机房建设方案

卓信集团IT基础平台建设规划目录1.1整体拓扑设计............................................................31.2机房基础设施建设.....................................................41.3网络及网络安全系统建设..........................................81.3.1网络带宽设计..................................................81.3.2设计方案概述..................................................91.3.3万兆以太网技术的应用....................................91.3.4本地流量负载均衡的实现..............................101.3.5边界防护-防火墙...........................................111.3.6监控检测体系建设-入侵检测.........................121.4服务器系统建设......................................................141.4.1服务器主机分类及选型..................................141.4.2服务器虚拟化................................................15虚拟化概述.........................................151.4.2.1本项目虚拟化平台设计........................181.4.2.21.4.3应用服务器负载均衡.....................................191.4.4数据库服务器集群.........................................191.5存储及备份系统建设...............................................201.5.1存储容量及分层存储.....................................201.5.2存储技术选择................................................201.5.3备份体系的选择............................................211.5.4存储备份系统方案概述..................................231.1整体拓扑设计1.2机房基础设施建设具体需根据机房实际情况而制定建设方案，机房建设参考配置如下：名称技术参数或技术要求单位数量备注IDC机房建设地面机房地面应先做防水处理：在机房周边砖砌门槛防止室外的水流入；空调室内机下、地板内砖砌防水围堰，防止空调水流入机房；铺设600*600mm加厚型全钢防静电地板，地板铺设高度为300mm，机房入口处铺塑胶地板。机房总面积待定。批1墙面墙体表面抹光找平，刷乳胶漆饰面；采用单面铝塑板贴面，接缝处采用玻璃胶封边。批1吊顶确定强电、弱电、照明、消防管线以及通风等管槽的吊挂标高；吊杆采用通丝，固定件采用内胀螺栓；吊顶材料选用铝扣板。批1机房门全密封，门框采用足1.2mm厚不锈钢板（要求用304材质），门板采用足1.0mm厚不锈钢板（要求用304材质）；整扇门要用防火等相关材料填充成实心门；配置磁力锁及IC读卡装置；门内空高、门内空宽、门框宽、门槛高等参数须经实际测量定制。套1窗户密封对现有机房内的窗户，内测做密封防水处理，外侧加装防盗网。批1强电用电设备设计视在功率为30KVA；机房的动力配电从所在建筑的总配电室引接，配电设备采用落地式动力配电柜；需考虑UPS输入、输出设计，所有机柜内设备均接UPS输出；每个机柜配置独立的供电线路；空调配置独立的供电线路；机房区域设计安装不锈钢格栅荧光灯，机房区设计照度不低于300lx；机房内设应急照明，设计照度大于10lx。批1UPS30KVAUPS主机，延时4小时；需考虑承重。套1防雷接地机房拟与所在建筑采用共用接地系统。在市电进线端、UPS的输入、输出端安装套1B+C级防雷器。弱电系统设计3套机柜，其中1套网络机柜，2套服务器机柜；网络机柜至各服务器机柜两端均配置24端口六类非屏蔽模块化配线架；机柜顶部配置不锈钢网格式弱电桥架。批1空调系统单冷机房专用精密空调；上送风,下回风；12KW；中文屏幕显示，具有多级密码保护，配备标准RS485监控接口；具备来电自启动功能；具备主备机切换功能，实现机组自动切换及轮值。套2新风系统根据机房实际环境设计新风系统，应包含吊顶式新风机、百叶风口、管道风机、新风管道、送风管、风管保温、调节阀送风口等。批1消防系统采用柜式七氟丙烷气体灭火系统，灭火方式采用全淹没保护方式；需配置储气罐（含气体）、自动灭火控制器以及相关感应设备；消防系统的气体需量实施时根据机房实际空间容量计算；系统安装完毕后需通过专业机构验收。套1机柜42U，宽度800mm,深度1000mm；黑色；SPCC优质冷扎钢板制作，框架3.0mm厚度，方孔条厚度2.0mm厚度，其他1.2mm厚度；机柜内配置4块挡板；配置2套12个以上C14接口PDU（垂直安装）套3KVM一体机1U高度；16路输入；17吋液晶；1440x900分辨率，标准键盘，触控板鼠标；支持菜单、热键、按钮等切换方式；16套USB接口信号线。套11.3网络及网络安全系统建设1.3.1网络带宽设计随着IP业务的爆炸性增长，对网络带宽的需求越来越大，由于IP业务量本身不确定性和不可预见性，因此在构建基于IP的网络基础设施时,带宽容量成为网络建设以及规划中一个必须考虑却又难以把握的重要内容。承载各种网络应用的带宽容量瓶颈不打开，网络应用的发展空间就会捉襟见肘。本项目主要依托互联网建设，根据以往项目经验，互联网和VPN网络配置100M以上的出口带宽是必要的，也是符合卓信集团的业务发展需要的。本项目的主要网络核心设备之间设计采用万兆以太网互联，这解决了网络核心的性能瓶颈。本项目的汇聚层和接入层的流量主要来自各个区域的服务器设备且数量规模不大（服务器直接连接核心交换机），千兆链路能够确保流量及时上传至核心层，基本不存在影响整个网络性能的瓶颈。1.3.2设计方案概述根据项目实际情况，整体设计将网络系统按边界划分为互联网、内部办公网以及本项目新建内网。本项目新建内网与互联网通过防火墙逻辑隔离，本项目新建内网与内部办公网通过防火墙逻辑隔离；本项目新建的内网按业务逻辑又划分为互联网业务区、内部业务区以及核心数据区，各区域之间逻辑隔离；由于互联网业务区主要面向互联网用户提供服务，存在较高风险，但互联网业务区的部分应用有着访问核心数据区的需求，因此方案设计在这两个区域之间部署一台防火墙，确保数据流向和访问许可，保障核心数据区的网络和数据安全。1.3.3万兆以太网技术的应用万兆（10G）技术的推出，提供了一种简单的带宽升级途径，解决了带宽不断增加的问题，使网络实现平滑过渡以及各种网络之间的“融合”。10G以太网提供业务的高速运作保证了应用的高速发展。选择10G是大势所趋，它不但在技术上解决带宽瓶颈，更重要的是它体现了宽带技术发展趋势的同时，能够有效地承载网络的未来的应用。当千兆已无法满足当下不断增长的业务数据传输需求，服务器虚拟化和融合成为了目前数据中心发展的主要趋势。万兆以太网能克服千兆的容量限制，同时可支持未来数据中心的带宽增长并简化布线成本的优势就凸现出来。本项目的主要网络核心设备之间设计采用万兆以太网互联，解决网络核心的性能瓶颈。1.3.4本地流量负载均衡的实现方案设计在互联网业务区交换机以及内部业务区交换机上分别旁路部署一台硬件负载均衡设备，实现所属区域内的服务器负载均衡，保证业务的连续性，增强网络数据吞吐量、处理能力和灵活性。服务器负载均衡又称本地流量负载均衡。1.3.5边界防护-防火墙防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。项目主要依托互联网和VPN专网建设，因此本项目涉及的网络边界为两个，即本项目新建内网与互联网边界，本项目新建内网与集团内网边界。根据业务逻辑，项目新建内网可划分为3个安全区域，分别为互联网业务区、内部业务区以及核心数据区。本项目部署的防护墙为下一代防火墙，下一代防火墙集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、Anti-DDoS、URL过滤、反垃圾邮件等多种功能与一身，全局配置视图和一体化策略管理。在各边界及区域部署下一代防火墙能够实现以下安全保护：内网边界防护在内网汇聚网络部署下一代防火墙。对用户通过防火墙策略基于用户信息进行访问控制。互联网出口防护在互联网出口部署下一代防火墙，在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供应用层威胁实时防护。VPN远程互联通过下一代防火墙的VPN接入，在互联网上构建一条可信、可控、可管的安全传输隧道。1.3.6监控检测体系建设-入侵检测随着网络应用范围的不断扩大，来自内部和外部的恶意攻击、非法访问等安全威胁也与日俱增，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全是保证业务安全开展的前提。基于网络的开放性与自由性，网上有各种各样的人，他们的意图也是形形色色的。利用防火墙技术，经过严谨的配置，通常能够为不同安全域之间提供安全的网络保护，降低网络安全风险。但是，仅仅使用防火墙，网络安全还远远不够，主要表现在以下几个方面：入侵者可伪装成正常的访问请求通过防火墙，寻找内部系统可能存在的缺陷。某些恶意程序(木马后门)和破坏者可能就在防火墙保护的系统内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力。保护措施单一。因此为了弥补防火墙的不足，建立立体防御体系，需要利用网络入侵检测系统在各个关键点实时监测网络的运行状态，监视并记录各网段上的所有操作，以便及时发现对网络中重要服务器和主机的非法操作和恶意攻击并做出及时响应。通过网络入侵检测系统用于分区实时检测和保护核心服务器和数据库，这样能够实时监控网络传输情况，自动检测可疑行为，分析来自网络外部和内部的入侵信号，在网络受到危害前发出预警，以便及时作出预判应对，最大程度地为网络提供安全保障。网络入侵检测系统的部署与网络结构有密切的关系，把网络入侵检测引擎放在关键网段上，采用旁路监听方式，能够监测关键系统和应用的异常行为；选择某台服务器作为入侵检测系统的管理控制中心，对探测引擎进行策略下发、事件上报等管理。具体部署如下：入侵检测系统的探测引擎有管理端口和监听端口，将监听端口旁路接到网络出口的防火墙上，这样探测引擎就可以实时监控到被监听端口的数据流量了。将探测引擎的管理端口接在核心数据区的交换机的普通端口，使之能与管理控制台服务器进行正常的通信。在互联网和集团内网出口防火墙上旁路部署入侵检测系统能够实现以下安全保护：检测外部用户对内网客户端及浏览器的攻击行为；检测外部用户对内网服务器与应用系统的攻击行为；识别互联网的流量类型。1.4服务器系统建设1.4.1服务器主机分类及选型本项目涉及的服务器按照功能大类进行分类主要可分为数据库、应用服务器等。数据库服务器：数据库系统是整个系统的核心，对服务器的CPU主频、内存大小以及磁盘I/O等方面有着较高要求，数据库系统是应用系统的数据分析、数据挖掘的核心基础组件，其可靠性、可用性、性能将直接影响到应用系统的整体表现。本项目核心数据区建议部署基