IT基础架构规划方案一

背景

某集团经过多年的经营，公司业务和规模在不断发展，公司管理层和部门也

相识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。

同时随着新建办公大楼、研发大楼和厂房的落成，部门也须要对整个集团的信息化

和企业基础架构进行规划和建设。目前主要分为以下两部分：

楼宇智能化规划和建设方案：主要包括视频监控、门禁系统、语音和数据节

点规划和布线、、大屏幕电子显示屏、机房建设等。

企业基础架构规划和解决方案：主要包括企业局域网基础网络拓扑规划和网

络设备选型、互联网接入和接入、硬件部署和选型、企业信息化基础软件系统规划

和选型等。

本方案主要是针对某集团企业基础架构进行规划，并提出解决方案和进行投

资预算。而关于楼宇智能化规划和建设的方案参见其它相关方案。

企业架构

一般企业的架构状况，本方案主要针对基础架构部分进行规划，并供应选型和部署

参考，关于企业业务应用系统部分的规划和建设请参考其它方案。

企业IT架构

应用系统系统/企业门户/商业智能）安

（ERP全

管

理

基础软件系统（/数据库/数据仓库/中间件）系

统

IT管

基

操作系统（操作系统/虚拟化软件）理

础

架

构计算机系统（服务器/磁盘存储系统/桌面PC）

网络系统（局域网/广域网/互联网/无线网）

网络系统规划

当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用

实力、维护实力、开发实力、实施实力等都普遍较弱，这就要求网络架构成熟、稳

定平安、高牢靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首

要解决的是生存问题，根本没方法做到''先信息化，再做业务〃，因此网络建设实施

要求必需简洁，实施时间必需极短。

企业的组网方案主要要素包括：局域网、广域网连接、网络管理和平安性。详细来

说企业组网需求：

0建立平安的网络架构，总部与分支机构的网络连接；

0平安网络部署，确保企业正常运行；

0为出差的人员供应或者的方式：

0供应智能管理特性，支持阅读器图形管理：

0网络设计便于升级，有利于投资爱护。

企业一般的组网结构如下图，大企业网络核心层一般采纳冗余节点和冗余线路的拓

扑结构，小企业则单线路的连接方式。

通过对i股企业的信息化状况和网络规划要素进行分析，从总体上看，规划方案必

需具有以下特点：

0网络管理简洁，采纳基于易用的阅读器方式，以直观的图形化界面管理网络。

0用户可以采纳多种的广域网连接方式，从而降低广域网链路费用。

0无线接入点覆盖范围广、配置敏捷，便利移动办公。

0便捷、简洁的统一通信系统，轻松实现交互式工作环境。

0带宽压缩技术，高级的应用，有效降低广域网链路流量。

0随着公司业务的发展，全部网络设备均可在升级原有网络后接着运用，有效实现

投资爱护。

0系统平安，保密性高，应用了适合企业的低成本网络平安解决方案。

平安基础网络规划方案

依据对某集团的实际调研，获得了企业的网络需求，以此来制定企业基础网络建设

规划方案和网络设备选型参考：以下供应基础版和企业版两种规划方案

1）网络需求：

企业规划的网络节点为500个，主要的网络需求首先是资源共享，网络内的各个桌

面用户可共享文件服务器/数据库、共享打印机，实现办公白动化系统中的各项功能;

其次是通信服务，最终用户通过广域网连接可以收发电子邮件、实现应用、接入互

联网、进行平安的广域网访问；还有就是公司门户网站和网络通信系统（企业邮箱、

企业即时通信和企业短信平台等）的建立。

2）基础版规划方案

本方案适用于200-300台电脑联网，核心采纳H3CS5500-28或S5500-20交

换机，以千兆双绞线/光纤与接入交换机及服务器连接；用户接入H3cs3100-26

或S3100-52交换机，千兆铜缆/光纤上连核心交换机。出口采纳H3C20-1X多

业务路由器作为出口路由、F1000或者作为平安网关和移动用户的接入网关。网

络拓扑图如下：

网络中心

F1000-C/

U200MSR2dl

Internet

S3100S3100

皂金里

部门

设备选型和部署参考如卜.:

部署位

业务需求设备选型参考配置说明数量

置

数据核心交换机H3CS5500-28全千兆三层核1核心机

心房

或H3CS5500-20

接入层H3CS3100-26接入层支持光电26：15台各楼层

交换机复用千兆上行，或机房

或H3cS3100-5252：8台

支持混合堆叠

路由器H3C20-lx路由器转发率160,256M广2核心机

内存，支持交换模房

块，同异步串口模

块，E1模块，语

音模块，加密模块

平安防火墙H3CF1000或支持应用层报1核心机

H3CU200文过滤房

支持

互联网10M光纤接入电信10M光纤接配静态地址「2核心机

接入入房

方案特点：

0高性价比：能够让中小企业低投资拥有高性能、经济的网络；

0简易性：结构简洁、安装快速、简洁，维护无需配置专职人员；

0高性能：最低投资做到二兆骨干、百兆接入：

0可扩展性：敏捷的网络奥构，能依据用户须要随时扩展，并爱护已有投资。

3）高级版规划方案：

本方案适用于500~800台电脑联网，三层网络结构，万兆骨干，百兆接入：网络

核心层采纳H3CS7500交换机，同时配置相应数量的千兆端口分别连接应用服务

器、接入交换机及其他设备；网络汇聚层采纳H3cs5500-28,独有智能堆叠系

统可实现高密度千兆端口接入，拥有96的全双工堆整带宽，消退网络瓶颈，供应

优于传统中继聚合配置的更好的可用性和弹性；接入层可选择H33100-26或

S3100-52交换机，千兆钢缆/光纤上连核心交换机，或H3cs5100-16/24/48

全千兆交换机，千兆到桌面。网络拓扑图如下：

设备选型和部署参考如下:

部署位

业务需求设备选型参考配置说明数量

置

数据核心交换机H3CS7500(E)系核心支特双引1核心机

列擎双电源，性价房

比最高

汇聚层H3CS5500-28汇聚支持全千兆3各楼层

交换机高速转发，消退或机房

网络瓶颈，同时

支持万兆扩展

接入层H3CS3100-26/52接入层依据不同52：10台各楼层

交换机业务需求供应百或机房

或H3C

兆和千兆接入两

S5100-16/24/48

种选择

路由器H3C50-06路由器H3C新一代平安「2核心机

路由器房

平安防火墙H3CF1000支持应用层报11

文过滤

支持

互联网2050M光纤接入电信2050M光纤配静态地址C2核心机

接入接入房

方案特点：

0高性能，全分布式交换网络;

0高牢靠，无间断的通信环境;

0敏捷弹性的网络扩展实刀；

0高效率的网络带宽利用率；

0全面的部署，多业务融合；

0完善的网络平安策略，实现深度平安检测，抵挡未知风险。

平安无线网络规划方案

无线网络的部署，能够增大员工接入网络的范围，供应更大的上网便利性无论是在

办公室、会议室还是在空间困难的车间，员工都能与网络保持连接，随时随地访问

企业资源，而且可以简化场所的网络布线。平安无线网络解决方案不但能提高员工

的生产效率和协作实力，也能为合作伙伴/客户供应便利的上网服务。依据企业状

况，可以采纳方案：

1）无线网络需求:

能够获得较高的用户接入速率，构建便利的移动办公环境，实现企业的移动网络办

公，成本投入不高，适合简洁、小规模的无线部署。

2）规划方案：

采纳进行组网，协作实现802.lx的认证，可以实现基于时长、流量和包月的计费；

整网通过统一管理。网络拓扑图如下：

设备选型和部署参考如下:

部署位

业务需求设备选型参考配置说明数量

置

无线无线接入1208E双802.11g无线模8各楼层

块

无线平H3C满足用户管理、身1核心机

安份认证、权限限制房

和计费的要求

无线管H3C网管系统支持与、等通用1核心机

理网管平台的集成房

方案特点:

0全面支持802.lli平安机制、802.lie机制、802.11fL2切换机制；

0大范围覆盖：高接收灵敏度，达到-97（一般95）,保证更远覆盖；

0多支持：虚拟方式支持多，最多支持8个虚拟的划分，每个用户可以独立认证;

0兼作网桥运用：模式支持、工作模式；支持连接速率锁定、传输报文整合，提高

传输效率；

0负载均衡：支持基于用户数的负载均衡、基于流量的负载均衡；

0针对各类室外、特别室内应用如仓库等困难环境，可以供应特地的型号。

广域网互联规划方案

伴随企业和公司的不断扩张，公司分支机构及客户群分布口益分散，合作伙伴日益

增多，越来越多的现代企业迫切须要利用公共资源来进行促销、销售、售后服务、

培训、合作及其它询问活动，这为的应用奠定了广袤市场。在方式下，客户端和设

置在内部网络边界的网关运用隧道协议，利用或公用网络建立一条''隧道〃作为传输

通道，问时连接采纳身份认证和数据加密等技术避开数据在传输过程中受到侦听和

篡改，从而保证数据的完整性、机密性和合法性。通过方式，企业可以利用现有的

网络资源实现远程用户和分支机构对内部网络资源的访问，不但节约了大量的资金,

而且具有很高的平安性。

另外，随着企业规模的扩大，分散办公也越来越普遍，如何实现小型分支、出差员

工、合作伙伴的远程网络访问也被越来越多的企业关注。从成本、易用性、易管理

等多方面综合考虑，无疑是一种最合适的方案：只须要在总部部署一台设备，成本

更低，管理维护也很简洁；无需安装客户端、无需配置，登陆网页就能运用。

1）网络需求

1和各有所长，功能互补，对企业来说都是须要的：用于总部和中大型分支互连，

用于为小型分支、合作伙伴、出差人员供应远程网络访问。但传统方法下，企业总

部须要选购两台设备来支持两种，不仅成本更高，而且可能存在策略冲突，导致性

能下降、管理困难。

2）规划方案

融合针对企业的实际须要，一台设备融合/两种，只需剖署在总部，既可以用于为

合作伙伴、出差人员供应远程网络访问，也可以和分支机构进行互连，帮助企业降

低选购、部署、维护三方面成本。

网关选择方面，H3c的防火墙、路由器都能够实现融合，供应应企业更加敏捷的选

择。例如，假如企业特别强调网络平安、性能，就选择防火墙；假如企业更注意多

业务处理实力，如语音通信、3G上网、无线接入等，举荐选择路由器。

在总部局域网边界防火墙后面配置一台或两台双机热备的网关，在分支机构边界防

火墙后面配置一台网关，由此两端的网关建立隧道，进行数据封装、加密和传输;

另外，通过总部的网关供应接入业务：在总部局域网数据中心部署H3c组件，

实现对网关的部署管理和监控；在总部局域网内部或边界部署H3c系统，实现对

分支机构网关设备的自动配置和策略部署。如下图：

设备选型和部署参考如卜.:

部署位

业务需求设备选型参考配置说明数量

置

网络互网关H3CF1000网关总部和大型机构总部1台核心机

连配置F1000型号房

H3CF100网关分支机

或中小型机构配置构按需

F100型号求配置

H3C50路由器

H3C20-IX路由器

网络管H3C帮助用户部署、管1核心机

理理网络房

H3C

假如省内分支机构较多、较分散，但对速率要求不高的连锁型单位，也可以选用电

信或商的服务；

假如多个分支机构间有多点对多点通信需求的企业、商业机构，也可以干脆选用电

信或商的服务。

网络性能指标要求

类型带宽要求线路质量要求

局域网客户端到服务器：10以上，举荐100丢包率小于0.1%

各服务器之间:200M以上，举荐1000延迟小于20

广域网分支机构带宽：每客户端128丢包率小于2%

总部出口带宽；（最大并发数延迟小于50

/3）X128

总部服务器之间：200M以上，举荐

1000

网络平安规划

网络平安是整个系统平安运行的基础，是保证系统平安运行的关键。网络系统的平

安需求包括以下几个方面：

0网络边界平安需求

0入侵监测与实时监控需求

0平安事务的响应和处理需求分析

这些需求在各个应用系统上的不同组合就要求把网络分成不同的平安层次。

我们针对企业网络层的平安策略采纳硬件爱护与软件爱扩，静态防护与动态防护相

结合，由外向内多级防护的总体策略。

依据平安需求和应用系统的目的，整个网络可划分为六个不同的平安层次。详细是；

。核心层：核心数据库；

0平安层：应用信息系统中间件服务器等应用；

0基本平安层：内部局域网用户；

0可信任层：公司本部与营业部网络访问接口；

0危急层：C

信息系统各平安域中的平安需求和平安级别不同，网络层的平安主要是在各平安区

域间建立有效的平安限制措施，使网间的访问具有可控性。详细的平安策略如下：

核心数据库采纳物理隔离策略

应用系统采纳分层架构方式，客户端只须要访问中间件服务器即可进行口常业务处

理，从物理上不能干脆访问数据库服务器，保障了核心层数据的高度平安。

应用系统中间件服务器实行综合平安策略：

应用系统中间件的平安隐患主要来自局域网内部，为了保障应用系统中间件服务的

平安，在局域网中可通过划分虚拟子网对各平安区域、用户和平安域间实施平安隔

离，供应子网间的访问限制实力。同时，中间件服务器本身可以通过配置相应的平

安策略，限定经过授权的工作站、用户方能访问系统服务，保障了中间件服务器的

平安性；

内部局域网实行信息平安策略：

公司本部及营业部内部局域网处于基本平安层的网络，主要是对于平安防护实力较

弱的终端用户在运用，因此考虑的重点在于两个方面，一个是客户端的病毒防护，

另一个是防止内部敏感信息的对外泄露。因此，通过选用网络杀毒软件达到内部局

域网的病毒防护，同时，运用专用网络平安设备（如硬件防火墙）建立起有效的平

安防护，通过访问限制等平安策略的配置，有效地限制内部终端用户和外部网络的

信息交换，实现内部局域网的信息平安。

公司本部与下属机构之间网络接口实行通讯平安策略：

处于可信任层的网络，其平安主要考虑各下属单位上传的业务数据的保密平安，因

此，可采纳数据层加密方式，通过硬件防火墙供应的隧道进行加密，实现关键敏感

性信息化广域网通信信