【正文】 硬件。 XX 單位 信息化資源整合，數(shù)據(jù)大集中建設(shè)勢在必行！ 通過應(yīng)用集成為公眾提供有價值的服務(wù) ， 實現(xiàn) XX 單位 行政效率提高，提升社會公眾滿意 。 XX 單位 信息化資源整合解決方案 資源整合方案遵循原則：滿足當(dāng)前及今后若干年業(yè)務(wù)發(fā)展需求，遵循可靠、標(biāo)準(zhǔn)化、安全、可管理、高性價比原則。 廣域網(wǎng)整合包括 全國 XX 單位 大聯(lián)網(wǎng)，實現(xiàn)部 XX 單位 、 XX 單位 、分支 XX 單位 、派出機構(gòu)之間互聯(lián)互通，網(wǎng)絡(luò)互通是整體 XX 單位 信息化的基礎(chǔ) 。交通部 XX 單位 數(shù)據(jù)中心面向全國 XX 單位 ，從應(yīng)用系統(tǒng)軟硬件、數(shù)據(jù)存儲系統(tǒng)、管理系統(tǒng) 面向整個 XX 單位 ； XX 單位 面向該 XX 單位 下屬各分支和排除機構(gòu)，實現(xiàn) 該 XX 單位應(yīng)用系統(tǒng)軟硬件和存儲集中。 . 兩級數(shù)據(jù)中心，兩地三中心建設(shè)模式 兩級數(shù)據(jù)中心包括：部 XX 單位 數(shù)據(jù)中心和各 XX 單位 數(shù)據(jù)中心，兩級中心之間不是孤立存在，而是相互關(guān)聯(lián)，互為補充 ，如：部 XX 單位 設(shè)置面向全國的船員管理服務(wù)器， XX 單位 設(shè)置面向本 XX 單位 的船舶、 VTS、船報等，但部 XX 單位也同樣設(shè)置船舶等相應(yīng)服務(wù)器，同各 XX 單位 之間存在緊密數(shù)據(jù)互通 。 同城災(zāi)備中心作用是在主數(shù)據(jù)中心完全故障情況下，能從應(yīng)用層面到數(shù)據(jù)層面館夠接管主數(shù)據(jù)中心功能。 兩地三中心方式充分保證了 XX 單位 信息化數(shù)據(jù)的高可靠性。參考國內(nèi)外先進的經(jīng)驗和案例，將本次 數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)關(guān)注點歸納如下： ? 高可用性： 網(wǎng)絡(luò)做為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，應(yīng)采用高可靠的產(chǎn)品和技術(shù)，充分考 慮系統(tǒng)的應(yīng)變能力、容錯能力和糾錯能力，確保整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行穩(wěn)定、可靠。如果客戶與員工不能訪問關(guān)鍵性應(yīng)用，業(yè)務(wù)將遭受無法挽回的利潤損失。數(shù)據(jù)中心應(yīng)保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供每天 24小時，每周 7天，每年 52周的可用性。應(yīng)按照端到端訪問安全、網(wǎng)絡(luò) L2L7層安 全兩個維度對安全體系進行設(shè)計規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。 ? 可擴展性和靈活性： 數(shù)據(jù)中心網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為承載業(yè)務(wù)數(shù)據(jù)通信的網(wǎng)絡(luò)平臺，必須能夠隨著應(yīng)用系統(tǒng)的變化而進行自由縮放，所以網(wǎng)絡(luò)系統(tǒng)必須具備良好的靈活性及可擴展性，能夠滿足不斷變化的應(yīng)用需求。 . 統(tǒng)一交換架構(gòu) 技術(shù)路線 統(tǒng)一建設(shè)的數(shù)據(jù)中心，應(yīng)用系統(tǒng)繁多，服務(wù)器規(guī)模較大，數(shù)據(jù)流量復(fù)雜，從性能、可靠性、可管理成本方面對數(shù)據(jù)中心網(wǎng)絡(luò)、存儲、計算系統(tǒng)提出新的要求。帶來問題是，建設(shè)成本高，擴容能力低，管理維護復(fù)雜。對于計算型應(yīng)用而言，采用以太網(wǎng)互聯(lián)的微妙級時延已經(jīng)能夠滿足大量的計算需求。隨著萬兆、40G/100G 技術(shù)的深入發(fā)展和終端萬兆接口技術(shù)成熟，以太網(wǎng)將成為服務(wù)器互聯(lián)計算承 載的主流平臺。 因此，新一代統(tǒng)一交換架構(gòu)數(shù)據(jù)中心前端網(wǎng)絡(luò)、計算網(wǎng)絡(luò)、后端存儲網(wǎng)絡(luò)統(tǒng)一采用 10GE/100G 以太網(wǎng)，建設(shè)簡單，性能提升，成本降低。因此，對于網(wǎng)絡(luò)故障快速收斂、故障自愈能力要求極高，這里，需要核 心交換采用數(shù)據(jù)中心級不丟包以太網(wǎng)，并且交換機支持 GR/BFD 等高可靠技術(shù)，實現(xiàn)毫秒級切換。 數(shù)據(jù)集中意味大流量集中，對于交換機分緩存能力要求極高：核心交換機 采用分布式緩存技術(shù)，分布式緩存區(qū)別于傳統(tǒng)方式的架構(gòu)，整個分布式緩存機制由流量管理器在硬件層面協(xié)調(diào)，無需軟件參與，因而工作在系統(tǒng)時鐘級別。 此外，數(shù)據(jù)中心網(wǎng)絡(luò)核心和匯聚交換機需要具備 N： 1 虛擬化技術(shù)來簡化配置，采用 1： N 虛擬化技術(shù)來適當(dāng)邏輯隔離不同業(yè)務(wù)系統(tǒng)，充分保證數(shù)據(jù)中心可靠性、安全性，這在以太網(wǎng)交換機都有成熟穩(wěn)定技術(shù)實現(xiàn)。 . XX 單位 數(shù)據(jù)中心 整體 架構(gòu) 建議 XX 單位 數(shù)據(jù)中心采用模塊化設(shè)計，模塊化包括：核心交換區(qū) 、各業(yè)務(wù)功能區(qū) 、系統(tǒng)管理區(qū)、外聯(lián)區(qū)，各功能區(qū)設(shè)置不同業(yè)務(wù)局服務(wù)器軟硬件，在數(shù)據(jù)中心集中設(shè)置 IT 綜合管理區(qū)和外聯(lián)區(qū)。 部 XX 單位 數(shù)據(jù)中心 具體包括如下功能區(qū) ：數(shù)據(jù)中心核心交換區(qū)、船員管理服務(wù)器區(qū)、船舶管理服務(wù)器區(qū)、通航管理服務(wù)器區(qū)、綜合管理服務(wù)器區(qū)、系統(tǒng)管理區(qū)、外聯(lián)區(qū)、 SAN 存儲區(qū)、辦公局域網(wǎng)區(qū)、廣域網(wǎng)區(qū)。 船員管理、船舶管理、通航管理、綜合管理區(qū)分別 設(shè)置面向全國 XX 單位 的應(yīng)用系統(tǒng)服務(wù)器、中間件服務(wù)器、數(shù)據(jù)庫服務(wù)器。 SAN 存儲區(qū)面向整個數(shù)據(jù)中心各功能區(qū)的數(shù)據(jù)庫服務(wù)器，為統(tǒng)一共享存儲資源池， SAN 存儲區(qū)通過虛擬化技術(shù)將存儲資源映射到各服務(wù)器區(qū)。 外聯(lián)區(qū)統(tǒng)一連接交通部、國家救撈中心等相關(guān)單位。 為了充分保證部 XX 單位 服務(wù)器軟硬件、數(shù)據(jù)高可用性，部 XX 單位 設(shè)置同城災(zāi)備中心和異地災(zāi)備中心，兩個數(shù)據(jù)中心同主中心之間保持?jǐn)?shù)據(jù)級熱備 容災(zāi)，應(yīng)用系統(tǒng)軟硬件實現(xiàn)冷備。 對于存儲區(qū)域和系統(tǒng)管理區(qū)功能同部 XX 單位 ，規(guī)模有所不同 。 XX 單位 同樣設(shè)置同城災(zāi)備中心和異地容災(zāi)中心。 方案 1：同樣設(shè)置同城災(zāi)備中心和異地備份 中心 方案 2：異地容災(zāi)中心共用交通部 XX 單位 災(zāi)備中心。 . XX 單位 數(shù)據(jù)中心各功能區(qū)方案 數(shù)據(jù)中心各業(yè)務(wù)功能區(qū)包括：船員、船舶、 AIS、 VTS 等不同功能區(qū)，每個區(qū)由匯聚交換機、接入交換機組成，匯聚交換機接入數(shù)據(jù)中心核心交換機。 業(yè)務(wù)服務(wù)器區(qū)的主要設(shè)計特點如下： ? 網(wǎng)絡(luò)架構(gòu)采用三層：核心、匯聚和接入 ? 小型機、 PC 服務(wù)器接入采用三層主要是為了滿足綜合布線和管理的要求； ? 接入交換機放在列頭柜，匯聚交換機和核心交換機放在網(wǎng)絡(luò)機房區(qū)，簡化布線、減少故障并實現(xiàn)快速故障診斷； ? 為保證核心業(yè)務(wù)的高可用性， 接入交換支持堆疊技術(shù) ,無需部署 MSTP、VRRP，解決服務(wù)器雙網(wǎng)卡無法同時工作的問題 ； H3C IRF 技術(shù)很方便實現(xiàn)以上功能， IRF 詳細(xì)技術(shù)見 XXX 章節(jié)。 管理控制區(qū)主要功能如下： ? 部署操作、管理數(shù)據(jù)中心內(nèi)部所有主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備的控制終端、監(jiān)控終端等設(shè)備； ? 部署網(wǎng)絡(luò)安全管理系統(tǒng)的服務(wù)器，如網(wǎng)絡(luò)防病毒系統(tǒng)、內(nèi)網(wǎng)安全管理系統(tǒng)等。 是連接數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)和第三方 關(guān)聯(lián)單位的橋梁，為合作伙伴管理提供網(wǎng)絡(luò)連接。本區(qū)域架構(gòu)設(shè)計如下： 出口路由器：與通過專線與不同的合作伙伴相連。 外聯(lián)區(qū)匯聚交換機：集成防火墻并組成雙機熱備，為 關(guān)聯(lián)單位 提供安全可靠的服務(wù)。 匯聚層與數(shù)據(jù)中心核心交換機相連，通過防火墻滿足區(qū)域內(nèi)服務(wù)器訪問內(nèi)網(wǎng)的需求，為業(yè)務(wù)交互提供良好服務(wù)。該區(qū)域路由器應(yīng)具備以下基本特性： ? 無阻塞的報文轉(zhuǎn)發(fā)和處理能力，避免網(wǎng)絡(luò)性能瓶頸； ? 豐富的接口類型和接口匯聚能力，如 CPOS/SDH、 MSTP、 E Ether、DDN、 PPPMP 等 。 廣域網(wǎng)應(yīng)該避免單點故障：由于服務(wù)器集中，廣域網(wǎng)如果中斷，客戶端應(yīng)用系統(tǒng)會中斷。 考慮這些，并結(jié)合 XX 單位 已有廣域網(wǎng)，改造廣域網(wǎng)方案如下： 將原來 XXXX 單位 單設(shè)備、單鏈路的廣域網(wǎng)改造為雙設(shè)備、雙鏈路廣域網(wǎng)，使廣域網(wǎng)有充分可靠性。 XX 單位 同分 支機構(gòu)之間配置 2M4M 帶寬（數(shù)據(jù)業(yè)務(wù) 1M，標(biāo)清視頻會議 1M，如果有應(yīng)急指揮攝像頭調(diào)用，每路攝像頭按 1M，每個分支同時上傳 2 路攝像頭。 . 數(shù)據(jù)中心 安全系統(tǒng)建設(shè)方案 安全是所有 IT 建設(shè)最核心的元素之一，對所有的網(wǎng)絡(luò)來說都是一個主要的考慮事項，數(shù)據(jù)中心安全解決方案必須為數(shù)據(jù)中心提供能夠全方面保護數(shù)據(jù)中心業(yè)務(wù)的安全解決之道。以下討論主要討論數(shù)據(jù)中心會面臨的安全威脅以及對應(yīng)的保護措施，最終目標(biāo)都是保護數(shù)據(jù)中心所承載的業(yè)務(wù)。當(dāng)在每一層次部署對應(yīng)安全解決方案時，也非常清晰的定義和確定了將被包含或影響到的業(yè)務(wù)。它也存儲所有的數(shù)據(jù)，這些數(shù)據(jù)是業(yè)務(wù)事務(wù)和應(yīng)用處理所生成的結(jié)果。 ? 應(yīng)用和數(shù)據(jù)安全性： o 這一層是指業(yè)務(wù)應(yīng)用的安全性，業(yè)務(wù)應(yīng)用被內(nèi)部和外部終端用戶實際訪問，是處理業(yè)務(wù)事務(wù)的資產(chǎn)，并提供電子商務(wù)。 ? 管理安全性 o 這一層是指業(yè)務(wù)流程和操作的安全性，當(dāng)管理團隊作出高級策略決定時，管理安全性主要進行基礎(chǔ)設(shè)施和應(yīng)用的安全性的實現(xiàn)和配置。 o 這一層的安全性解決方案主要包括一些方案或服務(wù)，這些方案或服務(wù)幫助組織實施并自動操作安全策略和流程，最終用戶了解規(guī)劃并完成企業(yè)級安全性的管理和報告。 H3C 數(shù)據(jù)中心安全解決方案秉承了 H3C 一貫倡導(dǎo)的 “ 智能安全滲透理念 ” ，將安全部署滲透到整個數(shù)據(jù)中心的設(shè)計、部署、運維中，為數(shù)據(jù)中心搭建起一個立體的、無縫的安全平臺，真正做到了使安全貫穿數(shù)據(jù)鏈路層到網(wǎng)絡(luò)應(yīng)用層的目標(biāo)，使安全保護無處不在。依托具有豐富安全特性的交換機構(gòu)成數(shù)據(jù)中心網(wǎng)絡(luò)的第一重保護；以 ASIC、 FPGA 和 NP 技術(shù)組成的具有高性能精確檢測引擎的 IPS 提供對網(wǎng)絡(luò)報文深度檢測，構(gòu)成對數(shù)據(jù)中心網(wǎng)絡(luò)的第二重保護；第三重保護是憑借高性能硬件防火墻構(gòu)成的數(shù)據(jù)中心網(wǎng)絡(luò)邊界。交換機提供的安全特性構(gòu)成安全數(shù)據(jù)中心的網(wǎng)絡(luò)基礎(chǔ)，提供數(shù)據(jù)鏈路層的攻擊防御。 IPS 可以針對應(yīng)用流量做深度分析與檢測能 力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)應(yīng)用層的保護。 多層思想（ nTier）不僅體現(xiàn)在傳統(tǒng)的網(wǎng)絡(luò)三層部署（接入－匯聚－核心）上，更應(yīng)該關(guān)注數(shù)據(jù)中心服務(wù)器區(qū)的設(shè)計部署上。按照功能分層打破了將所有功能都駐留在單一服務(wù)器時帶來的安全隱患，增強了擴展性和高可用性。 2) 各種安全設(shè)備是孤立的，無法相互關(guān)聯(lián)，信息共享。 4) 網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。 H3C“全局安全管理平臺” 由策略管理、事件采集、分析決策、協(xié)同響應(yīng)四個組件構(gòu)成，與網(wǎng)絡(luò)中的安全 設(shè)備 、網(wǎng)絡(luò)設(shè)備、用戶終端等獨立功能部件通過各種信息交互接口形成一個完整的 協(xié)同防御體系（見下圖）。 . 基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。 . 交換機安全部署 數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ) 架構(gòu) 的安全特性 是數(shù)據(jù)中心中各部件產(chǎn)品基本安全特性的通稱。 H3C憑借基于 COMWARE的具有豐富安全特性全系列智能交換機為數(shù)據(jù)中心打造堅實的基礎(chǔ)構(gòu)架。作為一個不斷發(fā)展、可持續(xù)升級的平臺，它具有開放的接口，可靈活支持大量的網(wǎng)絡(luò)協(xié)議和安全特性。 COMWARE 的這一特性可使網(wǎng)絡(luò)中各節(jié)點設(shè)備得到同一的安全特性，徹底避免了由于部件產(chǎn)品安全特性不一致、不統(tǒng)一造成的安全“短木板效應(yīng)”。隔離后這兩個端口在本設(shè)備內(nèi)不能實現(xiàn)二、三層互通。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務(wù)器之間的安全： 圖 交換機 Isolated Vlan 技術(shù) STP Root/BPDU Guard 基于 Root/BPDU Guard 方式的二層連接保護保證 STP/RSTP 穩(wěn)定 ,防止攻擊 ,保障可靠的二層連接。 圖 交換機 Root Guard/BPDU Guard 技術(shù) 端口安全 端口安全（ Port Security）的主要功能就是通過定義各種安全模式，讓設(shè)備學(xué)習(xí)到合法的源 MAC 地址，以達到相應(yīng)的網(wǎng)絡(luò)管理效果。 端口安全的特性包括： NTK： NTK（ Need To Know）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的 MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認(rèn)證的設(shè)備上，從而防止非法設(shè)備竊聽網(wǎng)絡(luò)數(shù)據(jù)。 Device Tracking：該特性是指當(dāng)端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時，設(shè)備將會發(fā)送 Trap 信息，便于網(wǎng)絡(luò)管理員對這些特殊的行為進行監(jiān)控。偽裝 IP 有三個用處： ? 本身就是攻擊的直接功能體。 ? 麻痹網(wǎng)絡(luò)中的安全設(shè)施。 ? 隱藏攻擊源 設(shè)備防止 IP偽裝的關(guān)鍵在于如何判定設(shè)備接收到的報文的源 IP是經(jīng)過偽裝的。分別在內(nèi)網(wǎng)和 網(wǎng)絡(luò) 的邊界使用。當(dāng)網(wǎng)關(guān)收到一個 ARP 報文時，會先在映射表中查找是否匹配現(xiàn)有的映射關(guān)系。這樣偽裝 IP 的設(shè)備沒有辦法進行正常的跨網(wǎng) 段通信。設(shè)備可以根據(jù) IP、 MAC、端口的對應(yīng)關(guān)系，下發(fā) ACL 規(guī)則限制從該端口通過的報文源 IP 必須為其從 DHCP 服務(wù)器獲取的 IP 地址。其實現(xiàn)機制如下：設(shè)備接收到報文后， UPRF 會比較該報文的源地址在路由表中對應(yīng)的出接口是否和接收該報文的接口 一致。 （ 4）、 路由協(xié)議認(rèn)證 ： 攻擊者也可以向網(wǎng)絡(luò)中的設(shè)備發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，從而引導(dǎo)用戶的流量流向攻擊者的設(shè)備。 另外，在不應(yīng)該出現(xiàn)路由信息的端口過濾掉所有路由報文也是解決方法之一。 . 內(nèi)網(wǎng)桌面終端 安全 管理系統(tǒng) 部署 在 XX 單位 的局域網(wǎng)接入上，需要采用嚴(yán)格的用戶認(rèn)證和授權(quán)控制策略，避免網(wǎng)絡(luò)的非法接入和越級訪問，保證核心數(shù)據(jù)和業(yè)務(wù)的安全性和 高度機密。此外，需要對接入終端的安全性進行檢查，避免病毒的傳播對網(wǎng)絡(luò)造成的不可預(yù)知的破壞。 EAD 從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強了用 戶終端的主動防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。通過安全認(rèn)證后，用戶可以正常使用網(wǎng)絡(luò)，與此同時， EAD 可以