電子資料中心設計方案v1

本文件根據大連市人力資源和社會保障檔案中心（電子檔案中心）建設需求，描述了在系統整合專案的實施範圍，目標和要求以及資訊保安保障體系要求等。

本文件主要從伺服器、儲存及交換機等裝置的選型，電子資料中心機房建設部署，新網路設計，網路安全，系統所用軟體和綜合佈線系統等方面的詳細內容說明。為電子資料中心機房的建設和公升級提供技術方案支援。

大連市人力資源和社會保障檔案中心機房建設專案

建設大連市人力資源和社會保障檔案中心（電子檔案中心）伺服器系統，為應用系統的執行提供基礎主機環境。

伺服器及資料儲存是電子資料中心系統建設及配套系統執行的基礎硬體系統。部署在電子資料中心機房。根據應用系統設計和資料量估算，本次工程所需伺服器及儲存裝置及用途如下：

pc伺服器要面對眾多的使用者，接受所有使用者的請求，而且還必須安裝、儲存許多大容量的伺服器專用系統、軟體，以及其它一些資料庫檔案，這都要求伺服器的硬碟容量要足夠大。以前因為硬碟容量比較小（早期的才幾百兆），所以通常採取磁碟矩陣，在伺服器的磁碟架上並列安裝許多磁碟，雖然這不僅是用於提高整個伺服器磁碟容量，但這在當時提高磁碟容量也是主要目的之一。

配置規格描述：

兩顆intel xeon e7-4800 v2八核cpu，64g記憶體，3塊600g硬碟，raid控制器，千兆網絡卡，冗餘電源

pc伺服器需求列表：

為電子檔案中心系統提供資料庫伺服器支援，安裝oracle資料庫，建立目錄資料庫、全文資料庫和**庫。

x6800是面向業務優化的資料中心伺服器，支援豐富的伺服器節點，為應用提供多種密度、效能的伺服器選擇，可靈活滿足不同業務對計算、儲存和i/o的彈性配置需求，適用於雲計算、大資料時代多種伺服器應用場景，是雲資料中心it基礎設施的理想選擇。

配置規格描述：

4顆intel xeon 八核cpu，128g記憶體，8塊600gb 硬碟，raid卡，千兆網口，hba卡，fc 8gb介面，冗餘電源

存放檔案中心備份出的目錄資料和原文資料。

企業級儲存通常比「中端」儲存更勝一籌。它具備以下一種或多種重要的系統功能或屬性：

能夠將正在使用的資料動態從一條路徑重新路由到另一條路徑，避免瓶頸和提供優質服務

能夠維持資料可用性，避免資料完整性問題，即使發生多個故障時也是如此

在故障發生之前、發生時和發生後優化系統效能的自動功能

在複製和映象期間，提供可靠支援來維持資料一致性

能夠連線到大型機並滿足它們的獨特需求

隨著企業網路資料的不斷增加和網路應用的頻繁，許多企業開始意識到需要專門構建自己的儲存系統網路來滿足日益提公升的資料儲存效能要求。當前，最為熱門的資料儲存網路就是san（storage area network，儲存區域網路），就是把整個儲存當做乙個單獨的網路與伺服器所在企業區域網連線。

它的特點就是採用傳輸速率較高的光纖通道與伺服器網路，或者san網路內部元件的連線，這樣，整個儲存網路就具有非常寬的頻寬，為高效能的資料儲存提供了保障。

配置規格描述：

40口光纖交換機，40個埠全啟用，埠速率8gb/s

網路負載均衡允許使用相同的群集 ip 位址集指定群集中所有計算機的位址，並且它還為每個主機保留一組唯一專用的 ip 位址。對於負載平衡的應用程式，當主機出現故障或者離線時，會自動在仍然執行的計算機之間重新分發負載。當計算機意外出現故障或者離線時，將斷開與出現故障或離線的伺服器之間的活動連線。

但是，如果您有意關閉主機，則可以在使計算機離線之前，使用 drainstop 命令處理所有活動的連線。任何一種情況下，都可以在準備好時將離線計算機明確地重新加入群集，並重新共享群集負載，以便使群集中的其他計算機處理更少的流量。

配置規格描述：

6個千兆乙太網埠，雙核cpu，4g記憶體，冗餘電源

根據電子檔案中心專案需求，本次網路公升級改造所需的網路裝置用途及電子檔案中心網路拓撲如下：

銳捷rg-s7800核心交換機2臺，形成雙機並行，保證網路的高可用性、可靠性，用於構建交換機網路核心；

銳捷rg-s5750匯聚交換機4臺，有效的抗擊惡意ip位址掃瞄，防止dos攻擊，增加各種硬體acl訪問控制許可權；

銳捷rg-s5750-l接入層交換機10臺，作為網路終端裝置的接入裝置；

深信服ad-1600負載均衡2臺，為網路鏈路和應用伺服器提供智慧型選路和負載均衡；

核心路由器2臺，互作備份，用於接入外聯網路。

核心區的功能是為中心所有核心業務及非核心業務提供網路服務，也是各區域之間的連線樞紐。這個區域包含核心的資料庫系統與業務伺服器系統。因此，在其與其他區域連線的區域邊界採用防火牆實現隔離與訪問控制。

防火牆能夠根據資料報的源位址、目的位址、傳輸層協議、埠（對應請求的服務型別）、時間、使用者名稱等資訊執行訪問控制規則。

核心交換由兩台雙機熱備的核心交換機構成。核心交換機設計技術決定著其未來發展方向，在大資料流量、複雜應用環境下進行組網，這對於整個核心交換機系統無疑是災難性的，所以資料平面需要嚴格地與控制平面、管理平面進行分離。核心交換機的設計體系對於核心交換機而言是最為基礎和最為重要的，它極大地決定了核心交換機的處理能力和業務支援能力。

匯聚層交換機內部內嵌了安全策略（如內制的防dos攻擊、防ip掃瞄機制），保證資料報路由**功能不受ip掃瞄和攻擊的影響。igmp源埠和源ip檢查功能對非法組播源的防範和控制，以及對各種硬體acl（如專家級acl、時間acl等）的訪問許可權控制，都為網路健壯地運營提供了保證。

接入區的功能是為機關及各個辦事處業務提供網路服務。

根據國家等級保護要求，網路安全設計應具備結構安全、訪問控制、安全審計、運維審計、防火牆等網路裝置的保護功能。具體要求如下表所示：

通過以上分析，電子資料中心網路安全應按如下設計：

防火牆，就是內部網與外部網之間的介面上構造乙個保護層，並強制所有的連線都必須經過此保護層，在此進行檢查和連線。只有被授權的通訊才能通過此保護層，從而保護內部網路資源免遭非法入侵。

防火牆特點：

保護那些容易受到攻擊的服務

防火牆能過濾那些不安全的服務，只有設定被容許的服務才能通過防火牆，這樣就降低了受到非法攻擊的風險性。

控制對特殊站點的訪問

防火牆能控制對特殊站點的訪問，如有些主機能被外網訪問，而有些需要保護起來。

集中化的安全管理

防火牆實現安全保護的前提是內部與外部的資訊交換必須通過該控制點。換言之，內部網與外部網具有唯一的通道，這樣所有的安全技術與措施都可以集中在該控制點。

對網路訪問訪問進行記錄和審計

防火牆能夠記錄所有訪問的詳細審計資訊，以及網路使用情況的統計資料，當發生可疑動作時，防火牆發出告警，並提供網路是否受到探測和攻擊的歷史資料便於分析。

資料庫審計系統能對系統的資料庫訪問操作記錄進行審計和監管，降低資訊洩露和資訊篡改風險，即當有內部人員通過非法操作時能審計到該非法操作的時間、人員和具體查詢內容等，可以根據設定的規則，智慧型的判斷出違規操作的行為，並對違規行為進行記錄、報警，詳細記錄資料庫操作資訊，並提供豐富的審計資訊查詢方式和報表，方便安全事件定位分析，事後追查取證。

運維審計系統能夠防止網路裝置眾多、人員複雜等因素造成終端的賬號和密碼越權訪問、疏忽洩密等事件。運維審計系統採用高強度的認證方式對使用者訪問it系統的認證入口集中化和統一話，能夠對資訊員和管理員常用的訪問方式進行監控和審計，實現對使用者行為的控制、追蹤、判定，滿足網路系統對安全性的要求。對運維人員進行許可權分配，並對賬號和密碼進行託管，全方位記錄運維過程，準確還原現場操作。

審計系統能夠對telnet、relogin、ssh等各種運維關鍵操作進行記錄，從而為事後的取證分析和責任界定提供依據。

電子資料中心設計方案v1

資料中心設計方案

機房搬遷設計方案V1

資料中心消防裝置技術設計方案

電子資料中心設計方案v1

資料中心設計方案

機房搬遷設計方案V1

資料中心消防裝置技術設計方案

相關推薦