集团IT网络架构规划报告

1、集团IT网络架构规划报告技术创新，变革未来目录集团信息化目标蓝图1. 集团IT蓝图规划思路2.集团IT网络架构规划本次项目，将按照德勤的成熟方法论进行IT蓝图规划蓝图规划设计思路业务模式业务IT信息化蓝图规划业务及信息化协同行业参考信息化需求业务目标战略愿景业务架构基础架构IT愿景项目群/项目总体实施计划规划实施保障实施预算业务战略应用架构数据架构基础架构治理架构信息安全业务架构345621应用架构数据架构治理架构承接第1阶段梳理的信息化总体需求及业务架构，结合行业经验，分析未来集团应用架构、数据架构、基础设施架构和信息化治理架构，形成未来集团整体信息化蓝图。目录集团信息化目标蓝图1. 集团I

2、T蓝图规划思路2.集团IT网络架构规划未来集团将对现有系统进行升级并不断部署新的应用，打通公司内部所有系统，并与外部系统对接，实现信息的自由流动与共享，对IT基础设施提出了相应要求4可靠性能够支撑应用系统顺畅运行，减少中断次数，使最终用户有良好的体验满足业务处理的需要，具备提供247365的全天候服务的能力开放性支持业界主流标准，用户可自主选择技术方案可扩展性按需扩展，随着用户数和模块功能的增加而能够进行水平扩展，保护现有投资至2020年系统整体架构不用进行大的变动，支持未来建设电子商务的需求；安全性要求能够保证企业信息系统安全、数据安全高可用性具备容灾能力，满足业务连续性要求因此需要体系化地

3、规划相应的IT基础架构，适应未来应用系统整体架构的建设需要，企业的IT基础架构包括以下部分5网络局域网、广域网、互联网数据中心服务器、终端、存储机房及相关设备容灾备份备份与灾难恢复信息安全业务架构应用架构基础设施规划基础设施规划主要包括数据中心规划、网络规划、容灾备份和信息安全规划四部分行业最佳实践集团实际情况内控要求德勤方法论技术发展与趋势国际标准与规范未来架构演进路线现状及建设建议集团信息化系统总体架构统计与经营分析企业门户业务运营运网资源管理业务运营管理计划调度管理战略决策战略及绩效管理经营计划与预算管理投资管理职能管理整车零部件分装制造零部件分装制造整车其他其他企业集成平台数据共享平台

4、基础设施平台企业服务总线业务流程管理服务器网络存储容灾与备份信息安全数据中心数据清洗数据交换三大平台三类应用SRM供应商关系管理CRM客户关系管理ERP综合事务管理质量管理销售订单管理技术/研发管理计费结算管理内控/审计与风险H.S.E.基础数据管理IT服务管理财务管理设备管理采购管理工程项目管理人力资源管理合同管理成本管理监管服务管理生产服务管理运输服务管理关务服务管理物流金融服务管理仓储服务管理IT基础设施架构规划总体原则7总体指导原则基础设施架构体系以业务为导向，满足当前业务需求，适应并保障未来业务发展基础设施架构体系必须符合外部法律法规及相关规范的要求采用统一规划、统一采购、统一建设、

5、统一运维的方式，形成规模效益，结合虚拟化技术，降低公司信息化建设成本业务导向合规保障 成本控制统筹集团信息化建设所需的技术资源，适当的利用外部信息化资源和云计算平台 资源共享系统冗余化采购标准化技术虚拟化资源共享化管理集中化IT基础架构原则安全制度化架构原则的目的：确立集团公司在IT基础架构、IT安全建设过程中需要遵守的原则，形成合理的技术体系和管理制度，为业务发展提供信息化技术和信息化安全保障IT基础架构规划原则如何执行IT基础架构原则新的标准机房建成之后，将原有的服务器集中迁移到新的数据中心，进行统一管理在网络设备/服务器/客户端等采购中选择固定的不超过3个供应商品牌，提高采购执行的标准化

6、程度应用服务器虚拟化技术，提高计算资源的共享化水平，降低投资成本，提升资源有效利用率，实现对资源需求的弹性支撑关键主机及网络设备进行冗余化设计，减少单点故障给企业带来的损失设计容灾备份与灾难恢复总体方案，完善容灾备份与灾难恢复计划，制定容灾备份与灾难恢复计划相关的管理办法与实施细则参考完整的安全技术体系，建立信息安全管理制度和应急流程，逐步完善网络安全、身份认证等安全系统管理集中化采购标准化技术虚拟化资源共享化系统冗余化安全制度化IT基础设施的管理，包括数据中心、网络、服务器、存储、备份等集中由总部信息化部门负责IT基础设施的硬件采购标准化，品牌选择，包括服务器，客户端等，不应超过3个供应商品

7、牌应用服务器、存储、客户端、网络的虚拟化技术，确保技术资源的灵活性、高可用性、安全性公司内部IT基础设施资源完全共享，设备资源灵活调度，提高设备利用率和重用度，降低TCO在核心网络设备，核心业务应用上上采用冗余技术，缩短宕机恢复时间，提高可靠性借鉴国际国内相关标准。通过明确的信息安全标准制度，使信息安全工作有据可依通畅的网络是现代化企业生产运行和经营管理的基础；集团的网络规划覆盖总部和直属单位，包含广域网、局域网、互联网、VPN及无线网五个方面9广域网：覆盖全国所有直属单位的广域网局域网：业务单元内部高带宽的局域网互联网：与互联网的连接VPN：通过VPN提供方便、安全的网络接入无线网：为无线用

8、户提供无线接入服务总部园区网(数据中心)直属单位网(分子公司等)以集团数据中心为核心、集团统一管控的二级网络体系集团网路建设的现状及问题10广域网集团广域网分为三部分：1，通过专线直接与重庆本地分子公司形成广域网；2，通过DMVPN与外地分子公司形成广域网；3，通过长安网络与各项目形成广域网络；通过线路备份保障畅通未通过防火墙分区进行屏蔽管理局域网核心交换设备为双路千兆以太网架构，降低单点故障通过VLAN对网络进行了分区管控，但网络之间（办公网和生产网、测试网）未通过防火墙进行隔离互联网INTERNET出口经过防火墙,数据流量实施QOS；办公和生产流量进行区分控制部署IDS设备，应对安全攻击三

9、个运营商多链路互备，降低互联网连接中断风险未划分DMZ区域，系统安全性可能会受到威胁VPNIPSECVPN实施3des加密VPN设备只有一台，可能会出现单点故障无线网安全上，WIFI实施802.1x+PEAP验证对申请接入和使用没有明确的制度规定，以及相应的惩罚措施；硬性建设1，采用了主流、先进的技术设备，考虑了效率、安全与投资的平衡，只是在某些细节上还存在进一步完善的空间软性建设1，制度层面：一些管理制度、管理流程的制定和落实上存在欠缺2，集成层面：没有统一监控平台，不同厂商设备采用不同方式监控；网络监控平台暂不具备报表功能。长期监控数据分析困难，准确性较低3，人员层面：核心技术人员只有一个

10、，存在技术风险建设现状现状分析网络建设的一般性要求11需求说明可靠性可靠的网络是数据传输的保障，由于未来集团的各项业务应用都依赖于网络的传输，因此要确保有足够的带宽和冗余，最大程度的保证网络通畅和可靠安全性在网络传输可靠的基础上，要确保网络数据的安全，防止外部的侵入以及数据的泄露，这需要建立一整套的安全体系，具体请见安全规划部分扩展性业务数据的带宽要求会随着业务的变化而变化的，当前的带宽设计预测主要是为了满足未来5年的业务需求，这就要求选择专线时要考虑其可具有的扩展性，可以在业务高速增长时进行简单易行的带宽扩展可管理性对网络实行集中监测、分权管理，统一分配带宽资源，选用先进的网络管理平台，具有

11、对设备、端口等进行管理、流量统计分析，提供故障自动报警高性价比高性能在考虑高性价比的基础上，最大限度的考虑网络性能的发挥，包括带宽、网络设备等先进性网络的设计要基本体现当今网络技术的先进水平，要尽可能的利用先进和成熟的技术，并符合网络发展的趋势标准化在园区网的设计中，无论是专线的选择还是路由交换设备的选型以及路由协议等都要体现标准化的原则，或遵从标准化的趋势QoS服务质量保证保证对统一的网络带宽资源进行合理调配，在网络发生拥塞时，保障关键征管业务的传输，提供对数据传输的QoS以及优先级控制，保证服务的质量投资保护在设计过程中要结合现状充分考虑保护现有的投资，节省成本广域网建设建议12集团广域网

12、连接总体采用树型拓扑结构；总部与各分支机构广域网采用星型连接方式专线带宽可以平滑升级；线路带宽升级时，集团不需增加新的接口设备对于总部及各分子公司之间的网络，使用多链路连接。多条链路向不同的运营商租用。链路带宽根据实际业务量确定基于经济考虑，对于部分规模较小的分支机构，可以考虑通过互联网或VPN接入作为链路备份广域网整体架构技术先进，但是规划和管理仍有提升空间。例如：没有完善的监控体系，没有建立基于ISO20000的运维架构等等局域网建设建议13局域网建设和管理的主要挑战是：1，提供服务器所需的带宽，以平衡局域网的总体负荷，并随着业务需要的调整而更新配置；2，支撑集团在五年内在应用上和业务量上

13、大规模的增长局域网架构的典型特点。各局域网的布局和需求互不相同，但这些特点必须以满足网络需求、优化网络服务为宗旨：通过交换机控制，连到桌面的带宽为100/1000M将交换机集中管理，实现云化，并通过虚拟网管理这些连接局域网设备必须符合开放原则，具有允许带宽升级的灵活性应使用便于管理的网络中心和交换机，以利于中央网络的管理使用TCP/IP作为主要的网络协议用Cat-5E/6 网线或光缆配线（单模）支撑未来的云计算局域网架构未来数据中心的云计算服务器组网规模超过一定数量之后，需要有支持IETF标准协议TRILL的交换机组成大二层网络。传统的三层组网模式超过两百台服务器丢包率上升，吞吐率下降底层配线

14、中心底层配线中心数据中心核心局域网交换机建造配线分送中心底层配线中心局域网节点局域网节点局域网节点路由器园区网/广域网连接局域网建设规划14集团局域网建设符合相关标准和规范，数据中心局域网采用双星架构，形成接入、汇聚、核心的三层网络层级；并根据不同的功能域进行了分区管理，降低核心交换流量，提升了整体性能建立网络分区，例如生产区、开发测试区、日常办公区等，区域间使用防火墙进行隔离部署公司内部的IP电话系统和视频会议系统，实现基于网络的通讯，节约成本数据流动局部化，仅跨区域的交换数据传送到核心交换机，降低核心交换机的负荷随着云计算服务器增加，需要将数据中心组网扁平化，采用TRILL的大二层网络架构

15、组网数据中心内以双路万兆以太网连接，生产区双路接入层交换机，减少单点故障双层防火墙间设置DMZ区，放置因特网服务器，提高内网安全性互联网规划要求15与大多数公司类似，在集团内部，互联网通讯是在城域网中增长最快的一种通讯。如果管理不好，将导致如下问题：不合理或低效的连接安全隐患生产力的损失在技术方面，集团需要审查与业务合作伙伴通过互联网对接的总体设计；在连接处需进行通讯分析，还应发展替代方案以优化通讯。为实现这些目标，需要在园区网网络中心建立统一的外部接入区，还应通过防火墙和代理服务器来实现网络访问控制；必须坚持由集团统一管理所有外部连接，以避免安全隐患。互联网的必要性：1，与业务合作伙伴的紧密

16、协作，通过互联网（Internet）进行信息交流；2，基于互联网的手持终端扫描设备的使用，在集团业务中发挥着重要的作用；互联网的畅通已经是业务运转必要条件Ethernet交换机Internet防火墙骨干网路由器交换机防火墙路由器互联网规划建议16链路备份：铺设两条或以上出口链路，出口链路采用不同的互联网服务供应商，互联网接口统一管理。带宽根据各应用系统实际需求情况进行估算并调整。住宅（宿舍）用户网使用单独的互联网访问出口，不能与公司集团广域网有物理连接，保证广域网的安全。移动办公需求可使用VPN等方式接入使用双层防火墙架构保障信息安全。所有用户和数据中心通过第一层防火墙连接到DMZ区的代理服务

17、器，而代理服务器通过第二层防火墙连接到互联网集团互联网架构比较先进，建设充分考虑了可用性、安全性，例如双链路接入、分层防火墙、IDS设备等；但也有一些不足，例如互联网访问速度较慢，有时存在断线情况；基于互联网的重要性，建议加强软性建设：1，基于流量分析和业务量预测预估并规划互联网带宽需求；2，定期从外网进行扫描，评估互联网服务器安全性；3，培养网络安全人才，做人才储备和备份移动办公的解决方案-VPN17VPN可以提供方便的移动接入方案通过VPN技术，可以解决移动用户或出差在外员工对企业内部网或外部网的远程访问。远程访问 VPN 能使这些用户随时、随地以其所需的方式访问企业资源；其他业务合作伙伴

18、也可以通过VPN技术迅速、方便地和集团集团建立数据连接；VPN可以提供低成本的移动接入方案提供通过 Internet 访问公司网络内部资源的方法，降低长途、大型 Modem Pool 和技术支持的费用；VPN可以提供安全的移动接入方案通过选择适当的IP隧道协议（如IPsec、PPTP、L2TP、L2F等等），可以有效地保障用户的数据在公共IP网络（如Internet）的传输是安全可靠的；通过选择适当的校验方式，还可以进一步保证数据的完整性，即保证数据在网络上传输的时候，不会被人篡改。VPN远程访问互联网时代，移动办公已经成为一种趋势；国际、国内大型公司一般都提供VPN接入方式集团不仅仅实现了基于Internet的VPN接入方式，还与运营商合作，实现了基于3G网络APN模式的VPN未来集团网络架构规划18路由器汇聚层交换机核心层交换机接入层交换机应用服务器防火墙1，核心网2，内部专线接入3，互联网接入4，VPN接入5，互联网服务区数据中心（生产网）异地灾