集團(tuán)網(wǎng)絡(luò)改造(V3)方案
建設(shè)目標(biāo)
在本方案中,我們力爭做到在充分分析中海石油財務(wù)有限責(zé)任公司網(wǎng)絡(luò)系統(tǒng)改造項目現(xiàn)階段實際需要的基礎(chǔ)上,考慮未來幾年之內(nèi)的發(fā)展?fàn)顩r,結(jié)合我們自身的資源和技術(shù)優(yōu)勢,提出一個相對來說比較完整、全面、具有較高的可實施性、技術(shù)領(lǐng)先又切合實際的長期建設(shè)規(guī)劃。特別是結(jié)合中國體育總局的“規(guī)范”要求和實際系統(tǒng)的實施,為構(gòu)造安全的計算機(jī)系統(tǒng)進(jìn)行充分的論證。
我們深知,隨著中海石油財務(wù)有限責(zé)任公司業(yè)務(wù)的穩(wěn)健發(fā)展,這只是整個工程的第一步,正如建造一幢大廈,在打下第一塊基石之前,就應(yīng)該有一個完整的建設(shè)藍(lán)圖。我們真切地希望通過我們的努力,能夠為各位領(lǐng)導(dǎo)提供最具價值的參考建議,并且通過我們之間的密切合作,為未來的業(yè)務(wù)需求打下堅實的基礎(chǔ)。
在本方案的設(shè)計過程中,我們認(rèn)真體會中海石油財務(wù)有限責(zé)任公司網(wǎng)絡(luò)系統(tǒng)改造項目的實際需求和海油機(jī)構(gòu)的信息系統(tǒng)安全要求,并且從中得到了啟發(fā)。我們的目標(biāo)是為您建設(shè)一個穩(wěn)定、高效、先進(jìn)、安全、可維護(hù)性強(qiáng)的網(wǎng)絡(luò)系統(tǒng)。
需求分析
此次中海石油財務(wù)有限責(zé)任公司網(wǎng)絡(luò)系統(tǒng)改造項目信息系統(tǒng)建設(shè)是一個在以有系統(tǒng)上衍生出來的一套擴(kuò)展網(wǎng)絡(luò)系統(tǒng),網(wǎng)絡(luò)總的設(shè)計原則是為網(wǎng)絡(luò)提供備份功能,通過網(wǎng)絡(luò)設(shè)備實現(xiàn)自動切換,新系統(tǒng)和原有系統(tǒng)提供無縫對接。通過新架設(shè)的網(wǎng)絡(luò)設(shè)備對新規(guī)劃的在網(wǎng)絡(luò)系統(tǒng)提供冗余備份,對所有設(shè)備進(jìn)行管理。整個網(wǎng)絡(luò)系統(tǒng)達(dá)到高速、可靠。針對于此,我們首先從三方面描述貴公司提出的網(wǎng)絡(luò)系統(tǒng)設(shè)計需求,包括:系統(tǒng)規(guī)模需求、系統(tǒng)結(jié)構(gòu)及功能需求和系統(tǒng)設(shè)備需求。然后,結(jié)合公司多年從事系統(tǒng)集成的經(jīng)驗以及對體彩公司未來發(fā)展前景的理解來總結(jié)網(wǎng)絡(luò)系統(tǒng)的設(shè)計需求。
系統(tǒng)整體架構(gòu)
核心網(wǎng)絡(luò)設(shè)備是兩臺高性能 cisco WS-C4948-E 交換機(jī)
隔離網(wǎng)絡(luò)設(shè)備是兩臺 cisco ASA5520-BUN-K9 防火墻
邊緣網(wǎng)絡(luò)設(shè)備兩臺 cisco CISCO2911
核心交換機(jī)采用兩臺 WS-C4948-E ,同時使用 Spanning-Tree 技術(shù)提供交換網(wǎng)絡(luò)冗余連接。兩臺核心交換機(jī)之間采用 2 個 1000M 端口互相連接,利用 CISCO GEC 技術(shù)使中心交換機(jī)之間的鏈路帶寬達(dá)到 2000M 。同時,每臺交換機(jī)通過千兆端口連接到每臺被管理設(shè)備端口。 WS-C4948-E 采用 HSRP 技術(shù)使兩臺交換機(jī)之間互為備份,應(yīng)用(前置機(jī))流量通過劃分 VLAN 到核心交換機(jī),與交換機(jī)連接所有設(shè)備端口工作在二層。交換機(jī)與防火墻之間運行路由選擇協(xié)議為靜態(tài)。 WS-C4948-E 支持 CISCO 的智能交換技術(shù)以及其他的多種技術(shù),滿足了中海石油財務(wù)有限責(zé)任公司的現(xiàn)有的網(wǎng)絡(luò)需求。
隔離防火墻采用四臺 ASA5520-BUN-K9+SSM-4GE 板卡,防火墻采用主備模式,劃分為 2 組應(yīng)用,共劃分為 10 個區(qū)域,其中第 1 組防火墻 6 個端口劃分 6 個區(qū)域, 3 個端口連接交換機(jī)內(nèi)區(qū)域, 3 個端口連接路由器外區(qū)域。其中第 2 組防火墻 4 個端口劃分 4 個區(qū)域, 2 個端口連接交換機(jī)內(nèi)區(qū)域, 2 個端口連接路由器外區(qū)域。每臺防火墻使用 2 端口作為故障倒換端口,使用 Failover 技術(shù)提供防火墻冗余連接 , 防火墻之間的冗于類型為主備模式 , 實現(xiàn)了故障切換 , 為將網(wǎng)絡(luò)中的設(shè)備出現(xiàn)故障的可能性降至最低提供了一種方法。根據(jù)業(yè)務(wù)的實際需求設(shè)置相應(yīng)的策略 , 允許特定流量進(jìn)入應(yīng)用(前置機(jī))網(wǎng)絡(luò) , 拒絕其它流量進(jìn)出。 設(shè)備管理方式采用 Telnet 的管理地址。 防火墻運行路由選擇協(xié)議為靜態(tài)路由。
邊緣路由器采用兩臺思科 CISCO2911 ,為本次項目提供 2M 專線接入 . 其中一個 100M 接口與防火墻相連 , 一個 100M 接口與另一個路由器互連 , 串型接口與銀行端部分相連 . 內(nèi)網(wǎng)接口 IP 構(gòu)成設(shè)備管理地址 , 路由器運行路由選擇協(xié)議為靜態(tài)路由。
前置機(jī)冗余部署
為保證前置機(jī)業(yè)務(wù)的不間斷性,為每臺前置機(jī)配置了一臺備用機(jī),以滿足當(dāng)前置機(jī)出現(xiàn)故障時能夠得到及時切換。同時每臺前置機(jī)通過兩條鏈路連接至核心交換機(jī)避免因為鏈路故障而導(dǎo)致前置機(jī)以及核心交換機(jī)的頻繁切換。
設(shè)備冗余 :前置機(jī)雙機(jī)冷備,手動切換。
線路冗余 :前置機(jī)雙鏈路連接至主、備核心交換機(jī),鏈路自動切換。
核心交換機(jī)熱備份部署
核心交換機(jī)是負(fù)責(zé)數(shù)據(jù)交換的主要設(shè)備,同時承載前置機(jī)到網(wǎng)絡(luò)的接入,因此在核心交換上進(jìn)行 HSRP 熱備份部署,對數(shù)據(jù)交換的持續(xù)性是一種有效的手段。
設(shè)備及鏈路冗余 :雙核心交換機(jī) HSRP 熱備份,設(shè)備或線路出現(xiàn)故障后自動進(jìn)行切換。
防火墻熱備份部署
防火墻為前置機(jī)及銀行端數(shù)據(jù)提供網(wǎng)絡(luò)安全功能,兩臺防火墻之間采用主 --- 備方式形成熱備份組,組 1 負(fù)責(zé)對銀行端 1 、 2 、 3 的數(shù)據(jù)進(jìn)行安全防護(hù),組 2 負(fù)責(zé)對銀行端 4 、 5 的數(shù)據(jù)進(jìn)行安全防護(hù)。一旦網(wǎng)絡(luò)出現(xiàn)設(shè)備或者線路故障時,防火墻會相應(yīng)進(jìn)行切換,以避免數(shù)據(jù)終端。
設(shè)備冗余 :當(dāng)主防火墻出現(xiàn)物理故障或者上級主交換機(jī)出現(xiàn)物理故障時,防火墻會發(fā)生主備切換。切換動作自動進(jìn)行,前端機(jī)及路由器不會發(fā)生切換。
線路冗余 :主、備防火墻至主、備核心交換均有線路,互為備份,當(dāng)此線路出現(xiàn)故障時會自動切換至備用線路。
路由器熱備份部署
為了保證到銀行端網(wǎng)絡(luò)的連通性,采用兩臺路由器采用主、備的熱備份方式,分別接入一條廣域網(wǎng)專線,互為備份,沒兩臺路由器到兩臺防火墻采用橋接的連接方式,可靈活的實現(xiàn)路由器及防火墻故障引起的切換。
設(shè)備冗余 :雙路由器采用 HSRP 進(jìn)行熱備份,當(dāng)主路由器出現(xiàn)故障時,會自動進(jìn)行主備切換,備份路由器使用備份線路繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)。
線路冗余 :雙廣域網(wǎng)線路可保證在一條線路失效的情況下數(shù)據(jù)不中斷,同時路由器與防火墻間也存在備用線路,每臺路由器與主、備防火墻間都連有連接,當(dāng)由于防火墻或者到防火墻的線路發(fā)生故障時,主路由器會采用另外一條鏈路與備用防火墻進(jìn)行通信,而不用切換至備用路由器,這樣就減少了因故障導(dǎo)致路由器以及專線切換的范圍。