人才市场信息中心-网络技术方案

1、人才市场数据中心网络平台建设解决方案神州数码网络有限公司2012-2内容第一章，数据中心网络平台建设计划31.1。总体设计概述31.2。数据中心运营和维护管理中心51.3。数据中心互联网出口解决方案71.4。网络行为监控91.5。网站应用安全保护解决方案10第一章，数据中心网络平台建设规划1.1。总体设计概述本项目将优先建设新的数据中心，为XX信息公共服务平台建设良好的基础设施。首先，建立双核数据中心交换机DCRS-6804E，并以冗余方式连接到边缘多核安全网关DCFW-1800E-8G。高端路由器DCR-7803部署在数据中心的互联网出口，负责高速网络地址转换处理和多出口链路负载平衡。WAF

2、网站应用防火墙设备部署在数据中心交换机和每台服务器之间，为应用层提供24小时不间断的安全保护，同时提供防篡改服务。网络架构如下：根据本方案的结构稳定、高可靠性、高稳定性和高技术性能的原则，我们建议使用两台DCRS-6804E作为数据中心的核心交换机。为了提高服务器的安全性和数据流量的负载分担，在核心交换机和服务器之间悬挂一个DCFW-1800E-WAF506，通过WAF506负载均衡功能实现服务器的集群负载。同时，WAF506的反DDOS攻击、敏感信息过滤、网页防篡改、漏洞扫描等功能可以实现对网站服务器的全方位三维保护。互联网出口使用数字中国高端安全网关DCFW-1800E-8G，它连接到电信

3、和移动出口，并配置有出口多链路负载平衡。DCRS-6804E采用控制平面和数据平面完全分离的架构。无论两个DCRS-6804E中的哪一个以太网出现故障，另一个DCRS-6804E交换机都可以转发所有数据而不会丢失数据包。同时，我们为每个开关使用双电源冗余，以确保设备的稳定运行。DCRS-6804E交换机的交换容量超过1.2兆位/秒，支持各种数据类型接口，如10千兆位和千兆位以太网。其强大的转发性能和丰富的接口可以充分保证数据的线性转发。在本项目中，作为核心交换机，我们建议配置一个10兆瓦模块，用于两台DCRS-6804E的互联。我还建议配置一个24端口的以太网接口卡来连接管理系统、审计系统和服

4、务器区域，并为将来的升级保留一些端口。同时，12千兆位光学接口被配置为与出口安全网关连接，或者用作场外备用以太网光学接口。DCRS-6800E系列是一款基于数字中国网络商业智能核心理念的多业务10Gb路由交换机。该产品具有成熟的IPv6特性、线速MPLS L2/L3虚拟专用网功能、多平面分离的高可靠性设计、高性能的L2/L3交换、丰富精细的服务质量策略、对融合业务的强大支持以及集成的安全功能。它可以帮助用户有效地提高业务效率和业务竞争力。在该项目中，两个思科6509E集成了高性能的WS-SVC-FWM-1-K9模块和ACE20-MOD-K9模块，与能够提供720千兆位/秒的SUP720高性能引

5、擎协作，形成虚拟交换系统(VSS)架构。两台思科6509E可以虚拟化成一台双引擎高性能安全、载重的军用设备。为了安全控制进入UCS统一计算平台的数据流量，减少故障点，保证各个服务器的稳定运行，可以使用ACE20-MOD-K9对数据流量进行负载共享。WS-SVC-FWM-1-K9防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块，可支持多达250个虚拟防火墙，每个虚拟防火墙都有独立的系统资源和自己的独立路由表。5Gb吞吐量和100万个并发连接。一台设备可以安装多达四个FWSM，因此每台设备可以提供高达20Gb的吞吐量。ACE20-MOD-K9采用了一套智能第4层负载

6、平衡和第7层内容交换技术。它使用虚拟化架构和基于角色的管理来支持系统和会话冗余，并且可以在系统或网络出现故障时自动切换到备份思科ACE。切换可以自动发生，无需人工干预。支持状态故障转移，为企业网络环境提供灵活的网络保护。支持活动和备用冗余拓扑以及配置同步。在本项目中，虽然主防火墙模块和备用防火墙模块分别插入到两个Cisco6509E机器框架中，但由于VSS体系结构，它们在逻辑上被认为是在同一台交换机中。两个FWSM模块通过背板中继连接，采用主备(A/S)模式，通过两对VLAN实现故障转移状态监控和状态同步。在同样的原则下，两个ACE模块以A/S模式运行，两个模块的状态监控也通过VLAN进行，从

7、而实现主备的始终冗余。在我们这次的数据中心建设中，4端口全速限制10万亿模块(WS-X6704-10GE)被配置为连接非vDC的虚拟化Nexus 7010。逻辑结构流量将再次通过Nexus 7010虚拟机3，从核心交换机Nexus 7010虚拟机4到思科6509E防火墙模块，然后到思科6509E负载平衡模块，然后到Nexus 7010虚拟机2，最后到UCS统一服务器平台。这样，不仅可以减少多种服务的多种硬件投资，而且思科6509E强大的可扩展性将有助于后期防火墙和负载平衡性能的提高。1.2。数据中心运营和维护管理中心一个好的管理系统可以给数据中心管理员带来很大的帮助，减少许多复杂的日常事务。数

8、据中心通过部署LinkManager AM运维管理系统，自动监控数据中心网络设备、服务器、中间件、数据库、业务应用、安全设备、存储设备、基本协议等应用的运行状态。该系统使系统管理者能够通过浏览器动态、直观、全面地了解整个信息系统的运行状态，从而大大提高了信息部门的管理效率和服务水平。LinkManager AM主要由资源监控和运行管理两个子系统组成：一、应用监控该系统提供100多种显示器。它支持通过SNMP轮询、SNMP陷阱、系统日志、CLI(远程登录、SSH)和其他协议或UniAgent代理对资源进行远程或代理监控。用户可以根据实际环境采用合适的监测和采集方法进行数据采集和监测。服务器监控链

9、路管理器可监控磁盘、中央处理器、内存利用率、进程、磁盘输入输出网卡流量和其他信息，包括AIX、HPUX、Solaris、视窗、SCO Unix、Linux、FreeBSD和其他系统数据库监控LinkManager AM可以监控Oracle、Sybase、Informix、DB2、SQLServer、MySQL可用性、连接数、读写命中率、表空间、数据文件大小、数据库访问和其他信息中间件和群件管理LinkManager AM可以监控IBM WebSphere、MQSeries、BEA WebLogic、Tuxedo、Lotus Domino、Tibco、JAVA平台和。NET平台。基本应用监控链接

10、管理器可以监控包括信息系统、阿帕奇、交换、Lotus Domino在内的HTTP和邮件服务，以及其他常见的HTTP、EMAIL、FTP、DNS、LDAP和其他服务。网络设备监控Linkmanam可以监控普通SNMP网络设备的ping延迟、端口状态、CPU、内存利用率和SNMP工作状态。房间环境监控除了监控网络硬件和软件外，LinkManager AM还可以监控机房相关环境，如不间断电源、机房空调等。(这些设备需要自己的支持和管理)。二。运行和维护管理运行维护管理主要由两部分组成：运行显示和过程运行维护。操作显示包括故障监控、网络拓扑显示、业务应用显示、统计报表显示、资源显示等。过程运行维护包括

11、值班服务管理、工单管理等。智能控制中心警报监控视图异常视图：显示当前运行异常和相关报警事件的所有系统。业务视图：以业务应用程序为主线显示监控项目。报警视图：根据报警来源、分类、级别等显示所有报警信息。网络拓扑视图：以网络方式显示企业网络或系统，并通过逐层导航显示各级的运行状态和性能报告。便于全面掌握业务的运作。操作维护用户声明接受用户通过网络、邮件、电话等方式申报的故障信息和业务应用。服务员根据申报表的内容决定是否发送工作单。值班管理，值班管理实现统一的电子值班管理。换班：提供换班管理功能，实现日常工作的无缝交接。集中报警管理报警统一访问：通过丰富的协议和接口访问各种信息技术事件。报警关联处理

12、：系统具有较强的关联处理能力，对报警信息进行关联处理，有效过滤、合并和压缩报警信息，提高报警信息的准确性。报警集中显示：所有报警信息集中显示。您可以按类别浏览所有报警信息，并查看详细的报警信息。报警统一通知：系统通过各种报警通知方式，及时将报警事件通知相关运行维护人员进行跟踪处理，并支持信使、电子邮件、语音等报警通知方式。报警统一处理：对报警事件进行统一处理，并跟踪整个处理过程。或者根据报警处理策略。劳动管理报告中心所有查询都是针对每个操作系统的当前和历史操作，并生成各种分析报告和图表，如：网络操作统计、服务器操作统计、中间件/数据库操作统计、业务应用操作统计、工单统计。资源管理资源管理模块可

13、以定期自动检查资产，维护新资产的信息，维护资产的变化等。资源管理模块提供设备管理、项目管理、应用系统管理、知识库管理等。并且彼此相关。例如，所有与合同相关的设备信息和维护记录都可以通过项目查看，相应的业务系统和相关知识信息也可以通过设备查看。设备管理：建立设备台帐，记录设备的所有维护信息。通过设备帐户，用户可以快速找到“谁注册了设备，谁维护了设备，以及谁对设备负责”。设备信息属性可以动态扩展。可以在整个生命周期中维护设备。项目管理：建立项目账户，包括合同号、名称、价格、签署日期、项目各方信息、人员名单、进度计划、相关资源等。提供完善的项目生命周期管理，可以根据合同对项目的进度、采购、库存、成本

14、、质量和安全进行有效管理，使项目管理和难以理清的合同事务变得有章可循。软件应用系统管理：记录各种软件应用系统(服务器操作系统、数据库、中间件、业务应用等。)运行在网络中的服务器上，并随时定期跟踪网络中软件应用系统的具体情况。知识库：知识库主要关注知识的积累1.3。数据中心互联网出口解决方案近年来，随着信息技术的飞速发展，尤其是Web2.0的广泛应用，如何解决业务变化和业务快速发展带来的资源和成本压力。互联网出口领域仍然面临许多挑战。数据中心内外带宽的不平衡导致数据中心互联网出口建设相对滞后，一度成为数据中心信息化建设的短板。通过深入分析数据中心出口面临的一些问题，我们将数据中心出口建设需求总结

15、如下：出口设备需要具有高加工性能和高吞吐量。为了满足多运营商出口的接入需求，该设备应该具有10万亿的吞吐能力。高安全性能可以有效防止来自外部网络的各种攻击、病毒和扫描。能够准确识别各种应用层流量，限制非法流量，保证关键服务的服务质量。针对不同的网络对象实施精确的带宽策略，并且带宽管理对用户来说是准确的。出站多链路可以支持高性能负载平衡和策略路由，并集成主要ISP的路由表。提供详细的出口访问日志记录，实现智能反查。设备应尽可能简化，防止“糖葫芦”式的人员过剩出口。本发明可以实现IPv4/IPv6双栈安全过滤，解决未来下一代互联网出口安全的弱点基于上述对数据中心互联网出口现状和需求的深入了解，神州

16、数码网推出了针对XX数据中心互联网出口领域的六位一体出口解决方案：互联网的发展已经进入了一个全新的阶段。web2.0、电子商务、网络娱乐等应用已经深入人心。构建新一代可视化、高效、易于管理的出口已成为数据中心信息网络发展的必由之路。数字中国网络六位一体出口解决方案采用多核安全网关多核USG，凭借卓越的产品性能、丰富的产品功能和紧凑的拓扑设计理念，必将成为XX数据中心互联网出口建设的最佳合作伙伴。程序特征：1.一个设备可以解决整个网络出口的安全问题，避免传统糖葫芦的堆积。2.实施集成的安全管理策略，包括地址转换、病毒检测和清除、安全防御、负载平衡、行为管理、远程访问等。1.4。网络行为监控在满足

17、互联网出口的基本功能后，还需要增加日志审计方法，以满足公安部82号令的要求，丰富数据中心的网络行为监控方法。数字中国DCBI-网志在线行为日志系统就是为满足这一需求而创建的。它可以详细记录互联网访问者的网络行为，包括访问的网址、源/目的地的IP、源/目的地的端口、互联网访问时间和流量数据，从而为审查互联网访问行为和实现各种统计功能提供了一个安全的数据源。详细的行为记录、日志是全面的：丰富统计报告，掌握民意趋势；1.5。网站应用安全保护解决方案公安部第82号令要求门户网站防止网页被篡改，并在被篡改后自动恢复。它还需要网络舆情监控、预警和事后协调。常见的“ASP木马”可以通过上传到网站来任意修改网站的网页，导致网页被篡改。通常，一些数据调用将使用SQL语句，并且经常存在SQL注入漏洞，这将导致数据库信息被窃取或销毁。D