卓信集团IT基础平台建设规划目录整体拓扑设计..........................机房基础设施建设........................网络及网络安全系统建设....................网络带宽设计.......................设计方案概述.......................万兆以太网技术的应用...................本地流量负载均衡的实现.................边界防护-防火墙......................监控检测体系建设-入侵检测..................服务器系统建设.........................服务器主机分类及选型....................服务器虚拟化......................虚拟化概述......................本项目虚拟化平台设计.................应用服务器负载均衡....................数据库服务器集群......................存储及备份系统建设.......................存储容量及分层存储.....................存储技术选择.......................备份体系的选择.......................存储备份系统方案概述....................1.1整体拓扑设计1.2机房基础设施建设1.3网络及网络安全系统建设1.3.1网络带宽设计随着IP业务的爆炸性增长，对网络带宽的需求越来越大，由于IP业务量本身不确定性和不可预见性，因此在构建基于IP的网络基础设施时，带宽容量成为网络建设以及规划中一个必须考虑却又难以把握的重要内容。

承载各种网络应用的带宽容量瓶颈不打幵，网络应用的发展空间就会捉襟见肘。

本项目主要依托互联网建设，根据以往项目经验，互联网和VPN网络配置100M以上的出口带宽是必要的，也是符合卓信集团的业务发展需要的。

本项目的主要网络核心设备之间设计采用万兆以太网互联，这解决了网络核心的性能瓶颈。

本项目的汇聚层和接入层的流量主要来自各个区域的服务器设备且数量规模不大（服务器直接连接核心交换机），千兆链路能够确保流量及时上传至核心层，基本不存在影响整个网络性能的瓶颈。

1.3.2设计方案概述根据项目实际情况，整体设计将网络系统按边界划分为互联网、内部办公网以及本项目新建内网。

本项目新建内网与互联网通过防火墙逻辑隔离，本项目新建内网与内部办公网通过防火墙逻辑隔离；本项目新建的内网按业务逻辑又划分为互联网业务区、内部业务区以及核心数据区，各区域之间逻辑隔离；由于互联网业务区主要面向互联网用户提供服务，存在较高风险，但互联网业务区的部分应用有着访问核心数据区的需求，因此方案设计在这两个区域之间部署一台防火墙，确保数据流向和访问许可，保障核心数据区的网络和数据安全。

1.3.3万兆以太网技术的应用万兆（10G）技术的推出，提供了一种简单的带宽升级途径，解决了带宽不断增加的问题，使网络实现平滑过渡以及各种网络之间的“融合”。

10G以太网提供业务的高速运作保证了应用的高速发展。

选择10G是大势所趋，它不但在技术上解决带宽瓶颈，更重要的是它体现了宽带技术发展趋势的同时，能够有效地承载网络的未来的应用。

当千兆已无法满足当下不断增长的业务数据传输需求，服务器虚拟化和融合成为了目前数据中心发展的主要趋势。

万兆以太网能克服千兆的容量限制，同时可支持未来数据中心的带宽增长并简化布线成本的优势就凸现出来。

本项目的主要网络核心设备之间设计采用万兆以太网互联，解决网络核心的性能瓶颈。

134本地流量负载均衡的实现方案设计在互联网业务区交换机以及内部业务区交换机上分别旁路部署一台硬件负载均衡设备，实现所属区域内的服务器负载均衡，保证业务的连续性，增强网络数据吞吐量、处理能力和灵活性。

服务器负载均衡又称本地流量负载均衡。

135边界防护-防火墙防火墙是网络安全最基本、最经济、最有效的手段之一。

防火墙可以实现内外网或不同信任域之间的隔离与访问控制。

防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。

项目主要依托互联网和 VPN专网建设，因此本项目涉及的网络边界为两个，即本项目新建内网与互联网边界，本项目新建内网与集团内网边界。

根据业务逻辑，项目新建内网可划分为 3个安全区域，分别为互联网业务区、内部业务区以及核心数据区。

本项目部署的防护墙为下一代防火墙，下一代防火墙集传统防火墙、VPN入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能与一身，全局配置视图和一体化策略管理。

在各边界及区域部署下一代防火墙能够实现以下安全保护：内网边界防护在内网汇聚网络部署下一代防火墙。

对用户通过防火墙策略基于用户信息进行访问控制。

互联网出口防护在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。

启用入侵防御功能，提供应用层威胁实时防护。

VPN远程互联通过下一代防火墙的 VPN接入，在互联网上构建一条可信、可控、可管的安全传输隧道。

136监控检测体系建设-入侵检测随着网络应用范围的不断扩大，来自内部和外部的恶意攻击、非法访问等安全威胁也与日俱增，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全是保证业务安全幵展的前提。

基于网络的幵放性与自由性，网上有各种各样的人，他们的意图也是形形色色的。

利用防火墙技术，经过严谨的配置，通常能够为不同安全域之间提供安全的网络保护，降低网络安全风险。

但是，仅仅使用防火墙，网络安全还远远不够，主要表现在以下几个方面：入侵者可伪装成正常的访问请求通过防火墙，寻找内部系统可能存在的缺陷。

某些恶意程序（木马后门）和破坏者可能就在防火墙保护的系统内部。

由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

保护措施单一。

因此为了弥补防火墙的不足，建立立体防御体系，需要利用网络入侵检测系统在各个关键点实时监测网络的运行状态，监视并记录各网段上的所有操作，以便及时发现对网络中重要服务器和主机的非法操作和恶意攻击并做出及时响应。

通过网络入侵检测系统用于分区实时检测和保护核心服务器和数据库，这样能够实时监控网络传输情况，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在网络受到危害前发出预警，以便及时作出预判应对，最大程度地为网络提供安全保障。

网络入侵检测系统的部署与网络结构有密切的关系，把网络入侵检测引擎放在关键网段上，采用旁路监听方式，能够监测关键系统和应用的异常行为；选择某台服务器作为入侵检测系统的管理控制中心，对探测引擎进行策略下发、事件上报等管理。

具体部署如下：入侵检测系统的探测引擎有管理端口和监听端口，将监听端口旁路接到网络出口的防火墙上，这样探测引擎就可以实时监控到被监听端口的数据流量了。

将探测引擎的管理端口接在核心数据区的交换机的普通端口，使之能与管理控制台服务器进行正常的通信。

在互联网和集团内网出口防火墙上旁路部署入侵检测系统能够实现以下安全保护：检测外部用户对内网客户端及浏览器的攻击行为；检测外部用户对内网服务器与应用系统的攻击行为；识别互联网的流量类型。

1.4服务器系统建设1.4.1服务器主机分类及选型本项目涉及的服务器按照功能大类进行分类主要可分为数据库、应用服务器等。

数据库服务器：数据库系统是整个系统的核心，对服务器的CPU主频、内存大小以及磁盘I/O等方面有着较高要求，数据库系统是应用系统的数据分析、数据挖掘的核心基础组件，其可靠性、可用性、性能将直接影响到应用系统的整体表现。

本项目核心数据区建议部署基于物理主机的集群数据库系统，为应用系统提供数据库服务。

应用服务器：对于应用服务器，它的要求要比数据库服务器要低，它主要强调系统实时响应速度，对 CPU内存、I/O要求相对较低的，本项目部分应用服务器可由虚拟机承担，计算资源以及存储资源可实现按需分配。

142服务器虚拟化1.4.2. 1虚拟化概述虚拟化打破了物理硬件与操作系统及在其上运行的应用程序之间的硬性连接。

操作系统和应用程序在虚拟机中实现虚拟化之后，便不再因位于单台物理计算机中而受到种种束缚。

物理元素（如交换机和存储器）的虚拟等效于在可跨越整个企业的虚拟基础架构内运行。

与物理机一样，虚拟机是运行操作系统和应用程序的软件计算机。

管理程序用作虚拟机的运行平台，并且可以整合计算资源。

每个虚拟机包含自己的虚拟（基于软件的）硬件，包括虚拟 CPU内存、硬盘和网络接口卡。

虚拟化计算机x86计算机硬件被设计为只能运行单个操作系统和单个应用程序，这导致了大多数计算机未得到充分利用。

即使安装了众多应用程序，大多数计算机仍无法得到充分利用。

在最基本的层次上，通过虚拟化可以在单台物理计算机上运行多个虚拟机，且所有虚拟机可在多种环境下共享该物理计算机的资源。

在同一物理计算机上，不同的虚拟机可以独立、并行运行不同的操作系统和多个应用程序。

下图所示的就是一台物理主机在虚拟化前和虚拟后的差别：虚拟化基础架构除了虚拟化单台物理计算机之外，还可以构建整个虚拟基础架构，其规模包括数千台互联的物理计算机和存储设备。

通过虚拟化，可以动态移动资源和处理能力，分配硬件资源。

无需向每个应用程序永久分配服务器、存储器或网络带宽。

云计算虚拟基础架构是云计算的基础。

云计算依赖于可扩展的弹性模型来提供IT服务，而该模型本身依赖于虚拟化才可正常工作。

服务器整合通过虚拟化进行服务器整合可以更充分地利用现有的服务器。

此外，还可以限制需要管理、支持、存储和购买的物理资源。

通过整合现有的工作负载并利用剩余的服务器以部署新的应用程序和解决方案，可以实现较高的整合率。

业务连续性通过虚拟化，IT可以缩短甚至消除计划和非计划的停机时间。

例如，使用 vSphere可以将虚拟机实时迁移到其他主机，并随时对物理服务器执行维护，而无需用户介入或中断服务。

通过使用High Availability 和FaultToleranee 等vSphere功能，可以缩短非计划停机时间。

传统的灾难恢复计划需要手动执行复杂的步骤来分配恢复资源、执行裸机恢复、恢复数据并验证系统是否可以使用。

VMware vSphere简化了此环境。

硬件配置、固件、操作系统和应用程序变为存储在磁盘上一些文件中的数据。

使用备份或复制软件保护这些文件便可确保整个系统受到保护。

无需更改这些文件便可将它们恢复到任何物理计算机上，因为虚拟机独立于硬件。

L4,2, 2本项目虚拟化平台设计本项目中计划将现有 PC服务器安装ESXi加入虚拟化平台，物理主机都通过光纤HBA接入SAN实现计算和存储资源的虚拟化。