uploadfiles5A手機項目基礎(chǔ)設(shè)施建設(shè)完整解決方案

1、5A 項目基礎(chǔ)設(shè)施建設(shè)完整解決方案文檔日期： TIME EEEE年O月 二一二年七月 文檔版本：版本控制表目 錄 TOC o 1-3 h z u HYPERLINK l _Toc328590372 1項目概況 PAGEREF _Toc328590372 h 5 HYPERLINK l _Toc328590373 項目背景 PAGEREF _Toc328590373 h 5 HYPERLINK l _Toc328590374 設(shè)計概述 PAGEREF _Toc328590374 h 5 HYPERLINK l _Toc328590375 設(shè)計拓撲 PAGEREF _Toc328590375 h

2、7 HYPERLINK l _Toc328590376 2設(shè)計目標及原則 PAGEREF _Toc328590376 h 8 HYPERLINK l _Toc328590377 需求梳理 PAGEREF _Toc328590377 h 8 HYPERLINK l _Toc328590378 設(shè)計原則 PAGEREF _Toc328590378 h 8 HYPERLINK l _Toc328590379 參考標準 PAGEREF _Toc328590379 h 10 HYPERLINK l _Toc328590380 3完整解決方案 PAGEREF _Toc328590380 h 10 HYPE

3、RLINK l _Toc328590381 設(shè)計拓撲 PAGEREF _Toc328590381 h 11 HYPERLINK l _Toc328590382 設(shè)計思路 PAGEREF _Toc328590382 h 13 HYPERLINK l _Toc328590383 方案設(shè)計 PAGEREF _Toc328590383 h 14 HYPERLINK l _Toc328590384 安全防護解決方案 PAGEREF _Toc328590384 h 14 HYPERLINK l _Toc328590385 網(wǎng)管解決方案 PAGEREF _Toc328590385 h 15 HYPERLIN

4、K l _Toc328590386 4產(chǎn)品選型 PAGEREF _Toc328590386 h 18 HYPERLINK l _Toc328590387 交換機選型 PAGEREF _Toc328590387 h 18 HYPERLINK l _Toc328590388 選型原則 PAGEREF _Toc328590388 h 18 HYPERLINK l _Toc328590389 三層交換機 PAGEREF _Toc328590389 h 20 HYPERLINK l _Toc328590390 防火墻選型 PAGEREF _Toc328590390 h 20 HYPERLINK l _T

5、oc328590391 選型原則 PAGEREF _Toc328590391 h 20 HYPERLINK l _Toc328590392 產(chǎn)品推薦 PAGEREF _Toc328590392 h 21 HYPERLINK l _Toc328590393 服務(wù)器選型 PAGEREF _Toc328590393 h 29 HYPERLINK l _Toc328590394 概述 PAGEREF _Toc328590394 h 29 HYPERLINK l _Toc328590395 特性 PAGEREF _Toc328590395 h 29 HYPERLINK l _Toc328590396 技

6、術(shù)指標 PAGEREF _Toc328590396 h 31 HYPERLINK l _Toc328590397 磁盤陣列選型 PAGEREF _Toc328590397 h 31 HYPERLINK l _Toc328590398 機柜選型 PAGEREF _Toc328590398 h 33 HYPERLINK l _Toc328590399 標準 PAGEREF _Toc328590399 h 33 HYPERLINK l _Toc328590400 特點 PAGEREF _Toc328590400 h 33 HYPERLINK l _Toc328590401 承載 PAGEREF _T

7、oc328590401 h 33 HYPERLINK l _Toc328590402 防護等級 PAGEREF _Toc328590402 h 33 HYPERLINK l _Toc328590403 主材料 PAGEREF _Toc328590403 h 34 HYPERLINK l _Toc328590404 表面處理 PAGEREF _Toc328590404 h 34 HYPERLINK l _Toc328590405 網(wǎng)管軟件選型 PAGEREF _Toc328590405 h 34 HYPERLINK l _Toc328590406 自動發(fā)現(xiàn)全網(wǎng)拓撲 PAGEREF _Toc328

8、590406 h 34 HYPERLINK l _Toc328590407 功能亮點 PAGEREF _Toc328590407 h 36 HYPERLINK l _Toc328590408 客戶收益 PAGEREF _Toc328590408 h 37 HYPERLINK l _Toc328590409 5投資估算 PAGEREF _Toc328590409 h 37項目概況項目背景上海廣播電視臺，前身是上海文廣新聞傳媒集團（Shanghai Media Group，簡稱SMG）。2009年8月，根據(jù)中央關(guān)于文化體制改革的部署和要求，國家廣電總局正式批復(fù)同意“上海文廣新聞傳媒集團體制改革方案

9、”，上海文廣新聞傳媒集團更名為上海廣播電視臺，成為全國首家獲得批準實施制播分離改革的省級媒體集團。同時，上海廣播電視臺出資成立臺屬、臺控、臺管的集團公司上海東方傳媒集團（Shanghai Media Group，簡稱SMG）。2009年10月21日，上海廣播電視臺、上海東方傳媒集團正式揭牌，擁有資產(chǎn)過百億元，員工近萬人。面向未來，立足上海，放眼全球，展示上海城市魅力，傳播中國海派文化，SMG將被打造成為重要的具有國際影響力的中國骨干文化產(chǎn)業(yè)集團和戰(zhàn)略投資者。 伴隨著信息化發(fā)展進入移動互聯(lián)網(wǎng)時代，針對移動終端的應(yīng)用開發(fā)成為發(fā)展趨勢。應(yīng)用能否安全、可靠、高效、穩(wěn)定的對外提供服務(wù)，成為5A 項目基礎(chǔ)

10、設(shè)施建設(shè)好壞的判定指標。方案將從安全防護解決方案、網(wǎng)管解決方案等多角度、全方位的對基礎(chǔ)設(shè)施建設(shè)做深入的思考，并在關(guān)于基礎(chǔ)設(shè)施建設(shè)領(lǐng)域的最佳實踐下提供最合理的解決方案。設(shè)計概述本方案從需求分析入手，在充分分析系統(tǒng)特點基礎(chǔ)上，結(jié)合未來SMG應(yīng)用訪問增長量的可能發(fā)展趨勢，提出了5A 項目基礎(chǔ)設(shè)施建設(shè)解決方案，并根據(jù)我公司在基礎(chǔ)設(shè)施建設(shè)領(lǐng)域的最佳實踐以及在類電子商務(wù)系統(tǒng)運行維護方面多年的經(jīng)驗提供架構(gòu)建議以供決策參考。針對各項技術(shù)設(shè)計的要求，本方案進行了相應(yīng)的產(chǎn)品選型，隨后提出了工程建設(shè)階段的管理與質(zhì)量保證計劃，以及工程建設(shè)完成以后的售后服務(wù)與培訓(xùn)計劃，方案覆蓋了整個系統(tǒng)的生命周期。方案結(jié)構(gòu)如下：設(shè)計拓

11、撲參考架構(gòu)拓撲，提出5A 項目基礎(chǔ)設(shè)施建設(shè)總體解決方案，解決方案將從以下幾個方向展開：安全防護解決方案網(wǎng)管解決方案設(shè)計目標及原則需求梳理目前已經(jīng)進入移動互聯(lián)時代，其典型特征是變化快，響應(yīng)快，這就要求針對市場熱點能夠快速推出應(yīng)用并將其部署到移動互聯(lián)網(wǎng)上，并在基礎(chǔ)架構(gòu)設(shè)計上能夠?qū)σ苿踊ヂ?lián)網(wǎng)時代提供最有利的支撐。最近12年，會有 新媒體開發(fā)項目，主要和 等移動媒體有關(guān)。 動感101和財經(jīng)廣播兩個APP應(yīng)用，上線使用了1年多，測試效果還比較理想。今后幾年的目標主要在移動互聯(lián)網(wǎng)做應(yīng)用開發(fā)和運營。最近正在開發(fā)針對大學生作為目標人群的APP應(yīng)用。根據(jù)應(yīng)用需要架設(shè)基礎(chǔ)設(shè)施，對外會引入SMG技術(shù)運營中心的統(tǒng)一出

12、口，作為5A 項目的互聯(lián)網(wǎng)出口。要求在堅持安全（接入，系統(tǒng)和運營）、可維護性、可擴展性（加入新資源，要很快能夠使用，不需要對原有架構(gòu)做調(diào)整）原則的基礎(chǔ)上，搭建基礎(chǔ)系統(tǒng)構(gòu)架。大學生作為應(yīng)用服務(wù)的主要對象，目前上海市有將近80萬大學生。目標是希望能夠有總量的30%50%的大學生能夠訪問應(yīng)用，在設(shè)備選型時，可以作為其中一個因素。業(yè)務(wù)系統(tǒng)希望能夠在7月中旬就能上線，故在設(shè)備選型時，盡量考慮通用型設(shè)備，能在提交采購申請后及時到貨的設(shè)備。設(shè)計原則根據(jù)國家有關(guān)法律法規(guī)和相關(guān)標準，在保證系統(tǒng)基本設(shè)計原則的情況下，針對項目的實際需求和應(yīng)用類型情況，在系統(tǒng)基礎(chǔ)架構(gòu)設(shè)計上提出以下設(shè)計原則：滿足應(yīng)用快速部署上線的要求

13、：目前已經(jīng)進入移動互聯(lián)時代，其典型特征是變化快，響應(yīng)快，這就要求針對市場熱點能夠快速推出應(yīng)用并將其部署到移動互聯(lián)網(wǎng)上，故業(yè)務(wù)應(yīng)用的部署速度一定要快才能實現(xiàn)，即有快速部署的需求?；A(chǔ)設(shè)施平臺具有良好的伸縮性：移動互聯(lián)網(wǎng)變化快的特點要求平臺具備快速釋放資源來供其他應(yīng)用使用，提高資源利用率。另外，移動互聯(lián)網(wǎng)會出現(xiàn)大量的突發(fā)事件，造成流量和處理量的快速增加，這就要求基礎(chǔ)設(shè)施平臺能夠快速的擴充處理能力，以應(yīng)對突發(fā)事件的訪問需求?；A(chǔ)設(shè)施平臺具有良好的可靠性和業(yè)務(wù)連續(xù)性：業(yè)務(wù)系統(tǒng)能夠帶給客戶價值，理應(yīng)達到電信級業(yè)務(wù)類似的可靠性和業(yè)務(wù)連續(xù)性，從而確保用戶服務(wù)滿意，減少服務(wù)糾紛，故基礎(chǔ)設(shè)施平臺要能夠滿足這方面

14、的要求?；A(chǔ)設(shè)施平臺具有良好的可管理性：隨著大量增值應(yīng)用的部署，必然面臨著大量的基礎(chǔ)設(shè)施部署，大量的基礎(chǔ)設(shè)施部署也意味著大量的管理任務(wù)?；A(chǔ)設(shè)施平臺的可管理性則意味著能夠快速高效的管理系統(tǒng)，從而能夠及時有前瞻性的應(yīng)對千變?nèi)f化的風險?；A(chǔ)設(shè)施平臺具有良好的安全性：業(yè)務(wù)系統(tǒng)的安全性越來越值得重視，不安全的應(yīng)用平臺將會喪失客戶，引起糾紛，帶來麻煩而不是新的收入。在應(yīng)用部署的基礎(chǔ)設(shè)施平臺上，也要實現(xiàn)屬于基礎(chǔ)平臺自身安全方面的保障，從而為增值應(yīng)用打下一個堅實的基礎(chǔ)設(shè)施基礎(chǔ)?；A(chǔ)架構(gòu)設(shè)計的可靠性業(yè)務(wù)系統(tǒng)的規(guī)模越來越大，網(wǎng)絡(luò)層面的數(shù)據(jù)交換越來越頻繁，業(yè)務(wù)的推進越來越依賴網(wǎng)絡(luò)及其旁屬基礎(chǔ)設(shè)施，作為5A 項目業(yè)

15、務(wù)對外提供服務(wù)的主要載體，架構(gòu)設(shè)計的可靠性將直接影響業(yè)務(wù)系統(tǒng)的正常運轉(zhuǎn)。架構(gòu)和設(shè)備選型上要充分考慮可擴容性：架構(gòu)的設(shè)計必須為公司未來23年的發(fā)展留有余量，確保其可擴展性設(shè)計能夠滿足業(yè)務(wù)未來的規(guī)模增長需要。架構(gòu)設(shè)計在互聯(lián)層面要求開放性：多廠商設(shè)備間使用開放的協(xié)議互聯(lián)。5A 項目基礎(chǔ)設(shè)施建設(shè)將在尊重需求及應(yīng)用特點的情況下，從設(shè)計原則出發(fā)，結(jié)合用戶需求，考慮多方可能因素，提供最切實可行的解決方案。參考標準上海市國民經(jīng)濟和社會信息化領(lǐng)導(dǎo)小組關(guān)于加強上海市信息安全工作的若干意見國家標準信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第二部分：安全體系結(jié)構(gòu)ISSE 信息系統(tǒng)安全工程IATF 信息保障技術(shù)框架 美

16、國國家安全局完整解決方案設(shè)計拓撲拓撲說明：5A 項目基礎(chǔ)設(shè)施出口網(wǎng)絡(luò)由SMG外聯(lián)部分相關(guān)負責部門提供單路進線，該進線進入業(yè)務(wù)系統(tǒng)出口共用雙3層交換機，通過交換機的作用雙路分拆到主備防火墻。出口防火墻，提供安全防護和業(yè)務(wù)拆分功能。通過安全防護機制過濾流進業(yè)務(wù)系統(tǒng)的有害數(shù)據(jù)流；同時借助防火墻的DMZ特性以及DMZ區(qū)域之間的區(qū)域間防護，通過將防火墻DMZ與內(nèi)網(wǎng)交換機VLAN的結(jié)合，提供VLAN間流量的安全過濾，進而保護VLAN所關(guān)聯(lián)的后臺應(yīng)用。前置服務(wù)器通過部署虛擬化，充分利用硬件資源，實現(xiàn)系統(tǒng)虛擬化管理。配合LVS負載均衡應(yīng)用軟件均衡負載應(yīng)用資源。服務(wù)器與服務(wù)器之間的后臺交換機，實現(xiàn)服務(wù)器對于編碼

17、器的流量互訪，以及服務(wù)器對存儲資源的讀取。設(shè)計思路結(jié)合用戶需求，充分分析應(yīng)用和業(yè)務(wù)特點，在類似系統(tǒng)數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)項目最佳實踐下，本著在可靠性、安全性、穩(wěn)定性、可擴展性、開放性原則下，方案將從以下幾個方面展開介紹：安全防護解決方案：出口防火墻，提供安全防護和業(yè)務(wù)拆分功能。通過安全防護機制過濾流進業(yè)務(wù)系統(tǒng)的有害數(shù)據(jù)流，承擔保障數(shù)據(jù)中心前置應(yīng)用安全的責任。同時借助防火墻的DMZ特性以及DMZ區(qū)域之間的區(qū)域間防護，通過將防火墻DMZ與內(nèi)網(wǎng)交換機VLAN的結(jié)合，提供VLAN間流量的安全過濾，進而保護VLAN所關(guān)聯(lián)的后臺應(yīng)用。為提升網(wǎng)絡(luò)安全級別，增加DMZ和內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)可靠性，采用同型雙防火墻。雙防

18、火墻在硬件層面實現(xiàn)“AB”結(jié)構(gòu)，即采用防火墻間心跳的方式，確保其中一臺防火墻作用網(wǎng)絡(luò)主設(shè)備，另一臺防火墻通過心跳線路時時同步鏈路信息，作為備用防火墻，在網(wǎng)絡(luò)鏈路或設(shè)備出現(xiàn)故障的情況下，可以在相互之間形成主備模式，繼續(xù)承擔網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)任務(wù)。網(wǎng)管解決方案：采購服務(wù)器資源，部署網(wǎng)管平臺。 5A 項目基礎(chǔ)設(shè)施中所有平臺設(shè)備啟用SNMP協(xié)議，網(wǎng)管平臺通過SNMP協(xié)議管理業(yè)務(wù)系統(tǒng)基礎(chǔ)設(shè)施資源。開啟網(wǎng)管平臺的警告、故障郵件、短信通知等功能。方案設(shè)計安全防護解決方案業(yè)務(wù)系統(tǒng)基礎(chǔ)架構(gòu)中防火墻作為全網(wǎng)出口安全防護設(shè)備之一，承擔保障數(shù)據(jù)中心前置應(yīng)用安全的責任，同時提供不同應(yīng)用系統(tǒng)之間的安全防護。并在過濾有害流量后路

19、由正常的業(yè)務(wù)數(shù)據(jù)。所以，防火墻的故障除影響數(shù)據(jù)的正常轉(zhuǎn)發(fā)外，整網(wǎng)數(shù)據(jù)的安全防護將毀于一旦，所有數(shù)據(jù)包括內(nèi)置應(yīng)用之間的數(shù)據(jù)也將曝露于外部網(wǎng)絡(luò)。為提升網(wǎng)絡(luò)安全級別，增加DMZ和內(nèi)網(wǎng)數(shù)據(jù)轉(zhuǎn)發(fā)可靠性，也為系統(tǒng)基礎(chǔ)架構(gòu)具備升級擴容可能，建議采用同型雙防火墻，雙防火墻在硬件層面實現(xiàn)“AB”結(jié)構(gòu)，即采用防火墻間心跳的方式，確保其中一臺防火墻作用網(wǎng)絡(luò)主設(shè)備，另一臺防火墻通過心跳線路時時同步鏈路信息，作為備用防火墻，在網(wǎng)絡(luò)鏈路或設(shè)備出現(xiàn)故障的情況下，可以在相互之間形成主備模式，繼續(xù)承擔網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)任務(wù)。應(yīng)用間過濾方案系統(tǒng)在防火墻安全部署上將防火墻后端服務(wù)器區(qū)域作為DMZ區(qū)域，做相較于外部網(wǎng)絡(luò)不信任區(qū)域的統(tǒng)一安全

20、防護，過濾外部網(wǎng)絡(luò)對內(nèi)訪問的數(shù)據(jù)。如上圖所示，在防火墻內(nèi)置的DMZ區(qū)域，通過與交換機結(jié)合，將不同類型的應(yīng)用流量或服務(wù)器區(qū)域，采用VLAN的方式進行分離，并將VLAN信息通過交換機與防火墻之間的互聯(lián)鏈路透傳到防火墻，防火墻將識別到的帶VLAN流量與不同的DMZ區(qū)域綁定，DMZ編號與VLAN做一對一關(guān)聯(lián)。將防火墻的安全防護功能部署在不同DMZ區(qū)域之間，進而實現(xiàn)不同應(yīng)用系統(tǒng)或不同服務(wù)器區(qū)域之間的流量安全過濾需要。網(wǎng)管解決方案系統(tǒng)亮點向?qū)讲渴鸱绞郊澳０迨奖O(jiān)控機制采用向?qū)Х绞降谋O(jiān)控設(shè)置，將所有的管理功能統(tǒng)一集中展現(xiàn)給管理員，在一個頁面上就可以完成從系統(tǒng)初始化到數(shù)據(jù)初始化再到使用的全部過程，向?qū)Ыo你貼身

21、的一站式服務(wù)。使用模板進行監(jiān)控策略的設(shè)定，監(jiān)控指標均可在此進行批量設(shè)定。復(fù)雜的監(jiān)控策略，模板讓監(jiān)控更輕松。網(wǎng)段自動資源發(fā)現(xiàn)以及無處不在的幫助信息除對IT資源的指定發(fā)現(xiàn)外，還提供了全網(wǎng)自動發(fā)現(xiàn)方式，此種發(fā)現(xiàn)方式適用于采用SNMP方式進行監(jiān)控的資源，可以通過IP等網(wǎng)段信息進行批量發(fā)現(xiàn)。批量發(fā)現(xiàn)只需將要發(fā)現(xiàn)的IT資源信息通過Excel文件導(dǎo)入即可對使用Telnet/SSH/WMI等監(jiān)控方式的資源進行發(fā)現(xiàn)，方便了管理員的操作。在易混淆或不易理解的IT專業(yè)發(fā)現(xiàn)步驟中，以直接的幫助信息展現(xiàn)或小問號圖標的形式給予使用者隨時隨地的幫助提示。TOP N提升對危險資源的關(guān)注度可以自由的按照升序和降序的排列圖標，針對主機類、網(wǎng)絡(luò)設(shè)備類、應(yīng)用類的不同的關(guān)鍵指標進行TOP排序，讓問題資源不再被忽視。跑馬燈式資源一覽，更豐富的資源查看方式以跑馬燈的形式在頁面醒目位置展現(xiàn)當前人員有權(quán)限查看的所有資源中，不同健康狀態(tài)的資源信息，讓管理員在第一時間掌握資源健康統(tǒng)計數(shù)據(jù)。同時可以按資源總數(shù)，報警事件數(shù)等不同的分類方式在跑馬燈中進行展現(xiàn)。實時性能分析，增強監(jiān)控可靠性對于主機、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)接口、應(yīng)用等重要資源的重要時刻性能指標進行實時分析。間隔周期可以根據(jù)用戶的不同需求進行定制，最小周期可定義為5秒。拖拽式打造個人工作空間按照用戶自身不同的關(guān)注點，鼠標拖拽對資源