某证券公司中心机房及网络系统方案建议书

XX证券中心机房网络与系统建设方案建议书证券中心房和网络系统方案建议书XXXXXX株式会社目录第一章需求分析41.0总体设计目标41.1应用系统分析51.2网络拓扑要求61.3计算机系统的安全要求71.4网络管理需求7第二章设计原则8第三章局域网103.1局域网设计拓扑103.2中心开关设备选型113.3使用的技术和作用133.4网络安全设计说明173.5局域网设计特点183.6实验室开关选型183.7二次开关选型19第四章广域网程序204.1wan网络拓扑204.2使用技术和应用224.3产品选型224.4证券应用的积极作用234.5中心节点设计23第五章主机系统245.1设计目标245.2主机系统设计245.3制造商选型245.4产品选型245.5特征分析285.6磁盘阵列存储模块的布线图29第六章网络安全系统30第六章网络安全系统316.1广域网安全分析316.2网络安全建议346.3路由器级安全控制43第七章，信息监测系统477.1、IT环境概述477.2系统的目标477.3具体技术要求487.4、技术选型497.5系统管理方案537.6网络管理方案60第八章，磁带机备份系统628.1、引言628.2、需求说明628.3、制造商选择628.4、技术选型638.5、特点678.6系统配置68第九章，弱电防雷系统70第十章，机柜机架，接线71第十一章网络方案特点7311.1高性能网络系统7311.2网络设计的灵活性7311.3支持各种网络协议和应用7311.4可靠性7311.5安全性7311.6易于管理和维护7311.7支持多媒体73第十二章，项目组织和质量保证7512.1项目小组成员、主管和经历7512.2进度控制和质量保证和措施7512.3售后服务承诺和附加服务内容7612.4网络工程的检验和交货76附录，公司介绍79第一章需求分析XX证券总部是XX证券有限责任公司投资银行总部、资产管理总部、证券投资总部、研发中心等业务总部的日常办公地址和计算机中心。 为协助业务开展，需要建立快速、安全、可靠的网络系统平台。 其中行政事务信息点数为300分。 机房信息点总数为250个。 从业务部门的角度来看，必须满足以下系统的运营需求资产管理和证券投资业务系统，包括行情系统、交易系统证券信息开发系统(实验室等)服务器性能和系统监控弱电防雷建设切实与其他各营业部进行连接备份。其中证券交易系统的申报数据经当地营业部或直接经双向卫星送交交易所。本方案建议书主要包括以下方面的内容1、总部局域网设计建设2、总部广域网设计建设3、总部主机系统4 .数据备份系统5 .信息监测系统6、弱电防雷系统7、机柜机架和布线系统设计以满足XX证券总部现在和未来的业务发展和管理为设计目标，系统设计整体以总部局域网设计、数据备份系统、网络安全设计和系统冗馀设计为系统设计整体的重点。1.0总体设计目标技术的先进性，用技术在今后3年到5年内不会落后。 符合信息技术的发展方向。满足我国证券业电子化、网络化、智能化、集中发展趋势的要求。重点建设互联网通信基础设施平台，为上层业务系统提供良好的基础支持。1.1应用系统分析XX证券在全国有30多个营业部，总部负责统一管理、信息开发。 本部预计信息分数多。 其总部网络涉及财务系统、交易系统、行政办公室系统、互联网系统等多个子系统。系统必须满足以OA和业务系统的数据流为主的应用。 网络架构必须支持OA/业务数据流的应用。 系统可以实现资源共享和信息流的无阻塞流畅。 包括文件传输、WEB访问、邮件传输、行情查询、内部网/extranet应用等。 为未来的VoIP、VOD、视频会议等应用程序需求做好升级准备。 因此，所采用的设备支持TCP/IP和SPX/IPX协议，支持多种路由协议，同时支持局域网和wan多媒体应用技术，如IP多媒体、QOS和RSVP 提供足以使OA、业务数据流、多媒体应用程序的实现成为可能的带宽。因此，在网络设备能够满足企业级应用的同时，主干交换机不仅能够满足当前应用，而且能够与未来的系统扩展相对应地维持一定的扩展能力和适当的灵活性，有助于网络扩展和添加新功能XX证券总部的网络系统已经建成，因此这次搬家和改建，网络系统需要顺利过渡，因此提出以下建议1、在原本部系统运转的状态下，建设新本部，将一部分业务部门转移到新本部。 主要支持电脑的主要设备，广域网的接入部分，主要的功能服务器等，原本的总部保持着，但是把ISDN拨号备份的备份部分转移到新的总部。2 .新总部除电脑外功能完备，系统稳定运行后，电脑设备转入新总部，在所有设备转入新总部之前，原总部停止运行，wan接入设备转入新总部。3 .系统并联运行时新总部与原总部之间建立宽带或高速专线连接，保证所有业务系统正常运行4 .广域网接入设备转移至新总部时，事先连接电信部门的光纤，最终转移时，将光纤分配器、路由器等设备转移至新总部，实现向营业部的透明转移。5、网络交易部分、深圳、上海卫星和委托接收系统、法人清算系统等正在向新总部转移6、其他信息处理系统、办公室、财务等服务器一次迁移到新总部办公室。1.2网络拓扑要求网络拓扑需要满足通信的要求：主要能够满足业务和事务系统的数据通信，采用适当的网络通信技术使网络逻辑容易收敛，迅速完成业务数据流的通信。网络拓扑结构应当满足网络管理的要求：主要容易在整个网络系统中管理所有设备，结构清晰、易于扩展。网络拓扑应当满足网络稳定性的要求：主要是不会因为在整个网络系统中避免单点故障、某些设备的损坏而使整个网络瘫痪。XX证券总部网络系统应采用千兆网络主干网，将百万亿换成台式机。 因为总公司存在很多应用，保证各应用系统的稳定快速运行是完成网络设计建设的重点。XX证券公司分布在全国十几个省、自治区和直辖市，营业部所在城市分布比较分散，部分城市有多个营业部。 整个网络结构必须满足分布式交易、网络通信、网络管理、系统冗馀等要求。网络系统对通信系统的要求主要能够满足IP多业务网络平台系统的数据通信，采用合适的网络通信技术加速网络逻辑拓扑的收敛，数据通信到达目的地并完成任务请求。网络系统冗馀主要在提供服务到完成服务的端到端实现系统级冗馀，广域网结构冗馀主要是网络设备和链路冗馀。网络拓扑必须满足网络管理要求，并在允许带宽的情况下管理所有连接到广域网的设备，或者分布式管理所有网络设备。广域网的拓扑可以采用单点放射状、双节点冗馀连接放射状、或多干节点冗馀连接。由于第一种结构存在单点故障，中心节点失败，停止整个系统的服务，在证券系统中停止服务是非常可怕的，因此提议对不理想的第二种结构的基干节点使用双节点，可以提供互备份冗馀服务，投资合适的第三种结构是完美的，但投资很大因此，提出用双骨干节点构建XX证券IP多业务网络平台的广域网拓扑。 例如在北京和上海分别设立数据中心和数据备份中心，提供多服务平台整体的中心和备份中心，提供集中服务。网络系统的链路冗馀可采用双链路结构，所有营业部通过专线与广东总部连接，将ISDN作为备用线路，将ISDN与备用中心连接。1.3计算机系统的安全要求由于总公司存在多个业务子系统，一些业务比较保密，非常重要。 例如，财务系统不能因办公网络故障(误操作、病毒、非法入侵等)而引起数据丢失或篡改。 因此，必须在两个子系统之间提供有效的隔离，以确保各子系统之间的通信灵活、有效地受到控制。1.4网络管理需求网络管理的目的是提供计算机网络规划、设计操作、管理、监控、分析、控制、评价和扩展等手段。 因此，以合理的成本组织和利用系统资源，提供正常、安全、可靠、有效、充分、用户友好的服务。网络管理系统必须满足以下要求：1 )首先，网络管理系统必须具有同时支持网络监控和控制的能力。 网络监视功能是用于掌握当前运行状态的功能，网络控制功能是影响网络运行的措施。2 )尽可能广泛的管理范围。 应用层功能应当不仅管理点对点的网络通信，而且还管理端到端网络通信基本网络设备。3 )尽量减少系统开销。 管理尽可能多的协议层和尽可能大的范围以增加系统开销为代价。 应根据实际情况统一、合理分配和选择网络管理范围和必要的系统开销。4 )容纳不同的网络管理系统。 集中网络管理系统应尽可能容纳不同的网络管理功能，形成所有网络的统一管理和运行机制。 XX证券网络系统的管理将在下一章结合整个网络系统进行详细说明。第二章设计原则XX证券总部网络系统：是基于以下原则设计的：1 .实用性在考虑整体网络设计时，尽量从经济实用的角度来考虑。2 .先进性设计立足于先进技术，采用最新技术，适应业务数据流传输和多媒体信息传输。 保持系统整体在国内3至5年内领先水平，为应对未来网络技术的发展，具有较大的发展能力。 使用主要网络产品保证用户投资。3 .可靠性网络整体方案选择了可靠的网络设备，在设计上采用了从物理层、链路层到网络层的冗馀设计，保证了网络的可靠性。4 .网络安全使用合适的安全技术，从应用中实现整个基础系统的安全，保证系统的端到端安全，确保各系统之间的安全访问5 .易于管理和维护该网络系统应该易于管理，可以通过网络管理工具轻松监控网络运行状况，及时解决出现的问题，及时优化网络系统。 此外，网络设计应采用简单易用的网络技术，降低维护运行的费用。6 .支持多媒体现在越来越多的网络应用是语音、图像等多媒体应用，多媒体应用对服务质量要求很高。 例如带宽、延迟、延迟变化等。 必须利用ip QoS、IP多播等技术保证多媒体服务。7 .符合国际标准网络的设计应采用符合国际标准的技术和标准的设备。 这样就容易保护投资8 .可扩展性网络设计不仅要满足当前的需求，还要留有馀地，保护用户的投资。 系统业务扩张后，系统的扩张很容易实现。9 .高性能为了满足业务快速增长的需求，在设计时考虑到网络带宽，性能不仅需要满足当前需求，还需要满足未来几年对数据量的要求，并满足系统功能的扩展10 .可管理性系统可以通过控制台方式轻松监视系统的各资源。 可进行资产管理和各种服务器性能监视。第三章局域网3.1局域网设计拓扑结构中心选择两台CISCO Catalyst6509交换机进行中型千兆位交换，并提供到l2交换机和服务器及其他关键设备的连接。 第2级交换机使用catalyst 2950系列交换机。总公司网络系统的管理一般涉及网络设备管理、网络用户、资源管理。 网络管理建议是CISCO WORKS 2000网络局域网拓扑图如下：选择以下设备配置提供以1.2台Catalyst6509为中心的高速千兆位交换机，6509配置双电源，配置48端口10/100M二次交换机连接，使用16端口GBIC千兆位模块作为服务器和二次千兆位交换机连接将2，6509引擎三层交换功能用于VLAN之间的路由，使用HSRP技术来确保任何主交换机都会出现问题，并且所有服务器和在线工作站都能够继续工作。3、所有子网网关都设置在6509引擎的三层模块的集成千兆端口上。 千兆端口配置TRUNK使用CISCO子接口技术为所有VLAN提供网关。4 .使用ACL控制功能在不同VLAN之间提供全向访问。 例如，其它子网不能接入财务子网，而财务子网可以接入行情服务器。5 .其他信息点利用与Catalyst2950的传统2924交换机连接来提供10/100M桌面交换机，从而以冗馀方式与核心交换机相连。 实现UPLINKFAST功能，在网络拓扑变化时实现高速切换，确保网络的可用性。6 .机房使用两个Catalyst 2948G来提供对10/100M速度要求相对高的转换功能。7 .使用ACL控制功能在不同VLAN之间提供全向访问。 例如，其它子网不能接入财务子网，而财务子网可以接入行情服务器。8 .所有网络交换机连接工作站、服务器端口使用CISCO专用主机通信优化技术实现工作站和服务器到网络的高速连接。9 .通过夸张的交换机对网络进行分割，VLAN间通信通过三层交换来实现，同时通过ACL (二层MAC和三层访问控制)来实现VLAN间访问控制。10 .使用路由器的静态ARP和MAC安全设置实现本地网络站的MAC和IP地址规范，以禁止非法站点访问网络。3.2中心开关设备选型基于网络系统建设