陕西凝远绿色建材实业有限责任公司网络系统工程 设计方案
议题 一、基础网络部分 二、网络安全及管理部分 三、无线网络 四、服务器虚拟化与数据存储 五、IT综合运维管理
一、基础网络部分
北厂区 南厂区 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 锅炉房 钢筋加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 办公楼 (二期) 展厅 南厂区
北厂区 网络核心机房(2#宿舍楼一层) 南厂区 网络核心机房 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 (二期) 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 锅炉房 网络核心机房 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 网络核心机房(2#宿舍楼一层) 办公楼 (二期) 展厅 南厂区
网络核心机房 网络核心机房(2#宿舍楼一层) 核心交换
核心交换 华为S9303 (2台) 冗余风扇 1+1电源冗余 超强容错能力 管理引擎 高吞吐量 低转发延迟 硬件配置: 2块800W交流电源 核心交换机 LE0KS9303 S9303总装机箱 2 LE0MMCUA S9303 主控处理单元A LE0MPSA08 800W交流电源模块(灰色) 4 LE0SMS219300 Quidway S9300基本软件,V200R001 LE0MG24SA 24端口百兆/千兆以太网光接口板(SA,SFP) LE0DG48TFA00 48端口十兆/百兆/千兆以太网电接口板(FA,RJ45) LE0IV2R1C0C0 S9300&S9300E T比特路由交换机 V200R001C00 产品文档 SFP-GE-LX-SM1310 光模块-eSFP-GE-单模模块(1310nm,10km,LC) 10 硬件配置: 2块800W交流电源 1块主控引擎 1块24端口百兆/千兆以太网光接口板 1块48端口十兆/百兆/千兆以太网电接口板
北厂区 南厂区 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 锅炉房 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 办公楼 (二期) 展厅 南厂区
核心交换 北区汇聚交换机 加气砼砌块生产线
汇聚交换 S5700-28C-EI-24S 北区汇聚交换机 24个100/1000M光纤接口,4个光电复用的千兆口接口, 包转发率:96Mpps 交换容量:256Gbps 用于连接北区厂房交换机,千兆双线上联核心交换机
北厂区 南厂区 港务二路 1#管片生产车间 预制构件生产线 辅助用房 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 锅炉房 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 展厅 办公楼 (二期) 南厂区
核心交换 北区汇聚交换机 加气砼砌块生产线
接入层交换机 华为S2700系列 S2700-9TP-EI-AC S2700-26TP-EI-AC S2700-52P-EI-AC
接入交换机分配情况 一期接入交换机 序号 地点 一期网点 8口交换机 24口交换机 48口交换机 1 预制构件生产线 4 2 1#管片生产厂房 3 加气硂砌块车间 辅助用房 40 5 多功能厅 50 6 1#宿舍楼 130 7 展厅 30 8 中心实验室 20 9 锅炉房 10 8个门卫 11 总计数量 287 12
北厂区 南厂区 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 锅炉房 二期部署 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 办公楼 (二期) 展厅 南厂区
二期接入交换机分配情况 序号 地点 二期网点 8口交换机 24口交换机 48口交换机 1 2#管片生产厂房 4 2 1#管桩生产厂房 3 2#管桩生产厂房 3#管桩生产厂房 5 钢筋棚加工车间 6 办公楼 240 7 总计 260
二、网络安全及管理部分
1、互联网出口安全
核心交换 北区汇聚交换机 加气砼砌块生产线
统一安全网关
互联网出口安全
Amaranten UTM 架构 高性能网络处理能力 ASIC加速的专用硬件平台 高性能网络处理能力 阿姆瑞特X-UTM 安全网关 VPN IDS/IPS 内容过滤 防病毒 应用控制 ASIC加速的专用硬件平台 高性能网络处理能力 不安全的数据流 阿姆瑞特X-UTM 安全的数据流
2、上网行为管理
核心交换 北区汇聚交换机 加气砼砌块生产线
1.内容过滤 – 绿化网络环境 1.封堵非法 违禁网站 2.屏蔽安全 隐患网站 3.审计网页 浏览内容 good 无约束的网页访问 bad 规避法律风险 营造健康网络环境 保障企业及用信息安全 提高生产效率 色情、赌博、暴力、反动、毒品等网站 钓鱼、挂马、病毒等网站 网址、网页标题、网站类别、网页内容、搜索关键字等信息 good 网康URL升级服务器 经ICG网页过滤后 URL预分类库 网址关键字 无约束的网页访问 搜索关键字过滤 用户自定义 bad 藏独 艳照门 六四 美女图
2.应用控制 – 提高工作效率 P2P下载(30余种) IM即时通信(15种) 380余种网络应用 网络游戏(40种) 在线视频(40种) 网上交易(30种) 380余种网络应用 协议库每周至少一次的高频度更新
3.带宽管理 – 提高网络价值 OA P2P 视频/娱乐 E-Mail HTTP 用户 应用 用户组可用带宽管理 特殊用户可用带宽保障 组内每用户带宽平均分配 OA P2P 视频/娱乐 应用 工作相关应用带宽保障 工作无关应用带宽限制 异常流量阻塞 E-Mail HTTP OA Priority 0 E-Mail P2P/视频 Priority 2 根据业务需要对应用划分通道 Priority 5
4.行为审计 – 保障信息安全 邮件 FTP 文件 即时通讯 论坛发帖 范围:SMTP、POP3、WebMail. 内容:发信人、收信人、主题、正文、附件 审计/过滤:基于敏感关键字、附件类型 内容:文件路径、名称、类型、大小、FTP账号 审计/过滤:基于路径、名称、类型 邮件 FTP 文件 范围:QQ、MSN、飞信、YAHOO通 内容:聊天内容、群聊内容、文件传输内容 范围:BBS论坛、博客、贴吧. 内容:论坛名称、发帖主题、发帖内容 报警:敏感信息外发邮件报警 即时通讯 论坛发帖
3、终端准入管理
终端接入安全 核心交换 北区汇聚交换机 加气砼砌块生产线
局域网中常见问题 1、员工肆意修改IP、MAC影响局域网 2、内网病毒泛滥,不能有效控制 3、未授权用户连接局域网络 4、用户上线没有记录,不利于排除网络故障 网康ICG Internet Control Gateway;能很好的解决上述问题
解决方案--安郎ABMS认证 1、根据用户状态进行认证,非授权用户不能通过认证 2、将员工上网账号、密码、IP、MAC、VLAN ID进行可选择性绑定,自动绑定信息,不需要统计员工的IP与MAC 3、绑定信息不在交换机上,员工可以任意移动工位。 4、读取用户的认证信息(是否防代理、是否控制P2P下载等),下传到Client进行控制
IP/MAC/帐号/密码/ID绑定 支持各种网络元素的绑定,防止非法用户上网,最大程度上保障网络正常使用。 严格限制内部用户的网络地址分配 1.1.1.3 (甲) 1.1.1.2(乙) 1.1.1.4(丙) 安郎ABMS认证服务器 IP//MAC Table: 1.1.1.3 00-20-ED-A8-82-61 严格限制内部用户的网络地址分配 避免用户IP地址的冲突。 非授权用户不能接入网络 1.1.1.2 00-20-ED-A8-81-60 1.1.1.4 00-20-ED-A8-81-64
三、无线网络
北厂区 南厂区 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 办公楼 (二期) 展厅 南厂区
展厅一层 无线AP 无线AP 无线AP 无线AP
展厅二层 无线AP 无线AP 无线AP
北厂区 南厂区 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 办公楼 (二期) 展厅 南厂区
办公楼一层(二期)
办公楼二层(二期)
办公楼三、四层(二期)
办公楼五层(二期)
办公楼六层(二期)
一期 核心交换 北区汇聚交换机 加气砼砌块生产线
二期 核心交换 北区汇聚交换机 加气砼砌块生产线
无线网络拓扑示意图 背板与资源相结合,用酷点的截图
集中式无线局域网方案功能演示 - 实时RF射频管理 动态信道分配 RF 信道 “6” RF 信道 “11” 动态功率优化 消除覆盖空洞 优化覆盖区域 避免干扰 / 改进性能 减少 “动手hands on” 的WLAN管理
集中式无线局域网方案功能演示 - 没有单点故障 无线控制器 接入交换机 无线AP 无线接入点冗余配置
集中式无线局域网方案功能演示 - 更好的网络性能 (1/3) 在高密度配置的无线环境中解决无线性能和容量的问题 (比如会议室, 咖啡店, 自助餐厅)… 动态负载分享 49
集中式无线局域网方案功能演示 -更好的网络性能 (2/3) 在高密度配置的无线环境中解决无线性能和容量的问题 (比如会议室, 咖啡店, 自助餐厅)… 动态负载分享 50
集中式无线局域网方案功能演示 -更好的网络性能 (3/3) 在高密度配置的无线环境中解决无线性能和容量的问题 (比如会议室, 咖啡店, 自助餐厅)… 动态负载分享 51
集中式无线局域网方案功能演示 - 无缝漫游 (1/2) Controller uses RADIUS server to determine user’s Identity. This information is used for QoS and security policies. Switch/Routed Network User traffic is carried to controller via LWAPP Identity networking is yet another feature in the robust Cisco Centralized WLAN Solution… Cisco Centralized WLAN Solution enables IT staff to assign policies to individual users (or groups of users) pertaining to QoS, security, and access control. Our solution leverages the LWAPP protocol to securely carry this information across the wireless network. One a user is authenticated (e.g., 802.1X, RADIUS), he/she is given the appropriate access control, assigned to the correct VLAN, and assigned the right QoS parameters given their application criteria. Single SSID User: maria Group: Marketing ACL: Corp_1 QoS: Gold
集中式无线局域网方案功能演示 -无缝漫游 (2/2) Switch/Routed Network Anchor Foreign User: maria Group: Marketing ACL: Corp_1 QoS: Gold Single SSID 无线用户漫游时, 无线控制器集群可跟随用户发送对应信息
北厂区 南厂区 港务二路 辅助用房 1#管片生产车间 预制构件生产线 加气砼砌块生产线 1#管桩生产车间 (二期) 2#管桩生产车间 汇聚 机柜 港务二路 餐厅及多功能厅 中心实验室 2#宿舍楼 (核心机房) 钢筋棚加工车间 (二期) 1#宿舍楼 3#管桩生产车间 (二期) 2#管片生产车间 (二期) 办公楼 (二期) 展厅 南厂区
四、服务器虚拟化与数据存储
1、服务器虚拟化
一期 核心交换 北区汇聚交换机 加气砼砌块生产线
服务器虚拟化 虚拟化: 使多个虚拟机在一台物理计算机上运行 每个虚拟机可以运行不同的操作系统和应用程序 每个虚拟机与其他虚拟机隔离,并且与底层硬件分离 具有抽象性,隔离性,封装性及摆脱硬件的束缚
虚拟化 传统方式 虚拟基础架构 Exchange 文件/打印 SAP ERP Oracle CRM CPU 池 内存池 存储池 互连池 操作系统 操作系统 操作系统 操作系统 虚拟化 虚拟化 CPU 池 内存池 SAP ERP Oracle CRM 操作系统 操作系统 操作系统 操作系统 存储池 如上所述,VMware 使命的第一要务是简化复杂性。 简化 IT 复杂性意味着要以不同的观点看待 IT 基础架构。即一种不再基于分别管理各个分散的组件及其相互之间交互方式建立的观点。 <单击> 虚拟化对此跨出了第一步,它打破了软件和硬件基础架构之间的静态关系。 这使我们向降低复杂性迈出了第一步,将应用程序从物理硬件的束缚中解放了出来。 但 VMware 在池化方面的技术和方法得到了很大发展,池化是云计算体系结构的一项核心特征。通过将各种资源聚合到动态、灵活的资源池中,可以显著简化运营部署和管理的方法。 <单击>……转到下一张幻灯片…… 虚拟化 虚拟化 互连池
新一代数据中心架构 Exchange 文件/打印 SAP ERP Oracle CRM CPU 池 操作系统 文件/打印 操作系统 虚拟基础架构 互连池 CPU 池 内存池 存储池 Distributed Resource Scheduler (DRS) Distributed Power Management (DPM) VM 和 Storage vMotion vNetwork Distributed Switch vShield Zones SAP ERP 操作系统 Oracle CRM 操作系统 在此 IT 基础架构方法中,关注重心将从计算机转移到更广泛、更全面的数据中心观点上。IT 组织不再从单个计算机(服务器、存储、网络接口)的角度考虑问题,而是从能够动态添加或删除以及即时利用容量的角度考虑问题和进行管理。这进而使 IT 组织能够关注应用程序和服务的交付,而不是底层基础架构。 但是,为实现这一目标,必须让平台超越管理程序的概念,将其发展为涵盖数据中心各方面的能力。VMware 在这方面具有独特优势(如 DRS、DPM、VM 和 Storage vMotion 功能、虚拟网络交换和虚拟安全区域),不断设定着更高的创新标准。以下是 VMware 的市场领先的虚拟化平台 vSphere 独有功能的示例,该平台将数据中心转变为灵活、富有弹性的计算中心。
服务器虚拟化优点一:整合硬件、提高使用率 虚拟化之前 虚拟化之后 虚拟化使得低利用率的服务器负载整合到一台服务器, 安全可靠地达到很高的硬件利用率
服务器虚拟化优点二:快速统一部署服务器 部署挑战: 依赖硬件可用性 易发生人为错误 标准化困难 审核困难 需要数天,甚至数周 整合前 整合后 3-10天的硬件采购 20-40小时,为一台服务器安装操作系统和应用程序 硬件上架安装 安装操作系统及补丁 配置安全策略,域和用户权限 配置网络(IP,DNS) 配置存储(DAS,SAN,NAS) 安装必要的系统管理代理,备份代理和其它的必要的系统软件 安装配置应用软件 测试应用 安排宕机时间,数据迁移 15-30分钟,用模板和自动部署向导或拷贝虚拟机,启动即可 把虚拟机拷贝然后重新启动 [工具已经安装] [应用已经安装,配置] 部署挑战: 依赖硬件可用性 易发生人为错误 标准化困难 审核困难 需要数天,甚至数周
服务器虚拟化优点三:降低服务器投资成本 整合前 整合后 硬件投资减少50% 将不同应用负载虚拟化使得用户可以大大减少服务器的数量 服务器台数 成本 A系统 1 ¥40000 B系统 C系统 D系统 E系统 其它 5 ¥200000 总计 10 ¥400,000 应用 服务器台数 成本 A系统 5 ¥200,000 B系统 C系统 D系统 E系统 其它 总计 硬件投资减少50% 将不同应用负载虚拟化使得用户可以大大减少服务器的数量 典型的平均整合比率在8:1到15:1
服务器虚拟化优点四:节能降耗(电力消耗) 整合前 整合后 应用 服务器台数 功耗 A系统 1 0.6kW/h B系统 C系统 D系统 E系统 其它 5 3kW/h 一年总计 10 52560kW 应用 服务器台数 成本 A系统 5 3kW/h B系统 C系统 D系统 E系统 其它 总计 26280kW 电量消耗减少50% 电力消耗是按照服务器平稳运行状态下进行计算的。但是还有其它节省:变压设备、不间 断电源(UPS)、电源线、风扇、空调、加湿器、照明等等。 以2U服务器为单位计算。
服务器虚拟化优点五:节能降耗(制冷系统) 制冷系统需要按照空气流动要求进行配置 计算中的交流电消耗被完全转化为热量。因此,1千瓦电力消耗= 1千瓦热量的产 生。从耗电量计算如下: 在采用虚拟化之前所消耗的电量= 6千瓦 在采用虚拟化之后所消耗的电量= 3千瓦 其它重要假设 冷却设备每处理1瓦的热量自身需要消耗0.8瓦电力(HP实验室的经验值) 通常需要25%冗余空气流动能力 额外增加25%冷却系统开销,如维持湿度等 服务器整合前:十台服务器以及网络、存储设备需要在机房中配置4匹空调 服务器整合后:五台服务器以及网络、存储设备只需要在机房中配置2匹空调 每年机房可减少空调耗电量:2*0.735kW*24*365=12877.2kW
通过虚拟化来进行服务器整合意味着用户能够将这样的环境…
…改造成这样简捷的配置 没有利用虚拟化软件之前是200台服务器 使用虚拟化软件后,整合成8台服务器、一个机架 整合比达到 25:1 67
2、统一数据存储
一期 核心交换 北区汇聚交换机 加气砼砌块生产线
满足多业务需求的经济高效存储系统 扩展性 灵活性 易用性 高性能 多承载 降低TCO 高效率 I/O扩展性- 单台设备的I/O接口数要求 再添置几个前端接口!再加几个!还能再加几个吗? 扩展性 灵活性 易用性 I/O扩展性- 单台设备的I/O接口数要求 灵活的I/O扩展方式 易用性-配置便捷 性能高一些!再高一些!还能再高一些吗? 高性能 多承载 业务多样化,复杂化 业务性能要求差异化 业务发展具不确定性 将这批硬盘停转节电!风扇降低转速!还能再降一些吗? 降低TCO 高效率 能耗-绿色节能降耗要求 扩容-合理的后期扩容成本 高效的空间利用
小规模起步,随需扩展 OceanStor S2600T 按需购买、灵活扩展、简单易用 最大支持204块3.5 inch硬盘,可扩展 至612TB容量 融合6Gb SAS、1/10 GE、8Gb FC技 术,方便各种组网环境 支持6Gbps SAS、NL SAS、SATA和 SSD,实现灵活的磁盘配比 基于SSD的性能加速,消除高峰时期 的业务压力 OceanStor S2600T 本次配置8块2TB NL-SAS磁盘,4块600GB 15K RPM SAS磁盘,为服务器虚拟化提供12TB空间。
OceanStor S2600T外观介绍 超高扩展性 支持高达20个前端主机接口,数量灵活配置,槽位灵活布局 在线热插拔 8Gb FC PCIE2.0 SAS2.0 8Gb FC PCIE2.0 SAS2.0 超高扩展性 支持高达20个前端主机接口,数量灵活配置,槽位灵活布局 8Gb FC PCIE2.0 SAS2.0 在线热插拔 8Gb FC PCIE2.0 SAS2.0 真正实现I/O模块热插拔,在线扩展不影响业务运行 数据可靠性 电源、风扇、BBU全冗余设计,有效保证业务可靠性 2+2保险箱盘+ BBU,掉电数据不丢失
四大关键特性:企业的最佳选择 Features 扩展灵活 稳定可靠 Flexible, Reliability Easy, Energy-saving 扩展灵活 稳定可靠 OceanStor S2600T 关键特性 高效易用 绿色节能 按需购买,最大扩展至612TB 多级数据可靠性设计保障 统一管理界面,5步完成基本配置 备份应用能耗降低40%
OceanStor S2600T 灵活便捷的管理和维护 一键式升级 支持操作分级管理:根据用户操作对数据的影响确定四种操作级别(无危害、 性能、业务与数据、系统) 5步完成基本配置 人性化的管理维护设计 支持基于WEB的GUI和可编程CLI管理方式 支持声音、灯光、手机短信、邮件 等多种告警手段 一键式双控在线Firmware升级, 有效地降低用户运维成本 操作简单可靠
五、IT综合运维管理
一期 核心交换 北区汇聚交换机 加气砼砌块生产线
写在开始之前…… IT系统虽然并不庞大和复杂,却苦于总是被动的管理网络、系统和简单应用, 企业需要高性价比的IT保障系统 网络堵塞 系统宕机 应用故障 管理人员少 数据库访问缓慢 企业邮箱总是报错 上不了网 发不了邮件 病毒泛滥 内部OA访问失败 企业网址访问失败 被动处理故障 总是重复劳动 运维效率低下
01 02 03 网管市场产品特点对比 酷点产品特点 国外产品特点 国内厂商特点 高性价比、高可靠性, 最全面综合性网管 B/S架构,Portal机制,统一认证统一登陆。 管理拓扑,传统网络拓扑的变革。 广泛设备厂商支持 主机和应用的VM可视化管理机制,将复杂的事情简单化。 业务服务管理,关联IT与业务 国外产品特点 国内厂商特点 产品线长,整合难度大 操作繁琐,不易上手 配置复杂,需要专业人员完成 界面不友好,中文支持不理想 对国内设备的支持度不理想 以网络拓扑为主 功能简单 研发水平偏低 监控模块化程度不高 指标范围、数量、质量达不到要求 不保留历史数据,并不提供查询报表
网络拓扑关联网络状态 全国唯一纯B/S架构的Flash拓扑 按照职能部门、楼层、网络层次进行划分,让客户快速定位问题区域,找到问题节点。 79
网络拓扑管理 实时监控的报警信息 准确的IP定位及关联定位 详细的VLAN信息 IP-MAC绑定有效帮助用户做到IP地址的管理和分配,未经允许的可屏蔽出网络。 用户可以通过IP搜索定位功能,可以很迅速的查询到IP地址的信息,在那个网络设备的那个端口上,并高亮显示。 实时监控的报警信息 准确的IP定位及关联定位 详细的VLAN信息
网络拓扑管理 幻灯片功能,全面展示各种拓扑图 Visio式的拓扑图绘制界面 用户可以使用Visio式的制图工具,将网络拓扑勾绘出2D和3D效果,使拓扑更加美观。 用户可以使用幻灯片功能将各种拓扑图投放在大屏显示,定时的切换不同拓扑图。 Visio式的拓扑图绘制界面
三层网络拓扑查看子网信息 全国唯一纯B/S架构的Flash拓扑 按照职能部门、楼层、网络层次进行划分,让客户快速定位问题区域,找到问题节点。 82
鹰眼模式网络拓扑 按照职能部门、楼层、网络层次进行划分,让客户快速定位问题区域,找到问题节点。 83
管理拓扑业务和拓扑结合 管理拓扑,帮助管理员快速定位问题区域的问题设备 按照职能部门、楼层、网络层次进行划分,让客户快速定位问题区域,找到问题节点。 管理拓扑,帮助管理员快速定位问题区域的问题设备 84
侧重于事故分析的网络拓扑 需要
IP服务分布及统计 需要
网络设备监控
方便直观的网络背板图 接口状态、接口信息一目了然 背板与资源相结合,用酷点的截图