机房建设方案

卓信集团IT基础平台

建设规划

目录

整体拓扑设计..........................

机房基础设施建设........................

网络及网络安全系统建设....................

网络带宽设计.......................

设计方案概述.......................

万兆以太网技术的应用...................

本地流量负载均衡的实现.................

边界防护-防火墙......................

监控检测体系建设-入侵检测..................

服务器系统建设.........................

服务器主机分类及选型....................

服务器虚拟化......................

虚拟化概述......................

本项目虚拟化平台设计.................

应用服务器负载均衡....................

数据库服务器集群......................

存储及备份系统建设.......................

存储容量及分层存储.....................

存储技术选择.......................

备份体系的选择.......................

存储备份系统方案概述....................

1.1整体拓扑设计

1.2机房基础设施建设

1.3网络及网络安全系统建设

1.3.1网络带宽设计

随着IP业务的爆炸性增长，对网络带宽的需求越来越大，由于IP业务量本身不确定性和不可预见性，因此在构建基于IP的网络基础设施时，带宽容量成为

网络建设以及规划中一个必须考虑却又难以把握的重要内容。承载各种网络应用的带宽容量瓶颈不打幵，网络应用的发展空间就会捉襟见肘。本项目主要依托互联网建设，根据以往项目经验，互联网和VPN网络配置100M以上的出口带宽是必

要的，也是符合卓信集团的业务发展需要的。

本项目的主要网络核心设备之间设计采用万兆以太网互联，这解决了网络核心的性能瓶颈。本项目的汇聚层和接入层的流量主要来自各个区域的服务器设备且数量规模不大（服务器直接连接核心交换机），千兆链路能够确保流量及时上传

至核心层，基本不存在影响整个网络性能的瓶颈。

1.3.2设计方案概述

根据项目实际情况，整体设计将网络系统按边界划分为互联网、内部办公网以及本项目新建内网。本项目新建内网与互联网通过防火墙逻辑隔离，本项目新建内网与内部办公网通过防火墙逻辑隔离；本项目新建的内网按业务逻辑又划分为互联网业务区、内部业务区以及核心数据区，各区域之间逻辑隔离；由于互联网业务区主要面向互联网用户提供服务，存在较高风险，但互联网业务区的部分应用有着访问核心数据区的需求，因此方案设计在这两个区域之间部署一台防火墙，确保数据流向和访问许可，保障核心数据区的网络和数据安全。

1.3.3万兆以太网技术的应用

万兆（10G）技术的推出，提供了一种简单的带宽升级途径，解决了带宽不断

增加的问题，使网络实现平滑过渡以及各种网络之间的“融合”。10G以太网提供

业务的高速运作保证了应用的高速发展。选择10G是大势所趋，它不但在技术上

解决带宽瓶颈，更重要的是它体现了宽带技术发展趋势的同时，能够有效地承载网络的未来的应用。

当千兆已无法满足当下不断增长的业务数据传输需求，服务器虚拟化和融合成为了目前数据中心发展的主要趋势。万兆以太网能克服千兆的容量限制，同时可支持未来数据中心的带宽增长并简化布线成本的优势就凸现出来。

本项目的主要网络核心设备之间设计采用万兆以太网互联，解决网络核心的性能瓶颈。

134本地流量负载均衡的实现

方案设计在互联网业务区交换机以及内部业务区交换机上分别旁路部署一台硬件负载均衡设备，实现所属区域内的服务器负载均衡，保证业务的连续性，增强网络数据吞吐量、处理能力和灵活性。服务器负载均衡又称本地流量负载均衡。

135边界防护-防火墙

防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。

项目主要依托互联网和 VPN专网建设，因此本项目涉及的网络边界为两个，即本项目新建内网与互联网边界，本项目新建内网与集团内网边界。

根据业务逻辑，项目新建内网可划分为 3个安全区域，分别为互联网业务区、内部业务区以及核心数据区。

本项目部署的防护墙为下一代防火墙，下一代防火墙集传统防火墙、VPN入

侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等

多种功能与一身，全局配置视图和一体化策略管理。

在各边界及区域部署下一代防火墙能够实现以下安全保护：

内网边界防护

在内网汇聚网络部署下一代防火墙。对用户通过防火墙策略基于用户信息进行访问控制。

互联网出口防护

在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供应用层威胁实时防护。

VPN远程互联

通过下一代防火墙的 VPN接入，在互联网上构建一条可信、可控、可管的安全传输隧道。