【正文】 AP 系統(tǒng)硬件設(shè)備配置的預(yù)估 (主要包括內(nèi)存 Memory、處理器 CPU和存儲器 Disk)。 基于業(yè)務(wù)量的預(yù)估基于系統(tǒng)所處理的各種對象的實際數(shù)量作評估。 系統(tǒng)可靠性 系統(tǒng)的可靠性一直是非常重要的問題。如果發(fā)生這種類型的宕機(jī)，很可能對企業(yè)造成巨大的損失，所以下一部分，將專門針對這類情況，提出解決方案。（這兩條線路使用的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器也要考慮冗余備份） B 硬件的錯誤 XXXX 機(jī)房 規(guī)劃 建議書 9/ 37 1 SAP 服務(wù)器的硬件故障，將直接導(dǎo)致 SAP 系統(tǒng)停止服務(wù)。一般情況下，由于硬件問題導(dǎo)致系統(tǒng)宕機(jī)，宕機(jī)持續(xù)時間受以下因素影響： ? 硬件故障診斷時間 ? 故障硬件的到貨時間 ? 主機(jī)系統(tǒng)的修復(fù)時間 在 SAP 系統(tǒng)中，建議 只對數(shù)據(jù)庫做群集以降低系統(tǒng)的復(fù)雜性，方便今后的維護(hù)工作，應(yīng)用服務(wù)器（ DIALOG INSTANCE）不考慮群集技術(shù)。 2 對 硬盤存儲 硬件故障風(fēng)險的規(guī)避 ， 需要 采購的磁盤陣列本身應(yīng)采用雙控制器、雙電源，支持寫緩存鏡象，硬件 本身 不存在單點故障；分配給各主機(jī)的磁盤采用 RAID5+HOT SPARE 或磁盤鏡象技術(shù)，或者磁盤 陣列采用 2 塊以上全局熱備盤，避免單塊硬盤物理損壞造成數(shù)據(jù)丟失；主機(jī)內(nèi)置硬盤采用 RAID 0+1 技術(shù)，避免單點故障。 備份系統(tǒng)的設(shè)計請參閱備份系統(tǒng)規(guī)劃。 開發(fā)、測試、生產(chǎn) 系統(tǒng) 均采用 IBM 小型機(jī)，其中 開發(fā)測試系統(tǒng)采用一臺 IBMP740 通過 Power VM 虛擬化技術(shù)部署到四臺虛擬服務(wù)器上。PC server 混合平臺 基于成本最優(yōu)化考慮 。 系統(tǒng) 服務(wù)器型號 數(shù)量 SAP ERP、 PI 生產(chǎn)系統(tǒng) IBM P740 2 SAP ERP、 PI 開發(fā)、測試系統(tǒng) IBMX3850 X5 1 主機(jī)架構(gòu)拓?fù)鋱D XXXX 機(jī)房 規(guī)劃 建議書 11/ 37 存儲系統(tǒng)規(guī)劃 存儲系統(tǒng)概要 選擇合適的存儲系統(tǒng)，是數(shù)據(jù)安全的關(guān)鍵所在。 ? 硬件成本 存儲產(chǎn)品的硬件成本，既需要考慮初期投資成本，也需要考慮后續(xù)維護(hù)成本。 在對性能和可靠性要求較高的場合，采用先進(jìn)的 SAN 數(shù)據(jù)存儲網(wǎng)絡(luò)，可以使數(shù)據(jù)的存儲、備份等活動獨立于原先的局域網(wǎng)之外，從而將減輕 LAN 的負(fù)載，保證原有網(wǎng)絡(luò)應(yīng)用的順暢進(jìn)行；同時 SAN 網(wǎng)采用光纖傳輸通道，可以得到高速的數(shù)據(jù)傳輸率。 備份系統(tǒng)規(guī)劃 備份軟件的選擇 備份管理軟件的選擇對于整個系統(tǒng)的性能至關(guān)重要。 2． LAN Free備份； 備份時不會占用網(wǎng)絡(luò)資源，但仍然要由應(yīng)用服務(wù)器負(fù)擔(dān)備份數(shù)據(jù)的傳遞。是性能最好的備份技術(shù)。如果網(wǎng)絡(luò)帶寬不能滿足在可提供的時間段內(nèi)完成所有數(shù)據(jù)的備份，或網(wǎng)絡(luò)壓力大，則必須要使用高級的備份技術(shù)。實際上備份系統(tǒng)本身可以實現(xiàn)所有數(shù)據(jù)包括系統(tǒng)的恢復(fù)，但是時間較長。這些是提高災(zāi)難恢復(fù)速度的更重要的因素。最終目的是為了安全便捷地恢復(fù)數(shù)據(jù)。 上面所說的完整的災(zāi)難恢復(fù)文檔、恢復(fù)演習(xí)計劃，還有日常的管理文檔，備份策略等構(gòu)成了全面的管理數(shù)據(jù)。 數(shù)據(jù)備份系統(tǒng)總體規(guī)劃 采用 LANFree方式的集中數(shù)據(jù)備份架構(gòu)設(shè)計，備份的數(shù)據(jù)只在存儲區(qū)域網(wǎng)（ SAN)中流動。在雙重交換引擎配置中，為了保護(hù)關(guān)鍵應(yīng)用，需要在最短的時間內(nèi)將交換機(jī)控制轉(zhuǎn)換到冗余交換引擎上。一方面，網(wǎng)絡(luò)應(yīng)該能夠完成所有這些任務(wù)，另一方面，它還要十分簡單，以使一般網(wǎng)絡(luò)管理人員都能配置、監(jiān)視并管理網(wǎng)絡(luò)環(huán)境。 擴(kuò)展性 原則： 所有系統(tǒng)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見將來需求，如帶 寬和設(shè)備的擴(kuò)展，應(yīng)用的擴(kuò)展和辦公地點的擴(kuò)展等。 純 IP 網(wǎng)絡(luò)拓?fù)淙缦拢? IPSAN 網(wǎng)絡(luò)拓?fù)淙缦拢? XXXX 機(jī)房 規(guī)劃 建議書 19/ 37 網(wǎng)絡(luò)總體規(guī)劃 根據(jù)標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層分區(qū)建設(shè)方法，將網(wǎng)絡(luò)的可靠性、安全性、先進(jìn)性、易 維護(hù)性、可擴(kuò)展性發(fā)揮到最好，從而最終實現(xiàn)建設(shè)完善和先進(jìn)的數(shù)據(jù)中心的目的。 由于 XXXX 園區(qū)規(guī)模較小，工業(yè)系統(tǒng)及信息系統(tǒng)應(yīng)用， 工作人員 網(wǎng)絡(luò)需求較少 ，建議按照 二 層結(jié)構(gòu)進(jìn)行規(guī)劃建設(shè)，即核心 和 接入 兩 個網(wǎng)絡(luò)層 次 ，出于保證網(wǎng)絡(luò)核心（層）的可靠性以及網(wǎng)絡(luò)分流等因素考慮， 局域網(wǎng)設(shè)計 冗余核心交換機(jī)。其中工業(yè)網(wǎng)絡(luò)核心交換機(jī)設(shè)計為雙引擎，故障發(fā)生后一分鐘內(nèi)完成 failover 切換。同時要求 支持 DHCP Snooping、支持動態(tài) ARP 檢測，防止中間人攻擊和 ARP 拒絕服務(wù)等防止攻擊的特性。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 企業(yè)內(nèi)部網(wǎng)絡(luò)通過配置私網(wǎng)地址建立內(nèi)部互聯(lián)，對于互聯(lián)網(wǎng)來說，可以隱藏內(nèi)網(wǎng)的 IP 地址，并且在網(wǎng)絡(luò)邊界部署防火墻，提高安全策略，隔離內(nèi)外網(wǎng)，開啟攻擊防護(hù)策略。 UTM UTM 安全網(wǎng)關(guān)不僅可以對員工訪問 WEB、 FTP、 MAIL 等常用服務(wù)的內(nèi)容進(jìn)行控制，更可以對 、BT、 MSN、 SKYPE 等各種 P2P 軟件的行為進(jìn)行限制和控制。這些都可能是由于存在 ARP 欺騙攻擊及 ARP 中毒，所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。 為什么殺毒軟件、防火墻 都擋不住 ARP 欺騙攻擊呢？主要由于 ARP 欺騙攻擊的木馬程序，通常會偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活，或者通過 U 盤、移動硬盤等方式進(jìn)入網(wǎng)絡(luò)。在接入層交換機(jī)上采取的這種技術(shù)，我們稱為 ARP 入侵檢測。 對于不能在全網(wǎng)接入交換機(jī)部署 ARP 入侵檢測的網(wǎng)絡(luò)，不能單純靠網(wǎng)絡(luò)設(shè)備進(jìn)行 ARP 欺騙攻擊防御。以下就從這三個方面描述如何能做到有效防御 ARP 欺騙攻擊的。 DHCP Snooping 通過監(jiān)測 DHCP 報文記錄了用戶的 IP/MAC/LEASE/TYPE/VLAN/PORT 等信息，并形成一個 DHCP Snooping 綁定表。 另外由于 ARP 欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的 ARP 報文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU 資源，造成網(wǎng)絡(luò)速度的速度降低。 ARP 欺騙防御可以避免網(wǎng)關(guān)設(shè)備的 ARP 表被攻擊者非法改寫，既避免網(wǎng)關(guān)設(shè)備發(fā)生 VPN 隨 著信息化程度的不斷推進(jìn)，越來越多的企業(yè)開始享受信息化所帶來的高效率和便利，這其中很多企業(yè)在全國各地都擁有自身的分支機(jī)構(gòu)。 VPN 可以說是 Intra 在公用網(wǎng)絡(luò)上的延伸，能提供和專用網(wǎng)一樣的安全性、可管理性和傳輸性能 。 本次設(shè)計考慮通過防火墻做 VPN 網(wǎng)關(guān)。 在無線網(wǎng)絡(luò)融合到現(xiàn)有有線網(wǎng)絡(luò)方面，第三代無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有有線網(wǎng)絡(luò)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。 無線 控制 交換機(jī) 、 無線網(wǎng)絡(luò)交換機(jī)管理系統(tǒng) 分布于網(wǎng)絡(luò)核心層，設(shè)計 采用了目前基于最先進(jìn)的第三代無線網(wǎng)絡(luò)技術(shù)的無線交換機(jī)對整個無線網(wǎng)路進(jìn)行統(tǒng)一的管理。 AP 無線有效覆蓋半徑 30 米 XXXX 機(jī)房 規(guī)劃 建議書 24/ 37 50 米左右，設(shè)計圖 如下： AAA AAA 認(rèn)證服務(wù)器系統(tǒng)主要用于 驗證、授權(quán)和記賬。 本次設(shè)計中考慮 AAA 服務(wù)中采用外部 業(yè)主。 主要用于帳號統(tǒng)一管理與認(rèn)證，并且可以審計外部用戶通過互聯(lián)網(wǎng) VPN 進(jìn)行企業(yè)網(wǎng)絡(luò)操作。 考慮到網(wǎng)絡(luò)的兼容性和 高可用性，本次設(shè)計無線網(wǎng)絡(luò)采用第三代無線交換機(jī)（控制器）＋瘦 AP解決方案。 考慮到網(wǎng)絡(luò)的兼容性和高可用性，本項目無線網(wǎng)絡(luò)采用第三代無線交換機(jī)（控制器）＋瘦 AP解決方案。 第三代無線系統(tǒng)采用了 Wireless Switch＋ AP 構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功 能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、 AP 間自適應(yīng)、無線安管、 RF 監(jiān)測、無縫漫游以及 QoS 保證。 XXXX 機(jī)房 規(guī)劃 建議書 23/ 37 SSL VPN： 提供 方便、快捷的遠(yuǎn)程安全接入 ， 直接使用 瀏覽器 訪問 內(nèi)部網(wǎng)絡(luò)資源 ，無需 安裝客戶端軟件 ，主要用于移動辦公人員，為用戶提供高經(jīng)濟(jì)、低成本的遠(yuǎn)程移動安全接入方式。 VPN（ Virtual Private Network） 具有非常出色的經(jīng)濟(jì)實用性，與其他 WAN 解決方案相比， VPN能夠幫助您更加快速經(jīng)濟(jì)地實現(xiàn)業(yè)務(wù) “全球化 ”，大大降低一般性成本并獲得快速的投資回報。 核心交換機(jī)部署 ARP 欺騙防御 如果網(wǎng)絡(luò)中的某臺接入層交換機(jī)沒有部署 ARP 入侵檢測， ARP 欺騙攻擊就會在該交換機(jī)所屬的一個廣播域內(nèi)得逞，這樣在局部范圍內(nèi)會發(fā)生 ARP 中毒行為，甚至可能會引起中間人攻擊。若 ARP 報文中的發(fā)送者源 MAC、IP 匹配綁定表中的內(nèi)容，則認(rèn)為是合法的報文，允許通過；否則認(rèn)為是欺騙攻擊報文，就進(jìn)行丟棄。 在接入層就是利 用接入交換機(jī)的 ARP 入侵檢測（ ARP Intrusion Inspection）功能，進(jìn)行 ARP 欺騙攻擊防御。因此對于不能在全網(wǎng)接入交換機(jī)部署 ARP入侵檢測的情況，還需要通過部署端點準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)（ iMC/EAD 系統(tǒng)），進(jìn)一步加強(qiáng) ARP 欺騙攻擊的控制和管理。為了防止出現(xiàn) ARP 中毒引起的中間人攻擊，最好在網(wǎng)絡(luò)核心交換機(jī)或者匯聚三層交換機(jī)上部署 ARP 欺騙防御策略。 由于 ARP 欺騙攻擊，利用了 ARP 協(xié)議的設(shè)計缺陷，光靠包過濾、 IP＋ MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。如果局域網(wǎng)內(nèi)某臺主機(jī)運行 ARP 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊?；赪eb 的和 LDAP/Radius 集成的用戶認(rèn)證功能，使得對上網(wǎng)用戶的管理變得十分靈活方便。 本次設(shè)計中防火墻劃分為 4 個區(qū)域，安全等級從高到低分別是工業(yè)區(qū)、辦公區(qū)、 dmz 區(qū)和外聯(lián)區(qū)。防火墻在網(wǎng)絡(luò)間實現(xiàn)訪問控制，比如一個是用戶的安全網(wǎng)絡(luò)，稱之為‘被信任應(yīng)受保護(hù)的網(wǎng)絡(luò)’，另外一個是其它的非安全網(wǎng)絡(luò)稱為‘某個不被信任并且不需要保護(hù)的網(wǎng)絡(luò)’。 Firewall 防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。具備 OSPF、 BGP 等路由協(xié)議的三層交換機(jī)，適合后續(xù)網(wǎng)絡(luò)發(fā)展的大方向。兩臺核心設(shè)備構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu)，達(dá)到無單點故障的目的。 由于工業(yè)生產(chǎn)線的自動化要求高，系統(tǒng)要求穩(wěn)定，安全，建議采用兩套網(wǎng)絡(luò)，一套主要用于工業(yè)系統(tǒng)及相關(guān)的工業(yè)需求，一套主要用于 PI、 ERP 等辦公使用網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)物理隔離，之間通過防火墻實現(xiàn)訪問。 可 管理性原則： 整個系統(tǒng)的設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡單，易學(xué)，易用，便于進(jìn)行系統(tǒng)配置，在設(shè)備、安全性、數(shù)據(jù)流量、性能等方面得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。 安全性原則： 生產(chǎn)環(huán)境中存在工業(yè)生產(chǎn)線，對安全級別要求很高。 網(wǎng)絡(luò)應(yīng)能承受元件、鏈路、電源以及其它類型的故障 。 高可用 原則： 系統(tǒng)設(shè)計能有效的避免單點失 敗，在設(shè)備的選擇和 關(guān)鍵設(shè)備的互聯(lián)時，應(yīng)提供充分的冗余備份，最大限度地減少故障的可能性， 保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。 XXXX 機(jī)房 規(guī)劃 建議書 16/ 37 集團(tuán)信息系統(tǒng)的數(shù)據(jù)備份平臺采用統(tǒng)一集中數(shù)據(jù)備份平臺，根據(jù)集團(tuán)信息系統(tǒng)具體的部署方式，提供基于 LANFree數(shù)據(jù)備份方式。 具體備份內(nèi)容和備份策略如表 5所示 ： 表 5 SAP 系統(tǒng)備份策略 系統(tǒng) 備份內(nèi)容 備份介質(zhì) 備份周期 /頻率 生產(chǎn)系統(tǒng) 操作系統(tǒng) 備份帶庫 SAP 安裝成功后、系統(tǒng)作重大變更前 SAP 軟件 備份帶庫 SAP 安裝成功后、系統(tǒng)作重大變更前 DB2 軟件 備份帶庫 SAP 安裝成功后、系統(tǒng)作重大變更前 數(shù)據(jù)庫 +日志 備份帶庫 3 天為一個 備份周期，每天執(zhí)行一次 數(shù)據(jù)庫日志 備份帶庫 3 天為一個備份周期，每天執(zhí)行一次 測試開發(fā) 系統(tǒng) 操作系統(tǒng) 備份帶庫 SAP 安裝成功后、系統(tǒng)作重大變更前 SAP 軟件 備份帶庫 SAP 安裝成功后、系統(tǒng)作重大變更前 DB2 軟件 備份帶庫 SAP 安裝成功后、系統(tǒng)作重大變更前 數(shù)據(jù)庫 +日志 備份帶庫 建議 3 天為一個備份周期，要求每天執(zhí)行一次 數(shù)據(jù)庫日志 備份帶庫 建議 3 天為一個備份周期，要求每天執(zhí)行一次 6． 管理及維護(hù) 良好的管理和維護(hù)是保證備份系統(tǒng)良好運行和可靠恢復(fù)的保障。 5． 備份策 略 備份策略是備份系統(tǒng)日常工作的準(zhǔn)則。但災(zāi)難恢復(fù)計劃不僅是技術(shù)實現(xiàn)，而是包含很多內(nèi)容。只是一般這種備份要求與系統(tǒng)對存儲架構(gòu)的要求一致，所以 LAN Free或 Server Less的備份技術(shù)一般在 SAN架構(gòu)下實現(xiàn)。其實即使不使用 SAN的存儲結(jié)構(gòu)也是實現(xiàn) LAN Free和 Server Less備份 XXXX 機(jī)房 規(guī)劃 建議書 15/ 37 技術(shù)的。 3． Server less備份 備份對系統(tǒng)是透明的，即不會影響業(yè)務(wù)系統(tǒng)性能。不僅可以勝任目前的備份恢復(fù)管理，也提供良好的擴(kuò)展性與前瞻技術(shù)能力。 IP存儲