网络安全设备系统集成方案

..>--.--考试资料.网络设备、网络平安设备、效劳器和存储系统集成..>第一章投标函致：***公司**公司(投标单位全称)授权**(全权代表姓名)***(职务、职称)为全权代表，参加贵方组织的**(招标、招标工程名称)招标的有关活动，并对网络设备、网络平安设备、效劳器和存储设备货物进展投标。为此：1.提供投标须知规定的全部投标文件：投标书技术方案文件正本1份，副本6份；商务文件正本1份，副本6份；投标书资格证明文件正本1份，副本6份2.投标货物的总投标价为(大写)：**元人民币。3.保证遵守招标文件中的有关规定和收费标准。4.保证忠实地执行买卖双方所签的经济合同，并承担合同规定的责任义务。5.愿意向贵方提供任何与该项投标有关的数据、情况和技术资料等。**天内有效。7.与本投标有关的一切往来通讯请寄：投标单位名称：**地址：**：**：**：**全权代表姓名：〔签字〕职务：**第二章工程背景2.4.2现有网络根底目前，*部局域网除太重铸锻各分厂外，已根本建成和连通。网络主干带宽为100M，铺设的光纤以单膜4芯为主，主交换设备Cisco3550EM，各单位使用的交换机以二层交换机为主，大多数交换机不支持标准网管，给网管人员带来很大的不便，且使用品牌较杂，主要有华为、神码、D-Link等。现有网络设备性能过低，根本不具备平安控制功能，无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。第三章工程需求分析本次工程就是为了满足信息化建立需求，建立太重信息化应用的支撑平台，内容包括：平台的整体架构设计；数据中心机房建立；效劳器、存储系统、网络、平安等设备的选型和采购；系统的集成；网管体系、平安体系、运维体系的建立。针对标段二中的设备和软件，系统地具体需求为： 针对本次工程建立的特点，系统需要保证业务7*24小时的连续性，可用性。因此本次系统建立的总体需求有：可管理性实现设备的自动化远程管理控制。实现人员上网的自动化管理控制无单一故障点从主机硬件配置、网络设备、网络线路、网络协议、路由协议等方面都要考虑到系统的可靠性、可用性，保证系统的整体冗余；建立先进的数据存储和备份管理系统，保证数据的完整性、可用性、可恢复性。主机配置：内存容错、硬盘RAID技术、网卡〔HBA卡〕冗余、冗余风扇电源网络设备：背板冗余、电源冗余、VRRP实现交换机之间冗余网络线路：多条线路之间的负载均衡、故障切换网络协议、路由协议：采用主流技术，实现故障自动切换。存储系统：采用SAN冗余构造，配置冗余控制器，数据管理控制软件。容灾系统：建议目前采用数据级的容灾，实现数据的高可靠性。高性能由于业务的特点，应用处理再特定时段会出现处理顶峰，这就对数据传输带宽、效劳器、存储系统提出了很高的要求。 4、备份及容灾实现为保证数据的完整需要进展数据的平安保存和快速恢复，在业务顶峰时，需要同时兼顾业务处理和数据备份，对存储设备和备份系统提出较高的要求。目前，*局域网除太重铸锻各分厂外，已根本建成和连通。网络主干带宽为100M，铺设的光纤以单膜4芯为主，主交换设备Cisco3550EM，各单位使用的交换机以二层交换机为主，大多数交换机不支持标准网管，给网管人员带来很大的不便，且使用品牌较杂，主要有华为、神码、D-Link等。现有网络设备性能过低，根本不具备平安控制功能，无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。网络现有构造和拓扑如以下列图：针对目前网络的现状主要存在以下问题：1、随着网络规模的扩大，对网络核心的处理能力提出了很高的要求，需要提供高达数百G的交换容量和数百M的转发速率。2、ERP应用有大量的数据在网络进展传输，并且在特定的阶段有传输顶峰的出现，对网络带宽提出了很高的要求。3、ERP系统需要大量的主机运行平台，为了实现用户对效劳器的快速访问，需要建立一个效劳器区，实现效劳器的集中访问和管理。4、为了保证网络的运维管理，所有网络设备必须支持网络管理，并且支持VLAN划分以及802.1*认证，实现对端口级别的管理和控制。5、利用原有的局部交换机，实现与老系统的互联和统一管理。ERP效劳器设计的范围包括太重集团ERP工程的所有模块，即Oraclee-BusinessSuiteR11iV11.5.10。在试点工程实施的模块为OracleEBSR11i的财务管理、生产管理、销售管理、采购和供应管理、库存管理、人力资源管理及商务智能。ERP系统对于主机运行平台的需求：1、ERP工程牵涉到的单位多，访问用户量大，访问频繁。2、软件采用集中模式，对核心的生产效劳器的性能有很高的要求。3、为了保证生产系统的稳定，所有的软件必须要在测试环境中经过验证后，才可以上线运行，需要准备一套开发测试以及内部培训的环境。4、由于系统需要7*24小时的不连续运行，对效劳器的可靠性要求很高。5、所有效劳器都要具有很好的扩展能力，保证未来的3-5年内的性能扩展。6、实现与网络系统和存储藏份系统的连接。数据库效劳器负责进展数据的处理，而应用效劳器负责与前端客户机的联系，承受处理请求并进展相应处理。ERP数据库效劳器、应用效劳器支持最大扩大至16路CPU，256G内存来增加系统性能，数据库效劳器与应用效劳器互为双机热备。因此，作为数据库效劳器的机型应具备较高的可扩大性，单机性能至少应能满足3年内的扩展要求。配置前提条件：预计有500用户使用OracleEBS应用系统此系统配置采用集中模式，即包括集团公司，下属子公司/分公司的用户安装一套数据库和应用软件，即生产环境。数据库效劳器和应用效劳器分开配置，提高性能。数据库效劳器软件配置：OracleApplication11.5.10Oracle9I()EnterpriseEditionWorkflow2.6应用效劳器软件配置：Developer6i(FormsServer,ReportsServer,Graphics6i)OracleJRE1JDK1.DiscovererServer(Optional)数据库效劳器、应用效劳器根本配置要求：用途：核心数据库效劳器，应用效劳器选型：小型机，支持SMP数量：2台工作方式：数据库效劳器节点，应用效劳器节点每台效劳器主要配置要求及对应数量如下：工程当前配置要求可扩大性CPU≥4Core64位CPU〔主频≥〕至少可扩大到16个CoreCPUL2高速缓存需标明实际值L3高速缓存需标明实际值内存≥8GB≥200GB微分区支持扩展插槽(I/O)6≥6个内存、PCI插槽动态再分配功能支持内部磁盘容量146GB(10kUltra320SCSI)×2〔镜象〕≥以太网口2×1000BaseT或2×1000Base-S*64位〔光口〕HBA适配器2×FiberChannelAdapter〔≥4G〕或其它连接方式DVD-ROM1×内置式软件提供Uni*操作系统〔支持无限用户数、简体中文〕及相关系统管理支持软件TPC-C〔当前配置〕≥150,000tpmc≥600,000tpmc处理器到内存带宽≥18GBps三级〔L3〕高速缓存需标明实际值RAID支持RAID1机柜安装2台主机显示器、键盘、鼠标原厂商机柜式显示器、键盘、鼠标，切换器〔支持16套系统以上〕1套及相关线缆电源2×交流220V双电源〔支持负载均衡和互为备份〕售后效劳免费3年〔7*24〕保修效劳ERP系统作为关键应用系统，必须考虑对高可用性的支持，要求效劳器以后可扩展为效劳器集群。随着ERP系统的上线运行，太重的主要业务完全依赖该系统，必须保证系统7*24小时连续运行。3.2.2ERP开发/测试、培训系统效劳器Oraclee-BusinessSuiteR11iV11.5.10系统的配置为三套系统，即生产系统、开发/测试系统、培训系统；客户化工作在开发/测试系统上进展，并进展综合功能测试，通过测试，则移交到生产系统。而开发/测试系统和培训系统的配置以满足需求，经济实用为原则，本次需配置2台一样机型的开发/测试系统和培训系统效劳器，最大用户数为50人，使用模块与生产系统一样。开发测试效劳器根本配置要求用途：开发测试效劳器及培训效劳器选型：小型机，支持SMP数量：2台工作方式：单独运行每台效劳器主要配置要求及对应数量如下：工程当前配置要求可扩大性CPU≥64位2CoreCPU〔主频≥〕内存≥4GBL2高速缓存需标明实际值L3高速缓存需标明实际值微分区支持扩展插槽(I/O)3内存、PCI插槽动态再分配功能支持内部磁盘容量146GB(10kUltra320SCSI)×2〔镜象〕≥以太网口2×1000BaseT或2×1000Base-S*64位〔光口〕HBA适配器2×FiberChannelAdapter〔≥4G〕或其它连接方式DVD-ROM1×内置式软件提供Uni*操作系统〔支持无限用户数、简体中文〕及相关系统管理支持软件TPC-C〔当前配置〕≥90,000tpmc处理器到内存带宽需标明实际值三级〔L3〕高速缓存需标明实际值RAID支持RAID1电源2×交流220V双电源〔支持负载均衡和互为备份〕售后效劳免费3年〔7*24〕保修效劳从以下三个方面来分析太重对存储系统的需求：一、ERP系统实施对数据存储平台的要求1、根底数据涉及面广，获取难度大，收集过程需要不断的抽取、添加、修改和整合，要求数据存储平台能够提供一个稳定、可靠和适应性强的环境，既保证数据存储的平安、可用，又能适应数据的不断增长进展容量、性能和功能等多方面的扩展，更为重要的是，具备一套可随时回退的平安保护弹性机制，满足ERP工程实施对数据平安和使用的特殊要求；2、软件的大量修改测试和数据的反复使用回退，要求数据存储平台能够具备高效、快速的回退能力，可以在大量软件和数据的不同版本中自由的切换，大幅缩短系统开发的过程，加快实施进度。3、实施工作组在系统开发、测试的过程中，必然涉及大量的文件、数据、软件、资料等信息共享和传播的过程，要求数据存储平台能够提供一个资料信息集中共享的场所，并能够为不同的角色定义不同的控制权限，一方面提高实施效率，另一方面也保证资料数据的平安。二、ERP系统上线后对数据存储平台的要求大量的企业ERP工程的实施经历说明，ERP工程上线后常常存在以下问题：软件本身的BUG等问题，导致ERP系统运行的不稳定，甚至数据的丧失；系统流程不标准，需要进展修改、改进ERP系统与其它信息系统〔如PDM、CAPP等〕的兼容性问题显然，ERP工程的实际应用必定会给整个企业带来一个阵痛期，如何保护企业在此阵痛期的业务开展和稳定运作，以及最大程度缩短阵痛期的时间？一个有效的解决方法：利用数据存储平台可回退到任一时间点的特性，使软件、数据可迅速恢复到故障发生之前的时刻，避开不稳定的因素，保持继续运行，同时快速调配相关资源进展攻关，解决系统隐患。另外，为最大程度的保护应用系统数据，并有效降低对系统资源的占用，要求数据存储平台可灵活的制定针对不同性质应用系统的保护策略，如产品业务数据每隔1小时备份一次数据，OA系统每隔3小时备份一次数据，公众效劳每隔一天备份一次数据等。从而充分防止了硬件故障、软件错误、人为误操作、病毒侵袭、恶意攻击等对信息系统的危害，保护企业稳定运作。三、业务开展对数据存储平台的要求稳健开展、技术创新和效益的不断提高，必然对信息化建立的要求更高更严格，可以预见，在不久的未来，仍将有更多的应用系统投入运行，更多的数据信息被处理。因而，对作为企业信息化建立支撑平台的数据存储系统，提出了以下的要求：容量可在线的扩展，能够适应未来数据快速膨胀的需求；性能可同步的增加，能够支持更多的应用系统对更多的数据进展处理；功能可灵活的升级，包括未来对企业园区里多个信息中心建立的支持、数据的园区网内充分共享、重要数据的异地容灾系统建立……总而言之，从太重集团的实际业务和信息系统建立情况出发，太重集团对数据存储系统有以下要求：1、稳定、可靠，无单点故障；2、具备快速回退和切换能力；3、提供测试数据的实时抽取界面；4、容量、性能和功能可按需扩大；5、灵活的数据保护策略。信息化网络建立，涉及与Internet的连接，涉及到与多个下属局部单位的连接。ERP应用、OA应用、WWW应用、FTP应用等等需要针对不同的部门、不同的人员效劳，对网络的平安提出了以下的需求：采用平安控制措施，实现人员的集中管理和控制。采用平安措施，加强对核心效劳器系统的保护。采用平安措施，实现与Internet的平安连接，同时对外提供效劳。采取平安措施，实现网上行为的审计，进展事中、事后分析。实现集中统一的全网平安管理，减轻管理的负担。第四章系统建立目标、原则本次太重信息化建立的主要目标为：建立覆盖本次应用软件系统所涉及的所有单位和用户，利用千兆以太网技术构建高性能、高可靠性、平安、可管理的网络平台。建立满足应用运行的主机存储平台，实现应用的集中部署，实现数据的集中存储、集中备份和管理，实现快速的备份和恢复。建立网络平安管理系统，实现对设备、人员、网络行为、终端设备的平安管理。本次系统建立应满足以下总体设计要求：在系统整体设计中应选用高可靠性设备产品，设备充分考虑冗余、容错能力和备份，同时合理设计总体架构，制订可靠的QoS质量保证策略，最大限度保障系统正常运行。根据未来业务的增长和变化，系统可平滑扩大和升级，防止在系统扩展时对网络架构的大幅度调整。支持集中监控、分权管理，以便统一分配网络资源。支持故障自动报警。设计必须保障网络及设备的高吞吐能力，保证数据的高质量传输，预留出一定的流量增长的范围，保证在可预见的将来满足流量要求，防止网络瓶颈影响整体的系统应用。网络设备采用先进的技术和制造工艺，对于路由协议支持、数据流量分配，抵御网络攻击、高性能方面保持技术领先，网络构造和路由协议采用成熟的、普遍应用的并被证明是可靠的构造模型和技术。支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议，保证与其它网络之间的平滑连接互通，保证与其它主流网络产品的兼容性，以及将来网络的扩展性。针对ERP系统这种关键业务应用，所选择的设备必须要经过长时间的成功应应用检验，具有非常高的市场占有率。建立内容主要网络建立、效劳器建立和存储系统建立三个局部。网络建立的主要内容有；核心网络系统建立，通过双核心交换机实现核心的高性能和高可靠性。在数据中心采用一台数据中心交换机实现到效劳器的连接。在重工、起重机公司、轮轴公司、油膜轮轴公司部署会聚交换机，通过千兆光纤实现实现到两台核心交换机的冗余连接。在上述四个公司的配线间部署接入交换机，实现终端用户的接入。在Internet的出口处部署路由器，实现到Internet的连接。在核心区部署2台防火墙、2台入侵防御系统，分别作为冗余配置，保证核心区效劳器和应用的平安。在Internet入口处部署防火墙〔原有NS-25〕、入侵防御系统，保证网络边界平安，构建DMZ区域，部署交换机〔原有的华为S5000交换机〕实现对外的信息发布。在核心区部署接入认证、网络管理、日记审计、防病毒〔原有的〕等应用软件系统，保证整个网络设备、人员、应用的平安。调整网络构造，由原来的多级代理改为直接连接，保证了C/S应用的访问。实现与原有网络设备的连接。效劳器系统建立：1、生产系统建立：数据库、应用效劳器系统建立2、开发、测试、培训环境建立3、实现与网络系统、存储系统互联。4、网络平安管理软件部署存储系统建立：1、存储系统建立。2、备份系统建立3、备份管理、数据管理软件的安装调试根据标书要求及其应用需求，鉴于太重各部门的特殊平安性要求，在总体建立上我们采用业务与网络分层构建、逐层保护的指导原则，利用标准IP+MPLSVPN技术，保证网络的互联互通性，并提供各部门、应用系统网络间的逻辑隔离(VPN)，保证互访的平安控制，同时通过QOS和基于MPLSVPN的流量工程〔TE〕，保证关键业务在网络上传输的优先级。对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离，我们设计采用MPLSVPN技术实现网络横向业务部门的隔离和纵向应用系统的互通，所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性，充分保护用户投资。根据网络业务不断开展的需求，未来将在现有数据网络平台根底上增加语音、视频等业务功能，并将各种业务充分融合，统一实现，从而构建一个基于"三网合一〞概念的企业信息化综合业务平台。全网分为两局部：骨干网络和网络中心。骨干网络采用核心层、会聚层、接入层的部署思路，各局部描述如下：核心层：数据网主干网络设备采用交换机进展组网，配置两台高性能核心三层交换机，完成各会聚节点与核心节点以及各会聚节点之间的数据高速路由转发以及各节点园区网的业务会聚，并在整个骨干网上启用MPLSVPN，进展业务隔离。核心层为下两层提供优化的数据传输功能，它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包，满足会聚节点与核心节点之间高速通信的需要。为保证本工程未来规模庞大，业务众多的特点，核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。会聚层：每个会聚节点的会聚交换机通过2个1000M光口与集团公司数据中心的2台核心交换机相联，构成双核心，双归属的骨干网络。会聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进展复杂的运算。在整个网络环境中，会聚层主要提供如下功能：部门和工作组的接入和会聚，VLAN的路由，MPLSVPN的封装，实现MPLSVPN对多种业务的平安隔离和带宽保障，平安控制等。接入层：接入层节点采用百兆三层接入交换机，千兆光/电接口上联会聚交换机，支持802.1*接入，做到面向端点的平安控制能力。总体构造图：采用现有光缆资源，以网络中心辐射至各会聚点。现有各条光缆主要为4芯单模，可满足本次工程"双核心〞的部署方式。各会聚点至接入层交换机，可根据各会聚区域的具体情况和实际距离，通过千兆光/电接口灵活连接。网络中心内部各设备均采用千兆以太网电缆互联。根据招标文件结合用户实际需求，本次采用"双核心〞、"双归属〞的方式，构建核心-会聚骨干网络，会聚-接入千兆连接。根据总体构造图，核心交换机至各个业务区域和会聚节点均采用双千兆单模光纤，保证链路的可靠性；会聚交换机至各接入交换机采用千兆单模光纤。核心交换机：作为全网数据和业务的核心，网络上所有业务的数据流都要经过核心交换机进展交换，因此它的平安性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。建议采用模块化万兆核心路由交换机。1、引擎、电源等关键部件全部采用冗余设计，支持多操作系统、多配置文件，保证可靠性；2、全面支持分布式IP/MPLSVPN业务转发，保证高性能；3、内置的802.1*SERVER可以作为接入认证效劳器的备份系统；4、硬件支持IPv6，支持10GRPR高速环网数据接口，满足未来构建企业大型核心环网要求；会聚交换机：会聚层在骨干网络中起到承上启下的作用，应具备可靠性、高性能和多业务兼顾的特点。采用万兆核心路由交换机，在本工程中具备如下特色：1、引擎、电源等关键部件全部采用冗余设计，支持多操作系统、多配置文件，保证可靠性；2、全面支持分布式IP/MPLSVPN业务转发，保证高性能；3、完善的ACL、流量监管、多元组绑定等平安机制；4、硬件支持IPv6，支持10GRPR高速环网数据接口，满足未来构建企业大型核心环网要求；接入交换机：在一个大型园区网络里，接入交换机具有数量多，部署分散的特点，且直接负责终端的接入，应具备可管理性强、端口控制能力强、性价比高的特点。建议选用的三层接入交换机，具备如下优势：1、支持堆叠，至此对堆叠组虚拟管理，完全可看作一个设备，使可管理性大幅度提高。2、具有良好的端点控制能力，支持丰富的MAC、IP、端口的灵活绑定。3、支持802.1*认证功能，可通过此功能实现对终端接入的控制。4、VLAN能力强，支持最高的4096个VLAN；网络平安系统设计：数据中心是本网络最重要的部位，是信息化的神经中枢，数据中心的设计应具备最高的平安性，同时应保证流畅的带宽和一定的可靠性。作为一个单独的区域来建立，结合招标文件，我们采用"防火墙+IPS+效劳器交换机〞的建立思路，全部采用双千兆设备，全千兆连接的方式，保证给数据中心最强大的平安保障能力和数据吞吐量。对数据中心做如下部署：核心防火墙：防火墙可以部署在网络内部数据中心的前面，实现对所有访问数据中心效劳器的网络流量进展身份控制，提供对数据中心效劳器的保护。除了完善的隔离控制能力和平安防范能力，数据中心防火墙的部署我们同时考虑两个关键特性：高性能：数据中心部署大量的效劳器，是整个网络的数据流量的聚集点，因此要求防火墙必须具备非常高的性能，保证部署防火墙后不会影响这些大流量的数据传输，不能成为性能的瓶颈；可靠性：所有数据效劳器都部署在数据中心，这些效劳器是企业运行的关键支撑，必须要严格的保证这些效劳器可靠性与可用性，因此，部署防火墙以后，不对网络传输的可靠性造成影响，不能形成单点故障。基于上述两个的关键特性，我们进展以下设备部署模式和配置策略：设备部署模式：我们在两台核心交换机上部署两台千兆防火墙，以双链路方式和1G的吞吐量保证可靠性和高性能。平安控制策略：防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证平安；在两台防火墙上设定严格的访问控制规则，配置只有规则允许用户能够访问数据中心中的指定的资源，严格限制网络用户对数据中心效劳器的资源，以防止网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播，保护数据中心的核心数据信息资产；配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为；根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进展链路层控制，实现只有IP/MAC匹配的用户才能访问数据中心的效劳器；核心入侵防御系统：在效劳器交换机和核心防火墙之间，部署两台入侵防御系统，和效劳器交换机、防火墙设备采用双链路连接，以阻挡防火墙设备不能抵御的系统漏洞攻击、蠕虫病毒、木马程序、间谍软件、DOS/DDOS攻击等。同时入侵防御性能达1.2Gbps，完全满足1G以上的设备要求，无任何瓶颈。效劳器交换机：效劳器交换机负责众多数据库和应用效劳器的接入，在此我们采用一台效劳器交换机，其设备在本工程中有如下优势：1、以高密度千兆接口的全面满足效劳器接入的要求2、支持高的交换交换带宽和转发性能，为效劳器的双上行接入提供了更高的带宽和可靠性3、支持万兆接口，为未来的系统全面升级提前做好了准备4、配置冗余电源系统，进一步提高设备可靠性。对外访问区负责全网对INTERNET的访问，同时承载太重门户网站的对外发布和EMAIL系统。虽然现在网络上80%的平安隐患都在内网，但互联网出口的平安问题仍然是对企业网络最具威胁的区域，黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里，所以互联网接入设计中，平安设计仍然放在首位。我们采用路由器+防火墙+入侵防御系统〔IPS〕的方式来构建对外访问区。路由器：路由器是连接内外网的纽带，路由器的性能直接影响对于珍贵带宽的使用率，此外对于大型园区网出口，由于内部网络用户数量庞大，路由器应该具备高性能的NAT转发能力。1、高性能：具备4.5Mpps的包转发性能，满足未来千兆线路的全线速转发。2、强大的NAT能力：具备50万并发NAT连接的能力，且支持丰富的NAT特性，提供NAT日志的输出，可配合日志审计系统，做到对于对外访问的纪录和跟踪。3、支持RIP、OSPF、BGP、IS-IS等多种路由协议4、支持多种网络接口5、支持IPV6防火墙：使用原有Juniper防火墙，划分DMZ区域，通过原有华为5000千兆交换机，连接门户效劳器及EMAIL效劳器等。配置策略偏重平安区划分，平安抵御由入侵防御系统着重完成。入侵防御系统：配置入侵防御系统，提供4个100M端口，具备1G吞吐量，满足当前接入带宽。重点配置对于黑客入侵、蠕虫病毒、木马程序的防范。5.1.6网络管理、接入认证、日志审计系统设计针对太重这种大型的网络系统，网络的运维管理变得非常重要，需要采用必要的手段进展能够网络的集中监控和管理，实现不同厂商产品的统一监控和管理，需要采用一个网络管理平台；同时为了更好的控制网络资源访问权限，监控网上行为，记录外网访问记录、作为事后审计依据，需要增加以下几个局部：网络管理软件系统接入审计系统日志审计系统网络管理系统应该包括以下功能：网络管理系统应采用分布式、组件化、跨平台的开放体系构造，用户通过选择安装不同的业务组件，可以实现设备管理、拓扑管理、告警管理、性能管理、配置管理等多种管理功能。产品不仅能够独立提供完整的网络管理平台，还能够与OpenView、SNMPc多种主流通用网管平台灵活集成；不仅能够管理配置的网络设备，还能够通过标准MIB管理各主流厂商的网络设备。网络拓扑管理网络管理软件可以通过拓扑发现功能，帮助客户迅速发现网络资源。能够实时监视所有设备的运行状况，通过可视化的网络拓扑界面帮助用户及时了解网络的变化。自动发现网络拓扑构造；支持全网设备的统一拓扑视图；可以灵活裁减拓扑视图，聚焦网络的关键区域；可以灵活选择设备、背景图标，构建逼近真实网络的拓扑可以直接点击拓扑视图节点，快速查看设备面板；拓扑节点颜色能够直观反映网络、设备状态；可以灵活定制对设备状态的轮询间隔；故障管理网络故障管理功能为用户及时发现问题、深入分析问题、快速解决问题提供了全流程的支持。支持告警快速定位到网络拓扑；支持多种告警通知方式，包括：告警声光提示、告警转Email和手机短信；支持告警相关性分析，包括屏蔽重复告警、自动确认相关告警等。支持告警过滤，用户能够按照告警级别、告警源、关键词等过滤条件迅速聚焦到"真正有价值的告警〞；可以灵活定义告警级别，以符合客户网络的实际状况；提供常见问题的修复建议。同时用户可以根据实际的维护经历，不断完善丰富维护经历库。网络监视网管系统提供了丰富的性能管理功能，帮助用户主动监视网络的状况，及时发现网络潜在的隐患。同时，丰富的历史性能统计数据为用户升级扩容网络提供了客观准确的参考。配置管理60%的设备故障是因为网络误配置造成的。网络管理员需要定期备份配置文件，跟踪设备配置变化，以保证一旦发生网络故障时，能够利用历史配置备份将网络立刻恢复正常。设备管理提供设备管理功能，通过面板图片，直观地反映了设备运行情况。通过面板图标直观地反映设备的模块、风扇、CPU、端口等关键部件的运行状态；能够查看、设置设备端口状态；能够查看路由、VLAN等配置信息；能够查看端口流量、丢包率、错包率等关键统计数据；支持对堆叠的管理；支持多厂商设备的统一管理可管理所有支持标准SNMP网管协议的网络设备，为多厂商设备共存的网络提供了统一的管理方式。自动发现多厂商设备，展示多厂商设备组成的网络拓扑；监视设备性能，包括接口的流量、错包率、丢包率等指标；接收和解析设备告警，提供告警分析和查询功能；接入认证系统设计认证系统应采用分布式、模块化、跨平台的开放体系构造和基于TCP/IP的通信机制，可以平滑扩容、灵活扩展、按需定制。提供了一种低价格、高可靠、高性能的网络平安和用户管理解决方案，能够满足各种规模网络的用户管理、身份认证、权限控制的要求。接入认证系统的功能：强大的用户身份认证支持、PPPoE、Portal、VPN接入、无线接入等多种认证接入方式。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式，适应不同平安要求的应用场景。支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的平安性，防止账号盗用和非法接入。支持与Windows域管理器、第三方邮件系统〔必须支持LDAP协议〕的统一认证，防止用户记忆多个用户名和密码。支持多区域用户漫游。严格的用户权限控制基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽〔QoS；802.1*认证支持〕、限制用户的同时在线数、制止用户设置和使用代理效劳器，有效防止个别用户对网络资源的过度占用。可以实现对用户ACL、VLAN的控制，限制用户对内部敏感效劳器和外部非法网站的访问〔802.1*认证支持〕。可以限制用户IP地址分配策略，防止IP地址盗用和冲突。可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。可以限制用户必须使用专用平安客户端，并强制自动升级，确保认证客户端的平安性。详尽的用户行为监控提供"黑名单〞管理策略，可以将恶意猜测密码的用户参加黑名单，并可按MAC、IP地址跟踪非法行为的来源。管理员可以实时监控在线用户，强制非法用户下线。支持消息下发，管理员可以通过向上网用户发布通知消息，如"系统升级，网络将在10分中后切断〞、"您的密码遭恶意试探，请注意保护密码平安〞等。记录认证失败日志、并可以全面跟踪用户上网流程，方便定位与解决用户无法接入、异常断线等问题。日志审计系统软件设计日志审计软件主要功能包括两大局部：1、平安事件管理2、用户行为审计在本次工程中我们采用的用户行为审计模块，具有如下功能：1)全面的日志采集用户行为审计系统可支持多种网络日志的采集〔包括NAT1.0、FlOW1.0、NetStreamV5〕，对于不支持上述日志的设备，可以通过设备的镜像端口或TAP分流器采集网络流量生成DIG1.0格式的日志。同时用户行为审计系统采用分布式的体系构造，支持多点采集，可以同时采集多个设备的日志信息，为网络管理员监控网络提供了灵活有效的支持。2)强大的日志审计功能用户行为审计系统可根据用户需要，通过各种条件的组合对网络日志进展快速分析。针对不同的日志类型，管理员可以获得不同的用户行为审计信息：NAT1.0日志：包括经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端口，所访问的目的IP、目的端口、协议号、开场时间、完毕时间等关键信息。FLOW1.0日志：包括源IP、目的IP、源端口、目的端口、流起始时间、完毕时间等关键信息。DIG1.0日志：探针型采集器直接从交换机的镜像端口采集用户的上网信息，对用户访问外部网络的流进展分类统计，并生成探针〔DIG〕日志记录。DIG1.0日志包含两种格式日志，DIGFLOW1.0和DIGEST1.0。DIGFLOW1.0日志内容为IP层数据报文信息，其中包含数据报文的流量信息和协议类型信息，而DIGEST1.0日志内容为应用层协议数据报文信息，包含数据报文的摘要信息。两种格式的DIG1.0日志在采集器进展日志采集时同时生成。利用DIG1.0日志的记录信息，可以实现对用户网络行为的监控，审查用户的Email信息、访问信息、使用的应用信息等，全面审查用户的网络使用行为。DIGFLOW1.0日志记录包含以下内容：开场时间、完毕时间、源IP地址、目的IP地址、源端口号、目的端口号、协议类型〔目前区分TCP、UDP和ICMP三种协议〕、输入包个数、输出包个数、输入字节数、输出字节数；DIGEST1.0日志记录包含以下内容：开场时间、完毕时间、源IP地址、目的IP地址、目的端口号、摘要信息〔目前支持协议、FTP协议、SMTP协议报文〕。NetStreamV5日志：包括日志的开场时间、完毕时间、协议类型、源IP地址、目的IP地址、效劳类型、入接口、出接口、报文数、字节数、流数、总激活时间、操作字、日志类型等信息。通过NetStream日志的分析，可以使网络管理员深入地了解当前数据网络中的报文所包含的各种有价值的信息，可以实现网络监控、应用监控、用户监控等功能，并为网络规划提供重要参考。通过用户行为审计系统网络管理员可以从海量的网络日志中准确审计终端用户的上网行为。终端用户何时访问了*网站、何时访问了*网页、发送了哪些Email、向外发送了哪些文件等信息均可通过日志审计得出结果。IP地址是网络互联的根底，合理的IP地址规划将大大方便网络的维护和管理。IP地址规划的原则唯一性：保持整个网络中IP地址的唯一性简单性：尽量防止采用复杂的掩码方式连续性：为同一网络区域分配连续的网络地址，便于缩减路由表项，提高路由器的处理效率可扩大性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机节点增加时仍然能够保持地址的连续性可管理性：地址的分配应该有层次性，*个局部的变动不影响网络的其他局部地域性：尽量考虑IP的地域特性，以便于统一管理和规划全面性：统一规划局域网和广域网IP地址，保证网络有效连通和管理IP地址规划策略对太重信息化系统IP地址规划可以采用以下两种方式：采用Internet网合法地址由于要实现与Internet的连接，对外发布信息；在DMZ区中的效劳器建议采用合法的由电信效劳商分配的地址。本系统自行规划IP地址在内部网络中整体统一采用构造化地址规划和分配原则进展IP地址设计，可以大大提高网络的可管理性，同时通过NAT实现与外部网络地址的映射，对外部网络隐藏了被网的网络构造，提高了网络的平安性。IP地址规划IP地址的规划应在遵循方便管理、易于扩展的原则下，统一规划、统一分配。建议IP地址采用-网段IP地址，通过构造化划分方法对各级机构进展统一分配。数据中心和各级单位和相关部门IP地址分配如下表：省/市地址空间网段数据中心1个C效劳器区1个C网络设备区1个C重工8个C起重机公司8个C轮轴公司8个C油膜轮轴公司8个C在设计大中型网络时，由于静态路由协议设置麻烦、对网络的变化适应性差，一般不予采用，而今作为路由设计的补充。现在，常用的动态路由协议有以下四种：RIPRIP是一种DistanceVector路由协议，有以下特点：简单，广泛使用，技术成熟，信息源与目的地间限制在15个hops〔或路由器〕之内，超过15hops将认为不可及。RIPv1不支持VLSM〔VariableLengthSubnetMask〕，不可能有效地利用IP地址。每30秒传送路由信息将消耗大量的带宽，在大型网络及低速链路中更明显。路由收敛较慢，此算法将经历Hold-down(180S)的周期。RIP在计算路径时，只考虑hopcount，不考虑网络链路的延迟和cost。RIP网络适用于平面构造的网络。RIP适用于中、小型网络。一般网络的路由器数目少于20个。OSPFOSPF是LinkState，层次化拓扑的路由协议。有以下特点：仅用于IP网络，无hopcount的限制，适于大型网络，支持VLSM，用hello通知其他路由器本路由器工作正常。通过IPmulticast发送链路更新的信息，并且仅在路由发生变化是进展更新，由此优化路由器的资源和带宽。路由收敛较快，在路径的选择中，metric主要考虑链路的延迟，支持一样cost的多条链路路由，较好地实现负载均衡。cost=100,000,000/bandwidthinbps。通过划分区域更好的规划网络，减少路由更新信息。在网络设计中推荐每个AS区域中路由器少于50个。IGRPIGRP是DistanceVector路由协议，由CISCO开发，用于大型IP及OSI网络，有以下特点：不支持VLSM〔VariableLengthSubnetMask)，不可能有效地利用IP地址。每90秒传送路由信息将消耗局部的带宽。在路径的选择上采用组合的metrics包括：延迟、带宽、可靠性、MTU和负载。支持多条路径路由。EIGRPEIGRP是intra-domain，先进的DistanceVector路由协议，由CISCO开发和支持：结合了距离向量(DV)协议和连接状态(LS)协议的优点，采用了DUAL算法到达网络的快速收敛。支持层次化和平面网络构造，支持VLSM网络地址分配，可在任意位边界对直接相连的网络进展路径叠合，只有在网络变化时EIGRP才发送路由表更新信息，而且只发给相关路由器，因此广域网带宽浪费很少，DUAL算法使其具有最好的收敛性。采用五维参数来决定最正确路径：带宽、时延、可靠性、线路负载和最大数据包尺寸。EIGRP路由算法自动根据这五项参数值动态计算最优路径，随时更新。它采用模块化软件支持IP、IP*和AT协议。RIP由于性能和扩展性差而逐渐推出了历史的舞台。EIGRP本身的设计定位是取代IGRP的，所以IGRP也逐渐淡出。根据以上的比较，EIGRP和OSPF都比较适合大型网络，并且两者均有很多成功案例。但EIGRP属于Cisco公司专有的路由协议，兼容性较差。而OSPF的开放性和对备份线路的特别支持特性，适合作为中大规模网络。故建议采用OSPF协议作为设计广域网的路由协议。路由设计，在核心交换机上启用三层路由功能，实现各VLAN间的通信，同时在核心路由器上启用动态路由协议OSPF，支持变长子网掩码，在接入的工作站和效劳器上配置缺省网关。同时配合国家数据及主控中心、各省及控制中心启动OSPF动态路由协议，并做好相应的路由协议参数配置，从而实现全网统一的大的OSPF动态路由网络。将区域数据中心的路由器划入OSPF的area0内，与之相连的下级节点的设备再分别划分为不同的OSPFarea，可以各级节点为单位，不同的级别节点划分不同的区域。这将最大限度的利用OSPF的分区管理优势。在IP地址的规划时已经考虑到路由会聚，以便可以会聚成一条路由信息向其他区域传送。通过对OSPF的适当配置，可以对省内的路由信息进展汇总。各省的核心路由器作为区域边界路由器ABR，可以把进入一个区域的各单位的多条路由减少到一条路由。OSPF在路径的选择中，metric主要考虑链路的延迟。如果不同的路径有一样cost，则OSPF可以在这些不同的路径上实现负载均衡。如果不同的路径的也cost不同，则OSPF会有先启动cost值小〔cost值越小，则链路的延迟越小〕的那条路径，如果该路径失效，则OSPF会启动cost大的其他路径。OSPF的这点功能可以被用来在主备线路或多条链路上实现负载均衡功能或主备线路之间自动切换功能。为了保证网络上的工作站和效劳器的最大可用性，在核心交换机上对不同的VLAN分别使用HSRP热备份路由协议，虚拟出一个缺省网关，在一台核心交换机失效时，仍可以保证工作站和效劳器的正常运行。在最大程度上保证了用户业务正常运行。我们会按照用户要求，对相应部门划分不同的VPN，核心交换机作为CE设备。会聚交换机作为PE设备，满足本区域内用户的接入。实现不同VPN的访问隔离，。利用原来的网络设备华为S5000作为DMZ区交换机，利用原来的Cisco3550交换机作为数据中心接入交换机使用。迁移原来邮件、WWW效劳器到DMZ区，迁移原来的OA、CAPP、物流等应用效劳器到数据核心区。效劳器的功能主要分为：序号工程名称效劳器名称数量备注1生产环境数据库效劳器12生产环境应用效劳器13测试、开发环境测试、开发效劳器14培训环境培训效劳器15管理效劳器网络管理、接入认证、日志审计3效劳器从硬件性能上，可分为：小型机、PC效劳器。小型机的特点是信息处理能力非常强大，适用于大数据量、多用户并行的环境。针对太重ERP软件，软件本身对硬件要求比较高，内部并发用户量大。我们推荐选用小型机双机作为生产环境数据库、应用效劳器。为了保证系统的连续性、测试；选用两台低端的小型机作为测试、开发和培训环境效劳器。针对其他管理功能，建议选用性价比较高的PC效劳器。效劳器操作系统的选择目前市场主流操作系统软件包括以下几类：UNI*〔主要有IBMAI*,HPUNI*,SUNSolaris等〕Linu*〔主要有RedhatLinu*,TurboLinu*,红旗Linu*等〕Windows根据应用需求，小型机上采用高可靠性的UNI*操作系统。PC效劳器上采用Windows操作系统。存储系统采用SAN构造，集中存储。磁盘阵列内部应无单点故障；任何磁盘控制器故障，均应保证阵列内数据的完整可用性；详细介绍存储系统构造和内部模块连接图；根据数据库效劳器采用的方式，给出磁盘阵列的连接图；给出总线带宽和计算公式；存储系统应支持存储共享，支持异构平台、支持CLUSTER的主机构造。具体列出所支持的异构平台；存储系统应具备阵列内快速数据复制功能；磁盘阵列应配置足够CACHE做缓存，给出所配置的CACHE容量和能到达的最大CACHE数目；说明远程镜像的支持能力；说明快照的支持能力；详细说明数据库随机读写方式下读写模式和处理能力。详细说明存储配置的RAID数据保护方式；详细列出可以热插拔的部件。要求SAN是开放的存储产品，SAN应能同时支持多厂商小型机及PC效劳器，即SAN应能可靠地与主流厂家〔如HP、IBM、SUN等〕的主机互操作。SAN必须满足其内部无单点故障的根本要求，系统板、电源、风扇、控制器、Cache、总线和〔或〕通道等如果是完全硬件冗余的，则应在任一部件发生故障时，存储设备能自动切换使用该部件的冗余配置。根据要求存储系统采用SAN构造，集中存储。在线磁盘阵列采用高端存储阵列，阵列内部架构设计采用全交换架构，关键部件冗余配置，必须支持可靠性最高的RAID10级别，配置较大的数据缓存，较多的主机端接口并有扩展能力。该存储阵列被多个系统共享，今后还有其它系统使用。必须有较好的扩展能力，可以动态增加硬盘、控制器等部件，扩大容量和性能。配置足够的存储系统缓存、存储系统处理器和与主机的连接通道，以保证存储系统的读写性能。备份系统采用磁盘阵列来进展备份，保证较高的备份速度，尽量减小备份窗口和对系统的影响，同时确保数据的平安和可恢复性。未来考虑增加磁带库，用于数据的长期归档保存。关于存储系统硬盘的设计，在线存储阵列采用可靠性最高的RAID10方式，备份磁盘阵列采用可靠性较高的RAID5方式。为保证ERP系统的实施进度，尽量降低ERP工程风险，备份系统应结合数据管理平台，可以以几分钟为间隔备份一次数据，能在几分钟内把数据恢复到任一时刻，从而极大提高了数据利用的效率，大大加快了ERP系统的实施进程。在ERP系统的实施过程中，需要进展大量的测试和开发，备份系统应能提供生产系统数据的抽取能力，可以在生产系统运行时把数据抽取出来进展测试和开发，且不会影响生产系统的运行。ERP系统上线运行后，太重的主要业务完全依赖于该系统，数据丧失的风险须控制在分钟级内，保证太重业务的稳定运行。备份系统应配置forOracle数据库的插件，实现文件系统和数据库的在线备份。应支持UNI*、WINDOWS等主流平台的操作系统。数据已成为企业信息化的核心，企业依赖于数据来开展一切业务，因而企业用户一直期望于备份技术可以为数据提供最大程度的保护。可以说，备份系统是企业信息化系统的保障，是企业数据平安的关键。业界备份技术开展历程经过了磁带到磁盘的转变，在磁盘备份技术的根底上又开展出虚拟磁带库(VTL)和CDP〔连续数据保护〕。从业界许多案例可以看到，磁带备份本身固有的速度慢、不可靠等问题，已无法适应当代企业的实际需求。因而，众多企业纷纷转向采用磁盘阵列进展VTL和CDP备份，而磁带技术已逐渐被淘汰。原来的磁带业巨头STK〔StorageTek〕、ADIC、E*abyte等公司纷纷被其它公司收购，可见一斑。近年兴起并成为潮流的CDP技术从根本上革新了数据备份技术的理念，解决了以往数据恢复时间和数据丧失量不可控的问题，为企业的利益做了最大程度的保护。业界公认CDP技术是数据备份技术开展的方向，目前各大公司也推出了丰富的相关产品和解决方案。下表列出了CDP技术与其他备份技术的比照分析：磁带传统的备份方式，在过去相当长的一段时期内，磁带备份为人们提供了值得信赖的数据备份和归档保存的场所，也使得许多用户在数据丧失的灾难中得到了保护。备份效劳器与磁带库直接连接，并安装备份软件效劳器端，应用效劳器安装备份软件客户端，与备份效劳器通讯，备份数据流通过前端以太网或后端存储网络传输，最终数据备份到磁带或磁带库中。采用传统磁带来实现数据备份的方案在多年的实践中带来了无法抑制的诸多困难，它的诸多弊端已使其远远落后于形势的开展和现实的需求：数据备份/恢复性能低，任务并行度低可靠性差，兼容性差可扩展性差数据备份流程可管理性差维护管理本钱高VTL虚拟磁带库是把磁盘虚拟成磁带库，带库的外部特征有三大要素：接口、驱动器和磁带槽位，内部特征是能进展顺序读写的指令集，VTL的优势：无缝融入用户当前环境，无须更新备份软件或改变备份策略，保护用户投资；加快了读写的速度，缩短了备份窗口，轻松应对备份窗；能在不修改备份软件的前途下，利用磁盘进展备份；多种RAID级别的磁盘阵列冗余，提供稳固可靠的数据保护；备份数据可策略性地导出到物理磁带上离线存储；支持备份数据的远程复制；VTL的缺点：VTL模拟磁带顺序读写方式，不能充分发挥磁盘的效率。VTL的效率要受到虚拟驱动个数的限制；VTL的备份策略设置与磁带库完全一样，比较复杂。D2D(磁盘到磁盘备份)是把磁盘直接作为备份介质来使用的，本质是就是写文件系统，但并不是用原文件的格式和普通的写方法，把备份文件以大块为单位放在一个大文件中。D2D技术采用了带索引的写入方法，从而实现了中断重起、动态容量扩大、跨卷、网格存储等高级功能。D2D的优点和缺点如下：D2D(磁盘到磁盘备份)的优点:充分利用了磁盘的随机读写性能；充分利用了文件系统的多线程技术，在多个备份任务情况下，不象VTL要受虚拟驱动器的限制，效率很高；D2D与备份软件集成，不需要花双倍的费用，管理十分简单；D2D能实现许多高级功能：中断重起、动态容量扩大、跨卷、网格存储等。这些高级功能在大型网络或广域网上备份，非常有用，能极大提高备份的可靠性和成功率。D2D并不是把磁盘当备份的中介环节来设计的，与备份Cache有本质的区别，它能让数据在磁盘上作长期保存。在保存数据的能力上D2D(磁盘到磁盘)的缺点：D2D没有统一的标准，只能与备份软件严密地集成；D2D难以满足多台效劳器数据备份的需求；D2D在UNI*SAN环境下的LANFree备份，如要把数据集中存放在统一卷下，需要共享卷软件来支持，会提高使用本钱。D2D对异构平台环境的支持度较差；CDP〔ContinuousDataProtection〕连续数据保护是一种有别于传统利用快照、复制和镜像等手段来进展数据保护的前沿技术，可在数据发生任何变化时将所有数据很好地保护起来。CDP既不完全是备份技术，也不完全是归档技术，它是一种集备份和归档为一体的技术，CDP将传统着眼于"备份〞的备份技术，推进到着眼于快速恢复、最少数据丧失的数据保护新阶段。其最大的技术优势就在于可进展任意时间点的数据恢复。当数据丧失的损失以分钟〔或更小的时间单位〕来计算时，部署CDP方案就显得十分必要。同时，对于系统的企业来说，CDP技术能减少从灾难发生到数据恢复所需要的时间，满足系统可靠性需到达99.999%的严苛要求。磁带库备份〔方案1〕D2D/VTL备份CDP连续数据保护原理方案组成磁盘阵列＋备份软件＋磁带库磁盘阵列＋备份软件＋磁盘阵列磁盘阵列＋数据管理平台＋磁盘阵列备份方式每隔一天备一次每隔一天备一次每隔10分钟备一次性能性能扩展备份客户端越多，性能越低备份客户端越多，性能越低备份客户端数量对性能无影响备份所需时间2－8小时1－4小时10秒以内恢复所需时间2－8小时1－4小时1分钟以内影响对业务的影响占用效劳器资源，需停顿业务占用效劳器资源，需停顿业务不占用效劳器资源，无需停顿业务对局域网的影响占用局域网带宽，容易造成阻塞不占用局域网带宽不占用局域网带宽是否支持系统运行时抽取数据测试不支持，测试数据第2天才能拿到不支持，测试数据第2天才能拿到支持，测试数据立即可以拿到对ERP系统实施过程的作用严重拖慢一定程度上拖慢大幅加快本钱占用空间5－10倍〔每天基于文件级增量备份，每周全备〕3－6倍〔每天基于文件级增量备份，每周全备，有数据重复删除技术〕2－3倍〔基于磁盘块级增量备份，无需全备〕扩容费用需再购置支持更大容量的备份软件使用权需再购置支持更大容量的备份软件使用权无需任何费用可靠性备份介质故障率磁带介质，故障率高〔平均无故障时间20万小时〕磁盘介质，故障率低〔平均无故障时间1百万小时〕磁盘介质，故障率低〔平均无故障时间1百万小时〕备份介质损耗率磁带介质，损耗率高磁盘介质，损耗率低磁盘介质，损耗率低介质故障后果数据丧失，无法恢复RAID保护，数据不丧失RAID保护，数据不丧失主磁盘阵列故障后果业务中断6小时－2天〔备件第2天到达〕业务中断1－4小时〔使用备用磁盘阵列〕业务中断1－5分钟〔备用磁盘阵列立即替代主存储〕效果平均数据丧失量12小时12小时5分钟平均经济损失〔按业务系统每年支撑10亿元业务计算〕136万元136万元9500元从上表的比照分析，可以得出以下结论：1、磁带库备份〔D2T〕属于离线备份技术，适合于做离线备份。2、CDP连续数据保护适合于关键业务、快速备份、恢复的环境使用，用于做近线存储；ERP系统是企业最关键的业务，一定要建立近线存储来提高系统的平安性。建议采用两种备份方式，做出两种配置。第六章IBM主机存储建立方案核心数据库/应用效劳器布署在整个网络系统的核心区域，逻辑上位于整个应用系统的数据核心层，可靠问题是十分重要的，所以在系统设计上，中心主机采用两台小型机、共享SAN磁盘阵列的架构方式，运行数据库应用，。根据系统应用的规模，而且考虑到了业务的变化、增加，在选择效劳器时必须预留处理能力的扩展空间，设计使用2台IBM高性能、高可靠性、多处理器的SMP体系构造的uni*效劳器IBMP560Q作为核心数据库/应用效劳器，该效劳器CPU1.5GHz主频下最大可扩展到16路，完全满足系统未来扩展的需要。配置千兆网卡和光纤通道卡实现与网络和存储区域网的高速连接。数据库应用效劳器采用IBMP560Q小型机部件主要配置备注4Core1.5GHzPOWER5+CPU8GBMemory2个千兆电口网卡高速网络接入2块4GBHBA卡FCSAN的接入2*146GB10KDisk硬盘RAID保证系统平安AI*5L操作系统测试、开发和培训环境采用IBMP52A小型机部件主要配置备注2Core1.5GHzPOWER5+CPU4GBMemory2个千兆电口网卡高速网络接入2块4GBHBA卡FCSAN的接入2*146GB10KDisk硬盘RAID保证系统平安AI*5L操作系统针对前面应用系统对于存储系统I/O的需求分析，在对当前主流的几种存储技术比较之后，我们推荐选择SAN〔存储区域网〕。2台IBMP5560Q小型机和2台P52A效劳器接入到存储区域网中。采用16口光纤交换机，搭建冗余的SAN网络。采用光纤磁盘阵列存储系统，接入SAN，实现基于SAN的集中存储。采用IBMDS4800磁盘阵列；采用1台磁带库作为存储设备与备份效劳器相连。采用LTO3582磁带库；采用IBMTSM备份管理软件，实现自动化备份管理。 硬件组成整个存储系统由以下几个局部组成：光纤互连设备：针对系统的应用数据的特点，需要共享数据库效劳器、数据库和存储效劳器实现与存储设备的连接，在选形时主要考虑以下几点：连接的主机端口数、端口类型，交换机应从支持多种连接端口类型和连接速率。为了保证设备的可靠性，交换机应具有冗余电源风扇等组件。保证数据的平安性，支持硬件分区技术、通信重路由技术等。光纤交换机支持集中的管理。磁盘阵列针对招标文件的要求，我们在磁盘阵列的选型时主要考虑以下几点：满足数据容量要求，要求可用容量到达4T以上；支持冗余控制器，保证系统平安；提供多个端光纤借口，实现线路冗余；硬盘支持多种RAID级别，可以灵活设计和扩展；为了保证设备平安性，提供冗余的电源和风扇等。支持统一界面的集中管理。基于以上的考虑，我们推荐选择EMCC*500磁盘阵列系统。磁带库为了保证数据的平安，需要定时对数据进展归档备份。考虑到磁盘阵列上的数据容量，和每天的备份量，以及对于备份时间的要求，我们推荐选用高性能的LTO驱动器技术，实现高达70M/S的数据备份速率，每小时可以备份200GB以上的容量。对于完全备份，考虑到1T磁盘阵列容量，备份空间应为磁盘空间的3-5倍，因此需要选择的磁带库的容量要到达4T以上，推荐采用20和以上的磁带库产品，实现自动的备份和恢复。我们推荐选择LTO3582磁带库。 软件组成为了保证存储系统的可靠性、可用性，保证7*24小时的业务连续性，需要自动备份恢复。为了保证系统软件、数据库的数据平安，需要对重要数据进展备份，通过备份管理软件实现：支持当前主流的操作系统、软件和数据库的备份/恢复；会支持多种备份方式：文件系统备份、数据库系统备份或者裸设备备份等；提供一体化的解决方案，实现与存储管理和容灾系统的集成；支持多种备份策略，支持备份策略的灵活定制与存储设备配合在不影响系统运行的情况下，实现数据备份；支持LAN-Free和Server-Free备份具有成熟的容灾方案我推荐选择IBMTivoliStorageManager及其关于系统软件、数据库、SAN的模块。我们建议集中部署系统管理软件：建议搭建一套备份系统，实现对文件系统、数据库进展统一备份管理。在数据中心布署备份管理效劳器作为集中备份管理平台，并连接在SAN中的交换机上，以实现对磁盘阵列和磁带库的集中控制以及基于LAN-FREE的统一备份管理。将各需要备份的核心应用效劳器、数据库效劳器连接到SAN上，以实现基于SAN的备份管理。建议采用IBM公司的IBMTotalStorageManager备份管理软件对的效劳器系统进展集中的、在线的备份管理。在数据库效劳器上需要安装效劳器端相关的备份代理模块，以实现LAN-FREE的管理以及Oracle数据库的在线备份管理。在其他的效劳器和应用效劳器上布署客户端代理，以实现客户端的文件和系统备份。备份系统具有良好的扩展性。如日后有更多的应用系统或数据库需要备份，只需增加相应的软件代理模块即可。 备份方式针对不同类型的主机、数据库系统、文件系统备份要求，我们使用了两种级别的备份方式，一种是基于文件级别的备份；第二种是基于数据库级别的备份。下面分别对这两种级别的备份方式加以介绍。〔1〕文件级别的备份考虑到信息中心存在许多属于文件级别的效劳器。对于这些文件效劳器，我们会使用IBMTivoliStorageManager来实现对这些文件效劳器的备份和恢复的功能。〔2〕数据库级别的备份IBMTivoliStorageManager备份管理软件支持支持Informi*、DB2、SQLServer、Oracle等数据库产品的在线热备功能。通过使用TivoliStorageManagerforDatabases模块，与各种数据库的在线备份API连接，实现各种数据库的在线热备。对于工程可能涉及的Oracle数据库效劳器，为了确保这些数据库7*24小时的运行状态，我们提供了Oracle数据库的备份接口，以TivoliStorageManager和IBMTivoliStorageManagerforDatabases模块来实现数据库的在线备份和恢复的功能。TSMforDB〔Oracle〕提供了在线备份和恢复Oracle数据库的高效率的集成方案。它可以实现在线数据库的完全备份，并且完全恢复到原位置或异地。TSMforDB〔Oracle〕使用TSM的API客户端，对于TSM的B/A客户端可以与API客户端同时运行，提供对于企业环境的全面数据保护。Oracle数据库需要考虑备份的局部有：系统表空间，用户表空间，在线重做日志文件，归档redo日志文件，控制文件，初始化文件和配置文件。RMAN可以做在线或离线的数据库备份，可以备份整个数据库，包括所有数据文件、在线redo日志文件、Oracle控制文件和参数文件。更重要的是，RMAN提供了一个介质管理接口，可以与TSM连接，因此不需要任何硬盘上的临时文件，备份数据直接由RMAN送到TSM。以下对此作进一步的介绍。TSMforDB〔Oracle〕与Oracle连接的示意图：图：TSM与Oracle通过API连接在一起Oracle将数据交给RMAN备份，而当安装了TSMforDB〔Oracle〕时，RMAN的API与TSM的API相连接，数据经RMAN的API传递到TSM的API，最终送至TSMServer。TSMServer根据系统管理员的设定，把数据保存到磁带库或光盘库中。数据备份策略建议〔1〕数据备份流程日常备份操作由备份系统自动完成，操作人员按照要求在备份效劳器上制定备份策略，全网的备份由备份效劳器统一管理。各客户端也可以自行手工启动备份。备份效劳器(包括主效劳器和共享效劳器)的数据(文件和数据库资料)直接进入磁带库，各客户端的资料由网络传到备份主效劳器，进入带库，对于一些小文件，我们可以先将这些小文件备份到备份效劳器的本地硬盘存储池中，待到达一定百分比时，在一次性迁移到带库中；而对于一些大文件，可以直接备份到带库中。这样可以大大提高数据的备份效率，提高存储设备的利用率。为提高备份质量、保证数据平安，可以采用ITSM软件的自动的副本存储池复制功能，同时进展备份复制，一份近线保管，另一份离线保管(所有管理均由备份软件完成)提高系统容灾能力。〔2〕备份策略建议对于这样的一个关键应用来说，制定一个良好的备份策略是至关重要的。备份工作的主要内容包括主机、数据库系统备份和应用系统数据备份三个方面：主机、数据库、应用软件系统备份策略为了在主机、数据库、应用软件系统发生故障时，能够迅速、有效的使系统得到恢复，需要对主机、数据库、应用软件系统进展备份。由于主机、数据库、应用软件极少发生变动，所以它的备份策略也比较简单。1〕、在主机、数据库、应用软件安装调试完毕后，将主机、数据库、应用软件系统的备份到磁带上。2〕、在对主机参数、数据库参数、应用软件进展修改后，及时将主机、数据库、应用软件系统备份到磁带上。3〕、定期对主机、数据库、应用软件系统进展全备份。这些全备份可以通过ITSM的定时自动完成。应用软件系统数据备份策略根据业务特点，系统的数据备份要求较高，下面我们分别说明数据备份策略：1〕、应用系统数据库的备份根据现有的IT环境和需求，目前主要备份的Oracle数据库，利用IBMTivoliStorageManagerforDatabases模块调用RMAN进展在线的热备份，可以在备份时，将备份数据保存在不同的存储对象中，以满足客户容灾的要求，可以利用ITSM的多线程的数据迁移、利用多个磁带驱动器同时读写提高其数据备份的效率。针对Oracle的总数据量和增量数据量大小，我们可以利用Oracle的多达三级的增量备份机制，结合ITSM强大的备份数据追踪寻址能力和介质管理功能，制定灵活的备份策略，实现全自动的备份数据的全生命周期管理。根据客户的数据量和网络条件，我们建议：Oracle的备份以周为备份周期，星期一到星期六做数据库累积增量、归档日志、控制文件和CATALOG用户所有对象的备份，星期天做全备份，保存前面一周期和当前周期的备份，每个周期有两份容余。而且也可以利用一些最新的Oracle备份技术，将同样的一份备份数据同时保存在不同的存储介质中去，如磁带和硬盘，以保证备份数据的完整性和平安性。对于Oracle系统的数据备份和恢复的性能，可以通过开辟多个Oracle数据备份通道和多重数据迁移的技术得到保障。对于以上的备份文件文件，根据管理的要求设定其保存时间，当此类数据过期时，ITSM将自动进展清理，无须管理人员参与。备份时可以利用ITSM的永远增量备份的功能、多线程的数据迁移提高数据备份的效率，也可以利用ITSM独特的磁带分类集中存放技术保证数据存放的合理性，减少磁带的占用，提高数据恢复的效率。如果此类文件较小的话，可以利用ITSM独特的磁盘池的功能，先将这些小文件备份到备份效劳器的本地硬盘存储池的ITSM临时存储池中，待到达一定百分比时，在一次性迁移到带库中。2〕、对于文件系统的备份，可以直接利用ITSMClient进展备份。上述备份都可通过ITSM的定时机制自动完成。〔3〕平安性建议数据平安性IBMTivoliStorageManager备份管理软件提供128位的AES数据加密备份传输和存储，保证数据的平安性。基于策略的用户权限控制机制控制用户权限的平安用户身份验证：当用户登录到管理控制台时，它能验证每个用户有权查看的内容和执行的操作，根据用户的权限限制对信息的访问，从存储库中提取适当的信息显示在该用户的桌面上。对不同网络环境、防火墙等环境下的备份支持IBMTivoliStorageManager备份管理软件支持基于局域网、存域网、广域网、互联网以及拨号上网等多种网络环境的备份，并且设计了相应的支持技术，支持多种网络传输协议。使用IBMTivoliStorageManager可以支持通过防火墙的备份和远程Web管理数据恢复策略建议当操作系统或应用出现问题时导致不可用时，需要通过ITSM进展数据的恢复，在本方案中，数据的恢复策略可以根据不同的情况而制定。〔1〕本地Oracle业务数据库破坏而需要恢复时。出现此情况，可以通过本地的ITSMServer结合TSMforDatabases利用备份数据进展数据恢复。恢复时，ITSM可以实现多线程的数据恢复，可以利用ITSM独特的磁带分类集中存放技术，减少磁带的就位时间，提高数据恢复的效率。先用最近一次的全备份恢复＋恢复最近一次的增量备份＋增量备份到断点的ARCHIVELOG来恢复〔要求数据库在ARCHIVELOG模式下工作〕。这种恢复方式比全部用ARCIVELOG恢复要快。如果两份容余的最近一次增量备份都不可用，可以追溯再上次的增量备份来恢复，然后用增量备份到断点的ARCHIVELOG恢复。如果最近一次的全备份恢复都不可用上个周期的全备份＋上个周期的最后一次增量备份＋本周期的最近一次增量备份＋增量备份到断点的ARCHIVELOG来恢复。如果增量备份都不可用，则可以用全备份＋ARCHIVELOG来恢复。〔2〕 本地非数据库或应用文件破坏而需要恢复时。利用ITSM软件的图形界面来浏览所需恢复的文件存储集，触动恢复功能，软件靠自动驱动存储设备，加载相应的存储介质，然后恢复指定文件存储集。如以下列图所示：也可利用命令：dsmc–r命令恢复相应的文件恢复时，ITSM可以实现多线程的数据恢复，可以利用ITSM独特的磁带分类集中存放技术，减少磁带的就位时间，提高数据恢复的效率。〔3〕本地ITSM效劳器系统瘫痪而需要恢复时。按以下步骤处理：如果ITSMSever建立在HA的环境下(即ITSMServer分别安装在HA的双机上，而数据库文件则建立在共享的盘阵上)，一旦ITSMServer瘫痪，将由StandbyITSMServer自动接收。如果在配置ITSMServer中，已经将其后台数据库作了MIRROR配置，则只需将MIRROR的数据库文件直接激活即可。如果对其后台数据库作了及时的本地备份，利用数据库的恢复功能恢复本地数据库，直接恢复ITSMServer。第七章SUN主机存储方案7.1整体构造主要设计思路如下：生产环境中的小型机：采用两台小型机利用集群技术，构建所有业务系统数据库应用主机平台；两台小型机组成集群两台小型机通过4G光纤接入存储系统；采用SAN存储构造实现数据集中存储采用磁带库实现数据备份测试开发、培训环境：采用两台中低端小型机作为测试开发、培训效劳器通过4GB光纤接入到SAN中选用两台SUNE4900小型机，安装并行版