集团IT网络架构规划报告

目录
集团信息化目标蓝图
1. 集团IT蓝图规划思路
2.集团IT网络架构规划
本次项目，将按照德勤的成熟方法论进行IT 蓝图规划
蓝图规划设计思路
业务
IT
信息化蓝图规划
业务及信息化协同业务架构
基础架构
IT 愿景
项目群/项目
总体实施计划规划实施保障
实施预算业务战略
应用架构数据架构基础架构治理架构
信息
安全业务架构345
6
2
1应用架构数据架构
治理架构
•
承接第1阶段梳理的信息化总体需求及业务架构，结合行业经验，分析未来集团应用架构、数据架构、基础设施架构和信息化治理架构，形成未来集团整体信息化蓝图。

目录
集团信息化目标蓝图
1. 集团IT蓝图规划思路
2.集团IT网络架构规划
未来集团将对现有系统进行升级并不断部署新的应用，打通公司内部所有系统，并与外部系统对接，实现信息的自由流动与共享，对IT基础设施提出了相应要求
•能够支撑应用系统顺畅运行，减少中断次数，使最终用户有良好的体验可靠性
•满足业务处理的需要，具备提供24×7×365的全天候服务的能力开放性
•支持业界主流标准，用户可自主选择技术方案
•按需扩展，随着用户数和模块功能的增加而能够进行水平扩展，保护现有投资可扩展性
•至2020年系统整体架构不用进行大的变动，支持未来建设电子商务的需求；
安全性
•要求能够保证企业信息系统安全、数据安全
高可用性
•具备容灾能力，满足业务连续性要求
因此需要体系化地规划相应的IT 基础架构，适应未来应用系统整体架构的建设需要，企业的IT 基础架构包括以下部分
网络
局域网、广域网、互联网
数据中心
服务器、终端、存储
机房及相关设备
容灾备份
备份与灾难恢复
信息安全
业务架构应用架构
基础设施规划
基础设施规划主要包括数据中心规划、网络规划、容灾备份和信息安全规划四部分
行业最佳实践集团实际情况内控要求
德勤方法论技术发展与趋势国际标准与规范
未来架构
演进路线
现状及建设建议
集团信息化系统总体架构
统计与经营分析
企业门户
业务运营
运网资源管理
业务运营管理
计划调度管理战略决策
战略及绩效管理
经营计划与预算管理
投资管理
职能管理
整车零部件
分装制造零部件分装制造整车其他其他企业集成平台数据共享平台
基础设施平台
企业服务总线业务流程管理服务器
网络
存储
容灾与备份
信息安全
数据中心
数据清洗数据交换三大平台
三类应用SRM
供应商关系管理CRM
客户关系管理ERP
综合事务管理
质量管理销售订单管理技术/研发管理计费结算管理内控/审计与风险
H.S.E.
基础数据管理
IT 服务管理
财务管理设备管理采购管理工程项目管理
人力资源管理
合同管理
成本管理
监管服务管理生产服务管理
运输服务管理
关务服务管理物流金融服务管理仓储服务管理
IT基础设施架构规划总体原则
总体指导原则
基础设施架构体系以业务为导向，满足
当前业务需求，适应并保障未来业务发
展
基础设施架构体系必须符合外部法律法
规及相关规范的要求
采用统一规划、统一采购、统一建设、
统一运维的方式，形成规模效益，结合
虚拟化技术，降低公司信息化建设成本
业
务
导
向
合
规
保
障
成
本
控
制
统筹集团信息化建设所需的技术资源，
适当的利用外部信息化资源和云计算平
台
资
源
共
享
系统冗余化
采购标准化
技术虚拟化
资源共享化
管理集中化
IT
基
础
架
构
原
则
安全制度化
架构原则的目的：确立集团公司在IT基础架构、IT安全建设过程中需要遵守的原则，形成合理的技术体系和管理制度，为业务发展提供信息化技术和信息化安全保障
IT 基础架构规划原则
如何执行IT 基础架构原则
1.新的标准机房建成之后，将原有的服务器集中迁移到新的数据中心，进行统一管理
2.在网络设备/服务器/客户端等采购中选择固定的不超过3个供应商品牌，提高采购执行的标准化程度
3.应用服务器虚拟化技术，提高计算资源的共享化水平，降低投资成本，提升资源有效利用率，实现对资源需求的弹性支撑
4.关键主机及网络设备进行冗余化设计，减少单点故障给企业带来的损失
5.设计容灾备份与灾难恢复总体方案，完善容灾备份与灾难恢复计划，制定容灾备份与灾难恢复计划相关的管理办法与实施细则
6.参考完整的安全技术体系，建立信息安全管理制度和应急流程，逐步完善网络安全、身份认证等安全系统
管理集中化
采购标准化
技术虚拟化
资源共享化
系统冗余化
安全制度化
▪IT 基础设施的管理，包括数据中心、网络、服务器、存储、备份等集中由总部信息化部门负责▪IT 基础设施的硬件采购标准化，品牌选择，包括服务器，客户端等，不应超过3个供应商品牌▪应用服务器、存储、客户端、网络的虚拟化技术，确保技术资源的灵活性、高可用性、安全性▪公司内部IT 基础设施资源完全共享，设备资源灵活调度，提高设备利用率和重用度，降低TCO ▪在核心网络设备，核心业务应用上上采用冗余技术，缩短宕机恢复时间，提高可靠性
▪借鉴国际国内相关标准。

通过明确的信息安全标准制度，使信息安全工作有据可依
通畅的网络是现代化企业生产运行和经营管理的基础；集团的网络规划覆盖总部和直属单位，包含广域网、局域网、互联网、VPN及无线网五个方面
广域网︓覆盖全国所有直属单位的广域网局
域
网
︓
业
务
单
元
内
部
高
带
宽
的
局
域
网
互
联
网
︓
与
互
联
网
的
连
接
VPN
︓
通
过
VPN
提
供
方
便
︑
安
全
的
网
络
接
入
无
线
网
︓
为
无
线
用
户
提
供
无
线
接
入
服
务
总部园区网(数
据中心)
直属单位网(
分
子
公
司
等
)
以集团数据中心为核心、集团统一管控的二级网络体系
集团网路建设的现状及问题
•集团广域网分为三部分：1，通过专线直接与重庆本地分子公司形成广域网；2，通过DMVPN 与外地分子公司形成广域网；3，通过长安网络与各项目形成广域网络；通过线路备份保障畅通•未通过防火墙分区进行屏蔽管理
广域网
•核心交换设备为双路千兆以太网架构，降低单点故障
•通过VLAN 对网络进行了分区管控，但网络之间（办公网和生产网、测试网）未通过防火墙进行隔离
局域网
•INTERNET 出口经过防火墙,数据流量实施QOS ；办公和生产流量进行区分控制
•部署IDS 设备，应对安全攻击
•三个运营商多链路互备，降低互联网连接中断风险•未划分DMZ 区域，系统安全性可能会受到威胁互联网
•IPSECVPN 实施3des 加密
•VPN 设备只有一台，可能会出现单点故障
VPN
•安全上，WIFI 实施802.1x+PEAP 验证
•对申请接入和使用没有明确的制度规定，以及相应的惩罚措施；
无线网
硬性建设
1，采用了主流、先进的技术设备，考虑了效率、安全与投资的平衡，
只是在某些细节上还存在进一步完善的空间
软性建设
1，制度层面：一些管理制度、管理流程的制定和落实上存在欠缺2，集成层面：没有统一监控平台，不同厂商设备采用不同方式监控；网络监控平台暂不具备报表功能。

长期监控数据分析困难，准确性较低
3，人员层面：核心技术人员只有一个，存在技术风险
建设现状
现状分析
网络建设的一般性要求
需求说明
可靠性可靠的网络是数据传输的保障，由于未来集团的各项业务应用都依赖于网络的传输，因此要确保有足够的带宽和冗余，最大程度的保证网络通畅和可靠
安全性在网络传输可靠的基础上，要确保网络数据的安全，防止外部的侵入以及数据的泄露，这需要建立一整套的安全体系，具体请见安全规划部分
扩展性业务数据的带宽要求会随着业务的变化而变化的，当前的带宽设计预测主要是为了满足未来5年的业务需求，这就要求选择专线时要考虑其可具有的扩展性，可以在业务高速增长时进行简单易行的带宽扩展
可管理性对网络实行集中监测、分权管理，统一分配带宽资源，选用先进的网络管理平台，具有对设备、端口等进行管理、流量统计分析，提供故障自动报警
高性价比
高性能
在考虑高性价比的基础上，最大限度的考虑网络性能的发挥，包括带宽、网络设备等
先进性网络的设计要基本体现当今网络技术的先进水平，要尽可能的利用先进和成熟的技术，并符合网络发展的趋势
标准化在园区网的设计中，无论是专线的选择还是路由交换设备的选型以及路由协议等都要体现标准化的原则，或遵从标准化的趋势
QoS服务质量保证保证对统一的网络带宽资源进行合理调配，在网络发生拥塞时，保障关键征管业务的传输，提供对数据传输的QoS以及优先级控制，保证服务的质量
投资保护在设计过程中要结合现状充分考虑保护现有的投资，节省成本
集团广域网连接总体采用树型拓扑结构；总部与各分支机构广域网采用星型连接方式专线带宽可以平滑升级；线路带宽升级时，集团不需增加新的接口设备
对于总部及各分子公司之间的网络，使用多链路连接。

多条链路向不同的运营商租用。

链路带宽根据实际业务量确定基于经济考虑，对于部分规模较小的分支机构，可以考虑通过互联网或VPN接入作为链路备份
广域网整体架构技术先进，但是规划和管理仍有提升空间。

例如：没有完善的监控体系，没有
局域网建设和管理的主要挑战是：1，提供服务器所需的带宽，以平衡局域网的总体负荷，并随着业务需要的调整而更新配置；2，支撑集团在五年内在应用上和业务量上大规模的增长
❑局域网架构的典型特点。

各局域网的布局和需求互不相同，但这些特点必须以满足网络需求、优化网络服务为宗旨：
•通过交换机控制，连到桌面的带宽为100/1000M
•将交换机集中管理，实现云化，并通过虚拟网管理这些连接
•局域网设备必须符合开放原则，具有允许带宽升级的灵活性
•应使用便于管理的网络中心和交换机，以利于中央网络的管理
•使用TCP/IP 作为主要的网络协议
•用Cat-5E/6 网线或光缆配线（单模）❑支撑未来的云计算局域网架构
•未来数据中心的云计算服务器组网规模超过一定数量之后，需要有支持IETF 标准协议TRILL 的交换机组成大二层网络。

传统的三层组网模式超过两百台服务器底层配线中心
底层配线中心
数据中心核心局域网交换机
建造配线分送中心
底层配线中心
局域网节点局域网节点局域网节点
路由器
园区网/广域网连接
集团局域网建设符合相关标准和规范，数据中心局域网采用双星架构，形成接入、汇聚、核心的三层网络层级；并根据不同的功能域进行了分区管理，降低核心交换流量，提升了整体性能
建立网络分区，例如生产区、开发测试区、日常办公区等，区域间使用防火墙进行隔离
部署公司内部的IP电话系统和视频会议系统，实现基于网络的通讯，节约成本
数据流动局部化，仅跨区域的交换数据传送到核心交换机，降低核心交换机的负荷
随着云计算服务器增加，需要将数据中心组网扁平化，采用TRILL的大二层网络架构组网
数据中心内以双路万兆以太网连接，生产区双路接入层交换机，减少单点故障
双层防火墙间设置DMZ区，放置因特网服务器，提高内网安全性
❑与大多数公司类似，在集团内部，互联网通讯是在城域网中增长最快的一种通讯。

如果管理不好，将导致如下问题：
•不合理或低效的连接•安全隐患•生产力的损失
❑在技术方面，集团需要审查与业务合作伙伴通过互联网对接的总体设计；在连接处需进行通讯分析，还应发展替代方案以优化通讯。

为实现这些目标，需要在园区网网络中心建立统一的外部接入区，还应通过防火墙和代理服务器来实现网络访问控制；
❑必须坚持由集团统一管理所有外部连接，以避免
安全隐患。

互联网的必要性：
1，与业务合作伙伴的紧密协作，通过互联网（Internet ）进行信息交流；
2，基于互联网的手持终端扫描设备的使用，在集团业务中发挥着重要的作用；
互联网的畅通已经是业务运转必要条件
E t h e r n e t
交换机
Internet
防火墙
骨干网
路由器
交换机
防火墙
路由器
链路备份：铺设两条或以上出口链路，出口链路采用不同的互联网服务供应商，互联网接口统一管理。

带宽根据各应用系统实际需求情况进行估算并调整。

住宅（宿舍）用户网使用单独的互联网访问出口，不能与公司集团广域网有物理连接，保证广域网的安全。

移动办公需求可使用VPN 等方式接入
使用双层防火墙架构保障信息安全。

所有用户和数据中心通过第一层防火墙连接到DMZ 区的代理服务器，而代理服务器通过第二层防火墙连接到互联网
集团互联网架构比较先进，建设充分考虑了可用性、安全性，例如双链路接入、分层防火墙、IDS 设备等；但也有一些不足，例如互联网访问速度较慢，有时存在断线情况；基于互联网的重要性，建议加强软性建设：1，基于流量分析和业务量预测预估并规划互联网带宽需求；2，定期从外网进行扫描，评估互联网服务器安全性；3，培养网络安全人才，做人才储备和备份
移动办公的解决方案-VPN
❑VPN 可以提供方便的移动接入方案
通过VPN 技术，可以解决移动用户或出差在外员工对企业内部网或外部网的远程访问。

远程访问VPN 能使这些用户随时、随地以其所需的方式访问企业资源；其他业务合作伙伴也可以通过VPN 技术迅速、方便地和集团集团建立数据连接；
❑VPN 可以提供低成本的移动接入方案
提供通过Internet 访问公司网络内部资源的方法，降低长途、大型Modem Pool 和技术支持的费用；❑VPN 可以提供安全的移动接入方案
通过选择适当的IP 隧道协议（如IPsec 、PPTP 、L2TP 、L2F 等等），可以有效地保障用户的数据在公共IP 网络（如Internet ）的传输是安全可靠的；通过选择适当的校验方式，还可以进一步保证数据的完整性，即保证数
据在网络上传输的时候，不会被人篡改。

VPN 远程访问
互联网时代，移动办公已经成为一种趋势；国际、国内大型公司一般都提供VPN 接入方式
集团不仅仅实现了基于Internet 的VPN 接入方式，还与运营商合作，实现了基于3G 网络APN 模式的VPN
未来集团网络架构规划
路由器
汇聚层交换机
核心层交换机
接入层交换机
应用服务器
防火墙
Si
1，核心网
2，内部专线接入
3，互联网接入
4，VPN接入
5，互联网服务区
数据中心
（生产网）
异地灾备中心
PDC、RDC等驻场点
分子公司
Si Si
专
线
网
络
分子公司
移动终端设备
VPN远程办公
VPN接入网关
互联网服务器
DMZ区
4
3
1
2
办公网
5
PDC、RDC等驻场点
未来：支持大规模并行运算和大数据处理的云架构
在大数据时代下，数据中心内部一般采用分布式架构处理海量数据，同时采用虚拟化技术，使单位计算密度极大提升，在服务器之间产生了大量的横向流量，传统的三层网络结构汇聚和核心层会成为瓶颈。

为了解决这个问题，产生了TRILL
技术
传统数据中心架构
三层
二层
新一代数据中心架构
三层二层
P A G E43 THANKS。