东华软件
页面主体部分上边框
  • 网管
主要内容部分容器上边框

传统的数据中心,关心的主要是数据的存储,数据的服务职能,为了保证数据中心的正常运转而在硬件设备上作出非常巨大的投入,而且把一个数据中心概括成一个孤立和静态的物理模型。而新一代的数据中心的定义是:数据中心是集成数据的交通中心,中转中心,处理中心,管理中心,储备中心和服务中心。

数据中心实际是在互联网络时代中的交通枢纽,这要求数据中心配备强大的交换引擎满足主干交换的流量需要。同时,数据中心也是数据的中转和处理的中心,随着应用越来越复杂,甚至从一个数据中心已不能为客户请求提供满意的数据,这就需要从这个数据中心向另外一个或多个数据中心寻求数据与信息服务,从而做到请求中转和数据中转等。

随着数据中心的地位越来越重要, 安全的重要性变得非常关键,安全的含义包含以下几个方面:对病毒的防护,对黑客的入侵防范,对内部员工的非法操作,对dos或ddos风暴的防止。

单纯配备防火墙是不够的,必须能够做配备包括:ids/ips设备,防病毒设备等。由于这些设备平均处理能力均在大约几百兆的吞吐能力,在装备数据中心的安全过滤层时会面临瓶颈问题,尤其是许多数据中心的不同出口在不同的时间段流量会出现不同的高峰时期,流量的特性也不相同,需采用应用交换机布设在不同的数据中心出口中,提供对以上设备群的负载均衡和智能的流量分配。建议在数据中心建立安全监控中心,将以上设备集中管理,而应用交换机须智能的为这些设备分配处理任务,从而达到高可用性和高效率及高可扩展性。

数据中心解决方案的目的在于提供一系列关键的产品、服务和实施步骤的集合,根据用户当前的it环境、数据中心建设的需求以及业务目标,来帮助用户完成从现有it系统到能自动适应业务变化需求的数据中心的转变,提高用户的竞争力。

建设数据中心内容包括:

  1. 物理合并:将广泛分布的系统资源集中到少数几个地点,进行集中管理,用更少的it资源完成更多任务,这也是快速获得it投资回报(roit)的重要一环。通过物理合并可节省管理、支持和运营成本,并提高安全性、可用性,以及系统与网络的利用率,改善服务水平。同时合并后简化的it环境具有更好的敏捷性,能更快地响应安全漏洞,物理灾难和停机。
  2. 硬件/数据整合:减少服务器和网络设备的数量;在网络环境中集中管理存储资源池。通过硬件和数据集成,可以有效地利用it基础设施,在改善应用、网络和数据的性能和可用性的同时,降低总的运营成本。
  3. 应用整合:简化资源,标准化系统和应用,改变用户it环境中存在的多个应用、多个数据库的不合理布局,用更少的服务器、集中的应用和数据库保持一致性和可用,减少应用和数据库支持,通过消除冗余来降低总体成本,改善系统性能。

以“自动的、7×24无人值守的计算环境”为主要特征的下一代数据中心,以其更高的效率、更经济的成本、更快的响应速度,正成为全球领先企业信息化发展的主流趋势,也将成为中国的数据中心建设未来的发展方向。针对下一代数据中心这一市场发展趋势,北京东华合创数码科技股份有限利用具备业内公认的一流品质的、企业级解决方案的产品及服务组合(服务、软件和硬件)为基础,并针对下一代数据中心的需求提供咨询与集成服务、专业运维服务、管理服务、评估服务等,最终帮助企业构建一个能够对业务快速响应、高it资源利用率、低成本的下一代数据中心。

在最近四年内东华软件实施参与过多个行业企事业单位的数据中心项目建设,包括最高人民检察院、国家电力、中国铝业集团、潍柴动力、中华联合财产保险、中国气象局、中国国际航空、中国社科院、中国联通北京分、中国航空油料总、辽宁省电力、吉林电力、中国电信集团、胜利油田勘探院、中国石化、铁道部、国防科工委、山西移动、内蒙移动、中国石油天然气股份、北京电视台、北京石油化工科学研究院、北京车辆管理所、昆明钢铁、安徽恒源煤电股份有限、北京安贞医院等,积累了丰富的、宝贵的经验。。

东华软件已成为数十家国际国内知名it企业的增值代理商、系统集成商或战略合作伙伴,是ibm、emc、hp、h3c、cisco等厂商的核心代理商。东华软件有自己的售后技术支持和软件开发中心,具有一批本科以上学位以及数年系统集成工作经验的工程师(高级和中级)共计200多人,其中获得ibm、emc、hp、oracle、h3c、cisco等厂商资质证书的认证工程师总共达到100多人;拥有300多人的软件研发中心具有各行业erp/oa/itsm等开发实施经验。 东华软件依据以上优良条件为用户数据中心项目顺利实施提供可靠的技术保障。

 

案例一(xx移动)

项目背景

宽带增值业务的迅速发展,传统语音业务与ip业务的融合,各运营商都在积极探索和谋取综合性业务的发展,为广大用户提供的业务将不仅局限于语音或数据,为用户提供的服务也将是全范围、多层次的。

为用户提供更好的服务和更多业务的选择,提高竞争能力,xx移动决定建立idc业务中心,为用户提供更好的网络和应用环境、分析数据产业价值链、建立完整的数据业务生态环境。

xx移动数据应用平台主要面向行业用户提供企业信息化解决方案,面向行业和公众用户提供信息服务。

在应用层面上,建设电子邮箱系统,既满足行业用户基础办公需要;同时虚拟主机、主机租用、机房租用、dns、www等业务,可以帮助行业用户建设高质量的企业网站等系统,加速企业的信息化建设。在应用层面为将该网站建设成为本省乃至华北第一门户站点,前期面向本省的手机用户和互联网用户,以后逐渐面向整个华北互联网用户,需要应用的平台支撑以下功能:信息发布管理系统、广告管理平台、网站系统、自助建站系统等功能。

在支撑层面,应该实现对上述应用系统的底层支撑和综合管理,包括网络存储、网络安全、认证计费和包括权限管理、用户管理、内容管理、业务管理等在内的综合网管;同时考虑综合平台应用系统的扩展,能够支持多种增值业务系统的认证计费的增值业务管理和计费平台。

 工程建设目标

idc互联网数据中心,通过位于同一机房内的互联网节点接入internet,接入点位于xx移动集团互联网核心节点。数据应用平台将依托ip骨干网和城域网向internet、intranet以及移动数据各类用户提供宽窄带统一用户管理、邮件系统、www、统一门户管理、主机托管、虚拟主机、机房空间租用等基础业务和电子商务主机租用、电子邮箱租用、一站式服务、带宽保证业务以及缓存加速等增殖业务。

  1. 可以更好地为xx移动用户提供高速、便捷、全天候的增值服务,为xx移动增加一个全新的与客户互动的渠道,使xx移动的整体业务不再受时间和地域的局限,使其可以更好地与客户进行在线互动沟通。
  2. 将该平台建设成为xx移动树立企业形象,开拓市场,提高客户满意度的有效增值业务平台。
  3. 使该网站建设成为本省乃至华北第一门户站点,前期面向本省移动的手机用户和互联网用户,以后逐渐面向整个华北互联网用户。

具体内容如下:此次xx移动综合网站的建设包含三个方面的建设,一是网络平台的搭建与统一用户管理平台的建设、二是原有sxmcc网站系统内容的整合、三是生活网站的建设。

 业务类型

  • idc基本业务
    • dns服务
    • 主机托管服务
    • 虚拟主机服务
    • 机房空间租用服务
  • 邮件系统
  • www服务
  • 自助建站系统
  • 广告投放管理平台
  • 流媒体业务
  •  短信系统
  • 娱乐服务系统
  •  其它

系统设计与实现

网络系统

根据xx移动数据应用平台的业务需求,我建议按照模块化、高可靠性的设计思想设计idc网络。idc网络的可扩展性的关键是能否实现合理的模块化设计,采取模块化设计可以根据网络需求和业务需求的变化,可以在不影响现有网络运行的状况下,迅速扩展。idc网络的高可靠性是其重要基本特征,是idc业务开展的重要前提。

在整个idc设计中分为internet互连层、网络安全/vpn层、核心交换层、接入层以及管理层,在每层都融入了高可靠性的设计思想。

internet互连层

idc internet互连层是idc与公网的汇聚点,因此要求idc与internet采用高速、高可靠性的链路进行连接,采用冗余链路。互连设备采用高速、高可靠性的网络设备。

idc出入口流量负载均衡在cmnet网络的两台骨干设备(ericsson axi 580),选择负载均衡和链路冗余方案。

 网络安全/vpn层

在idc核心交换层与公网连接上设置防火墙对整个idc进行保护,为了提高可靠性,防止防火墙的单点故障,可以利用先进的四层交换技术实现防火墙的负载平衡。利用4-7层交换机的负载平衡算法,把会话请求分配到当前运营状况最好的防火墙上去。

该方案两台防火墙同时启用,而两台同时故障的机率远小于一台,而只要有一台防火墙正常工作,则4-7层交换机可自动将所有的请求分配到正常工作的那一台上,保证网络服务的中断时间为零。4-7层交换机可根据两台防火墙各自的负载能力和当前的运行状况,按最合理的方式分配会话,从而做到最充分发挥每一个机器的最大性能。

该方案的可扩展性很强,由于四层交换高度智能的负载平衡交换能力,使得将来防火墙的升级、更换、增加、减少都完全透明,完全避免网络服务的任何中断。

 核心交换层

配置2台高容量三层交换机enterasys ssr8600,分别与网络安全层4-7层交换机采用ge端口连接,汇聚了来自分布层的所有连接。

两台交换机配置成vrrp。通过vrrp热备份路由选择协议提供了容错和增强的路由选择功能。vrrp使三层交换机enterasys ssr8600可以互相监视对方的运行状态,并在vrrp组中当前转发设备失效或因进行维护而关机时,能非常迅速地接管起数据包转发的责任。该备份技术对连接在服务器接入层交换机上的服务器来说是透明的。通过划分多个热备份组,可以同时提供冗余备份和在不同ip子网上执行负载分担。

 分布层及服务器接入层

服务器接入层主要用于托管用户主机及各应用服务器等服务器。接入层建议配置三层交换机enterasys ssr 8000/matrix e1和负载均衡交换机radware wsd as2。

 安全系统

 安全设计原则

为满足xx移动idc网络安全的需求,将按如下原则来设计安全解决方案:

  • 专业性原则
  •  经济性原则
  • 动态性原则
  • 可管理性原则
  • 可控性原则
  • 易用性原则

 安全系统部署

在xx移动idc网中,设计防火墙系统、防病毒系统、入侵检测系统、漏洞扫描系统、网络管理系统等安全措施来建立xx移动idc网系统的安全防御体系。

  •  防火墙:部署于idc局域网internet出口广域网和关键服务器网段;
  •  防病毒软件:对idc网络中的桌面工作站和关键服务器进行防病毒设置;
  • 网络入侵检测系统:实时检测来自xx移动idc局域网internet出口广域网的攻击;
  • 漏洞扫描系统:检查xx移动idc网络和主机系统中存在的漏洞,并给出合理修补方案;
  • 网络设备日志统一管理。

 

 主机系统

认为, 只有在整体架构的设计和每一个具体系统的选型配置上都紧扣先进实用、可靠安全、成熟开放等系统总体设计要求,才能够确保系统的顺利实施与良好运行.

服务器配置选型上, 结合系统总体设计要求, 认为硬件平台选型都必须遵循以下几条总体设计原则:

  • 按照先进、实用的原则、采用成熟的技术和开放体系结构.
  • 系统具有高可靠性
  • 性能优良、配置合理、具备良好的性能价格比和扩充能力
  •  选择技术领先、市场和技术前景良好、明确的厂家的产品

sun的产品充分满足上述原则,并且有如下的优势。

sun小型机服务器产品的应用支持最多

sun小型机服务器具有更好的ras特性

 

 存储系统

 san架构设计要求

存储设备是该项目的重要部分,合理规划san存储架构是该项目成功的关键,因此在考虑该部分的具体设计时,遵循的主要原则如下:

  • 标准化
  • 管理方便、灵活
  • 数据保护措施完备性
  • 先进的备份技术
  • 高可靠性
  • 可扩展性
  • 节省用户的投资、降低总成本
  • 安全保密性原则

 san存储产品选型

选择一个存储产品需要考虑以下因素:

  • 存储市场占有率
  • 最好的开放性,兼容性,扩展性
  • 先进的体系结构
  • 稳定的高性能
  • 独特的高可用性
  • 全面成熟的存储软件
  • 完善健全的服务体系

根据xx移动idc存储管理的需求,综合考虑各种产品特点,建议选择emc的cx600系列存储产品作为xx移动idc高性能磁盘阵列,emc的cx系列产品完全满足xx移动idc现在及未来高性能存储的要求。

 

 管理平台

idc运营成功与否,网络及业务的管理是很关键的一个因素,这包含了如下等的很多方面:

  • 网络设备的管理
  • 网络流量的监控
  •  用户对其业务更新的手段
  • 用户数据的备份

作为网络及业务管理的网络平台,管理平台包含有:

  • idc控制中心(idc的网络管理中心)
  • idc客户中心(用户对其服务器进行更新、维护)
  • 统一认证计费系统(对idc及增值业务进行认证计费)
  • 动态业务复制区(用户数据的备份)

 

网络管理部分采用美国凯创(enterasys)系统netsight网管系统。

 

 

案例二(xx航空)

近年内xx航空的信息应用的规模和水平都将有突飞猛进的提高。数据信息存储集中管理系统是信息系统基础设施平台,它对数据存储资源实行集中管理,从根本上保障数据的可用性和安全性。为了实现对企业各个环节的有效管理,xx航空进行了大规模的it 建设,目前已经形成覆盖全世界180多个节点的网络系统,并有常旅客系统、飞行准备系统、portal、财务系统、航班管理系统、运价分析系统、数据仓储管理系统等等大小几十个应用系统在企业内运行,而且随着业务不断发展,还会增加新的应用。整个xx航空的信息系统涉及面广,应用多样化、复杂、异构,各种应用分别基于unix、linux、windows、os400 等操作平台以及oracle 和ms sql server 数据库,系统的数据量非常大,并且增长速度快,数据刷新和变动频繁。采用brightstor arcserve backup r11.5 来进行数据备份工作,而且跨越了hp-ux、ibm aix、linux、windows 等多种平台,并支持oracle、sql server 等多种数据格式。brightstor arcserve backup r11.5 的使用效果也很理想。xx航空通过san 网络实现了多种平台和应用的集中备份管理;实现了核心应用系统基于san 的高速备份管理,备份速度最快可达到2g/分钟,减少了对应用网络的影响;应用系统实现了在线的数据保护,同时备份任务实现了自动的管理;而且还实现了备份策略的自动化管理。二期使用stk的磁带库分区软件实现了ca的bab备份软件与ibm的tsm备份软件共享磁带库,保证了常旅客系统的自动备份。

xx航空集中存储及其备份项目建设计划分为三期。一期已于2003年底完成,在北京建立了以san(存储区域网)技术为核心的存储备份系统,二期在2006年底结束。数据集中存储项目的最终目标是:根据xx航空的战略和政策,实现北京与成都两地远程数据信息互为备份,为实现北京和成都之间应用系统互为灾备奠定基础。

本项目建设目标为:

  1. 对总部现有服务器资源和存储资源进行整合;
  2. 建设满足总部数据中心技术要求和新建应用系统要求的服务器中心核心系统;
  3. 建设满足总部数据中心技术要求的和新建应用系统要求的存储中心的核心系统。
  4. 建设满足总部数据中心技术要求的和新建应用系统要求的备份中心的核心系统。

项目所涉及的系统硬件以及软件:

主机设备:存储备份服务器包括ibm  p系列服务器4台p520、sun 1台f280、7台ibm x336;

存储设备:1台emc cx600磁盘阵列、1台emc dmx1000磁盘阵列、1台stk bladestor磁盘阵列、2台broadcast12000 san交换机、2台stk磁带库l700e、1台stk磁带库l40;

系统及应用软件:采用了ibm aix 5l操作系统、hacmp软件、tsm备份软件、ca bab等软件。

 

 

案例三(xx钢铁)

xx钢铁信息化项目基础设施建设(erp项目实施)从2004年10月开始,并于2005年2月安装调试完成.本次项目建设的内容主要包括:数据网络设计和实施、网络及结构布线工程、erp相关服务器平台设计和实施、网络信息安全设计和实施、备份与灾备方案设计和实施、数据库实施、中间件方案设计、机房建设方案设计和实施、电话会议系统设计和实施等.

下面对各个主要子系统做一个简单的描述:

一、数据网络:

xx钢铁数据网络采用千兆光纤主干互连、百兆到桌面以1个中心,多个分支机构,数据多由中心与中心、中心与分支机构之间传输,形成了一个中心为环状的星型拓扑结构,使用核心层、汇聚层、接入层这样的网络模型来作为网络模型分层。

  1. 网络覆盖范围:xx钢铁电子信息、电子信息860分局、xx钢铁总部大楼、灾备机房、国贸、热轧厂办公楼、动力厂办公楼、烧结办、焦化办(老焦化)和三炼钢
  2. 网络设备:zte网络设备来满足xx钢铁信息化的网络要求,所设计的网络设备包括核心设备zte t64e 3台、汇聚设备zte t64c 12台、接入设备zte 2826e 100余台。

全网启用最短路径算法(ospf)路由协议,能够出色完成erp网数据传输、数据路由以及路由冗余等工作。保证xx钢铁erp数据网在网络恢复、线路可靠性以及设备可靠性等方面符合当初设计时erp系统对数据网的要求.

二、erp相关服务器平台(备份与灾备、数据库):

xx钢铁erp服务器项目的实施按照使用全球sap的常用的”三系统蓝图结构”。这种整体架构包括三套系统:1生产系统、2开发系统、3测试系统

xx钢铁erp系统服务器使用一台ibm的p650作为系统的开发测试和培训服务器。两台ibm 的p690组成互为备份的生产系统,一台ibm的p670作为灾备中心的服务器。一台ibm的ess800作为生产系统的存储系统,另外灾备中心配置一台ess800作为灾备的数据存储设备。一台ibm的3584作为备份系统的磁带库。

两台p690组成生产中心的生产主机,主要业务运行erp系统,同时p690通过分区技术,可以将一台p690分为两个分区,分别负载不同的应用程序,最大的使用了系统资源,同时通过hacmp软件互为备份,保证整个系统的高可靠性。ess800和3584磁带库都通过光纤连接到san光纤交换机,这样组成满足业务发展和系统需要的san存储结构,达到高性能。备份系统通过生产机专用的zone分区实现高速高效的备份(也就是通常所说的lan-free备份)。同时在另外一个机房建立一个灾备中心,通过光纤和pprc软件建立一套实时同步的数据镜像,一旦生产中心数据遭遇自然灾害,或者不可恢复的情况下,启动备份容灾中心,避免erp系统中断。通过一年多的试运行ibm p系列服务器以及ess系列san存储系统平台能够出色完成erp项目数据整合、存储等工作,而且veritas netbackup在保护用户数据安全方面都符合当初设计时erp系统对硬件、软件的要求。

三、网络信息安全:

xx钢铁信息化项目基础设施建设网络信息安全是基于apmpdrr模型构建的,符合网络安全系统整体性和动态性的特点。它集防火墙、入侵检测、漏洞扫描、病毒检测防护、反垃圾邮件于一体,将多种网络安全技术和优秀网络安全产品在技术上有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安全体系平台。它具体包括了防火墙方案、入侵检测方案、漏洞扫描方案、防病毒方案以及网络垃圾邮件过滤系统.

xx钢铁数据网internet出口处部署两台netscren因特网千兆防火墙(两台互为冗余),这样在xx钢铁内部和外部两个网络之间建立一个安全控制点,实现对进、出内部网络的服务和访问的审计和控制。在内网核心和服务器网络之间部署两台天融信应用防火墙(两台互为冗余),保护xx钢铁的关键业务应用(比如sap系统等),分割了服务器域和内、外网,可方便进行访问控制。在备灾主机和内网之间部署一台天融信应用防火墙,保证备灾主机安全,为xx钢铁的关键业务(sap erp系统)提供了有力的灾难恢复保证。

由于防火墙系统可能被攻击者突破或迂回,给xx钢铁网络带来威胁,做为防火墙的补充,还配备了中联绿盟的漏洞扫描系统和入侵检测系统来更好的防范于未然和及时拦截入侵,并与防火墙进行联动,形成了一个整体全面的安全体系。另外为了防止通过网络共享、存储介质、电子邮件和internet进行数据交换时各种病毒对xx钢铁网络和应用的威胁,为xx钢铁提供一个完整的趋势防病毒体系,从桌面客户端、服务器、群件及网关上等进行全方位、多层次的整体防护,并与防火墙、入侵检测、漏洞扫描共同组成了xx钢铁完整的信息安全体系。

主要设备包括2台netscreen 外网vpn防火墙、3台topsec内网隔离防火墙、绿盟的“冰之眼”入侵检测系统nids1000、绿盟的rsas-600 “极光”远程安全评估系统、趋势sps防垃圾邮件系统、趋势防病毒系统。

通过1年多的试运行为xx钢铁提供的整体的安全防护体系(包括:访问控制系统、入侵检测系统、漏洞扫描私通、病毒防护系统、反垃圾邮件系统等)使得的xx钢铁整个erp系统、业务应用系统、办公系统等建立在了一个整体的安全防护体系之中,保证了整个erp系统、业务应用系统、办公系统等的安全、可靠的运行。满足了xx钢铁对整个安全防护体系的要求,符合当初设计的要求。

 

 

案例四(xx电力)

xx电力信息网络建设包括网络管理中心、通信和计算机网络及管理信息系统的建设,同时还包括信息资源网的建设。xx电力管理信息系统是在物理平台之上运行的网络化、集成化的信息系统,是xx电力现代信息服务体系的主要部分。该系统要全面支持xx电力的计划统计、人力资源、财务、电网调度、发供电生产、用电营业、安全监察、燃料和物资供应等现代化管理,为各级领导和各层各类业务人员提供信息服务,提高全的综合经济效益。

xx电力信息网络是一个覆盖若干省的大型广域网系统,主要包括:

1、机关办公楼网络系统

主干网络由三台ssr 8600组成,为星型连接。ssr 8600a和ssr 8600b之间使用0spf路由协议。

2、域网范围内的基层单位连接

省机关办公楼至市内主要所属单位调度通信中心、电力科学研究院、局办(燃料、物资等)通过中心的核心交换机ssr 8600实现100m、1000m的连接。所连设备为cisco 5509、cisco 6509等。 

3、广域网基层单位连接

通过主干cisco 7505、7507路由器实现了与省电力和各地市供电及下属发电厂等采用155m、100m、2m或64k电力通信专线连接。基层60多个单位路由器为cisco 2509、csico 2511、2620、3640等。

4、服务器系统

整个系统包括2台compaq alpha server 8200、6台compaq alpha server 4100、4台ibm f50、2台sgi origin 2100、6台compaq alpha server 7300、3台compaq es 40、3台sun ultra 20等。安装了ca的unicenter tng大型网络管理系统和sybase大型数据库管理系统。为信息系统建设提供了良好的计算机网络环境。

5、视频会议系统

xx电力的视频系统mcu设备采用两台accord 的mgc-100,经过级联后,可满足70个不同类型的视频终端加入会议。两台mcu-100可互为备份,另外一台mcu可单独承担40个视频终端的多点会议。方案所选择的两台mcu设备的模块能够通用,mcu能够支持模块带电插拔、即时配置,可以迅速排除故障、恢复会议。两台mcu-100使用14个100base tx接入,与ssr 8600c交换机相连。

 

 

主要内容部分容器下边框
页面主体部分底边框