XX集团系统集成解决方案金蝶软件(华南区)系统集成部2011年03月目录一、项目背景 (3)二、方案整体介绍 (4)2.1系统部署架构 (4)2.2双机互备和数据备份方案 (5)2.2.1双机互备方案 (5)2.2.2数据备份方案 (6)2.3基础设施选型 (7)2.4网络指标要求 (11)2.5网络安全管理 (11)2.5.1防火墙 (11)2.5.2VPN技术 (12)2.6统一身份安全认证平台 (14)2.7远程接入方案 (15)三、投资预算 (18)四、附录服务与支持介绍 (19)4.1O RACLE专项服务 (19)4.2小型机专项服务 (26)XX集团经过多年的经营，公司业务和规模在不断发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。

目前的主要需求是，在公司总部部署协同OA、HR和房地产行业的业务应用系统，且提供分支机构客户端接入，达到整个公司业务的综合管理、数据集中管理和系统统一运维。

2.1系统部署架构现在IT的发展趋势是数据集中，数据集中的核心是对服务器进行整合，特别是一些大型企业，建立企业数据中心，购买高性能的主机，对数据集中管理，已成为一种趋势。

所以EAS的网络服务器部署应采用集中式应用，系统部署架构如下：2.2双机互备和数据备份方案2.2.1双机互备方案我们在数据库服务器和应用服务器的设计上采取了基于双机热备与SAN数据存储相结合的数据库冗余备份方案，采用HA服务器群集技术，提高了数据库系统及业务应用系统的可靠性，而不是单台主机的可靠性。

双机互备方案的典型应用是采用两台服务器做HA双机系统，一台安装应用服务器，一台安装数据库，两台主机互为备份。

其主要功能是提高客户计算机系统及其应用的可靠性，而不是单台主机的可靠性。

HACMP有多种配置方式，视具体应用复杂程度和配置不同，其接管时间在30秒到300秒。

HA技术原理：作为双机系统的两台服务器（主机A和B）同时运行HA软件；服务器除正常运行自己的应用外，同时又作为对方的备份主机；两台主机系统（A和B）在整个运行过程中，通过“心跳线”相互监测对方的运行情况（包括系统的软硬件运行、网络通讯和应用运行情况等）；一旦发现对方主机的运行不正常，故障机上的应用就会立即停止运行，本机（故障机的备份机）就会立即在自己的机器上启动故障机上的应用，把故障机的应用及其资源包括用到的IP地址和磁盘空间等接管过来，使故障机上的应用在本机继续运行；应用和资源的接管过程由HA软件自动完成，无需人工干预；当两台主机正常工作时，也可以根据需要将其中一台机上的应用人为切换到另一台机(备份机)上运行。

HA技术特性：支持并行数据库；支持动态集群重配置；广泛的集群管理工具；支持2到32个集群节点的扩展；自动失败检测和恢复；多节点的灵活配置；一般客户采用配置相同的两台主机（一台应用服务器，一台数据库服务器，两台主机互为备份）。

2.2.2数据备份方案数据备份流程日常备份操作由备份系统自动完成，操作人员按照要求在备份服务器上制定备份策略，全网的备份由备份服务器统一管理。

各客户端也可以自行手工启动备份。

备份服务器(包括主服务器和共享服务器)的数据(文件和数据库资料)直接进入磁带库，各客户端的资料由网络传到备份主服务器，进入带库，对于一些小文件，我们可以先将这些小文件备份到备份服务器的本地硬盘存储池中，待达到一定百分比时，在一次性迁移到带库中；而对于一些大文件，可以直接备份到带库中。

这样可以大大提高数据的备份效率，提高存储设备的利用率。

为提高备份质量、保证数据安全，可以采用ITSM 软件的自动的副本存储池复制功能，同时进行备份复制，一份近线保管，另一份离线保管(所有管理均由备份软件完成)提高系统容灾能力。

备份策略建议对于企业这样的一个关键应用来说，制定一个良好的备份策略是至关重要的。

备份工作的主要内容包括主机、数据库系统备份和应用系统数据备份两个方面：1）主机、数据库、应用软件系统备份策略：为了在主机、数据库、应用软件系统发生故障时，能够迅速、有效的使系统得到恢复，需要对主机、数据库、应用软件系统进行备份。

由于主机、数据库、应用软件极少发生变动，所以它的备份策略也比较简单。

在主机、数据库、应用软件安装调试完毕后，将主机、数据库、应用软件系统的备份到磁带上。

在对主机参数、数据库参数、应用软件进行修改后，及时将主机、数据库、应用软件系统备份到磁带上。

定期对主机、数据库、应用软件系统进行全备份。

这些全备份可以通过ITSM的定时自动完成。

2）EAS软件系统数据备份策略：Oracle在归档模式下运行，利用IBM Tivoli Storage Manager for Database模块调用RMAN 进行在线的热备份，可以在备份时，对备份数据保存在不同的存储对象中，以满足客户容灾的要求，可以利用ITSM的多线程的数据迁移、利用多个磁带驱动器同时读写提高其数据备份的效率。

针对Oracle的总数据量和增量数据量大小，我们可以利用Oracle的多达三级的增量备份机制，结合ITSM强大的备份数据追踪寻址能力和介质管理功能，制定灵活的备份策略，实现全自动的备份数据的全生命周期管理。

根据客户的数据量和网络条件，我们建议：Oracle的备份以周为备份周期，星期一到星期六做数据库累积增量、归档日志、控制文件和CATALOG用户所有对象的备份，星期天做全备份，保留前面一周期和当前周期的备份，每个周期有两份容余。

而且由于该应用的Oracle系统版本较新，也可以利用一些最新的Oracle备份技术，将同样的一份备份数据同时保存在不同的存储介质中去，如磁带和硬盘，以保证备份数据的完整性和安全性。

对于Oracle系统的数据备份和恢复的性能，可以通过开辟多个Oracle数据备份通道和多重数据迁移的技术得到保障。

对于以上的备份文件文件，根据管理的要求设定其保存时间，当此类数据过期时，ITSM将自动进行清理，无须管理人员参与。

备份时可以利用ITSM的永远增量备份的功能、多线程的数据迁移提高数据备份的效率，也可以利用ITSM独特的磁带分类集中存放技术保证数据存放的合理性，减少磁带的占用，提高数据恢复的效率。

如果此类文件较小的话，可以利用ITSM独特的磁盘池的功能，先将这些小文件备份到备份服务器的本地硬盘存储池的ITSM临时存储池中，待达到一定百分比时，在一次性迁移到带库中。

对于文件系统和裸设备的备份，可以直接利用ITSM Client进行备份。

备份通过ITSM的定时机制自动完成。

2.3基础设施选型系统平台选型建议根据应用系统规模（模块数）和用户数规模，分别提出低、中、高3种选型方案建议：1）低端选型方案建议：2）中端选型方案建议：3）高端选型方案建议：2.4网络指标要求在应用服务器与客户端之间，每个EAS客户端与应用服务器之间通讯的带宽占用约128kbit/s。

机构、总部出口的带宽估算：EAS用户数小于5人：带宽=EAS总用户数x 128kbpsEAS用户数大于5人，小于10人：带宽=EAS总用户数/2 x 128kbpsEAS用户数大于10人：带宽=EAS总用户数/3 x 128kbps2.5网络安全管理2.5.1防火墙防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机，所以出于安全考虑，企业必须购置防火墙以保证其服务器安全，将EAS服务器放置在防火墙内部专门区域。

一般硬件防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火墙市场知名度高的品牌有H3C、天融信、CISCO、Check Point、Juniper、等，用户应根据应用情况选择合适的防火墙。

EAS客户端通过金蝶自主开发的协议ORM-RPC与应用服务器连接，ORM-RPC可以运行在HTTP或TCP/IP协议之上，ORM-RPC可以使用HTTP 80端口或TCP 11034默认端口，客户也可以自己定义ORM-RPC协议的TCP端口。

在防火墙上配置策略需要开放应用服务器的端口和11034端口（或客户自定义端口）。

备注：1、由于应用服务器和数据库服务器之间的数据流量很大，建议将应用服务器和数据库服务器部署在同网段，最好连接同一台交换机。

2、若应用服务器和数据库服务器分别部署在不同的网段，基于性能考虑，必须保证应用服务器和数据库服务器之间的连接带宽至少100M。

若用户数多，应用服务器和数据库服务器之间的连接带宽建议采用1000M。

3、HTTP的默认端口是80，有些应用服务器使用非80端口，如WebSphere的HTTP使用的端口是9080，如果EAS客户端使用HTTP与EAS服务端连接，服务器应开通9080端口。

Apusic默认的HTTP端口是6888。

Weblogic默认的HTTP端口是7001。

2.5.2VPN技术VPN 即虚拟专用网(Virtual Private Networks) 提供了一种通过公共非安全介质(如Internet)建立安全专用连接的技术。

使用VPN技术，甚至机密信息都可以通过公共非安全的介质进行安全传送。

VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。

VPN通过安全隧道建立一个安全的连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。

VPN基本特征：使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。

网络架构弹性大——无缝地将Intranet延伸到远端办事处、移动用户和远程工作者。

可以通过Extranet连接企业合作伙伴、供应商和主要客户（建立绿色信息通道），以提高客户满意度、降低经营成本。

VPN实现方式硬件设备：带VPN功能模块的路由器、防火墙、专用VPN硬件设备等，如H3C、天融信、深信服、Cisco等。

软件实现：Windows 自带PPTP或L2TP、第三方软件（如CheckPoint、深信服等）。

服务提供商（ISP）：中国电信、联通、ISP等。

目前一些ISP推出了MPLS VPN和VPDN等。

2.6统一身份安全认证平台根据系统应用情况分析，可以通过部署金蝶BOS统一身份安全认证平台来实现房地产行业应用系统、OA系统模块、HR系统模块和企业其它业务系统的统一身份安全认证。

统一身份安全认证平台通过对账号、授权、认证和审计的集中管理，达到对安全运维过程进行集中统一的控制，使操作行为和维护行为可以审计。

如下图所示，主要达成了如下目标：（1）将各应用系统中的账号进行统一管理和控制；（2）提供统一的安全访问入口，实现系统间单点登陆；（3）实施统一的安全策略，进行集中控制和管理，可对接第三方认证组件；（4）对关键数据和操作行为进行统一管理和审计，及时发现安全隐患。