【正文】 XX網(wǎng)站擴容建設(shè)項目技術(shù)方案建設(shè)書XX網(wǎng)站擴容建設(shè)項目技術(shù)建議方案信息系統(tǒng)股份有限公司二〇〇九年七月 目 錄1 方案概述 1 現(xiàn)狀描述 1 需求分析 22 項目技術(shù)方案 4 總體建設(shè)原則 4 網(wǎng)絡(luò)改造方案 4 網(wǎng)絡(luò)改造目標(biāo) 4 網(wǎng)絡(luò)改造思路 4 網(wǎng)絡(luò)改造的技術(shù)特點 5 網(wǎng)絡(luò)改造方案 6 網(wǎng)絡(luò)設(shè)備選型建議 11 服務(wù)器及存儲方案 14 服務(wù)器方案 14 存儲容災(zāi)備份方案 18 網(wǎng)絡(luò)安全方案 24 安全體系架構(gòu) 24 設(shè)計思想及原則 24 網(wǎng)絡(luò)安全風(fēng)險分析 26 網(wǎng)絡(luò)安全體系構(gòu)建方案 29 安全產(chǎn)品選型建議 43XX信息系統(tǒng)股份有限公司 第 46 頁 1 方案概述 現(xiàn)狀描述XX是湖南省委、省政府的新聞和綜合網(wǎng)站，湖南省重點新聞網(wǎng)站和網(wǎng)絡(luò)新聞總站，湖南省第四媒體，省一類新聞單位。網(wǎng)站于2001年5月30日正式開通。XX按照“就地起步，快速成長，爭創(chuàng)一流”的發(fā)展思路，以立足湖南、面向全國、走向世界為理念，以服務(wù)廣大網(wǎng)民為根本。網(wǎng)站將湖南省各類資源進行整合，組建湖南網(wǎng)絡(luò)新聞宣傳的“航母”，打造湖南網(wǎng)絡(luò)的強勢品牌。XX歷經(jīng)三次改版，設(shè)有頻道十四個，欄目上千個。新聞和信息日更新量超過了2000條。提供最權(quán)威、最豐富、最及時的湖南新聞，并匯集了湖南社會、經(jīng)濟、文化、生活等各個方面最新信息資訊，是世界了解湖南的重要窗口。現(xiàn)正逐漸成為湖南省各級黨政領(lǐng)導(dǎo)的辦公網(wǎng)、決策網(wǎng)，真正為老百姓辦實事的百姓網(wǎng)、呼聲網(wǎng)。目前XX具體的網(wǎng)絡(luò)環(huán)境如下圖所示。網(wǎng)絡(luò)方面：全網(wǎng)劃分為服務(wù)器外網(wǎng)、備份網(wǎng)以及辦公內(nèi)網(wǎng)三個部分，其中服務(wù)器外網(wǎng)主要是對外提供網(wǎng)站訪問和論壇服務(wù)；備份網(wǎng)則部署網(wǎng)站和論壇的數(shù)據(jù)庫服務(wù)器以及內(nèi)部的生產(chǎn)服務(wù)器，備份網(wǎng)相對獨立，不匯聚到核心層，外網(wǎng)服務(wù)器通過雙網(wǎng)卡的形式直接連入備份網(wǎng)，進行數(shù)據(jù)讀寫；辦公內(nèi)網(wǎng)主要為內(nèi)部用戶提供辦公以及互聯(lián)網(wǎng)訪問服務(wù)。全網(wǎng)核心層采用一臺Cisco 4503作為單核心，無冗余。網(wǎng)絡(luò)出口為四條百兆光纖，帶寬400M，分別為電信100M獨享鏈路三條，網(wǎng)通100M鏈路一條；CDN加速帶寬30M，服務(wù)商為上海帝聯(lián)信息科技發(fā)展有限公司。無線接入則主要采用胖AP的方式。服務(wù)器及存儲方面：XX的服務(wù)器為幾年前采購的老機型，無論從性能上還是數(shù)量上都已無法處理當(dāng)前訪問量的增長。數(shù)據(jù)存儲則是采用分布式的存儲架構(gòu)，未配置磁盤陣列實現(xiàn)集中存儲。安全方面：部署了一臺100M的抗攻擊設(shè)備綠盟的黑洞；VPN接入則是通過一臺天融信設(shè)備所提供的IPSec VPN方式。 需求分析針對XX目前的現(xiàn)狀，我們給出如下分析：網(wǎng)絡(luò)核心層未提供冗余，易出現(xiàn)單點故障，急需實現(xiàn)雙機冗余。服務(wù)器網(wǎng)的接入層設(shè)備品牌繁雜，設(shè)備老化，性能和穩(wěn)定性都無法滿足XX發(fā)展的要求，因此需要對這部分設(shè)備進行更新?lián)Q代。大部分內(nèi)部用戶都使用筆記本電腦通過無線的方式接入內(nèi)網(wǎng)，對無線接入提出了更高的要求，因此需要由目前的胖AP模式，轉(zhuǎn)變?yōu)闊o線控制器+瘦AP的模式，使無線接入更安全，更易管理。帶寬嚴(yán)重不足，除網(wǎng)通光纖負(fù)載率在60%以外，三條電信光纖負(fù)載率都達到了85%以上，一旦遇到突發(fā)流量，網(wǎng)民訪問XX變得及其緩慢。因此需要增加帶寬，為網(wǎng)民提供更快速更流暢的訪問體驗。為了改善目前20%的服務(wù)器占用80%的帶寬，導(dǎo)致大部分服務(wù)器帶寬得不到保障的局面，急需部署流量控制設(shè)備，提供流量分析、統(tǒng)計以及審計功能，幫助管理員及時了解網(wǎng)絡(luò)中的應(yīng)用分布。網(wǎng)絡(luò)出現(xiàn)擁堵時，能快速定位被攻擊光纖和服務(wù)器以及攻擊類型，確保正常業(yè)務(wù)得到帶寬保障。需要對外聯(lián)鏈路進行負(fù)載均衡和流量分擔(dān)，對多家運營商所提供的帶寬資源，實現(xiàn)帶寬疊加、鏈路失效替換和智能路徑判斷。隨著帶寬的升級，目前的黑洞100M設(shè)備已不能滿足要求，需要將抗DoS攻擊設(shè)備的處理能力提升至1G，并且部署專業(yè)的應(yīng)用層攻擊防護設(shè)備，為XX提供更全面的防御能力。目前XX使用的VPN設(shè)備為4年前采購的天融信VPN設(shè)備，安裝上線后碰到很多兼容問題，而且傳統(tǒng)的IPSEC VPN由于存在諸多弊端，根本不能滿足XX使用人員和業(yè)務(wù)部署的需要。因此需通過部署SSL VPN產(chǎn)品，來擴展XX內(nèi)部信息平臺的覆蓋范圍，并保障數(shù)據(jù)在網(wǎng)絡(luò)鏈路上傳輸?shù)陌踩?。目前XX的前臺應(yīng)用服務(wù)器已無法處理當(dāng)前訪問量的增長，前臺程序服務(wù)器平均每天的CPU占用率高達90%以上，碰到大的突發(fā)情況CPU占用率會達到100%，造成正常訪問極度緩慢。需增購高性能的數(shù)據(jù)中心服務(wù)器以及應(yīng)用服務(wù)器，以滿足XX訪問量的不斷增長。建設(shè)共享式的多協(xié)議（SAN、NAS、iSCSI）存儲資源池，充分利用各種存儲協(xié)議的特點實現(xiàn)存儲資源的有效整合，并提高存儲資源的利用率。實施存儲本地容災(zāi)，異地（武漢）數(shù)據(jù)備份，加強數(shù)據(jù)安全性保護，引入自動化存儲配置技術(shù)，提高空間部署效率，縮短業(yè)務(wù)部署時間，提高存儲系統(tǒng)服務(wù)質(zhì)量，保證業(yè)務(wù)快速發(fā)展需要。因此本次項目必須依據(jù)現(xiàn)有的基礎(chǔ)條件，充分考慮性價比，以最小的投資獲取最大的效益，不斷完善XX網(wǎng)絡(luò)及安全體系，為業(yè)務(wù)系統(tǒng)創(chuàng)建良好的IT基礎(chǔ)，提高XX的IT管理水平，進而提高企業(yè)總體水平和市場競爭能力。2 項目技術(shù)方案 總體建設(shè)原則項目的建設(shè)應(yīng)該遵循如下的原則：— 應(yīng)盡量避免對現(xiàn)網(wǎng)業(yè)務(wù)的影響；— 必須保護已有的設(shè)備投資；— 新增的設(shè)備應(yīng)符合相應(yīng)標(biāo)準(zhǔn)規(guī)范要求；— 新增的設(shè)備應(yīng)具備進一步擴容的可擴展能力；— 新增的設(shè)備應(yīng)具備開放性、靈活性。 總體架構(gòu)針對XX的現(xiàn)狀以及需求分析，我們建議對XX的網(wǎng)絡(luò)基礎(chǔ)、服務(wù)器及存儲和網(wǎng)絡(luò)安全體系進行升級改造。改造完成后，XX的總體架構(gòu)將如下圖所示：在下面的章節(jié)中，我們將從網(wǎng)絡(luò)改造、服務(wù)器及存儲以及網(wǎng)絡(luò)安全三部分來為XX提供解決方案。 網(wǎng)絡(luò)改造方案 網(wǎng)絡(luò)改造目標(biāo)考慮到XX未來的業(yè)務(wù)發(fā)展，網(wǎng)絡(luò)平臺應(yīng)能有效很好地支持各現(xiàn)有和規(guī)劃中的業(yè)務(wù)系統(tǒng)、支持廣域網(wǎng)連接、具有良好網(wǎng)絡(luò)結(jié)構(gòu)的擴張性、可靠性，同時具有良好的可管理性，最大限度降低網(wǎng)管工作的復(fù)雜性。 網(wǎng)絡(luò)改造思路XX網(wǎng)絡(luò)平臺的改造應(yīng)以業(yè)務(wù)為導(dǎo)向，支撐經(jīng)營的“規(guī)模化”和“差異化”，實現(xiàn)多業(yè)務(wù)的承載。在實際網(wǎng)絡(luò)改造中，應(yīng)結(jié)合網(wǎng)絡(luò)和業(yè)務(wù)實際情況，充分考慮投資保護因素，提高投資效益。具體建設(shè)中需體現(xiàn)以下原則：網(wǎng)絡(luò)層次清晰化，構(gòu)建物理和邏輯層次清晰的二層交換體系。網(wǎng)絡(luò)質(zhì)量差異化。通過部署區(qū)分服務(wù)機制，為不同用戶和不同業(yè)務(wù)提供不同QoS等級的差異化服務(wù)。設(shè)備要求規(guī)范化。新增設(shè)備必須符合公司設(shè)備技術(shù)規(guī)范和選型結(jié)果的要求。應(yīng)盡量減少網(wǎng)內(nèi)設(shè)備廠家數(shù)目和型號，核心層、匯聚層每個層面的設(shè)備應(yīng)盡量選用同一廠家產(chǎn)品。 網(wǎng)絡(luò)改造的技術(shù)特點 開放性與標(biāo)準(zhǔn)化設(shè)備使用的各種協(xié)議符合網(wǎng)絡(luò)設(shè)備國際標(biāo)準(zhǔn)，基于業(yè)界開放性標(biāo)準(zhǔn)，保證本系統(tǒng)能與現(xiàn)有網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)進行正?；ミB互通。 具有可擴展性設(shè)備采用模塊化設(shè)計，每個模塊具有多個千兆接口接入能力，方便擴展設(shè)備容量和提升設(shè)備性能；具備支持業(yè)務(wù)處理的靈活配置，業(yè)務(wù)功能的重組與更新的靈活性。接入設(shè)備具足夠的快速以太網(wǎng)接入接口，具有線速交換能力。 安全可靠性網(wǎng)絡(luò)各節(jié)點提供雙交換引擎，雙電源保障。提供良好的安全可靠性策略，支持多種安全可靠性技術(shù)手段，制定嚴(yán)格的安全可靠性管理措施。 先進性采用先進成熟的設(shè)備和技術(shù)，確保系統(tǒng)的技術(shù)先進性，保證投資的有效性和延續(xù)性。提供業(yè)務(wù)流量的線速轉(zhuǎn)發(fā)，具有QoS保障、完善的安全管理機制，滿足用戶對多業(yè)務(wù)、高可靠、大容量和模塊化的需求。 投資保護工程選擇的設(shè)備一方面要考慮設(shè)備的先進性，另一方面本著資源充分利用的原則，既要保護原有的投資利益，節(jié)約投資，又要保障設(shè)備的二次利用。 統(tǒng)一性雖然在以太網(wǎng)交換領(lǐng)域已經(jīng)有了各種國際標(biāo)準(zhǔn)，但不同的廠商在實現(xiàn)交換協(xié)議時都作了較大的增強，為了充分利用這些增強功能，實現(xiàn)無縫的連接，建議選擇網(wǎng)絡(luò)產(chǎn)品時應(yīng)注意統(tǒng)一性。選擇產(chǎn)品系列具有相同軟硬結(jié)構(gòu)設(shè)計和功能特性的廠商以保障互操作性和平滑升級能力。 網(wǎng)絡(luò)改造方案 方案概述考慮到整個網(wǎng)絡(luò)為基于銅纜連接的多應(yīng)用型網(wǎng)絡(luò)，我們決定采用星型拓?fù)浣Y(jié)構(gòu)作為整個網(wǎng)絡(luò)的主拓?fù)浣Y(jié)構(gòu)，其主要依據(jù)是 ：星型結(jié)構(gòu)符合企業(yè)的組織結(jié)構(gòu)和信息流向的特點，結(jié)構(gòu)靈活，使用和擴展都十分靈活，同時易于管理，無論從物理上還是邏輯上劃分子網(wǎng)都非常方便，基本可以滿足不同場合對網(wǎng)絡(luò)帶寬的需求 。根據(jù)設(shè)計原則和設(shè)計基礎(chǔ)的要求，采用目前流行的二級交換體系來設(shè)計XX的網(wǎng)絡(luò)系統(tǒng)，建立二層路由交換結(jié)構(gòu)的好處在于：核心交換機通過千兆銅纜上連至核心交換機，通過中心來實現(xiàn)路由交換。這樣設(shè)計能最大限度地節(jié)約有限的主干帶寬，使網(wǎng)絡(luò)的整體性能和效率得到最大限度的提升，并將整個網(wǎng)絡(luò)結(jié)構(gòu)劃分為核心層，接入層二級層次 。網(wǎng)絡(luò)拓?fù)淙缦聢D所示。改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 核心層改造方案第一層為網(wǎng)絡(luò)核心層，兩臺Cisco Catalyst4507R及Cisco Catalyst4503之間啟用HSRP（熱備份交換機協(xié)議）實現(xiàn)冗余熱備份。其中一臺處于ACTIVE狀態(tài)，另外一臺處于STANDBY狀態(tài)，當(dāng)主用4500因電源或不可控因素造成DOWN機時，備用4500將啟用，替代主核心成為網(wǎng)絡(luò)承載的核心體，對于終端用戶來說，這個過程幾乎是透明的，終端用戶感覺不到網(wǎng)絡(luò)核心的替換。核心層設(shè)備承擔(dān)的任務(wù)主要是接入層間信息的交流和分發(fā)與管理，因此核心層設(shè)備是整個網(wǎng)絡(luò)的中心樞紐，應(yīng)具有強大的交換能力和高可靠性。同時，核心層設(shè)備應(yīng)該具有強大的安全防護能力和冗余能力，保證不會因單點故障而影響整個系統(tǒng)的正常運行。在實際應(yīng)用中，核心層設(shè)備還應(yīng)具有部分的接入層設(shè)備的功能，實現(xiàn)部分桌面節(jié)點的接入。這樣可以適當(dāng)降低實施成本 。 接入層改造方案第二層為接入層，主要有接入交換機和無線AP組成；主要提供終端PC的的固定點接入和無線接入。由于服務(wù)器網(wǎng)的接入層設(shè)備品牌繁雜，設(shè)備老化，性能和穩(wěn)定性都無法滿足XX發(fā)展的要求，因此本次改造將對這部分設(shè)備進行更新?lián)Q代，而更換下的設(shè)備則可部署在辦公內(nèi)網(wǎng)，實現(xiàn)利舊。 無線接入方案WLAN技術(shù)可以替代現(xiàn)有的傳統(tǒng)有線網(wǎng)絡(luò)或者作為其延伸以拓展它的覆蓋范圍和容量。在室內(nèi)應(yīng)用時，無線可以同時支持移動和有線連接計算。在會議室、辦公區(qū)、客戶等候區(qū)等位置配置無線AP，對該區(qū)域進行無線覆蓋，為無線用戶提供1154M的網(wǎng)絡(luò)接入，提高辦公人員的機動性。無線接入方式采用瘦AP模式，在中心機房安裝無線控制器，所有無線AP接受無線控制器的統(tǒng)一管理與配置，減輕用戶在無線網(wǎng)配置上的負(fù)擔(dān)。為簡化線路，要求無線AP滿足IEEE ，支持POE（以太網(wǎng)供電），若接入交換機不支持IEEE ，則無線AP需要配置電源。，可獲得最高54Mbps的接入速度。根據(jù)每AP最佳并發(fā)接入30個用戶的標(biāo)準(zhǔn)，以及Wlan所需覆蓋的辦公區(qū)域面積測算，公司無線接入共需設(shè)立約12個無線接入點。 遠(yuǎn)程接入規(guī)劃遠(yuǎn)程接入規(guī)劃示意圖隨著XX業(yè)務(wù)的發(fā)展，需要更快的應(yīng)對各種突發(fā)事件，使身處事件發(fā)生現(xiàn)場和異地辦公的人員能夠?qū)⑿侣?、事件的報道和稿件的審批流程盡量縮短。但目前XX的業(yè)務(wù)系統(tǒng)部署僅能提供在企業(yè)內(nèi)部的人員能夠訪問，而傳統(tǒng)的IPSEC VPN由于存在諸多弊端，根本不能滿足XX使用人員和業(yè)務(wù)部署的需要。SSLVPN產(chǎn)品能夠擴展XX內(nèi)部信息平臺的覆蓋范圍，并保障數(shù)據(jù)在網(wǎng)絡(luò)鏈路上傳輸?shù)陌踩?。通過部署SSLVPN設(shè)備，能夠使XX方便的發(fā)布對社會公眾提供的高級別信息服務(wù)，也能使內(nèi)部人員在任何地域（辦公場所、家、新聞現(xiàn)場、網(wǎng)吧等）、使用任何設(shè)備（PDA、手機、筆記本、電腦等）訪問內(nèi)部應(yīng)用系統(tǒng)，加速新聞采集、審批、發(fā)布的流程，真正做到應(yīng)用隨需而變。需要注意的是，目前XX應(yīng)用存在B/S、C/S等多種模式，因此SSL VPN應(yīng)該能通過用戶可選的客戶端插件形式為終端用戶分配虛擬IP，并通過SSL隧道建立三層隧道，實現(xiàn)與傳統(tǒng)IPSEC VPN客戶端一樣的終端網(wǎng)絡(luò)功能。 帶寬擴容方案XX08年閱讀數(shù)從日均330萬上升到496萬，09年將達到620萬。根據(jù)業(yè)務(wù)增長速度，逐步增加帶寬。09年擬將電信帶寬增加至600M；網(wǎng)通保持100M；新增鐵通100M；CDN增加至100M。另外增加1G的CDN直播動態(tài)調(diào)用帶寬，這個是以直播次數(shù)和每次使用多少帶寬為標(biāo)準(zhǔn)收費的。日后根據(jù)實際需求，將電信帶寬逐步增加至1G帶寬，CDN增加至400M。應(yīng)用現(xiàn)在所占帶寬（Mbps）目前實際需要帶寬（Mbps）需增的帶寬（Mbps）新聞408040新聞圖片336027論壇、博客8015070小程序103020視頻直播50150100合計257以上為主應(yīng)用業(yè)務(wù)的基本帶寬增加情況，還沒有計算短信和Asp等業(yè)務(wù)，或者以后新增的其它業(yè)務(wù)的帶寬占用情況。XX會根據(jù)業(yè)務(wù)的需求靈活調(diào)整光纖接入數(shù)量。電信帶寬擴容，將緩解XX電信帶寬嚴(yán)重不足的情況，提高電信用戶訪問XX的速度，同時能靈活應(yīng)對突發(fā)流量。新增的鐵通帶寬，將解決部分鐵通用戶因為運營商之間的互聯(lián)問題不能訪問XX的現(xiàn)象。新的頻道放入加速范圍，將提升全國各地訪問XX速度。 流量控制方案為了更好的加強對服務(wù)器的管理