浅谈中小型信息技术基础建设

浅谈中小型信息技术基础建设

公司能否在竞争激烈的市场竞争环境中生存并可持续发展，取决于其人力资源，尤其是信息技术水平。而信息技术的基础取决于企业的信息平台，因此，企业如何根据自己的实际情况，构建一个相对稳定而不落后的信息平台，对于企业今后信息化的发展、应用系统的开发起着至关重要的作用。根据水规院信息化五年发展规划要求，建立以网络为支撑，以各类数据库为基础，全面覆盖水规院业务的管理与设计一体化集成应用系统，信息化水平达到国内同行业领先水平。为了实现这一目标，根据院长批准的2004年水规院信息化建设计划———网络基础设施改造一期工程，水规院为此自2004年年初起成立了项目组，精心策划与实施，经过近一年的辛勤工作，终于在2005年年初圆满完成了任务，达到了预期效果。下面介绍一下整个工程在策划实施过程中的经验和体会。1原系统不能满足发展需求水规院信息化建设自1996—2004年以来，已初具规模，网络设备逐年增加，连接设备数已经达到260余台，主要应用有：用户的文件传递、共享打印、邮件系统、网络出图系统、宽带接入（光纤4M带宽）、公告系统、水运工程标准规范电子版网上全文检索等。但是，随着近几年水规院的快速发展和应用系统的不断增加，业务量也不断增大，各种应用对网络系统的要求越来越高，原有的网络系统已经满足不了当前的需求，主要问题为：(1）原系统使用的网络交换设备性能较低，无三层交换能力，没有网管功能；(2）所有设备都处在一个带宽域，如果应用需要特殊的带宽资源，将无法控制流量；(3）由于不能划分VLAN，所有的系统都位于一个广播域，经常造成广播拥塞，影响网络正常通讯；(4）由于网络设备老化，性能不稳定，经常出现死机，阻碍了应用系统的扩展，影响了院信息化的进一步发展，原有网络基础信息平台已经不能适应目前的需求；(5）原有1台方正防御桥式防火墙，由于无路由功能，安全性能不高；(6）没有专门的数据备份系统，无灾难备份和恢复手段；(7）宽带接入采用代理服务器方式，不安全，且网络结构复杂，故障率高。2需求分析2.1整体规划构想本着以网络设计应保证若干年相对稳定而不落后，保证系统安全可靠运行，便于管理和维护为原则，统筹进行整体规划。核心主干与服务器接入带宽应达到1000M，终端用户接入带宽应达到100M。应满足将来视频会议开通需求，实现因特网接入，一方面对外提供WWW访问服务，另一方面对内提供电子邮件等服务，同时通过因特网建立与上级单位、各分支机构、移动用户以及和甲方的接入服务。2.2支持各种信息的高质量传输网络设备应保证高性能、高安全性、高可靠性，高吞吐能力，保证数据、语音、图像等各种信息的高质量传输；开放性、兼容性、高可扩展性。支持国际上通用标准的网络协议及国际标准的大型动态路由协议等开放协议；能平滑地扩充和升级。配置图形化用户界面、支持广泛的网管平台的网管软件，能对网络进行统一的管理、配置和维护。2.3vla配置管理能支持主流操作系统平台。能提供面向目标的图形用户界面，使管理简单、直观，方便、易用。能提供用户工具，用于网络拓扑图的配置、监控、容量规划、趋势分析和报告。能对交换机、路由器和访问服务器的流量、配置、状态进行管理。能提供VLAN配置管理能力。遵循工业标准SNMP协议，支持DHCP（动态主机配置协议）和DNS、DMI（桌面管理规范）及CIM（公共信息管理）。2.4对院局域网的访问和攻击选择性能较高的防火墙，合理设置安全策略，隔离和控制外部非法用户对院局域网的访问和攻击。在满足视频会议开通、网站发布、局域网与各分支机构移动用户以及甲方的联网应用畅通和现有电子邮件系统功能条件下，保证内部局域网及服务器的安全。2.5数据备份和恢复选择合适的备份设备和备份软件，设定合理的备份计划任务，进行数据备份和恢复，能够对服务器进行灾备和恢复，能保证服务器在发生灾难性损坏时，快速恢复正常。2.6网络安全设计水规院将建立设计管理一体化系统，建立集设计（包括优化）、分析（计算）、绘图于一体的三维图型计算机网络应用环境；建立设计成品文档与电子工程图库管理系统；建立综合管理与办公自动化系统；建立内部和外部网站；建立方法库和知识库；建立工程项目管理系统等。3该计划的制定3.1网络安全设计原则根据对水规院原有网络系统的需求分析，确定水规院在网络一期改造工程建设中，不仅要采用最先进的技术，同时也要选择具有相当服务能力的系统集成商，应始终坚持以下建网原则：(1）可靠性———网络系统的稳定可靠是应用系统正常运行的关键保证，对于水规院网络来说，更是如此。在网络设计中特别是关键节点的设计中，选用高可靠性网络产品，并合理设计网络冗余拓扑结构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地保证应用系统的高效运行。(2）技术先进性和实用性———在保证满足水规院网络应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到水规院网络应用的需求和未来发展的趋势。(3）高性能———承载网络性能是整个应用系统良好运行的基础，设计中必须保证网络及设备的高吞吐能力和各种信息（数据、语音、图象）的高质量传输，力争实现透明网络，网络不能成为实施现代化办公业务的瓶颈。(4）标准开放性———支持国际上通用标准的网络协议，有利于保证与其它网络(如公共数据网)之间的平滑连接和互通，以及将来网络自身的扩展。(5）灵活性及可扩展性———随着未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度地减少对网络架构和现有设备的调整。(6）可管理性———对网络实行集中监测、分权管理，并统一分配资源。选用先进的网络管理平台，可以集中对网络设备（路由器、各层以太网交换机）实施具体到端口的管理能力，并可提供及时的故障报警和日志。(7）安全性———制订统一的网络安全策略、VLAN策略和过滤机制，整体考虑网络平台的安全性。3.2服务区和接入区为避免短期行为、将来重复性建设，根据水规院信息系统发展的整体需求，规划出水规院信息系统平台（图1）。此平台划分为四个部分：内部局域网、应用服务区、DMZ区和接入区。内部局域网由2台三层核心交换机组成核心层，互为备份；由多组二层交换机组成接入层，根据信息点的不同，每组由多台二层交换机堆叠组成，每组交换机通过两对光纤以1000M速率分别连接到两台核心交换机上。内部局域网可为水规院内部用户提供高速接入服务。应用服务区由两台千兆交换机和一组应用服务器组成。两台千兆交换机互为备份；每台服务器根据需要以千兆速率连接到一台或两台千兆交换机上，应用服务区为内部用户提供各种应用服务。同时，在应用服务区设置两台SAN交换机和一台存储设备组成存储局域网，为服务器提供公共存储服务。为了提高应用服务区的安全性，首先要对每台服务器进行安全加固，加强服务器本身的安全性；其次，应用服务区和内部局域网之间通过两台千兆防火墙相连，防止各种黑客攻击；最后对相应端口进行入侵检测，并和防火墙进行联动，以防止各种入侵行为。DMZ区由一台百兆二层交换机和一组服务器组成，每台服务器以百兆速率连接到百兆二层交换机上。DMZ为内部及外部用户提供相关服务。接入区由一台路由器/VPN网关和一台百兆二层交换机组成。Internet通过10M或100M速率与路由器/VPN网关相连。接入区除了为水规院内部提供Internet接入服务和对外提供WWW浏览服务外，还为上级单位、各分支机构、甲方单位和移动用户的接入互联提供相关连接，为了提高通过Internet接入互联的安全性，上级单位、各分支机构、甲方单位和移动用户必须通过VPN网关建立VPN连接才能相互访问。为了提高安全性，一方面内部局域网、DMZ和接入区之间通过两台防火墙相互连接，两台防火墙之间相互备份，防止各种黑客攻击；另一方面通过入侵检测设备监测相应端口，并和防火墙联动，防止各种入侵行为。3.3．分段实施方式规划方案是考虑了今后几年的发展而制定的，一次性投资太大，所以在统一规划设计的基础上，分步实施较为实际。水规院网络一期改造工程系统结构见图2。3.1.1网络核心效果设计水规院由中楼、北楼和南楼组成，其中中楼有200个信息点，北楼有100个信息点，南楼有40个信息点，中心机房设在中楼。在中楼的中心机房配置一台全冗余结构的核心交换机实现对所有接入汇集点的接入。它是整个网络的交换中心，同时也是内部局域网的路由中心，第三层、第四层操作都通过核心交换机集中进行，其有效性通过核心交换机全线速的多层处理性能以及骨干网的高带宽(2×GE)来实现保证。中楼按照200个信息点设计，采用具有48个10/100M以太网接口的接入交换机，共需5台（48×5=240），分两组接入，一组接入汇集点由3台组成，一组接入汇集点由2台组成，每一个接入汇集点设计2条GE上行，中楼接入共4条GE，汇集到中楼核心交换机上。北楼按照100个信息点设计，采用1台具有48个10/100M以太网接口的接入交换机，共3台（48×3=144），组成一组接入汇集点，共2条GE，汇集到中楼核心交换机上。南楼按照40个信息点设计，采用1台具有48个10/100M以太网接口的接入交换机，南楼接入共2条GE，汇集到中楼核心交换机上。核心交换机总共需要提供8个以上接入GE端口，加上服务器和网管的百兆端口需求。应用服务区的服务器通过100M或1000M的速率直接与核心交换机相连。为了保护水规院原有网络设备的投资，可将原有可用网络设备分配给深圳、上海和大连分院使用。3.1.2提供接入服务各分支机构可根据实际需要，配置相应数量的交换机，通过100M速率级联在一起，为分支机构的服务器和PC机提供接入服务。在分支机构与Internet的连接方面，各分支机构可以通过一台PC机利用ADSL方式接入Internet，其他PC机共享这条Internet连接。3.1.3逻辑隔离接口设计防火墙的3个端口分别连接Internet接入、DMZ和总部局域网并进行逻辑隔离。其中Interne接入是为4M专线光纤接入，并通过光纤收发器转成RJ-45接口与防火墙连接；在DMZ配置一台交换机，用以连接Email等需要对外提供访问服务的服务器；防火墙内口连接总部局域网核心交换机。3.1.4通过互联网拨入使用n根据水规院出差、流动人员多和分支机构多的具体情况，通过VPN建立安全的私有隧道，院总部与上级单位、分支机构和移动用户可以通过Internet与水规院交换数据，这样在保证信息安全和畅通的基础上做到经济合理。移动用户通过ADSL/PSTN拨入当地的Internet，并通过VPN客户端软件与水规院防火墙建立安全连接；分支机构可以通过一台机器拨入Internet，其他机器可以共享这条Internet连接，每台机器分别通过VPN客户端软件与水规院防火墙建立安全连接；上级单位要与水规院交换数据时，相应的机器也需通过VPN客户端软件与水规院防火墙建立安全连接。3.1.5面向目标的图形配置集中式网络管理系统，支持主流操作系统平台。能提供面向目标的图形用户界面，使管理简单、直观，方便、易用。能提供用户工具，用于网络拓扑图的配置、监控、容量规划。可对交换机、路由器等设备的流量、配置、状态等进行管理。3.1.6服务器性能及应用系统所占资源的合理分配根据水规院的需要，本次工程需新增3台服务器，加之水规院原有3台服务器，共有6台服务器。可根据服务器性能及应用系统所占资源大小，将原应用系统合理地调配到相应的服务器之中，使其达到安全高效。原有邮件服务器安装在旧服务器的GC之中不太合理，应在不影响原系统的情况下，将旧系统GC平滑地迁移到新服务器中，将Exchange平滑地迁移到域成员新服务器之中。3.1.7网络备份系统考虑到水规院网络系统中业务系统的重要性，需要建立一套网络自动备份系统，对现有各台服务器及将来添加的其他业务系统进行数据自动备份。备份系统选用磁带技术，考虑容量选择合适的磁带库作为备份设备。根据水规院网络系统的实际情况，在内部业务网配置1台备份管理服务器、1台磁带库和一套备份管理软件。备份管理软件安装在备份管理工作站上对整个备份系统进行统一管理。在需备份的服务器中安装客户端备份代理软件。备份系统应具有可靠的网络备份策略。新的应用系统增加后，即要确保各系统的重要数据备份，还应确保系统的安全灾难恢复。备份系统应能够对各服务器进行定时自动备份，并应具有很好的升级和扩充能力。3.1.8ip地址和vlan规划方案在本次网络建设中，采用目前使用最普遍的TCP/IP网络协议。在进行IP地址规划时应遵循以下原则：(1）统一计划IP地址的正确规划是能否成功实施网络系统的重要因素之一。另外，从安全性及可管理性角度考虑，IP地址必须统一规划。(2)ip地址的层次化划分为了便于对IP地址的管理，减少网络上的IP路由信息，在进行IP地址规划时需要进行层次化划分。(3）原网络ip地址的分配应符合网络建设的规范本次IP地址划分规范应成为水规院网络系统长期的IP地址规范，一经使用，不得随意更改。(4）隔离广播信息IP地址的分配必须考虑适应各种复杂情况。划分VLAN的目的：一是提高网络安全性，不同VLAN的数据不能自由交流，需要接受第三层的检验，因此，在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高了安全性。二是隔离广播信息，划分VLAN后，广播域缩小，有利于改善网络性能，能够将广播风暴控制在一个VLAN内部。三是增强网络应用的灵活性，VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。4对最终方案进行讨论和修改，形成最终方案在水规院网络设施改造一期工程的策划过程中，项目组为了使方案更加科学合理，更加符合院内的实际情况，曾多次组织院内、院外的专家和各有关部门代表，对方案进行讨论和修改，最后形成最终方案。在此基础上，项目组根据最终方案编制了招标文件（含技术规格书），考察了IT业比较有实力的集成商，最后确定5家集成商作为本次工程的邀标对象。4.1创建存储方案本次工程采用正规的邀标形式进行招标，并组织了院内、院外专家进行了评标工作。为了做到公正、公开，评审组出台了评标办法和评定标准；为了提高评审的效率，评审组根据标书项目内容，制作了多种表格，将各投标商的商务和技术项目内容分别填入不同类别的表格中进行比较和打分，评审组认真审定5家投标商中好的方案，尤其是推荐方案，技术上各有所长，对于投标商较有特点的技术问题，评审组曾多次与集成商进行技术澄清和技术交流。采纳各家之所长，融汇于1家中标商方案之中。例如，其中1家投标商（最终未中标）在选用存储设备方案上，建议我们采用虚拟磁带库技术或选用磁带库来代替标书技术规格所要求的加载磁带机设备。经过评审组讨论，认为磁带库和虚拟磁带库技术各有所长，磁带库适于长久保存类型的数据备份，而虚拟磁带库技术，体现出速度快的特点，适于频繁存取的数