證券數(shù)據(jù)中心技術(shù)方案
《證券數(shù)據(jù)中心技術(shù)方案》由會(huì)員分享,可在線閱讀,更多相關(guān)《證券數(shù)據(jù)中心技術(shù)方案(156頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、證券有限責(zé)任公司證券有限責(zé)任公司證券有限責(zé)任公司證券有限責(zé)任公司新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目招標(biāo)編號(hào)招標(biāo)編號(hào)招標(biāo)編號(hào)招標(biāo)編號(hào):技技術(shù)術(shù)標(biāo)標(biāo)書書證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 I目目 錄錄1項(xiàng)目背景與需求分析項(xiàng)目背景與需求分析.11.1項(xiàng)目背景.11.2需求分析.11.2.1新數(shù)據(jù)中心設(shè)計(jì).11.2.2業(yè)務(wù)支持設(shè)計(jì).21.2.3路由設(shè)計(jì).21.2.4安全設(shè)計(jì).21.2.5網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)策略.31.2.6IP 地址規(guī)劃.31.3設(shè)計(jì)原則、策略與規(guī)范.31.3.1設(shè)計(jì)原則.31.3.2網(wǎng)絡(luò)設(shè)計(jì)策略.51.3.
2、3網(wǎng)絡(luò)設(shè)計(jì)標(biāo)準(zhǔn)與規(guī)范.52網(wǎng)絡(luò)設(shè)計(jì)方案網(wǎng)絡(luò)設(shè)計(jì)方案 .72.1集中交易系統(tǒng)對(duì)網(wǎng)絡(luò)的設(shè)計(jì)要求.72.1.1集中交易數(shù)據(jù)交換流程 .72.1.2集中交易體系結(jié)構(gòu).82.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì).102.2.1網(wǎng)絡(luò)總體架構(gòu)設(shè)計(jì).102.2.2廣域網(wǎng)接入網(wǎng)絡(luò)設(shè)計(jì).122.2.3交易內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì).142.2.4交易隔離區(qū)網(wǎng)絡(luò)設(shè)計(jì).162.2.5廣域與災(zāi)備域網(wǎng)絡(luò)設(shè)計(jì) .172.2.6安全隔離網(wǎng)網(wǎng)絡(luò)設(shè)計(jì).182.3可靠性設(shè)計(jì).192.3.1廣域網(wǎng)接入可靠性設(shè)計(jì) .202.3.2交易內(nèi)網(wǎng)可靠性設(shè)計(jì).232.3.3交易隔離網(wǎng)可靠性設(shè)計(jì) .262.3.4廣域與災(zāi)備域可靠性設(shè)計(jì).292.3.5安全隔離網(wǎng)可靠性設(shè)計(jì) .312.
3、4網(wǎng)絡(luò)安全設(shè)計(jì).342.4.1安全保障建議措施.342.4.2防火墻安全部署設(shè)計(jì).362.5雙網(wǎng)卡冗余備份方案的網(wǎng)絡(luò)設(shè)計(jì)建議.373設(shè)備配置方案設(shè)備配置方案 .403.1廣域網(wǎng)接入路由器配置.403.2交易內(nèi)網(wǎng)/交易隔離網(wǎng)交換機(jī)配置.403.3廣域網(wǎng)/災(zāi)備網(wǎng)交換機(jī)配置.41證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 II3.4安全隔離區(qū)與 DMZ 區(qū)防火墻配置 .413.5安全隔離網(wǎng)交換機(jī)配置.413.6DMZ 區(qū)域及辦公網(wǎng)交換機(jī)配置.414系統(tǒng)實(shí)施與測(cè)試方案系統(tǒng)實(shí)施與測(cè)試方案.424.1項(xiàng)目風(fēng)險(xiǎn)控制.424.2工程實(shí)施方案.434.2.1第一階段:實(shí)施方案準(zhǔn)備.434.2
4、.2第二階段:網(wǎng)絡(luò)安裝.454.2.3第三階段:系統(tǒng)測(cè)試.454.2.4第四階段:網(wǎng)絡(luò)割接.464.2.5第五階段:回退計(jì)劃.464.2.6第六階段:監(jiān)控及優(yōu)化 .464.3測(cè)試與驗(yàn)收方案.474.3.1單元測(cè)試.484.3.2整體測(cè)試.504.3.3系統(tǒng)集成測(cè)試.524.3.4測(cè)試驗(yàn)收單 .535工程項(xiàng)目管理計(jì)劃工程項(xiàng)目管理計(jì)劃.565.1項(xiàng)目組織結(jié)構(gòu).565.2技術(shù)服務(wù)人員情況介紹.615.3項(xiàng)目實(shí)施計(jì)劃.645.3.1設(shè)計(jì)方案認(rèn)定.645.3.2物理結(jié)構(gòu)圖設(shè)計(jì).645.3.3實(shí)施計(jì)劃的確定.655.3.4工程施工督導(dǎo)、監(jiān)察.655.3.5工程安裝、調(diào)試和最終驗(yàn)收.655.4項(xiàng)目進(jìn)度計(jì)劃.
5、15.4.1設(shè)備采購(gòu)與設(shè)置.25.4.2工程準(zhǔn)備.35.4.3工程實(shí)施.45.4.4完善優(yōu)化工作.55.4.5工程驗(yàn)收.55.5項(xiàng)目管理.15.5.1人員管理.15.5.2物資管理.15.5.3進(jìn)度管理.15.5.4文檔管理.25.5.5合同管理.25.5.6項(xiàng)目計(jì)劃的控制.25.5.7采購(gòu)過(guò)程的控制.25.5.8安裝過(guò)程的控制.3證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 III5.5.9用戶服務(wù).35.6項(xiàng)目風(fēng)險(xiǎn)管理.35.6.1項(xiàng)目風(fēng)險(xiǎn)概述.35.6.2項(xiàng)目風(fēng)險(xiǎn)控制措施.55.7項(xiàng)目質(zhì)量控制.95.7.1項(xiàng)目管理概述.95.7.2方迪公司質(zhì)量體系簡(jiǎn)介 .95.7.3項(xiàng)
6、目的質(zhì)量保證.115.7.4文檔移交不同實(shí)施階段移交的文檔清單.145.7.5項(xiàng)目表格.155.7.6交付設(shè)備文檔清單.155.7.7項(xiàng)目實(shí)施表格.164驗(yàn)收證明驗(yàn)收證明.205系統(tǒng)集成日記錄表系統(tǒng)集成日記錄表.216售后服務(wù)與培訓(xùn)方案售后服務(wù)與培訓(xùn)方案.236.1方迪客戶服務(wù)體系介紹.236.1.1客戶服務(wù)體系概要.236.1.2客戶服務(wù)架構(gòu).246.1.3客戶服務(wù)模式.256.1.4CASE 處理流程 .266.1.5RMA 處理流程.326.1.6客戶滿意度調(diào)查.336.2技術(shù)服務(wù)內(nèi)容.346.2.1基本服務(wù).346.2.2高級(jí)服務(wù).356.2.3網(wǎng)絡(luò)系統(tǒng)健康檢查與維修服務(wù).416.2.
7、4網(wǎng)絡(luò)安全高級(jí)服務(wù).456.3售后服務(wù)計(jì)劃及響應(yīng).566.3.1服務(wù)響應(yīng)承諾.566.3.2方迪提供的本地化服務(wù) .576.4培訓(xùn)計(jì)劃.586.4.1現(xiàn)場(chǎng)培訓(xùn).586.4.2不定期的技術(shù)交流培訓(xùn) .596.4.3網(wǎng)上資料庫(kù) .597產(chǎn)品性能分析產(chǎn)品性能分析 .607.1CISCO 3845 性能分析 .607.1.1產(chǎn)品概述.607.1.2用于數(shù)據(jù)、話音和視頻的安全網(wǎng)絡(luò)連接.617.1.3融合 IP 通信.627.1.4集成化服務(wù) .637.1.5主要特性和優(yōu)勢(shì).63證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 IV7.1.6產(chǎn)品架構(gòu).657.1.7總結(jié).667.2CISCO
8、 CATALYST 4948 性能分析.677.2.1主要特性和優(yōu)勢(shì).677.2.2軟件配置選項(xiàng).697.2.3技術(shù)規(guī)格.697.3JUNIPER SSG 300 性能分析.747.3.1概述.747.3.2特性和優(yōu)勢(shì) .74證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 11項(xiàng)目背景與需求分析項(xiàng)目背景與需求分析1.1 項(xiàng)目背景項(xiàng)目背景證券有限責(zé)任公司于 1992 年 11 月成立。證券以科技為依托,合理配置資源,突出比較競(jìng)爭(zhēng)優(yōu)勢(shì),不斷推出特色服務(wù),將公司建成規(guī)模適中、效益顯著的綜合類證券公司。目前證券在全國(guó)已經(jīng)擁有包括深圳深南大道營(yíng)業(yè)部、深圳人民北路營(yíng)業(yè)部、北京車公莊大街營(yíng)業(yè)
9、部 、上海零陵路營(yíng)業(yè)部、上海長(zhǎng)寧路營(yíng)業(yè)部、竹苑路營(yíng)業(yè)部、武漢新華下路營(yíng)業(yè)部、鞍山南勝利路營(yíng)業(yè)部、鞍山二道街營(yíng)業(yè)部、南通孩兒巷營(yíng)業(yè)部、沈陽(yáng)文藝路營(yíng)業(yè)部、杭州鳳起路營(yíng)業(yè)部、廣州花城大道營(yíng)業(yè)部等 13 家營(yíng)業(yè)部以及 1 家服務(wù)部。為了適應(yīng)當(dāng)前證券市場(chǎng)發(fā)展的需要,證券將在原機(jī)房附近擴(kuò)建一新數(shù)據(jù)中心,建設(shè)新的證券中心機(jī)房。1.2 需求分析需求分析本項(xiàng)目可以認(rèn)為是證券新中心機(jī)房的建設(shè)和機(jī)房搬遷兩大部分組成。項(xiàng)目總體目標(biāo)是建立一個(gè)設(shè)計(jì)規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴(kuò)展性與可用性、可持續(xù)穩(wěn)定運(yùn)行的公司網(wǎng)絡(luò)。1.2.1 新數(shù)據(jù)中心設(shè)計(jì)新數(shù)據(jù)中心設(shè)計(jì)為了適應(yīng)當(dāng)前證券市場(chǎng)發(fā)展的需要,證券將在原數(shù)據(jù)中心
10、搬遷到新機(jī)房,建立證券新中心機(jī)房。新中心機(jī)房是證券整個(gè)公司網(wǎng)絡(luò)的“心臟” ,設(shè)計(jì)效果的好壞將直接影響整個(gè)網(wǎng)絡(luò)的性能。網(wǎng)絡(luò)系統(tǒng)必須保證 7X24 小時(shí)連續(xù)穩(wěn)定運(yùn)行;在設(shè)備選型方面充分考慮處理能力和高可擴(kuò)展性;證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 2與外部可信任公司如交易所、登記公司、銀行等的接入采用可靠的技術(shù)隔離手段,確保網(wǎng)絡(luò)安全。1.2.2 業(yè)務(wù)支持業(yè)務(wù)支持設(shè)計(jì)設(shè)計(jì)滿足當(dāng)前公司業(yè)務(wù)需求,包括:集中交易系統(tǒng)、辦公自動(dòng)化系統(tǒng)、財(cái)務(wù)系統(tǒng)、清算開戶系統(tǒng)、以及其它系統(tǒng)接入。1.2.3 路由設(shè)計(jì)路由設(shè)計(jì)選擇標(biāo)準(zhǔn)的路由協(xié)議,能適合不同廠商的網(wǎng)絡(luò)設(shè)備,能進(jìn)行較為快速的網(wǎng)絡(luò)收斂, 盡量
11、避免使用靜態(tài)路由;采用有效的技術(shù)手段抑制拓?fù)渥兓鶐?lái)的網(wǎng)絡(luò)不穩(wěn)定性,合理規(guī)劃營(yíng)業(yè)網(wǎng)點(diǎn)的 IP 地址,減少路由條目;在保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定的基礎(chǔ)上,盡量啟用路由加速功能,加快包交換速度。1.2.4 安全設(shè)計(jì)安全設(shè)計(jì)公司網(wǎng)絡(luò)傳輸大量對(duì)安全性要求極高的敏感數(shù)據(jù),任何的安全漏洞都可能造成嚴(yán)重的后果。網(wǎng)絡(luò)的安全性方面必須至少具備以下的一些功能:必須有能力抵御已知的網(wǎng)絡(luò)攻擊。推薦一個(gè)功能強(qiáng)大的、有效的網(wǎng)絡(luò)攻擊檢測(cè)和防御產(chǎn)品,切實(shí)保護(hù)網(wǎng)絡(luò)資源的安全。能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)的一切活動(dòng),準(zhǔn)確判斷、識(shí)別、阻止已知的各種類型的網(wǎng)絡(luò)攻擊行為;能夠方便、可靠地更新攻擊行為模式庫(kù)以適應(yīng)攻擊方式的不斷推陳出新;能夠?qū)梢傻木W(wǎng)絡(luò)行為
12、發(fā)出警告,并對(duì)經(jīng)確定的攻擊行為自動(dòng)更新至模式庫(kù);證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 3能夠與已有的其他各種類型防護(hù)設(shè)備協(xié)同工作,充分挖掘、發(fā)揮這些設(shè)備的安全功能,必須對(duì)生產(chǎn)網(wǎng)絡(luò)沒(méi)有任何實(shí)質(zhì)性的不良的影響。能夠有效的控制計(jì)算機(jī)病毒的傳播范圍,將損失減小到最低;采取有效手段使點(diǎn)到點(diǎn)的數(shù)據(jù)傳輸安全,防止數(shù)據(jù)被非法竊取、泄露、篡改;營(yíng)業(yè)部的網(wǎng)絡(luò)安全設(shè)計(jì)需納入到公司網(wǎng)絡(luò)安全整體設(shè)計(jì)中,充分挖掘、利用營(yíng)業(yè)部路由器、交換機(jī)安全方面的特性,部署網(wǎng)絡(luò)安全的第一道防線;提供防病毒系統(tǒng)部署方案,保證業(yè)務(wù)系統(tǒng)的應(yīng)用及數(shù)據(jù)安全。1.2.5 網(wǎng)絡(luò)服務(wù)質(zhì)量(網(wǎng)絡(luò)服務(wù)質(zhì)量(QoS)策略)策略為了充
13、分利用廣域網(wǎng)線路帶寬資源,并確保實(shí)時(shí)性與重要性高的數(shù)據(jù)及時(shí)傳輸,須對(duì)備份線路帶寬部署嚴(yán)格、有效的服務(wù)質(zhì)量(QoS)策略。1.2.6 IP 地址規(guī)劃地址規(guī)劃按區(qū)域統(tǒng)一規(guī)劃、規(guī)范 IP 地址的使用;所采用的 IP 規(guī)劃規(guī)范必須能夠有利于路由匯聚,便于日常的網(wǎng)絡(luò)管理和運(yùn)維;IP 規(guī)劃規(guī)范必須具有良好的擴(kuò)展性。1.3 設(shè)計(jì)原則、策略與規(guī)范設(shè)計(jì)原則、策略與規(guī)范1.3.1 設(shè)計(jì)原則設(shè)計(jì)原則深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司作為一家優(yōu)秀的系統(tǒng)集成商,向用戶提供的不僅僅是設(shè)備,而是整套的技術(shù)與服務(wù)。在方案設(shè)計(jì)時(shí),我們將嚴(yán)格遵循以下設(shè)計(jì)原則:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 4高可靠性原
14、則:高可靠性原則:網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證,在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品,合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu),制訂可靠的網(wǎng)絡(luò)備份策略,保證網(wǎng)絡(luò)具有故障自愈的能力,最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。技術(shù)先進(jìn)性和實(shí)用性原則:技術(shù)先進(jìn)性和實(shí)用性原則:保證滿足證券交易業(yè)務(wù)的同時(shí),又要體現(xiàn)網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái),充分考慮到證券數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。高性能原則:高性能原則:承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ),設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力,保證各種信息(數(shù)據(jù)、語(yǔ)音、圖像)的高質(zhì)量傳輸,才能使網(wǎng)絡(luò)不成為證券各項(xiàng)業(yè)務(wù)開展的
15、瓶頸。標(biāo)準(zhǔn)化原則:標(biāo)準(zhǔn)化原則:支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開放協(xié)議,有利于保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、證券網(wǎng)絡(luò)、其它網(wǎng)絡(luò))之間的平滑連接互通,以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性原則:靈活性及可擴(kuò)展性原則:根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化,網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí),最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 5可管理性原則:可管理性原則:對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理,并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái),具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析,及可提供故障自動(dòng)報(bào)警等等。安全性及高性價(jià)比原則:安全性及高性價(jià)
16、比原則:制訂統(tǒng)一的骨干網(wǎng)安全策略,整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。網(wǎng)絡(luò)方案的設(shè)計(jì)必須充分考慮投資保護(hù)。1.3.2 網(wǎng)絡(luò)設(shè)計(jì)策略網(wǎng)絡(luò)設(shè)計(jì)策略嚴(yán)格保障安全嚴(yán)格保障安全:證券數(shù)據(jù)中心網(wǎng)絡(luò)需求多,嚴(yán)格的安全訪問(wèn)控制可以有效控制風(fēng)險(xiǎn),保證網(wǎng)絡(luò)安全。方案設(shè)計(jì)要考慮制定嚴(yán)格的訪問(wèn)控制,禁止非法訪問(wèn)。標(biāo)準(zhǔn)化標(biāo)準(zhǔn)化原則原則:網(wǎng)絡(luò)設(shè)計(jì)中所用的各種協(xié)議、接口規(guī)程須符合國(guó)際標(biāo)準(zhǔn)。方案設(shè)計(jì)中制定的操作標(biāo)準(zhǔn)、規(guī)范,應(yīng)沿襲骨干網(wǎng)改造、數(shù)據(jù)集中工程網(wǎng)絡(luò)建設(shè)的成果,保持全行網(wǎng)絡(luò)的一致性。易于維護(hù)易于維護(hù):網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)清晰明了、層次分明,配置力求簡(jiǎn)潔規(guī)范,便于維護(hù)管理。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 6
17、1.3.3 網(wǎng)絡(luò)設(shè)計(jì)標(biāo)準(zhǔn)與規(guī)范網(wǎng)絡(luò)設(shè)計(jì)標(biāo)準(zhǔn)與規(guī)范證券屬于一個(gè)典型的行業(yè)網(wǎng)絡(luò),必須遵循行業(yè)相關(guān)的網(wǎng)絡(luò)標(biāo)準(zhǔn),同時(shí),為了保證各種網(wǎng)絡(luò)設(shè)備的兼容性和業(yè)務(wù)的不斷發(fā)展需要,也必須遵循國(guó)際上的相關(guān)的統(tǒng)一標(biāo)準(zhǔn),我們?cè)谠O(shè)計(jì)證券的網(wǎng)絡(luò)解決方案的時(shí)候,主要參考的標(biāo)準(zhǔn)如下:標(biāo)標(biāo) 準(zhǔn)準(zhǔn)說(shuō)說(shuō) 明明證券經(jīng)營(yíng)機(jī)構(gòu)營(yíng)業(yè)部信息系統(tǒng)技術(shù)管理規(guī)范(試行)IEEE 802.3z光纖千兆位以太網(wǎng)標(biāo)準(zhǔn)(LX 和 SX)和短距離銅線傳輸千兆位以太網(wǎng)標(biāo)準(zhǔn)(CX)IEEE 802.3ab5 類銅介質(zhì)線纜千兆位以太網(wǎng)標(biāo)準(zhǔn) 1000Base-TIEEE 802.3u快速以太網(wǎng) 100 BASE-TXIEEE 802.3u10M 以太網(wǎng) 10 BAS
18、E-TIEEE 802.3xFull-Duplex with Flow Control(流量控制)IEEE 802.1dSpanning Tree Protocol(生成書協(xié)議)IEEE 802.1qVirtual Bridged Local Area Networks 協(xié)議IEEE 802.3ad鏈路集合控制協(xié)議IEEE 802.1X Port based network access control protocol(基于端口的訪問(wèn)控制協(xié)議)IEEE 802.1p 優(yōu)先級(jí)隊(duì)列,包括 GARPANSI/EIA/TIA-569電信走道和空間的商用建筑標(biāo)準(zhǔn)ANSI/EIA/TIA-606商用建筑
19、物電信設(shè)備的管理標(biāo)準(zhǔn)GBJ 232-8電氣裝置安裝工程施工及驗(yàn)收規(guī)范證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 7標(biāo)標(biāo) 準(zhǔn)準(zhǔn)說(shuō)說(shuō) 明明YD5037-97中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)工程設(shè)計(jì)暫行規(guī)定其它符合現(xiàn)行的國(guó)際、國(guó)家和行業(yè)標(biāo)準(zhǔn)規(guī)范證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 82網(wǎng)絡(luò)設(shè)計(jì)方案網(wǎng)絡(luò)設(shè)計(jì)方案2.1 集中交易系統(tǒng)對(duì)網(wǎng)絡(luò)的設(shè)計(jì)要求集中交易系統(tǒng)對(duì)網(wǎng)絡(luò)的設(shè)計(jì)要求證券集中交易系統(tǒng)是證券公司最核心的業(yè)務(wù)系統(tǒng),因此證券新建數(shù)據(jù)中心的體系架構(gòu)都須以集中交易系統(tǒng)為核進(jìn)行設(shè)計(jì)。這里我們將討論下在集中交易系統(tǒng)對(duì)網(wǎng)絡(luò)的設(shè)計(jì)要求。2.1.1 集中交易數(shù)據(jù)交換流程集中交易數(shù)據(jù)
20、交換流程根據(jù)上海證券交易所以及深圳證券交易所制定的證券交易流程,各券商與交易所的交易數(shù)據(jù)的交換是分層設(shè)計(jì)的。集中交易系統(tǒng)數(shù)據(jù)交換的流程示意如下:這是數(shù)據(jù)交換的一個(gè)邏輯拓?fù)鋱D。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 9證券公司與交易所的數(shù)據(jù)交換是通過(guò)“網(wǎng)關(guān)” 。網(wǎng)關(guān)指放置在證券公司、用于連接交易所交易系統(tǒng)的軟硬件設(shè)施,俗稱通信端口或小站。深交所通過(guò)密鑰 KEY 的方式,上交所以分配操作員密碼方式把小站與交易所席位進(jìn)行綁定。小站分為報(bào)盤小站和行情小站,報(bào)盤小站是雙向的,行情小站只是單向接收。證券交易所提供的網(wǎng)關(guān)設(shè)備并不存取數(shù)據(jù),雙向報(bào)盤及單向接收的行情數(shù)據(jù)都要存放在文件服務(wù)
21、器上。以前的文件服務(wù)器基本上都是 Novell 系統(tǒng)。隨著TCP/IP 的流行,現(xiàn)在許多證券公司的文件服務(wù)器都切換到 Windows 或者Linux。外圍層,也叫做前置處理機(jī),有報(bào)盤程序和行情接收程序,報(bào)盤程序每隔幾毫秒就讀一次,在交易時(shí)間內(nèi),這個(gè)程序數(shù)百萬(wàn)次的讀取和寫入這些 DBF 文件,完成證券公司與交易所的數(shù)據(jù)實(shí)時(shí)交換。券商的應(yīng)用系統(tǒng),應(yīng)用系統(tǒng)采用多層技術(shù)體系架構(gòu),包括通訊中間層、業(yè)務(wù)中間層以及數(shù)據(jù)庫(kù)層。多層技術(shù)體系架構(gòu)能夠很好地保證系統(tǒng)的安全性:中間層(業(yè)務(wù)邏輯層)隔離了客戶(用戶界面層)直接對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問(wèn),保護(hù)了數(shù)據(jù)庫(kù)系統(tǒng)和數(shù)據(jù)的安全。業(yè)務(wù)邏輯層緩沖了用戶與數(shù)據(jù)庫(kù)系統(tǒng)的實(shí)際連接,
22、使數(shù)據(jù)庫(kù)系統(tǒng)的實(shí)際連接數(shù)量遠(yuǎn)小于應(yīng)用數(shù)量。與此對(duì)應(yīng),證券集中交易系統(tǒng)在網(wǎng)絡(luò)上也需要在邏輯或物理上劃分相應(yīng)的功能網(wǎng)段。2.1.2 集中交易體系結(jié)構(gòu)集中交易體系結(jié)構(gòu)針對(duì)證券交易系統(tǒng)對(duì)數(shù)據(jù)交換流程的規(guī)定,結(jié)合證券采用的集中交易系統(tǒng),方迪公司建議部署如下圖所示的集中交易系統(tǒng)體系結(jié)構(gòu)。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 10集中交易系統(tǒng)按地域及功能的不同可以劃分為中央交易系統(tǒng)、災(zāi)備交易系統(tǒng)以及營(yíng)業(yè)部交易系統(tǒng)。與此對(duì)應(yīng),在本項(xiàng)目證券將中央交易系統(tǒng)部署在新建的數(shù)據(jù)中心,災(zāi)備交易系統(tǒng)部署在深圳證券通信公司券災(zāi)備機(jī)房,各營(yíng)業(yè)部則部署營(yíng)業(yè)部交易系統(tǒng)。集中交易系統(tǒng)的體系結(jié)構(gòu)建議為四層架構(gòu)
23、:數(shù)據(jù)服務(wù)器+應(yīng)用服務(wù)器+通訊服務(wù)器+操作終端。它遵循了業(yè)界主流的多層架構(gòu)。這種模式將應(yīng)用系統(tǒng)的客戶端表現(xiàn)、業(yè)務(wù)邏輯、數(shù)據(jù)服務(wù)分層設(shè)計(jì),單獨(dú)實(shí)現(xiàn),這樣可以在不改變其它層次的情況下,獨(dú)立地對(duì)客戶端表現(xiàn)、業(yè)務(wù)邏輯和數(shù)據(jù)服務(wù)單獨(dú)修改和擴(kuò)展,大大增加系統(tǒng)的靈活性和擴(kuò)展性。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 112.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)2.2.1 網(wǎng)絡(luò)總體架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)總體架構(gòu)設(shè)計(jì)建議證券在新數(shù)據(jù)中心網(wǎng)絡(luò)采取分區(qū)的網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì),采用獨(dú)立擴(kuò)展的功能模塊化分區(qū)設(shè)計(jì)有如下幾個(gè)顯著優(yōu)勢(shì):1.安全性好容易明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系,可以單獨(dú)對(duì)每個(gè)區(qū)域進(jìn)行安全實(shí)施,不會(huì)對(duì)其
24、它區(qū)域造成影響。2.擴(kuò)展性好可根據(jù)不同區(qū)域和層次的功能按需建設(shè),業(yè)務(wù)部署靈活,可以非常方便的增加新 Server Farm 區(qū),而不改變?cè)械木W(wǎng)絡(luò)結(jié)構(gòu)。3.提高可用性可以最大限度的隔離故障域,簡(jiǎn)化數(shù)據(jù)路徑,加快故障收斂時(shí)間。4.易管理網(wǎng)絡(luò)結(jié)構(gòu)清晰,日常的運(yùn)維變得更加簡(jiǎn)單,問(wèn)題定位容易。 依據(jù)模塊化功能分區(qū)設(shè)計(jì)架構(gòu),我們建議證券新建數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 12結(jié)合證券當(dāng)前業(yè)務(wù)區(qū)域及特點(diǎn),建議全網(wǎng)規(guī)劃為 7 個(gè)網(wǎng)絡(luò)區(qū)域:區(qū)域 1:交易核心內(nèi)網(wǎng);區(qū)域 2:交易隔離網(wǎng);區(qū)域 3:公司廣域網(wǎng)(上海證通) 、深圳證通、中建工銀行三方、
25、深/ 滬單雙向衛(wèi)星網(wǎng);區(qū)域 4:災(zāi)備;區(qū)域 5:安全隔離網(wǎng);區(qū)域 6:DMZ 區(qū)域;區(qū)域 7:部門辦公網(wǎng)證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 13建議全網(wǎng)采用純千兆網(wǎng)絡(luò),所有網(wǎng)絡(luò)設(shè)備原則上配有冗余電源配置。我們將分為廣域網(wǎng)接入、交易內(nèi)網(wǎng)、交易隔離網(wǎng)、廣域與災(zāi)備區(qū)、安全隔離區(qū)等區(qū)域進(jìn)行設(shè)計(jì),具體網(wǎng)絡(luò)設(shè)計(jì)如下:2.2.2 廣域網(wǎng)接入網(wǎng)絡(luò)設(shè)計(jì)廣域網(wǎng)接入網(wǎng)絡(luò)設(shè)計(jì)目前證券共有 14 個(gè)分支機(jī)構(gòu),各分支機(jī)構(gòu)均有 1 條 SDH 電路作為主線路,備份線路采用中國(guó)電信 ISDN 以及 VPN 線路。其中,采用中國(guó)電信提供 SDH 線路有上海分部一、上海分部二、北京分部、南通分部、武漢
26、分部、鞍山分部一、鞍山海城分部、沈陽(yáng)分部、杭州分部;采用中國(guó)聯(lián)通提供專線的分部有深圳一部、深圳二部、深圳江蘇大廈總部、分部和上海分部一通過(guò)幀中繼復(fù)用 1 條電路、廣州分部。證券現(xiàn)有的外聯(lián)機(jī)構(gòu)接入狀況為:深圳證券通訊公司有 1 條中國(guó)電信 SDH 電路和 1 條中國(guó)電信 DDN 電路,均直連中心機(jī)房;上海證券通訊公司有 2 條電路到上海分部一,其中 1 條中國(guó)聯(lián)通 SDH 電路,1 條中國(guó)電信 DDN 電路(上海市場(chǎng)的報(bào)盤走公司廣域網(wǎng)通過(guò)上海分部一中轉(zhuǎn)到上海證通) 。中國(guó)工商銀行有 1 條中國(guó)電信 SDH 電路到中心機(jī)房,1 條網(wǎng)通 SDH 電路到深圳江蘇大廈總部(通過(guò)路由實(shí)現(xiàn)互備) ;中國(guó)銀行
27、和中國(guó)建行銀行分別有 1條中國(guó)聯(lián)通 SDH 電路到中心機(jī)房(建行專線需配置成幀模式) ,1 條中國(guó)網(wǎng)通SDH 電路到北京分部(通過(guò)路由實(shí)現(xiàn)互備) 。我們建議將上述分支機(jī)構(gòu)及外聯(lián)機(jī)構(gòu)統(tǒng)一為“廣域網(wǎng)接入?yún)^(qū)”進(jìn)行分區(qū)設(shè)計(jì)與管理。廣域網(wǎng)接入?yún)^(qū)目前有 13 條電信 SDH 線路接入,7 條網(wǎng)通 SDH 線路接入。廣域網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)設(shè)計(jì)如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 14對(duì)于廣域網(wǎng)接入?yún)^(qū)這樣一個(gè)關(guān)鍵網(wǎng)絡(luò)區(qū)域,建議新購(gòu)兩臺(tái)高性價(jià)比的接入路由器分別接入不同運(yùn)營(yíng)商線路。各線路接入方式維持現(xiàn)有不變。每臺(tái)路由器各配置 24 個(gè) G.703 端口,實(shí)現(xiàn)設(shè)備、模塊的冗余互備。I
28、SDN 備份線路對(duì)應(yīng)的路由器延用現(xiàn)有設(shè)備。目前的 Cisco3640 接入路由器可以做為上述兩臺(tái)路由器的冷備路由器,進(jìn)一步提高廣域網(wǎng)接入的可靠性。建議配置 2 臺(tái) Cisco 3845 擔(dān)當(dāng)廣域網(wǎng)接入路由器。Cisco 3800 系列集成多業(yè)務(wù)路由器建立在思科 20 年創(chuàng)新技術(shù)的基礎(chǔ)之上,通過(guò)為客戶提供無(wú)與倫比的網(wǎng)絡(luò)靈活性、性能和智能性。憑借透明地將先進(jìn)技術(shù)、可適應(yīng)服務(wù)和安全企業(yè)通信集成入單一永續(xù)系統(tǒng),Cisco 3800 系列路由器簡(jiǎn)化了部署和管理、降低了網(wǎng)絡(luò)成本和復(fù)雜度,并提供了無(wú)可匹敵的投資保護(hù)。Cisco 3800 系列路由器具有內(nèi)嵌安全處理、大幅系統(tǒng)和內(nèi)存優(yōu)化以及全新高密度接口,可在
29、要求最嚴(yán)格的企業(yè)環(huán)境中提供擴(kuò)展關(guān)鍵任務(wù)安全性、IP 電話、商業(yè)視頻、網(wǎng)絡(luò)分析和 Web證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 15應(yīng)用所需的性能、可用性和可靠性。2.2.3 交易內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)交易內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)證券交易內(nèi)網(wǎng)是核心業(yè)務(wù)服務(wù)器和數(shù)據(jù)的接入?yún)^(qū)域,交易服務(wù)器、歷史服務(wù)器、溫備服務(wù)器以及交易中間件 KCXP 等關(guān)鍵業(yè)務(wù)和數(shù)據(jù)均部署在此區(qū)域。因此交易內(nèi)網(wǎng)的接入交換機(jī)要求是高性能,無(wú)阻塞,可靠以及容易擴(kuò)展。交易內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)如下圖所示:如上圖所示:1) 交換機(jī)端口劃分內(nèi)網(wǎng) VLAN1 和內(nèi)網(wǎng) VLAN2,實(shí)現(xiàn)邏輯隔離;2) 交易核心內(nèi)網(wǎng)服務(wù)器接入內(nèi)網(wǎng) VLAN1 端口;3)
30、 內(nèi)網(wǎng) VLAN2 端口作為交易隔離網(wǎng)交換機(jī)故障時(shí)的備份端口。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 16交易內(nèi)網(wǎng)的交換機(jī)建議采用 1 臺(tái) Cisco Catalyst 4948。Catalyst 4948 是一款線速、低延遲、第二到四層、1 機(jī)架單元(1RU)固定配置交換機(jī),可提供進(jìn)行了優(yōu)化設(shè)計(jì)的的服務(wù)器集群機(jī)架的交換。Cisco Catalyst 4948 以成熟的 Cisco Catalyst 4500 系列硬件和軟件架構(gòu)為基礎(chǔ),為高性能服務(wù)器和工作站的低密度、多層匯聚提供了出色性能和可靠性。Cisco Catalyst 4948 具有 48 個(gè)線速10/100/
31、1000BASE-T 端口,并另有 4 個(gè)線速端口。我們推薦證券的 Cisco Catalyst 4948 是一款采用了一個(gè) 96Gbps 交換矩陣,在硬件中為第二到四層流量提供了 72Mpps 的轉(zhuǎn)發(fā)速率,從而為數(shù)據(jù)密集型應(yīng)用提供了線速吞吐率和低延遲。無(wú)論有多少路由條目或啟用了多少第三層和第四層服務(wù),都能保證交換性能。基于硬件的思科快速轉(zhuǎn)發(fā)路由架構(gòu)提高了可擴(kuò)展性和性能。Catalyst 4948-E 的 IOS 配置的是增強(qiáng)第三層鏡像,包括最短路徑優(yōu)先打開(OSPF)、中間系統(tǒng)到中間系統(tǒng)(IS-IS)、增強(qiáng)內(nèi)部網(wǎng)關(guān)路由協(xié)議(EIGRP)和邊界網(wǎng)關(guān)協(xié)議(BGP)。Cisco Catalyst
32、4948 無(wú)論從性能、功能還是高可靠性方面都極具優(yōu)勢(shì):性能:性能:性能相當(dāng)于一臺(tái) 4500+ Sup5/10GE全部端口線速設(shè)計(jì)為低延時(shí) 2-4us大緩存,減少丟包功能:功能:軟件功能和與 4500 相同支持高級(jí)協(xié)議如 ISIS,IGMP V3高可靠性:高可靠性:部件熱拔插基于成熟的 4500 平臺(tái)雙電源智能冗余風(fēng)扇證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 17支持 AC/DC 混合2.2.4 交易隔離區(qū)網(wǎng)絡(luò)設(shè)計(jì)交易隔離區(qū)網(wǎng)絡(luò)設(shè)計(jì)交易隔離區(qū)內(nèi)將部署包括交易中間件 KCBP、溫備/災(zāi)備復(fù)制服務(wù)器以及滬深報(bào)盤、滬深行情、消息中間件 KCXP 以及各委托主站等服務(wù)器。交易隔離區(qū)
33、的網(wǎng)絡(luò)設(shè)計(jì)如下圖所示:如上圖所示:1) 交換機(jī)端口劃分內(nèi)網(wǎng) VLAN1 和內(nèi)網(wǎng) VLAN2,實(shí)現(xiàn)邏輯隔離2) 交易隔離區(qū)服務(wù)器接入內(nèi)網(wǎng) VLAN2 端口3) 內(nèi)網(wǎng) VLAN1 端口作為交易核心網(wǎng)交換機(jī)故障時(shí)的備份端口證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 18Cisco Catalyst 4948 以成熟的 Cisco Catalyst 4500 系列硬件和軟件架構(gòu)為基礎(chǔ),為高性能服務(wù)器和工作站的低密度、多層匯聚提供了出色性能和可靠性具有 48 個(gè)線速 10/100/1000BASE-T 端口。交易隔離區(qū)的交換機(jī)建議采用 1 臺(tái)與核心交易網(wǎng)交換機(jī)一樣配置的 Cisco
34、Catalyst 4948。2.2.5 廣域與災(zāi)備域網(wǎng)絡(luò)設(shè)計(jì)廣域與災(zāi)備域網(wǎng)絡(luò)設(shè)計(jì)廣域與災(zāi)備域內(nèi)部署有滬深報(bào)盤、滬深行情、消息中間件 KCXP、各委托主站等服務(wù)器以及存管采集、存管中間件、辦公系統(tǒng)、單/雙向衛(wèi)星接收機(jī)等系統(tǒng)。廣域與災(zāi)備區(qū)網(wǎng)絡(luò)設(shè)計(jì)如下圖所示:如上圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 191) 配備 2 臺(tái)三層交換機(jī)2) 2 臺(tái)交換機(jī)之間配置 HSRP,實(shí)現(xiàn)終端虛擬網(wǎng)關(guān)3) 此區(qū)域服務(wù)器集中接入一臺(tái)交換機(jī),另一臺(tái)溫備此區(qū)域交換機(jī)建議采用 2 臺(tái)與核心交易網(wǎng)交換機(jī)一樣配置的 Cisco Catalyst 4948。2.2.6 安全隔離網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)安全隔離
35、網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)在網(wǎng)絡(luò)上,VLAN 是一個(gè)獨(dú)立的廣播域,也是一個(gè)獨(dú)立的沖突域,也就是說(shuō),在同一 VLAN 之中的用戶是可以通訊的。而在不同 VLAN 中的用戶不能直接進(jìn)行通訊,如果需要通訊,必須通過(guò)三層的路由。在三層路由上,可以通過(guò) ACL 加以控制,限制訪問(wèn)權(quán)限。因此,我們通過(guò) VLAN 系統(tǒng)的合理劃分達(dá)到 VLAN 之內(nèi)信息共享、VLAN 之間相互隔離控制的安全要求。在如交易核心內(nèi)網(wǎng)、交易隔離網(wǎng)、廣域與災(zāi)備區(qū)等均設(shè)置成不同 VLAN 實(shí)現(xiàn)邏輯隔離。防火墻可通過(guò)監(jiān)測(cè)、限制通過(guò)防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。通過(guò)安全隔離區(qū)的防火墻隔離出單獨(dú)
36、網(wǎng)段區(qū)域,用于連接外聯(lián)單位、特殊的訪問(wèn)要求接入。使用防火墻的隔離保護(hù)功能,賦予最小使用權(quán)限,保護(hù)內(nèi)部網(wǎng)絡(luò)安全。安全隔離區(qū)的網(wǎng)絡(luò)設(shè)計(jì)如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 20如上圖所示:1) 部署 2 臺(tái)防火墻執(zhí)行安全控制策略2) 2 臺(tái)防火墻部署方式為 Active / Standby3) 部署 2 臺(tái)交換機(jī),用于接入防火墻端口的擴(kuò)展4) 2 臺(tái)交換機(jī)配置 HSRP,實(shí)現(xiàn)設(shè)備間的冗余。2.3 可靠性設(shè)計(jì)可靠性設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證,因此我們?cè)谧C券新數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)中選用了思科公司系列的高可靠性網(wǎng)絡(luò)產(chǎn)品,同時(shí),證券新建數(shù)據(jù)中心網(wǎng)
37、絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 21我們也應(yīng)合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu),制訂可靠的網(wǎng)絡(luò)備份策略,保證網(wǎng)絡(luò)具有故障自愈的能力,最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。2.3.1 廣域網(wǎng)接入可靠性設(shè)計(jì)廣域網(wǎng)接入可靠性設(shè)計(jì)證券目前廣域網(wǎng)接入包括 14 個(gè)營(yíng)業(yè)部、公司總部、銀行三方、深證通以及龍崗電信等單位的接入。在設(shè)備方面,部署 2 臺(tái) Cisco 3845 路由器分別接入不同運(yùn)營(yíng)商線路,每臺(tái)路由器各配置 24 個(gè) G.703 端口,實(shí)現(xiàn)設(shè)備、模塊的冗余互備。下圖為廣域網(wǎng)接入在正常情況下的數(shù)據(jù)流方式。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 22當(dāng)某一中心路由器本身出現(xiàn)故障,不能
38、提供服務(wù)時(shí),如下圖所示,可以通過(guò)手工整體切換線路至另一臺(tái)路由器對(duì)應(yīng)的端口上,即可以實(shí)現(xiàn)因路由器故障的切換。另外,目前的 Cisco3640 接入路由器可以做為上述兩臺(tái)路由器的冷備路由器,進(jìn)一步提高廣域網(wǎng)接入的可靠性。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 23當(dāng)營(yíng)業(yè)部主線路故障或營(yíng)業(yè)部路由器(端口)故障時(shí),如下圖所示,如果是中心端先偵測(cè)到下聯(lián)線路故障,中心 ISDN 拔號(hào)路由器將發(fā)起 ISDN 拔號(hào)至營(yíng)業(yè)部路由器,從而實(shí)現(xiàn)備份接入。如果是營(yíng)業(yè)部路由器偵測(cè)到上聯(lián)線路故障,將由營(yíng)業(yè)部 VPN 網(wǎng)關(guān)發(fā)起 VPN 連接到中心深信服務(wù) VPN 服務(wù)器,從而實(shí)現(xiàn)備份接入。證券新建數(shù)
39、據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 242.3.2 交易內(nèi)網(wǎng)可靠性設(shè)計(jì)交易內(nèi)網(wǎng)可靠性設(shè)計(jì)交換機(jī)端口劃分內(nèi)網(wǎng) VLAN1 和內(nèi)網(wǎng) VLAN2,實(shí)現(xiàn)邏輯隔離。交易核心內(nèi)網(wǎng)服務(wù)器接入內(nèi)網(wǎng) VLAN1 端口,內(nèi)網(wǎng) VLAN2 端口作為交易隔離網(wǎng)交換機(jī)故障時(shí)的備份端口。交易內(nèi)網(wǎng)正常情況下的數(shù)據(jù)流如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 25當(dāng)交易核心內(nèi)網(wǎng)交換機(jī)故障時(shí),如下圖所示,只須手工整體切換交易核心內(nèi)網(wǎng)服務(wù)器至交易隔離區(qū)交換機(jī)的內(nèi)網(wǎng) VLAN1 端口即可實(shí)現(xiàn)故障切換。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 26當(dāng)交易核心內(nèi)網(wǎng)
40、 VLAN1 中的某一交換機(jī)端口(如 port N)出現(xiàn)故障時(shí),如下圖所示,手工切換服務(wù)器至交易隔離區(qū)交換機(jī) VLAN1 對(duì)應(yīng) port N 端口,數(shù)據(jù)經(jīng)兩交換機(jī)互聯(lián) trunk 線路回傳至交易核心內(nèi)網(wǎng)交換機(jī)后正常傳輸,從而達(dá)到故障切換。此時(shí)其它端口正常的數(shù)據(jù)不會(huì)改變流向。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 272.3.3 交易隔離網(wǎng)可靠性設(shè)計(jì)交易隔離網(wǎng)可靠性設(shè)計(jì)交易隔離區(qū)的交換機(jī)端口劃分內(nèi)網(wǎng) VLAN1 和內(nèi)網(wǎng) VLAN2,實(shí)現(xiàn)了邏輯隔離。交易隔離區(qū)服務(wù)器接入內(nèi)網(wǎng) VLAN2 端口,內(nèi)網(wǎng) VLAN1 端口作為交易核心網(wǎng)交換機(jī)故障時(shí)的備份端口。正常情況下交易隔離區(qū)內(nèi)
41、的數(shù)據(jù)流如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 28當(dāng)交易隔離區(qū)交換機(jī)故障時(shí),如下圖所示,只須手工整體切換交易隔離區(qū)服務(wù)器至交易核心內(nèi)網(wǎng)交換機(jī)的內(nèi)網(wǎng) VLAN2 端口即可實(shí)現(xiàn)故障切換。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 29當(dāng)交易隔離區(qū)交換機(jī) VLAN2 的某端口(例如 port M)出現(xiàn)故障,如下圖所示,只須手工切換服務(wù)器至交易內(nèi)網(wǎng)交換機(jī) VLAN2 對(duì)應(yīng) port M 端口,數(shù)據(jù)經(jīng)兩交換機(jī)互聯(lián) trunk 線路回傳至交易隔離區(qū)交換機(jī)后正常傳輸,故障切換完成。此時(shí)其它端口正常的數(shù)據(jù)不改變流向。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深
42、圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 302.3.4 廣域與災(zāi)備域可靠性設(shè)計(jì)廣域與災(zāi)備域可靠性設(shè)計(jì)廣域與災(zāi)備區(qū)域內(nèi)部署了 2 臺(tái)三層交換機(jī),2 臺(tái)交換機(jī)之間配置 HSRP,實(shí)現(xiàn)終端虛擬網(wǎng)關(guān),此區(qū)域服務(wù)器集中接入一臺(tái)交換機(jī),另一臺(tái)溫備。此區(qū)域內(nèi)正常情況下數(shù)據(jù)流如下圖所示。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 31當(dāng)此區(qū)域內(nèi)的主交換機(jī)發(fā)生故障,如下圖所示,只須手工整體切換此區(qū)域網(wǎng)服務(wù)器至另一臺(tái)交換機(jī)對(duì)應(yīng)端口即可完成故障切換。因?yàn)?HSRP 提供了虛擬網(wǎng)關(guān),因此在服務(wù)器端無(wú)須做任何配置上改動(dòng)。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 322.3.5 安全隔離網(wǎng)可
43、靠性設(shè)計(jì)安全隔離網(wǎng)可靠性設(shè)計(jì)在安全隔離區(qū)內(nèi)部署了 2 臺(tái)防火墻用以執(zhí)行安全控制策略。這 2 臺(tái)防火墻部署方式為 Active / Standby。由于防火墻端口擴(kuò)展相對(duì)困難,因此部署了 2臺(tái)交換機(jī)用于接入防火墻端口的擴(kuò)展,2 臺(tái)交換機(jī)配置 HSRP。此區(qū)域內(nèi)正常情況下的數(shù)據(jù)流如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 33當(dāng)主防火墻發(fā)生故障的時(shí)候,如下圖所示,防火墻將進(jìn)行 Active / Standby切換。此時(shí)廣域區(qū)主交換機(jī) HSRP 偵聽到了防火墻互聯(lián)端口失效,主交換機(jī)數(shù)據(jù)流切至從交換機(jī)。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 34
44、當(dāng)此區(qū)域主交換機(jī)發(fā)生故障時(shí),如下圖所示,主防火墻偵聽到與主交換機(jī)互聯(lián)失效,因此防火墻進(jìn)行 Active / Standby 切換。因?yàn)?HSRP 提供的虛擬網(wǎng)關(guān),其它設(shè)備無(wú)須做配置上的改動(dòng)。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 352.4 網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)2.4.1 安全保障建議措施安全保障建議措施2.4.1.1VLAN 隔離隔離在網(wǎng)絡(luò)上,VLAN 是一個(gè)獨(dú)立的廣播域,也是一個(gè)獨(dú)立的沖突域,也就是說(shuō),在同一 VLAN 之中的用戶是可以通訊的。而在不同 VLAN 中的用戶不能直接進(jìn)行通訊,如果需要通訊,必須通過(guò)三層的路由。在三層路由上,可以通過(guò) ACL 加以控制
45、,限制訪問(wèn)權(quán)限。因此,我們通過(guò) VLAN 系統(tǒng)的合理劃分達(dá)到 VLAN 之內(nèi)信息共享、VLAN 之間相互隔離控制的安全要求。2.4.1.2ACL 策略控制策略控制劃分 VLAN 只能在廣播域或者說(shuō)是在本地局域網(wǎng)內(nèi)有效,對(duì)于廣域網(wǎng)上的隔離控制,只能采取定義 ACL 列表,在路由器上啟用防火墻或交換機(jī)上啟用包過(guò)濾來(lái)限制通訊。證券新數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)中我們建議采取的方式是在路由器的廣域網(wǎng)接口上檢查接收數(shù)據(jù)包的來(lái)源地址和目的地址,在交換機(jī)端口上檢查需要發(fā)送的數(shù)據(jù)包的目的地址,符合要求的才轉(zhuǎn)發(fā)。2.4.1.3802.1X 身份認(rèn)證身份認(rèn)證證券新數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計(jì)中,建議可考慮使用局域網(wǎng) 802.1X 身份
46、認(rèn)證系統(tǒng),任何人只要將計(jì)算機(jī)連接到交換機(jī)上,就需要首先進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)后,獲得相應(yīng)的 IP 地址,才能連接到網(wǎng)絡(luò)上。使用局域網(wǎng) 802.1X 身份認(rèn)證需要三個(gè)條件:1) 客戶端:一般安裝在用戶的工作站上,當(dāng)用戶有上網(wǎng)需求時(shí),激活客戶端程序,輸入必要的用戶名和口令,客戶端程序?qū)?huì)送出連接請(qǐng)求。 目前,windows 2000 或者 windows XP 都自帶 802.1x 客戶端程序。2) 認(rèn)證系統(tǒng):支持 802.1X 認(rèn)證的交換機(jī),其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作,并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。 3) 認(rèn)證服務(wù)器:通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí)(用戶名和口令)來(lái)判證券新建
47、數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 36別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù),并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。一般 RADIUS 服務(wù)器作為認(rèn)證服務(wù)器。2.4.1.4AAA AAA 是 Authentication,Authorization and Accounting(認(rèn)證、授權(quán)和計(jì)費(fèi))的簡(jiǎn)稱,它是對(duì)網(wǎng)絡(luò)安全的一種管理。AAA 服務(wù)可以完成以下功能:驗(yàn)證用戶是否可獲得訪問(wèn)權(quán),授權(quán)用戶可使用哪些服務(wù),記錄用戶使用網(wǎng)絡(luò)資源的情況。證券新數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)建議部署 AAA 認(rèn)證。2.4.1.5防火墻隔離防火墻隔離防火墻可通過(guò)監(jiān)測(cè)、限制通過(guò)防火墻的數(shù)據(jù)流,盡
48、可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。中心新數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)建議使用防火墻隔離出單獨(dú)網(wǎng)段區(qū)域,用于連接外聯(lián)單位、特殊的訪問(wèn)要求接入。使用防火墻的隔離保護(hù)功能,賦予最小使用權(quán)限,保護(hù)內(nèi)部網(wǎng)絡(luò)安全。2.4.1.6網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)設(shè)備保護(hù)采取如下措施對(duì)網(wǎng)絡(luò)設(shè)備加以保護(hù)1) 在路由器上、交換機(jī)上要設(shè)置控制臺(tái)口令、特權(quán)用戶口令、遠(yuǎn)程登錄口令和分級(jí)用戶名和口令,并使用加密口令。2) 建立日志服務(wù)器記錄日志。 3) 只允許網(wǎng)管網(wǎng)段對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行 Telnet 訪問(wèn)。4) 關(guān)閉不必要的網(wǎng)絡(luò)服務(wù),關(guān)閉禁止源路由功能、finger 服務(wù)、bootp 服務(wù)和域名解析功能。5) 只允
49、許網(wǎng)管地址段的網(wǎng)管服務(wù)器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行 SNMP 管理。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 372.4.2 防火墻安全部署設(shè)計(jì)防火墻安全部署設(shè)計(jì)建議在安全隔離區(qū)及 DMZ 區(qū)部署三臺(tái)高性價(jià)比的防火墻進(jìn)行安全策略的實(shí)施。其中字全隔離區(qū)部署 2 臺(tái)防火墻用于冗余熱備。證券新數(shù)據(jù)中心的防火墻部署設(shè)計(jì)如下圖所示:Juniper 網(wǎng)絡(luò)公司安全業(yè)務(wù)網(wǎng)關(guān)(SSG)300 系列是新型的專用安全產(chǎn)品,為地區(qū)和分支辦事處部署提供高性能、安全性和局域網(wǎng)/廣域網(wǎng)連接的完美組合,通過(guò)一系列完整的統(tǒng)一威脅管理(UTM)安全特性-如狀態(tài)防火墻、IPSec VPN、IPS、防病毒(包括防間諜軟件、
50、防廣告軟件和防網(wǎng)頁(yè)仿冒) 、防垃圾郵件和 Web 過(guò)濾等-來(lái)保護(hù)出入分支辦事處的流量免遭蠕蟲、間諜軟件、特洛伊木馬和惡意軟件的攻擊。SSG 320M 可以提供 450Mbps 的防火墻流量,具有極高的性價(jià)比,建議選用 3 臺(tái) Juniper SSG-320M-SH(注:1G 內(nèi)存)防火墻。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 382.5 雙網(wǎng)卡冗余備份方案的網(wǎng)絡(luò)設(shè)計(jì)建議雙網(wǎng)卡冗余備份方案的網(wǎng)絡(luò)設(shè)計(jì)建議證券各類服務(wù)器作為集中交易平臺(tái)的核心,其穩(wěn)定性和安全性至關(guān)重要,連接服務(wù)器的網(wǎng)絡(luò)鏈路是尤為重要的一環(huán)。增加熱備份冗余鏈路成為保障服務(wù)器鏈路通暢常用的方法之一,此方式可以強(qiáng)
51、化系統(tǒng)網(wǎng)絡(luò)鏈路,減少故障率。 證券新建數(shù)據(jù)中心搭建了各種信息平臺(tái),服務(wù)器作為信息平臺(tái)的硬件載體,其穩(wěn)定性日趨重要。其中,網(wǎng)絡(luò)鏈路又是尤為重要的一環(huán),顯然,如何保障服務(wù)器網(wǎng)絡(luò)鏈路的持續(xù)穩(wěn)定工作已成為擺在網(wǎng)絡(luò)管理員、系統(tǒng)管理員面前的重要問(wèn)題了。 增加熱備份冗余鏈路成為保障服務(wù)器鏈路通暢常用的方法之一,此方式可以強(qiáng)化系統(tǒng)網(wǎng)絡(luò)鏈路,減少故障率。 服務(wù)器網(wǎng)絡(luò)冗余備份方式可以應(yīng)用于企業(yè)的重要業(yè)務(wù)訪問(wèn),實(shí)施后,相應(yīng)業(yè)務(wù)在多種冗余技術(shù)的支持下,將會(huì)更加穩(wěn)固。包括部署了金證集中交易系統(tǒng)在內(nèi)的眾多證券信息平臺(tái)的關(guān)鍵服務(wù)器都通過(guò)服務(wù)器雙網(wǎng)卡方式實(shí)現(xiàn)服務(wù)器網(wǎng)絡(luò)的冗余備份。通過(guò)軟件將雙網(wǎng)卡綁定為一個(gè) IP 地址(許多高
52、檔服務(wù)器網(wǎng)卡都具有多網(wǎng)卡綁定功能),可以通過(guò)軟硬件設(shè)置將兩塊或者多塊網(wǎng)卡綁定在同一個(gè) IP 地址上,使用起來(lái)就好象在使用一塊網(wǎng)卡,這對(duì)客戶訪問(wèn)將達(dá)到透明。建議證券部署在核心內(nèi)網(wǎng)、交易隔離區(qū)及廣域區(qū)等關(guān)鍵服務(wù)器部署雙網(wǎng)卡冗余備份方案,當(dāng)服務(wù)器某一塊網(wǎng)口故障的情況下無(wú)需人工干,另一塊立刻接管全部負(fù)載,過(guò)程是無(wú)縫的,服務(wù)不會(huì)中斷。在此方案下的網(wǎng)絡(luò)設(shè)計(jì)如下圖所示:證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 39為保證網(wǎng)絡(luò)設(shè)備熱備份,核心設(shè)備、服務(wù)器接入設(shè)備都使用了雙機(jī),配置802.1q Trunk 模式互聯(lián),屬同一 VTP Domain,并都啟用了 STP(Spanning Tre
53、e Protocol,生成樹協(xié)議),利用 STP 實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈路的切換,將一臺(tái)交換機(jī)設(shè)置為 STP 根(root)交換機(jī)。通過(guò) STP 協(xié)商后屏蔽的端口,以避免環(huán)路,無(wú)數(shù)據(jù)流量可視為中斷。另外將交換機(jī)的終端接入端口設(shè)置為PortFast,以加快交換機(jī)端口啟用時(shí)間。 軟件使用原則軟件使用原則 服務(wù)器接入可以通過(guò)使用網(wǎng)卡捆綁軟件實(shí)現(xiàn)熱備冗余,對(duì)于服務(wù)器雙網(wǎng)卡捆綁軟件的選擇可遵循以下幾點(diǎn)原則: 兼容性好,能在不同品牌網(wǎng)卡上使用; 中斷恢復(fù)快; 能檢測(cè)深層中斷,即能檢測(cè)到非直連設(shè)備的中斷。 證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 40推薦軟件推薦軟件 NIC Expre
54、ss 4.0 是一款兼容性較好的捆綁軟件,它能兼容 Broadcom、D-Link 等常見(jiàn)網(wǎng)卡,但在 Intel 網(wǎng)卡上安裝會(huì)造成大量丟包。 Inter Proset 是針對(duì) Intel 網(wǎng)卡的專用網(wǎng)卡捆綁軟件,但 Inter Proset只能在 Intel 網(wǎng)卡上使用,且不支持深層中斷的檢測(cè)。 相關(guān)軟件設(shè)置建議相關(guān)軟件設(shè)置建議 NICNIC ExpressExpress 4.04.0 使用 NIC Express 的 ELB 模式,將網(wǎng)絡(luò)檢測(cè)這一關(guān)鍵參數(shù)設(shè)置為 Status Packet,而不能使用 Auto,因?yàn)樵O(shè)置為 Auto 只能檢測(cè)到直連部分的中斷情況,而設(shè)置為 Status Pac
55、ket 可以通過(guò)發(fā)狀態(tài)包,檢測(cè)到網(wǎng)絡(luò)中的非直連部分的中斷,響應(yīng)時(shí)間更快。其余可使用默認(rèn)設(shè)置。 InterInter ProsetProset 使用默認(rèn)設(shè)置即可,另外需要注意: 使用 Inter Proset 的網(wǎng)卡有隱含的主備關(guān)系,即只有主用工作,主用網(wǎng)卡中斷后隱含的主備關(guān)系交換,再接回后主備關(guān)系不變化。本文所有測(cè)試時(shí),都使用 2 號(hào)網(wǎng)卡為主用的情況。 中斷服務(wù)器網(wǎng)線測(cè)試中斷服務(wù)器網(wǎng)線測(cè)試 測(cè)試方式: 中斷服務(wù)器所連網(wǎng)線,再接回,看有無(wú)中斷。 測(cè)試結(jié)論: 使用網(wǎng)卡捆綁軟件后,中斷任意一條網(wǎng)線或接回均不會(huì)造成數(shù)據(jù)傳輸中斷。 證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 413設(shè)
56、備配置方案設(shè)備配置方案3.1 廣域網(wǎng)接入路由器配置廣域網(wǎng)接入路由器配置廣域網(wǎng)接入路由器配置為 2 臺(tái) CISCO3845,每臺(tái)配置 24 個(gè) E1 接口,每臺(tái)具體配置如下:序號(hào)序號(hào)編號(hào)編號(hào)描述描述數(shù)量數(shù)量備注備注1.1CISCO38453845 w/AC PWR,2GE,1SFP,4NME,4HWIC, IP Base, 64F/256D1CISCO3845 路由器1.2S384IPB-12415XYCisco 3845 IP BASE W/O CRYPTO1IOS 操作系統(tǒng)1.3NM-2W2 WAN Card Slot Network Module(no LAN)22 WAN 卡插槽1.4V
57、WIC2-2MFT-T1/E12-Port 2nd Gen Multiflex Trunk Voice/WAN Int. Card - T1/E142 端口第 2 代T1/E1 VWIC 子卡,集成語(yǔ)音功能1.5HWIC-4T1/E14 port clear channel T1/E1 HWIC44 端口通道化的T1/E1 HWIC 子卡,有成幀與非成幀模塊1.6PWR-3845-AC/2Cisco3845 redundant AC power supply1冗余電源1.7CAB-ACAPlug,Power Cord,Australian,10A2電源線1.8CAB-E1-RJ45BNCE1
58、Cable RJ45 to Dual BNC (Unbalanced)11線纜3.2 交易內(nèi)網(wǎng)交易內(nèi)網(wǎng)/交易隔離網(wǎng)交換機(jī)配置交易隔離網(wǎng)交換機(jī)配置區(qū)域 1/區(qū)域 2 交換機(jī)配置為 2 臺(tái) CISCO Catalyst 4948,每臺(tái)具體配置如下:序號(hào)序號(hào)編號(hào)編號(hào)描述描述數(shù)量數(shù)量備注備注2.1WS-C4948-SCatalyst 4948, IPB s/w, 48-1Catalyst 4948證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 42Port 10/100/1000+4 SFP, 1 AC p/s交換機(jī)2.2CAB-AS3112-C15-AUAS-3112 to IEC-
59、C15 8ft Aus2電源線2.3PWR-C49-300AC/2Catalyst 4948 300-Watt AC Power Supply Redundant1冗余電源3.3 廣域網(wǎng)廣域網(wǎng)/災(zāi)備網(wǎng)交換機(jī)配置災(zāi)備網(wǎng)交換機(jī)配置區(qū)域 3/區(qū)域 4 交換機(jī)配置為 2 臺(tái) CISCO Catalyst4948,每臺(tái)具體配置如下:序號(hào)序號(hào)編號(hào)編號(hào)描述描述數(shù)量數(shù)量備注備注2.1WS-C4948-SCatalyst 4948, IPB s/w, 48-Port 10/100/1000+4 SFP, 1 AC p/s1Catalyst 4948 交換機(jī)2.2CAB-AS3112-C15-AUAS-3112
60、to IEC-C15 8ft Aus2電源線2.3PWR-C49-300AC/2Catalyst 4948 300-Watt AC Power Supply Redundant1冗余電源3.4 安全隔離區(qū)與安全隔離區(qū)與 DMZ 區(qū)防火墻配置區(qū)防火墻配置區(qū)域 5 配置 2 臺(tái) JUNIPER SSG320 防火墻,區(qū)域 6 配置 1 臺(tái) JUNIPER SSG320 防火墻,合計(jì) 3 臺(tái)防火墻,每臺(tái)具體配置如下:序號(hào)序號(hào)編號(hào)編號(hào)描述描述數(shù)量數(shù)量備注備注4.1SSG-320M-SHSecure Services Gateway 320 System, High Memory (1GB), 3 PI
61、M slots, AC Power Supply, ScreenOS, 19 Rack Mount1Juniper SSG320 防火墻3.5 安全隔離網(wǎng)交換機(jī)配置安全隔離網(wǎng)交換機(jī)配置區(qū)域 5 內(nèi)的 2 臺(tái)交換機(jī)建議利用現(xiàn)有的兩臺(tái) Cisco Catalyst 3750G 交換機(jī)。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 433.6 DMZ 區(qū)域及辦公網(wǎng)交換機(jī)配置區(qū)域及辦公網(wǎng)交換機(jī)配置區(qū)域 6 及區(qū)域 7 的交換機(jī)建議利用現(xiàn)有的兩臺(tái) Cisco Catalyst 3550 交換機(jī)。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 444系統(tǒng)實(shí)施與測(cè)試方案系統(tǒng)
62、實(shí)施與測(cè)試方案方迪公司是一家優(yōu)秀的系統(tǒng)集成商,向用戶提供的不僅僅是設(shè)備,而是整套的技術(shù)與服務(wù),是快速、高效、安全、智能網(wǎng)絡(luò)的整體解決方案供應(yīng)商。在工程實(shí)施過(guò)程中,方迪公司將與用戶一起制定全面的項(xiàng)目風(fēng)險(xiǎn)控制措施,嚴(yán)格執(zhí)行工程各階段實(shí)施計(jì)劃,并與廠家等三方一起制定切實(shí)可行的系統(tǒng)測(cè)試方案。4.1 項(xiàng)目風(fēng)險(xiǎn)控制項(xiàng)目風(fēng)險(xiǎn)控制工程實(shí)施,特別是證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目這樣的大型工程在實(shí)施過(guò)程中總會(huì)存在一定的風(fēng)險(xiǎn)和不可預(yù)測(cè)的因素。這些情況未必一定會(huì)出現(xiàn),但是事先有所預(yù)測(cè)并安排有效的對(duì)策,可以最大限度的減小各種損失,使工程進(jìn)展更為順利。方迪公司將嚴(yán)格執(zhí)行如下的項(xiàng)目風(fēng)險(xiǎn)控制措施:1.實(shí)施步驟的完整性,對(duì)于每一個(gè)實(shí)
63、施步驟各方所需要執(zhí)行的動(dòng)作有明確的規(guī)定,有精確的時(shí)間順序安排,對(duì)每一個(gè)動(dòng)作有詳細(xì)的操作步驟,對(duì)每一個(gè)執(zhí)行的動(dòng)作都有相應(yīng)的檢查是否完成的步驟,達(dá)到任何一個(gè)只要具有實(shí)際實(shí)施經(jīng)驗(yàn)的工程師都能按實(shí)施方案完成執(zhí)行動(dòng)作。2.詳細(xì)描述實(shí)施方案的風(fēng)險(xiǎn)和局限性,明確使用實(shí)施方案所應(yīng)承擔(dān)的風(fēng)險(xiǎn)和將導(dǎo)致的后果。3.在實(shí)施前需要各參與單位和人員最終確認(rèn)實(shí)施方案的正確性、明確各方所執(zhí)行的動(dòng)作和擔(dān)負(fù)的責(zé)任。4.對(duì)于檢查實(shí)施方案的每一個(gè)階段是否達(dá)到方案要求,需要有每一階段的測(cè)試內(nèi)容,明確那些測(cè)試在指定時(shí)間點(diǎn)不能完成或完成后測(cè)試結(jié)果不正確的情況下需要采用網(wǎng)絡(luò)回退方案,不再執(zhí)行實(shí)施方案的下一個(gè)執(zhí)行動(dòng)作或不進(jìn)入下一個(gè)實(shí)施階段。方
64、迪公司在實(shí)施證券新數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)項(xiàng)目中,要求的原則是施工過(guò)程中絕對(duì)不能影響到目前網(wǎng)絡(luò),保證原網(wǎng)絡(luò)的穩(wěn)定性,方迪公司在系統(tǒng)實(shí)施中工程分為六個(gè)階段完成。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 45階段一:準(zhǔn)備階段,階段一:準(zhǔn)備階段,前期的準(zhǔn)備工作,內(nèi)容包括設(shè)計(jì)方案的確認(rèn)及實(shí)驗(yàn)環(huán)境下的模擬測(cè)試,新設(shè)備的驗(yàn)收、進(jìn)場(chǎng)、加電測(cè)試,配置寫入、所有新申請(qǐng)電路的測(cè)試。階段二:網(wǎng)絡(luò)安裝階段,階段二:網(wǎng)絡(luò)安裝階段,前提條件是第一部分工作完成。內(nèi)容包括主干交換機(jī)安裝調(diào)試,二級(jí)交換機(jī)安裝調(diào)試、主干路由器安裝調(diào)試。階段三:系統(tǒng)測(cè)試階段,階段三:系統(tǒng)測(cè)試階段,網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用系統(tǒng)整體測(cè)試,作為
65、割接上線前的必要準(zhǔn)備。階段四:網(wǎng)絡(luò)割接階段,階段四:網(wǎng)絡(luò)割接階段,前提條件是第三階段工作完成。內(nèi)容包括主干網(wǎng)絡(luò)設(shè)備上線切換與試運(yùn)行。階段五:回退計(jì)劃階段,階段五:回退計(jì)劃階段,在網(wǎng)絡(luò)割接過(guò)程中,如果由于某些原因造成割接工作不能繼續(xù)時(shí),需要迅速地回退到上一步或根據(jù)情況完全將網(wǎng)絡(luò)聯(lián)接恢復(fù)為原有狀態(tài),減少業(yè)務(wù)中斷時(shí)間,并盡快排除故障。階段六:監(jiān)控及優(yōu)化階段,階段六:監(jiān)控及優(yōu)化階段,網(wǎng)絡(luò)切換后進(jìn)行檢查。針對(duì)試運(yùn)行的效果進(jìn)行優(yōu)化。證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 464.2 工程實(shí)施方案工程實(shí)施方案4.2.1 第一階段:實(shí)施方案準(zhǔn)備第一階段:實(shí)施方案準(zhǔn)備1.設(shè)計(jì)方案的確認(rèn)設(shè)
66、計(jì)方案的確認(rèn)方迪公司將根據(jù)證券本項(xiàng)目的招標(biāo)文件、方迪公司的投標(biāo)文件,并結(jié)合用戶的具體需求,在詳細(xì)的需求調(diào)研的基礎(chǔ)上制定詳細(xì)的工程實(shí)施技術(shù)及施工方案書 。此方案須經(jīng)證券與方迪公司雙方認(rèn)可確認(rèn)。2.實(shí)驗(yàn)環(huán)境下方案測(cè)試實(shí)驗(yàn)環(huán)境下方案測(cè)試 按照設(shè)計(jì)方案,模擬了多套測(cè)試方案,測(cè)試結(jié)果符合設(shè)計(jì)方案。3.網(wǎng)絡(luò)設(shè)備定義網(wǎng)絡(luò)設(shè)備定義網(wǎng)絡(luò)設(shè)備命名建議分為四部分,A-B-C-D,解釋如下:A:表示設(shè)備類型,R路由器,S交換機(jī),F(xiàn)防火墻B:設(shè)備放置地點(diǎn),用拼音的全拼或所寫組成(大寫) ,如:SJZX數(shù)據(jù)中心等等C:設(shè)備型號(hào),如 3662,4948,3750,3845 等等D:主用或備用或樓層等,M主用,S備用,22 樓。網(wǎng)絡(luò)設(shè)備標(biāo)簽定義:網(wǎng)絡(luò)設(shè)備標(biāo)簽要求填寫設(shè)備名稱、設(shè)備型號(hào)、購(gòu)進(jìn)時(shí)間,管理人員等線路標(biāo)簽定義:本端設(shè)備名稱端口號(hào) To 對(duì)端設(shè)備名稱端口號(hào)證券新建數(shù)據(jù)中心網(wǎng)絡(luò)項(xiàng)目-技術(shù)方案深圳市方迪計(jì)算機(jī)系統(tǒng)有限公司 474.新網(wǎng)絡(luò)新網(wǎng)絡(luò) IP 地址規(guī)劃地址規(guī)劃IP 地址規(guī)劃,應(yīng)滿足當(dāng)前網(wǎng)絡(luò)運(yùn)行及未來(lái)業(yè)務(wù)增長(zhǎng)的需要。5.新網(wǎng)絡(luò)做配置模版新網(wǎng)絡(luò)做配置模版新增網(wǎng)絡(luò)設(shè)備配置模版。6.新購(gòu)設(shè)備開箱驗(yàn)貨新購(gòu)設(shè)備開箱驗(yàn)貨證
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 建筑施工重大危險(xiǎn)源安全管理制度
- 安全培訓(xùn)資料:典型建筑火災(zāi)的防治基本原則與救援技術(shù)
- 企業(yè)雙重預(yù)防體系應(yīng)知應(yīng)會(huì)知識(shí)問(wèn)答
- 8 各種煤礦安全考試試題
- 9 危險(xiǎn)化學(xué)品經(jīng)營(yíng)單位安全生產(chǎn)管理人員模擬考試題庫(kù)試卷附答案
- 加壓過(guò)濾機(jī)司機(jī)技術(shù)操作規(guī)程
- 樹脂砂混砂工藝知識(shí)總結(jié)
- XXXXX現(xiàn)場(chǎng)安全應(yīng)急處置預(yù)案
- 某公司消防安全檢查制度總結(jié)
- 1 煤礦安全檢查工(中級(jí))職業(yè)技能理論知識(shí)考核試題含答案
- 4.燃?xì)獍踩a(chǎn)企業(yè)主要負(fù)責(zé)人模擬考試題庫(kù)試卷含答案
- 工段(班組)級(jí)安全檢查表
- D 氯化工藝作業(yè)模擬考試題庫(kù)試卷含答案-4
- 建筑起重司索信號(hào)工安全操作要點(diǎn)
- 實(shí)驗(yàn)室計(jì)量常見(jiàn)的30個(gè)問(wèn)問(wèn)答題含解析