標(biāo)或功能上不符合標(biāo)書和合同時，項目單位有拒收的權(quán)利。如測試中出現(xiàn)不符合標(biāo)書和合同要求的嚴(yán)重質(zhì)量問題時，項目單位保留索賠權(quán)利。配套設(shè)備的連接測試，應(yīng)在構(gòu)成相應(yīng)的硬件平臺、軟件平臺和網(wǎng)絡(luò)平臺基礎(chǔ)上完成。走線標(biāo)準(zhǔn)所有線纜均不能有飛線情況出現(xiàn)，所有線纜使用線纜專用捆綁帶整齊整理固定到機柜上。2、所有線纜包括光纖跳線兩端均使用線纜標(biāo)簽標(biāo)示線纜連接情況。標(biāo)簽標(biāo)準(zhǔn) 線纜的標(biāo)簽內(nèi)容應(yīng)包括以下內(nèi)容：要求在線纜的兩端加掛標(biāo)簽線纜兩側(cè)連接的設(shè)備名稱；設(shè)備上連接的端口位置；如果端口有IP地址則還包括設(shè)備端口的IP地址。施工環(huán)境確認(rèn) 電力環(huán)境要求 項目內(nèi)容測試結(jié)果滿足備注1機房UPS、配電柜等電源設(shè)備安裝完畢,單相三線電源,記錄UPS的總功率。是■否□2所有網(wǎng)絡(luò)設(shè)備供電電源電壓要求在220V10%之內(nèi)。是■否□3所有信號管線、電力電纜管線入主機室入口要求嚴(yán)密封牢，避免灰塵、鼠害、蟲害等。是■否□4對于具有雙電源模塊的設(shè)備，要求提供雙路供電，使每個電源模塊采用不同的供電。是■否□5接地電阻：要求小于4Ω是■否□6中性線和地線在機房內(nèi)的配電線路上不可連接在一起。是■否□7確認(rèn)機房強電與弱電分開走線槽走線是■否□8根據(jù)提供的設(shè)備供電容量，提供相適應(yīng)的電源容量，同時總?cè)萘繎?yīng)有一定的容余，建議100%左右。同時要起到保護(hù)作用。是■否□布線情況確認(rèn) 確認(rèn)施工現(xiàn)場所需要的必要設(shè)備和附件（包括網(wǎng)線線纜和光纖線纜）是否到位序號確認(rèn)項數(shù)量是否適用備注1機房布線是■否□2UTP線纜是■否□3配線架是■否□4機架空間是■否□整網(wǎng)系統(tǒng)聯(lián)調(diào)完成江蘇中能新數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)配置和整體調(diào)試工作。完成語音配置和聯(lián)調(diào)滿足合同要求，調(diào)度系統(tǒng)配置和聯(lián)調(diào)滿足合同要求虛擬教室系統(tǒng)配置和聯(lián)調(diào)符合合同要求集成驗收項目聯(lián)調(diào)階段結(jié)束，即進(jìn)入試運行階段，標(biāo)志整個工程項目的具體實施階段已圓滿完成。網(wǎng)絡(luò)終驗階段過了試運行階段，系統(tǒng)進(jìn)入穩(wěn)定運行期，按照合同的約定安進(jìn)行項目的終驗。運行驗收計劃設(shè)備到貨后，上海華訊網(wǎng)絡(luò)公司工程師和江蘇中能硅業(yè)公司項目負(fù)責(zé)人將共同對所到設(shè)備進(jìn)行清點，此為設(shè)備驗收。簽署設(shè)備驗收書后，工程實施工作即開始進(jìn)行。實施過程結(jié)束后，對系統(tǒng)的驗收包括工程級內(nèi)部驗收、用戶初步驗收(初驗)和用戶最終驗收(終驗)三個階段。1．設(shè)備驗收設(shè)備驗收主要通過觀察設(shè)備外觀查看設(shè)備運輸中有無出現(xiàn)外形損壞問題，同時與合同中的設(shè)備清單進(jìn)行核對，驗證所到設(shè)備與合同是否相符。當(dāng)以上內(nèi)容均合乎要求時，上海華訊網(wǎng)絡(luò)公司和江蘇中能硅業(yè)公司簽署設(shè)備驗收書。2．內(nèi)部驗收項目運作組內(nèi)部驗收：工程組對系統(tǒng)的內(nèi)部驗收應(yīng)按照相關(guān)規(guī)定，組織徐州中能公司技術(shù)專家會等對系統(tǒng)進(jìn)行內(nèi)部評審和驗收。內(nèi)部驗收完成后，系統(tǒng)的初驗和終驗應(yīng)履行正式手續(xù)，雙方成立專門的驗收委員會，與項目監(jiān)理小組一起負(fù)責(zé)組織、監(jiān)督和裁決整個系統(tǒng)的驗收過程。依據(jù)合同的有關(guān)規(guī)定，對系統(tǒng)按照實施驗收。3．項目初驗簽署“初驗證書”：上海華訊網(wǎng)絡(luò)公司將與江蘇中能硅業(yè)、項目監(jiān)理小組一起討論驗收標(biāo)準(zhǔn)，包括系統(tǒng)應(yīng)實現(xiàn)功能、測試方法等，并將測試要求文檔提交給江蘇中能硅業(yè)公司，江蘇中能硅業(yè)公司根據(jù)該測試文件和上海華訊網(wǎng)絡(luò)公司、項目監(jiān)理小組一起對系統(tǒng)進(jìn)行測試驗收，測試驗收通過后上海華訊網(wǎng)絡(luò)公司將與江蘇中能硅業(yè)簽署“初驗證書”，簽署之日即為系統(tǒng)試運行開始日期。4．項目終驗簽署“終驗證書”：系統(tǒng)試運行結(jié)束后合同規(guī)定時間后由江蘇中能硅業(yè)公司組織項目監(jiān)理小組對系統(tǒng)進(jìn)行最終驗收。最終驗收合格后，三方代表簽署“最終驗收證書”?！白罱K驗收證書”的簽署即代表系統(tǒng)驗收工作全部完成。5．文檔交付從合同簽訂之日起以上工程實施過程建立的文檔包括，但不限于以下：進(jìn)度計劃表設(shè)備驗收報告系統(tǒng)安裝說明IP地址分配表設(shè)備配置清單及配置說明測試計劃及報告系統(tǒng)初步驗收報告系統(tǒng)最終驗收報告在完成系統(tǒng)終驗后一周內(nèi)上海華訊網(wǎng)絡(luò)公司交付項目資料給江蘇中能硅業(yè)公司，包括以下主要內(nèi)容：系統(tǒng)安裝系統(tǒng)管理用戶使用手冊系統(tǒng)維護(hù)診斷手冊，故障排除過程表設(shè)計圖作業(yè)時間進(jìn)度表項目進(jìn)度表如下：備注：系統(tǒng)試運行階段到系統(tǒng)整體終驗的時間視合同約定而定。時間（單位：周）工作12345678910111213141516項目實施方案制定審核階段項目實施前準(zhǔn)備、機房環(huán)境配合勘察、督導(dǎo)階段設(shè)備到貨期驗貨/實驗測試階段機房環(huán)境確認(rèn)、設(shè)備進(jìn)場上架及連線網(wǎng)絡(luò)實施階段UCS配置、存儲改造階段設(shè)備搬遷階段調(diào)度系統(tǒng)、通訊系統(tǒng)配置改造實施階段整網(wǎng)系統(tǒng)聯(lián)調(diào)驗收階段集成初驗階段系統(tǒng)試運行階段系統(tǒng)整體終驗階段第三部分核心網(wǎng)絡(luò)系統(tǒng)工程方案

網(wǎng)絡(luò)總體方案設(shè)計網(wǎng)絡(luò)改造目標(biāo)通過對江蘇中能新數(shù)據(jù)中心網(wǎng)絡(luò)的新建，應(yīng)該能夠達(dá)到：實現(xiàn)整網(wǎng)區(qū)域化劃分將骨干網(wǎng)從千兆帶寬擴(kuò)容至萬兆帶寬形成網(wǎng)絡(luò)的安全層次區(qū)域和策略保證生產(chǎn)業(yè)務(wù)的安全可靠運行統(tǒng)一網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)使得各個區(qū)域影響之間最小IP地址規(guī)范化路由規(guī)整，合理匯總簡化路由表提高核心設(shè)備轉(zhuǎn)發(fā)效率設(shè)計原則滿足應(yīng)用的需求網(wǎng)絡(luò)的最終服務(wù)對象是各類網(wǎng)絡(luò)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)架構(gòu)的設(shè)計和搭建必須首先考慮是否能滿足應(yīng)用的需求。采用成熟的技術(shù)在選擇各類建網(wǎng)方案時，必須將核心技術(shù)的成熟與否，放在優(yōu)先考慮的位置。符合以下幾個特性健壯性：良好的設(shè)備備份、線路備份和路由備份，使數(shù)據(jù)中心骨干網(wǎng)達(dá)到最高的可用性；安全性：采取有效的安全策略，防止網(wǎng)絡(luò)被非法攻擊和入侵；靈活性：支持方便、快捷的針對設(shè)備容量及通訊帶寬的調(diào)整；先進(jìn)性：選用的網(wǎng)絡(luò)設(shè)備、通信、網(wǎng)絡(luò)運行管理、服務(wù)質(zhì)量、安全防范等領(lǐng)域的技術(shù)要有前瞻性；經(jīng)濟(jì)性：盡量利用已有設(shè)備，合理分配通信帶寬，降低網(wǎng)絡(luò)成本；易管理性：網(wǎng)絡(luò)易于管理維護(hù)?；A(chǔ)網(wǎng)絡(luò)詳細(xì)設(shè)計方案網(wǎng)絡(luò)總體架構(gòu)圖如圖所示，此項目所建新數(shù)據(jù)中心網(wǎng)絡(luò)分成：核心交換區(qū)Internet區(qū)廣域網(wǎng)區(qū)服務(wù)器區(qū)接入交換區(qū)核心交換區(qū)：新增加兩臺C7609，配置如下：一塊WS-SUP720-3BXL引擎雙4000瓦交流電源模塊兩塊WS-X6748-SFP的48口光板卡一塊WS-X6748-GE-TX的48口電口板卡兩塊WS-X6708-10G-3C萬兆板卡在舊數(shù)據(jù)中心C7609和硅材料數(shù)據(jù)中心C7609上各增加一塊WS-X6704-10GE的4口萬兆板卡。新C7609-1和舊數(shù)據(jù)中心C7609通過萬兆端口互聯(lián)（端口是波長1310nm單模標(biāo)準(zhǔn)）。新C7609-2和硅材料公司核心C7609也通過萬兆端口互聯(lián)（端口是波長1310nm單模標(biāo)準(zhǔn)）。兩臺新C7609之間通過萬兆端口互聯(lián)（端口是波長850nm多模標(biāo)準(zhǔn)）。Internet區(qū)：在此區(qū)域增加兩臺C3845路由器，配置如下：配置NM-2FE2W-V2板卡和VWIC2-2MFT-G703板卡配置雙電源。兩臺路由器分別連接兩個不同運營商線路。防火墻ASA5550作為internet區(qū)域的安全防護(hù)設(shè)備網(wǎng)康NI5110作為內(nèi)部用戶的上網(wǎng)行為管理，統(tǒng)計和限制上網(wǎng)行為。廣域網(wǎng)區(qū)：利舊使用一臺C3845作為廣域網(wǎng)接入路由器，上配置NM-16ESW一塊和VWIC2-2MFT-G703一塊?？梢赃m應(yīng)不同種類線路的接入。新增一臺ASA5550防火墻作為廣域網(wǎng)區(qū)域的防護(hù)設(shè)備，做地址翻譯和策略控制，避免病毒在內(nèi)網(wǎng)傳播。服務(wù)器區(qū)：服務(wù)器區(qū)防火墻是由上述兩個區(qū)域的ASA5550防火墻虛擬而成。虛擬防火墻兩臺和兩臺核心交換機各雙光口相連形成口字型。雙光口一個配置成TRUNK作為二層透傳服務(wù)器網(wǎng)段vlan使得所有服務(wù)器網(wǎng)段的三層網(wǎng)關(guān)落在防火墻上，一個光口配置成三層地址作為靜態(tài)路由的下一跳地址。服務(wù)器區(qū)的接入交換機WS-C2960G-48TC-L作為塔式服務(wù)器的接入，通過上述的二層透傳網(wǎng)關(guān)都在防火墻上。服務(wù)器區(qū)配置4個UCS籠子，每個籠子8塊刀片籠子交換機兩臺和核心交換機萬兆相連。UCS上將部署統(tǒng)一通訊管理系統(tǒng)（callmange）統(tǒng)一調(diào)度系統(tǒng)已經(jīng)虛擬化教室的主體軟件。UCS上各個應(yīng)用的網(wǎng)段網(wǎng)關(guān)將落在核心交換機上。接入交換區(qū)：接入交換區(qū)是作為pc、視頻終端、ip電話、無線熱點等的匯集。新購置了24臺WS-C2960G-48TC-L作為樓道交換機作為非poe需求的接入，另購置了50臺WS-C3560-8PC-S支持poe需求終端設(shè)備，WS-C3560-8PC-S通過二層級聯(lián)到樓道交換機。網(wǎng)絡(luò)設(shè)備、板卡及接口規(guī)范設(shè)備命名規(guī)范：格式：[保利協(xié)鑫（縮寫）]-[江蘇中能（縮寫）]-[所屬區(qū)域]-[設(shè)備類型]-[設(shè)備型號]-[序號]按照項目命名規(guī)則，設(shè)備具體命名如下：核心交換機C7609-1名稱為:BLXX-JSZN-CORE-SW-C7609-1核心交換機C7609-2名稱為:BLXX-JSZN-CORE-SW-C7609-2INTERNET防火墻ASA5550-1名稱為:BLXX-JSZN-INT-FW-ASA5550-1廣域網(wǎng)防火墻ASA5550-1名稱為：BLXX-JSZN-RTP-FW-ASA5550-1服務(wù)器防火墻ASA5550-1（虛擬）名稱為:BLXX-JSZN-SEV-FW-ASA5550-1網(wǎng)康NI-5110-1名稱為：BLXX-JSZN-INT-WK-NI5110-1INTERNET接入路由器C3845-1名稱為：BLXX-JSZN-INT-RT-C3845-1INTERNET接入路由器C3845-2名稱為：BLXX-JSZN-INT-RT-C3845-2廣域網(wǎng)接入路由器C3845-1名稱為：BLXX-JSZN-RTP-RT-C3845-1無線控制器CT5508-1名稱為：BLXX-JSZN-CORE-AC-CT5508-1無線AP1262(如2樓第一臺ap)名稱為：BLXX-JSZN-F2-AC-AP1262-1POE接入交換機（如2樓第一臺交換機）：BLXX-JSZN-F2-POE-C3560-1接入交換機（如2樓第一臺樓道交換機）：BLXX-JSZN-F2-SW-C2960-1UCS籠子交換機6140xp-1：BLXX-JSZN-SEV-UCS-6140XP-1UCS籠子交換機6140xp-2：BLXX-JSZN-SEV-UCS-6140XP-2端口描述規(guī)范1、物理端口描述格式：To_[對端設(shè)備名][對端端口號][通信鏈路帶寬]說明：1、to：固定字符串；2、對方設(shè)備名稱：采用與該設(shè)備直接連接的對方設(shè)備名稱；3、對端端口號：參見端口名的定義格式；4、通信鏈路類型：10G、1G等，示例：interfaceGigabitEthernet4/1descriptionTo_BLXX-JSZN-CORE-WK-NI5110-1GE1/11G設(shè)備端口配置互聯(lián)端口的參數(shù)配置規(guī)范如下：關(guān)閉GE端口自動協(xié)商，配置為強制千兆全雙工模式。與服務(wù)器直接RJ45口一律關(guān)閉自動協(xié)商并按照服務(wù)器網(wǎng)卡類型配置成強制速率和雙工模式。關(guān)閉萬兆端口自動協(xié)商，配置為強制萬兆全雙工模式，在兩臺核心交換機7609之間端口配置成portchannal捆綁，模式為modeon。捆綁接口也配置成非協(xié)商強制方式。板卡安裝規(guī)范和IP地址分配數(shù)據(jù)中心核心交換機C7609板卡安裝規(guī)范核心CiscoCatalyst7609交換機，具體板卡規(guī)劃如下表所示：槽位板卡型號板卡類型備注slot1WS-X6708-10G-3C8口萬兆光口業(yè)務(wù)板slot2WS-X6748-SFP48千兆光口業(yè)務(wù)板slot3WS-X6748-SFP48千兆光口業(yè)務(wù)板slot4slot5WS-SUP720-3BXL引擎slot6Slot7Slot8slot9WS-X6748-GE-TX48電口業(yè)務(wù)板江蘇中能新數(shù)據(jù)中心核心交換機CiscoCatalyst7609板卡規(guī)劃表數(shù)據(jù)中心INTERNET路由器C3845-1板卡安裝規(guī)范Internet接入路由器Cisco3845，具體板卡規(guī)劃如下表所示：槽位板卡型號板卡類型備注Slot0/Wic0VWIC2-2MFT-G7032口G703板卡slot1NM-2FE2W-V22電口百兆板卡Slot2Slot3Slot4江蘇中能新數(shù)據(jù)中心internet路由器Cisco3845-1板卡規(guī)劃表數(shù)據(jù)中心INTERNET路由器C3845-2板卡安裝規(guī)范Internet接入路由器Cisco3845，具體板卡規(guī)劃如下表所示：槽位板卡型號板卡類型備注Slot0/Wic0VWIC2-2MFT-G7032口G703板卡slot1NM-2FE2W-V22電口百兆板卡Slot2Slot3Slot4江蘇中能新數(shù)據(jù)中心internet路由器Cisco3845-2板卡規(guī)劃表數(shù)據(jù)中心廣域網(wǎng)路由器C3845-1板卡安裝規(guī)范Internet接入路由器Cisco3845，具體板卡規(guī)劃如下表所示：槽位板卡型號板卡類型備注Slot0/Wic0VWIC2-2MFT-G7032口G703板卡slot1NM-16ESW16電口二層板卡Slot2Slot3Slot4江蘇中能新數(shù)據(jù)中心廣域網(wǎng)路由器Cisco3845-1板卡規(guī)劃表IP地址、設(shè)備端口規(guī)劃（實施階段按實際情況替換成可用地址段）分配原則唯一性：一個IP網(wǎng)絡(luò)中不能有兩個主機采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性,簡化路由表的條目；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑匯聚(RouteSummarization)，大大縮減路由表，提高路由算法的效率；可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時能保證地址疊合所需的連續(xù)性；靈活性：地址分配應(yīng)具有靈活性，可借助可變長子網(wǎng)掩碼技術(shù)(VLSM?Variable-LengthSubnetMask)，以滿足多種路由策略的優(yōu)化，充分利用地址空間。詳細(xì)地址劃分Loopback地址分配：序號設(shè)備名稱Loopback備注1BLXX-JSZN-CORE-SW-C7609-掩碼為/322BLXX-JSZN-CORE-SW-C7609-掩碼為/323BLXX-JSZN-INT-RT-C3845-掩碼為/324BLXX-JSZN-INT-RT-C3845-掩碼為/325BLXX-JSZN-RTP-RT-C3845-掩碼為/32江蘇中能新數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備loopback地址規(guī)劃表核心交換機互聯(lián)地址分配：序號設(shè)備名稱本段設(shè)備地址對端設(shè)備對端設(shè)備地址1BLXX-JSZN-CORE-SW-C7609-1BLXX-JSZN-CORE-SW-C7609-22BLXX-JSZN-CORE-SW-C7609-1舊數(shù)據(jù)中心C76093BLXX-JSZN-CORE-SW-C7609-2硅材料公司C760904舊數(shù)據(jù)中心C76093硅材料公司C76094核心交換機之間（四臺7609）互聯(lián)采用三層模式，掩碼為30路由器-防火墻互聯(lián)地址分配：序號設(shè)備名稱本段設(shè)備地址對端設(shè)備對端設(shè)備地址1BLXX-JSZN-INT-FW-ASA5550-17BLXX-JSZN-INT-RT-C3845-182BLXX-JSZN-INT-RT-C3845-2端口地址借用3BLXX-JSZN-RTP-FW-ASA5550-11BLXX-JSZN-RTP-RT-C3845-12路由器-防火墻互聯(lián)采用三層模式，掩碼為30服務(wù)器區(qū)防火墻互聯(lián)地址分配：序號核心交換機交換機vlan2地址虛擬網(wǎng)關(guān)地址服務(wù)器區(qū)虛擬防火墻防火墻互聯(lián)網(wǎng)關(guān)地址1BLXX-JSZN-CORE-SW-C7609-1BLXX-JSZN-SEV-FW-ASA5550-12BLXX-JSZN-CORE-SW-C7609-2核心交換機C7609與SERVER防火墻互連采用三層模式互連，掩碼為29INTERNENT防火墻互聯(lián)地址分配（網(wǎng)康設(shè)備配置成透明模式）：序號核心交換機交換機vlan5地址虛擬網(wǎng)關(guān)地址服務(wù)器區(qū)虛擬防火墻防火墻互聯(lián)網(wǎng)關(guān)地址1BLXX-JSZN-CORE-SW-C7609-11BLXX-JSZN-INT-FW-ASA5550-122BLXX-JSZN-CORE-SW-C7609-20核心交換機C7609與INTERNET防火墻互連采用三層模式互連，掩碼為29廣域網(wǎng)防火墻互聯(lián)地址分配：序號核心交換機交換機vlan6地址虛擬網(wǎng)關(guān)地址服務(wù)器區(qū)虛擬防火墻防火墻互聯(lián)網(wǎng)關(guān)地址1BLXX-JSZN-CORE-SW-C7609-179BLXX-JSZN-RTP-FW-ASA5550-102BLXX-JSZN-CORE-SW-C7609-28核心交換機C7609與INTERNET防火墻互連采用三層模式互連，掩碼為29服務(wù)器區(qū)交換機管理地址分配：序號核心交換機交換機vlan3地址虛擬網(wǎng)關(guān)地址服務(wù)器接入交換機（6臺）使用網(wǎng)段1BLXX-JSZN-CORE-SW-C7609-102共6臺服務(wù)器區(qū)接入交換機2/272BLXX-JSZN-CORE-SW-C7609-21核心交換機C7609與服務(wù)器區(qū)接入交換機互連采用三層模式互連，掩碼為27樓道交換機管理地址分配：序號核心交換機交換機vlan4地址虛擬網(wǎng)關(guān)地址樓道接入交換機（74臺）使用網(wǎng)段1BLXX-JSZN-CORE-SW-C7609-15254共24臺樓道接入交換機50臺POE交換機28/252BLXX-JSZN-CORE-SW-C7609-253核心交換機C7609與樓道接入交換機互連采用三層模式互連，掩碼為25

設(shè)備端口規(guī)劃設(shè)備名端口線路類型對端設(shè)備端口備注BLXX-JSZN-CORE-SW-C7609-1T1/1光纖舊數(shù)據(jù)中心核心交換機T1/2光纖BLXX-JSZN-CORE-SW-C7609-2T1/2T1/3光纖T1/3T1/4光纖BLXX-JSZN-CORE-UCS-6140XP-1連接UCS服務(wù)器交換機Gi2/1光纖BLXX-JSZN-INT-FW-ASA5550-1G0/0Gi2/2光纖BLXX-JSZN-INT-FW-ASA5550-1G0/2服務(wù)器區(qū)防火墻（虛擬）trunk口Gi2/3光纖BLXX-JSZN-INT-FW-ASA5550-1G0/3服務(wù)器區(qū)防火墻（虛擬）三層口Gi2/4光纖BLXX-JSZN-INT-RTP-ASA5550-1G0/0Gi2/5光纖BLXX-JSZN-INT-WK-NI5110-1G0/0Gi2/6-29光纖樓道接入交換機（24臺）G0/49Gi3/1-6光纖服務(wù)器區(qū)接入交換機（6臺0G0/49新數(shù)據(jù)中心核心交換機C7609-1端口規(guī)劃表設(shè)備名端口線路類型對端設(shè)備端口備注BLXX-JSZN-CORE-SW-C7609-2T1/1光纖硅材料機房核心交換機T1/2光纖BLXX-JSZN-CORE-SW-C7609-1T1/2T1/3光纖T1/3T1/4光纖BLXX-JSZN-CORE-UCS-6140XP-2連接UCS服務(wù)器交換機Gi2/1光纖BLXX-JSZN-INT-FW-ASA5550-1G0/1Gi2/2光纖BLXX-JSZN-RTP-FW-ASA5550-1G0/2服務(wù)器區(qū)防火墻（虛擬）trunk口Gi2/3光纖BLXX-JSZN-RTP-FW-ASA5550-1G0/3服務(wù)器區(qū)防火墻（虛擬）三層口Gi2/4光纖BLXX-JSZN-RTP-FW-ASA5550-1G0/1Gi2/5光纖BLXX-JSZN-INT-WK-NI5110-1G0/1Gi2/6-29光纖樓道接入交換機（24臺）G0/50Gi3/1-6光纖服務(wù)器區(qū)接入交換機（6臺0G0/50新數(shù)據(jù)中心核心交換機C7609-2端口規(guī)劃表設(shè)備名端口線路類型（待議）用途端口備注BLXX-JSZN-INT-RT-C3845-1FA1/0MSTP線路電信internet出口N/AG0/0電口BLXX-JSZN-INT-FW-ASA5550-1G0/4新數(shù)據(jù)中心INTERNET區(qū)路由器C3845-1端口規(guī)劃表設(shè)備名端口線路類型（待議）用途端口備注BLXX-JSZN-INT-RT-C3845-2FA1/0MSTP線路XX運營商internet出口N/AG0/0電口BLXX-JSZN-INT-FW-ASA5550-1G0/5新數(shù)據(jù)中心INTERNET區(qū)路由器C3845-2端口規(guī)劃表設(shè)備名端口線路類型（待議）用途端口備注BLXX-JSZN-RTP-RT-C3845-1FA1/0-15MSTP線路電信internet出口N/AG0/0電口BLXX-JSZN-RTP-FW-ASA5550-1G0/5新數(shù)據(jù)中心RTP區(qū)路由器C3845-1端口規(guī)劃表網(wǎng)絡(luò)路由設(shè)計骨干網(wǎng)絡(luò)路由設(shè)計如圖所示：骨干網(wǎng)絡(luò)設(shè)備是四臺交換機C7609互聯(lián)而成四臺核心交換機之間運行ospf路由協(xié)議并都置于骨干area0中。新數(shù)據(jù)中心樓道交換機此次共購置24臺，只作為二層vlan劃分所有的三層網(wǎng)關(guān)都設(shè)置在新核心交換機C7609上。兩核心交換機之間的各個三層VLAN啟用VRRP/HSRP/GLBP，保證所建成的網(wǎng)絡(luò)是開放兼容性好的網(wǎng)絡(luò)平臺優(yōu)先使用VRRP（HSRP是思科私有協(xié)議），當(dāng)VRRP組超過256時，使用HSRP；備注：VRRP和HSRP支持256，GLBP支持1024服務(wù)器區(qū)網(wǎng)絡(luò)路由設(shè)計如圖所示：兩臺服務(wù)器區(qū)防火墻是INTERNENT防火墻和廣域網(wǎng)防火墻虛擬而得。在虛擬防火墻和核心交換機之間兩個光口互聯(lián)，一個是vlan2一個是trunk，trunk接口透傳所有服務(wù)器vlan，所有服務(wù)器網(wǎng)段的三層網(wǎng)關(guān)通過核心交換機透傳落在防火墻上。在核心交換機上配置vlan2的vrrp虛擬地址，在防火墻上配置vlan2地址，在兩臺核心交換機上都將服務(wù)器網(wǎng)段的路由條目指向防火墻，下一跳是防火墻vlan2接口地址。在防火墻上指默認(rèn)路由指向核心交換機vlan2的vrrp虛地址。并在核心交換機上將靜態(tài)路由重發(fā)布至ospf路由域中。廣域網(wǎng)區(qū)路由設(shè)計防火墻上做兩個接口的group捆綁，在正常情形下只有和C7609-1互聯(lián)的端口是forward狀態(tài)，和C7609-2互聯(lián)接口處于備份狀態(tài)。在核心交換機上指向靜態(tài)路由向防火墻并在核心交換機上重分布。由于集團(tuán)路由網(wǎng)段較多，在指明靜態(tài)路由時只指明匯總的路由條目后重分布進(jìn)內(nèi)網(wǎng)路由域中，這樣可以簡化路由條目減輕內(nèi)網(wǎng)設(shè)備的路由處理分擔(dān)。在核心交換機上起互聯(lián)vlan6并起vrrp虛地址。防火墻回指路由下一跳是此vrrp虛地址。網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全分區(qū)防護(hù)原則數(shù)據(jù)中心網(wǎng)絡(luò)實施安全的主要目的是對重要業(yè)務(wù)數(shù)據(jù)和應(yīng)用處理邏輯進(jìn)行保護(hù)，防止數(shù)據(jù)、處理邏輯的破壞和非法訪問。實施數(shù)據(jù)中心應(yīng)用系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)，主要任務(wù)是防止對中心所有重要服務(wù)器的非授權(quán)訪問。但是，對所有服務(wù)器實施單獨的策略管理不但復(fù)雜度高，管理成本更高。因此，對網(wǎng)絡(luò)進(jìn)行安全區(qū)域劃分，將信息資源部署在不同安全區(qū)域，實行基于安全區(qū)域的統(tǒng)一的防護(hù)，是一個簡單有效的辦法。網(wǎng)絡(luò)安全區(qū)域是由同一局域網(wǎng)交換機域中1個或多個VLAN組成的，區(qū)域與區(qū)域之間相互物理或邏輯隔離。因此，可以將網(wǎng)絡(luò)安全區(qū)域的邊界做為網(wǎng)絡(luò)安全防護(hù)的限制點、檢測點和中斷點，實施網(wǎng)絡(luò)用戶認(rèn)證，限制網(wǎng)絡(luò)訪問；檢測網(wǎng)絡(luò)數(shù)據(jù)流量，提供各種異常流量報警；監(jiān)測網(wǎng)絡(luò)運轉(zhuǎn)情況，阻斷各種攻擊行為，最終實現(xiàn)網(wǎng)絡(luò)上的金融數(shù)據(jù)和應(yīng)用服務(wù)的安全防護(hù)。層次型網(wǎng)絡(luò)安全區(qū)域原則根據(jù)數(shù)據(jù)中心網(wǎng)絡(luò)安全分區(qū)防護(hù)的要求，通過對現(xiàn)有數(shù)據(jù)中心網(wǎng)絡(luò)的分析，結(jié)合應(yīng)用系統(tǒng)服務(wù)器之間服務(wù)層次關(guān)系的分析，引出了新的數(shù)據(jù)中心層次型網(wǎng)絡(luò)安全區(qū)域模型。該模型由一個設(shè)計思想（縱向分層，橫向分區(qū)），三個概念（網(wǎng)絡(luò)安全層次、網(wǎng)絡(luò)安全區(qū)域、物理網(wǎng)絡(luò)區(qū)域）組成，系統(tǒng)闡述了數(shù)據(jù)中心網(wǎng)絡(luò)安全區(qū)域的劃分方法?？v向分層：根據(jù)新數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)需求，對每個業(yè)務(wù)系統(tǒng)進(jìn)行分層次管理。不同安全層次之間由于存在安全等級差異，要求盡量采用獨立的物理域，通過防火墻實施相互隔離和高級別的安全防護(hù)；相鄰層次之間可以根據(jù)需要實施安全訪問控制，不相鄰層次之間應(yīng)該盡量消除網(wǎng)絡(luò)連接。應(yīng)用系統(tǒng)的分層防護(hù)還要與其他系統(tǒng)安全防護(hù)措施相對應(yīng)，同一安全層次的資源應(yīng)該盡量集中擺放，越高層的資源配套安全防護(hù)措施也要越嚴(yán)格。對應(yīng)用系統(tǒng)實施網(wǎng)絡(luò)分層防護(hù)，有效地增加了重要應(yīng)用系統(tǒng)的安全防護(hù)縱深，使得外部的侵入需要穿過多層防護(hù)機制，不僅增加惡意攻擊的難度，還為主動防御提供了時間上的保證。當(dāng)外部攻擊穿過外層防護(hù)機制進(jìn)入數(shù)據(jù)中心隔離區(qū)后，進(jìn)一步的侵入受到應(yīng)用層和核心層防護(hù)機制的制約。由于外層防護(hù)機制已經(jīng)檢測到入侵，并及時通知了管理中心。當(dāng)黑客再次試圖進(jìn)入應(yīng)用區(qū)時，管理員可以監(jiān)控到黑客的行為，收集相關(guān)證據(jù)，并隨時切斷黑客的攻擊路徑。水平分區(qū)：網(wǎng)絡(luò)安全區(qū)域是一個具有相同安全風(fēng)險、相同安全防護(hù)等級、相同用戶訪問群的服務(wù)器集合，由同一網(wǎng)絡(luò)安全層次內(nèi)一個或幾個VLAN組成。如果網(wǎng)絡(luò)安全層次內(nèi)不再劃分安全區(qū)域，則任意一個網(wǎng)絡(luò)安全層次因日常運行維護(hù)或內(nèi)部/外部攻擊發(fā)生故障后，會導(dǎo)致整個應(yīng)用系統(tǒng)的癱瘓。因此，同一網(wǎng)絡(luò)安全層次（等級）內(nèi)的資源，根據(jù)對企業(yè)的重要性、面臨的外來攻擊風(fēng)險、內(nèi)在的運維風(fēng)險不同，還需要進(jìn)一步劃分成多個網(wǎng)絡(luò)安全區(qū)域。對于的現(xiàn)有系統(tǒng)來講，應(yīng)該將生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)進(jìn)行分區(qū)管理，通過隔離分區(qū)，對區(qū)域進(jìn)行控制的方式達(dá)到對生產(chǎn)的安全保護(hù)。保障生產(chǎn)網(wǎng)絡(luò)系統(tǒng)的正常運行。安全設(shè)計方案服務(wù)器區(qū)安全設(shè)計：如上圖：兩臺防火墻（INTENENT防火墻和廣域網(wǎng)防火墻）各劃分出一個虛擬防火墻作為服務(wù)器區(qū)的防火墻設(shè)備。真實的物理連接是internet防火墻和C7609-1兩根光纖相連，廣域網(wǎng)防火墻也是和C7609-2兩根光纖互聯(lián)。兩臺防火墻間電口互聯(lián)。因為服務(wù)器防火墻連接是業(yè)務(wù)服務(wù)器網(wǎng)段處于網(wǎng)絡(luò)中最關(guān)鍵地位，可靠性要能充分保證，因此在兩臺虛擬防火墻間作failover。當(dāng)其中服務(wù)器區(qū)防火墻出現(xiàn)問題能通過failover自動切換到備防火墻保證業(yè)務(wù)服務(wù)器的正常聯(lián)通。服務(wù)器接入?yún)^(qū)內(nèi)各服務(wù)器的網(wǎng)關(guān)設(shè)置在兩個虛擬防火墻上，防火墻以旁路的方式外掛在核心交換機思科7609上兩服務(wù)器防火墻為一主一備的方式運行,各通過兩根光纖與匯聚交換思科7609互連，并通過VLAN透傳服務(wù)器網(wǎng)段的數(shù)據(jù)（即所有業(yè)務(wù)服務(wù)器網(wǎng)關(guān)終結(jié)在服務(wù)器區(qū)虛擬防火墻上），通過另外一個VLAN2的三層接口與思科7609互聯(lián)互通，在核心交換機上并通過靜態(tài)路由引導(dǎo)流量去防火墻。在服務(wù)器防火墻對各個服務(wù)器業(yè)務(wù)網(wǎng)段設(shè)置不同優(yōu)先級，按照具體業(yè)務(wù)訪問需求設(shè)置訪問策略，策略限制細(xì)化到最細(xì)地址，具體到端口。服務(wù)器區(qū)接入設(shè)計：二層交換機通過兩個千兆光纖采用三角形連接方式與核心交換機7609互連，如圖所示：所有服務(wù)器區(qū)接入交換機與核心交換機接口全部為trunk模式，并關(guān)閉接入交換機生成樹協(xié)議，并根據(jù)業(yè)務(wù)需求配置PVLAN，隔離不同的用戶。在核心交換機上配置生成樹優(yōu)先級，所有的vlan號為奇數(shù)的網(wǎng)段生成樹根設(shè)置在7609-1上，并將7609-2設(shè)置成second根。所有vlan號為偶數(shù)的網(wǎng)段的生成樹根都設(shè)置在7609-2上，并將7609-1設(shè)置成second根。當(dāng)主根的交換機出現(xiàn)故障，second根的交換機將自動接管生成樹主根的地位。在生成樹正常情況下。Second根下聯(lián)接入交換機的接口處于block狀態(tài)，其余端口是forward狀態(tài)。Internet區(qū)安全設(shè)計Internet區(qū)防火墻使用單臺asa5550，和兩臺接入路由3845分別千兆電口互聯(lián)，防火墻和網(wǎng)康行為管理設(shè)備用電口互聯(lián)，網(wǎng)康行為管理設(shè)備和核心交換機7609分別用電口互聯(lián)。從安全角度internet是最不可靠的網(wǎng)絡(luò)環(huán)境。來自internet的外部攻擊手段也層出不窮。保證整網(wǎng)安全性，避免內(nèi)網(wǎng)環(huán)境遭受黑客攻擊，internet出口應(yīng)當(dāng)做嚴(yán)格的防護(hù)。因此在此次項目中我們將設(shè)置兩道保護(hù)屏障，即：第一層使用防火墻，第二層使用網(wǎng)康行為管理設(shè)備。網(wǎng)康設(shè)備上對上網(wǎng)用戶網(wǎng)段做身份劃分，在各個身份的上網(wǎng)用戶網(wǎng)段做不同的訪問優(yōu)先級，用戶組只能訪問各自指定的網(wǎng)站，只能在指定的時間段訪問internet網(wǎng)。并在網(wǎng)康設(shè)備對內(nèi)部用戶的上網(wǎng)行為統(tǒng)計：包括對所有用戶上網(wǎng)流量，上的網(wǎng)站地址做統(tǒng)計。便于網(wǎng)絡(luò)管理員隨時查看上網(wǎng)事件及時能發(fā)現(xiàn)安全漏洞。在internet防火墻上做地址翻譯，針對不同網(wǎng)段翻譯成電信或聯(lián)通的公網(wǎng)地址。在防火墻上配置路由將上網(wǎng)流量分擔(dān)在兩個運營商線路上。在防火墻的outside口上封死所有常見病毒木馬等端口。廣域網(wǎng)區(qū)安全設(shè)計廣域網(wǎng)連接集團(tuán)線路，雖然專網(wǎng)安全性很高，但是很多攻擊和病毒的泛濫可能是由于內(nèi)網(wǎng)人員操作不慎，如不正當(dāng)使用外接設(shè)備，收發(fā)了病毒郵件等。因此內(nèi)部網(wǎng)絡(luò)也應(yīng)當(dāng)做充足的防護(hù)。此次項目在廣域網(wǎng)出口部署了一臺asa5550作為防護(hù)，在防火墻上針對需求做雙向地址翻譯和地址端口的訪問策略。QOS設(shè)計QOS簡介現(xiàn)在IP網(wǎng)絡(luò)所提供的是"盡力而為"（best-effort）的服務(wù)，在這種服務(wù)模型下，所有的業(yè)務(wù)流被"一視同仁"地公平地競爭網(wǎng)絡(luò)資源，路由器對所有的IP包都采用先來先處理（FirstComeFirstServiceFCFS）的工作方式，它盡最大努力將IP包送達(dá)目的地。但對IP包傳遞地可靠性、延遲等不能提供任何保證。隨著多媒體業(yè)務(wù)的興起，計算機已經(jīng)不是單純的處理數(shù)據(jù)的工具，而是越來越貼近生活，計算機的交互越來越實時和生動，這對計算機互聯(lián)網(wǎng)絡(luò)也就相應(yīng)地提出了更高的要求。對那些有帶寬、延遲、延遲抖動等特殊要求的應(yīng)用來說，現(xiàn)有的"盡力而為"的服務(wù)顯然是不夠的。因此服務(wù)質(zhì)量（QoS）技術(shù)也隨之出現(xiàn)，QoS是為了改變數(shù)據(jù)在傳輸過程中的優(yōu)先級，保證一些對時延要求高的數(shù)據(jù)比如語音，視頻，以及業(yè)務(wù)數(shù)據(jù)等優(yōu)先通過IP網(wǎng)絡(luò)，對一些時延要求不高的FTP,email等數(shù)據(jù)優(yōu)先級降低，以保證高優(yōu)先級的數(shù)據(jù)傳輸。下面就簡要介紹一些常用的QoS技術(shù)。綜合業(yè)務(wù)結(jié)構(gòu)（Int-Serv）Int-Serv（intergraltedservice）模型是IETF較早提出的實現(xiàn)IPQoS的一種方法。對推動Internet向QoS方向發(fā)展有著重大的意義。但是Int-Serv模型為了對每一個業(yè)務(wù)流提供相應(yīng)QoS，必須在網(wǎng)絡(luò)上保存基于流的資源分配和維護(hù)信息，給路由器帶來巨大的存儲和處理負(fù)擔(dān)，限制了Int-Serv在大型網(wǎng)絡(luò)上的應(yīng)用。另外在路由器上還要實現(xiàn)接入控制、業(yè)務(wù)分類、業(yè)務(wù)整形和信令協(xié)議處理，進(jìn)一步提高了對路由器的要求。業(yè)務(wù)區(qū)分結(jié)構(gòu)（Diff-Serv)Diff-Serv(DifferentiatedService)是IETF在1998年底提出的一種新穎的分級服務(wù)模型，按業(yè)務(wù)種類提供不同服務(wù)的Diff-Serv，模型相對于按流服務(wù)大大減輕了路由器負(fù)擔(dān)，并且分類整形等工作只在邊緣路由器上實現(xiàn)，中心路由器只執(zhí)行簡單的PHB，比Int-Serv模型又進(jìn)一步減輕了對路由器的要求。排隊機制早在1992年，為了提高IP上的服務(wù)質(zhì)量，就提出了加權(quán)公平排隊算法（WFQ：WeightedFairQueuing）。WFQ是一種公平排隊算法，它依據(jù)數(shù)據(jù)流的優(yōu)先級、到達(dá)時間等諸多因素對每個數(shù)據(jù)包動態(tài)地打上時戳，并將時戳值最小的數(shù)據(jù)包發(fā)送出去?？梢栽谝欢ǔ潭壬戏乐鼓承阂庥脩暨^度占用帶寬。擁塞避免擁塞避免技術(shù)通過監(jiān)視網(wǎng)絡(luò)流量負(fù)荷，可預(yù)測和避免公共網(wǎng)絡(luò)瓶頸處發(fā)生的擁塞。這與在擁塞出現(xiàn)時對其進(jìn)行管理的擁塞管理技術(shù)不同。QoS解決方案避免擁塞的主要工具是加權(quán)隨機早期檢測(WRED)，它為較高優(yōu)先級信息分組提供優(yōu)先流量處理。當(dāng)接口開始出現(xiàn)擁塞時，它將有選擇地丟棄較低優(yōu)先級的流量，并為不同服務(wù)水平提供不同的性能特性。流量整形通用流量整形(GTS)技術(shù)，可管理網(wǎng)絡(luò)中的流量和擁塞，在特定接口上控制信息流。通過限制指定流量的速率(也稱為令牌存儲桶法)，可減少輸出流，避免擁塞，同時對特定突發(fā)流量進(jìn)行排隊。這樣，遵守特定標(biāo)準(zhǔn)的流量就可得到整形，以滿足下行流量的要求，消除數(shù)據(jù)速率不匹配產(chǎn)生的網(wǎng)絡(luò)拓?fù)淦款i。江蘇中能硅業(yè)數(shù)據(jù)中心QOS設(shè)計江蘇中能硅業(yè)數(shù)據(jù)中心的通訊類型可以分為以下幾類：實時業(yè)務(wù)：此類數(shù)據(jù)要求較高的線路帶寬和延遲保證，實時性較強。視頻業(yè)務(wù)：此類數(shù)據(jù)要求較高的線路帶寬和延遲保證，實時性較強。關(guān)鍵業(yè)務(wù)：主要是指對實時性要求不高，存在數(shù)據(jù)并發(fā)現(xiàn)象，對網(wǎng)絡(luò)帶寬占用比較大，如信貸業(yè)務(wù)。OA業(yè)務(wù)：此類數(shù)據(jù)對實時性要求不高，對網(wǎng)絡(luò)帶寬有一定的占用。其它業(yè)務(wù)：劃分為盡力而為、不被保障的通信業(yè)務(wù)。業(yè)務(wù)對網(wǎng)絡(luò)的QoS需求主要表現(xiàn)在對網(wǎng)絡(luò)帶寬、延遲、延遲抖動、包丟失等方面的要求。在江蘇中能硅業(yè)網(wǎng)絡(luò)中，不同類型業(yè)務(wù)的QoS需求見下表：業(yè)務(wù)類別帶寬要求延遲延遲抖動包丟失實時業(yè)務(wù)按需確保低低低視頻業(yè)務(wù)按需確保低低低關(guān)鍵業(yè)務(wù)適量帶寬適量適量適量OA業(yè)務(wù)適量帶寬適量適量適量其他業(yè)務(wù)盡量服務(wù)盡量服務(wù)盡量服務(wù)盡量服務(wù)網(wǎng)絡(luò)設(shè)備清單核心交換機C7609（2臺）：產(chǎn)品號數(shù)量CISCO7609-S=2WS-SUP720-3BXL2MEM-C6K-CPTFL512M2BF-S720-64MB-RP2WS-CAC-4000W-INT2CF-ADAPTER-SP2MEM-C6K-CPTFL512M24000W-AC-INT2WS-CAC-4000W-INT2S763IS-12233SRD2WS-X6748-GE-TX2WS-X6748-SFP4WS-X6708-10G-3C4X2-10GB-LR12X2-10GB-SR16GLC-LH-SM192GLC-SX-MM96WS-X6704-10GE2XENPAK-10GB-LR+6CON-CSSPD-7609SBXP2*3年CON-CSSPD-CIS7609S2*3年

接入交換機C2960（30臺）：產(chǎn)品號數(shù)量WS-C2960G-48TC-L30GLC-LH-SM60CON-CSSPD-C2960G4C30*3年無線設(shè)備（100個熱點）：產(chǎn)品號數(shù)量AIR-CT5508-100-K91GLC-SX-MM2AIR-LAP1262N-C-K9100AIR-ANT2422DB-R300WCS-STANDARD-K91WCS-APBASE-1001CON-CSSPD-CT081001*3年CON-CSSPD-LAP1262C100*3年CON-CSSPU-WCSAB1C1*3年防火墻ASA5550（2臺）：產(chǎn)品號數(shù)量ASA5550-K82CON-CSSPD-AS5550K82*3年

路由器C3845（2臺）：產(chǎn)品號數(shù)量CISCO38452NM-16ESW1NM-2FE2W-V22VWIC2-2MFT-G7033PWR-3845-AC/22CAB-E1-RJ45BNC6CON-CSSPD-38452*3年網(wǎng)康行為管理NI-5110（1臺）：產(chǎn)品號數(shù)量NI-51101含維保3年P(guān)OE接入交換機（50臺）：產(chǎn)品號數(shù)量WS-C3560-8PC-S50CON-CSSPD-WSC356850*3年寶利通視頻設(shè)備：產(chǎn)品號數(shù)量MCU:RMX10361終端：HDX80004RSS4000:高清錄播服務(wù)器1移動支架：NBT18004含三年維保IBM服務(wù)器(3套)：規(guī)格：x3850X5XeonE75402.00GHzx2/32G/300Gx3/DualPower/DVD/RAID5/FCHBA*2產(chǎn)品號內(nèi)容數(shù)量71453RC標(biāo)配兩個Intel六核XeonE7540處理器(2.0GHz,18M緩存)，可擴(kuò)至八路處理器，標(biāo)配2塊內(nèi)存板，16GB(4x4GB)1066MHzDDR3內(nèi)存，最大可擴(kuò)充至3TB，標(biāo)配一塊Emulex萬兆雙口以太網(wǎng)卡，主機帶兩個千兆以太網(wǎng)卡，標(biāo)配2個熱插拔電源,4U機架式，無光驅(qū)346C74484GB(1x4GB)QuadRankx8PC3-8500CL7DDR3LPRDIMM1066MHzLowPowerx3400M2,x3500M2,x3550M2,x3650M2,x3450,X3200M3,x3850X51242D0637300GB10K6GbpsSAS(SFF)薄型熱插拔硬盤946M0901IBMUltraSlimEnhancedSATADVD-ROM344E8689ServeRAID-BR10iSAS/SATA控制器RAID0,1,1E3（贈送）46M0829ServeRAID-M50156GbpsPCI-E控制器512MB緩存/電池備份342C2069Emulex4GBFCSingle-PortPCI-EHBAforIBMSystemx6軟件64位RedHatEnterpriseLinux?2CPU3含三年維保網(wǎng)絡(luò)設(shè)備介紹防火墻CiscoASA5550CiscoASA5500系列包括CiscoASA5505、5510、5520、5540和5550自適應(yīng)安全設(shè)備-這些定制的高性能安全解決方案充分利用了思科系統(tǒng)公司?在開發(fā)業(yè)界領(lǐng)先、屢獲大獎的安全和VPN解決方案方面的豐富經(jīng)驗。該系列集成了CiscoPIX?500系列安全設(shè)備、CiscoIPS4200系列傳感器和CiscoVPN3000系列集中器的最新技術(shù)。通過結(jié)合上述技術(shù)，CiscoASA5500系列提供了一個無與倫比的優(yōu)秀解決方案，能防御范圍最為廣泛的威脅，為企業(yè)提供靈活、安全的連接選項。作為思科自防御網(wǎng)絡(luò)的核心組件，CiscoASA5500系列提供了主動的威脅防御，能夠在攻擊蔓延到整個網(wǎng)絡(luò)之前進(jìn)行阻止，控制網(wǎng)絡(luò)活動和應(yīng)用流量，并提供靈活的VPN連接。這些功能的結(jié)合打造了強大的多功能網(wǎng)絡(luò)安全產(chǎn)品系列，不但能為中小企業(yè)（SMB）、大企業(yè)和電信運營商網(wǎng)絡(luò)提供廣泛深入的安全保護(hù)，還降低了提供如此出色的安全性所涉及的部署和運營成本以及復(fù)雜性。CiscoASA5550自適應(yīng)安全設(shè)備在一個可靠的單機架單元設(shè)備中為大型企業(yè)和電信運營商網(wǎng)絡(luò)提供了具備主用/主用高可用性和光纖及千兆以太網(wǎng)連接的大量千兆級安全服務(wù)。利用其8個千兆以太網(wǎng)接口、4個SFP光纖接口*和多達(dá)200個的VLAN，企業(yè)可以將網(wǎng)絡(luò)分成多個高性能分區(qū)，從而提高安全性。CiscoASA5550自適應(yīng)安全設(shè)備可隨著企業(yè)網(wǎng)絡(luò)安全要求的提高而擴(kuò)展，從而提供了強大的投資保護(hù)功能和服務(wù)可擴(kuò)展性。企業(yè)能擴(kuò)大其IPSec和SSLVPN容量，以支持更多的移動員工、遠(yuǎn)程地點和業(yè)務(wù)合作伙伴。通過安裝一個SSLVPN升級許可證，企業(yè)能在每個CiscoASA5550上支持5000個SSLVPN對；基本平臺上支持5000個IPSecVPN對。CiscoASA5550的集成VPN集群和負(fù)載均衡功能可提高VPN容量和永續(xù)性。CiscoASA5550在一個集群中能支持10個設(shè)備，從而使每個集群最多可支持50,000個SSLVPN對或50,000個IPSecVPN對。利用CiscoASA5550自適應(yīng)安全設(shè)備的可選安全環(huán)境功能,企業(yè)可在一個設(shè)備中部署多達(dá)50個虛擬防火墻，實現(xiàn)部門級或每用戶安全策略分區(qū)控制，同時降低管理和支持總成本。特性說明防火墻吞吐率高達(dá)1.2Gbps并發(fā)連接650,000IPSecVPN對5,000SSLVPN對許可證級別*10、25、50、100、250、500、750、1000、2500