1、人才市場數(shù)據(jù)中心網(wǎng)絡(luò)平臺建設(shè)解決方案神州數(shù)碼網(wǎng)絡(luò)有限公司2012-2內(nèi)容第一章，數(shù)據(jù)中心網(wǎng)絡(luò)平臺建設(shè)計劃31.1?？傮w設(shè)計概述31.2。數(shù)據(jù)中心運營和維護(hù)管理中心51.3。數(shù)據(jù)中心互聯(lián)網(wǎng)出口解決方案71.4。網(wǎng)絡(luò)行為監(jiān)控91.5。網(wǎng)站應(yīng)用安全保護(hù)解決方案10第一章，數(shù)據(jù)中心網(wǎng)絡(luò)平臺建設(shè)規(guī)劃1.1。總體設(shè)計概述本項目將優(yōu)先建設(shè)新的數(shù)據(jù)中心，為XX信息公共服務(wù)平臺建設(shè)良好的基礎(chǔ)設(shè)施。首先，建立雙核數(shù)據(jù)中心交換機DCRS-6804E，并以冗余方式連接到邊緣多核安全網(wǎng)關(guān)DCFW-1800E-8G。高端路由器DCR-7803部署在數(shù)據(jù)中心的互聯(lián)網(wǎng)出口，負(fù)責(zé)高速網(wǎng)絡(luò)地址轉(zhuǎn)換處理和多出口鏈路負(fù)載平衡。WAF

2、網(wǎng)站應(yīng)用防火墻設(shè)備部署在數(shù)據(jù)中心交換機和每臺服務(wù)器之間，為應(yīng)用層提供24小時不間斷的安全保護(hù)，同時提供防篡改服務(wù)。網(wǎng)絡(luò)架構(gòu)如下：根據(jù)本方案的結(jié)構(gòu)穩(wěn)定、高可靠性、高穩(wěn)定性和高技術(shù)性能的原則，我們建議使用兩臺DCRS-6804E作為數(shù)據(jù)中心的核心交換機。為了提高服務(wù)器的安全性和數(shù)據(jù)流量的負(fù)載分擔(dān)，在核心交換機和服務(wù)器之間懸掛一個DCFW-1800E-WAF506，通過WAF506負(fù)載均衡功能實現(xiàn)服務(wù)器的集群負(fù)載。同時，WAF506的反DDOS攻擊、敏感信息過濾、網(wǎng)頁防篡改、漏洞掃描等功能可以實現(xiàn)對網(wǎng)站服務(wù)器的全方位三維保護(hù)?；ヂ?lián)網(wǎng)出口使用數(shù)字中國高端安全網(wǎng)關(guān)DCFW-1800E-8G，它連接到電信

3、和移動出口，并配置有出口多鏈路負(fù)載平衡。DCRS-6804E采用控制平面和數(shù)據(jù)平面完全分離的架構(gòu)。無論兩個DCRS-6804E中的哪一個以太網(wǎng)出現(xiàn)故障，另一個DCRS-6804E交換機都可以轉(zhuǎn)發(fā)所有數(shù)據(jù)而不會丟失數(shù)據(jù)包。同時，我們?yōu)槊總€開關(guān)使用雙電源冗余，以確保設(shè)備的穩(wěn)定運行。DCRS-6804E交換機的交換容量超過1.2兆位/秒，支持各種數(shù)據(jù)類型接口，如10千兆位和千兆位以太網(wǎng)。其強大的轉(zhuǎn)發(fā)性能和豐富的接口可以充分保證數(shù)據(jù)的線性轉(zhuǎn)發(fā)。在本項目中，作為核心交換機，我們建議配置一個10兆瓦模塊，用于兩臺DCRS-6804E的互聯(lián)。我還建議配置一個24端口的以太網(wǎng)接口卡來連接管理系統(tǒng)、審計系統(tǒng)和服

4、務(wù)器區(qū)域，并為將來的升級保留一些端口。同時，12千兆位光學(xué)接口被配置為與出口安全網(wǎng)關(guān)連接，或者用作場外備用以太網(wǎng)光學(xué)接口。DCRS-6800E系列是一款基于數(shù)字中國網(wǎng)絡(luò)商業(yè)智能核心理念的多業(yè)務(wù)10Gb路由交換機。該產(chǎn)品具有成熟的IPv6特性、線速MPLS L2/L3虛擬專用網(wǎng)功能、多平面分離的高可靠性設(shè)計、高性能的L2/L3交換、豐富精細(xì)的服務(wù)質(zhì)量策略、對融合業(yè)務(wù)的強大支持以及集成的安全功能。它可以幫助用戶有效地提高業(yè)務(wù)效率和業(yè)務(wù)競爭力。在該項目中，兩個思科6509E集成了高性能的WS-SVC-FWM-1-K9模塊和ACE20-MOD-K9模塊，與能夠提供720千兆位/秒的SUP720高性能引

5、擎協(xié)作，形成虛擬交換系統(tǒng)(VSS)架構(gòu)。兩臺思科6509E可以虛擬化成一臺雙引擎高性能安全、載重的軍用設(shè)備。為了安全控制進(jìn)入UCS統(tǒng)一計算平臺的數(shù)據(jù)流量，減少故障點，保證各個服務(wù)器的穩(wěn)定運行，可以使用ACE20-MOD-K9對數(shù)據(jù)流量進(jìn)行負(fù)載共享。WS-SVC-FWM-1-K9防火墻服務(wù)模塊(FWSM)是一個Catalyst 6500系列多千兆位防火墻模塊，可支持多達(dá)250個虛擬防火墻，每個虛擬防火墻都有獨立的系統(tǒng)資源和自己的獨立路由表。5Gb吞吐量和100萬個并發(fā)連接。一臺設(shè)備可以安裝多達(dá)四個FWSM，因此每臺設(shè)備可以提供高達(dá)20Gb的吞吐量。ACE20-MOD-K9采用了一套智能第4層負(fù)載

6、平衡和第7層內(nèi)容交換技術(shù)。它使用虛擬化架構(gòu)和基于角色的管理來支持系統(tǒng)和會話冗余，并且可以在系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)故障時自動切換到備份思科ACE。切換可以自動發(fā)生，無需人工干預(yù)。支持狀態(tài)故障轉(zhuǎn)移，為企業(yè)網(wǎng)絡(luò)環(huán)境提供靈活的網(wǎng)絡(luò)保護(hù)。支持活動和備用冗余拓?fù)湟约芭渲猛?。在本項目中，雖然主防火墻模塊和備用防火墻模塊分別插入到兩個Cisco6509E機器框架中，但由于VSS體系結(jié)構(gòu)，它們在邏輯上被認(rèn)為是在同一臺交換機中。兩個FWSM模塊通過背板中繼連接，采用主備(A/S)模式，通過兩對VLAN實現(xiàn)故障轉(zhuǎn)移狀態(tài)監(jiān)控和狀態(tài)同步。在同樣的原則下，兩個ACE模塊以A/S模式運行，兩個模塊的狀態(tài)監(jiān)控也通過VLAN進(jìn)行，從

7、而實現(xiàn)主備的始終冗余。在我們這次的數(shù)據(jù)中心建設(shè)中，4端口全速限制10萬億模塊(WS-X6704-10GE)被配置為連接非vDC的虛擬化Nexus 7010。邏輯結(jié)構(gòu)流量將再次通過Nexus 7010虛擬機3，從核心交換機Nexus 7010虛擬機4到思科6509E防火墻模塊，然后到思科6509E負(fù)載平衡模塊，然后到Nexus 7010虛擬機2，最后到UCS統(tǒng)一服務(wù)器平臺。這樣，不僅可以減少多種服務(wù)的多種硬件投資，而且思科6509E強大的可擴展性將有助于后期防火墻和負(fù)載平衡性能的提高。1.2。數(shù)據(jù)中心運營和維護(hù)管理中心一個好的管理系統(tǒng)可以給數(shù)據(jù)中心管理員帶來很大的幫助，減少許多復(fù)雜的日常事務(wù)。數(shù)

8、據(jù)中心通過部署LinkManager AM運維管理系統(tǒng)，自動監(jiān)控數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用、安全設(shè)備、存儲設(shè)備、基本協(xié)議等應(yīng)用的運行狀態(tài)。該系統(tǒng)使系統(tǒng)管理者能夠通過瀏覽器動態(tài)、直觀、全面地了解整個信息系統(tǒng)的運行狀態(tài)，從而大大提高了信息部門的管理效率和服務(wù)水平。LinkManager AM主要由資源監(jiān)控和運行管理兩個子系統(tǒng)組成：一、應(yīng)用監(jiān)控該系統(tǒng)提供100多種顯示器。它支持通過SNMP輪詢、SNMP陷阱、系統(tǒng)日志、CLI(遠(yuǎn)程登錄、SSH)和其他協(xié)議或UniAgent代理對資源進(jìn)行遠(yuǎn)程或代理監(jiān)控。用戶可以根據(jù)實際環(huán)境采用合適的監(jiān)測和采集方法進(jìn)行數(shù)據(jù)采集和監(jiān)測。服務(wù)器監(jiān)控鏈

9、路管理器可監(jiān)控磁盤、中央處理器、內(nèi)存利用率、進(jìn)程、磁盤輸入輸出網(wǎng)卡流量和其他信息，包括AIX、HPUX、Solaris、視窗、SCO Unix、Linux、FreeBSD和其他系統(tǒng)數(shù)據(jù)庫監(jiān)控LinkManager AM可以監(jiān)控Oracle、Sybase、Informix、DB2、SQLServer、MySQL可用性、連接數(shù)、讀寫命中率、表空間、數(shù)據(jù)文件大小、數(shù)據(jù)庫訪問和其他信息中間件和群件管理LinkManager AM可以監(jiān)控IBM WebSphere、MQSeries、BEA WebLogic、Tuxedo、Lotus Domino、Tibco、JAVA平臺和。NET平臺?；緫?yīng)用監(jiān)控鏈接

10、管理器可以監(jiān)控包括信息系統(tǒng)、阿帕奇、交換、Lotus Domino在內(nèi)的HTTP和郵件服務(wù)，以及其他常見的HTTP、EMAIL、FTP、DNS、LDAP和其他服務(wù)。網(wǎng)絡(luò)設(shè)備監(jiān)控Linkmanam可以監(jiān)控普通SNMP網(wǎng)絡(luò)設(shè)備的ping延遲、端口狀態(tài)、CPU、內(nèi)存利用率和SNMP工作狀態(tài)。房間環(huán)境監(jiān)控除了監(jiān)控網(wǎng)絡(luò)硬件和軟件外，LinkManager AM還可以監(jiān)控機房相關(guān)環(huán)境，如不間斷電源、機房空調(diào)等。(這些設(shè)備需要自己的支持和管理)。二。運行和維護(hù)管理運行維護(hù)管理主要由兩部分組成：運行顯示和過程運行維護(hù)。操作顯示包括故障監(jiān)控、網(wǎng)絡(luò)拓?fù)滹@示、業(yè)務(wù)應(yīng)用顯示、統(tǒng)計報表顯示、資源顯示等。過程運行維護(hù)包括

11、值班服務(wù)管理、工單管理等。智能控制中心警報監(jiān)控視圖異常視圖：顯示當(dāng)前運行異常和相關(guān)報警事件的所有系統(tǒng)。業(yè)務(wù)視圖：以業(yè)務(wù)應(yīng)用程序為主線顯示監(jiān)控項目。報警視圖：根據(jù)報警來源、分類、級別等顯示所有報警信息。網(wǎng)絡(luò)拓?fù)湟晥D：以網(wǎng)絡(luò)方式顯示企業(yè)網(wǎng)絡(luò)或系統(tǒng)，并通過逐層導(dǎo)航顯示各級的運行狀態(tài)和性能報告。便于全面掌握業(yè)務(wù)的運作。操作維護(hù)用戶聲明接受用戶通過網(wǎng)絡(luò)、郵件、電話等方式申報的故障信息和業(yè)務(wù)應(yīng)用。服務(wù)員根據(jù)申報表的內(nèi)容決定是否發(fā)送工作單。值班管理，值班管理實現(xiàn)統(tǒng)一的電子值班管理。換班：提供換班管理功能，實現(xiàn)日常工作的無縫交接。集中報警管理報警統(tǒng)一訪問：通過豐富的協(xié)議和接口訪問各種信息技術(shù)事件。報警關(guān)聯(lián)處理

12、：系統(tǒng)具有較強的關(guān)聯(lián)處理能力，對報警信息進(jìn)行關(guān)聯(lián)處理，有效過濾、合并和壓縮報警信息，提高報警信息的準(zhǔn)確性。報警集中顯示：所有報警信息集中顯示。您可以按類別瀏覽所有報警信息，并查看詳細(xì)的報警信息。報警統(tǒng)一通知：系統(tǒng)通過各種報警通知方式，及時將報警事件通知相關(guān)運行維護(hù)人員進(jìn)行跟蹤處理，并支持信使、電子郵件、語音等報警通知方式。報警統(tǒng)一處理：對報警事件進(jìn)行統(tǒng)一處理，并跟蹤整個處理過程?；蛘吒鶕?jù)報警處理策略。勞動管理報告中心所有查詢都是針對每個操作系統(tǒng)的當(dāng)前和歷史操作，并生成各種分析報告和圖表，如：網(wǎng)絡(luò)操作統(tǒng)計、服務(wù)器操作統(tǒng)計、中間件/數(shù)據(jù)庫操作統(tǒng)計、業(yè)務(wù)應(yīng)用操作統(tǒng)計、工單統(tǒng)計。資源管理資源管理模塊可

13、以定期自動檢查資產(chǎn)，維護(hù)新資產(chǎn)的信息，維護(hù)資產(chǎn)的變化等。資源管理模塊提供設(shè)備管理、項目管理、應(yīng)用系統(tǒng)管理、知識庫管理等。并且彼此相關(guān)。例如，所有與合同相關(guān)的設(shè)備信息和維護(hù)記錄都可以通過項目查看，相應(yīng)的業(yè)務(wù)系統(tǒng)和相關(guān)知識信息也可以通過設(shè)備查看。設(shè)備管理：建立設(shè)備臺帳，記錄設(shè)備的所有維護(hù)信息。通過設(shè)備帳戶，用戶可以快速找到“誰注冊了設(shè)備，誰維護(hù)了設(shè)備，以及誰對設(shè)備負(fù)責(zé)”。設(shè)備信息屬性可以動態(tài)擴展。可以在整個生命周期中維護(hù)設(shè)備。項目管理：建立項目賬戶，包括合同號、名稱、價格、簽署日期、項目各方信息、人員名單、進(jìn)度計劃、相關(guān)資源等。提供完善的項目生命周期管理，可以根據(jù)合同對項目的進(jìn)度、采購、庫存、成本

14、、質(zhì)量和安全進(jìn)行有效管理，使項目管理和難以理清的合同事務(wù)變得有章可循。軟件應(yīng)用系統(tǒng)管理：記錄各種軟件應(yīng)用系統(tǒng)(服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、中間件、業(yè)務(wù)應(yīng)用等。)運行在網(wǎng)絡(luò)中的服務(wù)器上，并隨時定期跟蹤網(wǎng)絡(luò)中軟件應(yīng)用系統(tǒng)的具體情況。知識庫：知識庫主要關(guān)注知識的積累1.3。數(shù)據(jù)中心互聯(lián)網(wǎng)出口解決方案近年來，隨著信息技術(shù)的飛速發(fā)展，尤其是Web2.0的廣泛應(yīng)用，如何解決業(yè)務(wù)變化和業(yè)務(wù)快速發(fā)展帶來的資源和成本壓力?；ヂ?lián)網(wǎng)出口領(lǐng)域仍然面臨許多挑戰(zhàn)。數(shù)據(jù)中心內(nèi)外帶寬的不平衡導(dǎo)致數(shù)據(jù)中心互聯(lián)網(wǎng)出口建設(shè)相對滯后，一度成為數(shù)據(jù)中心信息化建設(shè)的短板。通過深入分析數(shù)據(jù)中心出口面臨的一些問題，我們將數(shù)據(jù)中心出口建設(shè)需求總結(jié)

15、如下：出口設(shè)備需要具有高加工性能和高吞吐量。為了滿足多運營商出口的接入需求，該設(shè)備應(yīng)該具有10萬億的吞吐能力。高安全性能可以有效防止來自外部網(wǎng)絡(luò)的各種攻擊、病毒和掃描。能夠準(zhǔn)確識別各種應(yīng)用層流量，限制非法流量，保證關(guān)鍵服務(wù)的服務(wù)質(zhì)量。針對不同的網(wǎng)絡(luò)對象實施精確的帶寬策略，并且?guī)捁芾韺τ脩魜碚f是準(zhǔn)確的。出站多鏈路可以支持高性能負(fù)載平衡和策略路由，并集成主要ISP的路由表。提供詳細(xì)的出口訪問日志記錄，實現(xiàn)智能反查。設(shè)備應(yīng)盡可能簡化，防止“糖葫蘆”式的人員過剩出口。本發(fā)明可以實現(xiàn)IPv4/IPv6雙棧安全過濾，解決未來下一代互聯(lián)網(wǎng)出口安全的弱點基于上述對數(shù)據(jù)中心互聯(lián)網(wǎng)出口現(xiàn)狀和需求的深入了解，神州

16、數(shù)碼網(wǎng)推出了針對XX數(shù)據(jù)中心互聯(lián)網(wǎng)出口領(lǐng)域的六位一體出口解決方案：互聯(lián)網(wǎng)的發(fā)展已經(jīng)進(jìn)入了一個全新的階段。web2.0、電子商務(wù)、網(wǎng)絡(luò)娛樂等應(yīng)用已經(jīng)深入人心。構(gòu)建新一代可視化、高效、易于管理的出口已成為數(shù)據(jù)中心信息網(wǎng)絡(luò)發(fā)展的必由之路。數(shù)字中國網(wǎng)絡(luò)六位一體出口解決方案采用多核安全網(wǎng)關(guān)多核USG，憑借卓越的產(chǎn)品性能、豐富的產(chǎn)品功能和緊湊的拓?fù)湓O(shè)計理念，必將成為XX數(shù)據(jù)中心互聯(lián)網(wǎng)出口建設(shè)的最佳合作伙伴。程序特征：1.一個設(shè)備可以解決整個網(wǎng)絡(luò)出口的安全問題，避免傳統(tǒng)糖葫蘆的堆積。2.實施集成的安全管理策略，包括地址轉(zhuǎn)換、病毒檢測和清除、安全防御、負(fù)載平衡、行為管理、遠(yuǎn)程訪問等。1.4。網(wǎng)絡(luò)行為監(jiān)控在滿足

17、互聯(lián)網(wǎng)出口的基本功能后，還需要增加日志審計方法，以滿足公安部82號令的要求，豐富數(shù)據(jù)中心的網(wǎng)絡(luò)行為監(jiān)控方法。數(shù)字中國DCBI-網(wǎng)志在線行為日志系統(tǒng)就是為滿足這一需求而創(chuàng)建的。它可以詳細(xì)記錄互聯(lián)網(wǎng)訪問者的網(wǎng)絡(luò)行為，包括訪問的網(wǎng)址、源/目的地的IP、源/目的地的端口、互聯(lián)網(wǎng)訪問時間和流量數(shù)據(jù)，從而為審查互聯(lián)網(wǎng)訪問行為和實現(xiàn)各種統(tǒng)計功能提供了一個安全的數(shù)據(jù)源。詳細(xì)的行為記錄、日志是全面的：豐富統(tǒng)計報告，掌握民意趨勢；1.5。網(wǎng)站應(yīng)用安全保護(hù)解決方案公安部第82號令要求門戶網(wǎng)站防止網(wǎng)頁被篡改，并在被篡改后自動恢復(fù)。它還需要網(wǎng)絡(luò)輿情監(jiān)控、預(yù)警和事后協(xié)調(diào)。常見的“ASP木馬”可以通過上傳到網(wǎng)站來任意修改網(wǎng)站的網(wǎng)頁，導(dǎo)致網(wǎng)頁被篡改。通常，一些數(shù)據(jù)調(diào)用將使用SQL語句，并且經(jīng)常存在SQL注入漏洞，這將導(dǎo)致數(shù)據(jù)庫信息被竊取或銷毀。D