数字XX城市数据中心设计方案 - 图文

技术方案

目 录

第1章 1.1 第2章 2.1 2.2

项目概述 .......................................................................................................................... 3 概述 ......................................................................................................................................... 3 应用现状及需求分析 .................................................................................................. 4 网络应用现状 ......................................................................................................................... 4 项目建设需求 ......................................................................................................................... 4

服务器系统需求 ............................................................................................................. 4 数据存储系统需求 ......................................................................................................... 5 项目总体框架 ................................................................................................................ 7 数据架构 ................................................................................................................................. 8 应用架构 ............................................................................................................................... 10 技术架构 ............................................................................................................................... 12 数据中心分层架构 ............................................................................................................... 12 数据中心总体设计 ..................................................................................................... 15 中心机房概况 ....................................................................................... 错误！未定义书签。 建立数据中心的必要性 ....................................................................................................... 15 设计目标及原则 ................................................................................................................... 16 数据中心总体架构 ............................................................................................................... 17 核心基础网络设计 ............................................................................................................... 18

网络层建设需求 ........................................................................................................... 18 核心网络规划目标 ....................................................................................................... 18 核心网络规划思路 ....................................................................................................... 19 核心网络结构 ............................................................................................................... 20 网络层设备选型 ........................................................................................................... 25 应用层建设需求 ........................................................................................................... 26 刀片系统设备选型 ....................................................................................................... 28 数据库服务器选型 ....................................................................................................... 31 数据库集群设计 ........................................................................................................... 31

数据库系统群集规划 ............................................................................................................. 31 N+1群集设计优点 ................................................................................................................. 32

2.2.1 2.2.2 第3章 3.1 3.2 3.3 3.4 第4章 4.1 4.2 4.3 4.4 4.5

4.5.1 4.5.2 4.5.3 4.5.4 4.5.6 4.6 4.6.1 4.6.2 4.7 4.7.1 4.7.2

4.7.2.1 4.7.2.2

4.5.5 VPN解决方案 .................................................................................................................. 23

应用层系统设计 ................................................................................................................... 26

数据库服务器系统设计 ....................................................................................................... 30

4.8 网络防病毒系统设计 ........................................................................................................... 33

防病毒产品部署整体示意图 ....................................................................................... 34 病毒监控管理中心的部署 ........................................................................................... 34 布置产品—瑞星杀毒软件2008网络版 ..................................................................... 34 控制管理中心提供功能 ............................................................................................... 34

1

4.8.1 4.8.2 4.8.3 4.8.4

技术方案

4.8.5

4.8.5.1 4.8.5.2

服务器的部署 ............................................................................................................... 36

WINDOWS服务器的部署 ..................................................................................................... 36 服务器防病毒系统的病毒防范功能 ...................................................................................... 36

4.8.6

4.8.6.1 4.8.6.2

客户机的部署 ............................................................................................................... 37

客户机的安装部署 ................................................................................................................. 37 客户端防病毒系统的病毒防范功能 ...................................................................................... 38

第5章 5.1 5.2 5.3 5.4 5.5 5.6

产品介绍 ........................................................................................................................ 40 华为QUIDWAY? S9300系列核心路由交换机 ....................................................................... 40 瑞星杀毒软件网络版 ........................................................................................................... 44 IBM BLADECENTER E刀片中心 ................................................................................................. 57 刀片服务器IBM LS42 ........................................................................................................... 61 IBM 3850M2服务器 ............................................................................................................... 63 微软软件产品介绍 ............................................................................................................... 65

Office SharePoint Server 2007 .......................................................................... 72

5.6.1 SQL Server 2008 .......................................................................................................... 65 5.6.2

2

技术方案

第1章 项目概述

1.1 概述

2007年5月，市、XX公司、XX公司领导和专业技术人员，就XX城市数字城市、数字城区的建设进行了专题研究，提出了整体规划和建设XX城市数字城市的总体构思，明确了数字城市建设工作坚持政府主导，技术支撑工作依托XX公司数据中心及驻市石油石化企业的工作思路。

2008年3月20日正式成立XX城市市数字城市建设工作领导小组，并提出“统一组织、统一管理、统一标准、统一技术路线、统一技术支持”的五统一建设指导原则，数字XX城市建设进入全面实施阶段。2008年5月，由数字城市办公室牵头，会同XX城市市政府、XX公司的有关领导和专家开展数字城市总体设计方案的编制工作。

2008年是XX城市数字城市的基础建设年，本年度开展的基础建设项目以及应用类项目将于近期陆续投产应用。为了不影响系统的使用，及时创建好系统软硬件设备的运行环境，《城市数据中心软硬件建设一期工程》需要尽快进行。本着严格遵守总体规划、总体设计以及“五统一”原则的要求，按照即将投产项目的实际需要，特编写本技术方案。

3

技术方案

第2章 应用现状及需求分析

2.1 网络应用现状

在XX城市的现有网络中，已经存在众多的应用系统，其中已经建成的包括电子政务协同办公系统、金税系统、金财系统、教育城域网系统、医疗卫生系统、金土系统以及各区政府各自构建的系统等等。各个应用系统都是独立建立自己数据体系，使用独立的交换设备、独立的主机系统以及独立的存储设备。各部门自建数据库，自建机房，在造成资料浪费以及维护成本提高的同时，因缺乏专业设计和专业人员的维护，应用系统的可靠性与安全性无法得到保障，主要表现在以下几点：

◇各个应用系统过于独立导致应用系统间的数据交换无法展开。在实际应用中，人口、企业法人等基础类应用系统数据往往要与应用系统产生前台或者后台的数据交互，而现在各个应用系统受到独立数据中心出口的限制，无法进行高速交换。

◇各个系统独立建设，独立规划，在建设时考虑的出发点也有所不同。所以各个项目系统的构架、安全等特性也有所不同。这也对整个数字城市网络的统一管理构造了一定的困难。

◇各个系统独立建设的成本较高，在灾难备份与恢复方面，各个应用系统所做得远远不够。现在大部分应用系统各自分布在相应局、委办机房，如出现机房断电等现象至少会丢失30分钟的数据。当出现地震火灾等重大故障时，个别应用系统可能产生大量数据丢失，从而造成无法估量的损失。

2.2 项目建设需求

2.2.1 服务器系统需求

XX城市数字城市应用系统在横向上分为六类：基础应用、城建管理应用、市场监管应用、社会管理、公众服务引用以及决策分析应用。如下图：

4

技术方案

基础应用系统主要包括政务基础应用系统、CA认证、资源目录体系、项目管理系统以及电子政务基础数据库建设。

城建管理应用系统主要指基于城市基础地理信息系统的城市规划、国土、建设、数字地名等项目。

市场监管系统报考财税、社会征信系统建设。

社会管理系统建立在政务内网上，主要包括“十二金工程”中有关社会管理应用系统建设。

公共服务建立在外网上，主要体现在政府面向公众的网上办事、综合服务以及社会保障、缴费、查询等应用服务。

决策分析系统：决策分析系统相比较其他应用系统，涉及的行业更多，牵扯的面更广。往往代表了数字城市整个应用层面，例如城市应急联动系统、领导决策信息支持系统等。

2.2.2 数据存储系统需求

（1）、数据存储量

存储量计算依据总体规划和年度项目开展建设情况进行计算。如下所示：

类别 数字城市门户 基础数据库 基础地理信息系统 专业应用系统 市政府应急指挥平台 金保工程 合计

现有数据 年增加（TB） 数据量（TB） 0.5 0.5 2 5 0.6 0.4 9 5

设计容量（TB） 10 1 5 8 7.4 1.6 33 1 0.1 0.5 0.5 1.2 0.24 3.54

技术方案

（2）、数据存储资源分类

数据资源存储分类，按照数据存储方式，分类结构化数据和非结构化数据。其中结构化数据存储在数据库中，非结构化数据主要指各类电子文档，包括图像、音频和视频文件，以单个独立文档的形式存储在格式化的磁盘上。

6

技术方案

第3章 项目总体框架

“数字XX城市市”以网络硬件基础设施、标准体系、各类基础空间信息、非空间信息为基础，以面向市政府、企业、公众的个性化、多样性综合信息化终端应用为服务和表现手段，以信息安全、组织领导、政府法规和运营机制为保障环境的城市数字化规划、建设、管理和服务的完整体系。数字化城市建设涵盖整个城市放方方面面的信息及应用。按照“数字XX城市市”建设指导思想及建设原则的要求，提出总体框架如图所示。总体框架由五层结构，两大保障体系构成。

“数字XX城市市”总体框架采用了层次化设计思想，以实现不同层次间的相互独立性，保障系统的高度稳定性、实用性和可扩展性。

第一层表现层，通过门户技术实现的统一信息门户，用户通过“一站式”登录，即可使用根据其权限所配置所有应用系统，为用户提供人性化的应用界面和用户界面整体布局。将有效的解决目前XX城市数字城市各应用系统用户在不同系统间频繁切换的问题。同时提供手机终端的查询，是系统数据采集、信息发布的重要途径。也是未来系统业务扩展的基础。

第二层是应用层，是数字城市应用的软件实现及表现层。该层建立在数字城市平台“一体化”集成基础框架基础之上，与具体应用需要相结合，开发并集成各类应用功能，通过“一站式”登录门户为用户提供人性化的应用界面。辅助领导决策和实施人员办公，提高工作效率，提高城市信息服务水平。

第三层是“一体化”应用开发与集成的支撑框架层，负责提供信息化系统基础、通用、专业的业务协同运行支持以及数据的专业处理及应用功能，是信息系统运行的技术核心。为今后XX城市市信息化系统的扩展提供了技术保证。

第四层是综合数据中心层，是整个信息系统的信息资源核心。综合数据库在统一的数据标准与技术规范的指导下，由基础地理类数据库、资源共享数据库、专业数据库等组成。将有效解决XX城市市数据分散、查询不便的问题，是数据共享及联动的基本前提。

7

技术方案

第五层是信息化基础设施层，该层提供系统的基本网络操作系统、桌面操作系统及企业级数据库系统等基础软件环境，提供信息化系统运行所依赖的存储设施、计算设施、无线通讯网、公众Internet网、政府网络设施、安全设施等，是信息化系统的软硬件设施基础。

在上述五层结构之外，还必须建立相应的信息化技术标准、规范与信息管理制度体系，保证信息有序，防止信息管理混乱，实现充分地利用各种信息，使信息化建设和运行建设和运作有章可循，规范发展的建设目标。同时，信息安全体系的建立将满足规划局对于信息安全保密的要求，保障信息化系统运行在完善的保障体系之下，确保数据安全与系统安全。是满足信息资源建设、信息服务建设和软件开发建设的基本保证。

数字XX城市门户，是数字城市集成框架支撑下的最终表现形式，将来，原则上所有的应用系统都应建立在该平台之上，相互之间通过平台所提供的接口实现协同运作。最终，在“一体化”集成基础框架的有效支撑下，所形式的数字XX城市将是一个涵盖XX城市市政务办公、城市管理、企业应用、社会公众服务的、高度集成的综合门户应用。也就是说，通过“一体化”城市集成应用框架，实现统一身份和资源管理、统一认证、统一内容管理、统一的界面入口、个性化界面、一致的用户体验、流程和内容定制。

数据架构、应用架构和技术架构、安全架构共同构成数字城市总体架构建立一个好的架构可以优化资源配置，减少资源的浪费和重复建设，好的架构对于实现业务战略目标、推进信息化进程、增强与国外同行业的竞争力会起到至关重要的作用。

3.1 数据架构

数据架构是总体架构的关键组成部门，它着力于总体看整个城市的数据资源，数据资源建设是数字城市的核心和根本，数据要与应用分开，应用是无止境的，而数据资源是基础，只有把数据做好了，数据正常化了，才能应付没有止境的应用需求。因此构建数据架构时，首先要考虑数据架构对当前业务的支持。怎样管理好数据这一最重要的软性资产，使其能够真正被利用起来，从而增加整个城市的核心竞争力，是数字城市建设非常重要的问题。

8

技术方案 进行数据架构设计，主要从四个方面进行：数据模型、数据分布、数据流转模型、数据管理。

数据模型是数据架构规划的重要内容，定义良好的数据模型可确保数据架构为业务架构需求提供全面、一致、灵活的高质量数据，且能够在实现数据共享、提高数据质量、提高数据存取和规范性同时减小成本、降低复杂性和风险。数字城市可以使用两种方式建立数据模型，一是从头做起，第二种方式是利用已有的行业模型为基础，结合自己的数据标准进行设计。

公众数据库 基础数据库

共享交换库 国土 规划 国土 旅游 交通 健康 人口 法人 地理信息 宏观经济 数据共享交换平台 元数据库 建设 交通 民政 卫生 公安 消防 教育 工商 税务 专业数据库 数字XX城市数据架构图

XX城市数字城市建设，我们更关心的是共享数据的建立和各系统的功能实现，过去数据分散在各个应用系统中，每个系统包含的信息都存在一定的重复、不一致的方面。解决这个问题的办法就是从统一数据模型的建立，通过城市统一数据模型的建立，提供整个城市范围的数据的统一视图，以达到更好利用数据的目的。

数据分布主要解决数据的部署问题。对于一个拥有众多行业分支的中小型城市，合理规划城市的数据分布是进行数据规划的重要内容。从地域的角度看，数据分布有数据集中存放数据分布存放两种模式。数据集中存放是指数据集中存放于城市总部数据中心，其分支机构不放置和维护数据；数据分布式存放是指数据分布存放于总部数据中心和分支机构，分支机构需要维护管理本分支机构的数据。

未来数据架构将向“数据向上集中，服务向下延伸”的方向发展，既由城市多个分支机构保留数据，转变为由城市总部数据中心统一保存数据。同时由于总部的数据量越来越大，总部的数据开始根据行业业务功能横向分离，向相关业务数据的集中化、业务功能的专业化趋势迈进。

9

技术方案

数据管理包括元数据管理，数据质量管理，数据标准，数据字典，数据安全，数据采集、传输、加工、处理、使用等内容，在整个数据架构中占有重要的地位。数据是有生命周期的，低效的数据管理，将造成数据恶性循环，导致用户不知数据的存在，不明白数据的真正意义以及数据的高度重复、数据的差异性大，难以整合等问题。通过建立良好的数据管理，将能形成数据的良性循环。

数据按需采集更新 数据描述健全、完整 数据准确、提供高效率访问 数据可共享

3.2 应用架构

应用架构是业务结构、数据架构、技术架构、安全架构以及信息化投资等方面综合成果的体现，并且浓缩了城市经济、文化、组织结构等各个方面，是一个物理城市的数字化缩影。数字城市应用架构的内容包括目标架构规划、IT应用现状描述、应用架构实施路线图、标准规范原则等。

目标价格规划中应首先确立分层的原则，分层起因、目的、各层内容和作用、层与层之间的关系等。然后确定应用功能分布，包括应用功能分类、应用功能的层次分布、应用功能对应的应用系统。随后需要确定每个应用系统的应用功能范围、应用系统定位、应用系统之间的连接定义、对应业务处理流程的应用系统之间的连接路径。最后需要确立关键应用系统及其在层级、部署方面的定位，确立关键应用及其服务或接口，特别对基础性、共享性的系统更需要描述清楚。为确保架构规划的落地，应进行应用架构实施规划。

在进行应用架构规划时，遵循以下几个原则：

简单性：体现在应用架构是否有清晰、明确的层次划分，各应用系统之间的连接关系是否简单明确，系统之间的耦合程度低。

灵活性：体现在应用架构适应业务的快速变化，不仅要求在快速增加新应用时保持现有应用架构的稳定性，还要求在适应业务变化的同时主动促进业务变革。灵活性和简单性是目标一致、相辅相成的。实现灵活性需要实现各应用系统之间的松耦合，同时要求在各层之间及各应用系统之间合理分布

10

技术方案

4.2 设计目标及原则

（1）建设目标

建立一个高可靠、高安全、开放、可扩展、可管理、有统一数据模型的复合型系统。它将成为XX城市数字城市信息资源的存储中心、数据的共享交换中心、各类应用系统中间层软件支撑中心、业务部门的协同工作中心，是数字XX城市门户的信息中心，是多媒体、文档资料和政策法规的存储中心以及宏观经济研究的数据信息中心。

一期工程建设目标：按照总体规划要求搭建城市数据中心软硬件系统基础架构，建立以存储和主数据库服务器结构为核心的支撑体系，在存储和数据库备份方面满足数字城市应用系统两到三年的需求。基础架构建设具有可伸缩性和灵活扩展能力。

? 高可靠性

网络架构和设备均支持业务系统对服务级别高可靠性的要求，在网络分层部署的架构和设备体系选择以及相关配置上均充分按照松耦合、可扩展、高可用、高度灵活的系统设计。

? 高安全性

按照立体的安全体系进行设计，分布式部署，使网络具有统一的安全，支持全网的安全联动。

? 开放性

网络建设全面遵循业界标准，所推荐采用的设备、技术在互通性和互操作性上，可以支持本网络系统的快速部署。

? 可扩展性

网络平台必须能够随着应用系统的变化而进行自由缩放，所以网络系统必须具备良好的灵活性及可扩展性，能够满足不断变化的应用需求。

? 可管理性

网络系统覆盖各个区域，能否对其进行高效的管理和维护将直接影响业务系统的运作。

16

技术方案

（2）建设原则

数字XX城市建设按照“统一组织、统一管理、统一标准、统一技术路线、统一技术支持”和“分布实施”的指导思想进行建设，数据中心的建设在上述思想指导下还要考虑以下原则：

统筹规划、分布实施

按照现有的XX城市市电子政务系统架构，在短时间内无法迅速从独立部署转换到数据集中式部署的数据中心。但是集中统一的数据中心的架构、建设工作必须要统筹规划、分布实施。

突出重点、平滑过渡

关注各个系统的业务特性，针对不同的业务系统，采取不同的切入策略，以保证不同的业务系统可以平滑的从独自建立的系统迁移到统一构架的数据中心系统。

集中管理、控制风险

迁移后的各个应用系统的共享资源由XX城市市数据中心统一分配、统一管理、统一制定安全策略、统一制定容火策略。将独自建立的数据中心所考虑到的关键点进行整合。建立一套稳定可靠、可扩展、安全性高的数据中心策略。

4.3 数据中心总体架构

城市数据中心建设工程的实施要以统一规划、分步分阶段实施为策略进行。综合考虑城市信息建设的现状及数据需要，一期工程建设以数据中心基础数据库以及存储设备为核心和重点的支撑平台，方案如下：

根据数字XX城市总体框架的设计思路，数字城市软硬件设施整体架构设计分为终端用户层、应用服务层和数据存储层重点应用的规划。具体如下：

终端用户层：行业应用客户端、社会公众访问端、移动客户端、无线客户端（3G等），目前这些客户端基本上具备访问条件。3G作为即将到来的新技术也能接入访问。可不用考虑这些。详见以下示意图。

应用服务层：包括B类网络安全、C类应用服务器、D类网络交换系统、E类数据安全系统。

17

技术方案

数据存储层：包括F类数据库系统、G类SAN系统和H类存储备份系统。 数字城市建设是一项长期复杂的系统工程。城市数据中心建设也需要逐步建设完善。考虑到计算机设备更新换代比较快，本建设方案在满足2008至2010年需求的前提下，预留可扩展空间，为今后数字城市建设打好基础。

4.4 核心基础网络设计

4.4.1 网络层建设需求

“数字城市”数据中心网络系统承载数据中心所有服务器的数据交换服务，数据流量非常大，对网络交换性能、可靠性以及端口密度要求很高。因此本方案配置两台高性能模块化三层核心交换机，支持多中心业务板，且两台之间可以互为冗余备份，其具体配置及参数要求如下：

每台交换机配置2块交换路由引擎板实现双引擎冗余；配置1块全线速4端口万兆以太口板,实现数据中心两台交换机互连以及与数字城市核心交换机的接入；配置3块全线速48端口千兆电口板用于应用服务器的接入；配置1块全线速48端口千兆光口板用于数据库服务器、存储等核心服务设备的接入。此外，为了实现服务器群集管理和对网络流量的分析管理，还配置了内容交换、网络分析等特性模块。

? 具有三层路由交换功能；

? 背板交换带宽>=700G，三层包转发速率>=400Mpps；

? 总插槽数≥9个，业务板插槽数≥7个，满配千兆电口336个以上； ? 业务模块具有分布式转发能力,每槽位包转发性能>=24Mpps； ? 电源功能应满足满配要求；

? 网络分析模块要求：支持netflow v3/v5/v9或其他兼容格式；支持CLI

（Telnet/SSH）、HTTP、SNMP等多种管理方式； ? 内容交换模块要求：支持基层应用分析。

4.4.2 核心网络规划目标

核心网络规划的主要目标是整合现有资源，为数字XX城市提供一个技

18

技术方案 术先进、高安全可靠性、高带宽、可管理、能扩展的多业务承载网络平台，使得XX城市市政务网能够基于这个平台，实现不同部门机关之间安全高速的数据共享，尽可能的简化办公流程，提高办公效率，并为今后新的业务发展，迅速推出相应的新业务打好良好的基础。

1、接入带宽：有线宽带接入远期达到光纤到桌面、光纤到家庭；近期达到光纤到楼，实现100Mb/s以上的接入能力。无线宽带接入将采用WLAN/WAPI实现所有热点地区的覆盖。移动接入将采用3G/4G技术实现高速接入。

2、核心网络容量：近期汇聚交换机与核心路由器之间链路采用双路由GE连接，远期达到双路由10GE。低层承载近期采用利用现有的城域WDM系统、SDH、光纤共同实现骨干IP电路承载，远期实现网状结构的基于光传送网（OTN）的智能光网络，充分满足信息交换和传输的需求。全网提供MPLS VPN功能，以便为市级部门提供与市委办公厅、市政府办公厅等的虚拟专网通道。该网络的软、硬件必须具备升级功能，能进行该网络的横向主干带宽和纵向主干带宽的扩充（带宽至少能进行1倍以上的扩大）。

3、网络安全性：在基础网络层面实现多措施安全保障，政府、金融企业、大型企业等重要政企用户的光纤接入要真正实现物理光缆网双路由（两条路由的光缆要经由不同方向接入管道）；核心网络实现网状结构，核心、汇聚节点的出局管道至少具有2个方向。在IP承载层部署VLAN、MPLS VPN等技术保证业务承载安全。

4.4.3 核心网络规划思路

核心网络基于IP技术，是具有结构清晰、性能稳定，有效QoS保证、可维护、可管理的先进的IP城域承载网络。

IP城域承载网采用核心层、汇聚层和接入层等三层网络结构。核心节点2-3个，能形成冗余组网以提高可靠性，汇聚节点为5个市、区各一个。

IP城域承载网将部署MPLS技术，城域网骨干层采用MPLS VPN划分隔离不同的行业系统或部门，以获得更好的网络性能；城域网用户接入层使用VLAN划分不同行业系统或部门。VPN技术为以后的数据安全隔离、网络服

19

技术方案 务质量保证、多类别服务提供了技术上的保证。

IP城域承载网链路的承载在保证安全性的基础上以充分利用运营商现有传输资源为主。近期在XX城市市区的IP电路承载可采用裸光纤方式，XX、XX等区的汇聚交换机上联电路以MSTP和城域波分承载为主。远期，随着技术成熟、业务规模的增加，考虑低层逐步采用基于OTN的ASON技术构建大容量传输网络，传输网拓扑结构从现有的环状向网状演进，实施基于网状网的业务保护和恢复机制，提升IP链路的生存性。在选择承载技术时，要具有一定的可扩展性，能够根据数字城市相关业务的应用逐步增加IP链路带宽。

信息存储平台实现双站点互为备份、业务负载均衡、多层次容灾。

4.4.4 核心网络结构

数字XX城市IP城域承载网组织结构示意图如下图所示，从整体架构上来说可分为四个部分：

? 委办局的局域网节点组成接入层；

? 各级宽带接入节点接入汇聚交换机组成汇聚层； ? 网络核心的高可靠电信级路由器组成骨干层； ? 以应用平台为核心的数据中心网络。

20

技术方案

在数字城市城域网的核心层，设置两个核心节点，由两台高端路由交换机组成，放置在XX公司数据中心机房。核心高端路由交换机与数据中心的公用信息平台相连，提供到服务器群组的高速访问通道。此外，核心节点路由器还通过两个物理方向提供到互联网的访问出口。

在汇聚层，为了便于各类业务进行汇聚在XX城市市区、XX区、XX区、XX设置5个汇聚节点（其中XX城市市区2个），每个节点配置2台高端万兆三层路由交换机。汇聚节点与核心节点间构成双星型网络拓扑结构。10台汇聚交换机各端口均开启路由功能，同节点两台设备之间千兆链路互联，保证网络的高带宽及链路冗余；

同时整个网络由防火墙、IPS组成安全防护基础，应用层采用多重防护和防篡改等应用技术提升信息中心数据安全。IP城域网核心层和汇聚层网络拓扑图如下图所示。

在骨干区域内，在节点路由器上配置MPLS，划分若干VPN，在每个VPN

21

技术方案 包含一个或若干VLAN。不同业务使用不同VPN，保证业务网络的隔离，同时是设立公共VPN，部署网管及杀毒等公共服务；针对整网中不同业务部署QOS，以保证重点业务得到重点保障。

图6-24 IP城域网核心和汇聚层网络拓扑结构网

在城域网的接入层，采用快速以太网接入方式实现对各单位局域网的接入服务。具体接入技术可以采用MSTP、光纤直连、EPON等实现方式。接入层交换机每个端口与各单位路由器或安全网关相连接。为了使不同单位的网络完全隔开，交换机每个端口独占一个VLAN。这样，不同厅、局单位网络在第二层实现了隔离。同时整个网络由防火墙、IPS组成安全防护基础，应用层采用多重防护和防篡改等应用技术提升信息中心数据安全。

IP城域网安全措施：

节点设备安全：IP城域网核心层和汇聚层所有设备均采用双主控、双电源，对关键板卡进行保护，保证设备本身的安全性。核心层设置两个节点，汇聚层每个区域采用双设备，避免单点设备故障。

链路安全：骨干设备和汇聚设备之间采用口字形连接，保证骨干链路的冗余和安全性；对于XX、XX等区的长距离IP链路承载在传输网络上，环形网为IP链路提供自动保护倒换，提供链路安全可靠性。

22

技术方案

网络安全边界保护：在网络边缘路由器所有接入接口上采用ACL封闭所有对骨干路由器管理和链路地址的访问，形成封闭的MPLS-VPN骨干网络。

设备自身保护：在路由器上设置ACL，控制非法访问，如Telnet、SNMP等。

配置操作安全保护：采用RADIUS协议实现用户管理员的认证、授权和审计(AAA)；通过syslog实现配置修改等安全关键信息的审计。

路由安全：在边缘路由器接口上使用 MD5加密认证。在没有BGP的路由器接口上封闭BGP使用的TCP=179端口。

带宽资源安全：采用QoS策略保证高等级业务的传送安全，保证带宽。 数字城市城域网与外网（互联网）隔离：在外网出口安装防火墙设备，防止各类病毒及攻击，对内网造成破坏。

4.4.5 VPN解决方案

根据数字城市城域承载网的建设目标，可以为某一系统提供专用的虚拟通信通道，组建系统纵向的互联网络，以及横向的公共服务访问，如：

? 为市政府提供与各部门通信的办公虚拟通道 ? 为市直各部门提供与部门内纵向通信的虚拟通道 ? WWW访问服务

即在横向上要实现部门间的部分主机及应用的跨部门访问；在纵向上实现各系统机要等部门的内部互联。

为了实现这些建设目标，保证政务网各系统的安全，必须要为了各系统的网络互联提供安全隔离及网络服务质量保证，对网络平台而言，技术上需要重点实现以下两个方面：

1、安全隔离：一方面要保证各业务系统逻辑网络的相对独立性，以满足不同业务系统对安全性、服务质量、管理、拓扑结构的要求；

2、受控互访：另一方面，各业务系统之间的流程整合又需要提供相互访问的途径，而且要保证访问的安全性。

MPLS/BGP VPN解决方案可以为外网平台提供一种基于网络、易于管理、扩充性好、安全且具有QoS保障、可在任意节点间连接的VPN。

23

技术方案

MPLS VPN由三类设备组成：PE、P和CE。核心节点的两台路由器担当P设备的角色，汇聚节点路由交换机担当PE设备，在每个委办局部署一台接入路由器，担当CE设备的角色。

垂直纵向VPN组网方案

垂直纵向VPN网络设计是指通过部署标准的MPLS/BGP VPN将位于市中心、各区的属于同一委办局的各个单位连接在一个逻辑专线网络中。所有MPLS VPN业务是由部署在城域网的PE设备来完成。各区县节点的接入路由器交换机做PE设备。网络实现入下图所示：

B委办局A委办局市D委办局C委办局D委办局A委办局B委办局A委办局C委办局

图6-25垂直纵向 MPLS VPN示意图

横向互访VPN组网方案

为达到横向受控数据互访，在公用信息存储中心部署两台支持MPLS/BGP VPN的核心交换机，作为PE设备，双归上连到城域网核心路由器。各委办局的横向互通是指放置于各委办局的前置服务器中的数据通过公用信息存储中心进行横向数据互访。

24

技术方案

B委办局A委办局市

图6-26 横向 MPLS VPN示意图

4.4.6 网络层设备选型

Quidway? S9312核心路由交换机是由华为公司自主开发的新一代高性能核心路由交换机产品，提供大容量、高密度、模块化的二到四层线速转发性能，具有强大的IP路由性能，同时支持分布式的MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级的高可靠设计，满足高端用户对多业务、高可靠、大容量、模块化的需求，可广泛应用于构建IP城域网、大型园区网的网络骨干、交换核心和汇聚中心。

本次方案配置的国产华为公司Quidway S9312可以达到2T的交换容量、4.8Tbps的背板容量和1080MPPS的包转发率，完全可以满足容量，可以达到槽位数10个，冗余的交换引擎。

按照招标要求，本次配置了双引擎、一块万兆板、四块千兆业务办，同时配置了一块华为公司最新推出的的LE0MFSUA高性能增强灵活业务模块，可以实现MPLS VPN和网络流量分析等功能，详细的配置清单如下：

25

技术方案

4.6.1 数据库服务器选型

根据招标文件的要求，我们建议选择与刀片服务器同一品牌的IBM X3850M2服务器，该款服务器是基于英特尔四核处理器的 4插槽服务器 ，适用于数据库、企业应用程序和虚拟化服务器工作负载的领先x86性能，它属于第四代 IBM X 架构芯片组设计，性能增强包括前端总线速度提高 60%，内存速度比上一代 X3提高多达 60%，以及每个插槽单独的前端总线带来平衡的系统设计，能够充分满足数字城市数据中心高性能数据库服务器性能要求。

4.6.2 数据库集群设计

数据库系统对前端应用提供数据服务，需要处理大量的数据操作和数据查询，是整个应用系统的核心，而且存储着整个系统的最重要的数据，一旦发生故障或数据丢失会导致整个应用系统的运行停止，造成不可估量的后果和影响，因此对系统的可靠性、可用性提出了最高的要求，需要重点进行考虑和规划，因此我公司建议配置数据库的群集保证系统的业务最大的连续性。

4.6.2.1 数据库系统群集规划

提高MS SQ LServer数据库的高可用性有几种办法：故障转移群集、N+1群集、日志传送、数据库复制和数据库镜像技术，但几种技术分别有不同的优缺点，分别适合不同类型的应用。

数据库分区 可以实现负载均衡，主要适合于数据库量达到几百G或者达到T级，管理维护比较复杂 日志传送 无法实现负载均衡，但日志同步可能丢失日志导致数据库数据丢失，而且两台服务器均有自己的数据存储空间，失败后需要手工切换并且应用备份的日志需要

31

技术方案

一段时间 数据库复制 可以实现负载均衡，可能丢失日志导致数据库数据丢失，而且两台服务器均有自己的数据存储空间，失败后需要手工切换 数据库镜像 可以利用快照的技术实现负载均衡，安全性较高，但日志传送需要确认，切换时间较短，需要双倍的存储空间，但主要适合于一台数据库提供数据存取，一台数据库提供检索服务 根据目前的应用情况，如果实现数据库的负载均衡，即多台服务器均处于Active状态，可以有几种办法：数据库分区技术、日志传送、数据库复制和数据库镜像技术，但针对本项目而且，它们也均有自己的缺点：

综合比较上面的几种办法，我公司建议使用N+1群集，可以完全确保系统的安全和性能。

数据库采用的是SQL Server 2008,针对SQL Server 2008数据库实现的是故障转移群集。

在从一个节点到备份节点的故障转移过程中，Windows 2008群集将在新的节点上为这个实例启动SQL Server 2008服务，然后通过恢复过程启动数据库。SQL Server 2008虚拟服务器的故障转移需要少量时间（可能是几秒钟）。在服务启动，主数据库联机后，SQL Server 2008资源就被认为是已经启动了。接着，用户数据库将执行常规的恢复过程，这意味着所有在事务日志中已经完成的事务将前滚，而没有完成的事务将回滚。恢复过程的时间长度取决于必须进行前滚或回滚操作的活动数量。您可以将服务器的恢复间隔设置为较低的数值，能够避免过长的恢复时间，并能加速故障转移过程。

4.6.2.2 N+1群集设计优点

? 高安全性、高可靠性；

? 事务完整性，故障切换工程中可确保事务一致； ? 快速的自动故障切换功能；

? 高性能，能够快速处理各种处理业务；

32

技术方案

? 群集系统对用户透明，故障切换对用户来说仅仅只是短时间的停滞或中断；

? 节约资源，多台服务器同时处于Active状态，可提高利用率。

4.7 网络防病毒系统设计

在网络环境下，计算机病毒有不可估量的威胁性和破坏力。政府网络系统中使用的操作系统一般均为WINDOWS系统，更容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术：

?

预防病毒技术

预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。

?

检测病毒技术

检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。

?

杀毒技术

杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进入网络进行传播扩散。

结合本次项目的要求，我们建议选择瑞星杀毒软件2008网络版。

33

技术方案

4.7.1 防病毒产品部署整体示意图

根据XX城市数字城市数据中心计算机网络潜在的病毒威胁分析，结合瑞星科技公司系列防毒产品的特性，在网络将实施由点及面，全方位网络防病毒产品部署，彻底截断病毒入侵的所有途径，具体产品布置根据不同病毒防范采用不同产品。

4.7.2 病毒监控管理中心的部署

控制管理中心是管理员能从本地位置控制和监控网络内任何一个节点的防毒策略、病毒事件和病毒监控。

4.7.3 布置产品—瑞星杀毒软件2008网络版

在网络病毒防范体系建立上，必须首先建立病毒监控管理中心，之后才可以布置其它的服务器和客户端杀毒软件，实现对网络内的服务器和客户端进行全网病毒监控和查杀。

4.7.4 控制管理中心提供功能

统一升级控制

34

技术方案

集中式更新病毒码和扫描引擎文件，可以确保所有被管理的产品都使用最新的组件。也使您可以从一个单击的管理控制台查看整个网络的防护状态。

统一策略配置

统一策略配置使您可以从一个单一控制台为全网或部分计算机设置病毒防范策略，协调计算机病毒响应措施。确保了网络内的防毒安全策略的一致实施。

统一查杀毒

统一查杀病毒可以保证网络内的计算机在同一时间段内查杀所有病毒，使网络内的计算机不受病毒的交叉感染

集中式日志报告

使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。控制管理中心可以从所有其管理的产品收集日志；您不再需要检查每个单个产品的日志。

病毒事件通知

杀毒软件客户端（服务器、客户机）发现病毒和处理方式会自动通知病毒监控管理中心，管理员可以通过控制台及时发现整个网络病毒事件情况。

部署示意图入下：

35

技术方案

4.7.5 服务器的部署

网络内的服务器由于应用环境、服务器硬件和操作系统不同，因此，在服务器的病毒防范体系中可以分为：WINDOWS服务器和Unix服务器的布置。

4.7.5.1 WINDOWS服务器的部署

部署产品：瑞星杀毒软件2008网络版

瑞星杀毒软件2008网络版可以监控和保护网内所有WINDOWS服务器和客户端不受病毒的感染。

? 部署建议

在网络病毒监控中心（系统中心）建立后，可以通过“域脚本安装”、“WEB安装”、“共享安装”、“服务器本地安装”及管理控制台提供的“远程安装”等多种方式为服务器布置服务器端病毒监控防范系统。

4.7.5.2 服务器防病毒系统的病毒防范功能

全面监控所有病毒入口：对来自Internet、E-mail、光盘、软盘、内部网络等所有这些病毒可能的入口，无论是宏病毒、特洛伊木马、黑客程序和有害程序瑞星杀毒软件均能全面进行实时监控，有效防范病毒的入侵。

文件监控：实时监控文件打开与关闭；

内存监控：实时监控驻留在内存的文件与程序，避免在内存被病毒感染，有

36

技术方案 效防治内存型病毒；

邮件监控：实时监控邮件服务器端收发的邮件是否包含病毒，避免病毒通过

邮件的传播；

网页监控：时刻监控服务器端在浏览网页时遭到恶意脚本的危害。 注册表监控：监控注册表防护恶意的程序改动注册表

计算机漏洞的防护：当前，操作系统、应用系统漏洞已经成为病毒攻击的主要

目标，那么能否在病毒发作传播之前了解漏洞状况，及时修补漏洞，不给病毒可乘之机？瑞星杀毒软件网络版集成了先进的计算机系统漏洞扫描工具（主要针对Windows系统），能够及时发现本机的系统漏洞，使用用户、管理员能够及时为系统打补丁，有效避免了病毒利用系统漏洞泛滥。

自动升级：瑞星杀毒软件服务器端会自动的通过内部的病毒监控管理中心（系

统中心）实现内部定时升级，此外，管理员可以通过控制台提供的“立即升级”功能实现手动升级。

主动报警：服务器端发现病毒及病毒的处理方式（清除、删除、忽略）都会

自动上报到病毒监控管理中心（系统中心），管理员通过控制台可以清楚看到服务器的病毒事件情况。

4.7.6 客户机的部署

部署产品――瑞星杀毒软件2008网络版

瑞星杀毒软件2008网络版可以监控和保护网内所有WINDOWS服务器和客户端不受病毒的感染。

4.7.6.1 客户机的安装部署

在网络病毒监控中心（系统中心）建立后，可以通过“域脚本安装”、“WEB安装”、“共享安装”、“服务器本地安装”及管理控制台提供的“远程安装”等多种方式为客户机布置客户端病毒监控防范系统。

37

技术方案

4.7.6.2 客户端防病毒系统的病毒防范功能

全面监控所有病毒入口：对来自Internet、E-mail、光盘、软盘、内部网络等所有这些病毒可能的入口，无论是宏病毒、特洛伊木马、黑客程序和有害程序瑞星杀毒软件均能全面进行实时监控，有效防范病毒的入侵。

文件监控：实时监控文件打开与关闭；

内存监控：实时监控驻留在内存的文件与程序，避免在内存被病毒感染，有

效防治内存型病毒；

邮件监控：实时监控邮件客户端收发的邮件是否包含病毒，避免病毒通过邮

件的传播；

网页监控：时刻监控客户端在浏览网页时遭到恶意脚本的危害。 注册表监控：监控注册表防护恶意的程序改动注册表

计算机漏洞的防护：当前，操作系统、应用系统漏洞已经成为病毒攻击的主要

目标，那么能否在病毒发作传播之前了解漏洞状况，及时修补漏洞，不给病毒可乘之机？瑞星杀毒软件网络版集成了先进的计算机系统漏洞扫描工具（主要针对Windows系统），能够及时发现本机的系统漏洞，使用用户、管理员能够及时为系统打补丁，有效避免了病毒利用系统漏洞泛滥。

自动升级：瑞星杀毒软件客户端会自动的通过内部的病毒监控管理中心（系

统中心）实现内部定时升级，此外，管理员可以通过控制台提供的“立即升级”功能实现手动升级。

38

技术方案

主动报警：客户端发现病毒及病毒的处理方式（清除、删除、忽略）都会自

动上报到病毒监控管理中心（系统中心），管理员通过控制台可以清楚看到客户机的病毒事件情况。

39

技术方案

第5章 产品介绍

5.1 华为Quidway? S9300系列核心路由交换机

Quidway? S9300系列以太汇聚交换机（以下简称S9300）是基于华为公司统一的VRP?（Versatile Routing Platform）系统而推出的下一代以太网汇聚交换机，提供整机高达2T交换容量，二、三层线速转发能力，具备强大组播功能，EPON接口和完善的QoS保障，满足城域网、企业园区网对Multi-Play业务承载和全光接入的组网需求，为运营商和企业网提供强大的网络交换和业务运营能力，支持IP专线、VPN、IPTV、IPv6等多种业务。

S9300系列包括S9303、S9306、S9312三个产品形态，整个系列秉承模块通用化、归一化的设计理念，最小化备件成本，在保证设备扩展性的同时最大限度地保护用户投资。

S9303 S9306 S9312

产品特点：

1、 创新的三平面设计

S9300在传统交换机数据转发、管理控制双平面基础上进行了创新，增加了独立的环境监控平面，率先实现整机三平面设计。业界首创的环境监控板，其核心芯片采用华为自主知识产权的中控芯片，实现硬件级的按流量动态调整功率、风扇分区控制、风扇智能调速、端口休眠技术等多项节能技术，独立环境监控与网管联动，实现整机运营维护的全面可视化管理。

40

本文来源：https://www.bwwdw.com/article/5lj.html