机房(应用、网络、基建)规划方案建议书.doc

XXXXXXXX建议书建议书 XXXXXXXX 机房机房 规划建议书规划建议书 1/ 38 文档控制文档控制 项目编号文档名称XXXX 建议书 文档序号项目经理 编写人 XXXX 完成日期 2013-05-8 修订记录修订记录 日期修订版本修订内容修订人 2012-04-12V1XXXX 2012-05-6V2XXXX XXXXXXXX 机房机房 规划建议书规划建议书 2/ 38 目目 录录 第第 1 章章SAP 系统架构规划系统架构规划.5 1.1SAP 蓝图架构设计 .5 1.2主机系统规划.6 1.2.1硬件平台选择7 1.2.2硬件容量规划7 1.2.3系统可靠性8 1.2.4服务器平台选型 9 小机平台.10 小机&PC server 混合平台10 主机架构拓扑图.10 1.3存储系统规划.11 1.3.1存储系统概要11 1.3.2存储系统架构12 FC SAN 网络存储架构12 IP SAN 网络存储架构.13 技术对比.13 1.4备份系统规划.14 1.4.1备份软件的选择14 1.4.2备份技术14 1.4.3数据备份系统总体规划 16 第第 2 章章网络规划建议网络规划建议.17 2.1设计原则 17 2.2网络设计拓扑结构.18 2.3网络总体规划.19 2.3.1核心层设计19 2.3.2接入层设计19 2.4FIREWALL.20 2.5UTM 20 2.6ANTI-ARP20 2.6.1ARP 欺骗攻击的危害性.20 2.6.2接入层交换机部署 ARP 入侵检测21 2.6.3核心交换机部署 ARP 欺骗防御22 2.7VPN .22 2.8WIRELESS.23 2.9AAA .24 2.10IPS .25 2.11设备利旧 25 第第 3 章章机房规划机房规划.26 3.1机房概述 26 3.1.1概述26 XXXXXXXX 机房机房 规划建议书规划建议书 3/ 38 3.1.2设计原则、依据和设计目标 26 项目介绍.26 设计目标.26 3.1.3机房总体规划27 机房建设系统组成.27 3.2中心机房规划设计.28 3.2.1机房建设总体设计 28 3.2.2机房装修工程设计 29 设计原则.29 机房区地面设计.29 机房入口设计.29 墙身及隔断设计.29 机房防水处理.29 机房门窗处理.30 机房等电位处理.30 3.2.3机房配电工程设计 30 设计原则.30 机房供配电系统设计.30 3.3技术方案 31 3.3.1数据中心机房建筑装修 31 目的.31 实施方案.32 预期达到效果.32 3.3.2数据机房电气工程 32 目的.32 实施方案.32 预期达到效果.32 3.3.3UPS 供配电系统.33 目的.33 实施方案.33 预期达到效果.33 3.3.4数据机房空调系统 34 目的.34 实施方案.34 预期达到的效果.34 3.3.5数据机房门禁及视频监控系统.34 目的.34 实施方案.34 预期达到效果.34 3.3.6数据机房消防系统 35 目的.35 实施方案.35 预期达到效果.35 3.3.7数据机房等电位接地及防雷系统.35 XXXXXXXX 机房机房 规划建议书规划建议书 4/ 38 目的.35 实施方案.35 预期达到效果.35 第第 4 章章XXXX 配置清单配置清单36 XXXXXXXX 机房机房 规划建议书规划建议书 5/ 38 第第 1 1 章章SAPSAP 系统架构规划系统架构规划 1.1SAP 蓝图架构设计蓝图架构设计 根据 SAP 蓝图架构的规划，SAP 系统的架构设计可以分为单系统、双系统和三系统。如下图所示： 图图 1 SAP 蓝图架构设计蓝图架构设计 单系统：所有的开发配置、单元测试、集成测试以及公司的生产运做都在一个系统中 完成。 双系统：开发配置、单元测试、集成测试在一个系统（开发系统）中完成，另外一个 系统作为生产系统支撑公司的实际业务运做。 三系统：开发配置、单元测试在开发系统中完成，集成测试在测试系统中进行，而公 司的实际业务运做在生产系统中进行。 单系统单系统 双系统双系统 三系统三系统 XXXXXXXX 机房机房 规划建议书规划建议书 6/ 38 根据 SAP 软件在世界范围内众多应用的使用应验，三种系统架构的对比如表 1 所示： 表表 1 SAP 蓝图系统架构对比蓝图系统架构对比 系统系统优点优点缺点与限制缺点与限制 单系统 价格便宜1. 生产系统的系统性能会受到开发/集成测试系统的影响； 2. 开发/集成测试系统的测试数据会扰乱生产系统的正式 数据； 3. 程序开发人员可以写程序存取生产系统的所有企业数据, 数据安全性需要考虑； 4. 系统管理人员若要进行 MYSAP 的系统升级(Upgrade),没 有测试环境,升级不易且风险大； 5. 资源库部份是开发, 测试以及生产系统共享,因此一旦 程序开发人员更改或测试程序,都会影响到正式上线的生产 系统，业务连续性无法保证； 6. 必需采用完整的高可靠性系统架构,维护系统的可靠性； 7. 三种系统同时在一台主机,管理的复杂度及风险提高。 双系统 在开发平台上做有限 度的测试，部分保证业务 连续性。 所有开发的对象一旦被传输到生产系统,就马上被使用, 数据的传输无法测试，影响业务连续性 三系统 可以完整的测试所做 的开发以及系统升级 (upgrade)。 硬件初期设置成本较高 SAP 蓝图系统架构的选择，是整个项目的基础。公司原则 SAP 蓝图系统架构，应综合考虑下面 的因素： 业务连续性的要求 生产系统数据的安全性 对测试质量的要求 系统开发/配置的管理 拥有的资源以及相对系统管理的负担 系统性能 投资 为保证测试质量，建议采用三系统架构为保证测试质量，建议采用三系统架构。 XXXXXXXX 机房机房 规划建议书规划建议书 7/ 38 1.2主机系统规划主机系统规划 主机系统的规划包括硬件平台的选择、硬件容量规划（CPU、内存、磁盘空间） 、系统可靠性设 计以及服务器的选型。 1.2.1硬件平台选择硬件平台选择 SAP 软件可以在多种硬件平台上运行，包括 AIX、HP Unix、Linux、Solaris、windows 平台。硬 件平台的选择，需要考虑系统性能、可靠性、维护方便性、硬件厂商在 mySAP 应用的市场占有率、 发展趋势、公司内部政策、成本因素,未来 IT 发展方向等。本次硬件方案推荐 Windows 平台和 Unix 平台。 1.2.2硬件容量规划硬件容量规划 主机系统的硬件容量由 SAP 的 SIZING 原理计算得出，Sizing 指对 SAP 系统硬件设备配置的预 估(主要包括内存 Memory、处理器 CPU 和存储器 Disk)。SAP 与其合作伙伴共同开发了在线的评估 工具”Quick Sizer”来帮助用户完成配置预估工作。 “Quick Sizer”定义了两类评估模型：基于 用户的预估、基于业务量的预估。基于用户的预估通过了解每个业务模块的并发用户数量来估计系 统的负荷。基于业务量的预估基于系统所处理的各种对象的实际数量作评估。这种方法用来预估处 理器(CPU)及存储空间(DISK)。根据 SIZING 计算的硬件容量选择合适的服务器设备时，需要充分考 虑服务器的可扩展性，能够继续扩充 CPU、内存等主要硬件设备，以满足业务增长的需要。 初步估算，对于 100 个左右并发用户的 SAP ERP 系统，参照 SAP 实施案例情况,通过 Quick Sizer 的计算,预估的硬件容量大致要求如下： 表表 2 2 SAPSAP ERPERP 系统硬件容量规划系统硬件容量规划 系统系统项目项目容量容量 CPU8C 内存32GSAP ERP 生产系统 有效磁盘空间600GB CPU4C 内存16GSAP ERP 测试 有效磁盘空间400GB CPU4C 内存16GSAP ERP 开发 有效磁盘空间400GB XXXXXXXX 机房机房 规划建议书规划建议书 8/ 38 系统系统项目项目容量容量 CPU8C 内存64GSAP PI 生产系统 有效磁盘空间600GB CPU4C 内存32GSAP PI 测试系统 有效磁盘空间400GB CPU4C 内存32GSAP PI 开发系统 有效磁盘空间400GB 硬件容量规划中 CPU、内存要求，是按照当前用户数进行的预估，根据该容量预估选择服务器 硬件设备时，需要考虑服务器设备有充分的可扩展性，以便几年后业务扩展，通过扩充硬件满足业 务扩展的要求。 1.2.3系统可靠性系统可靠性 系统的可靠性一直是非常重要的问题。为了让 SAP ERP 系统具有最高的安全性，优良的系统性 能以及业务连续性性,应该将“系统高可靠性结构设计”列入硬件计划，这样才能避免因系统发生问题,所 可能造成企业的系统宕机情景 。 一般情况，系统宕机分为以下两种情况： 1计划性宕机计划性宕机: 软件升级/安装补丁（support package）,数据库重组（Reorganization）, 停机备份（offline backup）, 硬件维护等。这种类型的宕机是有明确的目标、积极意义的宕机，宕机时间可根据系统 使用情况，安排在特殊时间（如休息日或夜间）进行； 2 非计划性宕机非计划性宕机: 网络, 硬件, 软件(OS,DB,R3) 故障。如果发生这种类型的宕机，很可能对企业造成巨大的损失， 所以下一部分，将专门针对这类情况，提出解决方案。 系统高可靠性结构设计方案系统高可靠性结构设计方案： 对于 SAP 系统，可能发生的问题有网络故障、硬件故障以及软件故障三种。 以下将分别就问 题提出解决方案。 A 网络网络故障故障 XXXXXXXX 机房机房 规划建议书规划建议书 9/ 38 建议每台 SAP 服务器使用两块网卡,当其中一块发生问题时,另外一片可以马上接替；同时建 议 SAP 服务器的网络(Server LAN)线路有两条，当其中一条链路故障时,系统可以自动切换使用另外 一条链路。（这两条线路使用的网络设备，如交换机、路由器也要考虑冗余备份） B 硬件的错误硬件的错误 1 SAP 服务器的硬件故障，将直接导致 SAP 系统停止服务。为了保证 SAP 系统的可用性，可以 考虑使用双机集群技术，规避硬件故障造成 SAP 系统停止服务。使用双机群集系统(Cluster)，当生 产系统主机故障时，可由冗余主机自动接替，让系统继续工作。 决策是否采用群集技术，需要在可接受的宕机时间和硬件投资中寻求平衡。一般情况下，由 于硬件问题导致系统宕机，宕机持续时间受以下因素影响： 硬件故障诊断时间 故障硬件的到货时间 主机系统的修复时间 在 SAP 系统中，建议只对数据库做群集以降低系统的复杂性，方便今后的维护工作，应用服 务器（DIALOG INSTANCE）不考虑群集技术。随着业务的增加，应用服务器不断追加，一旦某一台 服务器发生硬件故障，通过 SAP 系统中的组登陆策略，把该台故障服务器隔离即可，不会影响业务 连续性。因此，在一个 SAP 系统中，只需要考虑数据库服务器（DB + CI Instance）的双机集群。 由于 SAP ERP 生产系统核心应用地位，建议生产系统的数据库服务器都采用双机集群技术，保 证系统的可用性和业务连续性。 2 对硬盘存储硬件故障风险的规避，需要采购的磁盘阵列本身应采用双控制器、双电源，支 持写缓存镜象，硬件本身不存在单点故障；分配给各主机的磁盘采用 RAID5+HOT SPARE 或磁盘镜象 技术，或者磁盘阵列采用 2 块以上全局热备盘，避免单块硬盘物理损坏造成数据丢失；主机内置硬 盘采用 RAID 0+1 技术，避免单点故障。同时，为节约硬件投资成本，实现数据集中存储，如果企 业内部有多个系统需要数据存储空间，我们建议采用存储区域网络（SAN）或则 IP-SAN，磁盘阵列 与主机之间，通过 2 台光纤交换机形成冗余且负载均衡的光纤通道，把多个系统的数据集中存储在 该磁盘阵列上面。具体方案参见存储系统规划。 C 软件的错误软件的错误 对软件错误风险的规避，需要定期备份操作系统和应用软件，每天备份数据库和数据库日志文 件，发生问题时可以利用有效备份恢复数据。备份系统的设计请参阅备份系统规划。 XXXXXXXX 机房机房 规划建议书规划建议书 10/ 38 1.2.4服务器平台选型服务器平台选型 根据硬件产品的稳定性、成本、服务等方面综合考虑，我们建议选择 IBM 系列产品，作为 SAP ERP 系统硬件服务器。从小机平台和小机&PC server 混合平台来考虑服务器基础架构 小机平台小机平台 基于稳定性和性能最大化考虑。开发、测试、生产系统均采用 IBM 小型机，其中开发测试 系统采用一台 IBMP740 通过 Power VM 虚拟化技术部署到四台虚拟服务器上。生产系统采用两 台 IBM P740 通过 Power VM 虚拟化技术，部署到六台虚拟服务器上。基于 IBM Power VM 技术 可以实现多套应用系统资源的灵活分配，确保在单个应用系统硬件故障的情况下，能够很快的 调配其余系统的空闲资 源供故障系统使用。 系统服务器型号数量 SAPERP、PI 系统IBM P7403 小机小机&PC server 混合平台混合平台 基于成本最优化考虑。开发、测试系统均采用 PC Server。其中开发测试系统采用一台 IBMX3850 通过 VmWare 虚拟化技术部署到四台虚拟服务器上。生产系统采用两台 IBM P740 通 过 Power VM 虚拟化技术，部署到六台虚拟服务器上。 系统服务器型号数量 SAP ERP、PI 生产系统IBM P7402 SAP ERP、PI 开发、测试系统IBMX3850 X51 主机架构拓扑图主机架构拓扑图 XXXXXXXX 机房机房 规划建议书规划建议书 11/ 38 1.3存储系统规划存储系统规划 1.3.1存储系统概要存储系统概要 选择合适的存储系统，是数据安全的关键所在。选择存储系统，主要考虑以下几方面内容： 数据安全性 存储设备是应用系统中单点故障的隐患，因此为保证数据安全，需要严格选择存储系统。 既包括存储系统中硬件设备的冗余（电源、风扇、控制器、缓存） ，也包括对存储设备中硬盘 的 RAID 划分。 存储容量 对存储容量的规划，需要根据企业正常的业务量进行预估，并考虑未来 3-5 年的发展，计 算可用的磁盘容量，并通过对 RAID 级别的划分，确定磁盘数量。 硬件成本 存储产品的硬件成本，既需要考虑初期投资成本，也需要考虑后续维护成本。因此，选择 存储产品需要具有良好的开放性。同时，采用 SAN 技术，选择一个集中存储的硬件设备，可有 效降低存储产品的硬件投资。 SAP ERP 系统中，按照 3-5 年规划，各系统对磁盘容量的需求如下表所示： XXXXXXXX 机房机房 规划建议书规划建议书 12/ 38 表表 4 SAP 系统磁盘划分系统磁盘划分 应用部分 需要空 间 RAID 级 别 磁盘 位置 操作系统 + SWAP 空间80G0+1盘阵 SAP 应用软件30G0+1盘阵 DB2 应用软件+日志文件 40G0+1盘阵 ERP 生产 系统 DB2 数据文件500G0+1盘阵 操作系统 + SWAP 空间50G0+1盘阵 SAP 应用软件30G0+1盘阵 DB2 应用软件+日志文件 30G0+1盘阵 ERP 测试 系统 DB2 数据文件500G0+1盘阵 操作系统 + SWAP 空间50G0+1盘阵 SAP 应用软件30G0+1盘阵 DB2 应用软件+日志文件 30G0+1盘阵 ERP 开发 系统 DB2 数据文件300G0+1盘阵 操作系统 + SWAP 空间80G0+1盘阵 SAP 应用软件30G0+1盘阵 DB2 应用软件+日志文件 40G0+1盘阵 PI 生产 系统 DB2 数据文件300G0+1盘阵 操作系统 + SWAP 空间50G0+1盘阵 SAP 应用软件30G0+1盘阵 DB2 应用软件+日志文件 30G0+1盘阵 PI 测试 系统 DB2 数据文件200G0+1盘阵 操作系统 + SWAP 空间50G0+1盘阵 SAP 应用软件30G0+1盘阵 DB2 应用软件+日志文件 30G0+1盘阵 PI 开发 系统 DB2 数据文件200G0+1盘阵 1.3.2存储系统架构存储系统架构 FC SAN 网络存储架构网络存储架构 FC SAN 是通过一个单独的，是基于光纤通道的 SAN 网络把存储设备以及服务器相连，如此， 当有海量数据的存取需求时，数据完全可以通过 SAN 网络在相关服务器和后台的存储设备之间高 速传输，对于 LAN 的带宽占用几乎为零，而且服务器可以访问 SAN 上的任何-个存储设备，提高 了数据的可用性。在对性能和可靠性要求较高的场合，采用先进的 SAN 数据存储网络，可以使数 据的存储、备份等活动独立于原先的局域网之外，从而将减轻 LAN 的负载，保证原有网络应用的 顺畅进行；同时 SAN 网采用光纤传输通道，可以得到高速的数据传输率。 XXXXXXXX 机房机房 规划建议书规划建议书 13/ 38 IP SAN 网络存储架构网络存储架构 相对于 FC 存储，IP 存储没有任何限制，服务器接入及多链路实施完全免费，而且软件通用， 用户可以自行处理。IP 存储设备性价比高，由于产业链庞大，配件全部标准化，因此性能优越， 成本低。而且 IP 存储可以通过网络任意地传送和流通数据，其在容灾备份方面更是性价比高，其 开放的统一环境使得软件的开发产业链非常庞大，其容灾需要的带宽非常低，可以通过 Internet 实时传送数据 技术对比技术对比 FC SANIP SAN 协议 FCP 协议，SCSI over FC，协 议效率高 SCSI over IP，协议效率一般 协议开销 协议开销小，基本不占用服务 器本身的 CPU、内存资源 协议开销较大，频繁的封包、 解包过程，对性能影响较大 流控由交换机控制有主机和设备控制 QOS 服务质量无阻塞，有保障有阻塞，没有保障 数据传输性能高性能数据存储，带宽利用率传输延时高，受网络环境影响 XXXXXXXX 机房机房 规划建议书规划建议书 14/ 38 高，传输时延小 实际带宽理论带宽的 85%-90%理论带宽的 20%-30% 可靠性 利用双 Fabric 结构和多路径软 件实现高可靠 实现 TCP/IP 协议层的路径冗 余，与操作系统层的路径冗余 功能缺乏 安全性较高的安全性安全性较低 远程连接能力一般不超过 100 公里利用广域 IP 网络实现连接 基于稳定性和安全的角度出发，建议采用基于稳定性和安全的角度出发，建议采用 FCFC SANSAN 网络存储架构。网络存储架构。 1.4备份系统规划备份系统规划 1.4.1备份软件的选择备份软件的选择 备份管理软件的选择对于整个系统的性能至关重要。备份软件不仅要提供良好的备份恢复能力 特别是灾难恢复能力，简便的管理方法和技术领先性，还应该具有上节所述的更高的能力。不仅可 以胜任目前的备份恢复管理，也提供良好的扩展性与前瞻技术能力。 1.4.2备份技术备份技术 备份技术多种多样，从根本上可以分为三种： 1 1 网络备份；网络备份； 通常的备份技术，在备份时会造成网络资源及服务器资源的占用，影响业务系统性能。 2 2 LANLAN FreeFree 备份；备份； 备份时不会占用网络资源，但仍然要由应用服务器负担备份数据的传递。应用性能会受到影响。 3 3 ServerServer lessless 备份备份 备份对系统是透明的，即不会影响业务系统性能。因此可以消除备份时间的限制，可在白天进 行备份，缩短备份时间间隔。是性能最好的备份技术。 一般容易存在一种误区，即如果是 LAN 环境则使用网络备份；使用 SAN 的存储结构则考虑使用 LAN Free 或 Server Less。其实即使不使用 SAN 的存储结构也是实现 LAN Free 和 Server Less 备 XXXXXXXX 机房机房 规划建议书规划建议书 15/ 38 份技术的。采用何种备份技术主要取决于企业的业务性质，数据量和备份时间窗口要求。如果网络 带宽不能满足在可提供的时间段内完成所有数据的备份，或网络压力大，则必须要使用高级的备份 技术。使用 Server Less 的主要是一些 24x7 的业务，为了不影响服务性能而采用的。只是一般这 种备份要求与系统对存储架构的要求一致，所以 LAN Free 或 Server Less 的备份技术一般在 SAN 架构下实现。 4 4 灾难恢复灾难恢复 备份系统必须考虑灾难恢复的实现。实际上备份系统本身可以实现所有数据包括系统的恢复， 但是时间较长。为了实现快速的灾难恢复，可以采用相应的技术手段。但灾难恢复计划不仅是技术 实现，而是包含很多内容。比如：全面的灾难防范考虑、包括系统信息和恢复步骤等的完整的灾难 恢复文檔以及定期的灾难恢复演习。这些是提高灾难恢复速度的更重要的因素。对这些要做全面的 考虑。 5 5 备份策略备份策略 备份策略是备份系统日常工作的准则。备份策略的制定有一定的规律性，也要根据具体的情况。 最终目的是为了安全便捷地恢复数据。采用合理的备份策略可以节省备份设备空间并实现快速恢复。 具体备份内容和备份策略如表 5 所示： 表表 5 SAP 系统备份策略系统备份策略 系统系统备份内容备份内容备份介质备份介质备份周期备份周期/频率频率 操作系统备份带库SAP 安装成功后、系统作重大变更前 SAP 软件备份带库SAP 安装成功后、系统作重大变更前 DB2 软件备份带库SAP 安装成功后、系统作重大变更前 数据库+日志备份带库3 天为一个备份周期，每天执行一次 生产 系统 数据库日志备份带库3 天为一个备份周期，每天执行一次 操作系统备份带库SAP 安装成功后、系统作重大变更前 SAP 软件备份带库SAP 安装成功后、系统作重大变更前 DB2 软件备份带库SAP 安装成功后、系统作重大变更前 数据库+日志备份带库建议 3 天为一个备份周期，要求每天执行一次 测试 开发 系统 数据库日志备份带库建议 3 天为一个备份周期，要求每天执行一次 6 6 管理及维护管理及维护 良好的管理和维护是保证备份系统良好运行和可靠恢复的保障。它包括数据、管理员和后备的 技术支持。 上面所说的完整的灾难恢复文檔、恢复演习计划，还有日常的管理文檔，备份策略等构成了全 面的管理数据。这使备份的管理成为制度而不是依赖于某个人；管理员可以确保每日的备份正常安 XXXXXXXX 机房机房 规划建议书规划建议书 16/ 38 全；而方案建设提供商良好的响应快速的技术支持和维护的重要性则无须赘言。 集团信息系统的数据备份平台采用统一集中数据备份平台，根据集团信息系统具体的部署方式， 提供基于 LAN-Free 数据备份方式。可灵活定制各种备份策略，满足集团当前不同信息系统对数据 备份的需求，保障集团信息系统数据的安全。 1.4.3数据备份系统总体规划数据备份系统总体规划 采用 LAN-Free 方式的集中数据备份架构设计，备份的数据只在存储区域网（SAN)中流动。 数据备份系统设备配置：数据备份系统设备配置： 备份软件 数据备份存储设备 备份服务器 XXXXXXXX 机房机房 规划建议书规划建议书 17/ 38 第第 2 2 章章网络规划建议网络规划建议 2.1设计原则设计原则 设计要求具有高性能、高可用、安全性、扩展性和可管理性，链路为主干千兆、接入百兆，主 要应遵循以下原则： 高性能原则：高性能原则：充分考虑业务发展的需要，关键设备保证未来 3-5 年的业务运行需要，符合技术 发展趋势。 高可用原则：高可用原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充 分的冗余备份，最大限度地减少故障的可能性，保证网络能在最短时间内修复。网络系统的可靠性： 支持 1+1 冗余交换引擎 冗余、负载均衡电源（AC 和 DC） 冗余链路 包括电源、风扇、引擎、线路板模块、交换背板在内的所有系统单元都可热插拔，如元件增加、 转移或替换，而不会导致相关业务中断。在双重交换引擎配置中，为了保护关键应用，需要在最短 的时间内将交换机控制转换到冗余交换引擎上。所有系统单元都可现场替换，从而实现了最大服务 性和最少的网络停机时间。 网络应能承受元件、链路、电源以及其它类型的故障。网络必须围绕这些故障收敛，自愈，而 不干扰网络运行并使网络业务的中断最小化。一方面，网络应该能够完成所有这些任务，另一方面， 它还要十分简单，以使一般网络管理人员都能配置、监视并管理网络环境。提供网络冗余的设备在 网络正常运行状态下还要对网络有其他好处，比如负载均衡等。 安全性原则：安全性原则：生产环境中存在工业生产线，对安全级别要求很高。系统应能提供网络层的安全 手段防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。 扩展性原则：扩展性原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽 和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能 保护现有的投资。 可管理性原则：可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系 统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和 故障诊断。 XXXXXXXX 机房机房 规划建议书规划建议书 18/ 38 XXXXXXXX 机房机房 规划建议书规划建议书 19/ 38 2.2 网络设计拓扑结构网络设计拓扑结构 根据业主意见，网络分为 2 套方案，IP 和 FC 的隔离一套、融合一套。 纯 IP 网络拓扑如下： IPSAN 网络拓扑如下： XXXXXXXX 机房机房 规划建议书规划建议书 20/ 38 2.3 网络总体规划网络总体规划 根据标准的网络分层分区建设方法，将网络的可靠性、安全性、先进性、易维护性、可扩展性 发挥到最好，从而最终实现建设完善和先进的数据中心的目的。 同时考虑整个系统的冗余性和可靠性，整个网络采用冗余结构和分层分级的设计思路进行。 由于工业生产线的自动化要求高，系统要求稳定，安全，建议采用两套网络，一套主要用于工 业系统及相关的工业需求，一套主要用于 PI、ERP 等办公使用网络，两套网络物理隔离，之间通过 防火墙实现访问。减少病毒、办公网络环路和攻击存在的风险。 由于 XXXX 园区规模较小，工业系统及信息系统应用，工作人员网络需求较少，建议按照二层 结构进行规划建设，即核心和接入两个网络层次，出于保证网络核心（层）的可靠性以及网络分流 等因素考虑，局域网设计冗余核心交换机。 2.3.1 核心层设计核心层设计 核心层负责整个网络的数据交换，同时也是整个网络的路由交换中心，全网绝大部分第三层的 转发交换都通过核心节点集中进行，为保证核心节点的高可用性，核心节点采用双机备份方式，设 计工业网络和办公网络核心层各配置两台高性能的核心路由交换机，它们之间通过两条 GE 捆绑实 现互连，流量在捆绑的多条链路上负载分担和备份。两台核心设备构成双机冗余热备结构，达到无 单点故障的目的。这样任意核心节点都可以成为是业务的主要汇总中心，核心节点与汇聚节点之间 形成全冗余连接，以增强整体网络的容错和故障隔离能力。其中工业网络核心交换机设计为双引擎， 故障发生后一分钟内完成 failover 切换。 本次设计中核心层负责汇聚园区的数据交换使用，同时负责上联核心交换机，下联用户接入层 接入，能够达到线速转发，具备高速上行接口，保证今后 5 年的业务扩展能力。具备 OSPF、BGP 等路由协议的三层交换机，适合后续网络发展的大方向。在设计时一般都是将不同部门划分到不同 的 VLAN 中去，为了便于部门内 ACL 策略的统一下发和管理，要求支持 VLAN ACL 的功能，方便简 单。同时要求支持 DHCP Snooping、支持动态 ARP 检测，防止中间人攻击和 ARP 拒绝服务等防止攻 击的特性。 2.3.2接入层设计接入层设计 在接入层面，考虑到从用户接入起就需要有较强的访问控制，要求交换机必须具备端口限制接 入功能，能够支持通常的数据过滤、流量限速等功能；为增强接入层的安全，还可考虑重要区域接 XXXXXXXX 机房机房 规划建议书规划建议书 21/ 38 入层设备支持 DHCP Snooping，防止内部人员在局域网私设 DHCP 服务器，扰乱网络 IP 地址的分配， 增强网络抵御攻击的能力，支持动态 ARP 检测，防止中间人攻击和 ARP 拒绝服务，在接入层能够 防止内部局域网的 ARP 攻击，防止病从口入。 2.4 Firewall 防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流， 且本身具有较强的抗攻击能力。同时，它还可以起到 NAT 网关的作用，防止内网地址外泄。它是 提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和 分析器，可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制，比如一个是用 户的安全网络，称之为被信任应受保护的网络 ，另外一个是其它的非安全网络称为某个不被 信任并且不需要保护的网络 。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过 一系列的安全手段来保护受信任网络上的信息。 企业内部网络通过配置私网地址建立内部互联，对于互联网来说，可以隐藏内网的 IP 地址， 并且在网络边界部署防火墙，提高安全策略，隔离内外网，开启攻击防护策略。如有防护不当，极 有可能由于个别的漏洞而导致整个网络的崩溃，因此针对这些区域的安全防护是要考虑的重点内容。 本次设计中防火墙划分为 4 个区域，安全等级从高到低分别是工业区、办公区、dmz 区和外联 区。防火墙内置了 IPS、VPN、failover 功能，在规划和配置上严格按照需求执行就能实现很高的安 全性和可靠性。 2.5 UTM UTM 安全网关不仅可以对员工访问 WEB、FTP、MAIL 等常用服务的内容进行控制，更可以对 QQ、BT、MSN、SKYPE 等各种 P2P 软件的行为进行限制和控制。丰富的报表功能还可以分析出企业 的 Internet 的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。 基于 Web 的和 LDAP/Radius 集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。 2.6 Anti-ARP 2.6.1 ARP 欺骗攻击的危害性欺骗攻击的危害性 当您的计算机网络连接正常，却无法打开网页；当您的计算机网络出现频繁断线，同时网速变 XXXXXXXX 机房机房 规划建议书规划建议书 22/ 38 得非常慢。这些都可能是由于存在 ARP 欺骗攻击及 ARP 中毒，所表现出来的网络故障情况。 ARP 欺骗攻击不仅导致联网不稳定，极大影响网络的正常运行，更严重的是利用 ARP 欺骗攻击 可进一步实施中间人攻击。如果局域网内某台主机运行 ARP 欺骗的木马程序时，会欺骗局域网内所 有主机和网关，让所有网络流量都经过攻击者主机进行转发，攻击者通过截获的信息可得到游戏、 网银、文件服务等系统的用户名和口令，这种攻击行为就称为中间人攻击。由此可见，中间人攻击 是一种非常恶劣的网络恶意攻击行为。 为什么杀毒软件、防火墙都挡不住 ARP 欺骗攻击呢？主要由于 ARP 欺骗攻击的木马程序，通 常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上 并被激活，或者通过 U 盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升 级，杀毒软件常常会失去作用。 由于 ARP 欺骗攻击，利用了 ARP 协议的设计缺陷，光靠包过滤、IPMAC端口绑定等传统办 法是比较难解决的。 通过对 ARP 欺骗攻击原理的剖析，如果要防御该类型攻击，最理想的办法是在接入层对 ARP 报文进行内容有效性检查，对于没有通过检查的报文进行丢弃处理。在接入层交换机上采取的这种 技术，我们称为 ARP 入侵检测。 在网络实际部署中，有时候不能在所有的接入层部署 ARP 入侵检测。为了防止出现 ARP 中毒 引起的中间人攻击，最好在网络核心交换机或者汇聚三层交换机上部署 ARP 欺骗防御策略。ARP 欺 骗防御可以避免网关设备的 ARP 表被攻击者非法改写。 对于不能在全网接入交换机部署 ARP 入侵检测的网络，不能单纯靠网络设备进行 ARP 欺骗攻 击防御。因为不管是 ARP 入侵检测，还是 ARP 欺骗防御，都不能防止终端主机受到 ARP 中毒攻击， 也不能对发起 ARP 欺骗攻击的终端 PC 进行强制下线惩罚。因此对于不能在全网接入交换机部署 ARP 入侵检测的情况，还需要通过部署端点准入系统或者安全接入认证系统（iMC/EAD 系统） ，进 一步加强 ARP 欺骗攻击的控制和管理。 根据客户实际的网络环境，结合接入交换机、核心交换机，可以为您部署全面的 ARP 欺骗攻击 防御方案。以下就从这三个方面描述如何能做到有效防御 ARP 欺骗攻击的。 2.6.2 接入层交换机部署接入层交换机部署 ARP 入侵检测入侵检测 交换机要防御 ARP 攻击，就必须能够识别并读取 ARP 报文内容，然后根据报文内容判断是否 存在欺骗攻击行为，对于 ARP 欺骗报文进行丢弃处理。 在接入层就是利用接入交换机的 ARP 入侵检测（ARP Intrusion Inspection）功能，进行 ARP 欺 XXXXXXXX 机房机房 规划建议书规划建议书 23/ 38 骗攻击防御。 ARP 入侵检测在接入交换机进行部署，接入交换机同时启用 DHCP Snooping 对 DHCP 报文进行 监测。DHCP Snooping 通过监测 DHCP 报文记录了用户的 IP/MAC/LEASE/TYPE/VLAN/PORT 等信息， 并形成一个 DHCP Snooping 绑定表。交换机端口接收到的 ARP 报文后，通过查找 DHCP Snooping 建 立的绑定关系表，来判断 ARP 应答报文的发送者源 IP、源 MAC 是否合法。若 ARP 报文中的发送者 源 MAC、IP 匹配绑定表中的内容，则认为是合法的报文，允许通过；否则认为是欺骗攻击报文， 就进行丢弃。 ARP 入侵检测能够防止接入终端发起任何 ARP 欺骗攻击，如果全网部署 AII 功能，可有效解决 ARP 欺骗攻击问题。 另外由于 ARP 欺骗攻击，经常伴随者发送大量的 ARP 报文，消耗网络带宽资源和交换机 CPU 资源，造成网络速度的速度降低。因此接入交换机还需要部署 ARP 报文限速，对每个端口单位时间 内接收到的 ARP 报文进行限制，很好地保障了网络带宽资源和交换机 CPU 资源。 2.6.3 核心交换机部署核心交换机部署 ARP 欺骗防御欺骗防御 如果网络中的某台接入层交换机没有部署 ARP 入侵检测，ARP 欺骗攻击就会在该交换机所属的 一个广播域内得逞，这样在局部范围内会发生 ARP 中毒行为，甚至可能会引起中间人攻击。 为了防止因 ARP 欺骗而发生的中间人攻击行为，需要在网络核心交换机交换机上部署 ARP 欺 骗防御技术。ARP 欺骗防御可以避免网关设备的 ARP 表被攻击者非法改写，既避免网关设备发生 2.7 VPN 随着信息化程度的不断推进，越来越多的企业开始享受信息化所带来的高效率和便利，这其中 很多企业在全国各地都拥有自身的分支机构。对于这些企业，对分支机构进行信息化建设，企业网 跨地域互联的时候，会比较注意经济性的考虑，对成本比较敏感。 VPN（Virtual Private Network）具有非常出色的经济实用性，与其他 WAN 解决方案相比，VPN 能够帮助您更加快速经济地实现业务“全球化”，大大降低一般性成本并获得快速的投资回报。通过 VPN，用户可将关键任务应用扩展到远程分支机构和外部网合作伙伴，使企业更具竞争力，并提高 客户服务质量。 VPN 可以说是 Intranet 在公用网络上的延伸，能提供和专用网一样的安全性、可管理性和传输 性能。 企业内部分支机构、移动办公人员，如何能够安全接入到企业网内部也是企业比较关系的问题， XXXXXXXX 机房机房 规划建议书规划建议书 24/ 38 用户可以通过 SSL VPN 或则 IPSEC VPN 的安全加密隧道直接连接到内部网络，解决内部应用系统访 问需求。 SSL VPN：提供方便、快捷的远程安全接入，直接使用浏览器访问内部网络资源，无需安装客 户端软件，主要用于移动办公人员，为用户提供高经济、低成本的远程移动安全接入方式。 IPSEC VPN：通过公众 IP 网络建立私有数据传输通道，将远程的分支办公室、商业伙伴、移动 办公人员等连接起来，减轻企业的远程访问费用负担，并且提供安全的端到端数据通讯。 本次设计考虑通过防火墙做 VPN 网关。 2.8 Wireless 无线网络系统主要由以下两部分组成： 1、 无线交换机(Wireless Switch)； 2、 无线接入点(AP) 目前流行的第三代无线局域网技术采用无线交换网络架构） ，实现了基于无线网络交换机，以 AP 为单元交换的无线网络系统。 第三代无线系统采用了 Wireless SwitchAP 构架，将密集型的无线网络和安全处理功能转移到 集中的 WLAN 交换机中实现，同时加入了许多重要新功能，诸如无线网管、AP 间自适应、无线安 管、RF 监测、无缝漫游以及 QoS 保证。 第三代无线系统不但具有一、二代无线产品所有的功能，并且在无线网的规划、管理、安全方 面都有着与一代和二代产品不可比拟的优势。 1、在无线网络融合到现有有线网络方面，第三代无线系统所独有的三层路由穿透技术可以不 更改原有有线网络的路由设定，使得无线网络的规划和实施非常方便。 2、在无线安全性方面，第三代无线系统同样具备多种用户认证方式、并提供基于用户的状态 防火墙、VPN 加密、无线入侵侦测、无线接入病毒防护功能以及集中的安全管理。 考虑到网络的兼容性和高可用性，本项目无线网络采用第三代无线交换机（控制器）瘦 AP 解决方案。 接入网络部分：无线 AP 通过 POE 交换机提供电源平均分布于办公区域。无线控制交换机、无 线网络交换机管理系统分布于网络核心层，设计采用了目前基于最先进的第三代无线网络技术的无 线交换机对整个无线网路进行统一的管理。可采用两台无线控制交换机实现设备冗余并对全网 AP 进行集中管理和控制，各覆盖区域内 AP 通过有线连接至 POE 交换机，实现了无线集中控制。 考虑到网络的兼容性和高可用性，本次设计无线网络采用第三代无线交换机（控制器）瘦 XXXXXXXX 机房机房 规划建议书规划建议书 25/ 38 AP 解决方案。整个厂区包括物流仓库、月台部署 8 个瘦 AP，生产线部署 4 个瘦 AP，2 楼办公室部 署 4 个瘦 AP，一共 16 个瘦 AP 做全建筑的无线信号覆盖，并统一集中管理。AP 无线有效覆盖半径 30 米-50 米左右，设计图如下： 2.9AAA AAA 认证服务器系统主要用于验证、授权和记账。其主要目的是管理哪些用户可以访问网络服 务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。主要用于 帐号统一管理与认证，并且可以审计外部用户通过互联网 VPN 进行企业网络操作。当认证用户数 XXXXXXXX 机房机房 规划建议书规划建议书 26/ 38 量不多的情况下，可以考虑使用系统本地认证的方式实现安全认证，特点是成本低，工作量大。 本次设计中考虑 AAA 服务中采用外部业主已有的活动目录做相应管理和认证。 2.10 IPS 入侵防御系统 IPS：实现实时检查和阻止入侵的原理在于 IPS 拥有数目众多的过滤器，能够防 止各种攻击。当新的攻击手段被发现之后，IPS 就会创建一个新的过滤器。IPS 数据包处理引擎是专 业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用 Layer 2(介质访问控制)至 Layer 7(应用)的漏洞发起攻击，IPS 能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能 对 Layer 3 或 Layer 4 进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进 行检查，因而也就无法发现攻击活动，而 IPS 可以做到逐一字节地检查数据包。所有流经 IPS 的数 据包都被分类，分类的依据是数据包中的报头信息，如源 IP 地址和目的 IP 地址、端口号和应用域。 每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就 会被丢弃，被怀疑的数据包需要接受进一步的检查。 针对不同的攻击行为，IPS 需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保 准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息 参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。 过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行 过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对 于 IPS 具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。 本次设计 IPS 集